SASE 入門アーキテクチャ

SASE 、ネットワーキングとセキュリティの両機能を単一サービスのクラウド・ネイティブ・プラットフォームに収束させるアーキテクチャ・モデルであり、セキュリティの焦点をトラフィック・フロー中心からアイデンティティ中心へとシフトさせる。SASE 、セキュリティをネットワークのグローバルなファブリックに組み込む技術パッケージを包含しており、ユーザーがどこにいても、アクセスされるアプリケーションやリソースがどこにあっても、ユーザーとリソースを接続するトランスポート技術の組み合わせに関係なく、常に利用可能です。

SASE 、最適なクライアント間WANルーティングと完全に統合された、ユーザーIDとコンテキストに基づくユビキタスかつ直接的なクライアント間セキュリティを実現します。これにより、SDP(Software-Defined Perimeter:ソフトウェア定義境界)エッジに沿って、組み込みセキュリティと最適なパフォーマンスを提供する柔軟でスケーラブルなネットワーク・アーキテクチャ 実現します。

ハイレベルSASE アーキテクチャ

ガートナー社のSASE アーキテクチャ表現では、SASE コアは以下のように構成されている:

  1. ユーザー、デバイス、アプリケーション、リソース、および
  2. アイデンティティ、リスク、役割、プロファイル、権限、およびそれらの間のアクセスを管理するポリシー

このコアを取り囲むのが、コアエンティティを安全に接続するために必要なすべてのセキュリティとネットワーキング技術で構成される外側のSASE レイヤであるSoftware-Defined Perimeter (SDP)である。SDPは、固定された場所、地理、物理的なネットワークゾーン、IPアドレスや建物に沿った従来のネットワークアーキテクチャのハードな境界線に従うのではなく、コアエンティティ間の一時的な接続を追跡する。

SASE 定義と保護には、5つのSASE コンポーネントが関与している。これらのコンポーネントは、必要なときに接続に関与するか(NGFW、SWG、CASBなど)、SASE ファブリックに不可欠な基本機能である(SD-WANやZTNAなど)。

  • セキュアSD-WAN
  • セキュア・ウェブ・ゲートウェイ(SWG)
  • クラウド・アクセス・セキュリティ・ブローカー(CASB)
  • ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
  • ファイアウォールNGFWとファイアウォール・アズ・ア・サービス(FWaaS)
SASE アーキテクチャ
SASE アーキテクチャ
SASE ネットワークおよびセキュリティ・アーキテクチャの融合と逆転

SD-WANアーキテクチャ

SD-WANアーキテクチャにより、企業はインターネットへの直接接続を活用し、クライアントからクラウドへのワークフローを実現できるようになった。

従来のWANアーキテクチャ

従来のWANアーキテクチャでは、インターネットを(使用するとしても)純粋にVPN技術で保護されたポイント・ツー・ポイント接続として、オフプレムのユーザーと本社またはデータセンターの間で使用します。そこからセキュリティとポリシーが適用され、トラフィックはクラウドの宛先にルーティングされる。この設計では、レイテンシーとスケーラビリティに問題がある。

従来のWANアーキテクチャ
従来のWANアーキテクチャ

SD-WANアーキテクチャ

SD-WANアーキテクチャはSoftware-Defined Networking (SDN)の原則に基づき、インターネットをメッシュ化されたバックボーン・トランスポートとして利用し、データセンターやクラウドの接続先にはWork-from-Anywhere (WFA)のユーザが等しく直接アクセスできる。この設計は、レイテンシーを最小化し、スケーラビリティを最適化しますが、「オンプレミス」と「オフプレミス」という用語が意味をなさなくなったこのany-to-any接続の環境において、セキュリティの実施を可能にするためにSASE 必要となります。

イラスト:伝統的 vs
SD-WANアーキテクチャ

SDPアーキテクチャ

SDP のコンセプトは、ネットワークの固定された境界内のすべてを信頼するのではなく、知る必要のあるものだけに接続を制限するという、2007 年の国防情報システム局(DISA)のモデルを参考にしている。2013年、クラウドセキュリティアライアンス(CSA)のSDPワーキンググループは、SDPを広範な企業利用を目的とした、高度にセキュアで信頼できるエンドツーエンドのネットワークを構築するために普及させた:

  • 米国国立標準技術研究所(NIST)の規格
  • 場所に関係なくホスト間の安全なアクセスを促進するゼロ・トラスト原則

SDNアーキテクチャ 基本的な属性は制御、データ、管理プレーンの分離である。この分離はネットワークの SD-WAN と SDP のコントロールプレーンの両方をコントロールすることを可能にし、その結果、同じソフトウェアコントロールコンポーネントで SD-WAN と SD-security の両方を実装することを可能にする。

SDPアーキテクチャ
ソフトウェア・デファインド・ペリメーターアーキテクチャ

SWGアーキテクチャ

SWGは、悪意のあるWebトラフィックによるアクセスや感染、およびマルウェアやウイルスを含む乗っ取られたWebサイトによる汚染から、企業やユーザーを保護します。

ユーザー、デバイス、および場所のコンテキストに基づいて、SWGはアプリケーショ ン・ポリシーを評価し、アイデンティティ・コンテキストに基づいてポリシーがリクエ ストを許可する場合にのみ、アクセスを許可する。

ファイアウォール

パケットごとに判断を行う

アーキテクチャ
切断なし、ストリームスキャンのみ

SWG - プロキシ

決定を下す前に、クライアントから完全な依頼内容を受け取る

アーキテクチャ
セッションの終了、ポリシーの適用

CASBアーキテクチャ

CASBは、ユーザーとデバイスの双方を対象に、複数のクラウドサービスにわたるポリシーとガバナンスを一元的に管理する場を提供するとともに、ユーザー活動や機密データに対するきめ細かな可視性と制御機能を提供します。CASBには、APIモードとプロキシモードの2つの導入オプションがあります。

APIモード

アーキテクチャ

プロキシモード

アーキテクチャ

ZTNAアーキテクチャ

ZTNAアーキテクチャとなっています。ZTNAの本質は、何も信頼せず、すべてのアクセス試行をIDとコンテキストに基づいて認証することにあります。アーキテクチャ SASE ZTNAの主な機能アーキテクチャ 高度なコンテキストおよびロールベースのID認証と多要素認証(MFA)を組み合わせて、アプリケーションへのユーザー認証アーキテクチャ 。

ZTNAアーキテクチャ

無料電子書籍

SASE For Dummies

SASE のビジネス的・技術的背景について学びましょう。SASE ベストプラクティス、実際の顧客導入事例、そしてSASE 組織が得るメリットSASE 。

電子ブックを入手する
SASE 』

さらに詳しく

SASE (Secure Access Service Edge)、ネットワーキング、セキュリティ、SD-WAN、クラウドに関する調査、分析、情報を業界のソートリーダー、アナリスト、専門家が提供します。

オンデマンド・ウェビナー60分

セキュアアクセスサービスエッジSASE

セキュア・アクセス・サービス・エッジ(SASE)は、サイバーセキュリティの新たなコンセプトです。このビデオでは、SASE 主な機能が、拡大するネットワークのスプロール化の要求と、ビジネスのデジタル変革の課題にどのように対処するかを理解できます。

さらに詳しく

10分08秒 動画

Versa Networks およびセキュリティ デモ

Versa 、デバイスのオンボーディング、アプリケーションサービステンプレート、セキュリティ、トラブルシューティングについて包括的に説明するデモンストレーションです。

さらに詳しく

オンデマンド・ウェビナー60分

包括的な統合セキュリティ

包括的な統合セキュリティ・アーキテクチャ 、脅威からの保護、パフォーマンス、アプリケーション・エクスペリエンスをいかに飛躍的に向上させるかをご覧ください。

さらに詳しく