ネットワーク・セキュリティに関しては、誰もがSASE(Secure Access Service Edge)列車に乗り込んでいます。 これには十分な理由があります:SASEのアーキテクチャモデルは、あらゆるXaaSの統合されたネットワーキングとセキュリティのニーズをサポートするのに最適です。 クラウドファーストのアーキテクチャニーズに対応することは、WAN設計パターンの上位の1つであり、SD-WAN採用の主要な推進力となっています。 クラウドアーキテクチャは、すべてのトラフィックを本社やプライベートDCに戻す従来のWAN設計ルールとは相容れません。 第一世代のSD-WANソリューションは、ローカルインターネットブレイクアウトを可能にすることで、より柔軟性を持たせることができましたが、それは真の最適化を提供しない非常に基本的で鈍感な機能にすぎません。 それは基本的な公衆インターネット接続にボールを渡すだけで、予測不可能なパフォーマンスという欠点はあるものの、コストの最適化以外の改善は保証されていません。 さらに、ネットワーク・アーキテクトがあらゆる場所で公衆インターネットへのローカル・ブレークアウトを可能にすると、攻撃対象が拡大するため、新たな脅威を阻止するためにセキュリティ体制を拡大する必要があります。 しかし、これに対処するための明確なアーキテクチャ・アプローチがあります:
- ヘビーブランチ次世代ファイアウォール(NGFW)により、ブランチ自体に最先端のセキュリティを提供します。
ヘビー・ブランチ」は、理想的にはエッジの単一アプライアンスに統合される高度なネットワーキングとセキュリティ機能を提供し、従来の「デバイス・スプロール」を削減します。
最適なヘビー・ブランチの実装には、仮想化技術を活用して高度なネットワーキング機能とNGFW機能の両方をVNF(仮想ネットワーク機能)として提供する統合ブランチCPEが必要です。 - ヘビー・クラウド:このモデルは、多くの企業のアプリケーション・トラフィックがクラウドに移行しているという事実を認識し、支店からのすべてのトラフィックをクラウド・セキュリティ・サービスに転送してはどうかと考えます。
このモデルでは、支店で非常に基本的な転送ポリシーを設定するだけで、あとはクラウド・セキュリティ・サービスが転送を行います。
2019年に行われたONUGの世論調査では、ネットワークアーキテクトの65%以上が依然としてヘビーブランチ・セキュリティモデルを支持していましたが、30%近くがクラウド中心のセキュリティモデルを支持していたことは、シフトが有効であることを明確に示しています。 しかし、新たなセキュリティ・アーキテクチャの課題を二元論的に捉え、テクノロジー宗教を優先させることは、多くの企業アーキテクトがクラウドファーストのアーキテクチャを想定している一方で、クラウドオンリーのアーキテクチャに移行している企業は極めて少ないという事実を見逃すことになります。 また、多くの企業はパブリックXaaSとプライベートクラウドの要素を組み合わせたハイブリッドクラウドモデルを常に採用するでしょう。 このため、ネットワーク・セキュリティ・アーキテクチャにもハイブリッド・アプローチが求められます。つまり、先進的なブランチ・セキュリティの要素と、クラウドに組み込まれたセキュリティの要素をいくつか組み合わせたブレンド・アプローチです。 SASEのアーキテクチャモデルでは、最適には「ライトブランチ」のセキュリティ態勢と「ヘビークラウド」で提供されるセキュリティサービスの組み合わせが必要であると結論付けています。 SASEは、高度なアプリケーションの認識や最適化、その他多くの機能のような高度なネットワーキング機能を求めています。 しかし、ここに問題があります:SASEのコンセプトを私たちにもたらしたソートリーダーシップファクトリーであるガートナーでさえ、SASEが本当に主流になるのはあと3-5年先だと認めています。 AT&Tワイヤレスが1年以上前から5Gを提供していると主張しているように、多くのベンダーがSASEを提供していると主張するのは避けられないことです。 私は20年以上にわたってAT&Tワイヤレスの忠実な顧客ですが、彼らの主張は、現在SASEをサポートしていると主張しているSD-WANベンダーと同様に不正確です。 現実に目を向けると、企業のセキュリティ・ニーズは今、選択の力を求めているというシンプルな事実があります。 今ここで、既存のニーズに合わせてソリューションを調整する能力を持ちながら、想定される技術スタックがX-as-a-Serviceソリューションのように簡単に展開できる、統合された管理しやすいソリューションとして真に出現したときに、SASEターゲットアーキテクチャにスムーズに移行する能力を維持することができます。 企業には、非常に特殊なアーキテクチャや規制上のニーズがあるため、選択する力が必要です。 Aryakaのセキュリティ戦略は、常に「選択する力」を提供することにあります:
- ブランチ・ヘビー・アーキテクチャモデル、クラウド・ヘビー・アーキテクチャモデル、またはそれらのカスタマイズ可能な組み合わせ。
- セキュリティ業界のリーダーとのベスト・オブ・ブリード・テクノロジー・パートナーシップ。
- すべての高度な機能は、Aryakaのドメインエキスパートによって設定および保守されるため、複雑なネットワークおよびセキュリティソリューションをXaaSサービスのように簡単に利用することができます。
本日、チェック・ポイント社との技術提携を発表します。 チェック・ポイントの CloudGuard ファミリーは、上記で紹介したすべてのセキュリティ・アプローチに対して業界をリードするソリューションを提供しています:
- CloudGuard Edgeは、AryakaのANAP CPE上で仮想ネットワーク機能(VNF)として動作するブランチファーストのセキュリティアプローチをサポートし、Aryakaの高度なネットワーキング機能とCloudGuard Edgeの先進的なNGFW機能を組み合わせています。
- CloudGuard Connect は、クラウド中心のセキュリティ導入モデルを提供します。
Aryaka の ANAP CPE は、シンプルな転送ポリシーによってトラフィックをチェック・ポイントの CloudGuard Connect セキュリティ・クラウドに転送します。
このように、企業はAryakaのベスト・オブ・ブリードのクラウドファースト・ネットワーキング機能と、自社のニーズに最も適したセキュリティ・アーキテクチャを組み合わせることができます。
当社のプレスリリースにあるように、実際の顧客はすぐにこのアプローチを支持しています。
さらに良いことに、このアプローチは、企業がSASEのセキュリティ・アーキテクチャ・パターンの採用に乗り出すにつれて、現在も普及しているブランチ・ヘビー・セキュリティ・モデルから将来的にはライト・ブランチ/ヘビー・クラウド・モデルへのシームレスな移行を提供します。
チェック・ポイントとの協業により、クラウド・ファーストに向けた WAN インフラストラクチャの変革が必至となる中、企業が必要とするネットワークおよびセキュリティ機能に対する、使いやすくカスタマイズされたアプローチを提供できることを非常に喜ばしく思っています。
著者について
ポールは、Aryakaの製品マーケティングチームのディレクターです。
ポールはCisco、LiveAction、Bivio Networks、StrataComで製品マーケティング、製品管理、セールスエンジニアリング、ビジネス開発、ソフトウェアエンジニアリングの分野で20年以上の経験があります。
趣味はスキューバダイビング、オートバイ、オープンソフトウェアプロジェクト、油絵。
GokulはAryakaの製品管理チームのディレクターです。
セキュリティ、ネットワーキング、SD-WAN、ネットワーク仮想化などの多様な領域において、製品管理およびソフトウェアエンジニアリングで12年以上の経験があります。
