TechLeague

    Aruba

    Aruba SSEデザインガイド: 2026年版Zero Trust Network Accessアーキテクチャ

    TechLeague Editorial··14 分で読了

    「ヘアピン」の時代は終焉を迎えましたが、業界は断片化したセキュリティスタックによって生じる複雑さへの対処に大きく失敗しています。Aruba SSE(Axis Securityから買収したAtmosプラットフォームを基盤とする)は、SD-WANエッジにただ隣接するだけでなく、実際に統合される統一されたアイデンティティ中心のファブリックに向けた唯一の信頼できるアーキテクチャ転換を示します。2026年になっても、支店のトラフィックを地域ハブにバックホールして検査したり、バラバラなSWG/CASBプロバイダーに数十のトンネルを管理しているのであれば、それはZero Trustではありません—レガシーなゴミの山を管理しているだけです。

    AxisからAruba SSEへの進化: Atmos Coreが重要な理由

    ArubaによるAxis Securityの買収は、HPEポートフォリオの穴埋め的な「ミー・ツー」の動きではありませんでした。Axisの「Atmos」エンジンは、ゼロからクラウドネイティブなプライベートアクセスブローカーとして構築されました。ZscalerやCiscoのようなレガシーベンダーが、しばしば後付けの買収や90年代のプロキシコードの転用を頼りにするのとは異なり、Aruba SSEは厳格なブローカーアーキテクチャを採用しています。これは、ユーザーが真に「ネットワーク上」にいることは決してないことを意味します。彼らは、Atmosエッジコネクタで終端される、暗号化され、アイデンティティが検証されたセグメント上にいます。

    シニアエンジニアにとって、この違いはアプリケーションセグメントの定義にあります。レガシーZTNAでは、多くの場合、サブネットを定義して終わりです。Aruba SSEでは、プロトコル、FQDN、そして特定のAPIパスを定義します。この「ネットワークアクセス」から「アプリケーションアクセス」への移行が、2026年の設計思想の要です。Layer 3の境界から、ZTNA、Secure Web Gateway (SWG)、Cloud Access Security Broker (CASB)を含むSSEスイート全体におけるLayer 7ロジックへと移行しています。

    Aruba SSE vs. ZscalerとNetskope: 接続ギャップ

    ZscalerとNetskopeは優れたセキュリティエンジンですが、ネットワークに依存しないという欠点があります。これらはアンダーレイを「ダムパイプ」として扱います。TechLeague標準の展開では、統合されたインテントを要求します。Aruba SSEをEdgeConnect SD-WAN(旧称Silver Peak)と組み合わせると、SD-WANファブリックがSSEポリシー要件を理解します。単にトラフィックをルーティングするのではなく、信頼をオーケストレーションしているのです。

    • Zscaler: 優れたグローバルフットプリントですが、支店からのGRE/IPsecトンネルの管理は2012年のように感じられます。トンネルのフラッピングが発生した場合、フェイルオーバーロジックがアプリケーションの健全性から乖離していることがよくあります。
    • Netskope: 深いデータ検査を行いますが、物理エッジハードウェアとの有機的な統合が不足しています。WAN用とセキュリティ用で2つの個別の管理プレーンを管理することになります。
    • Aruba SSE: EdgeConnect OrchestratorからSSEトンネルを直接オーケストレーションします。「ワンクリック」統合はマーケティングではなく、セキュリティ体制をトランジットパスと連携させるAPI駆動の自動化です。

    2026年の設計: EdgeConnectとAtmosの統合

    分散型エンタープライズにとっての2026年のゴールドスタンダードは、Zero Trust Edge (ZTE) アーキテクチャです。ここでは、EdgeConnect SD-WANが物理的な配信(パスコンディショニング、前方誤り訂正)を処理し、Aruba SSEが論理的な検証を処理します。Business Intent Overlays (BIOs)を使用して、トラフィックが支店を出る前にセグメント化します。

