セキュア・アクセス・サービス・エッジ(SASE)アーキテクチャは、セキュリティとネットワーキング・サービスを1つのクラウドプラットフォームに統合したITモデルです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
セキュア・アクセス・サービス・エッジ(SASE)は、ネットワーク接続とネットワーク・セキュリティ機能を統合し、単一のクラウドプラットフォームや集中型ポリシー・コントロールを通じてそれを提供するアーキテクチャ・モデルです。
企業がアプリケーションやデータをクラウドに移行する傾向が強まるにつれ、従来の「城と堀」のようなアプローチによるネットワーク・セキュリティの管理は、より複雑でリスクの高いものへと変容しています。従来のネットワーキングのアプローチとは異なり、SASEはセキュリティとネットワーキングを1つのクラウドプラットフォームと単一のコントロールプレーンに統合し、あらゆるユーザーからあらゆるアプリケーションまでに渡る一貫した可視性、コントロール、エクスペリエンスを実現します。
こうしてSASEは、インターネット上で実行されるクラウドサービスをベースとした新しい統合型企業ネットワークを構築し、企業による多くのアーキテクチャ・レイヤーやポイントソリューションからの移行を可能実現させます。
従来のネットワークモデルでは、データとアプリケーションはコアデータセンターにあります。こうしたリソースにアクセスするために、ユーザー、支社オフィス、アプリケーションはローカライズされたプライベートネットワーク内、またはセカンダリネットワークからデータセンターに接続します。この、セカンダリネットワークは通常、安全な専用回線かVPNを通してプライマリネットワークに接続します。
ただしこのモデルでは、新しいクラウドベースのサービスや分散型ワークフォースの優勢化によってもたらされる複雑性には対応できません。例えば、組織がSaaSアプリやデータをクラウドでホストしている場合、すべてのトラフィックを集中データセンター経由で迂回させることは現実的ではありません。
対照的にSASEでは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設けます。別々のコンフィギュレーションと管理を必要とするサービスをレイヤー化する代わりに、SASEは単一のコントロールプレーンによりネットワークとセキュリティサービスを融合させます。エッジ・ネットワークにアイデンティティ・ベースのZero Trustセキュリティポリシーを実装することで、企業はあらゆるリモート・ユーザー、支社・事務所、デバイス、アプリケーションへのネットワークアクセスを拡大できます。
SASEプラットフォームは、サービスとしてのネットワーク(NaaS)機能と、単一のインターフェースから管理され、かつ単一のコントロールプレーンから提供される多くのセキュリティ機能とを組み合わせています。
このサービスに含まれるのは、以下のものが挙げられます:
これらのサービスを統一されたアーキテクチャに統合することで、SASEはネットワークインフラを簡素化しています。
セキュアアクセスサービスエッジは、従来は異質であった数多くのサービスを統合するものであるため、企業・組織は一度にすべてではなく段階的にSASEアーキテクチャに移行できます。企業・組織はまず、最優先のユースケースを満たすコンポーネントを実装した後、すべてのネットワーキング・サービスとセキュリティサービスを単一のプラットフォームに移行させられます。
SASEプラットフォームでは、典型的には以下の技術コンポーネントを含んでいます:
ベンダーの能力によっては、上記のSASEコンポーネントはクラウドメールセキュリティ、Web アプリケーションおよびAPI保護(WAAP)、DNSセキュリティ、および以下にさらに説明するセキュリティサービスエッジ(SSE)機能ともバンドルとして提供しています。
SASEは、従来のデータセンターベースのネットワークセキュリティモデルと比較して、いくつかの利点があります。
Zero Trust原則によるリスクの低減:SASEは、Zero Trustセキュリティモデルを重んじて実践しています。このモデルでは、たとえユーザーがすでにプライベート・ネットワークの境界内にいたとしても、ユーザーの身元情報が確認されるまでアプリケーションやデータへのアクセスを許可しません。アクセス・ポリシーを確立する際、SASEアプローチではエンティティのID以外にも、地理的な位置、デバイスポスチャー、企業のセキュリティ基準、およびリスク・信頼性の継続的な評価などの要素を考慮します。
プラットフォームの統合によるコスト削減:SASEは、シングルポイント・セキュリティ・ソリューションを1つのクラウドベースのサービスに統合することで、企業・組織はやり取りするベンダーの数がより少なくなり、異なる製品の統合に費やす時間や費用、社内リソースを削減できます。
