「機能は便利ですが、結局のところ、Webとクラウドのセキュリティに関して配慮すべきなのはアーキテクチャです。」 –こんなことを言うお客様はこれまではいませんでした。
実際、最新かつ最高のサイバーセキュリティテクノロジーを購入する際にアーキテクチャについて話すのは好まれません。ほとんどの組織は、新しいセキュリティツールと機能を既存の従来のアーキテクチャに引き続き適合させることに満足しています。ただし、クラウドの移行やユビキタスモバイルアクセスなどのデジタル変換プロジェクトにより、アーキテクチャの亀裂が明らかになり、この数か月間でリモートアクセスの需要が急増したことで、多くの企業がダムの破裂を見てきました。その結果、組織は、デジタル変革には、対応するネットワークとセキュリティアーキテクチャの変革が必要であるという認識に近づいています。
セキュア アクセス サービス エッジ(SASE)フレームワークは、ネットワークとセキュリティテクノロジーをWebおよびクラウドリソースへの高速、安全、且つ信頼性が高く費用対効果の高いアクセスを保証する、単一のクラウド配信サービスに統合することにより、この変革を実現するモデルを組織に提供します。
このブログでは、リモートオフィスに焦点を当て、SD-WANとMVISION UCEが提供する次世代のセキュアWebゲートウェイ機能を組み合わせることでSASEを実現し、デジタルトランスフォーメーションを実現する方法を説明します。
目次
クラウドとアーキテクチャのジレンマ
以前は、組織は主に限られた数の場所に集中していました。そのためアプリケーションとデータは、ローカルエリアネットワーク上の中央のデータセンターの場所にあるサーバー(通常は本社またはその近く)でホストされ、通常、ユーザーはオフィスで働いていたため、オフィスから同じネットワーク上の企業リソースにアクセスしていました。このネットワークの周囲には、組織に出入りするすべてのトラフィックを検査して、信頼できるリソースを安全に保ち、悪意のある人を排除できるセキュリティ制御の境界がありました。リモートユーザーとブランチオフィスは、VPN、MPLS、専用線などのテクノロジを介してこの中央ネットワークに論理的に接続されているため、安全なネットワーク境界を維持することが可能です。
このアプローチは何年もの間十分でしたが、デジタル変革は大きな課題を生み出しました。アプリケーションとデータストレージはクラウドに移行されたため、企業ネットワークに存在しなくなりました。 ロジックとしては、リモートユーザーや事業所からのアクセスが、企業ネットワークを経由せずにクラウドリソースに直接アクセスできるようにするのが最適なアプローチであることを示しています。ただし、これにより組織のITセキュリティ境界が完全に回避され、セキュリティの可視性と制御が失われ、許容できないセキュリティとコンプライアンスのリスクが発生します。
したがって、あらゆる場所のネットワークおよびセキュリティアーキテクトが同じジレンマに直面しています。大きな妥協なしにデジタルトランスフォーメーションを実現するための最良の方法はどうすればよいでしょうか。組織は一般に、新しいテクノロジーを採用してそれらを統合する意欲に基づいて、次の4つのアーキテクチャアプローチのいずれかを実行しています。
ここでは、これらの4つのオプションについて説明し、セキュリティ、速度、遅延、およびコストという4つの要素に基づいて評価します。結果は、Webおよびクラウドリソースへの高速、安全、かつ費用対効果の高いアクセスを実現する唯一の方法があることを示します。
アプローチ1:Status Quo
セキュリティの可視性と制御を失うリスクがあるため、多くの組織は「Direct to Cloud」の再設計を許可することを拒否しています。したがって、高速インターネットリンクがユーザーをクラウドおよびWebリソースに直接接続できる場合でも、このアプローチでは、すべてのトラフィックが低速のMPLSリンクを介して企業ネットワークにプッシュされ、単一の集約されたインターネットパイプを経由して戻ってWebおよびクラウドリソースにアクセスする必要があります。 これは理論的にはセキュリティの可視性と制御を維持しますが、多大なコストがかかります。
まず、ユーザーエクスペリエンスは、パフォーマンスの低下によって大きく阻害されます。帯域幅は、企業のオフィスへのMPLSリンクが遅いことや、企業のインターネット接続が混雑していることが原因です。さらに、追加のネットワークホップと増加したネットワークの競合により高遅延が発生します。これは、企業ネットワークを介したリモートトラフィックのバックホールの量が当初の設計の期待をはるかに超えて爆発的に増加したため、ここ数ヶ月で大幅に増幅されました。これらの要因は、ネットワークアーキテクチャに単一障害点を導入することによって引き起こされるサービス中断の潜在的な影響さえ考慮していません。
