資訊安全轉型

資訊技術已經徹底改變了世界,深入到了工作、生活的方方面面;與此同時,資訊安全問題也越來越嚴重,成為我們在資訊建設過程需要重視的一個關鍵領域。目前的安全技術是否能夠勝任資訊安全保護的重任呢?我們看到的資訊安全的現狀是這樣的:

  • 安全措施以外掛居多:由於資訊安全的複雜性,需要從很多個維度來保護資訊安全,所以需要採用多種安全方案和技術,企業所採用的安全產品和方案平均多達80多種,過多的安全產品和技術帶來了管理上的複雜性。不同的安全產品都需要在受保護的節點上部署自己的代理 (Agent),引起過多的資源消耗,從而給性能帶來負面影響;更糟糕的是不同的代理軟體相互之間可能發生衝突,導致某些安保功能失效。
  • 安全方案各自為戰,缺乏一個整合:基礎架構、桌面、服務、網路、雲端的安全方案往往是由各個業務組分別選型、採購的,所以對於安全威脅缺乏一個整體的管理和控制視圖。同樣的原因,不同的安全性群組也不會積極主動地開展合作,大家都會認為網路和端點設備的安全保護是完全不一樣的。
  • 關注于已知的安全威脅,被動回應安全攻擊:受制于安全技術,以往的安全方案只能夠防範已知的威脅,當有新的攻擊手段誕生時,就不能有效防範了,只能事後被動回應,在特徵庫里加上新的攻擊模式。造成這種象的根本原因是對於被保護物件缺乏認知,不瞭解應用、網路、端點設備、基礎架構、資料的正常工作模式和行為。

針對資訊安全中的這些問題,VMware 提出的觀點是打造原生安全性 (Intrinsic Security),原生安全性的特點是:

  • 內建而非外掛:儘量在現有的基礎架構上內建安全機制和解決安案,這樣可以大大減少額外的工具和資源開銷,降低整體複雜度和增強故障排除能力。內建的安全性也能夠使安全性原則更易於全域性實施,同一條安全規則可以跨私有雲、公有雲、邊緣環境和端點設備生效。
  • 整合而非孤立:各個業務部門 (安全、開發、運維) 應該協同作戰、共用資訊和工作流程,共同面對和解決安全挑戰;同樣的,安全技術方案和工具之間也應該資料共用,並以統一的工作流一起工作,以徹底消除威脅或漏洞。
  • 變被動為主動:有必要深入瞭解被保護物件的工作環境,掌握被保護物件的正常行為模式,當惡意攻擊發生時就可以及時發現這些異常的行為,從而觸發相應的應對措施 (隔離、掛起、告警等等)。這樣變被動為主動,面對未知的威脅也能夠起到保護作用。

 

資訊安全控制點模型

資訊安全是一個系統工程,資訊處理的任何一個環節都不能掉以輕心,單純做好某一方面的安全防控是不夠的,任何一個環節的漏洞都可能造成整個系統的安全淪陷。針對資訊安全所涉及的各個領域,VMware 構建了資訊安全控制點模型,把資訊處理的整個流程分劃分為5個安全控制點,通過對於這5個控制點的安全防控來提高整個系統的安全性。

  • 工作負載 (Workload):運行在資料中心的應用後臺服務和資料;
  • 端點設備 (Endpoint):把應用功能交付給使用者的終端設備,包括 PC、手機、平板等;
  • 身份認證 (Identity):任何一個使用者在訪問系統時都要明確和驗證自己的身份;
  • 網路 (Network):把資料中心、雲端、端點設備連接起來;
  • 雲端 (Cloud):雲計算把資料中心和應用都搬到了雲端,雲服務提供者和企業需要分擔安全的責任。

 

VMware 原生安全解決方案

VMware 傳統的安全解決方案包括端點設備和身份安全平臺 Workspace ONE,網路虛擬化和安全斛決方案 NSX Data Center,vSphere hypervisor 內建的主動安全防禦工具 AppDefense,2019年 VMware 又收購了雲安全技術廠商 Carbon Black,從而形成了完整的安全防護體系。VMware 的安全解決方案分為端點安全、工作空間安全、工作負載安全、網路安全和雲安全5部分。

 

端點安全 (Endpoint Security)

傳統的端點安全包括端點檢測和回應 EDR (Endpoint Detect & Response)、審計和修復、安全性漏洞管理、工作負載可見性、設備控制、應用加密、應用控制、新一代防病毒 NGAV (Next Generation Anti Virus) 等等,這些功能往往是由多種工具所提供的,VMware Carbon Black 把所有這些功能都整合到一個平臺上,為端點設備提供全面的安全保護,同時也大大降低了軟體平臺管理和維護的複雜度。

