【51CTO.com原創稿件】隨著大數據和云計算的應用，數據中心已經成為企業業務運營的神經中樞和核心資產。但當前安全威脅形勢正在變得越來越復雜，傳統的防火墻、IPS、WAF等對于惡意數據攻擊的防護能力正在逐漸減弱，已無法滿足企業安全需求。常見的病毒廠商往往采用先有病毒再有防御機制的方式，需要定期下載病毒特征庫進行防護，這就要求企業先要知道惡意的攻擊手段，因此是一種比較被動的方式。

傳統的防護被稱之為邊界防火墻。數據中心的保護，最通常的做法就是在數據中心的網絡入口處設置一個防火墻，將來自于互聯網的各種可能攻擊擋在外面。而在企業內網中，電腦和電腦之間是沒有防火墻的，如果攻擊者已經通過某種手段進入到企業內網，例如網絡釣魚等常見手段就可以任意妄為了，慢慢地傳播起來。所以，傳統的邊界防火墻，只能防護從外到內的流量，而不能防護內部設備之間的流量。

[[262810]]

VMware大中華區高級產品經理 傅純一

那么，如何幫助企業構筑一套高效的數據中心防護體系呢？日前，VMware推出了業界首款服務定義防火墻，給出了另外一種全新的思路，通過機器學習技術，對企業要保護的應用或服務的正常工作行為進行學習，如果發現與正常行為有偏差，可能就是存在問題的惡意攻擊，此時就可以采取一系列動作，例如停止服務器的運行，或者將管理權交給VMware的合作伙伴進行深入處理分析，這就是服務定義防火墻最基本的核心概念。VMware大中華區高級產品經理傅純一對記者表示，事實上，VMware在推出服務定義防火墻之前，就已經有了相應的解決方案。

據悉，VMware所說的服務定義防火墻，其解決方案的核心就是由此前的AppDefense和NSX Data Center一起來聯合實現的。AppDefense能夠對企業的虛機、應用的行為進行分析。在保護虛機之前，AppDefense會先花費一段時間（例如一周、兩周的時間），學習虛機的正常行為模式。學習結束之后，就可以進入保護模式，凡是與正常行為模式不一樣的，都可以被判定成為是可疑的、有可能是攻擊行為的動作，然后就會采取一系列響應。所以，AppDefense首先要對受保護的服務或者應用進行一個全面的了解，學習它的正常行為，然后再對他進行保護。

同時，NSX Data Center可以對數據中心的每一個虛機都提供一個專門定制的防火墻。相比每個服務器都配一個硬件防火墻來說，VMware通過軟件實現的防火墻可以大大降低成本，只是占用一些額外的CPU和內存，就可以實現防火墻的功能，而且這個防火墻是針對每一個虛機度身定制的，所以，企業不用再擔心新的攻擊手段的出現。不同于以往被動的保護模式，無論任何新的攻擊手段的出現，攻擊手段的升級總歸是改變虛機原有的行為模式，因此，AppDefense都可以識別出來，把可疑結果發送到NSX Data Center防火墻，自動生成規則，進而將可疑的訪問行為隔離在虛機外面，起到保護虛機的作用。所以，企業利用內部的防火墻，可以為每一個虛機都提供防火墻，在數據中心內部起到一個全面的保護。

服務定義的防火墻三大特點

傅純一回顧了VMware服務定義防火墻的發展之路。2013年，VMware推出NSX，提出了微分段的概念。2017年，推出環境感知微分段，即微分段2.0。2018年，VMware通過與AppDefense進行集成，提出了自適應的微分段。今年，VMware提出的服務定義的防火墻，是逐漸發展而來的，而且其功能也越來越強，能夠通過全新的防火墻保護方式縮小攻擊面，具有以下三個顯著特點：

