【51CTO.com原创稿件】随着大数据和云计算的应用,数据中心已经成为企业业务运营的神经中枢和核心资产。但当前安全威胁形势正在变得越来越复杂,传统的防火墙、IPS、WAF等对于恶意数据攻击的防护能力正在逐渐减弱,已无法满足企业安全需求。常见的病毒厂商往往采用先有病毒再有防御机制的方式,需要定期下载病毒特征库进行防护,这就要求企业先要知道恶意的攻击手段,因此是一种比较被动的方式。
传统的防护被称之为边界防火墙。数据中心的保护,最通常的做法就是在数据中心的网络入口处设置一个防火墙,将来自于互联网的各种可能攻击挡在外面。而在企业内网中,电脑和电脑之间是没有防火墙的,如果攻击者已经通过某种手段进入到企业内网,例如网络钓鱼等常见手段就可以任意妄为了,慢慢地传播起来。所以,传统的边界防火墙,只能防护从外到内的流量,而不能防护内部设备之间的流量。
VMware大中华区高级产品经理 傅纯一
那么,如何帮助企业构筑一套高效的数据中心防护体系呢? 日前,VMware推出了业界首款服务定义防火墙,给出了另外一种全新的思路,通过机器学习技术,对企业要保护的应用或服务的正常工作行为进行学习,如果发现与正常行为有偏差,可能就是存在问题的恶意攻击,此时就可以采取一系列动作,例如停止服务器的运行,或者将管理权交给VMware的合作伙伴进行深入处理分析,这就是服务定义防火墙最基本的核心概念。 VMware大中华区高级产品经理傅纯一对记者表示,事实上,VMware在推出服务定义防火墙之前,就已经有了相应的解决方案。
据悉,VMware所说的服务定义防火墙,其解决方案的核心就是由此前的AppDefense和NSX Data Center一起来联合实现的。 AppDefense能够对企业的虚机、应用的行为进行分析。在保护虚机之前,AppDefense会先花费一段时间(例如一周、两周的时间),学习虚机的正常行为模式。学习结束之后,就可以进入保护模式,凡是与正常行为模式不一样的,都可以被判定成为是可疑的、有可能是攻击行为的动作,然后就会采取一系列响应。所以,AppDefense首先要对受保护的服务或者应用进行一个全面的了解,学习它的正常行为,然后再对他进行保护。
同时,NSX Data Center可以对数据中心的每一个虚机都提供一个专门定制的防火墙。相比每个服务器都配一个硬件防火墙来说,VMware通过软件实现的防火墙可以大大降低成本,只是占用一些额外的CPU和内存,就可以实现防火墙的功能,而且这个防火墙是针对每一个虚机度身定制的,所以,企业不用再担心新的攻击手段的出现。不同于以往被动的保护模式,无论任何新的攻击手段的出现,攻击手段的升级总归是改变虚机原有的行为模式,因此,AppDefense都可以识别出来,把可疑结果发送到NSX Data Center防火墙,自动生成规则,进而将可疑的访问行为隔离在虚机外面,起到保护虚机的作用。所以,企业利用内部的防火墙,可以为每一个虚机都提供防火墙,在数据中心内部起到一个全面的保护。
服务定义的防火墙三大特点
傅纯一回顾了VMware服务定义防火墙的发展之路。2013年,VMware推出NSX,提出了微分段的概念。2017年,推出环境感知微分段,即微分段2.0。2018年,VMware通过与AppDefense进行集成,提出了自适应的微分段。今年,VMware提出的服务定义的防火墙,是逐渐发展而来的,而且其功能也越来越强,能够通过全新的防火墙保护方式缩小攻击面,具有以下三个显著特点:
首先,它是系统原生和固有的。 作为VMware vSphere中的模块,AppDefense可以对虚机提供原生保护,就运行在Hypervisor里面。通常情况下,黑客、恶意攻击都是集中在虚机,AppDefense可以通过Hypervisor了解虚机正常的运行状况,对虚机里面运行的操作系统和应用都有很深入的了解,所以能够对虚机、应用有一个全面的掌握,实现深度的应用体系可见性和控制力。首先,在Hypervisor安装部署完成后,VMware会帮助客户进行硬化(Hardening),即把Hypervisor各种可能的漏洞全部堵上。
例如,企业把远程访问的端口关上之后,它的安全程度就可以提高。同时,服务器都有vSphere的控制台,企业IT人员根据规则必须设置一个time out的值,比如20分钟之后,它会自动把控制台锁上,这些都是可能被入侵的环节,而VMware能够把这些环节的漏洞都给堵上。其次,相较于Windows、 Linux 而言,Hypervisor毕竟是一个封闭的系统,相对安全很多。因此说,AppDefense运行在Hypervisor中受攻击的可能性非常小。
