以伺服器虛擬化重新界定系統防護，VMware推出雲端安全服務

以企業級伺服器虛擬化平臺起家的VMware，在今年8月底舉行的VMworld大會期間，推出多種SaaS雲端服務，統稱為VMware Cloud Services，希望能以此來支援多種雲端服務、應用程式與裝置的使用，不過，這當中最讓人感到好奇的部分，是關於強化應用系統安全的AppDefense。

在發布之初，我們僅知道VMware希望改變過去不斷追逐資安威脅腳步的被動作法，重新拿回實施防護的主導權，而且裡面將運用一些較為新穎、全面的因應方式，例如，透過擷取（Capture）、偵測（Detect）、反應（Response）等三個階段的自動分析與處理，確保既有正常運作的應用系統能夠持續受到妥善的保護。

就AppDefense的基本設計概念而言，是如何確保系統能夠維持良好的狀態，VMware在功能實作上，分成擷取（Capture）、偵測（Detection）、反應（Response）等三個階段。圖中是VMware在今年VMworld大會的主題演講上，所初步揭露的處理流程。

而在VMware官方網站對AppDefense介紹的內容當中，我們看到更多關於這套雲端服務的具體描述。

例如，VMware在AppDefense專屬網頁一開始就提到，這是一套資料中心的端點安全產品，能夠保護虛擬環境當中的應用程式……，它會了解應用系統平時正常運作的狀態，並監控是否出現任何的異動，若非應有的狀態，則表示可能已經受到網路或惡意軟體攻擊的威脅，一旦偵測到威脅，AppDefense也將自動因應。

在接下來陳列的AppDefense介紹影片，則提供了另一個線索，標題寫道：「Data Center Endpoint Detection & Response」，這意味著，它的確和現今端點安全防護領域裡面相當熱門的Endpoint Detection & Response（EDR），有不少共通之處。

而另一份關於AppDefense的服務描述文件裡面，談得比較仔細。VMware提到，他們所提供的這套服務，設計上，是用來保護虛擬化與雲端環境執行的應用系統，而且是從運算環境的角度來實施最低權限（least privilege）的概念，就像VMware先前在網路層級，也運用了微分段（micro-segmentation）來實現同樣的理念。

過往VMware在應用系統安全性防護的機制上，強調可搭配自家的網路虛擬化平臺NSX，透過網路的微分段來進行安全隔離，而現在他們又增加了AppDefense，主要是從運算的層面（vSphere）來實現最低權限的管制概念。

此外，AppDefense也關係到現代化資料中心與應用系統的建立流程。當中將會擷取管理者所期望（或預期）的執行狀態，隨後，再運用Hypervisor監控上層虛擬機器裡面執行的應用系統行為。若是無法擷取到應用系統剛完成建置時的良好狀態，此時，則會使用執行時期的學習與行為模型分析來補足，以便確立虛擬機器的預期狀態。

之後當AppDefense發現異常狀態時，我們可要求系統針對不當行為進行攔阻，或是自動透過虛擬基礎架構來採取指定的動作，甚至達到隨需變更安全政策的應變機制。

從上述揭露的資料來看，你可能還是無法具體了解AppDefense實際的技術架構，所幸到了9月初，VMware終於在他們的Network Virtualization部落格裡面，由VMware網路與安全業務的資深技術產品經理Wade Holmes出面說明，提供了更詳細的消息。

在該篇文章當中，也特別列出了AppDefense在企業內部資料中心環境的運作架構。

此圖為AppDefense三大階段裡面的細部處理流程，是VMware後續在VMworld其他場演講，以及部落格文章所揭露的資料。

上圖是AppDefense的運作架構，當中呈現了整合VMware既有產品的部份，像是vSphere（vCenter、ESXi）都需要升級到最新的6.5版，而位於虛擬機器當中的AppDefense Guest Module在啟用時，管理者也需要將虛擬機器的虛擬硬體升級到第13版。

首先，位於企業外部、由VMware維運的部分是雲端服務，稱為 AppDefense Manager，這是一套主控臺介面，能用來管理租戶所部署的AppDefense元件。

而在企業內部環境的部份，關鍵在於職掌伺服器虛擬化平臺的vCenter Server，以及在各元件之間的組態與政策同步的AppDefense Appliance。

同時，在執行vSphere的伺服器主機，以及上面所承載的虛擬機器當中，也需要各自部署AppDefense Host Module、AppDefense Guest Module等軟體模組。

以vCenter Server而言，主要作用是管理應用系統底層的伺服器主機與叢集環境，與整合AppDefense之後，可提供API，讓AppDefense能夠連進vCenter，並且自動執行多種矯正方式，例如，要求虛擬機器立即實施快照、關機、暫停系統運作等作業。

至於AppDefense Host Module的工作，則是在Hypervisor內部提供信任的隔離區，並在當中存放受保護應用系統的資產組態清單，以利後續的監控。AppDefense Guest Module的任務則有兩個，一是負責與AppDefense Host Module溝通之餘，另一是持續監督虛擬機器系統核心的完整性。

基於這個架構，AppDefense還可以搭配其他產品，像是VMware網路虛擬化平臺NSX，以及自動化系統管理平臺 vRealize Automation（vRA）。

若以前者的整合為例，AppDefense一旦發現到應用系統遭受到資安威脅的入侵而有了異狀，即可運用NSX的安全標籤，執行網路層級的自動隔離。

至於vRA的搭配，AppDefense在整合VMware系統維運管理平臺vRealize Orchestrator之後，即可連至vRA，接著將標籤選項置入虛擬機器的藍圖裡面的應用系統，之後就能在AppDefense控管範圍內，自動調整新進應用系統的伺服器執行位置。

產品資訊

VMware AppDefense
●原廠：VMware(02)8758-2804
●建議售價：每年每顆處理器500美元，初期將於美國的VMware vSphere 6.5用戶提供
●伺服器虛擬化平臺需求：VMware vCenter 6.5、vSphere ESXi 6.5
●虛擬機器作業系統支援：微軟Windows Server 2012 R2、Windows Server 2016
●整合其他軟體平臺：VMware NSX 6.3、vRealize Automation 7.3

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】