Zero Trust เป็นคำที่เราได้ยินอยู่บ่อยครั้งในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ดี Zero Trust เป็นคอนเซปต์ที่ไม่สามารถเกิดขึ้นได้โดยผลิตภัณฑ์เพียงตัวเดียว แต่ต้องมีการบูรณาการในทุกๆจุดของการใช้งาน สำหรับ VMware เองได้จัดงานสัมมนาในครั้งนี้ขึ้นเพื่อแนะนำและให้ความรู้เกี่ยวกับผลิตภัณฑ์ NSX ที่สามารถตอบโจทย์การทำ Zero Trust ขององค์กรได้ในหลายๆส่วน
‘Trust Nothing, Verify Everything’ — ใจความสำคัญของ Zero Trust ก็คือการไม่ให้ความไว้วางใจหรือเชื่อในสิ่งใด ซึ่งทุกการเข้าใช้งานจะต้องถูกตรวจสอบทั้งหมด อย่างไรก็ดีในยุคปัจจุบัน Attack Landscape ขององค์กรได้เปลี่ยนไปมาก ด้วยสาเหตุเพราะวิถีการทำงานแบบใหม่ (Work Anywhere) ที่ต้องเปิดให้มีการเข้าใช้งานจากทางไกล ซึ่งต้องเจอกับอุปกรณ์แปลกใหม่ เช่น IoT หรืออุปกรณ์ส่วนตัวของพนักงาน ดังนั้นจึงสร้างความท้าทายให้แก่องค์กรที่ต้องการทำ Zero Trust ไม่น้อยเลยทีเดียว
NIST ได้ให้คำนิยามของ Zero Trust ว่าไม่ใช่เพียงแค่ผลิตภัณฑ์ใดตัวหนึ่ง แต่เป็นโมเดลการป้องกันที่ประกอบด้วยปัจจัย 3 ประการที่ต้องทำให้ได้ ประการแรกต้องสามารถปกป้องการคืบคลานของภัยคุกคามในองค์กร (Lateral Movement) ซึ่งเป็นกิจกรรมของคนร้ายที่เข้าสู่องค์กรได้แล้วและพยายามขยายวงการโจมตีไปยังจุดอื่นในองค์กร
ประการที่สองต้องมีโมเดลด้าน Security ย่อยๆที่สำหรับในแต่ Workload ได้ ประการสุดท้ายต้องสามารถ Provision Security Control ได้อย่างอัตโนมัติ ทั้งหมดนี้คือปัจจัยที่ขาดไม่ได้ในการหลอมรวมกันเป็น Zero Trust ที่แท้จริง
ปัญหาของการป้องกันแบบเดิมๆ
สิ่งที่เห็นได้ชัดสำหรับ Infrastructure ในการป้องกันองค์กรแบบเก่า ก็คือสนใจแค่ทราฟฟิคระหว่าง North-West หรือข้อมูลที่ไหลเข้า-ออกองค์กรเท่านั้น จึงมักให้ความสำคัญกับการจัดหา Firewall เพื่อดูแลข้อมูลเหล่านั้นเป็นหลัก แต่อันที่จริงข้อมูลส่วนใหญ่เกิดขึ้นจากทราฟฟิคภายในหรือ South-East นั่นหมายความว่าองค์กรกำลังมองข้ามภัยอันตรายส่วนนี้ไป
ไม่เพียงเท่านั้นองค์กรจะต้องเผื่อ Firewall ให้มีขนาดใหญ่ไว้ก่อนเพื่อรองรับการขยายตัว และแทบเป็นไปไม่ได้เลยหากวันหนึ่งต้องการเปลี่ยนกลยุทธ์เพื่อทำ Segmentation ระหว่างทราฟฟิคภายใน เพราะเป็นเรื่องยุ่งยากที่ต้องมีการทำ Virtual Lan แถมยังกินประสิทธิภาพของ Firewall อย่างมาก ในที่สุดจึงตามมาด้วยการลงทุนเพิ่มมหาศาล ด้วยเหตุนี้เองจึงเป็นที่มาของโซลูชัน Software-defined Firewall หรือ VMware NSX
VMware NSX
VMware NSX เป็นมากกว่าโซลูชันด้าน Security แต่เป็นรวบรวมความสามารถมากมายในการป้องกันเครือข่าย ที่สอดคล้องกับนิยามจาก NIST ที่กล่าวไปแล้วข้างต้น โดยความสามารถหลัก 3 ส่วนที่ VMware นำเสนอในครั้งนี้คือ
1.) Segmentation
คำว่า Segmentation นี้ครอบคลุมไปถึงคำโฆษณาทางการตลาดต่างๆ ไม่ว่าจะเป็น Micro-segmentation, Network Segmentation, Application Re-zoning และ Distributed Firewall ต่างอยู่ในหัวข้อที่ VMware NSX นำเสนอ โดยฟีเจอร์ที่สำคัญมีดังนี้
- สามารถสร้าง Rule ให้มีผลตามช่วงเวลา
- ความสามารถ Applied To ช่วยบังคับใช้กับเป้าหมายได้มากกว่า Firewall ทั่วไป
