Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.



SASEの主な構成要素とは?

SASEは、SD-WANネットワークと組み込み型セキュリティ機能をクラウドネイティブな方法で組み合わせ、セキュリティの焦点をトラフィックフロー中心からアイデンティティ中心へと移行させます。

これまでのネットワークアーキテクチャでは、特定のネットワークポリシー施行点を設定し、トラフィックを強制的にルーティングしていましたが、セキュリティチェックを実施するために、非常に非効率なアグリゲーションポイントやボトルネックが発生することが多々ありました。SASEアプローチはこれとは正反対で、トラフィックが流れている場所、つまりクライアントやアプリケーションのエンドポイントや、すでに確立された最も効率的なパスに沿って戦略的に配置されたゲートウェイやプロキシでセキュリティチェックを実施します。

SASEでは、ユーザーのアイデンティティとコンテキストに基づいて、ユビキタスでダイレクトなクライアント-クラウド間のセキュリティを、最適なクライアント-クラウド間のWANルーティングと完全に統合することができます。これによって、ソフトウェア定義ペリメータ(SDP)のエッジに沿って、セキュリティの組み込みと最適なパフォーマンスを提供する、柔軟でスケーラブルなネットワークアーキテクチャを実現されます。

SASEを構成する4つの要素

リソースやアプリケーションにアクセスするためのユーザーセッションを管理するセキュリティポリシーは、ユーザー、デバイス、リソースの場所とは切り離され、それらに代わって4つの要素に基づいています。

  1. アクセスを要求するエンティティのアイデンティティ
  2. セッションコンテキスト(例えば、ユーザーやデバイスの健全性や挙動、アクセスするリソースの機密性など)
  3. 特定の状況下でアクセス権限を与えるセキュリティおよびコンプライアンスポリシー
  4. 各セッションの継続的な分析とリスク評価

SASE接続ファブリック

SASEは、パブリッククラウドやプライベートクラウド、データセンター、民間企業や政府のネットワーク、インターネット、大規模オフィス、支店、ホームオフィス、モバイルや一時的サイト、モバイルユーザー、WFA(Work-from-Anywhere)ユーザー、モバイルデバイス、BYOD、IoT、オンプレミスやオフプレミスの拠点など、SDPクライアントとサービスエッジ間のセキュアな接続ファブリックを提供します。

SASEは、個人、デバイス、アプリケーション、サービスのアイデンティティと、それらが相互に接続しているコンテキストに基づいて、アクセスを予測します。SASEは、WFAのユーザーがどこにいようと、またその間のトランスポート技術やトランスポートネットワークの所有権に関係なく、すべてのアプリケーションやデータへのアクセスを提供します。

SASEの機能と属性

SASEの代表的なソリューションは、以下のような特徴を持つ、純粋なソフトウェアドリブンのソリューションです:


アイデンティティ
  • セッション毎のアイデンティティに基づくアクセス
  • すべてのアクセス試行に対するエンタープライズグレードの認証
アーキテクチャとトランスポート
  • クラウドネイティブなアーキテクチャ
  • SDPに沿ったすべてのエッジタイプをサポート
  • トランスポートからの独立性:有線、無線、携帯電話のいずれのインターネットアクセスも利用可能
  • 最適化されたルーティングパスインテリジェンスによるグローバルに分散化したSD-WANフットプリント
  • クライアント-クラウド間の安全な接続を実現
  • 暗号化されたトラフィック分析
  • 企業の認証方法とシームレスに統合できるセキュリティ機能を備えたグローバルに分散したゲートウェイとプロキシ
  • マルチテナントの分離
  • すべてのリソースとアセットへのマイクロセグメント化されたアクセス
ポリシードリブン
  • 場所を問わず、すべてのユーザー、デバイス、リソースに対するゼロトラストアプローチ
  • ユーザーがどこにいるか、どのデバイスを使用しているか、どのアセットにアクセスしているか、または資産がどこにあるかに関わらず、セッション毎に分散した一貫した会社セキュリティポリシーを実施
  • 最小限の特権、知る必要があること、アプリケーションアウェアアクセス
オーケストレーションと可視性
  • 継続的な診断とリスクの緩和(CDM)の実現
  • リスクと信頼の継続的な評価とモニタリング
  • 機械学習と人工知能(ML/AI)を活用した高度な分析とリスク評価
  • ユーザー、アプリケーション、リスクの包括的な可視化と制御

SASEのコンポーネント

SASEは、ネットワークとセキュリティの両方の機能を単一サービスのクラウドネイティブモデルに集約したもので、いくつかの異なるコンポーネントが含まれています。

SASEは単なる技術ではなく、ネットワークのグローバルファブリックにセキュリティを組み込む技術のパッケージであり、ユーザーがどこにいても、アクセスするアプリケーションやリソースがどこにあっても、またユーザーとリソースを結びつけるトランスポート技術の組み合わせが何であっても、常に利用できる存在です。


ソフトウェア定義のWAN(SD-WAN)

Secure SD-WANテクノロジーは、クライアントからクラウドへのネットワークアーキテクチャにおいて、最適なパフォーマンスとインテリジェントなルーティングを可能にすることで、SASEソリューションの基盤となります。主な機能は以下の通りです:

