SASEに似て非なるもの?

ガートナーは、2019年の「The Future of Network Security in the Cloud(ネットワークの未来はクラウドにある)」で2つの項目をレポートしています。1つ目は、次世代に向けたエンタープライズネットワークおよびセキュリティアーキテクチャの正確な特定と説明です。2つ目は、Googleトレンドの数字で示されている新しいアプローチを説明する、当時最大のITバズワードのひとつ、つまりSASE(セキュアアクセスサービスエッジ)についてです。

SASEが取り上げられたことで、多くの「SASEベンダー」がSASE機能を備えるソリューションの販売を開始しました。しかし、これらのソリューションの大半が、SASEの核心である包括的な統合型ネットワークセキュリティソリューションの実現からはかけ離れたものでした。ここでは、「SASEに似て非なるもの」およびSASEベンダーが提供すべき価値について説明します。

SD-WANはSASEではない

SASEは、次世代のSD-WANと見なされている場合があります。機動力と統合をもたらすネットワークインフラという点では、この見解は妥当かもしれません。実際、トラフィックを最適にルーティングし、SD-WANの中核メリットである、物理的媒体基盤を不要にする機能は、SASEの重要な一部です。

しかし、SD-WANだけでは、SASEが提供する広範なソリューションの一部しか提供できません。また、すべてのSD-WANが同じように構築されているわけではありません。例えば、すべてのネットワークエッジ(WAN、エッジコンピューティング、クラウドコンピューティング、モバイル)をサポートすることがSASEの目的ですが、多くのSD-WANアプライアンスが、モバイルを十分にサポートしていない、あるいはまったく提供していません。

クラウドベースのセキュリティはSASEではない

SD-WANと同じように、数多くのセキュリティ機能は、SASEソリューションの重要な要素です。これには、IPS(不正侵入検知防御システム)、NGFW(次世代ファイアウォール)、SWG(セキュアWebゲートウェイ)などが含まれます。

ID主導型のセキュリティおよびクラウドネイティブアーキテクチャは、SASEの重要な特徴です。SASEの実装により、多数のクラウドベースのファイアウォールを利用できるようになるというのは、受け入れやすい考え方です。しかし実際には、セキュリティは、SASEアーキテクチャ構成の半分に過ぎず、クラウドベースのファイアウォールとIPSだけでは、グローバル規模でルーティングやWANを最適化できません

SD-WANと同じように、セキュリティ技術によるメリットはSASEの重要な要素ですが、単なるバンドルの場合、本来のSASEとはいえません。

複数のアプライアンスの組み合わせはSASEではない

アジャイルで効率的なルーティングを可能にするSD-WANの機能は、SASEの重要な要素です。同様に、IPS、SWG、NGFWなどのセキュリティ機能も、SASEの重要な要素です。しかし、SASEの機能一式をすべて提供していると主張する「SASEプロバイダー」のアプライアンスやソリューションを導入するだけでは、SASEを本質的に実現することはできません。

ネットワークやセキュリティアプライアンスとクラウドソリューションのパッチワークでは、単一の統合型ソリューションが提供する機動力、可視化、シンプルさ、パフォーマンスを実現できません。複数の製品を調達、導入、管理、統合することで、コストが上昇するだけでなく、ネットワークの複雑さが増します。見栄えの良いソリューションのパッチワーク(つぎはぎのネットワーク)が、実質的には運用の障壁となり、セキュリティの大規模な見落としが起こりやすくなります。複雑な作業はサービスプロバイダーに任せるべきという意見もありますが、これでは根本的な問題は解決されません。結果として、最適とはいえないパフォーマンスを補足する余分なコストがかかります。

エッジデバイスの仮想アプライアンスはSASEではない

エッジデバイスで仮想アプライアンスを実行すると、ハードウェアのフットプリントを減らすことができますが、運用コストはほとんど変わりません。アプライアンスの導入、統合、アップグレード、展開、メンテナンスが必要です。また、サイロや複雑さを根本的に解消することはできません。真のSASEプラットフォームは、アプライアンスのフォームファクターを排除します。マルチテナントのクラウドネイティブプラットフォームで機能が提供されます。SASEプロバイダーは、すべての顧客にメリットをもたらすために、プラットフォーム基盤を管理および維持すべきです。また、アプライアンス管理に伴うコストを企業やプロバイダーが負担する必要をなすべきです。

真のSASEとは何でしょう?

SASEは、ネットワーキングとセキュリティの統合により、グローバル規模でのパフォーマンスを向上させ、運用をシンプル化し、セキュリティ体制を強化します。これらを実現する真のSASEソリューションには以下が必要です:

  • すべてのエッジをサポート。 モバイル、クラウド、WANなど、すべてのエッジのパフォーマンスや機能を犠牲にすることなくサポート。仮想アプライアンスや物理的アプライアンスでは、多くの場合、これを満たすことは困難です。多くのセキュリティアプライアンスが本質的に特定の拠点に結び付けられているためです。
  • ID主導型セキュリティ。SASEのセキュリティモデルは、リソースの細密なIDに基づいて構築されます。SASEは、すべてのアプリ、ユーザーおよびデバイスを把握し、データの流れを詳細に分析します。これにより、ネットワーク全体の可視化とコンテキストを把握して、脅威を軽減できます。
  • クラウドネイティブアーキテクチャ。複雑な管理をシンプル化し、適応力、回復力、自己メンテナンスを提供し、エンタープライズ向けのパフォーマンスと拡張性を実現するため、SASEにはマルチテナントのクラウドネイティブアーキテクチャが不可欠です。
  • ネットワーク接続のグローバルな分散。 グローバルに分散されたクラウドプラットフォームにより、すべてのネットワークエッジがSASEの機能をすべて利用できます。つまり、SASEのPoP(ポイントオブプレゼンス)は、公共のクラウドデータセンターを上回る機能を提供し、すべてのWANエンドポイントに低レイテンシー接続を確保します。

真のSASEベンダーは、コンバージェンスの重要性を理解している

重要なポイント:SASEは、単に堅牢なネットワークおよびセキュリティ機能一式ではなく、必要な機能を統合して、複雑さとコストを削減し、パフォーマンスとセキュリティを向上させます。  Cato Networksは、ガートナーの最近の「企業ネットワーキングのハイプサイクル」」において、3年連続でSASEの「Sample Vendor(見本となるベンダー)」に位置付けられています。CatoのSASEに対するアプローチは、統合と最新のデジタルビジネスを考慮して構築されています。

SASEが貴社のビジネスに何をもたらすのか、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」で詳細をご確認ください。弊社のクラウドベースSASEソリューションを実際にお試しになりたい場合や、デモをご要望の際は是非ご連絡ください

Related Articles