ニュース
» 2019年03月08日 08時15分 公開

状況変化への自動適応が特徴:VMwareが発表したセキュリティソリューション、「Service-Defined Firewall」の新しさとは

VMwareは2019年3月5日(米国時間)、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。アプリケーションに焦点を当て、状況の変化に逐次保護ポリシーを適応させていける点が特徴。

[三木泉,@IT]

 VMwareは2019年3月5日(米国時間)、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。これはユニークなホスト/アプリケーションセキュリティ製品である「VMware AppDefence」と、ネットワーク仮想化製品の「VMware NSX」が持つ分散ファイアウォール機能を統合したもの。単一の製品であるかのような統合が実現したという。

 なお、AppDefenceはVMwareが2017年に発表した製品で、英語版は国内でも利用できる。ヴイエムウェアでチーフストラテジスト(SDDC/Cloud)を務める高橋洋介氏によると、日本語化済みものは「近いうちに」提供開始の予定。これに伴い、Service-Defined Firewallの日本語対応版も同時期に提供されるという。

 AppDefenceは「仮想マシン上のアプリケーション(およびOS)の「正しい状態(振る舞い)」を維持する」という考え方に基づく保護機能を提供するセキュリティ製品。個々のアプリケーションの正しい構成、振る舞いに基づくセキュリティポリシーを定義し、適用する。その後も、運用を続けていくと変更が生じることがあるが、合理的な変更の可能性がある場合は管理者に警告を送り、確認を求める。この変更に問題がない場合はセキュリティポリシーを修正する。こうして状況の変化に適応したポリシーを維持していけることが特徴という。

 ちなみにAppDefenceはVMware vSphereのハイパーバイザーであるVMware ESXi内で動作する。従って、保護対象ホストにインストールするエージェントと異なり、攻撃者によって無効化される可能性が低いという。

VMware NSXは境界の内側で分散ファイアウォールの機能を果たせる。Service-Defined Firewallは、このファイアウォール機能をスマートにするものとも表現できる。将来的には、データセンター以外の、エッジやIoTへの適用も想定できる

 一方、NSXではいわゆるマイクロセグメンテーションでネットワークをアプリケーションなどの単位に論理分割し、それぞれにファイアウォールを適用して、ホワイトリスト型のきめ細かな通信制御ができる。同製品ではレイヤー7までの通信制御が可能になっている。

 NSXはこの機能で、従来もAppDefenceと連携してきた。AppDefenceのセキュリティポリシーを確定した時点で、通信関連情報を容易にNSXの設定へ反映できていた。今回新しいのは、いったんセキュリティポリシーを確定した後の状況変化に、NSXのファイアウォール設定が自動追従できるようになったことだという。NSXのファイアウォールが、あたかもAppSecureの製品の一部であるかのように、アプリケーション/サービスの(正しい)運用状況に追従する形で適用し続けられるという意味で、「Service-Defined Firewall」というソリューション名になったと高橋氏は説明している。

 AppDefenceはESXiで動くため、現状ではvSphere環境にのみ適用が可能。ただしベアメタルサーバが混在している場合、NSXの分散ファイアウォールを適用することはできる。VMware Cloud on AWSへの対応は、トッププライオリティで現在進行中という。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。