Skyhigh SecurityとSD-WANでクラウドアーキテクチャを変革

Michael Schneider - Skyhigh Security プロダクトマネジメント シニアマネージャー

2022年6月1日 7 分で読めます

「機能はあれば便利ですが、結局のところ、ウェブとクラウドのセキュリティに関して私たちが気にするのはアーキテクチャだけです。」と、言った顧客はこれまでいません。

最新かつ最高のサイバーセキュリティ技術を探す際、アーキテクチャについて語りたがる人はいません。ほとんどの組織は、新しいセキュリティツールや機能を既存の従来のアーキテクチャに適合させ続けることに満足してきました。しかし、クラウド移行やユビキタスなモバイルアクセスを含むデジタルトランスフォーメーションプロジェクトは、アーキテクチャの亀裂を露呈させました。そして、多くの企業は、ここ数ヶ月のリモートアクセス需要の爆発的な増加により、ダムが決壊するのを見てきました。その結果、組織はデジタルトランスフォーメーションがそれに対応するネットワークおよびセキュリティアーキテクチャの変革を要求しているという認識に至っています。

Secure Access Service Edge (SASE) フレームワークは、ネットワークとセキュリティテクノロジーを単一のクラウド提供型サービスに統合することで、組織がこの変革を達成するためのモデルを提供します。これにより、Webおよびクラウドのリソースへの高速、セキュア、信頼性、費用対効果の高いアクセスが保証されます。このブログでは、リモートオフィスと、Skyhigh SSEがデジタルトランスフォーメーションのために実現できるSD-WANと次世代Secure Web Gateway機能の組み合わせに焦点を当てます。

クラウドとアーキテクチャのジレンマ

以前は、組織は主に限られた数の場所に集中していました。アプリケーションとデータは、ローカルエリアネットワーク上の中央データセンター（通常は本社内またはその近く）のサーバーでホストされていました。ユーザーは通常オフィスで作業していたため、オフィスにいて同じネットワーク上の企業リソースにアクセスしていました。このネットワークの周囲には、組織に出入りするすべてのトラフィックを検査できるセキュリティ制御の境界があり、信頼できるリソースを保護しつつ、悪意のあるアクセスを排除していました。リモートユーザーや支店は、VPN、MPLS、専用線などの技術を介してこの中央ネットワークに論理的に接続されており、安全なネットワーク境界が維持されていました。

このアプローチは何年もの間十分でしたが、デジタルトランスフォーメーションは大きな課題を生み出しました。アプリケーションとデータストレージはクラウドに移行したため、もはや企業ネットワーク上にはありません。論理的に考えれば、最適なアプローチは、リモートユーザーやオフィスが企業ネットワークを経由せずにクラウドリソースに直接アクセスすることでしょう。しかし、これでは組織のITセキュリティ境界が完全に迂回され、セキュリティの可視性と制御が失われ、許容できないセキュリティおよびコンプライアンスリスクにつながります。

世界中のネットワークおよびセキュリティアーキテクトは同じジレンマに直面しています。大きな妥協をすることなくデジタルトランスフォーメーションを実現する最善の方法は何でしょうか？組織は、新しいテクノロジーを受け入れ、それらを統合する意欲に基づいて、以下の4つのアーキテクチャアプローチのいずれかに従うのが一般的です。

ここでは、これら4つのオプションについて議論し、セキュリティ、速度、レイテンシ、コストの4つの要素に基づいて評価します。その結果、ウェブおよびクラウドのリソースへの高速で安全かつ費用対効果の高いアクセスを実現する方法は一つしかないことが示されるでしょう。

アプローチ1：現状維持

セキュリティの可視性と制御を失うリスクがあるため、多くの組織は「ダイレクト・トゥ・クラウド」への再アーキテクチャを許可してきませんでした。そのため、高速インターネットリンクがユーザーをクラウドおよびウェブのリソースに直接接続できる場合でも、このアプローチでは、すべてのトラフィックを低速なMPLSリンクを介して企業ネットワークに戻し、その後、単一の集約されたインターネットパイプを介してウェブおよびクラウドのリソースにアクセスする必要があります。これは理論的にはセキュリティの可視性と制御を維持しますが、多大なコストを伴います。

