企业信息安全太过重要，以至于所有企业都想把数据保护做到牢不可破。但是放眼市场，有关信息安全的解决方案至少有上百种，先不说选型过程如何，只看产品名称，就已经让人眼花缭乱。如何去选择适合的解决方案?已经成为企业的一大挑战!

  企业信息安全挑战重重

  相信，大多数企业的信息安全都“踩过相同的坑”，那就是把基础架构、操作系统、上层应用等搭建完以后，才会想到保护应用和数据。于是，通过第三方的安全解决方案，以外挂的形式整合到系统里。这种以外挂为主的信息安全解决方案，需要企业在受保护对象平台上部署一些代理，当代理外挂方案增加，安装代理的数量也就增加了，这时会占用过多的CPU资源。最重要的是，把不同产品放在一起，会因为策略不同，产生各种各样的冲突。

  从解决方案本身来看，企业信息安全和传统IT架构出现的弊端一样，系统与系统之间是一个个孤立的“竖井”，很难统一整合在一起。比如：负责网络的部门，会从网络安全的角度去选型防火墙、IDS/IPS(入侵检测/ 保护系统)等;而桌面管理是另外一个部门，则从桌面安全的角度去选型防病毒软件、个人电脑安全保护软件等。所以，无论是解决方案提供者，还是使用者，都处于孤立状态。

  这种外挂式、孤立的解决方案，带来的最大影响是，让企业信息安全处于被动防护状态。所有第三方安全类解决方案，都是先有攻击手段，然后才会推出相应的被动防护措施。就像防病毒软件一样，需要用户定期下载病毒特征库，才能做到全面防护。所谓的“病毒特征库”，都是被动防护，因为100%都是先有病毒，后有防护措施。

  此种背景下，主打原生安全解决方案的VMware公司呼吁，是时候向传统的信息安全解决方案说再见了，向原生安全转型，是现代化企业进行安全防护的主流发展趋势。

  向原生安全转型势在必行

  提到VMware，我们首先想到的是，这是一家能够提供云、应用现代化、网络和数字化工作空间产品的提供商。其实，VMware不只懂IT基础架构，还是一家能提供全套安全解决方案的企业。凭借在底层架构方面的优势，VMware的安全解决方案可以很顺畅地在企业关键业务环境下进行内建。因此，VMware的安全类解决方案又叫做原生安全解决方案。

  “要想提高企业的信息安全，全面保护企业的应用和数据，要从预防和影响机制两个方面做到有效防护。”VMware 大中华区高级产品经理 傅纯一认为，要想真正做到全面防范，应该在恶意者还没有攻击之前就做好预防措施，减少攻击面。一旦发生威胁，有恶意软件进行攻击，应该有一个应急的响应机制，包括杀病毒、挂虚机、断网等应急措施。

▲VMware大中华区高级产品经理 傅纯一

  在建立自适应的攻击保护架构方面，Gartner在几年前专门做了一个分析，主要把企业信息安全分为四块：即Predict(预告，有没有可能会有恶意攻击发生)、Prevent(阻止，在应用和操作基础架构层面上怎样阻止恶意攻击)、Detect(检测，当恶意攻击再次出现，通过什么方式进行检测)、Respond(响应，如何通过隔离、杀毒等措施最终把恶意软件清除掉)。最关键的是，如何把这四方面能力整合在一起，不再通过孤立的解决方案去解决某一个问题。

  在VMware看来，企业要想从传统的信息安全体系或者架构转向原生安全，应该从三个方面切入。第一，要从外挂转向内建。不管是哪种安全解决方案，最好要跟基础架构结合在一起，实现基础架构层面的内建。从平台搭建之初就开始考虑各种各样的安全措施，获得抵御外部恶意攻击的手段以及工具。第二，我们要打破“孤井”模式，把所有的方案统一整合为一体。就像木桶原理一样，如果其中有一个短板，整个木桶就装不了太多的水。企业信息安全，不能在任何一个环节出现漏洞。第三，从应对攻击的手段来看，企业要变被动为主动，用更主动的方式来防止恶意攻击。比如：通过专业的工具，实时监测恶意攻击行为。一旦发现异常行为，我们就判断这是恶意攻击。

  现代安全解决方案应该覆盖整个IT基础架构和任意端点

  我们都知道，VMware公司有一个大的愿景，那就是帮助更多企业帮助企业在任意平台、任意云上交付任意应用，打造无所不在的数字化基础平台。其中，安全是最重要的一项基本能力。无论是在基础架构、端点设备，还是在应用层面上，每一个层面都嵌入了完整的安全解决方案。

  为了拥有覆盖整个基础架构和端点的控制能力，尽可能地保护应用和数据，VMware提出了五个控制点的安全模型。不管企业的工作负载运行在本地的数据中心、公有云、私有云，还是直接采用第三方的SaaS，最终都会通过端点登录，包括通过个人电脑、智能平板或者手机等，进行身份认证后即可访问数据。VMware的五个控制点模型，可以帮助企业真正实现应用和数据的全方位安全目标。  

