IDS/IPSによるネットワーク保護
IDS/IPSとは、侵入検知システム(Intrusion Detection System)と不正防御システム(Intrusion Prevention System)を合わせたもので、ファイアウォールだけでは防げない攻撃を検知・防御し、脅威の拡散を未然に防ぐための追加セキュリティ対策です。IDS/IPSは通信経路に設置され、通信プロトコルのレイヤ7までの内容を調査して、多種多様な脅威のシグネチャを検知します。そして異常を検知すると管理者に通知し、不正なアクセスなどがあればブロックし、安全な通信のみを社内ネットワークに通します。これらを通して、正規パッチの適用が間に合わない場合でも、ミドルウェアの脆弱性を狙う侵入や感染行為への対策が行なえます。その他、総当たり攻撃などの不正アクセスへの対策としても利用できます。NSX Advanced Threat PreventionによるIDS/IPSの特徴は、仮想マシンのNICレベルでセキュリティ対策を行うことで、ネットワーク境界の極小化が可能であることです。またNSXによるネットワーク仮想化を活かし、ウェブ、アプリケーション、データベースに関係なく、論理グループごとのセキュリティポリシーの展開が可能です。その結果、ネットワークトポロジーに依存せず、仮想化ならではのセキュリティ対策を実現することが可能です。
IDS/IPSとは?
NSX Advanced Threat PreventionによるIDS/IPS
マイクロセグメンテーションによる脅威拡散の防止
マイクロセグメンテーションは、NSXの分散ファイアウォールの機能を利用することで、侵入の横展開を防ぐ手法です。仮想マシンの粒度でセキュリティポリシーを制御することで、セキュリティの境界を最小限にし、カーネルレベルで脅威の拡散をブロックします。例えば、脅威が侵入してきて、境界内のサーバがマルウェアに感染し、不正なアクセスを許してしまったとしましょう。しかしセグメントが細分化されているので、それぞれの境界で、不正な通信などをブロックすることができます。このようにして、他のセグメントへの被害の拡散を防ぐことができます。
マイクロセグメンテーション=拡散防止型
まとめ
NSX Advanced Threat Preventionは、サンドボックス、NDR、IDS/IPSを連携させて、セキュリティ運用効率を向上するとともに、未知の脅威を正確に検出し、脅威を一網打尽にできるセキュリティソリューションです。既知・未知を問わず脆弱性を悪用した攻撃や未知のマルウェアによる攻撃の検知・防御、そして悪性のネットワークトラフィック検出を可能にします。NSX Advanced Threat Preventionを、他のセキュリティソリューションと組み合わせることで、ネットワーク全体のセキュリティ対策を行うことができます。具体的には、NSXのアクセス・トラフィック制御と組み合わせて、マイクロセグメンテーションによるセキュリティ境界の最小化や、VMware Carbon Black Cloudと組み合わせて、エンドポイントにおける既知のマルウェアや未知の攻撃の検知・防御が可能になります。
まとめ:進化する脅威検出技術
VMware セキュリティ
ネットワールドは、VMwareのネットワーク・セキュリティソリューション導入支援に力を入れています。NSXによるセキュリティやVMware Carbon Black Cloud等のご提案を通して、お客様のプラットフォーム自体にセキュリティがあらかじめ組み込まれた、Intrinsic Securityの実現を支援します。VMwareが目指すセキュリティのあり方や、セキュリティ製品の最新動向について、オンデマンドセミナーを公開しています。ぜひご視聴ください。
