ヴイエムウェア、オンプレミスとクラウドのアプリケーション/データ保護の新手法となるサービス定義型ファイアウォールを発表
- 2019/03/12 10:00
- SecurityInsight
ヴイエムウェアは3月7日、内部ファイアウォールに焦点を当てた新しいソリューションとなる「VMware Service-defined Firewall」を発表した。
「VMware Service-defined Firewall」は、インフラに本質的なセキュリティ対策を組み込み、オンプレミスならびにクラウド環境に存在する攻撃対象領域を狭め、内部ファイアウォールを構築する。このソリューションは、「VMware NSX」と「VMware AppDefense」の機能を利用し、高度に自動化された適応型ファイアウォールの機能とアプリケーションを可視化し、アプリケーションの既知の良好な振る舞いを把握できる機能を統合し、アプリケーション、データ、ユーザーの保護を強化する。
■「VMware Service-defined Firewall」の特徴
・Application Verification Cloud:
VMwareのソリューションがホスト内で果たす機能を活用し、「VMware Service-defined Firewall」はアプリケーション、ならびにアプリケーションの変化から派生する100あるいは1,000に上るマイクロサービスの詳細を把握できるようにする。「Application Verification Cloud」は、世界中に存在する数百万台の仮想マシンのマシンインテリジェンスを使用し、アプリケーションが「既知の良好な」状態であることを意図的に示す精緻なマップを作成する。アプリケーションの既知の良好な振る舞いを検証した後、「VMware Service-defined Firewall」用としてレイヤー7に対応し、完全なステートフル検査を実施する適応方のセキュリティポリシーを生成する。
・ゲストからの保護:
「VMware Service-defined Firewall」は、VMwareが提供する本質的な機能を利用し、ゲスト環境でのインストールを行なうことなく、ゲストのOSやアプリケーションを検査できる。これにより、攻撃者がroot権限を取得したとしても、「VMware Service-defined Firewall」を回避することはできない。「VMware Service-defined Firewall」は、ネットワーク上の不正なトラフィックを検知して遮断。さらに、ゲスト自身を検査し、実行時にOSやアプリケーション内に不正な振る舞いがあれば、すべて特定して阻止する。
・ソフトウェア内での分散化:
従来のハードウェアのファイアウォール設定では、スキャンの際に仮想環境からハードウェア アプライアンスへの「ヘアピン」トラフィックが必要となる。この方法は、特に多数のサーバーや複数の異なるクラウドで実行される数多くのコンポーネントやサービスを有する最新のアプリケーションに対しては効率が悪く、また拡張も困難。「VMware Service-defined Firewall」は、すべてソフトウェアで定義できるため、高度に分散化でき、クラウドのアプリケーションが実行されている場所で動作する。そして、クラウド環境全体で、複雑なヘアピントラフィックを用いることなくポリシーを着実に実施できる。