最大化 SASE パフォーマンス: 「大規模な」分散型執行の重要な役割

ネットワーク セキュリティ導入アーキテクチャは、さまざまなエンタープライズによって定期的に進化します。erp要件が上がります。 業界の最近の傾向の一部を以下に概説します。

• dに関連するコストとメンテナンスの負担を最小限に抑えるisp複数のネットワーク セキュリティ システムを備えています。
• データセンター内のすべてのネットワークを含む「どこでもゼロトラスト」義務を実装します。 WANおよび Kubernetes クラスター内で。
• 高いパフォーマンス (スループット、遅延の削減、ジッターの最小化) を確保し、ユーザー エクスペリエンスを向上させ、WebRTC などのリアルタイム アプリケーションをサポートします。
• 分散した従業員のニーズに応えます。
• の要求に応える リモート労働力.
• 導入の増加 SaaS 耳鼻咽喉科によるサービスerp上昇します。
• 依存度の増大 Cloud 耳鼻咽喉科用erpアプリケーションを上昇させます。
• マルチを受け入れるCloud 展開。
• エッジ コンピューティングとフォグ コンピューティングの潜在的な利点を探ります。
• ネットワークおよびセキュリティの役割を担う熟練した人材のトレーニングや獲得が困難。
• 分散オフィスのラストマイルのインターネット接続の管理に必要なリソースを最小限に抑えます。

従来のネットワークとセキュリティのアーキテクチャ

耳鼻咽喉科erp複数のオフィスとリモートワーカーが増加し、従来はネットワーキングとセキュリティインフラストラクチャの調達と維持にかなりのリソースが割り当てられていました。 以下の簡略図は、以前に採用された典型的なアーキテクチャを示しています。

この例では ent が特徴ですerp世界各地に XNUMX つの支社と XNUMX つの本社を構えています。 セキュリティ アプライアンスにかかる費用を削減し、管理オーバーヘッドを軽減するために、すべてのセキュリティ実施は本社に集中化されています。 ブランチ オフィスやリモート ユーザーからのトラフィックは、目的の宛先に進む前に、セキュリティを強化するために近くの本社にルーティングされます。 '薄い CPE' デバイスは通常、このトラフィック トンネリングを容易にするためにブランチ オフィスに導入されます。

主要オフィスには以下の設備が備わっています。 VPN トンネルを終端するためのコンセントレータ、エクスプロイトの検出と削除、きめ細かいアクセス制御の実装、マルウェアからの保護、フィッシング攻撃の防止のための複数のセキュリティ デバイス。

ただし、トラフィック フロー (図の 1 で示されるフロー) に示されているように、ブランチ オフィスからインターネット サイトへのトラフィックはヘアピン ルートに従います。 このルーティングにより遅延が増加する可能性があり、特に支店と近くの本社がかなり離れた場所にある場合、ユーザー エクスペリエンスが最適ではなくなる可能性があります。 いくつかのエントerpライズ社は、専用リンクを採用することでスループットを向上させ、ジッターを削減しようとしましたが、これらのソリューションはコストが高く、遅延の問題に適切に対処できませんでした。

さらに、それぞれが独自の構成と分析ダッシュボードを備えた複数のネットワーク デバイスとセキュリティ デバイスを管理することは、課題を引き起こします。 この複雑さにより、担当者が複数のインターフェイスに関するトレーニングを受ける必要があるため、構成に誤りが発生しやすくなる可能性があります。

これらの従来のセキュリティ アーキテクチャでは、ユーザー認証を条件としたユーザーベースのアクセス制御を提供するのではなく、ネットワーク セグメンテーションと IP アドレスに依存しており、ゼロトラスト原則が見落とされていることがよくありました。 このアプローチは当時は効果的に機能していましたが、リモートワークのシナリオが増加し、NAT (Network Address Tran) が広範囲に使用されるようになりました。slation) により、IP アドレスによるユーザーの識別はますます難しくなりました。 その結果、このひずみにより、レガシー アーキテクチャの限界が明らかになり始めました。

