6.1 セキュリティサービスエッジ(SSE)
ガートナーは、複数の主要なネットワークセキュリティ機能を単一のソリューションに統合するクラウドネイティブなセキュリティフレームワークを説明するために、セキュリティサービスエッジ(SSE)という用語を造りました。これには、セキュアウェブゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、データ損失防止(DLP)、およびゼロトラストネットワークアクセス(ZTNA)が含まれます。
SSEソリューションは、どこからでもSaaS、インターネット、および内部企業の場所への安全で最適化されたアクセスを提供し、レガシーの仮想プライベートネットワーク(VPN)や周辺ファイアウォールへの依存を排除します。これは、ハイブリッド、モバイル、クラウドファーストの企業のニーズを満たすように設計されています。
SSEの主要コンポーネント
SSEは、複数のセキュリティ機能と能力を単一のソリューションに統合することによって、従来のセキュリティアプローチと異なり、クラウドネイティブサービスとして実装されます。ポイントセキュリティ製品と煩雑な統合を排除することで、セキュリティ管理が簡素化され、一般的なセキュリティの可視性のギャップが排除されます。同時に、セキュリティ統合はレイテンシを減少させることによってユーザーエクスペリエンスを向上させます。
セキュアWebゲートウェイ(SWG)
セキュアウェブゲートウェイ(SWG)は、ユーザーを危険なサイトから保護し、企業の受け入れ可能な使用ポリシーを強制します。SWGは、ウェブトラフィックを検査してフィッシング攻撃、マルウェアのダウンロード、および不適切または悪意のあるウェブサイトへの訪問を特定し、ブロックします。SWGは、暗号化されたネットワークトラフィック内の悪意のあるまたは不適切なコンテンツを検出するために、SSL検査機能を一般的に組み込んでいます。
クラウドアクセスセキュリティブローカー(CASB)
クラウドアクセスセキュリティブローカー(CASB)は、クラウド環境内で企業のアクセス制御とデータセキュリティポリシーを強制し、クラウドセキュリティインシデントの最も一般的な原因のいくつかに対処します。彼らは、データの不正流出の試み、無許可のSaaS使用(シャドウIT)、およびアカウントの侵害や内部脅威を示す可能性のある異常なユーザー行動を可視化します。CASBは、クラウド内でのアクセス制御とデータセキュリティを強制することによって、組織が規制要件(例:GDPR、HIPAA、PCI DSS)を遵守するのを助けます。
ゼロトラストネットワークアクセス(ZTNA)
ゼロトラストネットワークアクセス(ZTNA)は、リモートユーザーのための詳細なアクセス管理を可能にし、認可されたユーザーに企業ネットワークとリソースへの無制限のアクセスを許可するレガシーVPNソリューションを置き換えます。ZTNAソリューションは、アクセスを許可する前に、最小特権アクセス制御と場所、デバイス、リスクなどの文脈要因に基づいてアクセス要求を明示的に検証します。
VPNをZTNAに置き換えることで、最小特権アクセス管理を実現し、過剰な特権アクセスから保護します。また、アプリケーションを隔離し、アクセスを許可する前に外部および内部のアクセス要求を検証することによって、横移動を防ぎます。
データ損失防止(DLP)
データ損失防止(DLP)ソリューションは、無許可のSaaS使用、設定ミス、その他の問題を通じて、機密データが組織から漏洩するのを防ぐのに役立ちます。DLPは、キーワードパターンマッチング、フィンガープリンティング、および文脈分析を使用して、データ漏洩から保護し、規制要件を満たします。CASBおよびSWGと統合することで、DLPはウェブおよびクラウドトラフィック全体にわたって一貫した保護と施行を確保します。
SSEを実装する利点
SSEは複数のセキュリティ機能をクラウドベースのソリューションに統合し、セキュリティの拡散を減少させ、一貫したセキュリティポリシー管理を可能にします。SSEの導入はビジネスに多くの利点を提供します。クラウドファーストのハイブリッド企業により適したセキュリティを近代化します。
一貫したセキュリティポリシーの施行
