vDefend DFW 1-2-3-4: разверните микросегментацию Zero Trust за несколько недель, чтобы быстро защитить рабочие нагрузки VMware VCF vDefend DFW 1-2-3-4: разверните микросегментацию Zero Trust за несколько недель, чтобы быстро защитить рабочие нагрузки VMware VCF Автор: Александр Самойленко Дата: 01/12/2025 Поддержите VM Guru! USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1 Статья:

При развертывании Zero Trust для быстрого устранения пробелов в безопасности и улучшения сегментации в существующей (brownfield) или новой (greenfield) среде, клиентам нужен предписывающий многоэтапный рабочий процесс сегментации, разработанный для постепенной защиты восточно-западного трафика в частном облаке VMware Cloud Foundation (VCF). vDefend предоставляет Distributed Firewall (DFW) 1-2-3-4 — автоматизированный рабочий процесс, который помогает администраторам безопасности системно укреплять защиту частного облака.

Теперь клиенты могут упростить и ускорить путь к Zero Trust с помощью структурированной последовательности этапов сегментации — от защиты критически важных инфраструктурных сервисов до защиты трафика между зонами и, в конечном итоге, достижения микросегментации на уровне приложений. Кроме того, со временем политики безопасности могут разрастаться и становиться неэффективными. Новая функция Firewall Rule Analysis эффективно устраняет это, анализируя правила DFW, чтобы организации могли поддерживать свои политики безопасности в компактном и действенном виде.

Почему комплексная сегментация стала насущной необходимостью

В условиях современной угрозы программ-вымогателей (Ransomware) защита только периметра оказалась недостаточной. Традиционные решения безопасности, такие как межсетевые экраны периметра, защищают только северно-южный трафик. С учётом того, что восточно-западный (латеральный) трафик приложений примерно в четыре раза превышает северно-южный, критически важно и срочно внедрять латеральную защиту, расширяя оборону за пределы периметра.

В результате значительная часть рабочих нагрузок частного облака остаётся уязвимой, позволяя злоумышленникам компрометировать недостаточно защищённые нагрузки и перемещаться латерально для поражения ключевых активов. В 2025 году кибератаки привели к значительным простоям бизнеса — от нескольких дней до недель — в различных отраслях (включая автомобилестроение, ритейл и производство), что вызвало финансовые потери в сотни миллионов.

Кроме того, злоумышленники используют технологии AI/GenAI для выявления слабых мест в корпоративных средах. Такие атаки, управляемые AI, становятся не только быстрее, но во многих случаях — автономными. Сейчас как никогда организациям необходимо быстрое внедрение сегментации. Однако многие сразу переходят к микросегментации на уровне приложений и сталкиваются со сложностями внедрения из-за отсутствия видимости взаимодействий приложений и длительной координации между инфраструктурными и прикладными командами. Им нужен управляемый путь Zero Trust, который позволит оперативно внедрить комплексную сегментацию для всех рабочих нагрузок.

Продукт VMware vDefend специально создан для автоматического обнаружения коммуникаций приложений, предоставления рекомендаций по правилам безопасности и проверки корректности политик без вмешательства в работу системы. Результат — сегментация на 360 градусов с встроенными автоматизированными рабочими процессами, включающими макро- и микросегментацию и непрерывный мониторинг — всё в предписывающем формате.

vDefend DFW 1-2-3-4

Практическое внедрение Zero Trust в дата-центре требует детальной видимости коммуникаций рабочих нагрузок, точного отображения зон и приложений, а также координации между несколькими IT-командами. vDefend делает этот процесс интуитивным и основанным на данных, обеспечивая оценку состояния сегментации в реальном времени. DFW 1-2-3-4 предоставляет единый, унифицированный рабочий процесс для планирования сегментации, автоматического тегирования и группировки, непрерывного мониторинга правил DFW до и после внедрения, а также оповещения об изменениях в политике их применения. Эта новая возможность использует аналитический движок, который обнаруживает коммуникационные паттерны, выявляет незащищённый трафик и рекомендует правила сегментации.

Клиенты могут:

• Ускорить внедрение микросегментации.
• Повысить эффективность с помощью автоматизированного многоэтапного процесса сегментации.
• Быстро и легко защитить рабочие нагрузки VCF.

4-этапный предписывающий путь развертывания сегментации

DFW предоставляет предписывающий 4-этапный процесс развертывания, который следует паттернам латерального трафика, чтобы быстро защитить каждый из них. Встроенные рекомендации отражают компоненты латерального трафика и категории политик внутри таблицы vDefend DFW.

Нажмите на картинку для открытия анимации:

Этап 1: Оценка сегментации безопасности и формирование отчёта

Администраторы могут активировать DFW 1-2-3-4, визуализировать кластеры хостов и сформировать отчёт по сегментации безопасности, который показывает текущее состояние защиты и выявляет возможности для улучшения. Подробнее об этой оценке можно узнать вот тут.

По мере завершения каждого этапа клиенты могут генерировать отчёт по сегментации безопасности, чтобы оценить свой текущий показатель сегментации. Этот показатель автоматически пересчитывается при любых изменениях в среде, обеспечивая постоянную обратную связь и помогая отслеживать прогресс со временем. Такая видимость позволяет командам демонстрировать измеримый прогресс на пути к Zero Trust и ясно представлять результаты руководству и аудиторам.

