セキュリティだってマルチクラウドに!VMware SASEだけ使ってほしいけど、組み合わせたい3つのクラウドサービスとは
柔軟なゼロトラスト実現のため、VMware SASEと組み合わせて使うサービス
2021年11月25日に開催された、VMwareのオンラインイベント「VMworld 2021 Japan」で、「セキュリティだってマルチクラウドに!VMware SASEだけ使って欲しいけど、組み合わせたい3つのクラウドサービスとは」と題した講演を行いました。ゼロトラストネットワークアクセスを提供する「VMware SASE」の導入時のヒントや、導入時に合わせて検討することが多いMicrosoft社などの他社サービスと連携する方法について、弊社の工藤 真臣が解説します。
VMware SASEとIDaaSやVDI、セキュアWebゲートウェイの連携は?
SASE(Secure Access Service Edge)とは、ゼロトラストセキュリティを実現する新たなアプローチです。ゼロトラストセキュリティの基本原則のうち、ネットワークの信頼性は「ネットワークの場所に関係なく、通信は全て保護される」「組織のリソースへのアクセスは、全て個別のセッションごとに許可される」「リソースへのアクセスは動的なポリシーによって決定される」などが定義されています。またVMwareは、ユーザーが自宅やオフィスどこからでも、どんなデバイスからでも組織のアプリケーションやデータにアクセスできるという「Anywhere Workspace」というコンセプトを提唱しており、「VMware SASE」は、これを安全に実現するセキュリティとネットワークのマネージドサービスとなっています。
VMware SASEは、「VMware Secure Access」「VMware SD-WAN」「VMware Cloud Web Security」を核としたSASEプラットフォームです。これらの利用を検討する際、IDaaSの「Microsoft Azure Active Directory(Azure AD)」、VDI・リモートデスクトップの「Microsoft Azure Virtual Desktop」「VMware Horizon Cloud on Microsoft Azure」などとの連携に対する懸念を持つ方も多いようです。
まずはIDaaSについて考えてみましょう。すでにAzure ADを使っている場合、次の図の赤い鍵の部分のようにVMware Secure Access、VMware Cloud Web Security、そして統合エンドポイント管理の「Workspace ONE UEM」で、それぞれが認証を設ける構成になります。
「VMware Secure Accessでは、デバイス証明書、デバイス証明書+遵守ポリシーという形で、Workspace ONE Tunnel接続時に行われます。残念ながらここは、Azure ADとの連携ができません。VMware Cloud Web SecurityはAzure ADとの連携をサポートしています。そしてWorkspace ONE UEMはローカルアカウントでの認証もできますし、通常のオンプレミスのActive Directoryと認証連携することもできます」(工藤)
VMware Cloud Web SecurityとAzure ADでの認証フローでは、ブラウザからURLを入力するとVMware Cloud Web Securityが認証URLにリダイレクトし、Azure ADの認証画面を表示します。ここで多要素認証やデバイスチェックなど、条件付きアクセスなどを設定可能となります。認証が成功すればcookieが発行され別のページにアクセスする際にも認証を求められなくなります。なお、Windowsデバイスであれば、Azure ADにジョインしたあと、Microsoft Edgeなどのタイプアプリケーションを使いシングルサインオンでパススルー認証が可能です。
VMware Cloud Web Security利用の利点の一つに、ユーザーログの可視化があります。これまでの環境ではどのユーザーの通信がブロックされたのか不明でしたが、ユーザー名が分かるようになります。利点のもう一つが、「セキュリティポリシー」と呼ばれる機能で、ユーザーやグループを指定して、ルールを変えることなどができるようになります。例えば、人事部に関しては転職のサイトを見ることを許可する、マーケティングの部署に関しては動画のダウンロードを許可するなどを一つのポリシーの中で、動的なルールとして作成できます。
また、セキュリティ機能として、URLフィルタリングやマルウェア防御もサポートしています。Azure ADとユーザーグループ情報の同期などを一切考慮する必要がなく、シンプルに使い始められます。
すでにMDMを使っている場合でもVMware SASEは利用可能
Workspace ONE UEMでAzure ADの認証連携をする場合はデバイスを登録します。すでにMDM(Mobile Device Management)を使っている場合にWorkspace ONE UEMと競合するのではないかという懸念する方もいます。Workspace ONE UEMには、デバイスをインベントリ管理するだけの登録モードと、さらにデバイスを管理するモードがあります。登録モードであればMDMツールと競合することなくVMware Secure Accessの機能を利用できます。ただしスマートフォンの場合、MDM管理していないときはWorkspace ONE TunnelでVMware Secure Accessを利用できるのはVMware社製のアプリケーションだけになるため注意が必要です。
MDMで管理したWorkspace ONE Tunnelの認証フローでは、登録デバイスは証明書を使って接続可否の判断がされます。例えば、一度登録した端末であっても、ポリシーとして定められているアンチウイルスが停止している場合は、接続が拒否されます。
「登録モードでAzure ADとMicrosoft Intuneでデバイス管理をしている場合、Workspace ONE UEMからAzure AD の準拠状況というのは確認できませんので、証明書だけの認証となります。よりセキュリティを高め見たいというときには、必ずWorkspace ONE UEMでMDM管理することをご検討ください」(工藤)
なお、Workspace ONE UEMで管理しているデバイスは、Azure ADのデバイスコンプライアンスパートナーを追加することで、Workspace ONE UEMとAzure ADの同期が可能となり、アクセスで制御できるようになります。
VDIからもVMware SASEを介してSaaSにアクセス可能
リモートワークの増加もあり、Azure上のVDIソリューションの利用が進んでいます。このため、Microsoft Azure Virtual DesktopやVMware Horizon Cloud on Microsoft AzureとVMware SASEの組み合わせに関する相談も多くなっています。
VMware SASEとAzureの接続は、Azure上のSD-WAN Edgeを仮想マシンとして展開することで、VMware Secure AccessやVMware Cloud Web Securityを使ったアクセスが可能となります。SD-WANを介して、VMware Cloud Web Securityを使って安全にSaaSにアクセスできるようになります。
「Azure Firewall Premiumが正式リリースされ、シンプルなセキュアWeb Gatewayの機能を提供しています。しかし、オンプレミスから利用する場合は、SASE POPとAzureという2つのデータセンターをまたいでインターネットにアクセスするため遅延が大きくなり、Microsoft TeamsやZoomなどでのWeb会議のパフォーマンスに影響が出る可能性があります。VMware SASEに集約することで遅延を最小に抑えられます」(工藤)
セキュアなWebアクセスに連携ソリューションも利用可能
VMwareとパートナーシップを結んでいる他社SWG(Secure Web Gateway)のサービスを使っている場合は、VMware Cloud Web Securityではなく、その製品をそのままを使うことも可能です。
ネットワールドでは、VMware SASEだけでなく、Workspace ONEのデバイス管理やエンドポイント保護の「VMware Carbon Black Cloud」といったVMware製品に加え、Azure ADなどのMicrosoftの認証基盤やVDIrなどを利用したいお客様向けにPoC環境を用意し、ワンストップで技術支援を行っています。
最後に
今回のセミナーをオンデマンド配信しています。
同時に講演資料のダウンロードも可能ですので、ぜひご視聴ください。
またご不明点やお困りごとなどございましたら、お気軽にお問い合わせください。