一貫したセキュリティポリシーの施行は、さまざまなポイント製品が異なる環境に展開される際の一般的な課題です。SSEはクラウド、SaaS、およびウェブアプリ全体で一貫した中央集権的なポリシー施行を提供します。中央集権的でユーザー中心のポリシー管理は、設定エラーやポリシーのギャップを減少させ、規制遵守やインシデント対応を簡素化します。
攻撃対象領域(アタックサーフェス)の縮小
SSEはゼロトラストの原則を実装し、周辺中心のセキュリティモデルの暗黙の信頼を排除します。ZTNAを使用することで、組織は最小特権アクセス制御を実装でき、ユーザー、アプリケーション、およびデバイスに対して、組織内の役割に必要な特権のセットのみを付与します。
すべてのアクセス要求を承認前に検証することで、横移動やアプリケーションへの不正アクセスを最小限に抑えます。これにより、脆弱なアプリケーション、管理されていないデバイス、および自分のデバイス(BYOD)環境によって引き起こされるリスクが軽減されます。
パフォーマンスの向上
トラフィックを複数のポイントソリューションを通じてルーティングし、検査のために本社ネットワークにトラフィックをバックホールすることは、ネットワークパフォーマンスを損ないます。しかし、これらのアプローチは、クラウドファーストの企業向けに設計されていない従来の周辺ベースのセキュリティモデルに共通しています。
SSEは、ユーザーの地理的に近い場所にあるPoP内でセキュリティを実装します。これにより、セキュリティのためにパフォーマンスが損なわれないことが保証されます。
簡素化されたIT管理
SSEは、複数のセキュリティ機能をクラウドベースのソリューションに統合し、単一のインターフェースを提供します。これにより、セキュリティの分散とライセンスの複雑さが軽減され、セキュリティソリューションの効率が向上します。
さらに、SSEソリューションはパッチ適用、更新、および構成管理を自動化します。管理の複雑さと手動のセキュリティプロセスへの依存を排除することで、ITおよびセキュリティチームは戦略的な取り組みや他のタスクに集中できます。
ハイブリッドおよびリモートワークフォースのサポート
SSEは、ハイブリッドでクラウドファーストの企業をサポートするように設計されており、次のような多くの利点を提供します:
- ユーザーの場所に関係なく一貫したセキュリティポリシー(オンプレミスまたはリモート)
- アプリケーションへの安全で最小限の特権アクセスのために、従来のVPNをZTNAに置き換えます。
- トラフィックを企業のデータセンターに戻すことなく、トラフィックの検査とポリシーの適用を行います。
- リモートユーザーの活動とアクセス試行をリアルタイムで可視化します。
- 中央集権的なユーザーおよびポリシー管理により、効率が向上します。
- ネットワークエッジでセキュリティを提供することにより、パフォーマンスとユーザーエクスペリエンスが向上します。
スケーラビリティと柔軟性
SSEはクラウドネイティブサービスとして実装されており、ビジネスの成長に応じて需要に応じてスケールできます。柔軟性とスケーラビリティを向上させる主要な機能には、次のものが含まれます:
- 物理アプライアンスのプロビジョニングやアップグレードを必要としないプロバイダー管理のキャパシティ
- 複雑な構成なしで新しいユーザー、アプリ、または場所の簡単なオンボーディング
- M&A、支店の拡張、またはクラウド移行などの動的環境をサポートします。
- さまざまなアイデンティティプロバイダーやクラウドエコシステムとの統合を行い、柔軟性を維持します。
- ポリシーの更新は、環境全体にリアルタイムで配信されます。
- SASEの採用とデジタルトランスフォーメーションの目標に沿った整合性。
- 統合されたセキュリティを通じてベンダースプロールを削減します。
SSE対。SASE:違いを理解する。
SSE対を比較する際、SASEは、関連するセキュリティ機能であることを理解することが重要ですが、わずかに異なる能力と焦点を持っています。SASEは、SSEのセキュリティ機能をソフトウェア定義WAN(SD-WAN)およびファイアウォールサービス(FWaaS)などの安全なWAN機能と統合したプラットフォームです。
SASEとは何か
