VMware提供的虛擬化技術在全球自建部署環境採用數量至今仍無人能及,面對現代企業開始轉向採用雲端原生環境來建置新型態數位應用,VMware亦急起直追,不僅日前發布的vSphere 7.0開始支援虛擬主機與容器並存,且接連收購Carbon Black、Lastline等新世代資安廠商,在日前線上舉辦的Connect 2020年度大會中更宣布收購Octarine,取得Kubernetes雲端原生安全技術將整合於Carbon Black,運用原生安全性(Intrinsic Security)機制,確保各式工作負載得以具備一致性控管政策。
VMware提倡的原生安全性,核心理念在於採以內建取代外掛,讓相同的安全規則可跨私有雲、公有雲、邊緣環境,降低維運複雜度。其次是以整合架構取代單獨建置。畢竟企業跨部門的協同工作已是大勢所趨,例如開發、維運、資安團隊,必須共同面對各種外部威脅的挑戰,才得以確保新型態應用模式營運不中斷。第三個要點是以主動出擊取代被動防禦,運用技術解析蒐集取得的大數據,進而理解正常行為模式的樣態,一旦發現偏離時可判斷為異常或高風險行為,可事前設定觸發控管措施的工作程序先行處理,以免遭未知型攻擊滲透。
完備多層次防護力及早辨識未知攻擊
對工作負載的保護,若僅停留在過去建置的Hypervisor層或新型態應用主流的容器環境,VMware副總經理暨技術長吳子強認為已經不夠,因為現今攻擊者可能利用作業系統、網路通訊協定等漏洞,只要工作負載對外提供服務,就可能遇到各種環節的漏洞攻擊。在Hypervisor層進行抵擋,已是最後一道防線,實際上還可在前面的網路傳輸運用NDR(Network Detection and Response)先行防禦,同時在端點也設置偵測機制。
如今的VMware已具備多層次防護能力,可在不同環節設置偵測機制,及早察覺現代APT(進階持續性滲透)活動,以免導致爆發重大資安事故。這也是VMware近兩年來陸續收購Carbon Black強化端點、Lastline補強網路安全的主因,再加上既有資料中心以NSX為主軸建置虛擬化網路,運用微分段技術建立安全措施,可擴展與增強整體防護能力。
因應數位化浪潮的興起,資安也得隨之轉型,在雲端環境打造縱深防禦體系。吳子強指出,「也就是從以往的邊境管制演進到內化式防禦,從已知特徵碼檢查演進到運用人工智慧可視化偵測未知型攻擊活動,從單點佈局演進到協同式回應。」其中的協同式回應更像是建立生態鏈,僅憑單一廠商之力根本無法涵蓋所有資安範疇,必須以開放的思維,讓彼此互補共同建立聯防體系。
至於未知型攻擊活動的辨識與防禦,可借助Lastline獨特的沙箱技術,基於豐富的全球威脅情資分析與辨識攻擊活動,並且早在VMware收購前就已經整合Carbon Black技術建立聯合防禦,一旦端點辨識為未知型攻擊,亦可觸發NSX的微分段執行封鎖,先一步保護資料中心的關鍵工作負載。
打造混合雲架構的聯合防禦
前述內化式防禦,實施方式是運用Carbon Black建立端點防護,整合Lastline技術提供NDR增強網路安全偵測,針對資料中心或公有雲環境的工作負載,不論是運行在Hypervisor層的虛擬主機,或是容器環境的實例(Instance),都能基於NSX實作微分段,在偵測發現攻擊活動時即時觸發隔離,進一步運用Tanzu Service Mesh技術之後,則可解決容器環境欠缺可視性的問題。如此完整蒐集用戶端、網路傳輸,接取到工作負載、運行環境的資料,讓各式新型態應用場景皆可控管端到端的行為模式,能有效降低安全性風險。
究竟何謂工作負載?吳子強說明,通常是伺服器版本作業系統環境執行營運相關的應用程式,即可稱為工作負載,若是基於虛擬化桌面技術啟用的用戶端服務,亦可歸類於此範疇。現階段的工作負載仍是以部署在自家資料中心環境為主,演進到混合雲架構後,若欲建構聯合防禦能力,可以啟用VMware專屬環境的VMware Cloud on AWS、Azure、Google等主流公有雲平台,不僅簡化上雲的複雜度,亦可藉此把地端採用的相關安全機制延伸到異質公有雲環境。
「不論是VMware或其他廠商,雲端安全似乎都得全數採用相同廠商的解決方案,才有辦法發揮效益。唯一沒有包袱的環節,就只有Tanzu Service Mesh,基於開源陣營的Istio技術所發展,控管的標的是Kubernetes叢集容器內部微服務流彼此之間溝通行為。」
若聚焦在容器安全性,VMware近期在Tanzu系列增添了新成員,納入收購取得新創公司Octarine技術,主要為Kubernetes建構的微服務架構建立防護措施,搭配Service Mesh提供可視化與傳輸加密來確保容器彼此之間的安全,正可補強雲端原生應用服務欠缺的安全性。至於底層由NSX建構的微分段網路,亦可同時支援Hypervisor與容器環境,以因應企業發展創新商業營運模式。
地端與雲端皆可配置相同控管措施
現階段前端介面可能改採用雲端原生技術來設計,後端的資料庫系統大多仍維持在既有Hypervisor環境,底層則透過NSX銜接,同時兼顧安全控管措施。企業基於雲端原生平台發展新型態應用正在逐年增長中,一旦攻擊者也發展出可獲利的對應模式,勢必將吸引更多駭客組織加入,企業朝向數位化發展的同時,必須同時增添設計安全控管措施,才不致讓風險失控。
吳子強不諱言,以往VMware不被視為擅長資安技術的廠商,如今卻從Hypervisor擴展到容器環境,乃至於端點防護,皆已完整具備安全防護機制。不僅如此,只要企業在公有雲平台上啟用VMware技術運行環境,即可把地端的控管措施同樣部署到雲端平台,降低維運的複雜度。「企業混合雲架構欲建立一致的控管措施,目前VMware已經做到了。」
VMware已經完成跨技術領域的整合運行,對於維運人員而言,能有統一控管平台確實是加分,但是眼前最大問題是告警數量過多,根本無所著手。對此,Lastline已經建立的生態體系中包含SOC(資安維運中心),可以運用SIEM平台來協助解決告警過多的問題,VMware同樣會依循此模式協助在地的SOC服務供應商實作部署,共同協助現代企業控管新型態數位化應用的資安風險。