    ! EdgeConnect CLI snippet: Mapping BIO to SSE 
! Defining a high-security overlay for POS systems
overlay POS_TRAFFIC
  match-protocol any
  traffic-steer tunnel_to_SSE_Primary
  security_fabric aruba_sse_atmos
  failover-to-inet-direct bypass

    このCLIロジックは、POSトラフィックが、認証されたAtmosトンネルにカプセル化されることなく、ローカルインターネットブレイクアウトを経由することを決して許さないことを保証します。Atmosコネクタに到達できない場合、トラフィックはドロップされ(フェイルクローズ)、不適切に構成されたSD-WAN環境で共通のセキュリティバイパスを防ぎます。

    ZTNA: Atmos Private Accessの詳細

    ZTNAはAruba SSE製品の核心です。ネットワークの「一部」を提供するVPNとは異なり、Atmos Private Accessは個々の接続を仲介します。ホームオフィスにいるユーザーが本社にあるRDPサーバーにアクセスしようとすると、マシンのAtmosエージェントがポスチャチェック(CrowdStrike、OSバージョン、ディスク暗号化の確認)を実行します。その後、最も近いPoPへのTLS 1.3トンネルを確立します。

    Atmosコネクタ(オンプレミスに展開される軽量VM)がPoPにアウトバウンド接続します。これは重要なセキュリティ上の利点です。インバウンドファイアウォールポートは一切開放されません。これにより、社内アプリケーションはShodanや外部スキャナから事実上見えなくなります。2026年の設計では、高可用性のため3台のAtmosコネクタをクラスタ展開し、Atmosクラウドが分散を処理するロードバランサーレス構成を推奨します。

    SWGとCASB: SaaSの無秩序な拡大を制御

    2026年のSecure Web Gateway (SWG) は、単なるURLフィルタだけではいけません。Aruba SSEのSWGは、高度なRemote Browser Isolation (RBI)を含んでいます。「未分類」や「新規登録ドメイン」のような高リスクカテゴリの場合、トラフィックは単にブロックされたり許可されたりするのではなく、クラウド内の仮想化されたコンテナでレンダリングされ、ピクセルとしてユーザーにストリーミングされます。これにより、ゼロデイのブラウザエクスプロイトのリスクが排除されます。

    Aruba SSEのCASB戦略は、APIベースの制御に焦点を当てています。ユーザーがOneDriveを使用しているとわかるだけでは不十分です。PII(個人識別情報)を含むスプレッドシートをアップロードしていることを知る必要があります。SSEをAPI経由でMicrosoft 365と統合することで、「事後DLP」を強制できます。ユーザーが機密ファイルを公開した場合でも、ユーザーが現在オフラインであっても、SSEは自動的に共有を解除できます。

    パフォーマンスエンジニアリング: グローバルPoPとレイテンシ

    多くのエンジニアは、SSEレイヤーを追加するとレイテンシが増加するのではないかと懸念しています。しかし、Aruba SSEはバックボーンピアリングを備えたグローバルフットプリントを活用しており、これは多くの場合、パブリックインターネットルーティングよりも優れたパフォーマンスを発揮します。EdgeConnectレベルでのPath ConditioningとAtmosレベルでのAnycastエントリポイントを使用することで、ダイレクトクラウドパスと比較して通常15ms未満のレイテンシオーバーヘッドしか発生しません。

    400サイトの小売クライアント向けの最近のベンチテストでは、集中型のPalo Alto GlobalProtectゲートウェイをAruba SSEに置き換えました。RDPレイテンシは、120ms(中西部経由のヘアピン)から32ms(ダラスのローカルSSE PoPに到達)に短縮されました。これは単にセキュリティの問題だけでなく、ユーザーエクスペリエンスの大幅な改善です。

    スタックの運用化: コストと複雑性

    数を検討してみましょう。異なるファイアウォール、VPNコンセントレータ、ウェブフィルタのスタックを維持することは、TCO(総所有コスト)の悪夢です。一般的なAruba SSEの「Advanced」ライセンスは、ボリュームに応じて年間1ユーザーあたり120ドルから180ドルの範囲になる可能性があります。これは単純なVPNライセンスよりも高く見えますが、以下を置き換えるものです。

