VMware 推出：服務定義防火牆

VMware在RSA大會上向安全領域更深入一步，推出了一款內部防火牆，稱之為服務定義防火牆（Service-defined Firewall）。

該產品結合了VMware的NSX虛擬化平台及其首款安全產品App Defense的功能，前者提供了網路和應用程序方面的可見性，後者通過監控工作負載是否背離預期的狀態來保護工作負載。它還增加了自動化和自適應防火牆功能。

它適用於裸機、虛擬機（VM）和基於容器的應用程序環境，將來還會支持諸多混合雲環境，比如VMware Cloud on AWS和AWS Outposts。

VMware網路和安全業務部門的高級副總裁兼總經理Tom Gillis說，這是一種「真正的防火牆」。「它不是埠阻塞。我們對網路連接進行有狀態的第7層檢查。我們對主機本身進行高級檢查。它還結合了基於針對應用程序行為的這番了解，自動生成防火牆規則這項功能。」

Gillis表示，服務定義防火牆不是追查威脅，而是驗證應用程序的良好行為。這不是新概念，但早期的解決方案（比如在訪客端安裝代理來實現這一目標）帶來了另外的挑戰。基於代理的解決方案增加了複雜性，如果攻擊者獲得root許可權，進而全面控制主機，他們就完全可以繞過代理。

工作原理簡述

服務定義防火牆採用了一種不同的方法，因為VMware在主機中的獨特地位使其能夠深入了解應用程序及其所有微服務在任何時間內的種種變化。該產品的應用程序驗證雲（Application Verification Cloud）使用全球數百萬個虛擬機的機器智能，準確地繪製出了某應用程序預期的「已知良好」的狀態。一旦最終驗證了應用程序的行為已知良好，服務定義防火牆就可以生成自適應的安全策略。

它還利用VMware的這一功能：無需駐留在訪客端，即可檢查訪客操作系統（OS）和應用程序。這意味著即使攻擊者獲得了root訪問許可權，也無法繞過服務定義防火牆。此外，這款新產品可以檢測並阻止網路上的惡意流量，它可以檢查訪客本身，在運行時識別並阻止操作系統或應用程序中的任何惡意行為。

又由於VMware軟體定義防火牆基於軟體，具有高度分布性。它可以在應用程序運行的任何地方運行，而且是跨雲運行。這意味著可以始終如一地實施策略，無需跨雲環境「hairpinning」流量，即將流量從虛擬環境轉移出來、移到硬體設備中進行掃描。

Gillis說：「我們並不取代邊界防火牆，邊界防火牆是整個解決方案的重要組成部分。但眾所周知，你不能完全依賴邊界防火牆，因為有些流量仍穿透進來。結合傳統的邊界防火牆和內部防火牆（比如服務定義防火牆），有助於打造更強大的安全解決方案。」

VMware邁向服務定義防火牆的路程

天生安全

該產品還立足於VMware首席執行官Pat Gelsinger上周在巴塞羅那召開的移動世界大會（MWC）上討論的「天生安全」（intrinsic security）這個概念。

Gilles表示，天生安全有別於集成安全，後者實際上重新打包現有產品。「就好比拿來一個防火牆，把它做成數據中心交換機中的刀片。你並沒有從根本上改變防火牆。」

另一方面，天生安全充分利用了虛擬化平台中內置的屬性。Gillis說：「這讓我們得以做一些我們認為在業界非常獨特的事情。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！