セキュア・アクセス・サービス・エッジ(SASE)アーキテクチャは、セキュリティとネットワーキング・サービスを1つのクラウドプラットフォームに統合したITモデルです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
SASE(Secure Access Service Edge)は、ネットワーク接続とネットワークセキュリティ機能を単一のプラットフォームに統合するアーキテクチャモデルです。従来のエンタープライズネットワーキングとは異なり、最新のSASEアプローチでは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設置します。これにより、企業は場所を問わず、あらゆるユーザーからあらゆるアプリケーションへ、よりシンプルかつ安全で、一貫したアクセスを提供することができます。
つまり、SASEは、これまでバラバラであったインフラストラクチャ(ネットワーキングとアクセス制御)を統合して管理する合理的な方法を組織に提供することになります。
SASEプラットフォームは、ネットワーク接続と最小権限の原則を採用した複数のZero Trustセキュリティサービスを統合します。Zero Trustでは、正常に認証されたユーザーは、その役割に必要なリソースとアプリケーションにのみアクセスできます。
SASEは、インターネット上で実行されるクラウドサービスをベースに、統合型企業ネットワークを構築します。これにより、企業は多くのアーキテクチャレイヤーや個別ポイントソリューションを管理する作業から脱却することができます。
SASEアーキテクチャが重要なのは、現代の組織の従業員を接続し、保護する上で、従来のITセキュリティよりも効果的であるためです。
「旧世界」モデル(「城と堀」モデルのセキュリティアーキテクチャ)では、組織のITインフラストラクチャはほぼ均一で、ファイアウォールで保護されています。ネットワークリソースにアクセスするために、オフィスにいる従業員(または請負業者やその他のサードパーティ)は、仮想プライベートネットワーク(VPN)とファイアウォールを介してネットワークに接続するか、パブリックIPアドレスを介して別のネットワークルートを使用します。そして、ネットワークの「境界」の内側にいるユーザーは、そのネットワーク内のアプリケーションやデータにもアクセスできます。
しかし、より多くのアプリケーションやデータがクラウドに存在するようになったため、このアプローチでネットワークセキュリティを管理することは、よりリスクが高く、複雑になってきました。たとえば、従来型のセキュリティでは以下のトレンドに対応するのが困難です。
SASEは、この種の課題に対処するのに適しています。SASEは、従業員、職場、ワークロードに安全で高速かつ信頼性の高い接続を提供します。企業は、独自の最新ネットワークを構築して運用するだけでなく、クラウドネイティブの分散型サービスを利用して、セキュリティと接続性の管理を簡素化することができます。
SASEアーキテクチャによるサービスとしてのセキュリティとネットワークの機能を統合することにより、以下のようないくつかのメリットがあります。
通常、SASEプラットフォームには以下のコアテクノロジーコンポーネントが含まれます。
ベンダーの能力によっては、SASEプラットフォームには以下も含まれる場合があります。
下図は、SASEプラットフォームがこれらすべての機能を統合し、すべてのプライベートアプリケーション、サービス、ネットワークに安全な接続を提供し、従業員のインターネットアクセスのセキュリティを確保する仕組みを示しています。
SASEは、段階的に(数か月から数年単位で)実装されるのが一般的です。実装計画は多種多様で、次のような固有の要素によって異なります。
組織によって状況は異なるため、SASEの導入に「万能」アプローチはありません。しかし、SASEを有効にするユースケースは、一般的に以下の5つのIT優先事項のいずれかに分類されます。
ZTNAから始め、(より広範なSASEの取り組みの原則として)Zero Trustの原則を適用することで、次のようなユースケースが可能になります。
SASEアーキテクチャは、「場所を選ばない働き方、どこでも勤務」のアプローチをサポートし、ネットワークの内外を問わず脅威に対して一貫した可視性と保護を実現します。以下のユースケース例があります。
