【51CTO.com原創(chuàng)稿件】隨著大數(shù)據(jù)和云計算的應用，數(shù)據(jù)中心已經(jīng)成為企業(yè)業(yè)務運營的神經(jīng)中樞和核心資產(chǎn)。但當前安全威脅形勢正在變得越來越復雜，傳統(tǒng)的防火墻、IPS、WAF等對于惡意數(shù)據(jù)攻擊的防護能力正在逐漸減弱，已無法滿足企業(yè)安全需求。常見的病毒廠商往往采用先有病毒再有防御機制的方式，需要定期下載病毒特征庫進行防護，這就要求企業(yè)先要知道惡意的攻擊手段，因此是一種比較被動的方式。

傳統(tǒng)的防護被稱之為邊界防火墻。數(shù)據(jù)中心的保護，最通常的做法就是在數(shù)據(jù)中心的網(wǎng)絡入口處設置一個防火墻，將來自于互聯(lián)網(wǎng)的各種可能攻擊擋在外面。而在企業(yè)內(nèi)網(wǎng)中，電腦和電腦之間是沒有防火墻的，如果攻擊者已經(jīng)通過某種手段進入到企業(yè)內(nèi)網(wǎng)，例如網(wǎng)絡釣魚等常見手段就可以任意妄為了，慢慢地傳播起來。所以，傳統(tǒng)的邊界防火墻，只能防護從外到內(nèi)的流量，而不能防護內(nèi)部設備之間的流量。

[[262810]]

VMware大中華區(qū)高級產(chǎn)品經(jīng)理 傅純一

那么，如何幫助企業(yè)構(gòu)筑一套高效的數(shù)據(jù)中心防護體系呢？日前，VMware推出了業(yè)界首款服務定義防火墻，給出了另外一種全新的思路，通過機器學習技術(shù)，對企業(yè)要保護的應用或服務的正常工作行為進行學習，如果發(fā)現(xiàn)與正常行為有偏差，可能就是存在問題的惡意攻擊，此時就可以采取一系列動作，例如停止服務器的運行，或者將管理權(quán)交給VMware的合作伙伴進行深入處理分析，這就是服務定義防火墻最基本的核心概念。VMware大中華區(qū)高級產(chǎn)品經(jīng)理傅純一對記者表示，事實上，VMware在推出服務定義防火墻之前，就已經(jīng)有了相應的解決方案。

據(jù)悉，VMware所說的服務定義防火墻，其解決方案的核心就是由此前的AppDefense和NSX Data Center一起來聯(lián)合實現(xiàn)的。AppDefense能夠?qū)ζ髽I(yè)的虛機、應用的行為進行分析。在保護虛機之前，AppDefense會先花費一段時間（例如一周、兩周的時間），學習虛機的正常行為模式。學習結(jié)束之后，就可以進入保護模式，凡是與正常行為模式不一樣的，都可以被判定成為是可疑的、有可能是攻擊行為的動作，然后就會采取一系列響應。所以，AppDefense首先要對受保護的服務或者應用進行一個全面的了解，學習它的正常行為，然后再對他進行保護。

同時，NSX Data Center可以對數(shù)據(jù)中心的每一個虛機都提供一個專門定制的防火墻。相比每個服務器都配一個硬件防火墻來說，VMware通過軟件實現(xiàn)的防火墻可以大大降低成本，只是占用一些額外的CPU和內(nèi)存，就可以實現(xiàn)防火墻的功能，而且這個防火墻是針對每一個虛機度身定制的，所以，企業(yè)不用再擔心新的攻擊手段的出現(xiàn)。不同于以往被動的保護模式，無論任何新的攻擊手段的出現(xiàn)，攻擊手段的升級總歸是改變虛機原有的行為模式，因此，AppDefense都可以識別出來，把可疑結(jié)果發(fā)送到NSX Data Center防火墻，自動生成規(guī)則，進而將可疑的訪問行為隔離在虛機外面，起到保護虛機的作用。所以，企業(yè)利用內(nèi)部的防火墻，可以為每一個虛機都提供防火墻，在數(shù)據(jù)中心內(nèi)部起到一個全面的保護。

服務定義的防火墻三大特點

傅純一回顧了VMware服務定義防火墻的發(fā)展之路。2013年，VMware推出NSX，提出了微分段的概念。2017年，推出環(huán)境感知微分段，即微分段2.0。2018年，VMware通過與AppDefense進行集成，提出了自適應的微分段。今年，VMware提出的服務定義的防火墻，是逐漸發(fā)展而來的，而且其功能也越來越強，能夠通過全新的防火墻保護方式縮小攻擊面，具有以下三個顯著特點：

