このブログはVMwareのSASEソリューションであるVMware SASEにて、VMware SD-WAN Edge側に新しいセキュリティ機能であるEdge Enhanced Firewall Service(EFS)が追加されたご紹介ブログになります。
ご存知ない方もいらっしゃるかと思いますが、昨今多くのベンダーがSASE(Secure Access Service Edge)やSSE(Security Service Edge)を提供しておりますが、VMwareもVMware SASEを提供しております。
Edge EFSはVMware SASEの新たなセキュリティ機能になりますが、そのお話をさせていただく前に、VMware SASEのセキュリティ戦略と既に備えているセキュリティ機能について少々触れておきたいと思います。
まず、VMware SASEのセキュリティ戦略を簡単に描かせていただきますと、以下のようにThin Edge Security・Thick Cloud Securityとしております。なんかよくわからんとお思いの方もいらっしゃるかと思いますので、もっと簡単に言い換えますと、Thin Edge Security(SD-WAN)では基本的なセキュリティをシンプルに、Thick Cloud Security(弊社クラウド提供しているSASE POP)で高度で包括的なセキュリティを提供します!ということです。
VMware SASEでThick Cloud Securityと言う通り、Cloud側で提供する高度なセキュリティとして具体的にどのようなことが出来るのかというところでお話しすると、SASE POPに完全統合されているVMware Cloud Web Securityと言うソリューションにおいて、主に以下のようなセキュリティ機能を提供しています。
VMware Cloud Web Securityは弊社にてクラウド提供しており、アップデートに伴い管理画面に新機能が自動的に追加されていきますので、新たな機能もすぐにお使いいただけるようになります。
そして、Thin Edge SecurityとしてEdge側、即ち業界をリードする弊社のSD-WANのセキュリティ機能のお話になりますが、もちろんセキュリティ機能がございます。Thin Edge Securityとして、VMware SD-WANはL7のステートフルファイアウォール機能がありますので、安全なローカルブレークアウトを提供することが可能となっております。
前置きが長くなりましたが、、このようにVMware SASEは既に主要なセキュリティ機能を備えてはおりますが、この度、VMware SD-WANリリース5.2.0において、セキュリティ機能拡張アドオンサービスとして、Edge EFSを追加致しました。EFSとは、名称の通り、今あるファイアウォール機能に加えて高度なセキュリティ機能を順次提供するものとなりまして、今回のリリースではIDS/IPS、今後もURLフィルタリングや、Botnetプロテクション等、続々エッジで必要と思われるセキュリティ機能を追加していく予定となっております。
今回EFSとして追加されたIDS/IPSについては実績のあるNSXのテクノロジーを活用しており、エッジ側でインターネット向けにはC&C通信(Command and control)に対する防御、イントラネットにおいては、ラテラルムーブメントに対する新たな防御層を提供することが出来るようになりました。
全体像としては以下の図のような形で動作します。
設定はとても簡単でシングルクリックで有効化!
そして、ファイアウォールのルールにて、適用したいトラフィックに対して、IDS/IPS/ロギングそれぞれクリックしていただくだけで完了します!
設定有効化しても簡単に確認できなくては意味がありません、こちらの画面のように簡単にネットワーク全体の脅威の検出・防御状況を把握することが可能です。
Edge毎のドリルダウンもクリックしていけばこのように簡単に各SD-WAN Edgeの詳細も確認できます。
Edge EFSは、SD-WANのライセンスに追加のアドオンサービスとして購入いただく必要がございますが、このようにとても簡単に追加・確認ができますので、是非お試しいただければと思います!
ソフトウェアアドオン機能になりますので、SD-WAN Edgeにいつでも簡単に機能追加することが可能です。今現在弊社のVMware SD-WANをお使いいただいていれば、新たなアプライアンスの追加や、ハードウェアのアップグレードは不要で、アドオンライセンスを購入いただくだけで簡単にIDS/IPSを使えるようになりますので、ご検討いただけますと幸いです。
