VMware SASE超入門編①
5分でわかる「VMware SASE」とは?
SASEはさまざまなベンダーから提供されていますが、VMwareもその1社です。VMwareでは、複数のクラウドサービスを連携させることで、ゼロトラストセキュリティを最短距離で実現できるセキュリティソリューションの「VMware SASE」を提供しています。
ここでは、VMware SASEが具体的にどんなサービスで構成され、VMwareのさまざまな製品群と連携し、どのような形で運用が行われるのか、VMware SASEの全体概要を紹介します。
VMware SASEを構成する3つの主要サービス
VMwareが提供するSASEプラットフォームであるVMware SASEは、大きく分けて次の3つのサービスから構成されています。
1つめは「VMware VeloCloud SD-WAN」です。VMwareがクラウド上で展開しているゲートウェイサービス「VMware VeloCloud SD-WAN Gateway」により、多様なWAN回線を抽象化したオーバーレイネットワークを提供。エッジ機器からSaaS、IaaSへのアクセスを最適化します。
2つめは「VMware Secure Access」です。以前よりWorkspace ONE UEM(Unified Endpoint Management)が提供してきた暗号化トンネル(Workspace ONE Tunnel)をベースにしたセキュアアクセスの機能で、いわゆるゼロトラストネットワークアクセスをSaaS型で実現します。指定したアプリケーションのトラフィックのみ暗号化トンネルを経由して接続するアプリケーションベースVPN、すべてのデバイスからのトラフィックを暗号化トンネル経由で接続するフルデバイスVPNをサポートしています。
3つめは「VMware Cloud Web Security」です。SaaSやクラウド上のアプリケーションにアクセスするユーザーおよびインフラを保護するホスト型サービスで、先述のVMware VeloCloud SD-WANおよびVMware Secure Accessの機能をさらに拡大します。具体的には、URLフィルタリング、高度なアンチマルウェア、SSL Proxy / Cloud Sandbox / FWaaS、Cloud Access Security Broker(CASB)、Data Loss Prevention(DLP)、Remote Browser Isolationといったセキュリティ機能をas a Serviceで提供します。
これらの3つのサービスが有機的に連携することで、統一的なゼロトラストのソリューションを提供します。
これによりオフィスやブランチオフィス、自宅などあらゆる場所で働くユーザーは、多様なデバイスからVMware SASEを経由し、オンプレミスのデータセンターで運用している社内システムはもとより、IaaS上で運用しているアプリケーションや各種のSaaS、Webサービスなどに安全にアクセスすることができます。
VMware SASEが提供するセキュリティ
VMware SASEを構成するVMware VeloCloud SD-WAN、VMware Secure Access、VMware Cloud Web Securityの3つのサービスは、SaaSをはじめとするクラウドサービスへのアクセスポイントとして全世界130カ所以上の拠点に戦略的に配置されたSASE PoP(Point of Presence)上で運用されています。
これらの機能は、統合された管理画面であるVMware VeloCloud SD-WAN オーケストレータから一元的に管理・運用することができます。その上でVMwareが提供する各種製品と連携することで、次のようなセキュリティを提供します。
①世界中に展開されたSASE PoPおよびVMware VeloCloud SD-WAN GatewayによりSD-WANネットワークを構成。SaaS、IaaSおよびクラウドサービスの手前まで SD-WANサービスを提供するとともに、プライベートバックボーンへのアクセスを実現します。
②ユーザーは各拠点に配置されたSD-WANエッジを介して、VMware SASEプラットフォームに容易にアクセスすることができます。
③各ユーザーが利用する端末に対して、インテリジェンスベースのデジタルワークスペースプラットフォームであるVMware Workspace ONEにより、ゼロトラストセキュリティモデルに基づくアクセス管理機能やエンタープライズモビリティ管理(EMM)などの機能を提供。PCやスマートフォンなどのエンドポイントのパッチ管理からアプリケーション管理、OSの脆弱性管理まで一元的に対応します。さらにVMware Carbon Black Cloudを組み合わせることで、次世代アンチウイルスやEDR(Endpoint Detection and Response)機能を活用したエンドポイント保護を行うことが可能となります。
④現在VMware NSX Cloud Firewallの開発が進められています。オンプレミスで運用しているアプリケーションへのアクセスに対して、VMware NSXの次世代ファイアウォール(NGFW)によりIDベースの保護を実現するとともに、DPIや IPS/IDSなどのセキュリティ機能を実装します。これにより内部通信のトラフィックについても安全性を担保することが可能となります。
他社のクラウドセキュリティソリューションとも柔軟に連携
SASEを最初に提唱したガートナーは、その概念をNetwork as a ServiceとNetwork Security as a Serviceを統合したクラウドサービスと定義しています。ここまで紹介してきように、VMware SASEはそこで求められる機能要件をほぼ全面的にカバーしています。
しかし、必ずしもVMware製品群のみでSASEを構成しなければならないわけではありません。VMware SASEは、VMwareとパートナーシップを結んでいる他社ソリューションとの連携が可能です。VMware SASEプラットフォームを中軸に製品を組み合わせることで、お互いを補完し柔軟なSASE環境を実現することができます。