SASEとは何ですか? SASE(Secure Access Service Edge)はガートナーによって定義されています。
ネットワーク・セキュリティ機能は新しいものではなく、SD-WANも業界にとって新しいものではありません。
SASE はそれらをクラウドサービスとして提供します。
簡単に言えば、SASE は SD-WAN、ネットワークセキュリティ機能を組み合わせ、クラウドサービスとして提供します。
SD-WANプロバイダーは、地理的に分散されたPoPインフラを介して、異なる場所に複数のオフィスを持つ企業に決定論的で信頼性の高い接続性を提供します。
SD-WANサービスは、WFH(在宅勤務)やローミングユーザーを企業ネットワークに接続するためのVPNベースのセキュアなリモートアクセスも提供します。
多くのSD-WANサービスには、ファイアウォールやNATなどの基本的なセキュリティコンポーネントも含まれています。
次世代ファイアウォール、マルウェア対策、URLフィルタリング、データ損失防止といった脅威保護機能を組み合わせ、SD-WANでさまざまな企業資産を保護することで、企業には複数のメリットがもたらされます。
そのメリットとは、複雑なネットワークインフラの削減、企業サイト、クラウドサービス、SaaSサービス、分散した従業員の変更に伴う迅速な立ち上げ/立ち下げ、企業アプリケーションの負荷増加に伴う迅速なスケールアウトなどです。
また、企業管理者は、ポリシー管理と監視のための単一ガラスを見ることができます。
ネットワーキングとセキュリティの分散された実施ポイントは、ユーザーとアプリケーションがどこにいても、一貫した決定論的なエクスペリエンスを提供します。 SASEとは何ですか? 下の図は、SASEの統合ビューです。
SASEサービスは、クライアントエンティティとエンタープライズアプリケーション/データ資産の間に位置します。
クライアントは、人間のクライアント、デバイス、プログラムです。
クライアントはどこにいてもかまいません。
デジタルトランスフォーメーションに伴うエンタープライズアプリケーションやデータは、企業のオンプレミス拠点やコロスに限定されるものではありません。
企業は、弾力性、冗長性、低レイテンシー、規制上の理由から、複数の地域や複数のクラウドにアプリケーションを展開しています。
また、SaaSサービスを利用する企業も増えており、SaaSサービスも複数の場所で展開されています。
どこでもクライアントとどこでもサービスのため、SASEサービスも分散サービスとして提供されます。
SASEの主なコンポーネントは以下の通りです:SD-WAN: SD-WANは、複数のPoPを経由して、オフィスやデータセンター間のセキュアで最適化された、決定論的で信頼性の高い接続性を中央管理で提供します。
SD-WANサービスはよりスマートになってきています。
SD-WANサービスはもはやMPLSの代替に関連する基本的な機能だけでなく、ユーザーとアプリケーションを考慮したルーティング/QoS、インテリジェントルーティングによるSaaSの高速化、冗長データへの低遅延アクセスのためのWAN最適化とキャッシュ、さらにはNAT、ファイアウォール、VPNなどの基本的なセキュリティサービスも提供します。次世代ファイアウォール(NGFW):あらゆるタイプのアクセスに対応する基本的なセキュリティ技術です。
通常、NAT、ステートフルインスペクション、IDS/IPS(侵入検知防御システム)サービスを提供します。
ゼロ・トラストの要件に対応するために、SASEアーキテクチャのNGFWは、IDを意識したアクセス機能をサポートすることが期待されています。ゼロトラストネットワークアクセス(ZTNA):ZTNA機能は、エンタープライズアプリケーションと関連データを保護します。
SD-WAN サービスは、VPN とステートフル・インスペクション・ファイアウォールを介して基本的な ZTNA 機能を備えています。
SASEアーキテクチャでZTNAと呼ぶには十分ではありません。
ZTNA 機能には、ID を意識したアプリケーションアクセス、「最小特権アクセス」原則に対応するためのアプリケーションへのユーザーロールベースのきめ細かなアクセス、クラウドやデータセンター間のアプリケーションの複数のインスタンスへのトラフィックエンジニアリング、重要なサービスへの特権アクセス管理などが含まれます。
差別化されたZTNAフレームワークは、WAF(Web Application Firewall)、APIセキュリティ、DLP(Data Loss Prevention)、マルウェア対策機能で強化され、脅威の防御とデータ流出の阻止を実現します。クラウドアクセスセキュリティブローカー(CASB):CASB機能は、本物のユーザーが許可されたリソースにアクセスしていることを確認することで、SaaSサービスの企業データを保護します。
さらに重要な点として、アクセスしているユーザとリソースを可視化します。
CASB は、許可されていない SaaS サイトへのアクセスを阻止するのにも役立ちます。
CASBはトラフィックの邪魔をするため、シャドーITアクセスを特定し、企業アカウントと個人アカウント間のデータ漏えいの有無を特定することもできます。
インライン・セキュリティを推奨しないSaaSベンダーもあります。
このようなSaaSサービスに対する企業のセキュリティ要件に対応するために、APIレベルのCASBがSASEソリューションに存在することが期待されています。 APIレベルのCASBは、SaaSプロバイダのAPIと連携し、権限を自動化し、マルウェアやデータ(機密情報、PII)の漏えいがないかコンテンツをスキャンします。セキュアWebゲートウェイ(SWG):SWG 機能は、インターネットアクセス中のエンタープライズクライアントの資産を保護します。
