いま、なぜSASEなのか。SASEの魅力を紹介します。
1.ゼロトラストとSASE
SASEはゼロトラストの概念を実現するための具体的なソリューションです。
なぜ今、SASEが求められるのかという点に関して、順に解説していきます。
1.1 ゼロトラストとは
(1)ゼロトラストとは
いろいろなところで記載されているので多くは語りませんが、トラスト(信頼)をゼロということで、誰も信頼しないというところをからスタートします。
そこから始めるセキュリティ対策です。
従来のファイアウォールで守られたセキュリティを「境界型防御」と位置づけ、それに対比する形で「ゼロトラスト」が比較されます。
具体的には、認証認可の強化、端末セキュリティの強化、クラウド内部でのセキュリティ強化などがあげられます。
(2)ゼロトラストが求められる背景
ではなぜ、ゼロトラストセキュリティの概念がこれほどまでに叫ばれるようになったのでしょうか。大きく3つあります。
❶リモートワークの進展
コロナの影響および働き方改革により、リモートワークが進行しました。リモートワークをする際に、毎回本社にSSL-VPNで接続してそこからインターネットや各種サービスに接続するには、帯域的に非常に厳しいものがあります。
❷クラウド利用
安価かつ高機能なクラウドサービスの普及が進む中、政府のクラウドバイデフォルトの提言が後押しとなり、多くの企業でクラウドを利用されるようになっています。クラウドの利用は便利なのですが、セキュリティ対策が不十分だとリスクも多く、認証の強化や細かなアクセス制御などが求められます。
また、クラウドを利用するということは、従来はFWの中にあった機密データが、FWの外(インターネット)に配置されることになります。つまり、従来の境界型防御は通用しなくなっています。
❸攻撃の高度化
昨今の標的型攻撃などの手法を見ると、FWの内部のPCにメールを送って、内部から外部のC&Cサーバに接続します。そうすることで、FWを堂々と通過し、そこからラテラルムーブメント(横展開)で社内の情報資産への攻撃や搾取をします。つまり、従来型の境界型防御では限界が出てきました。
(❹バズワードとして)
新しいセキュリティ対策として、「ゼロトラストが必要!」と提唱するセキュリティベンダの機運があるように感じます。中身を見ると、昔からやっていたようなセキュリティ対策もゼロトラストのラインナップに加えられたりしています。余談になりますが、キーワードに踊らされず、何を守るか、そのためのベストな方法は何かを見極める必要があると感じます。
(3)ゼロトラストの具体的なソリューション
ゼロトラストは概念であり、具体的なソリューションは明確に決まっていません。
「政府情報システムにおけるゼロトラスト適用に向けた考え方」が一つの参考になるので、確認しましょう。
https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf
ゼロトラストを適用するための取り組みとして、以下の5点が述べられています。
| 1)パブリック・クラウド利用可能システムと利用不可システムの分離 2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化 3)エンドポイント・セキュリティの強化 4)セキュリティ対策のクラウド化 5)認証と認可の動的管理の一元化 |
この中で、具体的な製品が出ているのは3)と4)です。
| 3)エンドポイント・セキュリティの強化 具体的には、MDM(Mobile Device Management)、EDR(Endpoint Detection and Response)、SOC(Security Operation Center)による監視、SIG(Secure Internet Gateway)等による DNS やプロキシレベルのセキュリティ対策等の導入が推奨されます。 |
| 4)セキュリティ対策のクラウド化 具体的には、前述の MDM 、EDR、SIG 等に加え、CASB(Cloud Access Security Broker)、SASE (Secure Access Service Edge)等が該当します。 |
(3)ゼロトラストは最善のセキュリティ対策か
企業はすべてゼロトラストのセキュリティに移行すべきなのでしょうか。実はそうは思いません。クラウドでセキュリティを保つとはいえ、インターネットに公開されていますから、二要素認証を突破されたり、サイバー攻撃による情報漏えいのリスクもあります。よって、旧来からあるようなネットワークを分離し、インターネットにも接続しない状態で機密情報を守る(官公庁も大企業もこの仕組みです)方法が、安全な場合もあります。
