どうする？これからのデータセンターセキュリティ ─ネットワーク編─

昨年末（2021年12月）のApache Log4jの脆弱性を悪用した攻撃や日本の企業を標的としたサプライチェーン攻撃が世間を大きく揺るがしたことは記憶に新しいところですが、複雑かつ巧妙化するサイバー攻撃の脅威は全ての企業にとって大きな問題となっています。私たちのビジネスはデジタルに大きく依存しており、今後もこの状況は加速する一方です。また、クラウド活用が当たり前の昨今、クラウド上のセキュリティ強化は最重要課題の一つとなっており、高度なサイバー攻撃の検知・防御に対応したクラウドサービスが求められています。

ヴイエムウェアは高度なセキュリティ機能をより簡単かつ迅速に提供できるよう、ビルトイン型のアプローチでセキュリティ機能の拡張を行っています。今回はクラウドパートナー様のデータセンターセキュリティの強化に焦点を当て、VMware NSX Data Center（NSX） を用いたネットワークセキュリティについてご紹介させて頂きます。

目次

• 境界型ファイアウォール：NSX ゲートウェイファイアウォール
• マイクロセグメンテーション：NSX 分散ファイアウォール
• 既知の脅威検知と防御：NSX 分散 IDS/IPS
• 未知の脅威検知と防御：NSX Sandbox
• 不審なネットワークトラフィックの早期検出と可視化：NSX Network Traffic Analysis （NTA）
• 脅威侵入を前提とした高度なネットワークセキュリティ：NSX Network Detection and Response （NDR）

境界型ファイアウォール
NSX ゲートウェイファイアウォール

従来から利用されている境界型ファイアウォールを NSX の Tier0/Tier 1 と呼ばれる仮想ルータで実施するものとなります。データセンターの外側から内側、または内側から外側で発生する通信（North - South 通信）に対し、ゼロトラストの考え方に基づく定義、つまりホワイトリスト型のセキュリティポリシーにて必要な通信のみを許可することがデータセンターセキュリティ向上の第一歩です。境界型セキュリティはデータセンターセキュリティの基本となりますが、単純にデータセンターの外側と内側をセグメンテーションしただけでは安全とはいえません。悪意ある攻撃者が何らかの方法（境界型セキュリティで許可された通信を用いた標的型攻撃など）でデータセンターへ侵入してしまった場合、そこから先は自由にデータセンター内の情報にアクセスでき、被害が拡大する恐れがあります。

マイクロセグメンテーション
NSX 分散ファイアウォール

データセンタートラフィックの8割以上はデータセンター内の仮想マシン間通信 （East - West 通信） であり、昨今のサイバー攻撃では約7割がラテラルムーブメント*を含む侵害と言われています。つまり、データセンター内の通信においても必要な通信だけを許可する、つまり攻撃対象領域の極小化が非常に重要であり、NSX 分散ファイアウォールの活用は欠かせないものとなっています。分散ファイアウォールは「 ハイパーバイザー上の仮想マシン vNIC 単位でインライン ステートフルファイアウォールが実行できる」NSX のビルトイン型セキュリティの基本機能です。仮想マシン単位のファイアウォールと聞くとゲストOSが持つファイアウォール機能と何が違うの？と気になる方もいるかもしれませんが、大きな特徴としては以下2点が挙げられます。

* 不正侵入後、最初に侵害した仮想マシンから他の仮想マシンに不正アクセスし侵害の範囲を拡大していく攻撃手法の一つ

• ゲストOS非依存であり、異なるゲスト OS であっても共通の設定にてシンプルな運用管理を実現
• 攻撃者にゲストOS を乗っ取られてしまった場合もファイアウォールによる保護は無効化されない

分散ファイアウォールを活用し、仮想マシンの属性やアプリケーション毎にセキュリティグループを作成し、必要な通信 （TCP/UDPレベルのみだけでなくアプリケーションレベルを含む制御） のみを許可していく、つまりマイクロセグメンテーションを実施することでデータセンターのセキュリティをより向上させることが可能です。

ただし、細かくグループ化、通信制御を行えば行うほど運用負荷が増大していくことになり、この運用管理とセキュリティ強化は一般的にトレードオフの関係にあると言えます。NSXではこの問題にも対処可能です。そのコツは大きく2つあります。