Cloud/POP によるセキュリティ

オンプレミスのセキュリティ インフラストラクチャの維持、リモート ワークの需要への対応、トラフィック ヘアピニングに伴う遅延の削減、および cloud & SaaS サービス、 cloudベースのセキュリティ ソリューションが、有望な代替手段として登場しています。 多くのエントerpこれらを活用して上昇が始まっています cloud-下の図に示すように、これらの問題に対処するセキュリティ ソリューションを提供しました。

セキュリティ サービスは、さまざまな Point of Presence (POPs）プロバイダーによる。 エントerpライズ社は、オフィスの配置とリモート従業員の集中に基づいて POP の場所を柔軟に選択できます。 任意の場所を宛先とするクライアント トラフィックは、セキュリティが適用される最も近い POP を通じてルーティングされます。 このルーティングは、次を使用して容易に実行できます。 CPE オフィスのデバイスや VPN リモート ユーザー デバイス上のクライアント ソフトウェアを使用して、POP の場所が近いために従来のセキュリティ アーキテクチャに関連する遅延を削減します。

当初、業界では複数のベンダーによるセキュリティ サービスが利用されていましたが、単一ベンダーの統合テクノロジー ベースへの移行が進んでいます。 cloud セキュリティサービス。 これらの統合サービスは、合理化されたセキュリティ構成とオブザーバビリティ管理を提供し、従来の展開アーキテクチャの断片化されたセキュリティ管理に対処します。

この設定はインターネット宛てのトラフィックに対しては良好に機能しますが、SaaS フロー (4) と (5) に見られるように、両方の通信エンティティが同じサイト、データ センター、または Kubernetes クラスター内にある場合、新たな課題が発生します。 フロー (4) は、同じサイト内のエンティティ間のトラフィックが最も近い POP ロケーションにトンネリングされ、その後ルーティングされて戻されることを示しています。 これは、すべてのトラフィック フローにセキュリティ対策を適用し、ゼロトラスト要件を満たすために行われます。 フロー (5) は、XNUMX つのアプリケーション サービス間の通信を示しています。ゼロトラストの要求を満たすために、セキュリティ処理のためにサイトから最も近い POP にルーティングされてから、同じ Kubernetes クラスターに戻ります。 このプロセスにより、これらのフローの遅延が誤って増加し、トラフィックが追加のエンティティに不必要に公開される可能性があります。

いくつかの耳鼻咽喉科erp多くの企業は、さまざまなオンプレミス セキュリティ アプライアンスを展開することでこの遅延を回避していますが、これにより、従来の展開アーキテクチャに関連する課題が再び発生します。

POP で提供されるセキュリティに関するもう XNUMX つの課題は、パフォーマンスの分離に関連しています。 これらのプロバイダーは複数の顧客/テナントにサービスを提供するため、近隣の騒音に関連してパフォーマンスの問題が発生する場合があります。 つまり、他社のトラフィック量が自社のトラフィック パフォーマンスに影響を与える可能性があります。 これは、複数の企業からのトラフィックに対して同じ実行コンテキストが共有されるためです。

エンターとしてerpライズは、ゼロトラスト要件を満たし、統合ポリシー管理を提供し、パフォーマンスの分離を提供し、ヘアピンによる不必要な遅延を軽減するソリューションを求めています。 ネットワークセキュリティー 業界は、これらの懸念に対処するために導入アーキテクチャを進化させてきました。 統合セキュア アクセス サービス エッジ (SASE)、次のような企業によって提供されます。 Aryaka、この状況において極めて重要な役割を果たすことが浮上しました。

企業間とアプリ間の SASE ハイブリッドおよび分散セキュリティ サービスを使用

理想的なアーキテクチャとは、以前のアーキテクチャに見られた管理の複雑さを軽減し、厳しいゼロトラスト要件を満たし、南北および東西の両方のトラフィック フローに対して同等レベルのセキュリティを確保し、統一されたポリシー管理を提供し、パフォーマンスの分離を提供し、ヘアピンに関連する遅延の問題を回避します。

企業間とアプリ間の SASE のような企業から Aryaka 上記の要件の多くを満たすアーキテクチャを提供します。 下の写真をご覧ください。

描かれたアーキテクチャ内では、ネットワークとセキュリティの施行は POP/ を超えて拡張されます。Cloud 包含する場所 CPE デバイスはすべて同じサービス プロバイダーによって提供され、均一に管理されます。 この戦略により、これらのメンテナンスに関する顧客の懸念が軽減されます。 CPE デバイス。

