Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

SASEアーキテクチャのご紹介


SASEは、ネットワークとセキュリティの両機能を単一サービスのクラウドネイティブなアーキテクチャに集約し、セキュリティの焦点をトラフィックフロー中心からアイデンティティ中心に移すものです。SASEは、グローバルなネットワークファブリックにセキュリティが埋め込まれたテクノロジーパッケージであり、ユーザーの場所、アクセスするアプリケーションやリソースの場所、あるいはユーザーとリソースを結ぶトランスポート技術の組み合わせに関係なく、常に利用可能です。

SASEでは、ユーザーのアイデンティティとコンテキストに基づいて、ユビキタスでダイレクトなクライアント-クラウド間のセキュリティを、最適なクライアント-クラウド間のWANルーティングと完全に統合することができます。これによって、ソフトウェア定義ペリメータ(SDP)のエッジに沿って、セキュリティの組み込みと最適なパフォーマンスを提供する、柔軟でスケーラブルなネットワークアーキテクチャを実現されます。

SASE Identity Architecture
SASE ― ネットワークアーキテクチャとセキュリティアーキテクチャの融合と逆転

SASEのハイレベルアーキテクチャ


ガートナーが表現したSASEのアーキテクチャでは、SASEのコア部分は以下のように構成されています。

  1. ユーザー、デバイス、アプリケーション、リソース、および
  2. それらの間のアクセスを管理するアイデンティティ、リスク、役割、プロファイル、権限、ポリシー

このコアを囲むように存在しているのが、コアエンティティを安全に接続するために必要なすべてのセキュリティおよびネットワーク技術で構成されたSASEの外層であるソフトウェア定義ペリメータ(SDP)です。SDPは、固定された場所、地理、物理的なネットワークゾーン、IPアドレスや建物に合わせた従来のネットワークアーキテクチャのような固定された境界線ではなく、コアエンティティ間の一時的な接続を追跡します。

SDPの定義と保護には、5つのSASEコンポーネントが関わっています。これらのコンポーネントは、必要に応じて使用されるもの(NGFW、SWG、CASBなど)や、SASEのファブリックに不可欠の基本的な機能(SD-WANやZTNAなど)が含まれます。

  • Secure SD-WAN
  • セキュアウェブゲートウェイ (SWG)
  • クラウドアクセスセキュリティブローカー(CASB)
  • ゼロトラストネットワークアクセス(ZTNA)
  • ファイアウォール:NGFWとFWaaS(サービスとしてのファイアウォール)

SD-WANアーキテクチャ

SD-WANアーキテクチャにより、企業はインターネットへの直接接続を利用して、クライアントからクラウドへのワークフローを実現することができます。


従来型WANアーキテクチャ
従来型WANのアーキテクチャ

従来型WANアーキテクチャでは、インターネットを(もし使用していたとしても)、オフプレミスのユーザーと本社やデータセンターの拠点との間で、VPN技術で保護されたポイントツーポイントの接続としてのみ使用していました。そこから、セキュリティとポリシーが適用され、トラフィックはクラウドの宛先にルーティングされます。この設計には、遅延と拡張性の問題があります。

SD-WANのアーキテクチャ
SD-WANのアーキテクチャ

SD-WANアーキテクチャは、SDN(ソフトウェア定義ネットワーキング)の原理に基づいており、インターネットをメッシュ状のバックボーントランスポートとして利用し、データセンターやクラウドの宛先に、すべてのWFA(Work-from-Anywhere)ユーザーが等しく直接アクセスできるようにします。この設計では、遅延を最小限に抑え、スケーラビリティを最適化しますが、「オンプレミス」や「オフプレミス」という言葉が意味をなさなくなったこの環境では、"Any-to-Any"の接続でセキュリティを実現するためにSASEが必要となります。

SDPアーキテクチャ

SDPのコンセプトは、2007年に米国国防情報システム局(DISA)が提唱した「ネットワークの固定された境界線内のすべてを信頼するのではなく、知る必要のある人だけに接続を制限する」というモデルに基づいています。2013年、クラウドセキュリティアライアンス(CSA)のSDPワーキンググループは、企業が広く利用できる安全性の高い、信頼できるエンドツーエンドのネットワークを構築するために、SDPを普及させました。

  • 米国国立標準技術研究所(NIST)の規格
  • 場所を問わずホスト間の安全なアクセスを促進するゼロトラストの原則

SDNアーキテクチャの基本的な特性は、制御、データ、および管理プレーンの分離です。この分離によって、ネットワーク内のSD-WANとSDPの両方のコントロールプレーンを制御することができ、その結果、同じソフトウェア制御コンポーネントでSD-WANとSD-セキュリティの両方を実装することができるのです。

ソフトウェア定義ペリメータのアーキテクチャ

SWGアーキテクチャ

SWGは、悪意のあるウェブトラフィックによるアクセスや感染、マルウェアやウイルスを含むハイジャックされたウェブサイトによる汚染から、企業やユーザーを保護します。

SWGは、ユーザー、デバイス、場所のコンテキストに基づいて、アプリケーションのポリシーを評価し、アイデンティティのコンテキストに基づいてポリシーが要求を許可する場合にのみ、アクセスを許可します。

ファイアウォールは
パケット単位で判断する
終端なし、
ストリームスキャンのみ
SWGs - プロキシは
クライアントから完全なリクエストを受信してから判断を下す
セッション終了、
ポリシーの適用

CASBアーキテクチャ

CASBは、ユーザーとデバイスの双方に対して、複数のクラウドサービスで同時にポリシーとガバナンスを施行するための中心的な場所になるとともに、ユーザーの活動やセンシティブなデータを詳細に可視化し、制御することができます。CASBには、APIモードとプロキシモードの2つの展開方法があります。

APIモード
プロキシモード

ZTNAアーキテクチャ

ZTNAは、SDPアーキテクチャの基盤です。ZTNAの本質は、何も信用せず、すべてのアクセス試行をアイデンティティとコンテキストに基づいて認証することです。SASEアーキテクチャにおけるZTNAの主な機能は、多要素認証(MFA)と組み合わせた高度なコンテキストおよびロールベースのアイデンティティを使用して、アプリケーションにユーザーを認証することです。

無料の電子ブック

SASE
For Dummies(SASE入門)

ベストプラクティスと実際の顧客への導入、そしてSASEを導入した組織にもたらされるメリットなど、SASEのビジネス・技術的背景に関する説明が含まれています。