為每個(gè)虛機(jī)度身定制，VMware服務(wù)定義防火墻讓安全不再被動(dòng)

原創(chuàng)
作者：Barry 2019-04-17 16:25:39

云計(jì)算

虛擬化 目前，常見的病毒廠商往往采用先有病毒再有防御機(jī)制的方式，需要定期下載病毒特征庫(kù)進(jìn)行防護(hù)，這就要求企業(yè)先要知道惡意的攻擊手段，因此是一種比較被動(dòng)的方式。

創(chuàng)新互聯(lián)建站提供網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)，品牌網(wǎng)站制作，一元廣告等致力于企業(yè)網(wǎng)站建設(shè)與公司網(wǎng)站制作，10多年的網(wǎng)站開發(fā)和建站經(jīng)驗(yàn),助力企業(yè)信息化建設(shè)，成功案例突破上1000家,是您實(shí)現(xiàn)網(wǎng)站建設(shè)的好選擇.

 【51CTO.com原創(chuàng)稿件】隨著大數(shù)據(jù)和云計(jì)算的應(yīng)用，數(shù)據(jù)中心已經(jīng)成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)的神經(jīng)中樞和核心資產(chǎn)。但當(dāng)前安全威脅形勢(shì)正在變得越來越復(fù)雜，傳統(tǒng)的防火墻、IPS、WAF等對(duì)于惡意數(shù)據(jù)攻擊的防護(hù)能力正在逐漸減弱，已無(wú)法滿足企業(yè)安全需求。常見的病毒廠商往往采用先有病毒再有防御機(jī)制的方式，需要定期下載病毒特征庫(kù)進(jìn)行防護(hù)，這就要求企業(yè)先要知道惡意的攻擊手段，因此是一種比較被動(dòng)的方式。

傳統(tǒng)的防護(hù)被稱之為邊界防火墻。數(shù)據(jù)中心的保護(hù)，最通常的做法就是在數(shù)據(jù)中心的網(wǎng)絡(luò)入口處設(shè)置一個(gè)防火墻，將來自于互聯(lián)網(wǎng)的各種可能攻擊擋在外面。而在企業(yè)內(nèi)網(wǎng)中，電腦和電腦之間是沒有防火墻的，如果攻擊者已經(jīng)通過某種手段進(jìn)入到企業(yè)內(nèi)網(wǎng)，例如網(wǎng)絡(luò)釣魚等常見手段就可以任意妄為了，慢慢地傳播起來。所以，傳統(tǒng)的邊界防火墻，只能防護(hù)從外到內(nèi)的流量，而不能防護(hù)內(nèi)部設(shè)備之間的流量。

VMware大中華區(qū)高級(jí)產(chǎn)品經(jīng)理 傅純一

那么，如何幫助企業(yè)構(gòu)筑一套高效的數(shù)據(jù)中心防護(hù)體系呢？日前，VMware推出了業(yè)界首款服務(wù)定義防火墻，給出了另外一種全新的思路，通過機(jī)器學(xué)習(xí)技術(shù)，對(duì)企業(yè)要保護(hù)的應(yīng)用或服務(wù)的正常工作行為進(jìn)行學(xué)習(xí)，如果發(fā)現(xiàn)與正常行為有偏差，可能就是存在問題的惡意攻擊，此時(shí)就可以采取一系列動(dòng)作，例如停止服務(wù)器的運(yùn)行，或者將管理權(quán)交給VMware的合作伙伴進(jìn)行深入處理分析，這就是服務(wù)定義防火墻最基本的核心概念。VMware大中華區(qū)高級(jí)產(chǎn)品經(jīng)理傅純一對(duì)記者表示，事實(shí)上，VMware在推出服務(wù)定義防火墻之前，就已經(jīng)有了相應(yīng)的解決方案。

據(jù)悉，VMware所說的服務(wù)定義防火墻，其解決方案的核心就是由此前的AppDefense和NSX Data Center一起來聯(lián)合實(shí)現(xiàn)的。AppDefense能夠?qū)ζ髽I(yè)的虛機(jī)、應(yīng)用的行為進(jìn)行分析。在保護(hù)虛機(jī)之前，AppDefense會(huì)先花費(fèi)一段時(shí)間（例如一周、兩周的時(shí)間），學(xué)習(xí)虛機(jī)的正常行為模式。學(xué)習(xí)結(jié)束之后，就可以進(jìn)入保護(hù)模式，凡是與正常行為模式不一樣的，都可以被判定成為是可疑的、有可能是攻擊行為的動(dòng)作，然后就會(huì)采取一系列響應(yīng)。所以，AppDefense首先要對(duì)受保護(hù)的服務(wù)或者應(yīng)用進(jìn)行一個(gè)全面的了解，學(xué)習(xí)它的正常行為，然后再對(duì)他進(jìn)行保護(hù)。

