違い SASE、統一 SASE そしてユニバーサル SASE
何ですか SASE?
SASE (Secure Access Service Edge) は Gartner によって定義されています。 ネットワークセキュリティ機能は新しいものではなく、 SD-WAN この業界では新しいことではありません。 SASE それらを cloud サービス。 簡単に言えば、 SASE 組み合わせ SD-WAN、ネットワーク セキュリティ機能を提供し、 cloud サービス。
SD-WAN プロバイダーは、Ent に決定的で信頼性の高い接続を提供しますerp地理的に分散された PoP インフラストラクチャを介して、異なる場所に複数のオフィスを持つことが増加しています。 SD-WAN サービスも提供しています VPN-ベースの安全なリモート アクセス WFH (Work-From-Home) およびローミング ユーザーを ENT に接続します。erpネットワークを立ち上げます。 多くの SD-WAN サービスには、ファイアウォールや NAT などの基本的なセキュリティ コンポーネントも含まれています。
脅威防御機能の組み合わせ - 次世代ファイアウォール、マルウェア対策、 URL フィルタリング機能や情報漏えい防止機能により、さまざまなインターネットを保護します。erpで資産を増やす SD-WAN 複数のメリットを提供します 入口へerp上昇します。 利点としては、ネットワーク インフラストラクチャの複雑さが軽減され、Ent の変更に伴う高速な立ち上げ/停止が挙げられます。erp上昇サイト、 cloud サービス、 SaaS サービス、分散した従業員、Ent への負荷の増大によるより高速なスケールアウトerpアプリケーションを上昇させます。 エントerpまた、rise 管理者は、ポリシー管理と可観測性を単一画面で確認できます。 ネットワーキングとセキュリティの分散実施ポイントは、ユーザーとアプリケーションがどこにいても、一貫した決定的なエクスペリエンスを提供します。
どういう SASE 構成しますか?
下の図は、 SASE. SASE サービスはクライアント エンティティと Ent の間に位置します。erpアプリケーション/データ資産の増加。 クライアントには、人間のクライアント、デバイス、プログラムが含まれます。 クライアントはどこにいても構いません。 エントerpデジタル変革によるアプリケーションとデータの増加はエンタープライズに限定されませんerpオンプレミスの場所とコロラドが上昇します。 エントerp複数のリージョンと複数の場所にアプリケーションをデプロイするケースが増加しています。 cloud復元力、冗長性、低遅延、および規制上の理由から。 エントerpライズも利用が増えています SaaS サービスも複数の場所に展開されます。 どこでもクライアントとどこでもサービスにより、 SASE サービスは分散サービスとしても提供されますが、当然ながら共通の管理プレーンが使用されます。
の主なコンポーネント SASE には次の値があります:
SD-WAN: SD-WAN 複数のネットワークを介して、オフィスとデータセンター間に安全で最適化された確定的で信頼性の高い接続を提供します。 PoPs 中央管理を使用します。 SD-WAN サービスはよりスマートになっています。 関連する基本的な機能はもうありません。 MPLS 置き換えだけでなく、ユーザーおよびアプリケーションを意識したルーティングも提供します/QoS, SaaS インテリジェントなルーティングによる高速化、 WAN 冗長データへの低遅延アクセスのための最適化とキャッシュ、さらには NAT、ファイアウォール、 VPN.
次世代ファイアウォール (NGFW): あらゆる種類のアクセスに対する基本的なセキュリティ技術です。 通常、NAT、ステートフル インスペクション、IDS/IPS (侵入検知および防止システム) サービスを提供します。 ゼロトラスト要件に対処するには、 NGFW in SASE 建築 ID を認識したアクセス機能をサポートすることが期待されています。
ゼロ トラスト ネットワーク アクセス (ZTNA): ZTNA 機能が Ent を保護しますerpアプリケーションと関連データが増加します。 SD-WAN サービスには、次のような基本的な ZTNA 機能があります。 VPN およびステートフル検査ファイアウォール。 それを ZTNA と呼ぶには十分ではありません SASE 建築。 ZTNA 機能には、アイデンティティを認識したアプリケーション アクセス、「最小権限アクセス」原則に対処するためのアプリケーションへのユーザー ロールベースのきめ細かなアクセス、アプリケーションの複数のインスタンスに対するトラフィック エンジニアリングが含まれます。 cloudデータセンター、重要なサービスへの特権アクセス管理など。 差別化された ZTNA フレームワークは、WAF (Web アプリケーション ファイアウォール)、API セキュリティ、DLP (データ損失防止)、およびマルウェア対策機能で強化されており、脅威からの保護とデータ漏洩の試みを阻止します。
Cloud アクセスセキュリティブローカー (CASB): CASB 機能がEntを保護しますerp上昇データ SaaS 正規のユーザーが許可されたリソースにアクセスしていることを確認することでサービスを提供します。 さらに重要なのは、アクセスされているユーザーとリソースを可視化できることです。 CASB許可されていないアクセスを阻止するのにも役立ちます SaaS サイト。 以来 CASBトラフィックの邪魔にならないように、シャドー IT アクセスを特定し、企業アカウントと個人アカウントの間でデータ漏洩があるかどうかを特定することもできます。 いくつかの SaaS ベンダーはインライン セキュリティを推奨していません。 Ent のセキュリティ要件に対処するためerpこれらのために上昇します SaaS サービス、API レベル CASBが存在すると予想されます SASE 解決。 APIレベル CASBの仕事 SaaS プロバイダー API を使用して権限を自動化し、マルウェアやデータ (機密データ、PII) 漏洩のコンテンツをスキャンします。