パフォーマンスの低下に加えて、このアプローチに関連する明白な財務コストがあります。ブランチオフィスを企業のデータセンターに接続する複数のMPLSアクセス回線は、パブリックインターネット接続よりもかなり高価です。さらに、すべてのユーザートラフィックのルーティングに対応するために、組織は中央ネットワークとセキュリティ境界インフラストラクチャの容量、および共有インターネットパイプの帯域幅への投資を劇的に増やす必要があります。
したがって、スピード、レイテンシ、コストの課題に対する長期的な答えを見つける必要があります。これらの考慮事項が、多くのネットワークアーキテクトがSD-WANの展開を進めるきっかけになっています。
アプローチ2a:SD-WANでクラウドに直接移動する
クラウド対応アーキテクチャを提供する最初のステップは、すべてのトラフィックを低速のMPLS網を介して中央ネットワークにルーティングし、その後クラウドに戻すことで発生するボトルネックを取り除くことです。SD-WANテクノロジーはこの点で役立ちます。SD-WAN機器をブランチネットワークのエッジに導入することにより、高速で手頃な価格のインターネット接続を使用して、トラフィックをWebおよびクラウドリソースに直接ルーティングする最適化されたトラフィックポリシーを作成でき、同じインターネット接続を使用して、動的なVPNトンネルのセットを介して、データセンターに向かうトラフィックのみを企業ネットワークに直接送り返します。WAN最適化とQoS、およびその他のさまざまなエッジネットワークとファイアウォールフィルタリングなどのセキュリティ機能は、ネットワークエッジでの実行に適しているため、中央ネットワークのトラフィックの負荷を最小限に抑えながら、最も高速で信頼性の高いユーザーエクスペリエンスを提供します。
SD-WANを採用することで、ネットワークアーキテクトは、企業のデータセンターに戻る高価なMPLSリンクを排除することで、大幅なコスト削減を実現できます。さらに、ユーザーは、これらのMPLSアクセス回線の非常に遅い帯域幅に制約されません。
ただし、このモデルには大きな欠点があります。SD-WANソリューションは、ファイアウォール、DNS保護、データ難読化など、各リモートサイトに配布できる多数の強力なフロー制御機能を備えていますが、組織がネットワーク境界セキュリティに組み込んだのと同じ堅牢なデータおよび脅威保護機能はありません。そのため、そのトラフィックが最終的にインターネットに直接戻ることになる場合でも、アーキテクトは、インターネット上のすべてのトラフィックをデータセンターにバックホールする必要があります。したがって、この接続の速度と費用対効果は以前のモデルと比較して大幅に改善されていますが、トラフィックのバックホールを継続する必要があるため、同じ遅延と輻輳の問題が生じます。
アプローチ2b:MCAFEE MVISION UNIFIED CLOUD EDGE
したがって、組織がセキュリティの可視性と制御を維持するためにトラフィックパスを企業のデータセンターに戻す必要があるが、ユーザーがアクセスするリソースの大部分がクラウド内にある場合、クラウド内のセキュリティ制御をより直接的で安全なトラフィックパスに配置することは理にかなっていますか? McAfee MVISION Unified Cloud Edgeを導入してください。
MVISION UCEの次世代セキュアWebゲートウェイは、クラウドネイティブで超高速、99.999%の信頼性、ハイパースケールのセキュアエッジを提供します。MWGION UCEは、SWG、CASB、DLP、およびリモートブラウザー分離技術を統合することにより、リモートユーザーおよびオフィスが、脅威、データ、およびクラウドアプリケーションの保護の最も高度なレベルを享受し、さらに、それを超えるユニークな予防的リスク管理機能を享受できるようにします。従来のオンプレミスのセキュリティフレームワークでは可能です。
高度なセキュリティ機能と同じくらい重要なのは、MVISION UCEが高速で信頼性が高くスケーラブルな基盤に基づいて構築されていることです。グローバルなPoint of Presence(POP)ネットワークと独自のピアリング関係のおかげで、MVISION UCEはユーザーが必要とするところならどこでも、ハイパースケールのセキュアエッジを拡張できます。2020年の春に240%のトラフィックの急増にもかかわらず、McAfeeは99.999%の可用性を維持でき、SLAで規定されているすべての遅延要件を満たしました。組織は最も困難な時期にインフラストラクチャに頼ることができ、今後もそうすることができます。
