2019年、調査会社Gartnerは、「…ネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)とWAN機能(SDWANなど)を使用して動的をサポートする」という用語を「セキュアアクセスサービスエッジ」(SASE)と名付けました。組織の安全なアクセスニーズ。」リモートユーザーがどこで働いていても安全にアクセスできるという考えは、COVIDの発生時に特に魅力的になりました。パンデミックによる遠隔地の労働力の増加は、予想よりも早く意識を高めました。多くのエンタープライズネットワーク管理者および最高情報セキュリティ責任者(CISO)がSASEを念頭に置いているため、多くの人が「セキュアアクセスサービスエッジ(SASE)とは正確には何ですか?」と質問しています。
リモートユーザーがどこで働いていても安全にアクセスできるという考えは、COVIDの発生時に特に魅力的になりました。
SASEモデルの概要と、その中で仮想プライベートネットワーク(VPN)が果たす役割について読んでください。
SASEとは何ですか?
Gartnerによると、SASEは単一の製品ではありません。それはアーキテクチャまたは哲学です。
SASEは、ネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)とWAN機能(SDWANなど)を組み合わせて、組織の動的で安全なアクセスのニーズをサポートします。これらの機能は、主にサービスとして(aaS)で提供され、エンティティのID、リアルタイムコンテキスト、およびセキュリティ/コンプライアンスポリシーに基づいています。
SASEプラットフォームのすべてのコンポーネントを提供しているベンダーは非常に少ないため、通常はマルチベンダーアプローチが必要です。
SASEアーキテクチャは、セキュリティをデータセンターからクラウドに移行し、個々のテクノロジーを統合されたサービスとしてのセキュリティに統合します。これはセキュリティ機能の組み合わせであるため、一部のベンダーは、企業ネットワークの外部でインターネットにアクセスできるリモートワーカーをサポートするSASEの実装を加速するバンドルソリューションを提供しています。 SASEプラットフォームのすべてのコンポーネントを提供しているベンダーは非常に少ないため、多くの場合、マルチベンダーアプローチが必要になります。 SASEプラットフォームを作成する個々のセキュリティサービスは次のとおりです。
- ソフトウェア定義WAN(SD-WAN):SD-WANは、ソフトウェア定義ネットワーク(SDN)を大規模ワイドエリアネットワーク(WAN)に適用して、俊敏性とアプリのパフォーマンスを向上させ、管理を容易にします。
- クラウドアクセスセキュリティブローカー(CASB):アクティビティを監視し、セキュリティポリシーを適用する、クラウドユーザーとクラウドアプリ間のソフトウェア(オンプレミスまたはクラウドベース)。
- 次世代ファイアウォール(NGFW)とFirewall-as-a-Service(FWaaS):NGFWは、マルウェアが侵入する前に完全にブロックすることで、通常の容疑者(ランサムウェア、ウイルス、ワーム、トロイの木馬、アドウェア)からの保護を超えています。ネットワーク。
- ゼロトラストネットワークアクセス(ZTNA):IDベースおよびコンテキストベースのアクセスを使用して、アプリケーションの周囲に安全な境界を作成します。アプリケーションは隠され、攻撃者の潜在的な表面積を減らします。
- Secure Web Gateways(SWG):SWGプラットフォームは、Webサイトとエンドポイントデバイス間のデジタルバリアとフィルターを使用して、脅威、不正アクセス、マルウェアを検出および防止します。これにより、サイバー攻撃に加えて、潜在的に有害なサイトへのアクセスがブロックされます。
SASEの利点
TechTargetの寄稿者であるTerrySlatteryは、「クラウドベースの分散アーキテクチャ、集中管理、エンドポイント固有のセキュリティポリシー…」は、SASEの主な利点です。同じ記事に含まれているSASEに有利な追加のポイントは次のとおりです。
- アプリケーションはどこにでも住むことができます:SASEの分散アクセスにより、アプリケーションはどこにでも住むことができます—データセンター、パブリックまたはプライベートクラウド、SaaS —そしてセキュリティ機能をエンドユーザーの近くに配置します。
- 合理化された操作:SASEでは、ネットワーク境界がエンドポイントであり、セキュリティは役割ベースのポリシーを使用して動的に適用されます。これにより、従業員がどこで働いていても、ネットワークとセキュリティが簡素化されます。
- セキュリティとルーティングの統合:SASEは、DNSレピュテーション、リモートブラウザ分離(RBI)、ZTNA、データ損失防止(DLP)、マルウェア保護、CASB、NGFW、侵入検知、侵入防止、およびSWGを統合します。
- WANコストの削減:SD-WANと同様のSASEルーティング操作は、高価なMPLSや専用回線の必要性を排除することでWANコストの削減に役立ちます。それらはVPNに置き換えられます。
- 分散アーキテクチャ:SASEの分散アーキテクチャと集中管理により、セキュリティとネットワークトラフィックが効率化されます。これらの同じ機能は、サービス拒否(DOS)攻撃に見舞われた場合にも、より回復力がある可能性があります。
- 速度:クラウドの混雑とデータセンターのネットワーク遅延は一般的な問題ですが、SASEは応答時間を短縮するのに役立ちます。
VPNは、優れたSASEアーキテクチャの重要なコンポーネントです。
一部のSASEサービスプロバイダーは、VPNの代わりとして製品とサービスのバンドルを宣伝していますが、VPNは優れたSASEアーキテクチャの不可欠なコンポーネントであることに注意することが重要です。 SASEベンダーがVPNの終わりを参照する場合、それらはオンプレミスVPNを指します。しかし、SASEの最大の、おそらく単一の最大のセールスポイントの1つは、クラウドネイティブであるということです。ガートナーは、SASEを「ブランチネットワークだけでなく、すべてのエッジをサポートする真に統合されたネットワークセキュリティスタックを備えたグローバルなクラウドベースのサービス」と定義していることを忘れないでください。 ...クラウドアクセスセキュリティブローカー(CASB):SASEのようなクラウドベースのセキュリティソリューションは、論理的にクラウドアプリケーションにセキュリティを提供する必要があります。」これが、デジタルトランスフォーメーションを実施し、クラウドに移行する企業にとって魅力的な理由は簡単に理解できます。
従来のVPNとは異なり、OpenVPNの次世代VPN(OpenVPN Cloud)は、パブリックインターネットから隠されたプライベートネットワークをクラウドに作成します。これは、あらゆるSASEアーキテクチャの強力なサポートです(そして、より低コストで、より複雑ではありません!)。
OpenVPNとSASE
VPNは、リモートアクセスの有効化に制限されなくなりました。 SASEは最新のサイバーセキュリティの概念かもしれませんが、最新のVPNはSASEのコンポーネントであり、それ自体がアクセス制御などのセキュリティ機能を提供することを覚えておくことが重要です。この議論のもう1つの重要な側面は、クラウドベースの次世代OpenVPNがSD-WANの単なる代替品ではないということです。また、ZTNA、ファイアウォール、侵入検知、侵入防止、コンテンツフィルタリングなど、多数のSASEアーキテクチャコンポーネントが組み込まれています。 OpenVPNクラウドが他のSASEアプリケーションとどれほど簡単に統合できるか、あるいは置き換えられるかを知りたいですか?今すぐ3つの無料接続に登録してください。