Skyhigh Security & SD-WAN でクラウドアーキテクチャを変革する

マイケル・シュナイダー - プロダクト・マネージメント、シニア・マネージャー、Skyhigh Security

2022年6月1日 7 分読み

"機能はあるに越したことはないが、結局のところ、ウェブとクラウドのセキュリティに関して我々が気にするのはアーキテクチャだけだ"- と言った顧客はいない。

実際、最新かつ最高のサイバー・セキュリティ・テクノロジーを購入する際に、アーキテクチャの話をしたがる人はおらず、ほとんどの組織は、新しいセキュリティ・ツールや機能を既存の伝統的なアーキテクチャにはめ込み続けることで満足してきました。しかし、クラウド移行やユビキタスモバイルアクセスなどのデジタル変革プロジェクトによって、アーキテクチャの亀裂が明らかになり、多くの企業はここ数ヶ月のリモートアクセス需要の爆発的増加によって、ダムが決壊するのを目の当たりにしました。その結果、組織は、デジタル・トランスフォーメーションには、それに対応するネットワークとセキュリティのアーキテクチャの変革が必要であるとの認識に至りつつあります。

セキュア・アクセス・サービス・エッジ（SASE）フレームワークは、ネットワークとセキュリティ技術を単一のクラウド・サービスに統合し、ウェブやクラウドリソースへの高速で安全、信頼性が高く、コスト効率の高いアクセスを保証することで、この変革を実現するモデルを企業に提供します。このブログでは、リモートオフィスとSD-WANとNext-GenerationSecure Web Gateway 機能の組み合わせに焦点を当て、Skyhigh SSEがデジタルトランスフォーメーションを可能にすることを紹介します。

クラウドとアーキテクチャーのジレンマ

かつて、組織は限られた場所に集中していました。アプリケーションとデータは、ローカルエリアネットワーク上の中央データセンターにあるサーバーにホストされており、通常は本社かその近くにありました。ユーザーは通常、オフィスで仕事をしていたので、オフィスにもいて、同じネットワーク上の企業リソースにアクセスすることになります。このネットワークの周囲には、組織の内外を行き来するすべてのトラフィックを検査できるセキュリティコントロールの境界線があり、信頼できるリソースを安全に保ち、悪者を排除することができました。リモートユーザーや支店は、VPN、MPLS、専用線などの技術を使ってこの中央ネットワークに論理的に接続され、安全なネットワーク境界を維持することができました。

しかし、デジタル・トランスフォーメーションによって、大きな課題が生まれました。アプリケーションやデータストレージがクラウドに移行し、企業ネットワーク上に存在しなくなったのです。論理的に考えれば、リモートユーザーやオフィスが企業ネットワークを経由せずにクラウドリソースに直接アクセスできるようにすることが最適なアプローチとなります。しかし、この場合、組織のITセキュリティ境界は完全に回避され、セキュリティの可視性と制御が失われ、許容できないセキュリティとコンプライアンスリスクにつながることになります。

ネットワークとセキュリティのアーキテクトは、どこの国でも同じジレンマに直面しています：大きな妥協をせずにデジタル・トランスフォーメーションを実現する最善の方法は何か？組織は一般的に、新しいテクノロジーを受け入れ、それらを統合する意欲に基づき、以下の4つのアーキテクチャアプローチのいずれかに従ってきました。

ここでは、この4つの選択肢について、セキュリティ、スピード、レイテンシー、コストの4つの要素で評価します。その結果、Webやクラウドリソースへの高速で安全、かつ費用対効果の高いアクセスを実現する方法は1つしかないことがわかるでしょう。

アプローチ1：STATUS QUO

セキュリティの可視性と制御を失うリスクから、多くの組織は「ダイレクト・トゥ・クラウド」の再構築を拒否してきた。そのため、高速インターネット回線でユーザーをクラウドやウェブリソースに直接接続できたとしても、このアプローチでは、すべてのトラフィックが低速のMPLS回線を通って企業ネットワークに戻され、さらに単一の集約インターネット回線を通ってウェブやクラウドリソースにアクセスする必要がある。この方法では、理論的にはセキュリティの可視性と制御が維持されますが、大きなコストが発生します。

