ゼロトラスト エッジとは

 

ゼロトラスト エッジとは、ゼロトラスト アクセスの原則に基づき、主にクラウドベースのセキュリティおよびネットワーク サービスを活用して、インターネット トラフィックをリモート サイトに接続するセキュリティ ソリューションのことです。

 

ゼロトラスト エッジ(ZTE)ネットワークはほぼあらゆる場所からアクセスでき、接続時にユーザーやデバイスを認証するゼロトラスト ネットワーク アクセス(ZTNA)をインターネット全体で使用するため、安全なインターネット アクセス接続経路を実現できます。

 

Gartner は、ネットワークとサイバーセキュリティの結びつきが強まっていることを指摘し、セキュア アクセス サービス エッジ(SASE)の概念を紹介しています。これには、その一環として、クラウド セキュリティおよびクラウド ネットワークのサービスの統合が含まれます。SASE ソリューションは、クラウド、データセンター、およびブランチ ネットワーク エッジを保護し、さまざまな接続で安全な SD-WAN ファブリックを提供するように設計されています。Forrester は、同社の最近のレポート『Introducing The Zero Trust Edge Model For Security And Network Services』に新しい SASE モデルを掲載しました。このレポートではゼロトラスト エッジ(ZTE)が定義されており、「ゼロトラスト」コンポーネントに大きな重点が置かれています。

SASE & ZTNA For Dummies

SASE & ZTNA For Dummies

無償ダウンロード 

ゼロトラスト エッジが重要である理由

エンタープライズ ネットワークの境界は数十年をかけてあいまいになってきていましたが、新型コロナウイルス感染症の世界的なパンデミックによって、従業員が自宅にリモート オフィスを設置するために奔走することになった結果、境界はすっかり消滅しました。在宅勤務(WFH)をする従業員が新しい標準となり、企業は Web アプリケーションやモバイル アプリケーションなど、顧客との関係を構築するための新しいチャネルを常に探し求めています。

 

業務や取引を遂行するために、この膨張を続けるユーザー群とデバイス群を企業のリソースに接続する必要があります。テレワーク環境を安全にサポートするために、ゼロトラスト アプローチをネットワークに採用するセキュリティ担当者が増えています。

 

このため、ほとんどの組織において ZTE の初期のユースケースは、仮想プライベート ネットワーク(VPN)を不要にしながら、リモート ワーカーを保護するものになるでしょう。多くの場合、大規模な WFH によって新しい接続が急増すると、仮想プライベート ネットワーク(VPN)に大きな負担がかかることになります。

 

次の 3 つの主な要因によって、ネットワークとセキュリティのさらなる統合が促進されています。

 

  • セキュリティ担当者は、ネットワーク上で許可されたトラフィックが自分たちの厳しいセキュリティ信頼レベルを満たしていることと、トラフィックの監視と分析によってポリシーに準拠していることを確認する必要があります。
  • セキュリティ チームが企業のネットワークに加担するのではなく、ネットワーク担当者が ZTE ポリシーを採用し、セキュリティの観点からネットワーク業務を実行する必要があります。
  • すべてのクライアントとエンドポイントからインターネットに安全にアクセスできる接続経路と、ネットワーク ルート上のあらゆる場所で遭遇する可能性があるマルウェアを阻止または回避する機能が必要とされています。

 

ゼロトラスト エッジのメリット

多くの組織はソフトウェアベースの WAN(SD-WAN)を使用してすでにネットワークを仮想化していますが、このアプローチでは多くの新しいセキュリティ要件に対応することができません。上記のようにクラウド セキュリティとネットワークを統合することで、ZTE は次のような重要なメリットを提供します。

 

リスクの軽減:ネットワーク ファブリックにセキュリティが組み込まれており、接続ごとに検査と保護が行われるため、IT 担当者は、ユーザーの接続元、使用されているアプリケーション、または使用されている暗号化の種類(該当する場合)を心配する必要がありません。各接続とトランザクションは毎回認証されます。

 

コストの削減:ZTE は、通常、自動化されたクラウド配信型サービスとして提供されるため、ZTE ネットワークは本質的にスケーラブルです。これらはインターネット ファブリックの一部であるため、レガシー アーキテクチャに関係なく、組織のデジタル トランスフォーメーションに対応できます。

 

ユーザー体験の向上:接続経路は世界全体に提供できるため、ネットワークのパフォーマンスとスループットが向上するだけでなく、バックホールの必要性も減少し、遅延が低減されます。

 

ゼロトラスト エッジを実現するための要件

ZTE モデルはクラウド ホスト型またはエッジ ホスト型のセキュリティ スタックとして設計されていますが、多くの地域で帯域幅の制限があるため、スタックの一部の構成要素をローカル インフラストラクチャに配置する必要があります。
現在、組織が活用できる ZTE アプローチには、次の 3 つがあります。

  1. ベンダーが運営またはサードパーティが提供するネットワークを基盤とし、数個から数百個の POP(Point of Presence)が設置されている、ZTE 機能を備えたクラウド配信型サービス。このアプローチでは、SaaS(Software-as-a-Service)方式が採用されます。

  2. WAN 接続サービスに含まれ、キャリアが ZTE 機能とアウトソーシングされたセキュリティを提供する ZTE。Comcast Enterprise および Akami は ZTE 機能を提供しており、多くの SD-WAN プロバイダーも ZTE に特化したセキュリティ ベンダーと提携してサービスを補完しています。多くの選択肢がありますが、オンプレミス サービスではクラウドベースのシステムの俊敏性がなく、SD-WAN と ZTE の組み合わせでは、サービスごとにポリシーを構成する必要があり、全体を一貫して管理できるソリューションがありません。