首先，它是系統原生和固有的。作為VMware vSphere中的模塊，AppDefense可以對虛機提供原生保護，就運行在Hypervisor里面。通常情況下，黑客、惡意攻擊都是集中在虛機，AppDefense可以通過Hypervisor了解虛機正常的運行狀況，對虛機里面運行的操作系統和應用都有很深入的了解，所以能夠對虛機、應用有一個全面的掌握，實現深度的應用體系可見性和控制力。首先，在Hypervisor安裝部署完成后，VMware會幫助客戶進行硬化（Hardening），即把Hypervisor各種可能的漏洞全部堵上。

例如，企業把遠程訪問的端口關上之后，它的安全程度就可以提高。同時，服務器都有vSphere的控制臺，企業IT人員根據規則必須設置一個time out的值，比如20分鐘之后，它會自動把控制臺鎖上，這些都是可能被入侵的環節，而VMware能夠把這些環節的漏洞都給堵上。其次，相較于Windows、Linux而言，Hypervisor畢竟是一個封閉的系統，相對安全很多。因此說，AppDefense運行在Hypervisor中受攻擊的可能性非常小。

第二，通過應用驗證云，能夠把機器學習的Pattern全部匯總在云端，總結在一起。具體來說，AppDefense是利用人工智能、機器學習技術來識別學習應用的正常行為。學習之后會把學習的結果上傳到云端，為此VMware在云端專門建了應用程序驗證云（Application Verification Cloud）。目前，AppDefense在全球已經擁有成百上千家用戶，每家客戶都在針對不同的應用進行學習，VMware會把這些學習模式的結果匯總在一起。

例如，中國、美國、日本都有客戶在使用SQL Server，自然而然就會把學習的結果都匯總在一起，使AppDefense的判斷結果更加準確，包括什么樣的行為是SQL Server的正常行為，應該訪問哪些端口，應該對服務請求做出怎樣的響應，哪些動作是正?；蛘弋惓５?，都會被記錄在驗證云里面。所以，通過SaaS形式，AppDefense基于云服務把檢查的結果發送給NSX Data Center，讓NSX Data Center自動生成防火墻的規則，將惡意的訪問通過定義的規則擋在虛機、應用外面。

需要注意的是，企業上傳的不是用戶數據，而是Meta Data，這與客戶的業務數據是完全無關的，主要是應用正常運行的一些模式。應用驗證云反過來收集的這些智能的信息，會對每一個客戶的數據中心環境提供反向指導，從而能夠使得AppDefense的判斷更加精準，防止誤判和各種惡意攻擊的漏網。

第三，它是分布在軟件中的，用軟件的方式來實現的，所以可以在各個環境中都保證策略的一致性。在當前多云環境下，企業的應用不僅僅運行在私有云中，也有可能運行在公有云。公有云有著眾多的供應商，企業在不同的公有云中運行和遷移，都需要單獨配置一套安全規則。一方面導致了工作負擔很繁重，另一方面很容易造成安全漏洞。例如，企業配置的時候很容易存在一些漏洞，不同的公有云提供的安全機制不同，很容易造成安全機制的不一致，不一致就有可能產生漏洞。

而現在，VMware通過消除各個云環境的差異性，保證了在多云的環境中都能提供一致的安全策略。企業基于服務定義防火墻的跨云屬性，無論企業在私有云、公有云或者是不同的公有云之間，都有一個一致的安全策略，實現了無處不在的保護和操作的自動化，這也是VMware多云戰略中的一大優勢。

總之，VMware將NSX Data Center和AppDefense配合起來，推動了安全技術的創新演化，共同實現了業界首創的服務定義防火墻（Service-defined Firewall，Service即運行在虛機中的App），通過把傳統被動的防御手段變成了主動的防御手段，不僅僅是已知攻擊手段才能防護，對于未來未知的、可能的各種防御手段都能夠進行防護。

值得注意的是，VMware所提出的服務定義防火墻解決方案是保護數據中心端的，而在前端，VMware也有相應的Workspace ONE來保護用戶終端的安全。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】