SASE(セキュアアクセスサービスエッジ)アーキテクチャ:デジタルビジネスネットワークの出発点

セキュアアクセスサービスエッジ(SASE)アーキテクチャ:デジタルビジネスネットワークの出発点

ガートナーは「Hype Cycle for Enterprise Networking, 2019」において、SASE(セキュアアクセスサービスエッジ)を企業のネットワークとセキュリティにおける次世代の変革に位置付けました。SASEアーキテクチャは、新しい機能ではなく、既存の技術をより有効に活用するため、ネットワーキクとセキュリティ領域を単一のグローバルクラウドサービスへ集約することであると説明されています。

極めて戦略的なカテゴリでにあるSASEは、ガートナーにより「革新的」であると位置づけられました。企業ネットワークに大きなインパクトを与えるSD-WANですらも、ガートナーの企業ネットワークにおける技術評価(ハイプ・サイクル)で「革新的」に分類されたことはありません。

SASEは、企業ネットワークとセキュリティ業界が目指す方向性を示す革新的なアーキテクチャとして、ますます多くの企業で採用されています。Cato SASEプラットフォームのコア機能である「Cato Single Pass Cloud Engine(SPACE)」は、グローバルに張り巡らされたネットワーク接続と冗長性を備えたSASEアーキテクチャです。さらに詳しく見ていきましょう。

なぜ今SASEが必要とされるのか、またなぜSASEは革新的なのか?

SASEは、今日のデジタルビジネスに求められるスピードとアジリティに対応します。あらゆる拠点でよりスピーディにビジネスを推進するためには、リモートオフィスやモバイルユーザーと連携する必要があります。あらゆる拠点のチームやリソースを連携させ、新製品の開発、市場への投入、ビジネスの状況や変化に素早く対応することが、デジタルビジネストランスフォーメーションの鍵を握っています。これを支える技術が不可欠であり、クラウドコンピューティングの普及はその一例です。SASE技術には、新しい時代を先導するメリットをもたらします。

クラウドは、迅速で適応力があり、ユビキタスな企業ネットワークとセキュリティのインフラを実現します。従来型のネットワークは柔軟性に欠けるうえ、動的ではないため、物理的な拠点、クラウドリソース、モバイルユーザー間でセキュリティが分断されています。ネットワークとセキュリティが数十年にわたりサイロ化し、新たなビジネス要件にパッチを適用することで対応した結果、ビジネスのスピードが減速しているのです。

企業が長年にわたり行ってきた、ネットワーク設計方法そのものが時代遅れになっています。SD-WANデバイス、ファイアウォール、IPSアプライアンス、その他のセキュリティおよびネットワーキングソリューションを組み合わせてネットワークの課題を解決しようとする考え方自体に問題が生じているのです。ガートナーは、「DXとモバイル、クラウド、エッジのデプロイモデルの採用は、ネットワークのトラフィックパターンを根本的に変え、既存のネットワークモデルやセキュリティモデルに置き換わるもの」であるという見解を示しています。

SASEネットワークアーキテクチャとは?

SASEクラウドアーキテクチャは、物理、クラウド、モバイルなどの企業リソースをどこからでも接続し、保護する単一のネットワークを提供することでこれらの課題を解決します。SASE CloudはIDベースの管理、クラウドネイティブ、あらゆるエッジのサポート、グローバル・ネットワークという4つの主要な特徴を備えています。

IDベースでの管理:IPアドレスによってだけではなく、ユーザーとリソースのIDによって、ネットワーク環境とアクセス権のレベルが決定されます。すべてのネットワーク接続に関連付けられるIDにより、サービス品質、経路選択、リスク主導型セキュリティ制御の適用が管理されます。このアプローチにより、企業はユーザーに対して、デバイスやロケーションに関わらず、ネットワークとセキュリティポリシーのパッケージを適用することで、運用負担が軽減されます。

クラウドネイティブアーキテクチャ:SASEのアーキテクチャは、柔軟性、適応性、自己修復性、自己修復などの主要なクラウド機能を活用し、顧客間のコストを償却して効率を最大化し、新たなビジネス要件に即座に適応し、どこからでも利用できるプラットフォームを提供します。

すべてのエッジをサポート:SASEは、データセンター、拠点、クラウドリソース、モバイルユーザーなど、企業のすべてのリソースに対して単一のネットワークを構築します。例えば、SD-WANアプライアンスは物理的なエッジをサポートし、モバイルクライアントとクライアントレスブラウザアクセスはモバイルユーザーを接続します。

グローバル・ネットワーク:すべてのネットワークとセキュリティ機能をあらゆる場所で利用可能とし、すべてのエッジで最高の体験を提供するためには、SASEクラウドがグローバルに張り巡らされていなければなりません。そのためには、企業のエッジ(デバイスや拠点)に低遅延のサービスを提供するフットプリントの拡大の必要があるとガートナーは指摘しています。

通信事業者が管理するネットワークサービスとSASEの違い

SASE Cloudサービスは、拠点、クラウド、モバイルユーザーなど、あらゆる「エッジ」からのトラフィックを処理する、シングルパス型のトラフィック処理エンジンを実行します。トラフィックを転送する前に、ネットワークの最適化、セキュリティ検査、豊富なコンテキスト情報をもとにポリシー適用を効率的に実行します。

