人们的工作和生活方式发生了巨大的改变,企业员工的办公不限于一个固定的地理位置,更多是采用远程办公模式。服务端的应用也从固定的数据中心,转移到了私有云和公有云的混合云场景,让企业的重要资产不再固定保存在特定地理位置,企业逐步过渡到多云的时代。在迎接多云时代的同时,企业也要考虑网络安全如何适应新的变化。
多云时代推动安全的变化
传统环境下重要数据都保存在数据中心中,安全模型都是采用网络为中心的防护,基于边界的安全理念,那么一旦边界被攻破,安全威胁就会在数据中心内部横向的蔓延。在多云的时代,我们的应用运行在全球的各个数据中心里,我们应该转变思路,并以数据和应用为中心来建立一个多云防护的安全理念,运用持续评估和动态访问策略,建立主动的自动化防御能力。
随着分布式应用以及容器化应用的部署,有超过 80% 的流量都是数据中心内部的流量,这些流量包括应用内部不同层以及应用之间的调用流量,这些流量很有可能夹杂着一些攻击的流量。数据中心内的其中一个应用被攻破之后,恶意软件和威胁也会在云内以及云间进行横向移动,最终整个数据中心都受到了安全的威胁。那么如何阻止这些行为的发生,如何阻止威胁的横向蔓延,如何构建一个网络拓扑无关的安全防护体系是我们接下来要讨论的话题。
NSX 新一代多云网络安全防御平台
我们可以通过 NSX 新一代的网络安全防御平台来提供云内的安全防护,尤其是东西向流量的安全保护。VMware 早在 7 年前就开始提供了分布式防火墙以及微分段的技术,这些年一直不断的创新,提供了一个 L4 - L7 的状态化防火墙,现在演进为一个服务定义的防火墙,它专门用于跨虚拟机、祼金属服务器、云以及容器来检测和防御东西向的安全威胁。
VMware 现在拥有全套先进的威胁检测功能,包括一项新的沙箱技术、网络流量分析以及强大的管理和分析框架。在方案中,我们有集中的管理和分析层,具有多站点多云的安全管理功能,通过 NSX Federation 在多数据中心多云环境中提供统一的安全视图,同时通过 NSX Intelligence 提供自动化的应用拓扑映射和安全策略的制定。
1
NSX 分布式防火墙和网关防火墙
NSX 防火墙的核心功能集是访问控制,通过 NSX 防火墙可以减小攻击面。它有两种形式,一种是上图左侧的分布式防火墙,采用了分布式的架构,上图右边是网关防火墙。大多数人可能都知道,分布式防火墙本质上是一个透明的 4 层到 7 层的防火墙,它直接应用于工作负载的网络接口,并在 hypervisor 的内核中运行。NSX 分布式防火墙可以实现虚拟机、裸金属服务器以及容器的安全隔离,实现一体化的管理,同时,如果使用分布式防火墙的话,我们只要简单的把分布式防火墙直接插入到 hypervisor 的内核中,而不需要改变物理网络的架构,同时还可以基于虚拟机的属性,比如虚拟机的名称、虚拟机的标记来实现动态的安全组。 其次我们再看一下网关防火墙,网关防火墙与分布式防火墙不同,分布式防火墙相当于透明式的防火墙,而网关防火墙必须位于网络的路径中,网关防火墙更多的是用于租户之间以及南北向的网络流量,网关防火墙通常要部署在 T0 或 T1 的路由器上,T0 或 T1 的路由器要关联到 Edge 上。
2
高级威胁的检测和响应
除了分布式防火墙、网关防火墙外,NSX 还提供了更高级的安全威胁检测和响应能力,它提供了最强的数据中心防御能力。 VMware 提供的高级安全威胁检测和响应解决方案包括三个关键的组件: 分布式的 IDS/IPS,基于最新的以及动态生成特征库准确地识别安全威胁并且提供了对已知的的攻击防御能力。 网络沙箱,它能过全系统仿真沙箱技术深入的了解应用程序的行为,分析检测和阻止未知的安全威胁。 NTA,网络流量分析,它利用了人工智能和以威胁为中心的模型来检测网络中仅靠特征库无法检测的恶意活动,比如说端口扫描等。 分布式 IDS/IPS、网络沙箱和 NTA 组件都会产生与单个主机相关的告警,这些告警信息也会关联到 NDR 引擎,通过这些告警的聚合,为安全分析人员提供一个高级的威胁检测和响应能力。 分布式IDS/IPS 那我们先看一下 NSX 分布式 IDS/IPS。传统的 IDS/IPS 以及分析的平台部署全部采用集中式的部署,而且需要通过流量镜像的方式把应用的流量镜像到 IDS 上。而 IPS 接到网络中,我们还要考虑如果将流量通过路由的方式引到 IPS 设备上去。另外,传统的 IDS/IPS 都是采用硬件来部署,一方面由于流量要集中到 IDS 和 IPS,所以 IDS/IPS 可能会产生性能上的瓶颈,如果要增加性能,就要将现有的 IDS/IPS 替换成能力更强的设备。由于都是硬件设备,所以部署这些安全设备,需要额外的机房空间、电力以及制冷系统,还要定期地对这些硬件设备进行巡检。而 NSX 分布式 IDS/IPS 采用分布式架构,直接将 IDS/IPS 应用到 hypervisor 层,而且提供了丰富的入侵日志并提供宿源的能力。如下图所示: 上图是 NSX 分布式 IDS/IPS 威胁事件的可视化界面。在这个界面上可以显示所有的攻击的行为。我们看到,这里有很多的点,点的大小和颜色代表的威胁的严重的程度,如果有的点在不停的闪烁的话,代表在那个时间点有攻击行为发生。那我们看一下图的上部,这里边可以过滤我们要查看的事件,我们可以选择极高风险、高风险等不同级别的事件进行查看。在入侵细部分,我们看到了攻击的日志,我们从这个图上可以看到非常详细的信息,这些信息包括攻击的来源,攻击的目的 IP,以及攻击的方式,还有攻击的类型,匹配的特征码以及这个攻击行为影响的虚拟机等信息,在右下角,我们看到了柱状图,柱状图的颜色代表了哪些是被检测到的攻击哪些是被阻止的攻击类型。 Network sandbox(网络沙箱) IDS/IPS 更多的是基于特征库的安全防护,多数为已知的安全威胁,那么对于那些未知的安全威胁,该如何提供安全防御的能力呢。接下来介绍一下通过全系统仿真沙箱技术。 VMware 的沙箱的特点是它使用了一个完整的系统仿真分析应用,这使我们能够看到应用内部的进程执行情况。而传统的沙箱只能看到应用程序和底层操作系统的调用。也就是说,传统的沙箱将应用程序看作为一个黑匣子,黑匣子里边发生了什么,我们不知道。而 VMware 的沙箱技术可以打开这个黑匣子,看到这个黑匣子内部的一些行为。在上图中橙色的部分,我们看到应用程序正在检查是否有沙箱的存在,如果检查到了沙箱的存在,它就会执行指定规避这个检查。通过这种额外的可视性,很明显我们更容易检测到逃逸的行为。通过这个全系统仿真沙箱,我们对应用程序的行为更加深入地理解,更容易发现恶意的软件以及安全风险。 基于人工智能的恶意网络行为检测 (NTA) 接下来让我们来详细地看一看 NTA 网络流量分析组件。我们在 NTA 中使用了人工智能建立的模型来检测恶意的网络流量。为检测到恶意的网络流量,可以通过以下两个步骤来去实现:第一步,所有的网络流量使用非监督式的机器学习模型识别网络中的异常流量,并且把这些异常的流量与正常的流量区分开,但这还不够,因为并不是每一个异常现象都是一种威胁,在第二步中,我们对异常的流量使用以威胁为中心的机器学习模型,这些模型允许我们能够识别真正的威胁,并且减少误报。 那么,在这里我们以威胁为中心的机器学习模型使用了监督式的机器学习,那如何去训练他们呢?我们在这里可以通过沙箱每天分析的数百万个样本来去训练他们。
3
高级威胁的检测分和响应
在整体方案之上,VMware 还提供了集中的策略分析和策略推荐引擎,通过对恶意的行为分析,提供整体的安全事件响应清单。vRNI 和 NSX intelligence 提供了应用的拓扑发现以及策略的推荐,为安全团队提供安全行为分析和策略的推荐,简化多云环境下的安全运维管理。
为满足多云时代网络和安全的需求,NSX 高级安全威胁和防御平台可以为任意类型的工作负载提供安全防御能力,通过 NSX 防火墙减小攻击面,通过分布式 IDS/IPS 以及网络沙箱对已知以及未知的恶意行为进行检测和阻止,实现了在多云时代零信任的安全。
本文转载自VMware公众号