以伺服器虚拟化重新界定系统防护VMware推出云端安全服务

以企业级伺服器虚拟化平台起家的VMware，在今年8月底举行的VMworld大会期间，推出多种SaaS云端服务，统称为VMware Cloud Services，希望能以此来支援多种云端服务、应用程式与装置的使用，不过，这当中最让人感到好奇的部分，是关于强化应用系统安全的AppDefense。

在发布之初，我们仅知道VMware希望改变过去不断追逐资安威胁脚步的被动作法，重新拿回实施防护的主导权，而且里面将运用一些较为新颖、全面的因应方式，例如，透过撷取（Capture）、侦测（Detect）、反应（Response）等三个阶段的自动分析与处理，确保既有正常运作的应用系统能够持续受到妥善的保护。

就AppDefense的基本设计概念而言，是如何确保系统能够维持良好的状态，VMware在功能实作上，分成撷取（Capture）、侦测（Detection）、反应（Response）等三个阶段。图中是VMware在今年VMworld大会的主题演讲上，所初步揭露的处理流程。

而在VMware官方网站对AppDefense介绍的内容当中，我们看到更多关于这套云端服务的具体描述。

例如，VMware在AppDefense专属网页一开始就提到，这是一套资料中心的端点安全产品，能够保护虚拟环境当中的应用程式……，它会了解应用系统平时正常运作的状态，并监控是否出现任何的异动，若非应有的状态，则表示可能已经受到网路或恶意软体攻击的威胁，一旦侦测到威胁，AppDefense也将自动因应。

在接下来陈列的AppDefense介绍影片，则提供了另一个线索，标题写道：「Data Center Endpoint Detection & Response」，这意味着，它的确和现今端点安全防护领域里面相当热门的Endpoint Detection & Response（EDR），有不少共通之处。

而另一份关于AppDefense的服务描述文件里面，谈得比较仔细。VMware提到，他们所提供的这套服务，设计上，是用来保护虚拟化与云端环境执行的应用系统，而且是从运算环境的角度来实施最低权限（least privilege）的概念，就像VMware先前在网路层级，也运用了微分段（micro-segmentation）来实现同样的理念。

过往VMware在应用系统安全性防护的机制上，强调可搭配自家的网路虚拟化平台NSX，透过网路的微分段来进行安全隔离，而现在他们又增加了AppDefense，主要是从运算的层面（vSphere）来实现最低权限的管制概念。

此外，AppDefense也关係到现代化资料中心与应用系统的建立流程。当中将会撷取管理者所期望（或预期）的执行状态，随后，再运用Hypervisor监控上层虚拟机器里面执行的应用系统行为。若是无法撷取到应用系统刚完成建置时的良好状态，此时，则会使用执行时期的学习与行为模型分析来补足，以便确立虚拟机器的预期状态。

之后当AppDefense发现异常状态时，我们可要求系统针对不当行为进行拦阻，或是自动透过虚拟基础架构来採取指定的动作，甚至达到随需变更安全政策的应变机制。

从上述揭露的资料来看，你可能还是无法具体了解AppDefense实际的技术架构，所幸到了9月初，VMware终于在他们的Network Virtualization部落格里面，由VMware网路与安全业务的资深技术产品经理Wade Holmes出面说明，提供了更详细的消息。

在该篇文章当中，也特别列出了AppDefense在企业内部资料中心环境的运作架构。

此图为AppDefense三大阶段里面的细部处理流程，是VMware后续在VMworld其他场演讲，以及部落格文章所揭露的资料。

上图是AppDefense的运作架构，当中呈现了整合VMware既有产品的部份，像是vSphere（vCenter、ESXi）都需要升级到最新的6.5版，而位于虚拟机器当中的AppDefense Guest Module在启用时，管理者也需要将虚拟机器的虚拟硬体升级到第13版。

首先，位于企业外部、由VMware维运的部分是云端服务，称为 AppDefense Manager，这是一套主控台介面，能用来管理租户所部署的AppDefense元件。

而在企业内部环境的部份，关键在于职掌伺服器虚拟化平台的vCenter Server，以及在各元件之间的组态与政策同步的AppDefense Appliance。

同时，在执行vSphere的伺服器主机，以及上面所承载的虚拟机器当中，也需要各自部署AppDefense Host Module、AppDefense Guest Module等软体模组。

以vCenter Server而言，主要作用是管理应用系统底层的伺服器主机与丛集环境，与整合AppDefense之后，可提供API，让AppDefense能够连进vCenter，并且自动执行多种矫正方式，例如，要求虚拟机器立即实施快照、关机、暂停系统运作等作业。

至于AppDefense Host Module的工作，则是在Hypervisor内部提供信任的隔离区，并在当中存放受保护应用系统的资产组态清单，以利后续的监控。AppDefense Guest Module的任务则有两个，一是负责与AppDefense Host Module沟通之余，另一是持续监督虚拟机器系统核心的完整性。

基于这个架构，AppDefense还可以搭配其他产品，像是VMware网路虚拟化平台NSX，以及自动化系统管理平台 vRealize Automation（vRA）。

若以前者的整合为例，AppDefense一旦发现到应用系统遭受到资安威胁的入侵而有了异状，即可运用NSX的安全标籤，执行网路层级的自动隔离。

至于vRA的搭配，AppDefense在整合VMware系统维运管理平台vRealize Orchestrator之后，即可连至vRA，接着将标籤选项置入虚拟机器的蓝图里面的应用系统，之后就能在AppDefense控管範围内，自动调整新进应用系统的伺服器执行位置。

产品资讯

VMware AppDefense
●原厂：VMware(02)8758-2804
●建议售价：每年每颗处理器500美元，初期将于美国的VMware vSphere 6.5用户提供
●伺服器虚拟化平台需求：VMware vCenter 6.5、vSphere ESXi 6.5
●虚拟机器作业系统支援：微软Windows Server 2012 R2、Windows Server 2016
●整合其他软体平台：VMware NSX 6.3、vRealize Automation 7.3

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】