Zero Trust SASEとSD-WANの比較

SD-WANとは

ソフトウェア定義型広域ネットワーク(SD-WAN)は、さまざまな接続タイプを経由してトラフィックをルーティングすることで、オフィス、データ センター、ユーザーを各拠点間で接続し、MPLSなどの高額な専用回線を回避します。これにより、パフォーマンスを最適化し、遅延を削減します。また、IT部門はネットワークを集中管理し、アプリケーションの優先順位を付け、接続を監視できるようになります。

こうしたメリットがあるにもかかわらず、SD-WANは最新のサイバー脅威対策能力が限られており、組織をさらなるリスクにさらします。

記事全文を読む：SD-WANとは

SD-WANのゼロトラストへの整合性

従来のSD-WANは本質的に、ゼロトラストを念頭に置いて設計されていませんでした。ゼロトラストでは、すべてのエンティティーがすでにネットワーク内に存在する場合でも、アイデンティティーやセキュリティ態勢などの属性に基づいて継続的に検証されます。一方、SD-WANは、ネットワークに接続されたすべてのユーザーやデバイスに暗黙のうちに信頼します。

SD-WANは接続性と管理性を向上させますが、サイバー リスクを抑制できません。その結果、多くのSD-WANの展開では拠点のファイアウォールが追加で必要となり、コストと複雑さが増大します。これを踏まえて、SD-WANがゼロトラストの原則に整合しない具体例を以下に紹介します。

• 脅威のラテラル ムーブメント：SD-WANはユーザーとアプリ間の通信を容易にするためにすべてのオフィスに企業ネットワークを拡張します。ただし、これによりすべての拠点間で信頼が拡張されます。たとえば、感染した拠点のカメラがデータ センターのアプリにアクセスし、機密データが危険にさらされます。
• 攻撃対象領域の拡大：拠点のすべてのユーザー、IoTデバイス、ファイアウォールは攻撃対象領域となります。これらのいずれかが脅威アクターに侵害されると、ネットワーク全体が侵害されます。このようにしてランサムウェア攻撃は始まり、組織内で急速に拡散するのです。
• 複雑なセキュリティ：SD-WANではデータ保護のためにファイアウォールや仮想プライベート ネットワーク(VPN)などの追加のセキュリティ ツールが必要です。複数のツールを使用することで、コスト、複雑さ、管理負荷が増大します。

SASEとは

セキュア アクセス サービス エッジ(SASE)は、クラウド上で提供される統合型ネットワークおよびセキュリティ フレームワークです。SASEは次のものを組み合わせています。

• SD-WAN:拠点間を接続し、トラフィックを効率的にルーティングすることでパフォーマンスを最適化します。
• セキュアWebゲートウェイ(SWG): Webトラフィックを保護し、リアルタイムで脅威を防ぎます。
• ゼロトラスト ネットワーク アクセス(ZTNA):アイデンティティーベースのアクセス制御でプライベート アプリを保護します。
• クラウド アクセス セキュリティ ブローカー(CASB):SaaSの利用を制御し、リスクを軽減しながら、コンプライアンスを確保します。
• 情報漏洩防止(DLP):データを監視し、漏洩や不正アクセスを防止します。
• Firewall as a Service (FWaaS):トラフィックを検査し、脅威対策ポリシーを施行します。

SASEはアクセス管理を簡素化し、拡張性を高める手段として、現代のデジタルファーストな組織にとって魅力的なソリューションです。ただし、ほとんどのSASEソリューションはSD-WANに依存しているため、SD-WANに起因するネットワークベースのセキュリティ上の欠陥が数多く存在します。

記事全文を読む：SASEとは

SASEのゼロトラストへの整合性

SASEとゼロトラストはどちらもセキュリティを向上させ、リモート ワークやクラウドの導入を容易にすることを目的としています。しかし、SASEだけでは、そのアーキテクチャーがネットワーク境界を重視し続ける限り、ゼロトラストの原則を完全にはサポートできません。

