ブログ > 会社情報

Gartner Researchの新しいレポート:The Future of Network Security Is in the Cloud

Published on:

Authored by:

Manoj Apte博士

Gartner Researchの新しいレポート:The Future of Network Security Is in the Cloud

The IT networking world is evolving rapidly: The new universe of cloud and mobility can neither be built nor scaled on the network architectures of the past. Gartner Research VP analyst Lawrence Orans and distinguished VP analysts Joe Skorupa and Neil MacDonald have authored a new report, The Future of Network Security Is in the Cloud(Skorupa and MacDonald had also authored the earlier report Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge.) From my perspective, Secure Access Service Edge (SASE) represents a new, visionary market paradigm.

(Download the full The Future of Network Security Is in the Cloud report here.)

これらのレポートは今後の方向性を示す独創的な内容であり、Orans氏、Skorupa氏、MacDonald氏による新しいクラウドサービスアーキテクチャのモデルテクノロジ市場の定義に、Fortune 2000のほとんどのCTOやCIOが同意するのではないでしょうか。エッジコンピューティングへのこの大きな移行の明確な定義は、SASEまで存在さえしませんでした。

SASEは、単なるSD-WANやハードウェアアプライアンスとクラウドによるMPLSの分断でもなければ、ゼロトラストの原則の適用でもありません。Orans氏、Skorupa氏、MacDonald氏は、「SD(Software-Defined)セキュアアクセス」でエンタープライズ環境を保護しようとしているITリーダーを、レポートで紹介しています。

複雑さ、レイテンシ、暗号化されたトラフィックの復号化とインスペクションに対するニーズによって、今後は、ネットワークとSEaaS(Security-as-a-Service)の機能のクラウド配信型SASE(Secure Access Service Edgeの略で、「サッシー」と発音)への統合の需要が高くなるでしょう。[出典:ガートナー、「ネットワークセキュリティの未来はクラウドにある」、2019年8月30日、Lawrence Orans、Joe Skorupa、Neil MacDonald共著] 

SASE(および、エンタープライズクラウドとモビリティに対するその影響)とは次のようなものではないかと私は考えています。 

  1. 既存の企業ネットワークとセキュリティのモデルの大転換
  2. 組織には、シンプルさ、スケーラビリティ、柔軟性を兼ね備え、レイテンシの少ない強力なセキュリティを実現する、クラウドベースの「セキュアエッジ」SaaSモデルの採用が求められる
  3. サービスエッジプロバイダには、広範囲に分散する(各エンドポイントにできるだけ近い場所に分散する)ネットワークのエッジにコンピューティングパワーを提供することが求められる


エッジ:低レイテンシのクラウドサービスの設計

大規模企業にとって、エンドポイントとクラウドアプリケーションの間で低レイテンシの接続を作成するのは簡単なことではありません。低レイテンシとはすなわち、セキュリティサービスがエンドポイントの近くにある必要があるということです。 

ゼットスケーラーのクラウド設計にあたり、我々は、(A)大規模NFVプラットフォームを作成することで、すべてのリモートロケーションですべてのサービスを利用できるようにする(「ファットブランチ」モデルと呼びます)、(B)リモートロケーションごとにルータを配置して広範囲に分散するクラウドで動作させる(「シンブランチ」)のいずれかの選択を迫られました。我々は(B)のアプローチをすぐに選択しました。 

GEのCIOであるChris Drumgoole氏の昨年のZenith Live基調講演での言葉を借りれば、ブランチにコードが増えるほど、修正しなければならない問題が増えます。彼が説明したように、ブランチをできるだけ軽くして、ほとんどの機能をクラウドにプッシュするのが、最良のアプローチです。 

SASEはこのアプローチを形にするものであり、SASEでは、ブランチを軽くし、ファイアウォールからDLPまでのすべての複雑な機能をクラウドで「as-a-Service」にすることと規定されています。


高価な仮想化ハードウェアのショートカット

クラウドサービスに対する要求の増加に伴い、従来型セキュリティアプライアンスの一部のベンダは、自らのハードウェアを仮想化するようになりましたが、これは、ボトルネックが発生しやすいシングルテナントネットワークアーキテクチャをクラウドに置くのと実質的に同じことです。さまざまな仮想マシンを順番にホスティングし、それぞれがトラフィックを送信してそれぞれの機能を実行するという、「as-a-Serviceモデル」のショートカットに過ぎません。そして、このようなモデルは、AWSなどのクラウドで非常に簡単に構築できます。しかしながら、SASEでは、ポリシーに一貫性がなく、コンテキストの損失が発生し、レイテンシが長いという理由から、このアプローチが明確に否定されています。

SASEは、「シングルパス」を推奨しており、このアプローチであれば、サービスがコンテキストを1度見つければ、そのコンテキストに従ってすべての機能を実行できます。 

そして、このアプローチがゼットスケーラーのクラウドサービスの基本であり、それを実現することを目標に、ゼットスケーラーのSSMA™ テクノロジが構築されました(SSMAは、ユーザエクスペリエンスとポリシーの一貫性が最優先されるというお客様からの証言に基づき、開発されました)。


利用しているクラウドベンダのPOPはいくつですか?

