如何理解VMware內建於IT基礎架構的原生安全能力?

danny_2018發表於2020-07-23

企業資訊保安太過重要,以至於所有企業都想把資料保護做到牢不可破。但是放眼市場,有關資訊保安的解決方案至少有上百種,先不說選型過程如何,只看產品名稱,就已經讓人眼花繚亂。如何去選擇適合的解決方案?已經成為企業的一大挑戰!

企業資訊保安挑戰重重

相信,大多數企業的資訊保安都“踩過相同的坑”,那就是把基礎架構、作業系統、上層應用等搭建完以後,才會想到保護應用和資料。於是,透過第三方的安全解決方案,以外掛的形式整合到系統裡。這種以外掛為主的資訊保安解決方案,需要企業在受保護物件平臺上部署一些代理,當代理外掛方案增加,安裝代理的數量也就增加了,這時會佔用過多的CPU資源。最重要的是,把不同產品放在一起,會因為策略不同,產生各種各樣的衝突。

從解決方案本身來看,企業資訊保安和傳統IT架構出現的弊端一樣,系統與系統之間是一個個孤立的“豎井”,很難統一整合在一起。比如:負責網路的部門,會從網路安全的角度去選型防火牆、IDS/IPS(入侵檢測/ 保護系統)等;而桌面管理是另外一個部門,則從桌面安全的角度去選型防病毒軟體、個人電腦安全保護軟體等。所以,無論是解決方案提供者,還是使用者,都處於孤立狀態。

這種外掛式、孤立的解決方案,帶來的最大影響是,讓企業資訊保安處於被動防護狀態。所有第三方安全類解決方案,都是先有攻擊手段,然後才會推出相應的被動防護措施。就像防病毒軟體一樣,需要使用者定期下載病毒特徵庫,才能做到全面防護。所謂的“病毒特徵庫”,都是被動防護,因為100%都是先有病毒,後有防護措施。

此種背景下,主打原生安全解決方案的VMware公司呼籲,是時候向傳統的資訊保安解決方案說再見了,向原生安全轉型,是現代化企業進行安全防護的主流發展趨勢。

向原生安全轉型勢在必行

提到VMware,我們首先想到的是,這是一家能夠提供雲、應用現代化、網路和數字化工作空間產品的提供商。其實,VMware不只懂IT基礎架構,還是一家能提供全套安全解決方案的企業。憑藉在底層架構方面的優勢,VMware的安全解決方案可以很順暢地在企業關鍵業務環境下進行內建。因此,VMware的安全類解決方案又叫做原生安全解決方案。

“要想提高企業的資訊保安,全面保護企業的應用和資料,要從預防和影響機制兩個方面做到有效防護。”VMware 大中華區高階產品經理 傅純一認為,要想真正做到全面防範,應該在惡意者還沒有攻擊之前就做好預防措施,減少攻擊面。一旦發生威脅,有惡意軟體進行攻擊,應該有一個應急的響應機制,包括殺病毒、掛虛機、斷網等應急措施。

▲VMware大中華區高階產品經理 傅純一

在建立自適應的攻擊保護架構方面,Gartner在幾年前專門做了一個分析,主要把企業資訊保安分為四塊:即Predict(預告,有沒有可能會有惡意攻擊發生)、Prevent(阻止,在應用和操作基礎架構層面上怎樣阻止惡意攻擊)、Detect(檢測,當惡意攻擊再次出現,透過什麼方式進行檢測)、Respond(響應,如何透過隔離、防毒等措施最終把惡意軟體清除掉)。最關鍵的是,如何把這四方面能力整合在一起,不再透過孤立的解決方案去解決某一個問題。

在VMware看來,企業要想從傳統的資訊保安體系或者架構轉向原生安全,應該從三個方面切入。第一,要從外掛轉向內建。不管是哪種安全解決方案,最好要跟基礎架構結合在一起,實現基礎架構層面的內建。從平臺搭建之初就開始考慮各種各樣的安全措施,獲得抵禦外部惡意攻擊的手段以及工具。第二,我們要打破“孤井”模式,把所有的方案統一整合為一體。就像木桶原理一樣,如果其中有一個短板,整個木桶就裝不了太多的水。企業資訊保安,不能在任何一個環節出現漏洞。第三,從應對攻擊的手段來看,企業要變被動為主動,用更主動的方式來防止惡意攻擊。比如:透過專業的工具,實時監測惡意攻擊行為。一旦發現異常行為,我們就判斷這是惡意攻擊。

現代安全解決方案應該覆蓋整個IT基礎架構和任意端點

我們都知道,VMware公司有一個大的願景,那就是幫助更多企業幫助企業在任意平臺、任意雲上交付任意應用,打造無所不在的數字化基礎平臺。其中,安全是最重要的一項基本能力。無論是在基礎架構、端點裝置,還是在應用層面上,每一個層面都嵌入了完整的安全解決方案。

為了擁有覆蓋整個基礎架構和端點的控制能力,儘可能地保護應用和資料,VMware提出了五個控制點的安全模型。不管企業的工作負載執行在本地的資料中心、公有云、私有云,還是直接採用第三方的SaaS,最終都會透過端點登入,包括透過個人電腦、智慧平板或者手機等,進行身份認證後即可訪問資料。VMware的五個控制點模型,可以幫助企業真正實現應用和資料的全方位安全目標。

具體而言,VMware的原生安全解決方案主要分為四大塊:

