SASEアーキテクチャ

Aryaka SASEガイドは、クラウドファースト、コンバージドネットワークおよびセキュリティアーキテクチャとアプローチにより、WANおよびセキュリティインフラストラクチャの近代化を検討している企業を支援します。

SASEをSASEたらしめている要素について学びます。
SASE、SD-WAN、SSEの関係と違い、ライフサイクルサービスの役割を理解します。

SASEフレームワークの2つの主な構成要素は何ですか?

SASEのアーキテクチャとは?
SASEフレームワークの2つの主要なコンポーネントは、SASEネットワークと SASEセキュリティです。
これは、クラウドの利点であるスケール、シンプルさ、スケーラビリティ、最適なTCO(総所有コスト)をネットワークとセキュリティに適用できることを意味します。 あらゆる規模の企業が求める導入と消費の容易さを導入しています。

SASEネットワーキングの中核機能には、接続性、アプリケーション最適化、マルチクラウドアクセスのためのSD-WAN(Software-Defined Wide-Area Network)が含まれ、セキュリティにはFWAAS(Firewall as-a-service)、SWG(Secure Web Gateway)、CASB(Cloud Access Security Brokers)、ZTNA(Zero Trust Network Access)、アンチウイルス、マルウェア検査などが含まれます。
SASEの特長は、これらすべてを組み合わせて、最適なクラウドベースのインフラとして提供できることです。
SASEのネットワーキングとSASEのセキュリティは1つのテクノロジーに統合されており、一方がなければもう一方は存在しません。

SASEの第3の要素に対する有原のアプローチ

Aryakaは、SASEのフレームワークを2本足のスツールではなく、3本足のスツールだと考えています。
Aryaka氏によると、SASEのコンポーネントには、最初の2本と同じくらい重要な3本目の足が含まれています。
ライフサイクル・サービス」と呼ばれるこの要素は、SASEの構成要素の中では軽視されがちですが、採用を加速し、障壁を取り除き、より生産的で安全なハイブリッド労働力を実現する上で非常に重要です。
設計から実装、SASEソリューションのオーケストレーションと管理まで、統合されたライフサイクルサービスに焦点を当てることで、大きな違いを生み出すことができます。
たとえば、従来のハブ&スポーク・ベンダー・チームでは数週間から数カ月かかるような一般的なトラブルシューティングも、ワンストップのマネージド・サービス・パートナーであれば、わずか数時間から数日で特定と修復が可能になり、時間とコストの両方を節約できます。

マネージドSASEアーキテクチャ

SASEとSD-WAN

  • この2つはどのようにつながっているのですか?

SASE対SD-WANの質問はよくあるものです。
SD-WAN と SASE は私たちが思っている以上に密接に関係しています。
SD-WAN はより広範な SASE フレームワークの基礎となる要素です。
SD-WAN は、ワークロードとワークフォースが劇的に変化するにつれてますます複雑化し、管理が煩雑になっているエンタープライズ WAN の管理を簡素化するために設計されています。
最近Gartnerが強調したように、接続のためのSD-WANなしのSASEは空虚な約束であることは明らかです。

企業が求めるアプリケーションのパフォーマンスと生産性を実現するために必要なのは、堅牢で安定したSASEネットワークを活用した接続性です。
サービスPoPを中心としたSD-WANサービスを基盤とすることで、企業はクラウドエッジで利用可能になった追加セキュリティ機能を簡単に利用することができます。
エッジコントロールのタイプは一度にすべてを実現する必要はなく、企業独自の要件に基づいて段階的に導入することができます。

マネージドSASEアーキテクチャ

SASEとSSE

  • SSEとは何ですか?

SSE(Secure Services Edge)は、2021年にGartnerが定義したSASE機能のサブセットです。
本質的には、SD-WANのようなネットワークサービスと一緒に実装することで、完全なソリューションを提供することができるSASEセキュリティサービスのコレクションです。
簡単に言うと、SSE は SASE のセキュリティの側面です。

  • SSEのコア・コンポーネントとは何ですか?

SSEとは、特にセキュリティ・サービスが展開されるネットワークのエッジを指します。
SSEは、企業ネットワークがインターネットやクラウドに接続するポイントであり、企業ネットワークを外部の脅威から保護するためのセキュリティ・サービスが提供される場所です。
その中核となるコンポーネントは次のとおりです:

  1. Firewall(ファイアウォール):事前に定義されたセキュリティルールに基づき、ネットワークトラフィックの送受信を監視・制御するネットワークセキュリティシステム。
  2. セキュア・ウェブ・ゲートウェイ:ウェブコンテンツ・フィルタリング、マルウェア保護、URLフィルタリングを提供し、ウェブベースの脅威から保護するセキュリティ・ソリューション。
  3. VPN:インターネット経由でリモートユーザーやサイトを企業ネットワークに接続する安全な方法。
    VPNは、転送中のデータを保護する暗号化された通信チャネルを提供します。
  4. ZTNA:いかなるユーザーやデバイスも信頼されるべきではなく、アクセスは知る必要がある場合にのみ許可されるべきであるとするセキュリティ・モデル。
    IDベースのアクセス制御を使用して、許可されたユーザーのみがリソースにアクセスできるようにします。
  5. CASB:クラウドサービスとアプリケーションの可視化と制御を提供するセキュリティ・ソリューション。
    セキュリティポリシーを実施し、データ漏洩やマルウェアなどのクラウドベースの脅威から保護します。
  6. DLP(Date Loss Prevention):機密データが企業ネットワークから流出しないように設計されたソリューション。
    移動中のデータ、静止中のデータ、使用中のデータを監視し、漏えいや盗難を防止します。

Aryaka Secure Service Edgeがインテリジェントなハイブリッドエッジをどのように実現するかについては、ソリューション概要を ご覧ください。

  • ZTNAの重要性

ネットワークアクセスとセキュリティに対するAryakaのゼロトラスト・アプローチは、SASEアーキテクチャの重要な構成要素です。
従来の境界ベースのセキュリティモデルとは対照的に、ZTNAのセキュリティモデルでは、アプリケーションやネットワークリソースへのアクセスを許可する前に、全てのユーザとデバイスの検証が必要です。
SASEのZTNAでは、クラウドやオンプレミスでホストされているアプリケーションやサービスに安全なアクセスが提供されます。
ZTNAは基本的に、ユーザーやデバイスが、使用を許可されたリソースのみにアクセスできることを保証し、すべての接続は盗聴やその他のセキュリティ脅威から保護するために暗号化されます。
ZTNAをSWG、CASB、SD-WANなどの他のSASEコンポーネントと組み合わせることで、企業は、あらゆる場所やデバイスからアプリケーションやサービスへのセキュアなアクセスを実現する包括的なセキュリティアーキテクチャを構築することができます。

SASEの重要な要素の一つは、ゼロ・トラスト原則の適用です。
ゼロ・トラストの多くの定義を読み解くために、ウェビナーとブログをご覧ください。