fbpx

ネットワークセキュリティの未来はクラウドにある

好きな所から読む

デジタルビジネスの変革は、ネットワークとセキュリティサービスの設計パターンを逆転させ、データセンターではなく、ユーザーやデバイスのIDに焦点を移します。セキュリティとリスク管理のリーダーは、この変化に対処するために、クラウドで提供される統合された安全なアクセスサービスエッジを必要としています。

概観

主な調査結果

  • エンタープライズデータセンターを接続要件の中心に置くネットワークセキュリティアーキテクチャは、デジタルビジネスの動的アクセス要件を阻害します。
  • デジタルビジネスとエッジコンピューティングでは、逆のアクセス要件があり、ユーザー、デバイス、アプリケーション、サービス、およびデータの数は、社内よりも社外に多く存在します。
  • 複雑さ、レイテンシ、および暗号化されたトラフィックを一度復号化して検査する必要があるため、ネットワーキングおよびサービスとしてのセキュリティ機能をクラウドで提供されるセキュアアクセスサービスエッジ(SASE、発音は「生意気」)に統合する需要が高まります。
  • SASEポリシーを適用するには、データコンテキストの検査と理解が必要です。
  • ユーザー、デバイス、クラウドサービスに低レイテンシのアクセスをどこでも提供するために、企業には、POP(point of point)とピアリング関係の世界的なファブリックを備えたSASE製品が必要です。

推奨事項

ネットワークとエンドポイントのセキュリティを担当するセキュリティおよびリスク管理のリーダーは、次のことを行う必要があります。

  • SASEの採用を、スピードとアジリティの名の下でデジタルビジネスイネーブラーとして位置づけます。
  • アーキテクトは、検査エンジンをセッションに移動します。セッションをエンジンに再ルーティングするのではありません。
  • セキュリティスタッフを、セキュリティボックスの管理からポリシーベースのセキュリティサービスの提供にシフトします。
  • ネットワークアーキテクトと協力して、SASE機能を計画します。ソフトウェア定義のWANおよびMPLSオフロードプロジェクトを触媒として使用して、統合ネットワークセキュリティサービスを評価します。
  • セキュアなWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、DNS、ゼロトラストネットワークアクセス(ZTNA)、およびリモートブラウザー分離機能を1つのベンダーに移行することにより、ネットワークセキュリティ側の複雑さを軽減します。

戦略計画の仮定

  • 2023年までに、企業の20%が同じベンダーのSWG、CASB、ZTNA、およびブランチFWaaS 機能を採用し、2019年には5%未満になるでしょう。
  • 2024年までに、企業の少なくとも40%が、2018年末の1%未満から、SASEを採用する明確な戦略を持つようになります。
  • 2025年までに、主要なIaaSプロバイダーの少なくとも1つが、競争力のあるSASE機能スイートを提供します。

分析

ネットワークおよびネットワークセキュリティアーキテクチャは衰退している時代のために設計されており、デジタルビジネスの動的で安全なアクセス要件に効果的に対応できません。エンタープライズデータセンターは、ユーザーとデバイスのアクセス要件の中心ではなくなりました。デジタルビジネスの変革への取り組み、SaaSやその他のクラウドベースのサービスの採用、および新しいエッジコンピューティングプラットフォームにより、エンタープライズネットワークは「裏返し」になり、過去のパターンが反転しています。デジタル企業の特徴は次のとおりです。

  • 企業ネットワーク上よりも企業ネットワーク外で実行されるユーザー作業が多い
  • エンタープライズデータセンターで実行するよりもIaaSで実行するワークロードの方が多い
  • エンタープライズインフラストラクチャから消費されるよりもSaaS経由で消費されるアプリケーションが多い
  • 内部よりもクラウドサービスのエンタープライズデータセンターの外部にあるより機密性の高いデータ
  • エンタープライズデータセンターよりもパブリッククラウドサービス宛のユーザートラフィックが多い
  • ブランチオフィスからエンタープライズデータセンターに向かうよりもパブリッククラウドに向かうトラフィックが多い

デジタルビジネスの変革には、いつでもどこでもアプリケーションやサービスへのアクセスが必要です。その多くは現在クラウドに配置されています。エンタープライズデータセンターは今後数年間存在し続けますが、残りの宛先との間のトラフィックの割合は減少し続けます。

レガシーの「宇宙の中心としてのデータセンター」ネットワークおよびネットワークセキュリティアーキテクチャは時代遅れであり、ニーズへの阻害剤となっています。セキュリティアーキテクチャは時代遅れであり、デジタルビジネスのニーズへの阻害剤となっています。

使用パターンのデジタル反転は、分散されたエッジコンピューティング機能に対する企業のニーズの高まりとともにさらに拡大し、ローカルストレージとコンピューティングへの低レイテンシアクセスを必要とするシステムとデバイスにより近く、5Gがエッジコンピューティングの採用を促進する触媒として機能します。

アクセスパターンの反転をサポートするために管理可能な複雑さを維持しながら、デジタルビジネスの変革の取り組みを機敏にサポートする必要性は、新しい市場の主要な推進力になります。この市場は、ネットワーク(ソフトウェア定義のWAN [SD-WAN]など)とネットワークセキュリティサービス(SWG、CASB、ファイアウォールサービスなど[ FWaaS ])を統合しています。これをセキュアアクセスサービスエッジと呼び、主にクラウドベースのサービスとして提供されます。

