ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

VMware SASEのSecure Accessを試してみた

ライター:田村 仁一
インフラSEとしてサーバー設計、構築、運用保守などを経験。
2019年にネットワン入社後、仮想化製品担当としてVMware WorkspaceONEの技術検証、案件支援に従事。
現在はNutanix社の仮想化製品の導入を推進。
保有資格:
Nutanix Certified Services - Multicloud Infrastructure Master
VMware Certified Master Specialist - Digital Workspace 2020

目次

場所に囚われない柔軟な働き方が求められ、企業はネットワークやセキュリティの在り方の見直しを余儀なく迫られました。その中でSASE(Secure Access Service Edge)のセキュリティモデルは需要を増し、導入・検討を進める企業は増えていると感じています。

SASEにまつわるサービスを提供するベンダーが増えていく中で、2021年にVMware社がリリースしたVMware SASETM を使ってみましたので、実際の動作や良かったポイントなどをご紹介します。

VMware SASEで提供されるコンポーネントは以下の4つがあります。

・VMware Secure AccessTM

・VMware Cloud Web SecurityTM

・VMware SD-WANTM

・NSX Firewall as a Service(将来リリース予定)※2022年2月時点

今回はモバイルデバイスのインターネットアクセスにおける動作確認してみましたが、モバイルデバイスでの利用においてはVMware SASEの4つのコンポーネントの他に、VMware Workspace ONE® が必要になります。(Secure Access に機能限定版の Workspace ONE が付属しています)

VMware Workspace ONE® UEM、VMware Workspace ONE® AccessTM についてはこちらのBlogで紹介しています。

モバイル利便性アップ!シングルサインオン

それぞれのコンポーネントの役割を動きに沿った形で紹介すると以下のようになります。

  • Workspace ONE UEM

①キッティング

Secure Accessへ接続するための、VPNアプリ(VMware Workspace ONE® TunnelTM)の配布や、VPN設定、証明書の配布、デバイストラフィック制御設定を自動で行います。

②順守状態の確認

デバイスの順守状態を定期的に確認します。例えば、Windows10ではファイアウォール、ウィルス対策の有効状態のチェックなどがあり、iOSでは侵害状態(Jailbreakされていないか)などのチェックを行い、デバイス状態の把握、管理者への通知などを行います。

  • Secure Access

③アクセス制御

Secure Accessへ対してアクセスしたデバイスに対して、Workspace ONE UEMと連携して順守状態の確認を行い、順守違反デバイスの場合はアクセスを拒否します。

④VPN

アクセス制御で許可されたデバイスに対して、VPN接続を確立します。

  • Workspace ONE Access

⑤認証

Cloud Web Securityと連携して認証を提供します。

連携は必須ではありませんが、認証によるセキュリティ強化ができるうえ、認証によりユーザーを特定できるため、Cloud Web Securityにおけるポリシーの送信元ユーザー/グループの条件付けに利用できます。

その他IDP(OktaやAzureAD)とも連携できます。

  • Cloud Web Security

⑥クラウドセキュリティ

SaaS、インターネットアクセス通信に対してSSL複合化、URLフィルタリング、コンテンツフィルタリング、コンテンツインスペクション、CASBなどのセキュリティ機能を適用します。

使ってみてよかったポイント

1.Cloud Web Securityのシンプルな設定画面

セキュリティ機能が多いためキモとなるサービスですが、GUIは以下のようなシンプルな画面となっていました。各セキュリティ項目にはデフォルトルールが存在するので、新規ルールをデフォルトルールの上に追加して設定を行います。ルールは上から順に適用される形式のため、すぐに馴染める設定方法かと思います。

2.順守違反デバイスに対してのアクセス制御

Secure AccessとWorkspace ONE UEMが連携した順守違反デバイスのアクセス制御は、MDM連携が行えるVMware SASEならではの特徴ですし、セキュリティも高めてくれます。

 

3.ユーザー/グループレベルのポリシー制御

認証連携により、ユーザー/ユーザーグループの送信元制御をネットワークレベルで一元的に管理することで利便性を上げ、細かい要件へ応えることができます。

4.デバイスへのVPNアプリ&コンフィグ設定が容易

VMware SASEというよりWorkspace ONE UEMの良さにはなってしまいますが、設定を素早く行えるため本番導入も容易に行えるかと思います。

数千、数万のデバイスに対してもWorkspace ONE UEMへ加入してしまえば必要な設定は自動で行われるため、大規模利用に対してもスムーズにVMware SASEの利用開始が出来るのではないでしょうか。

最後に

VMware SASEはこれからもセキュリティ機能が追加されますので、実際に試したうえで、お客様に最適な提案していきたいと思います。

ご興味をお持ちいただけましたら、お気軽に弊社の営業担当にご連絡ください。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND