ニュース
ヴイエムウェア、業界初のサービス定義型ファイアウォールを発表
アプリケーションの良好な振る舞いに特化した新たなアプローチ
2019年3月8日 09:56
ヴイエムウェア株式会社は7日、内部ファイアウォールに焦点を当てた新しいセキュリティソリューションとして、業界初のサービス定義型ファイアウォール「VMware Service-defined Firewall」を発表した。同日に行われた説明会では、サービス定義型ファイアウォールを実現する新たなアプローチについて説明した。
「VMware Service-defined Firewall」は、インフラに本質的なセキュリティ対策を組み込み、オンプレミスとクラウド環境に存在する攻撃対象領域を縮小し、内部ファイアウォールを構築するサービス定義型のセキュリティソリューション。ネットワーク仮想化プラットフォーム「VMware NSX」と、仮想化環境のアプリケーションを保護する「VMware AppDefense」を機能連携することで、高度に自動化された適応型ファイアウォールの機能と、アプリケーションの既知の良好な振る舞いを把握できる機能を統合し、アプリケーションやデータ、ユーザーの保護を実現する。
ヴイエムウェア チーフストラテジスト(SDDC/Cloud)の高橋洋介氏は、新たな内部ファイアウォールのアプローチについて、「当社は、これまで『VMware NSX』のマイクロセグメンテーション技術を活用し、ネットワーク境界内の仮想マシンごとにファイアウォールを有効にする分散型セキュリティソリューションを提供してきた。今回の内部ファイアウォールは、この分散型セキュリティの考え方をさらに発展させたアプローチで、アプリケーションを深く理解し、既知のあるべき振る舞いにフォーカスしたファイアウォールを構築する。これにより、アプリケーションの不正な振る舞いを検知し、すべて特定して阻止することができる」と説明した。
「VMware Service-defined Firewall」の大きな特長としては、(1)インフラ組み込み型、(2)Application Verification Cloud、(3)ソフトウェアによる分散配置--の3点を挙げている。
まず、「インフラ組み込み型」については、あらかじめインフラにセキュリティ対策が組み込まれており、VMwareが提供する本質的な機能を利用し、ゲストにエージェントをインストールすることなく、ゲストのOSやアプリケーションを検査することができる。これにより、攻撃者がroot権限を取得したとしても、ファイアウォールを回避することは不可能となる。また、従来にないレベルでアプリケーションを可視化し、サービスやトラフィックを制御することができる。
「Application Verification Cloud」は、人知での情報登録と機械学習の連携により、アプリケーションの良好な振る舞いを検証する機能。VMwareのソリューションがホスト内で果たす機能を活用し、アプリケーション、およびアプリケーションの変化から派生する100あるいは1000にのぼるマイクロサービスの詳細を把握できるようにする。また、世界中に存在する数百万台の仮想マシンのマシンインテリジェンスを使用し、アプリケーションが「既知の良好な」状態であることを意図的に示す精緻なマップを作成する。これにより、状況の変化に適応したセキュリティポリシーを自動的に生成することができる。
「ソフトウェアによる分散配置」は、すべてソフトウェアで定義することができるため、一つのファイアウォールをどこにでも分散配置し、実行することが可能。また、コンテナやパブリッククラウドで動くワークロードに対しても一貫性のあるポリシーを強制的に執行することができる。
なお、同社では、Verodin社と協力し、「VMware Service-defined Firewall」の効果検証を実施した。Verodin社のSIP(Security Instrumentation Platform)を利用し、「VMware Service-defined Firewall」が、既知/未知を問わず、脅威を効果的に特定、阻止することができるかを検証した結果、検知および防止(Detect and Prevent)のいずれのモードで動作している場合でも、テスト手順で使用されている不正な攻撃を100%検知/防止できたという。