今回は、概念解説編ということで、SASEについて自分が理解した内容で解説していきます。
なお、この記事には筆者の主観と認識の誤りが存在する場合があります。
SASEとは
SASEは、ネットワークおよびネットワーク・セキュリティのさまざまなサービス (例:CASB、NGFW、SD-WAN、SWG、ZTNA) を組み合わせるクラウド・ベースの新興アーキテクチャです。
ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ
とのことです。
SASEはSecure Access Service Edgeの略で「サシー」と呼びます。
超簡単に言うと、「時代が変わったから新しいセキュリティの枠組み必要だよね。」ということです。
ネットワークやエンドポイントの端末など、場所と端末という括りでセキュリティを強化するのではなく、「どのネットワークからでもどの端末からでもデータにアクセスできる前提でセキュリティを強化しましょう。」と言ったところでしょうか。
従来の接続と問題点
従来型の仕組みだと、会社はデータセンター等の会社保有のリソースを管理するための専用のローケーションを用意し、データセンター上に業務で必要なファイルサーバやAPサーバ等を構築していました。
社内とデータセンターは専用線やVPN等で結ばれており、社内ネットワークを経由してデータセンター内にあるデータやサービスを利用できる。といった利用の仕方が一般的な構成となります。
また、ネットワークという区切りでセキュリティを担保しており、社内NWからDCへの通信はすべて許可、それ以外は拒否といった設定にしている企業様もいると思います。。。
しかし、在宅勤務やリモートワーク等で社外からも頻繁にアクセスするといったシチュエーションが増えてきており、「従来型の仕組みに突貫工事をして限定的にアクセスを許可している」と暫定的に対応している企業様もいるのではないでしょうか?
これらの根本的な問題点は、「要件定義の再定義がなされていないこと」に尽きると思います。
新たな需要が拡大し、システムの利用方法が変わっているが、「システムの要件定義を再度実施せず、いまだけここを変えれば何とかなる」といったところでしょうか。
日本の企業様は「一度決めたことは何が何でも実行する」といった確固たる決意をもってシステムを組むことが多く、時代からワンテンポ遅れたシステムで運用しがちです。
もちろん、ITに裂ける予算も人材も限られているというのも理解できますし、システムを変えると運用が変わるので、運用負荷も上がります。さらに、社内教育を行わなければならず、その分の工数確保も必要です。
ITへの投資はお金がかかるのです。。。
SASEでは何が変わる?
前項ではSASEと従来の構成をざっくり解説しました。
では、SASEでは何が変わるのか?といった部分をざっくり解説します。
初めに一言だけいうと、「SASEは製品ではなく、概念です。」
この製品を使えば、SASEといったことではなく、SASEという概念を取り入れたシステム構成を再構築する。というのが正しい表現になります。
そのため、SASEを満喫するためには、いろいろなシステムを導入して実現する必要があります。
従来のシステムと異なる点は、以下の通りです。
- 社内とデータセンターを専用線やVPNで接続しなくなった(してもよい)
- クラウドアプリケーションを利用する前提でNWの帯域制御を実装する
- 境界だけにFirewallを設置するのではなく、WANからアクセス制御を行う
- 社内・社外のセキュリティレベルを同一にする
このようにすることで、どの端末からでも一定のセキュリティを担保したうえでリソースにアクセスできる環境作ります。
SASEの実現に向けては、様々な製品が出ていますが、それらをどのようにして組み合わせるか?によってSASE時代の運用負荷は変わってくるのかなーと思います。
また、詳しい製品の解説等もできればよいと思います。
まとめ
今回は、概念を理解するシリーズでSASEを取り上げてみました。
内容が薄くなってしましましたが、SASEとは何か?イメージが浮かぶようになっていただければ幸いです。
おまけ
本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
コメント