Embed Size (px)
Citation preview
パートナー概要
クラウド提供型の安全なアクセスで、 あらゆるユーザ、あらゆる場所、あらゆるアプリ、あらゆる場所に対応
ゼットスケーラーとSilver Peakは、真のゼロタッチプロビジョニングによって、あらゆるユーザ、あらゆるアプリ、あらゆる場所のデバイスへの最適なセキュリティポリシーの適用を自動化します
本書の要旨アプリケーションのクラウドへの移行が進み、トラフィックパターンが変化している中で、新たなWAN(ワイドエリアネットワーク)のアプローチとセキュリティモデルに対するニーズが高まっています。すべてのアプリケーションが企業のデータセンタでホスティングされていた環境では、ブランチからのすべてのトラフィックがMPLS回線経由でデータセンタにバックホールされ、セキュリティサービスのスタック全体がデータセンタの出口で適用されるため、ブランチに必要とされるのは、基本的なセキュリティサービスだけでした。
それから環境は変化し、現在の企業では、データセンタ、パブリッククラウド、プライベートクラウド、あるいは多種多様なSaaS(Software-as-a-Service)プロバイダを介して、あらゆる場所でアプリケーションがホスティングされるようになりました。ユーザはあらゆる場所で多様なデバイスを利用し、ブロードバンドインターネットを含むさまざまなWANトランスポート経由でアプリケーションにアクセスしているため、セキュリティモデルやITの課題はさらに複雑化しています。IoTデバイスの急増によって、ITは多くのセキュリティの課題に直面しており、セキュリティ境界が存在しなくなったことで、攻撃対象領域が拡大していることから、高度なセキュリティサービスに対するニーズが拡大しています。
すべてのブランチに次世代ファイアウォールを導入するという方法もありますが、そのモデルは納得できるものではありません。ハードウェアは高いコストを要する上、専用のセキュリティアプライアンスを数百あるいは数千のブランチに導入して管理するには、さまざまなITリソースが必要です。さらには、ブランチを起点とするアプリケーショントラフィックには、サンドボックス、不正侵入防止(IPS)、情報漏洩防止などの高度なセキュリティコントロールだけでなく、SSLインスペクションによる脅威や脆弱性からの保護も必要となります。
クラウドファーストエンタープライズにおけるセキュリティの課題
アプリケーションパフォーマンスを予測できないトラフィックに優先順位を設定し、ビジネス主導のセキュリティポリシーを適用できないと、ビジネスクリティカルなアプリケーションのパフォーマンスが低下する恐れがある
ポリシーの構成に時間がかかり、エラーが発生しやすいため、導入が遅れるクラウドアプリケーションは常に変化するため、すべての場所のルータやファイアウォールをその度に手動で再構成する必要がある
一貫性あるポリシーを適用できない一貫性あるセキュリティポリシー定義を数百または数千のサイトで維持するのは困難である
本資料で提案するソリューションのメリット
ビジネスクリティカルなアプリケーションへの高速かつ安全なアクセスを保証ビジネスクリティカルなアプリケーションを優先させることで、最高品質のユーザエクスペリエンスが実現できる
新しいブランチやアプリケーションの迅速な導入が可能になる 一元的なポリシー定義と真のゼロタッチプロビジョニングによって、新しいブランチやアプリケーションの導入が加速し、合併・買収時の迅速なオンボーディングが可能になる
一貫性あるビジネスポリシーやセキュリティポリシーがグローバルのすべてのユーザに適用されるセキュリティやクラウドアプリケーションのアップデートが自動化されることで、すべての場所へのネットワークやセキュリティポリシーの適用が最適化できる
ゼットスケーラーパートナーソリューション概要
セキュリティとコストに関するこれらの課題を解決するため、ゼットスケーラーが提供するセキュリティサービスなどの一元的なオーケストレーションが可能なクラウドホスティング型のセキュリティサービスが登場し、大幅な成長を遂げています。ゼットスケーラーのクラウドセキュリティプラットフォームを、Silver PeakのUnity EdgeConnect SD-WANエッジプラットフォームでアプリケーション対応させることで、企業を脅威から保護し、最高のアプリケーションパフォーマンスとユーザエクスペリエンス、コスト削減を実現する、強力なセキュアアクセスサービスエッジ(SASE)ソリューションが完成します。
