この記事を書いている担当は、いわゆるレガシーなインフラエンジニアです。
ネットワーク機器や物理サーバ、また回線やデータセンタといった物理寄りの構築・運用を担当してきましたが、ここ数年はAWSやAzureそしてSASEと、クラウドインフラに仕事が移ってきています。
そんな担当から見てCatoクラウドはどうなのか、率直に思うところを書いてみたいと思います。
Catoクラウドの良いところ
一元化された管理画面はとても便利
Catoクラウドは、ネットワーク・セキュリティのオールインワンサービスです。1つの管理画面ですべての機能が操作・確認できます。
従来は、例えば拠点を1つ新設するとなると、その拠点に置くルータを設定し、対向となるデータセンタ側のネットワーク機器に設定追加し、さらにファイアウォール等のポリシーを追加し…、と複数の機器での設定が必要となり、かつ機器ごとの知識を持っている必要がありました。
Catoでは、拠点はほぼゼロタッチで接続でき、ルーティングもセキュリティポリシーも、すべて管理画面からGUIで設定できます。この手軽さはすごいです。実際に、多拠点ネットワークの構築において拠点展開の工数を大幅に減らすことができました。
なお、他の製品では、機能ごとに管理画面が分かれていてリンクが貼られているだけだったり、UIが統一されておらず操作方法がばらばらといったものもありますが、この点Catoは全機能がよく統合されていると思います。
すべてのログが1つの画面で検索できる
また、Catoではすべてのログが1つのログ管理画面に集約されています。これは運用者にとって革新的です。
これまでは、例えば特定のユーザで特定の通信ができないという問題が発生した場合、ファイアウォールに入ってブロックされていないかログを見て、次にIPSやProxyのログを見て…というように、いくつもの機器を確認する必要がありました。ログを一元管理するようなソリューションもありますが、異なるベンダの異なる機器のログを集約すると、ログのフィールドが最大公約数的に丸められており、結局実機を見る必要がある…といったことも多かったです。
この点、Catoクラウドは、セキュリティログも接続記録も、すべてが「Events」に一元的に集約されており、ユーザ名と日時で絞り込みをかけるだけで、そのユーザにその時何があったのかを知ることができます。
筆者も当初は、一元化することでログのフィールドが複雑化して、内容を読み解くのが大変では…?と思ったのですが、そうでもありませんでした。ログ毎に必要なフィールドのみが表示されるので、複雑ではないです。
ログ(Events)については、以下の記事もご参照ください。
ルーティングの設計が不要
Catoクラウドでは、基本は拠点がCatoクラウドへ接続するのみのシンプルな構成となり、すべての経路制御はCatoクラウド側で行うため、ユーザがルーティングを意識する必要がなくなります。
複雑な構成にしない限り、経路制御の知識が全く無くてもネットワークが組めるということです。
冗長構成を組むのが簡単
拠点の回線を二重化したり、機器を2台置いてActive/Standby構成にすることはよくありますが、Catoではこれがとても簡単に設定できます。
従来は、各回線や機器の優先度を設計し、Config作成・設定し、実際に意図どおりに切り替わるかを複数パターンでテストし…といったプロセスを踏んでいましたが、Catoではそれらが自動設定されるため、バックアップ側の回線やSocketを接続し、管理画面から数クリックするだけで冗長化構成が完了します。
細かな融通が利かせられない面はありますが、回線・機器の故障時にもユーザが気づかないレベルで切り替わるため、通常の利用には十分です。
Catoクラウドでも楽にはならない点
仮に社内ネットワークをCatoクラウドにした場合にも、変わらず手がかかる点もあります。
セキュリティ設計・運用は従来どおりやる必要がある
Catoクラウドの各種セキュリティ機能では、デフォルトで推奨設定が入っていますので、そのままでも不審な通信はBlockし、安全に利用可能です。
しかしながら、実際の運用においては、自社のセキュリティポリシーによって設定をデフォルトから変える必要があったり、日常的にユーザや部署ごとの個別のルールに対応したりといった、セキュリティ運用業務が発生するかと思います。それはインフラがCatoクラウドになっても同様にやっていく必要があります。
また、Catoクラウドにてセキュリティインシデントを検知した際、その後の対応をどうするかといった部分も、セキュリティ運用として決めておく必要があります。
このあたりは、Catoでも既存インフラでも同じように準備が必要です。
やはり足回り回線は最重要
Catoクラウドは優れたサービスですが、接続にはインターネット回線が必須です。
回線が不安定だったり、十分な速度が出なかったりすると、Catoクラウドへの接続に問題が生じ、業務通信が不安定になったり、利用できなくなってしまいます。
回線の選定や管理運用は、昔も今も変わらず重要です。
Catoクラウドのちょっと困る点
従来インフラと比べて、Catoが少し厄介だなと感じる点もあります。
ブラックボックスな面がある
Catoクラウドはサービスである以上、利用者が触ることのできる範囲に限界があります。
例えばなにか通信が想定どおり通らないことがあったとして、従来のルータやファイアウォール等の物理機器が存在する場合には、その機器でDebugやパケットキャプチャを取って調べるといったことをやってきましたが、Catoではこれがほぼできません。
ユーザが確認できるのはWebUIの情報に限られており、詳細はCato社へ問い合わせるしかありません。
各機能の仕様は公開されていますが、細かな動作については回答を得られない場合もあり、正直もどかしく感じることもあります。
SocketにCLIでログインできない
Socketへのログイン手段はGUIのみとなってしまっており、CLIが利用できません。コンソールポートは動作しているのですが、利用者にはログインが許可されていません。
GUIの情報には限りがあるため、何かあったときに自分で切り分けができないという点で、なかなかもどかしいです。個人的には、自分の手元のネットワーク機器はCLIでログインして状態確認をしたいです。
ベンダ依存となる
これは一口に良し悪しをいうことができない内容ではありますが、ベンダーロックイン状態となることについて、留意しておく必要があります。
Catoに限らず、SASEはネットワーク・セキュリティをまるごとサービス提供元に依存する形となるため、信頼できるサービス提供元を選ぶことが重要です。
サービス提供元の規模・体制などをしっかりと確認し、納得した上で利用したいものです。
使いこなそうとするとキャッチアップが必要
Catoクラウドは、毎週アップデートや追加機能がリリースされています。
有償・無償問わず次々と新しい機能が出るため、その恩恵を受けようと思うとリリース情報にキャッチアップする必要があり、これがなかなか大変です。
なお、当社ではCato社のアップデート情報を、日本語で補足も加えて配信しておりますので、ぜひご参照ください。
最後に
世の中の様々なサービスが”所有”から”利用”に向かっている現在(※)、ネットワークとセキュリティの”利用”と言えるSASEは、急速に一般化していくと考えています。
※例えばDVDやCDがメディア購入→レンタル→サブスクと移り変わったように
ここ10年でパブリッククラウドが一般化し、サーバを誰でもWebUIから数分で建てられるのが当たり前になったように、ネットワークとセキュリティもまた、そうなっていくことでしょう。
今後はSASEも、APIの開放やIaC(Infrastructure as Code)対応が進み、もしかするとマルチクラウドのように、マルチSASEが一般化するかもしれません。
我々SCSK Catoクラウドチームも、進化し続けるSASEや関連テクノロジーの一歩先を行き、手軽になっていく高度な機能をどのように統合・活用し、ビジネスに役立てていくかといった視点でご提案ができるよう、日々精進してまいります。