同時(shí)，NSX Data Center可以對(duì)數(shù)據(jù)中心的每一個(gè)虛機(jī)都提供一個(gè)專門定制的防火墻。相比每個(gè)服務(wù)器都配一個(gè)硬件防火墻來說，VMware通過軟件實(shí)現(xiàn)的防火墻可以大大降低成本，只是占用一些額外的CPU和內(nèi)存，就可以實(shí)現(xiàn)防火墻的功能，而且這個(gè)防火墻是針對(duì)每一個(gè)虛機(jī)度身定制的，所以，企業(yè)不用再擔(dān)心新的攻擊手段的出現(xiàn)。不同于以往被動(dòng)的保護(hù)模式，無(wú)論任何新的攻擊手段的出現(xiàn)，攻擊手段的升級(jí)總歸是改變虛機(jī)原有的行為模式，因此，AppDefense都可以識(shí)別出來，把可疑結(jié)果發(fā)送到NSX Data Center防火墻，自動(dòng)生成規(guī)則，進(jìn)而將可疑的訪問行為隔離在虛機(jī)外面，起到保護(hù)虛機(jī)的作用。所以，企業(yè)利用內(nèi)部的防火墻，可以為每一個(gè)虛機(jī)都提供防火墻，在數(shù)據(jù)中心內(nèi)部起到一個(gè)全面的保護(hù)。

服務(wù)定義的防火墻三大特點(diǎn)

傅純一回顧了VMware服務(wù)定義防火墻的發(fā)展之路。2013年，VMware推出NSX，提出了微分段的概念。2017年，推出環(huán)境感知微分段，即微分段2.0。2018年，VMware通過與AppDefense進(jìn)行集成，提出了自適應(yīng)的微分段。今年，VMware提出的服務(wù)定義的防火墻，是逐漸發(fā)展而來的，而且其功能也越來越強(qiáng)，能夠通過全新的防火墻保護(hù)方式縮小攻擊面，具有以下三個(gè)顯著特點(diǎn)：

首先，它是系統(tǒng)原生和固有的。作為VMware vSphere中的模塊，AppDefense可以對(duì)虛機(jī)提供原生保護(hù)，就運(yùn)行在Hypervisor里面。通常情況下，黑客、惡意攻擊都是集中在虛機(jī)，AppDefense可以通過Hypervisor了解虛機(jī)正常的運(yùn)行狀況，對(duì)虛機(jī)里面運(yùn)行的操作系統(tǒng)和應(yīng)用都有很深入的了解，所以能夠?qū)μ摍C(jī)、應(yīng)用有一個(gè)全面的掌握，實(shí)現(xiàn)深度的應(yīng)用體系可見性和控制力。首先，在Hypervisor安裝部署完成后，VMware會(huì)幫助客戶進(jìn)行硬化（Hardening），即把Hypervisor各種可能的漏洞全部堵上。

例如，企業(yè)把遠(yuǎn)程訪問的端口關(guān)上之后，它的安全程度就可以提高。同時(shí)，服務(wù)器都有vSphere的控制臺(tái)，企業(yè)IT人員根據(jù)規(guī)則必須設(shè)置一個(gè)time out的值，比如20分鐘之后，它會(huì)自動(dòng)把控制臺(tái)鎖上，這些都是可能被入侵的環(huán)節(jié)，而VMware能夠把這些環(huán)節(jié)的漏洞都給堵上。其次，相較于Windows、Linux而言，Hypervisor畢竟是一個(gè)封閉的系統(tǒng)，相對(duì)安全很多。因此說，AppDefense運(yùn)行在Hypervisor中受攻擊的可能性非常小。

