如何理解VMware内建于IT基础架构的原生安全能力?
发布时间:2024-04-20 点击:73
企业信息安全太过重要,以至于所有企业都想把数据保护做到牢不可破。但是放眼市场,有关信息安全的解决方案至少有上百种,先不说选型过程如何,只看产品名称,就已经让人眼花缭乱。如何去选择适合的解决方案?已经成为企业的一大挑战!
企业信息安全挑战重重
相信,大多数企业的信息安全都“踩过相同的坑”,那就是把基础架构、操作系统、上层应用等搭建完以后,才会想到保护应用和数据。于是,通过第三方的安全解决方案,以外挂的形式整合到系统里。这种以外挂为主的信息安全解决方案,需要企业在受保护对象平台上部署一些代理,当代理外挂方案增加,安装代理的数量也就增加了,这时会占用过多的cpu资源。最重要的是,把不同产品放在一起,会因为策略不同,产生各种各样的冲突。
从解决方案本身来看,企业信息安全和传统it架构出现的弊端一样,系统与系统之间是一个个孤立的“竖井”,很难统一整合在一起。比如:负责网络的部门,会从网络安全的角度去选型防火墙、ids/ips(入侵检测/ 保护系统)等;而桌面管理是另外一个部门,则从桌面安全的角度去选型防病毒软件、个人电脑安全保护软件等。所以,无论是解决方案提供者,还是使用者,都处于孤立状态。
这种外挂式、孤立的解决方案,带来的最大影响是,让企业信息安全处于被动防护状态。所有第三方安全类解决方案,都是先有攻击手段,然后才会推出相应的被动防护措施。就像防病毒软件一样,需要用户定期下载病毒特征库,才能做到全面防护。所谓的“病毒特征库”,都是被动防护,因为100%%u90fd是先有病毒,后有防护措施。
此种背景下,主打原生安全解决方案的vmware公司呼吁,是时候向传统的信息安全解决方案说再见了,向原生安全转型,是现代化企业进行安全防护的主流发展趋势。
向原生安全转型势在必行
提到vmware,我们首先想到的是,这是一家能够提供云、应用现代化、网络和数字化工作空间产品的提供商。其实,vmware不只懂it基础架构,还是一家能提供全套安全解决方案的企业。凭借在底层架构方面的优势,vmware的安全解决方案可以很顺畅地在企业关键业务环境下进行内建。因此,vmware的安全类解决方案又叫做原生安全解决方案。
“要想提高企业的信息安全,全面保护企业的应用和数据,要从预防和影响机制两个方面做到有效防护。”vmware 大中华区高级产品经理 傅纯一认为,要想真正做到全面防范,应该在恶意者还没有攻击之前就做好预防措施,减少攻击面。一旦发生威胁,有恶意软件进行攻击,应该有一个应急的响应机制,包括杀病毒、挂虚机、断网等应急措施。
▲vmware大中华区高级产品经理 傅纯一
在建立自适应的攻击保护架构方面,gartner在几年前专门做了一个分析,主要把企业信息安全分为四块:即predict(预告,有没有可能会有恶意攻击发生)、prevent(阻止,在应用和操作基础架构层面上怎样阻止恶意攻击)、detect(检测,当恶意攻击再次出现,通过什么方式进行检测)、respond(响应,如何通过隔离、杀毒等措施最终把恶意软件清除掉)。最关键的是,如何把这四方面能力整合在一起,不再通过孤立的解决方案去解决某一个问题。
在vmware看来,企业要想从传统的信息安全体系或者架构转向原生安全,应该从三个方面切入。第一,要从外挂转向内建。不管是哪种安全解决方案,最好要跟基础架构结合在一起,实现基础架构层面的内建。从平台搭建之初就开始考虑各种各样的安全措施,获得抵御外部恶意攻击的手段以及工具。第二,我们要打破“孤井”模式,把所有的方案统一整合为一体。就像木桶原理一样,如果其中有一个短板,整个木桶就装不了太多的水。企业信息安全,不能在任何一个环节出现漏洞。第三,从应对攻击的手段来看,企业要变被动为主动,用更主动的方式来防止恶意攻击。比如:通过专业的工具,实时监测恶意攻击行为。一旦发现异常行为,我们就判断这是恶意攻击。
