ADPT

สรุปงานสัมมนาออนไลน์ “Zero Trust with NSX Firewall and Advanced Threat Prevention”

Zero Trust เป็นคำที่เราได้ยินอยู่บ่อยครั้งในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ดี Zero Trust เป็นคอนเซปต์ที่ไม่สามารถเกิดขึ้นได้โดยผลิตภัณฑ์เพียงตัวเดียว แต่ต้องมีการบูรณาการในทุกๆจุดของการใช้งาน สำหรับ VMware เองได้จัดงานสัมมนาในครั้งนี้ขึ้นเพื่อแนะนำและให้ความรู้เกี่ยวกับผลิตภัณฑ์ NSX ที่สามารถตอบโจทย์การทำ Zero Trust ขององค์กรได้ในหลายๆส่วน

‘Trust Nothing, Verify Everything’ — ใจความสำคัญของ Zero Trust ก็คือการไม่ให้ความไว้วางใจหรือเชื่อในสิ่งใด ซึ่งทุกการเข้าใช้งานจะต้องถูกตรวจสอบทั้งหมด อย่างไรก็ดีในยุคปัจจุบัน Attack Landscape ขององค์กรได้เปลี่ยนไปมาก ด้วยสาเหตุเพราะวิถีการทำงานแบบใหม่ (Work Anywhere) ที่ต้องเปิดให้มีการเข้าใช้งานจากทางไกล ซึ่งต้องเจอกับอุปกรณ์แปลกใหม่ เช่น IoT หรืออุปกรณ์ส่วนตัวของพนักงาน ดังนั้นจึงสร้างความท้าทายให้แก่องค์กรที่ต้องการทำ Zero Trust ไม่น้อยเลยทีเดียว

NIST ได้ให้คำนิยามของ Zero Trust ว่าไม่ใช่เพียงแค่ผลิตภัณฑ์ใดตัวหนึ่ง แต่เป็นโมเดลการป้องกันที่ประกอบด้วยปัจจัย 3 ประการที่ต้องทำให้ได้ ประการแรกต้องสามารถปกป้องการคืบคลานของภัยคุกคามในองค์กร (Lateral Movement) ซึ่งเป็นกิจกรรมของคนร้ายที่เข้าสู่องค์กรได้แล้วและพยายามขยายวงการโจมตีไปยังจุดอื่นในองค์กร

ประการที่สองต้องมีโมเดลด้าน Security ย่อยๆที่สำหรับในแต่ Workload ได้ ประการสุดท้ายต้องสามารถ Provision Security Control ได้อย่างอัตโนมัติ ทั้งหมดนี้คือปัจจัยที่ขาดไม่ได้ในการหลอมรวมกันเป็น Zero Trust ที่แท้จริง

ปัญหาของการป้องกันแบบเดิมๆ

สิ่งที่เห็นได้ชัดสำหรับ Infrastructure ในการป้องกันองค์กรแบบเก่า ก็คือสนใจแค่ทราฟฟิคระหว่าง North-West หรือข้อมูลที่ไหลเข้า-ออกองค์กรเท่านั้น จึงมักให้ความสำคัญกับการจัดหา Firewall เพื่อดูแลข้อมูลเหล่านั้นเป็นหลัก แต่อันที่จริงข้อมูลส่วนใหญ่เกิดขึ้นจากทราฟฟิคภายในหรือ South-East นั่นหมายความว่าองค์กรกำลังมองข้ามภัยอันตรายส่วนนี้ไป

ไม่เพียงเท่านั้นองค์กรจะต้องเผื่อ Firewall ให้มีขนาดใหญ่ไว้ก่อนเพื่อรองรับการขยายตัว และแทบเป็นไปไม่ได้เลยหากวันหนึ่งต้องการเปลี่ยนกลยุทธ์เพื่อทำ Segmentation ระหว่างทราฟฟิคภายใน เพราะเป็นเรื่องยุ่งยากที่ต้องมีการทำ Virtual Lan แถมยังกินประสิทธิภาพของ Firewall อย่างมาก ในที่สุดจึงตามมาด้วยการลงทุนเพิ่มมหาศาล ด้วยเหตุนี้เองจึงเป็นที่มาของโซลูชัน Software-defined Firewall หรือ VMware NSX

VMware NSX

VMware NSX เป็นมากกว่าโซลูชันด้าน Security แต่เป็นรวบรวมความสามารถมากมายในการป้องกันเครือข่าย ที่สอดคล้องกับนิยามจาก NIST ที่กล่าวไปแล้วข้างต้น โดยความสามารถหลัก 3 ส่วนที่ VMware นำเสนอในครั้งนี้คือ

1.) Segmentation

คำว่า Segmentation นี้ครอบคลุมไปถึงคำโฆษณาทางการตลาดต่างๆ ไม่ว่าจะเป็น Micro-segmentation, Network Segmentation, Application Re-zoning และ Distributed Firewall ต่างอยู่ในหัวข้อที่ VMware NSX นำเสนอ โดยฟีเจอร์ที่สำคัญมีดังนี้

