先週、私はAryaka HybridWANと、ブランチにエンタープライズクラスのSLAでインターネット接続を提供するその革新的なアプローチについてブログを書きました。 もちろん、インターネットに支店を開設した時点で、セキュリティは大きな関心事です。

SD-WANのセキュリティに関して言えば、私たちの業界には2つの一般的なアプローチがあることを観察するのは簡単です:

  • 統合ソリューションの姿勢、つまり「私のSD-WANを導入すべきです。なぜなら、それは偶然にも私の統合セキュリティソリューションと統合されているからです。私を信じてください。 このような姿勢はSD-WANの世界では非常に一般的ですが、明らかにロックイン戦略を意味し、企業の特定のセキュリティ嗜好やニーズにとって不利になる可能性があります。
  • SD-WAN企業として、ほとんどの企業は特定のニーズに合わせて多層的なセキュリティアプローチをカスタマイズする必要があることを理解しています。したがって、私たちはいくつかの基本的なセキュリティ機能を提供します。

AryakaはSD-WAN企業であり、Open Security Solutionの姿勢を堅持しています。 その理由は? 何よりもまず、私たちはお客様第一の企業です。 当社の「WAN の現状 2019」レポートは、SD-WAN を導入するすべての企業にとってセキュリティが最大の関心事であることはもちろんですが、大半の企業が選択の余地を必要としていることをしっかりと立証しました。 企業アーキテクチャの問題から規制上のニーズまで、さまざまな理由があるため、単一のセキュリティ・ソリューションですべての企業のニーズをカバーできることはほとんどありません。 また、複数の業界アナリストが、セキュリティに対する多層的なアプローチの必要性を繰り返し立証しています。

Aryakaのセキュリティに対するアプローチはオープンで率直です:

まず、セキュリティの基礎となる側面があります。 ブランチでは、基本的なステートフル・ファイアウォールが必要で、ポリシーベースのセグメンテーションが必要です。 私たちは、この2つの機能を分岐デバイスであるANAP(Aryaka Network Access Point)に統合しています。 私たちはこの機能をAryaka Zonesと呼び、ANAPに無料の基本機能として搭載しています。 Zonesは、基本的なアクセス・セキュリティのためにステートフル・ファイアウォールを提供し、ブランチを外界からセグメンテーションします。 さらにゾーンでは、ポリシーに基づいてトラフィックを厳密に内部分割します。これは通常、公衆インターネット(ゲストWiFi、コンシューマ向けアプリなど)、クラウドセキュリティ、DMZ、企業トラフィックの厳密な分離を意味します。 当社のポリシーは、支店内で最大32ゾーンまで柔軟に対応できます。 Aryaka Zonesは、東西のセグメンテーションだけでなく、セグメント間(支店内または支店間)の通信を制限し、セキュアにするためにも活用できます。

ソフトウェア定義支店

第二に、AryakaはZscaler、Palo Alto Networks、Symantecなどのクラウドセキュリティのリーダーと提携し、選択肢と容易な統合を提供しています。

しかし、アーキテクチャの実現に話を戻しましょう:VLANベースのセグメンテーションは素晴らしいですが、レイヤ3でのセグメンテーションを必要とする多くのアプリケーションケースがあります。 VRFによるレイヤ3セグメンテーションの典型的なユースケースは、マルチテナントです。 この機能はANAPにも含まれています。

アーキテクチャ上、多層セグメンテーションを実装し、包括的なポリシーフレームワークをサポートする場合、マイクロセグメンテーションアーキテクチャをサポートすることになります。 でも聞いてください:Aryakaは、いわゆるゼロ・トラスト・セキュリティのアプローチをサポートするマイクロセグメンテーション・ソリューションのスタック全体を提供しているわけではありません。 私たちは、L2およびL3でアーキテクチャの有効化を提供します。 L2/3の基盤となるマイクロ・セグメンテーション機能を包括的なフレームワークに結びつけ、いわゆるゼロ・トラスト体制を実現するための、より高いレベルの、業界のデファクト・スタンダードなアイデンティティとポリシーのフレームワークがあります。

マイクロ・セグメンテーションとゼロ・トラストは切っても切れない関係にあり、一方を語れば、すぐにもう一方について業界の識者から質問されるでしょう。 では、信頼ゼロとは? 最近多くのことがそうであるように、業界標準は存在しません:ゼロ・トラストとは、身元が確認されない限り、何も、誰も企業内に入れることを許さないセキュリティ姿勢のことで、アクセスが許可されると、ポリシーによってネットワーク内の選ばれたいくつかのマイクロセグメントにマッピングされます。

ゼロ・トラストは、IPネットワークが可能にしたユニバーサル・コネクティビティの前提に対する対抗策だと言えます。 IPのユニバーサル・コネクティビティ・スタックは産業革命を可能にしましたが、そのユニバーサル・コネクティビティが仇となりました。 その結果、私たちはユニバーサル・コネクティビティを失い始めました。 ファイアウォールが最初でした。 続いて侵入検知。 統合脅威管理はその次の目的でした。 でも考えてみれば、それらはすべて受動的な防御の姿勢です。 ゼロ・トラストは、企業のセキュリティ・アーキテクチャにおける破壊的で攻撃的な動きを象徴しています。

ゼロ・トラスト・アーキテクチャについてもう1つ。スタックに関わるすべてのテクノロジー・ベンダーが非常にオープンなアプローチを取る必要があるのは明らかです。 単一の社内セキュリティソリューションを提唱するSD-WANベンダーは、企業セキュリティの方向性を見落としていることは明らかです。

要約するとAryakaの多層セキュリティへのオープンなアプローチは、企業が好む選択肢を提供し、新たなゼロ・トラスト・セキュリティ態勢が基礎的なイネーブラとして必要とするものです。

著者について

ポール・リーゼンバーグ

ポールはAryakaのプロダクト・マーケティング・チームのシニア・マネージャーです。 ポールは、Cisco、LiveAction、Bivio Networks、StrataComにおいて、製品マーケティング、製品管理、セールスエンジニアリング、事業開発、ソフトウェアエンジニアリングの分野で20年以上の経験を有しています。 趣味はスキューバ・ダイビング、オートバイ、オープン・ソフトウェア・プロジェクト、油絵。

共著者について

ゴクル・スリヴィクラマン・ナイール

ゴクル・スリヴィクラマン・ナイール

GokulはAryakaの製品管理チームのプリンシパル・プロダクト・マネージャーです。 セキュリティ、ネットワーキング、SD-WAN、ネットワーク仮想化など、さまざまな分野の製品管理およびソフトウェアエンジニアリングにおいて12年以上の経験を有しています。