より多くの組織が一斉にSASEアーキテクチャの導入を始め、従来のSASE市場の在り方(SSE + SD-WAN)では不十分であることが明らかになってきました。この在り方では、チームが特定のニーズに対応するために複数のベンダーと協力しなければならず、パフォーマンスとセキュリティのトレードオフが発生します。さらに問題なのは、ベンダーの基本的なアーキテクチャよりもサービスのチェックリストに重点が置かれていることです。個々のセキュリティサービスやトラフィックオンランプが非常に高度なものであっても、最終的に組織が断片化された欠陥のあるネットワークを介してトラフィックを送信するのであれば、意味がありません。
シングルベンダーSASEは、異種のセキュリティとネットワーキング技術を統合するための重要なトレンドですが、企業の「Any-to-Any接続」でSASEをすべてのチームで機能させるためには、ネットワークの真のモダナイゼーションが必要です。Cloudflareはこの数年、企業が、短期的・長期的なSASEのユースケースのロードマップに沿ってネットワークのモダナイゼーションを実現するための機能を提供し、どのチームが取り組みを主導する場合でも、簡単にSASEを実装できるよう支援してきました。
シングルベンダーSASEに対する柔軟なオンランプの発表
本日Cloudflareは、SASEプラットフォームであるCloudflare Oneの一連のアップデートを発表します。これは、シングルベンダーSASEアーキテクチャの将来性をさらに高めるもので、Cloudflareはこの新機能を通じて、SASEセキュリティチームにとってはより柔軟で利用しやすいネットワーキングを、そして従来のネットワーキングチームにとってはより効率的なネットワーキングを実現します。さらに、SASE接続に関する大きな議論の中で、十分にサービスを受けていない技術チーム、DevOpsチームへの働きかけを強化します。
これらのプラットフォームのアップデートには以下が含まれます。
- エージェント/プロキシベースとアプライアンス/ルーティングベースの両方の実装を可能にするサイト間接続用の柔軟なオンランプにより、セキュリティとネットワーキングの両チームにとってSASEネットワーキングが簡易に。
- 高可用性、アプリケーション認識、仮想マシン導入オプション、可視性と分析機能の強化などの新しいWAN-as-a-Service(WANaaS)機能により、「ブランチよりクラウドを重視」アプローチでネットワークコストを削減しながら運用効率を向上。
- DevOpsチームのためのZero Trust コネクティビティ:ZTNA(ゼロトラストネットワークアクセス)を拡張し、サービス間ワークフローと双方向トラフィックをサポートする、メッシュおよびピアツーピア(P2P)のセキュアネットワーキング機能。
Cloudflareが提供する、顧客のWAN、アプリケーション、サービス、システム、デバイス、またはその他の内部ネットワークリソース用のコネクタを含む、幅広いSASEオン/オフランプでは、Cloudflareサービスとの間のトラフィックがより簡単にルーティングされるようになります。これにより、組織は、既存の環境や技術的な習熟度、業務上の役割に基づいて、最適な接続パラダイムを調整することができます。
Cloudflareは、最近公開した別のブログ投稿でMagic WAN Connectorについて掘り下げ、SASEリファレンスアーキテクチャで、すべてのオンランプがどのように適合するかを説明しました。これには、Cloudflareの新しいWARP Connectorも含まれます。この投稿では、SASEネットワーキングにアプローチする顧客にとって、これらの技術がもつ主な影響に焦点を当てています。
セキュリティチームにとってより柔軟でアクセスしやすく
SASEアーキテクチャを実装するプロセスは、IT、セキュリティ、およびネットワークといったチームを横断する、社内責任とコラボレーションについての組織の現状に直面します。さまざまなチームがさまざまなセキュリティ技術やネットワーク技術を所有しており、そのリプレースサイクルは必ずしも一致していないため、特定のプロジェクトに対する組織のサポート意欲は常に高いとは限りません。
