この記事は、Security Business Group の Senior Vice President and General Manager である Dr. Gee Rittenhouse (執筆協力:James Mobley) によるブログ「Cisco’s Vision for SASE and a Brand New Offer to Kickstart Your Journey」(2021/3/30)の抄訳です。
今や多くの組織にとって課題は増え続ける一方です。テレワークの拡大により分散が加速するなか、アプリケーションを安定して安全に使える環境が強く求められているからです。では複雑さを悪化させずに、そうした環境をネットワークチームとセキュリティチームが提供するには、どうすればよいのでしょうか。この疑問により従来のネットワークアーキテクチャが見直され、その結果として Secure Access Service Edge(SASE)の概念が生まれました。簡単に言うと、SASE とはクラウド上でのネットワークとセキュリティ機能の統合です。
SASE の概念はシスコにとって新しいものではありません。シスコは過去30 年にわたり、ビジネスを支えるネットワークの構築で世界中のお客様を支援してきたからです。同時に、増え続けるサイバー脅威からお客様を守るよう手を尽くし、よりシンプルで信頼性の高いエクスペリエンスの実現に注力してきました。そして今の注力分野は、クラウドエッジを手始めにセキュアな Network as a Service を実現することです。
シスコの SASE ビジョン
複雑さの問題を解消するには、クラウド提供型 / 管理型のセキュリティ製品やネットワーク製品を使用するだけでは不十分です。市場はすでにそのような製品で溢れかえっているからです。つまり単なるクラウドへの移行では、複雑さの問題を解決するのではなく、問題をクラウドに移すだけです。複雑さを解消できる解決策とは、ネットワーク機能とセキュリティ機能を単一のサービスに完全に統合することです。
どのような場所、ネットワーク、クラウドからアクセスしても、あらゆるアプリケーションをスムーズで安全に使えること。これこそ、シスコが自ら掲げたビジョンで目指しているものです。そこでシスコは、クラス最高のネットワーク、クライアント接続、セキュリティ、および監視の各機能を単一のサブスクリプションサービスとして集約しました。導入や使用は専用のクラウドダッシュボードから簡単に実施できます。
強化されたシスコの製品には、お客様にとって次のようなメリットがあります。
- 利用するネットワークやクラウドを問わず、ユーザからアプリケーションまでエンドツーエンドで可視化・監視できる機能により、クラウドのネットワーク機能とセキュリティ機能を集約可能
- リモートワーカー、ビジネス拠点、ワークロード、コネクテッドデバイス(IoT など)に到達するアプリケーション、データ、インターネットへのアクセスを保護
- クラウドへの最も高速で信頼性の高いセキュアなパスを確保することでパフォーマンスを最適化
- ユーザの本人確認とデバイス正常性の検証を柱とするゼロトラスト ネットワーク アクセスを採用し、セッションごとにアプリケーションへのアクセスを保護
- アプリケーションとネットワークのパフォーマンスに関する問題を迅速に特定することで、シームレスなサービスを提供し、アプリケーションのユーザエクスペリエンスを向上
- 数千のロケーションでも数分でプロビジョニングを完了し、サービスレベル、使用機能、接続数を柔軟にスケールアップ / ダウンできるグローバルなカバレッジを、サブスクリプションですぐに利用可能
- as-a-service モデルにより、シンプルさ、予測可能性、インテリジェンスが向上
- クラウドを活用してインフラの複雑さを解消し、即座に拡張できる瞬発力を得ることで、ビジネスの俊敏性を向上
ビジョンを実現するための方策
シスコは、セキュア アクセス サービスエッジ アーキテクチャに欠かせない中核要素をすべて提供しています。それには SD-WAN、リモートアクセス、クラウドセキュリティ、ゼロトラスト ネットワーク アクセス、オブザーバビリティなどが含まれます。
シスコの SASE アーキテクチャは接続を保護して最適化するため、アプリケーション エクスペリエンスを格段に引き上げます。そこで鍵を握る重要な要素はオブザーバビリティ(可観測性)だと考えています。インターネットやクラウドサービスへの依存度が高まるなか、自社の管理が及ばないネットワークが増えているからです。そのような「社外」インフラが使われている場面や、サービスプロバイダーによるルーティングを自社で制御できないような場面でも、基盤となるトランスポートのパフォーマンスと整合性を維持することは組織にとって不可欠です。そこで登場するのが ThousandEyes です。ThousandEyes により、ネットワークやクラウドを問わずユーザからアプリケーションまでを完全に可視化でき、さらにパフォーマンスの問題に関する実用的な分析情報を得られます。これにより問題を迅速に特定、修復、またはエスカレートして、優れたデジタルエクスペリエンスを維持できます。
またシスコは、SASE アーキテクチャ全体で次のような新しい機能を迅速に提供する予定です。
- データ損失防止 (Data loss prevention):Cisco Umbrella にデータ損失防止機能が追加されると、機密データが不要な宛先に送信される前に確認してブロックできます。これはコンプライアンスの面でも役立ちます。データ損失防止機能は今四半期に限定提供される予定です。