现代安全解决方案应该覆盖整个it基础架构和任意端点
我们都知道,vmware公司有一个大的愿景,那就是帮助更多企业帮助企业在任意平台、任意云上交付任意应用,打造无所不在的数字化基础平台。其中,安全是最重要的一项基本能力。无论是在基础架构、端点设备,还是在应用层面上,每一个层面都嵌入了完整的安全解决方案。
为了拥有覆盖整个基础架构和端点的控制能力,尽可能地保护应用和数据,vmware提出了五个控制点的安全模型。不管企业的工作负载运行在本地的数据中心、公有云、私有云,还是直接采用第三方的saas,最终都会通过端点登录,包括通过个人电脑、智能平板或者手机等,进行身份认证后即可访问数据。vmware的五个控制点模型,可以帮助企业真正实现应用和数据的全方位安全目标。
具体而言,vmware的原生安全解决方案主要分为四大块:
第一块,端点和工作负载安全,主要产品就是vmware vsphere和carbon black。vsphere是业界最安全的企业计算平台,本身内建了很多安全措施,包括数据加密、安全启动等。看似简单,其实系统内部有很多安全措施,包括端点检测和响应(edr)。为了让设备在访问应用的时候,做到安全可控,进行了一系列应用的加密、应用的控制。比如:在防病毒功能中,原生安全解决方案和传统模式有着非常大的差异性,一旦有未授权设备接入,便存在着巨大的安全隐患。通过vmware收购的carbon black,用户可以获得全面整合的云原生安全能力。vmware carbon black cloud最大的特点就是云原生,而且充分利用了机器学习和大数据分析能力,快速收集元数据,并对恶意攻击手段进行识别。
第二块,网络安全,主要由 vmware nsx data center解决方案进行支持。vmware在去年曾推出服务定义防火墙(service-defined firewall)概念,具体的产品其实是由nsx产品家族来提供支持。除了去年推出的分布式服务定义防火墙能力,vmware今年在服务定义防火墙功能中又增加了一些新的功能,比如:nsx intelligence,以及分布式的ids(入侵检测)和ips(入侵保护系统),取代了传统硬件盒子式功能,走向软件定义时代,由nsx data center安全在每一个虚拟机上。所有数据包的检测、异常流量的检测,都在每一个虚机的入口处进行检测,大大提高了工作效率。
nsx data center解决的核心问题就是控制数据中心的东西向流量(各个服务器、虚机之间的流量),极大地减少攻击面。传统做法是,很多企业会把所有的应用都放在防火墙后面,因为病毒攻击首先要攻克防火墙。但并不是所有应用放在防火墙后面就绝对安全了,一旦恶意软件攻克了防火墙,就可以在数据中心为所欲为了。vmware的做法是,通过nsx微分段。nsx是一个分布式架构,在虚机旁边有一个nsx的agent,是一个分布式防火墙。通过这个防火墙,用户可以实现划定微分段。即使恶意软件攻克了微分段,只能影响微分段里的虚机,而不能访问其他虚机,隔绝了不必要的东西向流量。
nsx现在对外主推的就是nsx-t,是最新transformer版本,上一代的就是nsx-v,只支持vsphere。nsx-t既支持vsphere、支持kvm,又支持云端以及公有云操作系统。在nsx data center场景基础上,vmware又提供了一系列的安全手段,包括分布式防火墙、安全策略、nsx intelligence、ids、ips等。nsx-t还可以动态地为容器提供安全保护,提供隔离的网络环境。并且,不管是虚拟机、物理机,还是云端,所有环境的网络安全措施都拥有一致性体验。