セキュリティやITの担当者は、すべての位置のリソースを保護できる状態でなければなりません。小さな接続性の変更が、与えられたリソースをより効率的に保護するのに役立つとしても、そのタスクは彼らの管理領域外です。セキュリティチームは、自分たちの仕事を遂行するために、ネットワークチームに依存したくはないでしょうし、かといって既存のネットワークインフラで下流の問題を引き起こすこともしたくありません。つまり、いわゆる官僚主義にとらわれることなく、サブネットを接続する簡単な方法が必要なのです。
エージェント/プロキシベースのサイト間接続
このようなセキュリティ主導のプロジェクトが従来のサイロに関連する課題を克服できるよう、Cloudflareはサイト間またはサブネット間の接続にエージェント/プロキシベースの実装とアプライアンス/ルーティングベースの実装の両方を提供しています。この方法では、ネットワークチームは、Cloudflareのアプライアンス/ルーティングベースのWANaaSを通じて、慣れ親しんだ従来のネットワークコンセプトを追求することができます。WANaaSは従来型のSD-WANオーバーレイとは対照的な、最新のアーキテクチャです。同時に、セキュリティ/IT チームはエージェント/プロキシベースのソフトウェアコネクタ(WARP Connector)などを通じて接続性を実現できます。このエージェントベースのアプローチは、業界で一般的なブランチコネクタとアプリコネクタの境界線、およびWANとZTNAテクノロジーの間のギャップを埋めて、あらゆる場所での最小特権アクセスの実現を支援します。
エージェント/プロキシベースの接続は、組織のネットワーク接続全体のサブセットに補完的に適合させることができます。このようなソフトウェア主導のサイト間のユースケースには、ルーターやファイアウォールのないマイクロサイトや、規制の厳しい管理ネットワークやKubernetesのようなクラウド環境のように、チームがIPsecやGREトンネルを設定できないケースなどが考えられます。組織はニーズに合わせてトラフィックオンランプを組み合わせて使用することができ、すべてのオプションを組み合わせて同時に使用することも可能です。
Cloudflareのサイト間接続に対するエージェント/プロキシベースのアプローチは、セキュリティチームがVPNを完全にリプレースする際に役立つ技術と同じ技術を基盤とし、サーバー主導または双方向のトラフィックをもつアプリケーションのZTNAをサポートしています。これには、Voice over Internet Protocol(VoIP)やSession Initiation Protocol(SIP)トラフィックなどのサービス、MicrosoftのSystem Center Configuration Manager(SCCM)、Active Directory(AD)ドメインのレプリケーション、そしてこのブログで後述するDevOpsワークフローなどが含まれます。
この新しいCloudflareオンランプは、基盤となるネットワークルーティングインフラストラクチャを変更することなく、サイト間、双方向、メッシュネットワーキング接続を可能にし、プライベートネットワーク内のサブネットのルーターとして機能して、Cloudflareを経由してトラフィックをオン/オフランプします。
ネットワークチームの効率化
一方、ネットワークレイヤのアプライアンス/ルーティングベースの実装を使用したサイト間接続を求めるネットワーキングチームにとって、業界の規範は依然としてセキュリティ、パフォーマンス、コスト、信頼性の間で、あまりにも多くのトレードオフを強いるものです。ほぼすべてではないとは言え、大企業の多くは、いまだに MPLS(マルチプロトコルラベルスイッチング)などの従来型のプライベート接続に依存しています。MPLSは一般的に高価で柔軟性に欠けるとも言われていますが、信頼性は高く、帯域幅管理に使用されるQoS(Quality of Service)などの機能を備えています。
一般的なインターネット接続は、世界のほとんどの地域で広く利用可能ですが、MPLSを置き換えるには多くの課題があり、不完全です。多くの国では高速インターネットは速くて安いものですが、全世界が同様ではありません。速度とコストは、地域のインフラと地域サービスプロバイダーの市場に依存します。一般的に、ブロードバンドインターネットはMPLSほど信頼性が高くありません。停電や速度低下は珍しいことではなく、サービスの停止頻度や停止時間に対する顧客の許容度はさまざまです。企業にとっては、停電や速度低下は許されることではありません。ネットワークサービスの中断は、ビジネスの損失、生産性の低下、顧客や従業員の不満を意味します。これにより、企業のトラフィックフローの大部分がインターネットに移行しているにもかかわらず、多くの企業はMPLSからの移行に苦慮しています。