セキュア Web ゲートウェイ (SWG): SWG 機能が Ent を保護しますerpインターネットにアクセスしながらクライアントの資産を増加させます。 ユーザーがマルウェアをホストする悪質なサイトやパスワードを盗むソーシャル エンジニアリング サイトにアクセスするのを防ぎます。 また、ユーザーがマルウェア コンテンツをダウンロードまたはアップロードすることも停止します。 SWG はこれを次のように行うことで実現します。 URL マルウェアフィルタリングとマルウェア対策機能。 SWG はアイデンティティベースのサービスも提供します URL ユーザー グループ/役割に基づいてインターネット サービスへの差別化されたアクセスを提供するフィルタリング機能。
企業間とアプリ間の SASE
複数のセキュリティ機能の真の統合と SD-WAN 耳鼻咽喉科にとって重要ですerp~の恩恵を最大限に享受するために立ち上がる SASE. SASE ソリューションは、複数のセキュリティ機能の疎結合として始まりました。 SD-WAN インフラストラクチャー。 エントですがerpすべての機能を XNUMX つのベンダーで行うことができるようになります SASE、この細分化されたソリューション アプローチ (「細分化された SASE”)にはいくつかの課題があります。
- 複数のポリシー構成ダッシュボード:これにより、構成が繰り返し行われ、学習曲線が急峻になるため、構成エラーが発生する可能性があります。
- 複数の可観測性スタック: エンドツーエンドの可観測性と相関性が欠如していると、インシデントの見逃しやインシデントへの対応の遅れにつながる可能性があります。
- プロキシ チェーンによるパフォーマンスの課題:トラフィックの途中に複数のプロキシがあると、複数のトラフィックが発生する可能性があります。 TCP/TLS 終端、認証、および複数のホップ。 その結果、遅延が増加し、スループットが低下し、ユーザー エクスペリエンスに影響を与える可能性があります。
- 複数のパフォーマンスの課題 PoPs:セキュリティ機能と SD-WAN 様々な中 PoPs トラフィックの PoP ホッピングが発生し、PoP ホッピングによって発生する遅延の増加によりユーザー エクスペリエンスの問題が発生する可能性があります。
企業間とアプリ間の SASE は、上記の課題に対処するプロバイダーに関連付けられた用語です。 統合された SASE 可能
- 構成と可観測性の両方を真の単一画面で実現
- 共通のネットワーク/サービス/アプリケーション/ユーザー オブジェクト SD-WAN 機能とセキュリティ機能。
- 特定のトラフィック セッションは XNUMX つの PoP のみを通過します。 SD-WAN 機能とセキュリティ機能。
- TLS トラフィックの検査は XNUMX 回だけです。
- 特定のセッションのシングルパス アーキテクチャ SD-WAN そしてセキュリティ機能。
- 攻撃対象領域の縮小 SASE 自体
それによりEntに利益をもたらすerpユーザーエクスペリエンスが向上し、コストが削減され、信頼性が高まるにつれて、
それを理解することも重要です SASE プロバイダーはすべてのセキュリティ機能を独自に開発できない場合があります。 一部のベンダーはいくつかのセキュリティ機能に特化しているため、テクノロジーパートナーシップが鍵となります。 の仕事です SASE プロバイダーは、パートナーとの深い技術連携によりソリューションを包括的に構築し、「統合」を実現します。 SASE' ヴィジョン。
ユニバーサル SASE
「エッジ」部分 SASE の一連の PoP ロケーションです。 SASE プロバイダーまたは複数のプロバイダーのセット PoPs/Cloudのさまざまなセキュリティ機能プロバイダーの SASE。 これは分散アーキテクチャであることを意味します。 PoPs 世界中に分布しており、 SASE 各PoPに導入されている機能により、 SASE 配布。
そうは言っても、その方法は、 SASE 本日配信された は、すべてのトラフィック セッションを十分にカバーしているわけではありません。 通過する交通の流れをカバーします WAN クライアントからインターネットおよびインターネットへの接続erp資源をうまく増やします。 これらのトラフィック フローについて考えてみましょう。 これらは次の方法では対処されません。 SASE プロバイダーも大丈夫です。
- クライアント エンティティとアプリケーション サービス エンティティの両方が同じデータ センター/VPC 内にある場合、セッションをトラフィックします。
- Kubernetes クラスター内のマイクロサービス間でセッションをトラフィックします。
- VPC を越えるトラフィック フロー cloud プロバイダー WAN サービスを提供しています。
- 5G モバイル ユーザーおよびエッジ アプリケーションからのトラフィック セッション。
ネットワークの自動化とセキュリティの実施は、他のメカニズムによって処理されることが期待されるか、トラフィックがヘアピンで固定されます。 SASE PoPs。 前者の場合は均一性が失われ、後者の場合はユーザー エクスペリエンスに課題が生じる可能性があります。
したがって、ユニバーサルの要件は SASE. SASE サービスは PoP ロケーションのみに限定されないものとします。 エントerp新興企業は、すべてのトラフィック セッションに対して統一された方法で共通のネットワーキング サービスとセキュリティ サービスを期待するでしょう。 ユニバーサル SASE 有効にする必要があります cloud-ネイティブ分散データプレーン cloud- 提供される管理および可観測性プラットフォーム。
概要
SASE 旅は2019年に始まりました。「初代」ではありますが SASE 疎結合として開始 SD-WAN およびセキュリティ機能を備えたこの旅は、統合された普遍的なものにつながります。 SASE Ent 向けの真のゼロトラスト アーキテクチャを実現するerp分散した従業員と分散したアプリケーションを展開する企業が増加しています。
我々で Aryaka この旅の途中です。 TDIへのコンタクト もっと知りたい場合は
その他のリソース
Dell’Oro Group レポート: 統合 SASE: 単一ベンダーの考慮事項 SASE
-
CTO の洞察ブログ
Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。