-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
2022年1月17日、セキュリティ監視・運用サービス「JSOC マネージド・セキュリティ・サービス(MSS)」は、VMware NSX Firewall with Advanced Threat Prevention(以下、VMware NSX ATP)の分散IDPS向けの対応を開始※しました。分散IDPSは従来の境界型IDPSとは、「目」の付け所が違うのです。
※ ラック、ヴイエムウェアと境界型防御を補完するセキュリティ監視サービスを提供
この記事では、なぜJSOC MSSがVMware NSX ATPに対応したのか、をご紹介します。
VMware NSX ATPとは
VMwareと言えば、「サーバ」の仮想化(=VMware vSphere)というイメージを思い浮かべるかもしれません。vSphereによるサーバ仮想化により運用がシンプルになったのはご存じの通りです。これに加え、近年VMwareはネットワークの仮想化に注力しています。ここでは、ネットワークの仮想化を実現する「VMware NSX Data Center」と、さらにそこに含まれるセキュリティ対策パッケージ「VMware NSX ATP」が持つ「分散IDPS」機能について紹介します。
分散IDPSはVMwareハイパーバイザー(ESXi)に組み込まれたVMwareならではのセキュリティ機能です。分散IDPSを利用することで、境界型IDPSを通過しない東西(East-West)通信を含むすべての通信を監視・分析することが可能です。これにより、内部の不正通信を検知できることも特徴です。
既存の境界型IDPSと分散IDPSの違い
分散IDPSの違いをもう少し掘り下げて見ていきます。VMware NSX ATPが採用する分散IDPSは、ネットワーク境界に設置する従来の「境界型IDPS」と以下の点で異なります。
①置く場所が異なる
「分散IDPS」は、物理サーバ上のVMwareハイパーバイザー(ESXi)に組み込まれた形で動作し、各仮想マシンの仮想NICと仮想スイッチの間に位置します。これにより、仮想ホストを出入りする通信を漏れなく監視することができます。
②見るものが異なる
物理ネットワークや境界型IDPSを経由しない、仮想マシン間の通信(東西の通信)を見ることができるので、攻撃者が侵入後に行なう水平展開(ラテラルムーブメント)時の不正通信も検知することができます。
分散IDPSのメリット
一番のメリットは「東西の通信が見えることにより、内部の不正通信も検知できること」ですが、他にも以下のメリットがあります。
| ①全ての仮想マシンの通信を分析 | |
|---|---|
| 複雑なネットワーク経路設計を行うことなく、ESXiホスト上で動作する仮想マシンの通信を、すべて分析することが可能です。導入も、管理サーバであるNSX Manager上で簡単にON/OFFが可能です。 | |
| 設計/導入のコスト減 | ○ |
| 運用コスト減 | - |
| コンプライアンス向上 | - |
| ②物理ホストの増強でスケーラビリティがリニアに向上 | |
| 分散セキュリティの処理はハイパーバイザーの余剰リソースで行われるため、物理サーバの増強にともない、セキュリティ機能の処理性能もリニアに向上します。サーバ追加により通信量が増加しても、IDPSがボトルネックになることがなく、スループット増強のための個別追加費用が抑えられます。 | |
| 設計/導入のコスト減 | ○ |
| 運用コスト減 | ○ |
| コンプライアンス向上 | - |
| ③vMotionに追従してポリシーが自動適用 | |
| 仮想ネットワーク機能の一部として動作しているため、vMotionで仮想マシンを別の物理サーバに移動しても、ポリシーが追従します。(再適用作業削減、適用漏れ防止) また、同種の仮想マシンを追加する場合、グループやタグ機能を用いることで、自動で同じポリシーを適用することが可能です。(適用漏れ防止) |
|
| 設計/導入のコスト減 | - |
| 運用コスト減 | ○ |
| コンプライアンス向上 | ○ |
| ポイント | メリット | |||
|---|---|---|---|---|
| 設計/導入のコスト減 | 運用コスト減 | コンプライアンス向上 | ||
| ① | 複雑なネットワーク経路設計を行うことなく、ESXiホスト上で動作する仮想マシンの通信を、すべて分析することが可能です。導入も、管理サーバであるNSX Manager上で簡単にON/OFFが可能です。 | ○ | - | - |
| ② | 分散セキュリティの処理はハイパーバイザーの余剰リソースで行われるため、物理サーバの増強にともない、セキュリティ機能の処理性能もリニアに向上します。サーバ追加により通信量が増加しても、IDPSがボトルネックになることがなく、スループット増強のための個別追加費用が抑えられます。 | ○ | ○ | - |
| ③ | 仮想ネットワーク機能の一部として動作しているため、vMotionで仮想マシンを別の物理サーバに移動しても、ポリシーが追従します。(再適用作業削減、適用漏れ防止) また、同種の仮想マシンを追加する場合、グループやタグ機能を用いることで、自動で同じポリシーを適用することが可能です。(適用漏れ防止) |
- | ○ | ○ |
さいごに
不正通信を見つけ出す「目」であるIDPSの置き場を変え、分析する「頭脳」であるJSOCが対応することで、内部の不正通信も監視できることをご紹介しました。VMwareを用いてサーバだけでなくネットワークも仮想化する場合には、分散IDPSと「JSOC マネージド・セキュリティ・サービス(MSS)」のご利用をぜひご検討ください。
参考URL
- VMware NSX Advanced Threat Prevention ※ VMware社のホームページへ遷移します
- ヴイエムウェア、日本市場におけるセキュリティ事業を拡大へ ※ VMware社のホームページへ遷移します
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR