ІТ-гігант прадставіў сэрвісна-вызначаны файрвол

Ён знойдзе прымяненне ў дата-цэнтрах і воблаку.

/ фота Крысціян Колен CC BY-SA

Што гэта за тэхналогія

Кампанія VMware прадставіла новы файрвол, які абараняе сетку на ўзроўні прыкладанняў.

Інфраструктура сучасных кампаній пабудавана на тысячах сэрвісаў, аб'яднаных у агульную сетку. Гэта пашырае вектар патэнцыйных хакерскіх нападаў. Класічныя брандмаўэры здольныя абараніць ад нападаў звонку, аднак аказваюцца нямоглыя, калі зламыснік ужо пракраўся ў сетку.

Спецыялісты па ИБ з Carbon Black кажуць, Што ў 59% выпадкаў зламыснікі не спыняюцца на ўзломе аднаго сервера. Яны шукаюць уразлівасці ў злучаных з ім прыладах і «перамяшчаюцца» па сетцы, імкнучыся атрымаць доступ да большай колькасці дадзеных.

Новы брандмаўэр выкарыстоўвае алгарытмы машыннага навучання для вызначэння анамальнай актыўнасці ў сетцы і ў выпадку небяспекі паведамляе аб гэтым адміністратару.

Як гэта працуе

брандмаўэр складаецца з двух кампанентаў: платформы NSX і сістэмы выяўлення пагроз AppDefense.

Сістэма AppDefense адказвае за пабудову паводніцкай мадэлі ўсіх запушчаных у сетцы прыкладанняў. Адмысловыя алгарытмы машыннага навучання аналізуюць працу сэрвісаў і фармуюць «белы спіс» выкананых імі дзеянняў. Для яго складання таксама выкарыстоўваецца інфармацыя з базы даных VMware. Яна фарміруецца на аснове тэлеметрыі, якая прадастаўляецца кліентамі кампаніі.

Гэты спіс гуляе ролю так званых адаптыўных палітык бяспекі, на падставе якіх файрвол вызначае анамаліі ў сетцы. Сістэма сочыць за працай прыкладанняў і пры выяўленні адхіленняў у іх паводзінах накіроўвае апавяшчэнне аператару ЦАД. Для маніторынгу актыўнасці выкарыстоўваюцца сродкі VMware vSphere, таму новы файрвол не патрабуе ўсталёўкі на кожны хост спецыялізаванага ПЗ.

Што тычыцца NSX Data Center, то гэта платформа для кіравання праграмна-вызначанымі сеткамі ў ЦАД. Яе задача – звязаць кампаненты міжсеткавага экрана ў адзіную сістэму і скараціць выдаткі на яго абслугоўванне. У прыватнасці, сістэма дазваляе распаўсюдзіць адны і тыя ж палітыкі бяспекі на розныя хмарныя асяроддзі.

Паглядзець на брандмаўэр у справе можна ў відэароліку на YouTube-канале VMware.

/ фота Міністэрства сельскай гаспадаркі ЗША PD

меркаванні

Рашэнне не прывязана да архітэктуры і жалеза мэтавай сістэмы. Таму яго можна разгортваць на мультывоблачнай інфраструктуры. Напрыклад, прадстаўнікі кампаніі IlliniCloud, якая прадстаўляе хмарныя сэрвісы дзяржаўным установам, кажуць, што сістэма NSX дапамагае ім балансаваць нагрузку ў сеткі і выконвае функцыі файрвола ў трох геаграфічна выдаленых дата-цэнтрах.

Прадстаўнікі IDC кажуць, Што колькасць кампаній, якія працуюць з мультывоблачнай інфраструктурай, стабільна павялічваецца. Таму рашэнні, якія спрашчаюць кіраванне і якія абараняюць размеркаваную інфраструктуру (накшталт NSX і пабудаванага на яго базе файрвола), будуць толькі набіраць папулярнасць у кліентаў.

Сярод мінусаў новага брандмаўэра эксперты вылучаюць неабходнасць разгорткі праграмна-вызначаных сетак. Такая магчымасць ёсць не ва ўсіх кампаній і дата-цэнтраў. Акрамя таго, пакуль не вядома, як сэрвісна-вызначаны брандмаўэр паўплывае на прадукцыйнасць сэрвісаў і прапускную здольнасць сетак.

Таксама кампанія VMware тэставала свой прадукт толькі супраць найболей распаўсюджаных тыпаў узломаў (напрыклад, фішынгу). Незразумела, як сістэма спрацуе у больш складаных выпадках накшталт напады process injection. Пры гэтым новы файрвол пакуль не можа самастойна прымаць меры для абароны сеткі - ён умее толькі пасылаць апавяшчэнні адміністратару.

Падобныя рашэнні

У Palo Alto Networks і Cisco таксама распрацоўваюць файрвалы новага пакалення, якія абараняюць сеткавую інфраструктуру па ўсім перыметры. Такі ўзровень абароны дасягаецца за кошт сістэм глыбокага аналізу трафіку, прадухіленні ўварванняў (IPS) і віртуалізацыі дзеляў сетак (VPN).

Першая кампанія стварыла платформу, якая забяспечвае бяспеку сеткавага асяроддзя за рахунак некалькіх спецыялізаваных міжсеткавых экранаў. Кожны з іх абараняе вылучанае асяроддзе - ёсць рашэнні для мабільных сетак, аблокі і віртуальных машын.

Другі ІТ-гігант прапануе апаратныя і праграмныя прылады, якія аналізуюць і фільтруюць трафік на ўзроўні пратаколаў і функцый дадаткаў. У такіх інструментах можна наладжваць палітыкі бяспекі і карыстацца інтэграванай базай уразлівасцей і пагроз для канкрэтных прыкладанняў.

Чакаецца, што ў будучыні больш кампаній будуць прапаноўваць брандмаўэры, якія абараняюць сеткі на ўзроўні сэрвісаў.

Пра што мы пішам у Першым блогу аб карпаратыўным IaaS:

• Размеркаваны брандмаўэр у vCloud Director 8.20: асаблівасці рашэння
• SAP HANA і праграмна-вызначаны ЦАД: практычны кейс
• vCloud Director: як стварыць бяспечнае падключэнне паміж дзвюма арганізацыямі

І ў нашым Telegram-канале:

• Хмарныя сховішчы - якімі яны бываюць?
• Тры спосабы разгарнуць ERP-сістэму
• Абарона дадзеных у воблаку: незвычайныя сцэнары

Крыніца: habr.com