【51CTO.com原创稿件】随着大数据和云计算的应用,数据中心已经成为企业业务运营的神经中枢和核心资产。但当前安全威胁形势正在变得越来越复杂,传统的防火墙、IPS、WAF等对于恶意数据攻击的防护能力正在逐渐减弱,已无法满足企业安全需求。常见的病毒厂商往往采用先有病毒再有防御机制的方式,需要定期下载病毒特征库进行防护,这就要求企业先要知道恶意的攻击手段,因此是一种比较被动的方式。
传统的防护被称之为边界防火墙。数据中心的保护,最通常的做法就是在数据中心的网络入口处设置一个防火墙,将来自于互联网的各种可能攻击挡在外面。而在企业内网中,电脑和电脑之间是没有防火墙的,如果攻击者已经通过某种手段进入到企业内网,例如网络钓鱼等常见手段就可以任意妄为了,慢慢地传播起来。所以,传统的边界防火墙,只能防护从外到内的流量,而不能防护内部设备之间的流量。
VMware大中华区高级产品经理 傅纯一
那么,如何帮助企业构筑一套高效的数据中心防护体系呢?日前,VMware推出了业界首款服务定义防火墙,给出了另外一种全新的思路,通过机器学习技术,对企业要保护的应用或服务的正常工作行为进行学习,如果发现与正常行为有偏差,可能就是存在问题的恶意攻击,此时就可以采取一系列动作,例如停止服务器的运行,或者将管理权交给VMware的合作伙伴进行深入处理分析,这就是服务定义防火墙最基本的核心概念。VMware大中华区高级产品经理傅纯一对记者表示,事实上,VMware在推出服务定义防火墙之前,就已经有了相应的解决方案。
据悉,VMware所说的服务定义防火墙,其解决方案的核心就是由此前的AppDefense和NSX Data Center一起来联合实现的。AppDefense能够对企业的虚机、应用的行为进行分析。在保护虚机之前,AppDefense会先花费一段时间(例如一周、两周的时间),学习虚机的正常行为模式。学习结束之后,就可以进入保护模式,凡是与正常行为模式不一样的,都可以被判定成为是可疑的、有可能是攻击行为的动作,然后就会采取一系列响应。所以,AppDefense首先要对受保护的服务或者应用进行一个全面的了解,学习它的正常行为,然后再对他进行保护。
同时,NSX Data Center可以对数据中心的每一个虚机都提供一个专门定制的防火墙。相比每个服务器都配一个硬件防火墙来说,VMware通过软件实现的防火墙可以大大降低成本,只是占用一些额外的CPU和内存,就可以实现防火墙的功能,而且这个防火墙是针对每一个虚机度身定制的,所以,企业不用再担心新的攻击手段的出现。不同于以往被动的保护模式,无论任何新的攻击手段的出现,攻击手段的升级总归是改变虚机原有的行为模式,因此,AppDefense都可以识别出来,把可疑结果发送到NSX Data Center防火墙,自动生成规则,进而将可疑的访问行为隔离在虚机外面,起到保护虚机的作用。所以,企业利用内部的防火墙,可以为每一个虚机都提供防火墙,在数据中心内部起到一个全面的保护。
服务定义的防火墙三大特点
傅纯一回顾了VMware服务定义防火墙的发展之路。2013年,VMware推出NSX,提出了微分段的概念。2017年,推出环境感知微分段,即微分段2.0。2018年,VMware通过与AppDefense进行集成,提出了自适应的微分段。今年,VMware提出的服务定义的防火墙,是逐渐发展而来的,而且其功能也越来越强,能够通过全新的防火墙保护方式缩小攻击面,具有以下三个显著特点:
首先,它是系统原生和固有的。作为VMware vSphere中的模块,AppDefense可以对虚机提供原生保护,就运行在Hypervisor里面。通常情况下,黑客、恶意攻击都是集中在虚机,AppDefense可以通过Hypervisor了解虚机正常的运行状况,对虚机里面运行的操作系统和应用都有很深入的了解,所以能够对虚机、应用有一个全面的掌握,实现深度的应用体系可见性和控制力。首先,在Hypervisor安装部署完成后,VMware会帮助客户进行硬化(Hardening),即把Hypervisor各种可能的漏洞全部堵上。
例如,企业把远程访问的端口关上之后,它的安全程度就可以提高。同时,服务器都有vSphere的控制台,企业IT人员根据规则必须设置一个time out的值,比如20分钟之后,它会自动把控制台锁上,这些都是可能被入侵的环节,而VMware能够把这些环节的漏洞都给堵上。其次,相较于Windows、Linux而言,Hypervisor毕竟是一个封闭的系统,相对安全很多。因此说,AppDefense运行在Hypervisor中受攻击的可能性非常小。
第二,通过应用验证云,能够把机器学习的Pattern全部汇总在云端,总结在一起。具体来说,AppDefense是利用人工智能、机器学习技术来识别学习应用的正常行为。学习之后会把学习的结果上传到云端,为此VMware在云端专门建了应用程序验证云(Application Verification Cloud)。目前,AppDefense在全球已经拥有成百上千家用户,每家客户都在针对不同的应用进行学习,VMware会把这些学习模式的结果汇总在一起。
例如,中国、美国、日本都有客户在使用SQL Server,自然而然就会把学习的结果都汇总在一起,使AppDefense的判断结果更加准确,包括什么样的行为是SQL Server的正常行为,应该访问哪些端口,应该对服务请求做出怎样的响应,哪些动作是正常或者异常的,都会被记录在验证云里面。所以,通过SaaS形式,AppDefense基于云服务把检查的结果发送给NSX Data Center,让NSX Data Center自动生成防火墙的规则,将恶意的访问通过定义的规则挡在虚机、应用外面。
需要注意的是,企业上传的不是用户数据,而是Meta Data,这与客户的业务数据是完全无关的,主要是应用正常运行的一些模式。应用验证云反过来收集的这些智能的信息,会对每一个客户的数据中心环境提供反向指导,从而能够使得AppDefense的判断更加精准,防止误判和各种恶意攻击的漏网。
第三,它是分布在软件中的,用软件的方式来实现的,所以可以在各个环境中都保证策略的一致性。在当前多云环境下,企业的应用不仅仅运行在私有云中,也有可能运行在公有云。公有云有着众多的供应商,企业在不同的公有云中运行和迁移,都需要单独配置一套安全规则。一方面导致了工作负担很繁重,另一方面很容易造成安全漏洞。例如,企业配置的时候很容易存在一些漏洞,不同的公有云提供的安全机制不同,很容易造成安全机制的不一致,不一致就有可能产生漏洞。
而现在,VMware通过消除各个云环境的差异性,保证了在多云的环境中都能提供一致的安全策略。企业基于服务定义防火墙的跨云属性,无论企业在私有云、公有云或者是不同的公有云之间,都有一个一致的安全策略,实现了无处不在的保护和操作的自动化,这也是VMware多云战略中的一大优势。
总之,VMware将NSX Data Center和AppDefense配合起来,推动了安全技术的创新演化,共同实现了业界首创的服务定义防火墙(Service-defined Firewall,Service即运行在虚机中的App),通过把传统被动的防御手段变成了主动的防御手段,不仅仅是已知攻击手段才能防护,对于未来未知的、可能的各种防御手段都能够进行防护。
值得注意的是,VMware所提出的服务定义防火墙解决方案是保护数据中心端的,而在前端,VMware也有相应的Workspace ONE来保护用户终端的安全。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