企業は、従来の企業ネットワークを維持する代わりに、クラウドネイティブな分散型SASEサービスを活用することができます。これにより、次のようなユースケースが可能になります。
認可されていない生成AIやシャドーITを使用することで機密データが開示されると、セキュリティ侵害やデータ漏洩につながり、修復に費用がかかる可能性があります。しかし、 SASEアーキテクチャは、次のようなユースケースを可能にします。
アプリはエンドユーザーにとって安全で、レジリエンスとパフォーマンスに優れ、データガバナンス要件を満たしながらデータの増加に対応できるスケーラビリティも併せ持つ必要があります。SASEアーキテクチャを使えば、アプリの最新化プロセスのいくつかのステップを簡素化し、安全性を確保することができます。例:
従来のネットワークモデルでは、データとアプリケーションはコアデータセンターに存在します。ユーザー、ブランチオフィス、アプリケーションは、ローカライズされたプライベートネットワーク内、またはセカンダリネットワーク内からデータセンターに接続します(通常、このセカンダリネットワークは安全な専用回線かVPNを介してプライマリネットワークに接続します)。組織がSaaSアプリやデータをクラウドでホストしている場合、このプロセスはリスクが高く、非効率となる可能性があります。
従来のネットワーキングとは異なり、SASEは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設けます。別々のコンフィギュレーションと管理を必要とするサービスをレイヤー化する代わりに、SASEは単一のコントロールプレーンによりネットワークとセキュリティサービスを融合させます。エッジネットワークにアイデンティティベースのZero Trustセキュリティポリシーを実装することで、SASEは、企業があらゆるリモート・ユーザー、支社・事務所、デバイス、アプリケーションへネットワークアクセスを拡大することを可能にします。
MLPS(Multiprotocol Label Switching)は、あらかじめ決められたネットワークパスに沿ってネットワークパケットを送信します。MPLSの結果、パケットが毎回同じ経路をたどることが理想的です。これが、MPLSが一般に信頼性があると思われる理由の1つですが、柔軟性に欠けます。たとえば、MPLSでは、中央に集中した「ブレイクアウト」拠点を介してセキュリティ制御が適用され、インバウンドトラフィックはすべて本社経由でルーティングされます。したがって、セキュリティ機能に到達するためにはトラフィックのバックホーリングが必要です。
SASEは、MPLSの専用ネットワークパスを使わず、低コストのインターネット接続を使います。これは、低コストでネットワークの効率化を目指す組織に適しています。SASEプラットフォームは、柔軟でアプリケーション認識インテリジェントルーティング、統合セキュリティ、ネットワークのきめ細かな可視性を提供します。
SASEは、ユーザーの安全なアクセスをネットワークアーキテクチャの一部として組み込んでいます。しかし、すべての企業・組織がIT、ネットワークセキュリティ、ネットワーキングの各チームで一貫したアプローチをとっているわけではありません。そうした企業は、SASE機能のサブセットであるSSE(Security Service Edge)を優先する場合があります。SSEは、Web、クラウドサービス、プライベートアプリケーションへの社内ユーザーのアクセスの安全確保に重点を置いたコンポーネントです。
SSEは、一般的に全面的なSASEの展開前の足がかりとなります。単純化しすぎかもしれませんが、 SASEを「SSE + SD-WAN」と考える組織もあります。
SASEにおけるデュアルベンダーアプローチは、ZTNA、SWG、CASB、SD-WAN/WANaaS、FWaaS用に2つ以上のプロバイダーを持つことを意味します。多くの場合、1つはセキュリティで、もう1つはネットワークです。これにより、企業は技術スタックをカスタマイズし、各ベンダーの利点を活用することができます。また、組織には異なるサービスを調整し統合するための時間と社内リソースが必要であることも意味します。
