posted

0 Comments

VMWorld 2020 Network と Security の最新情報まとめ

Security is front and center at VMworld—and for good reason.

さて、今年も VMWorld が開催されました。
今年は COVID19 の影響もあり例年の夏開催から秋開催へと変更になったり、オンラインをメインとしたイベントに変更になったりと
New Normal な時代に沿った建付けに変更はなされいますが、イノベーションの加速度は例年どおり変わりません!
本 Post では VMWorld 2020 で発表になった諸々のトピックから、特に Network & Security 部分にフォーカスしつつ、ちょっとだけ
独自解説を織り交ぜながらポイントをまとめてお伝えしてみたいと思います。

 

  • VMware SASE :

オフィスだけではなく自宅から働く従業員、アプリケーションとそれに紐づくデータ、そこにアクセスするデバイス群、どれもが高度に分散される時代になってきました。
これによりインフラに求められるセキュリティ、拡張性、パフォーマンスなどが大きく変化してきており、この流れはこれまで VMware がフォーカスしてきた高度化するデータセンターや複数のクラウドをまたがった運用体系へのチャレンジと連携した課題となっています。
今回の VMworld ではこれまで継続的に行われていたセキュリティに関する技術課題を解決するための複数のイノベーションを VMware SASE というプラットフォームで提供することにより、この新しい課題に根本から対応することを可能とすることを発表しました!

旧来型のヘアピントラフィックによるセキュリティ強制の非効率化はクラウドや SaaS の本格利用を検討されているユーザーさんにとって長らく大きな課題でした。

これに対してVMware SASE プラットフォームによるセキュリティ精査に切り替えることによって、エンドユーザーがどこで働いていようとも最も効率的なネットワークとセキュリティ精査をシンプルに提供することが可能になります。

VMware SASE プラットフォームは VMware SD-WAN by VeloCloud によってすでに世界中に展開されている大規模なクラウドサービス拠点展開(約 130 の Point of Presence(POP) にまたがる  2,700 以上のクラウドサービス基盤)を流用する形で提供されます。

VMware SASE ソリューションの主なコンポーネント:

  • VMware SD-WAN, 業界をリードする広域ネットワークのクラウドサービスプラットフォーム
  • Cloud Access Service Broker (CASB), Secure Web Gateway (SWG)  及び  Web ブラウザ分離によるセキュリティ機能 (Menlo Security との協業ソリューション)
  • VMware NSX Stateful Layer 7 Firewall 機能の SaaS 提供
  • Zero Trust Network Access, VMware SD-WAN と VMware Workspace ONE を統合し、様々な環境のリモートユーザーへゼロトラスト・ネットワーク・アクセス (ZTNA) をサービスとして提供
  • Edge Network Intelligence, 機械学習ベースの予測分析を利用しアプリケーションの SLA 監視や、エンドユーザーや IoT デバイスへのセキュリティと可視化を提供

VMware SASE のポイント:
VMware SASE により提供される Menlo Security 社との共同開発 CWS を含め、これら機能はすべて VMware が販売・サポートを行うためユーザーの皆様は VMware SASE をご検討いただくだけですべてのソリューションをご利用いただくことが可能となります!
また Pat Gelsinger (CEO) のセッションでも言及がありましたが、Zscaler 社との連携も将来さらに強化していく予定で、今後 VMware SASE ソリューション導入をより容易により効果的に実現・選択できるご提案ができるようになると確信しております。今後の続報にご期待ください

→ ZScaler 社のプレスリリース

 

VMware SASE の発表は非常に大きなトピックでしたが、それ以外にもいくつかの重要なセキュリティ機能、サービス拡張に対する発表が行われました。

    • VMware Workspace Security VDI: VMware Workspace ONE Horizon と VMware Carbon Black Cloud が一つのソリューションとして統合され、ランサムウェアやファイルレスマルウェアに対する振る舞い検知を提供することが可能になります。 VMware vSphere 上の VMware Tools を流用することによるソリューションとなっているため、新たなセキュリティエージェントのインストールや管理ポイントの増設が不要な点も大きな特長となっています。
    • VMware Workspace Security Remote: エンドポイントのセキュリティ、リモート IT サービスを Mac と Windows10 に提供することを可能にする統合ソリューション。このソリューションには Carbon Black による次世代型アンチウィルスや EDR 機能も併せて提供され、デバイスの状態監視と分析、自動的な状態復旧を備えたオーケストレーションなどによりWorkspace ONE プラットフォームに対するゼロトラストアクセスの世界をより確実に実現します。
    • VMware Carbon Black Cloud Workload:  vSphere 上の仮想マシンに対するエージェントレスのセキュリティ— VMworld 2019 時に発表したビジョンの実現。このソリューションにより IT とセキュリティの管理者の業務を非常に簡素化することが可能になります。Carbon Black クラウドにより提供されるものと同様のセキュリティリスクの可視化が VMware vCenter により提供され、より統一された管理とプロアクティブな脅威検知と対策を可能とします。セキュリティ管理は VMware Tools を介して仮想マシンのライフサイクルに組み込まれることとなり 統合的なセキュリティ管理を内包したインフラ運用を vSphere として提供します。
  • VMware NSX Advanced Threat Prevention: 昨年の Lastline 買収・統合による VMware NSX Service-defined Firewall に対するセキュリティ機能拡張。 これによりNSX Data Center は分散・スケールアウト型の East-West トラフィックに対するファイアウォールをマルチクラウド環境に対して提供することのできる業界唯一のプラットフォームとしてさらなる進化を遂げることになります。Lastline のテクノロジーが NSX の Service Defined Firewall に組み込まれることにより、高度な機械学習による誤検知を大幅に廃した脅威検知とデータセンター内のあらゆるワークロードに対するデイゼロ攻撃に対する仮想パッチを提供することが可能となります。