SD-WAN(ソフトウェアによって定義された広域ネットワーク)は、トランスポートニュートラルで、従来のブロードバンドだけよりもネットワークの安定性を向上させたMPLSの代替手段を提供しています。しかしながら、これは新たなトポロジーとセキュリティの課題につながります。たとえば、SD-WANの実装の多くは、支店間の検査をバイパスしてリスクを増大させる可能性があります。また、スケーリングやミドルマイルの使用/管理(より正確には、欠如)にどう対処するかなど、実装特有の課題もあります。このように、多くの企業が、インターネット接続への全面的な移行とMPLSの廃止という目標を達成できずにいます。また、顧客によっては購入時にこれらの問題に気づかないこともあり、継続的な市場的教育が必要です。
エンタープライズWANの進化
Cloudflare Magic WANは、Cloudflareのコネクティビティクラウドでゼロから構築された、従来とは異なるパラダイムに従っています。「ブランチよりクラウドを重視」のアプローチを取り、MPLS回線やSD-WANオーバーレイを含む既存のネットワークアーキテクチャを補強し、最終的に置き換わります。Magic WANには、顧客が従来のSD-WANに期待するものと同様のクラウドネイティブなルーティングとコンフィギュレーション制御機能があり、デプロイ、管理、利用はもっと簡単です。Magic WANは、変化するビジネス要件に合わせて拡張可能で、セキュリティも組み込まれています。このユーザーであるSolocalは、このアーキテクチャの長所は最終的に総所有コストを改善することに同意しています。
「CloudflareのMagic WAN Connectorでは、直感的なアプローチによる、ネットワークとセキュリティインフラストラクチャの一元的かつ自動化された管理が提供されます。さらに、Magic WAN ConnectorはCloudflareのSASEプラットフォームの一部として、市場標準とベストプラクティスに基づいた一貫性のある均質なシングルベンダーアーキテクチャを提供しています。これにより、すべてのデータの流れを確実に管理し、違反やセキュリティギャップのリスクを低減することが可能です。Magic WAN Connectorは、Solocalの支店ネットワーク機器の取得、設置、保守、アップグレードに関連するすべてのコストを最大40%削減して、大幅なコスト削減を実現してくれるはずです。当社のIT部門がネットワークをモダナイズするための、将来性の高い接続ソリューションと言えるでしょう」
– Maxime Lacour、ネットワークオペレーションマネージャー、Solocal
これは、根本的に異なる設計哲学に基づいて設計されたソリューションを買収で獲得し、調整しようとしてきた、他の「シングルベンダーSASE」のベンダーのアプローチとは全く異なるものです。これらの「継ぎ合わされた」ソリューションは、アーキテクチャが断片的なので、使用感も統合されていないものになります。組織が複数の個別ベンダーを管理しているのと同じ状況です。ネットワーキングとセキュリティのための異なるソリューションを継ぎ合わせるのではなく、統一された統合ソリューションを構築したベンダーにSASEのコンポーネントを統合することで、複雑さ、セキュリティのバイパス、潜在的な統合や接続性の問題を軽減し、導入と管理を大幅に簡素化できます。
Magic WANは、CloudflareへのIPsecトンネルを、CloudflareのConnectorデバイスを介して自動的に確立したり、顧客のエッジルーターやファイアウォールで開始されるAnycast IPsecまたはGREトンネルを介して手動で確立したり、プライベートピアリングロケーションやパブリッククラウドインスタンスでCloudflareネットワークインターコネクト(CNI)を介して確立したりすることができます。Magic WANは、SSE(セキュリティサービスエッジ)との「統合」という言葉を超えて、セキュリティとネットワーキングの機能を真に統合し、企業がより効率的にネットワークをモダナイズできるよう支援します。
