混合云安全策略关注点：从端点到负载

VMware产品与云服务首席运营官Rajiv Ramaswami

“随着新冠疫情的到来，现在工作的方式在发生根本的变化，现在大部分公司，包括VMware的工作团队都实现了高度的分布化，包括居家办公——我过去6个月一直在家办公，我觉得我们走出疫情之后还会以这样的方式来工作、生活。”Rajiv Ramaswami，VMware产品与云服务首席运营官日前在VMworld 2020大会间隙接受媒体在线采访时强调，为了适应日益明确的分布式工作团队的需求，VMware在数字化工作空间和网络方面，都有针对性的技术发布。除此之外，安全同样是VMworld关注的重点：“围绕着分布式工作环境的安全，VMworld发布了一系列的解决方案，以帮助用户构建端点安全、网络安全以及应用访问的安全，无论这个应用是在本地还是在云上，我们将其称为VMware SASE。”

SASE（Secure Access Service Edge），一般被译成“安全访问服务边缘”，是2019年下半年，Gartner在年度网络技术成熟度曲线报告中提到的一个新的网络和安全模型概念。在Gartner看来：传统网络及网络安全架构，是为企业数据中心——即用户和设备访问所需实体中心——而设计的。但是随边缘计算、云服务和混合网络的兴起，跨业务应用程序和工作流程越来越多：从云端连接到远程终端用户和物联网设备，再到SD-WAN连接的分支机构……环节越多，安全漏洞就越多。SASE则强调将分散的网络和安全服务融合在一起：把广域网和网络安全融合在一起，通过云服务的方式，为本地用户、移动用户以及IoT设备和云资源实施统一的安全策略，将安全边界推广到网络边缘。

“VMware SASE解决方案中包括四个部分。”傅纯一，VMware大中华区高级产品经理解读VMware SASE时强调，作为VMware虚拟云网络中的重要组成部分，VMware SASE解决方案包括软件定义广域网（SD-WAN）解决方案VMware SD-WAN by VeloCloud；SD-WAN和Workspace ONE整合的产品VMware Secure Access，以及通过与第三方合作的、专注在云访问服务代理、Web安全网关、远程浏览器隔离等云访问安全VMware Cloud Web Security。最后，还有将NSX Data Center的防火墙功能独立出来的VMware NSX Firewall as a Service：“由这些产品组合一起，为用户提供一个比较完整的SASE服务。”

其中，在VMware Cloud Web Security部分，Rajiv Ramaswami强调，VMware在这里有两个重要的合作伙伴：“第一个是Menlo Security，我们把Menlo Security的能力嵌入到了VMware的整个解决方案当中，以一种OEM合作伙伴的方式；另外一个重要的合作伙伴是Zscaler，是网关安全的领先厂商，把他们的解决方案跟我们的解决方案集成在一起，提供SASE这样的一个功能解决方案。”Rajiv Ramaswami强调，通过这种与专业第三方的合作，使得VMware能够“轻而易举、更好地提供虚拟桌面基础架构（VDI）的解决方案，同时让端点安全叠加了设备管理的能力。”

事实上，在安全方面，VMware有更大的目标。了解VMware产品的人都知道，在过去的几年中，VMware不仅在传统优势的VMware vSphere和NSX中内置了安全策略，并且在2017年发布了面向数据中心端点安全解决方案AppDefense，在2018年发布了云配置安全性与合规性服务VMware Secure State，以及在2019年收购了云原生端点保护平台Carbon Black，在2020年早些时候宣布要收购的面向云原生环境的Octarine……

就在2020年早些时候，在一场关于“原生安全”的采访当中，VMware强调了一种具有内建、整合和主动标签的信息数据安全解决方案，这不是一种简单的产品，而是在IT基础架构中，内建的一整套的方法和工具，将原本的安全技术和解决方案与基础架构紧密融合，让安全作为基础架构的一个有机构成部分，覆盖到包括基础架构平台、端点设备、甚至应用等各个层面，从而来保护这些平台上运行的所有的应用和数据的安全。

因此在本次VMworld 2020大会上，除了SASE，针对不同的应用场景，VMworld也发布了一系列的技术和产品，来构建一个数字化基础架构的原生安全。

其中，针对私有云和公有云的安全性，VMware通过整合收购的Carbon Black，推出了VMware Carbon Black Cloud Workload，将安全引入工作负载中。VMware发布的官方资料显示：VMware Carbon Black Cloud Workload的功能在于将优先级漏洞报告、基础工作负载加固与业界领先的预防、检测和响应功能相结合，从而保护在虚拟化、私有云和混合云环境中运行的工作负载。而更为重要的是，VMware实现了该解决方案与VMware vSphere紧密集成，“提供无代理安全功能，减少安装和管理成本，并整合针对多个工作负载安全应用场景的一系列遥测技术……从而使得这个统一解决方案能够支持安全和基础架构团队在安全生命周期的每个节点，帮助自动保护新的工作负载和现有工作负载，同时简化运维，并整合IT和安全堆栈。”

而在安全运维方面，VMware宣布推出了由Workspace ONE、vSphere、Carbon Black Cloud、NSX 服务定义防火墙等构成的XDR策略。通过结合安全和平台集成技术，可扩展的原生XDR解决方案能够打造全面的安全事件检测和响应解决方案，从而为企业的安全运维团队提供一个更广阔的、能够涵盖端点、工作负载、网络、用户和应用等在内的“检测视角”，发现恶意软件和正被恶意使用的软件。

在分布式办公团队的安全性方面，除了VMware SASE解决方案，VMware还发布了面向VMware SASE Platform、Workspace Security VDI和Workspace Security Remote的扩展功能。VMware发布的官方资料强调：全新的解决方案，将提供端到端零信任安全控制，并简化管理，支持VMware安全访问服务边缘、数字化工作空间和端点安全技术可在任意云的任意应用和设备上协同工作。

最后，在网络方面，VMware的VMware NSX Advanced Threat Prevention将把Lastline的沙箱检测、网络流量分析、网络检测和响应能力与NSX防火墙相结合，使用AI驱动的网络流量分析功能来分析网络流量，并识别网络中主动威胁所导致的异常活动。VMware宣称：“与其他网络流量分析工具相比，上述NTA功能采用非监督和监督的机器学习（ML）模型，可以更加准确地识别威胁，并最大程度降低误报率。该解决方案的功能属业界首创，对每个工作负载使用虚拟补丁，而在以往传统情况下只能在外围部署，从而为分散的办公团队提升安全性。”

写在最后

随着在企业当中的混合数据中心架构成为应用主流，其所面临的安全情形就更加复杂：包括从本地物理硬件、多个公有云架构即服务（IaaS）环境，再到基于容器的应用架构，流程的环节更多，安全漏洞就更多。

在Rajiv Ramaswami看来，VMware一直是希望将安全整合成为基础架构工作负载端点和网络的一个原生部分，让安全能够真正嵌入其中。如今这一目标似乎已经达成：“今天有了SASE，VMware在网络和端点当中都拥有原生安全；同时我们也宣布VMware Carbon Black Cloud Workload和vSphere形成了高度的集成，对于一个基于vSphere的工作负载来说，这样的工作负载安全可以确保不需要去叠加任何额外的产品，因此也是原生安全。”