2014年9月17日星期三

趨勢科技Deep Security率先支援VMware NSX 實現「零信任」及即時隔離病毒功能


VMware的NSX網絡虛擬化,可謂邁向「軟件定義數據中心」(Software Defined DataCenter, SDDC)重要一步。目前,數據中心內產生虛擬機器(Virtual Machine)速度很快,但網絡設定卻不甚靈活,加上大量VM通過vMotion主機之間移動,造成沉重網絡負荷,而網絡和保安設定無法自動化部署,也減低了營運效率。

NSX正好是解決上述難題的答案。

VMware大力鼓吹SDDC,2012年以十二億六千萬美元的高價,收購軟件定義網絡(Software Defined Network, SDN)先驅廠商了Nicira,其創辦人Martin Casado於史丹福大學開發了OpenFlow協定。

收購之後,VMware推出了NSX網絡虛擬化平台,理論上任何網絡功能;包括了防火牆、路由器、負載平衡、VPN,都可以純軟件部署,組裝更靈活,可隨VM一起,根據應用個別要求,自動部署配合不同的網絡功能,甚至保安準則。

NSX賣點除了靈活,最近發覺原來可解決傳統上,數據中心保安一些盲點。原因是以往保安機制,分開主機(Host based)和網絡(Network based)。 Host based通常是防毒和反惡意程式軟件,安裝於主機內守衛;Network based則是IPS和防火牆一類設備,位於外圍防禦。

但是,惡意程式一旦通過了防火牆,就會先制服主機上防毒和反惡意程式,然後再感染其他設備,之後防火牆就有如馬其諾防線一樣,當然也無能為力。不過NSX可在VMware內核部署防火牆,任何VM必經NSX介面,只要在NSX部署了防火牆或保安代理,就可受到適當保護,比目前的軟件防火牆VM更簡單,也更加安全;防火牆可根據收到的保安事故,動態更改保安規則。

以往,保護VM必須安裝代理程式(Agent)到VM之上,逐一部署,代理程式也必須定期更新。趨勢科技的Deep Security產品,整合了VMware的vShield和網絡的API,不單部署簡單,毋須任何代理程式,耗用系統資源也更低;功能也全面;包括具網上信譽功能的反惡意軟件、以主機為基礎防火牆、入侵偵測/防禦系統、檔案的完整性監察(即系統檔案是否受損或竄改)、日誌檢查及網上應用掃瞄。由於Deep Security採用了無代理保安控制,管理上最為簡單。

NSX實現「零信任」(Zero Trust)和Micro-Segmentation等功能,不信任任何通訊,不斷檢查VM傳來數據是否具威脅,並馬上完全隔離出現問題VM。新推出Deep Security 9.5為部署VMware NSX的客戶,帶來度身訂造的無代理(agentless)保安防護,實現橫跨檔案及網絡的保安控制。理論上,「零信任」為最安全模式,任何VM之間通訊先經保安檢查,一旦偵察任何VM出現異常,就馬上隔離。

趨勢科技為首批支援NSX介面的保安廠商,NSX可將不同保安廠商功能,透過連鎖機制互相啟動;例如Deep Security發現有系統檔案遭竄改,馬上啟動更改其他保安設定,攔截或隔離有問題應用或用戶登入,甚至不能與外界控制惡意程式的C&C服務器通訊。以往,不同廠商的保安設備整合,得靠廠商互相協力;例如SIEM軟件發現有異常或入侵,自動向防火牆要求,增加新的Policy堵截,類似Splunk和Palo Alto,就有類似的合作關係。

Deep Security 9.5亦配備全新動態式Smart Agent,簡化部署及提升靈活性。Smart Agent技術亦充分利用新程式,以迅速應對Linux內核更新,這是現今動態部署內常見的情況,有助確保保安防護,不會拖慢公司業務運作。趨勢科技亦引入VMware vCenter Operations Manager插件,可通過顯示面板獲知各虛擬數據中心內,保安相關事件的即時狀況。

NSX也支援通過防火牆保護VM,只要在NSX上安裝軟件防火牆,就可以保護虛擬平台上所有VM,新一代防火牆Palo Alto Networks也推出了支援NSX的新一代防火牆,進行精細的保安部署,可按應用需要加入不同的保護。其他支援NSX的廠商,還包括了偵察保安漏洞(Vulnerability)廠商Rapid7等。



沒有留言:

發佈留言