E安全6月27日訊，睽違已久的VMware公司安全產品即將於今年第三季度推出，並正式定名為「應用防禦（App Defence）」。

VMware早期安全方案：Goldilocks

虛擬化巨頭VMware公司早在2013年就開始探討其進軍安全市場的計劃，當時NSX之父馬丁·卡薩德與RSA已經分別討論了其各自技術專長——即安全與網路虛擬化——協同工作以發揮作用的潛在可能性。這一思路的核心在於利用虛擬機管理程序作為「Goldilocks區」，並以此為基礎強制實施安全控制以確保各端點以及網路實現彼此隔離。

在此後的數年當中，VMware公司偶爾仍會提及這款被稱為Goldilocks項目的產品，但直到2016年8月才正式展示其工作代碼。而正如當時在報道中所指出，Goldilocks項目將為各虛擬機發布「出生證明」，其中將囊括與該虛擬機運行相關的預期可執行文件、需要觸及網路基礎設施的應用程序、用於訪問相關網路的具體埠同時描述其它用於確保該虛擬機及其所運行應用程序處於已知安全狀態的其它各類內容。

VMware公司Goldilocks項目原理示意圖

如果該虛擬機偏離了上述預期正常運行方式，則VMware將會自動將該虛擬機標記為錯誤以警示系統管理員及/或自動化管理方案。在此之後，該方案會克隆一套安全的清潔虛擬機，用以接手可能遭遇入侵的虛擬機中的工作負載。如此一來，企業一方即可搶在惡意人士執行任何破壞性操作之前以非破壞性方式隔離各可能受到感染的虛擬機。

VMware將在第三季推出App Defence

VMware公司正在組織一輪名為「Evole」的全球巡演活動，旨在向更為廣泛的受眾證明這套方案作出的「安全性轉變」承諾。在該系列活動中的澳大利亞墨爾本分會當中，VMware公司高級副總裁兼網路安全總經理傑夫·傑寧斯指出該軟體「著眼於虛擬機的實際運作情景。我們現在能夠監控目標虛擬機，旨在確定其運作方式與我們的預期是否吻合。如果不相吻合，則我們可以向您發出警報，並由您根據警報內容決定希望執行的後續操作。」

這聽起來與Goldilocks項目非常相似。傑夫·傑寧斯同時補充稱，該公司目前的思路「……是在今年第三季度推出該款產品。而產品的名稱已經正式敲定為應用防禦（App Defence）。」

傑夫·傑寧斯進一步解釋稱，VMware公司在計劃中建立起一套三管齊下的方案。第一部分已經存在於市場當中，即該公司推出的NSX網路虛擬化產品——其能夠建立經過「微分區」的虛擬網路，用以限制各類運作行為並將其同特定應用程序或者虛擬機加以關聯。微分區正是NSX產品的一種主要使用方式。接下來則是情景分析，這部分功能由Goldilocks/應用防禦產品負責提供。最後一部分則為自動化，即以自動化方式處理潛在或者實際安全事故，這將使得保護舉措獲得遠高於傳統方案的速度表現。VMware公司的vRealize
Automation似乎正適合扮演計劃中的這部分角色。

傑夫·傑寧斯同時展示了以下演示文稿，未來幾個月內這份資料應該還會多次出現。

VMware的安全架構願景

傑夫·傑寧斯並沒有解釋應用防禦產品將如何進行市場銷售或者是否將採取綁定銷售形式。

關於VMware的猜測

下面我們來談談自己的猜測。NSX的實現門檻已經非常之低，但對於客戶而言其使用難度仍然不小。因此，也許VMware公司最終會作出艱難的決定，即恢復以往已經被放棄的計劃，甚至面向微分區用例提供專門的NSX版本。通過這種方式，VMware公司將能夠實現NSX與應用防禦以及vRealize的緊密協同，從而建立起一套更具訪問易性而集成度相對較低的安全產品套件。

而這樣的設計思路還能夠將應用防禦更為順利地引入中端vSphere用戶群體，這部分用戶可能希望擁有更理想的安全性水平，但卻難以消化一套完整的NSX與vRealize實現方案。在這種情況下，簡單易用的軟體包將能夠顯著提升vSphere的業務價值。

另外，VMware公司還能夠提供一套實現難度略高的綁定版本，用以滿足其同各大型企業客戶間的合作需求。

傑夫·傑寧斯還對所謂第三季度的發布計劃作出了進一步說明，該計劃涵蓋分別將於今年8月底與9月中旬召開的VMWorld美國與歐洲大會。

另外還有一項要點：思傑公司已經開發出一些與應用防禦產品非常類似的解決方案，具體實現途徑則為立足其Hypervisor Introspection產品與安全方案供應商BitDefender建立合作。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！