Zscalerのブログ

Zscalerの最新ブログ情報を受信

購読する
製品およびソリューション

Zero Trust SASEの発表

NARESH KUMAR, AMEET NAIK
January 22, 2024 - 5 分で読了

働き方とITの進化

人々が働く環境は急速に進化しており、ハイブリッド ワークはニュー ノーマルとなりました。従来のネットワーク アーキテクチャーは、ユーザーが決まった場所で働く静的なモデルを軸に設計されていました。しかし、デスクのホテリング、コワーキング スペース、モバイル ワーク、インターネット中心の接続などが登場した現在、拠点のあり方は様変わりしています。拠点の進化に伴い、拠点の接続に使用するネットワーク インフラストラクチャーも進化しなければなりません。今や一律のアプローチですべてに対応することは困難になっています。

従来のネットワークが招くリスクと複雑性

従来の接続モデルは極めてネットワーク中心であり、ユーザー、デバイス、サーバーはネットワークに接続し、このネットワークを通じて同一ネットワーク上のすべてのデバイスにアクセスできます。このモデルには過剰な暗黙の信頼が存在し、どのデバイスもデフォルトで他のデバイスやサーバーと通信できるため、脅威のラテラル ムーブメントやランサムウェアなどの攻撃が可能になります。

また、ネットワーク中心の接続ではVPNトンネルを使用してネットワークをパブリック クラウドやサードパーティーに拡張する必要があり、直接制御できないインフラストラクチャーに攻撃対象領域が拡大する可能性があります。組織でIoTデバイスの利用が拡大するに伴い、攻撃対象領域の管理はますます複雑になっています。また、ルーティングされたオーバーレイや従来型のルーティング プロトコルへの依存は、ネットワークのさらなる複雑化を招きます。

従来のSD-WANはゼロトラストではない

SD-WANもネットワーク中心のアプローチをとり、サイト間VPNトンネルとルーティング プロトコルを使用してルーティングされたオーバーレイを構築します。これによって高価なMPLSネットワークから脱却し、多くの運用上の課題を解決できるものの、ラテラル ムーブメントを助長してセキュリティ上のリスクを招きます。こうしたリスクを制御するにはネットワークベースのセグメンテーションを行わなければならず、多くの場合、拠点のファイアウォール アプライアンスの追加やネットワークベースの複雑なセキュリティ ポリシーが必要になります。

そこで役立つのがゼロトラストです。これは、デフォルトではすべてのエンティティーを信頼できないものとみなし、アイデンティティー、コンテキスト、ポスチャーに基づいて特定のリソースへのアクセスのみを許可するサイバーセキュリティ戦略です。従来のネットワークの仕組みとは根本的に逆の発想に基づいています。セグメンテーションやアドミッション制御などの手法でも、従来のネットワークにつきものの信頼を制限することは可能ですが、こうしたアプローチでは複雑性が大幅に増す可能性があります。

今求められているのは、ゼロトラストの原則に基づく新たなアプローチなのです。

Zero Trust SD-WANの発表

Zscalerは先日、Zero Trust Exchangeを介して拠点を接続するためのアプライアンス「Branch Connector」を発表しました。本日は、従来のSD-WANによるセキュリティ リスクを排除し、拠点、工場、病院、小売店、データ センターを安全に接続する業界初のゼロトラスト ソリューションゼロトラストSD-WANを発表します。ゼロトラストSD-WANは、軽量の仮想マシンまたはプラグ&プレイ アプライアンスとZscaler Zero Trust Exchangeを組み合わせ、インバウンドおよびアウトバウンドの安全なゼロトラスト ネットワークを各ロケーションに提供します。オーバーレイ ルーティングや追加のファイアウォール アプライアンスを必要とせず、一貫性のないポリシーを生むこともありません。業界をリードするZscalerのSSEプラットフォームと完全に統合されており、強固なセキュリティを実現するとともに、拠点のネットワーク管理を簡素化します。

図

また、プラグ&プレイ アプライアンスのZ-Connectorとして、ZT 400、ZT 600、ZT 800を発表します。軽量の仮想マシンとしても利用可能です。これらのアプライアンスは、200 Mbpsからマルチギガビットまで、幅広いお客様の要件に対応します。事前にプロビジョニングされた構成テンプレートとゼロ タッチ プロビジョニングにより、新たな拠点の展開を、インターネットに接続するだけで簡単に行えます。

