データセンター内の通信に意外と多い HTTPS

「 NSX-T Data Center NSX 分散ファイアウォールとは 」もしくは、「マイクロセグメンテーション」とは、という記事もご紹介していきたいなと考えていますが、今回は 分散ファイアウォールを レイヤー７ファイアウォールとして利用する際の使い所をご紹介したいと思います。

NSX 分散ファイアウォールはざっくり言うと、
「 ハイパーバイザー で VM の vNIC 単位でインラインのステートフルファイアウォールが実行できる」機能です。通称、マイクロセグメンテーション（マイセグ）です。
NSX 分散ファイアウォールはハイパーバイザーとうまく連携することで、vCenter Server 全体で 全VM に対してフルカバレッジでステートフルファイアウォールを強制させることが得意です。

今ではデータセンター ネットワーク トライフィックの８−９割が、VM to VM や API to API といった East-West (E-W) の通信といわれています。こうした E-W 通信 も API連携 など、HTTPSによる 暗号化された通信が主流ですし、多くの製品の Webアクセスが今や HTTPS なのではないでしょうか。

SSL3.0 まだ使ってますか？

こうした HTTPS ですが、暗号アルゴリズムは何をご利用でしょうか。インフラ内での SSL/TLS の利用率をモニターしたり、端末のブラウザの設定の方で SSL3.0 の無効化と TLS の有効化 の 作業 に 着手されたりと いろいろと暗号アルゴリズムまつわる業務を 日々実施されていらっしゃるのかなと思います。

さて、２０２０年7月に、独立行政法人情報処理推進機構（IPA）さんの方から、「SSL3.0 を禁止します」という表現のガイドラインが出されたのは 記憶に新しいのではないでしょうか。

「TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～」 v3.0.1 のガイドラインの中で、「安全なウェブサイトの作り方」ということで とうとう SSL3.0の利用禁止 との表現となりました。

SSL3.0 については POODLE に代表されるような 既にいくつもの 暗号解読手法 や 中間者攻撃 のテクニックが公開され 攻撃者としては悪用しやすい状態が長年続いており、こうしたプロトコルを利用するには非常にリスクのある暗号アルゴリズムであるとの理解はされてきたものの、ブラウザの仕様や 長期間動作しているサーバが存在することにより、未だに陳腐化できてないプロトコルの１つであることも事実としてあります。

SSL3.0を無効化するには

では、SSL3.0 を禁止 するにはどういった作業が 必要になるでしょうか。稼働中の 全てのアプライアンス や Webサーバの設定を見直したり、実際に SSL3.0 で繋いでみてみるなどの作業や、端末のブラウザ設定の方で SSL3.0無効化 と TLS有効化 の作業をしたり、またその 作業マニュアルの作成や 設定変更を実施したかの チェックリスト を運用したりと、、、

網羅的に実施を検討していくと 結構な工数となってしまいますし、端末やシステムの増減に 日々追従していかなければなりません。

NSX 分散ファイアウォールというアプローチ

こうした通信プロトコルを TLS だけに制御したい！といったことは、実は NSX 分散ファイアウォール が得意とします。NSX 分散ファイアウォール を レイヤー７ファイアウォール として使うことで、L7ルール として  SSL3.0 / TLS1.0 / 1.1 / 1.2 / 1.3  のような レイヤー７のプロトコル動作を チェックして、通信を 許可するか 禁止するかを 制御することができます。

この制御は、ステートフルファイアウォール として vCenter 基盤全体に対して 全VM 一括して 実施することができます。

例えば、「 443/TCP の TLS1.2 / 1.3 を許可するルール 」と「 443/TCP の SSL3.0 / TLS1.0 / 1.1 を拒否するルール 」を 分散ファイアウォール で運用してみます。すると、NSX-Tの基盤で 動作する Webサーバや 各種アプラアンス、そして HTTPS を使った API への アクセスに対して、TLS1.2 / 1.3  だけの 通信 が許可 され、SSL3.0 / TLS1.0 / 1.1 の通信 を 遮断 する 環境 ができてしまいます。

さらっと説明しましたが、よくよく考えると たったこの２行のルールを追加しただけで、急に サーバの免疫力が 強化されちゃいました。

Webサーバや 各種アプラアンスなどの 設定変更を行ったり、設定 抜け漏れがないかを 動作確認 してみたりといった作業 は、システムの増減に 日々追従させることを 前提に考えるとちょっと 現実的ではありません。

分散ファイアウォール を レイヤー７ファイアウォール として使うことで、たった ２行 の ルール追加 で この課題 を サクッとクリアすることができるんです。

また、vCenter 基盤全体に対して 全VM 一括して実施することができます。

まだある NSX 分散ファイアウォール の 活用術

また、「 443/TCP の SSL3.0 / TLS1.0 / 1.1 を 拒否するルール 」 というのは 運用で 非常に有効な情報源になります。443/TCP の SSL3.0 / TLS1.0 / 1.1 で 遮断された通信 は、ファイアウォール の ドロップイベントとして Syslogサーバで 確認することができます。

このログが 非常に有益です。このログの送信元IP と 宛先IPを 参照することで、どこの クライアント と サーバ 間 で、SSL3.0 / TLS1.0 / 1.1 が 使われそうになったか を 確認 することができます。この IPたちに対して、暗号アルゴリズム の 設定変更 を 検討したり、対処 の 抜け漏れ を 見える化 することもできます。