ゼットスケーラーのクラウド設計にあたり、我々は、世界中のPOP(Points Of Presence)を評価し、次の2つのオプションを検討しました。 

  1. 10〜12箇所の大規模データセンタにコンピューティングを構築し、POPを作成し、専用のネットワークバックボーンを確立する。または、 

  2. すべてのPOPにコンピューティングを構築することで、すべてのサービスがクラウドのセキュアエッジで実行されるようにする。

1つ目のオプションの方が、安価で速く、簡単に構築できたはずですが、低レイテンシという目標を達成できず、企業のMPLSバックホールモデルをプロバイダのバックホールに(POPからコンピューティングリージョンへ)置き換えるだけに留まるだけとなります。 

(すべてのPOPの)エッジにコンピューティングを置けば、エンドポイントとアプリケーションの間に追加されるパスレイテンシを最小限にできます。このアプローチは、設計には確かにコストと時間がかかりますが、構築してしまえば、ユーザが最小のパスレイテンシで任意のネットワークのデバイスから任意のネットワークのアプリケーションにアクセスできます。ゼットスケーラーの採用の拡大に伴い、我々は、Orange Business、BT、AT&T、TATAなどのサービスプロバイダとダイレクトピアリングの関係を確立しました。コンテンツ/クラウドアプリプロバイダとしては、Microsoft、Google、Akamaiなどの多くのプロバイダとピアリングしています。(パートナーの価値の大きさ:トラフィックがゼロであれば、ピアリング容量が100 GBpsというベンダの主張に意味がありません。多くのクラウドアプリケーションで700 Gbps以上が維持されており、ほとんどのクラウドプロバイダやサービスプロバイダがゼットスケーラーとピアリングしています。)

Zscalerクラウド経由でOffice 365に接続している、シンガポールのあるOBSのお客様の場合はどうでしょうか。エンドポイントによってOffice 365へのデータのパケットが生成された場合、そのパスにおいては、OBSとパートナーによってラストマイルが提供されますが、OBSはシンガポールのゼットスケーラーとピアリングしているため、OBSのファイバを離れたパケットは、ルータ/スイッチ経由でゼットスケーラーのエッジに接続します。ゼットスケーラーはMicrosoftともピアリングしているため、ゼットスケーラーのインスペクションスタックを離れたパケットは、1回のホップでMicrosoftのファイバに到達します。

これを、Google Cloudでホスティングされているエッジサービス(ファイアウォールなど)と比べてみましょう。データパケットは、ピアリングネットワーク経由でOBSからGoogleに移動し、さらにGoogleのネットワークバックボーン経由で、Googleのコンピューティングが置かれているいずれかの地域に移動することになります。パケットはそこからセキュリティスタックを通り、Googleのネットワーク経由でピアリングロケーションに戻った後に(ようやく)Microsoftネットワークバックボーンへとルーティングされます。このようにあちこちを経由する、長く、ネットワークのホップ数が多い、レイテンシの原因となるデータトラフィックのルーティングは、正にSASEが否定する方法です。

SASEモデルはクラウドアーキテクチャの理想的なビジョンではありますが、そのサービス実装の実現には、多額のインフラストラクチャ投資が必要であり、サービスをAWSに移すだけでSASEと呼べるわけではありません。SASEでは明確に、エッジコンピューティングサービスをアプリケーションデリバリを前提に設計されたクラウドで動作させないことを推奨しています。現状では、IaaSやPaaSのプロバイダで、「aaS」型の純粋なエッジコンピューティングに十分と言えるほどの分散型プラットフォームを提供している会社はありません(おそらく、最もそれに近いのはLambdaでしょう)。  


SASE:新しい「デジタルビジネスイネーブラ」

SASEによって最終的に達成される大きなメリットは、ITリーダーに組織のトランスフォーメーションの機会を提供することです。ガートナーのOrans氏、Skorupa氏、MacDonald氏は、これらのITリーダーに対し、「SASEの採用をスピードとアジリティというの下でデジタルビジネスイネーブラとして位置付ける」ことを推奨しています。それ以外にも、セキュリティやリスク管理のリーダーに対し、サービスの統合を推奨しています。また、ガートナーのアナリストは企業に対し、「SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、DNS、ZTNA(ゼロトラストネットワークアクセス)、リモートブラウザ分離の機能を理想的には1つのベンダに移行することで、ネットワークセキュリティ側の複雑さを軽減する」ことを推奨しています。

Zscaler customers know that the cloud-computing service delivery future is highly-distributed, secured, and powered at the edge, close to every user. To learn more, download the Gartner report here.

Gartner, The Future of Network Security Is in the Cloud; 30 August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Manoj ApteはZscalerの最高戦略責任者です

 



お勧めのブログ