  • สามารถสร้าง Rule ให้มีผลตามช่วงเวลา
  • ความสามารถ Applied To ช่วยบังคับใช้กับเป้าหมายได้มากกว่า Firewall ทั่วไป
  • รองรับการคัดกรองของ FQDN หรือ URL Filtering ทั้งแบบกำหนด URL ตายตัวหรือเลือกจากประเภทของทราฟฟิค
  • เข้าใจทราฟฟิคระดับ L7  เช่น กำหนดให้อนุญาตเฉพาะ Https ที่ใช้งาน TLS 1.2 ขึ้นไป
  • NSX-I (Intelligence) ในกรณีที่แอดมินไม่ทราบว่าจะเริ่มต้นตั้งค่า Rule อย่างไร NSX สามารถช่วยทำ Rule Recommendation ให้ได้ เพียงแค่สร้างให้ระบบได้เรียนรู้ทราฟฟิคในช่วงเวลาและเป้าหมายที่สนใจ
  • NSX-T ยังสามารถมองเห็น Network Topology ได้ลึกลงไปถึงระดับ Container ภายใน
  • Firewall for Container อีกเรื่องที่องค์กรกำลังมองหาคือความสามารถในการป้องกัน Container ซึ่ง NSX ได้มีความสามารถนี้ให้อยู่แล้ว โดยมีปลั๊กอินที่สามารถคุยกับ SDN และสามารถบริหารจัดการได้จาก Security Admin หรือมอบหมายให้เป็นหน้าที่ของ DevOps โดยตรงก็ได้เช่นกัน
  • NSX ยังสามารถทำ Micro-segmentation ที่มองไปถึงคลาวด์ได้ เพื่อการบังคับใช้ Policy ได้ในทุกสภาพแวดล้อม ในรูปแบบของ Cloud Enforcement และ NSX Enforcement

2.) IDS/IPS

NSX ยังมาพร้อมกับความสามารถ IDS/IPS เรียบร้อยแล้ว ซึ่งปกติต้องลงทุนอีกมาก ทำให้องค์กรอาจจะหลีกเลี่ยงหรือให้ความสำคัญน้อยลงมา สำหรับความโดดเด่นของฟีเจอร์นี้คือ

  • เปิดใช้งานได้ง่าย (เพียงกดเปิดตามภาพประกอบด้านบน)
  • สำหรับเครื่องใดที่ไม่ต้องการ Join เข้ามา สามารถใช้โหมด Standalone เข้ามาดูแลตรงนี้ได้
  • มี Signature บางส่วนของ OWASP มาให้ ซึ่งปกติแล้วเป็นหน้าที่ของ Web Application Firewall ในผลิตภัณฑ์รายอื่น
  • สามารถป้องกันการ Lateral Movement ภายในองค์กร
  • สามารถเปิดโหมด Passive เพื่อให้ตรวจจับความผิดปกติก่อน โดยไม่มีการบล็อกที่อาจไปรบกวนการทำงาน เมื่อมั่นใจแล้วค่อยเปิดให้บล็อกจริงภายหลัง
  • สามารถตรวจจับมัลแวร์ได้ในระดับ Hypervisor

3.) NTA / NDR

จากการเข้าซื้อกิจการของ Lastline ผู้เชี่ยวชาญด้านเทคโนโลยี Anti-malware และ Network Traffic Analysis & Respond ซึ่ง VMware ได้เพิ่มเข้ามานำเสนอภายใต้ NSX โดยฟีเจอร์ที่น่าสนใจของ Advanced Threat Protection นี้คือ

  • กลไกของ NTA ในการวิเคราะห์ข้อมูลคือการใช้ machine learning มาประมวลผล 2 ส่วน ในตอนแรกที่ยังไม่รู้ทราฟฟิคแน่ชัดจะคัดแยกด้วย Unsupervised Model หลังจากนั้จะทำการลด False Positive ต่อด้วย Supervised Model
  • กลไกการทำ Network Sandboxing ของ VMware นั้นลึกซึ้งกว่าปกติ เพราะทั่วไปแล้วการมัลแวร์หลายตัวสามารถตรวจจับการจำลองสภาพแวดล้อมในระดับ OS ได้ แต่เทคโนโลยีของ VMware ได้ลงลึกไปจนถึงการ Emulate Hardware และ Hypervisor ที่ทำให้มัลแวร์ไม่สามารถจำแนกได้ว่าเป็นสภาพแวดล้อมจำลอง
  • มีการนำเสนอโซลูชันทั้งในรูปแบบของ On-premise และคลาวด์

สำหรับความสามารถทั้งหมดที่กล่าวมาของ NSX ในครั้งนี้จะเห็นได้ว่าครอบคลุมโจทย์ส่วนใหญ่ขององค์กร ซึ่งการทำงานยังสามารถเป็นไปได้อย่างอัตโนมัติ ทั้งนี้จึงตอบโจทย์ Zero Trust ตามนิยามทั้ง 3 ประการจาก NIST ดังนั้นจะดีกว่าไหมหากท่านสามารถเริ่มทำ Zero Trust ได้ตั้งแต่วันนี้ด้วย VMware NSX ที่ครบ จบ ง่าย และลงทุนต่ำกว่าวิธีการแบบเดิมๆ


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IEEEXtreme 15.0 เปิดรับสมัครผู้แข่งขัน ชิงเงินรางวัลรวมกว่า 60,000 บาทและสิทธิ์เข้าร่วม IEEE Conference ฟรีทั่วโลก พร้อมที่พัก 3 คืน

IEEE เปิดรับสมัครนิสิตและนักศึกษาเข้าร่วมการแข่งขัน IEEEXtreme 15.0 ซึ่งเป็นการแข่งเขียนโปรแกรมต่อเนื่อง 24 ชั่วโมง ชิงเงินรางวัลรวมกว่า $2,100 (ประมาณ 67,000 บาท) และสิทธิ์เข้าร่วม IEEE Conference …

Bitdefender ออก Universal Decryptor สำหรับเหยื่อของแรนซัมแวร์ REvil/Sodinokibi

Bitdefender ออก Universal Decryptor สำหรับผู้ประสบภัยจากแรนซัมแวร์ REvil/Sodinokibi ที่ถูกโจมตีก่อนวันที่ 13 กรกฏาคมที่ผ่านมา