Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

IDS対IPS:IDSとIPSの相違点



侵入検知システム(IDS)と侵入防御システム(IPS)の紹介

IDSとは?

IDS(侵入検知システム)とは、悪意のあるトラフィックからネットワークやシステムを保護するために作られた特別なソフトウェアです。危険な兆候があれば、多くの場合、管理者に報告されます。

IPSとは?

IPS、すなわち「侵入防止システム」(「侵入検知・防止システム」または「IPDS」とも呼ばれる)は、潜在的なマルウェアを識別、報告、そして防止するためのアプリケーションです。

IDSとIPSの違いとは?

IPSは、ファイアウォールと同様に、トラフィックフローにインライン配置されます。IPSは、通過するすべてのパケットを検査し、設定やポリシーに基づいて適切な対策を講じる能動的なネットワークコンポーネントです。一方、IDSは受動的なコンポーネントで、通常はインラインでは展開されず、SPANやTAP技術を用いてトラフィックの流れを監視し、通知を行います。

市場におけるIDS、IPS、ファイアウォールの融合

IDSとIPSの検知機能は重複していることが多く、市場のIDSベンダーとIPSベンダーは多くの場合、両方の保護機能をひとつに統合しています。設定オプションにより、管理者は、警告を発するだけにするか(従来のIDS)、修復措置を講じべきか(従来のIPS)を制御することができます。

IPSとファイアウォールの技術は、ルールベースのポリシー制御に類似しているため、統合されることもあります。ファイアウォールは、通常、ポートや送信元/送信先のアドレスに基づいてトラフィックを許可/拒否します。これに対してIPSは、トラフィックのパターンをシグネチャと比較し、シグネチャが一致した場合にパケットを許可・遮断します。したがって、両製品には不審なトラフィックや悪意のあるトラフィックの活動を阻止する方法に共通点があります。

パケットを一度だけアンパックして分析すると、ソリューション全体のパフォーマンスが向上するため、セキュリティベンダーは3つの製品を組み合わせて、パフォーマンスを高く維持しながら、必要なポリシー、通知、アクションを実行できるようにしています。

接続がもたらす侵害と攻撃対象の拡大

侵害・侵入とは、ネットワークやコンピュータシステムへの不正なアクセスや活動のことです。脅威の行為者は、様々な方法や脆弱性を利用して、機密リソースへのアクセス、個人情報の盗用、データの改ざん、リソースの破壊、リソースへの正当なアクセスの遮断などを行い、生産的な事業活動を阻害します。彼らは金銭的な利益、復讐、不満を持つ従業員、イデオロギーや政治的な対立、あるいは単に競争上の優位性など、さまざまな目的を持っています。

攻撃対象領域とは、ネットワークやその他のデジタルのオペレーションにおいて、不正なアクセスによって侵入される可能性のある領域のことです。ネットワークやリソースが接続されていればいるほど、攻撃対象領域は広くなります。

従来、企業の内部ネットワークは、インターネットへのアクセスを完全に拒否するか、データセンターに設置された強固なファイアウォールの内側でのみアクセスを許可することで、外界から守られていました。しかし、デジタルトランスフォーメーションの到来により、モビリティ、どこからでもインターネットにアクセスできる環境、クラウドベースのコンピューティング、クラウドネイティブな企業やサービス、2020年以前には想像もできなかった規模の在宅勤務、といったトレンドが生まれ、企業はまさにコネクティビティの広さでその生死が決するようになっていると言っても過言ではありません。攻撃対象領域は膨大です。IPS/IDSなどのよる警戒が不可欠です。

IDS/IPSはどのようにして脅威を検知するのか?

