先週、私はAryaka HybridWANと、ブランチにエンタープライズクラスのSLAでインターネット接続を提供するその革新的なアプローチについてブログを書きました。 もちろん、インターネットに支店を開設した時点で、セキュリティは大きな関心事です。
SD-WANのセキュリティに関して言えば、私たちの業界には2つの一般的なアプローチがあることを観察するのは簡単です:
- 統合ソリューションの姿勢、つまり「私のSD-WANを導入すべきです。なぜなら、それは偶然にも私の統合セキュリティソリューションと統合されているからです。私を信じてください。
この姿勢は SD-WAN の世界では非常に一般的ですが、明らかにロックイン戦略を意味し、企業の特定のセキュリティ嗜好やニーズにとっては有害かもしれません。 - SD-WAN企業として、ほとんどの企業は特定のニーズに合わせて多層的なセキュリティアプローチをカスタマイズする必要があることを理解しています。したがって、私たちはいくつかの基本的なセキュリティ機能を提供します。
Aryaka は SD-WAN 企業であり、Open Security Solution の姿勢を堅持しています。
その理由は?
何よりもまず、私たちは顧客第一主義の企業です。
私たちのState Of The WAN 2019レポートは、SD-WAN を導入するすべての企業にとってセキュリティが最大の関心事であることはもちろんですが、大多数の企業が選択の余地を必要としていることをしっかりと立証しました。
企業アーキテクチャの懸念から規制上のニーズまで様々な理由があるため、単一のセキュリティソリューションですべての企業のニーズをカバーできることはめったにありません。
複数の業界アナリストも、セキュリティに対する多層的なアプローチの必要性を繰り返し立証しています。
Aryakaのセキュリティに対するアプローチは、オープンでわかりやすいものです:まず、セキュリティには基礎的な側面があります。
ブランチでは、基本的なステートフル・ファイアウォールが必要であり、ポリシーベースのセグメンテーションが必要です。
私たちはこの2つの機能をブランチ・デバイスであるANAP(Aryaka Network Access Point)に統合しています。
この機能をAryaka Zonesと呼び、無料の基本機能としてANAPに搭載しています。
Zonesは、基本的なアクセス・セキュリティのためのステートフル・ファイアウォールを提供し、ブランチを外界からセグメンテーションします。
さらにZonesでは、ポリシーに基づいてトラフィックを厳密に内部分割します。これは通常、パブリックインターネット(ゲストWiFi、コンシューマ向けアプリなど)、クラウドセキュリティ、DMZ、企業トラフィックの厳格な分離を意味します。
Aryakaのポリシーは、1つの支店で最大32のゾーンに柔軟に対応できます。
Aryakaゾーンは東西のセグメンテーションだけでなく、ブランチ内またはブランチをまたがるセグメント間の制限されたセキュアな通信を実施するためにも活用できます。 第二に、AryakaはZscaler、Palo Alto Networks、Symantecなどのクラウドセキュリティのリーダーと提携し、選択肢の提供と容易な統合を実現しています。
しかし、アーキテクチャの実現に話を戻します:VLANベースのセグメンテーションは素晴らしいですが、VRF(Virtual Routing and Forwarding)と呼ばれるレイヤ3でのセグメンテーションを必要とするアプリケーションケースも多くあります。
VRFによるレイヤ3セグメンテーションの典型的なユースケースはマルチテナントです。
この機能はANAPにも含まれています。
アーキテクチャ的には、マルチレイヤーのセグメンテーションを実装し、包括的なポリシー・フレームワークをサポートする場合、マイクロ・セグメンテーション・アーキテクチャをサポートすることになります。
しかし、聞いてください:Aryakaは、いわゆるゼロ・トラスト・セキュリティのアプローチをサポートするマイクロセグメンテーション・ソリューションのスタック全体を提供しているわけではありません。
Aryakaは、L2およびL3においてアーキテクチャの有効化を提供します。
L2/3の基盤となるマイクロ・セグメンテーション機能を、いわゆるゼロ・トラストの姿勢を実現するための包括的なフレームワークに結びつけるための、より高いレベルの、業界のデファクト・スタンダードとなるアイデンティティとポリシーのフレームワークがあります。
マイクロセグメンテーションとゼロトラストは切っても切り離せないものであり、一方を語るとすぐに、業界の識者はもう一方について質問してきます。
では、ゼロトラストとは何でしょうか?
最近多くのことがそうであるように、業界標準はありません:ゼロ・トラストとは、身元が確認されない限り、何も、誰も企業内に入れることを許さないセキュリティ姿勢のことで、アクセスが許可されると、ポリシーによってネットワーク内の選ばれたいくつかのマイクロセグメントにマッピングされます。
ゼロ・トラストは、IPネットワークが可能にしたユニバーサル・コネクティビティの前提に対する対抗策であると言えます。
IPのユニバーサル・コネクティビティ・スタックは産業革命を可能にしましたが、そのユニバーサル・コネクティビティが仇となりました。
その結果、私たちはユニバーサル・コネクティビティを否定し始めました。
ファイアウォールが最初に登場しました。
次に侵入検知。
統合脅威管理がその次でした。
しかし、考えてみれば、これらはすべて受動的な防御態勢です。
ゼロ・トラストは、エンタープライズ・セキュリティ・アーキテクチャにおける破壊的で攻撃的な動きを象徴しています。
ゼロトラストアーキテクチャについてもう1つ。スタックに関わるすべてのテクノロジーベンダーが非常にオープンなアプローチを取る必要があるのは明らかです。
単一の自社セキュリティソリューションを提唱する SD-WAN ベンダーは、エンタープライズセキュリティの方向性を見落としていることは明らかです。
まとめるとAryakaの多層セキュリティへのオープンなアプローチは、企業が好む選択肢を提供し、ゼロトラストセキュリティの新たな姿勢が基礎的なイネーブラとして必要とするものです。