APP下载

VMware全方位打造多云零信任资安架构

消息来源:baojiabao.com 作者: 发布时间:2024-11-06

报价宝综合消息VMware全方位打造多云零信任资安架构

资料来源:VMware,iThome整理制图,2021年10月

回顾过去10年,VMware已陆续买下多家资安相关厂商,也使得他们打下不错的基础,得以加入主推零信任安全架构的IT大厂行列。其中较为人所知的几个并购案,如今都成为VMware立足企业级资安领域的关键。

发展至今,VMware标榜他们能够提供全方位(end-to-end)的零信任资安解决方案,这说法并不为过,实际检视他们目前供应市场的资安解决方案,的确已涵盖各种企业资安防护的重点面向,包含:使用者与端点设备、网络、云端服务、工作负载与应用程序DevOps。

而凭借这样的产品组合,VMware在今年也公布他们的零信任资安产品。

基本上,他们提出了两种框架,一是区分为三种安全防护,分别针对:多云环境(Multi-Cloud)、现代化应用程序(Modern Application),以及适用于任何场所的数位办公(Anywhere Workspace)等领域,另一框架则更为简单,区分为二种安全防护,分别针对工作负载存取(Workload Access),以及使用者存取(User Access)。

图片来源/VMware

根据使用者与工作负载等两种存取模式,区分零信任架构

无论企业是否使用服务器虚拟化平台,发展单云,或是使用单一公有云或多朵公有云,VMware如今提出的零信任资安架构,希望能够在涵盖全局的考量下,以简单的画分方式,区隔出几个控管面向,让用户更了解他们的资安产品对应方式与整体覆盖范围。

强化多云与工作负载安全:新增NDR与EASE架构

今年VMware特别主打多云环境,对应工作负载存取防护时,可细分为云服务内部存取(Inside the Cloud),以及云对云存取(Cloud-to-Cloud)。

以云服务内部存取防护而言,目前涵盖工作负载安全、东西向控制(横向存取与移动管制),VMware提供的资安产品与对应功能,有下列几类:

首先,由底层来看,是软件定义网络分段与微分段,以及分散式IDS/IPS,由NSX Service-defined Firewall来负责。

往上一层来看,则是NTA、NDR、XDR,可由Carbon Black Cloud系列解决方案,以及去年发表的NSX Advanced Threat Prevention来负责,今年VMworld大会,VMware也宣布推出NSX Network Detection and Response,并预告提供非接触式(tapless)NTA/NDR功能,可运用vSphere将感测器散布到各处。

此外,VMware也能提供API安全防护,以及工作负载身份辨识(Workload identity),强化云服务内部存取防护。

至于云对云存取防护,VMware着重边缘控管(edge controls),像是:使用具备高度安全性的网络连线,完整布建分散型NDR与网页防护,可自动执行依附在工作负载的政策,且能弹性扩充。

而为了达成这样广泛的云际防护需求,VMware借鉴近期因疫情爆发而声名大噪的资安解决方案概念,也就是安全存取服务边缘(SASE),发展出企业内部云连接其他云的安全存取方式,VMware称为可伸缩式应用程序安全边缘(Elastic Application Security Edge,EASE),而这个新应用概念也在今年VMworld大会首度公开揭露。

VMware期盼,有了EASE,资料中心或云端边缘的网络与资安基础架构,能更有弹性,可随着应用程序的网络存取流量变化而自动进行调节,同时,他们也将针对网络、资安、状态观测等层面的需求,提供伸缩自如的资料层服务,以及可横向扩充规模的分散式架构,促使EASE环境在应用程序需要异动时,能够随之扩展或缩减本身的执行规模。

图片来源/VMware

针对云端服务的运用方式,提出两大安全防护构面

从服务器虚拟化平台、软件定义资料中心而形成单云,以致现在可横跨多种公有云、混合云、边缘运算云、服务业者云,VMware如今也针对这样的环境差异,提出安全防护战略,将云的环境一分为二:云内部的存取控管,以及云对云的外部存取控管,而依此架构,他们已经准备好对应的端点、网络、工作负载、XDR/SOC的资安解决方案。

提升现代化应用程序防护:拓展API与K8s安全性管理

关于新一代应用程序保护,VMware呼吁重视API(应用程序界面)安全,因为由许多元件构成的应用程序都可能会透过API沟通,然而,关于API的运用上,大部分IT人员仍采用“剪下、贴上”相关程式码的方式来进行,而这种作法可能并未考量到安全性,因此,他们认为API已成为新的端点,而必须提升相关的保护机制。

对此,VMware在本次VMworld大会期间,宣布推出Tanzu Service Mesh进阶版,针对散居各处的API,提供新的透明度掌控、探查、安全性等多种功能,借此改善应用程序的韧性与可靠度,并运用API行为的前后脉络来协助判断,以减少管理盲点,而对于开发与资安团队而言,即便是在多云环境,也能掌握API通讯的时机、位置与进行的方式,提供更良好的DevSecOps环境。

另外,在云端原生应用系统的架构下,Kubernetes安全性也是VMware拓展现代化应用程序安全的重点。

而在本次VMworld大会期间,他们也特别针对一套专攻多云领域的资安方案,名为CloudHealth Secure State,宣布新增Kubernetes安全态势管理功能(Kubernetes Security Posture Management,KSPM),同时因应内部使用的Kubernetes丛集,以及连结公有云服务资源等两种部署应用场景,以便掌握组态设定不当(misconfiguration)漏洞,管理Kubernetes在彼此交互连结(interconnected)之下的安全状态。

目前Secure State KSPM可支援176条检测规则,当中包含安全测试标准CIS Benchmarks,可针对Amazon EKS、Azure Kubernetes Service、Google GKE等多种公有云Kubernetes代管服务,进行安全性查核。

数位办公安全:增设CASB与DLP

在协助进行远距办公的资安解决方案上,VMware在去年10月的VMworld大会期间,正式推出VMware SASE Platform,相隔一年后的此刻,他们宣布,这个平台新增“云端存取服务代理(Cloud Access Service Broker,CASB)”的功能服务,协助IT团队掌握应用程序的整体存取状况,使其具备更清楚的了解与控管能力。

透过这样的平台,IT团队能针对云端服务提供的应用程序,有效套用基于不同角色的存取控管政策,并了解使用者是否滥用合法程式,或执行公司不允许的应用程序。

VMware也预告,SASE平台的CASB将提供资料外泄预防(DLP)的功能,协助企业遵循资料隐私保护法规的要求,像是GDPR、HIPAA、PCI,避免敏感资料不慎传送至预设的环境之外。

在端点管理解决方案Workspace ONE UEM当中,VMware也宣布将推出新的法规遵循引擎,可查验员工连网设备、操作系统、应用程序的安全态势,这样的功能可让企业确保上网设备的安全性,也将提供尽量不影响终端用户操作体验的矫正机制。

2021-10-18 07:46:00

相关文章