Spirentサークルロゴ
サイバーセキュリティ

SASE導入を成功させるためのテスト課題と戦略

By :

SASEはリモートワークやハイブリッド労働環境への急速な移行に起因するセキュリティの課題に対処するために、セキュリティ機能をクラウドでホストする先見性のあるセキュリティフレームワークとして2019年に登場しましたが、課題がないわけではありません。これらの課題を克服し、SASEのネットワーク・アーキテクチャとその上で稼働するサービスを運用する方法をご紹介します。

Secure Access Service Edge(SASE)はネットワークとセキュリティの領域を分散型クラウド環境に統合し、物理、仮想、モバイルのあらゆるITリソースを統合管理・ポリシーで接続・保護します。このダイナミックでポリシーベースのアプローチはデジタル企業が求める俊敏性、柔軟な拡張性、回復力を実現し、従来のデータセンター集中型アクセスで導入されるVPNと比較して大きな優位性をもたらします。テクノロジーが集約されるにつれてインテリジェントな運用が要求されるハイブリッド分散システムの実現に向けて、克服すべき新たな課題も出てきています。

分散型ネットワークセキュリティに向けた新たな挑戦

SASE導入における運用上の主な課題

1.SASEの保証

マネージドサービスプロバイダー(MSP)は企業のエンドユーザーに対して包括的なサービスレベル契約(SLA)を提供する義務があります。しかしネットワーク/インフラストラクチャのSLAとは異なり、SASEのKPIは標準化されておらず特定のサービスやアプリケーションごとに大きく異なっています。同時にSASEのテスト基準もようやく出始めたところです。SASEベースの独自CNFやNFVIのバリエーションが多数存在し、専用測定ツールが無いことを考慮するとSASEのエンドツーエンド動作を検証する方法の確立までまだ時間がかかります。

2. ネットワーク機能およびアプリケーションの保証

SASEのエンドツーエンドのサービスレベル管理を効果的に行うために、MSPはエッジクラウドに展開された各ネットワーク機能を検証する必要があります。この複雑さは多くの独自ネットワーク機能があり、それぞれが独自のAPIと管理ツールを持ち、共通の保証方法がないことによってさらに悪化しています。また、SASEのテスト標準はまだ存在せずこの初期段階では専用のツールもないためMSPとそのパートナーは拡張性のない自前のテストツールに頼らざるを得ません。

3. SASEサービスアプリケーションの動作

次世代ファイアウォール(NGFW)、Webアプリケーションファイアウォール(WAF)、セキュアWebゲートウェイ(SWG)などのクラウドセキュリティコントロールの選択において重要な要素は、さまざまなクラウド環境で動作する動作実績、拡張性および堅牢性です。セキュリティ制御の有効性を検証することは不可欠です。体感品質(QoE)とセキュリティ効果の最適なバランスを見つけ、有効性とパフォーマンスを検証するためには専門知識と現実的な正常&悪意トラフィックプロファイルが必要とされます。

4. セキュリティポリシーとパフォーマンス評価

セキュリティルールの検証はSASE環境での展開とポリシー設定を成功させるために不可欠です。主な課題は刻々と変化する脅威状況です。新しい脅威や脆弱性、進化するポリシー、ネットワーク構成やインベントリの変更を考慮し、セキュリティルールの評価は特定の時点ではなく継続的に実施する必要があります。

5. ゼロトラストネットワークアクセス(ZTNA)動作

ZTNA はID、ポリシーおよびコンテキスト(対ネットワーク接続)に基づいてアクセスを許可するトラスト・ブローカー(仲介者)に依存します。MSP はZTNA 要素であるスケールとアクセス要求レート両方を検証できる必要があり、同時にアプリケーションとデータ・アクセスのために NGFW やデータ損失防止 (DLP) などのセキュリティ制御によってポリシー基準を継続する必要があります。ZTNAの標準化が進んでいないため、さまざまな機能を持つ独自の製品やサービスが生まれソリューションの選択肢を数値化して比較検討することが難しくなっています。

このような様々な課題がある中でマルチドメイン、分散、ダイナミックなSASE展開をどのように運用すればよいのでしょうか?次のセクションでは私たちのお客様が上記の課題を克服するために活用しているテスト手法について説明します。

最新のSASE、セキュアなSD-WAN、アプリケーションセキュリティアーキテクチャ

SASEデプロイメントのためのテスト戦略

1. 全ての導入環境をテストする

SASEのアーキテクチャがマルチドメイン、ハイブリッド、分散型であることを考慮すると、SASEの導入はリモートユーザーや支店からSASEのPOP(Point of Presence)を経てエンドアプリケーションサーバーまでエンドツーエンドで検証される必要があります。SASEのマネージドサービスは多くのIPSネットワークや異なるパブリッククラウドやプライベートクラウドに接続される可能性があります。したがってこれらのネットワークのレイテンシーとパフォーマンス(スループット、1秒あたりのトランザクション)の特性を把握し、SASEのアーキテクチャがこれらのネットワークを保護することによって全体のパフォーマンスとレイテンシーを向上させているのか、それとも阻害しているのかを検証することが重要です。

