Cato NetworksとSASEについて深堀りしてみる

はじめに

Think ITでCato Networksに関する記事が出ていたので、Cato Networksについて深堀りしてみました。

📰：SASEのCato Networks、CEOによるセミナーとインタビューを紹介 | Think IT（シンクイット）

SASE

SASE = Secure Access Service Edge
2019年にガートナーが創り出したエンタープライズ向けのソリューションに対する用語

✅：SASE = SD-WAN + (クラウドベースのセキュリティソリューション)

クラウドとユーザー（拠点）とのコネクティビティをSD-WANが提供し、セキュリティ機能をすべてクラウドで提供する仕組み。

ZscalerやCato NetworksがSASEソリューションを展開している。

→ Cato Networksでは、通常は構内に設置するルーターやファイアウォール、IPSなどがすべてCato Networksが実装するソフトウェアで置き換えられている。

※画像はThink ITの記事から転載

CatoはCDNと似ている？

✅：Cato NetworksのソリューションはAkamaiのようなCDNベンダーがやっていることをSD-WANとセキュリティのために応用したともいえる。

CDNの仕組み

CDNで有名なAkamaiは世界中のISPなどに分散配置された大量のEdgeサーバが、有機的にメッシュネットワークを構成することによって、低遅延でコンテンツを配信することができる。

Catoの仕組み

Cato Networksを利用するにはユーザーサイドにSocketと呼ばれるエッジルータを設置する必要がある。Think ITの記事では、Catoのネットワークがユーザーサイドの近く（拠点内）までやって来るという点で、Edgeサーバを世界中に分散配置するCDNと仕組みが似ているとしている。

※画像はマクニカの製品紹介ページから転載

Catoを構成する要素

Cato Cloud：セキュリティ機能を提供する主体。Software-definedなネットワークセキュリティを実現できる。
PoP：Catoクラウドに接続するために用意された接続ポイント。世界各地にPoPが用意されている。
Socket：ユーザーサイドに設置するVPN アプライアンス。SocketがPoPに対してVPN接続することで、ユーザー拠点とCatoクラウドを接続することができる。

参考：Cato ケイトーネットワークス－クラウド型ネットワークセキュリティ/SASE

Catoが提供するセキュリティ機能

次世代ファイアウォール
Webフィルタリング
アプリケーションコントロール
クラウドアクセスコントロール
ネットワーク利用状況調査（Network Forensics）
マルウェア対策

Catoを導入する目的

調べてみてわかったCatoを導入することで得られる効果は以下のとおり。

拠点機器の運用管理工数削減：クラウドでセキュリティ機能を提供することによって拠点にファイアウォールを設置する必要がなくなるため、運用管理工数の削減が狙える。
拠点機器の負荷軽減：SaaS利用時には大量のTCPセッションを消費する傾向にあるため、ファイアウォールやフォワードプロキシサーバにかかる負荷を課題としている企業は多い。この課題に対して一般にソリューションとして使われるインターネットブレークアウトに代わる新たな選択肢としてCato Networksが利用できる。
拠点展開工数の削減：Cato SocketはゼロタッチSD-WANデバイスであり、最寄りのPoPに自動的に接続されるため、拠点展開時の負担が少ない。
セキュリティ機器の削減：Catoではクラウドでセキュリティ機能を提供するため、これまで拠点に設置していたFW等のセキュリティ機器が不要となる。
拠点間通信の高速化：Catoのバックボーンを使用した最適な経路で通信することにより、拠点間通信の高速化が見込める。
統合管理による運用負荷低減：拠点をCatoクラウドから統合管理することで運用負荷の低減が見込める。
セキュリティポリシーの統一：セキュリティ機能をクラウドから提供するため、各拠点のセキュリティポリシーを統一管理することが可能となり、ガバナンス観点での効能が見込める。
働き方改革：拠点ネットワークだけでなく、モバイルデバイスからもPoPに接続することができるため、ロケーションを問わず一貫したセキュリティポリシーを全従業員に適用できる。
インターネットの可用性向上：SD-WAN機能を用いて、複数ISPを束ねることができるため、インターネット接続の可用性向上が見込める。