虛擬巨頭早在2013年就開(kāi)始探討其進(jìn)軍安全市場(chǎng)的計劃,當時(shí)NSX之父馬丁-卡薩德(Martin Casado)與RSA已經(jīng)分別討論了其各自技術(shù)專(zhuān)長(cháng)——即安全與網(wǎng)絡(luò )虛擬化——協(xié)同工作以發(fā)揮作用的潛在可能性。這一思路的核心在于利用虛擬機管理程序作為“Goldilocks區”,并以此為基礎強制實(shí)施安全控制以確保各端點(diǎn)以及網(wǎng)絡(luò )實(shí)現彼此隔離。
在此后的數年當中,VMware公司偶爾仍會(huì )提及這款被稱(chēng)為Goldilocks項目的產(chǎn)品,但直到2016年8月才正式展示其工作代碼。而正如我們當時(shí)在報道中所指出,Goldilocks項目將為各虛擬機發(fā)布“出生證明”,其中將囊括與該虛擬機運行相關(guān)的預期可執行文件、需要觸及網(wǎng)絡(luò )基礎設施之應用程序、用于訪(fǎng)問(wèn)相關(guān)網(wǎng)絡(luò )的具體端口同時(shí)描述其它用于確保該虛擬機及其所運行應用程序處于已知安全狀態(tài)的其它各類(lèi)內容。
如果該虛擬機偏離了上述預期正常運行方式,則VMware將會(huì )自動(dòng)將該虛擬機標記為錯誤以警示系統管理員及/或自動(dòng)化管理方案。在此之后,該方案會(huì )克隆一套安全的清潔虛擬機,用以接手可能遭遇入侵之虛擬機中的工作負載。如此一來(lái),企業(yè)一方即可搶在惡意人士執行任何破壞性操作之前以非破壞性方式對各可能受到感染的虛擬機加以隔離。
VMware公司正在組織一輪名為“Evole”的全球巡演活動(dòng),旨在向更為廣泛的受眾證明這套方案作出的“安全性轉變”承諾。在該系列活動(dòng)中的澳大利亞墨爾本分會(huì )當中,VMware公司高級副總裁兼網(wǎng)絡(luò )安全總經(jīng)理杰夫-杰寧斯(Jeff Jennings)指出該軟件“著(zhù)眼于虛擬機的實(shí)際運作情景。我們現在能夠監控目標虛擬機,旨在確定其運作方式與我們的預期是否吻合。如果不相吻合,則我們可以向您發(fā)出警報,并由您根據警報內容決定希望執行的后續操作。”
這聽(tīng)起來(lái)與Goldilocks項目非常相似。杰寧斯同時(shí)補充稱(chēng),該公司目前的思路“……是在今年第三季度推出該款產(chǎn)品。而產(chǎn)品的名稱(chēng)已經(jīng)正式敲定為應用防御(App Defence)。”
杰寧斯進(jìn)一步解釋稱(chēng),VMware公司在計劃中建立起一套三管齊下的方案。第一部分已經(jīng)存在于市場(chǎng)當中,即該公司推出的NSX網(wǎng)絡(luò )虛擬化產(chǎn)品——其能夠建立經(jīng)過(guò)“微分區”的虛擬網(wǎng)絡(luò ),用以限制各類(lèi)運作行為并將其同特定應用程序或者虛擬機加以關(guān)聯(lián)。微分區正是NSX產(chǎn)品的一種主要使用方式。接下來(lái)則是情景分析,這部分功能由Goldilocks/應用防御產(chǎn)品負責提供。最后一部分則為自動(dòng)化,即以自動(dòng)化方式處理潛在或者實(shí)際安全事故,這將使得保護舉措獲得遠高于傳統方案的速度表現。VMware公司的vRealize Automation似乎正適合扮演計劃中的這部分角色。
杰寧斯同時(shí)展示了以下演示文稿,在我們看來(lái)未來(lái)幾個(gè)月內這份資料應該還會(huì )多次出現。
VMware公司的安全架構發(fā)展愿景
杰寧斯并沒(méi)有解釋?xiě)梅烙a(chǎn)品將如何進(jìn)行市場(chǎng)銷(xiāo)售或者是否將采取綁定銷(xiāo)售形式。
下面我們來(lái)談?wù)勛约旱牟聹y。NSX的實(shí)現門(mén)檻已經(jīng)非常之低,但對于客戶(hù)而言其使用難度仍然不小。因此,也許VMware公司最終會(huì )作出艱難的決定,即恢復以往已經(jīng)被放棄的計劃,甚至面向微分區用例提供專(zhuān)門(mén)的NSX版本。通過(guò)這種方式,VMware公司將能夠實(shí)現NSX與應用防御以及vRealize的緊密協(xié)同,從而建立起一套更具訪(fǎng)問(wèn)易性性而集成度相對較低的安全產(chǎn)品套件。
而這樣的設計思路還能夠將應用防御更為順利地引入中端vSphere用戶(hù)群體——這部分用戶(hù)可能希望擁有更理想的安全性水平,但卻難以消化一套完整的NSX與vRealize實(shí)現方案。在這種情況下,簡(jiǎn)單易用的軟件包將能夠顯著(zhù)提升vSphere的業(yè)務(wù)價(jià)值。
另外,VMware公司還能夠提供一套實(shí)現難度略高的綁定版本,用以滿(mǎn)足其同各大型企業(yè)客戶(hù)間的合作需求。
杰寧斯還對所謂第三季度的發(fā)布計劃作出了進(jìn)一步說(shuō)明,其中涵蓋分別將于今年8月底與9月中旬召開(kāi)的VMWorld美國與歐洲大會(huì )。
另外還有一項要點(diǎn):思杰公司已經(jīng)開(kāi)發(fā)出一些與應用防御產(chǎn)品非常類(lèi)似的解決方案,具體實(shí)現途徑則為立足其Hypervisor Introspection產(chǎn)品與安全方案供應商BitDefender建立合作。
