VMwareのサービス定義ファイアウォールは各仮想マシンに合わせてカスタマイズされており、セキュリティは受動的ではなくなります。

[51CTO.com からのオリジナル記事] ビッグデータとクラウドコンピューティングの応用により、データセンターは企業の事業運営の中枢および中核資産となっています。しかし、現在のセキュリティ脅威の状況はますます複雑になっています。従来のファイアウォール、IPS、WAF などの悪意のあるデータ攻撃に対する保護機能は徐々に弱まり、企業のセキュリティ ニーズを満たすことができなくなっています。一般的なウイルス製造業者は、まずウイルスを用意し、次に防御機構を用意するというアプローチを採用することが多いです。保護のために、ウイルス署名ライブラリを定期的にダウンロードする必要があります。これには、企業がまず悪意のある攻撃方法を知る必要があるため、比較的受動的なアプローチとなります。

従来の保護は境界ファイアウォールと呼ばれます。データ センターを保護する最も一般的な方法は、データ センターのネットワーク入口にファイアウォールを設置して、インターネットからのあらゆる攻撃をブロックすることです。企業イントラネットでは、コンピュータ間にファイアウォールはありません。攻撃者がフィッシングなどの一般的な手段など何らかの手段で企業のイントラネットに侵入した場合、攻撃者はやりたい放題でゆっくりと拡散することができます。したがって、従来の境界ファイアウォールは外部から内部へのトラフィックしか保護できず、内部デバイス間のトラフィックを保護することはできません。

[[262810]]

Fu Chunyi、VMware Greater China シニア プロダクト マネージャー

では、企業が効率的なデータセンター保護システムを構築できるようにするにはどうすればよいでしょうか?最近、VMware は業界初のサービス定義ファイアウォールをリリースしました。これは、新たなアイデアを提供します。機械学習テクノロジーを通じて、企業が保護したいアプリケーションまたはサービスの通常の動作を学習します。通常の動作からの逸脱が見つかった場合、問題のある悪意のある攻撃である可能性があります。このとき、サーバの動作を停止したり、VMware のパートナーに管理権限を引き渡して詳細な処理や分析を行ったりするなど、一連のアクションを実行できます。これは、サービス定義ファイアウォールの最も基本的なコア概念です。 VMware Greater ChinaのシニアプロダクトマネージャーであるFu Chunyi氏は記者に対し、実際にはVMwareはサービス定義ファイアウォールをリリースする前から、すでに対応するソリューションを持っていたと語った。

VMware のサービス定義ファイアウォール ソリューションの中核は、AppDefense と NSX Data Center によって共同で実装されていると報告されています。 AppDefense は、企業の仮想マシンとアプリケーションの動作を分析できます。 VM を保護する前に、AppDefense は VM の通常の動作パターンを学習するために一定の時間 (1 週間から 2 週間など) を費やします。学習が完了すると、保護モードに入ることができます。通常の行動パターンと異なる行動は不審なものと判断され、攻撃の可能性があると判断され、一連の対応が行われます。したがって、AppDefense はまず保護対象のサービスまたはアプリケーションを包括的に理解し、その通常の動作を学習してから保護する必要があります。

同時に、NSX Data Center は、データセンター内の各仮想マシンに特別にカスタマイズされたファイアウォールを提供できます。各サーバーにハードウェア ファイアウォールを装備する場合と比較して、ソフトウェアで実装された VMware のファイアウォールはコストを大幅に削減できます。ファイアウォール機能を実現するために、CPU とメモリを少し追加するだけで済み、このファイアウォールは各仮想マシンに合わせてカスタマイズされるため、企業は新しい攻撃方法の出現を心配する必要がなくなります。以前のパッシブ保護モードとは異なり、どのような新しい攻撃方法が登場しても、攻撃方法のアップグレードによって仮想マシンの元の動作モードは常に変更されます。そのため、AppDefense はそれらを識別し、疑わしい結果を NSX Data Center ファイアウォールに送信し、ルールを自動的に生成して、疑わしいアクセス動作を仮想マシンの外部に隔離し、仮想マシンを保護します。したがって、企業は内部ファイアウォールを使用して各仮想マシンにファイアウォールを提供し、データセンター内で包括的な保護を提供できます。

サービス定義ファイアウォールの3つの主要機能

Fu Chunyi 氏は、VMware Service-Defined Firewall の開発についてレビューしました。 2013 年に VMware は NSX をリリースし、マイクロセグメンテーションの概念を提案しました。 2017 年には、コンテキスト認識型マイクロセグメンテーション、つまりマイクロセグメンテーション 2.0 が開始されました。 2018 年、VMware は AppDefense との統合による適応型マイクロセグメンテーションを提案しました。 VMware は今年、サービス定義ファイアウォールを導入しました。これは徐々に進化し、ますます強力になっています。新しいファイアウォール保護方法により攻撃対象領域を削減でき、次の 3 つの重要な機能があります。

