01多云時(shí)代推動(dòng)安全的變化
傳統(tǒng)環(huán)境下重要數(shù)據(jù)都保存在數(shù)據(jù)中心中,安全模型都是采用網(wǎng)絡(luò)為中心的防護(hù),基于邊界的安全理念,那么一旦邊界被攻破,安全威脅就會(huì)在數(shù)據(jù)中心內(nèi)部橫向的蔓延。在多云的時(shí)代,我們的應(yīng)用運(yùn)行在全球的各個(gè)數(shù)據(jù)中心里,我們應(yīng)該轉(zhuǎn)變思路,并以數(shù)據(jù)和應(yīng)用為中心來(lái)建立一個(gè)多云防護(hù)的安全理念,運(yùn)用持續(xù)評(píng)估和動(dòng)態(tài)訪問(wèn)策略,建立主動(dòng)的自動(dòng)化防御能力。
隨著分布式應(yīng)用以及容器化應(yīng)用的部署,有超過(guò) 80% 的流量都是數(shù)據(jù)中心內(nèi)部的流量,這些流量包括應(yīng)用內(nèi)部不同層以及應(yīng)用之間的調(diào)用流量,這些流量很有可能夾雜著一些攻擊的流量。數(shù)據(jù)中心內(nèi)的其中一個(gè)應(yīng)用被攻破之后,惡意軟件和威脅也會(huì)在云內(nèi)以及云間進(jìn)行橫向移動(dòng),最終整個(gè)數(shù)據(jù)中心都受到了安全的威脅。那么如何阻止這些行為的發(fā)生,如何阻止威脅的橫向蔓延,如何構(gòu)建一個(gè)網(wǎng)絡(luò)拓?fù)錈o(wú)關(guān)的安全防護(hù)體系是我們接下來(lái)要討論的話題。
02NSX 新一代多云網(wǎng)絡(luò)安全防御平臺(tái)
我們可以通過(guò) NSX 新一代的網(wǎng)絡(luò)安全防御平臺(tái)來(lái)提供云內(nèi)的安全防護(hù),尤其是東西向流量的安全保護(hù)。VMware 早在 7 年前就開(kāi)始提供了分布式防火墻以及微分段的技術(shù),這些年一直不斷的創(chuàng)新,提供了一個(gè) L4 - L7 的狀態(tài)化防火墻,現(xiàn)在演進(jìn)為一個(gè)服務(wù)定義的防火墻,它專門用于跨虛擬機(jī)、祼金屬服務(wù)器、云以及容器來(lái)檢測(cè)和防御東西向的安全威脅。
VMware 現(xiàn)在擁有全套先進(jìn)的威脅檢測(cè)功能,包括一項(xiàng)新的沙箱技術(shù)、網(wǎng)絡(luò)流量分析以及強(qiáng)大的管理和分析框架。在方案中,我們有集中的管理和分析層,具有多站點(diǎn)多云的安全管理功能,通過(guò) NSX Federation 在多數(shù)據(jù)中心多云環(huán)境中提供統(tǒng)一的安全視圖,同時(shí)通過(guò) NSX Intelligence 提供自動(dòng)化的應(yīng)用拓?fù)溆成浜桶踩呗缘闹贫ā?/div>
1NSX 分布式防火墻和網(wǎng)關(guān)防火墻
NSX 防火墻的核心功能集是訪問(wèn)控制,通過(guò) NSX 防火墻可以減小攻擊面。它有兩種形式,一種是上圖左側(cè)的分布式防火墻,采用了分布式的架構(gòu),上圖右邊是網(wǎng)關(guān)防火墻。大多數(shù)人可能都知道,分布式防火墻本質(zhì)上是一個(gè)透明的 4 層到 7 層的防火墻,它直接應(yīng)用于工作負(fù)載的網(wǎng)絡(luò)接口,并在 hypervisor 的內(nèi)核中運(yùn)行。NSX 分布式防火墻可以實(shí)現(xiàn)虛擬機(jī)、裸金屬服務(wù)器以及容器的安全隔離,實(shí)現(xiàn)一體化的管理,同時(shí),如果使用分布式防火墻的話,我們只要簡(jiǎn)單的把分布式防火墻直接插入到 hypervisor 的內(nèi)核中,而不需要改變物理網(wǎng)絡(luò)的架構(gòu),同時(shí)還可以基于虛擬機(jī)的屬性,比如虛擬機(jī)的名稱、虛擬機(jī)的標(biāo)記來(lái)實(shí)現(xiàn)動(dòng)態(tài)的安全組。
其次我們?cè)倏匆幌戮W(wǎng)關(guān)防火墻,網(wǎng)關(guān)防火墻與分布式防火墻不同,分布式防火墻相當(dāng)于透明式的防火墻,而網(wǎng)關(guān)防火墻必須位于網(wǎng)絡(luò)的路徑中,網(wǎng)關(guān)防火墻更多的是用于租戶之間以及南北向的網(wǎng)絡(luò)流量,網(wǎng)關(guān)防火墻通常要部署在 T0 或 T1 的路由器上,T0 或 T1 的路由器要關(guān)聯(lián)到 Edge 上。
