資料來源:VMware,iThome整理製圖,2021年10月

回顧過去10年,VMware已陸續買下多家資安相關廠商,也使得他們打下不錯的基礎,得以加入主推零信任安全架構的IT大廠行列。其中較為人所知的幾個併購案,如今都成為VMware立足企業級資安領域的關鍵。

像是:2012年併購Nicira之後,VMware推出NSX系列的軟體定義網路解決方案,而有了;2014年併購AirWatch,VMware跨足端點管理、身分認證與存取管理,VMware後續推出了Workspace ONE UEM、Workspace ONE Access;2017年併購VeloCloud,開始發展SD-WAN,於是後續有了VMware Secure Access,以及VMware SASE Platform等遠端安全存取方案;2019年VMware併購Carbon Black,於是,有了同名系列的端點偵測與反制系統,以及雲端、容器安全解決方案;2020年併購Lastline,觸及網路偵測與反制系統(NDR),以及網路異常流量分析(NTA),同年隨即結合VMware NSX Firewall,而推出NSX Advanced Threat Prevention,提供NTA、NDR、沙箱檢測等功能。

發展至今,VMware標榜他們能夠提供全方位(end-to-end)的零信任資安解決方案,這說法並不為過,實際檢視他們目前供應市場的資安解決方案,的確已涵蓋各種企業資安防護的重點面向,包含:使用者與端點設備、網路、雲端服務、工作負載與應用程式DevOps。

而憑藉這樣的產品組合,VMware在今年也公布他們的零信任資安產品。

基本上,他們提出了兩種框架,一是區分為三種安全防護,分別針對:多雲環境(Multi-Cloud)、現代化應用程式(Modern Application),以及適用於任何場所的數位辦公(Anywhere Workspace)等領域,

另一框架則更為簡單,區分為二種安全防護,分別針對工作負載存取(Workload Access),以及使用者存取(User Access)。

圖片來源/VMware

根據使用者與工作負載等兩種存取模式,區分零信任架構

無論企業是否使用伺服器虛擬化平臺,發展單雲,或是使用單一公有雲或多朵公有雲,VMware如今提出的零信任資安架構,希望能夠在涵蓋全局的考量下,以簡單的畫分方式,區隔出幾個控管面向,讓用戶更了解他們的資安產品對應方式與整體覆蓋範圍。

強化多雲與工作負載安全:新增NDR與EASE架構

今年VMware特別主打多雲環境,對應工作負載存取防護時,可細分為雲服務內部存取(Inside the Cloud),以及雲對雲存取(Cloud-to-Cloud)。

以雲服務內部存取防護而言,目前涵蓋工作負載安全、東西向控制(橫向存取與移動管制),VMware提供的資安產品與對應功能,有下列幾類:

首先,由底層來看,是軟體定義網路分段與微分段,以及分散式IDS/IPS,由NSX Service-defined Firewall來負責。

往上一層來看,則是NTA、NDR、XDR,可由Carbon Black Cloud系列解決方案,以及去年發表的NSX Advanced Threat Prevention來負責,今年VMworld大會,VMware也宣布推出NSX Network Detection and Response,並預告提供非接觸式(tapless)NTA/NDR功能,可運用vSphere將感測器散布到各處。

此外,VMware也能提供API安全防護,以及工作負載身分辨識(Workload identity),強化雲服務內部存取防護。

至於雲對雲存取防護,VMware著重邊緣控管(edge controls),像是:使用具備高度安全性的網路連線,完整布建分散型NDR與網頁防護,可自動執行依附在工作負載的政策,且能彈性擴充。

而為了達成這樣廣泛的雲際防護需求,VMware借鑑近期因疫情爆發而聲名大噪的資安解決方案概念,也就是安全存取服務邊緣(SASE),發展出企業內部雲連接其他雲的安全存取方式,VMware稱為可伸縮式應用程式安全邊緣(Elastic Application Security Edge,EASE),而這個新應用概念也在今年VMworld大會首度公開揭露。

