如何理解VMware內建於IT基礎架構的原生安全能力?

企業資訊保安太過重要，以至於所有企業都想把資料保護做到牢不可破。但是放眼市場，有關資訊保安的解決方案至少有上百種，先不說選型過程如何，只看產品名稱，就已經讓人眼花繚亂。如何去選擇適合的解決方案?已經成為企業的一大挑戰!

企業資訊保安挑戰重重

相信，大多數企業的資訊保安都“踩過相同的坑”，那就是把基礎架構、作業系統、上層應用等搭建完以後，才會想到保護應用和資料。於是，透過第三方的安全解決方案，以外掛的形式整合到系統裡。這種以外掛為主的資訊保安解決方案，需要企業在受保護物件平臺上部署一些代理，當代理外掛方案增加，安裝代理的數量也就增加了，這時會佔用過多的CPU資源。最重要的是，把不同產品放在一起，會因為策略不同，產生各種各樣的衝突。

從解決方案本身來看，企業資訊保安和傳統IT架構出現的弊端一樣，系統與系統之間是一個個孤立的“豎井”，很難統一整合在一起。比如：負責網路的部門，會從網路安全的角度去選型防火牆、IDS/IPS(入侵檢測/ 保護系統)等;而桌面管理是另外一個部門，則從桌面安全的角度去選型防病毒軟體、個人電腦安全保護軟體等。所以，無論是解決方案提供者，還是使用者，都處於孤立狀態。

這種外掛式、孤立的解決方案，帶來的最大影響是，讓企業資訊保安處於被動防護狀態。所有第三方安全類解決方案，都是先有攻擊手段，然後才會推出相應的被動防護措施。就像防病毒軟體一樣，需要使用者定期下載病毒特徵庫，才能做到全面防護。所謂的“病毒特徵庫”，都是被動防護，因為100%都是先有病毒，後有防護措施。

此種背景下，主打原生安全解決方案的VMware公司呼籲，是時候向傳統的資訊保安解決方案說再見了，向原生安全轉型，是現代化企業進行安全防護的主流發展趨勢。

向原生安全轉型勢在必行

提到VMware，我們首先想到的是，這是一家能夠提供雲、應用現代化、網路和數字化工作空間產品的提供商。其實，VMware不只懂IT基礎架構，還是一家能提供全套安全解決方案的企業。憑藉在底層架構方面的優勢，VMware的安全解決方案可以很順暢地在企業關鍵業務環境下進行內建。因此，VMware的安全類解決方案又叫做原生安全解決方案。

“要想提高企業的資訊保安，全面保護企業的應用和資料，要從預防和影響機制兩個方面做到有效防護。”VMware 大中華區高階產品經理 傅純一認為，要想真正做到全面防範，應該在惡意者還沒有攻擊之前就做好預防措施，減少攻擊面。一旦發生威脅，有惡意軟體進行攻擊，應該有一個應急的響應機制，包括殺病毒、掛虛機、斷網等應急措施。

▲VMware大中華區高階產品經理 傅純一

在建立自適應的攻擊保護架構方面，Gartner在幾年前專門做了一個分析，主要把企業資訊保安分為四塊：即Predict(預告，有沒有可能會有惡意攻擊發生)、Prevent(阻止，在應用和操作基礎架構層面上怎樣阻止惡意攻擊)、Detect(檢測，當惡意攻擊再次出現，透過什麼方式進行檢測)、Respond(響應，如何透過隔離、防毒等措施最終把惡意軟體清除掉)。最關鍵的是，如何把這四方面能力整合在一起，不再透過孤立的解決方案去解決某一個問題。

在VMware看來，企業要想從傳統的資訊保安體系或者架構轉向原生安全，應該從三個方面切入。第一，要從外掛轉向內建。不管是哪種安全解決方案，最好要跟基礎架構結合在一起，實現基礎架構層面的內建。從平臺搭建之初就開始考慮各種各樣的安全措施，獲得抵禦外部惡意攻擊的手段以及工具。第二，我們要打破“孤井”模式，把所有的方案統一整合為一體。就像木桶原理一樣，如果其中有一個短板，整個木桶就裝不了太多的水。企業資訊保安，不能在任何一個環節出現漏洞。第三，從應對攻擊的手段來看，企業要變被動為主動，用更主動的方式來防止惡意攻擊。比如：透過專業的工具，實時監測惡意攻擊行為。一旦發現異常行為，我們就判斷這是惡意攻擊。

現代安全解決方案應該覆蓋整個IT基礎架構和任意端點

我們都知道，VMware公司有一個大的願景，那就是幫助更多企業幫助企業在任意平臺、任意雲上交付任意應用，打造無所不在的數字化基礎平臺。其中，安全是最重要的一項基本能力。無論是在基礎架構、端點裝置，還是在應用層面上，每一個層面都嵌入了完整的安全解決方案。

為了擁有覆蓋整個基礎架構和端點的控制能力，儘可能地保護應用和資料，VMware提出了五個控制點的安全模型。不管企業的工作負載執行在本地的資料中心、公有云、私有云，還是直接採用第三方的SaaS，最終都會透過端點登入，包括透過個人電腦、智慧平板或者手機等，進行身份認證後即可訪問資料。VMware的五個控制點模型，可以幫助企業真正實現應用和資料的全方位安全目標。

