Opinion Brawte nfaq 0 Comments

VMwareの秘密のセキュリティ計画が明らかに

Table of Contents

VMwareの秘密のセキュリティ計画が明らかに

VMware は、セキュリティへの新しいアプローチを開発するという、同社が長らく示唆してきた計画である「Project Goldilocks」の実用的なプロトタイプを披露した。

この新しいアイデアは、ネットワーク仮想化製品NSXの「マイクロセグメント」作成機能に着想を得たものです。マイクロセグメントとは、ネットワークの他の部分から隔離された仮想ネットワークで、ポリシーで設定された通信のみを許可する「最小権限環境」です。マイクロセグメンテーションの人気はVMware社を驚かせましたが、ユーザーは、通信が制限されているため、たとえ不正侵入者が侵入したとしても、脱出が困難になるため、外部へのアクセスを完全に遮断する仮想ネットワークを作成できる点を高く評価しています。また、マイクロセグメントは仮想的なため、攻撃者が内部にいる間に排除することも可能です。

VMware のセキュリティ プランはマイクロセグメンテーションをベースにしており、その概念をコンピューティングとデータのセキュリティ保護に応用しています。

この考え方は、VMwareのセキュリティ製品担当シニアバイスプレジデント、トム・コーン氏が行ったVMworldセッション*の動画で説明されています。1時間にわたる講演で、コーン氏はエンドポイントセキュリティは近年、いや数十年もほとんど進歩していないとの見解を示しました。エンドポイントセキュリティは停滞しているものの、他のあらゆる要素が大幅に複雑化しているため、現在のセキュリティ対策では対応が困難になっているとコーン氏は言います。Webサーバーはストレージと通信する必要がないなど、ポリシーはシンプルですが、アプリがデータセンターの境界を越えて他のリソースにアクセスする際にそのポリシーを適用すると、計り知れないほどの複雑さが生じます。コーン氏によると、この複雑さにより、ファイアウォールでは23,000ものルールの実行が求められる場合もあるとのことです。

プロジェクト・ゴルディロックスは、アプリケーションがゴールド状態にある時に「出生証明書」を発行することを提唱しています。この証明書には、そのアプリケーションに許可されるすべての動作、想定される実行ファイル、アプリケーションが接続するネットワークインフラストラクチャ、そのネットワークに接続するために使用するポート、その他アプリケーションの状態を示すあらゆる情報が記載されている必要があります。

VMwareは、これらの想定される動作すべてをハイパーバイザーカーネル内から監視することを提案しています。この場所は、ホストVMやゲストVMとは異なる信頼ドメインであるため、この場所が選択されました。コーン氏は、攻撃者と同じ信頼ドメインから不正行為者を検出することは困難であり、阻止することもさらに困難であると述べています。

ハイパーバイザーカーネル内の適切な位置から、Goldilocks は、コーン氏が「マニフェスト」と呼ぶ、すべての想定される仮想マシンの「出生証明書」を監視し、ゲスト OS カーネル、プロセス、通信を監視する「アテステーションサービス」を提供します。仮想マシンがマニフェストで説明されていない動作をした場合、レッドフラグが立てられます。

Goldilocks デモで VM に関するコンソール レポートは次のようになります。

VMware プロジェクト ゴルディロックス コンソール

以下は、それが作成したレポートのクローズアップです。

VMwareプロジェクトのゴルディロックスレポート

次に何が起こるかというと、システム管理者やセキュリティ オペレーション センターの担当者が予期しない動作に関するアラートを受け取ると、VM の操作を隔離したり、強化したり、その他の方法で介入したりするためのオプションが提供されます。

VMwareプロジェクトのゴルディロックスアクション

コーン氏はまた、VMware はデータにも同様のアプローチを適用したいと考えており、侵害される可能性のあるネットワークを通過する際にデータを暗号化したり保護したりする方法に関するポリシーを実施する前に、データとその想定される用途や送信先を記述する予定だと述べた。

ハンマーを持っているときは...

昔から言われているように、ハンマーを持っているとすべてが釘に見える。そして、VMware にとっては、どんな問題も仮想化によって解決できるように見えることがよく観察されている。

しかし、コーン氏のアイデアは興味深い。今日のコンピューティングインフラのほとんどは、オープンな環境を想定して構築され、その後セキュリティが確保されているからだ。ハイパーバイザーは、より制約のある環境を提供するために設計された。つまり、VMwareはここで何か重要なことを掴んでいるのかもしれない。

コーン氏が言及しなかったのは、ゴルディロックスがいつ製品化されるかという点です。しかし、動画では実際のコードがライブで動作している様子が映し出されており、VMwareが販売可能な製品化に向けてかなりの距離を進んでいることは明らかです。何がいつ頃登場するのか、今後の展開を見守っていきたいと思います。®

*マイケル・デルの記者会見と同時開催されたセッションは、VMworldでは再放送されず、ここ数日でようやくオンラインで公開されました。また、提供されているビデオ品質による、ぼやけたスクリーンショットについてはお詫び申し上げます。

Opinion

Smart Recommendations

Discover More