第二,通过应用验证云,能够把机器学习的Pattern全部汇总在云端,总结在一起。 具体来说,AppDefense是利用人工智能、机器学习技术来识别学习应用的正常行为。学习之后会把学习的结果上传到云端,为此VMware在云端专门建了应用程序验证云(Application Verification Cloud)。目前,AppDefense在全球已经拥有成百上千家用户,每家客户都在针对不同的应用进行学习,VMware会把这些学习模式的结果汇总在一起。
例如,中国、美国、日本都有客户在使用SQL Server,自然而然就会把学习的结果都汇总在一起,使AppDefense的判断结果更加准确,包括什么样的行为是SQL Server的正常行为,应该访问哪些端口,应该对服务请求做出怎样的响应,哪些动作是正常或者异常的,都会被记录在验证云里面。所以,通过SaaS形式,AppDefense基于云服务把检查的结果发送给NSX Data Center,让NSX Data Center自动生成防火墙的规则,将恶意的访问通过定义的规则挡在虚机、应用外面。
需要注意的是,企业上传的不是用户数据,而是Meta Data,这与客户的业务数据是完全无关的,主要是应用正常运行的一些模式。应用验证云反过来收集的这些智能的信息,会对每一个客户的数据中心环境提供反向指导,从而能够使得AppDefense的判断更加精准,防止误判和各种恶意攻击的漏网。
第三,它是分布在软件中的,用软件的方式来实现的,所以可以在各个环境中都保证策略的一致性。 在当前多云环境下,企业的应用不仅仅运行在私有云中,也有可能运行在公有云。公有云有着众多的供应商,企业在不同的公有云中运行和迁移,都需要单独配置一套安全规则。一方面导致了工作负担很繁重,另一方面很容易造成安全漏洞。例如,企业配置的时候很容易存在一些漏洞,不同的公有云提供的安全机制不同,很容易造成安全机制的不一致,不一致就有可能产生漏洞。
而现在,VMware通过消除各个云环境的差异性,保证了在多云的环境中都能提供一致的安全策略。企业基于服务定义防火墙的跨云属性,无论企业在私有云、公有云或者是不同的公有云之间,都有一个一致的安全策略,实现了无处不在的保护和操作的自动化,这也是VMware多云战略中的一大优势。
总之,VMware将NSX Data Center和AppDefense配合起来,推动了安全技术的创新演化,共同实现了业界首创的服务定义防火墙(Service-defined Firewall,Service即运行在虚机中的App),通过把传统被动的防御手段变成了主动的防御手段,不仅仅是已知攻击手段才能防护,对于未来未知的、可能的各种防御手段都能够进行防护。
值得注意的是,VMware所提出的服务定义防火墙解决方案是保护数据中心端的,而在前端,VMware也有相应的Workspace ONE来保护用户终端的安全。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
【责任编辑:Barry TEL:(010)68476606】
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 虚机容器来了 现第三种选择
- 巨杉Tech | SequoiaDB虚机镜像正式上线
- 2019年指南:关于虚机与Kubernetes,我们应当思考些什么?
- Xen虚拟机管理10个月内连曝3个高危虚机逃逸漏洞
- Xen虚拟机管理10个月内连曝3个高危虚机逃逸漏洞
- Xen虚拟机管理10个月内连曝3个高危虚机逃逸漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
正则表达式必知必会(修订版)
福达 (Ben Forta) / 杨涛 / 人民邮电出版社 / 2015-1-1 / 29.00元
《正则表达式必知必会》从简单的文本匹配开始,循序渐进地介绍了很多复杂内容,其中包括回溯引用、条件性求值和前后查找,等等。每章都为读者准备了许多简明又实用的示例,有助于全面、系统、快速掌握正则表达式,并运用它们去解决实际问题。正则表达式是一种威力无比强大的武器,几乎在所有的程序设计语言里和计算机平台上都可以用它来完成各种复杂的文本处理工作。而且书中的内容在保持语言和平台中立的同时,还兼顾了各种平台之......一起来看看 《正则表达式必知必会(修订版)》 这本书的介绍吧!