アプリケーションがクラウドへ移行することによって、WANやセキュリティのトランスフォーメーションが緊急の課題にアプリケーションのクラウドへの移行にあたり、最高のパフォーマンスを実現するには、ユーザが、クラウドでホスティングされているアプリケーションやSaaSアプリケーションにインターネット経由でダイレクト接続する必要があります。しかし、ブランチで攻撃対象領域が拡大するため、脅威や脆弱性に対応するべく強力なセキュリティ対策が必要です。
ルータと独立したファイアウォールを前提とするデバイス中心のモデルは、ハブ&スポークアーキテクチャと呼ばれ、すべてのトラフィックは本社にバックホールされ、次世代ファイアウォールでインスペクションが実行されることになります。このバックホールには、高コストのMPLS帯域幅が必要で、レイテンシが増加するため、アプリケーションのパフォーマンスが低下します。次世代ファイアウォールをすべてのブランチに導入するという選択肢もありますが、ITが非常に複雑化し、コストも非常に高くなります。
クラウドファーストITセキュリティの課題「デバイスや場所を問わず、WANで働ける環境」クラウドファースト戦略の実行において、ITはこれまでになかった課題に直面しています。ユーザは、ブランチだけでなく、自宅、ホテル、近所のカフェなど、あらゆる場所から、クラウドやSaaSのアプリケーションにアクセスするようになっています。さらには、IoTデバイスの急増によって、セキュリティタスクがさらに追加されるため、この課題に対処するには、企業は、場所を問わず利用できるセキュリティサービスソリューションを従業員に提供し、どこから接続しても高速かつ安全なユーザエクスペリエンスが全員に提供されるようにする必要があります。また、そのセキュリティの範囲をインターネットベースのサービスとやり取りする幅広いエージェントレスデバイスにまで拡大する必要があります。
すべてのアプリが同じように開発されているわけではないVoIPサービスなどの一部のSaaSソリューションはジッタに敏感で、堅牢なセキュリティ対策をサポートしているため、企業をリスクにさらすことはありません。ユーザをこれらのアプリケーションにダイレクト接続すれば、最高のユーザエクスペリエンスが提供されます。しかし、クラウドやWebベースのそれ以外のアプリケーションは、安全性が確保できない、もしくは企業を脅威や知的財産(IP)漏洩のリスクにさらす可能性があるため、より高度なセキュリティインスペクションが必要になります。例を挙げると、従業員が誤って(または故意に)Facebookのメッセージで会社のIPを転送してしまうといったことなどです。あるいは、企業ポリシーで、ゲストWi-FiトラフィックをSSLインスペクションやユーザ認証から除外し、他のすべてのトラフィックにそれらの要件を適用させることもできますが、
そのような例外を設ける場合は、自動的かつ一貫性のある方法で全社的に例外が適用されるようにすることで、企業ネットワークのセキュリティが損なわれないようにする必要があります。IT部門は、アプリケーション、ユーザ、場所、デバイスに基づき、ビジネス要件あるいは「意図」にすべて従って、きめ細かいセキュリティポリシーをサポートできなければなりません。
アプリケーションや脆弱性は常に変化するMicrosoft Office 365などの多く利用されているSaaSアプリケーション、RingCentralなどのUCaaSアプリケーション、Facebook、Instagramなどの非業務用アプリケーションなどの場合は特に、SaaSアプリケーションの定義やアクセスに使用されるIPアドレスの範囲が頻繁に変わることが予想されます。企業のセキュリティをリスクにさらす、100万近い新しい脅威が毎日発見されています。1 WANやセキュリティが常にそれに自動的に適応できるようにする、すなわち、ITが絶え間ない変化に対応できるようにすることで、ビジネスクリティカルなアプリケーションへ安全に中断なくアクセスできるようにさせる必要があります。
新しいブランチやアプリケーションの迅速な展開グローバル市場で競争力を維持するには、IT部門が新しいアプリケーションの導入に迅速に対応し、新しいサイトをオンラインにする必要があります。ルータ、異なるファイアウォール、MPLS接続を前提とする従来型のWANモデルで新しいサイトを完成させるには、一般的に3か月以上を要します。売上の増加あるいは買収によるビジネスの成長に対応し、アプリケーション需要を満たすため、多くの企業が、真のゼロタッチプロビジョニングによって新しいWANやセキュリティサービスの導入を自動化する手段を必要としています。
