VMware全方位打造多雲零信任資安架構

回顧過去10年，VMware已陸續買下多家資安相關廠商，也使得他們打下不錯的基礎，得以加入主推零信任安全架構的IT大廠行列。其中較為人所知的幾個併購案，如今都成為VMware立足企業級資安領域的關鍵。

像是：2012年併購Nicira之後，VMware推出NSX系列的軟體定義網路解決方案，而有了；2014年併購AirWatch，VMware跨足端點管理、身分認證與存取管理，VMware後續推出了Workspace ONE UEM、Workspace ONE Access；2017年併購VeloCloud，開始發展SD-WAN，於是後續有了VMware Secure Access，以及VMware SASE Platform等遠端安全存取方案；2019年VMware併購Carbon Black，於是，有了同名系列的端點偵測與反制系統，以及雲端、容器安全解決方案；2020年併購Lastline，觸及網路偵測與反制系統（NDR），以及網路異常流量分析（NTA），同年隨即結合VMware NSX Firewall，而推出NSX Advanced Threat Prevention，提供NTA、NDR、沙箱檢測等功能。

發展至今，VMware標榜他們能夠提供全方位（end-to-end）的零信任資安解決方案，這說法並不為過，實際檢視他們目前供應市場的資安解決方案，的確已涵蓋各種企業資安防護的重點面向，包含：使用者與端點設備、網路、雲端服務、工作負載與應用程式DevOps。

而憑藉這樣的產品組合，VMware在今年也公布他們的零信任資安產品。

基本上，他們提出了兩種框架，一是區分為三種安全防護，分別針對：多雲環境（Multi-Cloud）、現代化應用程式（Modern Application），以及適用於任何場所的數位辦公（Anywhere Workspace）等領域，

另一框架則更為簡單，區分為二種安全防護，分別針對工作負載存取（Workload Access），以及使用者存取（User Access）。

圖片來源／VMware

根據使用者與工作負載等兩種存取模式，區分零信任架構

無論企業是否使用伺服器虛擬化平臺，發展單雲，或是使用單一公有雲或多朵公有雲，VMware如今提出的零信任資安架構，希望能夠在涵蓋全局的考量下，以簡單的畫分方式，區隔出幾個控管面向，讓用戶更了解他們的資安產品對應方式與整體覆蓋範圍。

強化多雲與工作負載安全：新增NDR與EASE架構

今年VMware特別主打多雲環境，對應工作負載存取防護時，可細分為雲服務內部存取（Inside the Cloud），以及雲對雲存取（Cloud-to-Cloud）。

以雲服務內部存取防護而言，目前涵蓋工作負載安全、東西向控制（橫向存取與移動管制），VMware提供的資安產品與對應功能，有下列幾類：

首先，由底層來看，是軟體定義網路分段與微分段，以及分散式IDS/IPS，由NSX Service-defined Firewall來負責。

往上一層來看，則是NTA、NDR、XDR，可由Carbon Black Cloud系列解決方案，以及去年發表的NSX Advanced Threat Prevention來負責，今年VMworld大會，VMware也宣布推出NSX Network Detection and Response，並預告提供非接觸式（tapless）NTA/NDR功能，可運用vSphere將感測器散布到各處。

此外，VMware也能提供API安全防護，以及工作負載身分辨識（Workload identity），強化雲服務內部存取防護。

至於雲對雲存取防護，VMware著重邊緣控管（edge controls），像是：使用具備高度安全性的網路連線，完整布建分散型NDR與網頁防護，可自動執行依附在工作負載的政策，且能彈性擴充。

而為了達成這樣廣泛的雲際防護需求，VMware借鑑近期因疫情爆發而聲名大噪的資安解決方案概念，也就是安全存取服務邊緣（SASE），發展出企業內部雲連接其他雲的安全存取方式，VMware稱為可伸縮式應用程式安全邊緣（Elastic Application Security Edge，EASE），而這個新應用概念也在今年VMworld大會首度公開揭露。