• 極力IPアドレスをベースとしたグループ分けやファイアウォールルール定義を行わないこと
• ファイアウォールルール作成に "カテゴリー" を活用すること

NSX がもつ "動的メンバーシップ" と "タグ" を使いこなし、各仮想マシンやアプリケーションのグルーピングを実施し、これらグループに対してファイアウォールルールを適用する事で、新たに追加した仮想マシンに対して自動的にルール適用が可能となります。もちろん IP アドレスに依存しないルール定義のため、仮想マシンの IP アドレスに変更があったとしてもルールを変更することなくポリシーを維持することが可能です。また、ファイアウォール設計ではカテゴリーを意識したルール作成も非常に重要です。カテゴリーを活用することで、ルールの運用管理負荷軽減やルール数自体の削減が可能です。この辺りの設計に関するベストプラクティスはこちらのブログで解説されていますので、ぜひ参考にしてみてください。

既知の脅威検知と防御
NSX 分散 IDS/IPS

ここまでゲートウェイファイアウォールと分散ファイアウォールにて攻撃対象領域の極小化を実施してきましたが、残念ながらファイアウォール機能だけでは全ての脅威から仮想マシンを守ることはできません。あくまで攻撃対象領域の極小化にすぎません。脆弱性を利用したセキュリティ侵害の場合、攻撃者は許可されているプロトコルで、許可している他のホストに、いつもと変わらないトラフィック量で攻撃を仕掛けてきます。

このような攻撃にはNSX 分散 IDS/IPS が有効です。NSX 分散 IDS/IPS は分散ファイアウォール同様、ビルトイン型セキュリティとしてハイパーバイザーに組み込まれた形で提供されており、各仮想マシンの vNIC 単位でトラフィックの精査を行います。 大まかな特徴としては以下の通りです。

• 特別な設計が不要でNSX マネージャの簡単な操作で分散 IDS/IPS の利用が可能
• シグネチャ型＋振る舞い検知型による高度な攻撃検出
• ファイアウォールと同様に動的メンバーシップやタグを用いたルール定義が可能*
• 仮想マシン毎に必要なシグネチャのみを適用可能、効率的なリソース利用を実現
• 精査のためのヘアピン通信やトラフィック制御は不要
• 分散IDS/IPS は各ホストのハイパーバイザー上で動作するため冗長化設計や構成が不要
• ネットワーク設計と構成がシンプルになる

* 仮想マシンの追加や削除、移動に対しても自動的に追従可能であり再設定は不要

つまり、NSX 分散 IDS/IPS では大きなコストをかけず、迅速にシステム内の脅威拡散といった内部行為の検知や防止を実現、全ての仮想マシン間トラフィックを抜け漏れなく簡単に精査する事が可能になります。また、脆弱性があるアプリケーションに対し、何らかの理由ですぐに対処ができない場合、本機能による "仮想パッチ" の仕組みが効果的です。

具体的な仮想パッチの利用例として、冒頭で触れた Apache Log4j への対策がこちらのブログにて解説されています。ご興味がある方は是非チェックしてみてください。

未知の脅威検知と防御
NSX Sandbox

サイバー攻撃の手口は日々進化し続けており、標的型攻撃では汎用的なマルウェアではなく攻撃対象に照準を合わせて作り込まれた新種のマルウェアが利用されることも少なくありません。従来のシグネチャに基づく悪性ファイル検知率は年々低下しており、この手のゼロデイ攻撃に対する未知の脅威検知と防御にサンドボックス技術は欠かせないものとなっています。もちろん NSX でもサンドボックス機能を提供しています。

マルウェアの検出手順として、まずデータセンター内にてローカル解析を実施します。ファイル構造やファイルハッシュのチェック、静的解析 （ファイルやスクリプトを読み込みその内容をデータベースと照合） を実施し検体が良性なのか悪性なのかを判断します。ローカル解析で良性 or 悪性の判断がつかなかった場合は、次のステップとして検体をクラウドへ送信、クラウド上のサンドボックスで動的解析を実施します。ヴイエムウェアのサンドボックスは "フルシステムエミュレーション" と呼ばれる高度なサンドボックスを利用している事が特徴です。従来型の仮想マシンベースのサンドボックスではCPU、メモリ、I/Oなどの命令を見ることができず、一部のマルウェアはこの手のサンドボックスによる検知を回避してしまいます。ヴイエムウェアではサンドボックスの検知能力向上目的として、従来型仮想マシンベースのサンドボックス利用しつつも、全ての命令を見る事ができるフルシステムエミュレーションサンドボックスを用いたハイブリッドサンドボックス環境にて検体の深層解析を実行し「高い検出能力」と「低い誤検知率」を実現しています。

