以企業級伺服器虛擬化平臺起家的VMware,在今年8月底舉行的VMworld大會期間,推出多種SaaS雲端服務,統稱為VMware Cloud Services,希望能以此來支援多種雲端服務、應用程式與裝置的使用,不過,這當中最讓人感到好奇的部分,是關於強化應用系統安全的AppDefense。

在發布之初,我們僅知道VMware希望改變過去不斷追逐資安威脅腳步的被動作法,重新拿回實施防護的主導權,而且裡面將運用一些較為新穎、全面的因應方式,例如,透過擷取(Capture)、偵測(Detect)、反應(Response)等三個階段的自動分析與處理,確保既有正常運作的應用系統能夠持續受到妥善的保護。

就AppDefense的基本設計概念而言,是如何確保系統能夠維持良好的狀態,VMware在功能實作上,分成擷取(Capture)、偵測(Detection)、反應(Response)等三個階段。圖中是VMware在今年VMworld大會的主題演講上,所初步揭露的處理流程。

而在VMware官方網站對AppDefense介紹的內容當中,我們看到更多關於這套雲端服務的具體描述。

例如,VMware在AppDefense專屬網頁一開始就提到,這是一套資料中心的端點安全產品,能夠保護虛擬環境當中的應用程式……,它會了解應用系統平時正常運作的狀態,並監控是否出現任何的異動,若非應有的狀態,則表示可能已經受到網路或惡意軟體攻擊的威脅,一旦偵測到威脅,AppDefense也將自動因應。

在接下來陳列的AppDefense介紹影片,則提供了另一個線索,標題寫道:「Data Center Endpoint Detection & Response」,這意味著,它的確和現今端點安全防護領域裡面相當熱門的Endpoint Detection & Response(EDR),有不少共通之處。

而另一份關於AppDefense的服務描述文件裡面,談得比較仔細。VMware提到,他們所提供的這套服務,設計上,是用來保護虛擬化與雲端環境執行的應用系統,而且是從運算環境的角度來實施最低權限(least privilege)的概念,就像VMware先前在網路層級,也運用了微分段(micro-segmentation)來實現同樣的理念。

過往VMware在應用系統安全性防護的機制上,強調可搭配自家的網路虛擬化平臺NSX,透過網路的微分段來進行安全隔離,而現在他們又增加了AppDefense,主要是從運算的層面(vSphere)來實現最低權限的管制概念。

此外,AppDefense也關係到現代化資料中心與應用系統的建立流程。當中將會擷取管理者所期望(或預期)的執行狀態,隨後,再運用Hypervisor監控上層虛擬機器裡面執行的應用系統行為。若是無法擷取到應用系統剛完成建置時的良好狀態,此時,則會使用執行時期的學習與行為模型分析來補足,以便確立虛擬機器的預期狀態。

之後當AppDefense發現異常狀態時,我們可要求系統針對不當行為進行攔阻,或是自動透過虛擬基礎架構來採取指定的動作,甚至達到隨需變更安全政策的應變機制。

從上述揭露的資料來看,你可能還是無法具體了解AppDefense實際的技術架構,所幸到了9月初,VMware終於在他們的Network Virtualization部落格裡面,由VMware網路與安全業務的資深技術產品經理Wade Holmes出面說明,提供了更詳細的消息。

在該篇文章當中,也特別列出了AppDefense在企業內部資料中心環境的運作架構。

此圖為AppDefense三大階段裡面的細部處理流程,是VMware後續在VMworld其他場演講,以及部落格文章所揭露的資料。

上圖是AppDefense的運作架構,當中呈現了整合VMware既有產品的部份,像是vSphere(vCenter、ESXi)都需要升級到最新的6.5版,而位於虛擬機器當中的AppDefense Guest Module在啟用時,管理者也需要將虛擬機器的虛擬硬體升級到第13版。

首先,位於企業外部、由VMware維運的部分是雲端服務,稱為 AppDefense Manager,這是一套主控臺介面,能用來管理租戶所部署的AppDefense元件。

而在企業內部環境的部份,關鍵在於職掌伺服器虛擬化平臺的vCenter Server,以及在各元件之間的組態與政策同步的AppDefense Appliance。

同時,在執行vSphere的伺服器主機,以及上面所承載的虛擬機器當中,也需要各自部署AppDefense Host Module、AppDefense Guest Module等軟體模組。

以vCenter Server而言,主要作用是管理應用系統底層的伺服器主機與叢集環境,與整合AppDefense之後,可提供API,讓AppDefense能夠連進vCenter,並且自動執行多種矯正方式,例如,要求虛擬機器立即實施快照、關機、暫停系統運作等作業。

至於AppDefense Host Module的工作,則是在Hypervisor內部提供信任的隔離區,並在當中存放受保護應用系統的資產組態清單,以利後續的監控。AppDefense Guest Module的任務則有兩個,一是負責與AppDefense Host Module溝通之餘,另一是持續監督虛擬機器系統核心的完整性。

基於這個架構,AppDefense還可以搭配其他產品,像是VMware網路虛擬化平臺NSX,以及自動化系統管理平臺 vRealize Automation(vRA)。

若以前者的整合為例,AppDefense一旦發現到應用系統遭受到資安威脅的入侵而有了異狀,即可運用NSX的安全標籤,執行網路層級的自動隔離。

至於vRA的搭配,AppDefense在整合VMware系統維運管理平臺vRealize Orchestrator之後,即可連至vRA,接著將標籤選項置入虛擬機器的藍圖裡面的應用系統,之後就能在AppDefense控管範圍內,自動調整新進應用系統的伺服器執行位置。

產品資訊

VMware AppDefense
●原廠:VMware(02)8758-2804
●建議售價:每年每顆處理器500美元,初期將於美國的VMware vSphere 6.5用戶提供
●伺服器虛擬化平臺需求:VMware vCenter 6.5、vSphere ESXi 6.5
●虛擬機器作業系統支援:微軟Windows Server 2012 R2、Windows Server 2016
●整合其他軟體平臺:VMware NSX 6.3、vRealize Automation 7.3

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容