VMware公司已經(jīng)展示了其Goldilocks項(xiàng)目的原型設(shè)計(jì),這也正式印證了其長久以來一直暗示的,正在開發(fā)一款新型安全方案的計(jì)劃。
VMware公司Goldilocks項(xiàng)目原理示意圖。
其設(shè)計(jì)靈感源自NSX網(wǎng)絡(luò)虛擬化產(chǎn)品創(chuàng)建網(wǎng)絡(luò)"微分區(qū)"的能力,即將虛擬網(wǎng)絡(luò)隔離于網(wǎng)絡(luò)內(nèi)其余部分之外,從而建立起"最低權(quán)限環(huán)境",即僅允許策略中所設(shè)定的必要權(quán)限。微分區(qū)的流行讓VMware頗感意外,但用戶則樂于借此創(chuàng)建自己的虛擬網(wǎng)絡(luò),并確保其無法為外部人士所接入及訪問。另外,由于全部微分區(qū)皆以虛擬化方式存在,因此即使攻擊者成功入侵,其亦可被隨時(shí)關(guān)閉。
VMware公司的安全計(jì)劃同樣采用微分區(qū)設(shè)計(jì),并利用相關(guān)概念保護(hù)計(jì)算與數(shù)據(jù)資產(chǎn)。
VMware公司安全產(chǎn)品高級(jí)副總裁Tom Corn在本屆VMworld大會(huì)的主題演講中對此進(jìn)行了解釋。在長達(dá)一個(gè)小時(shí)的演講中,Corn表示端點(diǎn)安全在最近幾年甚至是過去十年當(dāng)中,已經(jīng)成為一大重要挑戰(zhàn)。盡管端點(diǎn)安全仍然擁有一定程度的保障,但Corn表示隨著安全環(huán)境的日趨復(fù)雜,目前的安全方法已經(jīng)難以應(yīng)對各類最新威脅。一部分管理策略相當(dāng)簡單--例如Web服務(wù)器不需要與存儲(chǔ)服務(wù)器進(jìn)行通信--但當(dāng)應(yīng)用跨數(shù)據(jù)中心邊界運(yùn)行并觸及其它資源時(shí),則會(huì)給策略的具體實(shí)施帶來更多復(fù)雜性因素。Corn表示,這種復(fù)雜性意味著防火墻有時(shí)候需要運(yùn)行2萬多條規(guī)則方能實(shí)現(xiàn)必要保障。
Goldilocks項(xiàng)目要求應(yīng)用程序在處于"黃金狀態(tài)"時(shí)提供"出生證明"。這份證明當(dāng)中應(yīng)包含該應(yīng)用程序的全部授權(quán)行為,具體列出預(yù)期內(nèi)的可執(zhí)行文件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)用方式、將用于接入網(wǎng)絡(luò)的具體端口乃至其它一切與應(yīng)用程序狀態(tài)相關(guān)的因素。
VMware公司隨后會(huì)立足于虛擬機(jī)管理程序內(nèi)核當(dāng)中對全部預(yù)期行為進(jìn)行監(jiān)控。之所以選擇內(nèi)核作為監(jiān)控立足點(diǎn),是因?yàn)槠鋵儆诓煌谥鳈C(jī)或者訪問虛擬機(jī)的可信域。Corn指出,如果不與攻擊者所處的可信域保持一致,安全人員將很難檢測其惡意活動(dòng)并加以阻止。
以虛擬機(jī)管理程序內(nèi)核為制高點(diǎn),Goldilocks項(xiàng)目會(huì)監(jiān)控Corn提出的所謂全部虛擬機(jī)"出生證明"的相關(guān)"清單",同時(shí)提供"證明服務(wù)"以監(jiān)控訪客操作系統(tǒng)內(nèi)核、進(jìn)程以及通信。如果虛擬機(jī)發(fā)生未經(jīng)清單解釋的行為,則Goldilocks將立即給出警告!
以下為Goldilocks項(xiàng)目演示資料中的虛擬機(jī)報(bào)告控制臺(tái)。
下圖則為所產(chǎn)生報(bào)告內(nèi)容的特寫。
下圖為流程的下一步驟:一旦系統(tǒng)管理員或者其他相關(guān)人員在安全運(yùn)營中心內(nèi)接到與預(yù)期外行為相關(guān)的警報(bào),他們可利用多種選項(xiàng)檢查、強(qiáng)化或者介入虛擬機(jī)運(yùn)行流程。
Corn同時(shí)指出,VMware公司希望利用類似的方案實(shí)現(xiàn)數(shù)據(jù)保護(hù),即同樣對數(shù)據(jù)性質(zhì)及其預(yù)期使用方式進(jìn)行描述與證明,而后再利用其它強(qiáng)制性策略對其進(jìn)行加密或者采取其它保護(hù)手段,從而更加安全地實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)傳輸。
當(dāng)你擁有一把錘子……
古話說得好,當(dāng)你擁有一把錘子,那么一切看起來都像是外子。這句俗語用來形容VMware真是再貼切不過了。作為虛擬巨頭,VMware公司顯然是打算用虛擬化解決一切問題。
不過Corn的觀點(diǎn)確實(shí)非常有趣,因?yàn)槟壳暗拇蠖鄶?shù)計(jì)算基礎(chǔ)設(shè)施在構(gòu)建時(shí)仍采取先開放再保護(hù)的設(shè)計(jì)思路。虛擬機(jī)管理程序能夠提供更具約束力的運(yùn)行環(huán)境。因此也許VMware真的能夠在這一領(lǐng)域有所作為。
不過Corn并沒有提到Goldilocks項(xiàng)目何時(shí)才會(huì)以產(chǎn)品形式正式發(fā)布。但從演示視頻中的實(shí)際運(yùn)行代碼來看,VMware公司明顯已經(jīng)走上了產(chǎn)品發(fā)布的正軌。我們將進(jìn)一步關(guān)注其銷售方式與具體上市時(shí)間。
京公網(wǎng)安備 11010502049343號(hào)