SASEオファリングは、無限に調整可能なネットワークファブリックからのポリシーベースの「ソフトウェア定義」の安全なアクセスを提供します。エンタープライズセキュリティの専門家は、IDとコンテキストに基づいて、すべてのネットワークセッションのパフォーマンス、信頼性、セキュリティ、およびコストのレベルを正確に指定できます。SASEの出現は、セキュリティとリスクの専門家がデジタルトランスフォーメーションの動的アクセス要件を安全に実現し、さまざまな分散ユーザー、場所、およびクラウドベースのサービスに安全なアクセス機能を提供する大きな機会を生み出します。クラウドベースのSASE機能に対する企業の需要、および市場の競争と統合により、企業ネットワークとネットワークセキュリティアーキテクチャが再定義され、競争環境が再形成されます。

ネットワークセキュリティの未来はクラウドにあります。

定義

セキュアアクセスサービスエッジは、包括的なWAN機能と包括的なネットワークセキュリティ機能(SWG、CASB、FWaaS 、ZTNAなど)を組み合わせてデジタル企業の動的なセキュアアクセスニーズをサポートする新しい製品です。

SASE機能は、エンティティのID、リアルタイムコンテキスト、エンタープライズセキュリティ/コンプライアンスポリシー、およびセッション全体のリスク/信頼の継続的な評価に基づくサービスとして提供されます。エンティティのIDは、人、人のグループ(支社)、デバイス、アプリケーション、サービス、IoTシステム、またはエッジコンピューティングの場所に関連付けることができます。

説明

エンタープライズデータセンターをアクセスの中心に置く従来のエンタープライズネットワークおよびネットワークセキュリティアーキテクチャは、クラウドとモバイルの世界ではますます非効率的で扱いにくくなっています。一部のクラウドベースのサービス(クラウドベースのSWG、コンテンツ配信ネットワーク[CDN]、Webアプリケーションファイアウォール[WAF]など)を採用しても、データセンターは依然としてほとんどのエンタープライズネットワークおよびネットワークセキュリティアーキテクチャの中心です。

現代のクラウド中心のデジタルビジネスでは、ユーザー、デバイス、およびそれらへの安全なアクセスを必要とするネットワーク機能はどこにでもあります。その結果、安全なアクセスサービスもあらゆる場所に存在する必要があります。データ中心のモデルはスケーリングしません。ユーザーが必要とするものがほとんどデータセンターに残っていない場合、企業のデータセンターとの間でトラフィックをルーティングするネットワーク体操は意味がありません。さらに悪いことに、ユーザーがエンタープライズネットワーク上にいるか、VPNを使用している場合にのみSaaSへのアクセスを制限したり、SWG、CASB、VPNに異なるエージェントを要求したりすることで、ユーザーの生産性、ユーザーエクスペリエンス、コストに影響を与え、エージェントの肥大化とユーザーの混乱を引き起こします。他のケースでは、ユーザーがクラウドベースのリソースにアクセスすると、ブランチオフィスのトラフィックがデータセンターを介して検査され、レイテンシと専用MPLS 回路に関連するコストが増加します。

デジタルエンタープライズのセキュリティとリスクの専門家が必要とするのは、エンティティをアクセスする必要のあるネットワーク機能にエンティティを接続するために必要なときに必要な場所に適用できるネットワークおよびネットワークセキュリティ機能の世界規模のファブリック/メッシュです。

データセンターのボックスに埋め込まれた検査エンジンにさまざまなエンティティのトラフィックを(「トロンボーン」を介して)強制するのではなく、エンティティが配置されている場所に最も近い検査エンジンとアルゴリズムを導入するために、考え方を逆転させる必要があります。

ユーザーを内部アプリ、クラウドベースのアプリ、SaaS、またはインターネット一般に接続している場合でも、これらはすべて同じ安全なアクセス問題のバリエーションを示しています。ブランチオフィスは、単に複数のユーザーが集中している場所です。同様に、Salesforceにアクセスする自動車の営業担当者は、1つの支店です。IoTエッジロケーションは、デバイスのブランチオフィスです。これらはすべて、インターネット全体に広がるネットワーク機能へのアクセスを必要とするエンドポイントIDです。デジタルビジネスでは、接続のソース(ユーザー、デバイス、ブランチオフィス、IoTデバイス、エッジコンピューティングの場所など)にあるエンティティのIDを中心に安全なアクセス決定を行う必要があります。IDはデータセンターではなく、アクセス決定のための新しいセンターです。

ユーザー/デバイス/サービスのIDは、適用されるポリシーに組み込むことができる最も重要なコンテキストの1つです。ただし、ポリシーアプリケーションへの入力に使用できる他の関連するコンテキストソースがあります。これには、IDの場所、時刻、ユーザーがアクセスしているデバイスのリスク/信頼性の評価、アクセスされるアプリケーションやデータの機密性などが含まれます。エンタープライズデータセンターはまだ存在していますが、アーキテクチャの中心ではありません。これは、ユーザーとデバイスがアクセスする必要があるインターネットベースのサービスの1つにすぎません。

これらのエンティティは、増え続けるクラウドベースのサービスにアクセスする必要がありますが、それらの接続方法と適用されるネットワークセキュリティポリシーのタイプは、規制要件、エンタープライズポリシー、および特定のビジネスリーダーのリスク選好度によって異なります。インテリジェントスイッチボードと同様に、IDはSASEベンダーの安全なアクセス機能の世界的なファブリックを介してネットワーク機能に接続されます。

