2016年12月6日火曜日

拡散防止が最強なのです。



〜vExperts Advent Calendar 2016 に参加中です〜
http://www.adventar.org/calendars/1709

白山さんから受け継ぎました。


今日は”もう知ってるよ!!”な方も多いと思いますが、、マイセグ(MicroSegmentation)について 各方面で反応が良かったので、おさらいします。


今も話題となるのは 標的型攻撃によるマルウェア感染 です。
<絶対に100%感染しない> を持続するのは難しいと断言します。





被害にあったときのダメージも計り知れませんね。





対策も無限ループです。





この手の情報といえばIPAでしたが、経済産業省も本気ですね。





ざっくりまとめると、こんな感じ






ということで、感染しても被害は最小限 という、感染を前提とした新しい考え が必要だと思います。





よく聞かれたのが、NSXを入れればOK なんでしょ? ですが、それは違います
そもそもNSXといえば、ネットワーク仮想化ですが





2つの顔があります。
(1)自由で効率的なネットワークを実現
(2)物理環境では考えられなかった仮想NIC単位のセキュリティ対策





「なんでネットワーク仮想化がセキュリティに?」と思うかもしれませんが

その仕組みの一部を使って
「分散FireWall(DistributedFW)」の機能をセキュリティに活用することを、
 マイクロセグメンテーション というのです。





ざっくりいいますと、何かあったら ケーブルを抜く という動作に近い状態を、NSXにて制御してもらいます。






仮想環境に移行にしないとNSXの仕組みを使えないので、VDI環境にして”ネットワークが制御できる状態”にする前提があります。





そして、拡散を防止すること





これを実現するには、2つの仕組みが必要なのです。






中身を見ると、すごく単純で・・・
分散仮想スイッチ(vDS)にあるポートセキュリティの仕組み(dvFilter(※))DeepSecurityがうまく連携するようになっているのです。
 ※言い換えればL3スイッチのACL

つまり、分散FireWall使うときのNSXってポリシ管理の仕組みをNSXが提供しているだけなのですね。






これをまとめると 拡散防止ソリューション というのです。





この100%受けないように防御するのではなく、ある程度許容するというのが、もっとも有効だと私は信じています。







感染を前提にする新しい考え=拡散防止 この新しい考えを実現するには NSXだけじゃなくて、VDIとDeepSecurityの3つがセットで最強なんです。



かなり情報を削ってしまいましたが、もっとDeepなお話は BusinessMailをいただけたらとおもいます。



明日は、tunemicky さんです。
http://www.adventar.org/calendars/1709

それでは、このへんで・・・