第三块,工作空间安全,通过workspace one和carbon black一起联合打造。workspace one解决了哪些问题呢?以用户访问应用和数据为例,需要经历一长串的访问链条。首先,要通过智能终端、个人电脑设备登录,这些设备要在纳管范围内。用户要想登录,需要表明你的身份,系统要对用户的身份进行管理,这些都是 workspace one的功能。此外,还要对数据传输进行管理,建立一个vpn安全通道,上面的数据需要加密,需要跟数据中心里的网络进行集成,跟nsx进行集成,最终为客户提供一个端到端的安全访问通道。在这一长串链条里,每一个环节强调的都是零信任。换言之,本质上,系统不信任任何访问请求,需要访问的话,每一步访问必须证明自己是一个合法的访问者,有权限来访问,这样才能做到零信任。大体来看,workspace one通过因子访问、合并访问,还有数据丢失、应用管理等措施,让企业应用和数据的访问做到各个层面的安全。
从端点层面做到安全防护,carbon black是一个很好的补充。carbon black提出了一个概念,叫做ngav(next generation anti-virius),是新一代的防病毒功能,其特点就是云原生,它的智能数据库就是建在云端。如果你的网络访问行为、应用行为或者软件行为不正常,它可以及时进行报警,并且采取相应的措施。
第四块,云安全,这是一个新产品,叫做vmware secure state。目前仅支持aws和azure两种公有云,只要拥有公有云帐号,就有访问的权限,然后看到对公有云服务、资源对象的整体分析。vmware secure state跟市面上其他轮巡的安全服务不同,它的最大特色是基于事件的微清单 管理,是事件驱动,可以读到aws和azure里面的所有事件。比如:用户管理员登录上去,做了一个小小的改动,这个
商标申请个人好还是公司的好
云服务器怎样建站点
华安证券怎么在网上开户 华安证券网上开户教程
阿里云外贸网站服务器购买
伏羲实验室新成果 平安与浪潮推出高效Redis云
阿里云 部署web服务器有必要买ssd吗
营销性的邮件有哪些
福州云服务器多少钱一台啊
企业信息安全挑战重重
相信,大多数企业的信息安全都“踩过相同的坑”,那就是把基础架构、操作系统、上层应用等搭建完以后,才会想到保护应用和数据。于是,通过第三方的安全解决方案,以外挂的形式整合到系统里。这种以外挂为主的信息安全解决方案,需要企业在受保护对象平台上部署一些代理,当代理外挂方案增加,安装代理的数量也就增加了,这时会占用过多的cpu资源。最重要的是,把不同产品放在一起,会因为策略不同,产生各种各样的冲突。
从解决方案本身来看,企业信息安全和传统it架构出现的弊端一样,系统与系统之间是一个个孤立的“竖井”,很难统一整合在一起。比如:负责网络的部门,会从网络安全的角度去选型防火墙、ids/ips(入侵检测/ 保护系统)等;而桌面管理是另外一个部门,则从桌面安全的角度去选型防病毒软件、个人电脑安全保护软件等。所以,无论是解决方案提供者,还是使用者,都处于孤立状态。
这种外挂式、孤立的解决方案,带来的最大影响是,让企业信息安全处于被动防护状态。所有第三方安全类解决方案,都是先有攻击手段,然后才会推出相应的被动防护措施。就像防病毒软件一样,需要用户定期下载病毒特征库,才能做到全面防护。所谓的“病毒特征库”,都是被动防护,因为100%%u90fd是先有病毒,后有防护措施。
此种背景下,主打原生安全解决方案的vmware公司呼吁,是时候向传统的信息安全解决方案说再见了,向原生安全转型,是现代化企业进行安全防护的主流发展趋势。
向原生安全转型势在必行
提到vmware,我们首先想到的是,这是一家能够提供云、应用现代化、网络和数字化工作空间产品的提供商。其实,vmware不只懂it基础架构,还是一家能提供全套安全解决方案的企业。凭借在底层架构方面的优势,vmware的安全解决方案可以很顺畅地在企业关键业务环境下进行内建。因此,vmware的安全类解决方案又叫做原生安全解决方案。
