Secure Access Service Edge の概要 - Secure Access Service Edge - Alibaba Cloud ドキュメントセンター

Secure Access Service Edge (SASE) は、Alibaba Cloud が提供する統合ワークスペースセキュリティ管理プラットフォームです。

SASE は、Alibaba Cloud の広大なエッジノードネットワークと専用回線アクセスを基盤として構築されています。ゼロトラストモデルに基づき、SASE はセキュリティ機能をエッジにまで拡張します。これにより、複数のブランチ、アウトレット、またはリモートやモバイルでの作業シナリオを持つ企業向けに、すぐに利用できるリモートゼロトラストアクセス、内部ネットワークアクセス動作の監査、ワークスペースデータ保護、およびワークスペースネットワークアクセスを提供します。

SASE が Elastic Compute Service (ECS)、ApsaraDB、クラウドストレージなどのクラウドコンピューティングサービスにアクセスする際、Transport Layer Security (TLS) プロトコルと独自プロトコルを組み合わせて使用し、データ伝送のセキュリティを確保します。データストレージおよび処理のシナリオでは、エンベロープ暗号化を使用して包括的なデータ保護を提供します。

企業が SASE の利用を開始すると、管理者は SASE コンソールで必要な機能と制御ポリシーを設定します。SASE コンソールは、これらのポリシーを SASE アプリを通じて従業員に配信します。従業員が SASE アプリをインストールしてネットワークセキュリティ保護を有効にすると、そのアクセス動作はポリシーに従って管理されます。

機能概要

以下のセクションでは、SASE の概要を理解できるよう、SASE のコア機能について説明します。

プライベートアクセスセキュリティ

内部ネットワークアクセスセキュリティ機能は、Software-Defined Perimeter (SDP) 技術を利用した Software as a Service (SaaS) ベースのゼロトラストネットワークアクセスを提供します。パブリック IP アドレスを公開したり、企業の既存のネットワークアーキテクチャを変更したりすることなく、従業員のアクセス権限を管理します。以下の 3 つのシナリオで内部ネットワークアクセスのセキュリティを提供します。

ワークスペースネットワークアクセス
この機能は、証明書に基づく 802.1x ネットワークアクセスをサポートします。ユーザー名とパスワードを手動で入力したり、証明書ファイルをインポートしたりする必要はありません。SASE アプリをインストールするだけで、安全にネットワークにアクセスできます。SASE アプリは、ワークスペースネットワークアクセスのセキュリティと利便性を向上させます。また、パスワード認証によるダム端末やホワイトリストに登録されたアカウントのアクセスもサポートします。これにより、プリンターや IoT デバイスなどのネットワークアクセスニーズに対応し、ネットワークアクセスを簡素化します。
ゼロトラスト内部ネットワークアクセス制御
この機能は、TLS プロトコルと独自プロトコルの組み合わせを使用します。動的な身分認証に基づき、エンドポイントからエンドポイント (TCP) およびエンドポイントからアプリケーション (HTTP および HTTPS) への最小権限のアクセス制御をサポートします。従来の VPN アクセスと比較して、この方法はより高速なアクセス、より効率的な O&M、より簡単なデプロイメント、およびより高いシステムセキュリティを提供します。
グローバルワークスペースシナリオ
このシナリオは、中国本土外の従業員が中国本土内外のサービスにアクセスする必要があるグローバルワークスペースを対象としています。

インターネットアクセスセキュリティ

効率的なクラウドベースのファイル分析エンジンは、ワークスペース端末から送信される機密性の高いワークスペースデータを監査、保持し、アラートを送信します。このエンジンは端末のコンピューティングリソースを消費しません。アウトバウンドチャネルには、ポータブルストレージ、インスタントメッセージングツール、メール、HTTP、FTP、印刷、書き込み、クラウドドライブが含まれます。このエンジンは 100 種類以上のファイルタイプを検出し、60 以上の事前設定された機密情報辞書を含んでいるため、ワークスペースのデータ保護を簡素化します。

アウトバウンドファイルの検出によるデータセキュリティの確保
Cloud Data Loss Prevention (DLP) サービスアーキテクチャに基づき、企業ユーザー向けの軽量なワークスペースデータ検出ソリューションを提供します。これにより、企業はアウトバウンドの機密データをリアルタイムでモニターし、データ漏洩の脅威を検出できます。
外部デバイスの管理によるデータセキュリティの確保
この機能は、企業の従業員が使用する外部デバイスのデータアクセス権限を管理します。これにより、企業は機密ファイルのアウトバウンド転送を検出できます。
ウォーターマークの管理によるデータセキュリティの確保
企業の従業員に対して画面および印刷ウォーターマークを有効にすることで、重大なビジネス上の損失を防ぎ、ワークスペースデータのセキュリティを確保できます。

ログ分析

ログ監査
ログ監査機能は、ご利用のネットワークトラフィックをリアルタイムで監査し、不審なトラフィックを処理するための根拠を提供します。
ログ分析
SLS ログ機能は、SASE からの Web アクセスログと緩和ログを収集・保存するのに役立ちます。Alibaba Cloud Simple Log Service に基づいており、クエリ分析、統計チャート、アラート機能などをサポートします。これにより、面倒なクエリや整理作業を避け、分析に集中できます。

エディション

現在、SASE はサブスクリプション (前払い) の課金方法のみをサポートしています。以下の表を使用して、適切な SASE エディションを選択してください。課金方法や課金項目などの詳細な課金情報については、「Secure Access Service Edge の課金の概要」をご参照ください。

エディション	説明
Private Access (Basic)	SASE Private Access (Basic) は、従業員がクラウド上またはオンプレミスの企業アプリケーションにリモートでアクセスするためのゼロトラスト VPN を提供します。このエディションは、従業員数が 100 人を超える企業に適しています。必要に応じてオフィスの帯域幅を購入する必要があります。
Private Access (Advanced)	SASE Private Access (Advanced) は、従業員がクラウド上またはオンプレミスの企業アプリケーションにリモートでアクセスするためのゼロトラスト VPN を提供します。また、オフィスネットワークのアクセス制御とグローバルオフィスアクセスもサポートします。
Internet Access (DLP)	Internet Access (DLP) は、Cloud Data Loss Prevention (DLP) サービスアーキテクチャ上に構築されています。企業がオフィスデータを即座に検出し、モニターし、保護するのに役立ちます。
Endpoint Protection (Antivirus)	Endpoint Protection (Antivirus) は、Alibaba Cloud の悪意のあるファイル検出プラットフォームと統合されています。ファイルウイルスに対するリアルタイムの防御と、エンドポイントセキュリティアラートイベントのリアルタイム検出を提供します。

無料トライアル

SASE を初めて使用する場合、7 日間の無料トライアル申請ページでトライアルを申請できます。無料トライアルは 7 日間有効です。各 Alibaba Cloud アカウントは、最大 100 のクライアント権限付与をサポートします。

お問い合わせ

SASE の購入に関するプロダクト機能、価格、エディションの選択などのご質問がある場合は、チケットを起票してプロダクト技術専門家にご相談ください。