1 https://www.webarxsecurity.com/website-hacking-statistics-2018-february/
ゼットスケーラーパートナーソリューション概要
WANのパフォーマンスとセキュリティの問題の解消クラウドの登場に加えて、インターネットや4G/LTEサービスのアクティブWANトランスポートとしての利用が増加していることで、セキュリティ、ネットワーク、およびアプリケーションのパフォーマンスの問題をITが解決するのがこれまで以上に困難になっています。ところが、常時オンの高性能アプリケーションに対するエンドユーザの期待は、かつてないほど高まっています。企業は、迅速なトラブルシューティングを可能にし、ITによるビジネスへの迅速な対応を支援するツールを必要としています。
これらの課題を解決するには、WANやWANセキュリティのインフラストラクチャモデルの再構築が必要です。
クラウドファーストの世界を実現するSASE
デジタルトランスフォーメーションによって、アプリケーションがデータセンタからクラウドに移行していることで、従来型のネットワークやセキュリティのアーキテクチャは時代遅れになっています。この新しいパラダイムを前提に設計されたソリューションを表す言葉として、ガートナーが提唱しているのが、SASE(セキュアアクセスサービスエッジ)です。包括的なWAN機能を、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、FWaaS(Firewall-as-a-Service)、ZTNA(Zero Trust Network Access)などの包括的なネットワークセキュリティ機能と統合することで、デジタルエンタープライズの動的かつ安全なアクセスのニーズへの対応が可能になります。そして、このSASEの主要設計の原則となるのが、ハードウェアに大きく依存するブランチから、WAN管理やセキュリティサービスの包括的なスタックを含むクラウドネイティブサービスによる、「シンブランチ」へのトランスフォーメーションです。このアーキテクチャを採用することで、企業は、適切なバランスのパフォーマンス、可用性、アジリティ、コストを手に入れることができるのです。
セキュリティとWANエッジインフラストラクチャソリューションのリーダーであるゼットスケーラーとSilver Peakの連携により、現代のクラウドファーストの企業が直面する、常に変化するビジネスニーズに対応するSASEアーキテクチャが形成されました。
ゼットスケーラーとSilver PeakによるセキュアなWANアクセスZscaler Internet Accessを始めとする、クラウドでホスティングされるセキュリティサービスは、クラウドファーストの企業にとって優れたセキュリティを実現するための新しい選択肢です。ゼットスケーラーは、次世代ファイアウォール、アクセスコントロール、IPS、サンドボックス、UTM、URLフィルタリング、DLP、CASB、リモートブラウザ分離などを含む完全セキュリティスタックの一元的な管理とサポート
を可能にし、同一の保護と一貫性あるポリシーをユーザに提供します。数百あるいは数千のサイトであっても、セキュリティアプライアンスを購入、導入、管理することなく、ポリシーを適用します。
クラウドでホスティングされるセキュリティサービスをアプリケーション対応でビジネス主導のEdgeConnectプラットフォームを組み合わせることで、ブランチのWANエッジインフラストラクチャが合理化されます。高価で管理が複雑な次世代ファイアウォールをすべてのブランチに導入する必要はありません。
きめ細かなセキュリティポリシーの適用Silver PeakのファーストパケットiQアプリケーションの識別により、インテリジェントできめ細かなトラフィックステアリングが可能になります。これにより、ビジネスの意図に基づいたきめ細かなセキュリティポリシーの適用が容易になり、すべてのアプリケーションに最高のパフォーマンスを提供しながら組織を保護できます。たとえば、ビジネス主導のセキュリティポリシーのセットは次のようになります。
