Gartner

ゼットスケーラーは、ガートナーのマジッククアドラント2020において、セキュアWebゲートウェイ 部門で唯一のリーダーに選出されました。レポートダウンロード(英語) はこちら

Select your role & we’ll curate content specifically for you
ブログ > 会社情報

Gartner Researchの新しいレポート:The Future of Network Security Is in the Cloud

Published on:

Authored by:

Manoj Apte博士

Gartner Researchの新しいレポート:The Future of Network Security Is in the Cloud

ITネットワーキングの世界は急速に進化しています。クラウドとモビリティの新しい世界は、過去のネットワークアーキテクチャでは、構築することも、拡張することもできません。ガートナーリサーチのVPアナリストであるLawrence Orans氏、著名VPアナリストであるJoe Skorupa氏とNeil MacDonald氏が、新しいレポート「ネットワークセキュリティの未来はクラウドにあるを執筆しました(Skorupa氏とMacDonald氏は以前に、「市場トレンド:WANエッジで勝利し、SASEへのセキュリティのコンバージェンスを可能にする方法」というレポートも執筆しています)。SASE(Secure Access Service Edge)は、新たなビジョンを示す将来性ある市場パラダイムであると私は考えています。

(「ネットワークセキュリティの未来はクラウドにある」のレポート全文は、こちらからダウンロードしてください)

これらのレポートは今後の方向性を示す独創的な内容であり、Orans氏、Skorupa氏、MacDonald氏による新しいクラウドサービスアーキテクチャのモデルテクノロジ市場の定義に、Fortune 2000のほとんどのCTOやCIOが同意するのではないでしょうか。エッジコンピューティングへのこの大きな移行の明確な定義は、SASEまで存在さえしませんでした。

SASEは、単なるSD-WANやハードウェアアプライアンスとクラウドによるMPLSの分断でもなければ、ゼロトラストの原則の適用でもありません。Orans氏、Skorupa氏、MacDonald氏は、「SD(Software-Defined)セキュアアクセス」でエンタープライズ環境を保護しようとしているITリーダーを、レポートで紹介しています。

複雑さ、レイテンシ、暗号化されたトラフィックの復号化とインスペクションに対するニーズによって、今後は、ネットワークとSEaaS(Security-as-a-Service)の機能のクラウド配信型SASE(Secure Access Service Edgeの略で、「サッシー」と発音)への統合の需要が高くなるでしょう。[出典:ガートナー、「ネットワークセキュリティの未来はクラウドにある」、2019年8月30日、Lawrence Orans、Joe Skorupa、Neil MacDonald共著] 

SASE(および、エンタープライズクラウドとモビリティに対するその影響)とは次のようなものではないかと私は考えています。 

  1. 既存の企業ネットワークとセキュリティのモデルの大転換
  2. 組織には、シンプルさ、スケーラビリティ、柔軟性を兼ね備え、レイテンシの少ない強力なセキュリティを実現する、クラウドベースの「セキュアエッジ」SaaSモデルの採用が求められる
  3. サービスエッジプロバイダには、広範囲に分散する(各エンドポイントにできるだけ近い場所に分散する)ネットワークのエッジにコンピューティングパワーを提供することが求められる


エッジ:低レイテンシのクラウドサービスの設計

大規模企業にとって、エンドポイントとクラウドアプリケーションの間で低レイテンシの接続を作成するのは簡単なことではありません。低レイテンシとはすなわち、セキュリティサービスがエンドポイントの近くにある必要があるということです。 

ゼットスケーラーのクラウド設計にあたり、我々は、(A)大規模NFVプラットフォームを作成することで、すべてのリモートロケーションですべてのサービスを利用できるようにする(「ファットブランチ」モデルと呼びます)、(B)リモートロケーションごとにルータを配置して広範囲に分散するクラウドで動作させる(「シンブランチ」)のいずれかの選択を迫られました。我々は(B)のアプローチをすぐに選択しました。

SASEはこのアプローチを形にするものであり、SASEでは、ブランチを軽くし、ファイアウォールからDLPまでのすべての複雑な機能をクラウドで「as-a-Service」にすることと規定されています。


高価な仮想化ハードウェアのショートカット

クラウドサービスに対する要求の増加に伴い、従来型セキュリティアプライアンスの一部のベンダは、自らのハードウェアを仮想化するようになりましたが、これは、ボトルネックが発生しやすいシングルテナントネットワークアーキテクチャをクラウドに置くのと実質的に同じことです。さまざまな仮想マシンを順番にホスティングし、それぞれがトラフィックを送信してそれぞれの機能を実行するという、「as-a-Serviceモデル」のショートカットに過ぎません。そして、このようなモデルは、AWSなどのクラウドで非常に簡単に構築できます。しかしながら、SASEでは、ポリシーに一貫性がなく、コンテキストの損失が発生し、レイテンシが長いという理由から、このアプローチが明確に否定されています。

SASEは、「シングルパス」を推奨しており、このアプローチであれば、サービスがコンテキストを1度見つければ、そのコンテキストに従ってすべての機能を実行できます。 

そして、このアプローチがゼットスケーラーのクラウドサービスの基本であり、それを実現することを目標に、ゼットスケーラーのSSMA™ テクノロジが構築されました(SSMAは、ユーザエクスペリエンスとポリシーの一貫性が最優先されるというお客様からの証言に基づき、開発されました)。


利用しているクラウドベンダのPOPはいくつですか?

