Zscalerは15年間、セキュリティ・サービスの実績を積み重ねてきました。Cloudflareの歴史は13年で、Zero Trustの提供は4年というところです。しかし、この記事では、 Zero Trust、 SSE 、 SASE の全体において、Cloudflare Oneの機能はZscaler Zero Trust Exchangeを上回っているというお話をしたいと思います。
| 機能基準グループ | Cloudflare | Zscaler |
|---|---|---|
| インターネットネイティブなネットワークプラットフォーム | 100% (5/5) | 20% (1/5) |
| クラウドネイティブサービスプラットフォーム | 100% (4/4) | 25% (1/4) |
| SASEを採用するためのサービス | 83% (5/6) | 66% (4/6) |
| ZT、SSE、SASEとその先を拡張するサービス | 66% (8/12) | 58% (7/12) |
| ネットワークオンランプ | 90% (9/10) | 50% (5/10) |
この事実は、意外に思われる人が多いかもしれません。お客様にお伝えすると、よく次のような質問をいただきます。どうやってそこまで?Cloudflareが競争力のあるサービスをこれほど構築できたのはどうして?
世界最大のプログラマブルなエニーキャストネットワークを構築してきたことは、確かに大きなアドバンテージだったと言えるでしょう。これは、世界中の顧客に安全でパフォーマンスの高いネット環境やアプリケーション体験を提供する、Cloudflareの既存アプリケーションサービス事業の基礎となりました。インターネット上のセキュリティとパフォーマンスに関する、深いインサイトを得ることができたのはこのおかげです。また、当社のサーバーレス開発プラットフォーム Workers は、セキュリティ、信頼性、パフォーマンスを備えたグローバル分散型アプリケーションの構築を目的に、特別な設計が施されています。このプラットフォームの上に構築することで、比類ない速度のZero Trustサービスを実現しました。
しかし、この時系列には表れていない、もうひとつの優位性もあります。この15年間で、企業のセキュリティ領域は大きく移り変わりました。例えば、当社のようなパフォーマンスの高いグローバル・ネットワークは、当時は想像もしていなかったでしょう。Zero Trustのサービスを構築する際、白紙の状態からスタートし、まったく新しかったクラウドを前提にして、サービスを構築してきました。
そうですよね、その根拠となる話を知りたいと思ってらっしゃるでしょう。以下のように、ZscalerとCloudflareのプラットフォームの比較公開ページで新しい機能の詳細情報をリリースしました 。5つの基準グループのうち、SASEを採用するサービスとネットワーク・オンランプの2つについて、その内容を紹介したいと思います。 PDFの中で、 多くの基準には脚注があり、文脈や説明をご覧いただけます(*で表示)。
| SASEを採用するためのサービス | Cloudflare | Zscaler |
|---|---|---|
| Zero Trustネットワークアクセス(ZTNA) | あり | あり |
| クラウドアクセスセキュリティブローカー(CASB) | あり | あり |
| セキュアWebゲートウェイ(SWG) | あり | あり |
| Firewall as a Service (FWaaS) | あり | あり |
| L3~7のトラフィックアクセラレーションを使用したWAN as a Service* | あり | なし |
| オンプレミスSD-WAN* | なし - パートナー | なし - パートナー |
| ネットワークオンランプ | Cloudflare | Zscaler |
|---|---|---|
| クライアントレスなブラウザベースのアクセス | あり | あり |
| デバイスへのクライアントソフトウェア | あり | あり |
| アプリケーションコネクターソフトウェア* | あり | あり |
| 分岐可能な接続用ソフトウェア* | なし | あり |
| エニーキャストDNS、GRE、IPsec、QUIC、WireGuardトンネル* | あり | なし |
| データセンターおよびオフィス向けプライベートネットワーク内部接続 | あり | なし |
| インバウンドIPの中継(BYOIP) | あり | なし |
| IPv6オンリーの接続への対応* | あり | なし |
| 再帰DNSリゾルバ | あり | あり |
| デバイスクライアントとDNSリゾルバの自由公開* | あり | なし |
この37の機能基準の詳細な比較を見てみると、当社製品が優れていることをご理解いただけると思います。また、当社のページにおいて、当社のアーキテクチャがよりシンプルで信頼性が高く、革新が迅速な理由を説明しています。もちろん製品は機能が多ければそれでいいというものではありません。Zero Trustが組織全体に展開されることを考えると、製品の使用体験が何より重要となります。エンドユーザーと管理者の両方にとって、Cloudflae OneがZscaler Zero Trust Exchangeより優れている3つの主要な領域を紹介します。
1) あらゆるサービスが、あらゆる場所で、エンタープライズスケールで動作するように構築されている
実績:Zscalerは、" 世界最大のセキュリティクラウド "を運営しているという実績を残していますが、Zscalerのネットワークは、独自の構成リソースによると少なくとも8つの異なるクラウドに分割されています。zscalertwo.net、zscalerthree.netなどがその例です。フロントエンドにおけるユーザビリティの観点からすると、シームレスな管理者エクスペリエンスが実現できるクラウドはあまりありません。Zscalerの主要製品にはそれぞれ独自のポータルとログインがあり、単一の「セキュリティクラウド」ではなく、個別の製品のようにそれぞれとやり取りすることになります。
