セーズ

インドの古典的な寓話で、6人の盲人が象のさまざまな部分に触れると、象とは何かについてまったく異なる認識を持つようになるという話を聞いたことがありますか? この話は、主観的な経験のみに基づいて、あるテーマについて全面的な権威を主張することができるのか、と考えさせるものです。

この物語が現在のSASEの状況にどのように当てはまるかをお話しする前に、ジョン・ゴドフリー・サックスの「Blind Men and the Elephant」のキャッチーなバージョンをお楽しみください:

インドスタンの6人、
多くのことを学ぶことに、
象を見に行った人
(全員が盲目でしたが)、
それぞれの観察によって
彼の心を満足させるかもしれません。

Gartner社が定義するSecure Access Service Edge(SASE、「サッシー」と発音)は、この1年間、セキュリティとネットワーキングの両業界でトレンドとなっているトピックです。 それには理由があります。 企業は、ネットワークとセキュリティにまたがる広範なデジタルトランスフォーメーション・イニシアチブを維持するために、自由に使えるリソースと予算が限られている中で、両端からろうそくを燃やし続けています。

SaaSアプリケーション、マルチクラウド環境、IoT、ビッグデータ構想に対応するためにすでに手薄になっていたネットワーク・チームは、自宅やその他の場所からこれらのビジネス・アプリケーションにアクセスしようとする多数のリモート・ユーザーやデバイスに、これらのサービスやアプリケーションのすべてへの迅速かつ信頼性の高いアクセスを提供する必要に迫られています。 彼らが最後に望んだのは、より複雑で、トレンドについていけなくなることでした。 しかし、このような慌ただしさが、SASEを採用するのに最適な時期なのかもしれません。

SASEの解読

なぜ」「どのように」の前に、まずSASEとは何かを理解することが不可欠です。 ガートナーが2019年に導入したエンタープライズ・テクノロジー・アーキテクチャであり、カテゴリーです。 ガートナー社によると、SASEの簡単な定義は、ネットワーキングとセキュリティ・ポイント・ソリューションの機能を統合し、グローバルなクラウド・ネイティブ・サービスにすることです。 これは、デジタルビジネスへの適応性と俊敏性のあるサービスを促進する、エンタープライズネットワーキングとセキュリティのアーキテクチャ上の進化です。

専門用語が多い? 簡単に言えば、支店やクラウドベースのトラフィックをすべて企業のデータセンター経由で送り込み、セキュリティを確保するという原始的なハブ・アンド・スポーク方式は、もはや通用しないということです。 また、ネットワーキングとセキュリティを別々のサイロとして見ることもありません。 SASEは、クラウド経由で同じネットワーキング・セキュリティ・スタックを提供し、クラウド・ネイティブのトラフィックが企業ネットワークに到達する必要がないようにすることを目指しています。 でも待ってください…そんなに簡単ではありません。 私がこのブログをあの象の話から始めたのには理由があります。

従来のアプローチの前に
SASE後

多くのシェフがケーキを台無しに

SASEとは何ですか?”とググると、10社のSASEベンダーがそれぞれのシナリオに合うように調整した10種類の説明が出てくるでしょう。 SASEの新しさも混乱の一因ですが、SASEの真の意味を理解することが不可欠です。

SASEは単なるネットワークとセキュリティの融合ではありません。 SASEの背後にある考え方は、統合の概念を超えて、この統合されたソリューションがどのように見え、感じられ、提供されるべきかを掘り下げています。 SASEの青写真は、単一のマネージド・サービス・プロバイダーによるクラウドベースのサービス・モデルに重点を置くべきです。

さらに、SASEは一般的にクラウドサービスとして提供されていますが、より良い結果を得るためにクラウドベースのソリューションを物理的なソリューションで補完する必要がある場合もあります。 例えば、データをクラウドに移して検査するのではなく、機密データを処理する際にはエッジ・セキュリティが必要です。 このように物理的なセキュリティ機能とクラウド上のセキュリティ機能を統合することで、エッジやクラウド上の完全にサイロ化されたシステムにセキュリティをアウトソーシングするのではなく、SASEの役割をネットワークの奥深くまで浸透させることができます。

SASE対SD-WANではなく、SASEとSD-WANである理由

SASEがSD-WAN技術の後継としてもてはやされているのはおかしなことです。 どちらかといえば、互いに補完し合うものです。 SASEは、クラウドセキュリティと包括的なWAN機能を統合し、適切な割合で混合することで、トラフィックフローの最大効率とサイバーセキュリティの適応性を実現します。

SASEは、ローカル・インターネット・ブレイクアウトによるバックホールアーキテクチャからのレイテンシを軽減しますが、パブリック・インターネットの予測不可能性を排除することはほとんどできません。 ミッションクリティカルなアプリケーションがYouTubeのトラフィックよりも優先レーンを確保するにはどうすればよいでしょうか? さらに、多くのデータ機密性の高いビジネス・アプリケーションはすぐにクラウドに移行しないため、支店からDC、または支店から支店への接続には依然としてエッジ・コンピューティングのパワーが必要です。 SD-WANはネットワーク機能の中心であり、SASEはセキュア・ウェブ・ゲートウェイ(SWG)、ゼロ・トラスト・ネットワーク・アクセス(ZTNA)、FWaaS、クラウド・アクセス・セキュリティ・ブローカー(CASB)といった他のセキュリティ・サービスと融合させ、コア能力としています。 力を合わせれば、総合的なWAN接続とセキュリティ・ソリューションを構築できる可能性があります。

でも、お金の節約になりますか?

