맬웨어 및 랜섬웨어 해킹이 증가함에 따라 업계의 모든 사람들은 철저한 보안 기능을 구현하는 데 민감합니다. VMware는 보안 향상뿐만 아니라 네트워킹 및 클라우드 배포도 포함하는 NSX-T 3.2로 이러한 요청에 응답하고 있습니다. 우리는 모든 새로운 기능과 향상된 기능에 대해 썼습니다. 이전 게시물.
맬웨어 및 랜섬웨어 해킹이 증가함에 따라 업계의 모든 사람들은 철저한 보안 기능을 구현하는 데 민감합니다. VMware는 보안 향상뿐만 아니라 네트워킹 및 클라우드 배포도 포함하는 NSX-T 3.2로 이러한 요청에 응답하고 있습니다. 우리는 모든 새로운 기능과 향상된 기능에 대해 썼습니다. 이전 게시물.
NSX-T 3.2는 네트워크에서 맬웨어 및 랜섬웨어 공격을 식별 및 대응하고 사용자 식별 및 L7 애플리케이션 식별 기능을 향상하는 동시에 배포를 간소화하는 새로운 기능을 도입했습니다.
VMware NSX 3.2 보안 - 분산 ATP(Advanced Threat Prevention)
네트워크 장치를 해킹하는 기술은 계속해서 정교해지고 있습니다. 단일 공격 프로세스에 만족하지 않는 이러한 공격자는 종종 여러 기술을 사용하여 네트워크에 침투하여 네트워크 내에서 횡적으로 이동하고 중요한 데이터를 훔칩니다. 이러한 해커를 저지하기 위한 이전 방법은 기껏해야 공격 표면을 줄이는 액세스 제어에만 초점을 맞춘 마이크로 세분화 솔루션이었지만 오늘날 사용되는 기술에 대한 보호를 제공하기에는 확실히 충분하지 않았습니다.
VMware NSX-T 3.2에는 네트워크 내부의 공격을 탐지하고 방지하는 데 중점을 둔 몇 가지 새로운 기능이 도입되었습니다. 한때 이러한 유형의 보안에는 각 네트워크 세그먼트에 대해 물리적 네트워크 탭이 필요했습니다. 이러한 하드웨어 탭은 네트워크에 지장을 줄 수 있으며 장애가 발생하면 탭을 교체해야 하는 무거운 작업을 의미합니다. 전혀 효율적이지 않습니다.
NSX-T 분산 맬웨어 방지
2020년 VMware에서 인수한 Lastline 동적 맬웨어 기술은 NSX 분산 방화벽과 통합되어 분산 맬웨어 방지 솔루션을 제공합니다. 하이퍼바이저 커널 내에 통합된 Lastline을 통해 내장된 방화벽은 "알려진 악성" 및 "제로데이" 멀웨어를 모두 식별합니다. 이것은 새로운 버전의 맬웨어를 방어하는 이전 방법에 비해 크게 개선된 것입니다.
분산 행동 IDPS
IDPS(Intrusion Detection and Prevention System)가 주로 서명 기반 침입 감지를 제공했지만 NSX 3.2는 "행동적" 침입 감지 기능도 도입했습니다. 이 기능은 예를 들어 우려의 원인이 될 수 있는 DNS 터널링 또는 비커닝과 같은 동작 이상을 워크로드에서 발견할 때 관리자에게 경고합니다.
네트워크 트래픽 분석 (NTA)
분산 네트워크 트래픽 분석 (NTA)는 NSX-T 3.2에서 도입됩니다. NTA는 네트워크 전체 동작의 기준선을 설정하고 집계된 네트워크 수준에서 비정상적인 동작을 식별하는 데 사용됩니다. 예를 들어 측면 이동, 의심스러운 RDP 트래픽, Active Directory 서버와의 악의적인 상호 작용과 같은 네트워크 전체의 이상 현상은 보안 팀에 진행 중인 공격에 대해 경고하고 신속한 수정 조치를 취하는 데 도움이 될 수 있습니다.
네트워크 감지 및 응답 (NDR)
ML/AI가 보안 탐지 및 방지에 새로운 기술을 만드는 데 유용한 만큼 해커는 이 기술을 사용하여 기존 보안 도구를 우회하고 있습니다. 이로 인해 경고 과부하가 발생하고 결과적으로 피로가 발생합니다. AI/ML은 어디에나 있는 것 같으니 좀 더 자세히 살펴보겠습니다.
