VMware做安全，让谁坐不住了？

　　云计算时代，企业的安全要如何保证？在回答这一问题前，首先要了解进入云计算时代，企业安全到底发生了什么样的变化，遇到了什么样的新挑战。数据不仅来自企业内部的数据中心，而是分散在各处，甚至更多地来自于移动终端设备、社交网络等。企业的安全边界正变得模糊。以前，依据这一边界建立的被动防御型安全策略和措施已经失效。那么，今天的企业安全要从何做起呢？“从架构做起。”VMware大中华区首席技术官李刚表示。

　　安全应得到更多重视

　　VMware委托经济学人智库（EIU）对亚太地区的企业高管就网络安全投资与保护这一主题进行了调研，在被访问的461位高管中，有128位来自中国。

　　调研显示，负责企业运营的CEO/CFO与负责IT和安全运维的CIO/CSO虽然都意识到企业安全正面临严峻挑战，网络攻击近在眼前，但是在应对安全问题的态度和做法上存在分歧，在有些方面分歧甚至十分严重。

　　虽然21.8%的CEO/CFO与22%的CIO/CSO都认为，企业在未来一年内将遭受严重的网络攻击，可能对企业的业务造成重大损害，比如失去客户信任，知识产权受损等，但是在预测未来两年内的安全预算有何变化时，77%的CIO/CSO认为应该增加对安全的投入，而只有37%的CEO/CFO持相同观点，差距很大。

　　另外，38%的CIO/CSO认为，应该将网络安全当作企业的头等大事，而持此观点的CEO/CFO只有区区4%。两类高管在对待安全这个问题上存在如此严重的分歧，肯定会影响企业对网络安全的投入，在建立一个先进、高效、全面的安全体系架构的过程中很可能会遭受挫折，甚至失败。

　　调研发现，中国的受访者与亚太其他地区的受访者在很多方面也有不同，比如中国的企业高管尤其注重企业内部通信和知识产权的保护；中国的业务主管和IT主管在安全投入方面存在的分歧更大；仅有6%的中国高管认为，企业在未来90天内会遭受网络黑客的攻击，这一比例只有亚太其他地区企业高管的四分之一。中国企业的高管普遍更重视业务的发展和收益。中国企业应该进一步提高安全防范意识，重新调整和优化安全布局和战略，以更加主动、智能化的方式化解安全威胁。

　　基于边界的网络安全保护已经被证明是无效的，企业应该建立一个有组织的系统性安全框架。如今，虚拟化已经成为覆盖计算、存储、网络、云和各种设备的最通用的基础架构层，安全也应该融入其中，并渗透到企业IT整体架构的各个层面。

　　李刚表示：“在传统的安全架构中，安全性与灵活性是一对矛盾，有时为了保证安全性，就必须在业务的灵活性上做出妥协。而今天，从整体架构的角度制定安全战略，就是要实现安全性与灵活性的平衡。而保证架构的安全，就要采用软件定义的方式。软件不仅能重新定义计算、存储和网络，也能重新定义安全。”

　　虚拟机是最小安全单元

　　软件定义IT，这一说法人们已经耳熟能详。VMware提出的架构安全策略的切入点就是软件定义网络（SDN）。在这方面，VMware的代表作就是NSX，一个网络虚拟化平台。

　　众所周知，VMware是一个虚拟化和云基础设施提供商。VMware的目标是打造一个全新的软件定义数据中心（SDDC）架构。在SDDC中，包括计算、存储、网络等在内的所有基础设施组件都是虚拟化的，由软件定义的。与之相适应，VMware做到了以虚拟机（VM）为安全保护的最小单元，并以此为基础实施架构的全面保护。

　　与传统的基于物理架构和设备实施的安全战略不同，在SDDC中，VM是安全保护的最小单元，VM一启动，与之相应的安全保护层也就开始发挥作用。VM移动到哪里，安全策略也就随之移动到哪里，而不像传统的硬件安全设备，安全策略是与设备绑定的，不能移动。

　　VMware软件定义数据中心产品品牌总监林世伟介绍说：“一个具有一定规模的企业，其安全策略通常有上万条。如何让这些安全策略都能充分发挥作用是一个难题。借助SDN技术，我们把安全策略建立在虚拟网络层上，VM的安全防护层会清洗虚拟网络层上所有流经的数据，从而提高安全防御的效率。”

　　VMware NSX通过隔离VMware vSphere基础设施的各种组件，引入安全微分段的概念，在网络虚拟化层上又新增了一层安全保护。与旁路虚拟化防火墙可能造成性能的瓶颈相比，VMware NSX构建的虚拟分布式防火墙，以VM为单位，当数据经过VM时，就同时完成了数据清洗工作，而不用像旁路虚拟化防火墙那样要集中进行清洗，从而消除了性能瓶颈。NSX提供的新的虚拟分布式防火墙的能力已经超越了VMware vSphere服务器现有的vShield功能。VMware NSX可以过滤任何在超级管理器中来往的流量。VMware利用NSX虚拟分布式防火墙的可扩展性，在虚拟机之间创建零信任安全。这一安全策略也可以在同一逻辑的Layer2广播网络上的主机之间创建。