“要想提高企业的信息安全,全面保护企业的应用和数据,要从预防和影响机制两个方面做到有效防护。”vmware 大中华区高级产品经理 傅纯一认为,要想真正做到全面防范,应该在恶意者还没有攻击之前就做好预防措施,减少攻击面。一旦发生威胁,有恶意软件进行攻击,应该有一个应急的响应机制,包括杀病毒、挂虚机、断网等应急措施。
▲vmware大中华区高级产品经理 傅纯一
在建立自适应的攻击保护架构方面,gartner在几年前专门做了一个分析,主要把企业信息安全分为四块:即predict(预告,有没有可能会有恶意攻击发生)、prevent(阻止,在应用和操作基础架构层面上怎样阻止恶意攻击)、detect(检测,当恶意攻击再次出现,通过什么方式进行检测)、respond(响应,如何通过隔离、杀毒等措施最终把恶意软件清除掉)。最关键的是,如何把这四方面能力整合在一起,不再通过孤立的解决方案去解决某一个问题。
在vmware看来,企业要想从传统的信息安全体系或者架构转向原生安全,应该从三个方面切入。第一,要从外挂转向内建。不管是哪种安全解决方案,最好要跟基础架构结合在一起,实现基础架构层面的内建。从平台搭建之初就开始考虑各种各样的安全措施,获得抵御外部恶意攻击的手段以及工具。第二,我们要打破“孤井”模式,把所有的方案统一整合为一体。就像木桶原理一样,如果其中有一个短板,整个木桶就装不了太多的水。企业信息安全,不能在任何一个环节出现漏洞。第三,从应对攻击的手段来看,企业要变被动为主动,用更主动的方式来防止恶意攻击。比如:通过专业的工具,实时监测恶意攻击行为。一旦发现异常行为,我们就判断这是恶意攻击。
现代安全解决方案应该覆盖整个it基础架构和任意端点
我们都知道,vmware公司有一个大的愿景,那就是帮助更多企业帮助企业在任意平台、任意云上交付任意应用,打造无所不在的数字化基础平台。其中,安全是最重要的一项基本能力。无论是在基础架构、端点设备,还是在应用层面上,每一个层面都嵌入了完整的安全解决方案。
为了拥有覆盖整个基础架构和端点的控制能力,尽可能地保护应用和数据,vmware提出了五个控制点的安全模型。不管企业的工作负载运行在本地的数据中心、公有云、私有云,还是直接采用第三方的saas,最终都会通过端点登录,包括通过个人电脑、智能平板或者手机等,进行身份认证后即可访问数据。vmware的五个控制点模型,可以帮助企业真正实现应用和数据的全方位安全目标。
具体而言,vmware的原生安全解决方案主要分为四大块:
第一块,端点和工作负载安全,主要产品就是vmware vsphere和carbon black。vsphere是业界最安全的企业计算平台,本身内建了很多安全措施,包括数据加密、安全启动等。看似简单,其实系统内部有很多安全措施,包括端点检测和响应(edr)。为了让设备在访问应用的时候,做到安全可控,进行了一系列应用的加密、应用的控制。比如:在防病毒功能中,原生安全解决方案和传统模式有着非常大的差异性,一旦有未授权设备接入,便存在着巨大的安全隐患。通过vmware收购的carbon black,用户可以获得全面整合的云原生安全能力。vmware carbon black cloud最大的特点就是云原生,而且充分利用了机器学习和大数据分析能力,快速收集元数据,并对恶意攻击手段进行识别。
