VMware Cloud Foundation™ 9.0 におけるセキュリティ基盤 VMware® vDefend の概要とマイクロセグメンテーション、ならびにSecurity Services Platformを活用した可視化・分析機能についてご紹介いたします。
- ライター:榎本 真弓
- Broadcom 及びNutanix の仮想化製品の導入を推進しております。各製品の技術Updateや使い方など、有益な情報をお届けできればと思っています。
・VMware vExpert 2020-2026、Broadcom Knight
・Nutanix Partner Elite Member
目次
VMware Cloud Foundation™ 9.0 におけるネットワークセキュリティ基盤 vDefend
近年、ランサムウェアをはじめとするサイバー攻撃はますます高度化しており、侵入後に内部ネットワークを横断的に拡散する「ラテラルムーブメント」が、被害を拡大させる大きな要因となっています。
こうした状況においては、従来の境界防御だけで内部通信を十分に制御することは難しく、現在ではワークロード単位で通信を制御する「マイクロセグメンテーション」の重要性が高まっています。
このような背景のもと、VMware Cloud Foundation™(以下、VCF)9.0 における VMware® vDefend (以下、vDefend)は、ネットワークとセキュリティを統合的に提供するプラットフォームとして、内部通信の可視化と、きめ細かな制御を実現します。さらに、統一されたポリシーを適用することで、クラウド全体にわたり一貫性のあるセキュリティ対策を可能とします。
vDefend による統合セキュリティアーキテクチャ
VCF 9.0 において、vDefend はセキュリティ基盤として、インフラ全体を対象とした包括的な防御を提供します。
vDefend は、分散ファイアウォールを中心としたマイクロセグメンテーション機能を活用し、仮想マシン単位で通信を制御します。これにより、万が一外部からの侵入を許した場合でも、内部ネットワークにおける不正な通信の拡大、いわゆるラテラルムーブメントを抑止し、被害の広がりを最小限に抑えることが可能です。また、ゲートウェイファイアウォールにより、外部との境界におけるトラフィックの制御やフィルタリングに加え、IDS/IPSによる不正通信の検知・防御も実現します。
さらに、vDefend はネットワーク制御に加え、セキュリティの可視化と高度な脅威対策を統合的に提供します。Security Intelligence による通信の分析・可視化や、Advanced Threat Prevention によるマルウェア対策、サンドボックス、NDR(Network Detection and Response)などを組み合わせることで、既知・未知の脅威に対して多層的な防御を実現します。
加えて、AIを活用した脅威分析やポリシーの推奨機能により、運用負荷を抑えながら継続的なセキュリティ強化が可能となります。これにより、vDefend は従来の境界防御に依存しないゼロトラスト型のセキュリティモデルを、VCF全体で一貫して適用します。
Security Services Platformについて
VCF 9.0 における vDefend では、従来の VMware NSX に加え、Security Services Platform(以下、SSP)がゼロトラストを実現するためのセキュリティ可視化・分析基盤として活用されます。
SSP を利用するには、まず SSP インストーラ用の OVA を展開して SSP インスタンスを作成します。その後、vCenter およびVMware NSX を登録し、SSP が提供する各種機能(Security Intelligence など)を有効化することで、セキュリティの可視化や分析機能を利用することが可能となります。
SSP 画面により提供される主な機能のご紹介
- セキュリティセグメンテーションレポート
環境内の通信フローを分析し、マイクロセグメンテーションの適用状況をスコアとして可視化する機能です。分散ファイアウォールの有効化状況や、環境分離(Dev/Prod)、アプリケーション間通信の制御状況などを評価し、現在のセキュリティレベルを客観的に把握可能です。
- ポリシーの推奨事項(Security Intelligence)
環境内の通信フローを分析し、分散ファイアウォールに適用すべきポリシーを自動生成する機能です。特定のワークロードやグループを対象に、実際の通信実績をもとに必要な通信のみを抽出し、最小権限に基づいた適切なアクセスルールを提示します。これにより、手動でのポリシー設計に比べて、精度の高いマイクロセグメンテーションを効率的に実現できます。生成されたポリシーはそのまま適用することも、内容を確認・調整したうえで反映することも可能です。
VMware NSX 画面による主なセキュリティ機能のご紹介
- 分散ファイアウォール(およびゲートウェイファイアウォール)の実装
分散ファイアウォールは、仮想マシン単位で通信を制御し、マイクロセグメンテーションを実現する機能です。不要な通信を遮断することで、内部での不正な通信拡大(ラテラルムーブメント)を防ぎます。
- IDS/IPSの設定
IDS/IPSを有効化することで、不正通信や既知の攻撃を検知・遮断できます。エンジンを有効化し、E-W(内部)やN-S(外部)に適用することで、侵入後の拡散も防止可能です。ルールとプロファイルを設定することで、防御を開始します。
その他、SSP 画面では Malware Prevention 機能(サンドボックス型のマルウェア解析機能)の有効化などが可能です。
よって、VMware NSX 画面ではファイアウォールやIDS/IPS などの基本的なセキュリティ機能を設定し、NDR やレポート、ポリシー推奨などの高度な可視化・分析機能については SSP 画面を利用する、といった使い分けとなります。
まとめ
今回は、VCF 9.0 におけるゼロトラストを実現するセキュリティ基盤として、vDefend の機能についてご紹介しました。本機能をご活用いただくことで、マイクロセグメンテーションによる内部通信の制御に加え、多層的な脅威防御、さらに可視化・分析およびポリシー自動化を通じた継続的なセキュリティ強化を実現できます。
弊社では今後も、vDefend を始めとしたクラウド環境における最適なインフラ基盤の構築、運用をご支援してまいります。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
