傳統(tǒng)環(huán)境下重要數據都保存在數據中心中，安全模型都是采用網絡為中心的防護，基于邊界的安全理念，那么一旦邊界被攻破，安全威脅就會在數據中心內部橫向的蔓延。在多云的時代，我們的應用運行在全球的各個數據中心里，我們應該轉變思路，并以數據和應用為中心來建立一個多云防護的安全理念，運用持續(xù)評估和動態(tài)訪問策略，建立主動的自動化防御能力。

　　隨著分布式應用以及容器化應用的部署，有超過 80% 的流量都是數據中心內部的流量，這些流量包括應用內部不同層以及應用之間的調用流量，這些流量很有可能夾雜著一些攻擊的流量。數據中心內的其中一個應用被攻破之后，惡意軟件和威脅也會在云內以及云間進行橫向移動，最終整個數據中心都受到了安全的威脅。那么如何阻止這些行為的發(fā)生，如何阻止威脅的橫向蔓延，如何構建一個網絡拓撲無關的安全防護體系是我們接下來要討論的話題。

　　我們可以通過 NSX 新一代的網絡安全防御平臺來提供云內的安全防護，尤其是東西向流量的安全保護。VMware 早在 7 年前就開始提供了分布式防火墻以及微分段的技術，這些年一直不斷的創(chuàng)新，提供了一個 L4 - L7 的狀態(tài)化防火墻，現在演進為一個服務定義的防火墻，它專門用于跨虛擬機、祼金屬服務器、云以及容器來檢測和防御東西向的安全威脅。

　　VMware 現在擁有全套先進的威脅檢測功能，包括一項新的沙箱技術、網絡流量分析以及強大的管理和分析框架。在方案中，我們有集中的管理和分析層，具有多站點多云的安全管理功能，通過 NSX Federation 在多數據中心多云環(huán)境中提供統(tǒng)一的安全視圖，同時通過 NSX Intelligence 提供自動化的應用拓撲映射和安全策略的制定。

　　NSX 防火墻的核心功能集是訪問控制，通過 NSX 防火墻可以減小攻擊面。它有兩種形式，一種是上圖左側的分布式防火墻，采用了分布式的架構，上圖右邊是網關防火墻。大多數人可能都知道，分布式防火墻本質上是一個透明的 4 層到 7 層的防火墻，它直接應用于工作負載的網絡接口，并在 hypervisor 的內核中運行。NSX 分布式防火墻可以實現虛擬機、裸金屬服務器以及容器的安全隔離，實現一體化的管理，同時，如果使用分布式防火墻的話，我們只要簡單的把分布式防火墻直接插入到 hypervisor 的內核中，而不需要改變物理網絡的架構，同時還可以基于虛擬機的屬性，比如虛擬機的名稱、虛擬機的標記來實現動態(tài)的安全組。

　　其次我們再看一下網關防火墻，網關防火墻與分布式防火墻不同，分布式防火墻相當于透明式的防火墻，而網關防火墻必須位于網絡的路徑中，網關防火墻更多的是用于租戶之間以及南北向的網絡流量，網關防火墻通常要部署在 T0 或 T1 的路由器上，T0 或 T1 的路由器要關聯到 Edge 上。

　　除了分布式防火墻、網關防火墻外，NSX 還提供了更高級的安全威脅檢測和響應能力，它提供了最強的數據中心防御能力。

　　分布式的 IDS/IPS，基于最新的以及動態(tài)生成特征庫準確地識別安全威脅并且提供了對已知的的攻擊防御能力。

　　網絡沙箱，它能過全系統(tǒng)仿真沙箱技術深入的了解應用程序的行為，分析檢測和阻止未知的安全威脅。

　　NTA，網絡流量分析，它利用了人工智能和以威脅為中心的模型來檢測網絡中僅靠特征庫無法檢測的惡意活動，比如說端口掃描等。

　　分布式 IDS/IPS、網絡沙箱和 NTA 組件都會產生與單個主機相關的告警，這些告警信息也會關聯到 NDR 引擎，通過這些告警的聚合，為安全分析人員提供一個高級的威脅檢測和響應能力。

