こんにちは、 SB C&S の風間です。
以前、VMwareが提供するSecure Access Service Edge (SASE)ソリューション「VMware SASE」の"VMWare SASE CWSさわってみた"という記事を、弊社メンバーより投稿しました。
今回は"VMWare SASE CWSさわってみた Advanced編"ということで、StandardライセンスではなくAdvancedライセンスで出来ることを紹介したいと思います。

おさらい

まず、VMware SASEとは？と思われている方は、下記にアーキテクチャーが紹介されています。
https://licensecounter.jp/engineer-voice/blog/articles/20220221_vmware_sase_overview.html

また、VMware Cloud Web Security（以下CWS）の概要については、下記も参照いただければと思います。
https://licensecounter.jp/engineer-voice/blog/articles/20220310_vmware_sase_cws.html

StandardとAdvanced

CWSにはStandard EditionとAdvanced Editionという、2つのライセンスが用意されています。
Advancedになると何ができるの？ということで、表にまとめました。

上記にあるように、機能の違いとしてはCASBでの制御（可視化はStandardでも可）とDLPとなります。
また、Sandbox機能での検査対象となるファイルも異なります。

セキュリティを強化する上で、必要な機能を確認いただき、ライセンスを選択いただければと思います。

CASB（Cloud Access Security Broker）

Advancedライセンスで利用可能なCASBについて、設定と動作のイメージをご紹介致します。

CASBとは、「Cloud Access Security Broker」の略となり、利用者とクラウドサービスの間に介在（Broker）して、利用する際のセキュリティを担保するソリューションの総称です。どのようなクラウドサービスが対象なのかということは、Web管理コンソールから確認することが可能です。

設定 > CASB

アプリケーション名をクリックすることで、詳細情報を確認することも可能です。

今回は特定サイトのログインを禁止する設定を行います。

①送信元の選択
全てのユーザー共通であれば、"すべてのユーザーおよびグループ"にチェックを入れてください。
特定のユーザを指定したい場合は入力してください。

②アプリケーションの選択
特定のアプリケーションを指定する場合は、"カスタム選択"にチェックを入れ、アプリケーション名の横にチェックをいれてください。

③アプリケーション制御
制御内容を設定しますが、"ブラウザ アクション"をブロックとした場合は、そのサイトへのアクセス自体をブロックします。
"ブラウザ アクション"許可とした場合、アプリケーション制御にあるような細かい制御が可能となります。
今回はログインを行えないようにしたいため、ログインをブロックとします。

④名前の入力
ルール名は必須項目となりますので入力し、"終了"で設定は完了します。

最後に"公開"をクリックし、設定が反映されるのを待ちます。

では、実際に設定したサイトにアクセスしてみましょう。
サイト自体をブロックした訳ではないので、ログイン画面まで表示されるはずです。

実際にログインしようとするとブロックページが表示されます。

ログを見るとCASBでブロックされているということが確認できます。

※補足
オンラインストレージのようなログインからアップロード、ダウンロードが行えるようなアプリ対しては、より細かい制御も可能となっております。

最後に

今回紹介させていただいた機能はCASB制御になりますが、Advancedライセンスで利用できる機能としてはDLPもございます。DLPにつていは最新バージョンで追加された機能となりますので、こちらも弊社内での検証ができましたら、投稿します。
また、VMware SASEは比較的早いペースで機能拡張がなされているので、今後強化される機能についても随時ご紹介できればと思います。