IDS/IPSシステムは、フィッシング攻撃、ウイルスの感染・配布、マルウェアやランサムウェアのインストールやダウンロード、DOS(サービス拒否)、中間者攻撃、ゼロデイ攻撃、SQLインジェクションなど、不審な行為や不正な行為を検知します。クラウドWANやモビリティの増加により、サイバー攻撃を阻止することは難しくなり、攻撃者の手口も洗練されてきています。

貴社組織の脅威を理解する

既知の脅威は、通常、トラフィックパターンとシグネチャパターンを照合することで検出されます。頻繁に更新されているデータベースには、既存の脅威を特徴づける膨大な数のシグネチャが蓄積されています。IDS/IPSシステムは、既知のシグネチャとの照合を継続的に行います。

未知の脅威とは、これまでに見たことのない悪意のあるパターンであり、既知の脅威の回避的なバリエーションであることもあるため、検知するのが非常に困難です。IDS/IPSは、行動分析を用いて、潜在的に異常なトラフィックパターンを特定します。機械学習、ヒューリスティック手法、AIなどを用いて、「通常の」ネットワーク挙動モデルを構築し、更新しています。IDS/IPSは、実際のネットワークトラフィックとこれらのモデルを継続的に比較し、侵入イベントを示す可能性のある矛盾した動作を認識します。

各種IPS、IDSの相違点


侵入検知システム(IDS)の種類を知る

侵入検知システムには、一般的に次の2つの種類があるとされています:

  • ネットワーク侵入検知システム(NIDS):このシステムは、ネットワークインフラの一部であり、ネットワークを流れるパケットを監視します。NIDSは通常、スイッチのようなスパン、タップ、ミラーリングの機能を持つ機器と併用されています。
  • ホストベースの侵入検知システム(HIDS):このソフトウェアは、クライアント、コンピュータ、またはサーバーのデバイスに常駐し、デバイス上のイベントやファイルを監視します。

侵入防御システム(IPS)の種類を知る

侵入防御システムにはいくかの種類があります:

  • ネットワークベースの侵入防御システム(NIPS):このシステムは、ネットワークインフラにインラインで展開され、ネットワーク全体のすべてのトラフィックを検査します。
  • 無線侵入防止システム(WIPS):このシステムは、無線ネットワークインフラの一部であり、すべての無線トラフィックを検査します。
  • ホストベースの侵入防御システム(HIPS):このソフトウェアは、クライアント、コンピュータ、またはサーバーのデバイスに常駐し、デバイス上のイベントやファイルを監視します。
  • Behavior IPS:このシステムは、ネットワークインフラの一部であり、すべてのトラフィックを検査して、ネットワーク全体の異常なパターンや動作をチェックします。

Secure SD-WANにはIDS/IPSの両方が必要

VersaのSecure Cloud IP Architectureは、ユニークなSecure SD-WANソリューションを、統合されたシングルスタックで、ハードウェアに依存しないソフトウェアのみで提供し、あらゆるネットワークのニーズに対応します。セキュリティをソリューションの構造そのものに統合することで、ネットワークアーキテクチャを簡素化し、管理するデバイスの数を減らし、攻撃対象を限定します。

Versa Secure SD-WANのシングルパス並列処理アーキテクチャは、最高のIDS/IPS検査性能を保証し、専用の単一目的の侵入検査デバイスの必要性を排除します。また、Versaスタック内のセキュリティを包括的に統合することで、ネットワーク内のあらゆる場所でIDS/IPS機能をフルに活用し、あらゆるインターネット、パブリックネットワーク、個人用モバイルデバイス、IoT経由の接続を保護します。

VersaのSecure SD-WANは単なるIDS/IPSではない

VersaのSecure SD-WANのソフトウェア定義セキュリティの重要な側面は、ユーザー、デバイス、サイト、回線、クラウドを、コンテキストに基づいてインテリジェントに認識している点です。これにより、マルチレイヤーのセキュリティ体制を支える堅牢でダイナミックなポリシーが実現します。例えば、特定のサイト間リンクやインターネットリンクを利用する際に、特定のユーザーやデバイスに対してコンテキストに応じたIPSポリシーを展開することができます。

Versaの真のマルチテナントアーキテクチャは、データプレーン、コントロールプレーン、マネジメントプレーンを完全にセグメント化して分離しているため、ネットワーク内のすべてのサブネットワーク、組織、ビジネスユニットに対してカスタマイズされたIDS/IPSポリシーを定義することができます。