- セキュリティ
HPE Aruba Networking SSE検証(全5回) | 第1回:概要編
- 1.はじめに
- 2.SSE(Security Service Edge)について
- 3.HPE Aruba Networking SSEについて
- 4.Hewlett Packard Enterprise社について
- 5.ZTNA(Zero Trust Network Access)について
- 6.SWG(Secure Web Gateway)について
- 7.CASB(Cloud Access Security Broker)について
- 8.DEM(Digital Experience Monitoring)について
- 9.ライセンスについて
- 10.HPE Aruba Networking EdgeConnect SD-WANとの併用について
1.はじめに
本記事群では、Hewlett Packard Enterprise社(以下HPE社)が提供するネットワークセキュリティサービスである、HPE Aruba Networking SSE(以下Aruba SSE)での検証を行った内容について紹介を行います。
今回はAruba SSEの概要編となります。検証内容に関しては次回以降の記事となります。Aruba SSEが持つ機能を複数回にわたって、分かりやすくご説明できればと思います。
2.SSE(Security Service Edge)について
近年、クラウドサービスの普及やリモートワークの定着により、従来の境界型セキュリティモデルでは対応しきれない課題が顕在化しています。こうした背景の中で注目されているのが「SSE(Security Service Edge)」というセキュリティアーキテクチャです。
SSEとは、米国の調査・コンサルティング企業であるGartner社が提唱した、クラウドベースのセキュリティサービスモデルです。SSEを構成する主な機能として、以下の3つの機能が挙げられます。
- ZTNA(Zero Trust Network Access):ゼロトラスト思想に基づく社内リソースへのアクセス
- SWG(Secure Web Gateway):インターネットアクセス時の脅威を防御
- CASB(Cloud Access Security Broker):クラウドサービスの利用を可視化
これらの機能をクラウド上で提供することで、ユーザの場所に関わらずセキュリティが担保された環境を実現します。
3.HPE Aruba Networking SSEについて
Aruba SSEは、HPE社が提供しているSSEプラットフォームです。ゼロトラストの考え方をベースに、場所を問わずセキュアなアクセスを提供することを目的としたサービスとなります。
Aruba SSEは、以下の4つの主要機能で構成されています。
- ZTNA(Zero Trust Network Access)
- SWG(Secure Web Gateway)
- CASB(Cloud Access Security Broker)
- DEM(Digital Experience Monitoring)
HPE社よりご提供いただいた「SSE概要ご説明資料v1.pdf」より引用
4.Hewlett Packard Enterprise社について
HPE社はアメリカ合衆国テキサス州に本社を構える、エンタープライズ向けITソリューションを提供するグルーバル企業です。技術的優位性の獲得を重視したM&Aを行っており、Aruba SSEに関しても買収したAruba Networks社やAxis Security社の技術を用いて開発・提供されています。
Aruba SSEを扱う上で、「Aruba」や「Axis」という単語が頻出するのは上記の経緯があるためです。Axis Security社はSSEプラットフォーム「Atmos」を開発しており、現在はAruba SSEの重要な技術コンポーネントとなっています。
5.ZTNA(Zero Trust Network Access)について
ZTNAは、ゼロトラストの考え方に基づいたアクセス制御技術であり、従来のVPNに代わるリモートアクセス手段です。
従来のVPNや境界型セキュリティ構成は、一度侵入されるとマルウェアの横展開などの脅威があります。これに対して、ZTNAはユーザやデバイスの状態を随時認証し、必要最小限のアクセス権のみを付与することで、セキュリティを高めることができるのが利点です。
Aruba SSEのZTNAは、Connectorと呼ばれる拠点外からのアクセスを中継するコンポーネントを経由してアクセスする仕組みとなります。Aruba SSEのZTNAはサーバ発通信にも対応しており、Aruba SSEの強みの一つとなっています。
HPE社よりご提供いただいた「SSE概要ご説明資料v1.pdf」より引用
6.SWG(Secure Web Gateway)について
SWGは、インターネットアクセスに対するセキュリティを提供する技術であり、マルウェア対策、URLフィルタリング、SSL複合、DLPなどの機能を通じてユーザのWebアクセスを保護します。
利点としては、クラウドベースであるため多くの拠点やユーザに対してのセキュリティを一元管理することができ、どの場所からでのアクセスでもセキュリティを担保することができます。
Aruba SSEのSWGは管理画面がZTNAと統合されてかつシンプルで見やすく、比較的直観的に管理しやすくなっています。
HPE社よりご提供いただいた「SSE概要ご説明資料v1.pdf」より引用
7.CASB(Cloud Access Security Broker)について
CASBは、シャドーITの検出やデータ漏洩防止(DLP)を目的とした技術です。
利点としては、従来の境界型セキュリティと比較すると利用者のSaaSアプリケーション利用を可視化・制御が容易になります。例として、Boxなどのファイル共有が可能なSaaSアプリケーションに対して、ファイルのアップロード・共有・ダウンロードなどの操作に対して制御することが可能です。
なお、Aruba SSEのCASB機能を利用するためにはAdvanced以上のライセンスが必要となります。
8.DEM(Digital Experience Monitoring)について
DEMはユーザ・デバイス・アプリケーション・ネットワークのパフォーマンスを可視化・分析する技術です。
Aruba SSEのDEM機能はCASBと同じくAdvanced以上のライセンスが必要となります。ログはAruba SSEの管理画面から確認することや、外部ログサーバーへの転送によりSIEM利用も可能です。
ただし、SWGを経由しない通信に関してはログを取得できないため、注意が必要となります。
9.ライセンスについて
Aruba SSEでのライセンス体系ですが、ユーザ数と利用する機能によって料金が決定します。
エディションによって利用できる機能が異なり、エディションをグレードアップするに伴って利用できる機能が増加します。
HPE社よりご提供いただいた「SSE概要ご説明資料v1.pdf」より引用
10.HPE Aruba Networking EdgeConnect SD-WANとの併用について
SSEと類似した単語に、SASE(Secure Access Service Edge)というものがあります。考え方としては、SSEに加えて、別のソリューションで通信を最適化することで、ユーザに安全かつ快適なアクセスを実現するというものです。
通信の最適化を実現するために、SD-WAN(Software-Defined Wide Area Network)が重要な役割を果たします。SD-WANはアプリケーションごとにトラフィックを識別し、最適な経路へ誘導することで、通信の安定性と効率を向上させる技術です。
HPE社は、このSD-WAN機能を「HPE Aruba Networking EdgeConnect SD-WAN(以下EdgeConnect SD-WAN)」によって提供しています。Aruba SSEと組みわせることで、単一ベンダによるSASE構成が可能になります。
※本ページに掲載している一部画像はHPE社が作成したものになり、同社の許諾を得たうえで掲載しております。