ゼットスケーラーのクラウド設計にあたり、我々は、世界中のPOP(Points Of Presence)を評価し、次の2つのオプションを検討しました。 

  1. 10〜12箇所の大規模データセンタにコンピューティングを構築し、POPを作成し、専用のネットワークバックボーンを確立する。または、 

  2. すべてのPOPにコンピューティングを構築することで、すべてのサービスがクラウドのセキュアエッジで実行されるようにする。

1つ目のオプションの方が、安価で速く、簡単に構築できたはずですが、低レイテンシという目標を達成できず、企業のMPLSバックホールモデルをプロバイダのバックホールに(POPからコンピューティングリージョンへ)置き換えるだけに留まるだけとなります。 

(すべてのPOPの)エッジにコンピューティングを置けば、エンドポイントとアプリケーションの間に追加されるパスレイテンシを最小限にできます。このアプローチは、設計には確かにコストと時間がかかりますが、構築してしまえば、ユーザが最小のパスレイテンシで任意のネットワークのデバイスから任意のネットワークのアプリケーションにアクセスできます。ゼットスケーラーの採用の拡大に伴い、我々は、Orange Business、BT、AT&T、TATAなどのサービスプロバイダとダイレクトピアリングの関係を確立しました。コンテンツ/クラウドアプリプロバイダとしては、Microsoft、Google、Akamaiなどの多くのプロバイダとピアリングしています。(パートナーの価値の大きさ:トラフィックがゼロであれば、ピアリング容量が100 GBpsというベンダの主張に意味がありません。多くのクラウドアプリケーションで700 Gbps以上が維持されており、ほとんどのクラウドプロバイダやサービスプロバイダがゼットスケーラーとピアリングしています。)

Zscalerクラウド経由でOffice 365に接続している、シンガポールのあるOBSのお客様の場合はどうでしょうか。エンドポイントによってOffice 365へのデータのパケットが生成された場合、そのパスにおいては、OBSとパートナーによってラストマイルが提供されますが、OBSはシンガポールのゼットスケーラーとピアリングしているため、OBSのファイバを離れたパケットは、ルータ/スイッチ経由でゼットスケーラーのエッジに接続します。ゼットスケーラーはMicrosoftともピアリングしているため、ゼットスケーラーのインスペクションスタックを離れたパケットは、1回のホップでMicrosoftのファイバに到達します。

これを、Google Cloudでホスティングされているエッジサービス(ファイアウォールなど)と比べてみましょう。データパケットは、ピアリングネットワーク経由でOBSからGoogleに移動し、さらにGoogleのネットワークバックボーン経由で、Googleのコンピューティングが置かれているいずれかの地域に移動することになります。パケットはそこからセキュリティスタックを通り、Googleのネットワーク経由でピアリングロケーションに戻った後に(ようやく)Microsoftネットワークバックボーンへとルーティングされます。このようにあちこちを経由する、長く、ネットワークのホップ数が多い、レイテンシの原因となるデータトラフィックのルーティングは、正にSASEが否定する方法です。

SASEモデルはクラウドアーキテクチャの理想的なビジョンではありますが、そのサービス実装の実現には、多額のインフラストラクチャ投資が必要であり、サービスをAWSに移すだけでSASEと呼べるわけではありません。SASEでは明確に、エッジコンピューティングサービスをアプリケーションデリバリを前提に設計されたクラウドで動作させないことを推奨しています。現状では、IaaSやPaaSのプロバイダで、「aaS」型の純粋なエッジコンピューティングに十分と言えるほどの分散型プラットフォームを提供している会社はありません(おそらく、最もそれに近いのはLambdaでしょう)。  


SASE:新しい「デジタルビジネスイネーブラ」

SASEによって最終的に達成される大きなメリットは、ITリーダーに組織のトランスフォーメーションの機会を提供することです。ガートナーのOrans氏、Skorupa氏、MacDonald氏は、これらのITリーダーに対し、「SASEの採用をスピードとアジリティというの下でデジタルビジネスイネーブラとして位置付ける」ことを推奨しています。それ以外にも、セキュリティやリスク管理のリーダーに対し、サービスの統合を推奨しています。また、ガートナーのアナリストは企業に対し、「SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、DNS、ZTNA(ゼロトラストネットワークアクセス)、リモートブラウザ分離の機能を理想的には1つのベンダに移行することで、ネットワークセキュリティ側の複雑さを軽減する」ことを推奨しています。

ゼットスケーラーのお客様は、将来的にはクラウドコンピューティングサービスデリバリの分散化が今より進み、セキュリティが強化され、それぞれのユーザにさらに近づくことを知っています。詳細については、ガートナーのレポートをここからダウンロードしてご確認ください。

ガートナー、「ネットワークセキュリティの未来はクラウドにある」2019年8月30日、Lawrence Orans、Joe Skorupa、Neil MacDonald共著


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Manoj ApteはZscalerの最高戦略責任者です

 



お勧めのブログ