傳統環(huán)境下重要數據都保存在數據中心中，安全模型都是采用網(wǎng)絡(luò )為中心的防護，基于邊界的安全理念，那么一旦邊界被攻破，安全威脅就會(huì )在數據中心內部橫向的蔓延。在多云的時(shí)代，我們的應用運行在全球的各個(gè)數據中心里，我們應該轉變思路，并以數據和應用為中心來(lái)建立一個(gè)多云防護的安全理念，運用持續評估和動(dòng)態(tài)訪(fǎng)問(wèn)策略，建立主動(dòng)的自動(dòng)化防御能力。

　　隨著(zhù)分布式應用以及容器化應用的部署，有超過(guò) 80% 的流量都是數據中心內部的流量，這些流量包括應用內部不同層以及應用之間的調用流量，這些流量很有可能夾雜著(zhù)一些攻擊的流量。數據中心內的其中一個(gè)應用被攻破之后，惡意軟件和威脅也會(huì )在云內以及云間進(jìn)行橫向移動(dòng)，最終整個(gè)數據中心都受到了安全的威脅。那么如何阻止這些行為的發(fā)生，如何阻止威脅的橫向蔓延，如何構建一個(gè)網(wǎng)絡(luò )拓撲無(wú)關(guān)的安全防護體系是我們接下來(lái)要討論的話(huà)題。

　　我們可以通過(guò) NSX 新一代的網(wǎng)絡(luò )安全防御平臺來(lái)提供云內的安全防護，尤其是東西向流量的安全保護。VMware 早在 7 年前就開(kāi)始提供了分布式防火墻以及微分段的技術(shù)，這些年一直不斷的創(chuàng )新，提供了一個(gè) L4 - L7 的狀態(tài)化防火墻，現在演進(jìn)為一個(gè)服務(wù)定義的防火墻，它專(zhuān)門(mén)用于跨虛擬機、祼金屬服務(wù)器、云以及容器來(lái)檢測和防御東西向的安全威脅。

　　VMware 現在擁有全套先進(jìn)的威脅檢測功能，包括一項新的沙箱技術(shù)、網(wǎng)絡(luò )流量分析以及強大的管理和分析框架。在方案中，我們有集中的管理和分析層，具有多站點(diǎn)多云的安全管理功能，通過(guò) NSX Federation 在多數據中心多云環(huán)境中提供統一的安全視圖，同時(shí)通過(guò) NSX Intelligence 提供自動(dòng)化的應用拓撲映射和安全策略的制定。

　　NSX 防火墻的核心功能集是訪(fǎng)問(wèn)控制，通過(guò) NSX 防火墻可以減小攻擊面。它有兩種形式，一種是上圖左側的分布式防火墻，采用了分布式的架構，上圖右邊是網(wǎng)關(guān)防火墻。大多數人可能都知道，分布式防火墻本質(zhì)上是一個(gè)透明的 4 層到 7 層的防火墻，它直接應用于工作負載的網(wǎng)絡(luò )接口，并在 hypervisor 的內核中運行。NSX 分布式防火墻可以實(shí)現虛擬機、裸金屬服務(wù)器以及容器的安全隔離，實(shí)現一體化的管理，同時(shí)，如果使用分布式防火墻的話(huà)，我們只要簡(jiǎn)單的把分布式防火墻直接插入到 hypervisor 的內核中，而不需要改變物理網(wǎng)絡(luò )的架構，同時(shí)還可以基于虛擬機的屬性，比如虛擬機的名稱(chēng)、虛擬機的標記來(lái)實(shí)現動(dòng)態(tài)的安全組。

　　其次我們再看一下網(wǎng)關(guān)防火墻，網(wǎng)關(guān)防火墻與分布式防火墻不同，分布式防火墻相當于透明式的防火墻，而網(wǎng)關(guān)防火墻必須位于網(wǎng)絡(luò )的路徑中，網(wǎng)關(guān)防火墻更多的是用于租戶(hù)之間以及南北向的網(wǎng)絡(luò )流量，網(wǎng)關(guān)防火墻通常要部署在 T0 或 T1 的路由器上，T0 或 T1 的路由器要關(guān)聯(lián)到 Edge 上。

　　除了分布式防火墻、網(wǎng)關(guān)防火墻外，NSX 還提供了更高級的安全威脅檢測和響應能力，它提供了最強的數據中心防御能力。

　　分布式的 IDS/IPS，基于最新的以及動(dòng)態(tài)生成特征庫準確地識別安全威脅并且提供了對已知的的攻擊防御能力。

　　網(wǎng)絡(luò )沙箱，它能過(guò)全系統仿真沙箱技術(shù)深入的了解應用程序的行為，分析檢測和阻止未知的安全威脅。

　　NTA，網(wǎng)絡(luò )流量分析，它利用了人工智能和以威脅為中心的模型來(lái)檢測網(wǎng)絡(luò )中僅靠特征庫無(wú)法檢測的惡意活動(dòng)，比如說(shuō)端口掃描等。

　　分布式 IDS/IPS、網(wǎng)絡(luò )沙箱和 NTA 組件都會(huì )產(chǎn)生與單個(gè)主機相關(guān)的告警，這些告警信息也會(huì )關(guān)聯(lián)到 NDR 引擎，通過(guò)這些告警的聚合，為安全分析人員提供一個(gè)高級的威脅檢測和響應能力。