クラウド上の動的解析にて検体が悪性と判断された場合、直ちにその情報がデータセンター内の NSX へ伝えられ遮断されます。このような未知の疑わしい検体は、全世界のNSX 環境からクラウドへ集められ解析、そして全 NSX 環境へ共有されていく仕組みとなるため、日々絶え間なく進化していくマルウェアに即座に対応可能となっています。

不審なネットワークトラフィックの早期検出と可視化
NSX Network Traffic Analysis （NTA）

セキュリティ侵害に備え、異常なアクティビティや悪意ある動作に関する不審なネットワークトラフィックの早期検出もデータセンターセキュリティの向上には欠かせません。NSX Network Traffic Analysis （NTA） では仮想マシン間でやりとりされるパケットをコピーし、この情報を機械学習にかけることでベースラインを作成、ベースラインから逸脱した通信を異常として検知 （アノマリー検知） することが可能です。

NTA センサーはこれまでご紹介した分散ファイアウォールや分散 IDS/IPS 同様、ビルトイン型セキュリティとしてハイパーバイザーに組み込まれています。そのため、ポートミラーリングのためのネットワーク設計や物理スイッチでの設定が不要となり容易な導入を実現します。また、物理スイッチで行うポートミラーリングでは、同一ホスト内の仮想スイッチに接続された仮想マシン間通信に対応できませんが、NSX NTA では問題なく利用する事ができます。一つご注意いただきたい点は、本機能を利用するためには別途 NSX intelligenceの機能 （コレクターとして動作）を有効にする必要があることです。

NTAで検知した不審なネットワークトラフィック情報はNSX マネージャより確認することが可能です。脅威レベルや攻撃手法、関与した仮想マシン間でどのような通信が行われていたのかなどを俯瞰的に可視化することができ、攻撃と疑われるアクティビティの早期検出を実現、データセンターセキュリティをより向上させることが可能です。

脅威侵入を前提とした高度なネットワークセキュリティ
NSX Network Detection and Response （NDR）

Network Detection and Response （NDR） とは「複雑かつ巧妙化するサイバー攻撃は、もはや事前に全てを防ぐ事はできない、侵入される」ということを前提にし、ネットワーク上で進行中の攻撃アクティビティの検知と可視化を実行、損害が生じる前に阻止することを目的としたソリューションです。先にご説明した NTAと非常に似ていますが、ヴイエムウェアの NDR は NTA をより高度化したものとして以下のような特徴があります。

• NDR 相関分析の元となるシステム情報は NTA に加え IDS/IPS およびサンドボックスの情報を利用
• 上記システム情報に加え、VMware Threat Analysis Unit の知見や外部機関との連携で得られた情報も追加 （Global Thread Intelligence）
• この教師ありの AI 解析をクラウド上で実行し、誤検知・過検知を極限まで削減、本当の脅威のみを検出
• MITRE ATT&CK フレームワーク* と照らし合わせ、攻撃者が実際に使用した攻撃手法や戦術を表示

* アメリカ連邦政府の資金提供うける NPO である MITRE社の 「ATT&CK™」フレームワーク内では、攻撃者グループが実際に使用した攻撃手法や戦術をナレッジベースとして整理し公開しています。

NDR では攻撃者がどこから攻撃を始め、データセンター内の複数の仮想マシンに渡ってどのような攻撃をしたのか、そしてその攻撃がどの段階まで進んでいるのかなど、一連の攻撃キャンペーンを NSX マネージャ上で可視化、脅威の早期検出とトリアージ* に大きく貢献します。

* 発生しているセキュリティ侵害の重要性や緊急性を見極め、対応の必要性判断や対処すべき箇所の優先順位づけを行う事

NSX NDR は第三者機関のSE Labs のテストにて、最高評価となる「AAA」認定を獲得しています。

今回はネットワークという面で防御するデータセンターセキュリティの強化についてお伝えしました。VMware NSXはデータセンターに必要なあらゆるセキュリティ機能を提供するだけでなく、これら機能とポリシーを一元管理できる優れたソリューションです。昨今、急速に高まりつつある企業のサイバーセキュリティ強化のニーズにいち早く応えるべく、是非 NSXをご活用頂ければ幸いです。