次のシナリオを検討してください。

  • 営業担当者のスーは、管理対象デバイスの空港Wi-Fiから数時間後に、インターネットを閲覧しながらSalesforce CRMにアクセスする必要があります。(SASEは、DLP、マルウェア検査、UEBA、およびWi-Fi保護を使用して、サービス品質[QoS]- 最適化され、SaaSで高速化された接続をSalesforceに提供します。インターネットブラウジング用に、DLPを使用したSWG保護が提供されます。)
  • 請負業者のJorgeは、管理されていないデバイスから、オンプレミスのデータセンターでホストされているエンタープライズWeb対応アプリにアクセスする必要があります。(SASEはZTNAを提供し、特定の場所へのアクセスを制限し、Web対応アプリケーションをWAAPサービスによる攻撃から保護し、暗号化されたトラフィックストリームを検査して機密データの損失を監視します。)
  • 風力タービンのセットには、エッジコンピューティングベースのネットワークとセンサーデータのデータ分析のためのコンピューティングアクセスが必要であり、その結果をAWSにストリーミングする必要がありますが、タービンの場所はわかりません。(SASEは、タービンにエッジコンピューティングリソースへの低レイテンシのZTNAアクセスを提供し、IP アドレスを難読化し、API保護を使用して、レイテンシの影響を受けにくいAWSへの暗号化接続を確立します。エッジコンピューティングの場所は、SASE提供のFWaaSを介したインバウンド攻撃から保護されています。)

SASEは、サービスを要求しているエンティティの場所や機能へのアクセスに関係なく、必要なサービスとポリシーの実施をオンデマンドで提供します。

その結果、機能を要求しているエンティティの場所や、アクセスを要求しているネットワーク機能の場所に関係なく、ポリシーベースの安全なアクセスサービスエッジが動的に作成されます。

データセンターエッジのボックスにセキュリティ境界を埋め込む代わりに、境界は、企業が必要とするあらゆる場所、つまり動的に作成された、ポリシーベースの安全なアクセスサービスエッジになります。

さらに、特定のエンティティには、複数の同時セキュア接続が必要です。たとえば、ユーザーは次のように同時に持つ可能性があります。

  • Office 365への接続は検査されませんが、最小の遅延でルーティングされます
  • チャットセッションで機密データが検査され、レイテンシが重要ではないFacebookへの接続
  • セッションの機密データとマルウェアを監視するSalesforceへの接続
  • 監視されているデータセンター内の企業のプライベートアプリケーションへの接続
  • 検査されていない、ユーザーの個人インターネットバンキングアプリケーションへの接続

企業の境界はもはや場所ではありません。これは、必要に応じてクラウドからのサービスとして提供される一連の動的エッジ機能です。

繰り返しますが、これらはすべて、安全なアクセスのための同じ根本的なニーズのバリエーションです。違いは、適用されるリアルタイムネットワークとネットワークセキュリティポリシーです。さらに、ポリシーによって適用される場合、適用される検査機能は、エンティティが何にアクセスしているかに関係なく、一貫しています。以下のためにたとえば、機密データやマルウェアのためのすべての接続でコンテンツを検査します。レイテンシを削減するために、SASE製品は、トラフィックストリームが開かれ(潜在的に復号化される)「シングルパス」アーキテクチャを使用して検査し、複数のポリシーエンジンを使用して一度に検査する必要があります。検査サービスのチェーンを必要とせずに、理想的にはメモリ内で行います。

最後に、SASEの新興リーダーは継続的な適応リスクおよび信頼性評価(CARTA)戦略的アプローチを採用し、セッションが継続的に監視されるようにします。データパスに留まることにより、セッションは、埋め込まれたUEBA機能を使用して、過度のリスクの兆候(侵害された資格情報や内部の脅威など)について分析できます。SASEオファリングは、ユーザーの行動が分析されてその後のリスクが増大するとき、またはデバイスの信頼が低下したときに(たとえば、ユーザーからの追加の認証が必要になるなど)、適応応答が可能でなければなりません。

メリットと用途

SASEにより、セキュリティチームは、一貫性のある統合された方法でセキュリティで保護された豊富なネットワークセキュリティサービスを提供し、デジタルビジネスの変革、エッジコンピューティング、および労働力のモビリティのニーズをサポートできるようになります。SASEを採用すると、次のようなメリットがあります。

複雑さとコストの削減

単一のプロバイダーからの安全なアクセスサービスを統合することにより、ベンダーの総数が削減され、ブランチ内の物理アプライアンスや仮想アプライアンスの数が削減され、エンドユーザーデバイスで必要なエージェントの数が削減されます。より多くのSASEサービスが採用されるにつれて、コストも長期的に削減されるべきです。節約はベンダーとテクノロジースタックの統合によってもたらされます。

新しいデジタルビジネスシナリオを実現します

SASEサービスにより、企業は、アプリケーション、サービス、API 、およびデータを、パートナーや請負業者が安全にアクセスできるようにすることができます。レガシーVPNおよびレガシー非武装地帯(DMZ)アーキテクチャの大量のリスクにさらされることはありません。

パフォーマンス/待ち時間の改善

主要なSASEベンダーは、世界中の拠点に遅延最適化ルーティングを提供します。これは、コラボレーション、ビデオ、VoIP、Web会議などの遅延の影響を受けやすいアプリでは特に重要です。ポリシーに基づいて、ユーザーはSASEプロバイダーの高帯域幅バックボーン(およびそのピアリングパートナー)経由でルーティングできます。

ユーザーにとっての使いやすさ/透明性

SASEは正しく実装されると、デバイスで必要なエージェントの数(またはブランチの顧客宅内機器[CPE]の数)を1つのエージェントまたはデバイスに削減します。エージェントとアプライアンスの膨張を減らし、ユーザーの操作を必要とせずにアクセスポリシーを自動的に適用する必要があります。これにより、ユーザーがどこにいるか、何にアクセスしているか、どこにあるかに関係なく、ユーザーに一貫したアクセスエクスペリエンスが提供されます。

セキュリティの向上

コンテンツインスペクション(機密データとマルウェアの識別)をサポートするSASEベンダーの場合、すべてのアクセスセッションをインスペクトして、同じポリシーセットを適用できます。たとえば、Salesforce、Facebook、クラウドでホストされているアプリケーションの機密データをすべてスキャンし、ユーザー/デバイスの場所に関係なく一貫して適用される一貫したポリシーを使用します。

運用オーバーヘッドが少ない

脅威が進化して新しい検査メカニズムが必要になると、企業は新しい機能を追加するためのハードウェア容量と複数年のハードウェアリフレッシュレートに制限されなくなります。クラウドベースのSASEオファリングを使用すると、新しい脅威やポリシーの更新に企業によるハードウェアやソフトウェアの新たな導入が不要になり、新しい機能をより迅速に採用できるようになります。

ゼロトラストネットワークアクセス(ZTNA)を有効にします

ゼロトラストネットワーキングアプローチ(ZTNA)の原則の1つは、ネットワークアクセスは、デバイスのIPアドレスや物理的な場所ではなく、ユーザー、デバイス、およびアプリケーションのIDに基づいていることです。この論理的に定義されたポリシーへの移行により、ポリシー管理が大幅に簡素化されます。SASEは、企業ネットワークのオンとオフをシームレスかつ一貫してエンティティのセッションの保護を提供します。さらに、ネットワークが敵対的である場合、SASE製品はセッション全体のエンドツーエンドの暗号化とオプションのWebアプリケーションおよびAPI 保護(WAAP)サービスを提供します。主要なSASEベンダーは、最も近いPOPにトンネリングすることにより、パブリックWi-Fi ネットワーク保護(コーヒーショップ、空港など)を備えたエンドポイントデバイスまでこれを拡張します。

ネットワークおよびネットワークセキュリティスタッフの効率の向上

インフラストラクチャをセットアップする日常的なタスクの代わりに、ネットワークセキュリティの専門家は、ビジネス、規制、およびアプリケーションのアクセス要件を理解し、これらをSASE機能にマッピングすることに集中できます。

ローカルの実施を伴う一元化されたポリシー

SASEは、エンティティに論理的に近い分散された実施ポイントを備え、必要に応じてローカルの意思決定を含む、ポリシーのクラウドベースの一元管理を可能にします。たとえば、CPEアプライアンスを使用するブランチオフィスのローカル。別の例は、ローカルの意思決定のための管理対象デバイス上のローカルエージェントです。

採用率

SASEは開発の初期段階にあります。その進化と需要は、ますます分散するモバイルワーカーがアクセスするSaaSおよびその他のクラウドベースのサービスの採用と、エッジコンピューティングの採用によるデジタルビジネスの変革のニーズによって推進されています。SASEの初期の兆候は、ネットワークセキュリティ機能を追加するSD-WANベンダーと、SWG、ZTNA、およびCASBサービスを提供するクラウドベースのセキュリティベンダーの形です。

「クラウドセキュリティのハイプサイクル、2019年」では、SASEはハイプサイクルの左端のトリガー後20%の位置に配置され、テクノロジーアプローチが主流になるまで5〜10年かかりました。

包括的なSASEオファリングが登場したばかりで、採用率は1%未満です。ただし、今後3年間は、エンタープライズセキュリティおよびリスク管理のリーダーがネットワークセキュリティアーキテクチャを簡素化するための重要な機会を提供します。

SASEの採用は今後数年間で発生しますが、成功しているベンダーは3年以内に簡単に特定でき、関連性のないリスクにさらされている既存の業者もいます。

リスク

SASEの出現と採用に伴い、セキュリティおよびリスク管理の専門家が考慮すべきリスクがあります。

サイロ化されたチーム、文化、政治

ネットワークおよびネットワークセキュリティアーキテクチャは、通常、サイロ化された異なるチームです。情報セキュリティの分野でも、SWG、CASB、ネットワークセキュリティの購入者は異なる場合があります。異なるチームが芝の保護の問題としてSASEの採用と戦うか、または1つのチームがSASEの提供を制御して他のチームの参加をブロックしようとする場合があります。これに対処するために、SASEは、速度、俊敏性、および複雑さの軽減という名のもと、CISOレベルとCIOレベルのサイロを超えた変革的価値提案でなければなりません。

十分に良いだけでは十分でない場合があります

一部のSASE製品は、セキュリティ保護市場にとって初めてのネットワーク中心のプロバイダーによって開発および提供されます。同様に、セキュリティ- 中心のプロバイダは、フルSD-WAN機能は主要なWANエッジに期待していないかもしれませんソリューション。これは、独立したテストが重要な役割を果たす分野であり、ICSA LabsやNSS Labsなどの組織は評価をクラウドベースのサービスに拡張しています。

複雑さ

異なるベンダーとクラウド製品から独自のSASEスタックを構築しようとする企業にとって、これをつなぎ合わせると、管理と適用に一貫性がなくなり、パフォーマンスが低下し、導入に費用がかかります。SASEオファリングがベンダーによって複数の買収やパートナーシップから結び付けられた場合にも、同様の問題が発生します。

