保護(hù)本地與云中應(yīng)用程序和數(shù)據(jù)

VMware（NYSE： VMW）上周發(fā)布服務(wù)定義防火墻（Service-defined Firewall）。安全是基礎(chǔ)架構(gòu)的固有部分，這種內(nèi)部防火墻的創(chuàng)新方式可以縮小本地與云環(huán)境的攻擊面。憑借業(yè)經(jīng)驗(yàn)證的VMware NSX Data Center及VMware AppDefense功能，VMware 服務(wù)定義防火墻將前所未有的應(yīng)用程序可見性、對應(yīng)用程序的已知良好行為的識別與智能、自動(dòng)化和自適應(yīng)防火墻功能相結(jié)合，幫助更好地保護(hù)應(yīng)用程序、數(shù)據(jù)和用戶。

VMware高級副總裁兼網(wǎng)絡(luò)和安全業(yè)務(wù)部總經(jīng)理Tom Gillis表示：“固有安全性與集成安全性不同。集成安全性重新打包現(xiàn)有解決方案，例如采用傳統(tǒng)防火墻，使其成為數(shù)據(jù)中心交換機(jī)的刀片服務(wù)器。這不會(huì)從根本上改變防火墻。固有安全性利用虛擬化平臺(tái)內(nèi)置的特性，允許我們創(chuàng)建全新、獨(dú)特的安全服務(wù)。全新VMware 服務(wù)定義防火墻專注于內(nèi)部網(wǎng)絡(luò)防火墻，通過驗(yàn)證應(yīng)用程序的已知良好行為來改變行業(yè)規(guī)則，而非追逐威脅?！?/p>

專注于應(yīng)用程序的已知良好行為的概念也曾嘗試落地，但挑戰(zhàn)始終在于無法全面理解應(yīng)用程序。一些解決方案已經(jīng)在客戶機(jī)中安裝代理來完成這一任務(wù)，但基于代理的解決方案在增加復(fù)雜性的同時(shí)吸引力有限，如果惡意攻擊者獲得root權(quán)限（它提供了對主機(jī)的完全控制），便可以完全繞過代理。此外，隨著應(yīng)用程序變得更加分布式，安全性也需要向分布式轉(zhuǎn)變。將東西向流量導(dǎo)流到硬件設(shè)備或虛擬實(shí)例中進(jìn)行檢查是不切實(shí)際的。

VMware 服務(wù)定義防火墻解決方案采用完全不同的防火墻策略，關(guān)注企業(yè)熟悉的資產(chǎn)，而不是詳細(xì)檢查未知的應(yīng)用程序。

該解決方案可以在裸機(jī)、虛擬機(jī)和基于容器的應(yīng)用程序環(huán)境中運(yùn)行，未來還將支持VMware Cloud on AWS、AWS Outposts等混合云環(huán)境。企業(yè)可將其作為滿足內(nèi)部需求的單一防火墻解決方案。VMware 服務(wù)定義防火墻解決方案擁有以下特性：

應(yīng)用程序驗(yàn)證云

VMware在主機(jī)中的位置允許服務(wù)定義防火墻通過隨時(shí)間的變化深入了解應(yīng)用程序及其成百上千的微服務(wù)。該解決方案的應(yīng)用程序驗(yàn)證云通過使用全球數(shù)百萬虛擬機(jī)的機(jī)器智能，構(gòu)建對應(yīng)用程序預(yù)期的“已知良好”狀態(tài)的精確映射。一旦對應(yīng)用程序的已知良好行為建立業(yè)經(jīng)認(rèn)證的理解，該解決方案就可以為服務(wù)定義防火墻解決方案生成支持第7層的自適應(yīng)安全策略，并執(zhí)行完整的狀態(tài)檢查。