　　我们不能简单地把NSX理解为一个安全产品，它其实是一个平台，允许其他安全厂商的产品与之对接，从而支持外部网络和安全生态系统服务。NSX提供工具用于集中部署第三方防火墙、反恶意软件、漏洞管理、数据丢失保护和入侵检测等安全产品。VMware倾向于通过开放的API，让更多的合作伙伴加入到NSX的生态系统中。李刚介绍说，实际上NSX已经与国内许多安全厂商的产品实现了对接。

　　VMware公司2015年公布的一份数据显示，NSX的销售量与日俱增，而购买NSX的多是大型企业客户。这些客户很多都将NSX定位为一项新的网络安全技术。因为NSX可以有效防止那些获得网络部分访问权限的攻击者在网络内部的活动。

　　李刚表示：“安全其实是最忌讳变化的。但是现在，变化是一种常态。只有利用软件定义技术，才能实现安全与灵活性的平衡，实现动态、高效和更细粒度的安全保护。”

　　软件定义是前提

　　VMware对安全做出的最大贡献在于，让人们明白在SDDC中，必须以软件定义为前提，以SDN技术为依托，才能实现整个架构的动态安全保护。

　　VMware并没有推出一个所谓的安全产品，而是在其SDN产品NSX中融入了软件定义安全的思想，以VM为基础构建最基本的安全保护单元。

　　2012年，VMware收购了SDN厂商Nicira。2013年，在Nicira产品的基础上，VMware正式推出虚拟化的网络和安全软件产品NSX。NSX刚推出时，人们更多地关注其软件定义网络的属性。现在，随着SDN技术的进一步普及，以及企业用户对安全的需求越来越迫切，NSX在安全方面的潜力才得以更充分的展现。

　　最初，VMware刚推出服务器虚拟化技术时，很多人认为VMware要和所有服务器设备提供商做对。而实际的结果是，VMware与所有服务器厂商成了最亲密的合作伙伴，服务器虚拟化如今已大行其道。从服务器虚拟化到软件定义存储VMware VSAN的推出，从网络虚拟化NSX到软件定义安全，VMware每次进入一个新的技术领域时，都会让这个领域的某些厂商提高警觉，VMware是不是要来抢饭碗？

　　其实，在云的世界里，合作大于竞争。VMware涉足安全，更多地还是从软件定义数据中心架构的角度，希望改变传统的被动防御的安全思维，建立以VM为基础的一种新型安全理念。VMware倡导的架构安全，其重要的前提是软件定义。

　　VMware提供的是一个可以实现动态安全保护的平台，就像NSX，其重点不在于这个平台本身能提供多少安全的功能，而是如何更好地支持其他安全厂商在SDDC平台上实现创新。

　　前不久，VMware刚刚宣布收购一家美国的初创公司Arkin，这被认为是VMware强化NSX的新举措。Arkin的软件可以让企业追踪虚拟化环境和物理环境中的传输流量和安全问题。VMware有计划将Arkin与自己的vRealize Suite云管理工具套件进行集成，增强其网络虚拟化的功能。Arkin可以简化NSX的规划和运营，将NSX迅速扩展到数千个应用。对于越来越关注网络和安全的VMware来说，Arkin弥补了其产品短板，有助于提升NSX的网络安全性，实现分布式防火墙群组和策略的自动创建。

　　如今，VMware将自己定位为云基础架构和移动商务厂商。除了针对SDDC环境提供更有效的安全保护以外，VMware也在移动安全保护方面下了很多功夫。

　　VMware曾经以15.4亿美元收购了私人控股的移动安全公司AirWatch，以满足企业日益增长的移动安全需求，确保员工使用的智能手机和平板电脑安全可靠。

　　最新的消息是，今年7月，VMware宣布5家世界领先的云访问安全代理（CASB）公司加入了移动安全联盟，包括Blue Coat Systems、CloudLock、NetsKope、Palo Alto Networks和Skyhigh Networks。它们的加盟大大提升了安全行业领导者对VMware AirWatch Enterprise Mobility Management平台（EMM）平台的支持力度，以便共同应对移动和云安全领域的新挑战。VMware计划以Workspace ONE平台为依托，与CASB合作伙伴推出联合的解决方案，自云端为各种应用和设备提供安全性、可视性和可控性，并确保数字化工作场所的正常运行。

　　李刚总结说：“如果企业不能拥有横跨计算、网络、存储、云等各个层面的普适性的IT架构安全方案，黑客很可能有机可乘。只有采用可确保整个架构安全的软件定义IT的方式，才能让企业在安全的前提下获得业务成功所需要的灵活性。”

　　■本报记者 郭涛