マルチベンダーの代わりに、シングルベンダーSASE(SV-SASE)モデルを追求することもできます。これにより、セキュリティとネットワーキングのそれぞれ異なるテクノロジーは単一のクラウド配信プラットフォームに統合されます。SV-SASEは、ポイント製品の統合、TCOの削減、一貫したポリシーの適用を少ない労力で実現したい企業に最適です。
どちらのアプローチを採用するにしても、SASEプラットフォームは、ネットワークオンランプ、ID管理、エンドポイントセキュリティ、ログストレージ、その他のネットワークセキュリティコンポーネント用の既存ツールを拡張または統合できなければなりません。
どちらのSASEアプローチを選択する場合も、ベンダーを評価する際には、次の基準と質問例を検討してください。
リスクの低減
ネットワークの耐障害性
未来志向のアーキテクチャ
CloudflareのSASEプラットフォーム(Cloudflare One)は、企業のアプリケーション、ユーザー、デバイス、ネットワークを保護します。同プラットフォームはCloudflareのコネクティビティクラウド上に構築されています。コネクティビティクラウドは、あらゆるネットワーク(企業およびインターネット)、クラウド環境、アプリケーション、ユーザー間のAny-to-Any接続を可能にする、統一され、コンポーザブルかつプログラマブルなクラウドネイティブサービスプラットフォームです。
Cloudflareサービスはすべて、あらゆるネットワークロケーションで実行するよう設計されているため、最善のパフォーマンスと一貫したユーザーエクスペリエンスを実現できるよう、ソースに近い場所ですべてのトラフィックが接続、検査、フィルタリングされます。遅延を発生させるバックホーリングやサービスチェイニングはありません。
また、Cloudflare Oneは組織がセキュリティとネットワーク最新化のユースケースを任意の順序で導入できるように組立可能なSASEオンランプおよびサービスを提供します。たとえば、Cloudflareの多くのお客様は、攻撃対象領域の削減、フィッシングやランサムウェアの阻止、ラテラルムーブメントの防止、データの保護のために、Zero Trust SSEサービスから始めています。Cloudflare Oneを段階的に導入することで、企業はアプライアンスやポイントソリューションの寄せ集めから脱却し、セキュリティとネットワーキングの機能を単一の統合コントロールプレーン上に集約することができます。CloudflareがSASEを提供する仕組みについての詳細はこちらをご覧ください。
SASEアーキテクチャは、ネットワーク接続とセキュリティの機能を、1つのクラウド配信サービスにまとめたものです。SD-WANの機能とCASB、SWG、Zero Trustなどのセキュリティサービスを単一のプラットフォームに統合します。
SASEソリューションは、ユーザーの居場所にかかわらずリソースへのセキュアなアクセスを提供し、リモートワークやハイブリッドワークの環境に最適です。一貫したセキュリティポリシーをすべての接続に適用し、ユーザーがオフィスにいようがリモート勤務していようと、ユーザーとデータを保護します。
SASEの実装には、通常、SD-WAN、FWaaS、CASB、ZTNA、SWGのコンポーネントが含まれます。これらすべてが連携して、ネットワーク接続とセキュリティを統合されたサービスとして提供します。
定義されたネットワークから脅威を排除することに重点を置いた従来のネットワークセキュリティと異なり、SASEはセキュリティをクラウドに移行し、ユーザーが接続する場所を問わずそれを適用します。また、SASEではネットワーキングとセキュリティの機能を1つのクラウドベースサービスに統合することにより、複数のポイントソリューションを使う必要がなくなります。
実装中に、既存のセキュリティインフラストラクチャと新しいSASEデプロイメントモデルの統合の課題に直面する可能性があります。(ITチームがオンプレミスからクラウドリソースの管理に移行する際の)スキルギャップ、変更管理、データがクラウドを通過する際の規制コンプライアンスの確保、新しいワークフローに関する従業員再トレーニングの必要性などが課題となります。さらに、適切なSASEベンダーを選択するためには、ネットワークとセキュリティの両方の機能を慎重に評価してすべての要件が満たされていることを確認する必要があります。