まず、パフォーマンスの低下により、ユーザーエクスペリエンスは著しく損なわれます。帯域幅は、企業オフィスへの低速なMPLSリンクや、混雑した社内インターネット接続によって影響を受けます。さらに、余分なネットワークホップとネットワーク競合の増加は、高遅延を引き起こします。企業ネットワークを介してバックホールされるリモートトラフィックの量が当初の設計予測をはるかに超えて爆発的に増加したため、この遅延はここ数ヶ月で劇的に増幅されています。これらの要因は、ネットワークアーキテクチャに単一障害点を導入することによって引き起こされるサービス中断の潜在的な影響さえ考慮していません。

パフォーマンスの低下に加えて、このアプローチには目に見えて高い財務コストが伴います。支社を企業データセンターに接続する複数のMPLS回線は、パブリックインターネット接続よりもかなり高価です。さらに、すべてのユーザートラフィックのルーティングに対応するため、組織は中央ネットワークおよびセキュリティ境界インフラストラクチャの容量と、共有インターネットパイプの帯域幅への投資を劇的に増やす必要があります。

したがって、速度、遅延、コストといった課題に対する長期的な解決策を見つける必要があります。これらの考慮事項が、多くのネットワークアーキテクトがSD-WANの導入を進めるきっかけとなりました。

アプローチ2a：SD-WANによるダイレクト・トゥ・クラウドへの移行

クラウド対応アーキテクチャを実現するための最初のステップは、すべてのトラフィックを低速なMPLS回線を介して中央ネットワークにルーティングし、その後クラウドに戻すことによって生じるボトルネックを解消することです。SD-WANテクノロジーは、この点で役立ちます。支社ネットワークのエッジにSD-WAN機器を導入することで、高速で手頃なインターネット接続を使用して、ウェブおよびクラウドのリソースにトラフィックを直接ルーティングする最適化されたトラフィックポリシーを作成できます。同時に、同じインターネット接続を使用して、データセンター宛てのトラフィックのみを動的なVPNトンネルセットを介して企業ネットワークに直接送り返します。WAN最適化とQoS、およびファイアウォールフィルタリングなど、ネットワークエッジで実行するのに適したさまざまなエッジネットワークおよびセキュリティ機能は、中央ネットワークのトラフィック負荷を最小限に抑えながら、最速かつ最も信頼性の高いユーザーエクスペリエンスを提供します。

SD-WANを導入することで、ネットワークアーキテクトは企業データセンターへの高価なMPLSリンクを排除し、大幅なコスト削減を実現できます。さらに、ユーザーはそれらのMPLS回線の非常に遅い帯域幅に制約されることもありません。

しかし、このモデルには大きな欠点があります。SD-WANソリューションは、ファイアウォール機能、DNS保護、データ難読化など、各リモートサイトに分散できる強力なフロー制御機能を多数備えていますが、組織がネットワーク境界セキュリティに組み込んでいるような堅牢なデータおよび脅威保護機能は備えていません。したがって、アーキテクトは、最終的にインターネットに直接戻る運命にあるトラフィックであっても、すべてのトラフィックをインターネット経由でデータセンターにバックホールする必要があります。そのため、この接続の速度と費用対効果は古いモデルと比較して大幅に改善されていますが、トラフィックをバックホールし続ける必要性があるため、同じ遅延と輻輳の課題が生じます。

アプローチ2b: Skyhigh Security Service Edge

組織がセキュリティの可視性と制御を維持するためにトラフィックパスを企業データセンターに戻す必要があるが、ユーザーがアクセスするリソースの大部分がクラウドにある場合、セキュリティコントロールをクラウドに配置し、より直接的でセキュアなトラフィックパスとするのが理にかなっているのではないでしょうか？ここで、Skyhigh Security Service Edgeの登場です。

Skyhigh Securityの次世代 Secure Web Gatewayは、クラウドネイティブで超高速、99.999%の信頼性を誇るハイパースケールなセキュアエッジを提供します。SWG、CASB、DLP、および Remote Browser Isolation テクノロジーを統合することで、Skyhigh SSEは、リモートユーザーやオフィスが、従来のオンプレミスセキュリティフレームワークで可能な範囲を超える、最も高度な脅威、データ、クラウドアプリケーション保護、そして独自のプロアクティブなリスク管理機能を享受できるようにします。