　　那我們先看一下 NSX 分布式 IDS/IPS。傳統的 IDS/IPS 以及分析的平臺部署全部采用集中式的部署，而且需要通過(guò)流量鏡像的方式把應用的流量鏡像到 IDS 上。而 IPS 接到網(wǎng)絡(luò )中，我們還要考慮如果將流量通過(guò)路由的方式引到 IPS 設備上去。另外，傳統的 IDS/IPS 都是采用硬件來(lái)部署，一方面由于流量要集中到 IDS 和 IPS，所以 IDS/IPS 可能會(huì )產(chǎn)生性能上的瓶頸，如果要增加性能，就要將現有的 IDS/IPS 替換成能力更強的設備。由于都是硬件設備，所以部署這些安全設備，需要額外的機房空間、電力以及制冷系統，還要定期地對這些硬件設備進(jìn)行巡檢。而 NSX 分布式 IDS/IPS 采用分布式架構，直接將 IDS/IPS 應用到 hypervisor 層，而且提供了豐富的入侵日志并提供宿源的能力。如下圖所示：

　　

　　上圖是 NSX 分布式 IDS/IPS 威脅事件的可視化界面。在這個(gè)界面上可以顯示所有的攻擊的行為。我們看到，這里有很多的點(diǎn)，點(diǎn)的大小和顏色代表的威脅的嚴重的程度，如果有的點(diǎn)在不停的閃爍的話(huà)，代表在那個(gè)時(shí)間點(diǎn)有攻擊行為發(fā)生。那我們看一下圖的上部，這里邊可以過(guò)濾我們要查看的事件，我們可以選擇極高風(fēng)險、高風(fēng)險等不同級別的事件進(jìn)行查看。在入侵細部分，我們看到了攻擊的日志，我們從這個(gè)圖上可以看到非常詳細的信息，這些信息包括攻擊的來(lái)源，攻擊的目的 IP，以及攻擊的方式，還有攻擊的類(lèi)型，匹配的特征碼以及這個(gè)攻擊行為影響的虛擬機等信息，在右下角，我們看到了柱狀圖，柱狀圖的顏色代表了哪些是被檢測到的攻擊哪些是被阻止的攻擊類(lèi)型。

　　IDS/IPS 更多的是基于特征庫的安全防護，多數為已知的安全威脅，那么對于那些未知的安全威脅，該如何提供安全防御的能力呢。接下來(lái)介紹一下通過(guò)全系統仿真沙箱技術(shù)。

　　

　　VMware 的沙箱的特點(diǎn)是它使用了一個(gè)完整的系統仿真分析應用，這使我們能夠看到應用內部的進(jìn)程執行情況。而傳統的沙箱只能看到應用程序和底層操作系統的調用。也就是說(shuō)，傳統的沙箱將應用程序看作為一個(gè)黑匣子，黑匣子里邊發(fā)生了什么，我們不知道。而 VMware 的沙箱技術(shù)可以打開(kāi)這個(gè)黑匣子，看到這個(gè)黑匣子內部的一些行為。在上圖中橙色的部分，我們看到應用程序正在檢查是否有沙箱的存在，如果檢查到了沙箱的存在，它就會(huì )執行指定規避這個(gè)檢查。通過(guò)這種額外的可視性，很明顯我們更容易檢測到逃逸的行為。通過(guò)這個(gè)全系統仿真沙箱，我們對應用程序的行為更加深入地理解，更容易發(fā)現惡意的軟件以及安全風(fēng)險。

　

　　接下來(lái)讓我們來(lái)詳細地看一看 NTA 網(wǎng)絡(luò )流量分析組件。我們在 NTA 中使用了人工智能建立的模型來(lái)檢測惡意的網(wǎng)絡(luò )流量。為檢測到惡意的網(wǎng)絡(luò )流量，可以通過(guò)以下兩個(gè)步驟來(lái)去實(shí)現：第一步，所有的網(wǎng)絡(luò )流量使用非監督式的機器學(xué)習模型識別網(wǎng)絡(luò )中的異常流量，并且把這些異常的流量與正常的流量區分開(kāi)，但這還不夠，因為并不是每一個(gè)異常現象都是一種威脅，在第二步中，我們對異常的流量使用以威脅為中心的機器學(xué)習模型，這些模型允許我們能夠識別真正的威脅，并且減少誤報。

　　那么，在這里我們以威脅為中心的機器學(xué)習模型使用了監督式的機器學(xué)習，那如何去訓練他們呢？我們在這里可以通過(guò)沙箱每天分析的數百萬(wàn)個(gè)樣本來(lái)去訓練他們。

　　在整體方案之上，VMware 還提供了集中的策略分析和策略推薦引擎，通過(guò)對惡意的行為分析，提供整體的安全事件響應清單。vRNI 和 NSX intelligence 提供了應用的拓撲發(fā)現以及策略的推薦，為安全團隊提供安全行為分析和策略的推薦，簡(jiǎn)化多云環(huán)境下的安全運維管理。

　　為滿(mǎn)足多云時(shí)代網(wǎng)絡(luò )和安全的需求，NSX 高級安全威脅和防御平臺可以為任意類(lèi)型的工作負載提供安全防御能力，通過(guò) NSX 防火墻減小攻擊面，通過(guò)分布式 IDS/IPS 以及網(wǎng)絡(luò )沙箱對已知以及未知的惡意行為進(jìn)行檢測和阻止，實(shí)現了在多云時(shí)代零信任的安全。