こんにちは。SBC＆Sの大塚です。
本記事では、VMware Cloud Foundation（VCF）の仮想ワークロードを保護する機能を提供する、VMware vDefend の製品概要をご紹介していきます。

背景

従来、企業の多くは「境界型防御」を中心にセキュリティ対策を行ってきました。ファイアウォールやその他セキュリティ機器をネットワークの境界、即ち外部と内部との接点に配置することで、外部からの攻撃に対する対策をメインとして行っていました。かつてはこの方式がベストプラクティスとされていましたが、現在の攻撃者はフィッシング、認証情報の窃取、マルウェア、ゼロデイ脆弱性の悪用などを使って、境界を突破してきます。
また境界内部のネットワークに防御がないと、攻撃者が社内やクラウド内部のシステムへ簡単に横移動が可能となり、機密データや知的財産などに容易に到達してしまいます。

特にVCFのようなプライベートクラウドでは、仮想マシン、アプリケーション、データベース、認証システム、ログ基盤など様々なシステムが相互に通信し合っています。このようなEast-Westのトラフィックは、従来の境界型セキュリティのみでは可視化して制御することができません。プライベートクラウドを導入しインフラをモダン化したとしても、セキュリティが従来型のままでは高度な攻撃には対応できないのです。

VMware vDefendとは

VMware vDefend は、VCF 環境向けに設計された統合的なラテラルセキュリティ対策を可能とする製品です。仮想レイヤーに組み込まれることで、物理アプライアンスやネットワークを再設計することなく、ワークロード単位でセキュリティを適用できます。

VMware vDefend Distributed Firewall

VMware vDefend Distributed Firewallは、仮想化レイヤーにて通信制御を可能とする、分散型ファイアーウォールです。仮想マシン単位でファイアーウォールによる通信制御が可能となり、マイクロセグメンテーションを実現させることができます。

VMware vDefend Gateway Firewall

VMware vDefend Gateway Firewall は、セグメント間やドメイン間などの通信制御が可能とするファイアーウォールです。Distributed Firewallとは異なり、ネットワークの境界やゾーン間の通信制御を行う役割を担っています。
VCF環境においては、管理ドメインやワークロードドメインなどのVCF独自の論理的領域が存在します。Gateway Firewallは、このような領域間の通信を制御する上で特に重要な役割を担っています。

VMware vDefend Advanced Threat Prevention

VMware vDefend Advanced Threat Prevention（ATP）は上記のファイアーウォール機能では防ぎきれない、高度な攻撃に対応するための機能を提供しています。通信や振る舞いを分析し、既知・未知の脅威、脆弱性の悪用、マルウェア、ランサムウェアなどを検知・防御することが可能です。具体的に含まれる機能は下記になります。

機能	役割
IDS / IPS	ネットワーク通信を分析し、攻撃パターンや脆弱性悪用の兆候を検知・防御する機能
NTA	ネットワーク通信やフロー情報を分析し、通常とは異なる通信パターンや 不審な振る舞いを検出する機能
Sandbox	ファイルやアプリケーションなどを安全な環境で解析し 悪意ある挙動がないかを確認する機能
NDR	単発のアラートを見るだけでなく、複数の通信やイベントを関連付けて 攻撃の流れを把握するための機能

NIST Cybersecurity Framework 2.0 への対応

VMware vDefend の提供する機能によって、NIST Cybersecurity Framework の対応へ活用することが可能です。NISTとは、組織がサイバーセキュリティリスクを「理解・評価・優先順位付け・コミュニケーション」するためのフレームワークです。現在の NIST はバージョン2.0となっており、識別（Identify）・保護（Protect）・検出（Detect）・応答（Respond）・回復（Recover）の5つの主要な段階で構成されています。

下記に示すのが、VMware vDefend の機能がNISTの各段階にどのように活用できるかをマッピングした図になります。もちろんVMware vDefend だけで組織のセキュリティが完璧になることはありませんが、多くの項目で機能を活用できることがわかるかと思います。

ユースケース

VMware vDefend のユースケースとしていくつかご紹介します。

Distributed Firewallによる共通インフラの保護

組織における共有インフラは、ADやDNS・ログ基盤などが挙げられますが、これらインフラは攻撃者の標的になりやすいです。Distributed Firewall を使うことで、これらのインフラに対して、どのワークロードから、どの通信を許可するかを細かく制御することが可能となります。

仮想パッチ

組織内に脆弱性が見つかったとしても、業務影響の考慮や検証期間、レガシーシステムによる制約などによって、すぐにパッチを適用することはなかなか難しいかと思います。vDefend ATP の IDS/IPS を使うことで、実際の OS やアプリケーションにパッチを適用する前に、ネットワーク側で脆弱性悪用の通信を検知・ブロックすることが可能です。これによって暫定的ではありますが、脆弱性に対して迅速な対応を行うことができます。

アプリケーション単位の保護

ゼロトラストを実現するためには、組織にとって重要なワークロードを詳細に理解した上で、アプリケーション間の East-West 通信を保護することが必要です。これは、単に VLAN やサブネット単位で分けるのではなく、アプリケーションの構成要素ごとに通信を制御するといった考え方です。例えば、Webアプリケーションを例に考えてみます。

• • Web → App：必要なポート・プロトコルのみ許可
  • App → DB：アプリサーバーから DB への通信のみ許可
  • Web → DB：原則禁止
  • App → AD / DNS：必要な認証・名前解決通信のみ許可

このようにアプリケーションごとに詳細な通信制御を行うことで、Web サーバー侵害時の DB への到達を困難にすることができます。

まとめ

今回は VMware vDefend の製品概要についてお伝えさせていただきました。
vDefend は単なるファイアウォール製品ではなく、VCF 環境に統合されたラテラルセキュリティを実現させる製品であることをご理解いただけたかと思います。ぜひ積極的にご活用いただき、クラウドスケールのセキュリティを実現していきましょう。

SB C&Sでは、VMware製品に関する技術検証や提案支援を行っています。vDefendやVCF関連案件をご検討の際は、当社営業担当またはお問い合わせ窓口までお気軽にご相談ください。