この点においてSASEは、通信事業者が提供する「ポイントソリューションの統合」であるバンドルサービスとは根本的に異なるアプローチであると言えます。バンドルサービスは、ベースとなるネットワークの複雑さを不透明にしますが、製品とその管理者の両方に費用が発生するため、企業支出が増加します。

対象的にシングルパス、クラウドベースのアーキテクチャを持つSASE Cloudは、すべての機能が集約されているため、見せかけではないスリム化を実現します。複数のポイントソリューションを積み重ねることなく、より多くのコンテキストをもとにトラフィックを高速に処理します。SASEは、クラウドの拡張性、自己修復と維持、機敏性を考慮して構築されています。通信事業者の提供するサービスはそうではありません。

これは、クラウドで仮想マシンを運用するネットワーク・プロバイダーや、サービス・チェーン・ソリューションも同じです。どちらの場合も、特定のVNF(仮想ネットワーク機能)、VM、サービスを個別に調整し、拡張・管理する必要があります。クラウド上に様々なセキュリティ機能を統合しているセキュリティ・プロバイダーは、ネットワーク・フローの制御と、WANエッジのネイティブサポートというSASEの主要要素を満たしていません。

SASEにおいて「統合」は重要な定義です。ネットワークとセキュリティの機能を提供できず、それらを個別のアプライアンスとして維持したり、サービスチェーニングに依存することは「統合」ではなく、ポイントソリューションを単に積み重ねただけです。


世界初のSASEプラットフォーム、Cato

2019年のSASEの呼称確立に先立つこと4年。Catoは完全なSASEアーキテクチャにより、世界中の幾多の企業とその何十万もの拠点、クラウドインスタンス、モバイルユーザーへ接続・保護を2015年の創業当初から提供しています。またCatoは最初に登場して以来、ガートナーのハイプ・サイクルのすべてのSASEカテゴリで「見本となるベンダー」に選ばれています。

Cato SASEプラットフォームの具体的特徴とは:

  • クラウドネイティブである

Catoは、クラウドネイティブなプラットフォームの5つの特徴(マルチテナンシー、拡張性、速度、効率、ユビキタス)を満たすソフトウェア・プラットフォームに、ネットワークとセキュリティを融合させました。グローバルかつ、拡張性と適応性を備えたSASEクラウドサービス実現のため、新たに構築されたCato SPACEは、Cato SASEアーキテクチャの中核となる要素です。数千ものCato SPACEにより、Cato SASE クラウドは、クラウド規模のネットワークとセキュリティのフルセットを、世界中のあらゆるユーザーやアプリケーションに向けて、自己修復・維持が可能なサービスとして提供しています。

  • IDベースでの管理。「ユーザー」に注意を払って、ユーザーIDにセキュリティとネットワークポリシーを紐付けることができます。Cato SPACEがすべてのフローから抽出する、多くのコンテキスト要素のうちの1つがCatoによって完全に特定されるID情報です。
  • すべてのエッジをサポート。Catoは、企業の物理的な拠点、クラウドリソース、モバイルデバイスなどすべてのエッジを互いに接続し、インターネットに接続します。Catoのエージェントレス構成が、クラウドリソースをCatoに接続します。物理的な拠点間はCato SD-WANデバイスを介して、またモバイルユーザはCatoのクライアントとクライアントレスアクセスを利用することで、トラフィックは最寄りのCatoのPoPに転送され、Cato SPACEがコンテキストを抽出し、該当フローに関連するポリシーを適用します。
  • グローバルネットワーク。Catoのプライベートバックボーンは世界中に張り巡らされています。これは、65ヵ所以上のPoPが複数のティア1プロバイダによって相互接続された、サービス品質の保証されたネットワークです。それらすべてのPoPが、Catoの統合型ソフトウェア・スタックを完全に実行し、SASEの厳格な定義の拡張のためWANとクラウドを最適化することで、アプリケーションの場所を問わず全体的なアクセスを向上させます。

光栄にもCatoは、SASEカテゴリーで再び見本となるベンダーに選ばれました。多くの競合他社は統合を無視するか、アプライアンスでの統合を推進してきましたが、いずれも戦略的に適切ではありません。Catoはその創業以来、SASEプラットフォームのあるべき姿について提唱してきました。Cato NetworksのCEO 兼共同設立者、シュロモ・クレイマーは「Catoはネットワークとセキュリティをクラウドに統合し、あらゆるロケーション、クラウドリソース、モバイルユーザーを接続し保護する、グローバルでクラウドネイティブな単一アーキテクチャを構築することに創業から一貫して注力してきました」と述べています。

CASBとSASEZTNAとSASEを比較し真のSASEとは異なるものを明確に認識することが、Catoの提供サービスをより詳しく理解する一助となると思います。SASEコースを受講し、認定エキスパートの資格取得をご検討ください。SASEを導入するには、今すぐ当社へお問い合わせください

** Gartner, “Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge,” Joe Skorupa and Neil MacDonald, 29 July 2019

免責事項:

ガートナーは、その研究出版物に記載されるいかなるベンダー、製品、サービスも推奨するものではありません。また最高の評価などを受けたベンダーだけを選択するようユーザーに助言するものでもありません。ガートナーの研究出版物は、ガートナーの研究組織の意見により構成されており、それらを事実を記述したものとして解釈するべきではありません。ガートナーは本リサーチに関して、商品性または特定の目的における適合性の保証を含め、明示または黙示を問わず、いかなる種類の保証も致しません。