SASE 入門アーキテクチャ

SASE 、ネットワーキングとセキュリティの両機能を単一サービスのクラウド・ネイティブ・プラットフォームに収束させるアーキテクチャ・モデルであり、セキュリティの焦点をトラフィック・フロー中心からアイデンティティ中心へとシフトさせる。SASE 、セキュリティをネットワークのグローバルなファブリックに組み込む技術パッケージを包含しており、ユーザーがどこにいても、アクセスされるアプリケーションやリソースがどこにあっても、ユーザーとリソースを接続するトランスポート技術の組み合わせに関係なく、常に利用可能です。

SASE 、最適なクライアント間WANルーティングと完全に統合された、ユーザーIDとコンテキストに基づくユビキタスかつ直接的なクライアント間セキュリティを実現します。これにより、SDP(Software-Defined Perimeter:ソフトウェア定義境界)エッジに沿って、組み込みセキュリティと最適なパフォーマンスを提供する柔軟でスケーラブルなネットワーク・アーキテクチャ 実現します。

SASE Identityアーキテクチャ
SASE- ネットワークとセキュリティアーキテクチャの融合と反転
SASE アーキテクチャ

ハイレベルSASE アーキテクチャ

ガートナー社のSASE アーキテクチャ表現では、SASE コアは以下のように構成されている:

  1. ユーザー、デバイス、アプリケーション、リソース、および
  2. アイデンティティ、リスク、役割、プロファイル、権限、およびそれらの間のアクセスを管理するポリシー

このコアを取り囲むのが、コアエンティティを安全に接続するために必要なすべてのセキュリティとネットワーキング技術で構成される外側のSASE レイヤであるSoftware-Defined Perimeter (SDP)である。SDPは、固定された場所、地理、物理的なネットワークゾーン、IPアドレスや建物に沿った従来のネットワークアーキテクチャのハードな境界線に従うのではなく、コアエンティティ間の一時的な接続を追跡する。

SASE 定義と保護には、5つのSASE コンポーネントが関与している。これらのコンポーネントは、必要なときに接続に関与するか(NGFW、SWG、CASBなど)、SASE ファブリックに不可欠な基本機能である(SD-WANやZTNAなど)。

  • セキュアなSD-WAN
  • セキュア・ウェブ・ゲートウェイ(SWG)
  • クラウド・アクセス・セキュリティ・ブローカー(CASB)
  • ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
  • ファイアウォールNGFWとファイアウォール・アズ・ア・サービス(FWaaS)

SD-WANアーキテクチャ

SD-WANアーキテクチャにより、企業はインターネットへの直接接続を活用し、クライアントからクラウドへのワークフローを実現できるようになった。

従来のWANアーキテクチャ

従来のWANアーキテクチャ

従来のWANアーキテクチャでは、インターネットを(使用するとしても)純粋にVPN技術で保護されたポイント・ツー・ポイント接続として、オフプレムのユーザーと本社またはデータセンターの間で使用します。そこからセキュリティとポリシーが適用され、トラフィックはクラウドの宛先にルーティングされる。この設計では、レイテンシーとスケーラビリティに問題がある。

SD-WANアーキテクチャ

SD-WANアーキテクチャ

SD-WANアーキテクチャはSoftware-Defined Networking (SDN)の原則に基づき、インターネットをメッシュ化されたバックボーン・トランスポートとして利用し、データセンターやクラウドの接続先にはWork-from-Anywhere (WFA)のユーザが等しく直接アクセスできる。この設計は、レイテンシーを最小化し、スケーラビリティを最適化しますが、「オンプレミス」と「オフプレミス」という用語が意味をなさなくなったこのany-to-any接続の環境において、セキュリティの実施を可能にするためにSASE 必要となります。

SDPアーキテクチャ

SDP のコンセプトは、ネットワークの固定された境界内のすべてを信頼するのではなく、知る必要のあるものだけに接続を制限するという、2007 年の国防情報システム局(DISA)のモデルを参考にしている。2013年、クラウドセキュリティアライアンス(CSA)のSDPワーキンググループは、SDPを広範な企業利用を目的とした、高度にセキュアで信頼できるエンドツーエンドのネットワークを構築するために普及させた:

  • 米国国立標準技術研究所(NIST)の規格
  • 場所に関係なくホスト間の安全なアクセスを促進するゼロ・トラスト原則

SDNアーキテクチャ 基本的な属性は制御、データ、管理プレーンの分離である。この分離はネットワークの SD-WAN と SDP のコントロールプレーンの両方をコントロールすることを可能にし、その結果、同じソフトウェアコントロールコンポーネントで SD-WAN と SD-security の両方を実装することを可能にする。

ソフトウェア・デファインド・ペリメーターアーキテクチャ

 

SWGアーキテクチャ

SWGは、悪意のあるウェブトラフィックによるアクセスや感染、マルウェアやウイルスを含むハイジャックされたウェブサイトによる汚染から企業やユーザーを保護する。

ユーザー、デバイス、および場所のコンテキストに基づいて、SWGはアプリケーショ ン・ポリシーを評価し、アイデンティティ・コンテキストに基づいてポリシーがリクエ ストを許可する場合にのみ、アクセスを許可する。

ファイアウォール

パケット単位で判断を下す

終端なし、
ストリームスキャンのみ
SWG - プロキシ

クライアントから完全なリクエストを受け取ってから決定を下す。

セッション終了、
ポリシー実施

CASBアーキテクチャ

CASBは、ユーザーとデバイスの両方に対して、複数のクラウドサービスを同時に利用するためのポリシーとガバナンスの中心的な場所を提供し、ユーザーのアクティビティと機密データに対するきめ細かな可視化とコントロールを実現する。CASBには、APIモードとプロキシモードの2つの導入オプションがある。

APIモード

プロキシモード

ZTNAアーキテクチャ

ZTNAはSDPアーキテクチャ基礎としている。ZTNAの本質は、何も信用せず、IDおよびコンテキストに基づいてすべての アクセス試行を認証することである。SASE アーキテクチャ ZTNAの主な機能は、多要素認証(MFA)と組み合わ せた高度なコンテキストおよびロールベースのIDを使用して、ユーザーをアプリケーションに認証す ることである。

 

無料電子書籍

SASE For Dummies

ベストプラクティス、実際の顧客のデプロイメント、SASE 有効な組織で得られるメリットなど、SASE ビジネスと技術的背景を学びます。

電子ブックを入手する

さらに詳しく

SASE (Secure Access Service Edge)、ネットワーキング、セキュリティ、SD-WAN、クラウドに関する調査、分析、情報を業界のソートリーダー、アナリスト、専門家が提供します。

 

 

オンデマンド・ウェビナー60分

セキュアアクセスサービスエッジSASE

セキュア・アクセス・サービス・エッジ(SASE)は、サイバーセキュリティの新たなコンセプトです。このビデオでは、SASE 主な機能が、拡大するネットワークのスプロール化の要求と、ビジネスのデジタル変革の課題にどのように対処するかを理解できます。

 

 

 

10分08秒 動画

Versa Networks SD-WANとセキュリティのデモ

Versaの用語、デバイスのオンボーディング、アプリケーション・サービス・テンプレート、セキュリティ、トラブルシューティングの基本を提供する包括的なデモンストレーションです。

 

 

 

オンデマンド・ウェビナー60分

包括的な統合セキュリティ

包括的な統合セキュリティ・アーキテクチャ 、脅威からの保護、パフォーマンス、アプリケーション・エクスペリエンスをいかに飛躍的に向上させるかをご覧ください。