    • レガシーVPNハードウェアのメンテナンス(サイトあたり年間2万ドル以上)
    • URLフィルタリングのサブスクリプション
    • サードパーティDLPソリューション
    • 支店ファイアウォールハードウェア(現在は規模を縮小または削除可能)

    この設計には、考え方の転換が必要です。より広範なワイヤレスおよびエッジ戦略にこれがどのように適合するかについては、Aruba ESPとAIOpsデザインに関するガイドで、管理プレーンがどのように収束するかをご覧ください。

    結論: TechLeagueの評価

    Aruba SSEは、HPE/Arubaエコシステムに既に投資している組織にとって、最も一貫性のある将来の道筋を示します。従来のSD-WANの「セキュリティは後付け」モデルを、統一されたアイデンティティ駆動型ファブリックへと転換する能力は他に類を見ません。2026年を見据えた設計を行うのであれば、「境界」を構築するのをやめ、「信頼ゾーン」の構築を開始してください。EdgeConnectとAtmosの統合は、セキュリティチームが求める可視性と制御を、ユーザーが嫌うパフォーマンスペナルティなしに提供します。

    TechLeagueでは、複雑なレガシー環境を高性能なZTEファブリックに移行することに特化しています。お客様の特定のアーキテクチャの詳細な分析と、Aruba SSEと競合製品のカスタムROI分析については、techleague.ioで当社の専門コンサルティングオプションをご確認ください。

    よくある質問

    Aruba SSEは、元のAxis Security製品と技術的にどのように異なりますか?+

    Aruba SSEは、ブローカーベースのプロキシモデルに焦点を当てていたAtmosプラットフォーム(旧Axis Security)を基盤としています。これは、古いオンプレミスファイアウォールコードをクラウドに移植しようとした多くのレガシーベンダーとは異なり、Aruba SSEにより優れたスケーラビリティと低レイテンシをもたらします。

    Aruba EdgeConnectをAruba SSEに接続する最も効率的な方法は何ですか?+

    それらを統合する最良の方法は、OrchestratorのネイティブSSE統合メニューを介することです。これはAPIを使用して、EdgeConnectアプライアンスから最寄りのAtmos PoPへのIPsecまたはGREトンネルを自動的に構築し、Business Intent Overlaysを使用してアプリケーションIDに基づいてトラフィックをステアリングします。

    Aruba SSEはZTNAのデバイスポスチャチェックをどのように処理しますか?+

    2026年標準のAtmosエージェントに期待してください。EDRの存在、ディスク暗号化、OSパッチレベルを含む包括的なデバイスポスチャチェックを実行します。デバイスがこれらのチェックに失敗した場合、ZTNAブローカーはユーザーがアプリケーション層に到達する前にTLSセッションを拒否します。

    SSEレイヤーの追加は、エンドユーザーのレイテンシを大幅に増加させますか?+

    Aruba SSEはAnycastベースのグローバルバックボーンを使用しています。ユーザーの接続を最寄りのPoP(多くの場合、同じメトロポリタンエリア内)で終端し、AWSやAzureなどのクラウドプロバイダーへの高速プライベートピアリングを利用することで、一般的なインターネットルーティングと比較して合計往復時間を短縮することがよくあります。

    エージェントなしでサードパーティの請負業者アクセスにAruba SSEを使用できますか?+

    はい、Aruba SSEはRDP、SSH、ウェブベースのアプリケーションなどの特定のユースケースでエージェントレスZTNAをサポートしています。これはセキュアなブラウザポータルを介して行われるため、マシンにエージェントをインストールできないサードパーティの請負業者に最適です。

    ZTNA環境におけるAtmosコネクタの役割は何ですか?+

    Atmosコネクタは、VPCまたはオンプレミスのデータセンターに展開する軽量な仮想アプライアンス(Ubuntuベース)です。SSEクラウドへのアウトバウンドTLS 1.3トンネルを開きます。エッジファイアウォールでインバウンドポートを開く必要がないため、内部ブリッジとして機能します。