VMware全方位打造多云零信任资安架构

回顾过去10年，VMware已陆续买下多家资安相关厂商，也使得他们打下不错的基础，得以加入主推零信任安全架构的IT大厂行列。其中较为人所知的几个并购案，如今都成为VMware立足企业级资安领域的关键。

发展至今，VMware标榜他们能够提供全方位（end-to-end）的零信任资安解决方案，这说法并不为过，实际检视他们目前供应市场的资安解决方案，的确已涵盖各种企业资安防护的重点面向，包含：使用者与端点设备、网络、云端服务、工作负载与应用程序DevOps。

而凭借这样的产品组合，VMware在今年也公布他们的零信任资安产品。

基本上，他们提出了两种框架，一是区分为三种安全防护，分别针对：多云环境（Multi-Cloud）、现代化应用程序（Modern Application），以及适用于任何场所的数位办公（Anywhere Workspace）等领域，另一框架则更为简单，区分为二种安全防护，分别针对工作负载存取（Workload Access），以及使用者存取（User Access）。

图片来源／VMware

根据使用者与工作负载等两种存取模式，区分零信任架构

无论企业是否使用服务器虚拟化平台，发展单云，或是使用单一公有云或多朵公有云，VMware如今提出的零信任资安架构，希望能够在涵盖全局的考量下，以简单的画分方式，区隔出几个控管面向，让用户更了解他们的资安产品对应方式与整体覆盖范围。

强化多云与工作负载安全：新增NDR与EASE架构

今年VMware特别主打多云环境，对应工作负载存取防护时，可细分为云服务内部存取（Inside the Cloud），以及云对云存取（Cloud-to-Cloud）。

以云服务内部存取防护而言，目前涵盖工作负载安全、东西向控制（横向存取与移动管制），VMware提供的资安产品与对应功能，有下列几类：

首先，由底层来看，是软件定义网络分段与微分段，以及分散式IDS/IPS，由NSX Service-defined Firewall来负责。

往上一层来看，则是NTA、NDR、XDR，可由Carbon Black Cloud系列解决方案，以及去年发表的NSX Advanced Threat Prevention来负责，今年VMworld大会，VMware也宣布推出NSX Network Detection and Response，并预告提供非接触式（tapless）NTA/NDR功能，可运用vSphere将感测器散布到各处。

此外，VMware也能提供API安全防护，以及工作负载身份辨识（Workload identity），强化云服务内部存取防护。

至于云对云存取防护，VMware着重边缘控管（edge controls），像是：使用具备高度安全性的网络连线，完整布建分散型NDR与网页防护，可自动执行依附在工作负载的政策，且能弹性扩充。

而为了达成这样广泛的云际防护需求，VMware借鉴近期因疫情爆发而声名大噪的资安解决方案概念，也就是安全存取服务边缘（SASE），发展出企业内部云连接其他云的安全存取方式，VMware称为可伸缩式应用程序安全边缘（Elastic Application Security Edge，EASE），而这个新应用概念也在今年VMworld大会首度公开揭露。

VMware期盼，有了EASE，资料中心或云端边缘的网络与资安基础架构，能更有弹性，可随着应用程序的网络存取流量变化而自动进行调节，同时，他们也将针对网络、资安、状态观测等层面的需求，提供伸缩自如的资料层服务，以及可横向扩充规模的分散式架构，促使EASE环境在应用程序需要异动时，能够随之扩展或缩减本身的执行规模。

图片来源／VMware

针对云端服务的运用方式，提出两大安全防护构面

从服务器虚拟化平台、软件定义资料中心而形成单云，以致现在可横跨多种公有云、混合云、边缘运算云、服务业者云，VMware如今也针对这样的环境差异，提出安全防护战略，将云的环境一分为二：云内部的存取控管，以及云对云的外部存取控管，而依此架构，他们已经准备好对应的端点、网络、工作负载、XDR/SOC的资安解决方案。

提升现代化应用程序防护：拓展API与K8s安全性管理

关于新一代应用程序保护，VMware呼吁重视API（应用程序界面）安全，因为由许多元件构成的应用程序都可能会透过API沟通，然而，关于API的运用上，大部分IT人员仍采用“剪下、贴上”相关程式码的方式来进行，而这种作法可能并未考量到安全性，因此，他们认为API已成为新的端点，而必须提升相关的保护机制。

对此，VMware在本次VMworld大会期间，宣布推出Tanzu Service Mesh进阶版，针对散居各处的API，提供新的透明度掌控、探查、安全性等多种功能，借此改善应用程序的韧性与可靠度，并运用API行为的前后脉络来协助判断，以减少管理盲点，而对于开发与资安团队而言，即便是在多云环境，也能掌握API通讯的时机、位置与进行的方式，提供更良好的DevSecOps环境。

另外，在云端原生应用系统的架构下，Kubernetes安全性也是VMware拓展现代化应用程序安全的重点。

而在本次VMworld大会期间，他们也特别针对一套专攻多云领域的资安方案，名为CloudHealth Secure State，宣布新增Kubernetes安全态势管理功能（Kubernetes Security Posture Management，KSPM），同时因应内部使用的Kubernetes丛集，以及连结公有云服务资源等两种部署应用场景，以便掌握组态设定不当（misconfiguration）漏洞，管理Kubernetes在彼此交互连结（interconnected）之下的安全状态。

目前Secure State KSPM可支援176条检测规则，当中包含安全测试标准CIS Benchmarks，可针对Amazon EKS、Azure Kubernetes Service、Google GKE等多种公有云Kubernetes代管服务，进行安全性查核。

数位办公安全：增设CASB与DLP

在协助进行远距办公的资安解决方案上，VMware在去年10月的VMworld大会期间，正式推出VMware SASE Platform，相隔一年后的此刻，他们宣布，这个平台新增“云端存取服务代理（Cloud Access Service Broker，CASB）”的功能服务，协助IT团队掌握应用程序的整体存取状况，使其具备更清楚的了解与控管能力。

透过这样的平台，IT团队能针对云端服务提供的应用程序，有效套用基于不同角色的存取控管政策，并了解使用者是否滥用合法程式，或执行公司不允许的应用程序。

VMware也预告，SASE平台的CASB将提供资料外泄预防（DLP）的功能，协助企业遵循资料隐私保护法规的要求，像是GDPR、HIPAA、PCI，避免敏感资料不慎传送至预设的环境之外。

在端点管理解决方案Workspace ONE UEM当中，VMware也宣布将推出新的法规遵循引擎，可查验员工连网设备、操作系统、应用程序的安全态势，这样的功能可让企业确保上网设备的安全性，也将提供尽量不影响终端用户操作体验的矫正机制。