VMware VeloCloud SASE

包括的なセキュリティ機能をクラウドから提供する「VMware SASE」

VMware SASEは「VMware VeloCloud SD-WAN」「VMware Secure Access」「VMware Cloud Web Security」で構成されており、これらの３つのサービスが有機的に連携することで、統一的なゼロトラストのソリューションを提供します。VMware SASEを経由することで、オンプレミスのデータセンターで運用している社内システムや、IaaS上で運用しているアプリケーションや各種のSaaS、Webサービスなどにより安全にアクセスすることが可能です。

「VMware SASE」とは？資料ダウンロード

VMware オンデマンドセミナー動画

VMware SASE とは？

複数の製品を組み合わせたセキュリティソリューション
場所を問わず、どこからでも安全にアクセスが可能
セキュリティ機能はクラウド側で一元管理

VMware SASE 新着情報

記事一覧

ピックアップコンテンツ

SASEとは？注目されている背景について

SASEは「Secure Access Service Edge (読み方はサッシ―またはサシー）」の略称で、クラウド上で提供されるネットワーク機能とセキュリティ機能を併せ持ったクラウド時代のプラットフォームです。

従来の境界型ゲートウェイセキュリティの課題

これまでのセキュリティ対策は、ファイアウォールやIDS/IPSなどの「境界型ゲートウェイセキュリティ」を中心に防御を固め、外部からのセキュリティ脅威を内部に侵入させないという考え方でした。しかしクラウドサービスやモバイル機器が普及し、それらを活用したテレワークやリモートワークの一般化などにより、境界型ゲートウェイセキュリティを経由しない端末やネットワークが増加しており、大きなセキュリティリスクとなっています。

このようなクラウド化に対応するためには、設備投資や運用コストも課題となります。増加したネットワーク通信量に対応できる新たな回線・機材の設備投資や、クラウドサービスごとの個別ポリシーを運用するための人員・体制強化など、複雑なセキュリティ対策を導入・運用できる体制が求められています。

従来のネットワークと現在のネットワーク

これからのネットワーク&セキュリティに最適なソリューション「SASE」

上記の背景から、現在注目されているネットワーク&セキュリティソリューションが「SASE」です。クラウドを中心として各種機能を提供するSASEでは、物理的なネットワーク構成は簡素化され、業務効率や利便性の向上が期待できます。ユーザーやデバイスの場所にかかわらず、一貫したセキュリティポリシーをクラウド上で適用・管理することで、広範囲のセキュリティ運用負荷を大幅に軽減することが可能です。

SASEは、SD-WAN・CDNなどの「Network as a Service」と、CASB・ZTNAなどの「Network Security as a Service」が統合されたソリューションです。セキュリティプラットフォームが統一するSASEによって、各セキュリティポイント単位での運用・管理の課題が解決し、クラウド上での機能追加によって新たな脅威にも迅速に対応することが可能になります。

SASEを構成する要素

SASEとゼロトラストの違いとは？〜ゼロトラストに内包されるSASE〜

「ゼロトラスト」は「Never Trust,Always Verify」という考え方に基づいており、すべてのアクセスを信頼できないものとして検証や認証を行います。ゼロトラストはSASE同様にセキュリティ対策の考え方であり、特定のサービスを指すものではありません。また、SASEはゼロトラストを最短距離で実現できる要素としても注目されています。

ゼロトラストについては、以下の記事でもご紹介しています。

〈ネットワールドSE解説！〉ゼロトラストセキュリティの実現方法とは？（前編）

〈ネットワールドSE解説！〉ゼロトラストセキュリティの実現方法とは？（後編）

ゼロトラスト・セキュリティを体現する「SASE」とは？ホワイトペーパーダウンロード

「VMware SASE」とは？

クラウド時代にふさわしいネットワーク＆セキュリティプラットフォームであるSASEは、さまざまなベンダーから提供されています。そうしたなか、VMwareから提供されているのが「VMware SASE」です。

VMware SASEの概要については、以下の記事でもご紹介しています。

VMware SASE超入門編①5分でわかる「VMware SASE」とは？

VMware SASEは、大きく分けて「VMware VeloCloud SD-WAN」「VMware Secure Access」「VMware Cloud Web Security」の3つのサービスから構成されており、これらが有機的に連携することで、ゼロトラストセキュリティを実現するSASEプラットフォームを提供します。

VMware SASEの３つのサービス

VMware SASEがまるわかり！「超入門編」シリーズ

VMware SASE を構成する主要な製品について、以下の「VMware SASE超入門編」シリーズでもご紹介しています。

「VMware SASE」3つのサービス解説のお役立ち資料ダウンロード

「VMware SASE」ソリューションを構成する3つの製品と外部連携

要素①：クラウドサービスやオンプレミスへの接続を最適化する「VMware VeloCloud SD-WAN」

VMware VeloCloud SD-WANとは？
物理的なネットワーク機器で構成されたWAN上に仮想的なオーバーレイネットワークを構築し、ソフトウェアによる制御・管理を実現します。

