社内外に分散するあらゆるエッジをセキュアにつなぐ新たなSASEプラットフォーム VMware SD-Accessが登場しました。働き方が多様化し、端末が社内外に分散化していくなかで、ますます重要性を高めているリモートアクセスをVMware SD-Accessが刷新します。
目次
VMware SASEに加わった新たな接続オプション
VPN運用で避けられない課題
在宅環境やサテライトオフィスなど社外の離れた拠点から本社データセンターで運用されているシステムやデータを利用する、リモートアクセスを行う際には一般的にVPNが使われています。
しかし、VPNには運用面のさまざまな課題があるのも事実です。このソリューションは基本的にオンプレミスで展開されており、IT 管理者は VPN 終端装置をはじめとするハードウェアの保守にあたらなければなりません。
コロナ禍におけるリモートワークの急拡大で見られたように、リモートアクセスが増加した際には、負荷状況に応じたVPN装置の拡張や追加などスケーラビリティの管理も必要です。当然、ライフサイクルに基づいた保守管理、機器更改も避けることはできません。
特に昨今ではVPNの脆弱性を狙ったサイバー攻撃も頻発しており、装置ごとのファームウェアのアップデートが遅れるとセキュリティリスクが高まります。
VPNに置き換わるVMware SD-Access
多くの課題を抱えるVPNに代わるリモートアクセスのソリューションとして、VMwareが提供しているのがVMware SD-Accessです。
VMware SD-Accessを、さまざまな端末やサーバにエージェントを適用するだけでSD-WANを実現するソフトウェアオンリーのソリューションです。VMware SD-Access が適用された端末やサーバ間の接続は、すべてクラウドから管理され、途中の回線種別に依存することなくSD-WANトンネリングによる相互の接続性を確保することができます。
基本的にVMware SD-Accessの導入はソフトウェアのインストールのみで完了し、以降はクラウドで提供されるコンソールから集中管理が可能なため、IT管理者はVPNで不可欠だった装置単位での管理・保守や拡張・追加、ライフサイクル対応から解放されます。
なおVMware SD-AccessはWindowsやmacOS、Linuxはもとより、モバイル向けのiOSやAndroid にも対応しており、大半のビジネスユースケースに適用が可能です。
VMware SD-Accessの位置づけ
VMware SASEのもとで、すでにVMware SD-WANやVMware Secure Accessといったリモートアクセスのソリューションが提供されています。VMware SD-Accessはそこに新たに加わった接続オプションでより柔軟性のあるリモートアクセス環境を提供します。
VMware SD-WAN Edge(SD-WANルータ)などのハードウェアアプライアンスを利用することなく、ゼロトラストセキュリティの考え方に基づいたSD-WAN※の接続性を実現できるのがメリットです。
※注 現時点(2023年11月)ではVMware SD-WAN Gateway(Edge PoP)への接続はサポートされておらず、スタンドアロンでの接続となります。今後のロードマップについては後ほど紹介します。
VMware SD-Accessの利用形態
VMware SD-Accessの構成オプション
VMware SD-Accessでは大きく2種類の構成オプションを取ることが可能です。
まずは「ハブ&スポーク構成」です。ユーザーの端末が特定のアプリケーションやサーバへアクセスする際に適しています。ソースとデスティネーションを指定することで、一方向のみの通信リクエストのみを受け付けるため、必要最低限の通信許可のみをユーザーに提供することが可能です。
次に「フルメッシュ構成」です。こちらは指定されたグループ内のノード間で相互に通信を行う際に適しています。コンテキストやトラフィック種別を制限することで、必要最低限での相互接続を可能とします。
VMware SD-Accessのパス構成
多数のノードが参加するSD-WANのネットワークにおいて、常に他のノードとパスを構成し続けることは適切とは言えません。そこでVMware SD-Accessは、宛先のノードに対する通信要求が出された時点で、オンデマンドでパスを確立します。
また、必ずしもデータセンターやクラウド環境を経由させる必要はなく、ダイレクト接続も含めた状況に合わせたパス選択が可能となります。これらのパスは継続的にパフォーマンスのモニタリングが行われ、その結果に基づいて活用可能なパス候補の中から最適なものが自動的に選択されます。
VMware SD-Accessのセキュリティ機能
VMware SD-Accessは次のような機能により、通信の安全を担保します。
1つ目は「エンドツーエンドの暗号化」です。通信を行うノード間で暗号化を行うため、コントロールプレーンなど中継地点での復号化は行われません。
2つ目は「セグメント化されたプライベートアクセス」です。ポリシーに定義されたノード間のみでアクセスを許可します。社内外を問わず適用可能なため、重要システムに対するアクセス環境全体をセキュアにすることが可能です。
3つ目は「ZTNA(ゼロトラストネットワークアクセス)原則に基づくコンテキスト・アクセス」です。IDプロバイダーと連携したユーザー認証に加え、アクセス可能な時間、地域、OS種別、アンチマルウェア検知に基づくアクセス制御を行います。
なお、これらのセキュリティ機能はVMware SASEのUIから集中管理が可能です。
広がるユースケースと今後の機能拡張
想定されるユースケース
VMware SD-Accessはソフトウェアならではの導入の容易さ、多様なプラットフォームへの柔軟な対応といったメリットを生かし、多くのユースケースが想定されています。
まず考えられるのはVPNからの置き換えや、在宅勤務環境へのリモートアクセス手段の提供ですが、そのほか少人数の支社・支店間の接続や一時的な拠点展開、IoTデバイスの接続にも活用することが可能です。
VMware SD-Accessのロードマップ
現時点ではVMware SD-Accessはリモートアクセスのためのスタンドアロンのソリューションとして提供されていますが、VMwareでは次のようなロードマップに基づく機能拡張を予定しています。
2023年末:
VMware のSecure Web Gatewayを経由したセキュアなインターネットアクセスが可能となります。
2024年初め:
VMware SASEで提供されているEdge PoP/ VMware SD-WANにVMware SD-Access通信も統合されます。これによりSD-WANのセキュリティサービスエッジ(SSE)と同等のセキュリティソリューションを提供できるようになります。
まとめ
ここまで述べてきたとおりVMware SD-Accessはリスクの大きいVPNに代わるリモートアクセスのソリューションとして、現時点でも大きな導入メリットがあります。リーズナブルなライセンス費で導入可能なことから、SD-WANのスモールスタートとしても最適です。近い将来の機能拡張も予定されており、今から導入を進めておくことをおすすめします。