違い SASE、統一 SASE そしてユニバーサル SASE

By Srini Addepalli | 2022 年 9 月 9 日

何ですか SASE?
SASE (Secure Access Service Edge) は Gartner によって定義されています。ネットワークセキュリティ機能は新しいものではなく、 SD-WAN この業界では新しいことではありません。 SASE それらを cloud サービス。簡単に言えば、 SASE 組み合わせ SD-WAN、ネットワークセキュリティ機能を提供し、 cloud サービス。

SD-WAN プロバイダーは、Ent に決定的で信頼性の高い接続を提供しますerp地理的に分散された PoP インフラストラクチャを介して、異なる場所に複数のオフィスを持つことが増加しています。 SD-WAN サービスも提供しています VPN-ベースの安全なリモートアクセス WFH (Work-From-Home) およびローミングユーザーを ENT に接続します。erpネットワークを立ち上げます。多くの SD-WAN サービスには、ファイアウォールや NAT などの基本的なセキュリティコンポーネントも含まれています。

脅威防御機能の組み合わせ - 次世代ファイアウォール、マルウェア対策、 URL フィルタリング機能や情報漏えい防止機能により、さまざまなインターネットを保護します。erpで資産を増やす SD-WAN 複数のメリットを提供します入口へerp上昇します。利点としては、ネットワークインフラストラクチャの複雑さが軽減され、Ent の変更に伴う高速な立ち上げ/停止が挙げられます。erp上昇サイト、 cloud サービス、 SaaS サービス、分散した従業員、Ent への負荷の増大によるより高速なスケールアウトerpアプリケーションを上昇させます。エントerpまた、rise 管理者は、ポリシー管理と可観測性を単一画面で確認できます。ネットワーキングとセキュリティの分散実施ポイントは、ユーザーとアプリケーションがどこにいても、一貫した決定的なエクスペリエンスを提供します。

どういう SASE 構成しますか？
下の図は、 SASE. SASE サービスはクライアントエンティティと Ent の間に位置します。erpアプリケーション/データ資産の増加。クライアントには、人間のクライアント、デバイス、プログラムが含まれます。クライアントはどこにいても構いません。エントerpデジタル変革によるアプリケーションとデータの増加はエンタープライズに限定されませんerpオンプレミスの場所とコロラドが上昇します。エントerp複数のリージョンと複数の場所にアプリケーションをデプロイするケースが増加しています。 cloud復元力、冗長性、低遅延、および規制上の理由から。エントerpライズも利用が増えています SaaS サービスも複数の場所に展開されます。どこでもクライアントとどこでもサービスにより、 SASE サービスは分散サービスとしても提供されますが、当然ながら共通の管理プレーンが使用されます。

の主なコンポーネント SASE には次の値があります:

SD-WAN: SD-WAN 複数のネットワークを介して、オフィスとデータセンター間に安全で最適化された確定的で信頼性の高い接続を提供します。 PoPs 中央管理を使用します。 SD-WAN サービスはよりスマートになっています。関連する基本的な機能はもうありません。 MPLS 置き換えだけでなく、ユーザーおよびアプリケーションを意識したルーティングも提供します/QoS, SaaS インテリジェントなルーティングによる高速化、 WAN 冗長データへの低遅延アクセスのための最適化とキャッシュ、さらには NAT、ファイアウォール、 VPN.

次世代ファイアウォール (NGFW): あらゆる種類のアクセスに対する基本的なセキュリティ技術です。通常、NAT、ステートフルインスペクション、IDS/IPS (侵入検知および防止システム) サービスを提供します。ゼロトラスト要件に対処するには、 NGFW in SASE 建築 ID を認識したアクセス機能をサポートすることが期待されています。

ゼロトラストネットワークアクセス (ZTNA): ZTNA 機能が Ent を保護しますerpアプリケーションと関連データが増加します。 SD-WAN サービスには、次のような基本的な ZTNA 機能があります。 VPN およびステートフル検査ファイアウォール。それを ZTNA と呼ぶには十分ではありません SASE 建築。 ZTNA 機能には、アイデンティティを認識したアプリケーションアクセス、「最小権限アクセス」原則に対処するためのアプリケーションへのユーザーロールベースのきめ細かなアクセス、アプリケーションの複数のインスタンスに対するトラフィックエンジニアリングが含まれます。 cloudデータセンター、重要なサービスへの特権アクセス管理など。差別化された ZTNA フレームワークは、WAF (Web アプリケーションファイアウォール)、API セキュリティ、DLP (データ損失防止)、およびマルウェア対策機能で強化されており、脅威からの保護とデータ漏洩の試みを阻止します。

Cloud アクセスセキュリティブローカー (CASB): CASB 機能がEntを保護しますerp上昇データ SaaS 正規のユーザーが許可されたリソースにアクセスしていることを確認することでサービスを提供します。さらに重要なのは、アクセスされているユーザーとリソースを可視化できることです。 CASB許可されていないアクセスを阻止するのにも役立ちます SaaS サイト。以来 CASBトラフィックの邪魔にならないように、シャドー IT アクセスを特定し、企業アカウントと個人アカウントの間でデータ漏洩があるかどうかを特定することもできます。いくつかの SaaS ベンダーはインラインセキュリティを推奨していません。 Ent のセキュリティ要件に対処するためerpこれらのために上昇します SaaS サービス、API レベル CASBが存在すると予想されます SASE 解決。 APIレベル CASBの仕事 SaaS プロバイダー API を使用して権限を自動化し、マルウェアやデータ (機密データ、PII) 漏洩のコンテンツをスキャンします。

