境界型防御が抱えている課題をSASEが解決
ゼロトラストの考え方の広まり
リモートワークを含めた働き方改革を推進していくためには、社内外を問わずさまざまな場所で活動するユーザーのデバイスレベルの管理が必要となります。そうした中で注目されているのが、「ゼロトラスト」のアプローチです。
ゼロトラストという言葉自体は2000年代の半ば頃から使われていたのですが、各ベンダーや団体がそれぞれ独自の定義を示すなど、概念があいまいだったこともあり、あまり認知は広がりませんでした。
この流れを大きく変えたのが、NIST(米国標準技術研究所)が2020年に発表したゼロトラストアーキテクチャーの標準定義です。これによりゼロトラストの考え方が広く注目されるきっかけとなりました。
ゼロトラストの考え方を包含するSASE
ゼロトラストの考え方をどうすれば企業のITに適用することができるでしょうか。これを実現するプラットフォームのひとつがSASE(Secure Access Service Edge)です。SD-WANがその中核を担うととともに、ネットワークを流れるすべてのトラフィックを検査するゼロトラストの仕組みを包含しています。
SASEを最初に提唱したガートナーは、これをNetwork as a ServiceとNetwork Security as a Serviceを統合したクラウドサービスと定義しています。
VMware SASE のアーキテクチャー
SASEの基本的なアーキテクチャーは、ネットワークの足回りとなる「SD-WAN」とコンテキストベースの「認証・認可」、アプリケーション保護とデバイス保護、データ保護、分析などの「セキュリティ」の連携によって実現されます。
さらに、SASEを介して社内ネットワークやIaaS、SaaS、インターネットなどにアクセスするエンドポイントは、EDR(エンドポイントでの検出と対応)やEMM(エンタープライズモバイル管理)などのソリューションによって保護されます。
ヴイエムウェアは、VMware Secure Access、VMware Cloud Web Security、VMware NSX FWaaSの3つのセキュリティを中心にVMware SD-WAN、VMware Workspace ONE、VMware Carbon Blackといったコンポーネントを連携させたVMware SASE により、すべてのユーザーに対して場所を問わずにオンプレミスやクラウドのすべてのアプリケーションを利用できるゼロトラストを提供します。
また、ヴイエムウェアは全世界3,100ヶ所以上に展開するVMware SD-WAN ゲートウェイを生かし、150を超えるデータセンターにVMware SASE PoP (points of presence) を配置しています。企業は管理プレーンのVMware SD-WAN オーケストレータから最寄りのVMware SASE PoPに接続することで、VMware SASE のすべての機能を一元的に管理運用することができます。
こうしたハイパースケールアーキテクチャーを備えたVMware SASEにより、ニューノーマル時代の働き方を支援します。
VMware SASE の核となるセキュリティサービス
VMware SASE は次の3つのセキュリティサービスを連携させることで、ゼロトラストネットワークアクセスを実現しています。
VMware Secure Access
VMware Workspace ONE による統合エンドポイント管理機能と連携し、さまざまな場所からアクセスしてくるエンドポイントのトラフィックを管理します。
VMware Cloud Web Security
セキュア Web ゲートウェイ(SWG)、Cloud Access Security Broker(CASB)、情報漏洩防止対策(DLP)、URLフィルタリング、リモートブラウザー分離(RBI)などの機能をVMware SASE PoPから提供することで、SaaS やインターネットへのセキュアかつ最適化されたダイレクトアクセスを可能としています。
VMware NSX FWaaS
オンプレミスで運用しているアプリケーションへのアクセスに対して、VMware NSXの次世代ファイアウォール(NGFW)によりIDベースの保護を実現します。また、DPIや IPS/IDSなどの高度なセキュリティ機能をSASEサービスに組み込みます。
本機能は将来リリース予定です。