存储在线生活中我们都有这样的常识:消防安全火警119,生命安全报警110,国家为了方便群众设立的短号码,为了便于记忆。119为什么是火警,110为什么是报警(匪警)呢?一个开脑洞的说法:119谐音要(1)救(9)火;而110就是要(1)让匪徒清零(0)。
这和VMware有什么关系吗?我们熟悉的VMware是虚拟化,是软件定义数据中心,是多云数据管理,也是云原生,但是自此之后,也许需要为VMware贴上一个新标签:原生安全。
原生安全
什么是原生安全?说的是对安全产品进行原生化改造?还是针对原生的世界提供安全防护?换句话说,指安全的原生?还是原生的安全。
在采访中,VMware大中华区高级产品经理傅纯一给出了明确的答案:原生的安全。
“原生安全不是简单的一个产品,而是跨越任意应用、任意云、任意设备的数据基础设施中,内建的一整套方法和工具,用于保护这些平台上的应用和数据安全。” 傅纯一说。未来的世界是原生的世界,因此未来的安全应该就是原生安全。
内建而非外挂:尽量在现有的基础架构上内建安全机制和解决安案,这样可以大大减少额外的工具和资源开销,降低整体复杂度和增强故障排除能力。内建的安全性也能够使安全策略更易于全局性实施,同一条安全规则可以跨私有云、公有云、边缘环境和端点设备生效。
整合而非孤立:各个业务部门 (安全、开发、运维) 应该协同作战、共享信息和工作流程,共同面对和解决安全挑战;同样的,安全技术方案和工具之间也应该数据共享,并以统一的工作流一起工作,以彻底消除威胁或漏洞。
变被动为主动:有必要深入了解被保护对象的工作环境,掌握被保护对象的正常行为模式,当恶意攻击发生时就可以及时发现这些异常的行为,从而触发相应的应对措施 (隔离、挂起、告警等等)。这样变被动为主动,面对未知的威胁也能够起到保护作用。
VMware 原生安全解决方案
VMware 构建了信息安全控制点模型,把信息处理的整个流程分划分为5个安全控制点,通过对于这5个控制点的安全防控来提高整个系统的安全性。
工作负载 (Workload):运行在数据中心的应用后台服务和数据;
端点设备 (Endpoint):把应用功能交付给使用者的终端设备,包括 PC、手机、平板等;
身份认证 (Identity):任何一个用户在访问系统时都要明确和验证自己的身份;
网络 (Network):把数据中心、云端、端点设备连接起来;
云端 (Cloud):云计算把数据中心和应用都搬到了云端,云服务提供商和企业需要分担安全的责任。
VMware 传统的安全解决方案包括端点设备和身份安全平台 VMware Workspace ONE,网络虚拟化和安全解决方案 VMware NSX Data Center,vSphere hypervisor 内建的主动安全防御工具 AppDefense,2019年 VMware 又收购了云安全技术厂商 Carbon Black,从而形成了完整的安全防护体系。
简单说,VMware 安全解决方案分为端点安全、工作空间安全、工作负载安全、网络安全和云安全五部分,或通过Carbon Black,或通过vSphere、vSAN 、NSX内建的多种安全和网络隔离机制,提供完整的安全防护。通过对容器平台的支持,VMware 原生安全解决方案也可以和IBM、Splunk、Okta、zscaler、netskope等生态合作伙伴的方案进行有机的集成。
小结
作为全球企业软件的创新领导者,VMware希望能够从建设的初期,从根本上解决安全的问题。这即使VMware希望传递给我们的理念,也是VMware原生安全解决方案的信心和底气的来源。