随着恶意软件和勒索软件黑客攻击的升级,业内每个人都对实施坚固的安全功能很敏感。 VMware 正在通过 NSX-T 3.2 响应这一呼吁,它不仅包括安全增强功能,还包括网络和云部署。 我们将所有新功能和增强功能写在了 以前的帖子.
随着恶意软件和勒索软件黑客攻击的升级,业内每个人都对实施坚固的安全功能很敏感。 VMware 正在通过 NSX-T 3.2 响应这一呼吁,它不仅包括安全增强功能,还包括网络和云部署。 我们将所有新功能和增强功能写在了 以前的帖子.
NSX-T 3.2 引入了新功能来识别和响应网络中的恶意软件和勒索软件攻击,增强用户识别和 L7 应用程序识别能力,同时简化部署。
VMware NSX 3.2 安全 – 分布式高级威胁防御 (ATP)
侵入网络设备的技术不断变得更加复杂。 这些攻击者不满足于单一的攻击过程,经常使用多种技术渗透网络,在网络内横向移动并窃取关键数据。 以前阻止这些黑客的方法充其量是微分段解决方案,仅专注于减少攻击面的访问控制,但肯定不足以提供针对当今使用的技术的保护。
VMware NSX-T 3.2 引入了多项专注于检测和预防网络内部攻击的新功能。 曾经,这种类型的安全性需要为每个网段设置一个物理网络分流器。 这些硬件分路器会破坏网络,如果发生故障,更换分路器将是一项艰巨的任务。 根本没有效率。
NSX-T 分布式恶意软件防护
VMware 于 2020 年收购的 Lastline 动态恶意软件技术与 NSX 分布式防火墙集成,提供分布式恶意软件预防解决方案。 通过将 Lastline 集成到管理程序内核中,嵌入式防火墙可以识别“已知恶意”和“零日”恶意软件。 与以前防御新版本恶意软件的方法相比,这是一个很大的改进。
分布式行为 IDPS
虽然入侵检测和防御系统 (IDPS) 主要提供基于签名的入侵检测,但 NSX 3.2 还引入了“行为”入侵检测功能。 当工作负载出现行为异常(例如 DNS 隧道或信标)时,此功能会提醒管理员,这可能会引起关注。
网络流量分析(NTA)
分布式 网络流量分析 (NTA) 在 NSX-T 3.2 中引入。 NTA 用于为网络范围的行为设定基线并识别聚合网络级别的异常行为。 例如,横向移动、可疑的 RDP 流量以及与 Active Directory 服务器的恶意交互等网络范围的异常可以提醒安全团队注意正在进行的攻击,并帮助他们快速采取补救措施。
网络检测和响应(NDR)
正如 ML/AI 在安全检测和预防方面创造新技术一样有用,黑客正在使用该技术来规避现有的安全工具。 这会导致警报过载,并导致疲劳。 让我们更深入地了解一下,因为 AI/ML 似乎无处不在。
人工智能与机器学习
人工智能试图复制智能的、类人的行为。 这可以使用机器学习来实现。 不包括机器学习的人工智能系统被认为是专家系统,因为这些技能是基于一系列捕获的规则。
机器学习 是一种特定类型的人工智能。 ML 系统分析大型数据集,对数据进行分类,并创建关于什么属于什么类别的规则。 ML 可用于分析网络行为数据,并根据一组定义的规则将其分类为正常或异常。
机器学习有两种形式: 有监督和无监督. 监督机器学习 涉及将输入变量映射到输出变量,以便对所分析的数据做出准确的预测。 当用作威胁检测时,ML 算法可以使用可疑行为和“恶意”类别分配来开发威胁分类器,然后使用该分类器来分析新样本。
In 无监督机器学习, 系统根据数据的特征将数据组聚集在一起。 结果是识别具有相似元素的组,使分析人员能够根据单个决策处理大量相似样本。
然后就是了 深度学习: a 使用神经网络而不是统计分析来分析数据的特定类型的机器学习。 深度学习特别擅长在大量数据中寻找分类。 但深度学习的劣势在于它对某些事物为何属于特定分组的解释力降低,例如为什么可执行文件是危险的。
正如供应商试图使用 AI/ML 工具创建安全系统一样,世界上的黑客也是如此。 他们使用迄今为止收集的数据并制造恶意行为。 这被称为对抗性学习,开发人员必须定义这些类型的攻击并创建块以防止它们入侵系统。
