既存のセキュリティ環境へのSASEの導入
2024年5月 3日、Stefan Schachinger
Secure Access Service Edge(SASE)は、最新のプラットフォームベースのセキュリティコンセプトとして、従来の製品の多くの問題を解決するまでに進化してきました。
ほとんどの企業は、異なるメーカーの複数のセキュリティソリューションを使用しており、全体像を見失いがちです。孤立したソリューションでは必ず、機能範囲が重複していたり、まったくカバーできていないギャップがあったりします。ソリューションベンダーの中には、自社のスタンドアローンソリューションを他と統合したりデータ交換したりできない設計にしているところもあります。このようなバラバラの環境では、セキュリティインシデントの検出や防止、解決が計り知れないほど複雑になります。しかも、分散型サービスとユーザーに対応すべく、最新のインフラストラクチャーの要件は変化し続けていますから、実は非常に危険な状況です。
SASEは、そんな状況をシンプルにします。焦点はコンバージェンス(収束)、機能を犠牲にすることなく使用する製品の数を減らすのです。孤立したソリューションは、クラウド配信機能を備えたクラウド管理プラットフォームに置き換えます。これにより、管理者の導入や日常的な運用が簡素化され、相乗効果も期待できます。複数の技術コンポーネントで動作する共通の設定は、管理を容易にし、複数のユースケースで一貫したレベルのセキュリティを促進します。単一の管理アプリケーションで、セキュリティインシデントのトラブルシューティングと分析、または最適化の可能性の特定がより明確になります。
SASEプラットフォームのコア機能には以下が含まれます。
ZTNA(ゼロトラスト・ネットワークアクセス):IDおよびアプリケーションベースのエンフォースメントにより、企業リソースへのセキュアなリモートアクセスを実現します。
SWG(セキュア Web ゲートウェイ):エンドユーザーのインターネットアクセスに Web セキュリティを提供します。
FWaaS(ファイアウォール・アズ・ア・サービス):クラウド・アズ・ア・サービスで提供されるファイアウォールを指し、ユーザーにはオンプレミスのハードウェアを追加できるオプションがあります。
SD-WAN(ソフトウェア定義型広域ネットワーク):企業サイトとクラウド間の冗長性とフェイルオーバーメカニズムを組み込んだシームレスな接続性を実現します。
CASB(クラウドアクセス・セキュリティブローカー):ユーザーとサービス間のセキュリティのレイヤーであり、認証とセキュリティの実施を監督します。
Barracuda SecureEdge
バラクーダは、SecureEdgeプラットフォームで、パブリッククラウド、自社のデータセンター、またはパブリックインターネット上で、ユーザーと企業の拠点、および IoT デバイスとあらゆる種類のサービスおよびワークロードを安全で信頼性の高いネットワークで接続するクラウド管理型のSASEソリューションを提供しています。SecureEdgeの詳細はこちらをご覧ください。
では、既存のインフラとの整合性はあるのでしょうか。
既存のインフラや要件を考慮せずに、まったく新しいセキュリティ設計を導入できるIT部門など、まずありません。スタートアップであればもちろん、ビジネスアプリケーション、サービス、セキュリティインフラをクラウドから取得することをお勧めします。SASEは、このようなケースに最適なソリューションとして高く評価されています。しかし、既存の環境に新しいコンセプトを導入する場合は、慎重なアプローチが求められます。
当然、切り替えによるダウンタイムを最小限に抑えることが重要であり、複数の製品を同時に統一されたプラットフォームに置き換える企業はめったにありません。したがって、既存のセキュリティやネットワークインフラストラクチャでは、ユースケースに優先順位をつけ、段階的な導入を計画することをお勧めします。
SASE導入のユースケース
ZTNAによる社内アプリケーションへのセキュアなリモートアクセス