2高級(jí)威脅的檢測(cè)和響應(yīng)
除了分布式防火墻、網(wǎng)關(guān)防火墻外,NSX 還提供了更高級(jí)的安全威脅檢測(cè)和響應(yīng)能力,它提供了最強(qiáng)的數(shù)據(jù)中心防御能力。
VMware 提供的高級(jí)安全威脅檢測(cè)和響應(yīng)解決方案包括三個(gè)關(guān)鍵的組件:
分布式的 IDS/IPS,基于最新的以及動(dòng)態(tài)生成特征庫(kù)準(zhǔn)確地識(shí)別安全威脅并且提供了對(duì)已知的的攻擊防御能力。
網(wǎng)絡(luò)沙箱,它能過(guò)全系統(tǒng)仿真沙箱技術(shù)深入的了解應(yīng)用程序的行為,分析檢測(cè)和阻止未知的安全威脅。
NTA,網(wǎng)絡(luò)流量分析,它利用了人工智能和以威脅為中心的模型來(lái)檢測(cè)網(wǎng)絡(luò)中僅靠特征庫(kù)無(wú)法檢測(cè)的惡意活動(dòng),比如說(shuō)端口掃描等。
分布式 IDS/IPS、網(wǎng)絡(luò)沙箱和 NTA 組件都會(huì)產(chǎn)生與單個(gè)主機(jī)相關(guān)的告警,這些告警信息也會(huì)關(guān)聯(lián)到 NDR 引擎,通過(guò)這些告警的聚合,為安全分析人員提供一個(gè)高級(jí)的威脅檢測(cè)和響應(yīng)能力。
分布式IDS/IPS
那我們先看一下 NSX 分布式 IDS/IPS。傳統(tǒng)的 IDS/IPS 以及分析的平臺(tái)部署全部采用集中式的部署,而且需要通過(guò)流量鏡像的方式把應(yīng)用的流量鏡像到 IDS 上。而 IPS 接到網(wǎng)絡(luò)中,我們還要考慮如果將流量通過(guò)路由的方式引到 IPS 設(shè)備上去。另外,傳統(tǒng)的 IDS/IPS 都是采用硬件來(lái)部署,一方面由于流量要集中到 IDS 和 IPS,所以 IDS/IPS 可能會(huì)產(chǎn)生性能上的瓶頸,如果要增加性能,就要將現(xiàn)有的 IDS/IPS 替換成能力更強(qiáng)的設(shè)備。由于都是硬件設(shè)備,所以部署這些安全設(shè)備,需要額外的機(jī)房空間、電力以及制冷系統(tǒng),還要定期地對(duì)這些硬件設(shè)備進(jìn)行巡檢。而 NSX 分布式 IDS/IPS 采用分布式架構(gòu),直接將 IDS/IPS 應(yīng)用到 hypervisor 層,而且提供了豐富的入侵日志并提供宿源的能力。如下圖所示:
上圖是 NSX 分布式 IDS/IPS 威脅事件的可視化界面。在這個(gè)界面上可以顯示所有的攻擊的行為。我們看到,這里有很多的點(diǎn),點(diǎn)的大小和顏色代表的威脅的嚴(yán)重的程度,如果有的點(diǎn)在不停的閃爍的話,代表在那個(gè)時(shí)間點(diǎn)有攻擊行為發(fā)生。那我們看一下圖的上部,這里邊可以過(guò)濾我們要查看的事件,我們可以選擇極高風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)等不同級(jí)別的事件進(jìn)行查看。在入侵細(xì)部分,我們看到了攻擊的日志,我們從這個(gè)圖上可以看到非常詳細(xì)的信息,這些信息包括攻擊的來(lái)源,攻擊的目的 IP,以及攻擊的方式,還有攻擊的類型,匹配的特征碼以及這個(gè)攻擊行為影響的虛擬機(jī)等信息,在右下角,我們看到了柱狀圖,柱狀圖的顏色代表了哪些是被檢測(cè)到的攻擊哪些是被阻止的攻擊類型。
Network sandbox(網(wǎng)絡(luò)沙箱)
IDS/IPS 更多的是基于特征庫(kù)的安全防護(hù),多數(shù)為已知的安全威脅,那么對(duì)于那些未知的安全威脅,該如何提供安全防御的能力呢。接下來(lái)介紹一下通過(guò)全系統(tǒng)仿真沙箱技術(shù)。
