Инженеры VMware разработали брандмауэр, который защищает сети на уровне приложений. Его будут использовать IaaS-провайдеры и операторы дата-центров. Сегодня мы расскажем, из каких компонентов состоит новое решение.
Зачем понадобился новый файрвол
Прежде чем перейти к рассказу о принципах работы системы VMware, поговорим о том, почему она появилась. ИТ-инфраструктура современных компаний строится на множестве сервисов, объединенных в общую сеть. Чем сложнее архитектура, тем больше у хакеров потенциальных векторов для атаки. Классические файрволы хорошо защищают от атак извне, но бессильны, если хакеру удалось проникнуть в сеть. В этом случае злоумышленники могут нанести серьезный ущерб бизнес-процессам компании. Чтобы защитить ИТ-инфраструктуру от атак изнутри, в VMware и разработали сервисно-определяемый файрвол. Он использует системы искусственного интеллекта для поиска аномальной активности в сети.
Как он устроен
Основу сервисно-определяемого файрвола составляет платформа для виртуализации NSX Data Center и сервис безопасности AppDefense. Первый компонент управляет SD-WAN в дата-центре и отвечает за настройку политик безопасности сетевого экрана. Второй компонент строит поведенческую модель приложений и сервисов, а интеллектуальные алгоритмы анализируют ход их работы и, используя телеметрию VMware, составляют «белый список» выполняемых действий. AppDefense использует этот список в качестве референса при мониторинге сети. Если система обнаруживает отклонения в работе приложения, то сразу сообщает о них оператору дата-центра.
Файрвол VMware не привязан к архитектуре и аппаратному обеспечению дата-центра (так как использует средства vSphere и NSX), и его можно развертывать в гибридной и мультиоблачной среде. Одним из потенциальных недостатков сервисно-определяемого файрвола эксперты называют необходимость развертывания SD-WAN. Это сложная процедура, требующая модификации бизнес-процессов и существующей ИТ-инфраструктуры, — не у всех компаний есть на это ресурсы. VMware проверяла эффективность своего решения только против наиболее распространенных типов кибератак (например, фишинга). До конца не ясно, как система поведет себя в более сложных ситуациях вроде атак с инъекцией вредоносного кода. Но можно ожидать, что VMware проверят возможности своей системы на подобных задачах уже в ближайшем будущем.
Кто разрабатывает похожие решения
Кроме VMware файрвол предоставляют Palo Alto Networks и Cisco. Компании разрабатывают новые технологии для защиты сетевого периметра на базе систем глубокого анализа трафика (DPI), утилит для предотвращения вторжений (IPS) и виртуализации частных сетей (VPN).
Платформа для защиты сетей от инженеров Palo Alto основана на нескольких специализированных сетевых экранах. Каждый из них отвечает за безопасность отдельной среды, например мобильной сети или облака. Работа этих экранов соответствует модели zero-trust, которая требует полного недоверия (и проверки) ко всем подключениям, независимо от источника. Что касается разработчиков из Cisco, то этот вендор предложил набор программных и аппаратных инструментов, анализирующих трафик на уровне сетевых протоколов. Они позволяют настраивать политики безопасности и используют базу уязвимостей для мониторинга отдельных приложений.
Выводы
По данным Panda Security, каждый день появляется 230 тыс. новых вредоносов. При этом аналитики из Cybersecurity Insiders говорят, что 84% организаций не верят в эффективность традиционных систем безопасности. Поэтому в VMware, Cisco и Palo Alto сделали ставку на интеллектуальные решения. ИТ-эксперты убеждены, что в будущем еще больше компаний будут предлагать брандмауэры, защищающие сети на уровне сервисов.