回顾过去10年,VMware已陆续买下多家安全相关厂商,也使得他们打下不错的基础,得以加入主推零信任安全架构的IT大厂行列。其中较为人所知的几个并购案,如今都成为VMware立足企业级安全领域的关键。
发展至今,VMware标榜他们能够提供全方位(end-to-end)的零信任安全解决方案,这说法并不为过,实际查看他们目前供应市场的安全解决方案,的确已涵盖各种企业安全防护的重点面向,包含:用户与端点设备、网络、云计算服务、工作负载与应用程序DevOps。
而凭借这样的产品组合,VMware在今年也公布他们的零信任安全产品。
基本上,他们提出了两种框架,一是区分为三种安全防护,分别针对:多云环境(Multi-Cloud)、现代化应用程序(Modern Application),以及适用于任何场所的数字办公(Anywhere Workspace)等领域,另一框架则更为简单,区分为二种安全防护,分别针对工作负载访问(Workload Access),以及用户访问(User Access)。
图片来源/VMware
根据用户与工作负载等两种访问模式,区分零信任架构
无论企业是否使用服务器虚拟化平台,发展单云,或是使用单一公有云或多朵公有云,VMware如今提出的零信任安全架构,希望能够在涵盖全局的考量下,以简单的划分方式,区隔出几个管控面向,让用户更了解他们的安全产品对应方式与整体覆盖范围。
强化多云与工作负载安全:添加NDR与EASE架构
今年VMware特别主打多云环境,对应工作负载访问防护时,可细分为云服务内部访问(Inside the Cloud),以及云对云访问(Cloud-to-Cloud)。
以云服务内部访问防护而言,目前涵盖工作负载安全、东西向控制(横向访问与移动管制),VMware提供的安全产品与对应功能,有下列几类:
首先,由底层来看,是软件定义网络分段与微分段,以及分布式IDS/IPS,由NSX Service-defined Firewall来负责。
往上一层来看,则是NTA、NDR、XDR,可由Carbon Black Cloud系列解决方案,以及去年发布的NSX Advanced Threat Prevention来负责,今年VMworld大会,VMware也宣布推出NSX Network Detection and Response,并预告提供非接触式(tapless)NTA/NDR功能,可运用vSphere将传感器传播到各处。
此外,VMware也能提供API安全防护,以及工作负载身份识别(Workload identity),强化云服务内部访问防护。
至于云对云访问防护,VMware着重边缘管控(edge controls),像是:使用具备高度安全性的网络连接,完整部署分散型NDR与网页防护,可自动执行依附在工作负载的政策,且能弹性扩展。
而为了完成这样广泛的云际防护需求,VMware借鉴近期因疫情暴发而声名大噪的安全解决方案概念,也就是安全访问服务边缘(SASE),发展出企业内部云连接其他云的安全访问方式,VMware称为可伸缩式应用程序安全边缘(Elastic Application Security Edge,EASE),而这个新应用概念也在今年VMworld大会首度公开披露。
VMware期盼,有了EASE,数据中心或云计算边缘的网络与安全基础架构,能更有弹性,可随着应用程序的网络访问流量变化而自动进行调节,同时,他们也将针对网络、安全、状态观测等层面的需求,提供伸缩自如的资料层服务,以及可横向扩展规模的分布式架构,促使EASE环境在应用程序需要异动时,能够随之扩展或缩减本身的执行规模。
图片来源/VMware
针对云计算服务的运用方式,提出两大安全防护构面
从服务器虚拟化平台、软件定义数据中心而形成单云,以致现在可横跨多种公有云、混合云、边缘运算云、服务企业云,VMware如今也针对这样的环境差异,提出安全防护战略,将云的环境一分为二:云内部的访问管控,以及云对云的外部访问管控,而依此架构,他们已经准备好对应的端点、网络、工作负载、XDR/SOC的安全解决方案。
提升现代化应用程序防护:拓展API与K8s安全性管理
关于新一代应用程序保护,VMware呼吁重视API(应用程序接口)安全,因为由许多样件构成的应用程序都可能会通过API沟通,然而,关于API的运用上,大部分IT人员仍采用“剪切、粘贴”相关程序代码的方式来进行,而这种做法可能并未考虑到安全性,因此,他们认为API已成为新的端点,而必须提升相关的保护机制。
对此,VMware在本次VMworld大会期间,宣布推出Tanzu Service Mesh高端版,针对散居各处的API,提供新的透明度掌控、探查、安全性等多种功能,借此改善应用程序的韧性与可靠度,并运用API行为的前后脉络来协助判断,以减少管理盲点,而对于开发与安全团队而言,即便是在多云环境,也能掌握API通信的时机、位置与进行的方式,提供更良好的DevSecOps环境。
另外,在云计算原生应用系统的架构下,Kubernetes安全性也是VMware拓展现代化应用程序安全的重点。
而在本次VMworld大会期间,他们也特别针对一套专攻多云领域的安全方案,名为CloudHealth Secure State,宣布添加Kubernetes安全态势管理功能(Kubernetes Security Posture Management,KSPM),同时应对内部使用的Kubernetes集群,以及连接公有云服务资源等两种部署应用场景,以便掌握组态设置不当(misconfiguration)漏洞,管理Kubernetes在彼此交互联接(interconnected)之下的安全状态。
目前Secure State KSPM可支持176条检测规则,其中包含安全测试标准CIS Benchmarks,可针对Amazon EKS、Azure Kubernetes Service、Google GKE等多种公有云Kubernetes托管服务,进行安全性核实。
数字办公安全:增设CASB与DLP
在协助进行远程办公的安全解决方案上,VMware在去年10月的VMworld大会期间,正式推出VMware SASE Platform,相隔一年后的此刻,他们宣布,这个平台添加“云计算访问服务代理(Cloud Access Service Broker,CASB)”的功能服务,协助IT团队掌握应用程序的整体访问状况,使其具备更清楚的了解与管控能力。
通过这样的平台,IT团队能针对云计算服务提供的应用程序,有效套用基于不同角色的访问管控政策,并了解用户是否滥用合法程序,或执行公司不允许的应用程序。
VMware也预告,SASE平台的CASB将提供资料外泄预防(DLP)的功能,协助企业遵循资料隐私保护法规的要求,像是GDPR、HIPAA、PCI,避免敏感资料不慎发送至默认的环境之外。
在端点管理解决方案Workspace ONE UEM其中,VMware也宣布将推出新的法规遵循引擎,可查验员工联网设备、操作系统、应用程序的安全态势,这样的功能可让企业确保上网设备的安全性,也将提供尽量不影响终端用户操作体验的矫正机制。