第二块,网络安全,主要由 vmware nsx data center解决方案进行支持。vmware在去年曾推出服务定义防火墙(service-defined firewall)概念,具体的产品其实是由nsx产品家族来提供支持。除了去年推出的分布式服务定义防火墙能力,vmware今年在服务定义防火墙功能中又增加了一些新的功能,比如:nsx intelligence,以及分布式的ids(入侵检测)和ips(入侵保护系统),取代了传统硬件盒子式功能,走向软件定义时代,由nsx data center安全在每一个虚拟机上。所有数据包的检测、异常流量的检测,都在每一个虚机的入口处进行检测,大大提高了工作效率。
nsx data center解决的核心问题就是控制数据中心的东西向流量(各个服务器、虚机之间的流量),极大地减少攻击面。传统做法是,很多企业会把所有的应用都放在防火墙后面,因为病毒攻击首先要攻克防火墙。但并不是所有应用放在防火墙后面就绝对安全了,一旦恶意软件攻克了防火墙,就可以在数据中心为所欲为了。vmware的做法是,通过nsx微分段。nsx是一个分布式架构,在虚机旁边有一个nsx的agent,是一个分布式防火墙。通过这个防火墙,用户可以实现划定微分段。即使恶意软件攻克了微分段,只能影响微分段里的虚机,而不能访问其他虚机,隔绝了不必要的东西向流量。
nsx现在对外主推的就是nsx-t,是最新transformer版本,上一代的就是nsx-v,只支持vsphere。nsx-t既支持vsphere、支持kvm,又支持云端以及公有云操作系统。在nsx data center场景基础上,vmware又提供了一系列的安全手段,包括分布式防火墙、安全策略、nsx intelligence、ids、ips等。nsx-t还可以动态地为容器提供安全保护,提供隔离的网络环境。并且,不管是虚拟机、物理机,还是云端,所有环境的网络安全措施都拥有一致性体验。
第三块,工作空间安全,通过workspace one和carbon black一起联合打造。workspace one解决了哪些问题呢?以用户访问应用和数据为例,需要经历一长串的访问链条。首先,要通过智能终端、个人电脑设备登录,这些设备要在纳管范围内。用户要想登录,需要表明你的身份,系统要对用户的身份进行管理,这些都是 workspace one的功能。此外,还要对数据传输进行管理,建立一个vpn安全通道,上面的数据需要加密,需要跟数据中心里的网络进行集成,跟nsx进行集成,最终为客户提供一个端到端的安全访问通道。在这一长串链条里,每一个环节强调的都是零信任。换言之,本质上,系统不信任任何访问请求,需要访问的话,每一步访问必须证明自己是一个合法的访问者,有权限来访问,这样才能做到零信任。大体来看,workspace one通过因子访问、合并访问,还有数据丢失、应用管理等措施,让企业应用和数据的访问做到各个层面的安全。
从端点层面做到安全防护,carbon black是一个很好的补充。carbon black提出了一个概念,叫做ngav(next generation anti-virius),是新一代的防病毒功能,其特点就是云原生,它的智能数据库就是建在云端。如果你的网络访问行为、应用行为或者软件行为不正常,它可以及时进行报警,并且采取相应的措施。
第四块,云安全,这是一个新产品,叫做vmware secure state。目前仅支持aws和azure两种公有云,只要拥有公有云帐号,就有访问的权限,然后看到对公有云服务、资源对象的整体分析。vmware secure state跟市面上其他轮巡的安全服务不同,它的最大特色是基于事件的微清单 管理,是事件驱动,可以读到aws和azure里面的所有事件。比如:用户管理员登录上去,做了一个小小的改动,这个
商标申请个人好还是公司的好
云服务器怎样建站点
华安证券怎么在网上开户 华安证券网上开户教程
阿里云外贸网站服务器购买
伏羲实验室新成果 平安与浪潮推出高效Redis云
阿里云 部署web服务器有必要买ssd吗
营销性的邮件有哪些
福州云服务器多少钱一台啊
上一篇:如何挂云服务器