まず、パフォーマンスの低下により、ユーザーエクスペリエンスが大きく損なわれています。帯域幅は、オフィスへの遅いMPLSリンクと、混雑した会社のインターネット接続によって損なわれています。さらに、ネットワークのホップ数が増え、ネットワークの競合が増えると、遅延が大きくなります。この遅延は、ここ数カ月、社内ネットワークを介してバックホールするリモートトラフィックの量が、当初の設計の予想をはるかに超えて爆発的に増加したため、劇的に増大しました。また、ネットワークに単一障害点を導入することで、サービス停止につながる可能性もあります。

パフォーマンスの低さに加え、このアプローチには目に見えて高い財務コストがかかります。支社と企業のデータセンターを結ぶ複数のMPLS回線は、公衆インターネット接続よりもかなり高価です。さらに、すべてのユーザートラフィックのルーティングに対応するために、組織は中央ネットワークとセキュリティ境界のインフラ容量、および共有インターネットパイプの帯域幅への投資を劇的に増やす必要があります。

そのため、スピード、レイテンシー、コストという課題に対する長期的な答えを見つける必要があるのです。こうした点を考慮して、多くのネットワークアーキテクトがSD-WANの導入を進めるようになりました。

アプローチ2a：SD-WANによるダイレクト・トゥ・クラウド化

クラウド対応のアーキテクチャを実現するための最初のステップは、すべてのトラフィックを低速のMPLS回線で中央ネットワークにルーティングし、再びクラウドに戻すことで発生するボトルネックを取り除くことです。この点では、SD-WAN技術が有効です。支店ネットワークのエッジにSD-WAN機器を導入することで、最適化されたトラフィックポリシーを作成し、高速で手頃な価格のインターネット接続を使用してトラフィックをWebやクラウドリソースに直接ルーティングし、同じインターネット接続を使用してデータセンター向けのトラフィックのみをVPNトンネルの動的セットで企業ネットワークに直接送り返すことが可能になります。WAN最適化とQoS、さらにファイアウォール・フィルタリングなど、ネットワークエッジで実行するのに適したさまざまなエッジネットワークとセキュリティ機能により、中央ネットワークのトラフィック負担を最小限に抑えながら、最速かつ最も信頼できるユーザー体験を提供します。

SD-WANを採用することで、ネットワークアーキテクトは、企業のデータセンターに戻る高価なMPLSリンクを排除し、大幅なコスト削減を達成することができます。さらに、ユーザーは、MPLS回線のはるかに遅い帯域幅に制約されることもありません。

しかし、このモデルには大きな欠点があります。SD-WANソリューションは、ファイアウォール、DNS保護、データ難読化など、各リモートサイトに配布できる強力なフロー制御機能を数多く備えていますが、企業がネットワークの境界セキュリティに組み込んでいるような堅牢なデータおよび脅威保護機能は備えていません。そのため、アーキテクトはインターネット上のすべてのトラフィックをデータセンターにバックホールする必要があります！そのため、この接続の速度と費用対効果は旧モデルと比較して大幅に改善されていますが、トラフィックをバックホールし続ける必要があるため、遅延と混雑の問題が発生します。

アプローチ 2b：スカイハイSecurity Service Edge

組織がセキュリティの可視性と制御を維持するために、トラフィック経路を企業のデータセンターに戻す必要があるが、ユーザーがアクセスするリソースの大部分はクラウド上にある場合、より直接的で安全なトラフィック経路であるクラウドにセキュリティ制御を配置することは理にかなっているのではないだろうか？スカイハイSecurity Service Edge 。

Skyhigh Securityの Next-GenSecure Web Gateway は、クラウドネイティブで、光速、99.999%の信頼性を備えたハイパースケールのセキュアエッジを提供します。SWG、CASB、DLP、Remote Browser Isolation の技術を統合することで、Skyhigh SSEは、リモートユーザーやオフィスが最も洗練されたレベルの脅威、データ、クラウドアプリケーションの保護と、従来のオンプレミスのセキュリティフレームワークで可能な範囲を超える独自のプロアクティブリスク管理機能を享受できるようにします。