VMware 的沙箱的特點(diǎn)是它使用了一個(gè)完整的系統(tǒng)仿真分析應(yīng)用,這使我們能夠看到應(yīng)用內(nèi)部的進(jìn)程執(zhí)行情況。而傳統(tǒng)的沙箱只能看到應(yīng)用程序和底層操作系統(tǒng)的調(diào)用。也就是說(shuō),傳統(tǒng)的沙箱將應(yīng)用程序看作為一個(gè)黑匣子,黑匣子里邊發(fā)生了什么,我們不知道。而 VMware 的沙箱技術(shù)可以打開(kāi)這個(gè)黑匣子,看到這個(gè)黑匣子內(nèi)部的一些行為。在上圖中橙色的部分,我們看到應(yīng)用程序正在檢查是否有沙箱的存在,如果檢查到了沙箱的存在,它就會(huì)執(zhí)行指定規(guī)避這個(gè)檢查。通過(guò)這種額外的可視性,很明顯我們更容易檢測(cè)到逃逸的行為。通過(guò)這個(gè)全系統(tǒng)仿真沙箱,我們對(duì)應(yīng)用程序的行為更加深入地理解,更容易發(fā)現(xiàn)惡意的軟件以及安全風(fēng)險(xiǎn)。
基于人工智能的惡意網(wǎng)絡(luò)行為檢測(cè)
。∟TA)
接下來(lái)讓我們來(lái)詳細(xì)地看一看 NTA 網(wǎng)絡(luò)流量分析組件。我們?cè)?NTA 中使用了人工智能建立的模型來(lái)檢測(cè)惡意的網(wǎng)絡(luò)流量。為檢測(cè)到惡意的網(wǎng)絡(luò)流量,可以通過(guò)以下兩個(gè)步驟來(lái)去實(shí)現(xiàn):第一步,所有的網(wǎng)絡(luò)流量使用非監(jiān)督式的機(jī)器學(xué)習(xí)模型識(shí)別網(wǎng)絡(luò)中的異常流量,并且把這些異常的流量與正常的流量區(qū)分開(kāi),但這還不夠,因?yàn)椴⒉皇敲恳粋(gè)異,F(xiàn)象都是一種威脅,在第二步中,我們對(duì)異常的流量使用以威脅為中心的機(jī)器學(xué)習(xí)模型,這些模型允許我們能夠識(shí)別真正的威脅,并且減少誤報(bào)。
那么,在這里我們以威脅為中心的機(jī)器學(xué)習(xí)模型使用了監(jiān)督式的機(jī)器學(xué)習(xí),那如何去訓(xùn)練他們呢?我們?cè)谶@里可以通過(guò)沙箱每天分析的數(shù)百萬(wàn)個(gè)樣本來(lái)去訓(xùn)練他們。
3高級(jí)威脅的檢測(cè)分和響應(yīng)
在整體方案之上,VMware 還提供了集中的策略分析和策略推薦引擎,通過(guò)對(duì)惡意的行為分析,提供整體的安全事件響應(yīng)清單。vRNI 和 NSX intelligence 提供了應(yīng)用的拓?fù)浒l(fā)現(xiàn)以及策略的推薦,為安全團(tuán)隊(duì)提供安全行為分析和策略的推薦,簡(jiǎn)化多云環(huán)境下的安全運(yùn)維管理。
為滿足多云時(shí)代網(wǎng)絡(luò)和安全的需求,NSX 高級(jí)安全威脅和防御平臺(tái)可以為任意類型的工作負(fù)載提供安全防御能力,通過(guò) NSX 防火墻減小攻擊面,通過(guò)分布式 IDS/IPS 以及網(wǎng)絡(luò)沙箱對(duì)已知以及未知的惡意行為進(jìn)行檢測(cè)和阻止,實(shí)現(xiàn)了在多云時(shí)代零信任的安全。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。
相關(guān)閱讀:
- ·VMware EASE:"輕松"實(shí)現(xiàn)應(yīng)用的跨云連接2021-12-02 14:31:42
- ·虛擬云網(wǎng)絡(luò)專輯|VMware助力打造現(xiàn)代化應(yīng)用連接平臺(tái)2021-11-11 09:44:59
- ·VMware虛擬云網(wǎng)絡(luò)專輯|多云時(shí)代的網(wǎng)絡(luò)安全2021-10-21 09:13:42
- ·從私有云"霸主"到多云"元宇宙",VMware如何強(qiáng)悍式創(chuàng)新?2021-10-20 09:51:32
- ·瞄準(zhǔn)混合多云市場(chǎng),VMware兩大產(chǎn)品線揭露新方向2021-10-18 14:10:58
- ·VMworld 2021:VMware加大對(duì)多云的投資,將云的選擇權(quán)和控制權(quán)還給用戶2021-10-14 15:54:46
- ·虛擬云網(wǎng)絡(luò)專輯|VMware NSX在軟件定義數(shù)據(jù)中心的角色2021-09-16 15:17:17
- ·令您重新審視防火墻保護(hù)的4個(gè)數(shù)據(jù)中心安全問(wèn)題2021-09-07 09:34:13
- ·上海市腫瘤醫(yī)院王奕:超融合是醫(yī)院數(shù)據(jù)中心務(wù)實(shí)選擇2021-04-22 15:12:51
- ·通過(guò)NSX構(gòu)建下一代虛擬多云網(wǎng)絡(luò)2021-03-09 09:35:34