Magic WAN Connectorの新機能
2023年10月、CloudflareはMagic WAN Connectorの一般提供を発表しました。Magic WAN Connectorは軽量で、顧客が既存のネットワーク環境にドロップするだけでCloudflare Oneにゼロタッチで接続でき、最終的には従来型のSD-WANデバイス、ルーター、ファイアウォールなどの他のネットワークハードウェアを置き換えるために使用できます。このブログ投稿では、Magic WAN Connectorの新機能を紹介します。
- 重要な環境のための高可用性(HA)構成:一般的に、組織は全社展開の際、ハードウェア障害のリスクを軽減できる高可用性のサポートを要求します。HA構成では、1つのデバイスが故障した場合にシームレスに動作を再開するために互いに連携して動作する2つのMagic WAN Connector(VMとして動作、またはサポートされているハードウェアデバイス上で動作)が使用されます。顧客は、Magic WAN Connectorの他のすべての要素と同様に、統合されたCloudflare OneダッシュボードからHA設定を管理できます。
- アプリの認識:SD-WANと従来型のネットワーキングデバイスを差別化する主な特徴の1つは、IPやポートレンジのようなネットワーク層の属性に加えて、一般に普及したアプリケーションをベースにしたトラフィックポリシーを作成できることです。アプリを意識したポリシーでは、トラフィックフローの管理が容易かつ緻密になります。Cloudflareのアプリ認識の実装は、Cloudflareのグローバルネットワークのインテリジェンスを活用し、CloudflareのSecure Web Gatewayのようなセキュリティツール全体ですでに共有されている同じカテゴリー/分類を使用します。これにより、IT/セキュリティチームは、ルーティングと検査の決定における一貫した動作を期待することができます。二社購買や継ぎ合わせのSASEソリューションでは期待できない機能です。
- 仮想マシン展開オプション:Magic WAN Connectorが仮想アプライアンスソフトウェアイメージとして利用できるようになり、サポートされている仮想化プラットフォーム/ハイパーバイザー上にダウンロードしてすぐに展開できるようになりました。仮想Magic WAN Connectorでは、ハードウェアアプライアンスと同じ極めてロータッチなデプロイメントモデルと一元化されたフリート管理が可能で、追加費用なしですべてのMagic WANの顧客に提供されます。
- 可視性と分析機能の強化:Magic WAN Connectorは、接続状況、CPU使用率、メモリ消費量、デバイスの温度などの主要なメトリクスに対する可視性を強化しています。これらの分析機能はダッシュボードとAPIを介して利用可能で、オペレーションチームはNOC(ネットワークオペレーションセンター)に分析データを統合することができます。
DevOpsチームへのSASEの拡大
よく知られているように、複雑な継続的インテグレーションと継続的デリバリー(CI/CD)パイプラインのインターアクションはアジャイルで、これらのワークフローをサポートする接続性とセキュリティは一致している必要があります。DevOpsチームは、さまざまな開発・運用ツールへのリモートアクセスを実現するために、従来のVPNに過剰に依存することが増えています。VPNは管理が煩雑で、既知またはゼロデイの脆弱性を悪用されやすく、使用されている従来型のハブアンドスポーク接続モデルは最新のワークフローにとっては遅すぎます。
開発者は、ほかの従業員グループと比較して、日々のワークフローにおける摩擦を減らす創造的な回避策を見つける能力が特に高く、組織のセキュリティ対策はすべて、開発者たちの邪魔をすることなく「機能する」必要があります。開発環境、ステージング環境、本番環境のすべてのユーザーとサーバーは、どのコンポーネントとツールが使用されていても、どこに配置されていても、一元化されたZero Trustのアクセス制御によってオーケストレーションされるのが理想です。アドホックなポリシーの変更への対応や、本番サーバーのインシデント発生時に、請負業者や緊急対応者が一時的にZero Trustアクセスできるようにすることも必要です。
