クラウド時代
ネットワーク&セキュリティ「SASE

「VMware SASE」のポイントを解説

クラウドやモバイル端末の活用が進むなか、新しい時代のネットワーク&セキュリティプラットフォームである「SASE」が注目されています。ここでは、SASEが求められている背景やメリットのほか、VMwareが提供する「VMware SASE」について、その特徴を紹介していきます。

SASEが注目されている理由

これまでのセキュリティ対策は、ファイアウォールやIDS/IPSなどでインターネットからの脅威を内部に入れさせないという考え方でした。しかし今日、クラウドサービスやモバイル機器の普及、それらを使ったリモートワークの一般化などにより、従来の境界型のゲートウェイセキュリティだけでは対応できなくなってきています。こうしたことを背景にいま注目されているのが「SASE」(Secure Access Service Edge:サッシ―)です。

図:従来型のネットワークとこれからのネットワーク

図:従来型のネットワークとこれからのネットワーク

SASEにしないと、こんな課題が・・・

  • クラウド化により通信量が増加し回線を圧迫、パフォーマンスが低下
  • ネットワーク回線・機材の増強などでコストが発生
  • クラウドサービスごとに、個別のポリシー設定が必要になるなど管理コストが増大

これからの時代の
ネットワーク&セキュリティ「SASE」

SASEは、クラウド上で提供されるネットワーク機能とセキュリティ機能を併せ持ったプラットフォームのとです。SD-WAN、CDNなどの「Network as a Service」と、CASB、ZTNAなどの「Network Security as a Service」が統合された環境だと言えます。 従来のセキュリティ対策は、エンドポイント、ファイアウォールといったようにポイントごとの対策だったため全体では統合されておらず、運用や管理が課題になっていました。SASEは統一されたプラットフォーム上に展開するため、新たな脅威にも新機能を追加することで迅速に対応できるようになります。

図:SASEを構成する要素

図:SASEを構成する要素

SASEにすると、こんなメリットが・・・

  • ネットワーク構成の簡素化やセキュリティ管理の一元化により運用管理負荷を軽減
  • ユーザーやデバイスの場所にかかわらず、一貫したセキュリティポリシを適用
  • アクセス遅延の低減により、業務効率や利便性の向上が期待できる

「VMware SASE」の
3つのサービス

クラウド時代にふさわしいネットワーク&セキュリティプラットフォームであるSASEは、さまざまなベンダーから提供されています。そうしたなか、VMwareから提供されているのが「VMware SASE」です。VMware SASEは、大きく分けて次の3つのサービスから構成されており、これらが有機的に連携することで、ゼロトラストセキュリティを実現するSASEプラットフォームを提供します。

VMware SD-WAN

物理的なネットワーク機器で構成されたWAN上に仮想的なオーバーレイネットワークを構築し、ソフトウェアによる制御・管理を可能とします。最適なパフォーマンスであらゆるクラウドへ接続可能になります。

VMware Secure Access

テレワークなどを行っているユーザーに対して、セキュアなリモートアクセスを可能にします。暗号化トンネル(Workspace ONE Tunnel)をベースにしたゼロトラストネットワークアクセスを実現します。

VMware Cloud Web Security

インターネットアクセスやクラウドサービス利用などの外部通信を保護するセキュリティサービス群です。「VMware SD-WAN Gateway」を経由して外部に抜けていくトラフィックをチェックします。

図:VMware SASEの3つのサービス

図:VMware SASEの3つのサービス

多様なクラウドサービスやオンプレミスへの接続を最適化
VMware SD-WAN

VMware SD-WANの最大の特徴で、他社のSD-WANソリューションに対する優位性となっているのが、全世界3,100カ所以上で提供しているクラウドゲートウェイサービス「VMware SD-WAN Gateway」です。VMware SD-WAN Gatewayを利用することで、ユーザートラフィックをさまざまなSaaSやパブリッククラウド、オンプレミスのデータセンターのすぐ近くまで最適化して転送することが可能になります。それに加え、リンクアグリゲーションやDMPO(Dynamic Multi-Path Optimization)などの技術により、WANのパフォーマンスを最大限に引き出すことができます。

また、管理プレーンのVMware SD-WAN オーケストレーターから最寄りのVMware SASE PoPに接続することで、VMware SD-WAN Gatewayを含めたVMware SASE のすべての機能を一元管理できます。アプリケーションごとの利用状況やトラフィック、端末の設置場所、回線の利用状況などがすべて可視化されるとともに、ログイン履歴やアラート情報、イベント情報などのログも証跡として残されます。これに基づいて、必要に応じて通信経路の設定変更や特定アプリケーションのQoS/優先度設定、端末アクセス制御などを実施できます。さらに、拠点の拡大やネットワーク回線の拡張にも容易に対応できます。