レガシーベンダーは、クラウドネイティブの考え方を持っていません

ハードウェア中心のネットワークおよびネットワークセキュリティベンダーは、クラウドネイティブおよびクラウドベースのサービス提供への調整が困難になります。ビジネスモデル、セールスフォース、チャネルの報酬が変わります。以前にオンプレミスの専用ハードウェアを販売していたベンダーは、抵抗が最も少ない経路をたどり、シングルテナントアーキテクチャ(各顧客専用の仮想アプライアンス)に基づく初期SASEオファリングを提供する可能性があります。

ネットワークベンダーとファイアウォールベンダーは、プロキシの専門知識が不足しています

SASEの機能の多くは、プロキシモデルを使用してデータパスに入り、アクセスを保護します。レガシーインラインネットワークおよびエンタープライズファイアウォールベンダーは、分散したインラインプロキシを大規模に構築する専門知識を欠いており、SASEアダプターのコストが高くなったり、パフォーマンスが低下したりする恐れがあります。

POPおよびピアリング関係に必要な投資

SASEポリシーの決定および適用機能は、エンドポイントIDが配置されるすべての場所に存在する必要があります。モバイルワーカーと分散デジタルエコシステムをサポートする大規模な組織にとって、これは世界中のアクセスを意味します。小規模なSASEプロバイダーは、競争力を高めるために必要な投資を維持できず、パフォーマンスが低下します。IaaSのインターネットバックボーンキャパシティのみを使用し、ローカルのPOP /エッジ機能を使用しないSASEオファリングは、遅延、リスク、パフォーマンスの問題、および結果として生じるエンドユーザーの不満を危険にさらします。

ベンダーの切り替え

一部の企業では、SASEへの移行により、ベンダーの切り替えと、その結果生じるスタッフの再トレーニング、新しいスキルの開発、新しい管理およびポリシー定義コンソールの学習が必要になります。

データコンテキストの欠如

多くのネットワークに焦点を当てたベンダーのソリューションは、コンテンツが機密であるか悪意であるかにかかわらず、データのコンテキストを理解していません。データコンテキストは、アクセスに関するポリシーの設定、リスクの理解と優先順位付け、およびそれに応じたアクセスポリシーの適応に不可欠です。このコンテキストを持たないベンダーは、豊富なコンテキストを認識する適応型SASEの決定を行う能力が制限されます。

主要なクラウドプロバイダーへのAPIインスペクションへの投資

ユーザーエンドポイントアクセスの決定の多くはSaaSに接続することになるため、SASEベンダーはデータコンテキストを理解する必要があります。このデータコンテキストは、インライン検査に完全に基づくことはできません。インライン検査では、パートナーによるアップロード/共有、およびクラウド間のコンテンツ交換が行われません。APIインスペクションは非常に重要な機能であるため、すべてのCASBマジッククアドラントに表示されることが最小要件でした。ただし、一部のSWGおよびネットワークに重点を置いたプロバイダーは、まだこの専門知識を持っていません。

主要なSASEオファリングにはエージェントが必要です

フォワードプロキシベースのアーキテクチャと統合し、一部のレガシーアプリケーションプロトコルを処理するには、ローカルエージェントが必要になります(たとえば、古いアプリケーションのSWG、ZTNA、ローカルWi-Fi保護、ローカルデバイスのセキュリティポスチャ評価)。さらに、SASEベンダーはローカルエージェントを使用して、より多くのデバイスコンテキストを取得します。ただし、アクセスをサポートするために複数のエージェントを使用する必要がある場合、エージェントはエンタープライズSASEデプロイメントの複雑さの問題を増大させます。コンテキストには、既存のエンドポイント保護プラットフォーム(EPP)および統合エンドポイント管理(UEM)エージェントとの統合が必要です。さらに、SASE ベンダーがエンドユーザーデバイスエージェントの開発に関する専門知識が限られている場合、安定性と管理性が問題になるか、プラットフォームサポートが制限される可能性があります。

多すぎる支払いとSASE市場の混乱

SASE市場は今後5年間で大きな変化を遂げ、さらなる統合と買収が予想されます。この市場の初期段階のため、適切な買収保護条項を含む1年から2年の契約のみをお勧めします。市場が統合され、大規模プロバイダーの規模の経済に有利になり始めると、SASE市場全体で価格の下落圧力が発生します。加えて、それは実体ベースにWANエッジ/ SD-WANの帯域幅ベースのモデルから離れてシフトする検査の種類に基づいて料金設定されるサブスクリプションモデルを適用します。

評価要因

特定のSASE機能(SD-WAN、SWG、CASB、FWなど)を評価する際に、Gartnerの推奨読書セクションに対応するマーケットガイドとマジッククアドラントへのリンクを提供しました。この調査では、SASE固有の評価基準に焦点を当てます。