  3. 自社開発のアプローチ。このアプローチは、POP、クラウド ホスト型ファイアウォール、およびパブリッククラウド内に存在するその他のセキュリティ サービスのためにクラウドサービス プロバイダーを利用し、独自の ZTE サービスを構築することができる、俊敏性に優れた大規模な企業にのみ現実的です。非常に柔軟性に優れていますが、このアプローチでは、進化するセキュリティ コンポーネントの継続的な監視や、クラウドサービス、また、サービスを作成および管理するための IT スキルも必要になります。

 

クラウドに付随する次の 2 つの主要な原則に基づいてソリューションを構築する必要があるという点で、ZTE は、クラウドベースの場合にもっとも大きな価値をもたらすと考えられます。

  • クラウドベースのネットワークおよびセキュリティ管理:ネットワーク、ファイアウォール、その他の SD-WAN 機能向けのエンタープライズ ツールおよび管理ツール全体に対して 1 組のポリシーをユーザーに提供します。これにより、エラーを減らし、効率性を高め、同様のポリシーを複数のシステムに設定しやすくなります。

  • ネットワークとセキュリティをリンクする監視、管理、および分析ツール:ZTE のこの特質により、リンクを適切に活用してセキュリティの問題につながる可能性のあるネットワークの異常を特定し、ピアリングされた区域を含め、監視範囲にネットワーク全体を含めることができます。膨大なデータを収集して分析するには、求められる分析に対応できるストレージや処理のためのクラウドベースのソリューションが必要になります。

完全に展開されると、クラウド上であるかリモート サイトでホストされているかに関係なく、ZTE ソリューションに含まれる一連のセキュリティ サービスとネットワーク サービスを一元的に管理、監視、分析できるようになります。

 

ゼロトラスト エッジの課題とは

ゼロトラスト エッジ モデルは、従来のセキュリティとネットワークの使用方法に混乱をもたらすものではなく、それらを変革するものです。絶え間ない進化に常に対応し、サイバーセキュリティ部門は、ゼロトラスト エッジに迅速に移行してきました。

 

企業は、リモート ワーカーのセキュリティ問題の対策としてゼロトラスト エッジに取り組まざるを得なくなっていますが、このモデルのメリットをすべて実現するには、次のような大きな課題があります。

 

レガシー アプリケーションとサービス:ID フェデレーションをサポートする最新の Web アプリケーションは ZTE で簡単に構成できますが、Web 以外のプロトコルで構築されたアプリケーション、特にリモート アクセス用の RDP/VDI や、音声用の SIP/VoIP は、ZTE 環境での利用に関する標準がないため、簡単には統合できません。

 

レガシー ネットワーク機器:ZTE にコンピューターとアプリケーションを追加するとなると、IT 部門は無数の運用技術(OT)と IoT デバイスを検討しなければなりません。対象デバイスは、どの組織でも数千台に及ぶことがあります。

 

キャパシティ:ZTE はリモート ワーカーの戦術的なアクセスの問題を解決することはできますが、データセンターへのアクセスを提供する現在の高キャパシティのネットワーク サービスやセキュリティ サービスに置き換わる能力はまだありません。組織は、特定の企業資産を考慮して、ZTE の保護に移行する前にクラウドへの移行を選択することもできまる。

 

 

ゼロトラスト エッジと SASE の違いとは

Forrester は、「ゼロトラスト」コンポーネントに重点を置いて SASE モデルを改良したものが ZTE であると定義しています。インターネットはセキュリティを考慮せずに設計されていることから、マルウェアおよび絶えず変化する攻撃対象領域の世界を生み出しています。ZTE は、安全な接続を試みるために数十年にわたって適用されてきたセキュリティ パッチや応急措置を無視し、最悪の事態を想定して、たとえエンドポイントの唯一のインターネット接続が別のエンドポイントへのトンネルであろうとあらゆる接続を ZTE を使用して認証することで、公共のインターネットの「危険な場所」からユーザーを遠ざけます。

ゼロトラスト エッジに関連する VMware の製品、ソリューション、リソース

VMware SD-WAN

VMware SD-WAN は、基本的な機能に留まらない、企業のクラウドへの移行をサポートする本格的かつ包括的な SASE ソリューションを提供します。

ゼロトラスト セキュリティ ソリューション

モジュール式のゼロトラスト セキュリティへの本質的なアプローチによって優れた可視性と制御を実現し、デジタル環境全体を簡単に保護できます。

Anywhere Workspace ソリューション

従業員が場所を問わず働けるように、セキュアかつスムーズな体験を提供します。

Gartner の 2020 年版マジック クアドラント レポート

VMware SD-WAN™ by VeloCloud® は、引き続き WAN エッジ インフラストラクチャ市場を主導し続けています。

SASE とは

Secure Access Service Edge(SASE)は、クラウド ネットワークとクラウド セキュリティを統合して、シンプルさ、スケーラビリティ、柔軟性、広範なセキュリティを提供します。

企業における VMware SD-WAN のユースケース

多くの企業が、帯域幅コストの増加とネットワーク展開の複雑性に直面しています。VMware SD-WAN by VeloCloud は、それらの課題を解決します。