図:VMware SD-WANの特徴

図:VMware SD-WANの特徴

自宅や外出先で働くユーザーの安全なリモートアクセスを実現
VMware Secure Access

SD-WANエッジが配置されたオフィスやブランチオフィス、一部のパワーユーザーの自宅からは、各種SaaSアプリケーションやオンプレミスの社内システムにセキュアにアクセスすることができます。テレワークやモバイルワークなどを行っている一般ユーザーに対しても、セキュアなリモートアクセスを実現する仕組みを提供しています。それがVMware Secure Accessというサービスです。

One Fabric, One Policy

特定のアプリケーションを対象とした通信しか対応するのではなく、デバイス全体のトラフィックを丸ごとVPNのトンネルを通してVMware SASE PoPと接続することで、統一的な管理を実現します。

ゼロトラスト
ネットワークアクセス

ユーザーID、デバイスタイプ、OS、パッチ適応状況、脱獄・Root奪取の状況などによるリスクプロファイルを踏まえ、継続的な認証認可管理と状況に応じた動的なアクセスを提供します。

あらゆる
ワークロードへの対応

さまざまなSaaSアプリケーションやインターネットサービス、オンプレミスのデータセンターへのリモートアクセスを可能にするとともに、すべてのユーザーおよびデバイス、エンタープライズデータを保護します。

図:VMware Secure Accessの3種類のクライアントタイプ

図:VMware Secure Accessの3種類のクライアントタイプ

インターネットアクセスやSaaS利用などの外部通信を一括して保護
VMware Cloud Web Security

インターネットアクセスやSaaS利用など外部通信を保護するセキュリティサービスとして提供されているのが「VMware Cloud Web Security」です。「VMware SD-WAN Gateway」を経由して外部に抜けていくトラフィックをVMware Cloud Web Securityがチェックする形となります。VMware Cloud Web Securityは、プロキシサーバーに求められるさまざまなセキュリティ機能をSaaS型で提供します。

また、外部通信を保護するVMware Cloud Web Securityと連携し、内部通信のトラフィックを保護するサービスとしてはVMware NSX Cloud FWaaS(Firewall as a Service)が用意されています。

   
SSL終端 SSLの透過型フォワードプロキシとして動作。SSLのRoot CA証明書をエンドポイントでデバイスにインストールすることで通信を復号化。
URLフィルタリング マルウェアの拡散と情報の搾取を狙ったフィッシングサイトや偽装サイト、あるいは業務と関係ないアダルトサイトやギャンブルサイトなどへのアクセスを防止。
アドバンスドアンチマルウェア 安全性が確認されたドキュメントやメールの添付ファイルだけをユーザーにダウンロードさせる。
クラウドサンドボックス シグネチャで検出できない攻撃パターンに関して、クラウドサンドボックスでチェック。ゼロデイ攻撃など未知の脅威に対処。
CASB
(Cloud Access Security Broker)
SaaSアプリケーションに対するユーザー行動の可視化と制御を行い、コンプライアンスの強化、脅威対策、データ漏えい対策を実現。
DLP
(Data Loss Prevention)
機密データが企業の境界から外に漏えいしないように保護。HIPAA、PCI、GDPRといった個人情報保護のコンプライアンスにも用意に対応。
Remote Browser Isolation VMware SASE PoP上でWebブラウザのコンテンツを分離し、エンドポイントでデバイスに対してはUI部分のみをレンダリング。

クラウドセキュリティソリューション「Zscaler」と柔軟に連携

VMware SASEは、SASEに求められる機能要件をほぼカバーしています。 しかし、クラウドセキュリティソリューションのグローバルリーダーであるZscalerのZscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)などのソリューションと連携することで、より柔軟で強固なSASEを実現することができます。

SASE 構成要素 VMware 社 Zscaler 社
SD-WAN
VMware SD-WAN
×
Devise Management
Workspace ONE UEM
×
End Point Security
Carbon Black Cloud
×
Firewall as Service
NSX Cloud Firewall

Zscaler Internet Access
Zero Trust Network Access
Workspace ONE Tunnel(VMware Secure Access)

Zscaler Internet Access
Secure Web Gateway
VMware Cloud Web Security

Zscaler Internet Access
Cloud Access Security Broker
VMware Cloud Web Security

Zscaler Internet Access
DNS Security ×
Zscaler Internet Access
Browser Isolation
VMware Cloud Web Security

Zscaler Internet Access
Data Loss Prevention
VMware Cloud Web Security

Zscaler Internet Access

図:VMware SASEとZscalerとの連携

株式会社ネットワールドについて

社名
株式会社ネットワールド
設立
1990年8月1日
代表者
代表取締役社長 森田 晶一
所在地
[本社] 東京都千代田区神田神保町2-11-15 住友商事神保町ビル
事業内容
ネットワーク製品のソリューション・ディストリビュータ
VMware社を始めとする様々なネットワークベンダー(メーカー)の主要ディストリビュータであり、300以上のベンダー、3万点以上の商品を取り扱い、どんなユーザーにも、最適なシステム構築を提供できる製品を品揃えしています。