昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。
大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。
このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう…
ゼロトラストネットワークアクセスとは何か?
ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。
今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。
ゼロトラストネットワークアクセスとSASEが連携する方法
ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。
SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。
SASEとゼロトラストネットワークアクセスの利点
SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。
セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。
SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。
要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです:
- 拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。
- よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。
- より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。
- より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。
ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム
SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。
CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。
Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。