ただ、時代の流れとして、リモートワークの活用、クラウドサービスを利用するのが当たり前になった今、データを旧来型の本社へリモートアクセスしては業務が回りません。また、クラウドにデータがあるのに、FWで境界内を守っても意味がありません。クラウドの活用やリモートアクセスなどを多用している組織においては、ゼロトラストの考え方は取り入れざるを得ないという感じがします。
逆に、旧来型のデータの保護のやり方も、その有効性は認められるべきだと思います。
1.2「SASE(Secure Access Service Edge)」とは
(1)SASEとは
SASEに関して、ガートナー社は以下のように記載しています。
https://blogs.gartner.com/andrew-lerner/2019/12/23/say-hello-sase-secure-access-service-edge/
| SASE combines network security functions (such as SWG, CASB, FWaaS and ZTNA), with WAN capabilities (i.e., SDWAN) to support the dynamic secure access needs of organizations. |
つまり、ネットワークセキュリティ機能(SWGやCASB、FWやゼロトラストネットワークアクセス(ZTNA))にSD-WANの機能を加えたものを、単一のプラットフォームでかつ、サービスとして提供する仕組みと考えられます。
SASEの呼び方は、「pronounced “sassy”」ということで、指原莉乃さんの愛称と同様に「サッシー」です。
(2)CATO社のSASE
・CATO社はSASEについては、以下に詳細な記載があります。
www.catonetworks.com
・CATO社の実績だと、日本は110社くらい。大企業よりは中規模が主なターゲット。
ライオン社などの事例が紹介されている。
ライオン株式会社 様|お客様事例|SCSK株式会社
・マクニカが一次店。SCSK、KDDIなどが販社
(3)SASEのメリット
SASEはゼロトラスト+SD-WANと考えると、ゼロトラストのメリットは別途説明した通り。SD-WANのメリットは、柔軟かつ広帯域で、信頼性の高いネットワークを構築できることであろう。特に海外と専用線を構築している場合だと、非常に大きなコストメリットが出る可能性がある。
1.3SASEの機能
(1)CATO社SASEの機能
CATO社のSASEでは、まさにゼロトラストの機能が揃っている。
www.catonetworks.com
・SD-WAN (Software-Defined WAN)
・FWaaS (Firewall as a Service)
・ZTNA (Zero-Trust Network Access)
主にIPsecに代わるリモートアクセスでのセキュリティ。具体的には、IPsecのように、トンネルを作成して全許可するのではなく、デバイスやアプリケーションごとの制御や、横展開もきちんと検査
→具体的には、このあとでZscalerの場合で説明
・CASB (Cloud Access Security Broker)
・SWG (Secure Web Gateway)
・統合管理
この中で、一般的なゼロトラストの機能として不足気味と思うのは、以下である。
・エンドポイントセキュリティの強化 → 部分的かな。Next GenerationのAV機能はある。(設定でON/OFFを変える)
・認証連携(SSO) →AzureADなどとの連携
・端末のデバイス制御 →部分的
個人的な見解ですが、SASEの場合、EDRやMDMなどの端末の制御やセキュリティ強化が弱いと感じています。弱いというか、別ソリューションの組み合わせが必要だと。ただ、最低限の機能は揃っているのと、今後は(と言うか今すでに)機能拡張をしているところのようです。
(2)Zscalerの場合
ZacalerはSSE(Security Service Edge)であり、SASEの中のセキュリティ機能に特化したもの。ざっくり言うと、SD-WANが無い。なので、SASEには分類されない。
ゼロトラストのZTNA(Zero Trust Network Access)の主軸となるのが以下の2つ。
①ZIA(Zscaler Internet Access) →インターネットへのアクセス