まず、それはシステムにネイティブかつ固有のものです。 VMware vSphere のモジュールとして、AppDefense は仮想マシンにネイティブ保護を提供し、ハイパーバイザー内で実行できます。通常、ハッカーや悪意のある攻撃は仮想マシンに集中します。 AppDefense は、ハイパーバイザーを通じて仮想マシンの正常な動作を把握できます。仮想マシンで実行されているオペレーティング システムとアプリケーションを深く理解しているため、仮想マシンとアプリケーションを包括的に把握し、アプリケーション システムの詳細な可視性と制御を実現できます。まず、ハイパーバイザーがインストールされ、展開された後、VMware はハイパーバイザーの強化、つまりハイパーバイザーのあらゆる脆弱性の修正をお客様を支援します。

たとえば、企業がリモート アクセス ポートを閉じると、セキュリティ レベルが向上します。同時に、すべてのサーバーには vSphere コンソールがあり、企業の IT 担当者はルールに従ってタイムアウト値を設定する必要があります。たとえば、20 分後にコンソールが自動的にロックされます。これらはすべて侵入される可能性のあるリンクであり、VMware はこれらのリンクの抜け穴を塞ぐことができます。第二に、Windows や Linux と比較すると、ハイパーバイザーは結局はクローズド システムであり、比較的安全です。したがって、ハイパーバイザーで実行されているときに AppDefense が攻撃される可能性は非常に低くなります。

2 つ目は、検証クラウドを適用することで、すべての機械学習パターンをクラウドに集約して要約できるようになります。具体的には、AppDefense は人工知能と機械学習のテクノロジーを使用して、学習アプリケーションの通常の動作を識別します。学習後、結果はクラウドにアップロードされます。この目的のために、VMware はクラウド内にアプリケーション検証クラウドを特別に構築しました。現在、AppDefense には世界中に数十万人のユーザーがいます。各顧客は異なるアプリケーションについて学習しており、VMware はこれらの学習モデルの結果を集約します。

例えば、中国、アメリカ、日本のお客様がSQL Serverをご利用いただいているため、SQL Serverにとってどのような動作が正常か、どのポートにアクセスすればよいか、サービス要求に対してどのような対応をすればよいか、どの動作が正常で異常かなど、学習結果が自然と集約され、AppDefenseの判断精度が高まり、検証クラウドに記録されます。そのため、AppDefense は SaaS 形式を通じて、クラウド サービスに基づいて NSX Data Center に検査結果を送信し、NSX Data Center はファイアウォール ルールを自動的に生成し、定義されたルールを通じて仮想マシンおよびアプリケーションの外部への悪意のあるアクセスをブロックできるようになります。

企業がアップロードするのはユーザー データではなく、メタデータであり、顧客のビジネス データとはまったく関係がなく、主にアプリケーションの通常の操作のためのいくつかのモードであることに注意してください。アプリケーション検証クラウドによって収集されたインテリジェント情報は、各顧客のデータセンター環境に対する逆ガイダンスを提供し、AppDefense の判断をより正確にし、誤判断やさまざまな悪意のある攻撃の漏れを防ぎます。

3つ目は、ソフトウェアに分散され、ソフトウェアで実装されるため、さまざまな環境で戦略の一貫性が保証されることです。現在のマルチクラウド環境では、エンタープライズ アプリケーションはプライベート クラウドで実行されるだけでなく、パブリック クラウドでも実行される場合があります。パブリック クラウド プロバイダーは多数存在し、企業は異なるパブリック クラウドで運用および移行する際に、個別のセキュリティ ルール セットを構成する必要があります。一方で、これは大きな作業負荷につながり、他方ではセキュリティ上の抜け穴が簡単に発生する可能性があります。たとえば、企業の構成中にいくつかの抜け穴が発生しやすくなります。パブリック クラウドごとにセキュリティ メカニズムが異なるため、セキュリティ メカニズムに不整合が生じやすくなります。矛盾があると抜け穴が生じる可能性があります。

VMware は現在、クラウド環境間の違いをなくし、マルチクラウド環境で一貫したセキュリティ ポリシーを提供できるようにしています。サービス定義ファイアウォールのクロスクラウド属性により、企業はプライベート クラウド、パブリック クラウド、または異なるパブリック クラウド間のいずれであっても一貫したセキュリティ ポリシーを適用できるため、ユビキタスな保護と運用の自動化が実現します。これは、VMware のマルチクラウド戦略の大きな利点でもあります。

つまり、VMware は NSX Data Center と AppDefense を組み合わせて、セキュリティ テクノロジーの革新的な進化を促進し、業界初のサービス定義ファイアウォール (Service-defined Firewall、サービスは仮想マシンで実行されるアプリケーション) を共同で実装しました。従来の受動的な防御方法を能動的な防御方法に変換することで、既知の攻撃方法だけでなく、将来起こりうるさまざまな未知および潜在的な防御方法からも保護できます。

VMware が提案するサービス定義ファイアウォール ソリューションはデータ センター側を保護するためのものですが、フロント エンドでは、VMware にはユーザー端末のセキュリティを保護するための対応する Workspace ONE もある点に注目すべきです。

[51CTO オリジナル記事、パートナーサイトに転載する場合は、元の著者とソースを 51CTO.com として明記してください]