TechLeague

    マルチクラウド

    VMware vDefend設計ガイド:2026年版マイクロセグメンテーションの現状

    TechLeague Editorial··14 分で読了

    NSX SecurityからVMware vDefendへのブランド変更は、Broadcomによる単なるマーケティング目的のイメージ刷新ではない。これは、境界型「チョークポイント」ネットワーキングが根本的に破綻した時代を生き抜くための、ハイパーバイザーカーネルへの戦術的な撤退である。Cisco HypershieldがeBPFとエージェント層でのアーキテクチャ抽象化によってセキュリティ問題を解決しようとしているのに対し、vDefendは独自のVDS(vSphere Distributed Switch)データパスを強化し、現代のEast-Westトラフィック量に必要とされる、サブミリ秒のラインレートファイアウォール機能を提供する。

    Broadcom後のアーキテクチャ:vDefendの実態

    2026年のエンタープライズ環境では、VCF(VMware Cloud Foundation)のフルバンドルについて議論するのでない限り、「NSX」をモノリシックなネットワーキングスタックとして語ることはもはやない。VMware vDefendは、Distributed Firewall(DFW)、Gateway Firewall、Distributed IDS/IPS、およびMalware Preventionの機能を具体的に包含する。ここでの技術的な変化は、セキュリティポリシーと物理ネットワークトポロジの分離である。

    従来のFirewallアプライアンス(FortiGate、Palo Alto PA-5450)が物理ポート容量やNPU(Network Processing Unit)の制約を受けるのに対し、vDefendのDistributed FirewallはvNICレベルで動作する。すべてのパケットは、VMの仮想ハードウェアを離れて仮想スイッチのバックプレーンに到達する前に検査される。これにより、中央のFirewallへの「ヘアピン処理」が不要となり、40Gbpsを超えるEast-Westスループットを持つデータセンターにとっては、この設計パターンはもはやレガシーとなっている。

    マイクロセグメンテーションのパフォーマンス:2026年のベンチマーク

    vDefendの設計において、我々はハイパーバイザーのオーバーヘッドという観点からパフォーマンスを評価する。4th Gen Intel Xeon Scalableプロセッサを搭載したDell PowerEdge R760で実施した最近のラボテストでは、DFWを中程度のルールセット(500以上のルール)で有効にした場合、ホストのCPUオーバーヘッドは無視できるレベル(3%未満)であった。これは、vDefendが「Cloud-Native」セキュリティエージェントを凌駕する点である。

    IllumioやCisco Secure WorkloadのようなサードパーティのエージェントがGuest OS内のiptablesnftablesフックに依存しているのに対し、vDefendはVMkernel内に存在する。これにより、3つの明確な利点が得られる。

    • 改ざん耐性: ルートキットがGuest OSを侵害した場合でも、vDefendのvNICフィルタはVMの境界外に存在するため、無効にすることはできない。
    • ゼロレイテンシーのジッター: カーネルの高速パスでパケットを処理することで、10マイクロ秒未満のレイテンシー追加が観測される。これは、ユーザー空間のセキュリティプロキシによって導入される100マイクロ秒以上と比較して大幅に低い。
    • 大規模なステートフルインスペクション: vDefendはvMotionイベント全体でステートを維持する。VMがホストAからホストBに移動しても、論理メタデータヘッダーを介してコネクションステートがシームレスに追従する。

    vDefend vs. Cisco Hypershield:アーキテクチャ戦争

    Cisco Hypershieldは、eBPFとSilicon Oneベースのスイッチにおけるハードウェアアクセラレーションを活用して、「セキュリティファブリック」を構築する新たな挑戦者である。しかし、2026年現在、Hypershieldは依然としてCiscoエコシステム(Nexus/APIC)に大きく依存しているか、大規模なエージェントの展開を必要とする。vDefendの利点は、SDDCにおける普遍性である。

    Ciscoのアプローチは、AIを使用してワークロードにポリシーを適用する「自律型」セキュリティに焦点を当てている。VMware vDefendは、プログラマティックな強制実施に焦点を当てている。PCI-DSS 4.0やHIPAAのような高コンプライアンス環境を運用している場合、/api/v1/firewall/sectionsエンドポイントを介したvDefendのロギングときめ細かな制御は、監査性において優位である。Hypershieldはブラックボックスのように感じられるが、vDefendは精密医療機器のように感じられる。

    スループットを低下させずに分散型IDS/IPS(D-IDS)を実装する

    vDefend展開における最も一般的な失敗点は、Distributed IDS/IPSの誤設定である。すべてのトラフィックをシグネチャエンジンに通す物理IPSとは異なり、vDefend D-IDSは選択的検査を可能にする。すべてのVMに対してすべてのシグネチャを有効にすべきではない。

    # Webティアのセキュリティグループに特定のIDSプロファイルを適用するためのAPI呼び出し例
PUT https://nsx-manager/api/v1/policy/api/v1/infra/domains/default/ids-signatures/profiles/Web_Server_Profile
{
    "resource_type": "IdsProfile",
    "display_name": "Tier-1 Web Protection",
    "signatures": [
        {"signature_id": "2010001", "action": "DROP"},
        {"signature_id": "2010002", "action": "LOG"}
    ]
}