これらの原則は5Gコアまたはメトロエッジの作成、品質保証ラボの運営、CI/CD/CT開発者ツールチェーンとの統合のいずれにも当てはまります。アーキテクチャが VM、コンテナ、ベアメタルのいずれをベースにしているかに関係なく、全体的なテストと保証の機能が不可欠です。

2. ビジネスニーズに応じてトラフィックパターンとKPIを選択する

代表的なネットワークトラフィックとアプリケーションを使って適切なSASEテストトラフィックパターンを選ぶことで、オープンソースツールが提供する単純なトラフィックパターンに起因する誤った信頼性を回避し、現実的な条件下でパフォーマンスを特性化することができます。ネットワーク・アンダーレイ、クラウド・インフラストラクチャ・サービス、ビジネス・アプリケーションなど、SASEフレームワークのすべてのセキュリティ・コンポーネントをテストするにはすべてのテクノロジーとサービス・レベルに対して複数のKPIが必要です。

QoE(Quality of Experience)はエンドユーザーの満足度を直接示すため、最も優れた測定単位です。これは、SSL/TLSベースのサービスのパフォーマンス、エラーの検出、変動およびトランザクション全体の待ち時間に基づきます。また、この指標はアプリケーションフローがSASE環境上で転送するアンダーレイを変更する際にも最適です。さらに帯域幅/スループット、同時接続ユーザー数とセッションレートはインフラストラクチャをビジネスニーズに合わせて適切なサイズにするのに役立ち、CI/CD/CTの実践の一部として継続的にベースラインを設定し、変更管理プロセスの運用に向けた測定アプローチに適した基準メトリックです。

3. セキュリティとパフォーマンスの脆弱性を特定する

現実的なアプリケーショントラフィックのパフォーマンスとQoEを検証することに加え、最新の脅威ベクトルに対するSASEセキュリティスタックの効果を検証するために脅威ベクトルを現実的にモデル化する必要があります。そのためには脆弱性、マルウェア、エクスプロイトを網羅し、MITRE ATT&CKのようなセキュリティ業界のフレームワークに準拠して常に更新される脅威コンテンツライブラリを活用して組織のセキュリティ体制を改善し、SASE導入によって今あるギャップを埋めることが重要です。

セキュリティの有効性を完全に把握するためには、TLSの脅威ベクトルを隠蔽するなどの回避技術や難読化技術を使用してハッカーのような行動をエミュレートすることが重要です。また、悪意のある脅威ベクトルとともに正当なアプリケーショントラフィックを大規模にエミュレートすることによって、エンドユーザーエクスペリエンスに対するセキュリティポリシーの影響を評価する必要もあります。セキュリティ制御やポリシーがビジネスクリティカルな活動に影響を与える場合、組織はそれらの制御をバイパスする方法を探すことになり、セキュリティポリシーに悪影響を与える可能性があります。

4. ゼロトラスト(ZT)アーキテクチャの影響の特定

Zero TrustはSASEアーキテクチャの重要な要素であるため、ID/アクセス管理(IAM)がサポートできる同時使用ユーザー数の認証レートという観点から、Zero Trustアーキテクチャのスケーラビリティを評価することが重要です。さらにマイクロセグメンテーション、横方向の移動(ラテラルムーブメント)、DLPなどのZTポリシーの有効性とパフォーマンスやエンドユーザーのQoEへの影響を特性化することも重要です。

インテリジェントな自動化、レポート作成、データ駆動型予測の必要性

5Gの低遅延スライシングや分散環境の360⁰セキュリティポリシーの実現など、複雑なユースケースに対して複数のレベルのクラウドとサービスインフラを検証するには、さらに高度なインテリジェンスが必要であり、包括的な自動化、レポート、部分的で不完全な情報ではなく相関したデータが求められます。

ビジネスインパクト分析は新しいポリシーやサービス妨害がエンドユーザーやSLAにどのような影響を与えるかを理解するために不可欠です。異常検知で補った根本原因分析では、過去のデータだけでなく将来の問題やパフォーマンスの制限を明らかにするための詳細な分析が可能になります。つまり、数百、数千のアプリケーションから生成される膨大な量のデータにはセキュリティポリシーがパフォーマンスに与える影響を深く理解し、将来の挙動とセキュリティポリシーへの潜在的な影響を正確に予測するための分析が必要なのです。

SASEのネットワークとポリシーは俊敏に進化しているため、セキュリティとパフォーマンスの変化を最適に管理するためには継続的な検証と、変更管理手法の運用へと進化する必要があります。

効果的なSASEとZero Trustの検証のための要件、関連するユースケース、テスト戦略について詳しくご覧いただけます右矢印アイコン

コンテンツはいかがでしたか?

こちらで当社のブログをご購読ください。

ブログニュースレターの購読

Oleksandr Dmytriiev

Senior Product Manager Security and Network Solutions

Oleksandr Dmytriiev is the Senior Product Manager for Spirent’s SASE/SD-WAN solutions. In his current role, he is responsible for managing the next-generation solutions that combine multiple technologies and products including Security, Network infrastructure and Cloud domains. Prior to Spirent, Oleksandr worked at multiple Telecom software vendors and large enterprises, managing product management teams for software product lines across SD-WAN, OSS, BSS, Cloud and ML platforms. To connect with Oleksandr, please go to LinkedIn at https://www.linkedin.com/in/odmytriiev/.