DevOpsチームのためのZero Trust接続
ZTNAは、セキュアで最小権限のユーザーからユーザーへのアクセスのための産業パラダイムとしてうまく機能していますが、これを、サーバー主導型または双方向トラフィックを伴うセキュアなネットワーキングのユースケースにさらに拡張する必要があります。これは、ルーターに依存することなく、クラウド、VPC、またはネットワークセグメントを横断するオーバーレイのメッシュ接続モデルを求める新たなトレンドに従うものです。真のAny-to-Any接続を実現するためには、ネットワーク接続とアプリケーションアクセスのすべてのユースケースをカバーする柔軟性が必要です。SASEベンダーのネットワークオンランプの中には、クライアント主導のトラフィックを超えて拡張するために、ネットワークルーティングの変更やセキュリティのトレードオフを必要とするケースもあり、そのため、一般的な「Any-to-Any接続」の謳い文句は、当初見かけとは異なる可能性があります。
CloudflareはZTNAの範囲を拡張し、すべてのユーザーからアプリへのユースケースをカバーできるようにします。さらに、メッシュとピアツーピアセキュアネットワーキングにより、可能な限り幅広く、柔軟な接続オプションを実現します。DevOpsのサービス間ワークフローは、ZTNA、VPNのリプレース、エンタープライズグレードのSASEを実現しているものと同じプラットフォーム上で効率的に実行できます。Cloudflareは、各ステップでのトラフィックの流れがどのようなものであっても、すべてのDevOpsユーザーとリソースを網羅する接続性の「接着剤」として機能します。同等の技術、すなわちWARP Connectorでは、管理者はIP範囲が重複する異なるプライベートネットワーク(VPCとRFC1918)の管理、既存のプライベートネットワーク上でのサーバー起動型トラフィックとピアツーピアアプリ(SCCM、AD、VoIP、SIPトラフィックなど)の接続性のサポート、P2Pプライベートネットワーク(CI/CDリソースフローなど)の構築、トラフィックの決定論的ルーティングが可能です。また、CloudflareのTerraformプロバイダーによってSASEプラットフォームの管理を自動化することもできます。
Cloudflareと他社の違い
CloudflareのシングルベンダーSASEプラットフォームである Cloudflare Oneは、パブリッククラウドの次の進化形であるCloudflareのコネクティビティクラウド上に構築されており、企業ネットワークおよびインターネットを含むあらゆるネットワーク、クラウド、アプリ、ユーザー間の接続を可能にするプログラマブルでコンポーザブルなサービスに対し、インテリジェントな統合プラットフォームを提供します。Cloudflareのコネクティビティクラウドは、SASEアーキテクチャを導入する企業が、より現実的な「Any-to-Any接続」を実現するために十分な柔軟性を備え、規定されたガイダンスに加え、カスタムの導入設定にも対応します。Cloudflareは、シングルベンダーSASEとその先を超えてIT制御の回復を支援するための必要な自由度を提供し、それに貢献するすべてのチームのワークフローを簡易化するように構築されています。
ほかのSASEベンダーは、インターネットに向けた外向き(下り)接続トラフィックを考慮してデータセンターを設計しています。それらは、横方向のトラフィックを処理したり保護したりするようには設計されておらず、支社から本社、支社から支社へと通過するトラフィックに対して、ミドルマイルの高速化もセキュリティサービスも提供されていませんでした。Cloudflareのミドルマイルグローバルバックボーンは、ユーザーがオンプレミスでもリモートでも、またアプリケーションがデータセンター内にあるかクラウド内にあるかに関わらず、Any-to-Any接続のセキュリティとネットワーキングをサポートします。
詳しくは、Cloudflareのリファレンスアーキテクチャ「Cloudflareを利用したSASEアーキテクチャへの進化」をご確認いただくか、 Cloudflare Oneのエキスパートにご相談ください。