図

 

新登場のゲートウェイ機能

Zero Trust SD-WANは、フォワーダーまたはゲートウェイの2種類のモードで展開できます。既にWANソリューションを使用しているお客様は、フォワーダー モードでゼロトラスト オーバーレイを実装できます。Z-Connectorアプライアンスは、既存のルーターおよびスイッチに隣接する形で展開します。関連するトラフィックは、条件付きDNS解決またはポリシーベースのルーティングによってZ-Connectorアプライアンスに転送できます。

ゲートウェイ モードでは、Z-ConnectorアプライアンスでISP接続を直接終端するため、ルーターやファイアウォールを追加する必要はありません。Z-Connectorはサイトのデフォルト ゲートウェイとして機能し、すべてのトラフィックをZscaler Zero Trust Exchangeに転送して、インターネット、SaaS、プライベート アプリケーションへの安全な接続を提供します。

図

ゲートウェイ モードは、デュアルISP終端、ISP監視によるアプリ認識型のパス選択、高可用性(アクティブ/アクティブ、アクティブ/パッシブ)、複数のLANサブネット、ローカル ファイアウォール、統合DHCPサーバー、DNSゲートウェイなど、さまざまなWANおよびLAN管理機能をサポートしています。

Zero Trust SD-WANのゲートウェイ機能の提供開始は2024年2月を予定しています。

Zero Trust SD-WANによって複雑性とリスクを低減

ゼロトラストSD-WANはお客様の多くの重要課題を解決します。主なユース ケースは以下のとおりです。

  1. サイト間VPNの代替:複雑なVPN構成とルート テーブル管理を回避し、脅威のラテラル ムーブメントのリスクを排除する。
  2. M&Aに伴う統合の加速:ルーティング ドメインを統合したりNATゲートウェイを導入したりすることなくユーザーを組織全体のアプリに接続し、統合に要する時間を数か月から数日に短縮する。
  3. セキュアなOT接続:ベンダーがOTリソースにリモート アクセスするためのVPNや露出したポートを排除する。
  4. IoTの検出と分類:AI活用型の分類エンジンでネットワーク上のIoTデバイスを検出して保護する。

 

Image

上記のユース ケースの詳細については、ゼロトラストの拠点への拡張に関するブログをご確認ください。

ゼロトラストを基盤とした業界初のSASEプラットフォーム

セキュア アクセス サービス エッジ(SASE)とは、Gartnerが提唱した言葉で、最新のITインフラストラクチャーや働き方に対応するためのネットワークとセキュリティの集合体を指しています。SASEはゼロトラストの原則を取り入れているものの、市場に出回っている多くのSASEソリューションは、SSEサービスに従来のSD-WANを付け加えただけのもので、ゼロトラストの原則が適用されるのはユーザーからアプリへのアクセスだけに限られます。結果として、サイトは過剰な暗黙の信頼によるリスクを抱えることになります。

Zero Trust SD-WANのリリースによって、ZscalerはゼロトラストとAIを基盤とした業界初のシングル ベンダーSASEプラットフォームを提供できることになりました。Zscaler Zero Trust SASEにより、ゼロトラストをユーザーだけでなく拠点、工場、データ センターにまで拡張することができます。Zero Trust SASEは、SSEプラットフォームであるZero Trust Exchangeの強みを基盤に構成されており、従来のセキュリティ ソリューションやネットワーク ソリューションを排除してコストや複雑性を低減します。

Image

拠点のネットワークの変革が必要

従来のWANアーキテクチャーはもはや機能していません。ハイブリッド ワークやゼロトラスト セキュリティを中心とした創造的破壊により、ネットワーク アーキテクチャーを再考、変革するまたとない機会が生まれています。Zero Trust SD-WANとZero Trust SASEは、従来とは根本的に異なるアプローチを採用し、脅威のラテラル ムーブメントのリスクを招くことなくユーザー、デバイス、アプリを接続します。

製品についてのより詳しい情報、ホワイト ペーパー、動画は、SASEのリソース ページでご紹介しています。また、Zero Trust SD-WANの詳細はこちらでご確認いただけます。

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。