SASE/SSEを使う際に必ずといって話題になるのが、送信元IPアドレスについての要件です。 今までのオンプレ型ファイアウォールやプロキシと異なるのが、NATの場所がクラウドになるということです。 SASEを使うとき、ユーザーが接続する場所はPoPとなるため、一般的なSASE/SSEサービスだと接続するPoPによって、送信元IPが変わってしまう、IPアドレスが場所や時間によって特定することができないという問題を抱えています。

Cato Networksは非常によく考えられたアーキテクチャであり、送信元IPアドレスの問題をシンプルに解決しています。あまりにもシンプルに解決してしまっているので、他社の製品と比べると他社はなぜそんなに仰々しく対応しないといけないのか？と思ってしまうほどシンプルです。

SASEでは、ユーザーの接続場所やデバイスを制限することなく、世界中のどんなネットワークから接続しても一貫して安全かつ快適なネットワークアクセスを提供することが求められます。つまり、接続場所が変わると、送信元IPがコロコロと変わってしまうとなると、どうしても組織で契約しているSaaS側でアクセス制御ができなかったり、海外からのアクセス時の制限などが発生してしまいます。

送信元IPについては、過去何度かブログでも書いていますので興味がある方はそちらもアクセスしてください。

SASE/SSEの送信元IPアドレス固定について少しだけ理解を深める　概念編

SASE/SSEの送信元IPアドレス固定について少しだけ理解を深める　実践編

さてシリーズ3回目は送信元IPの固定に関する動画です。

▼▼▼動画は以下リンクをクリック

SB C&S オリジナル　Cato構築動画シリーズ3

YouTubeの動画です。約18分

IP Allocationを使った送信元IPの導入方法

Catoの送信元IP（Cato SASE Cloud上でIPを固定化する）のはとても簡単です。
プロキシ型/SSE型の製品では、NATという仕組みではないため、どうしてもIPを固定化するポイントがリモートアクセスを終端するコネクター側へ転送する必要が多く（最近では別途オプションも増えてきましたが）、設計や設定、さらに運用が複雑になります。

今回見ていただきたいのが、送信元IPを固定化するためのIPを確保するところから、IPを固定化するところまでの流れです。

送信元IPを固定化する手順の流れ

1. IP Allocation（IPの割当）からPoPの場所を指定
2. ネットワークルールを使って、インターネット向けの通信にNAT設定を行う

というたったこれだけの作業でいとも簡単にできてしまいます。
もちろん、万一のPoP障害やトラフィックの負荷対策にも複数のPoPを選択したIPの払い出しにも対応できます。

次回はCato Networksの管理者ログイン時のMFA認証についての手順を予定しています。