首先，它是系統(tǒng)原生和固有的。作為VMware vSphere中的模塊，AppDefense可以對虛機提供原生保護，就運行在Hypervisor里面。通常情況下，黑客、惡意攻擊都是集中在虛機，AppDefense可以通過Hypervisor了解虛機正常的運行狀況，對虛機里面運行的操作系統(tǒng)和應用都有很深入的了解，所以能夠?qū)μ摍C、應用有一個全面的掌握，實現(xiàn)深度的應用體系可見性和控制力。首先，在Hypervisor安裝部署完成后，VMware會幫助客戶進行硬化（Hardening），即把Hypervisor各種可能的漏洞全部堵上。

例如，企業(yè)把遠程訪問的端口關(guān)上之后，它的安全程度就可以提高。同時，服務器都有vSphere的控制臺，企業(yè)IT人員根據(jù)規(guī)則必須設置一個time out的值，比如20分鐘之后，它會自動把控制臺鎖上，這些都是可能被入侵的環(huán)節(jié)，而VMware能夠把這些環(huán)節(jié)的漏洞都給堵上。其次，相較于Windows、Linux而言，Hypervisor畢竟是一個封閉的系統(tǒng)，相對安全很多。因此說，AppDefense運行在Hypervisor中受攻擊的可能性非常小。

第二，通過應用驗證云，能夠把機器學習的Pattern全部匯總在云端，總結(jié)在一起。具體來說，AppDefense是利用人工智能、機器學習技術(shù)來識別學習應用的正常行為。學習之后會把學習的結(jié)果上傳到云端，為此VMware在云端專門建了應用程序驗證云（Application Verification Cloud）。目前，AppDefense在全球已經(jīng)擁有成百上千家用戶，每家客戶都在針對不同的應用進行學習，VMware會把這些學習模式的結(jié)果匯總在一起。

例如，中國、美國、日本都有客戶在使用SQL Server，自然而然就會把學習的結(jié)果都匯總在一起，使AppDefense的判斷結(jié)果更加準確，包括什么樣的行為是SQL Server的正常行為，應該訪問哪些端口，應該對服務請求做出怎樣的響應，哪些動作是正?；蛘弋惓５模紩挥涗浽隍炞C云里面。所以，通過SaaS形式，AppDefense基于云服務把檢查的結(jié)果發(fā)送給NSX Data Center，讓NSX Data Center自動生成防火墻的規(guī)則，將惡意的訪問通過定義的規(guī)則擋在虛機、應用外面。

需要注意的是，企業(yè)上傳的不是用戶數(shù)據(jù)，而是Meta Data，這與客戶的業(yè)務數(shù)據(jù)是完全無關(guān)的，主要是應用正常運行的一些模式。應用驗證云反過來收集的這些智能的信息，會對每一個客戶的數(shù)據(jù)中心環(huán)境提供反向指導，從而能夠使得AppDefense的判斷更加精準，防止誤判和各種惡意攻擊的漏網(wǎng)。

第三，它是分布在軟件中的，用軟件的方式來實現(xiàn)的，所以可以在各個環(huán)境中都保證策略的一致性。在當前多云環(huán)境下，企業(yè)的應用不僅僅運行在私有云中，也有可能運行在公有云。公有云有著眾多的供應商，企業(yè)在不同的公有云中運行和遷移，都需要單獨配置一套安全規(guī)則。一方面導致了工作負擔很繁重，另一方面很容易造成安全漏洞。例如，企業(yè)配置的時候很容易存在一些漏洞，不同的公有云提供的安全機制不同，很容易造成安全機制的不一致，不一致就有可能產(chǎn)生漏洞。

而現(xiàn)在，VMware通過消除各個云環(huán)境的差異性，保證了在多云的環(huán)境中都能提供一致的安全策略。企業(yè)基于服務定義防火墻的跨云屬性，無論企業(yè)在私有云、公有云或者是不同的公有云之間，都有一個一致的安全策略，實現(xiàn)了無處不在的保護和操作的自動化，這也是VMware多云戰(zhàn)略中的一大優(yōu)勢。

總之，VMware將NSX Data Center和AppDefense配合起來，推動了安全技術(shù)的創(chuàng)新演化，共同實現(xiàn)了業(yè)界首創(chuàng)的服務定義防火墻（Service-defined Firewall，Service即運行在虛機中的App），通過把傳統(tǒng)被動的防御手段變成了主動的防御手段，不僅僅是已知攻擊手段才能防護，對于未來未知的、可能的各種防御手段都能夠進行防護。

值得注意的是，VMware所提出的服務定義防火墻解決方案是保護數(shù)據(jù)中心端的，而在前端，VMware也有相應的Workspace ONE來保護用戶終端的安全。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】