睽違已久的vmware公司安全産品即将于今年第三季度推出,并正式定名為“應用防禦(app defence)”。
虛拟巨頭早在2013年就開始探讨其進軍安全市場的計劃,當時nsx之父馬丁-卡薩德(martin casado)與rsa已經分别讨論了其各自技術專長——即安全與網絡虛拟化——協同工作以發揮作用的潛在可能性。這一思路的核心在于利用虛拟機管理程式作為“goldilocks區”,并以此為基礎強制實施安全控制以確定各端點以及網絡實作彼此隔離。
在此後的數年當中,vmware公司偶爾仍會提及這款被稱為goldilocks項目的産品,但直到2016年8月才正式展示其工作代碼。而正如我們當時在報道中所指出,goldilocks項目将為各虛拟機釋出“出生證明”,其中将囊括與該虛拟機運作相關的預期可執行檔案、需要觸及網絡基礎設施之應用程式、用于通路相關網絡的具體端口同時描述其它用于確定該虛拟機及其所運作應用程式處于已知安全狀态的其它各類内容。
如果該虛拟機偏離了上述預期正常運作方式,則vmware将會自動将該虛拟機标記為錯誤以警示系統管理者及/或自動化管理方案。在此之後,該方案會克隆一套安全的清潔虛拟機,用以接手可能遭遇入侵之虛拟機中的工作負載。如此一來,企業一方即可搶在惡意人士執行任何破壞性操作之前以非破壞性方式對各可能受到感染的虛拟機加以隔離。
vmware公司正在組織一輪名為“evole”的全球巡演活動,旨在向更為廣泛的閱聽人證明這套方案作出的“安全性轉變”承諾。在該系列活動中的澳洲墨爾本分會當中,vmware公司進階副總裁兼網絡安全總經理傑夫-傑甯斯(jeff jennings)指出該軟體“着眼于虛拟機的實際運作情景。我們現在能夠監控目标虛拟機,旨在确定其運作方式與我們的預期是否吻合。如果不相吻合,則我們可以向您發出警報,并由您根據警報内容決定希望執行的後續操作。”
這聽起來與goldilocks項目非常相似。傑甯斯同時補充稱,該公司目前的思路“……是在今年第三季度推出該款産品。而産品的名稱已經正式敲定為應用防禦(app defence)。”
傑甯斯進一步解釋稱,vmware公司在計劃中建立起一套三管齊下的方案。第一部分已經存在于市場當中,即該公司推出的nsx網絡虛拟化産品——其能夠建立經過“微分區”的虛拟網絡,用以限制各類運作行為并将其同特定應用程式或者虛拟機加以關聯。微分區正是nsx産品的一種主要使用方式。接下來則是情景分析,這部分功能由goldilocks/應用防禦産品負責提供。最後一部分則為自動化,即以自動化方式處理潛在或者實際安全事故,這将使得保護舉措獲得遠高于傳統方案的速度表現。vmware公司的vrealize automation似乎正适合扮演計劃中的這部分角色。
傑甯斯同時展示了以下示範文稿,在我們看來未來幾個月内這份資料應該還會多次出現。
傑甯斯并沒有解釋應用防禦産品将如何進行市場銷售或者是否将采取綁定銷售形式。
下面我們來談談自己的猜測。nsx的實作門檻已經非常之低,但對于客戶而言其使用難度仍然不小。是以,也許vmware公司最終會作出艱難的決定,即恢複以往已經被放棄的計劃,甚至面向微分區用例提供專門的nsx版本。通過這種方式,vmware公司将能夠實作nsx與應用防禦以及vrealize的緊密協同,進而建立起一套更具通路易性性而內建度相對較低的安全産品套件。
而這樣的設計思路還能夠将應用防禦更為順利地引入中端vsphere使用者群體——這部分使用者可能希望擁有更理想的安全性水準,但卻難以消化一套完整的nsx與vrealize實作方案。在這種情況下,簡單易用的軟體包将能夠顯著提升vsphere的業務價值。
另外,vmware公司還能夠提供一套實作難度略高的綁定版本,用以滿足其同各大型企業客戶間的合作需求。
傑甯斯還對所謂第三季度的釋出計劃作出了進一步說明,其中涵蓋分别将于今年8月底與9月中旬召開的vmworld美國與歐洲大會。
另外還有一項要點:思傑公司已經開發出一些與應用防禦産品非常類似的解決方案,具體實作途徑則為立足其hypervisor introspection産品與安全方案供應商bitdefender建立合作。
原文釋出時間為: 2017年6月26日
本文作者:黃雅琦
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。