Carbon Black 是一個雲原生的安全解決方案,擁有雲端的安全分析和預警服務 PSC (Predictive Security Cloud),以雲服務的形式來提供安全解決方案,這是 Carbon Black 區別于傳統安全解決方案的一個特徵。Carbon Black 利用機器學習和大資料分析不斷優化對於惡意軟體和惡意攻擊的識別,對於未知的攻擊手段也有很強的防範能力。它為端點安全提供了以下保護措施:

  • 新一代防病毒技術 (NGAV – Next Generation Anti Virus) 和端點檢測回應 (EDR – Endpoint Detection & Response)
    Carbon Black 的 NGAV 和 EDR 解決方案解決了安全有效性、可見性和運營效率方面的挑戰,可以即時停止已知和未知攻擊。
  • 保證虛擬化資料中心安全性 – Carbon Black 軟體能夠在軟體定義的基礎架構中工作,利用雲端的 PSC 服務來減輕資料中心現場的安全檢測和監控負擔,保護虛擬化環境免受惡意軟體的攻擊。
  • 威脅搜索和事件回應 (IR – Incident Response) – PSC 上的威脅搜索和事件回應解決方案為安全運營中心 SOC (Security Operations Center) 和事件回應團隊提供未經過濾的監控資料,並且將端點資料和威脅情報整合在一起,以視覺化的方式來展示攻擊行為。
  • 即時端點查詢和修正 – 即時查詢和回應使團隊能夠即時瞭解受保護端點設備的安全姿態。
  • 託管警報會審 — 安全專家通過 PSC 來提供專業的威脅驗證和趨勢分析。

 

工作空間安全 (Workspace Security)

工作空間是提供給員工完成工作或業務的數位化工作環境,包括終端設備和設備上安裝的軟體。VMware 工作空間安全解決方案是由 Workspace ONE 和 Carbon Black 來提供的,涵蓋上述模型中的端點和身份認證這兩個控制點。

Workspace ONE 平臺為終端設備、設備上的應用和資料提供全方位的安全保護,主要的安全措施包括:

  • 統一用戶認證:與企業現有的身份系統相集成,遵循企業現有的使用者管理規範,員工離職時及時終止所有應用的訪問。
  • 多因數認證 MFA (Multi Factor Authentication):內建 MFA 工具 Verify,為用戶身份認證提供多重保護。
  • 應用沙箱:企業應用在安全沙箱中運行,防止惡意軟體攻擊。
  • VPN 安全隧道:移動應用跟後臺資料中心的通訊完全通過 VPN 安全隧道進行,杜絕網路資訊洩露。
  • 條件訪問:根據設備姿態 (所處的物理位置、系統狀態等) 動態決定是否滿足安全規定,進而判斷是否允許應用和資料的訪問。
  • 資料防丟失 DLP (Data Loss Protection):企業資料在設備存儲、網路傳輸和資料中心這幾個環節都是經過加密的,一旦設備丟失,可以立即通過遠端擦除操作防止企業資料丟失。
  • 數據不落地:VMware Horizon 通過虛擬桌面和遠端應用把應用和資料完全存放在資料中心,實現資料不落地。
  • 文檔管理:Workspace ONE 中的 Content 工具提供文檔管理功能,僅有被授權的用戶才能查看文檔,通過特有的身份浮水印防止文檔洩密。

 

工作負載安全 (Workload Security)

VMware vSphere 是一個安全的企業計算平臺,它內建多種安全機制,結合新一代的主動式安全保護機制 AppDefense,全面保護工作負載安全。

  • 應用保護 – VMware AppDefense 利用機器學習來瞭解哪些行為是虛機和應用正常的行為,凡是違反正常行為模式的動作就有可能是潛在的惡意攻擊,AppDefense 會進行進一步分析和處理,把任何攻擊行為拒之於門外。
  • 資料保護 – vSphere 提供內建的資料加密功能,也會對 vMotion 時在網路上傳輸的虛機資料進行加密。
  • 架構安全 – ESXi 伺服器安全啟動和虛機安全啟動,支援物理 TPM 2.0 和為虛機提供虛擬 TPM 2.0,支持微軟基於虛擬化的安全 VBS 機制、Intel SGX 安全機制,並且從根本上建立了完備的可信計算體系 Trust Authority
  • 審計日誌 – 任何對於 vSphere 環境的管理操作都會被記錄下來,以備日後審計。

 

網路安全 (Network Security)