SASEは、統合されたクラウドネイティブサービス内でSD-WANとセキュリティ機能を統合します。SWG、CASB、ZTNA、FWaaS、SD-WAN機能が含まれています。SASEは、企業グレードのネットワークセキュリティを確保しながらネットワークルーティングを最適化することで、リモートおよびハイブリッドユーザーのネットワークパフォーマンスとセキュリティニーズの両方に対応します。
SSEがSASEにどのように適合するか。
SSEはSASEのセキュリティコンポーネントであり、スタンドアロンソリューションとして展開することも、完全なSASE展開へのステップストーンとして展開することもできます。それは、組織がレガシーの境界ベースのセキュリティモデルから徐々に移行する能力を提供し、完全なネットワーク再設計を行うことなくセキュリティ姿勢を改善します。
SSEとSASEの選択
SSEとSASEの選択を行う際、組織は目標と意図した展開のタイムラインを考慮すべきです。SSEはクラウドセキュリティに即時の強化を提供しますが、SASEは完全なデジタルトランスフォーメーションをサポートしますが、ネットワークアーキテクチャに追加の変更が必要です。
SSEとSASEの選択時に考慮すべき他の要因には、企業の規模、ITの成熟度、地理的分布が含まれます。ネットワーキングのアップグレードが戦略的計画の一部である場合、SASEはSSEよりもより完全で統合されたソリューションを提供します。SSEはセキュリティに特化しています。
Cato SSE 360が従来のSSEを強化する方法
Cato SSE 360は、さまざまなポイントソリューションを単一の製品に統合するのではなく、真のネットワークとセキュリティの統合を提供することで、従来のSSEを上回ります。さらに、Catoの広範なカバレッジ、WANやクラウドを含むことで、ネットワークとセキュリティの可視性と管理がさらに簡素化され、効率化されます。
• 完全な可視化と制御が可能
Cato SSE 360は、クラウドアプリ、インターネット、WANを含む組織のすべてのリソースに対して、詳細な可視性とアクセス管理を提供します。すべてのネットワークトラフィックの可視性とリアルタイムの脅威インテリジェンスへのアクセスを持つことで、ユーザーの行動を相関させ、ネットワーク全体でのセキュリティイベントを特定できます。シングルペインオブグラスの可視性により、セキュリティ担当者はネットワーク内の潜在的なセキュリティイベントをより効率的に特定、調査、対処できます。
グローバルアクセスの最適化
Cato SASE 360は、低遅延でインターネットおよび企業リソースにアクセスするために、世界中に戦略的に配置されたPoPを持つプライベートバックボーンを使用しています。これにより、インターネットの混雑やクラウドプロバイダーのピアリング制限を回避し、世界中のユーザーに一貫したパフォーマンスと可用性を提供します。さらに、さまざまなアイデンティティプロバイダーとの統合により、企業アプリへのシームレスなシングルサインオン(SSO)が可能になります。
SASEへのシームレスな道
Cato SSE 360は、組織が今すぐセキュリティ機能を展開し、後でSD-WANを追加できるようにすることで、SASEへの道を提供します。統合プラットフォームアーキテクチャは、セキュリティとネットワーキング機能を単一のクラウドベースのサービスに統合することで、所有コスト(TCO)を削減します。これにより、Cato SSE 360はゼロトラストとSASEの成熟に向けてスケールしている組織に最適ですが、今日の完全なSASE展開にはまだ準備が整っていません。
SSEに関するよくある質問
SSEはSASEとどのように異なりますか?
SSEは、SWG、CASB、DLP、ZTNA機能を統合したセキュリティ重視のソリューションです。SASEは、SD-WANやFWaaSなどの他のセキュリティ機能を追加することで、ネットワークとセキュリティの両方を最適化します。
SSEはリモートワークフォース専用ですか?
SSEはリモートワークフォースに最適ですが、オンプレミスのユーザー、支社、ハイブリッドワーカーのセキュリティとパフォーマンスも向上させます。SSE PoPを通じてルーティングされたネットワークトラフィックは、トラフィック検査とポリシーの適用を受け、パフォーマンスを犠牲にすることなくネットワークセキュリティを強化します。
This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.
