こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、VMware EUC製品を主に担当しております。
日本時間の2021年10月6日〜10月7日にVMware社の年に一度の大イベントであるVMworldが開催されました。
昨年に引き続き、今年もオンラインでのデジタルイベントとしての開催でしたが、例年どおり様々な製品・ジャンルにおいて新製品やアップデート、開発プロジェクトが発表されました。
VMworld 2021開催中の速報レポートは、弊社熊谷より別ブログ記事でお伝えしておりますので、まだご覧になっていない方は是非以下URLからご覧下さい。
・VMworld 2021 速報レポート
https://licensecounter.jp/engineer-voice/blog/articles/20211006_vmworld_2021.html
本ブログ記事では、VMware SASE / SD-WANのアップデートを中心に、VMworld 2021で発表された内容や、合わせてお伝えしたい最近アップデート情報を、EUC製品担当の目線でピックアップしてお届けします。
※可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。また、今後のリリースを予定していると発表されている製品・機能の紹介も含んでおり、今後内容が変更される可能性もありますのであらかじめご了承ください。
VMware SASE PoP 東京リージョン提供開始
このブログ記事の主テーマである「VMware SASE」は、昨年のVMworld 2020で大々的に発表されました。Secure Access Service Edges(SASE)と呼ばれる、クラウドを中心とした次世代のネットワークセキュリティ アーキテクチャを、VMware製品の組み合わせで実現する新しいソリューションです。
VMware SASEは、リモートワーク、オフィスワーク、どこからのアクセスであっても、まずクラウドに準備されているVMware SASE PoP (Point of Presence)に接続するネットワークアーキテクチャとなっています。
そして、2021年6月に東京リージョンのVMware SASE PoPが利用できるようになりました。
このPoPは、クライアントが社内ネットワークやインターネットに接続する際のファーストホップになるため、自分のいる場所から地理的に近い場所にあることが理想的です。日本国内での業務を主としている多くの日本企業としては、国内にPoPが用意されていることが非常に重要になってくると思います。
この東京リージョンPoPのリリースを皮切りに、VMware SASEの導入に向けた当社へのご相談も増え始めております。また、近い将来に大阪リージョンのリリースも予定されているとの情報が発表されておりますので、今後さらに国内でのVMware SASEの導入・検討が加速してくるのではないでしょうか。
セキュリティ機能の強化
VMware SASEは現在、下記3つの機能で構成されています。
・Cloud Web Security
インターネットアクセスを解析し、ユーザーの危険なWEBサイト利用をブロックする。また、ダウンロード・アップロードされるファイルを解析し、マルウェアの検知・防御を実行する。
・Secure Access
PC・スマートフォンなど、社外に持ち出した様々なデバイスからのリモートアクセス環境を提供する、クライアントVPN機能。
・Cloud Gateway (VMware SD-WAN)
オフィスや社内データセンターと、VMware SASE PoPを接続する。オフィスのネットワークに接続したデバイスは、Cloud Gatewayを経由してPoPに接続する。また、Secure Accessを使用してリモート接続したデバイスが、社内データーセンターへ接続するためのネットワーク環境を提供。
上記でご紹介した3つの機能のなかで、ユーザーがインターネットへアクセスしてWEB閲覧やSaaS利用をする際に、主なセキュリティ機能を提供するのが「Cloud Web Security」です。今回のVMworld 2021ではCloud Web Securityの機能強化について発表されました。
まず、「Cloud Access Security Broker(CASB)」機能です。ユーザーのSaaS利用をモニタリングし、クラウドサービス利用の振る舞いの可視化・制限機能が提供されます。例えば、特定のSaaSアプリに対する情報閲覧は許可し、ファイルアップロード行為を禁止するといった制限が可能になります。このCASB機能はリリース済みで、すでに利用可能になっています。
次に「データ漏洩防止」機能です。Cloud Web Securityを経由するインターネット通信を解析し、重要な機密データ(例えば、顧客のクレジットカード番号情報)を含んだ通信を検知し、アラート表示や、通信ブロックを実施する機能です。HIPAA, PCI, GDPR などの個人情報保護におけるセキュリティコンプライアンスに対応するための機能が提供されます。
また、Cloud Web Securityの「モニタリング機能強化」も合わせて発表されました。
現在提供されているCloud Web Securityの機能でも、インターネット通信ログを保持・参照する機能自体は提供されていますが、今後のアップデートでさらに機能が強化され、有事にIT管理者の方が、ユーザーのアクティビティを調査しやすくなるのではないでしょうか。
Secure Accessの機能拡張
自宅や外出先から業務を行う場合に使用される、VMware SASEの「Secure Access」の機能拡張についてもVMworld 2021で発表されました。本ブログ記事では、今後実装が予定されている2つの機能についてお伝えします。
・クライアントVPNのトラフィック最適化機能
Secure Accessに接続する際のクライアントVPN機能は、Workspace ONE UEMが提供するWorkspace ONE Tunnelの機能が使用されます。(Workspace ONE Tunnelの詳細についてはこちらのブログをご参照ください)
今後、このクライアントVPNにトラフィック最適化機能が実装されるとの発表がありました。VPNトラフィックのパケットロスを自動で修復し、通信品質を改善する機能です。
実は、VMware SASEは以前よりトラフィック最適化機能を提供しています。
