統合型のサービスであるSASEには、さまざまなベンダーが参入している。SWGやCASBなどセキュリティーのクラウドサービスを提供する事業者のほか、ネットワーク機器やCDNが主力のベンダーもある。
各社は得意な機能を訴求しているが、それ以外の機能は徐々に拡充している段階だ。このためサービスごとに得手不得手がある。SASEの導入を検討する際は、どの要件を重視するのか、要件をどれだけ満たせるのかをチェックしておきたい。
また、SASEはクラウドサービスの一種のため、オンプレミスを前提に整備したネットワークでは設定や運用を大幅に変更しなければならないケースがある。各社のサービスの大まかな傾向や、ネットワークの運用で変更が発生しやすいポイントを確認しよう。
大きく2つのタイプがある
4社のSASEのマネージドサービスを手がけるNRIセキュアテクノロジーズ MSS事業開発部 エキスパートセキュリティコンサルタント 中山 潤一氏によると、SASEのサービスには大きく2つのタイプがある。プロキシーサーバーをベースにした「プロキシー型」と、ファイアウオールなどのネットワーク機器をベースにした「ネットワーク型」だ(図3-1)。タイプによって得意分野が異なる。
プロキシー型はHTTP▼通信の制御が中心になる。アプリケーション層の情報を検査して、Webアクセスを細かく制御するのが得意な傾向がある。
例えば、企業向けと個人向けを同じURLで提供しているクラウドストレージのサービスがあるとする。個人向けサービスへのアクセスだけを制限したい場合、単純なURLフィルタリングでは難しい。
プロキシー型はHTTPに含まれるユーザーIDなどの情報を利用して企業向けと個人向けを識別できる。「ログインIDに使われるメールアドレスのドメイン部分などを識別している」(ネットスコープソリューションエンジニアマネージャーの小林 宏光氏)。
拠点との接続には専用ソフトを用意するサービスが多い。拠点側でソフトを導入した仮想マシンを用意すれば、SASEとの間にVPNトンネルを自動で設定する。利用企業にネットワークを意識させないようにしている。
ネットワーク型は、ファイアウオールなどのネットワーク機器をクラウドサービスで実現するイメージだ。主にパケット単位で通信を制御する。
HTTPに依存しないため、「利用できるアプリケーションの種類を選ばない」(パロアルトネットワークス プリンシパルソリューションアーキテクト,SASE&Zero Trustの石橋 寛憲氏)点が特徴だ。FTP▼やファイル共有のSMB▼など、HTTP以外のプロトコルを使うアプリケーションを扱いやすい。
拠点とSASEを接続する際は、拠点側のVPN装置とIPsec▼などでトンネルを設定する。設定作業を省きたい利用企業向けに、自動で接続する専用アプライアンスを用意するサービスもある。
