Cato SSE 360 について

Catoクラウドの「Cato SSE 360」について、きちんと解説されている記事がなかったので改めて解説をします。

Cato SSE 360 のプレスリリース

まず、「Cato SSE 360」は、昨年2022年7月にリリースされたのですが、その時のプレスリリース内容が、

Cato Networks、すべてのアプリケーションへのアクセスを保護および最適化する初のSSEプラットフォーム「Cato SSE 360」とその一機能として「Smart DLP」を発表

Cato DLP（Data Loss Prevention）は、レガシーDLPの実装や運用に伴う煩雑性を解消します。

Cato SSE 360は、WAN、クラウド、インターネットトラフィックを完全に可視化、最適化、制御する初のSSEプラットフォームです。

と、そもそも”SASE”や”SSE”自体の認知度が低く、さらに上記内容の発表のため、さっぱり中身が伝わっていませんでした。
そのため、当社のお客様からも多くの問い合わせがありました。

まず、リリースの内容をきちんと説明すると

Catoクラウドの新しいセキュリティオプション「DLP」をリリース
Catoクラウドの新しいライセンス「Cato SSE 360」をリリース

の2つになります。

この2つを同時にリリースしたので、ややこしくなってしまったと考えています。

1.のDLPについての説明は割愛します。以下の記事をご参照ください。

Catoクラウドのサービス体系について

Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて紹介します。

新しいセキュリティオプションのリリースで、CASBは2023年2月にリリースされ、DLPが7月にリリースされました。

それでは、2.の「Cato SSE 360」について説明します。

Cato SSE 360 について

まず、Catoクラウド（Cato Cloud/Cato SASE Cloud）は、当たり前ですが、SASE（Secure Access Service Edge）です。
Cato Networks社のCatoクラウドは、ガートナーが2019年にSASEを定義する以前（4年前）から、SASEのアーキテクトでサービスを開始していたため、世界初のSASEプラットフォームと言われています。

SSE（Security Service Edge）については、Catoでは以下のように定義しており、あくまでもSSEは、SASEのサブセット（一部分）で「Cloud SWG」「ZTNA/VPN」「CASB/DLP」のみの機能に限定されたものとしています。
※ちなみに、ガートナーのSSE定義は「SWG」「CASB」「ZTNA」の3機能で、「DLP」やその他の機能（FWaaS等）は含みません。

それでは、名前が”SSE”ではない”SSE 360″について、Catoの定義は、

Cato SSE 360≠SSE
→SSE 360は、そもそもSSEとは異なる。明確にSSEではないと言っています。
従来のSSEでは対処できないことをカバー
→つまり「SWG」「ZTNA/VPN」「CASB/DLP」以外の機能も提供する（つまり、SSE < SSE 360）
Cato SSE 360によりすべてのトラフィック、ユーザー、ロケーション、クラウド、アプリケーションの完全な可視化と制御
→ZTNA/VPN（モバイルユーザ）だけでなく、拠点接続もカバーする（つまり、SASEです）

Catoクラウド（SASE）と「Cato SSE 360」は何が違うのか？になりますが、違いは「Socket/vSocketを使わない」ということだけです。

「Cato SSE 360」は、AWS、Azureなどのクラウドを含む拠点接続において、SocketおよびvSocketを利用しない場合にのみ適用されるより安価な価格体系のことを意味しています。
Socket/vSocketを利用しないということは、ルータやファイアウォール（UTM）でのIPsec接続を行うと言う事になります。

複数拠点の内、1拠点だけ「Cato SSE 360」を適用することも可能です。
※Catoクラウドの最小構成は、1 拠点（Site）ライセンス、10 SDPユーザとなります。

Catoクラウドは「SASEライセンス」となり、Cato SSE 360では「SSEライセンス」となります。
もちろん、SSEライセンスでは、Socket/vSocketで拠点（Site）を構成することはできません。

サービス契約（利用）中に、拠点がIPsecからSocket/vSocketを利用することも可能ですが、その際にはサービス契約が「Cato SSE 360」の適用除外となり、その時点から通常のCatoクラウド（SASE）の価格体系が適用されることになります。

結局「Cato SSE 360」って何なのか？になりますが、繰り返しになりますが”「Cato SSE 360」は、SSEではなく、SocketおよびvSocketを一切利用しない場合にのみ適用されるCatoクラウドのライセンス体系“のことです。

プレスリリースが、セキュリティオプションのDLPを同時にリリースしたため、ややこしくなりましたが「Cato SSE 360」は単純に条件付きの安価なメニューとなります。
実際にどれくらい価格が違うのかについては、契約帯域により割引率が大きく異なります。定価ベースで、3～4割安価にある帯域がありますが、殆ど価格が変わらない帯域もあります。狭帯域（低速の帯域）の場合にメリットはありますが、広帯域では殆ど価格は変わりません。

ちなみに、Catoクラウドの”定価”については、Cato Networks社の公式サイトでは価格を公開しておらず（つまり、”参考小売価格”が存在しません）、メーカの”希望小売価格”となります。（”オープン価格”ではありません）

以前の記事に記載していますが、Catoクラウドの最大のメリットの１つが、Socket/vSocketにあると考えていますので、IPsec接続は、既存ルータやファイアウォールの流用であれば良いですが、新たに拠点エッジを手配する場合は、コスト面で「Cato SSE 360」を選ばれるのではなく、本来のCatoクラウド、つまりSASEライセンスを選択されることを推奨します。

Socket/vSocketとIPsecの比較

Socket/vSocket

IPsec

Socketには、最適化されたPoP選択機能が実装されており、ネットワーク遅延を最小限に抑えることができる最適なPoPに自動で接続することができます。
Socketは、現在のPoPで接続性問題が発生した場合、別のPoPに自動的に再接続を行います。
Socketには、QoSサービスが含まれます。
CatoクラウドからのSocketの管理機能とリモート管理機能が含まれます。
Bypass、Local Port Forwarding、LAN Firewall機能が利用可能。
ラスト・マイル・モニタリングとトラブルシューティングツールが利用可能。

IPSec接続は、特定のPoPに静的に割り当てられます。PoPへの接続性に問題がある場合、接続断が発生する可能性があります。別のPoPへの自動的に再接続する機能がありません。
IPSecプロトコルは、実装ベンダーが異なるため、IPSecの実装が切断される可能性がある（責任分界点が異なります）
別途、固定IP（IP Allocation)が必要となる。
インターネット回線のActive/Activeの設定を行うことができない。
Socketの機能（Bypass、Local Port Forwarding、LAN Firewall等）が利用できない。