VMware大中华区高级产品经理傅纯一
时间:2022-04-24 23:24:01 | 来源:行业动态
时间:2022-04-24 23:24:01 来源:行业动态
VMware新推出的服务定义防火墙的核心思想是,先定义出要保护的应用或服务其正常的工作行为应该是什么样的,此后一旦发现应用的行为和正常的行为有偏差,就意味着这可能是恶意攻击,从而促发一系列的动作,比如说挂起该服务或者报警给管理人员等待处理。VMware大中华区高级产品经理傅纯一表示。
傅纯一解释说,这个解决方案的核心就是AppDefense和NSX Data Center。AppDefense能够对虚机、应用的行为进行分析。它在保护这个虚机之前会先要利用一段时间(比如一到两周),学习这个虚机的正常行为,学习结束之后才可以进入保护模式。而NSX Data Center可以对每一个虚机提供一个定制的防火墙,这是一个软件实现的防火墙,成本比硬件防火墙低得多。
和传统防火墙被动防护不同,服务定义防火墙可以识别新的攻击手段。只要是异常行为 AppDefense就可以识别出来,AppDefense把识别出来的可疑结果告诉NSX Data Center防火墙,防火墙就可以自动生成规则,把这种可疑的访问行为隔离在虚机外面,起到保护虚机的作用。傅纯一说。
据介绍,与传统防火墙相比,VMware新推出的服务定义防火墙有三大特点。第一,它是系统原生的或者说系统固有的,它能与Hypervisor集成,从而最大程度地联动。第二,配合服务定义防火墙的推出,VMware还推出了一个应用程序验证云,AppDefense把机器学习后的各种应用行为模式汇总在云端,从而提高行为异常检测的准确性;第三,它是用软件的方式来实现的,从而提供更高的性价比。
傅纯一表示,系统原生的防火墙与非原生的防火墙相比,具有很多优势。比如,AppDefense是vSphere里面的一个模块,运行在Hypervisor中,而Hypervisor的安全性更高,很难被攻击,AppDefense运行在Hypervisor里受攻击的可能性就比较小。而另一方面,AppDefense能通过Hypervisor了解虚机正常的运行状况:虚机里面跑什么操作系统,上面跑了什么应用等,因此拥有深度的应用体系可见性。另外,应用验证云收集了全球众多客户的相关应用运行知识,来对每一个客户的环境提供指导,让AppDefense的判断更加精准,防止各种误判和漏判。最后,软件实现的防火墙能保证在各个环境中安全策略的一致性,不管是部署在私有云还是公有云中,都可以自动化地完成部署。