VMware期盼,有了EASE,資料中心或雲端邊緣的網路與資安基礎架構,能更有彈性,可隨著應用程式的網路存取流量變化而自動進行調節,同時,他們也將針對網路、資安、狀態觀測等層面的需求,提供伸縮自如的資料層服務,以及可橫向擴充規模的分散式架構,促使EASE環境在應用程式需要異動時,能夠隨之擴展或縮減本身的執行規模。

圖片來源/VMware

針對雲端服務的運用方式,提出兩大安全防護構面

從伺服器虛擬化平臺、軟體定義資料中心而形成單雲,以致現在可橫跨多種公有雲、混合雲、邊緣運算雲、服務業者雲,VMware如今也針對這樣的環境差異,提出安全防護戰略,將雲的環境一分為二:雲內部的存取控管,以及雲對雲的外部存取控管,而依此架構,他們已經準備好對應的端點、網路、工作負載、XDR/SOC的資安解決方案。

提升現代化應用程式防護:拓展API與K8s安全性管理

關於新一代應用程式保護,VMware呼籲重視API(應用程式介面)安全,因為由許多元件構成的應用程式都可能會透過API溝通,然而,關於API的運用上,大部分IT人員仍採用「剪下、貼上」相關程式碼的方式來進行,而這種作法可能並未考量到安全性,因此,他們認為API已成為新的端點,而必須提升相關的保護機制。

對此,VMware在本次VMworld大會期間,宣布推出Tanzu Service Mesh進階版(此處所指產品應為Tanzu進階版的Service Mesh),針對散居各處的API,提供新的透明度掌控、探查、安全性等多種功能,藉此改善應用程式的韌性與可靠度,並運用API行為的前後脈絡來協助判斷,以減少管理盲點,而對於開發與資安團隊而言,即便是在多雲環境,也能掌握API通訊的時機、位置與進行的方式,提供更良好的DevSecOps環境。

另外,在雲端原生應用系統的架構下,Kubernetes安全性也是VMware拓展現代化應用程式安全的重點。

而在本次VMworld大會期間,他們也特別針對一套專攻多雲領域的資安方案,名為CloudHealth Secure State,宣布新增Kubernetes安全態勢管理功能(Kubernetes Security Posture Management,KSPM),同時因應內部使用的Kubernetes叢集,以及連結公有雲服務資源等兩種部署應用場景,以便掌握組態設定不當(misconfiguration)漏洞,管理Kubernetes在彼此交互連結(interconnected)之下的安全狀態。

目前Secure State KSPM可支援176條檢測規則,當中包含安全測試標準CIS Benchmarks,可針對Amazon EKS、Azure Kubernetes Service、Google GKE等多種公有雲Kubernetes代管服務,進行安全性查核。

 

數位辦公安全:增設CASB與DLP

在協助進行遠距辦公的資安解決方案上,VMware在去年10月的VMworld大會期間,正式推出VMware SASE Platform,相隔一年後的此刻,他們宣布,這個平臺新增「雲端存取服務代理(Cloud Access Service Broker,CASB)」的功能服務,協助IT團隊掌握應用程式的整體存取狀況,使其具備更清楚的了解與控管能力。

透過這樣的平臺,IT團隊能針對雲端服務提供的應用程式,有效套用基於不同角色的存取控管政策,並了解使用者是否濫用合法程式,或執行公司不允許的應用程式。

VMware也預告,SASE平臺的CASB將提供資料外洩預防(DLP)的功能,協助企業遵循資料隱私保護法規的要求,像是GDPR、HIPAA、PCI,避免敏感資料不慎傳送至預設的環境之外。

在端點管理解決方案Workspace ONE UEM當中,VMware也宣布將推出新的法規遵循引擎,可查驗員工連網設備、作業系統、應用程式的安全態勢,這樣的功能可讓企業確保上網設備的安全性,也將提供盡量不影響終端用戶操作體驗的矯正機制。

 相關報導 


熱門新聞

Advertisement