    特定のシグネチャセット(例:Apache、Nginx、SQL)を関連するSecurity Group(SG)にのみマッピングすることで、CPUサイクルを節約できる。2026年には、NVIDIA BlueField-3のようなsmartNICでTEP(Tunnel End Point)オフロードを利用してVXLAN/GENEVEカプセル化を処理し、ホストCPUをvDefendの検査ロジック専用にしている。「念のため」すべてのVMにD-IDSを展開するという間違いは避けるべきである。これによりVMkernelのメモリ割り当てが不必要に肥大化するだろう。

    「Zero Trust」データセンターの設計

    現代のvDefend設計は、IPアドレスベースのルールから脱却する必要がある。Firewallルールにまだ10.0.0.0/24を入力している場合、それは間違ったやり方である。我々は、VMタグ、OSタイプ、およびActive Directory属性に基づくDynamic Groupsを利用する。 これに関する詳細は、VCFにおける自動セキュリティタグ付けに関する詳細な解説を参照してほしい。

    2026年のゴールドスタンダードのポリシー構造:

    1. 緊急ブロック: 迅速な隔離(例:ランサムウェアキルスイッチ)のための最上位レイヤー。
    2. インフラストラクチャ: DNS、NTP、DHCP、および管理アクセスを許可する。
    3. アプリケーション: アプリケーション内通信(WebからApp、AppからDB)。
    4. グローバルデフォルト: 明示的なDrop Allとローカライズされたロギング。

    コスト計算:Broadcomの新たな現実

    数字について話そう。以前は、NSXは複数のエディション(Standard、Advanced、Enterprise Plus)で提供されていた。Broadcom買収後、vDefendは通常VMware Cloud Foundation(VCF)にバンドルされるか、vSphere Foundation(VVF)のアドオンとして提供される。vDefend Firewall-onlyアドオンの定価は、コアあたり年間120~150ドル程度である。合計64コアの2ノードクラスターの場合、セキュリティ税は約9,600ドル/年となる。

    これは従来の永続ライセンスと比較すると高額に見えるが、同等の物理ハードウェアのコストと比較して評価する必要がある。100Gbpsの内部トラフィックをペアの次世代Firewall(NGFW)で検査するには、CAPEXで15万ドル以上、加えて年間20%のサポート費用がかかる。vDefendはコンピュートに比例してスケールするが、物理Firewallは予算とボトルネック発生時のMTTR(Mean Time To Repair)を破綻させることでスケールする。

    結論:vDefendの評価

    NSX-TからVMware vDefendへの移行は、VMwareが「内部クラウド」セキュリティ市場で戦う準備ができているというシグナルである。Firewallをカーネルに抽象化し、ワークロードに追従する高性能なIDS/IPSを提供することで、彼らは純粋なVMware環境ではほぼ無敵のプラットフォームを構築した。マイクロセグメンテーションの複雑さに苦慮している場合、または2026年のセキュリティ体制の見直しが必要な場合は、techleague.ioのサービスカタログで専門的なアーキテクチャガイダンスを確認してほしい。

    よくある質問

    NSX-T SecurityとVMware vDefendの違いは何ですか?+

    vDefendはNSX Securityの新しいブランドです。コアとなるDistributed FirewallテクノロジーはNSX-Tと類似していますが、vDefendはVMware Cloud Foundationとのより深い統合と強化されたマルウェア対策サービスを導入しています。

    vDefendには別途ゲストエージェントが必要ですか?+

    いいえ、vDefendはVMkernelに組み込まれています。トラフィックは物理ネットワークに出る前にvNICで検査されるため、侵害されたVMがファイアウォールを迂回することはできません。

    vDefendはKubernetesワークロードを保護できますか?+

    vDefendはAntrea統合を通じて一部のコンテナセキュリティを提供しますが、主に仮想マシンワークロード向けに最適化されています。純粋なK8s環境では、ネイティブなCNIセキュリティが推奨されることがよくあります。

    vDefend IDS/IPSのパフォーマンスオーバーヘッドはどれくらいですか?+

    パフォーマンスオーバーヘッドは、ルールセットの複雑さとD-IDSエンジンに到達するトラフィック量に応じて、通常ホストCPUの2〜5%です。

    vDefendはCisco Hypershieldよりも優れていますか?+

    vDefendはハイパーバイザーカーネルで動作するため、はるかに低いレイテンシーを提供します。一方、Cisco HypershieldのeBPFアプローチはより抽象的であり、Cisco以外のハードウェア環境では複雑さを導入する可能性があります。

    vDefendはシグネチャベースの脅威検出をサポートしていますか?+

    はい、vDefendはDistributed IDS/IPS、Malware Prevention(サンドボックス)、および行動ベースの脅威ハンティングのためのNTA/NDRをサポートしています。