PC TECH 電腦技術

  • 增大字號
  • 缺省字號
  • 減小字號

VMware 推出業界首款服務定義防火牆

E-mail 打印 PDF

 

 

 VMware 推出業界首款服務定義防火牆
保 護 本 地 與 雲 端 的 應 用 程 式 和 資 料

< 香 港 > —  全球領先的企業軟件創新者 VMware(NYSE: VMW)上周發佈服務定義防火牆(Service-defined Firewall)。安全是基礎架構的固有部分,這種內部防火牆的創新方式可以縮小本地與雲環境的攻擊面。憑藉VMware NSX Data Center及VMware AppDefense功能,VMware 服務定義防火牆將前所未有的應用程式可見性、對應用程式的已知良好行為的識別與智慧、自動化和自我調整防火牆功能相結合,幫助更好地保護應用程式、資料和使用者。

全新內部防火牆解決方案鎖定網絡和主機級別的已知良好行為     大幅縮小攻擊面

VMware 高級副總裁兼網絡和安全業務部總經理Tom Gillis表示:“固有安全性與集成安全性不同。集成安全性重新包裝現有解決方案,例如:採用傳統防火牆,使其成為資料中心交換機的刀片伺服器。這不會從根本上改變防火牆。固有安全性利用虛擬化平台內置的特性,允許我們創建全新、獨特的安全服務。全新VMware 服務定義防火牆專注於內部網絡防火牆,通過驗證應用程式的已知良好行為來改變行業規則,而非追逐威脅。”

專注于應用程式的已知良好行為的概念也曾嘗試推行,但一直存在挑戰。部分解決方案是通過在客戶機中安裝代理來完成這一任務。但這種做法增加了複雜性,同時吸引力有限,如果惡意攻擊者獲得root許可權,便可以完全繞過代理。此外,隨著應用程式變得分散,安全性也隨之變得分散。將東西向流量導流到硬件設備或虛擬實例中進行檢查是不切實際的。

VMware 服務定義防火牆解決方案採用截然不同的策略,專注於企業熟悉的資產,例如其自主使用的應用程式。該解決方案可以在裸機、虛擬機器和基於容器的應用程式環境中運行,未來還將支援VMware Cloud on AWS、AWS Outposts等混合雲環境。企業可將其當作
滿足內部需求的單一防火牆解決方案。VMware 服務定義防火牆解決方案擁有以下特性:
• 應用程式驗證雲:VMware在主機中的定位允許服務定義防火牆了解應用程式及其成百上千的微服務,並能伴隨其變化而深化認識。該解決方案的應用程式驗證雲通過使用全球數百萬虛擬機器的機器智慧,構建對應用程式預期的“已知良好”狀態的精確映射。一旦對應用程式的已知良好行為建立經認證的理解,該解決方案就可以為服務定義防火牆生成可調整的、支持7層的安全策略,並可執行完整的狀態檢查。
• 免受來自虛擬機層面的攻擊:服務定義防火牆解決方案利用VMware的固有能力,在不駐留虛擬機的情況下檢查虛擬機作業系統和應用程式。這意味著即使惡意攻擊者獲得了虛擬機root許可權,也無法繞過服務定義防火牆,該解決方案可以檢測和阻止網絡中的惡意流量。除此之外,還可以在運行時對虛擬機本身進行自我檢查,識別並阻止作業系統或應用程式中的任何惡意行為。這一獨特功能相當於一種全新的網絡防火牆和主機IPS方法。
• 分佈在軟件中:傳統的硬件防火牆需要將虛擬環境網絡通信導流到硬件設備中進行掃描。這種方法低效且難以擴展,特別是對於具有眾多元件或服務的現代應用程式,並且運行在不同的伺服器及雲端上。完全基於軟件的VMware 服務定義防火牆,擁有高度分散式結構,從而能夠跨雲端運行在應用程式所運行的任意位置。這意味著可以一致地執行策略,而無需對跨雲環境的流量進行複雜的導流傳輸。

Interfaith醫療中心(Interfaith Medical Center)資訊安全副總裁助理Christopher Frenz表示:“保護我們的應用程式和患者資料至關重要,我們為提高安全性所做的任何事情最終都會影響患者的安全。由於應用程式激增和快速變化,確保比威脅先行一步是我們面臨的最大安全挑戰之一。我們相信VMware能夠為我們提供有效的解決方案,也很高興看到VMware推出服務定義防火牆以促進內部防火牆發展”。

VMware 服務定義防火牆應對真實攻擊場景
為了驗證VMware服務定義防火牆的有效性,VMware與Verodin進行合作。Verodin是幫助企業衡量、管理和提高網絡安全有效性的領導者。VMware利用Verodin的安全檢測平台(Security Instrumentation Platform,SIP)來驗證VMware服務定義防火牆是否能夠有效識別、阻止已知或未知威脅。VMware 服務定義防火牆在檢測和預防兩種運行模式中均成功探測及阻止了Verodin測試序列中使用的100%惡意攻擊。
Verodin首席執行官Christopher Key表示:“防禦者的任務是保護不由他們操作或控制的業務關鍵型應用程式。應用程式的快速開發以及分散式與混合環境的日漸複雜,使得應用程式的保護難度呈指數增長。Verodin SIP為企業提供必要證據,以證實其控制項能夠在實際生產環境中提供所需保護。這些使用Verodin SIP的測試展示了VMware服務定義防火牆能夠以最小的努力縮小攻擊面。當基礎架構自身就能夠強制保證應用程式的已知良好行為和通信時,常見的攻擊策略和技術會越來越難以得逞。”


關於 VMware
VMware軟件支援全球最複雜的數碼基礎架構。基於雲端、網絡、安全和數碼化工作空間領域的產品服務,借助75,000家合作夥伴組成的生態系統共同推動,VMware為全球逾50萬使用者提供動態高效的數碼化基礎。VMware總部設於加州Palo Alto。VMware致力於成為推動突破創新和引領全球趨勢的向善的力量。欲了解更多資訊,請瀏覽https://www.vmware.com/company.html
VMware、NSX、AppDefense、Service-defined Firewall和VMware Cloud均是VMware公司或其附屬公司在美國及其他管轄區的注冊商標或商標。