運用の効率性と俊敏性:SASEは、連携して動作するような設計となっていないポイントソリューションをあれこれ取り扱うのではなく、あらゆる場所、ユーザー、デバイス、アプリケーションにわたるセキュリティポリシーの設定、調整、実施が単一のインターフェースから可能になります。IT管理部門はより効率的にトラブルシューティングを行えるようになり、単純な問題の解決に費やす時間を短縮できます。
ハイブリッドワークにおけるユーザーエクスペリエンスの向上:ネットワークルーティングの最適化により、ネットワークの混雑状況などに基づいた最速のネットワーク・パスを決定できます。SASEにより、トラフィックが可能な限りユーザーの近くで処理されるグローバルエッジネットワークでトラフィックを安全にルーティングできるため、エンドユーザー側での遅延が軽減されます。
VPNの増強または置き換えによる最先端なセキュアなアクセス
SASEアーキテクチャに移行する一般的な要因の1つとなるのが、リソースへのアクセスと接続性を向上させたいとのニーズです。VPNを経由するのではなく、可能な限りユーザーに近いグローバル・クラウド・ネットワーク上でネットワークトラフィックをルーティングし処理することで、エンドユーザー側での不便を減らし、ラテラルムーブメントのリスクが排除されます。
請負業者(第三者)にとってのアクセスの簡素化
セキュアアクセスサービスエッジにより、社内の従業員だけでなく、請負業者、パートナー、その他臨時もしくは独立した労働者などの第三者にもセキュアなアクセスを拡大できます。リソースベースのアクセスにより、企業・組織は請負業者に対するオーバープロビジョニングのリスクを軽減できます。
分散型オフィスとリモートワーカーのための脅威防御
SASEにより、組織は場所に関係なく、すべてのユーザーに一貫したITセキュリティポリシーを適用できます。SASEは、すべての送受信ネットワークトラフィックをフィルタリングし検査することで、マルウェアベースの攻撃、マルチチャネルフィッシング(複数の通信チャネルにまたがる攻撃)、内部脅威、データ流出などの脅威を防げます。
規制コンプライアンスのためのデータ保護
SASEは全てのネットワーク・リクエストを可視化するため、企業・組織はリクエストのデータに個別にポリシーを適用できます。こうしたポリシーにより、企業・組織が特定の方法で機密データを処理することを要求するデータプライバシー法の遵守を支えます。
ブランチ接続を簡素化
SASEアーキテクチャは、マルチプロトコルラベルスイッチング(MPLS)回線とネットワークアプライアンスのパッチワークを補強または置き換えることで、拠点間のトラフィックをより簡単にルーティングし、異なる地理的位置間の接続をスムーズなものにします。
業界アナリストのガートナーはセキュアアクセスサービスエッジを評するに当たり、SD-WAN、SWG、CASB、NGFW、ZTNAを包含し「リアルタイムのコンテキストとセキュリティおよびコンプライアンスポリシーと組み合わせた、デバイスまたはエンティティのアイデンティティに基づくZero Trustアクセスを実現する」サービスだと述べています。
つまり、SASEはユーザーの安全なアクセスをネットワークアーキテクチャの一部として組み込んでいると認めていることになります。(業界アナリストのフォレスターは、SASEモデルを「Zero Trust Edge」(ZTE)と分類しています。)
しかし、すべての企業・組織がIT、ネットワーク・セキュリティ、ネットワーキングの各チームで一貫したアプローチをとっているわけではありません。そのため、主にWeb、クラウドサービス、プライベートアプリケーションへのアクセスの安全性に焦点を当てたSASE機能のサブセットであるセキュリティサービスエッジ(SSE)を優先する場合があります。
さらに、ほとんどのSASEプラットフォームは先に述べた中核的な機能を備えてはいるものの、中には以下に挙げる付加的SSE機能を備えているものもあります:
SSEは、一般的に全面的なSASEの展開前の足がかりとなります。しかし、一部の企業・組織(特にSD-WANの導入状況が成熟している企業・組織)は、完全に単一のSASEベンダーによる統合を検討していない場合があります。こうした企業・組織の場合、個々のSASEコンポーネントを導入し、当面のユースケースに対応することになります。
Cloudflare Oneは、企業のアプリケーション、ユーザー、デバイス、ネットワークを保護するCloudflareのSASEプラットフォームです。 同プラットフォームは、あらゆるネットワーク(企業およびインターネット)、クラウド環境、アプリケーション、ユーザー間のAny-to-Any接続を可能にする、統一され、コンポーザブルかつプログラマブルなクラウドネイティブサービスプラットフォームであるCloudflareのコネクティビティクラウド上に構築されています。
SASEのすべての機能的側面を含んだCloudflare Oneサービスは、すべてのCloudflareネットワークロケーションで実行する前提で設計されており、最善のパフォーマンスと一貫したユーザーエクスペリエンスを実現するためにソースに近い場所ですべてのトラフィックが接続、検査、フィルタリングされます。Cloudflare Oneおよびその他のネットワークセキュリティソリューションに関する詳細をご覧ください。