VMware NSX ATP のポイント:
これまでの NSX マイセグに加え、今回  NSX-T 3.1 発表により分散 IPS 機能が加わり仮想パッチなどコンプライアンスの強化を支援していきます。
さらに、NSX Service Defined Firewall への Lastline 統合により NTA/NDR 機能が NSX-T に加わりました。NTA/NDR は機械学習とサンドボックスを利用して脅威を特定したりサイバー攻撃に関する一連の攻撃ステージ遷移を関連づけていくことで、脅威を一網打尽に可視化してくことができるようになります。
こうしたアップデートを経て、NSX ATP は NSX マイセグ と 分散 IDS/IPS と NTA/NDR を1つに統合しながら East-Wes tの制御に取り込むことで、最新の脅威に対してフルカバレッジで保護ができる唯一の分散型スケールアウトNGFWへと昇華しました。
East-West と言う新しいセキュリティのバトルフィールドにおいて、NSX ATP は 強力な脅威対策技能をトータルで有する まさに “Masters of East-West” のような存在なんです!

 

また、いくつかの新しいネットワーク製品ポートフォリオに関するアップデートも発表となりました。

  • VMware Container Networking with Antrea: Project Antrea (https://antrea.io) のバイナリ 提供および サポートの発表が行われました。​Kubernetes 環境の CNI Pluginとして利用する Antreaは、設定 / 管理が難しかった Pod間の通信制御に着目しているプロジェクトとなります。今まで、NSX は、仮想マシン間の通信における 設定 / 管理を行い、細かい通信制御や可視化を実現してきました。その概念を Kubernetes 環境で実現し、Pod 間のマイセグや Traceflow として、擬似パケットを利用した疎通確認等が簡単にできるようになります。また、NSX-T と合わせて利用することで、クラスタ間など大規模環境での運用 / 管理にも活用することができます。
  • NSX-T 3.1: 次の NSX-T 3.1 では、 様々なところでアップデートが含まれております。特に、 API に機能追加が行われ、 ルーティングの詳細設定や、マルチキャスト関係の設定が行うことができるようになりました。また、Terraform を利用した自動化にも適用できるようになっております。
  • VMware vRealize Network Insight 6.0 Network Assurance and Verification: vRNI 6.0 の新機能のうち、注目されるのは、ネットワークの状態を収集し、モデル化することで、正常性の分析 / 検証を行うことができるようになります。 このモデルは、仮想環境だけでなく、物理環境やマルチクラウド環境からも情報を収集し、継続して常に正常性の検証を行うことができます。これにより、設定漏れなどによる、通信断を IT 管理者やネットワーク管理者が 事象発生前に検知することができます。

Network Portfolio 拡充のポイント:
Project Antreaは、ネットワーク視点でコンテナをより柔軟に / よりわかりやすく 利用できるCNI プラグインです。仮想マシン / コンテナにまたがったネットワークを構築していきましょう!
NSX-T 3.1 や vRNI 6.0 には、ここに書ききれない様々な機能追加が含まれる予定となっております。それぞれの細かいアップデートは、リリースされた際にご紹介いたします!

 

まとめ:

”VMwareのショッピングバッグ”と揶揄されるくらい毎年この VMWorld の時期に企業買収によるポートフォリを拡充を発表させていただくことの多かったVMwareですが、
今年はSaltStackに対する統合の意図を発表するにとどまった形となりました。
ただし、我々仮想のネットワークとセキュリティに携わる立場のものとしては VMware SASE という大きな発表が目玉となる VMworld 2020 となりました。
これまでのネットワークとセキュリティのデザイン、アーキテクチャを根本から覆す新しいクラウド型のネットワークとセキュリティの統合、これを完全なる形と豊富な選択肢とともに多くのお客様に届けることができるのはまさに VMware の Virtual Cloud Network ならでは。
来年のサービス開始に向けて現在準備を着々と実施中です。乞うご期待!

 

その他正式発表のサマリはこちら
→ こちら