はじめに
備忘録です。SASE 周りの技術について、自分なりにまとめてみました。
本文
1. SASE とは
SASE (Secure Access Service Edge / サシー / サッシー) とは、ネットワークとセキュリティがクラウド上で統合して提供される仕組みです。
SASE は米国ガートナー社によって 2019 年に提唱されました。その後、クラウドサービスの普及やリモートワークの増加により、ゼロトラストセキュリティの重要性が高まったことを背景に、2020 年以降に注目・普及が進んでいます。
↓ ガートナー社「SASE コンバージェンスの戦略的ロードマップ」
2. SASE の構成
SASE は、主に以下のコンポーネントで構成されます。
2-1. 用語解説
① SSE
SSE (Security Service Edge) とは、SASE を構成するコンポーネントのうち、セキュリティ機能を担う領域を指します。米国ガートナー社が 2021 年に独立した概念として再整理しました。SSE 単体でクラウドサービスとして提供しているベンダーもあります。
② SD-WAN
SD-WAN (Software-Defined Wide Area Network) とは、クラウドや拠点間のネットワーク通信をソフトウェアで制御・最適化する技術です。複数回線の帯域や遅延状況を自動で判断して最適な経路を選択するため、クラウド利用やリモートワーク環境でも高速かつ安定した通信が可能になります。
③ SWG
SWG (Secure Web Gateway) とは、ユーザーの Web アクセスを監視・制御するクラウド型のプロキシサービスです。マルウェアや不正サイトへのアクセスをブロックしたり、URL フィルタリングやコンテンツ制御を行ったりすることで、安全な Web 利用環境を提供します。
④ CASB
CASB (Cloud Access Security Broker) とは、SaaS やクラウドサービスへのアクセスを可視化・制御する仕組みです。社内データの流出を防止したり、クラウドサービスの利用状況を把握したりすることで、企業のクラウド利用を安全に管理できます。
⑤ FWaaS
FWaaS (Firewall as a Service) とは、クラウド上で提供されるファイアウォールサービスです。従来のオンプレミス型ファイアウォールと異なり、クラウド中心の通信を制御でき、拠点やユーザーがどこにいても一貫したセキュリティポリシーを適用できます。
⑥ ZTNA
ZTNA (Zero Trust Network Access) とは、ゼロトラストの考え方に基づき、ユーザーやデバイス、アクセス状況に応じてアプリケーションへのアクセスを制御する仕組みです。VPN のようにネットワーク全体を接続するのではなく、必要なアプリだけにアクセス権を付与することで、内部侵害や情報漏洩のリスクを低減できます。
3. SASE / SSE の接続方式
SASE / SSE の接続方式は 3 種類に分けられます。これらの接続方式は、併用して使用されることが多いです。
3-1. クライアント型
エージェント型とも呼ばれます。端末に SASE / SSE クライアントをインストールし、クライアントが通信を SASE / SSE に転送する方式です。ユーザーや端末の状態をもとにした制御が可能で、最も細かいアクセス制御ができます。
3-2. プロキシ型
エージェントレス型とも呼ばれます。ブラウザやプロキシ設定を利用して通信を SASE / SSE に中継する方式です。クライアントのインストールが不要なことから導入は容易ですが、端末情報を利用した制御には制限があります。
3-3. ネットワーク型
拠点のルーターやファイアウォールなどから SASE / SSE にトンネル接続する方式です。拠点単位で通信をまとめて制御でき、主にオフィスやデータセンターの通信に利用されます。
4. SASE / SSE 製品の例
SASE / SSE の代表的な製品には、以下のようなものがあります。
- Palo Alto Networks Prisma SASE
- Cato Networks Cato SASE
- Versa Networks Versa SASE
- Fortinet FortiSASE
- Cisco Secure Connect
- VMware SASE
- Cloudflare One
おわりに
随時更新していきます。