SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

VMware SASEとは - VMwareが提供するSASEのアーキテクチャを解説

VMware
2022.02.21

こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、主に VMware EUC製品を担当しております。

今回は、VMwareが提供するSecure Access Service Edge (SASE)ソリューション「VMware SASE」の基本機能とアーキテクチャをご紹介致します。

VMware SASEとは

2019年にGartner社によって定義づけられたSecure Access Service Edge (SASE)ですが、昨今では様々なベンダーから"SASEソリューション"が提供されています。「VMware SASE」は、その名のとおりVMware社が提供するSASEソリューションです。

VMware SASEは、2020年のVMwareのイベント" VMworld 2020"でコンセプトが発表されました。SASEの概念である"クラウドを中心としたネットワークセキュリティ アーキテクチャ"をVMwareソリューションで実現します。リモートワーク、オフィスワーク、どこからのアクセスであっても、まず最初にクラウドに準備されているVMware SASEの接続拠点である"PoP (Point of Presence)"に接続し、PoPを経由したのちに業務アプリケーションやインターネットへアクセスするアーキテクチャとなっています。

 

このPoPは、クライアントが社内システムやインターネットにアクセスする際のファーストホップとなるため、自分のいる場所から地理的に近い場所にあることが理想的です。VMware SASEのPoPは世界中150箇所以上のデータセンターに準備されており、2021年6月に東京リージョンのPoPも利用できるようになりました。例えば、日本国内のオフィスで業務をしている際は日本国内のPoPに接続し、国外にいる場合は最寄りの海外PoPに接続することで、ネットワーク遅延が少なくスムーズに業務アプリケーションへアクセスできる環境が実現されます。

 

上記でご紹介したイメージ図の中心にあるVMware SASE PoPは、単一のサービスではなく、複数のサービスを組み合わせて構成されています。現在、VMware SASEは下記3つのサービスで構成されています。

  • VMware Secure Access
  • VMware SD-WAN (Cloud Gateway)
  • VMware Cloud Web Security
 

本段階では「VMware Secure Access」および「VMware SD-WAN (Cloud Gateway)」の2つについては、クライアントがVMware SASEへ接続するための "PoPへの入り口" としての機能をそれぞれ提供し、「VMware Cloud Web Security」については、VMware SASEのPoP経由時にトラフィック内容に対して各種セキュリティチェックを行ったうえでインターネットへ抜けていく "PoPからの出口" としての機能を提供する、程度に捉えておいてください。 

次章から、それぞれのサービスが提供する機能についてさらに詳しくご紹介します。

 

VMware Secure Access

PC・スマートフォンなどの社外に持ち出した様々なデバイスに対して、リモートアクセス環境を提供するのが「VMware Secure Access」です。

Secure Accessを使用すると、リモートワーク時にユーザーがデバイスにサインインしたタイミング、または業務に使用するアプリケーションを起動したタイミングで、自動的にVMware SASE PoPにVPN接続されます。自動的に接続されるため、ユーザーは特別な操作をすることなく、VMware SASE PoPを経由して社内システムやインターネットにアクセスすることができます。

このSecure Accessのリモートアクセス機能は、従来からVMware Workspace ONEで提供されている「Workspace ONE Tunnel」の機能が使用されています。Workspace ONE Tunnelは、Windows、iOS/iPadOS、macOS および AndroidといったマルチデバイスOSに対応したクラウド管理型のクライアントVPN機能です。

Workspace ONE Tunnelの機能については、下記のブログ記事にて紹介していますので、詳細機能はこちらをご確認ください。

・Workspace ONE Tunnelとは - セキュアなリモートアクセスを実現
https://licensecounter.jp/engineer-voice/blog/articles/20210930_workspaceone_tunnel.html

 

VMware SASEでは、PoPに準備されたSecure AccessがWorkspace ONE Tunnelの接続先ゲートウェイ機能を提供します。クラウドサービスとしてゲートウェイが提供されるため、利用者側で新たにサーバーを構築・管理する必要がありません。

 

また、Secure Accessはデバイス管理を行うWorkspace ONE UEMと連携し、クライアントデバイスのVMware SASE PoP接続をコントロールします。

 

例えば、「企業デバイスとして管理されていない」「OSのバージョンが古い」「セキュリティ機能が無効になっている」といった、企業のポリシーに違反しているデバイスをWorkspace ONE UEMが検知します。こういった違反状態にあるデバイスは、Secure Accessに接続できなくなるため、VMware SASE PoPを介して社内アプリケーションやSaaSにアクセスすることができなくなります。

このようにWorkspace ONE UEMとSecure Accessが連携することで、リモートワークで使用しているデバイスの状態を動的にチェックした、業務アプリケーションへのアクセス制御を実現します。また、デバイスの状態が正常状態に回復すれば、Secure Accessへの接続も自動的に回復し、業務が再開できるようになります。

