SD-WANとAzure Virtual WANと
こんにちは、Yos235です。
今日一日、お勉強をする日と決めて、いろいろとWeb回遊中です。
SD-WANから暗号化まで行ってしまったのでとりあえず備忘録的に…
これまでSD-WANではEdge(ブランチオフィス)から既存のVPN装置に
接続することはできなかったのですが、via Edge ができるようになりました。
とはいえ、接続できるのはAWSとAzureだけ、というのでなんでだろと思ったら
つまりこういうこと。
https://kb.vmware.com/s/article/82746
>customers can now deploy VMware SD-WAN Edges directly inside Azure Virtual WAN hubs
Azure Virtual WAN Hubの中にSD-WAN Edgeを置くことができる、ということ。
VCGを使ったHUB構成(via gateway)でいいんじゃね?と思ったのですが、
http://wan.velocloud.com/rs/098-RBR-178/images/sdwan-654-connect-azure-vwan-so-0819.pdf
Key benefits
• Flexible option to automate setup of IPSec tunnel from all VMware SD-WAN Edges
or perform site specific automation.
• Monitor and troubleshoot branch connectivity from Azure Portal.
後者のAzurePortalから各ブランチが確認できるというのが良いみたい。
VCGを使うか、vNET HUB(VirtualWAN)を使うかはどっちに重きを置いているか
に掛かっていて、たぶんAzure環境がメインな方々はVirtualWANなのかなと。
端末管理がAzure(Intune)なら後者、WS1なら前者、とは言い過ぎか…
おまけ:
・仮想ネットワークゲートウェイはトンネル数30まで、
VirtualWANは仮想ハブにつき1000まで。
Azure Virtual WAN に関する FAQ | Microsoft Docs
・最適なパフォーマンスを実現するには、IPSEC 暗号化と整合性の両方のために GCMAES256 をお勧めしています。 AES256 と SHA256 はパフォーマンスが低いと見なされる
・GCM アルゴリズムでは、トンネルは最大 1.25 Gbps をサポート
Azure Virtual WAN に関する FAQ | Microsoft Docs
・仮想ハブ サービスを統合しているパートナー
VirtualWANハブにデプロイできるのは、現時点で5つ
Barracuda Networks、Cisco Cloud Service Router (CSR) VWAN
VMware SD-WAN、Versa Networks、Fortinet Next-Generation Firewall (NGFW)
Azure Virtual WAN パートナーと場所 | Microsoft Docs
・GCMについて調べていた内にたどり着いたところ
ぜんぜんぼちぼちじゃない… IV(初期化ベクター)は毎回異なる値じゃないとだめ
だけど推測されても問題ないのでカウントアップするようになってる
安全性が高いTLSへの移行で解決 - 狙われるセキュリティプロトコル:日経クロステック Active
AES-CBCは無くなっていく。AES-GCM、AES-CCMという「認証付き暗号」AEADに
加えて、グーグルが推奨しているChaCha20がTLS1.3にて使えるようになる見込み?
・と思ったら2018年8月にRFCに乗っていたらしい(浦島はんぱない)
https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/d2-2-suga.pdf
ここらで暗号の話そのものが暗号化されたものにしか見えなくなったので、
今日は、この辺で。(ぉぃ