Angesichts der Eskalation von Malware- und Ransomware-Hacks ist jeder in der Branche sensibel für die Implementierung eiserner Sicherheitsfunktionen. VMware reagiert auf diesen Ruf mit NSX-T 3.2, das nicht nur Sicherheitsverbesserungen, sondern auch Netzwerk- und Cloud-Bereitstellung umfasst. Wir haben über alle neuen Funktionen und Verbesserungen in einem geschrieben previous post.
Angesichts der Eskalation von Malware- und Ransomware-Hacks ist jeder in der Branche sensibel für die Implementierung eiserner Sicherheitsfunktionen. VMware reagiert auf diesen Ruf mit NSX-T 3.2, das nicht nur Sicherheitsverbesserungen, sondern auch Netzwerk- und Cloud-Bereitstellung umfasst. Wir haben über alle neuen Funktionen und Verbesserungen in einem geschrieben previous post.
NSX-T 3.2 führt neue Funktionen ein, um Malware- und Ransomware-Angriffe im Netzwerk zu identifizieren und darauf zu reagieren, die Benutzeridentifizierung und L7-Anwendungsidentifizierungsfunktionen zu verbessern und gleichzeitig die Bereitstellung zu vereinfachen.
VMware NSX 3.2-Sicherheit – Distributed Advanced Threat Prevention (ATP)
Die Techniken zum Hacken von Netzwerkgeräten werden immer ausgefeilter. Diese Angreifer geben sich nicht mit einem einzelnen Angriffsprozess zufrieden, sondern nutzen häufig mehrere Techniken, um in das Netzwerk einzudringen, indem sie sich seitlich innerhalb des Netzwerks bewegen und kritische Daten stehlen. Frühere Methoden, um diese Hacker zu vereiteln, waren bestenfalls Mikrosegmentierungslösungen, die sich ausschließlich auf die Zugriffskontrolle konzentrierten und die Angriffsfläche reduzierten, aber sicherlich nicht ausreichten, um Schutz vor den heute verwendeten Technologien zu bieten.
VMware NSX-T 3.2 führt mehrere neue Funktionen ein, die sich auf die Erkennung und Verhinderung von Angriffen innerhalb des Netzwerks konzentrieren. Früher war für diese Art der Sicherheit ein physischer Netzwerkabgriff für jedes Netzwerksegment erforderlich. Diese Hardware-Abzweige würden das Netzwerk stören und im Falle eines Ausfalls wäre der Austausch des Abzweigs mit großem Aufwand verbunden. Überhaupt nicht effizient.
Verteilte NSX-T-Malware-Prävention
Die dynamische Malware-Technologie von Lastline, die 2020 von VMware übernommen wurde, ist in die NSX Distributed Firewall integriert und bietet eine Lösung zur verteilten Malware-Prävention. Da Lastline in den Hypervisor-Kernel integriert ist, identifiziert die eingebettete Firewall sowohl „bekannte Schadsoftware“ als auch „Zero-Day“-Malware. Dies ist eine große Verbesserung gegenüber früheren Methoden zur Abwehr neuer Malware-Versionen.
Verteiltes Verhaltens-IDPS
Während das Intrusion Detection and Prevention System (IDPS) in erster Linie eine signaturbasierte Erkennung von Einbrüchen lieferte, führt NSX 3.2 auch „verhaltensbasierte“ Einbrucherkennungsfunktionen ein. Diese Funktion warnt Administratoren, wenn bei einem Workload Verhaltensanomalien wie DNS-Tunneling oder Beaconing auftreten, die Anlass zur Sorge geben könnten.
Netzwerkverkehrsanalyse (NTA)
Verteilt Analyse des Netzwerkverkehrs (NTA) wird in NSX-T 3.2 eingeführt. NTA wird verwendet, um netzwerkweites Verhalten zu ermitteln und anomales Verhalten auf aggregierter Netzwerkebene zu identifizieren. Netzwerkweite Anomalien wie beispielsweise Lateral Movement, verdächtiger RDP-Verkehr und böswillige Interaktionen mit dem Active Directory-Server können Sicherheitsteams auf laufende Angriffe aufmerksam machen und ihnen helfen, schnelle Abhilfemaßnahmen zu ergreifen.
Netzwerkerkennung und -antwort (NDR)
So nützlich ML/KI bei der Entwicklung neuer Techniken zur Sicherheitserkennung und -prävention auch ist, Hacker nutzen die Technologie, um bestehende Sicherheitstools zu umgehen. Dies führt zu einer Alarmüberlastung und daraus resultierender Müdigkeit. Schauen wir uns das etwas genauer an, denn KI/ML scheint überall zu sein.