 

VMware SD-WAN (Cloud Gateway)

先ほどまでのPC・スマートフォンなどの "デバイス" 向けにリモートアクセス環境を提供する「VMware Secure Access」に対して、VMware SASE PoPと、オフィスやデータセンターなどといった "拠点" としての社内ネットワークを接続するのが「VMware SD-WAN」の役割です。

VMware SD-WANは、従来からVMwareのSD-WANソリューションとして提供されている製品です。VMware SD-WANの概要については、下記のブログ記事にて紹介していますのであわせてご確認ください。

 

VMware SASE PoPでは、VMware SD-WANの「Cloud Gateway」が構成されています。利用者の各拠点に配備されたSD-WAN EdgeとCloud Gatewayの間でトンネルが構成されることで、オフィスやデータセンターなどの拠点からVMware SASE PoPへ接続できるようになります。

また、前章でご紹介したSecure Accessを利用し、VMware SASE PoPに接続したリモートワークのデバイスが社内データセンターのアプリケーションへアクセスする際も、VMware SD-WANによって構成されたネットワークを経由してアクセスします。

 

オフィスのネットワークに接続されたデバイスのトラフィックは、VMware SD-WANのビジネスポリシーによってコントロールされます。WEB会議アプリケーションのトラフィックをローカルブレイクアウトしたり、業務SaaSアプリケーションへのアクセスをCloud Gateway経由でアクセスさせたり、といったアプリケーションごとの柔軟な経路設定が可能です。

また、VMware SD-WANの特徴的な機能であるDynamic Multi-Path Optimization (DMPO)によって、ネットワーク回線の品質補正機能、複数の回線を束ねたサイト間通信を実現する機能も提供されます。

 

VMware Cloud Web Security

これまでご紹介したSecure Access、VMware SD-WANによってVMware SASE PoPに接続したデバイスに対し、インターネットアクセス時のセキュリティ機能を提供するのが「VMware Cloud Web Security」です。

Cloud Web Securityは、インターネットアクセスのトラフィックを解析し、危険なWEBサイトへのアクセス、危険なファイルのアップロード/ダウンロードをブロックする機能を提供します。また、CASB (Cloud Access Security Broker)機能によって、ユーザーのSaaS利用をモニタリングし、クラウドサービス利用の可視化・制限機能を提供します。

例えば、ユーザーが不審なメールのURLをクリックして危険なファイルをダウンロードしてしまった際、通信先のURL情報やダウンロードされたファイルを解析してブロックします。

Cloud Web Securityによってアクセスがブロックされた際は、下記の様なメッセージ画面がデバイスに表示されます。また、IT管理者はCloud Web Securityの管理画面で、ユーザーのインターネットアクセスログを確認することが可能です。

 
 

VMware SASE アーキテクチャ

VMware SASEを構成する3つのサービス「VMware Secure Access」「VMware SD-WAN (Cloud Gateway)」「VMware Cloud Web Security」についてご紹介させて頂きました。
あらためて、それぞれの機能を組み合わせた全体アーキテクチャをご紹介すると以下のような構成イメージになります。
 

ユーザーはリモートワーク時には、Workspace ONE Tunnelの機能を使用して自身の利用しているデバイスから直接、VMware SASE PoPのSecure Accessに接続します。一方、出社してのオフィスワーク時には、各拠点に配備されたSD-WAN Edgeを経由して、VMware SD-WANによって構成されたネットワークを通じてVMware SASE PoPのCloud Gatewayに接続します。

リモートワーク、オフィスワーク、どこからのアクセスであってもVMware SASE PoPを経由する構成となり、ユーザーがインターネットへアクセスする際にはCloud Web Securityによって一貫したセキュリティが提供されます。

 

おわりに

今回は、VMware SASEのサービスとアーキテクチャについてご紹介しました。
VMware SASEは新しい機能だけではなく、従来からVMwareがサービス提供しているVMware SD-WAN、VMware Workspace ONEの機能を組み合わせて提供されていることがお分かり頂けたのではないでしょうか?

本ブログ記事作成のタイミングでは、「VMware Secure Access」「VMware SD-WAN (Cloud Gateway)」「VMware Cloud Web Security」の3つがVMware SASEのサービスとして提供されていますが、今後のロードマップとしてさらに「 VMware NSX Cloud FWaaS (Firewall as a Service)」の提供も予定されています。また、それぞれのサービスに対しても様々な機能拡充が予定されており、VMware SASEは今後のアップデートが楽しみなソリューションです。

本ブログでは今後も、VMware SASEを始めVMware 製品のアップデート情報などを発信していきますので引き続きご確認頂けると幸いです。

 
VMware の各種製品情報や SB C&S が提案する仮想化ソリューションについての情報はこちらから
licensecounter_logo.png

製品情報はこちら

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
市島 拓弥 - Takuya Ichijima -

VMware vExpert