リンクアグリゲーションによりMPLS（専用線）やインターネット回線（ブロードバンド回線）、モバイル回線など複数のトランスポート回線を束ね、１本のWAN回線として同時利用することができます。

SD-WANによる仮想ネットワークでアプリケーションや拠点間の通信品質が向上し、あらゆるクラウドに最適なパフォーマンスでアクセスが可能になります。

非公開: 〈ホワイトペーパーDL〉VMware SD-WANで高速で安定した通信を！

VMware VeloCloud SD-WANの最大の特徴で、他社のSD-WANソリューションに対する優位性となっているのが、全世界3,100カ所以上で提供しているクラウドゲートウェイサービス「VMware VeloCloud SD-WAN Gateway」です。ユーザートラフィックをさまざまなSaaSやパブリッククラウド、オンプレミスのデータセンターのすぐ近くまで最適化して転送することが可能になります。

また、管理プレーンのVMware SD-WAN オーケストレーターから最寄りのVMware SASE PoPに接続することで、VMware VeloCloud SD-WAN Gatewayを含めたVMware SASE のすべての機能を一元管理できます。アプリケーションごとの利用状況やトラフィック、端末の設置場所、回線の利用状況などがすべて可視化されるとともに、ログイン履歴やアラート情報、イベント情報などのログも証跡として残されます。これに基づいて、必要に応じて通信経路の設定変更や特定アプリケーションのQoS/優先度設定、端末アクセス制御などを実施できます。

VMware VeloCloud SD-WANの特徴

SASEにおけるVMware VeloCloud SD-WANのメリットについては、以下の記事でもご紹介しています。

ネットワールドSEが語る！ネットワークに関する課題を解決するVMware SASE

要素②：ユーザーの安全なリモートアクセスを実現する「VMware Secure Access」

VMware Secure Accessとは？

デバイス全体のトラフィックを丸ごとVPNのトンネルを通してVMware SASE PoPと接続することで、統一的な管理を実現します。

次の3種類のクライアントタイプによる選択肢から、あらゆるワークロードに対するゼロトラストネットワークアクセスを提供します。

VMware Workspace One Hub
VMware Workspace One VPNクライアント
エージェントレス型

VMware Secure Access によって「VMware SASE PoP」に接続されたデバイスは、データセンターやブランチオフィス、SaaSやIaaSなど外部への通信をセキュアにコントロールすることができます。VMware Secure Accessは単純にIPsecでVPNを張っているわけではなく、VMware VeloCloud SD-WANのオーバーレイ技術を応用しているため、TCPやUDPに対する最適化を自動的に行うことも大きな特徴となっています。

これにより、例えばMicrosoft TeamsやZoomなどのWeb会議でパケットロスが発生して映像が乱れたり、音声が途切れて聞こえにくくなったりするといった弊害を改善できます。また、Microsoft 365のOneDriveなどクラウドストレージに対するデータのアップロードやダウンロードを高速化することも期待できます。

ネットワーク環境の安定化に貢献

VMware Secure Access はEMMソリューションである「VMware Workspace ONE」にアドオンして利用することができます。SASEにおけるVMware Workspace ONEのメリットについては、以下の記事でもご紹介しています。

VMware SASE超入門編⑤統合エンドポイント管理を実現する「VMware Workspace ONE」とは？

また、VMware Workspace One HubまたはVMware Workspace One VPNクライアントを利用してVMware SASE PoPに接続した場合は、VMware Carbon Black Cloudと連携させることも可能。認証・認可を行う際に、そのデバイスがマルウェアに感染していないかどうか健全性をチェックすることができます。

要素③：外部通信を一括して保護する「VMware Cloud Web Security」

VMware Cloud Web Security とは？
従来のプロキシサーバーが担ってきた様々なセキュリティ機能をSaaSで提供し、インターネットアクセスやクラウドサービス利用などの外部通信を保護するセキュリティサービス群です。

「VMware VeloCloud SD-WAN Gateway」を経由して外部に抜けていくトラフィックを精査し、「VMware Sevure Access」と組み合わせることでテレワーク環境からも安全にWebアクセスやSaaS利用が可能になります。

また、VMware SASE PoPのグローバルなネットワークにより、SSLの復号化やセキュリティの検査と適用といった負荷の重い処理をクラウド側にオフロードすることも可能です。

