VMware公司将在第三季度推出 “应用防御” 安全产品

睽违已久的VMware公司安全产品即将于今年第三季度推出,并正式定名为“应用防御(App Defence)”。

虚拟巨头早在2013年就开始探讨其进军安全市场的计划,当时NSX之父马丁-卡萨德(Martin Casado)与RSA已经分别讨论了其各自技术专长——即安全与网络虚拟化——协同工作以发挥作用的潜在可能性。这一思路的核心在于利用虚拟机管理程序作为“Goldilocks,并以此为基础强制实施安全控制以确保各端点以及网络实现彼此隔离。

在此后的数年当中,VMware公司偶尔仍会提及这款被称为Goldilocks项目的产品,但直到20168月才正式展示其工作代码。而正如我们当时在报道中所指出,Goldilocks项目将为各虚拟机发布出生证明,其中将囊括与该虚拟机运行相关的预期可执行文件、需要触及网络基础设施之应用程序、用于访问相关网络的具体端口同时描述其它用于确保该虚拟机及其所运行应用程序处于已知安全状态的其它各类内容。

如果该虚拟机偏离了上述预期正常运行方式,则VMware将会自动将该虚拟机标记为错误以警示系统管理员及/或自动化管理方案。在此之后,该方案会克隆一套安全的清洁虚拟机,用以接手可能遭遇入侵之虚拟机中的工作负载。如此一来,企业一方即可抢在恶意人士执行任何破坏性操作之前以非破坏性方式对各可能受到感染的虚拟机加以隔离。

VMware公司正在组织一轮名为“Evole”的全球巡演活动,旨在向更为广泛的受众证明这套方案作出的安全性转变承诺。在该系列活动中的澳大利亚墨尔本分会当中,VMware公司高级副总裁兼网络安全总经理杰夫-杰宁斯(Jeff Jennings)指出该软件着眼于虚拟机的实际运作情景。我们现在能够监控目标虚拟机,旨在确定其运作方式与我们的预期是否吻合。如果不相吻合,则我们可以向您发出警报,并由您根据警报内容决定希望执行的后续操作。

这听起来与Goldilocks项目非常相似。杰宁斯同时补充称,该公司目前的思路“……是在今年第三季度推出该款产品。而产品的名称已经正式敲定为应用防御(App Defence)。

杰宁斯进一步解释称,VMware公司在计划中建立起一套三管齐下的方案。第一部分已经存在于市场当中,即该公司推出的NSX网络虚拟化产品——其能够建立经过微分区的虚拟网络,用以限制各类运作行为并将其同特定应用程序或者虚拟机加以关联。微分区正是NSX产品的一种主要使用方式。接下来则是情景分析,这部分功能由Goldilocks/应用防御产品负责提供。最后一部分则为自动化,即以自动化方式处理潜在或者实际安全事故,这将使得保护举措获得远高于传统方案的速度表现。VMware公司的vRealize Automation似乎正适合扮演计划中的这部分角色。

杰宁斯同时展示了以下演示文稿,在我们看来未来几个月内这份资料应该还会多次出现。

VMware公司将在第三季度推出 “应用防御” 安全产品VMware公司的安全架构发展愿景

杰宁斯并没有解释应用防御产品将如何进行市场销售或者是否将采取绑定销售形式。

下面我们来谈谈自己的猜测。NSX的实现门槛已经非常之低,但对于客户而言其使用难度仍然不小。因此,也许VMware公司最终会作出艰难的决定,即恢复以往已经被放弃的计划,甚至面向微分区用例提供专门的NSX版本。通过这种方式,VMware公司将能够实现NSX与应用防御以及vRealize的紧密协同,从而建立起一套更具访问易性性而集成度相对较低的安全产品套件。

而这样的设计思路还能够将应用防御更为顺利地引入中端vSphere用户群体——这部分用户可能希望拥有更理想的安全性水平,但却难以消化一套完整的NSXvRealize实现方案。在这种情况下,简单易用的软件包将能够显著提升vSphere的业务价值。

另外,VMware公司还能够提供一套实现难度略高的绑定版本,用以满足其同各大型企业客户间的合作需求。

杰宁斯还对所谓第三季度的发布计划作出了进一步说明,其中涵盖分别将于今年8月底与9月中旬召开的VMWorld美国与欧洲大会。

另外还有一项要点:思杰公司已经开发出一些与应用防御产品非常类似的解决方案,具体实现途径则为立足其Hypervisor Introspection产品与安全方案供应商BitDefender建立合作。


原文发布时间为: 2017年6月26日

本文作者:黄雅琦 

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

上一篇:一起谈.NET技术,asp.net程序来读取多语言版本Ini配置文件


下一篇:并发安全的 ConcurrentHashMap 实现原理详解