第一塊,端點和工作負載安全,主要產品就是VMware vSphere和Carbon Black。vSphere是業界最安全的企業計算平臺,本身內建了很多安全措施,包括資料加密、安全啟動等。看似簡單,其實系統內部有很多安全措施,包括端點檢測和響應(EDR)。為了讓裝置在訪問應用的時候,做到安全可控,進行了一系列應用的加密、應用的控制。比如:在防病毒功能中,原生安全解決方案和傳統模式有著非常大的差異性,一旦有未授權裝置接入,便存在著巨大的安全隱患。透過VMware收購的Carbon Black,使用者可以獲得全面整合的雲原生安全能力。VMware Carbon Black Cloud最大的特點就是雲原生,而且充分利用了機器學習和大資料分析能力,快速收集後設資料,並對惡意攻擊手段進行識別。

第二塊,網路安全,主要由 VMware NSX Data Center解決方案進行支援。VMware在去年曾推出服務定義防火牆(Service-defined Firewall)概念,具體的產品其實是由NSX產品家族來提供支援。除了去年推出的分散式服務定義防火牆能力,VMware今年在服務定義防火牆功能中又增加了一些新的功能,比如:NSX Intelligence,以及分散式的IDS(入侵檢測)和IPS(入侵保護系統),取代了傳統硬體盒子式功能,走向軟體定義時代,由NSX Data Center安全在每一個虛擬機器上。所有資料包的檢測、異常流量的檢測,都在每一個虛機的入口處進行檢測,大大提高了工作效率。

NSX Data Center解決的核心問題就是控制資料中心的東西向流量(各個伺服器、虛機之間的流量),極大地減少攻擊面。傳統做法是,很多企業會把所有的應用都放在防火牆後面,因為病毒攻擊首先要攻克防火牆。但並不是所有應用放在防火牆後面就絕對安全了,一旦惡意軟體攻克了防火牆,就可以在資料中心為所欲為了。VMware的做法是,透過NSX微分段。NSX是一個分散式架構,在虛機旁邊有一個NSX的agent,是一個分散式防火牆。透過這個防火牆,使用者可以實現劃定微分段。即使惡意軟體攻克了微分段,只能影響微分段裡的虛機,而不能訪問其他虛機,隔絕了不必要的東西向流量。

NSX現在對外主推的就是NSX-T,是最新Transformer版本,上一代的就是NSX-V,只支援vSphere。NSX-T既支援vSphere、支援KVM,又支援雲端以及公有云作業系統。在NSX Data Center場景基礎上,VMware又提供了一系列的安全手段,包括分散式防火牆、安全策略、NSX Intelligence、IDS、IPS等。NSX-T還可以動態地為容器提供安全保護,提供隔離的網路環境。並且,不管是虛擬機器、物理機,還是雲端,所有環境的網路安全措施都擁有一致性體驗。

第三塊,工作空間安全,透過Workspace ONE和Carbon Black一起聯合打造。Workspace ONE解決了哪些問題呢?以使用者訪問應用和資料為例,需要經歷一長串的訪問鏈條。首先,要透過智慧終端、個人電腦裝置登入,這些裝置要在納管範圍內。使用者要想登入,需要表明你的身份,系統要對使用者的身份進行管理,這些都是 Workspace ONE的功能。此外,還要對資料傳輸進行管理,建立一個VPN安全通道,上面的資料需要加密,需要跟資料中心裡的網路進行整合,跟NSX進行整合,最終為客戶提供一個端到端的安全訪問通道。在這一長串鏈條裡,每一個環節強調的都是零信任。換言之,本質上,系統不信任任何訪問請求,需要訪問的話,每一步訪問必須證明自己是一個合法的訪問者,有許可權來訪問,這樣才能做到零信任。大體來看,Workspace ONE透過因子訪問、合併訪問,還有資料丟失、應用管理等措施,讓企業應用和資料的訪問做到各個層面的安全。

從端點層面做到安全防護,Carbon Black是一個很好的補充。Carbon Black提出了一個概念,叫做NGAV(next generation anti-virius),是新一代的防病毒功能,其特點就是雲原生,它的智慧資料庫就是建在雲端。如果你的網路訪問行為、應用行為或者軟體行為不正常,它可以及時進行報警,並且採取相應的措施。

第四塊,雲安全,這是一個新產品,叫做VMware Secure State。目前僅支援AWS和Azure兩種公有云,只要擁有公有云帳號,就有訪問的許可權,然後看到對公有云服務、資源物件的整體分析。VMware Secure State跟市面上其他輪巡的安全服務不同,它的最大特色是基於事件的微清單  管理,是事件驅動,可以讀到AWS和Azure裡面的所有事件。比如:使用者管理員登入上去,做了一個小小的改動,這個改動在雲端會產生一個事件,會觸發Secure State。透過這個事件我們會知道,你對這個虛機啟動了某一個雲端服務,它就會對雲端的服務做一個相應的檢查,然後會延伸,看看雲端服務和其他服務是什麼關係。這種服務模式大大的加速了Secure State對於安全威脅的響應。使用者在任何時候,只要做了安全配置的修改,系統都能進行實時檢查,並提醒使用者採取相應的安全措施來進行修整,補上各種漏洞。

總之,VMware內建於IT基礎架構的原生安全解決方案,非常講究方式方法,我們不能孤立地去看某一個應用、某一個物件,而是從整體上考慮現代化基礎架構、應用及終端的安全性。不管是本地還是雲端應用,各個物件之間都是相互關聯的關係,任何一項服務被攻陷,都會出現一連串的連帶反應。所以,選擇覆蓋所有工作負載和端點的安全解決方案,才能真正為企業資訊保安保駕護航。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31547898/viewspace-2706599/,如需轉載,請註明出處,否則將追究法律責任。

相關文章