SASEは、Software-Defined Wide Area Networking(SD-WAN)とSecure Service Edge(SSE)という2つのコア・テクノロジーを組み合わせたもの、もしくは融合したものです。これらのテクノロジーについて理解しておくと、SASEの仕組みを理解しやすくなります。
SD-WAN
SD-WANは、サーバーが仮想化されるのとほぼ同じ方法で仮想化された広域ネットワークです。基盤となるハードウェア(コネクション、スイッチ、ルーター、ゲートウェイ)からネットワーク機能を切り離し、ソフトウェアの制御下で分割・集約してトラフィックに適用できるネットワーク容量とネットワーク・セキュリティー機能のプールを構築します。
従来の高域通信網(WAN)は通常、専用のプライベートで高価な専用線接続を介して、支社のユーザーを企業の中央データセンターのアプリケーションに接続するように設計されていました。各支社に設置されたルーターは、最も重要なアプリケーションの最適なパフォーマンスを確保するために、トラフィックを制御して優先順位を付けました。また、パケット検査やデータ暗号化などのセキュリティー機能は、中央データセンターに適用されました。
SD-WANはもともと、組織が安価でスケーラブルなインターネット・インフラストラクチャー上にWAN機能を複製できるように開発されたものです。しかし、インターネット・セキュリティーを信頼する準備が整う前にクラウド・サービスを導入する企業が増えたため、SD-WANの需要が急増しました。WANのセキュリティー・モデルは課題に直面しました。増え続けるインターネットに向かうトラフィックを企業のデータセンター経由でルーティングすると、高額な費用がかかるボトルネックが生じ、ネットワーク・パフォーマンスとユーザー・エクスペリエンスの両方が低下するからです。
SD-WANは、トラフィックをセキュリティーにルーティングするのではなく、接続ポイントでトラフィックにセキュリティーを適用できるようにすることで、このボトルネックを解消します。これにより、組織はユーザーと、SaaS(Software-as-a-Service)アプリ、クラウド・リソース、パブリック・インターネット・サービスなど、ユーザーが必要とするあらゆるサービスとの間で、直接的かつ安全で最適化された接続を確立できます。
SSE
Gartnerが定義したもう1つの用語であるSSEは、「SASE のセキュリティー面の半分」です。Gartnerは、SSEを次の3つの主要なクラウドネイティブ・セキュリティー技術を統合したものとして定義しています。
セキュア・ウェブ・ゲートウェイ(SWG):SWGは、双方向のインターネット・トラフィック警官です。トラフィック・フィルタリングやドメイン・ネーム・システム(DNS)クエリ・インスペクションなどの手法を用いて、マルウェアやランサムウェア、その他のサイバー脅威を特定してブロックすることで、悪意のあるトラフィックがネットワーク・リソースに到達するのを防ぎます。また、許可されたユーザーが不審なWebサイトに接続することを防ぎます。ユーザーとエンドポイントは、インターネットに直接接続するのではなく、SWGに接続します。これにより、許可されたリソースのみにアクセスできます(例:オンプレミス・データセンター、ビジネス・アプリケーション、クラウド・アプリケーションおよびとサービス)。
クラウド・アクセス・セキュリティー・ブローカー(CASB)CASBは、ユーザーとクラウド・アプリケーションおよびリソースの間に位置しています。CASBは、ユーザーがクラウドにアクセスする際に、ユーザーがどこでどのように接続するかにかかわらず、暗号化、アクセス制御、マルウェア検出などの企業のセキュリティー・ポリシーを適用し、エンドポイント・デバイスにソフトウェアをインストールすることなくそれを行うことができるため、BYOD(個人所有デバイスの業務使用)やその他のワークフォース・トランスフォーメーションのユースケースを保護するのに理想的です。また、他のCASBも、ユーザーが未知のクラウド資産に接続するときにセキュリティー・ポリシーを適用できます。
ゼロトラスト・ネットワーク・アクセス(ZTNA):ネットワーク・アクセスに対するゼロトラストアプローチとは、ネットワークの外部か内部かにかかわらず、すべてのユーザーとエンティティーを信頼せず、継続的に検証するアプローチです。検証されたユーザーとエンティティーには、タスクを完了するために必要な最小特権アクセスを付与します。すべてのユーザーとエンティティーは、コンテキストが変更されるたびに強制的に再検証されます。そして、接続セッションが終了するまで、すべてのデータ・インタラクションをパケットごとに認証します。
ZTNAはそれ自体がセキュリティー製品ではなく、IDおよびアクセス管理(IAM)、多要素認証(MFA)、ユーザーおよびエンティティーの行動分析(UEBA)、さまざまな脅威検出および対応ソリューションなどのさまざまなテクノロジーを使用して実装されるネットワーク・セキュリティー・アプローチです。
各ベンダーのSASEプラットフォームには、サービスとしてのファイアウォール(FWaaS)、データ損失防止(DLP)、ネットワーク・アクセス・コントロール(NAC)、エンドポイント保護プラットフォーム(EPP)など、他の脅威防止およびセキュリティー機能が含まれています。
すべてをまとめる
SASEソリューションは、SD-WANを使用して、ネットワーク・エッジのユーザー、デバイス、および接続場所またはその近くのエンドポイントにSSEセキュリティー・サービスを提供します。
具体的には、SASEアーキテクチャーは、検査と暗号化のためにすべてのトラフィックを中央データセンターに送り返すのではなく、エンドユーザーまたはエンドポイントの近くにある分散されたPoint of Presence(PoP)にトラフィックを送ります。(PoPは、SASEサービスプロバイダーが所有するか、サードパーティー・ベンダーのデータセンターに確立されます)。PoPはクラウド型SSEサービスを使用してトラフィックを保護し、その後、ユーザーまたはエンドポイントはパブリッククラウド、プライベートクラウド、サービスとしてのソフトウェア(SaaS)アプリケーション、パブリック・インターネット、またはその他のリソースに接続されます。