日本一受けたいセッション!どこよりもわかりやすい、VMwareのゼロトラストソリューション
ゼロトラストセキュリティとSASEは何が違う? VMware SASEの特徴を紹介
2021年11月25日に開催された、VMwareのオンラインイベント「VMworld 2021 Japan」で、「日本一受けたいセッション!どこよりもわかりやすい、VMwareのゼロトラストソリューション」と題した講演を行いました。「ゼロトラスト セキュリティモデルの範囲が広すぎてわかりにくい」「ゼロトラストとSASEは何が違う?」「VMware社のセキュリティソリューションとゼロトラスト、SASEの関係性がわからない」といった疑問に対し、従来のセキュリティモデルが抱えている課題を踏まえ、「VMware SASE」の3つのサービスの特徴について、弊社の工藤 真臣が解説します。
VPNとProxyサーバーを置き換えるVMware SASE
リモートワークによる働き方の変化などによって、これまで主流だった境界型セキュリティモデルの限界が見えており、ゼロトラスト型セキュリティモデルが注目されています。境界型セキュリティモデルでは、ファイアウォールの中にProxyや社内システムがあり、オフィスの外や自宅からはVPNを使ってセキュアにアクセスする、そしてインターネットに閲覧したい場合はProxyサーバーを経由するのが一般的でした。しかし、リモートワークやビデオ会議システム、外部SaaSの利用などによってVPNやProxyのアクセスが増え、パフォーマンスなどの課題が顕在化してきました。
「境界型セキュリティモデルにおける3種の神器は、UTM/アンチウイルス、VPN、Proxyです。UTM/アンチウイルスは、ファイアウォールのレイヤーや各デバイスで機能していましたが、長期間の在宅勤務中に従業員の端末が感染したときにどう対策したらいいか、また社内システムが感染した場合の影響力の大きさ、そしてSaaS利用によるUTM装置に対する負荷の増大という問題があります。VPNやProxyサーバーについては、ほとんどの社員が外部から利用する場合、ピーク時のトラフィックを処理し切れなくなるという課題もあります」(工藤)
これらの課題を解消するのが、すべてのトラフィックを信頼せず、常に検証するという考え方に基づくゼロトラスト型のセキュリティモデルです。そして、SASE(Secure Access Service Edge)は、ゼロトラストを構成する要素のなかでも通信の信頼性を担保するためのものです。VMwareでは、ユーザーが自宅やオフィスどこからでもアクセスできるという「Anywhere Workspace」というコンセプトを提唱しており、VMware SASEはこれを安全に実現するマネージドサービスです。
拠点間VPNの「VMware SD-WAN」、リモートVPNともいえる「VMware Secure Access」、次世代型Proxy「VMware Cloud Web Security」を核とし、どこからでもクラウドやオンプレミスにあるアプリケーションやデータに安全にアクセスできます。VMwareではこのほか、「Workspace ONE UEM」「Carbon Black Cloud」によるエンドポイントセキュリティを組み合わせて、ゼロトラスト型セキュリティを包括的にカバーします。
通信経路や回線、アプリケーションの動作を快適化するVMware SD-WAN
VMware SD-WANは、拠点間接続の経路と拠点間接続の回線品質、そして特定アプリケーションの体感の快適化を実現し、従来のVPNに変わってユーザー体験の向上が期待できます。
SD-WANの強みの一つに、IPベースの経路選択ではなく、アプリケーションベースの経路選択があります。非クリティカルな通信やWindows Updateの通信はわざわざデータセンターやプロキシサーバーを介す必要がないため、各拠点から直接インターネットに接続します。遠回りすることなくネットワーク効率の向上に寄与します。
回線品質の快適化については、ネットワールドが実際に試したところ、高品質回線の拠点と低品質回線の拠点ではビデオ会議時の回線の品質に大きな差がありましたが、VMware SD-WANの導入によって品質を改善しました。
「どの回線も同じように、ビデオ会議にも耐えうる回線として利用していただくことが可能になります。拠点からデータセンターへのファイルコピーなども実測値で2倍以上高速化されました」(工藤)