Cloudflare Oneの優位性:私たちは、大規模でグローバルなエニーキャストネットワークの規模について透明性を持ち、データセンターではなく都市の数で報告しています。お客様の所在地は重要であり、お客様がどこにいても当社のすべてのサービスにアクセスする能力が重要です。データセンターを持つ都市の数は、Zscalerの55都市と比較して270以上(すべて同じクラウドネットワーク内にあります)です(そして、これらの都市のすべてが同じクラウドネットワーク内にあるわけではありません)。Cloudflare Oneのすべてのサービス(およびそのアップデートと新機能)は、すべての都市のすべてのデータセンターのすべてのサーバー上で実行されるように構築されており、すべてのお客様が利用できます。フロントエンドでは、Cloudflare Oneは、ZTNA、CASB、SWG、RBI、DLPなど、すべてのZero Trustに対応する1つのダッシュボードを提供し、個別の画面間で分離されたポリシーと分析を手動で調整するのに時間を費やすことなく、回転椅子の問題を解決します。
2) スループット上昇によるエンドユーザーエクスペリエンスの向上
優れたセキュリティを提供しても、ユーザーエクスペリエンスを低下させては意味がありません。また、Zero Trustの導入を成功させるためには、高速アクセスが不可欠です。そうでなければ、いつの間にかユーザーの方で回避策を探す状況になってしまうことでしょう。
Zscalerは、「...内部IPアドレスがNATの背後にない場合、各GRE [IP]トンネルで1Gbpsの最大帯域幅をサポートします」と言います。ほとんどのインターネット・アプリケーションと接続は、エンドユーザーまでの経路のどこかで1Gbpsのネットワーク・ボトルネックが生じていますが、一部のアプリケーションはより多くの帯域幅を必要とし、それをサポートするように設計されています。たとえば、ユーザーはビデオストリームや大きなファイル共有がインターネット上の他のものと同じくらい瞬時に行われることを期待しているのです。ボトルネックがあるという前提は、達成可能なスループットの種類に人為的な制限を生み出し、リンク速度と接続性が保証されている場合でもスループットを制限してしまいます。
Cloudflare Oneの優位性:当社では多くの時間をかけてテストを行い、次のように明らかな結果を得ることができました。エンドユーザーの視点からすると、Cloudflare Oneのパフォーマンスは群を抜いており、Zscalerを凌駕しています。高帯域幅のアプリケーションを実行している2つのデバイス間のスループットについてテストを実施しました。これらのデバイスはパブリッククラウドのネットワーク内の異なるVPCにありましたが、オンプレミスのプライベートネットワーク内の異なるサブネットに配置することも可能でした。各VPCはCloudflareのAnycast IPトンネルをCloudflareのネットワークへのオンランプとして使用するように設定されており、これにより両方のデバイスがCloudflare Oneを介して安全に接続できるようになりました。そして、双方向で記録されたスループット結果は6Gbpsで、これはZscalerなどが設定した制限を大幅に上回る容量です。このように、お客様の組織において、新たに採用した広帯域のアプリケーションが、採用したZero Trustプラットフォームによって制約を受ける心配がなくなりました。
3)その他のインターネットとの接続性向上
Zscalerは「インターネットへの最速のオンランプ」を謳い文句にしています。しかし、これはある種のまやかしで、オンランプは諸問題の一部分に過ぎないのです。オンランプの先に高速で効果的な接続機能がなければ、Zscalerは単なるSSEプラットフォームに過ぎず、SASEとは言えません。Zscalerはプラットフォームのネットワーキング部分にフォーカスしていない、ということです。
Cloudflare Oneの優位性:10,500を超える相互接続ピアがあり、圧倒的な数字となっています。当社ではZscalerのようにネットワークエッジで顧客を引き渡すことはありません。Cloudflareの仮想バックボーンをトランジットに使用できます。Cloudflareネットワークは1日あたり3兆件以上のリクエストをルーティングし、Argo Smart Routing にリアルタイムの輻輳を検出し、 最速かつ最も信頼性の高いネットワークパスを介してIPパケットをルーティングするための固有バンテージ・ポイントを提供します。
機能性の重要性について触れたので、ここで本記事を締めくくりたいと思います。すべてのピアリングや、全体における実績のある優位性は、提供サービスを考慮しなければ、それほど重要なことではないでしょう。Zscalerは、SWGやZTNAなどのサービスを提供することで地域のDCハブの必要性を排除できるとしています。しかし、Webアプリケーション・ファイアウォール、ロードバランシング、権威DNS、DDoS保護などを使用して、クラウドアプリケーションやオンプレミスサーバーをエンドツーエンド(インターネットに公開されている場合はインバウンドトラフィックも含む)で保護するという組織のニーズにまったく対応していません。
この4年間で、導入の簡便性、ネットワーク回復力、革新的な速度など、提供するサービスの完全性において当社はZscalerを上回りました。詳細はこちらをご覧ください。私たちと一緒に次の4年、さらにその先を見据えていきませんか。