为每个虚机度身定制，VMware服务定义防火墙让安全不再被动

【51CTO.com原创稿件】随着大数据和云计算的应用，数据中心已经成为企业业务运营的神经中枢和核心资产。但当前安全威胁形势正在变得越来越复杂，传统的防火墙、IPS、WAF等对于恶意数据攻击的防护能力正在逐渐减弱，已无法满足企业安全需求。常见的病毒厂商往往采用先有病毒再有防御机制的方式，需要定期下载病毒特征库进行防护，这就要求企业先要知道恶意的攻击手段，因此是一种比较被动的方式。

传统的防护被称之为边界防火墙。数据中心的保护，最通常的做法就是在数据中心的网络入口处设置一个防火墙，将来自于互联网的各种可能攻击挡在外面。而在企业内网中，电脑和电脑之间是没有防火墙的，如果攻击者已经通过某种手段进入到企业内网，例如网络钓鱼等常见手段就可以任意妄为了，慢慢地传播起来。所以，传统的边界防火墙，只能防护从外到内的流量，而不能防护内部设备之间的流量。

VMware大中华区高级产品经理 傅纯一

那么，如何帮助企业构筑一套高效的数据中心防护体系呢？ 日前，VMware推出了业界首款服务定义防火墙，给出了另外一种全新的思路，通过机器学习技术，对企业要保护的应用或服务的正常工作行为进行学习，如果发现与正常行为有偏差，可能就是存在问题的恶意攻击，此时就可以采取一系列动作，例如停止服务器的运行，或者将管理权交给VMware的合作伙伴进行深入处理分析，这就是服务定义防火墙最基本的核心概念。 VMware大中华区高级产品经理傅纯一对记者表示，事实上，VMware在推出服务定义防火墙之前，就已经有了相应的解决方案。

据悉，VMware所说的服务定义防火墙，其解决方案的核心就是由此前的AppDefense和NSX Data Center一起来联合实现的。 AppDefense能够对企业的虚机、应用的行为进行分析。在保护虚机之前，AppDefense会先花费一段时间（例如一周、两周的时间），学习虚机的正常行为模式。学习结束之后，就可以进入保护模式，凡是与正常行为模式不一样的，都可以被判定成为是可疑的、有可能是攻击行为的动作，然后就会采取一系列响应。所以，AppDefense首先要对受保护的服务或者应用进行一个全面的了解，学习它的正常行为，然后再对他进行保护。

同时，NSX Data Center可以对数据中心的每一个虚机都提供一个专门定制的防火墙。相比每个服务器都配一个硬件防火墙来说，VMware通过软件实现的防火墙可以大大降低成本，只是占用一些额外的CPU和内存，就可以实现防火墙的功能，而且这个防火墙是针对每一个虚机度身定制的，所以，企业不用再担心新的攻击手段的出现。不同于以往被动的保护模式，无论任何新的攻击手段的出现，攻击手段的升级总归是改变虚机原有的行为模式，因此，AppDefense都可以识别出来，把可疑结果发送到NSX Data Center防火墙，自动生成规则，进而将可疑的访问行为隔离在虚机外面，起到保护虚机的作用。所以，企业利用内部的防火墙，可以为每一个虚机都提供防火墙，在数据中心内部起到一个全面的保护。

服务定义的防火墙三大特点

傅纯一回顾了VMware服务定义防火墙的发展之路。2013年，VMware推出NSX，提出了微分段的概念。2017年，推出环境感知微分段，即微分段2.0。2018年，VMware通过与AppDefense进行集成，提出了自适应的微分段。今年，VMware提出的服务定义的防火墙，是逐渐发展而来的，而且其功能也越来越强，能够通过全新的防火墙保护方式缩小攻击面，具有以下三个显著特点：

首先，它是系统原生和固有的。 作为VMware vSphere中的模块，AppDefense可以对虚机提供原生保护，就运行在Hypervisor里面。通常情况下，黑客、恶意攻击都是集中在虚机，AppDefense可以通过Hypervisor了解虚机正常的运行状况，对虚机里面运行的操作系统和应用都有很深入的了解，所以能够对虚机、应用有一个全面的掌握，实现深度的应用体系可见性和控制力。首先，在Hypervisor安装部署完成后，VMware会帮助客户进行硬化（Hardening），即把Hypervisor各种可能的漏洞全部堵上。

例如，企业把远程访问的端口关上之后，它的安全程度就可以提高。同时，服务器都有vSphere的控制台，企业IT人员根据规则必须设置一个time out的值，比如20分钟之后，它会自动把控制台锁上，这些都是可能被入侵的环节，而VMware能够把这些环节的漏洞都给堵上。其次，相较于Windows、 Linux 而言，Hypervisor毕竟是一个封闭的系统，相对安全很多。因此说，AppDefense运行在Hypervisor中受攻击的可能性非常小。

第二，通过应用验证云，能够把机器学习的Pattern全部汇总在云端，总结在一起。 具体来说，AppDefense是利用人工智能、机器学习技术来识别学习应用的正常行为。学习之后会把学习的结果上传到云端，为此VMware在云端专门建了应用程序验证云（Application Verification Cloud）。目前，AppDefense在全球已经拥有成百上千家用户，每家客户都在针对不同的应用进行学习，VMware会把这些学习模式的结果汇总在一起。

例如，中国、美国、日本都有客户在使用SQL Server，自然而然就会把学习的结果都汇总在一起，使AppDefense的判断结果更加准确，包括什么样的行为是SQL Server的正常行为，应该访问哪些端口，应该对服务请求做出怎样的响应，哪些动作是正常或者异常的，都会被记录在验证云里面。所以，通过SaaS形式，AppDefense基于云服务把检查的结果发送给NSX Data Center，让NSX Data Center自动生成防火墙的规则，将恶意的访问通过定义的规则挡在虚机、应用外面。

需要注意的是，企业上传的不是用户数据，而是Meta Data，这与客户的业务数据是完全无关的，主要是应用正常运行的一些模式。应用验证云反过来收集的这些智能的信息，会对每一个客户的数据中心环境提供反向指导，从而能够使得AppDefense的判断更加精准，防止误判和各种恶意攻击的漏网。

第三，它是分布在软件中的，用软件的方式来实现的，所以可以在各个环境中都保证策略的一致性。 在当前多云环境下，企业的应用不仅仅运行在私有云中，也有可能运行在公有云。公有云有着众多的供应商，企业在不同的公有云中运行和迁移，都需要单独配置一套安全规则。一方面导致了工作负担很繁重，另一方面很容易造成安全漏洞。例如，企业配置的时候很容易存在一些漏洞，不同的公有云提供的安全机制不同，很容易造成安全机制的不一致，不一致就有可能产生漏洞。

而现在，VMware通过消除各个云环境的差异性，保证了在多云的环境中都能提供一致的安全策略。企业基于服务定义防火墙的跨云属性，无论企业在私有云、公有云或者是不同的公有云之间，都有一个一致的安全策略，实现了无处不在的保护和操作的自动化，这也是VMware多云战略中的一大优势。

总之，VMware将NSX Data Center和AppDefense配合起来，推动了安全技术的创新演化，共同实现了业界首创的服务定义防火墙（Service-defined Firewall，Service即运行在虚机中的App），通过把传统被动的防御手段变成了主动的防御手段，不仅仅是已知攻击手段才能防护，对于未来未知的、可能的各种防御手段都能够进行防护。

值得注意的是，VMware所提出的服务定义防火墙解决方案是保护数据中心端的，而在前端，VMware也有相应的Workspace ONE来保护用户终端的安全。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑：Barry TEL：（010）68476606】