ITPub博客

首页 > 云计算 > 虚拟化 > 如何理解VMware内建于IT基础架构的原生安全能力?

如何理解VMware内建于IT基础架构的原生安全能力?

原创 虚拟化 作者:李代丽 时间:2020-07-23 18:36:08 0 删除 编辑

企业信息安全太过重要,以至于所有企业都想把数据保护做到牢不可破。但是放眼市场,有关信息安全的解决方案至少有上百种,先不说选型过程如何,只看产品名称,就已经让人眼花缭乱。如何去选择适合的解决方案?已经成为企业的一大挑战!

企业信息安全挑战重重

相信,大多数企业的信息安全都“踩过相同的坑”,那就是把基础架构、操作系统、上层应用等搭建完以后,才会想到保护应用和数据。于是,通过第三方的安全解决方案,以外挂的形式整合到系统里。这种以外挂为主的信息安全解决方案,需要企业在受保护对象平台上部署一些代理,当代理外挂方案增加,安装代理的数量也就增加了,这时会占用过多的CPU资源。最重要的是,把不同产品放在一起,会因为策略不同,产生各种各样的冲突。

从解决方案本身来看,企业信息安全和传统IT架构出现的弊端一样,系统与系统之间是一个个孤立的“竖井”,很难统一整合在一起。比如:负责网络的部门,会从网络安全的角度去选型防火墙、IDS/IPS(入侵检测/ 保护系统)等;而桌面管理是另外一个部门,则从桌面安全的角度去选型防病毒软件、个人电脑安全保护软件等。所以,无论是解决方案提供者,还是使用者,都处于孤立状态。

这种外挂式、孤立的解决方案,带来的最大影响是,让企业信息安全处于被动防护状态。所有第三方安全类解决方案,都是先有攻击手段,然后才会推出相应的被动防护措施。就像防病毒软件一样,需要用户定期下载病毒特征库,才能做到全面防护。所谓的“病毒特征库”,都是被动防护,因为100%都是先有病毒,后有防护措施。

此种背景下,主打原生安全解决方案的VMware公司呼吁,是时候向传统的信息安全解决方案说再见了,向原生安全转型,是现代化企业进行安全防护的主流发展趋势。

向原生安全转型势在必行

提到VMware,我们首先想到的是,这是一家能够提供云、应用现代化、网络和数字化工作空间产品的提供商。其实,VMware不只懂IT基础架构,还是一家能提供全套安全解决方案的企业。凭借在底层架构方面的优势,VMware的安全解决方案可以很顺畅地在企业关键业务环境下进行内建。因此,VMware的安全类解决方案又叫做原生安全解决方案。

“要想提高企业的信息安全,全面保护企业的应用和数据,要从预防和影响机制两个方面做到有效防护。”VMware 大中华区高级产品经理 傅纯一认为,要想真正做到全面防范,应该在恶意者还没有攻击之前就做好预防措施,减少攻击面。一旦发生威胁,有恶意软件进行攻击,应该有一个应急的响应机制,包括杀病毒、挂虚机、断网等应急措施。

▲VMware大中华区高级产品经理 傅纯一

在建立自适应的攻击保护架构方面,Gartner在几年前专门做了一个分析,主要把企业信息安全分为四块:即Predict(预告,有没有可能会有恶意攻击发生)、Prevent(阻止,在应用和操作基础架构层面上怎样阻止恶意攻击)、Detect(检测,当恶意攻击再次出现,通过什么方式进行检测)、Respond(响应,如何通过隔离、杀毒等措施最终把恶意软件清除掉)。最关键的是,如何把这四方面能力整合在一起,不再通过孤立的解决方案去解决某一个问题。

在VMware看来,企业要想从传统的信息安全体系或者架构转向原生安全,应该从三个方面切入。第一,要从外挂转向内建。不管是哪种安全解决方案,最好要跟基础架构结合在一起,实现基础架构层面的内建。从平台搭建之初就开始考虑各种各样的安全措施,获得抵御外部恶意攻击的手段以及工具。第二,我们要打破“孤井”模式,把所有的方案统一整合为一体。就像木桶原理一样,如果其中有一个短板,整个木桶就装不了太多的水。企业信息安全,不能在任何一个环节出现漏洞。第三,从应对攻击的手段来看,企业要变被动为主动,用更主动的方式来防止恶意攻击。比如:通过专业的工具,实时监测恶意攻击行为。一旦发现异常行为,我们就判断这是恶意攻击。

现代安全解决方案应该覆盖整个IT基础架构和任意端点

我们都知道,VMware公司有一个大的愿景,那就是帮助更多企业帮助企业在任意平台、任意云上交付任意应用,打造无所不在的数字化基础平台。其中,安全是最重要的一项基本能力。无论是在基础架构、端点设备,还是在应用层面上,每一个层面都嵌入了完整的安全解决方案。

为了拥有覆盖整个基础架构和端点的控制能力,尽可能地保护应用和数据,VMware提出了五个控制点的安全模型。不管企业的工作负载运行在本地的数据中心、公有云、私有云,还是直接采用第三方的SaaS,最终都会通过端点登录,包括通过个人电脑、智能平板或者手机等,进行身份认证后即可访问数据。VMware的五个控制点模型,可以帮助企业真正实现应用和数据的全方位安全目标。

具体而言,VMware的原生安全解决方案主要分为四大块:

第一块,端点和工作负载安全,主要产品就是VMware vSphere和Carbon Black。vSphere是业界最安全的企业计算平台,本身内建了很多安全措施,包括数据加密、安全启动等。看似简单,其实系统内部有很多安全措施,包括端点检测和响应(EDR)。为了让设备在访问应用的时候,做到安全可控,进行了一系列应用的加密、应用的控制。比如:在防病毒功能中,原生安全解决方案和传统模式有着非常大的差异性,一旦有未授权设备接入,便存在着巨大的安全隐患。通过VMware收购的Carbon Black,用户可以获得全面整合的云原生安全能力。VMware Carbon Black Cloud最大的特点就是云原生,而且充分利用了机器学习和大数据分析能力,快速收集元数据,并对恶意攻击手段进行识别。

第二块,网络安全,主要由 VMware NSX Data Center解决方案进行支持。VMware在去年曾推出服务定义防火墙(Service-defined Firewall)概念,具体的产品其实是由NSX产品家族来提供支持。除了去年推出的分布式服务定义防火墙能力,VMware今年在服务定义防火墙功能中又增加了一些新的功能,比如:NSX Intelligence,以及分布式的IDS(入侵检测)和IPS(入侵保护系统),取代了传统硬件盒子式功能,走向软件定义时代,由NSX Data Center安全在每一个虚拟机上。所有数据包的检测、异常流量的检测,都在每一个虚机的入口处进行检测,大大提高了工作效率。

NSX Data Center解决的核心问题就是控制数据中心的东西向流量(各个服务器、虚机之间的流量),极大地减少攻击面。传统做法是,很多企业会把所有的应用都放在防火墙后面,因为病毒攻击首先要攻克防火墙。但并不是所有应用放在防火墙后面就绝对安全了,一旦恶意软件攻克了防火墙,就可以在数据中心为所欲为了。VMware的做法是,通过NSX微分段。NSX是一个分布式架构,在虚机旁边有一个NSX的agent,是一个分布式防火墙。通过这个防火墙,用户可以实现划定微分段。即使恶意软件攻克了微分段,只能影响微分段里的虚机,而不能访问其他虚机,隔绝了不必要的东西向流量。

NSX现在对外主推的就是NSX-T,是最新Transformer版本,上一代的就是NSX-V,只支持vSphere。NSX-T既支持vSphere、支持KVM,又支持云端以及公有云操作系统。在NSX Data Center场景基础上,VMware又提供了一系列的安全手段,包括分布式防火墙、安全策略、NSX Intelligence、IDS、IPS等。NSX-T还可以动态地为容器提供安全保护,提供隔离的网络环境。并且,不管是虚拟机、物理机,还是云端,所有环境的网络安全措施都拥有一致性体验。

第三块,工作空间安全,通过Workspace ONE和Carbon Black一起联合打造。Workspace ONE解决了哪些问题呢?以用户访问应用和数据为例,需要经历一长串的访问链条。首先,要通过智能终端、个人电脑设备登录,这些设备要在纳管范围内。用户要想登录,需要表明你的身份,系统要对用户的身份进行管理,这些都是 Workspace ONE的功能。此外,还要对数据传输进行管理,建立一个VPN安全通道,上面的数据需要加密,需要跟数据中心里的网络进行集成,跟NSX进行集成,最终为客户提供一个端到端的安全访问通道。在这一长串链条里,每一个环节强调的都是零信任。换言之,本质上,系统不信任任何访问请求,需要访问的话,每一步访问必须证明自己是一个合法的访问者,有权限来访问,这样才能做到零信任。大体来看,Workspace ONE通过因子访问、合并访问,还有数据丢失、应用管理等措施,让企业应用和数据的访问做到各个层面的安全。

从端点层面做到安全防护,Carbon Black是一个很好的补充。Carbon Black提出了一个概念,叫做NGAV(next generation anti-virius),是新一代的防病毒功能,其特点就是云原生,它的智能数据库就是建在云端。如果你的网络访问行为、应用行为或者软件行为不正常,它可以及时进行报警,并且采取相应的措施。

第四块,云安全,这是一个新产品,叫做VMware Secure State。目前仅支持AWS和Azure两种公有云,只要拥有公有云帐号,就有访问的权限,然后看到对公有云服务、资源对象的整体分析。VMware Secure State跟市面上其他轮巡的安全服务不同,它的最大特色是基于事件的微清单  管理,是事件驱动,可以读到AWS和Azure里面的所有事件。比如:用户管理员登录上去,做了一个小小的改动,这个改动在云端会产生一个事件,会触发Secure State。通过这个事件我们会知道,你对这个虚机启动了某一个云端服务,它就会对云端的服务做一个相应的检查,然后会延伸,看看云端服务和其他服务是什么关系。这种服务模式大大的加速了Secure State对于安全威胁的响应。用户在任何时候,只要做了安全配置的修改,系统都能进行实时检查,并提醒用户采取相应的安全措施来进行修整,补上各种漏洞。

总之,VMware内建于IT基础架构的原生安全解决方案,非常讲究方式方法,我们不能孤立地去看某一个应用、某一个对象,而是从整体上考虑现代化基础架构、应用及终端的安全性。不管是本地还是云端应用,各个对象之间都是相互关联的关系,任何一项服务被攻陷,都会出现一连串的连带反应。所以,选择覆盖所有工作负载和端点的安全解决方案,才能真正为企业信息安全保驾护航。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31547898/viewspace-2706599/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-07-30

  • 博文量
    162
  • 访问量
    254644