ZTNAは、すべてのSASEプラットフォームのコアコンポーネントであり、他の機能とシームレスに統合されていますが、既存の環境と組み合わせることも可能です。このため、ZTNAはSASEのエントリーレベルのシナリオとして適しています。ラップトップや携帯電話のようなモバイルエンドデバイス上のソフトウェアエージェントは、ユーザーに定義された企業アプリケーションへの安全なアクセスを許可します。従来のVPN接続とは異なり、ユーザーは個々のアプリケーションレベルできめ細かくアクセスを制御することができます。クラウドサービスはエントリーの中央ポイントとして機能し、ファイアウォールなどの既存のインフラストラクチャーのコンポーネントと簡単に接続できます。ここで Barracuda CloudGen Firewall などの製品が使用されているかどうかは関係ありません。このため、ZTNA は、SASE の新規参入者にとって理想的なエントリーレベルのシナリオとなります。リモートアクセスは攻撃の対象となりやすく、多くの場合、深刻な弱点があります。企業は、少しの努力で、企業のセキュリティを大幅に改善することができます。
SWGによる Web セキュリティ
ZTNAと同様、最新の Web セキュリティは、既存のネットワークを変更することなく、比較的簡単に実装することができます。特に Web セキュリティに関しては、ユーザーがいる場所によってセキュリティレベルが大きく異なります。オフィスでは通常、Web トラフィックを徹底的に検査し、必要に応じてフィルタリングを行いますが、ファイアウォールのない場所にいるユーザーの Web アクセスにはたいていほとんど制限がありません。しかし、ユーザーが出張中や自宅で仕事をしているときに、同じレベルのセキュリティが約束されないとなると、大きな問題です。場所に関係なく、システムはコンプライアンスの観点から、悪意のある Web サイトをブロックし、望ましくないカテゴリーのコンテンツをフィルタリングすべきです。アクセスレベルは、企業のニーズに応じて細かく制御できます。これには、キーワードやその他のきめ細かいパラメーターに基づいてアクセスを規制することも含まれます。ちなみに、 SWG と ZTNA のユースケースも完璧に適合しますが、別々に運用することも可能です。
SASE は、非常に幅広い機能を持つセキュリティプラットフォームを提供し、いくつかのスタンドアロン製品を置き換えることができますが、すべてをすぐに運用する必要はありません。個々のユースケースを選択し、優先順位をつけることができます。
ステップバイステップの展開
目標の定義
SASE をコンセプトとして評価するのであれば、まず SASE によって何を達成したいのか、そして、既存のセキュリティが限界に達しているのはどこなのかを検討する必要があります。原則的には、複雑さを減らし、使用されている製品や製造者の数を減らすことが目的です。
セキュリティ評価
適切なソリューションを選択する前に、まず概要を把握し、いくつかの技術的な詳細を明確にする必要があります。セキュリティ体制に既知のギャップはないでしょうか。頭痛の種となっている脆弱性や時代遅れの技術はないでしょうか。あるなら、そこから始めるべきです。
どのユースケースに対応する必要があるのでしょうか。クラウドサービスはどの程度まで統合されていて、クラウドオンランプとしてFWaaSツールが必要なのでしょうか。オンプレミスのハードウェアを置き換える計画があり、最適化されたサイトネットワーキングのために SD-WAN を検討すべきでしょうか。
こうした質問の答えは、組織の個々のニーズによって異なります。バラクーダでは、いつでもサポートを提供しています。
ステージングテスト
要件が明確になると、当然、本番前に選択したソリューションを広範囲にわたってテストしたくなるでしょう。Barracuda SecureEdge なら、すべてのユースケースを無料でテストできます。
稼動と最適化
決定後は、最初の成功を迅速に達成することが不可欠です。このため、計画フェーズの後に、選択されたシナリオが運用されます。すべてが意図したとおりに機能するようになれば、必要に応じて機能の範囲を拡大することができます。最も重要なことは、ユーザーの要求が常に考慮され、満たされていることです。そのためには、適切なサポートトレーニングと技術支援も必要です。
この時点で、通常業務の一環として継続的な評価と最適化のプロセスが始まります。
バラクーダのサポート
Barracuda SecureEdge は、実績のあるテクノロジーで SASE プラットフォームを提供しています。モジュール設計のため、既存のインフラでも段階的な試運転が可能です。設計、評価、および立ち上げを喜んでサポートします!
原文はこちら
Introducing SASE into an existing security environment
May. 3, 2024 Stefan Schachinger
https://blog.barracuda.com/2024/05/06/introducing-sase-into-an-existing-security-environment