データセンタでホスティングされているアプリケーショントラフィックを本社に直接送信
UCaaSトラフィックのみをプロバイダのクラウドサービスに直接送信
上記以外の、Salesforce、Facebook、YouTube、Box、Web閲覧を含むすべてのインターネットへのトラフィックをZscaler Enforcement Node(ZEN)に送信しセキュリティインスペクションを実行してから、プロバイダのクラウドまたはWebサービスに転送
アプリケーション/ユーザ/デバイスレベルのコントロールSilver PeakとゼットスケーラーのAPIの統合によって、ブランチに適用するゼットスケーラーの一連のセキュリティポリシーを指定できます。ブランチにおける特定のアプリケーション、ユーザ、デバイスに異なるセキュリティポリシーを適用する必要がある場合もありますが、ゲートウェイオプション機能によって、サブロケーションに例外を定義できます(図1を参照)。
たとえば、以下のようなポリシーを定義することができます。
エンタープライズトラフィックにはSSLインスペクションが必要
ネットワークにアクセスするIoTデバイスには、SSLインスペクションが必要だが、ユーザ認証は不要
プライバシーの観点から、ゲストWi-FiアクセスではSSLインスペクションを無効化
1
1
2
2
3
3
ゼットスケーラーパートナーソリューション概要
内部(LAN) ゲストWi-Fi IoT
インターネット
ゲートウェイポリシーオプション
ZIA APIUnity Orchestrator
SD-WAN
タイプ
ロケーション
サブロケーション
サブロケーション
名前
内部
ゲストWifi
IoT
サブネット
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
SSLインスペクション
あり
なし
あり
ユーザ認証
あり
なし
なし
インタフェース
LAN0
LAN1
LAN2
ラベル
内部
ゲストWifi
IoT
サブネット
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
プライマリZEN
セカンダリZEN
プライマリトンネル
セカンダリトンネル
プライマリトンネ
ル
セカンダリトンネル
図1:サブロケーションアドレスとサブネットがZscaler Internet Accessクラウド提供型セキュリティサービスに自動的にマッピングされるため、ITがサブロケーションごとに一意のセキュリティポリシーを定義できる
図2:常に最適パスを選択することで、最高のSaaSエクスペリエンスと99.999%の可用性を実現
一元管理ゼットスケーラーとSilver Peakの統合ソリューションによって、ブランチのWANインフラストラクチャの簡素化だけでなく、一元管理も可能になります。真のゼロタッチプロビジョニングによって、ゲートウェイオプションやロケーション/サブロケーションルールを含むすべてのポリシーをたった一回定義するだけで、すべてのサイトに自動配信されるため、数百から数千のサイトに対して数分で新しいポリシーを展開できます。新しいサイトをオンラインにしたり、ポリシーを変更、更新するのも簡単です。ポリシー構成と管理の一元化によって、ファイアウォールモデルごとに異なる構成をデバイス単位で実行する必要がなくなり、人的エラーの可能性が最小限になります。結果として、一貫性ある、きめ細かい、エンドツーエンドのセキュリティポリシーの適用が実現します。
完全自動のオンボーディングゼットスケーラーとSilver Peakのパートナーシップによって、クラウドセキュリティサービスのオンボーディングの大幅な簡素化が実現しました。EdgeConnect SD-WANアプライアンスと近接性に基づくZscaler Enforcement Node(ZEN)PoPの間のIPsecトンネル構成を完全に自動化することで、すべてのブランチサイトでIPsecトンネルを手動で定義する、時間のかかるタスクが不要になります。ゼットスケーラーのポータルの位置情報はSilver Peak Unity Orchestrator™によって「学習」され、ブランチサイトを最も近いプライマリとバックアップZEN PoPへ接続します(図2を参照)。
ゼットスケーラーパートナーソリューション概要
図3:ゼットスケーラーのサブスクリプションの認証情報がOrchestratorに入力され、検証される
