インドの古典的な寓話で、6人の盲人が象のさまざまな部分を触ると、象が何であるかについてまったく異なる認識を持つようになるという話を聞いたことがありますか?
この話は、主観的な経験のみに基づいて、あるテーマについて全面的な権威を主張することができるかどうかを考えさせるものです。
この物語が現在のSASEの状況にどのように当てはまるかをお話しする前に、ジョン・ゴッドフリー・サックスの「Blind Men and the Elephant(盲人と象)」のキャッチーなバージョンをお楽しみください:学問に熱心なインドスタンの6人の男が、象を見に行きました(全員が盲目でしたが)。セキュア・アクセス・サービス・エッジ(Secure Access Service Edge、SASE)は、Gartner社の定義によると、昨年からセキュリティ業界とネットワーキング業界のトレンドとなっています。
それには理由があります。
企業は、ネットワークとセキュリティにまたがる広範なデジタルトランスフォーメーション・イニシアチブに対応するため、また自由に使えるリソースと予算が限られているため、両端からロウソクを燃やし続けてきました。
SaaSアプリケーション、マルチクラウド環境、IoT、ビッグデータ構想に対応するためにすでに手薄になっていたネットワーク・チームは今、自宅やその他の場所からこれらのビジネス・アプリケーションにアクセスしようとする多数のリモート・ユーザーやデバイスに、これらのサービスやアプリケーションすべてへの迅速かつ信頼性の高いアクセスを提供することを求められています。
彼らが一番望んでいないのは、より複雑で、より多くのトレンドに対応することです。
しかし、おそらく、このような慌ただしさは、SASEを採用するのに最適な時期なのでしょう。
SASEの解読
なぜ」「どのように」の前に、まずSASEとは何かを理解することが不可欠です。
2019年にガートナーが発表したエンタープライズ・テクノロジー・アーキテクチャであり、カテゴリーです。
ガートナー社によると、SASEの簡単な定義は、ネットワーキングとセキュリティ・ポイント・ソリューションの機能を統一されたグローバルなクラウド・ネイティブ・サービスに収束させるというものです。
これは、デジタルビジネスへの適応性と俊敏性のあるサービスを促進する、エンタープライズネットワーキングとセキュリティのアーキテクチャ上の進化です。
専門用語が多すぎる?
簡単に言えば、セキュリティを提供するために、すべての支店やクラウドベースのトラフィックを企業のデータセンターに通すという原始的なハブ・アンド・スポーク方式は、もう通用しません。
また、ネットワーキングとセキュリティを2つの別々のサイロとして見ることもありません。
SASEは、クラウド経由で同じネットワーキング・セキュリティ・スタックを提供し、クラウド・ネイティブ・トラフィックが企業ネットワークを経由する必要がないようにすることを目的としています。
しかし、待ってください…それはそんなに簡単ではありません。
このブログを象の話から始めたのには理由があります。
多くのシェフがケーキを台無しに
SASEとは何ですか?”とググると、10社のSASEベンダーがそれぞれのシナリオに合うように調整した10種類の説明が出てくるでしょう。
SASEの新しさが混乱の一因ではありますが、SASEが本当に意味するものを理解することが不可欠です。
SASEは、単にネットワークとセキュリティの融合ではありません。
SASEの背後にある考え方は、統合の概念を超えて、この統合されたソリューションがどのように見え、感じられ、提供されるべきかを掘り下げています。
SASEの青写真は、単一のマネージド・サービス・プロバイダーによるクラウドベースのサービス・モデルに強い重点を置くべきです。
さらに、SASEが一般的にクラウドベースのサービスとして提供されているとしても、より良い結果を得るために、組織がクラウドベースのソリューションを物理的なもので補完する必要があるシナリオがあるかもしれません。
例えば、データをクラウドに移動して検査するのではなく、機密データを処理する際にエッジ・セキュリティが必要な場合などです。
このように物理的なセキュリティ機能とクラウド・セキュリティ機能を統合することで、エッジやクラウドにある完全にサイロ化されたシステムにセキュリティをアウトソーシングするのではなく、ネットワークの奥深くまでSASEの役割を浸透させることができます。
SASE対SD-WANではなく、SASEとSD-WANである理由
SASEがSD-WAN技術の後継としてもてはやされているのはおかしなことです。
どちらかと言えば、両者は補完し合うものです。
SASEはクラウドセキュリティと包括的なWAN機能を統合し、適切な割合で混合することで、トラフィックフローの最大限の効率性とサイバーセキュリティの適応性を提供します。
SASEは、ローカル・インターネット・ブレイクアウトを介したバックホール・アーキテクチャによる遅延を軽減しますが、パブリック・インターネットの予測不可能性を排除することはほとんどできません。
ミッション・クリティカルなアプリケーションがYouTubeのトラフィックよりも優先レーンを確保するにはどうすればよいでしょうか?
