🥇ИТ-гигант представил сервисно-определяемый файрвол

Он найдет применение в дата-центрах и облаке.

Что это за технология

Компания VMware представила новый файрвол, который защищает сеть на уровне приложений.

Инфраструктура современных компаний построена на тысячах сервисов, объединенных в общую сеть. Это расширяет вектор потенциальных хакерских атак. Классические брандмауэры способны защитить от атак извне, однако оказываются бессильны, если злоумышленник уже проник в сеть.

Специалисты по ИБ из Carbon Black говорят, что в 59% случаев злоумышленники не останавливаются на взломе одного сервера. Они ищут уязвимости в связанных с ним устройствах и «перемещаются» по сети, стремясь получить доступ к большему количеству данных.

Новый брандмауэр использует алгоритмы машинного обучения для определения аномальной активности в сети и в случае опасности сообщает об этом администратору.

Как это работает

Брандмауэр состоит из двух компонентов: платформы NSX и системы обнаружения угроз AppDefense.

Система AppDefense отвечает за построение поведенческой модели всех запущенных в сети приложений. Специальные алгоритмы машинного обучения анализируют работу сервисов и формируют «белый список» выполняемых ими действий. Для его составления также используется информация из базы данных VMware. Она формируется на основе телеметрии, предоставляемой клиентами компании.

Этот список играет роль так называемых адаптивных политик безопасности, на основании которых файрвол определяет аномалии в сети. Система следит за работой приложений и при обнаружении отклонений в их поведении направляет уведомление оператору ЦОД. Для мониторинга активности используются средства VMware vSphere, поэтому новый файрвол не требует установки на каждый хост специализированного ПО.

Что касается NSX Data Center, то это платформа для управления программно-определяемыми сетями в ЦОД. Её задача — связать компоненты межсетевого экрана в единую систему и сократить затраты на его обслуживание. В частности, система позволяет распространить одни и те же политики безопасности на разные облачные среды.

Посмотреть на брандмауэр в деле можно в видеоролике на YouTube-канале VMware.

/ фото USDA PD

Мнения

Решение не привязано к архитектуре и железу целевой системы. Поэтому его можно развертывать на мультиоблачной инфраструктуре. К примеру, представители компании IlliniCloud, предоставляющей облачные сервисы государственным учреждениям, говорят, что система NSX помогает им балансировать нагрузку в сети и выполняет функции файрвола в трех географически удалённых дата-центрах.

Представители IDC говорят, что число компаний, работающих с мультиоблачной инфраструктурой, стабильно увеличивается. Поэтому решения, упрощающие управление и защищающие распределенную инфраструктуру (вроде NSX и построенного на его базе файрвола), будут только набирать популярность у клиентов.

Среди минусов нового брандмауэра эксперты выделяют необходимость развертки программно-определяемых сетей. Такая возможность есть не у всех компаний и дата-центров. Кроме того, пока не известно, как сервисно-определяемый брандмауэр повлияет на производительность сервисов и пропускную способность сетей.

Также компания VMware тестировала свой продукт только против наиболее распространённых типов взломов (например, фишинга). Непонятно, как система сработает в более сложных случаях вроде атаки process injection. При этом новый файрвол пока не может самостоятельно принимать меры для защиты сети — он умеет только посылать уведомления администратору.