SASE 主なコンポーネントは何ですか?

SASE SD-WANネットワーキングと組み込みセキュリティ機能をクラウドネイティブな方法で組み合わせ、セキュリティの焦点をトラフィックフロー中心からアイデンティティ中心へとシフトさせる。

過去のネットワーク・アーキテクチャは、特定のネットワーク・ポリシー実施ポイントを設計し、セキュリティ・チェックを実施するために、これらのポイントを通してトラフィックを強制的にルーティングしていました。SASEアプローチは正反対で、トラフィックの流れがある場所、つまりクライアントやアプリケーションのエンドポイント、そして既に確立された最も効率的なパスに沿って戦略的に配置されたゲートウェイやプロキシにセキュリティの実施を行います。

SASEは、ユーザーのアイデンティティとコンテキストに基づくユビキタスかつダイレクトなクライアント・ツー・クラウド・セキュリティを、最適なクライアント・ツー・クラウドWANルーティングと完全に統合することができます。これにより、SDP(Software-Defined Perimeter)エッジに沿って、組み込みセキュリティと最適なパフォーマンスを提供する柔軟でスケーラブルなネットワーク・アーキテクチャ 実現します。

SASE 基礎となる4つの要素

リソースやアプリケーションにアクセスするためのユーザーセッションを管理するセキュリティポリシーは、ユーザー、デバイス、リソースの場所から切り離され、代わりに4つの要因に基づいている:

  1. アクセスを要求するエンティティの身元
  2. セッションコンテキスト(例えば、ユーザーおよび/またはデバイスの健康状態や動作、またはアクセスされるリソースの機密性など)
  3. 特定の状況ごとにアクセス権限を付与するセキュリティおよびコンプライアンスポリシー
  4. 各セッションの継続的な分析とリスク評価

SASE コネクティング・ファブリック

SASE 、パブリッククラウドやプライベートクラウド、データセンター、民間企業や政府機関のネットワーク、インターネット、大規模オフィス、支店、ホームオフィス、モバイルサイトや臨時サイト、モバイルユーザー、Work-from-Anywhere(WFA)ユーザー、モバイルデバイス、BYOD、IoT、オンプレミス、オフプレミスを含む、SDPクライアントとサービスエッジ間のセキュアな接続ファブリックを提供します。

SASE 、個人、デバイス、アプリケーション、またはサービスのアイデンティティと、それらが互いに接続しているコンテキストに基づいてアクセスを決定します。SASE 、ユーザがどこにいても、その間のトランスポート技術やトランスポートネットワークの所有権に関係なく、WFAユーザに全てのアプリケーションやデータへのアクセスを提供します。

SASE能力と特徴

主要なSASE ソリューションとは、以下のような特徴を持つ、純粋にソフトウェア主導のソリューションである:

アイデンティティ
  • セッションごとのIDベースのアクセス
  • すべてのアクセス試行に対するエンタープライズグレードの認証
アーキテクチャと輸送
  • アーキテクチャ
  • SDPに沿ったすべてのエッジタイプをサポート
  • 輸送の独立性:利用可能な有線、無線、携帯電話によるインターネットアクセス
  • 最適化されたルーティング・パス・インテリジェンスを備えたグローバルに分散されたSD-WANフットプリント
  • クライアントからクラウドへのセキュアな接続が可能
  • 暗号化されたトラフィック分析
  • 企業の認証方法とシームレスに統合するセキュリティを組み込んだ、グローバルに分散されたゲートウェイとプロキシ
  • マルチテナントの分離
  • すべてのリソースと資産へのマイクロセグメント化されたアクセス
政策主導
  • 場所に依存しない、すべてのユーザー、デバイス、リソースに対するゼロ・トラスト・アプローチ
  • ユーザーがどこにいるのか、どのデバイスを使用しているのか、どの資産にアクセスしているのか、資産はどこにあるのかに関係なく、セッションごとに分散された一貫性のあるコーポレート・セキュリティ・ポリシーが適用されます。
  • 最小特権、知る必要性、アプリケーションを意識したアクセス
オーケストレーションと可視化
  • 継続的な診断と軽減(CDM)が可能
  • リスクと信頼の継続的評価とモニタリング
  • 機械学習と人工知能(ML/AI)を活用した高度な分析とリスク評価
  • ユーザー、アプリケーション、リスクの包括的な可視化とコントロール

SASE構成要素

SASE 、ネットワーキングとセキュリティの両機能を単一サービスのクラウド・ネイティブ・モデルに統合したもので、いくつかの異なるコンポーネントが含まれている。

SASE 、単一の技術以上のものです。それは、ユーザがどこにいても、アクセスされるアプリケーションやリソースがどこにあっても、ユーザとリソースを接続するトランスポート技術の組み合わせに関係なく、常に利用できるように、ネットワークのグローバルなファブリックにセキュリティを組み込む技術の全体パッケージです。その前に、概要を説明しよう:

SASE 主要コンポーネント

  • ソフトウェア定義WAN(SD-WAN)
  • NGFWとファイアウォール・アズ・ア・サービス(FWaaS)
  • セキュア・ウェブ・ゲートウェイ(SWG)
  • クラウド・アクセス・セキュリティ・ブローカー(CASB)
  • ゼロ・トラスト・ネットワーク・アクセス(ZTNA)

ソフトウェア定義WAN(SD-WAN)

セキュアSD-WANテクノロジーは、クライアントからクラウドへのネットワークにおいて最適なパフォーマンスとインテリジェントなルーティングを可能にすることで、SASE ソリューションの基盤を形成しますアーキテクチャ主な機能は以下のとおりです:

  • オンランプとオフランプの安全確保
  • マルチクラウド接続
  • 組み込みUTMセキュリティ機能
  • インターネット・バックボーンの活用
  • どこからでもトラフィック・ルーティング
  • DIA、ダイレクト・クラウド・アクセス、インテリジェント・トラフィック・ステアリング
  • 一貫したユーザー体験を最適化する経路選択
  • インライン暗号化
  • 高度なルーティングとダイナミック・パス選択
  • アプリケーション・アウェアネスとトラフィック分類
  • グローバルに分散されたゲートウェイ
  • レイテンシーの最適化
  • 自己修復ネットワーク機能

ファイアウォールNGFWとファイアウォール・アズ・ア・サービス(FWaaS)

クラウドベースの次世代ファイアウォール(NGFW)は、スケーラブルでアプリケーションを意識したソフトウェアソリューションであり、企業は従来のアプライアンスベースのソリューションが抱えていた課題を解決し、UTM機能のフルセットを提供することができます。NGFW ソリューションは、高度な脅威防御、ウェブとネットワークの可視性、脅威インテリジェンス、アクセス・コントロールなどの機能を提供することで、ステートフル・ファイアウォールを超える。最低限、企業は NGFW の導入に以下のことを期待する必要がある:

  • ユーザーとアプリケーションのアクセス制御
  • 侵入検知と防止
  • 高度なマルウェア検出
  • 脅威とネットワーク・インテリジェンス
  • 自動化とオーケストレーション

セキュア・ウェブ・ゲートウェイ(SWG)

SWGは、ウェブサーフィンをしているユーザーデバイスが不要なソフトウェアやマルウェアに感染しないように保護し、企業や規制のポリシーコンプライアンスを実施することで、WFAのユーザーやデバイスをインターネット由来の脅威から守る。SWGには以下が含まれます:

  • インターネット・セキュリティおよびコンプライアンス・ポリシーの実施
  • URLフィルタリング、アンチウイルス、アンチマルウェア、IDS/IPS、ゼロデイ攻撃防御、フィッシング防御などのUTM機能により、悪意のあるインターネットトラフィックをフィルタリングします。
  • アプリケーションの識別と制御機能
  • データ損失/漏洩防止(DLP)機能
  • リモート・ブラウザ・アイソレーション(RBI)により、ユーザ・セッションのリスクをスキャンし、ユーザが今日の脅威の状況を安全にナビゲートできるようにします。リスクのあるウェブサイトはリモートブラウザ上でレンダリングされ、サニタイズされたページ(主に画像ファイル)はユーザーブラウザ上でレンダリングされます。RBIは、匿名ブラウジングとリスクのないインターネットサイトへのオープンアクセスを可能にします。

