全球领先的企业软件创新者VMware(NYSE: VMW)上周发布服务定义防火墙(Service-defined Firewall)。安全是基础架构的固有部分,这种内部防火墙的创新方式可以缩小本地与云环境的攻击面。凭借业经验证的VMware NSX Data Center及VMware AppDefense功能,VMware 服务定义防火墙将前所未有的应用程序可见性、对应用程序的已知良好行为的识别与智能、自动化和自适应防火墙功能相结合,帮助更好地保护应用程序、数据和用户。
VMware高级副总裁兼网络和安全业务部总经理Tom Gillis表示:“固有安全性与集成安全性不同。集成安全性重新打包现有解决方案,例如:采用传统防火墙,使其成为数据中心交换机的刀片服务器。这不会从根本上改变防火墙。固有安全性利用虚拟化平台内置的特性,允许我们创建全新、独特的安全服务。全新VMware 服务定义防火墙专注于内部网络防火墙,通过验证应用程序的已知良好行为来改变行业规则,而非追逐威胁。”
专注于应用程序的已知良好行为的概念也曾尝试落地,但挑战始终在于无法全面理解应用程序。一些解决方案已经在客户机中安装代理来完成这一任务,但基于代理的解决方案在增加复杂性的同时吸引力有限,如果恶意攻击者获得root权限(它提供了对主机的完全控制),便可以完全绕过代理。此外,随着应用程序变得更加分布式,安全性也需要向分布式转变。将东西向流量导流到硬件设备或虚拟实例中进行检查是不切实际的。
VMware 服务定义防火墙解决方案采用完全不同的防火墙策略,关注企业熟悉的资产,而不是详细检查未知的应用程序。该解决方案可以在裸机、虚拟机和基于容器的应用程序环境中运行,未来还将支持VMware Cloud on AWS、AWS Outposts等混合云环境。企业可将其作为满足内部需求的单一防火墙解决方案。VMware 服务定义防火墙解决方案拥有以下特性:
- 应用程序验证云:VMware在主机中的位置允许服务定义防火墙通过随时间的变化深入了解应用程序及其成百上千的微服务。该解决方案的应用程序验证云通过使用全球数百万虚拟机的机器智能,构建对应用程序预期的“已知良好”状态的精确映射。一旦对应用程序的已知良好行为建立业经认证的理解,该解决方案就可以为服务定义防火墙解决方案生成支持第7层的自适应安全策略,并可执行完整的状态检查。
- 免受来自虚机层面的攻击:服务定义防火墙解决方案利用VMware固有能力,在不驻留虚机的情况下检查虚机操作系统和应用程序。这意味着即使恶意攻击者获得了虚机root权限,也无法绕过服务定义防火墙,该解决方案可以检测和阻止网络中的恶意流量。除此之外,还可以在运行时对虚机本身进行自我检查,识别并阻止操作系统或应用程序中的任何恶意行为。这一独特功能相当于一种全新的网络防火墙和主机IPS方法。
- 分布在软件中:传统的硬件防火墙需要将虚拟环境网络通信导流到硬件设备中进行扫描。这种方法低效且难以扩展,特别是对于具有许多组件或服务的现代应用程序而言,这些组件或服务运行在许多服务器上且经常跨不同的云。完全基于软件的VMware 服务定义防火墙,拥有高度分布式结构,从而能够跨云运行在应用程序所运行的任意位置。这意味着可以一致地执行策略,而无需对跨云环境的流量进行复杂的导流传输。
Interfaith医疗中心(Interfaith Medical Center)信息安全副总裁助理Christopher Frenz表示:“保护我们的应用程序和患者数据至关重要,我们为提高安全性所做的任何事情最终都会影响患者的安全。由于应用程序激增和我们的应用程序正在快速变化,如何比威胁先行一步是我们面临的最大安全挑战之一。我们相信VMware能够为我们提供有效的解决方案保护应用程序,也很高兴看到VMware推出服务定义防火墙以促进内部防火墙发展”。
VMware 服务定义防火墙应对真实攻击场景
为了验证VMware服务定义防火墙的有效性,VMware与帮助企业衡量、管理和提高网络安全有效性的领导者Verodin进行合作。VMware利用Verodin的安全检测平台(Security Instrumentation Platform,SIP)来验证VMware服务定义防火墙是否能够有效识别、阻止已知或未知威胁。VMware 服务定义防火墙在检测和预防两种运行模式中均成功探测或阻止了Verodin测试序列中使用的100%恶意攻击。
Verodin首席执行官Christopher Key表示:“防御者的任务是保护他们在操作上不拥有或控制的业务关键型应用程序。应用程序的快速开发以及分布式与混合环境的日渐复杂,使得应用程序的保护难度呈指数增长。Verodin SIP为企业提供必要证据,以证实其控件能够在实际生产环境中提供所需保护。这些使用Verodin SIP的测试展示了VMware服务定义防火墙能够以最小的努力缩小攻击面。当基础架构自身就能够强制保证应用程序的已知良好行为和通信时,常见的攻击策略和技术就会变得越来越难以得逞。”