VMwareは2019年3月5日(米国時間)、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。アプリケーションに焦点を当て、状況の変化に逐次保護ポリシーを適応させていける点が特徴。
VMwareは2019年3月5日(米国時間)、「Service-Defined Firewall」というデータセンターセキュリティのソリューションを発表した。これはユニークなホスト/アプリケーションセキュリティ製品である「VMware AppDefense」と、ネットワーク仮想化製品の「VMware NSX」が持つ分散ファイアウォール機能を統合したもの。単一の製品であるかのような統合が実現したという。
なお、AppDefenseはVMwareが2017年に発表した製品で、英語版は国内でも利用できる。ヴイエムウェアでチーフストラテジスト(SDDC/Cloud)を務める高橋洋介氏によると、日本語化済みものは「近いうちに」提供開始の予定。これに伴い、Service-Defined Firewallの日本語対応版も同時期に提供されるという。
AppDefenseは「仮想マシン上のアプリケーション(およびOS)の「正しい状態(振る舞い)」を維持する」という考え方に基づく保護機能を提供するセキュリティ製品。個々のアプリケーションの正しい構成、振る舞いに基づくセキュリティポリシーを定義し、適用する。その後も、運用を続けていくと変更が生じることがあるが、合理的な変更の可能性がある場合は管理者に警告を送り、確認を求める。この変更に問題がない場合はセキュリティポリシーを修正する。こうして状況の変化に適応したポリシーを維持していけることが特徴という。
ちなみにAppDefenseはVMware vSphereのハイパーバイザーであるVMware ESXi内で動作する。従って、保護対象ホストにインストールするエージェントと異なり、攻撃者によって無効化される可能性が低いという。
一方、NSXではいわゆるマイクロセグメンテーションでネットワークをアプリケーションなどの単位に論理分割し、それぞれにファイアウォールを適用して、ホワイトリスト型のきめ細かな通信制御ができる。同製品ではレイヤー7までの通信制御が可能になっている。
NSXはこの機能で、従来もAppDefenseと連携してきた。AppDefenseのセキュリティポリシーを確定した時点で、通信関連情報を容易にNSXの設定へ反映できていた。今回新しいのは、いったんセキュリティポリシーを確定した後の状況変化に、NSXのファイアウォール設定が自動追従できるようになったことだという。NSXのファイアウォールが、あたかもAppDefenseの製品の一部であるかのように、アプリケーション/サービスの(正しい)運用状況に追従する形で適用し続けられるという意味で、「Service-Defined Firewall」というソリューション名になったと高橋氏は説明している。
AppDefenseはESXiで動くため、現状ではvSphere環境にのみ適用が可能。ただしベアメタルサーバが混在している場合、NSXの分散ファイアウォールを適用することはできる。VMware Cloud on AWSへの対応は、トッププライオリティで現在進行中という。
Copyright © ITmedia, Inc. All Rights Reserved.