この記事は セキュリティ ビジネス グループ 製品担当 SVP Jeff Reed(協力者:シスコ インテントベース ネットワーク グループ担当 GM 兼 SVP Scott Harrell) によるブログ「Cisco is Building a Bridge to Secure Access Service Edge」(2020/5/28)の一部抄訳です
Scott Harrell と私はこの 8 年間、シスコのネットワークおよびセキュリティ部門のリーダーとして、それぞれの視点から多くの革新的な開発を監督する機会に恵まれてきました。実際、私たちはそれぞれがそれぞれの役割を担ってきたため、セキュアなネットワーキングの未来について独自の見解を持つことができました。今日の組織では、分散化されたワークフォースからアプリケーションやデータリソースに各々が接続するように変わりつつあり、私たちはネットワークとセキュリティの複雑な関係性について再考する機会を持ちました。
私たちが考える主なマクロトレンドは、マルチクラウドへの移行によりデータとアプリケーションの物理的な境界が消失していることです。並行して、ワークフォースの分散化が進むことにより、アプリケーションを安全かつ最適なパフォーマンスで利用できることが求められてきています。こうしたマルチクラウド環境に対応すべく、企業の間では SD-WAN の導入が急速に広まっています。これは、キャンパスからクラウド、エッジに至るまで、アクセスとセキュリティの管理方法を見直す良い機会ともなっています。組織の 60% は、2021 年までにアプリケーションの大部分がクラウドに移行し、50% 以上のワークフォースがリモートワークに切り替わると予測しており、Gartner 社が提唱するセキュア アクセス サービスエッジ(SASE)のような新しいネットワーク/セキュリティのモデルが、その「ニューノーマル」を管理するためのビジョンを提供しています。
SASE への行程
Gartner 社の SASE のコンセプトでは、エンドユーザ、デバイス、IoT/OT システム、エッジコンピューティングのロケーションを識別し、データセンターやクラウドベースサービスなど、いたる所でホストされているアプリケーションに、直接かつ安全にアクセスできる機能を提供します。具体的にはGartner 社は、「SASE は、デジタル企業におけるダイナミック セキュア アクセスのニーズに対応するために、包括的な WAN 機能とネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNA など)を組み合わせた新たなサービスである※」と述べています。
SASEの目的は、特定の個人、特定のオフィスの場所にいるグループ、デバイス、IoT、さらにはサービスなどのアイデンティティに基づいて、あなたのデータセンターまたはAzure、AWS、Googleクラウド、およびSaaSプロバイダーのようなクラウドプラットフォームで提供されるアプリケーションやデータへ安全なアクセスを提供する事です。サービス・エッジとは、グローバル・ポイント・オブ・プレゼンス(PoP)、IaaS、またはコロケーション施設のことで、ブランチやエンドポイントからのローカル・トラフィックを、最初にデータセンター・フォーカルポイントに移動することなく、適切な宛先に安全に転送することを意味します。セキュリティサービスとネットワークサービスを併せてクラウドから提供することで、組織はあらゆるユーザーやデバイスを、最高のエクスペリエンスとともに、あらゆるアプリケーションへ安全に接続することができるようになります。
Gartner 社は、SASE を企業が目指すべきセキュア ネットワーキング モデルのビジョンであると考えていますが、現在はまだどのベンダーも現実的なものではありません。シスコでは、ネットワーク(Meraki、Viptela)およびセキュリティ(OpenDNS、Cloudlock、Duo)分野で行った重要な買収や、社内で開発された多くのイノベーションを通じて、数年前からこの道を歩んできました。今日、 SASEはクラウド管理型の SD-WAN とクラウド提供型のセキュリティの融合をよく象徴したものであり、これらはシスコが広範囲に開発してきた2つの基礎的な機能です。
現在 20,000 以上の組織が Cisco SD-WAN を導入して SASE への移行を開始し、22,000 以上の組織が Cisco Umbrella のクラウド セキュリティ サービスを利用しています。
SASE の実現に向けた課題
SASE モデルへの移行は段階的なプロセスとなります。リモートワーカーと、彼らが必要とする分散リソースをどのように接続するかについて、再検討しながら進める必要があるためです。IT 部門が複数のセキュリティ機能とネットワーク機能の中から、自社の運用、規制要件、アプリケーションの種類に最も適したものを選択する際には、柔軟性が重要となります。セキュリティサービスをクラウドから優先的に配信することで、あらゆる種類のエンドポイントに一貫したアクセスポリシーを提供することができます。ただし、世界中に分散された組織では、地域ごとの要件に応じてセキュリティサービスとルーティングサービスを選択する事が必要になる場合もあります。