KI vs. ML
Künstliche Intelligenz versucht, intelligentes, menschenähnliches Verhalten nachzubilden. Dies kann durch maschinelles Lernen erreicht werden. Ein KI-System, das kein maschinelles Lernen beinhaltet, wird als Expertensystem betrachtet, da die Fähigkeiten auf einer erfassten Reihe von Regeln basieren.
Maschinelles Lernen ist eine bestimmte Art von KI. ML-Systeme analysieren große Datensätze, kategorisieren die Daten und erstellen Regeln darüber, was in welche Kategorie gehört. ML kann verwendet werden, um Netzwerkverhaltensdaten zu analysieren und sie basierend auf einem definierten Regelsatz als normal oder anomal zu kategorisieren.
Maschinelles Lernen gibt es in zwei Varianten: beaufsichtigt und unbeaufsichtigt. Beaufsichtigtes ML beinhaltet die Zuordnung von Eingabevariablen zu Ausgabevariablen, um genaue Vorhersagen über die analysierten Daten zu treffen. Bei der Bedrohungserkennung könnten ML-Algorithmen verdächtiges Verhalten und eine „bösartige“ Kategoriezuweisung für die Entwicklung eines Bedrohungsklassifikators nutzen und diesen Klassifikator dann zur Analyse neuer Proben verwenden.
In unbeaufsichtigtes ML, Das System gruppiert Datengruppen basierend auf den Merkmalen dieser Daten. Das Ergebnis ist die Identifizierung von Gruppen mit ähnlichen Elementen, sodass ein Analyst eine große Anzahl ähnlicher Stichproben auf der Grundlage einer einzigen Entscheidung bearbeiten kann.
Und dann ist da noch was tiefes Lernen: a spezielle Art des maschinellen Lernens, bei der zur Analyse von Daten neuronale Netze anstelle statistischer Analysen verwendet werden. Deep Learning eignet sich besonders gut zum Finden von Klassifizierungen in großen Datenmengen. Der Nachteil von Deep Learning besteht jedoch darin, dass es nicht so gut erklären kann, warum etwas in eine bestimmte Gruppierung gehört, beispielsweise warum eine ausführbare Datei gefährlich ist.
So wie Anbieter versuchen, mithilfe von KI-/ML-Tools sichere Systeme zu schaffen, so versuchen es auch die Hacker auf der Welt. Sie nutzen die bisher gesammelten Daten und erzeugen bösartiges Verhalten. Dies wird als gegnerisches Lernen bezeichnet, und Entwickler müssen diese Angriffsarten definieren und Blöcke erstellen, um zu verhindern, dass sie in das System eindringen.
Der NSX-T 3.2 nutzt fortschrittliche KI/ML-Techniken Netzwerkerkennung und -antwort Die Lösung konsolidiert Sicherheits-IOCs aus verschiedenen Erkennungssystemen wie IDS, NTA und Malware-Erkennung. usw., um eine „Kampagnenansicht“ bereitzustellen, die bestimmte Angriffe veranschaulicht, die zu diesem Zeitpunkt im Spiel waren. Die MITRE ATT&CK-Visualisierung hilft Kunden, die spezifische Phase in der Kill-Chain einzelner Angriffe zu erkennen, und die „Zeitsequenz“-Ansicht hilft dabei, die Abfolge der Ereignisse zu verstehen, die zum Angriff auf das Netzwerk beigetragen haben.
Wichtige Firewall-Verbesserungen
Neben der Bereitstellung von Advanced Threat Prevention-Funktionen in NSX-T 3.2 ist die Bereitstellung sinnvoller Verbesserungen für Kern-Firewall-Funktionen ein ebenso wichtiger Innovationsbereich.
Vor NSX-T 3.2 mussten Kunden die VLAN-Switch-Ports von VDS auf N-VDS verschieben, bevor Workloads sowohl mit Overlay-basierten N-VDS-Switch-Ports als auch mit VLAN-basierten Switch-Ports verbunden waren, bevor eine verteilte Firewall durchgesetzt werden konnte. Mit NSX-T 3.2 werden native VLAN-DVPGs unverändert unterstützt, ohne dass auf N-VDS umgestellt werden muss. Tatsächlich kann verteilte Sicherheit völlig nahtlos erreicht werden, ohne dass Netzwerkkonstrukte geändert werden müssen.
Mit NSX-T 3.2 können verteilte Firewall-Regeln nativ in vCenter erstellt und geändert werden. Für kleine bis mittlere VMware-Kunden macht diese Funktion die Nutzung einer separaten NSX Manager-Schnittstelle überflüssig.