具体而言，VMware的原生安全解决方案主要分为四大块：

  第一块，端点和工作负载安全，主要产品就是VMware vSphere和Carbon Black。vSphere是业界最安全的企业计算平台，本身内建了很多安全措施，包括数据加密、安全启动等。看似简单，其实系统内部有很多安全措施，包括端点检测和响应(EDR)。为了让设备在访问应用的时候，做到安全可控，进行了一系列应用的加密、应用的控制。比如：在防病毒功能中，原生安全解决方案和传统模式有着非常大的差异性，一旦有未授权设备接入，便存在着巨大的安全隐患。通过VMware收购的Carbon Black，用户可以获得全面整合的云原生安全能力。VMware Carbon Black Cloud最大的特点就是云原生，而且充分利用了机器学习和大数据分析能力，快速收集元数据，并对恶意攻击手段进行识别。

  第二块，网络安全，主要由 VMware NSX Data Center解决方案进行支持。VMware在去年曾推出服务定义防火墙(Service-defined Firewall)概念，具体的产品其实是由NSX产品家族来提供支持。除了去年推出的分布式服务定义防火墙能力，VMware今年在服务定义防火墙功能中又增加了一些新的功能，比如：NSX Intelligence，以及分布式的IDS(入侵检测)和IPS(入侵保护系统)，取代了传统硬件盒子式功能，走向软件定义时代，由NSX Data Center安全在每一个虚拟机上。所有数据包的检测、异常流量的检测，都在每一个虚机的入口处进行检测，大大提高了工作效率。

  NSX Data Center解决的核心问题就是控制数据中心的东西向流量(各个服务器、虚机之间的流量)，极大地减少攻击面。传统做法是，很多企业会把所有的应用都放在防火墙后面，因为病毒攻击首先要攻克防火墙。但并不是所有应用放在防火墙后面就绝对安全了，一旦恶意软件攻克了防火墙，就可以在数据中心为所欲为了。VMware的做法是，通过NSX微分段。NSX是一个分布式架构，在虚机旁边有一个NSX的agent，是一个分布式防火墙。通过这个防火墙，用户可以实现划定微分段。即使恶意软件攻克了微分段，只能影响微分段里的虚机，而不能访问其他虚机，隔绝了不必要的东西向流量。

  NSX现在对外主推的就是NSX-T，是最新Transformer版本，上一代的就是NSX-V，只支持vSphere。NSX-T既支持vSphere、支持KVM，又支持云端以及公有云操作系统。在NSX Data Center场景基础上，VMware又提供了一系列的安全手段，包括分布式防火墙、安全策略、NSX Intelligence、IDS、IPS等。NSX-T还可以动态地为容器提供安全保护，提供隔离的网络环境。并且，不管是虚拟机、物理机，还是云端，所有环境的网络安全措施都拥有一致性体验。

  第三块，工作空间安全，通过Workspace ONE和Carbon Black一起联合打造。Workspace ONE解决了哪些问题呢?以用户访问应用和数据为例，需要经历一长串的访问链条。首先，要通过智能终端、个人电脑设备登录，这些设备要在纳管范围内。用户要想登录，需要表明你的身份，系统要对用户的身份进行管理，这些都是 Workspace ONE的功能。此外，还要对数据传输进行管理，建立一个VPN安全通道，上面的数据需要加密，需要跟数据中心里的网络进行集成，跟NSX进行集成，最终为客户提供一个端到端的安全访问通道。在这一长串链条里，每一个环节强调的都是零信任。换言之，本质上，系统不信任任何访问请求，需要访问的话，每一步访问必须证明自己是一个合法的访问者，有权限来访问，这样才能做到零信任。大体来看，Workspace ONE通过因子访问、合并访问，还有数据丢失、应用管理等措施，让企业应用和数据的访问做到各个层面的安全。

  从端点层面做到安全防护，Carbon Black是一个很好的补充。Carbon Black提出了一个概念，叫做NGAV(next generation anti-virius)，是新一代的防病毒功能，其特点就是云原生，它的智能数据库就是建在云端。如果你的网络访问行为、应用行为或者软件行为不正常，它可以及时进行报警，并且采取相应的措施。

  第四块，云安全，这是一个新产品，叫做VMware Secure State。目前仅支持AWS和Azure两种公有云，只要拥有公有云帐号，就有访问的权限，然后看到对公有云服务、资源对象的整体分析。VMware Secure State跟市面上其他轮巡的安全服务不同，它的最大特色是基于事件的微清单 管理，是事件驱动，可以读到AWS和Azure里面的所有事件。比如：用户管理员登录上去，做了一个小小的改动，这个改动在云端会产生一个事件，会触发Secure State。通过这个事件我们会知道，你对这个虚机启动了某一个云端服务，它就会对云端的服务做一个相应的检查，然后会延伸，看看云端服务和其他服务是什么关系。这种服务模式大大的加速了Secure State对于安全威胁的响应。用户在任何时候，只要做了安全配置的修改，系统都能进行实时检查，并提醒用户采取相应的安全措施来进行修整，补上各种漏洞。

  总之，VMware内建于IT基础架构的原生安全解决方案，非常讲究方式方法，我们不能孤立地去看某一个应用、某一个对象，而是从整体上考虑现代化基础架构、应用及终端的安全性。不管是本地还是云端应用，各个对象之间都是相互关联的关系，任何一项服务被攻陷，都会出现一连串的连带反应。所以，选择覆盖所有工作负载和端点的安全解决方案，才能真正为企业信息安全保驾护航。