【自分メモ】 SASE（Secure Access Service Edge）とは

※自分メモです。閲覧してくれている方は、自己責任で活用下さい。
#用語整理 #ゼロトラストネットワーク #ZeroTrust #ZeroTrustNetwork #セキュリティ #ネットワーク #とは

# SASE（Secure Access Service Edge）とは

2019年8月に米ガートナー社のレポート「The Future of Network Security Is in the Cloud」にて定義されたフレームワークで、SASE(サシー)と呼びます。

SASEフレームワークを実現する製品は、クラウドでのサービス(SaaS)提供を基本とします。ネットワークセキュリティ機能とWAN機能の両方を提供することで、企業や組織の動的なセキュアアクセスニーズに応える様々な機能を提供します。
※ネットワークセキュリティ機能：Web Secure Gateway、Cloud Access Security Brokers、FW as a Service、Zero Trust Network Accessなど
※WAN機能：DS-WAN、Content Delivery Networkなど

SASE combines network security functions (such as SWG, CASB, FWaaS and ZTNA), with WAN capabilities (i.e., SDWAN) to support the dynamic secure access needs of organizations. These capabilities are delivered primarily aaS and based upon the identity of the entity, real time context and security/compliance policies.
※参考１より

# SASEの考え方が生まれた背景

SASEの考え方が提唱された背景としては、IT革新によりクラウドサービスが広く普及したことで、従来までのデータセンター中心のネットワーク構成が利便性を損ねている、阻害要因になっていることがあります。
<具体例>
・データセンターに通信が集中することによる遅延や負荷増大
・持ち出し端末(テレワーク端末)が直接インターネット接続できない
・クラウドサービスを利用するためにデータセンター経由が必須
・クラウド上(社外)の情報保護

<組織の現状>
・社内ネットワーク内よりも、社内ネットワーク外で利用されるデバイスやユーザが増加している
・DC内のワークロード(仮想環境)よりも、IaaSなどのクラウド上のワークロードを利用する企業が増えている
・ローカルブレイクアウト(LBO)により社内を経由せずにSaaS経由で利用されるアプリケーションが増加
・SaaS上に重要な情報を保持するケースの増加

(下図：参考２より)

そうした中でDX推進に向けてクラウドサービスをより積極的に利用していくために、クラウド中心であらゆる場所から安全にアクセスすることが可能なネットワーク構成に変えていこうという流れの中で生まれた考え方です。
クラウド上で従来データセンターで提供していたネットワークやセキュリティ機能を提供することで、オフィスからの通信も持ち出し端末からの通信も同レベルで一貫した対策を行うことを可能にします。

つまり、端末や利用者のロケーションに依存しないセキュリティの提供を実現するのがSASEです。

# SASEのメリット

・コストおよび複雑さの軽減
・アジリティ
・パフォーマンスとレイテンシーの改善
・汎用性と透明性
・ZTNAの有効化
・ネットワーク要因やネットワークセキュリティ要因の効率化
・ポリシーの一元化とローカルでの執行

# SASEを実現する製品選定での注意点

SASEは非常に新しい概念、考え方です。
そのため、多くの製品ベンダにおいて新たにSASE製品を開発、実装中というのが2020年前半時点での実態です。

2019年まででSASEフレームワークを完全に満たすベンダは存在しないと言われていますが、2020年以降では数社で実現できそう、というのが現状のようです。

現状、SASEのために必要な機能の大部分を提供できるベンダもいくつかありますが、中には複数製品の組み合わせで実現する、つまり単一のプラットフォームとして提供されておらず、機能間の連携も全くできない製品も含まれます。

基本的にSASEは単一ベンダで実現することが望ましいと言われており、しっかりとした将来性と機能提供がされている製品選定が必要です。

<以下追記2021年1月時点>
2020年１年間で多くのベンダでSASEについての啓蒙やアピールが行われていることを目にした。
いずれの企業もクラウドゲートウェイの活用という点を推しているが、主観としては日本の企業が社内ネットワーク内の業務システムを全てSaaS上に移行することは不可能で、必ず一部の社内システムが社内ネットワーク内で継続的に利用されることになると予測されます。テレワークを中心としても各支店や特に店舗、工場は必要になるため、SASEを効果的に実現するためにはSD-WAN/SD-LANとの組み合わせが重要になるはず。
※現状ここまで踏み込んだ資料や、セミナーはほとんど目にしませんが。。。

2020年によく目にしたベンダとその特徴は以下の通り。
・zscaler(ゼットスケーラー)
１番目にすることが多かった印象。
クラウドゲートウェイ系の製品、SD-WANの提供は現状なさそう。
・Palo Alto Prisma
クラウドゲートウェイ形の製品、従来までのPAシリーズと組み合わせたSD-WANも提供可能では？(そこまで調べていないので憶測です。)
CORTEXシリーズでXDRも実現しているので、揃っているラインナップとしてはかなり面白い。
・VMware VeloCloud
どちらかというとSD-WAN推しの製品。SASEとしても注力しているようでいくつかのイベントでは見かけた印象。
・Forcepoint DEP(CSG/PA)
あまり聞かないが、もともとForcepointが持っている製品ラインナップ的にはSASE/SD-WANを十分実現できるのでは？とは。
<ここまで>

# SASEとZTNAの違い

SASEとZTNA(Zero Trust Network Access)は非常に似たような話に聞こえますがこの違いは何か。

Zero Trust Networkは"全ての通信が信用できないことを前提にあらゆるログの記録と検索を行う"というゼロトラストを実現するものであり、データを守ることを目的にした考え方を指します。

一方SASEは、端末や利用者のロケーションに依存しないセキュリティの提供を実現するものです。当然セキュリティ提供なのでデータを守るというのも目的になります。なのでZTNAもSASEのために重要な対策の一つです。

つまりSASEはZTNAよりもより広い範囲をカバーする考え方、対策です。

# 参考情報・参考文献

参考１：Gartner Blog

Say Hello to SASE (Secure Access Service Edge) - Andrew Lerner

参考２：Secure SketCH

SASEとは？オールインワン製品でDX推進に向けた効率的なセキュリティ投資を！

参考３：サイバーセキュリティ.com

SASE（Secure Access Service Edge）とは？仕組みやメリットについて徹底解説

参考４：McAfee

SASEとは Secure Access Service Edge | McAfee

# 参考記事

Zero Trust Network