Edge to Cloud、特にクラウドについて考える時に、セキュリティの検討は切っても切れない話題です。
そもそもクラウドってセキュアなの?という次元は、ベンダー側の努力でかなり払拭できていると思います。
この次にくるのが、
「クラウド活用を前提としたセキュリティ対策」です。
SASEについて考えてみる古くからのセキュリティの考え方はファイアウォールを中心とした境界型のセキュリティでした。
以下の図で言うと、赤い丸が境界としてのファイアウォール、その中が社内です。
これをクラウドを前提にすると、少し極端ですが以下の図のように考えてみることができます。
以下の図では、真ん中にクラウドがあり、そのクラウドにぶら下がるように拠点や端末があります。
ここで、ぶら下がっていると言うのが重要で、この青い円の中で様々なセキュリティ機能を提供するモデルが、
今注目されているSASEに近いのかなと思っています。
SASEはGarnter が2019年に提唱したこれからのネットワークセキュリティの考え方です。
SASE = Secure Access Service Edge、そのまま日本語にすると
「安全なネットワークアクセス(Cloudアクセス)をサービスとして提供するEdge」でしょうか。
もう少し紐解くと次のように捉えることができます。
・As a Service モデルが進む中、セキュリティもサービスとして提供してしまおう
・セキュリティを提供する"場"として、Edgeを使おう
このように考えると、
1. セキュリティを提供するSASE(上の図の青い円)をどうするか(どの製品を使うか)
2. SASEにどのように接続するのがいいか
と言う2つの大きな課題が見えてきます。
多くの場合、1.に注目して、2. を忘れがちです。
1.はSWG, CASB, FWaaS など様々な製品をセキュリティベンダが提供していますので、ここでは深く触れず、2.について考えてみます。
SASEにどのように接続するのがいいか
どこからでもSASEに接続しようとすると、エージェント型になってしまいます。
Gartner自身も、
"Leading SASE offerings will require an agent. "と言っており、PCなどのエージェントを使ったソリューションをイメージしています。リモートワークを考えると、会社でも自宅でも、同じセキュリティポリシーを適用できるエージェント型のソリューションは魅力的です。
一方で、その制約としてIoT機器などエージェントをインストールできない端末にSASEを適用することが困難になります。
ここで、Gartnerが提唱しているSASEの定義に立ち返ると、SASEはNaaSとNSaaSを合わせたものとして記載されており、SASEを実現させるためにはネットワークのコンポーネントが欠かせないことがわかります。
Source : Gartner, The Future of Network Security Is in the Cloud, Neil MacDonald et al., 30 August 2019以下の図のように、SD-WANゲートウェイを使ってクラウドセキュリティとトンネル接続することで、全ての端末にSASEを適用することができるようになり、セキュリティレベルを強化することができます。
単純にトンネル接続するだけであれば、今までのルータでも大部分は可能になりますが、
今まで解説した Edge to Cloud のアーキテクチャを考えると、SD-WANゲートウェイを使った柔軟なWAN設計はとても重要なポイントになってきます。
今後の社内セキュリティを見直す時に、いわゆるSASEに対応したセキュリティ製品だけでなく、是非、Edge to Cloud 全体を見据えアーキテクチャと共に考えてみて下さい。
次回は、SASEだけではカバーできない、Edgeの中のセキュリティについて解説してみたいと思います。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------