はじめに
前回のコラム「ニューノーマル時代の働き方にフィットするSASEソリューションとは?」では、急速に進む働き方の多様化により企業ネットワークが直面している課題やSASEの主要機能をご紹介しました。今回は、Cisco SASEコンポーネントを例に、実際にSASE化を進める上でのファーストステップを見ていきたいと思います。
SASEが求められる背景
前回のコラムでもご紹介しました通り、近年、SASE(Secure Access Service Edge)というキーワードがよく聞かれるようになりました。SASEは、ゼロトラストネットワークアクセスを実現できるソリューションであり、コロナ禍の長期化により広がりを見せるリモートワークにフィットすることでも注目されています。
これまでの企業ネットワークは、大規模なハブ拠点に通信を集約し、ログの収集やセキュリティポリシーを適用してきました。そして、外部ネットワークとの境界にセキュリティデバイスを配置し、その内側にPC等のデバイスやユーザを配置する「境界型セキュリティ」によって外部の脅威から守ってきました。しかし、リモートワークの広がりにより境界外へデバイスが配置されるようになった結果、前述のような従来型の企業ネットワークでは脅威からの保護が難しくなってきています。SASEはこのような課題を解決し、広範囲に一貫して適用できるセキュリティの仕組み、通信の効率化、一括運用がメリットとしてあげられています。
さらに、コロナ禍終息後の働き方は、過去のように通勤主体に戻るのではなく、必要なときは出社し、それ以外のときは在宅勤務をするといった、業務に応じた選択が可能になっていくものと考えられます。つまり、いま現在の働き方の課題は今後も継続して取り組むべきものと言えるでしょう。
SASEには多くのメリットがありますが、単一の機能ではなく、複数のネットワーク技術やセキュリティ機能の集合体であるため、複雑に見えます。そのため導入の敷居が高いと感じられる方も多いのではないでしょうか。そこで今回は、Cisco SASEコンポーネントを用いた場合に、まずは現在の課題を解決しながらSASE化を進めていく方法について考えていきます。
Cisco SASEコンポーネント
Cisco SASEはUmbrella、Duo、SD-WANという、大きく分けて3つのコンポーネントから成り立っています。
クラウドセキュリティ:Cisco Umbrella
DNS レイヤセキュリティ、SWG(Secure Web Gateway)、L7ファイアウォール、CASB(Cloud Access Security Broker)、DLP(Data Loss Prevention)を、クラウドネイティブな統合プラットフォームに集約します。
ゼロトラストネットワークアクセス:Cisco Duo
多要素認証(MFA)、デバイスの状態と正常性の確認(デバイスポスチャ)、アプリケーションへのアクセスのたびに、全てのユーザ/デバイス/アプリケーションに対応するゼロトラスト・セキュリティプラットフォームです。
エッジネットワーキング:Cisco SD-WAN
インターネット、閉域網、モバイルWAN(4G/5G)といった複数のWANサービスを自由に組み合わせて、ネットワーク拠点同士を柔軟に接続することができる仮想的な WAN アーキテクチャです。前述のUmbrellaとも親和性が高く、シンプルな設定追加でUmbrella へIPsecトンネルを張り、Umbrella向けのトラフィック制御等を柔軟に行うことができます。
Cisco SASEを構成するフレームワークとコンポーネント
これらのコンポーネントはSASEが提唱される以前より定評ある個別の製品群であり、当社でも多くの導入実績があります。また、ネットワークを一度に全てSASE化する必要がなく、お客様の導入計画に合わせて段階的にコンポーネントを導入していくことが可能である点が特長として挙げられます。
Ciscoクラウドセキュリティサービス(Umbrella/Duo)のユースケース
Cisco SASEのポートフォリオで制御(Control)に位置づけられるCiscoのクラウドセキュリティサービスとして、Umbrella、Duoがあります。
Umbrellaは不正サイトへの誘導を検知し防御をおこなうことで安全で快適なインターネット通信を提供し、Duoはゼロトラストアーキテクチャをベースとした多要素認証とデバイス可視化機能でアプリケーションへの安全なアクセスを提供します。
Umbrella、Duo機能の一例
社内へのVPN接続をDuoのMFAで強化
Duoは、社内接続用に利用しているVPNゲートウェイ製品へ多要素認証機能を付与し、認証を強化することができます。
既にオンプレミス環境でVPNゲートウェイの認証にActive Directory(AD)を利用している場合、VPNゲートウェイとADの認証を中継するDAP(Duo Authentication Proxy)を導入します。VPNゲートウェイ製品の認証先をDAPに向けることで、ADに対する1要素目のID・パスワードによる認証に加え、DAP経由でDuoが対応している2要素目の認証を要求することが可能です。
VPN接続時の制御
次のステップとして、VPNゲートウェイ製品へのID、パスワードによるログインからSAMLを利用したSingle Sign-On(SSO)に変更するといった検討も出てくるかと思います。SAMLに対応したVPNゲートウェイ製品では、DuoをSAML IdPとして動作させるDAG(Duo Access Gateway)またはDuo Single Sign-Onがあります。
また、SSOを利用する構成では、クライアントPCにDuo Device Health Applicationを導入することで、OSの種類、バージョンや動作しているアンチウィルスソフトのバージョンなどデバイスポスチャを意識した端末制御も可能となります。
リモートワーカーのセキュリティをUmbrellaのSWGで強化
社外に持ち出されたクライアントPCは社内のプロキシの代わりにUmbrellaのSWG機能を利用することでクラウドプロキシとして社内外共通のウェブ通信へのセキュリティ防御を提供することが可能です。
導入方法の一例として、クライアントPCにUmbrellaのエージェントであるAnyConnect Roaming Security Moduleを導入する方法があります。
