全2071文字
SWG(Secure Web Gateway)と並んで、SASE(Secure Access Service Edge)で重要な技術が2つある。クラウドサービスの利用状況を可視化するCASB(Cloud Access Security Broker)と、利用者や端末の状態を基にアクセスを制御するZTNA(Zero Trust Network Access)だ。順に動作を見ていこう。
CASBはクラウドサービスの利用状況を可視化・制御するサービスだ。SWGと同様に、端末とクラウドサービス間のデータのやりとりを監視する。
利用状況を可視化するCASB
CASBの役割は主に3つある。まずはクラウドサービスの利用状況の可視化だ。どの利用者がどのクラウドサービスをどれくらい利用しているのかを把握できる。従業員が勝手に利用しているクラウドサービス、いわゆる「野良クラウド」の検出にも役立つ。
2つ目はアクセス制御である。野良クラウドへの接続を遮断し、利用を認めているクラウドサービスだけに利用を制限できる。
3つ目はデータ保護。DLP(Data Loss Prevention)と呼ぶことも多い。利用企業が設定したポリシーに基づき、クラウドサービスのデータにアクセスできる従業員を限定したり、クラウドサービスから別の場所にデータを移すことを禁止したりできる。クラウドサービスのデータだけでなく、エージェントを導入した端末のデータを保護する機能を備えるサービスもある。
クラウドサービスの利用状況を可視化・制御するCASB
[画像のクリックで拡大表示]
インライン型とAPI型を併用
CASBの実装方法はいくつかあるが、SASEにおけるCASBでは主に2つの方式が使われる。クラウドサービス宛ての通信をすべて検査する「インライン型」と、クラウドサービスからAPI(Application Programming Interface)経由で利用状況を取得する「API」型である。
シスコシステムズのSASEにおけるCASBは、「クラウドサービスの利用状況の可視化」「クラウドサービスに保管されているデータの可視化」といった用途ごとに、インライン型とAPI型を使い分ける。
インライン型では、利用企業が利用を認めているかどうかにかかわらず、さまざまなクラウドサービス宛ての通信を識別・可視化する。野良クラウドの検出や制御などに役立つ。
「インライン型」と「API型」を目的に応じて使い分ける
[画像のクリックで拡大表示]
一方、利用企業が契約しているクラウドサービスの状況を詳しく可視化する用途には、API型を主に活用している。API型のCASBは、クラウドサービスからAPIを介して利用状況の情報を取得する。
シスコシステムズのセキュリティ事業 シニアSEマネージャーの中村光宏氏は「CASBの導入前に機密ファイルがクラウドサービスにアップロードされていたといった状態を見つけ出せる」と説明する。
からの記事と詳細 ( SASEを構成する「CASB」と「ZTNA」、役割と動作をやさしく解説 - ITpro )
https://ift.tt/kRB9DTA
No comments:
Post a Comment