利用先进的 AI/ML 技术,NSX-T 3.2 网络检测与响应 解决方案整合了来自 IDS、NTA、恶意软件检测等不同检测系统的安全 IOC。 等等,以提供一个“活动视图”,说明当时正在发生的特定攻击。 MITRE ATT&CK 可视化帮助客户查看单个攻击杀伤链中的特定阶段,“时间序列”视图有助于了解促成网络攻击的事件顺序。
主要防火墙增强功能
在 NSX-T 3.2 中提供高级威胁防御功能的同时,为核心防火墙功能提供有意义的增强是一个同样重要的创新领域。
在 NSX-T 3.2 之前,工作负载连接到基于覆盖的 N-VDS 交换机端口和基于 VLAN 的交换机端口,客户必须先将 VLAN 交换机端口从 VDS 移动到 N-VDS,然后才能实施分布式防火墙。 借助 NSX-T 3.2,原生 VLAN DVPG 可按原样得到支持,无需迁移至 N-VDS。 实际上,分布式安全可以以完全无缝的方式实现,而无需修改任何网络结构。
借助 NSX-T 3.2,可以在 vCenter 中本地创建和修改分布式防火墙规则。 对于中小型 VMware 客户,此功能无需利用单独的 NSX Manager 界面。
NSX 在早期版本中支持基于用户身份的访问控制。 此新版本中引入了直接连接到支持用户身份映射的 Microsoft Active Directory 的功能。 对于不使用 Active Directory 用户身份验证的客户,NSX 支持将 VMware vRealize Log Insight 作为执行用户身份映射的另一种方法。 此增强功能适用于 NSX 分布式防火墙以及 NSX 网关防火墙.
分布式和网关防火墙的增强 L7 应用程序识别
签名集现已增加到大约 750 个应用程序。 与边界防火墙供应商不同,NSX 的重点是企业托管的内部应用程序,而不是 Internet 应用程序识别。 此增强功能适用于 NSX 分布式防火墙和网关防火墙。
NSX情报
NSX情报 提供网络内所有应用程序流量的可见性。 管理员创建微分段策略以减少攻击面。 处理管道对东西向流量进行重复数据删除、聚合和关联,以提供深入的可见性。
随着应用程序基础设施的增长,安全分析平台也必须随之增长。 这个新版本将服务从独立设备转移到由 Kubernetes 提供支持的容器化微服务架构。 这种架构变化使 NSX Intelligence 数据湖面向未来,并最终将解决方案扩展到 n 节点 Kubernetes 集群。 此更新使 NSX Intelligence 适合大型企业,尤其是在横向扩展功能方面。
NSX 网关防火墙
NSX 分布式防火墙侧重于网络内的东西向控制,而 NSX 网关防火墙用于保护进出区域的入口和出口流量。
NSX Gateway Firewall 在 3.2 版本中进行了更新,具有重要的高级威胁检测功能。 Gateway Firewall 现在可以识别进入或离开网络的已知和零日恶意软件。 此新功能基于 Gateway Firewall 与 Lastline 享有盛誉的动态集成 网络沙箱 技术。
接触恶意网站的内部用户和应用程序是一个必须解决的巨大安全风险。 此外,企业需要限制互联网访问以遵守企业互联网使用政策。
3.2 中的 NSX Gateway Firewall 还可以限制对 Internet 站点的访问,防止内部用户根据 URL 所属的类别或 URL 的“信誉”访问恶意站点。 类别和声誉映射的 URL 由 VMware 不断更新,因此即使在 Internet 站点发生多次更改后,客户意图也会自动执行。
总结
NSX-T 版本 3.2 显着增强了现有 NSX-T 的安全性。 NSX Gateway Firewall 的更新解决了来自外部黑客的持续威胁,同时也解决了监管对外部网站的内部访问的需求。 此版本更有趣的更新之一是围绕 AI/ML 以及如何利用它来分析流量和执行智能 IDPS、NTA、NDR 功能。 这为管理员提供了防止永远存在的黑客威胁的工具。
参与 StorageReview
电子报 | YouTube | 播客 iTunes/Spotify | Instagram | Twitter | Facebook | TikTok | RSS订阅
