VMware SASE超入門編③
安全なリモートアクセスを実現する
「VMware Secure Access」とは?
SD-WANエッジが配置されたオフィスやブランチオフィス、一部のパワーユーザーの自宅からは、各種SaaSアプリケーションやオンプレミスの社内システムにセキュアにアクセスすることができます。VMware SASEでは、これに加えてテレワークやモバイルワークなどを行っている一般ユーザーに対しても、セキュアなリモートアクセスを実現する仕組みを提供しています。それがVMware Secure Accessというサービスです。
VMware Secure Accessの特徴
VMware Secure Accessには、次のような特徴があります。
まずは「One Fabric, One Policy」。これまでリモートユーザーやモバイルユーザーに提供されていたVPN機能は多くの場合、特定のアプリケーションを対象とした通信しか対応できませんでした。VMware SD-WAN とVMware Secure Accessを組み合わせることでこの課題を解決します。デバイス全体のトラフィックを丸ごとVPNのトンネルを通してVMware SASE PoPと接続することで、統一的な管理を実現するのです。端的に言えばVMware Secure Accessは、従来のアプリケーションベースのVPNをP2S(Point to Site)のフルデバイスVPNに置き換える役割を果たします。
次に「ゼロトラストネットワークアクセス」。ユーザーID、デバイスタイプ、OS、パッチ適応状況、脱獄・Root奪取の状況などによるリスクプロファイルを踏まえ、継続的な認証認可管理と状況に応じた動的なアクセスを提供します。
そして「あらゆるワークロードへの対応」。さまざまなSaaSアプリケーションやインターネットサービス、オンプレミスのデータセンターへのリモートアクセスを可能にするとともに、すべてのユーザーおよびデバイス、エンタープライズデータを保護します。
Workspace ONE Tunnelを使ったZTNA接続
セキュリティ要件に応じたリモートアクセスの選択肢を提供
リモートアクセスをas a Service化したVMware Secure Accessは、次の3種類のクライアントタイプによる選択肢を提供しています。
1つめは「VMware Workspace One Hub」を利用する方法です。VMware Workspace OneのUEM(Unified endpoint management)/MDM(Mobile Device Management)機能を拡張する形でデバイスを完全に管理するもので、ゼロトラストネットワークを実現する次世代VPNにより、VMware SASE PoPに安全にアクセスすることができます。具体的には2要素認証やシングルサインオン(SSO)、認証・認可の厳格なプロセス、アプリケーションのパフォーマンスと信頼性の改善など、高度なセキュリティ管理の要求に応えます。
2つめは「VMware Workspace One VPNクライアント」を利用する方法です。よりシンプルなリモートアクセスの運用を実現したいという企業のニーズに応えるもので、MDMの管理外のデバイスからもコストを抑えつつ、Workspace ONE Tunnelを使ったゼロトラストネットワークアクセスを可能とします。単に通信を暗号するだけではなくVMware SD-WANの技術を使ってネットワークを最適化し、ユーザーに対して快適なエクスペリエンスを提供することができます。
3つめは「エージェントレス型」での接続で、ブラウザーのみでSSL-VPNを使ったリモートアクセスを行えます。個別にソフトウェアをインストールする必要がないことから、グループ会社や協力会社の社員をプロジェクトメンバーに加えて一部のWebアプリケーションだけを利用させたいといった場合に有効に活用できます。
VMware Secure Accessによるトラフィックの最適化
上記の3つの方法のいずれかでVMware SASE PoPに接続されたデバイスは、データセンターやブランチオフィス、SaaSやIaaSなど外部への通信をセキュアにコントロールすることができます。各デバイスのOSとしては、Windows 10、MacOS、Android、iOSに対応しています。
なお、VMware Secure Accessは単純にIPsecでVPNを張っているわけではなく、VMware SD-WANのオーバーレイ技術を応用しているため、TCPやUDPに対する最適化を自動的に行うことも大きな特徴となっています。
これにより、例えばMicrosoft TeamsやZoomなどのWeb会議でパケットロスが発生して映像が乱れたり、音声が途切れて聞こえにくくなったりするといった弊害を改善できます。また、Microsoft 365のOneDriveなどクラウドストレージに対するデータのアップロードやダウンロードを高速化することも期待できます。
また、VMware Workspace One HubまたはVMware Workspace One VPNクライアントを利用してVMware SASE PoPに接続した場合は、VMware Carbon Black Cloudと連携させることも可能。認証・認可を行う際に、そのデバイスがマルウェアに感染していないかどうか健全性をチェックすることができます。
VMware Secure Accessのアーキテクチャー
VMware Secure Accessは具体的には次のようなアーキテクチャーのもとで、ゼロトラストネットワークアクセスおよびアプリケーション保護を実現しています。
まず自宅や外出先からリモートアクセスするとVMware Workspace One UEMに問い合わせが行われ、そのデバイスの所属するグループのポリシーに基づいて事前に用意されたプロファイルが自動でダウンロードされます。これによりユーザー認証やデバイス認証をはじめ、利用可能なアプリケーションをコントロールすることができます。
こうしてVMware SASE PoPに接続すると、そこに配置されたVMware SD-WAN Gatewayを介してMicrosoft 365やSalesforce、BoxなどのSaaSをセキュアに利用することができます。また、オンプレミスのデータセンターや他の拠点で運用されているアプリケーションやデータにアクセスする際は、VMware SASE PoP側のVMware SASEエッジと各拠点に配置されたVMware SASEエッジがバックボーン回線をまたいでやりとりして、ユーザートラフィックを安全に伝送します。