物理的邊界防火牆 (Perimeter Firewall)一般都是部署在資料中心的出口處,控制資料中心對外的網路通信。雖然能夠很好地控制來自於外部的南北向流量,但是對於資料中心內部的東西向流量卻沒有任何的防範措施。資訊安全要求採用零信任 (Zero Trust) 機制,假設安全威協無處不在,即使是在資料中心內部。NSX Data Center 的分散式防火牆使得東西向流量的控制成為可能,它能夠對每一台虛機提供防火牆服務,並且根據業務需要來劃分網路“微分段 (Micro Segmentation)”。我們可以利用微分段在資料中心內部對虛機進行隔離,把不同業務部門的虛擬伺服器分隔在不同的微分段裡,跨微分段的訪問是絕對不可能發生的;在同一微分段內部,我們還可以根據業務需要在虛機之間設立防火牆,確保虛機之間只有進行必須的網路通信,從而最大限度地提高了虛擬伺服器的安全性。

NSX 所實現的虛擬化網路是軟體定義的,這一特點使得它突破了物理網路的局限,可以把安全防護功能延伸到虛機和容器。尤其是容器,它是動態創建的,提供完服務後就可能結束運行了,在現代應用架構中它又具有分散式的特點,這些特點決定了傳統的網路安全手段無法對它進行有效保護。NSX 本身內建於 vSphere 平臺,vSphere 平臺上無論原生容器還是基於虛機的容器本質上都是基於虛機的,所以可以充分利用 NSX 對於虛機網路環境的保護機制來進行保護。另外,NSX 支持異構的虛擬化基礎架構,支持 vSphere、KVM 和各種公有雲環境,可以實現跨私有雲和公有雲一致性的網路安全性原則,為企業應用提供無縫的安全保護。

除了上述基本網路安全功能,NSX 還在持續增強功能,用軟體來實現傳統的基於硬體的安全措施:

  • NSX Data Center 在3.0中引入分散式的 IDS/IPS 功能,用軟體來實現入侵偵測和入侵保護功能,相較於硬體的實現成本更低、效率更高。
  • NSX Advanced Load Balancer 支援各種安全協定的負載均衡,同時也提供 Web 應用防火牆 WAF (Web Application Firewall) 功能。

 

雲安全 (Cloud Security)

隨著企業的計算延伸到雲中,安全措施也必須拓展到雲端。NSX Cloud 可以把資料中心內的安全性原則無縫拓展到公有雲,並且保證公有雲和私有雲多個計算環境中安全性原則的一致性。Secure State 可以對雲端應用的安全合規性進行審計,並推薦修正方案。

 

 

總結一下,VMware 原生安全解決方案的具有以下特點:

  • 系統內建的原生安全機制
    VMware 的虛擬化基礎架構都是軟體定義的,vSphere / vSAN / NSX Data Center 中都內建相關的安全解決方案,資源開銷更小,對於安全威脅的回應更為迅速。VMware 是 IT 基礎架構的提供者,它能夠以內建的形式來提供各種安全機制,這是其他安全廠商無法具備的優勢。
  • 針對每一個物件的分散式安全機制
    這種分散式的安全機制能夠實現對每一個虛機、每一個容器 Pod 的貼身保護,這是傳統外掛的安全機制無法實現的;即便實現的話,也要使資料流程量繞道一個外掛的安全檢查模組,形成髮卡流量,不可避免地引起額外的網路流量並造成性能下降。
  • 完備的資料分析和整合能力
    這種基礎架構內建的分散式安全機制能夠高效地分析每一個資料包,在一個平臺上實現綜合性的分析和統計功能,為進一步的安全性原則規劃提供建議和支撐資料。

 

 

延伸閱讀

Intel 不斷推動安全方面的技術創新,建立平臺級安全基礎。通過 hypervisor、VM、OS 和應用程式的堆疊來保護平臺啟動安全,實現對資料生命週期中任意階段的安全保護,使得業務安全性和生產力同步提升。

 

Intel 的每一代至強® CPU,都包含先進的資料中心/雲安全技術,並提供相應的軟體、庫和服務,使合作夥伴和客戶更容易使用這些技術來保護工作負載,並抵禦網路安全威脅:

  • Intel® Trusted Execution Technology (Intel®TXT) – 針對平臺和工作負載的可信啟動和認證
  • Intel® Software Guard Extensions (Intel®SGX 和 Intel® SGX卡) – 金鑰保護,安全雲,應用程式區域
  • Intel® Quick Assist Technology (Intel® QAT) – 加密及壓縮功能的加速
  • Intel® Resource Director Technology (Intel®RDT) – 最後一級緩存和記憶體頻寬使用的管理和控制
  • Intel® Threat Detection (Intel® TDT) – 基於底層 CPU 監控技術的硬體增強惡意軟體檢測
  • Intel Security Libraries (Intel® SecL-DC) – 英特爾安全技術的軟體庫