　　那我們先看一下 NSX 分布式 IDS/IPS。傳統(tǒng)的 IDS/IPS 以及分析的平臺部署全部采用集中式的部署，而且需要通過流量鏡像的方式把應用的流量鏡像到 IDS 上。而 IPS 接到網絡中，我們還要考慮如果將流量通過路由的方式引到 IPS 設備上去。另外，傳統(tǒng)的 IDS/IPS 都是采用硬件來部署，一方面由于流量要集中到 IDS 和 IPS，所以 IDS/IPS 可能會產生性能上的瓶頸，如果要增加性能，就要將現有的 IDS/IPS 替換成能力更強的設備。由于都是硬件設備，所以部署這些安全設備，需要額外的機房空間、電力以及制冷系統(tǒng)，還要定期地對這些硬件設備進行巡檢。而 NSX 分布式 IDS/IPS 采用分布式架構，直接將 IDS/IPS 應用到 hypervisor 層，而且提供了豐富的入侵日志并提供宿源的能力。如下圖所示：

　　

　　上圖是 NSX 分布式 IDS/IPS 威脅事件的可視化界面。在這個界面上可以顯示所有的攻擊的行為。我們看到，這里有很多的點，點的大小和顏色代表的威脅的嚴重的程度，如果有的點在不停的閃爍的話，代表在那個時間點有攻擊行為發(fā)生。那我們看一下圖的上部，這里邊可以過濾我們要查看的事件，我們可以選擇極高風險、高風險等不同級別的事件進行查看。在入侵細部分，我們看到了攻擊的日志，我們從這個圖上可以看到非常詳細的信息，這些信息包括攻擊的來源，攻擊的目的 IP，以及攻擊的方式，還有攻擊的類型，匹配的特征碼以及這個攻擊行為影響的虛擬機等信息，在右下角，我們看到了柱狀圖，柱狀圖的顏色代表了哪些是被檢測到的攻擊哪些是被阻止的攻擊類型。

　　IDS/IPS 更多的是基于特征庫的安全防護，多數為已知的安全威脅，那么對于那些未知的安全威脅，該如何提供安全防御的能力呢。接下來介紹一下通過全系統(tǒng)仿真沙箱技術。

　　

　　VMware 的沙箱的特點是它使用了一個完整的系統(tǒng)仿真分析應用，這使我們能夠看到應用內部的進程執(zhí)行情況。而傳統(tǒng)的沙箱只能看到應用程序和底層操作系統(tǒng)的調用。也就是說，傳統(tǒng)的沙箱將應用程序看作為一個黑匣子，黑匣子里邊發(fā)生了什么，我們不知道。而 VMware 的沙箱技術可以打開這個黑匣子，看到這個黑匣子內部的一些行為。在上圖中橙色的部分，我們看到應用程序正在檢查是否有沙箱的存在，如果檢查到了沙箱的存在，它就會執(zhí)行指定規(guī)避這個檢查。通過這種額外的可視性，很明顯我們更容易檢測到逃逸的行為。通過這個全系統(tǒng)仿真沙箱，我們對應用程序的行為更加深入地理解，更容易發(fā)現惡意的軟件以及安全風險。

　

　　接下來讓我們來詳細地看一看 NTA 網絡流量分析組件。我們在 NTA 中使用了人工智能建立的模型來檢測惡意的網絡流量。為檢測到惡意的網絡流量，可以通過以下兩個步驟來去實現：第一步，所有的網絡流量使用非監(jiān)督式的機器學習模型識別網絡中的異常流量，并且把這些異常的流量與正常的流量區(qū)分開，但這還不夠，因為并不是每一個異常現象都是一種威脅，在第二步中，我們對異常的流量使用以威脅為中心的機器學習模型，這些模型允許我們能夠識別真正的威脅，并且減少誤報。

　　那么，在這里我們以威脅為中心的機器學習模型使用了監(jiān)督式的機器學習，那如何去訓練他們呢？我們在這里可以通過沙箱每天分析的數百萬個樣本來去訓練他們。

　　在整體方案之上，VMware 還提供了集中的策略分析和策略推薦引擎，通過對惡意的行為分析，提供整體的安全事件響應清單。vRNI 和 NSX intelligence 提供了應用的拓撲發(fā)現以及策略的推薦，為安全團隊提供安全行為分析和策略的推薦，簡化多云環(huán)境下的安全運維管理。

　　為滿足多云時代網絡和安全的需求，NSX 高級安全威脅和防御平臺可以為任意類型的工作負載提供安全防御能力，通過 NSX 防火墻減小攻擊面，通過分布式 IDS/IPS 以及網絡沙箱對已知以及未知的惡意行為進行檢測和阻止，實現了在多云時代零信任的安全。