SASE製品は国内外のメーカー含めて、いろいろな製品がある。
セキュリティリスクの脅威にさらされている昨今、様々な企業がSASE製品を導入して機能を高める取り組みをしている。
そこには既存環境下で使えるかという問題も含むのだが、機能自体は良いものであるため今後も導入が進んでいくだろう。
アクセス元とアクセス先の間での処理
Zero Trust型のSASE製品はアクセス元からアクセス先への通信経路にそのメーカーのクラウド上で動かしているプラットフォームを挟んで、セキュリティ対策の処理を行なっている。
この手の製品はアクセス元のデバイス、内部リソース向けの製品にはアクセス先のセグメントにもエージェントを入れて通信経路を確立させる仕組みになっているが、基本的に処理はクラウド上で行なうためデバイスやリソース側でアップデートを行なうケースはそんなに多くない。
設定さえしてしまえば運用面での煩雑さはない。
クライアントデバイス→プラットフォーム→接続先アプリケーション
上記のようなアクセス経路でトラフィックは目的地に到達する。
アクセス先に到達したトラフィックの送信元IP
SASE製品を使わずにクライアントデバイスからアプリケーションへの直接通信をしている場合。
どのような回線契約にしているかによるが、企業内で使われる場合はクライアントデバイスから送信は固定グローバルIPからのアクセスとなるケースが多いと思う。
そのためアプリケーション側の設定では、アクセス許可を特定のIPに絞って、それ以外のアクセスは弾く、というセキュリティ設定が可能だった。
ただSASEを挟んだ通信の場合。
クライアントデバイス→プラットフォームへのアクセスではもちろん、デバイスのIPが送信元となるのだが。プラットフォーム→アプリケーションへのアクセスでは送信元IPがプラットフォーム側のものになり、通常は動的(可変)のものになる。そのため同じクライアントデバイスからのアクセスでもアクセス先に到達するトラフィックは毎回違うIPとなる。
固定IPというオプション
アプリケーション側で特定のIP以外のアクセスを弾く運用を続けたい上で、SASE製品の導入となるとこのあたりの折り合いが良くないように思える。
ただこれはプラットフォームからのトラフィックでも固定IPとして送信できるオプションがメーカーによっては用意されている。Zscaler、Cloudflare、Menloあたりがそれに該当する。
SASE+固定IPの併用。通信経路の安全な確立をした上での二重防御。固定IPの運用を続けたい要望にも対応可能となっている。
ひとりごと
映画監督のロブ・ライナー氏が殺害されたという報道が耳に入ってきた。
子どもの頃に映画「スタンド・バイ・ミー」を鑑賞していたから、個人的に馴染みや親しみを持っていた。
殺害の犯人は息子だというので結末は大きく異なるが、映画関係者の殺害と聞けば、ロマン・ポランスキー監督の妻だったシャロン・テート事件を真っ先に思い浮かべた。2019年に公開されたレオナルド・ディカプリオとブラット・ピット主演映画「ワンス・アポン・ア・タイム・イン・ハリウッド」を鑑賞した人ならすっと話が入っていくと思う。
スクリーンに偉大な功績を残された人の不幸は痛恨だ。
これをキッカケに過去作を鑑賞して、故人が遺してくれたものに想いを馳せるのが我々にできる供養なのではないかと思う。