これらのデバイスでトラフィック過負荷が発生した場合にのみ、セキュリティ強化のために新しいトラフィックが近くの POP ロケーションに転送されます。 POP の場所に再ルーティングされるトラフィックの量は、選択した CPE デバイス モデルを変更し、フォールバック トラフィックを削減します。

リモート アクセス ユーザー (6 として示されている) からのトラフィックに関しては、以前のアーキテクチャと同様のパスをたどります。 リモート ユーザー デバイスからのトラフィックは、目的の宛先に到達する前に、最寄りの POP ロケーションでネットワークおよびセキュリティ処理を受けます。

このアーキテクチャ内のフロー (1) と (2) は POP の場所をバイパスし、最小限の待ち時間さえ排除します。 cloud-納品されたセットアップ。

さらに、サイト内に含まれるフロー (4) と (5) は、レイテンシのオーバーヘッドを回避するだけでなく、攻撃対象領域も削減します。 このローカル セキュリティの強制は、遅延の問題に敏感な WebRTC のようなリアルタイム アプリケーションにとって不可欠です。

決定論的で低ジッターのパフォーマンスを必要とするさまざまなサイトのアプリケーション サービスの場合、 SASE プロバイダーは、最寄りの POP ロケーションを介してサイト間の専用接続を提供します。 フロー (3) は、専用の帯域幅とリンクの恩恵を受け、インターネット バックボーンをバイパスして確定的なジッターを実現するトラフィック フローを例示しています。

すべてが統一されていないことに注意することが重要です SASE 提供内容は同一です。 いくつかの SASE プロバイダーは、ネットワークの最適化とセキュリティのために、すべてのオフィス トラフィックを最寄りの POP ロケーションにリダイレクトします。 複数の POP ロケーションによるレイテンシのオーバーヘッドは軽減される可能性がありますが、レイテンシの短縮は企業にとって有利であることがわかります。erp特に潜在的な低遅延アプリケーションのニーズを見越して、増加しています。 エントerp新興企業は、パフォーマンスやユーザー エクスペリエンスを損なうことなく、使いやすさと高度なセキュリティを優先するソリューションを求める可能性があります。 オフィス全体で低ジッターの必要性を考えると、Enterp企業は、インターネット バックボーンをバイパスするオフィス間の専用仮想リンクを提供するプロバイダーを検討する必要があります。

耳鼻咽喉科にとってもう XNUMX つの重要な要素erpライズ社は、メンテナンスとソフトウェア更新を管理するプロバイダーを選択しています。 SASE-CPE デバイス。 従来のモデルでは、Enterpライズはアップグレードと交換の責任を負いました。 この懸念を回避するには、Enterp新興企業は、全体をカバーする包括的な管理されたホワイトグローブ サービスを提供するサービス プロバイダーを検討する必要があります。 SASE インフラストラクチャのライフサイクル。顧客宅内機器 (CPE) デバイスの管理、構成、アップグレード、トラブルシューティング、および可観測性。 これらのプロバイダーはワンストップ ショップとして機能し、ネットワークとセキュリティのあらゆる側面を処理すると同時に、エンタープライズ向けに共同管理またはセルフサービスのオプションも提供します。erp上昇します。

将来を見据えて – 普遍的かつ統一された SASE

既存のアーキテクチャフレームワークにもかかわらず、「統一された」 SASE 「分散セキュリティを使用すると」は、この記事で詳しく説明されているいくつかの初期要件を十分に満たしていますが、セキュリティの整合性を損なうことなくアプリケーションのパフォーマンスを向上させるための追加の戦略が存在します。 将来に目を向けると、セキュリティの強化とトラフィックの最適化はこれまで以上に進歩すると予想されます。 POPs そしてオフィスの端。 これらの新しいアーキテクチャ アプローチは、フロー (5) と (7) をターゲットにしており、特にパフォーマンスのレイテンシーの側面を改善することを目的としています。

