一劳永逸解决安全的难题,答案是?

从勒索病毒,到数据泄露,各种安全问题肆虐,让人忧心忡忡。

18世纪,天花同样肆虐。在欧洲,几次天花病毒大爆发夺走了3亿人的性命,幸存者中,平均每5人就有一个麻脸;1774年,法国国王路易十五死于天花;乔治华盛顿也因天花落得麻脸。天花之苦,危害众生。

经过20多年的潜心研究,英国医生Edward Zinner在1796年通过预防接种牛痘的方法,帮助人类一劳永逸解决了天花的困扰。1979年10月26日,世界卫生组织宣布:天花已经从地球上根除!

如今,信息安全也需要寻找“牛痘疫苗”。

应该说:预防接种,防患于未然,这样的思路也适用于信息安全对抗。

牛痘之所以能够对抗天花,基本的原理在于免疫,当人的机体产生抗体之后,病毒也就徒叹奈何了!

信息安全也是如此,主动防御也好,加保险柜、加锁也罢,最好的方法不如增加系统自身的免疫。

信息系统如何才能够实现系统免疫呢?

VMware AppDefense给出了最好的答案:从Hypervisor入手实施免疫

Hypervisor,主机虚拟化的心脏和神经中枢。其中,vCenter 掌管主机、虚机的详细信息,vRealize掌管有关应用虚机自动调配,什么是正常的访问行为?什么是异常的信息变动,一清二楚,一目了然。

通过调用这些组件的功能,AppDefense实现了一系列安全自动响应行为,例如检测到安全威胁时通过 vCenter 把受感染的虚机挂起,通过 NSX 的虚拟防火墙功能来隔离某个安全威胁等。

据了解,AppDefense有三种下载模式:AppDefense Appliance、Host Module以及Guest Module,即支持云端 SaaS服务,也支持物理服务器和虚拟机的方式,用户可以根据需要灵活选择。

2018年10月31日,VMware 对外正式发布了 vSphere 新一代产品 vSphere Platinum (白金版),把 vSphere 企业增强版和主动安全防护技术 AppDefense 整合在一起,从hypervisor层面,对虚机以及虚机上的应用提供全面的安全保护,为信息系统应用提供安全免疫。

但是,hypervisor会不会遭受攻击呢?会不会成为系统安全的短板呢?

在虚拟化应用的初期,hypervisor的安全性问题就是焦点之一。从功能上看, hypervisor只是薄薄的一层,hypervisor的代码非常少,系统开销非常小,遭受攻击的可能性非常小。因此,内置在 hypervisor 中的安全防护机制,减少了暴露被攻击面、对性能的影响更小、管理起来也更加简便。

除了应用保护之外,vSphere 白金版也针对数据、架构提供行之有效的安全防护。其中,针对数据保护采用了数据加密的手段,除了需要对存储在硬盘上的虚机数据进行加密之外,也会对 vMotion 时在网络上传输的虚机数据进行加密,数据加密的强度是XTS-AES-256对称加密算法,是目前强度最高的。

架构安全方面,vSphere 白金版提供了ESXi 服务器安全启动和虚机安全启动功能,支持物理 TPM 2.0 和为虚机提供虚拟 TPM 2.0,支持微软基于虚拟化的安全 VBS 机制。与他同时,任何对于 vSphere 环境的管理操作都会被记录下来,为日后审计以及AI、机器学习安全攻防奠定了数据基础。

IDC数据显示,2018年云计算基础设施规模为523亿美元,未来会按照10.8%复合年增长率(CAGR)增长。其中,虚拟化技术是云计算的基础支撑技术,没有虚拟化就没有资源池化,更不会有计算资源灵活调度,系统弹性就会是一句空话。

可以说,没有虚拟化,就没有云计算。VMware vSphere无疑是商业虚拟化软件的绝对领导者,经过十几年的积累,vSphere在行业企业市场积累了大量的用户。相比与开源软件产品,vSphere更加成熟稳定,商业化服务保障也更加适合传统行业企业IT技术外包的服务需求。

考虑到传统行业企业云化的业务需求,以SDDC为核心,VMware提供完整的解决方案。

都说蛇打七寸,抓问题要抓主要矛盾。

如今,以vSphere庞大的市场应用为基础,通过hypervisor内置安全防护机制无疑为安全问题攻防,安全免疫提供新的思路。同样的,通过在hypervisor层内置VSAN管理软件,VMware 软件定义存储的市场表现优异。

Hypervisor小玄机,系统表现大不同,一劳永逸解决安全问题,可行吗?

让我们拭目以待!