gooブログはじめました!

SASEを構成する「CASB」と「ZTNA」、役割と動作をやさしく解説。

#https://blog.goo.ne.jp/admin/newentry/
#.
〝 たぬき の 「 スマホ ・ パソコン 」 ワールド 〟
2023-05-31 14:27:19

〇 SWG(Secure Web Gateway)と並んで、SASE(Secure Access Service Edge)で重要な技術が2つある。クラウドサービスの利用状況を可視化するCASB(Cloud Access Security Broker)と、利用者や端末の状態を基にアクセスを制御するZTNA(Zero Trust Network Access)だ。順に動作を見ていこう。

CASBはクラウドサービスの利用状況を可視化・制御するサービスだ。SWGと同様に、端末とクラウドサービス間のデータのやりとりを監視する。

利用状況を可視化するCASB。

CASBの役割は主に3つある。まずはクラウドサービスの利用状況の可視化だ。どの利用者がどのクラウドサービスをどれくらい利用しているのかを把握できる。従業員が勝手に利用しているクラウドサービス、いわゆる「野良クラウド」の検出にも役立つ。

2つ目はアクセス制御である。野良クラウドへの接続を遮断し、利用を認めているクラウドサービスだけに利用を制限できる。

3つ目はデータ保護。DLP(Data Loss Prevention)と呼ぶことも多い。利用企業が設定したポリシーに基づき、クラウドサービスのデータにアクセスできる従業員を限定したり、クラウドサービスから別の場所にデータを移すことを禁止したりできる。クラウドサービスのデータだけでなく、エージェントを導入した端末のデータを保護する機能を備えるサービスもある。

クラウドサービスの利用状況を可視化・制御するCASB
画1、クラウドサービスの利用状況を可視化・制御するCASB。

インライン型とAPI型を併用。

CASBの実装方法はいくつかあるが、SASEにおけるCASBでは主に2つの方式が使われる。クラウドサービス宛ての通信をすべて検査する「インライン型」と、クラウドサービスからAPI(Application Programming Interface)経由で利用状況を取得する「API」型である。

シスコシステムズのSASEにおけるCASBは、「クラウドサービスの利用状況の可視化」「クラウドサービスに保管されているデータの可視化」といった用途ごとに、インライン型とAPI型を使い分ける。

インライン型では、利用企業が利用を認めているかどうかにかかわらず、さまざまなクラウドサービス宛ての通信を識別・可視化する。野良クラウドの検出や制御などに役立つ。

「インライン型」と「API型」を目的に応じて使い分ける
画2、「インライン型」と「API型」を目的に応じて使い分ける。

一方、利用企業が契約しているクラウドサービスの状況を詳しく可視化する用途には、API型を主に活用している。API型のCASBは、クラウドサービスからAPIを介して利用状況の情報を取得する。

シスコシステムズのセキュリティ事業 シニアSEマネージャーの中村光宏氏は「CASBの導入前に機密ファイルがクラウドサービスにアップロードされていたといった状態を見つけ出せる」と説明する。

自社拠点に安全につなぐZTNA。

利用者や端末の状態を検査し、状態に応じてクラウドサービスやオンプレミスの業務システムなどに対するアクセスの可否を定める。これがZTNAの役割だ。

ZTNAで検査する内容は多岐にわたる。例えば「自社で購入した端末か」「ZTNAのエージェントを端末に導入しているか」「セキュリティー更新プログラム(パッチ)を適用しているか」「安全な場所から接続しているか」などだ。これらの情報を総合して信頼できる利用者のアクセスか判断する。

端末の状態などを基にアクセスを制御するZTNA
画3、端末の状態などを基にアクセスを制御するZTNA。

検査で得た利用者や端末の状態と、事前に設定したセキュリティーポリシーを照合し、アクセスできる対象をその都度決める。例えば正規の端末からの通信でも、その端末にエージェントが入っていないときは業務システムへのアクセスを制限する。

エージェントで状態の情報を収集。

インターネットイニシアティブ(IIJ)の「IIJフレックスモビリティサービス/ZTNA」を例に動作を確認してみよう。IIJのサービスでは、まずエージェントを導入した端末と、IIJ側のサービス網のゲートウエイがVPN(仮想私設網)トンネルを自動で設定する。

ZTNAで利用企業の拠点との通信を確立する流れ
画4、ZTNAで利用企業の拠点との通信を確立する流れ。

エージェントはさらに、端末の状態の情報を収集する。「無線LANアクセスポイント(AP)のSSID(Service Set IDentifier)などの情報を基にした利用場所、サービスを利用しようとする時間、マルウエア対策ソフトの有無、パッチの適用状況などを調べる」(IIJ ネットワーク本部 副本部長の吉川 義弘氏)。

これらの状態があらかじめ設定したセキュリティーポリシーをすべて満たしていれば通信を許可し、パケットをカプセル化してサービス網のゲートウエイに向けて送信。受信したゲートウエイはカプセルを取り除き、パケットの宛先などを基に利用企業の拠点やクラウドサービスへと送信する。

IIJフレックスモビリティサービス/ZTNAの場合、サービス網と利用企業の拠点との接続にはインターネットVPNや専用線を使う。他社のサービスでは「コネクター」などと呼ばれるソフトをオンプレミス拠点のサーバーに導入し、サーバーとSASEの間でVPNを自動設定する形態がある。

ランキングに参加中。クリックして応援お願いします!

名前:
コメント:

※文字化け等の原因になりますので顔文字の投稿はお控えください。

コメント利用規約に同意の上コメント投稿を行ってください。

 

  • Xでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

最近の「〝 たぬき の 「 スマホ ・ パソコン 」 ワールド 〟」カテゴリーもっと見る

裏読み スマホ 料金。

裏読み スマホ 料金。
ソフト開発の要、必修アルゴリズム10選。②

ソフト開発の要、必修アルゴリズム10選。②
PDFの「困った」「使いにくい」を解決。①

PDFの「困った」「使いにくい」を解決。①
Android スマホ 快適設定 の ツボ。

Android スマホ 快適設定 の ツボ。
OS入りモニターという新発想、LGの新製品を試す。

OS入りモニターという新発想、LGの新製品を試す。
Microsoft 365 徹底活用術。①

Microsoft 365 徹底活用術。①

gooブログはじめました!
写真付きで日記や趣味を書くならgooブログ
プロフィール画像
最近の記事

1031人が回答、「今使っている」ネットワーク機器。③

1031人が回答、「今使っている」ネットワーク機器。②

1031人が回答、「今使っている」ネットワーク機器。①

話題 の テーマ を Pickup!

知って得する Wi-Fi 雑学。⑦
カテゴリー
バックナンバー
2025年
3月 2月 1月
2024年
12月 11月 10月 9月 8月 7月 6月 5月 4月 3月 2月 1月
2023年
12月 11月 10月 9月 8月 7月 6月 5月 4月 3月 2月 1月
2022年
12月 11月 10月 9月 8月
もっと見る
人気記事

Wi-Fiルーターの電波出力を下げる機能、あえて使う意味はあるか!

2023年1月14日

安価なWindowsタブレットをLinux化、iPad風おしゃれタブレットに。

2022年10月2日

やってはいけないPCの危険行為。②

2022年8月16日

Dynamic Islandって本当に便利?iPhone 14 Proを5カ月使って感じた長所と短所

2023年6月1日

余った Wi-Fi ルーターが、中継器 や NAS に変身。

2024年11月9日