SASEとゼロトラストネットワークアクセス機能

ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVPNを廃止し、ZTNAに移行すると予測しています。企業ネットワークにおける境界線の変化が、ZTNA採用の主な促進要因となっています。クラウドワークロード、在宅勤務、モバイル、オンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。

VPNを上回るZTNAの優位性を一言で言い表すならば、それは「細密さ」です。ゼロトラストネットワークアクセスは、VPNやその他の「城と堀」型のネットワークセキュリティアプローチでは実現できないレベルのアクセス制限を提供します。

細密なレベルでの制御により、SASE(セキュアアクセスサービスエッジ)に必要なネットワークアクセスへのID主導型のアプローチを補完できます。クラウドネイティブネットワークプラットフォームにゼロトラストネットワークアクセスを組み込んだSASEにより、企業のリソース(モバイルユーザ、サイト、クラウドアプリケーション、クラウドデータセンター)を適切なアクセスレベルで接続できます。ZTNAとSASEがどのように連携して、これを実現するのか、説明します…

ゼロトラストネットワークアクセスとは?

ゼロトラストネットワークアクセスは、SDP(ソフトウェア定義の境界)とも呼ばれる、クラウドまたはオンプレミスのアプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAの仕組みはシンプルです。明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、全体としてより強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

従来のネットワークセキュリティポイントソリューションでは、セキュリティアプライアンスを通過したユーザーが、ネットワークの同じサブネットのすべてのリソースに暗黙的にアクセスできます。これにより、リスクと攻撃対象が必然的に増えます。ZTNAは、これに革新をもたらします。ZTNAはIT部門がネットワークリソースへのアクセスを明示的に許可する必要があるため、アプリケーションレベルで制限を適用できます。

SASEとゼロトラスト

ZTNAは、SASEのごく一部に過ぎません。SASEは、ZTNAの原則に従って、サイト、モバイルユーザー、クラウドリソースなど、すべてのエッジへのアクセスを制限します。つまり、SASEのNGFWおよびSWG機能がアクセスを制限し、ZTNAがSASEエッジのアクセス制限のレベルを決めます。

SASEは、ゼロトラストネットワークアクセス、NGFW、その他のセキュリティサービスとSD-WAN、WANなどのネットワークサービスの最適化、帯域幅アグリゲーションをクラウドネイティブプラットフォームにバンドルします。つまり、SASEアーキテクチャにより、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる拡張性の高いパッケージに統合できます。

SASEとゼロトラストネットワークアクセスのメリット

SASEとゼロトラストネットワークアクセスの第一のメリットとして、ID主導型の拒否をデフォルとするアプローチにより、セキュリティ体制を大幅に強化します。悪意のあるユーザがネットワークアセットのセキュリティを侵害した場合でも、ZTNAによって被害を最小限に食い止めることができます。さらに、SASEのセキュリティサービスは、通常のネットワーク挙動のベースラインを確立し、ネットワークセキュリティ全般、特に脅威の検出において、より能動的なアプローチを実現します。ベースラインの確立により、悪意のある行動を容易に検出、封じ込め、防止できます。

SASEとZTNAの組み合わせにより、セキュリティ面のメリットが得られるだけでなく、ポイントソリューションが現代の企業に及ぼしているもうひとつの問題点、すなわちアプライアンスの増加とネットワークの複雑化も解決します。VPNポイントソリューションでは、SD-WANやNGFWなどの機能を追加するために、アプライアンスを導入する必要があります。つまり、アプライアンスが必要な拠点が追加されるたびに、OPEXとCAPEXが増えます。また、アプライアンス、モバイルユーザー、クラウドサービスの統合により、ネットワークの複雑さが大幅に増します。

SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供して、これらの課題を解決します。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増やすことなく、同じレベルのセキュリティを利用できます。

従来のポイントソリューションと比較して、SASEとゼロトラストネットワークアクセスの特徴を要約すると次のようになります:

  • 拡張が容易。アプライアンスが増加すると、ネットワークが拡大するため、VPNポイントソリューションの管理が難しくなります。SASEは、マルチテナントのクラウドネイティブプラットフォームの拡張性をネットワークセキュリティにもたらします。
  • より細密に。従来のポイントソリューションは、IPアドレスに基づくアクセス制限ポリシーを適用します。SASEとゼロトラストネットワークアクセスは、特定のアプリケーションやIDレベルでのアクセス制御とネットワーク可視化を実現します。
  • より安全。ポイントソリューションは、「城と堀」型のモデルでネットワークセキュリティを十分に確保できる時代には適していました。しかし、最新のネットワークトポロジーは、このモデルに当てはまらなくなっています。SASEとZTNAは、すべてのネットワークエッジを考慮し(クライアントレスのモバイルアクセスなど)、最新のネットワークトポロジーに特化したセキュリティソリューションにより、セキュリティ体制を大幅に強化できます。
  • より高速に、より高い信頼性。 VPNアプライアンスがボトルネックとなり、WANの速度が低下し、パフォーマンスに悪影響を及ぼすことは多々あります。個々のアプライアンスのCPUやリソースに限界があるためです。SASEのクラウドネイティブアプローチは、リソースの制限を受けずに、ネットワークファブリック基盤の一部としてWANを最適化し、WANのパフォーマンスを向上させます。

ゼロトラストネットワークアクセスを提供する、世界初の真のSASEプラットフォーム

SASEの市場はまだ成熟化されておらず、多くのベンダーがSASEを本質的に実現できていません。そのため、SASEに似に非なるものを知ることが重要です。Cato Networksは、ガートナーの「企業ネットワーキングのハイプサイクル2019」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初の真のSASEプラットフォームを提供しています。

Cato SASEプラットフォームは、現代の企業ネットワークを念頭に置いて、ゼロから構築されています。ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能とSD-WAN、WAN最適化などのネットワーキングサービスを組み合わせたプラットフォームを、99.999%の稼働率SLAを提供するグローバルプライベートバックボーンで接続しています。Catoは、パフォーマンス、セキュリティおよび拡張性の面でSASEを本質的に実現する唯一のベンダーです。

Cato SASEプラットフォームを実際にご覧いただくには、デモをお申込みください。または、今すぐお問い合わせください。SASEの詳細については、「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」eBookをご覧ください。