———————————————————————————————————————————————————————————–
本稿は 2021 年 05 月 17 日に VMware Blog のブログに投稿された「 VMware Wins 2021 Global InfoSec Award as Market Leader in Firewall 」の抄訳です。
投稿者:ビベク・バンダリ(Vivek Bhandari)
———————————————————————————————————————————————————————————–
RSA Conference 2021 において、VMware が CyberDefense Magazine の 2021 Global InfoSec Award のファイアウォール部門で「マーケットリーダー」に選出されたことをここにご報告いたします。 VMware の中核となる信念の 1 つが、「企業のセキュリティに対する取り組み方を体系的、構造的に変える必要がある」ということです。
言い換えると、社内データセンターにおけるセキュリティなどの問題に対する取り組み方を新しい目で見直す必要があるということです。
この考え方こそが、VMware NSX Service-defined Firewall を提供する出発点となっています。NSX Service-defined Firewall は、VMware のセキュリティを支える基盤の一部です。
このソリューションは、ネットワークに変更を加えずにワークロード全体にわたってあらゆる East-West トラフィックを保護する、独自の分散型かつスケールアウト型の内部ファイアウォールです。これにより、セキュリティ導入モデルは劇的に簡素化されます。このソリューションには、分散ファイアウォール、脅威に対する高度な防御、ネットワーク トラフィック分析が備わっています。VMware NSX Service-defined Firewall を使用することで、セキュリティ チームは、従来のネットワーク境界を突破してラテラルムーブメントを試みるサイバー攻撃から組織を守ることができます。差別化要因と言える主な機能として、以下のものがあります。
- 分散型のきめ細かな制御:NSX Service-Defined Firewall では、セキュリティ ポリシーを分散させてきめ細かく制御し、ワークロード レベルまで保護するため、ネットワークの変更は不要です。
- 優れたスケーラビリティとスループット:Service-Defined Firewall は分散型であるため、ワークロードのスピンアップ/スピンダウンに応じて自動拡張が可能な柔軟性を備えています。
- アプリケーション間の通信の可視化:Service-Defined Firewall では、あらゆるタイプのワークロードにわたって通信パターンが自動的に判定され、そのパターンに基づいてセキュリティ ポリシーの推奨が行われるとともに、展開されたポリシーにトラフィック フローが適合しているかどうかがチェックされます。
- 宣言型 API:NSX Service-Defined Firewall を採用したセキュリティ チームは、開発のスピードに合わせて変化することができ、オンプレミスで真のパブリッククラウド環境を提供することができます。
- 脅威に対する高度な防御:NSX Service-defined Firewall を採用したセキュリティ チームは、分散型 IDS/IPS、ネットワークのサンドボックス化、ネットワーク トラフィック分析/ネットワーク検知および対応(NTA/NDR)などの脅威に対する高度な防御機能を容易に導入して、既知の脅威やゼロデイ攻撃から組織を保護することができます。
こうした機能によりお客様は、ネットワーク セグメントや仮想セキュリティ ゾーンをすばやく作成、再構成するのに必要なスピードと柔軟性を、ソフトウェア内でそのすべてを定義することによって得られるため、ネットワーク セグメントを迅速に展開することができます。
NSX Service-Defined Firewall ではまた、脅威に対する高度な保護機能に加え、AppID および UserID ベースのポリシーを含むステートフルなレイヤー 7 ファイアウォールにより、East-West のセキュリティを拡張することで、攻撃のラテラルムーブメントを阻止できます。VMware のソリューションにより、お客様はすべてのトラフィックを検査して規制要件に対応することができます。分散型の IDS/IPS がソフトウェアで提供されるため、その検査範囲に盲点はなく、全体に対応します。さらに、マルチクラウド環境全体にわたってアプリケーション、サービス、ワークロード間のきめ細かなマイクロセグメンテーション ポリシーを容易に作成、適用、自動管理できるため、ゼロトラストの実現につなげることができます。
VMware の NSX Service-defined Firewall を活用している企業の好例が United States Senate Federal Credit Union(USSFCU)です。USSFCU は、境界からデータセンターに至るまでのネットワークと仮想デスクトップ インフラストラクチャ(VDI)全体に範囲を拡張でき、きめ細かなポリシー制御によってアプリケーション、サービス、ワークロードを保護できる統合ソリューションの採用にあたって、VMware を選択しました。優れた可視性ときめ細かい制御性を提供する効率性に優れた East-West の監視、修正、ブロック機能を備えた VMware Service-Defined Firewall の導入により、USSFCU は組織の環境を強化することに成功しました。USSFCU は、NSX を利用してデジタルワークスペースをセグメント化し、トラフィック フローの検査を実施してラテラルムーブメントを試みる脅威を検出することで、Horizon 仮想デスクトップを保護しています。また、ファイアウォール ポリシーを VDI のワークロードに適用し、そうしなければ脆弱であったユーザーとデスクトップへの脅威を緩和しています。VMware の Service-defined Firewall が USSFCU にもたらしたメリットの詳細については、こちらをご覧ください。
上記以外にも新しいアプローチが必要な証拠をご覧になりたい場合は、最近弊社がリリースした、脅威の動向レポート『North-by-South-West:境界のセキュリティ対策を脅かすもの』をご覧ください。East-West のセキュリティが IT における新たな戦場となっている現状が明確に示されています。
今回受賞した VMware NSX Service-Defined Firewall に関するその他の情報については、以下をご確認ください。(全て英語です)
- Service-Defined Firewall のデータシート
- データセンターでゼロトラスト モデルを適用した VMware の IT 部門の事例
- Internal Firewalls for Dummies ガイド
- データセンターのファイアウォールに関するお客様のコメント
- Forrester:ゼロトラスト モデルの採用によるファイアウォール戦略の再考
あとがき(Japan Blog 補足)
本記事でご案内した VMware NSX Service-defined Firewall をさらに詳しく知りたい方は、以下のウェビナーへの参加をお勧めします。弊社セキュリティエバンジェリストによる最新の脅威動向や技術動向などは必見です。
【オンライン開催(定期開催)】
ネットワーク仮想化で実現するゼロトラストセキュリティとは
【VMware NSX Service-defined Firewall の紹介動画】
Service-defined Firewall で本質的なセキュリティを実現