上記イメージ図の右下のように、VMware SASEは、VMware SD-WANの技術が活用されており、[VMware SASE PoP]⇔[オフィス・データセンター]のネットワーク通信を Dynamic Multipath Optimization (DMPO)機能によってトラフィックを最適化することが可能です。
さらに、今回の発表されたクライアントVPNのトラフィック最適化機能が今後実装されることで、[リモートワークのPC]⇔[VMware SASE PoP]⇔[オフィス・データセンター]のエンドtoエンドで通信が最適化されるようになる見込みです。
私個人としても、この機能実装は非常に楽しみです。もしかすると、ユーザーのインターネット利用時に「自宅のインターネット回線より、VPN経由の方が速い」という、今までになかった体験が実現できるようになるのではないでしょうか。
・Horizon Security Gateway機能の提供
現在のSecure Accessは、クライアントVPN機能を使用した接続機能のみが提供されていますが、今後VMware Horizonのゲートウェイ機能が追加実装される予定との発表がありました。
VMware Horizonは仮想デスクトップ環境を提供する、VMwareの代表的なソリューションです。
通常、Horizonの仮想デスクトップに、自宅などリモートからアクセスできる環境を実現する場合は、自社データセンターのDMZにUnified Access Gatewayと呼ばれる専用の仮想アプライアンスをデプロイし、Horizon Security Gateway機能を構成する必要があります。インターネットからアクセス可能なゲートウェイとして構成するため、しっかりとしたセキュリティ対策が必要になりますし、可用性・冗長性の考慮も必要となります。
このHorizon Security Gateway機能が、クラウドサービスとしてVMware SASE PoPで提供されるようになる予定です。自社でUnified Access Gatewayを構築・運用する必要がなくなるため、運用管理の手間が大幅に削減されるのではないでしょうか。
SD-WAN Edge 5G対応モデル
高速・大容量の通信を実現する5G(第5世代移動通信システム)ですが、日本国内でも接続可能なエリアが広がり、注目が高まっています。その5Gに対応したSD-WAN EdgeのハードウェアがVMworld 2021で発表されました。
小規模のサテライトオフィスや、利用期間が限定的な作業拠点を準備したい場合に、5G対応のSD-WAN Edgeを配備することで簡単に高速なオフィスネットワーク環境を準備でき、新規にネットワーク回線を敷設する時間と手間を削減できるかと思います。
また、社員の自宅にこのSD-WAN Edgeを設置してもらい、快適に在宅ワークができる環境を提供する活用方法も想定されます。
VMware Edge Network Intelligence アップデート
VMwareは、「VMware Edge Network Intelligence」と呼ばれる、デバイスとネットワークのパフォーマンス分析を実施するAIOps(IT運用のための人工知能)ソリューションを提供しています。Edge Network Intelligenceは、2020年に買収した「Nyansa社」の技術を統合し、PCやスマートフォン、IoTデバイスのネットワーク通信・アプリケーションアクセス情報を収集し、機械学習ベースの予測分析を使用したモニタリング機能を提供します。
Edge Network Intelligenceは、VMware SASE / VMware SD-WANと統合されており、SD-WAN Edgeで検知されたデバイスのネットワークトラフィック情報を収集し、解析・可視化を行うことができます。SD-WAN Edge以外にも、Crawler(クローラー)と呼ばれる専用のアプライアンスを使用してネットワークトラフィックを収集することも可能です。
また、2021年にEdge Network IntelligenceのクライアントAgentがリリースされました。このクライアントAgentを使用することで、リモートワークのクライアントデバイスにおいてもネットワークトラフィックのデータ収集ができるようになります。例えば、リモートワークを行っているユーザーから「業務アプリのアクセスが遅い」という相談があった際に、エンドtoエンドの通信を解析して解決策を提案できるようになります。
さらに、VMworld 2021で「Edge Network Intelligence」と「Workspace ONE Intelligence - DEEM」の機能連携がロードマップとして発表されました。
Workspace ONE IntelligenceのDEEM(Digital Employee Experience Management)は、Workspace ONE UEMで管理している企業デバイスの情報を収集し、デバイス・アプリのユーザーエクスペリエンスを可視化する機能を提供します。OSやアプリのクラッシュ情報を収集したり、デバイスの起動/停止時間をモニタリングして、企業デバイスが「ユーザーにとってスムーズに業務ができる状態なのか」という情報を解析・スコア化します。
Edge Network IntelligenceとWorkspace ONE Intelligence - DEEMの機能連携より、「デバイス」「アプリケーション」「ネットワーク」を横断的に解析し、ユーザー(従業員)のエクスペリエンスを可視化・スコア化する機能が今後提供される予定です。ユーザーのデバイス・ネットワーク環境の問題を可視化するだけではなく、Edge Network IntelligenceのAIによって解決策を提示し、Workspace ONE IntelligenceのAutomation機能で自動的に改善対応するような自動運用が、今後実現できるようになるかもしれません。
まとめ
VMware SASE / SD-WANのアップデートをEUC製品担当の目線でピックアップしてお届けしました。特に、最近注目度が高まっているVMware SASEのアップデートに高い関心を持ったお客様も多いのではないでしょうか。私個人としても、VMware SASEの今後のアップデートは気になるポイントですので、今後も引き続き最新の情報収集・発信に努めていきたいと思います。
本ブログでは今後も、VMware製品の情報を発信していきますので引き続きご確認頂けると幸いです。
関連記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
市島 拓弥 - Takuya Ichijima -
VMware vExpert