  • 幅広いSASEサービスを提供。すべてのベンダーがすべての機能を提供するわけではありません。一部のベンダーはネットワーク中心の機能から開始し、他のベンダーはセキュリティ中心の機能から開始します。新興のSASEリーダーは、サービスのほとんどまたはすべてを提供する必要があります。
  • SASEポリシー決定ポイントの場所。SASEの決定のほとんどは、クラウドベースの配信および管理モデルを使用して、クラウドベースにすることができます。ただし、一部の決定は、ポリシーベースのアクセス(デバイスの場合)のエージェントまたは物理/仮想アプライアンス(ブランチオフィスのCPEでのQoSおよびパス選択の場合)のエンドポイントでローカルにする必要があります。ただし、これらはクラウドベースのサービスから集中管理する必要があります。主要なSASE アーキテクチャは、CPEシンブランチ/ヘビーSASEクラウドモデルを使用してクラウドベースまたはローカルのポリシー実施ポイントに適用できるクラウドベースのポリシー決定エンジンを使用します。
  • SASE管理/コントロールプレーンの場所。エージェントとCPEの形でローカルの実施ポイントがある場合でも、SASE管理コンソールはクラウドベースのサービスとして提供する必要があります。ポリシーはクラウドで管理し、ローカルの実施ポイントに配布する必要があります。
  • アーキテクチャ。SASEアーキテクチャは重要です。理想的には、オファリングはクラウドネイティブであり、必要に応じてスケールアウトする機能を備えたマイクロサービス上に構築されています。レイテンシを最小限に抑えるには、パケットをメモリにコピーし、処理して転送/ブロックする必要があります。仮想マシン(VM)からVMに、またはクラウドからクラウドに渡さないでください。ソフトウェアスタックには特定のハードウェア依存関係がなく、必要に応じてインスタンス化され、リスク最適化されたポリシーベースの機能をエンドポイントID に提供する必要があります。
  • オンプレミスCPE展開オプション。オンプレミスのフットプリント(物理または仮想)が依然として必要であることを確認して受け入れますが、クラウドベースの管理およびプロビジョニングモデルを使用します。設計パターンはターンキーブラックボックスである必要があります—オンにして忘れてください。評価の一部として、安全な生死のライフサイクルプロビジョニングの更新とCPEの廃止のためにベンダーのアーキテクチャを評価します。一部の企業は、SASE CPEとして使用するためにハードウェアを好むでしょう。ハードウェアは、仮想アプライアンスフォームファクターでは不可能な、セキュアブートとシークレット保護(暗号化キーや証明書など)のアーキテクチャに対応している必要があります。
  • テナンシーモデル。クラウドネイティブのSASEアーキテクチャは、ほとんど常にマルチテナントであり、複数の顧客が基盤となるデータプレーンを共有しています。 一部のプロバイダーは、代わりに顧客ごとに専用インスタンスを使用します。企業の顧客はどちらが使用されているかを知らないか気にしないかもしれませんが、アーキテクチャはSASEプロバイダーの拡張能力に影響を与える可能性があります。シングルテナンシーでは、通常、密度が低くなり、企業に渡されるコストが高くなる可能性があります。ただし、一部の企業では、シングルテナンシーモデルの分離を強化することを望んでいます。
  • POPの場所/数およびピアリング関係。SASEでは、アプリケーションによってはレイテンシが重要になります。SASEソリューションは、デジタル企業のアクセスレイテンシとデータ常駐の要件に合わせて、分散型の拠点とトラフィックピアリング関係のポートフォリオを提供する必要があります。これは、ローカライズされたエンドユーザーエクスペリエンスにとっても重要です。企業のトラフィックが公共のインターネットを通過することはめったにありません。代わりに、インターネットはSASEファブリックへの短いホップで使用され、ポリシーに基づいて検査され、高速パスルーティングとピアリングの配置を使用して最適なパフォーマンスが得られるように最適化されます。さらに、攻撃対象がSASEベンダーに移動するため、SASEベンダーは分散型サービス拒否(DDoS)攻撃を処理する能力を示すことができる必要があります。
  • レイテンシの影響を受けにくい操作のためのIaaS汎用コンピューティングの使用。一部のSASEベンダーは、低遅延のインライン検査にインターネットエッジ/ POPを使用するハイブリッドモデルを使用し、ネットワークサンドボックス化、ネットワークサンドボックス、リモートブラウザーの分離、監査ログの保存と分析などの遅延の影響を受けにくい操作にIaaSプロバイダーのコモディティコンピューティング(CPU / GPU)およびストレージを使用します。
  • 大規模な暗号化されたトラフィック検査。SASEオファリングは、インラインで暗号化されたトラフィック検査(復号化とその後の再暗号化)を大規模に、理想的にはクラウドから、専用のハードウェアを使用せずに提供できる必要があります。これは、TLSの最新バージョンをサポートする必要があります。
  • シングルパススキャン。特定のセッションのトラフィックと埋め込まれたコンテンツは、一度開いて検査する必要があります。復号化されると、複数のスキャンエンジンとポリシーエンジンがスケールアウト方式で並行して動作できます。理想的には、チェーン検査サービスをサービスする必要はありません。たとえば、コンテンツの機密データとマルウェアの両方を1回のパスで1回検査する必要があります。
  • トラフィックのリダイレクト、検査、およびロギングのオプション。一般データ保護規則(GDPR)などのデータプライバシーに関する世界的な規制要件の増加により、特定の地理的管轄区域に対する検査、ルーティング、およびロギングのためのSASEポリシーベースのトラフィック処理に対する企業の需要が生まれます。