また、SaaSサービスへのセキュリティ強化として認証方式をマークアップ言語のSAML(Security Assertion Markup Language)によるSSOに変更することで、Duoを利用した2要素目の認証として利用することができます。
Umbrellaエージェントによる制御
教育機関に適したUmbrellaの機能
教育機関でのユースケースとしては、校内へ持ち込まれた生徒の端末(BYOD端末)と教育機関から配布する端末(配布端末)に対するセキュリティ強化が考えられます。しかし、BYOD端末には教育機関から配布する制御アプリケーションを導入するのは困難であることが想定されます。
そのような状況で、UmbrellaのDNSレイヤセキュリティ機能を利用するための構成として、校内に配置した無線AP(Cisco Meraki MR・MX、WLC)とUmbrellaをAPI連携する構成があります。連携した無線APはクライアントからのDNSクエリを監視して、Umbrellaにリダイレクトするため、BYOD端末にクライアントソフトのインストールが不要というメリットがあります。また、連携した無線APはSSID別のDNSレイヤセキュリティのポリシー設定を行うことが可能です。
校外での配布端末の制御の一例として、iOSデバイスの場合はCisco Security Connector(CSC)が利用できます。CSCはMDM製品によって配布される構成となり、MDMとUmbrellaが連携を行うことで、端末単位でDNSレイヤセキュリティのポリシーが適用できます。
BYOD端末と配布端末の制御
Cisco SD-WANのユースケース
SD-WANの案件でよく聞くユースケースで、ローカルブレイクアウトを使ってデータセンターの帯域や機器リソースの逼迫を軽減したいといったものがあります。ローカルブレイクアウトを導入するには、拠点にインターネット回線を敷設する必要があります。
しかし、安価なインターネット回線は個人・法人を問わず世界中の数多の通信が行き交うため、通信影響を受けやすい性質があります。また、インターネットサービスプロパイダーによってラストワンマイルの回線速度や安定性も異なります。インターネット回線に対してどの通信をローカルブレイクアウトすることでユーザが体感する快適性が従来から向上するか、逆に低下するかは実際に運用してみないと分かりません。
そこで、Cisco SD-WANを用いたローカルブレイクアウト時における通信品質の向上について考えてみます。
リアルタイムでSaaS向け通信の品質を可視化して改善するCloud onRamp
Cloud onRampはSaaS向け通信の品質を改善することを目的としたCisco SD-WANのユニークな機能です。Cisco SD-WANルータであるcEdgeとSaaS間でHTTP Pingパケットを使用した品質調査(プロービング)を実施することでWAN回線の損失と遅延をチェックします。チェックした結果はvQoEスコアという形でSaaS毎に回線の品質を可視化して表示します。
各EdgeのSaaS向け通信品質をスコアで表記
上記図のようにISP1とISP2でロードバランシング時にISP2の方が遅延や損失が高い場合、自動でISP1のみを使うよう制御することが可能です。また、回線の品質はSaaS毎にスコアで表示されており、現在使用している回線の品質が直感的に見て分かるかと思います。ユーザはこのスコアを基に、どの回線を使ってローカルブレイクアウトをすれば、ユーザが体感する快適性が担保出来るかを設定前に検討・計画することが出来ます。
2ステップで即統合!Cisco SD-WANとUmbrellaを簡単に連携
次に、Cisco SD-WANとUmbrellaとの連携についてご紹介します。Cisco SD-WANは、Umbrellaと情報交換してIPsecの設定やUmbrellaのIPを動的に取得し簡単に統合することが可能な、Auto-tunnelという機能をサポートしています。必要な設定は全てGUIで完結し、二つの設定 (Cisco SIG - Secure Internet Gateway/ Cisco SIG Credentials) をcEdgeにインポートするだけです。
Cisco SIG - Secure Internet Gatewayの設定 (UmbrellaとのIPsec設定)
Cisco SIG Credentials (UmbrellaのOrganization, Registration/Secret Key入力)
また、前項でご紹介したCloud onRampはUmbrellaと統合した後もUmbrella経由で回線の品質をチェックし、アクティブ/スタンバイ形式でより品質の良い回線に切り替えることが可能です。
Umbrella経由SaaS通信の回線品質チェックと回線の使い分け
Cisco SD-WANはCloud onRampでSaaS宛通信を最適化して、ユーザが体感する快適性を維持し、Cisco SASEのコアコンポーネントであるUmbrellaと容易に連携してセキュリティを強化することが可能です。
まとめ
今回はCisco SASEコンポーネントを用いることで、お客様が現在抱えている課題を解決しながらSASE化を推進していく方法について、事例や提案を含めて紹介させて頂きました。SASE製品の導入について興味を持たれた方は、ぜひお問い合わせ頂ければ幸いです。
関連ページ
おすすめコラム:
ニューノーマル時代の働き方にフィットするSASEソリューションとは?
SD-WANの今と未来 第3回 SD-WANの今後
ゼロトラスト・セキュリティとは
関連ソリューション:
Versa Networks
Fortinet
伊藤、齊藤、山本
次世代基盤第一技術部 第二技術室
SD-WAN製品及びSASE製品の検証及び提案・構築・PoCの支援などに従事。
コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。 本文および図表中では商標マークは明記していない場合があります。 当社の公式な発表・見解の発信は、当社ウェブサイト、プレスリリースなどで行っており、当社又は当社社員が本コラムで発信する情報は必ずしも当社の公式発表及び見解を表すものではありません。 また、本コラムのすべての内容は作成日時点でのものであり、予告なく変更される場合があります。