 

SWGは、オンプレミスのハードウェア、仮想アプライアンス、クラウドベースのサービス、またはオンプレミスとクラウドを組み合わせたハイブリッドモードとして実装することができる。

クラウド・アクセス・セキュリティ・ブローカー(CASB)

CASBは、組織がクラウドサービスを利用する際のセキュリティ上の欠陥に対処するための製品とサービスを提供する。CASBは、ユーザがますます採用するようになっているクラウドサービスや、クラウドからクラウドへの直接アクセスの導入が拡大している中で、クラウドサービスを安全に保護する必要性を満たします。CASBは、ユーザーとデバイスの両方に対して、複数のクラウド・サービスにまたがるポリシーとガバナンスを一元的に管理し、ユーザーのアクティビティと機密データをきめ細かく可視化して管理します。

CASBは5つの重要なセキュリティ機能を提供する:

  • クラウドアプリケーションディスカバリー
  • データ・セキュリティ
  • アダプティブ・アクセス・コントロール
  • マルウェア検出
  • ユーザーとエンティティの行動分析(UEBA)は、クラウドサービスへ/からのトラフィックの異常な行動パターンに基づくポリシー施行を提供します。

CASBはオンプレミスまたはクラウドベースのセキュリティポリシー実施ポイントであり、クラウドサービスコンシューマーとクラウドサービスプロバイダーの間に配置され、クラウドベースのデータやアプリケーションにアクセスする際に企業のセキュリティポリシーを注入する。

ゼロ・トラスト・ネットワーク・アクセス(ZTNA)

ZTNAは、ユーザー、デバイス、データ、ワークロード、ロケーション、ネットワークなど、信頼できるものは何もないという前提に基づき、連携して動作するテクノロジーのフレームワークです。SASE ソリューションにおけるZTNAの主な機能は、アプリケーションに対するユーザーの認証です。高度なコンテキストとロールベースのアイデンティティと多要素認証(MFA)の組み合わせは、ネットワーク上とネットワーク外の両方のユーザーとデバイスのアクセスを保護するために不可欠です。

ZTNAの実装には、一般的に2つのモデルがある:

クライアント主導のZTNA

デバイスにインストールされたソフトウェアエージェントが、セキュリティコンテキストと資格情報をSDPコントローラに送信して認証する。このモデルは、管理対象デバイスに適している。

 

サービス主導型ZTNA

アプリケーションとともにインストールされたSDP(またはZTNA)コネクタが、クラウドプロバイダへのアウトバウンド接続を確立し、維持する。ユーザーは、保護されたアプリケーションにアクセスするために、プロバイダへの認証を要求される。このモデルは、エンドデバイスに特別なソフトウェアを必要としないため、管理されていないデバイスに適している。

無料電子書籍

SASE For Dummies

ベストプラクティス、実際の顧客のデプロイメント、SASE 有効な組織で得られるメリットなど、SASE ビジネスと技術的背景を学びます。

電子ブックを入手する

さらに詳しく

SASE (Secure Access Service Edge)、ネットワーキング、セキュリティ、SD-WAN、クラウドに関する調査、分析、情報を業界のソートリーダー、アナリスト、専門家が提供します。

 

オンデマンド・ウェビナー60分

SASEセキュアなマルチクラウド接続のためのブリッジ構築

クラウドとオンプレミスの両方のサービスをシームレスに組み合わせて導入し、サービスがどこで提供されるかに関係なく、一貫したサービス、機能、ポリシー、設定を作成する方法を学びます。

 
 

ホワイトペーパー

ゼロ・トラスト・セキュリティ

ゼロ・トラストは、組織がアイデンティティとアクセスへのアプローチ方法を根本的に転換することを要求する、セキュリティへの新しいアプローチである。

 
 

5分30秒 ビデオ

Versa Secure Access(VSA)とは何ですか?

Versa Secure Access(VSA)は、業界初のセキュアSD-WANサービスとプライベート接続を提供するソリューションです。