Этап 2: Сегментация инфраструктурных (общих) сервисов

Начните с базового слоя вашего датацентра — общих сервисов, таких как DNS, NTP, Syslog, SNMP, DHCP и LDAP/LDAPs. DFW 1-2-3-4 автоматически обнаруживает инфраструктурные сервисы, определяет их эндпоинты и позволяет пользователю проверить и автоматически создать правила защиты для этих сервисов. Пользователи также могут загрузить известные эндпоинты инфраструктурных сервисов через CSV-файл, чтобы система добавила их автоматически. Этот этап обеспечивает быстрый рост уровня безопасности при минимальных изменениях — идеальный простой способ для команд, начинающих путь к Zero Trust. Ограничение доступа к этим сервисам, особенно к DNS-серверам, позволяет устранить наиболее часто используемые каналы Command & Control (C&C) и пути эксфильтрации данных, которыми пользуются злоумышленники.

Этап 3: Сегментация среды (зоны)

После того как инфраструктурные (общие) сервисы защищены, пользователи могут перейти к определению границ среды (зон) — например, Development и Production. Пользователи могут импортировать эти метаданные с помощью CSV-файла. Система поддерживает CSV-файлы, экспортированные из CMDB-систем (например, ServiceNow) или даже из vCenter, либо пользователи могут создать CSV-файл по простому шаблону таблицы, предоставляемому DFW 1-2-3-4. Платформа назначает этим рабочим нагрузкам теги безопасности, проверяет взаимосвязи и предоставляет стандартные правила на уровне окружений через DFW, тогда как сегментация зон для существующих рабочих нагрузок с использованием традиционных межсетевых экранов требует сложной работы с сетями и IP-адресами.

Пользователи могут отслеживать утечки трафика между зонами и запрашивать у системы либо список такого трафика, либо набор рекомендуемых правил, для которых затем можно настроить исключения. DFW 1-2-3-4 постоянно мониторит такие утечки и уведомляет пользователей о необходимости принять меры при обнаружении новых. Этот этап обеспечивает изоляцию сред, минимизируя межзональное воздействие и усиливая общую защитную архитектуру организации.

Этап 4: Микросегментация приложений

Внедрение Zero Trust для трафика в датацентре требует определения контролей для каждого приложения. На этом этапе предусмотрены три шага:

• Определение границ приложений, которые затем преобразуются в теги и группы.
• Определение периметровых (ring-fencing) контролов приложения, определяющих, по каким портам и протоколам разрешено взаимодействие.
• Определение микросегментации внутри каждого приложения по уровням (web-фронтенд, сервер приложений, база данных).

Такая детализированная сегментация не только обеспечивает принцип наименьших привилегий, но и повышает устойчивость к восточно-западным угрозам.

Этап 4a: сопоставление рабочих нагрузок с приложениями

Пользователи могут загрузить в систему соответствие «ВМ - приложение» через CSV-файл. DFW 1-2-3-4 автоматически назначит теги и создаст группы приложений. Эти группы затем можно использовать для мониторинга и определения правил DFW.

Этап 4b: определение периметровых контролов приложений (ring-fencing)

После того как приложения получили теги, DFW 1-2-3-4 может осуществлять их мониторинг, а система — рекомендовать специфичные для приложений правила межсетевого экрана. Эти правила разрешают взаимодействие только между допустимыми сущностями, одновременно блокируя прочие нежелательные коммуникации и повышая защищённость приложений.

Этап 4c: непрерывный мониторинг трафика приложений и тонкая настройка микросегментации по уровням приложения

DFW 1-2-3-4 продолжает мониторить каждое приложение как до публикации правил, так и после. Система отслеживает метрики потоков приложения и состояние безопасности правил в режиме реального времени. Пользователи могут тонко настраивать правила для разных уровней приложения, постепенно укрепляя свою микросегментацию.

Миссия выполнена — макро- и микросегментация в рекордные сроки

С многоэтапным процессом DFW 1-2-3-4 развёртывание Zero Trust может быть выполнено всего за несколько недель — комплексно, системно и, что особенно важно, с уверенностью. Начав с первоначальной оценки с низкими показателями безопасности, итоговый высокий результат после внедрения подтвердит улучшение состояния безопасности организации.

Оптимизация правил межсетевого экрана с помощью анализа влияния правил (Rule Impact Analysis)

При сегментации большого количества приложений возникает значительное число политик безопасности, которые могут быть сложны в управлении. В отличие от традиционных правил межсетевого экрана, основанных на IP-адресах, vDefend упрощает и масштабирует политики безопасности за счёт групп и политик на основе тегов, а не IP-адресов. Тем не менее со временем политики безопасности могут становиться неоптимальными. Здесь в дело вступает анализ правил межсетевого экрана (Firewall Rule Analysis). Эта мощная функция анализирует правила DFW, обеспечивая эффективность и оптимальность политик безопасности.

Функция Firewall Rule Analysis в vDefend выявляет и помечает семь критически важных возможностей оптимизации правил: дублирующие правила, избыточные правила, возможности для консолидации правил, противоречащие правила, «теневые» правила, чрезмерно разрешающие правила и неэффективные правила. Такой откалиброванный анализ помогает устранить разрастание правил и исправить потенциальные ошибки конфигурации безопасности. Можно забыть о трудоёмких ручных скриптах или необходимости использования отдельных сторонних инструментов для анализа правил DFW в вашем частном облаке VCF. vDefend обеспечивает более быстрое и значительно более полное выявление как неправильных конфигураций межсетевого экрана, так и возможностей оптимизации правил — без каких-либо дополнительных затрат.