VMware 推出：服务定义防火墙

VMware在RSA大会上向安全领域更深入一步，推出了一款内部防火墙，称之为服务定义防火墙（Service-defined Firewall）。

该产品结合了VMware的NSX虚拟化平台及其首款安全产品App Defense的功能，前者提供了网络和应用程序方面的可见性，后者通过监控工作负载是否背离预期的状态来保护工作负载。它还增加了自动化和自适应防火墙功能。

它适用于裸机、虚拟机（VM）和基于容器的应用程序环境，将来还会支持诸多混合云环境，比如VMware Cloud on AWS和AWS Outposts。

VMware网络和安全业务部门的高级副总裁兼总经理Tom Gillis说，这是一种“真正的防火墙”。“它不是端口阻塞。我们对网络连接进行有状态的第7层检查。我们对主机本身进行高级检查。它还结合了基于针对应用程序行为的这番了解，自动生成防火墙规则这项功能。”

Gillis表示，服务定义防火墙不是追查威胁，而是验证应用程序的良好行为。这不是新概念，但早期的解决方案（比如在访客端安装代理来实现这一目标）带来了另外的挑战。基于代理的解决方案增加了复杂性，如果攻击者获得root权限，进而全面控制主机，他们就完全可以绕过代理。

工作原理简述

服务定义防火墙采用了一种不同的方法，因为VMware在主机中的独特地位使其能够深入了解应用程序及其所有微服务在任何时间内的种种变化。该产品的应用程序验证云（Application Verification Cloud）使用全球数百万个虚拟机的机器智能，准确地绘制出了某应用程序预期的“已知良好”的状态。一旦最终验证了应用程序的行为已知良好，服务定义防火墙就可以生成自适应的安全策略。

它还利用VMware的这一功能：无需驻留在访客端，即可检查访客操作系统（OS）和应用程序。这意味着即使攻击者获得了root访问权限，也无法绕过服务定义防火墙。此外，这款新产品可以检测并阻止网络上的恶意流量，它可以检查访客本身，在运行时识别并阻止操作系统或应用程序中的任何恶意行为。

又由于VMware软件定义防火墙基于软件，具有高度分布性。它可以在应用程序运行的任何地方运行，而且是跨云运行。这意味着可以始终如一地实施策略，无需跨云环境“hairpinning”流量，即将流量从虚拟环境转移出来、移到硬件设备中进行扫描。

Gillis说：“我们并不取代边界防火墙，边界防火墙是整个解决方案的重要组成部分。但众所周知，你不能完全依赖边界防火墙，因为有些流量仍穿透进来。结合传统的边界防火墙和内部防火墙（比如服务定义防火墙），有助于打造更强大的安全解决方案。”

VMware迈向服务定义防火墙的路程

天生安全

该产品还立足于VMware首席执行官Pat Gelsinger上周在巴塞罗那召开的移动世界大会（MWC）上讨论的“天生安全”（intrinsic security）这个概念。

Gilles表示，天生安全有别于集成安全，后者实际上重新打包现有产品。“就好比拿来一个防火墙，把它做成数据中心交换机中的刀片。你并没有从根本上改变防火墙。”

另一方面，天生安全充分利用了虚拟化平台中内置的属性。Gillis说：“这让我们得以做一些我们认为在业界非常独特的事情。”