  • IoT /エッジコンピューティングの使用例のサポート。IoTエッジコンピューティングプラットフォームは、SASEでサポートされるもう1つのエンドポイントIDです。主な違いは、エッジコンピューティングの場所に断続的な接続とシステムへの物理的な攻撃のリスクがあるという仮定です。したがって、SASEアーキテクチャは、データとシークレットをローカルで保護するオフラインの意思決定(たとえば、アクセスポリシーのキャッシュ)をサポートする必要があります。IoTおよびエッジデバイスはエージェントをサポートしない場合があるため、ローカルのSASEゲートウェイ/ CPEが必要になる場合があります。リモートデバイスのネットワークアクセス制御は付加価値です。
  • 脅威からの保護。例としては、マルウェアのコンテンツのセッション内のスキャンやコンテンツのサンドボックス化などがあります。公衆Wi-Fiネットワークでは、SASEソリューションは、盗聴を防止するためにDNSベースの保護サービスとローカルPOPへのセッションの暗号化を提供する必要があります。ユーザーが処理しているコンテンツがリスクを表す場合、適応的なアクションを実行できます(たとえば、コンテンツの検疫やダウンロードのブロック)。追加のコストで、より高度な脅威防御を利用できるはずです。
  • 機密データを特定して適応する能力。SASEオファリングは、アクセスされているデータ/アプリケーションのコンテキストを理解し、過度のリスクが検出された場合に適応アクションを実行できる必要があります。たとえば、機密データのアップロード/ダウンロードをブロックします。重要な評価基準は、機密データポリシーの定義方法の豊富さです。クラウド内の機密データを理解するには、APIを使用してデータを検査することが、データコンテキストを理解し、データがクラウドを離れるときに有用なポリシー(暗号化や透かしなど)を適用するために重要です。
  • ユーザーのプライバシー。SASEベンダーは、ポリシーに基づいてトラフィックを検査しないオプションを提供する必要があります(たとえば、GDPR、医療保険の相互運用性と説明責任に関する法律[HIPAA]、および同様の個人のプライバシー保護規制)。この非検査ポリシーをリモートブラウザ分離と組み合わせて、セッションをエンタープライズシステムおよびロギングからさらに分離することができます。
  • サポートされるエージェント。エンドユーザー向けのエンドポイントデバイスは、Windows、Mac、および特定のLinuxディストリビューションの組み合わせになります。AndroidおよびiOSベースのデバイスもサポートする必要があります。さらに、SASEベンダーのエージェントまたはUEMプロバイダーとの統合のいずれかを使用することにより、SASE オファリングはデバイスコンテキスト(ヘルス、ステータス、奇妙な動作など)を収集して、安全なアクセスの意思決定を向上させる必要があります。
  • 管理されていないデバイスのサポート。特に企業が所有または制御していないシステムでは、企業がエージェントの使用を常に指示できるとは限りません。軽量のモバイルアプリまたはブラウザプラグインを使用して、可視性を高めることができます。または、管理対象外のデバイスは、リバースプロキシを使用するか、リモートブラウザー分離サービスを介してリダイレクトすることでサポートする必要があります(基本的に、管理対象外のエンドポイント内でポリシーを適用できる管理対象セッションを作成します)。
  • 詳細な可視性と詳細なログオプション。SASEオファリングは、アプリケーションおよびサービスにアクセスするときに、ユーザーのきめ細かいアクティビティー監視を提供する必要があります(理想的には、ZTNAで保護されている場合、この可視性をエンタープライズアプリケーションに提供します)。セッション内のすべてのアクティビティをログに記録する必要があります。SASEオファリングは、分散ログを大規模に作成および管理し、ポリシーに基づいてユーザーとデバイスのログを顧客の希望する地域に保持する必要があります。
  • セッション中の行動の監視。ガートナーのCARTA戦略的アプローチに続いて、SASEは- 仲介します。セッションは、組み込みUEBA を使用して、過度のリスクと異常がないか継続的に監視する必要があります。過度のリスクが検出された場合は、最低限アラートを生成する機能を提供する必要があります。エンタープライズセキュリティ情報およびイベント管理(SIEM)ツールとの統合が標準です。
  • 役割ベースの管理コンソールとダッシュボード。最終的に、セキュリティアーキテクト、ネットワークオペレーションマネージャー、またはCISOは、すべての安全なアクセスセッションのスナップショットビューを取得したい場合があります。SASEプロバイダーは、特定のロールにロールベースのカスタマイズ可能なリスクダッシュボード/ヒートマップを提供して、ネットワーク全体のパフォーマンス(ネットワーク運用の場合)およびクラウドリスクとセキュリティ体制(セキュリティ運用の場合)を可視化する必要があります。
  • ライセンスモデル。WANエッジ/ SD-WANオファリングは通常、帯域幅によってライセンスされます。ただし、CASB、SWG、リモートブラウザー分離などの製品は、ユーザーごとに年間ライセンスが付与されます。SASEは両方を収束するため、帯域幅ベースの料金設定が段階的に廃止されるので、SASEベンダーはライセンスモデルを実験します。ほとんどのモデルは、保護されているエンティティの数に基づいたサブスクリプションになります。個々のエンティティ(デバイス、ユーザー、アプリ、システム)またはエンティティの集合体(支社/ IoTおよびエッジロケーション)のいずれかです。

