Hoy en día todos somos vulnerables a ser afectados por comportamientos maliciosos en nuestros sistemas por aplicaciones que ejecutan extensiones maliciosas las cuales pueden causar grandes dolores de cabeza en nuestros equipos.
VMware AppDefense nos ayuda a proteger nuestras aplicaciones creando patrones de comportamiento deseados para formar una linea de base y asegurar la integridad y seguridad de nuestro ambiente de Data Center Virtual SSDC.
En este articulo les explicare las características, arquitectura e integración con terceros de esta herramienta desarrollada por VMware.
Características
- Visibilidad y control de la aplicación: identifica automáticamente el comportamiento de una aplicación en circunstancias de uso normales y genera una línea de base en función de sus patrones esperados.
- Detección y control de anomalías automatizada: monitoreo constantemente de la actividad de la aplicación contra la línea de base para verificar si existe alguna desviación asociada con posibles comportamientos maliciosos.
- Acciones de remediacion: si se detectan anomalías, se ejecutaran acciones de remediación a las maquinas virtuales. Las mismas pueden ser: mover a cuarentena, suspender, apagar, bloquear trafico, tomar un snapshot para futuro análisis o simplemente generar una alerta.
- Mejora en las políticas de seguridad internas: la integración de NSX Data Center permite crear políticas de seguridad que se aplicaran a las maquinas virtuales basados en los patrones de comportamiento y detección de anomalías en las aplicaciones. NSX integrado con AppDefense no es mandatorio, pero si se hace lograremos crear una doble protección contra amenazas casi imposible de romper.
Arquitectura
AppDefense Firewall trabaja en conjunto con la nube publica de AWS así como también en el entorno de nube privada local.
En la nube privada local se tendrá una maquina virtual llamada AppDefense Appliance, la cual actuará como un servidor proxy para la conexión con AWS.
Desde un panel de administración existente en AWS el administrador ejecutara los análisis del trafico y acciones de remediación.
La captura de trafico se logra por medio de un agente instalado en cada maquina virtual, así como también en cada hipervisor ESXi. Estos agentes se encargan de enviar el trafico hacia AppDefense Appliance. A su vez, se ejecutarán dentro de un espacio de memoria seguro para garantizar su autenticidad.
Por ultimo, pero no menos importante esta vCenter que se integrara a la solución con el Plug-in AppDefense; este permite la conexión con AWS para obtener estadísticas del ambiente. En la siguiente imagen podemos ver la arquitectura antes mencionada:
Integración con terceros
- IBM Security: permite el monitoreo las alarmas de AppDefense directamente en la consola de IBM QRadar. permitiendo entender y responder a amenazas avanzadas e internas que se extienden tanto en entornos locales como en la nube.
- Carbon Black: con la clasificación por reputación se logra saber que comportamientos requieren verificación adicional y cuáles pueden ser pre-aprobados. Ademas con la lista blanca de reputación se reduce el número de falsos positivos.
- Secure Works: con el uso de SecureWorks Cloud Guardian ™, se ofrecerán capacidades de detección, validación y respuesta de seguridad en el entorno virtual. También con la inteligencia global se podrán desarrollar, ajustar y aplicar las políticas de seguridad que protegen los entornos virtuales.
- Puppet: con el uso de la versión Entrepise, se tendrá visibilidad y visión de la configuración deseada de las máquinas virtuales, ayudando a distinguir entre cambios autorizados y comportamientos maliciosos.
- Aqua Security: permite transmisión en tiempo real de alertas y eventos para auditoria y estadísticas.
AppDefense es una herramienta avanzada para la detección de amenazas de red que son mas comunes y complejas día con día. Por lo que debemos tener personal capacitado para el uso de estas nuevas tecnologías de seguridad.
