Компания VMware представила новый файрвол, который защищает сеть на уровне приложений.
Инфраструктура современных компаний построена на тысячах сервисов, объединенных в общую сеть. Это расширяет вектор потенциальных хакерских атак. Классические брандмауэры способны защитить от атак извне, однако оказываются бессильны, если злоумышленник уже проник в сеть.
Специалисты по ИБ из Carbon Black говорят, что в 59% случаев злоумышленники не останавливаются на взломе одного сервера. Они ищут уязвимости в связанных с ним устройствах и «перемещаются» по сети, стремясь получить доступ к большему количеству данных.
Новый брандмауэр использует алгоритмы машинного обучения для определения аномальной активности в сети и в случае опасности сообщает об этом администратору.
Как это работает
Брандмауэр состоит из двух компонентов: платформы NSX и системы обнаружения угроз AppDefense.
Система AppDefense отвечает за построение поведенческой модели всех запущенных в сети приложений. Специальные алгоритмы машинного обучения анализируют работу сервисов и формируют «белый список» выполняемых ими действий. Для его составления также используется информация из базы данных VMware. Она формируется на основе телеметрии, предоставляемой клиентами компании.
Этот список играет роль так называемых адаптивных политик безопасности, на основании которых файрвол определяет аномалии в сети. Система следит за работой приложений и при обнаружении отклонений в их поведении направляет уведомление оператору ЦОД. Для мониторинга активности используются средства VMware vSphere, поэтому новый файрвол не требует установки на каждый хост специализированного ПО.
Что касается NSX Data Center, то это платформа для управления программно-определяемыми сетями в ЦОД. Её задача — связать компоненты межсетевого экрана в единую систему и сократить затраты на его обслуживание. В частности, система позволяет распространить одни и те же политики безопасности на разные облачные среды.
Решение не привязано к архитектуре и железу целевой системы. Поэтому его можно развертывать на мультиоблачной инфраструктуре. К примеру, представители компании IlliniCloud, предоставляющей облачные сервисы государственным учреждениям, говорят, что система NSX помогает им балансировать нагрузку в сети и выполняет функции файрвола в трех географически удалённых дата-центрах.
Представители IDC говорят, что число компаний, работающих с мультиоблачной инфраструктурой, стабильно увеличивается. Поэтому решения, упрощающие управление и защищающие распределенную инфраструктуру (вроде NSX и построенного на его базе файрвола), будут только набирать популярность у клиентов.
Среди минусов нового брандмауэра эксперты выделяют необходимость развертки программно-определяемых сетей. Такая возможность есть не у всех компаний и дата-центров. Кроме того, пока не известно, как сервисно-определяемый брандмауэр повлияет на производительность сервисов и пропускную способность сетей.
Также компания VMware тестировала свой продукт только против наиболее распространённых типов взломов (например, фишинга). Непонятно, как система сработает в более сложных случаях вроде атаки process injection. При этом новый файрвол пока не может самостоятельно принимать меры для защиты сети — он умеет только посылать уведомления администратору.
Похожие решения
В Palo Alto Networks и Cisco тоже разрабатывают файрволы нового поколения, которые защищают сетевую инфраструктуру по всему периметру. Такой уровень защиты достигается за счет систем глубокого анализа трафика, предотвращения вторжений (IPS) и виртуализации частных сетей (VPN).
Первая компания создала платформу, которая обеспечивает безопасность сетевой среды за счет нескольких специализированных межсетевых экранов. Каждый из них защищает выделенную среду — есть решения для мобильных сетей, облака и виртуальных машин.
Второй ИТ-гигант предлагает аппаратные и программные инструменты, которые анализируют и фильтруют трафик на уровне протоколов и функций приложений. В таких инструментах можно настраивать политики безопасности и пользоваться интегрированной базой уязвимостей и угроз для конкретных приложений.
Ожидается, что в будущем больше компаний будут предлагать брандмауэры, защищающие сети на уровне сервисов.
О чем мы пишем в Первом блоге о корпоративном IaaS: