SASE Architecture

企業は、オンプレミスからクラウドでホストされるアプリケーション、データ、サービスに移行し、どこからでも新しい作業を接続できるようにしています。 この記事では、SASEアーキテクチャのコンポーネントとその価値について詳しく学びます

クラウドの成長、テレワークへの移行、モバイルデバイスの使用の増加は、組織のITインフラストラクチャがネットワーク境界の外側に急速に移動していることを意味します。 パフォーマンスとユーザーエクスペリエンスを犠牲にすることなく、新しい分散IT資産を保護するには、Gartnerが セキュアアクセスサービスエッジ(SASE) アーキテクチャと呼ぶネットワーク設計への新しいアプローチが必要です。

詳細はこちら データシートをダウンロード

セキュア アクセス サービス エッジ (SASE) アーキテクチャとは?

現代の企業では、ネットワーク境界の内部よりも外部に多くのユーザー、デバイス、アプリケーション、サービス、データが存在する可能性があります。 これは、従来の境界に重点を置いたセキュリティアーキテクチャがもはや効果的ではないことを意味します。

現代の企業のニーズに対応するために、ガートナーはSASEアーキテクチャを定義しました。 このアーキテクチャは、組織のネットワークとセキュリティのニーズを 1 つのソリューションで満たすように設計されています。

  • 最適化されたネットワークルーティング: ユーザーとサービスの分散は、企業のワイドエリアネットワーク(WAN)のトポロジがより複雑になっていることを意味します。 高い Quality of Experience(QoE)を実現するには、ソフトウェア定義のポリシーを使用して、ネットワーク トラフィックの動的で最適化されたパスを選択する必要があります。
  • サービスとしてのセキュリティ: 組織の物理サイトで一元化されたセキュリティは、オフサイトトラフィックのネットワーク遅延を増加させます。 セキュリティは、本社のネットワークの境界にあるオンサイトではなく、サービスとしてのクラウドエッジに導入する必要があります。 地理的に分散したネットワークアーキテクチャにより、分散したモバイルワーカーはクラウドアプリケーションへのアクセスが向上します。
  • セキュアアクセス: セキュリティサービスが統合され、クラウドサービスとして提供されるため、強力な多要素アクセス管理を備えた ゼロトラスト の原則をセッション全体に適用できます。 管理と検査の一元化により効率化を図ります。 復号化、検査、暗号化は、レイテンシーが短縮されると行われます。

ネットワークのパフォーマンスとセキュリティのニーズのバランスを取るには、これらの機能を備えたネットワークとセキュリティのアーキテクチャが必要です。 下の画像に示すように、SASEにはさまざまなネットワークおよびセキュリティ機能が組み込まれています。

この機能は、クラウドホスト型セキュリティ、ゼロトラストネットワークアクセスの原則、ネットワークサービスの3つのカテゴリに分類できます。

#1.クラウドベースのセキュリティコンポーネント

セキュリティがネットワークエッジに移行するにつれて、従来はネットワーク境界に展開されていたセキュリティソリューションをクラウドに移転する必要があります。 SASEアーキテクチャは、次のようなコアセキュリティ機能のためのクラウドネイティブなオプションを提供します。

  • サービスとしてのファイアウォール(FWaaS): ファイアウォールは、組織のネットワークセキュリティアーキテクチャの基盤です。 SASEを使用すると、ファイアウォールをクラウドベースのサービスとして導入し、ネットワークパフォーマンスへの影響を最小限に抑えながらセキュリティを提供できます。
  • Secure Web Gateway (SWG): オンサイトユーザーとリモートユーザーの両方をWebベースの脅威から保護する必要があります。 SWGは、企業のサイバーセキュリティポリシーを適用し、悪意のあるインターネットトラフィックを検査してフィルタリングします。
  • Cloud Access Security Broker (CASB): CASBは、SaaS(Software-as-a-Service)のセキュリティおよびアクセス制御ソリューションです。 Office 365 などのクラウドベースのアプリケーションへのアクセスを監視し、セキュリティで保護するのに役立ちます。

#2.ZTNAコンポーネント

ゼロトラストセキュリティポリシーは、ネットワーク上でのユーザーの権限とアクセスを、職務に必要な最小限のものに制限するように設計されています。 これにより、セキュリティインシデントの可能性と影響が制限されます。

ゼロトラストネットワークアクセス(ZTNA)ソリューションは、ソフトウェア定義境界(SDP)とも呼ばれ、ゼロトラストセキュリティモデルを実施します。これは、以下を実装することで実現されます。

  • 強力な認証: ゼロトラストアーキテクチャでは、アクセスと権限は、組織内でのユーザーの役割とデバイスの検証に基づいています。 ID ベースのセキュリティには、多要素認証 (MFA) とデバイス コンプライアンス ソリューションを使用して保護された強力なユーザー認証が必要です。
  • 承認とアクセス制御: ユーザーの身元が証明されたら、ZTNAソリューションは今後のリクエストの有効性を判断する必要があります。 これには、要求をロールベースのアクセス制御 (RBAC) と比較し、ケースバイケースでアクセスを許可または拒否する必要があります。
  • 継続的なセッション監視: ゼロトラストセキュリティは、継続的なセッション監視を必要とするリスクを最小限に抑えるように設計されています。 この継続的な監視により、観察された動作に基づいて、必要に応じてリスク計算と信頼レベルを更新できます。

#3.ネットワーク サービス コンポーネント

SASEは、企業WANにセキュリティを提供するだけでなく、分散した組織のネットワークパフォーマンスを最適化するようにも設計されています。 これは、 ソフトウェア定義型WAN(SD-WAN) 機能を統合し、モバイルユーザーと一時ユーザーを保護することで実現されます。

SD-WANは、SD-WANアプライアンスのネットワークとして、物理またはクラウドに展開されます。 企業WANを流れるすべてのトラフィックは、アプリケーションとビジネスの目的に基づいて、エントリポイントから宛先に最も近いSD-WANアプライアンスにルーティングされます。 SD-WANをSASEの一部として使用すると、次のような多くのメリットがあります。

  • 最適化されたパス選択: ネットワークの停止、帯域幅の制限、輻輳はすべて、ネットワークの遅延を増加させる可能性があります。 SD-WANは、パフォーマンス監視とインテリジェントなルート選択を使用して、ネットワークパフォーマンスを最大化します。
  • アプリケーションベースのルーティング: リモートおよびモバイルの企業ユーザーは、オフィスにいないときでも企業リソースへの安全な接続を必要とします。 さらに、請負業者は、管理されていないデバイスからのアクセスを必要とする場合があります。 セキュア・リモート・アクセス・ソリューションを使用すると、クライアント・デバイスとクライアントレス・デバイスの両方がSASEネットワークに安全にアクセスでき、そこから目的のリソースに安全にアクセスできます。

SASEアーキテクチャの価値

企業ネットワークが進化するにつれて、ネットワークとセキュリティのアーキテクチャも進化する必要があります。 SASEは、セキュリティと最適化されたネットワークパフォーマンスの両方を1つのソリューションで提供するように設計されています。 SASEは、セキュリティとネットワークルーティング機能をネットワークエッジに移行することで、高レベルのセキュリティを維持しながら、セキュリティがユーザーエクスペリエンスに与える影響を最小限に抑えます。

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.

スタート

Harmony SASE

Harmony SASE Internet Access 

Harmony Private Access

 

関連トピック

What is Secure Access Service Edge (SASE)?

ゼロトラストネットワークアクセス(ZTNA)とは?

ソフトウェアデファインド WAN (SD-WAN) とは何ですか?

SASE vs CASB

 

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK