ゼロ トラスト アーキテクチャ を活用して、サプライ チェーン 攻撃を切り抜ける方法

posted

この投稿は米国時間 2020 年 12 月 21 日に、VMware blog に投稿されたものの翻訳に、日本独自の調査結果を追加しています。米国のブログ本文は以下のリンクからご覧いただけます。 Navigating Supply-Chain Vulnerabilities with a Zero Trust Architecture SolarWinds の侵害 (https://www.solarwinds.com/ja/securityadvisory) を参考に、ゼロ トラスト アーキテクチャ が、このようなインパクトのある攻撃を抑制するための効果的なアプローチを、どのように実行できるのかをお伝えしたいと思います。 SolarWindsへの不正侵入 現在、アップデート パッケージである SolarWinds-Core-v2019.4.5220-Hotfix5.msp をダウンロードした、SolarWinds社製品を使用している各組織は、自組織がすでに不正侵入されているという前提で調査を開始することを推奨します。さらに、侵入された影響範囲を思慮すると、攻撃者は自組織内で更なる攻撃を自由に展開できる可能性があることにもご注意ください。 このアップデート パッケージは 2020 年 3 月 24 日に署名されていることから、この攻撃による被害者は、 2020 年 3 月上旬から 4 月上旬頃からすでに不正侵入されいた恐れがある、ということです。一度、攻撃者が SolarWinds 社のネットワーク監視ソフトウェア Orion のホストに不正侵入すると、Orion ソフトウェアによって監視されている他のホストへ水平方向に移動している可能性があります。この不正侵入に対応するためにとるべき具体的なアクションは、 DHS CISA社 から Emergency Directive 21-01 [1]と題して公表されています。 Read more...

VMware NSX-T Data Center 3.0対応のTrend Micro Deep Security 20.0およびインテグレーションガイドのリリース

posted

トレンドマイクロ VMware テクニカルアライアンス担当 野村です。 今年の7月末に、VMware NSX-T® Data Center(以降 NSX-T Data Center)3.0環境でのDSVAの展開が可能となるDeep Security 20.0(以降DS 20.0)がリリースされ、すでに導入をご検討頂いているお客様も多くいらっしゃいます。   本記事ではDS 20.0のアップデートと最新版のインテグレーションガイドについてご紹介します。 Read more...

マイクロセグメンテーションの必要性、より頑丈なマイクロセグメンテーションの作り方

posted

NSX-T Data Center NSX 分散ファイアウォールとは、「 ハイパーバイザー で VM の vNIC 単位でインラインのステートフルファイアウォールが実行できる」NSX-T の基本機能です。 通称、マイクロセグメンテーション(マイセグ)と呼ばれており、過去5年以上 NSX の鉄板活用例となっていました。今更ブログ?というイメージかもしれませんが、改めて基本から紹介したいと思います。 全3パートに分けて、NSX 分散ファイアウォールをいろいろな側面からご紹介していきますが、初回である前回は「そもそもNSX 分散ファイアウォールとは?」という基礎のお話を2つのパートに分けて紹介させていただきました。詳細は、こちらの記事 をご参考ください。 3回目にあたる今回は、分散ファイアウォールについて 昨今のサイバーセキュリティ動向と照らし合わせ、その有効性や活用術を紹介したいと思います。 ここからはマイセグのことを DFW (Distributed Firewall/分散ファイアウォール) と表現したいと思います。   Read more...

vRealize Network Insight – ユースケース 1

posted

仮想化が進むと、今までの物理の世界で見えていた世界と変わり、物理に紐付かない見えない世界が広がるため、運用やトラブルシューティングのために可視化がますます望まれています。 VMware が考える Virtual Cloud Network のビジョンのなかで vSphere や NSX Data Center で構成されるネットワークに可視化を提供する製品が vRealize Network Insight (vRNI) で、オンプレミスの環境を中心に機能を拡充してきましたが、ニーズに合わせたおおよそ四半期ごとにリリースで、現在はパブリッククラウドやハイブリッドクラウド、また VMware  SD-WAN によるブランチサイトの仮想化も提供しています。 Read more...

NSX-T Data Center NSX 分散ファイアウォールとは – パート2

posted

  NSX-T Data Center NSX 分散ファイアウォールとは – パート1の続きの記事になります。基本からということで、以下の4点について解説していましたが、前半であるパート1では NSX-T Data Center の NSX 分散ファイアウォールとは、「 ハイパーバイザー で 仮想マシン の vNIC 単位でインラインのステートフルファイアウォールが実行できる」NSX-T の基本機能として基本動作や境界型との違いを解説しました。通称、マイクロセグメンテーション(マイセグ)と呼ばれているこのNSX 分散ファイアウォールの設定方法や活用術を、今回のパート2で触れていきたいと思います。 基本動作 ゲートウェイ型ファイアウォール との違い 設定 活用術       そもそも DFWのルールってどう設定するの? DFWのルールの構成は、以下の6つです。 Read more...

NSX-T Data Center NSX 分散ファイアウォールとは – パート1

posted

  NSX-T Data Center の NSX 分散ファイアウォールとは、「 ハイパーバイザー で 仮想マシン の vNIC 単位でインラインのステートフルファイアウォールが実行できる」NSX-T の基本機能です。通称、マイクロセグメンテーション(マイセグ)と呼ばれており、過去5年以上 NSX の鉄板活用例となっていました。今更ブログ?というイメージかもしれませんが、改めて基本から紹介したいと思います。 NSX 分散ファイアウォール 紹介シリーズとして全3つのパートに分けて、NSX 分散ファイアウォールをいろいろな側面からご紹介していきたいと思います。初回の今回は改めて基本からということで、以下の4点について解説していきます。 基本動作 ゲートウェイ型ファイアウォール との違い 設定 活用術 この記事では、パート1ということで、最初の2点について触れたいと思います。     Read more...

VMWorld 2020 : Network & Security まとめ

posted

VMWorld 2020 Network と Security の最新情報まとめ Security is front and center at VMworld—and for good reason. さて、今年も VMWorld が開催されました。 今年は COVID19 の影響もあり例年の夏開催から秋開催へと変更になったり、オンラインをメインとしたイベントに変更になったりと New Normal な時代に沿った建付けに変更はなされいますが、イノベーションの加速度は例年どおり変わりません! 本 Post では VMWorld 2020 で発表になった諸々のトピックから、特に Network & Security 部分にフォーカスしつつ、ちょっとだけ 独自解説を織り交ぜながらポイントをまとめてお伝えしてみたいと思います。 Read more...

NSX 分散IDS/IPS でできる 新しい脅威への対策

posted

ネットワークセキュリティをビルトインでシンプルに使う 多くの企業が更なるビジネス上のメリットやスピードを促進するため、大量のアプリケーションを運用し、企業システムは一元管理されたデータセンターから分散化され、ネットワークとセキュリティが複雑化しています。これらに対応するため、VMware ではアプリケーション指向のソフトウェア定義型セキュリティをインフラに内在させる新たなアプローチを進めており、その最新セキュリティソリューションの1つである VMware NSX Data Center 分散IDS/IPS を解説したいと思います。 Read more...

SSL3.0 を 簡単にシャットアウト! NSX 分散ファイアウォール の L7 機能

posted

データセンター内の通信に意外と多い HTTPS 「 NSX-T Data Center NSX 分散ファイアウォールとは 」もしくは、「マイクロセグメンテーション」とは、という記事もご紹介していきたいなと考えていますが、今回は 分散ファイアウォールを レイヤー7ファイアウォールとして利用する際の使い所をご紹介したいと思います。 NSX 分散ファイアウォールはざっくり言うと、 「 ハイパーバイザー で VM の vNIC 単位でインラインのステートフルファイアウォールが実行できる」機能です。通称、マイクロセグメンテーション(マイセグ)です。 NSX 分散ファイアウォールはハイパーバイザーとうまく連携することで、vCenter Server 全体で 全VM に対してフルカバレッジでステートフルファイアウォールを強制させることが得意です。   今ではデータセンター ネットワーク トライフィックの8−9割が、VM to VM や API to API といった East-West (E-W) の通信といわれています。こうした E-W 通信 も API連携 など、HTTPSによる 暗号化された通信が主流ですし、多くの製品の Webアクセスが今や HTTPS なのではないでしょうか。   SSL3.0 まだ使ってますか? こうした HTTPS ですが、暗号アルゴリズムは何をご利用でしょうか。インフラ内での Read more...