VMwareが発表したセキュリティソリューション、「Service-Defined Firewall」の新しさとは：状況変化への自動適応が特徴

VMwareは2019年3月5日（米国時間）、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。アプリケーションに焦点を当て、状況の変化に逐次保護ポリシーを適応させていける点が特徴。

[三木泉，＠IT]

　VMwareは2019年3月5日（米国時間）、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。これはユニークなホスト／アプリケーションセキュリティ製品である「VMware AppDefense」と、ネットワーク仮想化製品の「VMware NSX」が持つ分散ファイアウォール機能を統合したもの。単一の製品であるかのような統合が実現したという。

　なお、AppDefenseはVMwareが2017年に発表した製品で、英語版は国内でも利用できる。ヴイエムウェアでチーフストラテジスト（SDDC／Cloud）を務める高橋洋介氏によると、日本語化済みものは「近いうちに」提供開始の予定。これに伴い、Service-Defined Firewallの日本語対応版も同時期に提供されるという。

　AppDefenseは「仮想マシン上のアプリケーション（およびOS）の「正しい状態（振る舞い）」を維持する」という考え方に基づく保護機能を提供するセキュリティ製品。個々のアプリケーションの正しい構成、振る舞いに基づくセキュリティポリシーを定義し、適用する。その後も、運用を続けていくと変更が生じることがあるが、合理的な変更の可能性がある場合は管理者に警告を送り、確認を求める。この変更に問題がない場合はセキュリティポリシーを修正する。こうして状況の変化に適応したポリシーを維持していけることが特徴という。

　ちなみにAppDefenseはVMware vSphereのハイパーバイザーであるVMware ESXi内で動作する。従って、保護対象ホストにインストールするエージェントと異なり、攻撃者によって無効化される可能性が低いという。

VMware NSXは境界の内側で分散ファイアウォールの機能を果たせる。Service-Defined Firewallは、このファイアウォール機能をスマートにするものとも表現できる。将来的には、データセンター以外の、エッジやIoTへの適用も想定できる

　一方、NSXではいわゆるマイクロセグメンテーションでネットワークをアプリケーションなどの単位に論理分割し、それぞれにファイアウォールを適用して、ホワイトリスト型のきめ細かな通信制御ができる。同製品ではレイヤー7までの通信制御が可能になっている。

　NSXはこの機能で、従来もAppDefenseと連携してきた。AppDefenseのセキュリティポリシーを確定した時点で、通信関連情報を容易にNSXの設定へ反映できていた。今回新しいのは、いったんセキュリティポリシーを確定した後の状況変化に、NSXのファイアウォール設定が自動追従できるようになったことだという。NSXのファイアウォールが、あたかもAppDefenseの製品の一部であるかのように、アプリケーション／サービスの（正しい）運用状況に追従する形で適用し続けられるという意味で、「Service-Defined Firewall」というソリューション名になったと高橋氏は説明している。

　AppDefenseはESXiで動くため、現状ではvSphere環境にのみ適用が可能。ただしベアメタルサーバが混在している場合、NSXの分散ファイアウォールを適用することはできる。VMware Cloud on AWSへの対応は、トッププライオリティで現在進行中という。