VMware Cloud Web Securityは、プロキシサーバーに求められるさまざまなセキュリティ機能をSaaS型で提供します。具体的にはSSL終端(SSLプロキシ)、URLフィルタリング、アドバンスドアンチマルウェア、クラウドサンドボックス、CASB(Cloud Access Security Broker)、DLP(Data Loss Prevention)、リモートブラウザー分離などのサービスをVMware SASE PoPから一元的に提供することで、SaaS やインターネットへのセキュアかつ最適化されたダイレクトアクセスを可能とします。

こうしてセキュリティ状態の欠陥を取り除くことにより、急激に変化する脅威にも俊敏に対応することが可能となります。

VMware SASE PoPでセキュリティ機能を提供するVMware Cloud Web Security

CWSの機能	説明
SSL終端	SSLの透過型フォワードプロキシとして動作し、通信を復号化
URLフィルタリング	フィッシングサイトや偽装サイトといったサイトへのアクセスを防止
アンチマルウェア	メールの添付ファイルの安全性が確認されたドキュメント精査
クラウドサンドボックス	クラウドサンドボックスでゼロデイ攻撃など未知の脅威を検知
CASB	SaaSアプリケーションに対するユーザー行動の可視化と制御
DLP	機密データが企業の境界から外に漏えいしないように保護
Remote Browser Isolation	VMware SASE PoP上でWebブラウザのコンテンツを分離

VMware Cloud Web Security が提供する各機能については、以下の記事でも紹介しています。

VMware SASE超入門編④外部通信を一括して保護する「VMware Cloud Web Security」とは？

ネットワールドSEが語る！SaaS時代にも最適なVMware Cloud Web Security

ネットワールドがご支援したVMware SASE導入事例

某製造業のお客様ご支援実績

社員数：12,000人、スマートフォン：7,000台、拠点数：280拠点

VMware SASE 導入前の課題
・現在ハブDCに集約されているインターネット
・セキュリティ機能をクラウド化したい
・拠点間の回線コストを削減したい
・IDaaSと連携したセキュリティの向上

VMware SASE 採用ポイント
・提案構成：VMware SASE+Workspace ONE UEM
・SD-WANによる回線コストの削減
・スマートフォン用MDMとの統合
・SASE PoP内のセキュリティ性能

その他お客様事例

セキュリティ製品の特性上、実名での事例公開が難しいVMware SASEの匿名事例や対応実績については、ネットワールドへお問い合わせいただいたお客様には個別でご紹介していますので、お問い合わせフォームからお気軽にご相談ください。

VMware SASE のラインナップ

VMware SASEのセキュリティ機能はクラウド上の「SASE PoP」から提供されます。SASE PoPを利用するためには「VMware VeloCloud SD-WAN(Cloud Gateway/Edge)」「VMware Secure Access」「VMware Cloud Web Security」を組み合わた構成が必要になります。

VMware SASEを利用するために必要な製品

スクロールできます

SASEの構成	VeloCloud SD-WAN Cloud Gateway	SD-WAN Edge (物理H/W)	VMware Secure Access	Cloud Web Security
VMware SASE フル構成	必要	必要	必要	必要
リモートからのアクセスで利用	必要		必要	任意
会社からのアクセスで利用	必要	必要		任意

VMware SASE の購入方法については、以下の記事でもご紹介しています。

VMware SASE ラインナップ

「VMware VeloCloud SD-WAN Cloud Gateway」および「VMware VeloCloud SD-WAN」ラインナップ

VMware SASEでSASE PoPを利用するためには、どのような構成でもVMware VeloCloud SD-WAN の「Cloud Gateway」のライセンスが必ず必要になります。

スクロールできます

SASE関連機能抜粋	Cloud Gateway (単体)	VMware VeloCloud SD-WAN Standard	VMware VeloCloud SD-WAN Enterprise	VMware VeloCloud SD-WAN Premium
Cloud Gateway
回線単位の通信最適化
アプリケーション単位の通信最適化
SaaSアプリケーションの通信最適化
	Cloud Gateway 詳細	Standard版詳細	Enterprise版詳細	Premium版詳細

VMware VeloCloud SD-WANのラインナップについては、以下の記事でもご紹介しています。

VMware SD-WANラインナップ〜エディション編〜

「VMware Secure Access」および「VMware Workspace ONE」ラインナップ

VMware Secure Accessは、新規購入もしくは既存で所有しているWorkspace ONEに追加して購入することができます。

スクロールできます

SASE関連機能抜粋	VMware Secure Access (単体 or WSOアドオン)	Workspace ONE Standard	Workspace ONE Advanced	Workspace ONE Enterprise
VMware Secure Access
MDMとアクセスコントロール
アプリケーションとデータの保護
インテリジェンスと自動化 (Workspace ONE Intelligence)
	Secure Access 詳細	Standard版詳細	Advanced版詳細	Enterprise版詳細