[前回] ゼロトラストのディープダイブ(3)-ApacheGuacamoleの検証
はじめに
おさらいです。
- 従来のセキュリティ対策
- 社内ネットワーク保護を中心に、ファイアウォールなどによる境界防御
- テレワークやクラウドサービス利用により、対応できないケースが出てきた
- ゼロトラストの考え方
- データへのアクセス保護を中心に、セッションごとに動的コントロール
今回は、ゼロトラストの実装技術としてSASE(Secure Access Service Edge)を勉強します。
SASE(サッシー)の由来
SASEの理解は、ガートナー社のレポートThe Future of Network Security Is in the Cloudを読み解く必要がありそうです。
作者は冒頭で以下のように問いかけています。
Your Users, Workloads, Applications and Data Are in the Cloud.
Why Isn’t Your Security?
大事な情報資産がクラウドに移行されつつあるので、クラウドがセキュリティ中心となって当然ですね。
ガートナー社のレポートから引用した、SASEの考え方。
- 従来のデータセンターを中心にボックス化された、境界防御セキュリティから
※ 引用元: The Future of Network Security Is in the Cloud
- 人、デバイス、アプリケーション、IoT/OTなどすべてにおける、エッジセキュリティにシフトしよう
※ 引用元: The Future of Network Security Is in the Cloud
SASEの定義とアーキテクチャ
SASE(Secure Access Service Edge)は、動的作成されたポリシーベースのコンテキストアクセス制御モデル。
NaaS(Network as a Service)とNSaaS(Network Security as a Service)の機能を包括的にクラウドから提供する。
※ 引用元: The Future of Network Security Is in the Cloud
SASEのサービス
SASEビジョンを達成するには、ユーザーおよびセキュリティポリシー管理者を考慮した、シームレスなソリューションが必要とのこと。
- SASEに求められるサービス
- 中核機能
- SD-WAN(Software Defined Wide Area Network)
- ネットワークをソフトウェアで制御するSDN(Software Defined Networking)技術をWANに適用し
- 拠点間接続やクラウド接続で柔軟なネットワーク構成やトラフィック制御を実現する技術やサービス
- SWG(Secure Web Gateway)
- URLフィルタリング、アプリケーションフィルター、アンチウイルス、サンドボックスなど複数のセキュリティ機能を搭載した
- 主にクラウド型で提供されるプロキシサービス
- CASB(Cloud Access Security Broker)
- クラウドサービスのユーザーとアプリケーション間に位置するオンプレミスまたはクラウドベースのソフトウェア
- すべてのアクティビティを監視し、セキュリティポリシーを適用
- ZTNA(Zero Trust Network Access)
- 明確に定義されたアクセス制御ポリシーに基づいて
- 企業のアプリケーション、データ、サービスへのセキュアなリモートアクセスを提供するITセキュリティソリューション
- FWaaS(Firewall as a Service)
- ネットワークやクラウドインフラストラクチャを保護するためのクラウド提供型のファイアウォール
- Sensitive data and malware
- 機密情報をマルウェア攻撃から保護
- Line rate operation
- パフォーマンス低下なしでセキュリティを実現
- SD-WAN(Software Defined Wide Area Network)
- 推奨機能
- WAAP(Web Application and API Protection)
- クラウド型、SaaS型の次世代WAFソリューション
- サイバー攻撃からWebアプリケーション/APIを保護する
- RBI(Remote browser isolation)
- Webブラウジングアクティビティを独立したクラウド環境内に分離し
- Webサイトに隠されたマルウェアや悪意のあるコードからユーザーを守る技術
- Network sandbox
- ネットワークを通過する疑わしいアーティファクトを監視、分析、検出、ブロックできる
- 分離されたテスト環境
- DNS protection
- DNSの完全性とサービス可用性を維持しつつ
- ネットワーク外部/内部のDNSへの攻撃を自動検知・阻止
- API-based access to SaaS for data context
- データコンテキストSaaSへのAPIベースアクセス
- Supports managed and unmanaged devices
- マネージド/非マネージドデバイスをサポート
- WAAP(Web Application and API Protection)
- オプショナル
- Wi-Fi hot spot protection
- Wi-Fiホットスポット保護
- Network obfuscation or dispersion
- ネットワークの難読化または分散
- Legacy VPN
- レガシーVPNの保護
- Edge compute protection
- エッジコンピューティング保護
- Wi-Fi hot spot protection
- 中核機能
クラウドネイティブSASEとは
- Software-based, hardware-neutral architecture
- ソフトウェアベース、脱ハードウェアのアーキテクチャ
- Elastic
- 伸縮性
- Built using small units of loosely coupled code
- 細分化された疎結合コードを用いてビルド
- Globally distributed points of presence
- グローバルに分散された拠点
- In-line encryption/decryption that scales
- 拡張可能なインライン暗号化/復号
- Single pass scanning for malware/sensitive data
- マルウェア/機密データのシングルパススキャン
- Ideally, licensing per user/device as a subscription
- サブスクリプションとしてユーザー/デバイスごとのライセンスが理想的
- Ideally, multitenant by design
- マルチテナント設計が理想的
- Ideally, full integrated - Not cobbled from acquisitions
- 完全統合が理想的(買収によるつぎはぎではない)
おわりに
SASEの考え方に感銘を受け、わくわくしてきました。
いろんなキーワードが出現したので、一つずつひもといていきます。
お楽しみに。