VMware的原生安全理论

以智能交通、智慧城市、智慧医疗、智慧教育、智慧金融等为应用场景的“新基建”，实际上是将“数字化”定义的范畴，从商业领域延伸到了整个社会的各个层面。而以数字定义全社会，虽然提供了中国经济模式向数字经济时代转型的基础，但是这种强调以互联网、物联网为纽带，高度融合、彼此映射的现实与虚拟的关系，无疑在很大程度上提高了数字和信息对于维护整个社会秩序的作用——如果把数据中心时代的安全攻防战比喻成冷兵器时代的战争，那么在全社会范围内的网络化、数字化时代，数据安全攻防战就相当于核武器级别——因此，信息安全必须成为保障“新基建”成果的关键。

“现在的信息安全模式转型，势在必行。”傅纯一，VMware大中华区高级产品经理日前接受采访时表示，传统意义上，信息安全按照用户响应的过程被分为预告、阻止、检测和响应四个部分，而每一个部分，在安全市场里都对应有很多技术、产品和服务提供商。即便如此，现在的信息安全系统和解决方案依然不足以应付越来越复杂的“数字化社会”的需求，根本原因在于：现有的信息安全防护解决方案和产品的逻辑本身，存在很大的隐患。

“外挂、孤立和被动，就是今天企业级信息安全防护的现状。”傅纯一强调：目前被应用的信息安全措施，一般都是以外挂为主，往往是在基础架构、操作系统、应用都构建完成后，再在此基础上通过一些第三方提供的解决方案来保护应用和数据安全，通过外挂的形式整合到系统里面的。而“外挂方式”带来的最大的问题，是不同的产品、解决方案之间，各自独立，甚至还可能会产生一些冲突，很难为用户提供彼此配合、完整的安全体系。“大家都知道木桶原理，一个木桶的容量，取决于最短的一块木板。同样，企业的安全措施只要有任何一个环节有漏洞，那么整个安全体系就是有懈可击的。”傅纯一同时认为，过分强调被动防护，是现在传统信息安全领域在指导方针方面的落后：“目前的安全措施，绝大多数都是被动的。什么叫被动呢？被动就是：先要有攻击手段，然后安全厂商才知道有这种安全手段存在，进而才会被动地推出相应的防护措施。”

因此扭转以往“外挂、孤立、被动”的信息安全解决方案的产品逻辑和运作模式，建立一个“内建、整合、主动”的信息数据安全理论和解决方案，对于保障整个社会的数字化转型，即是傅纯一强调的信息安全模式转型“势在必行”。

VMware构建一个全新的“内建、整合、主动”的信息数据安全解决方案的理论基础，是其“帮助企业跨任意云端、在任意设备上交付任意应用”的愿景正在成为现实——在2019年VMware宣布收购了Pivotal并进而推出指向云原生的VMware Tanzu后，事实上VMware不仅已经能够为企业用户提供一个“从私有云到混合云、公有云，甚至边缘云”的统一操作平台；而且能够为用户提供包括构建、部署、管理等全流程的跨云平台应用模式——这实际上就意味着VMware已经有能力覆盖企业所有IT基础架构，以及包括网络、云端、客户端、应用等在内的IT应用场景。

而事实上，VMware在不断拓展产品线和业务范围的过程中，一直在每个环节都部署了相应的信息安全解决方案：例如在传统优势的VMware vSphere和NSX中内置的安全策略，以及在2017年发布的面向数据中心端点安全解决方案AppDefense、2018年发布的云配置安全性与合规性服务VMware Secure State，以及2019年收购的云原生端点保护平台Carbon Black，和刚刚宣布要收购的面向云原生环境的Octarine……

“VMware倡导的具有内建、整合和主动标签的信息数据安全解决方案，我们称之为原生安全解决方案，它不应该被理解为一个简单的产品，它其实也不是一个产品，而是在IT基础架构中，内建的一整套的方法和工具：通过这些方法和工具，来保护这些平台上运行的所有的应用和数据的安全。”傅纯一说，VMware的专长原本就是专注于为用户提供基础架构，原本的安全技术和解决方案，就是与基础架构紧密融合的。因此从这一点上看，实际上所谓的“原生安全解决方案”，就是在VMware基础架构基础上，将原有安全策略和解决方案进行整合和统一梳理，“从而让原生安全作为基础架构的一个有机构成部分”，并覆盖到包括基础架构平台、端点设备、甚至应用等各个层面上。

根据企业应用IT基础架构的不同场景，VMware的“原生安全解决方案”被分成四类：端点和工作负载安全、网络安全、工作空间安全和云安全。

“vSphere是VMware的计算平台，同时也是业界最安全的企业计算平台，因为在vSphere上内建了很多的安全措施。”针对四种应用场景，傅纯一介绍了分别对应的不同的VMware安全解决方案，例如针对“端点和工作负载安全”，对应的是vSphere和Carbon Black；网络安全则是由传统的VMware NSX Data Center解决方案来负责；工作空间安全场景由VMware Workspace ONE和Carbon Black来覆盖；最后云安全部分，是由基于云端的VMware Secure State服务来满足用户安全需求。

“VMware的原生安全最突出的特点是内建，同时，我们也试图把所有的解决方案，根据安全模型整合到四个领域，或者通过把某一个领域的解决方案全部结合在一起，从而实现了整合的价值，让用户的整体解决方案：使用起来更加流畅，管理起来更加简便，各个环节之间的安全漏洞可以更少。”至于变被动为主动，傅纯一除了强调VMware的主动安全防御工具AppDefense外，还认为：要想变被动为主动，则系统就必要深入了解被保护对象的工作环境，掌握被保护对象的正常行为模式，当恶意攻击发生时就可以及时发现这些异常的行为，从而触发相应的应对措施 (隔离、挂起、告警等)——显然内建、整合的安全防护系统，同样为未来更广泛的主动防护提供了基础和必要的系统支持。

写在最后

不久之前，VMware中国区总经理王冰峰在一篇署名文章《跟随新基建加速，穿越信息安全的迷雾》中，除了谈到原生安全、大数据等话题外，其谈到一点“安全服务”。 王冰峰认为：科技的发展为黑客带来更多攻击手段，导致越来越多层出不穷的数据和隐私泄露等安全隐患。而问题在于，企业不断创新，黑客的技术却如影随行，甚至他们的工具和手段有时胜过企业和政府，可谓“防不胜防”。为此，王冰峰强调：专业的事情应该交由交给专业的人来做，未来将会出现更多专业的安全公司，负责信息安全的各个核心解决方案。而政府出于管理需要，也需要考虑建立专业的安全技术机构，帮助企业解决安全性问题。