昨今、企業のネットワークを標的としたサイバー攻撃において、侵入技術の高度化とともに、組織内部での潜伏と横方向への移動と攻撃、いわゆる「ラテラルムーブメント」(横展開攻撃)が見受けられるようになっています。
VMware Cloud Foundation™ 9.0(VCF 9)のセキュリティAdd-On機能に VMware® vDefend™がありますが、このvDefendによるセキュリティ強化について確認した内容を以下にまとめます。
なお、この記事はシリーズ構成になっており、以下の順でお読みいただけますと、vDefendに関するまとまった知識が得られるかと思われますのでお勧めです。
1. VCF9のセキュリティAdd-On:vDefend(旧NSX Security)によるセキュリティ強化 part1: 本記事、用語についてご紹介します。
2. VCF9のセキュリティAdd-On:vDefend(旧NSX Security)によるセキュリティ強化 part2
3. VCF9のセキュリティAdd-On:vDefend(旧NSX Security)によるセキュリティ強化 part3
VMware vDefendとは
vDefendは、従来は「NSXセキュリティ」と呼ばれていた機能で、現在はVCF9におけるセキュリティ統合パッケージとして提供される拡張機能となり、以下のライセンスより構成されます。
- vDefend Firewall(Distributed FirewallとGateway Firewall)
- vDefend Firewall with Advanced Threat Prevention(Distributed FirewallとGateway Firewall)
vDefendにより提供される機能は、以下の通りです。
- セキュリティ分析可視化
- 分散/ゲートウェイFirewall
- IDPS
- マルウェア防御
- NDR
vDefendによる多層防御は、以下の4ステップ(現状把握、内部拡散防止、脆弱性対策、インシデント早期発見)で構成されます。これにより、「可視化 → 防御 → 検知 → 対応 → 復旧」のサイクルを一貫してカバーします。
Security Intelligenceについて
vDefendの中心となるコンポーネントとなる Security Intelligence は、仮想データセンター内の通信を可視化し、最適なセキュリティポリシーを自動提案する分析基盤で、以下の機能を提供します。
- 通信の可視化(下図①)
- 分散Firewallの推奨
- MITRE ATT&CKに基づく脅威検出(下図②)
【図①:通信の可視化】
【図②:攻撃キャンペーンの検出】
Security Intelligence機能の検証結果については、後続の記事にて取り上げます。
Security Service Platform(SSP)について
また、Security Intelligenceを利用するにあたって、SSPと呼ばれる仮想アプライアンスをVCF9の環境に展開する必要があります。従来のバージョンでは同機能は、コンテナ環境を必要としていましたが、VCF9への対応と共に仮想アプライアンス形式で展開する事が可能となり、扱いやすくなっています。
以降の記事で、SSPの展開方法とSecurity Intelligenceの使用についてご紹介します。
参考URL
https://blogs.vmware.com/security/2024/06/vmware-vdefend-lateral-security-new-innovations.html
https://techdocs.broadcom.com/us/en/vmware-security-load-balancing/vdefend/security-services-platform/5-0/security-services-platform-overview.html