特定アプリケーションの体感の快適化では、アプリケーションごとに通信の優先度が設定され、Web 会議のような通信の品質が求められるアプリケーションなどが快適に動作するよう初期設定されています。
アプリケーションと接続先を自動接続するVMware Secure Access
VMware SD-WANでは、VPN装置ある、クライアント端末からの接続機能が提供されていません。その役割を果たすのがVMware Secure Accessです。これは、エンドポイント管理ソリューションの「Workspace ONE UEM」をマネージド化したもので、大量のクライアント展開にも容易に実現ができます。
Workspace ONE UEMの管理画面から接続先や権限などのポリシーとともに設定しておくと、VPNソフトWorkspace ONE Tunnelによって自動接続されるため、アプリケーションごとにVPN接続を行えます。
「Workspace ONE Tunnelでは、デバイス証明書による認証が必要です。それに加えて組織で決められた遵守ポリシー、アンチウイルスが動作しているか、ファイアウォールが有効になっているか、ディスクが暗号化されているかなどを確認した上で接続の可否を決める連携がデフォルトで提供されています。逆にいうと、ユーザー名とパスワードによる認証は現段階では提供されていません。クライアント側では一切操作せず、管理画面で定義したファイルをクライアントに配布する方式となっています」(工藤)
セキュリティ機能がついたProxyサービスVMware Cloud Web Security
最後に紹介するのは、次世代Proxyとも言われるVMware Cloud Web Securityです。近年のインターネットのトラフィックの9割が暗号化されています、セキュリティを担保しようとすると、SSLの暗号を解除して中身をスキャンし、もう一度暗号化して送り直すという、非常に負荷のかかる処理が必要となります。
VMware Cloud Web Securityは、SSLの証明書をエンドデバイスにインストールすることで通信の復号化を実現します。また、Proxyサーバーでも利用されるようなWebサイトのカテゴリーベースのURLフィルタリングも提供しています。さらに、添付ファイルのスキャンでは、シグネチャベースのマルウェア検出や、サンドボックスを使った振る舞い検知できます。パスワードがかかったファイルについてもVMware SASEプラットフォーム上でパスワードを入力してスキャンできるというユニークな機能も持っています。
また、クラウドサービスの利用状況を可視化・制御できるCASB(Cloud Access Security Broker)の機能も提供しています。URLベースでは細かな制御ができなかったSaaS、たとえばファイル共有サービスに対して、アップロードは許可しても、ダウンロードは許可しないなどのセキュリティ設定ができます。また、流出が禁止されているデータの漏えい事故を未然に防ぐ機能も開発中です。
「VMware Cloud Web Security は、VMware SD-WANやVMware Secure Access経由のインターネットアクセス時に透過的に利用されます。SD-WANの場合は、インターネット向けの通信は必ずVMware Cloud Web Securityを介した経路を通るという制御をすると、簡単に全ての通信がVMware SASEプラットフォームを介してVMware Cloud Web Security経由でアクセスするかたちとなります。VMware Secure Accessでリモートアクセスした場合もVMware Cloud Web Securityを使える設定にして利用できます」(工藤)
VMware SASEを構成する3つのサービスを紹介しました。ネットワールドでは、これに加え、Workspace ONE UEMやCarbon Black Cloudなど、VMwareセキュリティ製品を扱っています。Azure ADなどの外部認証サービスと組み合わせるなど、さまざまな要件でのゼロトラスト型セキュリティを実現したいというお客様向けに評価いただくPoC環境を用意しています。弊社SEによるワンストップの実行支援も行っていますので、ぜひご相談ください。
最後に
今回のセミナーをオンデマンド配信しています。
同時に講演資料のダウンロードも可能ですので、ぜひご視聴ください。
またご不明点やお困りごとなどございましたら、お気軽にお問い合わせください。