サービスエッジへの安全なアクセスを実現するクラウドネイティブ ネットワーキングの利点を理解する

クラウド ネイティブの重要性をより深く理解するために、クラウド配信のために同社のセキュア アクセス サービス エッジ (SASE) サービスをゼロから構築した Cato Networks の CEO、Shlomo Kramer 氏がこれについて説明しました。

ガートナーは昨年、「Secure Access Service Edge (SASE)」という用語を作り出した。あなたはその定義に同意しますか?

[[321598]]

クレイマー：私もその通りだと思います。 Cato Networks は、ネットワーク トランスポートとネットワーク セキュリティを統合し、クラウド コンピューティング サービスとして提供するというビジョンとして、Secure Access Service Edge (SASE) サービスを作成しました。 SASE が必要な理由についての議論は、トラフィック パターンが変化したため、本質的にはトポロジカルなものです。これまで、ネットワーク トラフィックは、企業のワークステーションを使用し、企業のデータ センターにあるアプリケーションに接続していたため、受信トラフィックでした。

つまり、セキュリティは実質的にはソフト コアの周囲に配置される「ハード シェル」です。エッジでのコンピューティングはセキュリティを提供し、その背後にあるすべての物理施設を保護します。今日では、交通パターンが変化しており、あらゆる場所にセキュリティを適用する必要があります。アプリケーションは AWS パブリッククラウドとオンプレミスの両方で構築され、従業員はオフィス、自宅、ホテルなど、どこにいても作業できます。そのため、企業資産があらゆる場所に存在するようになったため、そのセキュリティはもはや機能しなくなりました。セキュリティは異なる必要があり、あらゆる場所で統合される必要があるため、Secure Access Service Edge (SASE) の概念が生まれます。

MPLS やセキュリティ アプライアンスなどの従来のテクノロジーには他にどのような課題がありますか?

Kramer: MPLS の問題は十分に文書化されているため、この問題についてあまり時間を費やすことなく、多くの企業は、コストの高さ、導入に長い時間、俊敏性の欠如を理由に MPLS から移行したいと考えています。 MPLS はモバイル ユーザーやクラウド コンピューティング接続には機能しないため、組織は VPN サーバー、クラウド相互接続、その他のテクノロジを導入して、会社のすべてのリソースを接続する必要があります。

セキュリティに関しては、支社は常に大きな問題となっており、業界では唯一の解決策と考えられています。機器は購入、配備、保守、アップグレード、廃棄する必要があります。これらすべてには時間と労力がかかります。これらを相互に統合する必要があり、それにはより多くの時間とスキルが必要です。ほとんどのデバイスは個別の管理コンソールを通じて管理されるため、操作が複雑で困難になります。時間が経つにつれて、デバイスが追加され、複雑さが増していきます。さらに、トラフィックが急増したり、有効になっている機能が多すぎる場合は、予算サイクル外でアップグレードを行う必要があることがよくあります。デバイスの更新はリスクを伴い、慎重な計画が必要となるため、セキュリティ専門家はソフトウェア パッチの適用を遅らせることが多く、企業を危険にさらします。

しかし、よりスリムで機敏な組織を目指す企業にとって、セキュリティ アプライアンスのアーキテクチャは手間とコストがかかりすぎます。 VNF や仮想アプライアンスについても同様です。企業は依然としてそれらを導入、管理、拡張する必要があります。

クラウドネイティブ プラットフォームにはどのような利点がありますか?