SWGなどで、URLフィルタやアンチウイルス機能、FW+IPS、TLSインスペクションなど。
②ZPA(Zscaler Private Access) →企業へのアクセス
SDP(Software-Defined Perimeter)として、ソフトウェアで設計された境界(Perimeter)を構築する概念。境界防御の限界を超えて、ゼロトラストが求められるネットワークにおいて、柔軟にネットワークセキュリティを構築する。
ZPAは、SDPを実現する仕組みと言っていいだろう。
じゃあ具体的には何かというと、VPNをよりきめ細やかに制御したものと言ってはどうだろうか。SSL-VPNにしてもIPsecのVPNにしても、システムとセキュアな通信を構築してしまうと、どのサーバでも自由にアクセスできてしまうことが多い。それを、ユーザとリソースで細かく制御できるようにする。
クライアント(PCやスマホ)にはZPAのクライアントソフト(Zscaler Client Connector)が必要で、そこからZPAクラウド(ZEN:Zscaler Enforcement Node)に接続する。サーバ側もZPAコネクタ(App Connectorという仮想アプライアンス。)でZacalerと接続する。
www.zscaler.jp
ZPAの競合として、PaloAlto社のPrisma Accessがある。
(3)その他のセキュリティ機能
SASEとは直接関係ないが、広くセキュリティ機能として。
・UEBA(User and Entity Behavior Analytics):ユーザやエンティティ(端末など)の行動分析
・CSPM (Cloud Security Posture Management):クラウドの設定ミスによるセキュリティ事故を防ぐ。また、ガイドラインに適合しているかもチェックする。Postureは「姿勢」などの意味
・CWPP(Cloud Workload Protection Platform):クラウド上のワークロードとは、クラウド上にあるインスタンスやコンテナやアプリケーションなど。IaaS上のサーバにEPPを入れるようなイメージ
・SOAR(Security Orchestration Automation and Response): セキュリティ運用の自動化。 プレイブックと呼ばれるワークフロー(手順)を作成しておき、自動でそのフローを実行する。
たとえば、マルウェアなどを検出した後の仕組みとして、IPアドレスなどの基本情報を送ったり、関係部署へ周知したり、FWにフィルタするIPアドレスを追記したり、レポートを作成したりする。
以下、FortiGateのSOAR
https://www.fortinet.com/jp/products/fortisoar
1.4 契約に関して
CATOは帯域契約を結び、25Mbps、75MbpsなどでMAX2Gbpsまで契約できます。
1.5 構成に関して
(1)リモートPCから
スマホの場合はスマホのアプリ
PCの場合は、Cato VPN Clientソフト
(2)拠点から
拠点を接続する場合はソケット(ルータ機能をもつSDN装置)が必要。(必要に応じて冗長化しよう)
AWSはバーチャル版のソケットがある。
Q..CATOのSASEでネットワークを組みなおすなら難しくはない。ただ、特に日本の場合は、組織間での調整が難しく、部分導入が多くなる。
よって、既存部分はFortigateやPaloによる旧来型の境界型防御、リモート部分はCatoなどのSASEを使うことになるだろう。そういう場合、どういう構成になるか
A.上記に書いたように、アプリやソフトを使ってSASEのネットワークに接続する。そして、拠点ともSASEのNWにつなぐ必要があり。なので、本社のソケットを置いて、CATEのなんちゃらポイントに接続する。
2.初期設定
**2.1 アカウント登録
①申請して、アカウントを発行してもらいましょう。
②CATOからinvitation メールが届く
Configure your network access
==テナント名==
Hello Bob,
Welcome to Cato Management Application (CC2). To access your account and get the most value from CC2, please review our Evaluation Agreement and then configure your password.
