IT 巨人はサービス定義のファイアウォールを導入しました

データセンターやクラウドでの応用が期待されます。

/ 写真 クリスティアン・コーレン のCC BY-SA

これはどのような技術ですか

VMware は、アプリケーション レベルでネットワークを保護する新しいファイアウォールを導入しました。

現代の企業のインフラストラクチャは、共通のネットワークに統合された何千ものサービスに基づいて構築されています。 これにより、潜在的なハッカー攻撃のベクトルが拡大します。 従来のファイアウォールは外部攻撃から保護できますが、 であった 攻撃者がすでにネットワークに侵入している場合は無力です。

Carbon Black のサイバーセキュリティ専門家 彼らは言う59% の場合、攻撃者は XNUMX つのサーバーをハッキングするだけでは終わらないということです。 彼らは関連デバイスの脆弱性を探し、より多くのデータにアクセスするためにネットワークを「ローミング」します。

新しいファイアウォールは機械学習アルゴリズムを使用してネットワーク上の異常なアクティビティを検出し、危険な場合は管理者に通知します。

これはどう動かすのですか

ファイアウォール состоит NSX プラットフォームと App Defense 脅威検出システムの XNUMX つのコンポーネントで構成されます。

AppDefence システム 答え ネットワーク上で実行されるすべてのアプリケーションの動作モデルを構築します。 特別な機械学習アルゴリズムがサービスの動作を分析し、サービスが実行するアクションの「ホワイト リスト」を作成します。 VMware データベースからの情報もコンパイルに使用されます。 これは、会社の顧客から提供されたテレメトリーに基づいて形成されます。

このリストは、いわゆる適応型セキュリティ ポリシーの役割を果たし、これに基づいてファイアウォールはネットワーク内の異常を判断します。 システムはアプリケーションの動作を監視し、動作の逸脱が検出された場合はデータセンターのオペレーターに通知を送信します。 VMware vSphere ツールはアクティビティの監視に使用されるため、新しいファイアウォールでは各ホストに特殊なソフトウェアをインストールする必要はありません。

関しては NSX データセンターの場合、それはデータセンター内のソフトウェア定義ネットワークを管理するためのプラットフォームです。 その役割は、ファイアウォール コンポーネントを XNUMX つのシステムに接続し、そのメンテナンスのコストを削減することです。 特に、このシステムを使用すると、同じセキュリティ ポリシーを異なるクラウド環境に配布できます。

ファイアウォールが動作している様子は次の場所で確認できます。 VMware YouTube チャンネルのビデオ.

/ 写真 USDA PD

意見

このソリューションは、ターゲット システムのアーキテクチャやハードウェアには依存しません。 したがって、マルチクラウド インフラストラクチャに展開できます。 たとえば、IlliniCloud の代表者は、 提供する 政府機関にクラウド サービスを提供している企業は、NSX システムがネットワーク負荷のバランスをとり、地理的に分散した XNUMX つのデータ センターにわたるファイアウォールとして機能するのに役立っていると述べています。

IDC 担当者 彼らは言うマルチクラウド インフラストラクチャに取り組む企業の数は着実に増加しているということです。 したがって、管理を簡素化し、分散インフラストラクチャを保護するソリューション (NSX やそれに基づいて構築されたファイアウォールなど) は、顧客の間で人気が高まるだけです。

新しいファイアウォールの欠点の中でも、専門家はソフトウェア デファインド ネットワークを展開する必要性を強調しています。 すべての企業やデータセンターにこの機会があるわけではありません。 さらに、サービス定義のファイアウォールがサービスのパフォーマンスとネットワーク スループットにどのような影響を与えるかはまだ不明です。

VMware はまた、最も一般的なタイプのハッキング (フィッシングなど) に対してのみ製品をテストしました。 どのようなシステムなのかは不明 働くでしょう プロセスインジェクション攻撃などのより複雑なケースでは。 同時に、新しいファイアウォールはまだ独立してネットワークを保護する措置を講じることはできず、管理者に通知を送信することしかできません。

同様のソリューション

パロアルトネットワークスとシスコは、境界全体に沿ってネットワーク インフラストラクチャを保護する次世代ファイアウォールの開発も行っています。 このレベルの保護は、詳細なトラフィック分析、侵入防御システム (IPS)、およびプライベート ネットワーク (VPN) の仮想化によって実現されます。

最初の会社 作成した いくつかの特殊なファイアウォールを通じてネットワーク環境のセキュリティを確保するプラットフォーム。 それぞれが専用環境を保護します。モバイル ネットワーク、クラウド、仮想マシン用のソリューションがあります。

第二のIT巨人 提供 プロトコルおよびアプリケーション機能レベルでトラフィックを分析およびフィルタリングするハードウェアおよびソフトウェア ツール。 このようなツールでは、セキュリティ ポリシーを構成し、特定のアプリケーションの脆弱性と脅威の統合データベースを使用できます。

将来的には、サービス レベルでネットワークを保護するファイアウォールを提供する企業が増えることが予想されます。

エンタープライズ IaaS に関する最初のブログで書いている内容は次のとおりです。

• vCloud Director 8.20 の分散ファイアウォール: ソリューションの機能
• SAP HANA とソフトウェア デファインド データセンター: 実践例
• vCloud Director: XNUMX つの組織間に安全な接続を作成する方法

そして、テレグラムチャンネルでは次のようになります。

• クラウド ストレージ - それは何ですか?
• ERP システムを導入する XNUMX つの方法
• クラウドでのデータ保護: 珍しいシナリオ

出所： habr.com