VMware期盼，有了EASE，資料中心或雲端邊緣的網路與資安基礎架構，能更有彈性，可隨著應用程式的網路存取流量變化而自動進行調節，同時，他們也將針對網路、資安、狀態觀測等層面的需求，提供伸縮自如的資料層服務，以及可橫向擴充規模的分散式架構，促使EASE環境在應用程式需要異動時，能夠隨之擴展或縮減本身的執行規模。

圖片來源／VMware

針對雲端服務的運用方式，提出兩大安全防護構面

從伺服器虛擬化平臺、軟體定義資料中心而形成單雲，以致現在可橫跨多種公有雲、混合雲、邊緣運算雲、服務業者雲，VMware如今也針對這樣的環境差異，提出安全防護戰略，將雲的環境一分為二：雲內部的存取控管，以及雲對雲的外部存取控管，而依此架構，他們已經準備好對應的端點、網路、工作負載、XDR/SOC的資安解決方案。

提升現代化應用程式防護：拓展API與K8s安全性管理

關於新一代應用程式保護，VMware呼籲重視API（應用程式介面）安全，因為由許多元件構成的應用程式都可能會透過API溝通，然而，關於API的運用上，大部分IT人員仍採用「剪下、貼上」相關程式碼的方式來進行，而這種作法可能並未考量到安全性，因此，他們認為API已成為新的端點，而必須提升相關的保護機制。

對此，VMware在本次VMworld大會期間，宣布推出Tanzu Service Mesh進階版（此處所指產品應為Tanzu進階版的Service Mesh），針對散居各處的API，提供新的透明度掌控、探查、安全性等多種功能，藉此改善應用程式的韌性與可靠度，並運用API行為的前後脈絡來協助判斷，以減少管理盲點，而對於開發與資安團隊而言，即便是在多雲環境，也能掌握API通訊的時機、位置與進行的方式，提供更良好的DevSecOps環境。

另外，在雲端原生應用系統的架構下，Kubernetes安全性也是VMware拓展現代化應用程式安全的重點。

而在本次VMworld大會期間，他們也特別針對一套專攻多雲領域的資安方案，名為CloudHealth Secure State，宣布新增Kubernetes安全態勢管理功能（Kubernetes Security Posture Management，KSPM），同時因應內部使用的Kubernetes叢集，以及連結公有雲服務資源等兩種部署應用場景，以便掌握組態設定不當（misconfiguration）漏洞，管理Kubernetes在彼此交互連結（interconnected）之下的安全狀態。

目前Secure State KSPM可支援176條檢測規則，當中包含安全測試標準CIS Benchmarks，可針對Amazon EKS、Azure Kubernetes Service、Google GKE等多種公有雲Kubernetes代管服務，進行安全性查核。

數位辦公安全：增設CASB與DLP

在協助進行遠距辦公的資安解決方案上，VMware在去年10月的VMworld大會期間，正式推出VMware SASE Platform，相隔一年後的此刻，他們宣布，這個平臺新增「雲端存取服務代理（Cloud Access Service Broker，CASB）」的功能服務，協助IT團隊掌握應用程式的整體存取狀況，使其具備更清楚的了解與控管能力。

透過這樣的平臺，IT團隊能針對雲端服務提供的應用程式，有效套用基於不同角色的存取控管政策，並了解使用者是否濫用合法程式，或執行公司不允許的應用程式。

VMware也預告，SASE平臺的CASB將提供資料外洩預防（DLP）的功能，協助企業遵循資料隱私保護法規的要求，像是GDPR、HIPAA、PCI，避免敏感資料不慎傳送至預設的環境之外。

在端點管理解決方案Workspace ONE UEM當中，VMware也宣布將推出新的法規遵循引擎，可查驗員工連網設備、作業系統、應用程式的安全態勢，這樣的功能可讓企業確保上網設備的安全性，也將提供盡量不影響終端用戶操作體驗的矯正機制。

 相關報導