- รองรับการคัดกรองของ FQDN หรือ URL Filtering ทั้งแบบกำหนด URL ตายตัวหรือเลือกจากประเภทของทราฟฟิค
- เข้าใจทราฟฟิคระดับ L7 เช่น กำหนดให้อนุญาตเฉพาะ Https ที่ใช้งาน TLS 1.2 ขึ้นไป
- NSX-I (Intelligence) ในกรณีที่แอดมินไม่ทราบว่าจะเริ่มต้นตั้งค่า Rule อย่างไร NSX สามารถช่วยทำ Rule Recommendation ให้ได้ เพียงแค่สร้างให้ระบบได้เรียนรู้ทราฟฟิคในช่วงเวลาและเป้าหมายที่สนใจ
- NSX-T ยังสามารถมองเห็น Network Topology ได้ลึกลงไปถึงระดับ Container ภายใน
- Firewall for Container อีกเรื่องที่องค์กรกำลังมองหาคือความสามารถในการป้องกัน Container ซึ่ง NSX ได้มีความสามารถนี้ให้อยู่แล้ว โดยมีปลั๊กอินที่สามารถคุยกับ SDN และสามารถบริหารจัดการได้จาก Security Admin หรือมอบหมายให้เป็นหน้าที่ของ DevOps โดยตรงก็ได้เช่นกัน
- NSX ยังสามารถทำ Micro-segmentation ที่มองไปถึงคลาวด์ได้ เพื่อการบังคับใช้ Policy ได้ในทุกสภาพแวดล้อม ในรูปแบบของ Cloud Enforcement และ NSX Enforcement
2.) IDS/IPS
NSX ยังมาพร้อมกับความสามารถ IDS/IPS เรียบร้อยแล้ว ซึ่งปกติต้องลงทุนอีกมาก ทำให้องค์กรอาจจะหลีกเลี่ยงหรือให้ความสำคัญน้อยลงมา สำหรับความโดดเด่นของฟีเจอร์นี้คือ
- เปิดใช้งานได้ง่าย (เพียงกดเปิดตามภาพประกอบด้านบน)
- สำหรับเครื่องใดที่ไม่ต้องการ Join เข้ามา สามารถใช้โหมด Standalone เข้ามาดูแลตรงนี้ได้
- มี Signature บางส่วนของ OWASP มาให้ ซึ่งปกติแล้วเป็นหน้าที่ของ Web Application Firewall ในผลิตภัณฑ์รายอื่น
- สามารถป้องกันการ Lateral Movement ภายในองค์กร
- สามารถเปิดโหมด Passive เพื่อให้ตรวจจับความผิดปกติก่อน โดยไม่มีการบล็อกที่อาจไปรบกวนการทำงาน เมื่อมั่นใจแล้วค่อยเปิดให้บล็อกจริงภายหลัง
- สามารถตรวจจับมัลแวร์ได้ในระดับ Hypervisor
3.) NTA / NDR
จากการเข้าซื้อกิจการของ Lastline ผู้เชี่ยวชาญด้านเทคโนโลยี Anti-malware และ Network Traffic Analysis & Respond ซึ่ง VMware ได้เพิ่มเข้ามานำเสนอภายใต้ NSX โดยฟีเจอร์ที่น่าสนใจของ Advanced Threat Protection นี้คือ
- กลไกของ NTA ในการวิเคราะห์ข้อมูลคือการใช้ machine learning มาประมวลผล 2 ส่วน ในตอนแรกที่ยังไม่รู้ทราฟฟิคแน่ชัดจะคัดแยกด้วย Unsupervised Model หลังจากนั้จะทำการลด False Positive ต่อด้วย Supervised Model
- กลไกการทำ Network Sandboxing ของ VMware นั้นลึกซึ้งกว่าปกติ เพราะทั่วไปแล้วการมัลแวร์หลายตัวสามารถตรวจจับการจำลองสภาพแวดล้อมในระดับ OS ได้ แต่เทคโนโลยีของ VMware ได้ลงลึกไปจนถึงการ Emulate Hardware และ Hypervisor ที่ทำให้มัลแวร์ไม่สามารถจำแนกได้ว่าเป็นสภาพแวดล้อมจำลอง
- มีการนำเสนอโซลูชันทั้งในรูปแบบของ On-premise และคลาวด์
สำหรับความสามารถทั้งหมดที่กล่าวมาของ NSX ในครั้งนี้จะเห็นได้ว่าครอบคลุมโจทย์ส่วนใหญ่ขององค์กร ซึ่งการทำงานยังสามารถเป็นไปได้อย่างอัตโนมัติ ทั้งนี้จึงตอบโจทย์ Zero Trust ตามนิยามทั้ง 3 ประการจาก NIST ดังนั้นจะดีกว่าไหมหากท่านสามารถเริ่มทำ Zero Trust ได้ตั้งแต่วันนี้ด้วย VMware NSX ที่ครบ จบ ง่าย และลงทุนต่ำกว่าวิธีการแบบเดิมๆ