虛擬巨頭早在2013年就開始探討其進軍安全市場的計劃,當(dāng)時NSX之父馬丁-卡薩德(Martin Casado)與RSA已經(jīng)分別討論了其各自技術(shù)專長——即安全與網(wǎng)絡(luò)虛擬化——協(xié)同工作以發(fā)揮作用的潛在可能性。這一思路的核心在于利用虛擬機管理程序作為“Goldilocks區(qū)”,并以此為基礎(chǔ)強制實施安全控制以確保各端點以及網(wǎng)絡(luò)實現(xiàn)彼此隔離。
在此后的數(shù)年當(dāng)中,VMware公司偶爾仍會提及這款被稱為Goldilocks項目的產(chǎn)品,但直到2016年8月才正式展示其工作代碼。而正如我們當(dāng)時在報道中所指出,Goldilocks項目將為各虛擬機發(fā)布“出生證明”,其中將囊括與該虛擬機運行相關(guān)的預(yù)期可執(zhí)行文件、需要觸及網(wǎng)絡(luò)基礎(chǔ)設(shè)施之應(yīng)用程序、用于訪問相關(guān)網(wǎng)絡(luò)的具體端口同時描述其它用于確保該虛擬機及其所運行應(yīng)用程序處于已知安全狀態(tài)的其它各類內(nèi)容。
如果該虛擬機偏離了上述預(yù)期正常運行方式,則VMware將會自動將該虛擬機標(biāo)記為錯誤以警示系統(tǒng)管理員及/或自動化管理方案。在此之后,該方案會克隆一套安全的清潔虛擬機,用以接手可能遭遇入侵之虛擬機中的工作負載。如此一來,企業(yè)一方即可搶在惡意人士執(zhí)行任何破壞性操作之前以非破壞性方式對各可能受到感染的虛擬機加以隔離。
VMware公司正在組織一輪名為“Evole”的全球巡演活動,旨在向更為廣泛的受眾證明這套方案作出的“安全性轉(zhuǎn)變”承諾。在該系列活動中的澳大利亞墨爾本分會當(dāng)中,VMware公司高級副總裁兼網(wǎng)絡(luò)安全總經(jīng)理杰夫-杰寧斯(Jeff Jennings)指出該軟件“著眼于虛擬機的實際運作情景。我們現(xiàn)在能夠監(jiān)控目標(biāo)虛擬機,旨在確定其運作方式與我們的預(yù)期是否吻合。如果不相吻合,則我們可以向您發(fā)出警報,并由您根據(jù)警報內(nèi)容決定希望執(zhí)行的后續(xù)操作。”
這聽起來與Goldilocks項目非常相似。杰寧斯同時補充稱,該公司目前的思路“……是在今年第三季度推出該款產(chǎn)品。而產(chǎn)品的名稱已經(jīng)正式敲定為應(yīng)用防御(App Defence)。”
杰寧斯進一步解釋稱,VMware公司在計劃中建立起一套三管齊下的方案。第一部分已經(jīng)存在于市場當(dāng)中,即該公司推出的NSX網(wǎng)絡(luò)虛擬化產(chǎn)品——其能夠建立經(jīng)過“微分區(qū)”的虛擬網(wǎng)絡(luò),用以限制各類運作行為并將其同特定應(yīng)用程序或者虛擬機加以關(guān)聯(lián)。微分區(qū)正是NSX產(chǎn)品的一種主要使用方式。接下來則是情景分析,這部分功能由Goldilocks/應(yīng)用防御產(chǎn)品負責(zé)提供。最后一部分則為自動化,即以自動化方式處理潛在或者實際安全事故,這將使得保護舉措獲得遠高于傳統(tǒng)方案的速度表現(xiàn)。VMware公司的vRealize Automation似乎正適合扮演計劃中的這部分角色。
杰寧斯同時展示了以下演示文稿,在我們看來未來幾個月內(nèi)這份資料應(yīng)該還會多次出現(xiàn)。
VMware公司的安全架構(gòu)發(fā)展愿景
杰寧斯并沒有解釋應(yīng)用防御產(chǎn)品將如何進行市場銷售或者是否將采取綁定銷售形式。
下面我們來談?wù)勛约旱牟聹y。NSX的實現(xiàn)門檻已經(jīng)非常之低,但對于客戶而言其使用難度仍然不小。因此,也許VMware公司最終會作出艱難的決定,即恢復(fù)以往已經(jīng)被放棄的計劃,甚至面向微分區(qū)用例提供專門的NSX版本。通過這種方式,VMware公司將能夠?qū)崿F(xiàn)NSX與應(yīng)用防御以及vRealize的緊密協(xié)同,從而建立起一套更具訪問易性性而集成度相對較低的安全產(chǎn)品套件。
而這樣的設(shè)計思路還能夠?qū)?yīng)用防御更為順利地引入中端vSphere用戶群體——這部分用戶可能希望擁有更理想的安全性水平,但卻難以消化一套完整的NSX與vRealize實現(xiàn)方案。在這種情況下,簡單易用的軟件包將能夠顯著提升vSphere的業(yè)務(wù)價值。
另外,VMware公司還能夠提供一套實現(xiàn)難度略高的綁定版本,用以滿足其同各大型企業(yè)客戶間的合作需求。
杰寧斯還對所謂第三季度的發(fā)布計劃作出了進一步說明,其中涵蓋分別將于今年8月底與9月中旬召開的VMWorld美國與歐洲大會。
另外還有一項要點:思杰公司已經(jīng)開發(fā)出一些與應(yīng)用防御產(chǎn)品非常類似的解決方案,具體實現(xiàn)途徑則為立足其Hypervisor Introspection產(chǎn)品與安全方案供應(yīng)商BitDefender建立合作。