リンクをクリックすると、新しいパスワードを設定するように言われる。
2.1 ログイン
(1)管理者でのログイン
以下からログインします。
https://コンテナ名.auth.catonetworks.com
https://コンテナ名.cc.catonetworks.com
・MFA有り
・二要素認証(MFA無し)
このとき、 configration fileを使うと便利かも。
(2)一般ユーザでのログイン
以下のURLから、ID(メールアドレス)とパスワードでログインします。
https://myvpn.catonetworks.com/login
2.2 画面概要
(1)ログイン後
ログインするとメニュー画面に遷移する。
「Try the new Interface」で新しい画面に変更できる。上記は変更した画面。旧のIFに戻るには、「Old Interface」ボタンを押す。
(2)メニュー構成
上部にメニュー画面がある。
Monitoring、Networkなどの大項目、左に大項目の中のサブメニューが表示される。
注意点は、変更したら、右上のSaveを押すことで設定が反映される。
2.3 利用ユーザの設定
ユーザはPCからでもスマホからでも接続できる。
(1)ユーザの追加
a)管理画面からユーザの追加
b)Access画面「New」ボタン
c)ユーザの処理として、
スマホやPCにメールが届く。Download VPN ConnectでCato Clientを入手
・ダウンロードプロファイルの方が、読み込むだけでつなげることができる。簡単
| ACCOUNT | テナント名 ※大文字小文字区別なしだと思う |
|---|---|
| USERNAME | メールアドレス |
PCでもできる。
Download プロファイルをしておくと便利かも
インストールして
Cato Clientを起動
Users USE CATO LOGIN 下に Open a configration file to join the network
最寄りのPOP(point of presence)に接続される
※日本は東京と大阪にある
3.セキュリティ設定
3.1 FirewallとURLフィルタ
(1)機能概要
・CATO社のCASEでは、SecurityタブのInternet FirewallでFirewallとURLフィルタを設定します。
・一般的に言われるWebプロキシの機能を実現しますが、他社とは違い、透過型プロキシです。
(2)透過型プロキシ
・Zscalerはクラウドプロキシであるが、CATOは透過型プロキシ
・透過型のため、PCのブラウザでプロキシの設定をする必要がありません。
・その代わり、PCのエージェントがSASEのネットワークを経由するように制御します。
(3)設計ポリシー
・通常のFWと同じで、上からルール(ポリシー)をチェックし、合致するものがあればそれを適用。それ以降は見ない。
・通常のFirewallと違い、暗黙のDENYが無い。なので、一番下にAll Denyを入れるべき。
3.2 Firewall
(1)基本設定
・SecurityタブのInternet Firewallで設定する。
・右上のFirewall EnabledをONにする
(2)ポリシーの追加
(3)ポリシーの削除
一番右にある「・・・」から「Delete Rule」
(4)デフォルトのポリシー
ログインして設定を見るとわかるが、デフォルトのポリシーとして、以下がブロックされている。
Default Block Tor, SMB, SMTP
よって、メールを送るには該当のSMTPサーバへの通信を許可する必要がある。
3.3 URLフィルタ
・FortigateなどではFirewallとWebフィルタは別の設定画面であるが、CATOのSASEの場合はInternet Firewallに統合されている。
・Assetsでカテゴリをまとめるなどができる
(3)TLSインスペクション(SSLインスペクション)
・SSLインスペクションをする場合には、別途メニュー画面のTLS Inspectionから行う。
・ただし、証明書認証により、FQDNまでは、TLSインスペクションが無くても実現できる。
・詳しくはTLSインスペクションで解説。
3.4 アプリケーションコントロール
Facebookなどを止められる
※デフォルトではSSLインスペクションは無効
アプリケーションコントロールの設定は、
Security> Application Control Polocy 「New」で加える
たとえば、
BOXのUploadを拒否する場合
ApplicationでBOXを選び、ActivitiesでUpload、ActionsでBlockを選択する。
端末や拠点側では、いくつかの方法でSASEのネットワークに接続する。
その一つの形態として、複数人の社員がいるオフィスの場合はソケット(SD-WAN機能を持ったルータ)を設置する。
4.端末やソケットの設定
4.1ソケットの概要
4.2 ソケットの外観とポート
(1)ソケットの表
リンクランプが表示される。
・緑色:リンクアップ状態
(2)ソケットの背面
LANポートが4つあり、そのうち、3(WAN)は、WANに利用する。
USBポートは ●●
CONSOLEポートは、他のネットワーク機器と同様に、コンソールから設定をする。
4.3 ソケットへのログイン