また、攻撃者が 利用するツール の中では、こうした 軽量で 古い暗号アルゴリズム で 実装され、大量のマルウェアが そうしたものを モジュールとして 流用していることもあり、こうした「攻撃に対する検知」にも活用できる利点もあったりします。

さらに、この 「 分散ファイアウォール での SSL3.0 / TLS1.0 / 1.1 の 拒否ルール  」を、３つ個別のルールに分割してそれぞれ 運用すれば、SSL3.0 / TLS1.0 / 1.1 それぞれが どれくらい使われそうになったかを、さらに絞り込んで確認することできますね。こうしたより細かい監視も、できるようになります。

詳細についてはまたいつか別の記事でご紹介しようと思いますが、VMware vRealize Log Insight  (vRLI)  という NSX-T ユーザーですとなんと無償で使える「ログ解析ツール 」がありまして、こちらを 使うとこんなふうに可視化してみせることも出来ます！

まとめ

さて、今回は主に NSX 分散ファイアウォール 周りに特化してご紹介させていただきました。NSX 分散ファイアウォール は、VM単位に シンプルなステートフルファイアウォール を提供しますが、ハイパーバイザー で 動作してくれるため、vCenter 基盤全体に対して 全VM 網羅的に 一括して 制御することが得意です。

これまで SSL3.0 を禁止するために、「 全てのサーバの設定を見直し、動作確認が必要だったり、システムが増えるたびに “このような作業” が都度発生してしまう 」といったような “ジレンマ” から、この運用にいつまで 耐えられるか？、と真剣に考えられた方もいらっしゃったのではないでしょうか。

そんな時には、NSX 分散ファイアウォールを ぜひご検討いただけたらと思います。

NIST（米国標準技術研究所）でゼロトラストアーキテクチャー(ZTA)の定義が進んでおり、2020年8月に「NIST SP 800-207 Zero Trust Architecture (Final) 」が発行されました。こちらの第３章では、具体的な実装技術に言及して ゼロトラストアーキテクチャアプローチ を定義していて、論理コンポーネント（具体的な実装技術）として、３つの要素を提示しており、その２つ目に、マイクロセグメンテーションという言葉が使われるようになりました。「マイクロセグメンテーションによって、ワークロード（リソース）をセグメント化し、全てのワークロードに認証と認可により、ワークロードへの必要最小限のアクセス範囲を動的にできること」といったことが示されています。こうしたアーキテクチャーの定義を実現を目指しつつ、ゼロトラストを実現する仮想基盤を構築する上でも、上記でご紹介してきましたセキュリティの健康診断が簡単に実施できて、作業負荷としてもきちんと運用できる範囲内であることが望まれるかと思います。例えば１つの活用例として、NSX 分散ファイアウォール を レイヤー７ファイアウォール として使うことで、vCenter 基盤全体に対して 全VM 網羅的に  SSL3.0 対策が実施できます。SSL3.0はあくまで一例にはなりますが、皆様のゼロトラスト実現に向けてこうした考え方がご参考になれば幸いです。

NIST SP 800-207で定義された原則やマイクロセグメンテーションは、重要なトピックになります。分散ファイアウォールとの関係ついては、また他のブログで深く触れたいと思います。

是非 NSX 分散ファイアウォール を活用してみてください。

– – – – – – – – – – – – – – – – – – – – – – –

過去の関連記事はこちら

• 特徴を解説！NSX 分散IDS/IPS でできる 新しい脅威への対策
• NSX-T Data Center NSX 分散ファイアウォールとは – パート１
• NSX-T Data Center NSX 分散ファイアウォールとは – パート２
• SSL3.0 を 簡単にシャットアウト！ NSX 分散ファイアウォール の L7 機能
• マイクロセグメンテーションの必要性、より頑丈なマイクロセグメンテーションの作り方

– – – – – – – – – – – – – – – – – – – – – – –

〜お知らせ〜

 ※NSX-T Data Center、および VMware SD-WAN by VeloCloud  について入門編から中級編まで各種セミナーも定期開催しております。
より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。 

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/

• VMware の新たな仮想ネットワークソリューションを聞いたみたい！という方はこちら
  → ２０２１年度！「Virtual Cloud Network」20年後を見据えた新たな仮想ネットワークソリューション【オンライン開催】
• VMware SD-WANに関するより詳細な解説と動態デモ、デザイン、運用イメージについて説明を聞いたみたい！という方はこちら
  → ２０２１年度！柔軟でセキュアな WAN 環境を提供する SD-WAN ソリューション【オンライン開催】
• VMware でネットワークセキュリティ対策を実現するには？そんな説明を聞いたみたい！という方はこちら
  → ２０２１年度！ネットワーク仮想化で実現するゼロトラストセキュリティとは【オンライン開催】

※VMwareでは、各種製品をクラウド上でご評価いただくHands-on Labs（HOL） という仕組みを無償でご提供しています。
今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。

おすすめのHOLメニューはこちらから ( http://labs.hol.vmware.com/HOL/catalogs/catalog/1212 )

• HOL-2126-01-NET – VMware NSX-T – Getting Started (日本語ガイド付き）
• HOL-2126-02-NET -NSX-T – Advanced Security (日本語ガイド付き）