  • セキュアなトラフィックのオンランプとオフランプ
  • マルチクラウド対応
  • 埋込み型UTMセキュリティ機能
  • インターネットベースのバックボーンの活用
  • どこからでもアクセスできるトラフィックルーティング
  • DIA、ダイレクトクラウドアクセス、インテリジェントトラフィックステアリング
  • 一貫したユーザーエクスペリエンスを最適化するパス選択
  • インラインでの暗号化
  • 高度なルーティングとダイナミックなパス選択
  • アプリケーションアウェアネスとトラフィックの分類
  • グローバルに分散されたゲートウェイ
  • レイテンシーの最適化
  • 自己修復型ネットワーク機能

ファイアウォール:NGFWとFWaaS(サービスとしてのファイアウォール)

クラウドベースの次世代ファイアウォール(NGFW)は、アプリケーションを意識したスケーラブルなソフトウェアソリューションであり、企業は従来のアプライアンスベースのソリューションの課題を解消し、UTM機能をフルセットで提供することができます。NGFWソリューションは、ステートフルファイアウォールを超えて、高度な脅威対策、ウェブやネットワークの可視化、脅威インテリジェンス、アクセス制御などの機能を提供します。企業はNGFWの展開に最低限、次のようなことを期待しています。

  • ユーザーおよびアプリケーションのアクセス制御
  • 侵入検知・防御
  • 高度なマルウェア検知
  • 脅威とネットワークインテリジェンス
  • 自動化とオーケストレーション

Secure Web Gateway (SWG)

SWGは、ウェブを閲覧するユーザーのデバイスを不要なソフトウェアやマルウェアの感染から守り、企業や規制当局のポリシーに準拠させることで、インターネット上の脅威からWFAのユーザーやデバイスを保護します。SWGには以下の機能が含まれています。

  • インターネットセキュリティおよびコンプライアンスポリシーの施行
  • URLフィルタリング、ウイルス対策、マルウェア対策、IDS/IPS、ゼロデイ攻撃対策、フィッシング対策などのUTM機能による悪意のあるインターネットトラフィックのフィルタリング
  • アプリケーションの識別と制御機能
  • データ損失/漏洩防止(DLP)機能
  • RBI(Remote Browser Isolation)は、ユーザーセッションのリスクをスキャンすることで、ユーザーが今日の厳しい脅威環境の中でも安全にナビゲートできるようにします。リスクのあるウェブサイトはリモートブラウザ上でレンダリングされ、サニタイズされたページ(主に画像ファイル)はユーザーのブラウザ上でレンダリングされます。RBIは、匿名でのブラウジングやインターネットサイトへのリスクのないオープンアクセスを可能にします。

SWGは、オンプレミスのハードウェア、仮想アプライアンス、クラウドベースのサービス、またはオンプレミスとクラウドを組み合わせたハイブリッドモードで展開することができます。

クラウドアクセスセキュリティブローカー(CASB)

CASBは、企業がクラウドサービスを利用する際のセキュリティ上の問題を解決するための製品やサービスを提供します。CASBは、採用が進むクラウドサービスや、クラウド間の直接アクセスの拡大に伴うセキュリティの必要性を満たします。CASBは、ユーザーとデバイスの双方に対して、複数のクラウドサービスで同時にポリシーとガバナンスを施行するための中心的な場所になるとともに、ユーザーの活動やセンシティブなデータを詳細に可視化し、制御することができます。

CASBは、以下の5つの重要なセキュリティ機能を提供します。

  • クラウドアプリケーションの発見
  • データセキュリティ
  • 適応型アクセス制御
  • マルウェア検知
  • UEBA(ユーザーとエンティティの行動分析) ― クラウドサービスとの間のトラフィックの通常とは異なる行動パターンに基づいてポリシーを実施する機能。

CASBは、オンプレミスまたはクラウドベースのセキュリティポリシー実行点であり、クラウドサービスコンシューマーとクラウドサービスプロバイダーの間に設置され、クラウドベースのデータやアプリケーションへのアクセス時に企業のセキュリティポリシーを適用します。

ゼロトラストネットワークアクセス(ZTNA)

ZTNAは、ユーザー、デバイス、データ、ワークロード、ロケーション、ネットワークなど、信頼できるものは何もないという前提に基づいた、複数のテクノロジーからなるフレームワークです。SASEソリューションにおけるZTNAの主な機能は、アプリケーションに対するユーザー認証です。高度なコンテキストとロールベースのアイデンティティと多要素認証(MFA)の組み合わせは、ネットワーク内外からのユーザーおよびデバイスのアクセスを保護するために不可欠です。

ZTNAの実装には以下の2つの一般的なモデルがあります:

クライアント主導型のZTNA

デバイスにインストールされたソフトウェアエージェントが、セキュリティコンテキストと認証情報をSDPコントローラに送信して認証を行います。このモデルは、マネージドデバイスに適しています。

サービス主導型のZTNA

アプリケーションと一緒にインストールされたSDP(またはZTNA)コネクタは、クラウドプロバイダへのアウトバウンド接続を確立し、維持します。ユーザーは、保護されたアプリケーションにアクセスする際には、プロバイダーへの認証を求められます。このモデルは、エンドデバイスに特別なソフトウェアが必要とされないため、非マネージドデバイスに適しています。

無料の電子ブック

SASE
For Dummies(SASE入門)

ベストプラクティスと実際の顧客への導入、そしてSASEを導入した組織にもたらされるメリットなど、SASEのビジネス・技術的背景に関する説明が含まれています。