SASEは通常、必要なアプリケーションがホストされているネットワークにユーザーを接続しますが、これは最小特権アクセスというゼロトラストの原則に反します。さらに、ほとんどのSASEアーキテクチャーで使用される標準的なSD-WANは、境界ベースのファイアウォールに依存しています。多くのZTNAソリューションでも、「ゼロトラスト」という名称にもかかわらず、ユーザーに広範なネットワーク アクセスを許可しており、アプリへの直接接続を提供していません。

このように、SASEは最新のフレームワークのように見えても、従来のアーキテクチャーの制限を引き継いでしまいます。その結果、いくつかの領域で次のようなリスクが生じます。

• 攻撃対象領域の拡大：IPアドレスがインターネットに公開され、ハッカーが発見して悪用し、ネットワークに侵入できるようになります。
• トラフィック検査のギャップ：特に暗号化されたトラフィックに対して、ハードウェアベースや仮想ファイアウォールの処理能力の制限によって検査のギャップが生じます。
• ラテラル ムーブメントのリスク：脅威アクターや攻撃がシステム間を移動し、より多くの環境が危険にさらされます。

ゼロトラストと完全に整合させるには、SASEのSD-WAN接続をネットワークに依存せず、エンティティーを必要なアプリやサービスに直接接続し、きめ細かなコンテキスト認識型ポリシーを施行する必要があります。それによって初めて真のZero Trust SD-WANが実現され、Zero Trust SASEの基盤となります。

Zero Trust SASEとは

Zero Trust SASEはZero Trust SD-WANを活用し、ネットワーク指向の信頼モデルへの依存を排除します。完全なゼロトラスト アーキテクチャーに基づいて構築されており、拠点、データ センター、クラウドのすべてのエンティティーに対してアプリやデータへのゼロトラスト アクセスを拡張します。

• すべてのエンティティーに対する最小特権アクセス制御の適用：ユーザー、アプリ、デバイス、システムに適用します。
• 暗号化されたデータ トラフィックをリアルタイムで100%検査：スケーラブルなクラウド ツールで検査します。
• 必要なリソースへのエンティティーの直接接続：ネットワークの拡張やIPアドレスの公開を伴うことはありません。

Zero Trust SASEのメリット

Zero Trust SASEは、ユーザー、アプリケーション、システムをより安全かつ効率的に保護する方法を提供します。

• 運用の俊敏性向上：複雑で時間のかかるネットワーク統合を行うことなく、新しい拠点の接続や買収統合を実現します。
• 攻撃対象領域の縮小：コンテキスト認識型ポリシーとIPアドレスのクローキングにより、システムの悪用を防止します。
• トラフィックの完全な可視化：暗号化トラフィックと非暗号化トラフィックをリアルタイムで100%検査し、死角を排除します。
• 脅威のラテラル ムーブメントの防止：アプリへの直接接続により、ラテラル ムーブメントを抑制し、不正アクセスを防ぎます。

SASEとゼロトラストの未来

Zero Trust SASEは、従来のSD-WANや 旧型ネットワーク システム、および暗黙の信頼によって生じた現代のセキュリティ ギャップを解消します。正確なコンテキスト認識型ポリシーでリスクを軽減し、アプリケーションやリソースへの安全な直接接続を提供します。

Zero Trust SASEは、次の方法でITを簡素化し、エコシステムを保護して、安全なデジタル トランスフォーメーションを導入できるようにします。

• クラウドファーストのアーキテクチャー：ITプロセスを統合し、複雑さを軽減して、すべての場所でシームレスなクラウド導入を加速させます。
• 完全なインラインTLS/SSLインスペクション：リアルタイムの脅威対策を提供し、暗号化されたデータを含む100%のトラフィックにおいてデータ損失を防止します。
• トラフィック ルーティングの最適化：主なサービス プロバイダーとのグローバル ピアリング契約を通じて、高速で信頼性の高いアクセスを確保します。
• ゼロトラスト通信：ネットワークを脅威アクターに公開することなく、ユーザー、拠点、ワークロードを安全に接続します。
• 攻撃対象領域の排除：IPアドレスや重要なインフラを許可されていないユーザーから不可視化し、侵害が発生する前に防止します。