クラウド サービスの多層防御と SASE、SSE、クラウド サービスの相互関係

セキュリティにおける最大の課題の 1 つは、多層防御を適切に構築することです。クラウドを組み合わせる場合、適切なツールを使用しないと失敗することになります。

ここでフレームワークが役立ちます。クラウド セキュリティ戦略の改善に役立つあらゆる議論とリソースが重要です。

これこそが、SASE (および SSE) が実現するものです。

1. 課題

ここでの課題はクラウドへのアクセスを保護することですが、クラウドとは何でしょうか?クラウド コンピューティングには多くのモデルがありますが、この記事では企業が制御できないモデル、つまり SaaS に焦点を当てます。

ユーザーとこれらのサービスの間に配置できるテクノロジーは数多くあります。

2. 定義

まず SASE と SSE を定義し、次にこれらが絡み合う部分について詳しく見ていきましょう。

（１）サービスエッジへの安全なアクセス

これは、ガートナーが定義したフレームワークと用語であり、データセンターではなくクラウド内のあらゆる場所のユーザー、システム、エンドポイントを保護するためのテクノロジを表します。

2019 年にベンダーが SD-WAN ソリューションの使用方法を理解し始めたとき、SASE は業界で評判を博し、ベンダー全員がこれが SASE への道であると主張しました。

SASE ベンダーによると:

セキュア アクセス サービス エッジ (SASE) は、ユーザー、システム、エンドポイント デバイスなどのエンティティを、どこにでも存在するアプリケーションやサービスに安全に接続する、ガートナーが定義したフレームワークです。重要なのは、SASE はテクノロジーではないということです。

ガートナーは、2019 年のレポート「クラウドにおけるサイバーセキュリティの将来」で、SASE フレームワークを「包括的なサイバーセキュリティ機能 (SWG、CASB、FWaaS、ZTNA など) を備えた包括的な WAN 機能を提供し、デジタル企業の動的な安全なアクセスのニーズをサポートする」クラウドベースのサイバーセキュリティ ソリューションと定義しています。

SaaS の図を振り返ると、SASE は次のようになります。このアクセスを保護するために、さらに多くのレイヤーとサービスが存在する可能性があります。

（２）セキュリティサービスエッジ

これは Gartner によって造られた別の用語です。これは、SASE のロードマップを示した Gartner のドキュメントで初めて言及されたため、SSE が SASE フレームワークの副産物であるか、何らかの形で関連していると考えるのが妥当です。

彼ら自身の言葉で言うと：

セキュア サービス エッジ (SSE) は、Web、クラウド サービス、プライベート アプリケーションへのアクセスを保護します。機能には、Web ベースおよび API ベースの統合によるアクセス制御、脅威保護、データ セキュリティ、セキュリティ監視、許容使用制御が含まれます。 SSE は主にクラウドベースのサービスとして提供され、オンプレミスまたはエージェントベースのコンポーネントが含まれる場合があります。

Palo Alto 社も、これについて少し異なる方法で説明しています。

セキュア サービス エッジ (SSE) は、Web、クラウド サービス、プライベート アプリケーションへのアクセスを保護します。機能には、Web ベースおよび API ベースの統合によるアクセス制御、脅威保護、データ セキュリティ、セキュリティ監視、許容使用制御が含まれます。 SSE は主にクラウドベースのサービスとして提供され、オンプレミスまたはエージェントベースのコンポーネントが含まれる場合があります。

SSE は、Access コンポーネントのない SASE のサブセットであり、図では次のようになります。

（３）SASEとSSE

これらにはいくつかの違いがあり、基本的に SSE はクラウド セキュリティのサービス部分に重点を置いています。ベンダーは独自の定義に偏りがあるかもしれませんが、Zscaler の SSE の定義は次のとおりです。

SSE は、セキュリティ サービスに完全に焦点を当てたアーキテクチャを備えた、Secure Access Service Edge (SASE) フレームワークのサブセットと考えることができます。

Secure Service Edge には、次の 3 つのコア サービスが含まれます。

• セキュア Web ゲートウェイ (SWG) によるインターネットと Web への安全なアクセス
• クラウド アクセス セキュリティ ブローカー (CASB) による SaaS およびクラウド アプリケーションへの安全なアクセス
• ゼロトラストネットワークアクセス（ZTNA）でプライベートアプリケーションへのリモートアクセスを保護する

（4）クラウドサービス

これらのフレームワークはどのクラウド サービスを保護できますか?実際、これらは、IaaS、PaaS、SaaS サービスなど、あらゆるクラウド モデルに適用されます。

一方、CASB や SWG などの制御は、SaaS またはインターネット トラフィックの検査に特に重点を置いています。これは、クラウドへのユーザー アクセスに非常に関連しています。

SD-WAN サービスは、インフラストラクチャ自体ではなく、クラウド サービスのユーザー エクスペリエンスにもメリットをもたらします。ただし、インフラストラクチャは WAN 最適化や SaaS アクセラレーション コンテンツからメリットを得ることができます。

ZTNA など、SASE について言及されている制御の一部は、もちろん、IaaS や PaaS を含む SaaS 上のあらゆるクラウド モデルに非常に関連していることに注意してください。ただし、SASE ではいくつかの重要な IaaS と PaaS が除外されます。この記事の前半で説明したように、これらのプラットフォームでは追加の制御セットが必要になります。 IaaS および PaaS の追加制御には、CSPM、情報管理、アーカイブ、CWPP などがあります。

たとえば、Microsoft は SaaS の情報セキュリティ、コンプライアンス、データ分類、ラベル付けなどに対して複数の制御を提供しています。さらに、IaaS および PaaS セキュリティについては、ワークロード保護と CSPM (Cloud Defender) によって、これらの課題に対して幅広く詳細な制御を提供しています。

3. 結論

SASE は、アクセス層から始まるクラウド サービスへのアクセスを保護するための包括的なフレームワークです。 SSE は、このセキュリティ メカニズムのサービス コンポーネントに重点を置いています。

どちらも、企業が効果的な多層防御戦略とクラウド コンピューティング、特に SaaS アプリケーションを遵守できるようにガイドするフレームワークです。

ただし、これらはエンタープライズ クラウド ワークロードを保護するために必要なすべてではありませんが、エンタープライズ環境を保護するための全体的なアプローチの一部です。