AI 대 ML
인공 지능은 지능적이고 인간과 유사한 행동을 복제하려고 합니다. 이것은 기계 학습을 사용하여 달성할 수 있습니다. 기계 학습을 포함하지 않는 AI 시스템은 기술이 캡처된 일련의 규칙을 기반으로 하기 때문에 전문가 시스템으로 간주됩니다.
기계 학습 특정 유형의 AI입니다. ML 시스템은 대규모 데이터 세트를 분석하고, 데이터를 분류하고, 어떤 범주에 속하는지에 대한 규칙을 생성합니다. ML을 사용하여 네트워크 동작 데이터를 분석하고 정의된 규칙 집합에 따라 정상 또는 비정상으로 분류할 수 있습니다.
기계 학습에는 두 가지 종류가 있습니다. 감독 및 감독되지 않은. 감독된 ML 분석 중인 데이터에 대해 정확한 예측을 하기 위해 입력 변수를 출력 변수에 매핑하는 작업이 포함됩니다. 위협 탐지로 사용되는 경우 ML 알고리즘은 위협 분류자를 개발하기 위해 의심스러운 동작과 "악성" 범주 할당을 사용한 다음 해당 분류자를 사용하여 새 샘플을 분석할 수 있습니다.
In 감독되지 않은 ML, 시스템은 해당 데이터의 기능을 기반으로 데이터 그룹을 함께 클러스터링합니다. 그 결과 유사한 요소를 가진 그룹을 식별하여 분석가가 단일 결정을 기반으로 많은 수의 유사한 샘플을 처리할 수 있습니다.
그리고 거기에 딥 러닝: a 데이터 분석을 위해 통계 분석 대신 신경망을 사용하는 특정 유형의 기계 학습. 딥 러닝은 특히 많은 양의 데이터에서 분류를 찾는 데 좋습니다. 그러나 딥 러닝은 실행 파일이 위험한 이유와 같이 무언가가 특정 그룹에 속하는 이유에 대한 설명력이 감소한다는 단점이 있습니다.
공급업체가 AI/ML 도구를 사용하여 보안 시스템을 만들려고 시도하는 것처럼 전 세계의 해커도 마찬가지입니다. 지금까지 수집한 데이터를 사용하여 악의적인 행동을 만듭니다. 이를 적대적 학습이라고 하며 개발자는 이러한 유형의 공격을 정의하고 블록을 만들어 시스템에 침입하지 못하도록 해야 합니다.
고급 AI/ML 기술을 활용하는 NSX-T 3.2 네트워크 감지 및 대응 솔루션은 IDS, NTA, 맬웨어 탐지와 같은 다양한 탐지 시스템의 보안 IOC를 통합합니다. 등을 통해 해당 시점에 진행 중인 특정 공격을 보여주는 "캠페인 보기"를 제공합니다. MITRE ATT&CK 시각화는 고객이 개별 공격의 킬 체인에서 특정 단계를 볼 수 있도록 돕고 "시간 순서" 보기는 네트워크 공격에 기여한 이벤트 순서를 이해하는 데 도움이 됩니다.
주요 방화벽 개선 사항
NSX-T 3.2에서 Advanced Threat Prevention 기능을 제공하는 동시에 핵심 방화벽 기능에 대한 의미 있는 개선 사항을 제공하는 것도 똑같이 중요한 혁신 영역입니다.
NSX-T 3.2 이전에는 워크로드가 오버레이 기반 N-VDS 스위치 포트와 VLAN 기반 스위치 포트 모두에 연결되어 있었기 때문에 고객은 분산 방화벽을 적용하기 전에 VDS에서 N-VDS로 VLAN 스위치 포트를 이동해야 했습니다. NSX-T 3.2에서는 N-VDS로 이동할 필요 없이 기본 VLAN DVPG가 있는 그대로 지원됩니다. 효과적으로 분산 보안은 네트워킹 구성을 수정하지 않고도 완벽하게 원활한 방식으로 달성할 수 있습니다.
NSX-T 3.2를 사용하면 분산 방화벽 규칙을 vCenter 내에서 기본적으로 생성하고 수정할 수 있습니다. 중소 규모 VMware 고객의 경우 이 기능을 사용하면 별도의 NSX Manager 인터페이스를 활용할 필요가 없습니다.
NSX는 이전 릴리스에서 사용자 ID 기반 액세스 제어를 지원했습니다. 이 새 릴리스에서는 사용자 ID 매핑을 지원하는 Microsoft Active Directory에 직접 연결하는 기능이 도입되었습니다. Active Directory 사용자 인증을 사용하지 않는 고객을 위해 NSX는 사용자 ID 매핑을 수행하는 또 다른 방법으로 VMware vRealize Log Insight를 지원합니다. 이 향상된 기능은 NSX 분산 방화벽과 NSX 분산 방화벽 모두에 적용할 수 있습니다. NSX 게이트웨이 방화벽.
분산 및 게이트웨이 방화벽을 위한 향상된 L7 애플리케이션 식별
시그니처 세트는 이제 약 750개의 애플리케이션으로 향상되었습니다. 경계 방화벽 공급업체와 달리 NSX는 인터넷 애플리케이션 식별이 아닌 기업에서 호스팅하는 내부 애플리케이션에 중점을 둡니다. 이 향상된 기능은 NSX 분산 방화벽과 게이트웨이 방화벽 모두에 적용됩니다.
NSX 인텔리전스
NSX 인텔리전스 네트워크 내부의 모든 애플리케이션 트래픽에 대한 가시성을 제공합니다. 관리자는 마이크로 세분화 정책을 만들어 공격 표면을 줄입니다. 처리 파이프라인은 심층적인 가시성을 제공하기 위해 동서 트래픽을 중복 제거, 집계 및 연관시킵니다.
애플리케이션 인프라가 성장함에 따라 보안 분석 플랫폼도 함께 성장해야 합니다. 이 새로운 릴리스는 서비스를 독립형 어플라이언스에서 Kubernetes로 구동되는 컨테이너화된 마이크로 서비스 아키텍처로 옮겼습니다. 이 아키텍처 변경은 NSX Intelligence 데이터 레이크의 미래를 보장하며 궁극적으로 솔루션을 n노드 Kubernetes 클러스터로 확장합니다. 이 업데이트를 통해 NSX Intelligence는 특히 확장 기능이 있는 대기업에 적합합니다.
NSX 게이트웨이 방화벽
NSX 분산 방화벽은 네트워크 내의 동서 제어에 초점을 맞추는 반면 NSX 게이트웨이 방화벽은 영역으로 들어오고 나가는 수신 및 송신 트래픽을 보호하는 데 사용됩니다.
3.2 릴리스의 NSX Gateway Firewall은 중요한 Advanced Threat Detection 기능으로 업데이트되었습니다. Gateway Firewall은 이제 알려진 멀웨어와 네트워크로 들어오거나 나가는 제로데이 멀웨어를 모두 식별할 수 있습니다. 이 새로운 기능은 게이트웨이 방화벽과 Lastline의 평판이 좋은 동적 기능 통합을 기반으로 합니다. 네트워크 샌드박스 기술.
악의적인 웹 사이트에 접근하는 내부 사용자 및 애플리케이션은 해결해야 하는 엄청난 보안 위험입니다. 또한 기업은 기업 인터넷 사용 정책을 준수하기 위해 인터넷 액세스를 제한해야 합니다.
3.2의 NSX 게이트웨이 방화벽은 또한 인터넷 사이트에 대한 액세스를 제한하여 URL이 속한 범주 또는 URL의 "평판"을 기반으로 내부 사용자가 악의적인 사이트에 액세스하지 못하도록 합니다. 범주 및 평판 매핑에 대한 URL은 VMware에 의해 지속적으로 업데이트되므로 인터넷 사이트가 많이 변경된 후에도 고객 의도가 자동으로 적용됩니다.
요약
NSX-T 릴리스 3.2는 기존 NSX-T 보안을 크게 향상시킵니다. NSX 게이트웨이 방화벽에 대한 업데이트는 외부 해커의 지속적인 위협을 해결하지만 외부 웹 사이트에 대한 내부 액세스를 감시해야 할 필요성도 해결합니다. 이 릴리스에 대한 더 흥미로운 업데이트 중 하나는 AI/ML과 트래픽을 분석하고 지능형 IDPS, NTA, NDR 기능을 수행하는 데 어떻게 활용되고 있는지에 관한 것입니다. 이는 관리자에게 항상 존재하는 해킹 위협을 방지하는 도구를 제공합니다.
StorageReview에 참여
뉴스레터 | 유튜브 | 팟캐스트 iTunes/스포티 파이 | 인스타그램 | 트위터 | 페이스북 | 틱톡 서비스 | RSS 피드