高度なセキュリティ機能と同様に重要なのは、Skyhigh SSEが高速で信頼性が高く、スケーラブルな基盤の上に構築されているという事実です。グローバルなPoint of Presence (POP) ネットワークと独自のピアリング関係により、Skyhigh SSEはユーザーが必要とするあらゆる場所にハイパースケールなセキュアエッジを拡張できます。2020年春のトラフィック240%増にもかかわらず、Skyhigh Securityは99.999%の可用性を維持し、当社のSLAに規定されたすべてのレイテンシー要件を満たしました。組織は最も困難な時期に当社のインフラストラクチャに頼ることができ、今後もそうし続けることができます。

支社サイトで手頃なパブリックインターネット接続を契約し、Skyhigh SSEに接続することで、お客様は多くの望ましいメリットを実現できます。その包括的なデータ、脅威、およびクラウドアプリケーション保護機能は、セキュリティ要件を十分に満たします。また、ウェブまたはクラウド宛てのほとんどのユーザートラフィックに対しては、直接インターネット接続により、高速で低遅延のアクセスが保証されます。

しかし、Skyhigh SSEと連携してSD-WANを導入しない場合、組織はレガシーデータセンターのアプリケーションとリソースへの接続を維持するために、依然として低速で高価なMPLSリンクを必要とします。したがって、お客様はコスト削減を実現できず、データセンターリソースへの接続は同じ速度と遅延の課題に直面します。そして、ここでSkyhigh SSEとSD-WANを組み合わせた理想的なクラウドセキュリティアーキテクチャにたどり着きます。

アプローチ3: Skyhigh Security SSE + SD-WAN = SASE

Skyhigh SSEとSD-WANをシームレスに統合されたソリューションとして組み合わせることで、組織はSASEを提供し、クラウド時代にふさわしいネットワークセキュリティアーキテクチャを構築できます。Skyhigh Securityは、SD-WAN接続に対する堅牢なネイティブサポートを通じて、業界標準のDynamic IPSecおよびGREプロトコルを活用しながら、お客様がSkyhigh SSEを事実上あらゆるSD-WANソリューションと容易に統合できるようにします。この統合により、お客様はSASEの不可欠な機能のすべてから恩恵を受け、SD-WANが統合されたネットワーキング機能を提供し、SSEがセキュリティ機能を提供します。Skyhigh Securityは、市場の主要なSD-WANベンダーの多くと共同のSD-WAN-クラウドSWGプロジェクトを成功裏に提供する上で、チャネルパートナーをサポートしてきました。また、統合パートナープログラムを通じて業界リーダーとの強固な提携を築いてきました。

では、統合されたUCE-SD-WANソリューションは、4つのアーキテクチャ要件をどのように満たすのでしょうか？セキュリティは、Skyhigh Securityの脅威、データ、クラウドアプリケーション保護機能、およびSD-WANによって提供される分散ファイアウォール機能によって明確に対処されます。単一の高速インターネット接続を使用することで、SD-WANはトラフィックをクラウドリソースに直接、または企業データセンターに戻すことをインテリジェントかつ効率的にルーティングできます。Skyhigh SSEがクラウド内で直接セキュリティを提供することで、SD-WANはウェブおよびクラウド向けのトラフィックを過度なレイテンシーなしに直接転送できます。コスト削減は、高価なMPLS回線を排除することから生まれ、トラフィックの大部分が企業データセンターを経由してバックホールする必要がなくなるため、中央ネットワーク帯域幅とインフラ容量を削減することで、さらなる節約が達成できます。

今すぐクラウド対応のネットワークセキュリティアーキテクチャを構築しましょう

デジタルトランスフォーメーションは、次の大きな技術革命を表しており、組織がクラウドに移行し、分散した従業員に高速、安全、シンプル、かつ信頼性の高いアクセスを提供できるかどうかが、新しい時代における成功を左右するでしょう。SASEは、セキュリティの可視性と制御、パフォーマンス、複雑さ、コストを損なうことなく、ダイレクト・トゥ・クラウドアーキテクチャを実現するための最良の方法です。当社のSkyhigh SSEソリューションをSD-WANとシームレスに統合することで、組織がリモートオフィスにSASEを提供することは、かつてないほど容易になりました。その結果、ユーザーは生産性の向上から恩恵を受け、IT担当者は運用効率の向上を享受し、企業は統合されたインフラストラクチャと最適化されたネットワークトラフィックの結果として、並外れたコスト削減を享受するでしょう。

ブログへ戻る