SASEとCloudflare Oneのサービスについてまとめてみた ~全体像~
今や、DXへの注目が高まる中、SASE(サッシー)という言葉がバズワードのように扱われるようになってきました。(ゼロトラストとかもですよね。。)
SASEについて触れつつ、CloudflareのソリューションではどのようにSASEを実現しているのか見ていきたいと思います。
SASE
そもそもサッシーってなんぞや?というところからですが、Secure Access Service Edgeの略になります。これはマーケティングリサーチ会社であるガートナー社が考え出した概念になります。
ユーザーが利用するツールやサービスがクラウド化していく中、さらに働き方の多様性により従来のオンプレミスから信頼されていない(エンタープライズ外)のロケーションからアクセスする必要が出てきたため、アクセス経路自体をクラウドに移行しクラウドエッジコンピューティングによるセキュアで高速な通信を実現するためのサービスを提供する必要があると考えるようになりました。それを提供するモノがSASEになります。
要は、どこからでもアクセス可能なセキュアで高速なネットワークです。
SASEを実現するための機能として、必須、推奨、オプショナルと3段階の機能が定義されています。
ガートナーが提唱する機能一覧です。
| 必須機能 | 推奨機能 | オプション機能 |
|---|---|---|
| Secure Web Gateway (SWG) | Network sandbox | Wi-Fi hot spot protection |
| CASB | DNS Protection | Network obfuscation or dispersion |
| ZTNA | API-based access to SaaS for data context | Legacy VPN |
| SD-WAN | Support for managed and unmanaged devices | Edge compute protection |
| Remote Browser Isolation | Web application and API protection | |
| FWaaS | Enhanced internet and/or private backbone transport | |
| Sensitive-data and malware inspection | Content Delivery/Caching (CDN) | |
| Line rate operation | External DNS |
各機能の概要イメージ
(データ元: Published 24 June 2022 Gartner®: 2022 Strategic Roadmap for SASE Convergence)
ガートナーは優先度をつけてこれらの機能を実装していくことを推奨しており、SASEを提供する各ベンダーもそれぞれの分野での特徴を持っています。
SASEの主要機能
この後で扱う主要なSASE機能の中身について確認しておきましょう。
SWG(Secure Web Gateway)
- クラウドサービスとしてプロキシ機能を提供
- URLフィルタリング、アプリケーションフィルタリング、アンチマルウェアスキャン、サンドボックス機能
- CASBやDLPの機能が組み込まれたものもある
CASB(Cloud Access Security Broker)
- 企業が認可していないSaaSやユーザーが持ち込む端末などのシャドーITを可視化して、制御
ZTNA(Zero Trust Network Access)
- ゼロトラストセキュリティモデル(従来の境界型セキュリティではなく、ネットワークの内側・外側の両方に脅威が存在することを前提としたITセキュリティモデル)の導入を可能にする技術
- 以下のような観点でアクセスするリソースが正規なものであるか確認
- アクセスしてきたデバイスが社内承認済みのものかどうか
- デバイスに最新のセキュリティ対策ソフトウェアがインストールされているか
- デバイスがマルウェアに感染していないか
- ID/パスワードは正規のユーザーが利用しているか
- デバイスが通常と違うロケーションからアクセスしていないか
- 利用しているクラウドサービスに脆弱性がないか
- 不審な振る舞いが発生していないか
SD-WAN(SoftwareDesigned-WAN)
- ネットワークをソフトウェアで制御するSDN技術を用いたWANの構築
- 柔軟で効率の良いトラフィックルーティング
- トラフィックの種類によって利用する回線を使い分ける
- 拠点間接続
- ローカルブレイクアウトなど
RBI(Remote Browser Isolation)
- クラウド上に分離された仮想ブラウザーの描画結果情報のみを受け取り、悪性なファイルやコードの侵入を不可能にする
FWaaS(Firewall as a Service)
- クラウド上にホストされたFWサービス。NGFW(Next-Generation Firewall)の機能も兼ね備えたものもある
Cloudflare One
続いてCloudflare Oneとは何か見ていきましょう。
そもそもCloudflareは世界最速のDNSと業界最高クラスのCDNを提供していることでよく知られておりますが、これらの強大なクラウド基盤を利用して、SASEを実現するためのサービスを展開しています。 このSASEを提供するためのCloudflareプラットフォームをCloudflare Oneと呼びます。
また、Cloudflare社の創設者であるマシュー・プリンスとリー・ホロウェイはプロジェクトハニーポット*1の生みの親でもあります。Cloudflare社はハニーポットとともに成長してきたため、Cloudflareの提供するSASEは前述のように高速ネットワークと高いセキュリティに強みを持っていることがうかがいしれます。
*1 ハニーポットとなる囮ウェブサイトを用いてスパムメール攻撃の研究と情報提供を行っているプロジェクト
Cloudflare Oneが提供するサービス
まずCloudflare Oneは大きく2つに分けて、ゼロトラストサービスとネットワークサービスを提供します。
ゼロトラストサービスはSASEの概要イメージでいうところのおおよそSecurity Services Edgeにあたります。また、ネットワークサービスはSASEの概要イメージでいうところのおおよそWAN Edge Servicesにあたります。
ゼロトラストサービスでは主にSASEのSWG、CASB、ZTNA、RBI(Remote browser isolation)の機能を提供しており、Cloudflare Access、Cloudflare Gatewayという2つのサービスにより実現します。
ネットワークサービスでは主にSASEのSD-WANとFWaaSの機能を提供しており、CloudflareのMagic Transit、Magic WAN、Magic Firewallという3つのサービスにより実現します。
その他、SASEの機能一覧のSensitive-data and malware inspection、Line rate operation、DNS protection、Web application and API protectionなどなどは複数のCloudflare サービスでその機能を実現しているため、マッピングしませんでしたが、ほぼ全てのSASE機能をCloudflare Oneで実現しています。
次回
今回はSASEの機能とCloudflare Oneの全体像について整理しました。次回はCloudflare Oneの各サービスの詳細内容についてご紹介したいと思います。