免受來自虛機(jī)層面的攻擊

服務(wù)定義防火墻解決方案利用VMware固有能力，在不駐留虛機(jī)的情況下檢查虛機(jī)操作系統(tǒng)和應(yīng)用程序。這意味著即使惡意攻擊者獲得了虛機(jī)root權(quán)限，也無法繞過服務(wù)定義防火墻，該解決方案可以檢測和阻止網(wǎng)絡(luò)中的惡意流量。除此之外，還可以在運(yùn)行時(shí)對虛機(jī)本身進(jìn)行自我檢查，識別并阻止操作系統(tǒng)或應(yīng)用程序中的任何惡意行為。這一獨(dú)特功能相當(dāng)于一種全新的網(wǎng)絡(luò)防火墻和主機(jī)IPS方法。

分布在軟件中

傳統(tǒng)的硬件防火墻需要將虛擬環(huán)境網(wǎng)絡(luò)通信導(dǎo)流到硬件設(shè)備中進(jìn)行掃描。這種方法低效且難以擴(kuò)展，特別是對于具有許多組件或服務(wù)的現(xiàn)代應(yīng)用程序而言，這些組件或服務(wù)運(yùn)行在許多服務(wù)器上且經(jīng)?？绮煌脑啤Ｍ耆谲浖腣Mware 服務(wù)定義防火墻，擁有高度分布式結(jié)構(gòu)，從而能夠跨云運(yùn)行在應(yīng)用程序所運(yùn)行的任意位置。這意味著可以一致地執(zhí)行策略，而無需對跨云環(huán)境的流量進(jìn)行復(fù)雜的導(dǎo)流傳輸。

Interfaith醫(yī)療中心信息安全副總裁助理Christopher Frenz表示：“保護(hù)我們的應(yīng)用程序和患者數(shù)據(jù)至關(guān)重要，我們?yōu)樘岣甙踩运龅娜魏问虑樽罱K都會(huì)影響患者的安全。由于應(yīng)用程序激增和我們的應(yīng)用程序正在快速變化，如何比威脅先行一步是我們面臨的最大安全挑戰(zhàn)之一。我們相信VMware能夠?yàn)槲覀兲峁┯行У慕鉀Q方案保護(hù)應(yīng)用程序，也很高興看到VMware推出服務(wù)定義防火墻以促進(jìn)內(nèi)部防火墻發(fā)展”。

VMware 服務(wù)定義防火墻應(yīng)對真實(shí)攻擊場景

為了驗(yàn)證VMware服務(wù)定義防火墻的有效性，VMware與幫助企業(yè)衡量、管理和提高網(wǎng)絡(luò)安全有效性的領(lǐng)導(dǎo)者Verodin進(jìn)行合作。VMware利用Verodin的安全檢測平臺(tái)（Security Instrumentation Platform，SIP）來驗(yàn)證VMware服務(wù)定義防火墻是否能夠有效識別、阻止已知或未知威脅。VMware 服務(wù)定義防火墻在檢測和預(yù)防兩種運(yùn)行模式中均成功探測或阻止了Verodin測試序列中使用的100%惡意攻擊。

Verodin首席執(zhí)行官Christopher Key表示：“防御者的任務(wù)是保護(hù)他們在操作上不擁有或控制的業(yè)務(wù)關(guān)鍵型應(yīng)用程序。應(yīng)用程序的快速開發(fā)以及分布式與混合環(huán)境的日漸復(fù)雜，使得應(yīng)用程序的保護(hù)難度呈指數(shù)增長。Verodin SIP為企業(yè)提供必要證據(jù)，以證實(shí)其控件能夠在實(shí)際生產(chǎn)環(huán)境中提供所需保護(hù)。這些使用Verodin SIP的測試展示了VMware服務(wù)定義防火墻能夠以最小的努力縮小攻擊面。當(dāng)基礎(chǔ)架構(gòu)自身就能夠強(qiáng)制保證應(yīng)用程序的已知良好行為和通信時(shí)，常見的攻擊策略和技術(shù)就會(huì)變得越來越難以得逞?！?/p>