NSX unterstützte in früheren Versionen die benutzeridentitätsbasierte Zugriffskontrolle. In dieser neuen Version wurde die Möglichkeit eingeführt, eine direkte Verbindung zu Microsoft Active Directory herzustellen und die Benutzeridentitätszuordnung zu unterstützen. Für Kunden, die keine Active Directory-Benutzerauthentifizierung verwenden, unterstützt NSX VMware vRealize Log Insight als weitere Methode zur Durchführung der Benutzeridentitätszuordnung. Diese Funktionserweiterung gilt sowohl für NSX Distributed Firewall als auch für NSX-Gateway-Firewall.
Verbesserte L7-Anwendungsidentifikation für verteilte und Gateway-Firewalls
Der Signatursatz ist nun auf rund 750 Anwendungen erweitert. Im Gegensatz zu Perimeter-Firewall-Anbietern liegt der Schwerpunkt bei NSX auf internen Anwendungen, die von Unternehmen gehostet werden, und nicht auf der Identifizierung von Internetanwendungen. Diese Funktionserweiterung gilt sowohl für NSX Distributed Firewall als auch für Gateway-Firewalls.
NSX-Intelligenz
NSX-Intelligenz Bietet Transparenz für den gesamten Anwendungsverkehr im Netzwerk. Administratoren erstellen Mikrosegmentierungsrichtlinien, um die Angriffsfläche zu reduzieren. Die Verarbeitungspipeline dedupliziert, aggregiert und korreliert den Ost-West-Verkehr, um eine umfassende Transparenz zu gewährleisten.
Mit dem Wachstum der Anwendungsinfrastruktur muss auch die Sicherheitsanalyseplattform mitwachsen. Mit dieser neuen Version wurde der Dienst von einer eigenständigen Appliance auf eine von Kubernetes unterstützte Container-Mikroservice-Architektur umgestellt. Diese Architekturänderung macht den NSX Intelligence Data Lake zukunftssicher und wird die Lösung schließlich auf Kubernetes-Cluster mit mehreren Knoten skalieren. Dieses Update macht NSX Intelligence für große Unternehmen geeignet, insbesondere mit der Scale-out-Funktion.
NSX-Gateway-Firewall
Während sich die NSX Distributed Firewall auf die Ost-West-Kontrolle innerhalb des Netzwerks konzentriert, dient die NSX Gateway Firewall der Sicherung des ein- und ausgehenden Datenverkehrs in und aus einer Zone.
Die NSX Gateway Firewall in Version 3.2 wurde mit wichtigen erweiterten Bedrohungserkennungsfunktionen aktualisiert. Gateway Firewall kann jetzt sowohl bekannte als auch Zero-Day-Malware erkennen, die in das Netzwerk eindringt oder es verlässt. Diese neue Funktion basiert auf der Gateway-Firewall-Integration mit der renommierten Dynamik von Lastline Netzwerk-Sandbox Technologie.
Interne Benutzer und Anwendungen, die auf bösartige Websites zugreifen, stellen ein großes Sicherheitsrisiko dar, das angegangen werden muss. Darüber hinaus müssen Unternehmen den Internetzugang einschränken, um die unternehmensinternen Internetnutzungsrichtlinien einzuhalten.
NSX Gateway Firewall in 3.2 kann auch den Zugriff auf Internetseiten einschränken und interne Benutzer daran hindern, auf schädliche Websites zuzugreifen, basierend entweder auf der Kategorie, zu der die URL gehört, oder auf der „Reputation“ der URL. Die URL-zu-Kategorie- und Reputationszuordnung wird von VMware ständig aktualisiert, sodass die Absicht des Kunden auch nach vielen Änderungen auf den Internetseiten automatisch durchgesetzt wird.
Zusammenfassung
NSX-T Version 3.2 bietet erhebliche Verbesserungen der bestehenden NSX-T-Sicherheit. Aktualisierungen der NSX Gateway Firewall adressieren die anhaltende Bedrohung durch externe Hacker, berücksichtigen aber auch die Notwendigkeit, den internen Zugriff auf externe Websites zu überwachen. Eines der interessanteren Updates dieser Version befasst sich mit KI/ML und deren Einsatz zur Analyse des Datenverkehrs und zur Ausführung intelligenter IDPS-, NTA- und NDR-Funktionen. Dies stellt Administratoren die Tools zur Verfügung, mit denen sie die allgegenwärtige Hacking-Bedrohung verhindern können.
Beteiligen Sie sich an StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | TikTok | RSS Feed
