全3013文字
統合型のサービスであるSASE(Secure Access Service Edge)には、さまざまなベンダーが参入している。SWG(Secure Web Gateway)やCASB(Cloud Access Security Broker)などセキュリティーのクラウドサービスを提供する事業者のほか、ネットワーク機器やCDN(Content Delivery Network)が主力のベンダーもある。
各社は得意な機能を訴求しているが、それ以外の機能は徐々に拡充している段階だ。このためサービスごとに得手不得手がある。SASEの導入を検討する際は、どの要件を重視するのか、要件をどれだけ満たせるのかをチェックしておきたい。
また、SASEはクラウドサービスの一種のため、オンプレミスを前提に整備したネットワークでは設定や運用を大幅に変更しなければならないケースがある。各社のサービスの大まかな傾向や、ネットワークの運用で変更が発生しやすいポイントを確認しよう。
大きく2つのタイプがある
4社のSASEのマネージドサービスを手がけるNRIセキュアテクノロジーズ MSS事業開発部 エキスパートセキュリティコンサルタント 中山潤一氏によると、SASEのサービスには大きく2つのタイプがある。プロキシーサーバーをベースにした「プロキシー型」と、ファイアウオールなどのネットワーク機器をベースにした「ネットワーク型」だ。タイプによって得意分野が異なる。
「プロキシー型」と「ネットワーク型」のサービスがある
[画像のクリックで拡大表示]
プロキシー型はHTTP(HypterText Transfer Protocol)通信の制御が中心になる。アプリケーション層の情報を検査して、Webアクセスを細かく制御するのが得意な傾向がある。
例えば、企業向けと個人向けを同じURL(Uniform Resource Locator)で提供しているクラウドストレージのサービスがあるとする。個人向けサービスへのアクセスだけを制限したい場合、単純なURLフィルタリングでは難しい。
プロキシー型はHTTPに含まれるユーザーIDなどの情報を利用して企業向けと個人向けを識別できる。「ログインIDに使われるメールアドレスのドメイン部分などを識別している」(ネットスコープソリューションエンジニアマネージャーの小林宏光氏)。
拠点との接続には専用ソフトを用意するサービスが多い。拠点側でソフトを導入した仮想マシンを用意すれば、SASEとの間にVPN(仮想私設網)トンネルを自動で設定する。利用企業にネットワークを意識させないようにしている。
ネットワーク型は、ファイアウオールなどのネットワーク機器をクラウドサービスで実現するイメージだ。主にパケット単位で通信を制御する。
HTTPに依存しないため、「利用できるアプリケーションの種類を選ばない」(パロアルトネットワークス プリンシパルソリューションアーキテクト,SASE&Zero Trustの石橋寛憲氏)点が特徴だ。FTP(File Transfer Protocol)やファイル共有のSMB(Server Message Block)など、HTTP以外のプロトコルを使うアプリケーションを扱いやすい。
拠点とSASEを接続する際は、拠点側のVPN装置とIPsec(security architecture for Internet Protocol)などでトンネルを設定する。設定作業を省きたい利用企業向けに、自動で接続する専用アプライアンスを用意するサービスもある。
からの記事と詳細 ( 多様なベンダーが参入する「SASE」市場、どの機能重視でサービス ... - ITpro )
https://ift.tt/NV4fuT8
No comments:
Post a Comment