【イベント情報】オンデマンド

<オンデマンドセミナー>セキュリティだってマルチクラウドに!VMware SASEだけ使って欲しいけど、組み合わせたい3つのクラウドサービスとは

セキュリティだってマルチクラウドに!VMware SASEだけ使ってほしいけど、組み合わせたい3つのクラウドサービスとは

柔軟なゼロトラスト実現のため、VMware SASEと組み合わせて使うサービス

2021年11月25日に開催された、VMwareのオンラインイベント「VMworld 2021 Japan」で、「セキュリティだってマルチクラウドに!VMware SASEだけ使って欲しいけど、組み合わせたい3つのクラウドサービスとは」と題した講演を行いました。ゼロトラストネットワークアクセスを提供する「VMware SASE」の導入時のヒントや、導入時に合わせて検討することが多いMicrosoft社やZscaler社のサービスと連携する方法について、弊社の工藤 真臣が解説します。

セキュリティだってマルチクラウドに!VMware SASEだけ使ってほしいけど、組み合わせたい3つのクラウドサービスとは

株式会社ネットワールド
SI技術本部 ソリューションアーキテクト課
次長
工藤 真臣

オンデマンドセミナー 視聴お申し込みフォーム
(講演資料も同時にダウンロードいただけます)

VMware SASEとIDaaSやVDI、セキュアWebゲートウェイの連携は?

SASE(Secure Access Service Edge)とは、ゼロトラストセキュリティを実現する新たなアプローチです。ゼロトラストセキュリティの基本原則のうち、ネットワークの信頼性は「ネットワークの場所に関係なく、通信は全て保護される」「組織のリソースへのアクセスは、全て個別のセッションごとに許可される」「リソースへのアクセスは動的なポリシーによって決定される」などが定義されています。またVMwareは、ユーザーが自宅やオフィスどこからでも、どんなデバイスからでも組織のアプリケーションやデータにアクセスできるという「Anywhere Workspace」というコンセプトを提唱しており、「VMware SASE」は、これを安全に実現するセキュリティとネットワークのマネージドサービスとなっています。

VMware SASEは、「VMware Secure Access」「VMware SD-WAN」「VMware Cloud Web Security」を核としたSASEプラットフォームです。これらの利用を検討する際、IDaaSの「Microsoft Azure Active Directory(Azure AD)」、VDI・リモートデスクトップの「Microsoft Azure Virtual Desktop」「VMware Horizon Cloud on Microsoft Azure」、セキュアWebゲートウェイの「Zscaler Internet Access(ZIA)」などとの連携に対する懸念を持つ方も多いようです。

まずはIDaaSについて考えてみましょう。すでにAzure ADを使っている場合、次の図の赤い鍵の部分のようにVMware Secure Access、VMware Cloud Web Security、そして統合エンドポイント管理の「Workspace ONE UEM」で、それぞれが認証を設ける構成になります。

 

VMware SASEで考慮するべき認証のポイント

「VMware Secure Accessでは、デバイス証明書、デバイス証明書+遵守ポリシーという形で、Workspace ONE Tunnel接続時に行われます。残念ながらここは、Azure ADとの連携ができません。VMware Cloud Web SecurityはAzure ADとの連携をサポートしています。そしてWorkspace ONE UEMはローカルアカウントでの認証もできますし、通常のオンプレミスのActive Directoryと認証連携することもできます」(工藤)

VMware Cloud Web SecurityとAzure ADでの認証フローでは、ブラウザからURLを入力するとVMware Cloud Web Securityが認証URLにリダイレクトし、Azure ADの認証画面を表示します。ここで多要素認証やデバイスチェックなど、条件付きアクセスなどを設定可能となります。認証が成功すればcookieが発行され別のページにアクセスする際にも認証を求められなくなります。なお、Windowsデバイスであれば、Azure ADにジョインしたあと、Microsoft Edgeなどのタイプアプリケーションを使いシングルサインオンでパススルー認証が可能です。

VMware Cloud Web Security利用の利点の一つに、ユーザーログの可視化があります。これまでの環境ではどのユーザーの通信がブロックされたのか不明でしたが、ユーザー名が分かるようになります。利点のもう一つが、「セキュリティポリシー」と呼ばれる機能で、ユーザーやグループを指定して、ルールを変えることなどができるようになります。例えば、人事部に関しては転職のサイトを見ることを許可する、マーケティングの部署に関しては動画のダウンロードを許可するなどを一つのポリシーの中で、動的なルールとして作成できます。

また、セキュリティ機能として、URLフィルタリングやマルウェア防御もサポートしています。Azure ADとユーザーグループ情報の同期などを一切考慮する必要がなく、シンプルに使い始められます。

すでにMDMを使っている場合でもVMware SASEは利用可能

Workspace ONE UEMでAzure ADの認証連携をする場合はデバイスを登録します。すでにMDM(Mobile Device Management)を使っている場合にWorkspace ONE UEMと競合するのではないかという懸念する方もいます。Workspace ONE UEMには、デバイスをインベントリ管理するだけの登録モードと、さらにデバイスを管理するモードがあります。登録モードであればMDMツールと競合することなくVMware Secure Accessの機能を利用できます。ただしスマートフォンの場合、MDM管理していないときはWorkspace ONE TunnelでVMware Secure Accessを利用できるのはVMware社製のアプリケーションだけになるため注意が必要です。

MDMで管理したWorkspace ONE Tunnelの認証フローでは、登録デバイスは証明書を使って接続可否の判断がされます。例えば、一度登録した端末であっても、ポリシーとして定められているアンチウイルスが停止している場合は、接続が拒否されます。

MDM管理下のWorkspace ONE Tunnelの認証フロー

「登録モードでAzure ADとMicrosoft Intuneでデバイス管理をしている場合、Workspace ONE UEMからAzure AD の準拠状況というのは確認できませんので、証明書だけの認証となります。よりセキュリティを高め見たいというときには、必ずWorkspace ONE UEMでMDM管理することをご検討ください」(工藤)

なお、Workspace ONE UEMで管理しているデバイスは、Azure ADのデバイスコンプライアンスパートナーを追加することで、Workspace ONE UEMとAzure ADの同期が可能となり、アクセスで制御できるようになります。

VDIからもVMware SASEを介してSaaSにアクセス可能

リモートワークの増加もあり、Azure上のVDIソリューションの利用が進んでいます。このため、Microsoft Azure Virtual DesktopやVMware Horizon Cloud on Microsoft AzureとVMware SASEの組み合わせに関する相談も多くなっています。

VMware SASEとAzureの接続は、Azure上のSD-WAN Edgeを仮想マシンとして展開することで、VMware Secure AccessやVMware Cloud Web Securityを使ったアクセスが可能となります。SD-WANを介して、VMware Cloud Web Securityを使って安全にSaaSにアクセスできるようになります。

VMware SASEとAzureの接続

「Azure Firewall Premiumが正式リリースされ、シンプルなセキュアWeb Gatewayの機能を提供しています。しかし、オンプレミスから利用する場合は、SASE POPとAzureという2つのデータセンターをまたいでインターネットにアクセスするため遅延が大きくなり、Microsoft TeamsやZoomなどでのWeb会議のパフォーマンスに影響が出る可能性があります。VMware SASEに集約することで遅延を最小に抑えられます」(工藤)

セキュアなWebアクセスにZscalerも利用可能

Zscaler Internet Access(ZIA)などのSWG(Secure Web Gateway)のサービスを使っている場合は、VMware Cloud Web Securityではなく、そのままZIAを使うことも可能です。VMwareとZscalerの2社は協業しており、強いパートナーシップでお互いを補完しています。

VMware SASEとZscaler ZIA利用時の通信

ただし、外出先や在宅での利用時にはZscaler Client Connector経由のアクセスになり、Secure Access経由での利用ができなくなる点に注意が必要です。本社拠点からはSD-WANを介してアクセスしますが、アクセスが集中してしまう懸念がある場合はZIAへ直接アクセスすることも可能です。SD-WAN EdgeとZIA間のVPN接続は自動構成も可能になりました。

ネットワールドでは、VMware SASEだけでなく、Workspace ONEのデバイス管理やエンドポイント保護の「VMware Carbon Black Cloud」といったVMware製品に加え、Azure ADなどのMicrosoftの認証基盤やVDI、Zscalerなどを利用したいお客様向けにPoC環境を用意し、ワンストップで技術支援を行っています。

 

最後に

今回のセミナーをオンデマンド配信しています。
同時に講演資料のダウンロードも可能ですので、ぜひご視聴ください。

またご不明点やお困りごとなどございましたら、お気軽にお問い合わせください。

オンデマンドセミナー お申し込みフォーム
(講演資料も同時にダウンロードいただけます)