Kramer: これらの問題は、セキュリティとネットワークの世界出身の Cato の共同設立者である Gur Shatz と私にとってはよく知られています。今後の適切なアーキテクチャを考えるとき、クラウド コンピューティングが当然の選択であるように思われます。また、クラウド コンピューティングがデータ センター、サーバー、ストレージ、アプリケーションの市場をどのように変えてきたかを見てきました。クラウド コンピューティングは、セキュリティとネットワークの面でも同様のことが可能だと考えています。

データセンターやサーバー向けの AWS パブリッククラウドのように、企業全体 (サイトだけでなく) だけでなく、リモートネットワーク、クラウドデータセンター、クラウドアプリケーション、サードパーティデバイスを保護し、それらをネットワーク化できるユーティリティを作成したいと考えています。企業がこのユーティリティを活用し、組織全体のすべての高度なセキュリティおよびネットワーク サービスにすぐにアクセスできるようになることを願っています。そのため、私たちは SD-WAN アプライアンスを、電気コンセントと同じように「Cato ソケット」と呼んでいます。このビジョンは、Secure Access Service Edge (SASE) の定義と一致しています。

当社では、アプライアンスを使用するのではなく、セキュリティとネットワークに関わる「重労働」を、グローバルな分散型クラウドネイティブ ソフトウェア プラットフォームにオフロードします。クラウドネイティブ ソフトウェアの場合、これはいくつかのことを意味します。実際、このトピックに関するブログ投稿でクラウド ネイティブの価値について説明しました。これには多くの利点があり、特にマルチテナントはゲームチェンジャーです。これにより、クラウド コンピューティング プロバイダーはコストを顧客ベース全体に分散できるため、顧客が機器だけを購入する場合には実現できない価格で製品を提供できるようになります。

このプラットフォームは、すべてのセキュリティ チェックを並行して実行する単一チャネルのセキュリティおよびネットワーク スタックを実行します。パケットは当社のソフトウェアによって渡され、解凍され、復号化され、その後、パケットを送信する前に必要なすべてのセキュリティ チェックが並行して実行されます。これは、今日の家電製品の動作方法と比較すると驚くべき変化です。現在、各デバイスはパケットを解凍して復号化し、ディープ パケット インスペクション (DPI) エンジンを実行してパケットを理解し、特定のセキュリティ チェックを適用し、次のデバイス用にパケットを再パックして再暗号化する必要があります。

グローバルプライベートネットワークがなぜ必要なのでしょうか?

Kramer: 企業は常に、ネットワークに対して予測可能で低遅延のパフォーマンスを求めています。これは、ブロードバンドを使用する場合、今日のグローバル インターネット ルーティングでは不可能です。グローバル ルート全体またはグローバル インターネットの未開発地域における予測不可能な遅延の問題は、グローバル インターネット地域内でもよく知られていますが、特定のルートに問題があることがわかっています。

マルチプロトコル ラベル スイッチング (MPLS) の遅延とグローバル接続コストをどのように克服しますか?私たちの答えは、グローバル IP 接続の大幅な拡大を活用することです。複数の IP バックボーンにわたって SLA で裏付けられた大規模な卸売容量を購入し、ネットワーク内のすべてのホップで最適なバックボーンを動的に選択することで、マルチプロトコル ラベル スイッチング (MPLS) のコストの数分の 1 で、低遅延のグローバル接続を提供できます。

SASE 業界は現在、スタートアップ企業や小規模ベンダーで溢れています。なぜ大企業はこの移行に苦労しているのでしょうか?

Kramer: 変化は明らかだと思いますが、既存のアプライアンス ベースのソリューションをクラウド ネイティブ ソリューションに変換するのは簡単ではありません。クラウド プラットフォームを再設計するには、既存の非常に成功した製品ラインを犠牲にして研究開発に多額の投資を行う必要があるため、エンジニアリング設計に加えて、克服すべき内部的な対立も生じます。

そのため、大企業はセキュア アクセス サービス エッジ (SASE) に脅威を感じています。私たちは皆、Secure Access Service Edge (SASE) の価値を認識していますが、これを実現するには、多くの確立されたソリューション プロバイダーが既存のビジネスを破壊する必要があり、これは容易なことではありません。

業界では、ベンダーが自社のソリューションを SASE 製品として再ブランド化することで、Secure Access Service Edge (SASE) を活用しようとしていることが見られます。 IT 部門が本物と偽物を見分けるための導入の試金石はシンプルです。アプライアンスに重点が置かれている場合は SASE です。 SD-WAN が存在せず、管理コンソールが複数ある製品は SASE ではありません。