★ソケットには直接ログインすることはあまりない。
WANのIPアドレスを設定したり、PPPoEの設定などを行う。
※端末側のDHCPのレンジの設定はクラウド側で実施。
・ログイン方法であるが、DHCPで払い出されるので、PCでは、ゲートウェイのIPアドレスを調べて、そこに接続すればいいだろう。
初期状態は、以下でログイン可能
ID:admin
パスワード:admin
ここで、パスワード変更が求められるので、Admin#123 みたいな感じで、大文字小文字や8文字以上
などの複雑なパスワードに変更する
4.3 接続の流れ
❶ポート3(WAN)にインターネット回線を接続
ソケットがCATOのクラウドにシリアル番号を含めて通知し、CATOの管理画面で、シリアル番号に基づくコンテナにひもづけられる。
❷クラウドの管理画面に接続し、「Network」から「New」でサイトを登録する。
CATOは帯域契約で25Mbps、75Mbps・・・MAX 2Gbpsなので、契約している回線を選択。
拠点のLAN側のセグメントを設定する。今回は172.16.1.0/24とした。
❸管理画面の通知にて、追加された拠点を許可する
❹しばらくすると、管理画面のNetworkやMonitoringにて、接続された様子が確認できる。
設定を見てみよう。Networkで、作成した拠点(今回はKyoten1)を選択すると、Network Analyticsの画面が表示される。
POP:どこのPOPに接続されているか
Distance:7msとあるのは遅延時間。7msは非常に短い。
Last Mile Monitoring
インターネットの切り分けにも活用できる。
❺Site Confgurationで拠点側の設定する
・Generalが一般的な設定
たとえば、Preferred POP locationで、接続するPOPを指定したりできる。
デフォルトはAutomatic(default)
・Networksでサイトを追加したときのセグメントが登録されている。
DHCPでの払い出しが便利なので、ダブルクリックして「DHCP Type]を「DHCP Rage」に変更し、
払い出すIP、たとえば、172.16.0.100-172.16.0.200などと指定する。
❻PCのネットワーク設定
DHCPでの払い出しがされるので、IPを取得してみる。以下のように、DNSサーバを含めてネットワーク情報が取得されているのを確認できる。
❼拠点のネットワークの設定
ソケットの配下のネットワークを書く必要がある。
Site ConfigurationのNetworksでNewで追加する。イメージはStaticルーティング書くイメージ
4.4 確認、その他設定
❶トラフィックの確認
店舗のトラフィックの情報は、「Network」から該当拠点をダブルクリック
Network Analyticsでトラフィックを確認できる。
❷ソケットのIF設定
ソケットの設定は、「Network」から該当拠点をダブルクリック
Site ConfgurationNetworkでポートなどの設定ができる。
たとえば、LAN2がDisabledになっているので、LANにしたり、WANにしたりとできる。
5.ログの管理
Monitoritng > Eventsでログが見える
ログで+を押すと詳細な中身が見える
6.SD-WAN
6.1 SASEにおけるSD-WANの機能
SD-WANは、SASEの最も得意なところで、他社のSWGサービスより勝っていると考えられる。なぜならWANの機能も持っているからだろう。
設定は、networkのタブから。
6.2 設定内容
ソケットにWANをいくつ接続するか、Active-StanbyかA-Aなどを設定する。あとは、自動で制御で冗長化ができ、広帯域な経路を自動で選ぶ。
6.3 ネットワークのルール
「Network Rules」でネットワークのルールを書ける
IP Allocationでは、インターネットの出口のグローバルIPを固定できる。
Select locations (select up to 3 locations, from which you want to receive a unique IP)というところで、
Tokyoと打つと、IPを払い出してくれる。(3つまでは無料) ※大阪の場合はOsaka
7.管理設定
7.1 Administration画面
(1)この画面でできること
・管理者の設定ができる。
パスワードリセットやInvitationの再送、認証方式の変更など
・管理者の追加、変更、削除
(2)管理者の設定
AdministrationでMFAを有効にするとかパスワードリセット
ActisonsでパスワードをリセットやInvitationの再送もできる
※password never expires は、パスワードを無期限にする設定です。
(3)管理者の追加
newで新しい管理者を作れる。
※password never expires は、パスワードを無期限にする設定です。
7.2 Access画面
(1)Access画面でできること
・ユーザ(SDPユーザ)の管理
・ユーザの追加、変更、削除
ユーザはPCからでもスマホからでも接続できる。
(2).ユーザの追加
a)管理画面からユーザの追加
「New」ボタン
(3)ユーザの処理
スマホやPCにメールが届く
詳しくは別記事で。
