SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

VMware SASE SD-WAN Edge経由のセキュアなインターネットアクセス

VMware
    2022.09.27

    こんにちは、 SB C&Sの風間です。
    今回はVMwareが提供するSecure Access Service Edge (SASE)ソリューション「VMware SASE」における、SD-WAN経由でのセキュリティを担保したインターネット接続の設定例を紹介します。

    はじめに

    まず、VMware SASEとは?と思われている方は、下記にアーキテクチャーが紹介されています。
    https://licensecounter.jp/engineer-voice/blog/articles/20220221_vmware_sase_overview.html

    VMware SD-WANはVMware SASEが誕生するより前から、SD-WANソリューションとして提供されていました。
    VMware SASEではクラウド上のアクセスポイントであるVMware SASE PoPにデバイスを接続した上で、サービスを提供する仕組みとなっています。
    VMware SASE PoPでは、VMware SD-WANのCloud Gatewayが構成されており、SD-WAN EdgeとCloud Gatewayが接続されることでVMware SASE PoPを経由することができます。

    pop.jpg

    VMware SASE PoPに接続したデバイスに対し、インターネットアクセス時のセキュリティ機能を提供するのが「VMware Cloud Web Security(以下CWS)」です。
    本記事ではSD-WAN EdgeよりSASE PoPへ接続し、CWSを経由したインターネット接続の設定方法をご紹介します。

    cws2.png

    CWSの設定

    まずはCWS機能を設定し有効にします。

    ①SASEの管理コンソールを開き、[SD-WAN]-[Cloud Web Security]の順にクリックします。

    1.png

    ②[設定]-[セキュリティポリシー]-[新規ポリシー]の順にクリックします。

    2.png

    ③セキュリティポリシーの名称を設定します。(本例では"CWS-01"と設定しています)
     入力が終了しましたら[作成]をクリックします。

    3.png

    ④セキュリティポリシーを作成すると自動的にデフォルトルールが設定されます。
     "CASB"、 "SSLインスペクション"、"URLフィルタリング"、"コンテンツフィルタリング"、"コンテン
     ツインスペクション"それぞれにデフォルトルールが存在している事を確認します。
     確認を終えたら[公開]をクリックします。

    4.png

    ⑤こちらの画面が表示されたら[はい]をクリックします。
     以上でCWSポリシーの設定は完了です。

    5.png

    CWSの詳細設定につきましては、以下の記事も参考にしてください。

    https://licensecounter.jp/engineer-voice/blog/articles/20220310_vmware_sase_cws.html
    https://licensecounter.jp/engineer-voice/blog/articles/20220323_vmware_sase_cws_advanced.html
    https://licensecounter.jp/engineer-voice/blog/articles/20220920_vmware_sase_dlp.html

    SD-WAN Edgeの設定

    SD-WAN EdgeからCWSを介してインターネットにアクセス可能な設定を行います。
    ※SD-WAN Edgeの設定がまだの場合はドキュメントを確認し、設定を実施してください。
    ※SD-WAN EdgeよりVMware SASE PoPへの接続が必要なので、Edgをインターネットアクセスが行えるよう配置してください。

    ①SD-WAN Orchestratorを開きます。
     左メニューの[プロファイル]をクリッし、作成済みのプロファイルをクリックします。

    w1.png

    ②[デバイス]にある、[クラウドVPN]をONにします。
     右上の[変更を保存]をクリックします。

    w2.png

    ③[ビジネスポリシー]にある、[新規ルール]をクリックします。

    w3.png

    ④ルールの名前を入力し、CWSのポリシー対象とする送信元を選択します。
     宛先で[定義]をクリックし、[インターネット]を選択します。

    w4.png

    ⑤下部にスクロールし、"アクション"の項目で[インターネットバックホール]を選択します。
     [VMware Cloud Web Security Gateway]を選択し、適用したいCWSポリシーを選択します。
     [OK]をクリックしてルールを保存します。

    w5.png

    ⑥ルールが追加されていることを確認し、[変更の保存]をクリックします。

    w6.png

    確認

    CWSのセキュリティポリシーを確認し、状態が使用中になっていることを確認してください。

    k1.png

    最後に

    今回は下記の図にある、右下のオフィスワークからCWSを経由したインターネットアクセスの設定を紹介しました。

    saigo.png

    VM SASEでは、他にもリモートワークからCWSを経由したインターネットアクセスも可能です。
    また、リモートワークからSD-WAN Edge配下への接続であったり、サードパーティーVPN RouterをCloud GatewayにIP Sec接続することで、リモートワークやオフィスワークからの接続も可能であったりと、SASE PoPを経由した様々な接続を提供しておりますので、今後の記事でも概要や設定についてご紹介できればと思っています。

    著者紹介

    SB C&S株式会社
    ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
    風間 亮