Manoj Apte (Zscaler Chief Strategy Officer Zscaler Inc)
ITネットワーキングの世界は急速に進化しています。過去のネットワークアーキテクチャでは、クラウドとモビリティの新しい世界における理想的なネットワーク構築もスケーリングもできません。Gartner ResearchのVPアナリストであるLawrence Orans、Joe Skorupa、Neil MacDonaldは、新しいレポート「The Future of Network Security Is in the Cloud」を執筆しました。(SkorupaとMacDonaldは、以前のレポート『Market Trends:How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge』も執筆しています)
Secure Access Service Edge(SASE:サシー)は、先見性のある新たなパラダイムで、そのコンセプトは独創的です。Orans、Skorupa、MacDonaldは、Fortune 2000のほとんどのCTO(最高技術責任者)やCIO(最高情報責任者)が共感できる、新しいクラウドサービスアーキテクチャモデルとテクノロジー市場を定義したと考えています。この大規模なエッジコンピューティングへの移行モデルについての定義は、SASEが登場するまで存在しませんでした。
SASEは、SD-WANを使用したMPLS、クラウドを使用したハードウェアアプライアンスの撤去、またはゼロトラストの範疇をはるかに超えています。 Orans、Skorupa、MacDonaldは、「software-defined secure access」にて、エンタープライズ環境を保護するITリーダーについて書いています。
複雑さと遅延の解消、オンプレミスに依存しない暗号化トラフィックの復号と検査の必要性により、ネットワーキングとサービスとしてのセキュリティ機能をクラウド配信型のセキュアアクセスサービスエッジ(SASE)に統合する需要が高まります。[出典:Gartner、The Future of Network Security Is in the Cloud; 30 August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald]
私が解釈するSASE(具体的には、エンタープライズクラウドとモビリティへの影響)
- 既存の企業ネットワークとセキュリティモデルを廃止する。
- 組織は、クラウドベースのサービスとしての「セキュアエッジ」モデルを採用することで、シンプルかつスケーラブルな、高い柔軟性と低遅延で高いセキュリティ機能を提供する必要がある。
- 広く分散したネットワークのエッジでサービスエッジプロバイダーが提供するコンピューティングパワーは、それぞれができるだけ近くに存在することが要求されている。
オンザエッジ:低遅延のクラウドサービスの設計
大企業は、エンドポイントとクラウドアプリケーション間の低遅延接続の構築に苦労しています。低遅延の要請は、セキュリティサービスがエンドポイントの近くにある必要があることを示します。
Zscaler Cloudを設計するとき、A)すべてのリモートロケーションですべてのサービス(「ファットブランチ」モデルと呼ぶ)を可能にする大きなNFVプラットフォームを作成するか、B)すべてのリモートロケーションにルーターを配置し、広く分散したクラウドに対する重要な機能を実行します(「シンブランチ」)。 ZscalerはアプローチとしてBを早期に選択しました。
GEでCIOを務めるChris Drumgoole氏は、昨年のZenith Live基調講演で「ブランチに追加するコードが多ければ多いほど、修正しなければならない問題が増えます」とコメントしました。彼が明示的に述べたように、最良のアプローチは、ブランチ側は可能な限りフットプリントを小さくし、ほとんどの機能をクラウドにプッシュすることです。
SASEはこのアプローチを体系化します。SASEのコンセプトは、ブランチは軽量であるべきであり、ファイアウォールからDLPまでのすべての複雑な機能はクラウド内で“as a service”として提供されなければならないことを規定しています。
高価な仮想化ハードウェアショートカット
クラウドサービスの需要の増加に直面して、従来からのセキュリティアプライアンスベンダーの一部は、アプライアンスを仮想化し、ボトルネックが発生しやすいシングルテナントネットワークアーキテクチャをクラウド上に複製しています。 それは「as-a-a-service-model」へのショートカットです。さまざまな仮想マシンを順番にホストし、各マシンを介してトラフィックを送信することで各機能を実行します。また、このモデルはAWS(Amazon Web Services)が提供するようなパブリッククラウド環境において、非常に迅速に構築できます。しかし、この方法にはポリシーの一貫性が崩れること、コンテキストの欠落、高遅延をもたらすというデメリットがあります。そのため、SASEはこのアプローチを否定します。
SASEは「シングルパス」アプローチを推奨しています。このサービスはコンテキストを1回検出し、そのコンテキストに関してすべてのセキュリティ機能を実行できます。
このアプローチが、Zscaler Cloudサービスの基本です。ZscalerのSSMA