 |
仮想ファイアウォール 仮想IDS 仮想環境 / VMwareセキュリティ対策 クラウドセキュリティ |
|
 |
||
- HOME
- > カテゴリで探す
- > Juniper Networks
- > 商品情報
- > vGW
Juniper Networks(旧Altor Networks)
商品情報
仮想環境に必要なセキュリティ要件を、VLAN型とVirtSecで比較
仮想環境において、従来のVLAN型のセキュリティ対策では、必要なセキュリティ要件を満たすことができず、限定的な対策、不完全なセキュリティ対策になってしまうことがあります。また、従来型セキュリティ対策によって、仮想化におけるメリットである、ITインフラ資源の全体活用や、柔軟なシステム拡張を制約してしまうことがあります。下記にて、VLAN型とVirtSecのvGWを3つの要件で比較します。
| 1. | システム毎のセキュリティポリシー適用 |
| 2. | 仮想環境の可視化 |
| 3. | 仮想環境に特有な脅威からの防御 |
システム毎のセキュリティポリシー適用
仮想環境においてシステム毎にセキュリティポリシー適用を行う場合、VLAN型ではFWでシステム毎にセグメントを分け、セグメント毎にアクセスポリシーを適用します。そのため、複数の物理サーバに仮想マシンが高密度に集約している仮想環境において、システム毎にアクセスポリシーを設定するには、複雑な設計と多大な運用が必要になります。
vGWではセキュリティポリシーを物理環境に依存することなく、仮想マシンの属性に応じたグループや、仮想マシン毎に設計することができます。そのため、仮想マシンがライブマイグレーションで物理ホストを移動したとしても、仮想マシンが新規に立ち上がったとしても、自動的にシステムに応じたセキュリティポリシーを仮想マシン毎に適用することができます。
VLAN型物理的なNW構成に依存したセキュリティ
|
vGW論理的にセキュリティポリシーを適用
|
仮想環境の可視化
仮想環境の可視化において、VLAN型は物理的にファイアウォールが外部に存在するため、仮想環境を完全に可視化することができません。
vGWでは、仮想環境の全通信を可視化します。また、仮想マシン上で動作しているアプリケーションの可視化や、IDSによって仮想環境の脅威監視を行うことが出来ます。マルウェアに感染した仮想マシンが同一ホスト内の仮想マシンに攻撃を仕掛けた場合も、vGWであれば検知することが出来ます。
これら取得した情報を外部APIと連携することにより、仮想環境の詳細情報をエクスポートすることも出来ます。
VLAN型外部FWの通信のみログ取得、解析
 |
vGW仮想環境内の全通信をログ取得、解析
 |
仮想環境に特有な脅威からの防御
仮想環境特有の攻撃に対して、VLAN型はファイアウォールが物理的に外部に存在するため為す術がありません。vGWは、ハイパーバイザーレベルで攻撃を防御します。外部からの不正通信だけでなく、仮想マシンから仮想マシンへの攻撃や、仮想マシンからハイパーバイザーへの攻撃(ハイパーバイザー・アタック)といった、仮想環境特有の攻撃に対しても防御することができます。
VLAN型仮想環境内部の攻撃は無防備
 |
vGWハイパーバイザーアタックも防御
 |
ステートフルインスペクション
ステートフルインスペクションは、パケットの通信に際してTCPやUDPのセッションテーブルを維持し、検証を行ないます。
各入力パケットに対して、セッションの送信元IPや宛先IPアドレス、ポート番号、TCPのシーケンス番号が記載され、セキュリティポリシーに基づいたパケットの通過許可、もしくはブロック処理を行ないます。
vGWは、このステートフルインスペクションを、ハイパーバイザー(VMware Kernel)に完全に組み込んでいるため、仮想ネットワーク構成に問わず、ESXホストの全通信の検証と、許可、ブロック処理を行ないます。
- 物理NIC、各仮想マシンの仮想NICすべてに適用可能
- 仮想スイッチや、論理セグメント間でなく、全仮想マシンにそれぞれ対応
仮想環境に最適なポリシー設計
vMortion、DRS、HA等のライブマイグレーションで仮想マシンの物理ホストが変わっても、IPやホスト名が変わっても、仮想マシン毎や物理構成に依存されない論理的なグループのセキュリティポリシーを適用することができます。
インバウンド・アウトバウンドによるポリシー設計