ブランチサイトで手頃な価格のパブリックインターネット接続に加入し、MVISION UCEに接続することで、顧客は多くの望ましい利点を実現できます。MVISION UCEの包括的なデータ、脅威、およびクラウドアプリケーション保護機能は、セキュリティ要件を満たすだけではありません。また、Webまたはクラウドを宛先とするユーザートラフィックの大部分では、直接インターネット接続により、高速で低遅延のアクセスが保証されます。
ただし、UCEと組み合わせてSD-WANを展開しなくても、組織は従来のデータセンターアプリケーションおよびリソースへの接続を維持するために、低速で高価なMPLSリンクを必要とします。したがって、お客様はコスト削減を実現することができず、データセンターのリソースへのそれらの接続は、同じ速度と遅延の問題に苦しむことになります。そして、最終的に理想的なクラウドセキュリティアーキテクチャに到達し、MVISION UCEとSD-WANを統合します。
アプローチ3: MVISION UCE + SD-WAN = SASE
MVISION UCEとSD-WANをシームレスに統合されたソリューションに統合することで、組織はSASEを提供し、クラウド時代に適したネットワークセキュリティアーキテクチャを構築できます。マカフィーは、業界標準の動的IPSecおよびGREプロトコルを活用し、SD-WAN接続の強力なネイティブサポートを介して、MVISON UCEを事実上すべてのSD-WANソリューションに簡単に統合できるようにします。この統合により、SD-WANが統合されたネットワーキング機能を提供し、MVISION UCEがセキュリティ機能を提供することで、お客様はSASEの重要な機能の全範囲からメリットを得られます。マカフィーは、チャネルパートナーが市場の主要なSD-WANベンダーの多くとの共同SD-WAN-cloud SWGプロジェクトを成功裏に提供することをサポートしており、セキュリティイノベーションアライアンス(SIA)を通じて業界リーダーとの緊密な提携を築いてきました。
では、UCE-SD-WANを組み合わせたソリューションは、4つのアーキテクチャ要件をどのように満たすのでしょうか。セキュリティは、UCEの脅威、データ、およびクラウドアプリケーション保護機能と、SD-WANによって提供される分散ファイアウォール機能によって明確に対処されます。単一の高速インターネット接続を使用することにより、SD-WANはインテリジェントかつ効率的にトラフィックをクラウドリソースに直接ルーティングしたり、企業のデータセンターに戻したりできます。MVISION UCEがクラウドで直接セキュリティを提供することにより、SD-WANは、過度の遅延なしに、ウェブおよびクラウド向けのトラフィックを直接転送できます。コストの節約は、高価なMPLS回線を削除することで実現されます。また、大部分のトラフィックは企業のデータセンターを経由してバックホールする必要がないため、中央ネットワークの帯域幅とインフラストラクチャの容量を削減することで、さらに節約できます。
クラウド対応のネットワークセキュリティアーキテクチャを今すぐ構築
デジタルトランスフォーメーションは、次の大きな技術革命を表しています。クラウドに移行し、高速、安全、シンプル、かつ信頼性の高いアクセスで分散した従業員に力を与える組織の能力は、新しい時代の成功を左右するでしょう。SASEは、セキュリティの可視性と制御、パフォーマンス、複雑さ、またはコストに妥協することなく、直接クラウドアーキテクチャを実現する最良の方法を表します。MVISION UCEソリューションをSD-WANとシームレスに統合することにより、組織がSASEをリモートオフィスに提供することがこれまでになく容易になりました。その結果、ユーザーは生産性が向上し、IT担当者は運用効率が向上し、企業は統合インフラストラクチャと最適化されたネットワークトラフィックの結果として、並外れたコスト削減を享受できます。
MVISION UCEとSD-WANの連携方法の詳細について、マカフィーと主要なSD-WANテクノロジーパートナーの1つであるSilver Peak Systemsが主催するウェビナーを9月22日よりご覧いただけます。登録はこちらからお願いいたします。
※本ページの内容は2020年8月23日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Transform your Architecture for the Cloud with MVISION UCE and SD-WAN
著者:Robert Arandjelovic