図に示されているように、セキュリティと最適化を普遍的に、特にトラフィックの発信元で実装するという概念により、最適なパフォーマンスが得られます。

注意すべき主要なトラフィック フローは (5) と (7) として示されています。

マイクロ/ミニサービスベースのアプリケーション アーキテクチャの普及は、アプリケーション環境において標準になりつつあります。 これらのミニサービスは、Kubernetes クラスター内にデプロイすることも、データセンター内のクラスター全体に展開することも、地理的に異なる場所に分散することもできます。 通信サービスが同じ Kubernetes クラスター内に存在するシナリオでは、トラフィックがクラスター内に留まるようにすることで、Kubernetes 環境内でセキュリティと最適化を直接適用できるようにすることが有利になります。 Kubernetes を使用すると、ミニサービスをホストする POD へのサイドカーの追加が容易になります。 期待しています SASE プロバイダーは将来この機能を活用して、パフォーマンスを損なうことなくゼロトラスト要件を満たす包括的なセキュリティおよび最適化機能を提供する予定です。

単一のユニバーサルを選択する SASE プロバイダーは ENT を許可しますerp通信サービスの配置に関係なく、すべてのセキュリティ ニーズに対応する統合管理インターフェイスが登場します。 写真のフロー (5) は、サイドカー (SC) によるセキュリティの強化を示しています。 Kubernetes の世界ではサイドカーは目新しいものではないことに注意することが重要です。 サービス メッシュ テクノロジーは、トラフィック管理に同様のアプローチを使用します。 一部のサービス メッシュ プロバイダーは、WAAP などの脅威セキュリティをサイドカーに統合し始めています。 サービスがインターネットなどと通信できることを考慮すると、 SaaS サービスを利用するには、総合的なセキュリティ対策が不可欠です。 その結果、サービス メッシュとサービスの統合が行われることが予測されます。 SASE 将来的には、erpライズは包括的で統一されたソリューションを求めています。

(7) として示されているトラフィックは、多くの考慮事項です。 SASE プロバイダーは、 VPN クライアント機能だけでなくパフォーマンスも向上 SASE エンドポイント上で直接機能します。 延長中 SASE エンドポイントに接続すると、POP の場所に関連する遅延の問題を回避できます。 エンドポイントの計算能力が向上し、悪意のある攻撃によるサービス拒否を防ぐための制御が強化されています。cio私たち実体は、拡張することが可能になりました SASE エンドポイントへの強制。

サービスプロバイダーはメンテナンスの負担を負いますが、 SASE サイド、エントerp値上げの実施を確実にする必要があるかもしれない SASE エンドポイント上で新たな問題が発生することはありません。 したがって、erp上昇は実現における柔軟性を求める SASE 特にパワー ユーザー向けのエンドポイントの拡張機能。

閉じた思考

この記事では、ネットワークとセキュリティの進化を説明し、レガシー システムから最新のシステムへの道筋を示しました。 cloud- 統合されたソリューションを提供 SASE 分散型施行と、将来のアーキテクチャ設計を想定しています。

提供されるソリューションの差異を認識することが最も重要です。 エントerpライズはサービスプロバイダーの徹底的な評価を実施し、分散型施行をカバーする「as-a-service」ソリューションを模索する必要があります。 PoPs & CPE セキュリティとパフォーマンスの両方を維持する一貫した管理慣行を維持しながら、OS とソフトウェアのアップグレードを含むデバイスの管理を行います。

さらに、耳鼻咽喉科にとっても重要ですerp単一プロバイダーからのマネージド (または共同マネージド) サービスを優先するようになりました。 これらのサービスは、高度な技術サポートを備えたインターネット接続ソリューションを提供するだけでなく、新しい要件に迅速に適応し、新たな脅威に対処する必要があります。 他のサービスとしてのサービスを使用するマネージド サービス プロバイダーを選択する SASE ベンダーは、将来の機能拡張において複雑な問題を引き起こす可能性があり、マネージド サービス プロバイダーとテクノロジー プロバイダー間の長期にわたる交渉を必要とします。 迅速な解決が不可欠であることを考えると、統一は SASE XNUMX つのプロバイダーが提供する包括的なマネージド サービスを備えたソリューションは、エンタープライズ企業にとって理想的な選択肢となります。erp上昇します。

• CTO の洞察ブログ

  　 Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。