セキュア Web ゲートウェイ (SWG): SWG 機能が Ent を保護しますerpインターネットにアクセスしながらクライアントの資産を増加させます。ユーザーがマルウェアをホストする悪質なサイトやパスワードを盗むソーシャルエンジニアリングサイトにアクセスするのを防ぎます。また、ユーザーがマルウェアコンテンツをダウンロードまたはアップロードすることも停止します。 SWG はこれを次のように行うことで実現します。 URL マルウェアフィルタリングとマルウェア対策機能。 SWG はアイデンティティベースのサービスも提供します URL ユーザーグループ/役割に基づいてインターネットサービスへの差別化されたアクセスを提供するフィルタリング機能。

企業間とアプリ間の SASE
複数のセキュリティ機能の真の統合と SD-WAN 耳鼻咽喉科にとって重要ですerp～の恩恵を最大限に享受するために立ち上がる SASE. SASE ソリューションは、複数のセキュリティ機能の疎結合として始まりました。 SD-WAN インフラストラクチャー。エントですがerpすべての機能を XNUMX つのベンダーで行うことができるようになります SASE、この細分化されたソリューションアプローチ (「細分化された SASE”）にはいくつかの課題があります。

複数のポリシー構成ダッシュボード:これにより、構成が繰り返し行われ、学習曲線が急峻になるため、構成エラーが発生する可能性があります。
複数の可観測性スタック: エンドツーエンドの可観測性と相関性が欠如していると、インシデントの見逃しやインシデントへの対応の遅れにつながる可能性があります。
プロキシチェーンによるパフォーマンスの課題:トラフィックの途中に複数のプロキシがあると、複数のトラフィックが発生する可能性があります。 TCP/TLS 終端、認証、および複数のホップ。その結果、遅延が増加し、スループットが低下し、ユーザーエクスペリエンスに影響を与える可能性があります。
複数のパフォーマンスの課題 PoPs:セキュリティ機能と SD-WAN 様々な中 PoPs トラフィックの PoP ホッピングが発生し、PoP ホッピングによって発生する遅延の増加によりユーザーエクスペリエンスの問題が発生する可能性があります。

企業間とアプリ間の SASE は、上記の課題に対処するプロバイダーに関連付けられた用語です。統合された SASE 可能

構成と可観測性の両方を真の単一画面で実現
共通のネットワーク/サービス/アプリケーション/ユーザーオブジェクト SD-WAN 機能とセキュリティ機能。
特定のトラフィックセッションは XNUMX つの PoP のみを通過します。 SD-WAN 機能とセキュリティ機能。
TLS トラフィックの検査は XNUMX 回だけです。
特定のセッションのシングルパスアーキテクチャ SD-WAN そしてセキュリティ機能。
攻撃対象領域の縮小 SASE 自体

それによりEntに利益をもたらすerpユーザーエクスペリエンスが向上し、コストが削減され、信頼性が高まるにつれて、

それを理解することも重要です SASE プロバイダーはすべてのセキュリティ機能を独自に開発できない場合があります。一部のベンダーはいくつかのセキュリティ機能に特化しているため、テクノロジーパートナーシップが鍵となります。の仕事です SASE プロバイダーは、パートナーとの深い技術連携によりソリューションを包括的に構築し、「統合」を実現します。 SASE' ヴィジョン。

ユニバーサル SASE
「エッジ」部分 SASE の一連の PoP ロケーションです。 SASE プロバイダーまたは複数のプロバイダーのセット PoPs/Cloudのさまざまなセキュリティ機能プロバイダーの SASE。これは分散アーキテクチャであることを意味します。 PoPs 世界中に分布しており、 SASE 各PoPに導入されている機能により、 SASE 配布。

そうは言っても、その方法は、 SASE 本日配信されたは、すべてのトラフィックセッションを十分にカバーしているわけではありません。通過する交通の流れをカバーします WAN クライアントからインターネットおよびインターネットへの接続erp資源をうまく増やします。これらのトラフィックフローについて考えてみましょう。これらは次の方法では対処されません。 SASE プロバイダーも大丈夫です。

クライアントエンティティとアプリケーションサービスエンティティの両方が同じデータセンター/VPC 内にある場合、セッションをトラフィックします。
Kubernetes クラスター内のマイクロサービス間でセッションをトラフィックします。
VPC を越えるトラフィックフロー cloud プロバイダー WAN サービスを提供しています。
5G モバイルユーザーおよびエッジアプリケーションからのトラフィックセッション。

ネットワークの自動化とセキュリティの実施は、他のメカニズムによって処理されることが期待されるか、トラフィックがヘアピンで固定されます。 SASE PoPs。前者の場合は均一性が失われ、後者の場合はユーザーエクスペリエンスに課題が生じる可能性があります。

したがって、ユニバーサルの要件は SASE. SASE サービスは PoP ロケーションのみに限定されないものとします。エントerp新興企業は、すべてのトラフィックセッションに対して統一された方法で共通のネットワーキングサービスとセキュリティサービスを期待するでしょう。ユニバーサル SASE 有効にする必要があります cloud-ネイティブ分散データプレーン cloud- 提供される管理および可観測性プラットフォーム。

概要
　 SASE 旅は2019年に始まりました。「初代」ではありますが SASE 疎結合として開始 SD-WAN およびセキュリティ機能を備えたこの旅は、統合された普遍的なものにつながります。 SASE Ent 向けの真のゼロトラストアーキテクチャを実現するerp分散した従業員と分散したアプリケーションを展開する企業が増加しています。

我々で Aryaka この旅の途中です。 TDIへのコンタクトもっと知りたい場合は

その他のリソース

Dell’Oro Group レポート: 統合 SASE: 単一ベンダーの考慮事項 SASE