企業は一般的に、侵害の影響を受けやすいさまざまなネットワーク・ポイントを保護するために、複数のポイント製品に依存しています。 これには、アプリケーション・ファイアウォール、VPNアプライアンス、その他の物理的な製品が含まれます。 それらのほとんどは、独自のポリシー、プロトコル、インターフェイス、サポートを備えています。 結果は? バラバラのソリューションでは、管理が複雑で運用コストが高くなります。

SASEは、様々なベンダーの仮想アプライアンスや物理アプライアンスを介して組み立てられた、このバラバラなモデルを排除するオプションを提供します。 その代わりに、単一のハンド・トゥー・シェイク・モデルを提供することで、雑多なアプライアンスのコストを排除し、さまざまな統合ポイントで発生する可能性のある不要な複雑さを緩和します。 つまり、それを運営するITスタッフの削減も意味します。 最終的には、ユーザーはより良い節約を見るに違いありません。

アーリアカ:SASEへの道を開く

企業は、アーキテクチャや規制のニーズに合わせて選択する力を必要としています。 Aryakaのセキュリティ戦略は、常に「選択する力」を提供することにあります。

ANAP内のアクセスファイアウォール、Aryakaのセキュアアクセスサービスエッジ(SASE)は、支店での「南北」制御を提供します。 Aryaka Zonesは、ポリシーベースのアクセスによるサイトセグメンテーションによって、これを「東西」セキュリティでLANに拡張します。 この2つの機能により、内部およびDMZの両方のLANトラフィックから、AryakaおよびインターネットへのWANトラフィックをセグメント化します。

Aryakaのセキュアアクセスサービスエッジ(SASE)

当社のソリューションはまた、VNF(仮想ネットワーク機能)として、AryakaのANAPサービスエッジCPEに高度な次世代ファイアウォール(NGFW)機能を統合しています。 Aryakaは、ベスト・オブ・ブリードのベンダーと提携し、企業固有のアーキテクチャや規制要件に最適なソリューションを企業に提供します。

Aryakaは、Aryaka PoPでCheck Point CloudGuard Connectと統合し、そこに到達するすべてのトラフィックを最適化して保護します。 3つ目の機能は、ZscalerPalo Alto Networks、Symantecなど、Aryakaのセキュリティ・パートナーを通じてクラウドにセキュリティを拡張することです。 例えば、ある企業がZscalerの無料のクラウドベースのsecurity-as-a-Serviceを利用し、Aryakaがトラフィックを適切に制御するとします。 また、リモートワーカーはPalo AltoのPrisma Cloud Security Suite経由でAryakaにアクセスし、認証とアクセラレーションを行うこともできます。

この統合ソリューションは、Aryaka のフルマネージド型クラウドファースト WAN機能とチェック・ポイントのセキュリティ・ソリューションを緊密に統合するものです。 Aryakaのグローバルなサービス拠点(PoP)とマルチクラウド・ネットワーキング機能によるサービス・デリバリーのフットプリントを活用しながら、企業がSASEなどの新しいアーキテクチャ・アプローチを採用するためのビルディング・ブロックを提供します。 そして、それはすべてサービスとして提供されます。

アーリアカSASEアーキテクチャ

並行して、Aryakaのプライベートコアは、データを暗号化し、DDoS攻撃から保護しながら、すべての企業にパーティション化された接続性を提供します。 支店内では、企業はSyslogとNetflowロギングにアクセスすることができ、ネットワークレベルでは、MyAryakaクラウドポータルがサービス構成、監視、および健全性のための単一のガラスペインを提供します。

最後に、部屋の中の象を取り上げましょう。 SASEをDIYで行うべきか、フルマネージドで行うべきか? 最先端のセキュリティ・ソリューションを構成するすべての要素の設定、運用、更新に必要なあらゆる側面を把握し続けることは複雑な作業であり、ITチームに負担をかける可能性があることは、あまり知られていません。 さらに重要なことは、SASEがクラウドのパラダイムに従っていることを考えると、OpExクラウド消費モデルに従ったフルマネージドサービスは、よりコンセプトに沿ったものであり、IT支出を従量課金モデルに切り替える素晴らしい方法です。

セキュリティ・アーキテクチャの詳細については、セキュリティ・アーキテクチャのホワイトペーパーをご覧ください。

世界的に最も普及している WANトレンドについて詳しくお知りになりたいですか?ウェビナーにご登録いただき、ITおよびネットワークの専門家が何を考え、どのような分野に重点を置き、過去1年間で優先事項がどのように変化したかをご理解ください。