VMware SASEの中でもリリースに合わせて新規サービスとしてリリースされたCloud Web Securityについてちょっと触ってみた感想を書いてみたいと思います。
◆VMware Cloud Web Securityとは?
VMware Cloud Web Securityは最近のトレンドであるゼロトラストセキュリティモデルではSecure Web Gateway(SWG)の役割を果たすサービスです。VMware SASEのリリースに合わせてVMware社のSASE PoP内で提供されるセキュリティプロキシサービスです。2020年のVMworldで発表されたとおりVMware社とMenlo Security社の協業で開発されたサービスです。
https://blogs.vmware.com/vmware-japan/2020/10/vmworld2020-network-security-wrapup.html
Menlo SecurityのサービスをそのままOEM販売しているのではなく、 ソフトウェア提供を受けてVMware社のCloud Web Securityの一部として利用している、そんなイメージを持っていただければと思います。そのためMenlo Security社のサービスで提供されている機能全てがCloud Web Securityの機能として提供されているわけではありません。但しSWGの主要機能でもあるURLフィルタのエンジン等はそのまま利用しているようで、Menlo Securityが利用しているWebroot社のURLフィルタのツールを使うとCloud Web Securityで指定したURLがどのカテゴリに分類するかなどを調査することができます。(VMware社が正式にサポートするツールではありませんのでご注意ください)
https://www.brightcloud.com/tools/url-ip-lookup.php
◆VMware SD-WANとの連携
Cloud Web SecurityはいわゆるProxyサーバとして動作しますが、一般的に利用される明示的なProxyではなく、ネットワーク的に透過なProxyとして動作します。そのためインターネット向けの通信がCWS経由の通信になるようにルーティングする必要があります。
VMware SD-WANでは従来のファイアウォール製品のポリシーのように特定のルールにマッチした通信をCWS経由の通信になるように簡単に設定することが可能です。これはVMware SASE以前から多くのZscaler社を始めとするSWGサービスと連携可能なVMware SD-WANを利用しているVMware SASEの強みと言えます。SD-WAN EdgeでYouTube向けの通信はCWSを経由することなく直接インターネット経由で接続するといった従来のSD―WAN機能をそのまま利用することが できます。
◆VMware Secure Accessとの連携
VMware Secure Accessと聞くと初めて聞く方も多いかもしれませんが、Workspace ONE UEMのVPN機能をマネージドサービス化したものがVMware Secure Accessになります。先程紹介したVMware SD-WANは拠点からCWSを利用するのに利用するのに対して、VMware Secure AccessはリモートからPC,スマートフォンなどのデバイスからCWSを利用するために利用されます。
Workspace ONE UEMのVPN機能であるWorkspace ONE Tunnelは従来接続したいデータセンターにHorizonでお馴染みのUnified Access Gateway(UAG)を展開してVPNゲートウェイとして利用していました。VMware Secure AccessではこのUAG相当のコンポーネントをSASE PoPに展開してVMware SD-WAN経由でのオンプレミスの接続やCWSを使ったインターネット接続を実現します。
◆実際に触ってみた感想
VMware SD-WANやVMware Secure Accessと連携して透過Proxyとして動作します。そのため一般的な明示的なProxyで管理者を悩ませるProxy構成ファイルであるPACファイルのメンテナンスが不要、接続元デバイスにエージェントソフトを導入するといった必要はありません。これは非常に管理者にとって嬉しいところではないでしょうか。
またCloud Web Securityではパスワード暗号化されたファイルの取り扱いでユニークな機能が提供されています。ファイルダウンロード時にパスワード暗号化されていると、暗号化されているからスキップしてダウンロードするのではなく、ブラウザ上でパスワードを要求して復号化してスキャンを実施し安全であることを確認してからダウンロードを実施します。不審なものを一切内部に入れない非常にセキュリティの高い設計をとることが可能です。
弊社で検証時に困ったのがユーザ認証の連携になります。設定自体は可能なのですがドキュメントのどこをみても設定についての記載がありません。VMware社のパートナーサイトにあるWorkspace ONE Accessとの連携の手順を参考にAzure ADとの連携をおこなったりしました。Menlo Securityのソフトウェアを組み込んでいると書きましたが、Menlo SecurityとAzure ADの連携手順がMicrosoft社のサイトで公開されておりそちらを参考にもしたりしました。
是非製品ドキュメント内で認証連携の設定手順は紹介して欲しいと思います。
またCloud Web SecurityはActive Directoryとの直接の認証連携は行うことができません。Workspace ONE Access、Azure AD、Okta、ADFSといったSAMLのIDPとして動作するサービスとActive Directoryを同期してCloud Web SecurityをSPとして設定する必要がありますので注意が必要です。
https://docs.vmware.com/jp/VMware-Cloud-Web-Security/index.html
まだまだ情報が少ないCloud Web Securityを紹介させていただきました。クラウドのProxyサービスってパフォーマンス大丈夫?とお考えになる方も多いかと思いますが、既に東京のデータセンターで稼働しているためクラウドのProxyなの?と思うような遅延で今までと変わらずインターネット接続ができています。是非興味がある方は試してみてはいかがでしょうか。
ソリューションアーキテクト: 工藤真臣
仮想化関連製品以外でも、プリセールスから、何でも相談室、障害対応まで何でもこなす雑食系アーキテクト。VCAP-DCA+DCD+CID vExpert 2012-2022