高度なセキュリティ機能と同様に重要なのは、Skyhigh SSEが高速で信頼性が高く、スケーラブルな基盤の上に構築されているという事実です。グローバルなPOP（Point of Presence）ネットワークと独自のピアリング関係により、Skyhigh SSEはユーザーが必要とするあらゆる場所にハイパースケールのセキュアエッジを拡張することができます。2020年春にトラフィックが240%急増したにもかかわらず、Skyhigh Security 、99.999%の可用性を維持し、SLAで規定された遅延要件をすべて満たすことができました。組織は最も困難な状況でも当社のインフラを頼りにすることができ、今後もそうすることができます。

支店で安価な公衆インターネット回線を契約し、Skyhigh SSEに接続することで、お客様が望む多くのメリットを実現することができます。データ、脅威、クラウドアプリケーションを包括的に保護する機能は、セキュリティ要件を十二分に満たしています。また、ウェブやクラウドに向かうユーザーのトラフィックの大部分は、インターネットに直接接続することで、高速かつ低遅延のアクセスを実現します。

しかし、Skyhigh SSEと組み合わせてSD-WANを導入しない場合、企業はレガシーデータセンターのアプリケーションやリソースへの接続を維持するために、低速で高価なMPLSリンクを持つ必要があります。したがって、顧客はコスト削減を実現できず、データセンター・リソースへの接続は同じスピードとレイテンシーの問題に悩まされることになります。そこでようやく、Skyhigh SSEとSD-WANを組み合わせた理想的なクラウドセキュリティアーキテクチャに行き着くのです。

アプローチ3：Skyhigh Security SSE + SD-WAN = SASE

シームレスに統合されたソリューションでSkyhigh SSEとSD-WANを組み合わせることで、企業はSASEを実現し、クラウド時代に適したネットワークセキュリティアーキテクチャを構築することができます。Skyhigh Security 、業界標準のDynamic IPSecとGREプロトコルを活用したSD-WAN接続の強固なネイティブサポートにより、Skyhigh SSEをほぼすべてのSD-WANソリューションに簡単に統合することができます。この統合により、顧客はSD-WANが統合されたネットワーキング機能を提供し、SSEがセキュリティ機能を提供することで、SASEに不可欠な機能を完全に利用することができる。Skyhigh Security 、チャネルパートナーをサポートし、市場の主要なSD-WANベンダーの多くとSD-WAN-クラウドSWG共同プロジェクトを成功させてきた。また、統合パートナープログラムを通じて業界リーダーとの緊密な提携関係を築いてきた。

では、UCEとSD-WANを組み合わせたソリューションは、どのようにして4つのアーキテクチャ要件を満たすのだろうか？セキュリティは、Skyhigh Securityの脅威、データ、クラウドアプリケーション保護機能、および SD-WAN によって提供される分散ファイアウォール機能によって明確に対処される。単一の高速インターネット接続を使用することで、SD-WANはインテリジェントかつ効率的にトラフィックをクラウドリソースまたは企業データセンターに直接ルーティングすることができます。Skyhigh SSEがクラウドで直接セキュリティを提供することで、SD-WANはウェブやクラウドバウンドのトラフィックを、過剰な遅延なしに直接転送することができます。コスト削減は、高価なMPLS回線をなくすことで実現します。また、トラフィックの大部分が企業のデータセンターを経由してバックホールする必要がなくなるため、中央ネットワークの帯域幅とインフラストラクチャの容量を削減することで、さらなるコスト削減が可能になります。

クラウドに対応したネットワークセキュリティアーキテクチャを今すぐ構築する

デジタルトランスフォーメーションは、次の大きな技術革命であり、組織は、クラウドに移行し、高速、安全、シンプル、信頼性の高いアクセスで分散したワークフォースを強化する能力が、新しい時代での成功を左右する可能性があります。SASEは、セキュリティの可視性と制御、パフォーマンス、複雑さ、コストに妥協することなく、ダイレクト・トゥ・クラウド・アーキテクチャを実現するための最良の方法と言えます。当社のSkyhigh SSEソリューションとSD-WANをシームレスに統合することで、企業はSASEをリモートオフィスに提供することがかつてないほど容易になりました。その結果、ユーザーは生産性の向上、IT担当者は業務効率の向上、企業はインフラの統合とネットワークトラフィックの最適化により、優れたコスト削減を実現することができます。

ブログへ戻る