ヴイエムウェア、
オンプレミスとクラウドのアプリケーション/データ保護の新手法となる
業界初のサービス定義型ファイアウォールを発表
内部ファイアウォールに焦点を当てた新しいソリューションは、
ネットワーク/ホストの両方で既知の良好な振る舞いを厳重にロックダウンし、
攻撃対象領域を大幅に縮小
【2019年3月7日(日本時間)東京発】
ヴイエムウェア株式会社(本社:東京都港区、代表取締役社長:ジョン ロバートソン)は本日、内部ファイアウォールに焦点を当てた新しいソリューションとなるVMware Service-defined Firewallを発表しました。VMware Service-defined Firewallは、インフラに本質的なセキュリティ対策を組み込み、オンプレミスならびにクラウド環境に存在する攻撃対象領域を狭め、内部ファイアウォールを構築する革新的なアプローチです。このソリューションは、VMware NSX®とVMware AppDefense™の機能を利用し、高度に自動化された適応型ファイアウォールの機能と、従来にないレベルでアプリケーションを可視化し、アプリケーションの既知の良好な振る舞いを把握できる機能を統合し、アプリケーション、データ、ユーザーの保護を強化します。
アプリケーションの既知の良好な振る舞いに着目する考え方は以前から存在していましたが、振る舞いを完全に把握する点が常に課題でした。その解決として、ゲストにエージェントをインストールするソリューションもありましたが、エージェント ベースのソリューションは複雑化する上に、攻撃者がroot権限を掌握するとホストをコントロールでき、エージェントを簡単に回避できてしまうため、その効果は十分ではありませんでした。さらに、アプリケーションの分散化の進展とともに、セキュリティも分散型へと追随する必要に迫られています。また、ハードウェア デバイスや仮想インスタンスの検査のためのEast-Westトラフィックのヘアピン通信を行うことも現実的ではありません。
VMware Service-defined Firewallは、未知の振る舞いを精査するのではなく、既に導入しているアプリケーションにある既知の振る舞いに特化したファイアウォールを構築する点で、これまでとまったく異なるアプローチと言えます。このソリューションは、ベアメタル、仮想マシン、コンテナ アプリケーションの環境で稼働し、今後、VMware Cloud on AWS、AWS Outpostsのハイブリッド クラウド環境もサポートする予定です。企業は、このソリューション一つで内部用途として対応させることができます。VMware Service-defined Firewallには、次のような特長があります。
- Application Verification Cloud:VMwareのソリューションがホスト内で果たす機能を活用し、VMware Service-defined Firewallは、アプリケーション、ならびにアプリケーションの変化から派生する100あるいは1,000に上るマイクロサービスの詳細を把握できるようにします。Application Verification Cloudは、世界中に存在する数百万台の仮想マシンのマシンインテリジェンスを使用し、アプリケーションが「既知の良好な」状態であることを意図的に示す精緻なマップを作成します。アプリケーションの既知の良好な振る舞いを検証した後、VMware Service-defined Firewall用としてレイヤー7に対応し、完全なステートフル検査を実施する適応方のセキュリティ ポリシーを生成します。
- ゲストからの保護:VMware Service-defined Firewallは、VMwareが提供する本質的な機能を利用し、ゲスト環境でのインストールを行うことなく、ゲストのOSやアプリケーションを検査できます。これにより、攻撃者がroot権限を取得したとしても、VMware Service-defined Firewallを回避することはできません。VMware Service-defined Firewallは、ネットワーク上の不正なトラフィックを検知し、遮断します。さらに、ゲスト自身を検査し、実行時にOSやアプリケーション内に不正な振る舞いがあれば、すべて特定して阻止します。この独自機能は、ネットワークのファイアウォール処理やホストIPSに対する新たな手法と言えます。
- ソフトウェア内での分散化:従来のハードウェアのファイアウォール設定では、スキャンの際に仮想環境からハードウェア アプライアンスへの「ヘアピン」トラフィックが必要となります。この方法は、特に多数のサーバや複数の異なるクラウドで実行される数多くのコンポーネントやサービスを有する最新のアプリケーションに対しては効率が悪く、また拡張も困難です。VMware Service-defined Firewallは、すべてソフトウェアで定義できるため、高度に分散化でき、クラウドのアプリケーションが実行されている場所で動作します。そして、クラウド環境全体で、複雑なヘアピン トラフィックを用いることなくポリシーを着実に実施できます。
実際の攻撃シナリオに対抗できるVMware Service-defined Firewall
VMwareは、企業のサイバーセキュリティの効果測定、管理、改善で市場をリードするVerodin社と協力し、VMware Service-defined Firewallの効果検証を行いました。Verodin社のSIP(Security Instrumentation Platform)を利用し、VMware Service-defined Firewallが、既知/未知を問わず、脅威を効果的に特定、阻止することができるかを検証しました。この結果、VMware Service-defined Firewallは検知および防止(Detect and Prevent)のいずれのモードで動作している場合でも、テスト手順で使用されている不正な攻撃を100%検知/防止できました。
VMware, Inc. ネットワーク&セキュリティ部門 上級副社長兼ゼネラル マネージャー
トム・ギリス(Tom Gillis)コメント:
「本質的なセキュリティは、統合型セキュリティとは異なります。統合型セキュリティは、従来からあるファイアウォールをデータセンタースイッチのブレードとして使用するなど、既存のソリューションを再パッケージ化したもので、これまでのファイアウォールと根本的に変わりません。一方、本質的なセキュリティは仮想化プラットフォームに組み込まれた固有の特性を利用し、まったく新しい独自のセキュリティ サービスを実現します。この新たなVMware Service-defined Firewallは、内部のネットワーク ファイアウォール機能に着目し、脅威を追跡するのではなく、アプリケーションの既知の良好な振る舞いを検証し、これまでの手法とは一線を画しています」
ヴイエムウェア社について
ヴイエムウェアのソフトウェアは、世界中のデジタル インフラを支えています。ヴイエムウェアのコンピュート、クラウド、モビリティ、ネットワーク、セキュリティの各製品は、世界中で7万5,000社のパートナ エコシステムを通じて50万以上の顧客にダイナミックかつ効率性に優れたデジタル基盤を提供しています。カリフォルニア州パロアルトに本社を置き、ビジネスと社会に貢献するVMwareの革新的なイノベーションの歴史は今年20周年を迎えます。VMwareの詳細は www.vmware.com/jpをご覧ください。
VMware、NSX、AppDefense、Service-defined Firewall、VMware Cloudは、VMware, Inc.の米国および各国での商標または登録商標です。このリリースには、ヴイエムウェア以外のウェブサイトへのハイパーリンクが含まれていますが、これはそのウェブサイトのコンテンツに責任を負うサードパーティにより作成、ならびに維持されています。