さらに、多くのデータセンシティブなビジネスアプリケーションはすぐにはクラウドに移行しないため、ブランチから DC、またはブランチからブランチへの接続には、依然としてエッジコンピューティングのパワーが必要です。
SD-WANはネットワーク機能の中心ですが、SASEはセキュア・ウェブ・ゲートウェイ(SWG)、ゼロトラスト・ネットワークアクセス(ZTNA)、FWaaS、クラウド・アクセス・セキュリティ・ブローカー(CASB)などの他のセキュリティサービスと、中核的な能力としてSD-WANを統合します。
これらを組み合わせることで、総合的なWAN接続とセキュリティのソリューションを構築できる可能性があります。
でも、お金の節約になりますか?
組織は通常、侵害の影響を受けやすいさまざまなネットワーク・ポイントを保護するために、複数のポイント製品に依存しています。
これらの製品には、アプリケーション・ファイアウォール、VPNアプライアンス、またはさまざまな場所に対応するその他の物理的な製品が含まれます。
これらの製品のほとんどは、独自のポリシー、プロトコル、インターフェイス、サポートを備えています。
最終的な結果は?
管理上の複雑さと高い運用コストを伴うバラバラのソリューションです。
SASEは、様々なベンダーの仮想アプライアンスや物理アプライアンスによって組み立てられた、このようなバラバラのモデルを排除するオプションを提供します。
その代わりに、単一のハンド・トゥー・シェイク・モデルを提供することで、雑多なアプライアンスのコストを排除し、異なる統合ポイントで発生する可能性のある不要な複雑さを軽減します。
これは、ITスタッフの削減も意味します。
最終的に、ユーザーはより良い節約を目にすることになるはずです。
アーリアカ:SASEへの道を開く
企業は、アーキテクチャや規制のニーズに合わせて選択する力を必要としています。
Aryakaのセキュリティ戦略は、常に選択の余地を提供することを中心に展開してきました。
ANAP内のアクセスファイアウォール、Aryakaのセキュアアクセスサービスエッジ(SASE)は、ブランチでの「南北」制御を提供します。 Aryaka Zonesは、ポリシーベースのアクセスによるサイトセグメンテーションによって、これを「東西」セキュリティでLANに拡張します。 この2つの機能を組み合わせることで、AryakaとインターネットへのWANトラフィックと、内部およびDMZの両方のLANトラフィックをセグメント化します。 
また、当社のソリューションは、VNF(仮想ネットワーク機能)としてAryakaのANAPサービスエッジCPEに高度な次世代ファイアウォール(NGFW)機能を統合しています。
Aryakaは、ベスト・オブ・ブリードのベンダーと提携し、企業固有のアーキテクチャや規制要件に最適なソリューションを企業に提供することができます。Aryakaは、Aryaka PoPでCheck Point CloudGuard Connectと統合し、そこに到達するすべてのトラフィックを最適化して保護します。
3つ目の機能は、Zscaler、Palo Alto Networks、SymantecといったAryakaのセキュリティ・パートナーを通じてクラウドにセキュリティを拡張することです。
例えば、企業がZscalerの無料のクラウドベースのsecurity-as-a-Serviceを利用し、Aryakaがトラフィックを適切に制御することができます。
また、リモートワーカーがPalo AltoのPrisma Cloud Security Suite経由でAryakaにアクセスし、認証とアクセラレーションを提供することもできます。
この統合ソリューションは、Aryaka のフルマネージドでクラウドファーストの WAN機能とチェック・ポイントのセキュリティ・ソリューションを緊密に統合します。
また、Aryaka のグローバルなサービス拠点(PoP)とマルチクラウド・ネットワーキング機能によるサービス・デリバリーのフットプリントを活用しながら、SASE のような新たなアーキテクチャ・アプローチを採用するためのビルディング・ブロックを提供します。
また、すべてAs-a-Serviceで提供されます。 
並行して、Aryakaプライベートコアはすべての企業にパーティション化された接続性を提供し、データを暗号化してDDoS攻撃から保護します。
ブランチ内では、企業はSyslogとNetflowロギングにアクセスでき、ネットワークレベルでは、MyAryakaクラウドポータルがサービス設定、監視、および健全性のための単一のガラスペインを提供します。
最後に、部屋の中の象を取り上げましょう。
SASEに対してDIYを取るべきか、それともフルマネージド・アプローチを取るべきか?
最先端のセキュリティ・ソリューションを構成するすべての要素を構成、運用、更新するために必要なすべての側面を把握し続けることは、複雑な作業であり、ITチームに負担をかける可能性があることはあまり知られていません。
さらに重要なことは、SASEがクラウドのパラダイムに従っていることを考えると、OpExクラウド消費モデルに従ったフルマネージドサービスは、コンセプトにより近く、IT支出を従量課金モデルに切り替える素晴らしい方法です。
セキュリティ・アーキテクチャの詳細については、セキュリティ・アーキテクチャのホワイトペーパーをご覧ください。
世界で最も普及している WANトレンドについてもっと知りたいですか?ウェビナーにご登録いただき、ITおよびネットワークの専門家が何を考え、どのような分野に重点を置き、過去1年間で優先事項がどのように変化したかをご確認ください。