第二，通過應(yīng)用驗(yàn)證云，能夠把機(jī)器學(xué)習(xí)的Pattern全部匯總在云端，總結(jié)在一起。具體來說，AppDefense是利用人工智能、機(jī)器學(xué)習(xí)技術(shù)來識(shí)別學(xué)習(xí)應(yīng)用的正常行為。學(xué)習(xí)之后會(huì)把學(xué)習(xí)的結(jié)果上傳到云端，為此VMware在云端專門建了應(yīng)用程序驗(yàn)證云（Application Verification Cloud）。目前，AppDefense在全球已經(jīng)擁有成百上千家用戶，每家客戶都在針對(duì)不同的應(yīng)用進(jìn)行學(xué)習(xí)，VMware會(huì)把這些學(xué)習(xí)模式的結(jié)果匯總在一起。

例如，中國(guó)、美國(guó)、日本都有客戶在使用SQL Server，自然而然就會(huì)把學(xué)習(xí)的結(jié)果都匯總在一起，使AppDefense的判斷結(jié)果更加準(zhǔn)確，包括什么樣的行為是SQL Server的正常行為，應(yīng)該訪問哪些端口，應(yīng)該對(duì)服務(wù)請(qǐng)求做出怎樣的響應(yīng)，哪些動(dòng)作是正?；蛘弋惓５?，都會(huì)被記錄在驗(yàn)證云里面。所以，通過SaaS形式，AppDefense基于云服務(wù)把檢查的結(jié)果發(fā)送給NSX Data Center，讓NSX Data Center自動(dòng)生成防火墻的規(guī)則，將惡意的訪問通過定義的規(guī)則擋在虛機(jī)、應(yīng)用外面。

需要注意的是，企業(yè)上傳的不是用戶數(shù)據(jù)，而是Meta Data，這與客戶的業(yè)務(wù)數(shù)據(jù)是完全無(wú)關(guān)的，主要是應(yīng)用正常運(yùn)行的一些模式。應(yīng)用驗(yàn)證云反過來收集的這些智能的信息，會(huì)對(duì)每一個(gè)客戶的數(shù)據(jù)中心環(huán)境提供反向指導(dǎo)，從而能夠使得AppDefense的判斷更加精準(zhǔn)，防止誤判和各種惡意攻擊的漏網(wǎng)。

第三，它是分布在軟件中的，用軟件的方式來實(shí)現(xiàn)的，所以可以在各個(gè)環(huán)境中都保證策略的一致性。在當(dāng)前多云環(huán)境下，企業(yè)的應(yīng)用不僅僅運(yùn)行在私有云中，也有可能運(yùn)行在公有云。公有云有著眾多的供應(yīng)商，企業(yè)在不同的公有云中運(yùn)行和遷移，都需要單獨(dú)配置一套安全規(guī)則。一方面導(dǎo)致了工作負(fù)擔(dān)很繁重，另一方面很容易造成安全漏洞。例如，企業(yè)配置的時(shí)候很容易存在一些漏洞，不同的公有云提供的安全機(jī)制不同，很容易造成安全機(jī)制的不一致，不一致就有可能產(chǎn)生漏洞。

而現(xiàn)在，VMware通過消除各個(gè)云環(huán)境的差異性，保證了在多云的環(huán)境中都能提供一致的安全策略。企業(yè)基于服務(wù)定義防火墻的跨云屬性，無(wú)論企業(yè)在私有云、公有云或者是不同的公有云之間，都有一個(gè)一致的安全策略，實(shí)現(xiàn)了無(wú)處不在的保護(hù)和操作的自動(dòng)化，這也是VMware多云戰(zhàn)略中的一大優(yōu)勢(shì)。

總之，VMware將NSX Data Center和AppDefense配合起來，推動(dòng)了安全技術(shù)的創(chuàng)新演化，共同實(shí)現(xiàn)了業(yè)界首創(chuàng)的服務(wù)定義防火墻（Service-defined Firewall，Service即運(yùn)行在虛機(jī)中的App），通過把傳統(tǒng)被動(dòng)的防御手段變成了主動(dòng)的防御手段，不僅僅是已知攻擊手段才能防護(hù)，對(duì)于未來未知的、可能的各種防御手段都能夠進(jìn)行防護(hù)。

值得注意的是，VMware所提出的服務(wù)定義防火墻解決方案是保護(hù)數(shù)據(jù)中心端的，而在前端，VMware也有相應(yīng)的Workspace ONE來保護(hù)用戶終端的安全。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】

文章題目：為每個(gè)虛機(jī)度身定制，VMware服務(wù)定義防火墻讓安全不再被動(dòng)
文章URL：http://www.dlmjj.cn/article/cosoegc.html