vGWのセキュリティポリシーは、仮想環境に入ってくるInboundと仮想環境から出て行くOutboundの通信毎にセキュリティポリシーを設計していきます。物理ファイアウォールのゾーン型とは異なり、仮想環境に特化したセキュリティポリシーの設計をすることができます。
仮想マシン毎のポリシー設計
vGWは、仮想マシンのUUID単位でセキュリティポリシーを管理します。各物理、仮想ネットワークの構成に依存することなく、仮想環境に最適なセキュリティ設計が可能です。仮想マシンのIPや物理的なサーバが変わったとしても、仮想マシン単位、グループ単位、グローバル(全体)単位で設定したポリシーを適用することができます。
仮想マシンの属性情報をもとにしたグルーピング機能(Smart Group)
vGWでは、仮想マシンの属性情報(OS、ホスト名、タグ情報、VLAN、ポートグループ、仮想スイッチ、アプリケーション名等)を元に、グルーピングを設定することが出来ます。事前に仮想マシンの属性情報を元にグルーピングを行うことで、新規仮想マシンが立ち上がった場合、またはライブマイグレーションで移動してきた場合に、自動的に、仮想マシンに応じたセキュリティポリシーの適用をすることができます。
2つのグルーピング手法
Static Group : 個別のVMを指定し、固定的にグループ化するもの
Smart Group: VM属性情報をキーにした、動的な自動グルーピング
ハイアベイラビリティ
仮想マシンからハイパーバイザーを攻撃する「ハイパーバイザーアタック」、仮想マシンから仮想マシンへの攻撃を、ハイパーバイザーレベルで検知し防御します。また、VMCI(仮想マシンとハイパーバイザーの間、また同じホストにある仮想マシン間の高速通信を容易にする新しい仮想デバイス)を制御することができます。
イントロスペクション(検疫と隔離)
vGWは、Windowsの仮想マシンの仮想ディスク(レジストリ情報)をスキャンニングすることにより、Windowsの仮想マシン上にインストールされているアプリケーションを検出することができます。
また、アプリケーション情報をトリガーとした、セキュリティポリシーを適用することができます。
これによって、不正なアプリケーション、または必要なアプリケーションがインストールされていない仮想マシンを通常のLANから隔離することができます。
| 例1) | DMZに接続を限定する場合 仮想マシンの属性が、許可されたvLANまたは仮想Switchの場合でかつ、特定のOSとセキュリティソフトがインストールされていれば、接続上記以外の場合には、隔離LANとして全通信ブロックのポリシーを割り当てる |
| 例2) | データベースソフトがインストールされているなら、データベースネットワークにInbound通信を許可 |
上に戻る
ハイパーバイザーの保護
Security Design vGW HA
vGW Centerがシステム障害でダウンした場合、自動的にバックアップがアクティブ機に切り替わります。ただし、管理ツールになるため、これによってvGW Engineの動作に影響を与えることはありません。
vGW Security VM HA
vGW Control VMがシステム障害でダウンした場合、自動的にバックアップがアクティブ機に切り替わります。ただし、ポリシー、ログの中継をする仮想マシンのため、vGW Engineの動作に影響をあたえることはありません。
vGW Engine 障害時
vGW Engineがシステム障害でダウンした場合、ESXカーネルレベルでの障害となります。そのため、vMotionやDRS、HAで効果的な障害対策のソリューションを利用することでハイアベイラビリティな環境を構築することができます。
可視化
vGWは、仮想環境の通信を全て可視化することができます。外部から仮想環境への通信、仮想環境から外部への通信、そして仮想環境内で完結してしまう通信であっても、すべての通信を可視化します。
グラフィカルで見やすいGUIから、仮想環境のさまざまな情報を分析することができます。
また、API外部連携を利用することで、vGWで取得した情報(パケットキャプチャ、Netflow、Syslog、SNMP/SMTP等)を、外部のシステムに転送することができます。
ダッシュボード
|
不正通信を可視化 (IDS)
|
アプリケーションの可視化
|
コンプライアンスレベルの可視化
|
