ネットワールドSEが語る!ネットワークに関する課題を解決するVMware SASE
近年働き方改革の高まりやコロナ禍によるテレワーク普及によりセキュリティ面での懸念やクラウドサービスの利用拡大による回線帯域の逼迫等のセキュリティやネットワークに関する課題が多く挙げられています。
本ページでは、こうした課題を解決するアプローチとなる「VMware SASE」についてネットワールドのSEである辻正昭が解説します!
ネットワークアクセスにおける課題と解決策
一般的なVPNの課題
企業の拠点間の接続には、高価な専用線やインターネットのVPNが用いられるのが一般的ですが、このネットワーク構成には次のような課題が挙げられます。
①CLIでプロビジョニング
ネットワーク機器ごとのコマンドによる複雑な設定が必要
②大量のネットワーク機器の複雑な運用管理
拠点が増えた場合、接続先ごとに設定を変更しなければならないなど
煩雑な手間が発生
③バックアップ回線の費用
通信回線を冗長化しているものの、通常時はまったく使われない
バックアップ回線が存在しており余分な費用が発生
④ネットワークの経路の最適化が困難
複数の回線を効率的に使用するためには、複雑なルーティング設定が必要
VMware VeloCloud SD-WANで解決!
上記であげたような既存のVPNの課題をVMware SASEを構成している1つである「VMware VeloCloud SD-WAN」で解決します。クラウド上のオーケストレーターというコンソールから各拠点に配置されたWANルーター(SD-WAN Edge)を一括に管理することで、シンプルかつ柔軟性、拡張性に優れたWANの運用を実現します。
これによって多拠点を結ぶネットワーク運用管理負荷軽減や高価な閉域網のリプレイス、オンプレミスで運用していたプロキシからの脱却などを図ることが可能になります。
VMware VeloCloud SD-WANは具体的に次のような機能を提供します。
①ネットワークの可視化と制御
各拠点で稼働しているSD-WAN Edgeの状態、使用している回線の品質、
流れているトラフィックの内訳などを可視化して確認できる
また、ネットワークの設定変更やSD-WAN Edgeのファームウェアの
バージョンアップなどの操作もオーケストレーターから一元的に行える
②ゼロタッチプロビジョニング
新設拠点に配布したSD-WAN Edgeを数分で設定し、ネットワークに接続できる
③拠点間VPN
数クリックで拠点間のVPNを張ることが可能。細かいパラメータ設定は不要で、
拠点の追加にもスピーディーに対応できる。
④アプリケーション単位での経路選択
特定のアプリケーションを拠点から直接インターネットにアクセスさせる
ローカルブレイクアウトが可能
さらにVMware VeloCloud SD-WANの場合、SD-WAN Gatewayと呼ばれる仕組みを活用することでSaaSを利用するときなどのインターネット向けに出ていく通信の回線品質を補正したり、高速な回線と低速な回線等種類の異なる複数の回線を束ねて仮想的なネットワークを構成することで帯域の拡張も可能になります。
VMware VeloCloud SD-WANとVMware SASE
NISTによるゼロトラストにおける7つの基本原則
冒頭で述べた通り、クラウド利用の増加やテレワークの急速な拡大により、従来の境界型セキュリティでは「UTM/アンチウイルス」「VPN」「プロキシ」を三種の神器としていており、企業ネットワークのセキュリティは確保できなくなっています。
そうした中で注目されているのが、ゼロトラストのセキュリティモデルです。ゼロトラストとは、Never Trust,Always Verify(盲目的に信頼せず、常に確認する)という考え方に基づいており、NIST(アメリカ国立標準技術研究所)によって次のような7つの基本原則(※SP 800-207)が示されています。
VMware SASEの特徴
ゼロトラストの7つの基本原則のうち、特に1~4が関係する通信の信頼性を実現するソリューションとして、ヴイエムウェアはVMware SASEを提供しています。
VMwareでは、複数のクラウドサービスを連携させることで、ゼロトラストセキュリティを最短距離で実現できるセキュリティソリューションの「VMware SASE」を提供しています。
VMware SASEは大きく3つのコンポーネントから構成されています。3つのうち1つは先にご紹介したVMware VeloCloud SD-WANであり、これにVMware Secure AccessとVMware Cloud Web Securityの2つが製品に加わりVMware SASEとして提供されています。
VMware Secure Accessの主要機能
VMware Secure Accessはテレワークを行っているユーザーに対し、次の3つの特徴を備えた安全なリモートアクセスの仕組みを提供しています。
①One Fabric, One Policy
VMware VeloCloud SD-WANとVMware Secure Accessを組み合わせることで従来のVPNの課題を解決。デバイス全体のトラフィックを丸ごと、もしくはアプリケーション単位でVPNのトンネルを通してVMware SASE のアクセスポイント(SASE PoP)と接続することで、統一的な管理を実現する。
②ゼロトラストネットワークアクセス(ZTNA)
ユーザーID、デバイスタイプ、OS、パッチ適応状況、脱獄・Root奪取の状況などによるリスクプロファイルを踏まえ、継続的な認証認可管理と状況に応じた動的なアクセスを提供する。
③すべてのワークロードへの対応
さまざまなSaaSアプリケーションやインターネットサービス、オンプレミスのデータセンターへのリモートアクセスを可能にするとともに、すべてのユーザーおよびデバイス、エンタープライズデータを保護する。
安全なWebアクセスやクラウドサービスの利用を実現
VMware Cloud Web Securityの主要機能
VMware Cloud Web SecurityはWebアクセスやSaaS利用など外部との通信を保護するセキュリティサービスです。簡単に言えば、従来のプロキシサーバーが担ってきた様々なセキュリティ機能をSaaSで提供します。VMware VeloCloud SD-WANとVMware Cloud Web Securityを組み合わせることにより、拠点内の通信を快適に利用できます。また、VMware Sevure Accessと組み合わせることでテレワーク環境からも安全にWebアクセスやSaaS利用が可能です。
VMware Cloud Web Securityにより、次のようなセキュリティ機能を利用することができます。
- URLフィルタリング
カテゴリのリストやドメインを指定することで、外部の通信に対して許可またはブロックの制御を行う。これによりマルウェアの拡散や情報の搾取を狙ったフィッシングサイトや偽装サイト、あるいは業務と関係ないアダルトサイトやギャンブルサイトなどへのアクセスを防止する。
- コンテンツ検査
Webサイトからダウンロードするファイルやメールに添付ファイルに対してセキュリティの検査を行う。既知の脅威をアンチウィルスでチェックするほか、不審な振る舞いをサンドボックスでチェックすることで未知の脅威にも対応できる。またパスワードで暗号化された添付ファイルにも対応しており、デバイスにダウンロードする前にセキュリティの検査を行うことも可能です。
まとめ
今回ご紹介したVMware VeloCloud SD-WAN、VMware Secure Access、VMware Cloud Web Securityの3つコンポーネントで構成されるVMware SASEはクラウドサービス利用の増加に伴い発生している既存ネットワークの帯域不足や急増するテレワークでのセキュリティの確保といった課題に対する有効的な解決策となります。
さらにVMware SASEはVMware Workspace ONEや VMware Carbon Black Cloudとも連携が可能になります。これによってエンドポイントの信頼性、ユーザーの信頼性、ゼロトラストの運用まで一貫したソリューションを提供します。