そして、アーキテクチャの選択だけでなく、セキュリティサービスとネットワークサービスを効率的に調達する方法の検討も欠かせません。多くの企業では、セキュリティとネットワークが別々のサイクルで購入されていていますが、それが SASE の導入を遅らせる可能性があります。また、その他の要因としては、異なるライセンス体系の混在があります。ネットワークサービスのライセンスは一般にスループットに基づいているのに対し、セキュリティサービスは、保護対象となるユーザやエンドポイントの数に基づいています。オンプレミスからハイブリッド/クラウドファーストのアプローチに移行することで、より柔軟に調達できる「…as-a-Service」型の消費モデルに対する需要が今後は高まることが予想されます。
シスコが、ネットワーク、セキュリティ、ゼロトラスト ネットワーク アクセスをつなぐ架け橋を構築
シスコはすでに多くの SASE 機能を備えており、既存のソリューションセットの統合も順調に進んでいます。
ネットワーク:Cisco SD-WAN は、クラウド提供型のオーバーレイ WAN アーキテクチャです。アプリケーションを最適化し、マルチクラウド環境で安定したアプリケーション パフォーマンスを実現します。フルセキュリティスタックが組み込まれており、ファイアウォール、IPS/IDS、AMP、URL フィルタリング機能を提供します。アナリティクスとアシュアランスは、あらゆるタイプの接続性に関する可視性と洞察力を提供し、最高のエクスペリエンスを提供します。
クラウドセキュリティ:Cisco Umbrella は、セキュア Web ゲートウェイ(SWG)、DNS レイヤセキュリティ、ファイアウォール、クラウド アクセス セキュリティ ブローカ(CASB)機能を、クラウドネイティブな統合プラットフォームに集約します。世界中に多数の拠点を持つマイクロサービスベースのアーキテクチャとして構築されたUmbrellaは、今日のリモートワークの安全性を確保するために必要なスケールと信頼性を提供します。世界最大規模の民間脅威調査チームである Cisco Talos が提供する脅威インテリジェンスを活用し、セキュリティの有効性に関して業界トップと評価されました 。
ゼロトラスト ネットワーク アクセス:アイデンティティを検証してリソースへのアクセスを保護するために、シスコの Duo および SD-Access(Software-Defined Access)を利用して、場所を問わず個々の従業員にゼロトラスト ネットワーク アクセス アーキテクチャを拡張します。Duo はワークフォースを保護し、SD-Access はワークプレイスを保護します。最終的には、セキュリティ機能がどこに導入されているかを気にする必要がなくなり、企業全体に適用すべきポリシーに集中する事ができます。
この SASE モデルの基本的な機能には、API ベースのプログラマブルなアーキテクチャが含まれており、サードパーティのエコシステム・パートナーのサポートを含め、多くのタイプのエンタープライズ・ユースケースに柔軟に対応できるようになっています。
SASE への架け橋を渡る
SASE モデルへの移行は段階的なプロセスになります。リモートワーカーと、彼らが必要とする分散リソースをどのように接続するかについて、再検討しながら進める必要があるためです。IT 部門が複数のセキュリティ機能とネットワーク機能の中から、自社の運用、規制要件、アプリケーションの種類に最も適したものを選択する際には、柔軟性が重要となります。自社のインフラを SASE モデルに進化させるために選択する架け橋は、クラウドネイティブのマイクロサービス アーキテクチャをベースに構築されている必要があります。既存のオンプレミステクノロジーをクラウドサービス(仮想マシン)に移行するだけであれば、SASE のメリットを得ることは難しいでしょう。しかし、大きく変わる情報管理での課題を解決するために、架け橋を渡ってセキュア アクセス サービスエッジ ネットワークを採用する事で、クラウドセキュリティとネットワークサービスの重要性はより高まっていきます。
組織がSASEネットワークとセキュリティモデルへの架け橋を構築することを、シスコがどのように実現しているかについては、Cisco Live!(2020 年 6 月 16、17 日)に参加してご確認ください。すでに 8 万人以上の方が参加登録されています。快適なオフィスから参加できるこのバーチャルイベントをお見逃しなく。https://www.ciscolive.com/us.html から今すぐ登録してください。
*出典:『The Future of Network Security Is in the Cloud(ネットワークセキュリティの未来はクラウドに)』、Gartner 社 Neil MacDonald 氏、Lawrence Orans 氏他、2019 年 8 月 30 日