VMware發布服務定義防火牆，為虛機安全提供原生保護

至頂網安全頻道 04月10日 綜合消息： 安全問題一直是IT的關注重點。為了確保IT系統的安全，數據中心一般需要部署各種安全產品，包括防火牆、IPS、WAF等等，這些產品雖然能起到一定作用，但不足也顯而易見：大部分安全產品和設備都是面向傳統IT環境的，並不能很好地適應以虛擬化為主的雲環境；其次，這些產品以硬體產品為主，成本高還不夠靈活。日前，VMware對外發布了一個新的安全產品：服務定義防火牆。這是一款面向雲環境的原生的防火牆，以軟體形式部署，可以給虛擬化環境帶來主動的安全防護，引起了安全行業的關注。

VMware推出的服務定義防火牆依託VMware的兩個產品NSX Data Center和AppDefense實現。其中，NSX是VMware的網路虛擬化產品，它與vSphere、vSAN一起被稱為VMware軟體定義數據中心的三大支柱。NSX很早就集成了微分段功能，可以通過分區為雲環境提供顆粒度更細的安全分區，從而提高隔離性和安全性。新推出的服務定義防火牆在此功能上進行了升級。它藉助VMware另一款安全產品AppDefense來功能定義新的安全規則，為應用提供安全防護。

AppDefense是VMware的一個安全服務，以SaaS服務形式交付。它的一大創新在於，不同於大部分安全產品主要依賴預先識別和定義的特徵來識別病毒和各種異常行為，而是利用人工智慧來學習應用的正常行為，從而對系統異常行為進行識別和報警。

VMware對這款防火牆新品給出的描述是：憑藉業經驗證的VMware NSX Data Center及VMware AppDefense功能，VMware 服務定義防火牆將前所未有的應用程序可見性、對應用程序的已知良好行為的識別與智能、自動化和自適應防火牆功能相結合，幫助更好地保護應用程序、數據和用戶。

VMware大中華區高級產品經理傅純一

「VMware新推出的服務定義防火牆的核心思想是，先定義出要保護的應用或服務其正常的工作行為應該是什麼樣的，此後一旦發現應用的行為和正常的行為有偏差，就意味著這可能是惡意攻擊，從而促發一系列的動作，比如說掛起該服務或者報警給管理人員等待處理。」VMware大中華區高級產品經理傅純一表示。

傅純一解釋說，這個解決方案的核心就是AppDefense和NSX Data Center。AppDefense能夠對虛機、應用的行為進行分析。它在保護這個虛機之前會先要利用一段時間（比如一到兩周），學習這個虛機的正常行為，學習結束之後才可以進入保護模式。而NSX Data Center可以對每一個虛機提供一個定製的防火牆，這是一個軟體實現的防火牆，成本比硬體防火牆低得多。

「和傳統防火牆被動防護不同，服務定義防火牆可以識別新的攻擊手段。只要是異常行為 AppDefense就可以識別出來，AppDefense把識別出來的可疑結果告訴NSX Data Center防火牆，防火牆就可以自動生成規則，把這種可疑的訪問行為隔離在虛機外面，起到保護虛機的作用。」傅純一說。

據介紹，與傳統防火牆相比，VMware新推出的服務定義防火牆有三大特點。第一，它是系統原生的或者說系統固有的，它能與Hypervisor集成，從而最大程度地聯動。第二，配合服務定義防火牆的推出，VMware還推出了一個應用程序驗證雲，AppDefense把機器學習後的各種應用行為模式匯總在雲端，從而提高行為異常檢測的準確性；第三，它是用軟體的方式來實現的，從而提供更高的性價比。

傅純一表示，系統原生的防火牆與非原生的防火牆相比，具有很多優勢。比如，AppDefense是vSphere裡面的一個模塊，運行在Hypervisor中，而Hypervisor的安全性更高，很難被攻擊，AppDefense運行在Hypervisor里受攻擊的可能性就比較小。而另一方面，AppDefense能通過Hypervisor了解虛機正常的運行狀況：虛機裡面跑什麼操作系統，上面跑了什麼應用等，因此擁有深度的應用體系可見性。另外，應用驗證雲收集了全球眾多客戶的相關應用運行知識，來對每一個客戶的環境提供指導，讓AppDefense的判斷更加精準，防止各種誤判和漏判。最後，軟體實現的防火牆能保證在各個環境中安全策略的一致性，不管是部署在私有雲還是公有雲中，都可以自動化地完成部署。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！