具體而言，VMware的原生安全解決方案主要分為四大塊：

第一塊，端點和工作負載安全，主要產品就是VMware vSphere和Carbon Black。vSphere是業界最安全的企業計算平臺，本身內建了很多安全措施，包括資料加密、安全啟動等。看似簡單，其實系統內部有很多安全措施，包括端點檢測和響應(EDR)。為了讓裝置在訪問應用的時候，做到安全可控，進行了一系列應用的加密、應用的控制。比如：在防病毒功能中，原生安全解決方案和傳統模式有著非常大的差異性，一旦有未授權裝置接入，便存在著巨大的安全隱患。透過VMware收購的Carbon Black，使用者可以獲得全面整合的雲原生安全能力。VMware Carbon Black Cloud最大的特點就是雲原生，而且充分利用了機器學習和大資料分析能力，快速收集後設資料，並對惡意攻擊手段進行識別。

第二塊，網路安全，主要由 VMware NSX Data Center解決方案進行支援。VMware在去年曾推出服務定義防火牆(Service-defined Firewall)概念，具體的產品其實是由NSX產品家族來提供支援。除了去年推出的分散式服務定義防火牆能力，VMware今年在服務定義防火牆功能中又增加了一些新的功能，比如：NSX Intelligence，以及分散式的IDS(入侵檢測)和IPS(入侵保護系統)，取代了傳統硬體盒子式功能，走向軟體定義時代，由NSX Data Center安全在每一個虛擬機器上。所有資料包的檢測、異常流量的檢測，都在每一個虛機的入口處進行檢測，大大提高了工作效率。

NSX Data Center解決的核心問題就是控制資料中心的東西向流量(各個伺服器、虛機之間的流量)，極大地減少攻擊面。傳統做法是，很多企業會把所有的應用都放在防火牆後面，因為病毒攻擊首先要攻克防火牆。但並不是所有應用放在防火牆後面就絕對安全了，一旦惡意軟體攻克了防火牆，就可以在資料中心為所欲為了。VMware的做法是，透過NSX微分段。NSX是一個分散式架構，在虛機旁邊有一個NSX的agent，是一個分散式防火牆。透過這個防火牆，使用者可以實現劃定微分段。即使惡意軟體攻克了微分段，只能影響微分段裡的虛機，而不能訪問其他虛機，隔絕了不必要的東西向流量。

NSX現在對外主推的就是NSX-T，是最新Transformer版本，上一代的就是NSX-V，只支援vSphere。NSX-T既支援vSphere、支援KVM，又支援雲端以及公有云作業系統。在NSX Data Center場景基礎上，VMware又提供了一系列的安全手段，包括分散式防火牆、安全策略、NSX Intelligence、IDS、IPS等。NSX-T還可以動態地為容器提供安全保護，提供隔離的網路環境。並且，不管是虛擬機器、物理機，還是雲端，所有環境的網路安全措施都擁有一致性體驗。

第三塊，工作空間安全，透過Workspace ONE和Carbon Black一起聯合打造。Workspace ONE解決了哪些問題呢?以使用者訪問應用和資料為例，需要經歷一長串的訪問鏈條。首先，要透過智慧終端、個人電腦裝置登入，這些裝置要在納管範圍內。使用者要想登入，需要表明你的身份，系統要對使用者的身份進行管理，這些都是 Workspace ONE的功能。此外，還要對資料傳輸進行管理，建立一個VPN安全通道，上面的資料需要加密，需要跟資料中心裡的網路進行整合，跟NSX進行整合，最終為客戶提供一個端到端的安全訪問通道。在這一長串鏈條裡，每一個環節強調的都是零信任。換言之，本質上，系統不信任任何訪問請求，需要訪問的話，每一步訪問必須證明自己是一個合法的訪問者，有許可權來訪問，這樣才能做到零信任。大體來看，Workspace ONE透過因子訪問、合併訪問，還有資料丟失、應用管理等措施，讓企業應用和資料的訪問做到各個層面的安全。

從端點層面做到安全防護，Carbon Black是一個很好的補充。Carbon Black提出了一個概念，叫做NGAV(next generation anti-virius)，是新一代的防病毒功能，其特點就是雲原生，它的智慧資料庫就是建在雲端。如果你的網路訪問行為、應用行為或者軟體行為不正常，它可以及時進行報警，並且採取相應的措施。

第四塊，雲安全，這是一個新產品，叫做VMware Secure State。目前僅支援AWS和Azure兩種公有云，只要擁有公有云帳號，就有訪問的許可權，然後看到對公有云服務、資源物件的整體分析。VMware Secure State跟市面上其他輪巡的安全服務不同，它的最大特色是基於事件的微清單  管理，是事件驅動，可以讀到AWS和Azure裡面的所有事件。比如：使用者管理員登入上去，做了一個小小的改動，這個改動在雲端會產生一個事件，會觸發Secure State。透過這個事件我們會知道，你對這個虛機啟動了某一個雲端服務，它就會對雲端的服務做一個相應的檢查，然後會延伸，看看雲端服務和其他服務是什麼關係。這種服務模式大大的加速了Secure State對於安全威脅的響應。使用者在任何時候，只要做了安全配置的修改，系統都能進行實時檢查，並提醒使用者採取相應的安全措施來進行修整，補上各種漏洞。

總之，VMware內建於IT基礎架構的原生安全解決方案，非常講究方式方法，我們不能孤立地去看某一個應用、某一個物件，而是從整體上考慮現代化基礎架構、應用及終端的安全性。不管是本地還是雲端應用，各個物件之間都是相互關聯的關係，任何一項服務被攻陷，都會出現一連串的連帶反應。所以，選擇覆蓋所有工作負載和端點的安全解決方案，才能真正為企業資訊保安保駕護航。