マルウェアをホストする悪質なサイトや、パスワードを盗むソーシャルエンジニアリングサイトにユーザーがアクセスするのを阻止します。
また、マルウェアコンテンツのダウンロードやアップロードも阻止します。
SWGは、URLマルウェアフィルタリングとマルウェア対策機能を搭載しています。
SWGはまた、IDベースのURLフィルタリング機能を提供し、ユーザーグループ/ロールに基づいてインターネットサービスへの差別化されたアクセスを提供します。統合されたSASE複数のセキュリティ機能とSD-WANの真の統合は、企業がSASEのメリットを最大限に享受するために極めて重要です。
SASE ソリューションは SD-WAN インフラストラクチャ上で提供される複数のセキュリティ機能の緩やかな結合として始まりました。
企業はSASEのすべての機能に対して1つのベンダーを見ますが、この分離されたソリューションアプローチ(「分離されたSASE」)にはいくつかの課題があります:
- 複数のポリシー構成ダッシュボード:これは、構成の繰り返しと急な学習曲線につながる可能性があり、したがって、構成ミスにつながる可能性があります。
- 複数の観測可能性スタック:エンドツーエンドの観測可能性と相関性の欠如は、インシデントの見逃しやインシデントレスポンスの遅れにつながります。
- プロキシチェーニングによるパフォーマンスの課題:トラフィックの邪魔になる複数のプロキシは、複数のTCP/TLSの終了、認証、複数のホップにつながります。
その結果、待ち時間が長くなり、スループットが低下し、ユーザーエクスペリエンスに影響を与えます。 - 複数のPoPによるパフォーマンス上の課題:さまざまなPoPにおけるセキュリティ機能とSD-WANは、トラフィックのPoPホッピングにつながる可能性があり、PoPホッピングによって生じる遅延の増大により、ユーザーエクスペリエンスの問題につながります。
Unified SASEは、上記の課題に取り組むプロバイダーに関連する用語です。
Unified SASEは、以下を可能にします。
- コンフィギュレーションと観察可能性を両立する真の一枚ガラス
- SD-WAN機能とセキュリティ機能で共通のネットワーク/サービス/アプリケーション/ユーザーオブジェクト。
- SD-WAN機能とセキュリティ機能のために、特定のトラフィックセッションは1つのPoPのみを通過します。
- TLSトラフィックの検査は1回のみ。
- SD-WANとセキュリティ機能を横断する特定のセッションのシングルパスアーキテクチャ。
- SASE自体の攻撃対象の減少
これにより、企業は、より良いユーザーエクスペリエンス、コスト削減、より高い信頼を得ることができます。
また、SASEプロバイダーは、全てのセキュリティ機能を自社で開発できるわけではないことを理解することが重要です。
ベンダーによっては、一部のセキュリティ機能に特化しているため、技術提携が鍵となります。
SASEプロバイダーは、「Unified SASE」のビジョンを実現するために、パートナーとの深い技術協力により、包括的なソリューションを構築することが重要です。ユニバーサルSASESASEの「エッジ」部分は、SASEプロバイダーのPoPロケーションのセット、またはSASEの様々なセキュリティ機能プロバイダーの複数のPoP/クラウドのセットです。
これは、PoPが世界中に分散し、各PoPに配置されたSASE機能がSASEを分散させるという意味の分散アーキテクチャです。
とはいえ、今日SASEが提供されている方法は、すべてのトラフィックセッションをカバーしているわけではありません。
SASEは、クライアントからインターネットやエンタープライズリソースへのWANを経由するトラフィックフローをカバーしています。
これらのトラフィックフローを考えてみてください。
これらのトラフィックフローは、SASEプロバイダによってうまく対処されていません。
- クライアント・エンティティとアプリケーション・サービス・エンティティの両方が同じデータセンター/VPC内にある場合のトラフィック・セッション。
- Kubernetesクラスタ内のマイクロサービス間のトラフィックセッション。
- クラウドプロバイダーのWANサービスを経由するクロスVPCトラフィックフロー。
- 5Gモバイルユーザーとエッジアプリケーションからのトラフィックセッション。
ネットワークの自動化とセキュリティの強化は、他のメカニズムによって行われるか、トラフィックがSASEのPoPに固定されます。
最初のケースでは、統一性が失われ、2番目のケースでは、ユーザーエクスペリエンスに問題があります。
そのため、ユニバーサルSASEが必要とされています。
SASEサービスは、PoPロケーションのみに制限されるものではありません。
企業は、全てのトラフィックセッションに対して、統一された方法で共通のネットワーキングとセキュリティサービスを期待します。
ユニバーサルSASEは、クラウド・ネイティブな分散データプレーンと、クラウド提供の管理・観測プラットフォームを実現する必要があります。要約:SASEの旅は2019年に始まりました。
第一世代」の SASE は SD-WAN とセキュリティ機能の疎結合として始まりましたが、その旅は、分散した従業員と分散したアプリケーションを展開する企業のための真のゼロトラストアーキテクチャを実現する統一されたユニバーサル SASE につながるでしょう。
私たち Aryaka はこの旅を続けています。さらに詳しくお知りになりたい場合は、お問い合わせください。 追加リソースDell’Oro Group レポート:統合SASE:シングルベンダーSASEの検討事項
-
CTOインサイトブログ
Aryaka CTO Insightsブログシリーズは、ネットワーク、セキュリティ、およびSASEのトピックに関するソートリーダーシップを提供します。
Aryaka製品の仕様については、Aryakaデータシートを参照してください。