IT部門は、Unity Orchestratorコンソールからゼットスケーラーのサブスクリプションの認証情報を検証し(図3を参照)、ZEN PoPに接続するブランチロケーションを選択するだけで手順を完了させることができます。Orchestratorによって、各ブランチロケーションにおいて、最も近いプライマリとセカンダリZEN PoPへのプライマリとオプションのセカンダリIPsecトンネルが自動的に構成され、最高品質のクラウドアプリケーションパフォーマンスが提供されます。EdgeConnectアプライアンスごとにIP SLAエンジンが存在し、すべてのIPsecトンネルの状態が継続的に監視されます。この状態チェックによって、それぞれのZEN PoPの特定のテストポイントへの状態を測定、トラフィックは必要に応じてバックアップノードに自動的にリダイレクトされます。ブランチサイトに近い新しいZEN PoPが利用可能になると、構成されたトンネルが自動的に更新され、それに応じて、ゼットスケーラーとSilver Peakの統合ソリューションは、常に新しい構成に適応し、ピークアプリケーションパフォーマンスをユーザに提供します。
IT部門は、ゼットスケーラーのZEN PoPに転送するアプリケーショントラフィックを選択し、優先させるプライマリとセカンダリのトラフィック処理ポリシーを構成画面に「ドラッグ&ドロップ」するだけで、手順を完了させることができます(図4を参照)。ここでは通常、UCaaSなどのホワイトリストに登録されたトラフィックを除くすべてのインターネットに送られるトラフィックを指定します。ポリシーが変更になった場合も、簡単に更新でき、Orchestratorでマウスを一回クリックするだけですべての場所に配信できます。
ゼットスケーラーパートナーソリューション概要
図5:数分以内で、すべてのSD-WANブランチロケーションが最も近いゼットスケーラーのZEN POPに自動接続される
図4:トラフィッククラスごとに優先トラフィック処理ポリシーの順序が構成される
ゼットスケーラーのAPIをSilver Peakに適用させることで、SD-WANファブリックのブランチロケーションと、それに最も近いプライマリZENとオプションのセカンダリZENのPoPに接続するプロセスが自動的に統合されます。この統合によって、数百のサイトが数分で自動接続されるため、ITの運用費を大幅に削減できます(図5を参照)。また、SD-WANに一貫性あるポリシーを適用することで、脅威や脆弱性から企業を保護するというメリットも得ることができます。
ゼットスケーラーとSilver Peakの統合ソリューションは、セキュアブランチロケーションへのIPsecトンネル確立の完全な自動化を可能にするだけでなく、その優れた柔軟性によって、インターネットへのトラフィックにギガビット速度の帯域幅を必要とする主要ブランチロケーションをサポートします。IT部門はOrchestratorを使用し、これらのロケーションと最も近いプライマリおよびセカンダリのZEN PoPの間のGREトンネルを一元的に構成し、監視できます。
パートナー概要
© 2020 Zscaler, Inc.All rights reserved.Zscaler™、Zscaler Internet Access™、Zscaler Private Access™、ZIA™、およびZPA™は、Zscaler, Inc.の米国またはその他の国、あるいはその両方における(i)登録商標またはサービスマーク、または(ii)商標またはサービスマークです。その他の商標は、所有者である各社に帰属します。
ゼットスケーラー株式会社東京都千代田区大手町1-9-2 大手町フィナンシャルシティ
グランキューブ3階www.zscaler.jp
ゼットスケーラーについて
ゼットスケーラー(NASDAQ: ZS)は、世界中の有力企業のネットワークおよびアプリケーションのモバイルおよびクラウドファーストな世界へ向けて、セキュアなトランスフォーメーション(転換)を実現します。ゼットスケーラーの代表的サービスである Zscaler Internet Access™およびZscaler Private Access™は、デバイス、場所、ネットワークなどに影響されることなく、ユーザーとアプリケーション間の高速でセキュアな接続を構築します。これらのサービスは100%クラウドで提供されるため、従来のアプリケーションとは比較にならない容易さ、高度なセキュリティ、優れたユーザーエクスペリエンスを提供します。185か国以上で使用されているマルチクラウド分散型セキュリティプラットフォームを運営し、サイバー攻撃とデータ消失から数千社の顧客企業を保護しています。詳細については、zscaler.jpもしくは、Twitter(@zscaler)をフォローしてください。