SASEの代替案

  • ハードウェアベースのブランチオフィスを使用した現状。これは、特定のネットワークセキュリティ機能用のプラグインハードウェアブレードを備えたハードウェア- 中心的なアプライアンス- ハードウェアの剛性と高コストの変化により、今日ほとんどの企業が制約を見つけているモデルです。検査は、ローカル・コンピューティング能力およびハードウェアリフレッシュサイクルとハードウェアによって制限されている- ベースのフォームファクタは、デジタル企業のトラフィックパターンをサポートするには非効率的です。
  • ソフトウェアベースのブランチオフィス。オンプレミスのブランチCPEにソフトウェアベースのブレードアプローチを使用することで、一連のパートナーを持つベンダーは、多くのサービスを提供できます。あるいは、CPEは、必要なときに必要な場所でクラウドベースのサービスを呼び出すことができます(以下のためのセキュリティ検査のための一例)。クラウドで管理され、クラウドで提供されるブランチはSASEを提供できますが、ブランチオフィスは、対処すべきエッジサービス提供の問題の1種類にすぎません。さらに、このアプローチには、完全なポートフォリオを構築するために複数のサービス、コンソール、およびポリシーがつなぎ合わされているという問題があります。
  • サービスチェーンを介してSASEを自分で構築します。一部の企業は、複数の異なるプロバイダーからのサービスをサービスチェーンし、複数のエンドポイントエージェントを使用することにより、独自のSASEに似た一連の機能を統合しようとします。このアプローチは、管理不能な複雑さ、高コスト、高レイテンシのリスクがあります。TLS 1.3などの新しい暗号化規格を採用すると、サービスチェーン検査が困難になります。
  • あるベンダーのSD-WAN、別のベンダーのサービスとしてのネットワークセキュリティを統合。一部の企業が採用するもう1つのアプローチは、「接続する」インフラストラクチャを「安全な」インフラストラクチャから分離することですが、両方をクラウドベースのサービスに移行します。これには、組織の政治を解決するという利点がありますが、単一のSASEプロバイダーを使用した場合よりも複雑さとコストが高くなります。
  • プロバイダが調整したサービスチェーン。企業のもう1つの選択肢は、ネットワーキング、ネットワークセキュリティ、またはキャリアの主要プロバイダーに頼り、ベンダーに顧客に代わって必要なサービスチェーンを実行させることです。主要なプロバイダーは、サービスチェーンとネットワーク機能の仮想化を使用して、異種サービスをつなぎ合わせる責任を負うブローカーまたはゼネコンになります。これらのコンソールを管理および制御する複数のベンダーの管理コンソールの問題と、さまざまなポリシーフレームワークがこの戦略を複雑にしています。

推奨事項

SASEは、IaaSがデータセンター設計のアーキテクチャであったのと同じくらい、ネットワークとネットワークセキュリティアーキテクチャを破壊します。SASEは、セキュリティおよびリスク管理の専門家に、今後10年間でネットワークおよびネットワークセキュリティアーキテクチャを完全に再考および再設計する機会を提供します。デジタルビジネスの変革、クラウドネイティブコンピューティングの採用、エッジコンピューティングプラットフォームの採用の拡大には、SASEが必要です。SASEはまだ登場しつつありますが、セキュリティおよびリスク管理の専門家が今日実行できる特定のアクションがあります。

  • 今すぐSD-WANアーキテクチャと計画会議に参加してください。この機会を利用して、可能な場合はネットワークセキュリティサービスをアーキテクチャの一部として組み込んでください。
    • エンタープライズSD-WAN評価にネットワークセキュリティプロバイダーを含めます。たとえば、バラクーダ、シスコ、フォースポイント、フォーティネットは、競合するSD-WAN 製品を備えた有名なセキュリティベンダーです。
    • SASEベンダーがSD-WAN機能とセキュリティ機能のサードパーティテストの証拠を提供することを要求します。理想的には、有名で独立したテスト会社を使用します。
  • SASEソリューションを採用し、ゼロトラストの概念を適用するための即時の機会としてZTNAを評価します。パートナーや請負業者が使用する非管理対象デバイスの正確なIDやアプリケーション対応のアクセスなど、特定のデジタル- ビジネス対応プロジェクトから始めます。
  • SASEサービスの統合と複雑さの短期的な機会を評価してください。 たとえば、CASB、SWG、ZTNA、VPN、リモートブラウザーの分離機能全体の部分的または完全な統合で、これらの契約が更新のために登場します。
  • ネットワークセキュリティベンダーに、SDWANを含むSASE機能のロードマップを示すよう要求することから始めます。同様に、SD-WANベンダーにネットワークセキュリティサービスの追加を開始するよう要求します。POPとピアリング関係への既存および計画中の投資の両方を示すことを要求します。
  • 結合されたSASEオファリングは避けてください。大規模なベンダーは、買収またはパートナーシップからの個々のSASE 要素をすべて持っている場合があります。ただし、サービスの統合と、単一のコンソールからの単一のエクスペリエンスおよびポリシーを設定するための単一の方法としてオーケストレーションする機能を綿密に評価してください。
  • SASEへのテクノロジー移行が従来の組織の境界を超えているため、既存および新興のベンダーからのオファリングとロードマップを評価するときに、CISOとリードネットワークアーキテクトを関与させます。アプライアンスベースの導入に慣れているチームメンバーからの抵抗を期待してください。
  • ライセンスモデルが流動的であるため、最大1〜2年の短期SASE契約を締結します。すべてのサービスで(帯域幅ではなく)ID /エンティティベースのサブスクリプションライセンスのシンプルさを提供するSASEベンダーを優先します。

代表的なプロバイダー

SASE市場が出現しているため、SASEポートフォリオ全体を提供する単一のベンダーはまだありませんが、必要な機能の大部分を備えているベンダーもあります。2020年末までに、いくつかのベンダーが完全なポートフォリオを提供することを期待しています。この市場は以前は別個の市場を横断し、機能の提供方法の変革を伴うため、包括的なリストを含めることはできません。したがって、このリストには、SASEを提供するために競争すると予想されるカテゴリー全体の代表的なベンダーが含まれています。

主要なIaaSプロバイダー(AWS、Azure、GCP)は、SASE市場ではまだ競争力がありません。エッジネットワーキングプレゼンスとセキュリティ機能をすべて拡張するため、少なくとも5人が、今後5年間でSASEの市場要件の大部分に対応するようになると予想しています。

SNSでもご購読できます。