ITの巨人がサービス定義のファイアウォールを導入

データセンターとクラウドでアプリケーションを見つけます。

/写真Christiaan Colen CC BY-SA

この技術とは

VMwareは、アプリケーションレベルでネットワークを保護する新しいファイアウォールを導入しました。



現代の企業のインフラストラクチャは、共通のネットワークに統合された数千のサービスで構築されています。 これにより、潜在的なハッカー攻撃のベクトルが拡大します。 従来のファイアウォールは外部の攻撃から保護できますが、攻撃者がすでにネットワークに侵入している場合は無力です。



Carbon Blackの情報セキュリティの専門家は、59％のケースで、攻撃者が1台のサーバーのハッキングを止めることはないと述べています。 彼らはそれに接続されたデバイスの脆弱性を探し、ネットワークを「移動」し、より多くのデータにアクセスしようとします。



新しいファイアウォールは、機械学習アルゴリズムを使用してネットワーク内の異常なアクティビティを判断し、危険が生じた場合に管理者に通知します。

仕組み

ファイアウォールは 、NSXプラットフォームとAppDefense脅威検出システムの2つのコンポーネントで構成されています。



AppDefense は 、ネットワーク上で実行されているすべてのアプリケーションの動作モデルを構築する責任があります。 特別な機械学習アルゴリズムは、サービスの動作を分析し、実行するアクションの「ホワイトリスト」を形成します。 VMwareデータベースからの情報は、コンパイルにも使用されます。 これは、会社の顧客が提供するテレメトリーに基づいて形成されます。



このリストは、いわゆる適応型セキュリティポリシーの役割を果たし、それに基づいてファイアウォールがネットワークの異常を判断します。 システムはアプリケーションの動作を監視し、動作の逸脱を検出すると、データセンターのオペレーターに通知を送信します。 VMware vSphereツールはアクティビティの監視に使用されるため、新しいファイアウォールでは、各ホストに特別なソフトウェアをインストールする必要はありません。



NSX Data Centerに関しては、 データセンターでソフトウェア定義ネットワークを管理するためのプラットフォームです。 そのタスクは、ファイアウォールのコンポーネントを単一のシステムに接続し、メンテナンスのコストを削減することです。 特に、このシステムでは、同じセキュリティポリシーを異なるクラウド環境に拡張できます。



VMware YouTubeチャンネルのビデオでファイアウォールの動作を確認できます。





/写真USDA PD

ご意見

このソリューションは、ターゲットシステムのアーキテクチャとハードウェアに関連付けられていません。 したがって、マルチクラウドインフラストラクチャに展開できます。 たとえば、政府機関にクラウドサービスを提供する IlliniCloud社の代表者は、NSXシステムがネットワークの負荷を分散し、地理的に離れた3つのデータセンターでファイアウォールとして機能すると述べています。



IDCの代表者は、マルチクラウドインフラストラクチャを扱う企業の数は着実に増加していると述べています。 したがって、管理を簡素化し、分散インフラストラクチャを保護するソリューション（NSXやそれに基づいて構築されたファイアウォールなど）は、顧客の間でのみ人気を博します。



新しいファイアウォールの欠点の中で、専門家はソフトウェア定義ネットワークを展開する必要性を強調しています。 すべての企業やデータセンターにそのような機会があるわけではありません。 さらに、サービス定義のファイアウォールがサービスのパフォーマンスとネットワーク帯域幅にどのように影響するかはまだわかっていません。



VMwareはまた、最も一般的なタイプのハッキング（フィッシングなど）に対してのみ製品をテストしました。 プロセスインジェクション攻撃など、より複雑なケースでシステムがどのように機能するかは明確ではありません。 同時に、新しいファイアウォールは、ネットワークを保護するために独自の手段を講じることができません。管理者に通知のみを送信できます。

同様のソリューション

パロアルトネットワークスとシスコは、ネットワークインフラストラクチャ全体を保護する次世代ファイアウォールも開発しています。 このレベルの保護は、詳細なトラフィック分析、侵入防止（IPS）、およびプライベートネットワーク仮想化（VPN）システムによって実現されます。



最初の会社は、いくつかの特殊なファイアウォールを介してネットワーク環境のセキュリティを提供するプラットフォームを作成しました 。 それぞれが専用環境を保護します-モバイルネットワーク、クラウド、仮想マシン向けのソリューションがあります。



2番目のIT大手企業は 、プロトコルおよびアプリケーションレベルでトラフィックを分析およびフィルタリングするハードウェアおよびソフトウェアツールを提供しています 。 これらのツールでは、セキュリティポリシーを構成し、特定のアプリケーションの脆弱性と脅威の統合データベースを使用できます。



将来、より多くの企業がサービスレベルのファイアウォールを提供することが期待されています。

---

最初の企業IaaSブログで書いていること：

• VCloud Director 8.20分散ファイアウォール：ソリューション機能
• SAP HANAとSoftware Defined Data Center：ケーススタディ
• vCloud Director：2つの組織間に安全な接続を作成する方法

そして、私たちの電報チャンネルで：

• クラウドストレージ-それらは何ですか？
• ERPシステムを展開する3つの方法
• クラウドデータ保護：異常なシナリオ