Silver Peakについて
グローバル SD-WANリーダーであるSilver Peakは、ビジネスファーストのネットワーキングモデルによって、クラウドの圧倒的なメリットを提供します。Unity EdgeConnect™自動運転型ワイドエリアネットワークプラットフォームは、従来のWANアプローチから企業を解放し、ネットワークトランスフォーメーションによってビジネスを加速させます。EdgeConnectは、SD-WAN、ファイアウォール、セグメンテーション、ルーティング、WAN最適化、アプリケーションの可視性とコントロールを単一プラットフォームに統一することで、ルータのリプレースを可能にします。EdgeConnectは、ビジネス要件に合わせた継続的な学習と適応によって、企業ユーザやIT組織に最高品質のユーザエクスペリエンスを提供します。Silver PeakのWANソリューションは、世界中に事業を展開する何千もの企業によって、100か国で利用されています。詳細については、silver-peak.comを参照してください。
© 2020 Silver Peak Systems, Inc.All rights reserved.Silver Peak、Silver Peakのロゴ、およびSilver Peakのすべての製品名、ロゴ、およびブランドは、米国またはその他の国、あるいはその両方におけるSilver Peak Systems, Inc.の商標または登録商標です。その他のすべての製品名、ロゴ、およびブランドは、所有者である各社に帰属します。
ゼットスケーラーとSilver Peakの連携が生み出すビジネス成果ゼットスケーラーのクラウドセキュリティプラットフォームとSilver Peak self driving wide area network™によって、ダイレクトクラウドへと移行するブランチを数分でプロビジョニングし、保護できます。結果として、クラウドアプリケーションの迅速な導入、導入の高速化、高品質で最適なエンドユーザエクスペリエンスの提供が可能になり、常に変化するビジネス要件に適応するセキュアSD-WAN接続が実現するため、既存および将来のクラウド投資から相乗的な効果を手に入れられるようになります。これは、ITにとっては、コストの削減と運用の簡素化を意味し、ユーザにとっては、ビジネスクリティカルなアプリケーションへの高速かつ安全で中断のないアクセスを意味します。
• セキュアアクセスサービスエッジ(SASE)アーキテクチャが提供されるため、クラウドのメリット、すなわち、ビジネスアジリティの向上とITの簡素化が可能になる
• ブランチWANとセキュリティインフラストラクチャが合理化され、個別のルータや次世代ファイアウォールやオンプレミスの多数のデバイスが不要になり、あらゆる場所で働ける環境においてもセキュリティが強化される
• ビジネスクリティカルなアプリケーションへの高速かつ安全なアクセスが99.999%の可用性で提供され、生産性とユーザエクスペリエンスが全社的に向上する
• 導入の自動化と真のゼロタッチプロビジョニングによって、新しいブランチの迅速な追加と保護が可能になるため、ビジネスアジリティが向上し、収益化までの時間が短縮される
• 変更が容易になり、人的エラーが最小限になり、迅速なトラブルシューティングが可能になるため、ITがビジネスに迅速に対応できるようになる
• セキュリティ要件を一元的に定義するだけで、すべての場所の従業員、ゲスト、デバイスに最適なセキュリティが自動的に提供される
• ネットワークやセキュリティのポリシーをビジネス要件に基づいて細かくカスタマイズできるため、リスクが最小限になる
• ネットワークやアプリケーションのボトルネックのトラブルシューティングに必要な時間が短縮され、昼夜を問わずサポート/ヘルプデスクへの問い合わせが可能になる
• 高コストのMPLSサービスへの依存が最小限になり、コストのかかるセキュリティアプライアンスを排除できる
• WANやセキュリティを刷新しつつ、優れたパフォーマンス、信頼性、コントロール、経済性を実現することで、クラウド投資に相乗的な効果を手に入れることができる