- リモートブラウザによるコンテンツ分離 (Remote browser isolation):限定提供されている Umbrella の新機能です。この機能により、エンドユーザの生産性を損なったり、IT スタッフに追加負担をかけたりすることなく、ブラウザを狙った攻撃への防御を強化できます。クラウド内のリモート サロゲート ブラウザで Web コンテンツを分離することで、安全なコンテンツのみをユーザに表示する仕組みです。
- クラウドマルウェアの検出:限定提供されている Umbrella の新機能です。クラウドベースのファイル保存アプリケーションからマルウェアを検出して削除し、安全を維持します。ビジネスに不可欠なデータをクラウドベースのアプリケーションに移行する組織は増加の一途にあります。そのため、管理されていないデバイスからでもユーザがデータにアクセスできるよう配慮しつつ、それらのクラウドデータを保護する必要があります。
- 新しくなった SD-WAN とクラウドセキュリティの統合:Umbrella と SD-WAN の統合分野では、これまで Viptela を活用した方法が中心でしたが、今後は Cisco Meraki MX を使った統合にも重点が置かれます。Cisco Meraki MX での統合により、簡素化された Internet Protocol Security(IPSec)トンネル接続が利用可能になり、ワークフォースが分散した環境でも各所にクラウドネイティブ セキュリティを迅速に導入できます。今後の予定や Umbrella の新機能については、こちらのブログ記事をご覧ください。
- Cisco SD-WAN Cloud OnRamp の機能強化: SD-WAN(Viptela)17.5 のリリースにより、Cisco SD-WAN Cloud OnRamp の機能が強化され、予測可能で安全なアプリケーション エクスペリエンスが実現します。統合可能な IaaS / SaaS 大手プロバイダーの数は、他のベンダーと比べて Cisco SD-WAN が突出しています。そして今回、新たに Google Cloud、Megaport、AWS などのクラウドサービスにも対応しました。さらに Meraki MX により、SD-WAN 接続をブランチサイトの外(つまり AWS、Azure、Alibaba Cloud などのパブリッククラウド内のリソース)にまで拡張できます。
- パスワードレス認証:パスワードを使わない認証方法が Duo で間もなく提供されます(パブリックプレビュー版は今夏に公開予定)。パスワードレス認証は、ゼロトラストセキュリティを実現するための不可欠な要素です。ユーザの本人確認を、より使いやすく簡単、安全な方法で完了できるのが特長です。詳細についてはこちらのブログ記事をご覧ください。
- 新しい Cisco DevNet SASE Developer Center:シスコの SASE アーキテクチャは専用の API を備えています。この API により、開発者とパートナーは DevOps / IT Ops ワークフローを自動化し、ビジネスの独自ニーズに合わせて調節された統合とアプリケーションを構築できます。新しい DevNet SASE Developer Center には、Cisco API について学べる実践的なリソースが用意されています。ここでは DevNet サンドボックス、学習コンテンツ、自動化のユースケースでサンプルコードを実際に操作してみることができます。
新たに拡張されたシスコの SASE 製品
新しくなったシスコの SASE 製品は、これまでになく簡単に導入できるようになりました。受注開始は 2021 年 5 月を予定しており、導入後は SASE の中核コンポーネント(クラウドセキュリティ、ゼロトラスト ネットワーク アクセス、SD-WAN、Observability)を即座にご利用いただけます。また将来的にはサブスクリプションを一本化するオプションも提供する予定です。価格はプロモーションレベルに抑えられており、今後 as-a-service モデルへ完全移行した場合でも投資が保護されるよう配慮されています。
お客様の環境における SASE アーキテクチャの活用法を判断するには、柔軟性が欠かせないことをシスコも理解しています。既存のインフラにはすでに多額の投資が繰り返されてきたうえに、考慮すべきアーキテクチャやビジネス目標が多岐にわたるからです。しかしシスコならば、お客様のインフラがどの段階にあってもコスト効率のよいスムーズな SASE への移行を実現できます。
詳しくは Cisco Live セッションにて
2021年3月31日、4月1日に開催した Cisco Live ではシスコの SASE アーキテクチャについて詳しくご説明しております。ぜひ以下のセッションのアーカイブをご覧ください。
イノベーショントーク:SASE、Network as a Service、onRamp からクラウドへの移行 – DLBINT-40
ソリューションの概要:シスコが独自の SASE アプローチを使い、セキュアで高性能なネットワークを実現できる理由 – PSOSEC-1015
テクニカルセッション(All-Access パス必須):Cisco SASE により、未来のクラウド型ネットワークセキュリティを実現– BRKSEC-2415