丁海驁

以智能交通、智慧城市、智慧醫(yī)療、智慧教育、智慧金融等為應(yīng)用場景的“新基建”，實際上是將“數(shù)字化”定義的范疇，從商業(yè)領(lǐng)域延伸到了整個社會的各個層面。而以數(shù)字定義全社會，雖然提供了中國經(jīng)濟模式向數(shù)字經(jīng)濟時代轉(zhuǎn)型的基礎(chǔ)，但是這種強調(diào)以互聯(lián)網(wǎng)、物聯(lián)網(wǎng)為紐帶，高度融合、彼此映射的現(xiàn)實與虛擬的關(guān)系，無疑在很大程度上提高了數(shù)字和信息對于維護整個社會秩序的作用——如果把數(shù)據(jù)中心時代的安全攻防戰(zhàn)比喻成冷兵器時代的戰(zhàn)爭，那么在全社會范圍內(nèi)的網(wǎng)絡(luò)化、數(shù)字化時代，數(shù)據(jù)安全攻防戰(zhàn)就相當于核武器級別——因此，信息安全必須成為保障“新基建”成果的關(guān)鍵。

“現(xiàn)在的信息安全模式轉(zhuǎn)型，勢在必行?！备导円?，VMware大中華區(qū)高級產(chǎn)品經(jīng)理日前接受采訪時表示，傳統(tǒng)意義上，信息安全按照用戶響應(yīng)的過程被分為預(yù)告、阻止、檢測和響應(yīng)四個部分，而每一個部分，在安全市場里都對應(yīng)有很多技術(shù)、產(chǎn)品和服務(wù)提供商。即便如此，現(xiàn)在的信息安全系統(tǒng)和解決方案依然不足以應(yīng)付越來越復(fù)雜的“數(shù)字化社會”的需求，根本原因在于：現(xiàn)有的信息安全防護解決方案和產(chǎn)品的邏輯本身，存在很大的隱患。

“外掛、孤立和被動，就是今天企業(yè)級信息安全防護的現(xiàn)狀。”傅純一強調(diào)：目前被應(yīng)用的信息安全措施，一般都是以外掛為主，往往是在基礎(chǔ)架構(gòu)、操作系統(tǒng)、應(yīng)用都構(gòu)建完成后，再在此基礎(chǔ)上通過一些第三方提供的解決方案來保護應(yīng)用和數(shù)據(jù)安全，通過外掛的形式整合到系統(tǒng)里面的。而“外掛方式”帶來的最大的問題，是不同的產(chǎn)品、解決方案之間，各自獨立，甚至還可能會產(chǎn)生一些沖突，很難為用戶提供彼此配合、完整的安全體系?！按蠹叶贾滥就霸?，一個木桶的容量，取決于最短的一塊木板。同樣，企業(yè)的安全措施只要有任何一個環(huán)節(jié)有漏洞，那么整個安全體系就是有懈可擊的?！备导円煌瑫r認為，過分強調(diào)被動防護，是現(xiàn)在傳統(tǒng)信息安全領(lǐng)域在指導(dǎo)方針方面的落后：“目前的安全措施，絕大多數(shù)都是被動的。什么叫被動呢？被動就是：先要有攻擊手段，然后安全廠商才知道有這種安全手段存在，進而才會被動地推出相應(yīng)的防護措施?！?/p>

因此扭轉(zhuǎn)以往“外掛、孤立、被動”的信息安全解決方案的產(chǎn)品邏輯和運作模式，建立一個“內(nèi)建、整合、主動”的信息數(shù)據(jù)安全理論和解決方案，對于保障整個社會的數(shù)字化轉(zhuǎn)型，即是傅純一強調(diào)的信息安全模式轉(zhuǎn)型“勢在必行”。

VMware構(gòu)建一個全新的“內(nèi)建、整合、主動”的信息數(shù)據(jù)安全解決方案的理論基礎(chǔ)，是其“幫助企業(yè)跨任意云端、在任意設(shè)備上交付任意應(yīng)用”的愿景正在成為現(xiàn)實——在2019年VMware宣布收購了Pivotal并進而推出指向云原生的VMware Tanzu后，事實上VMware不僅已經(jīng)能夠為企業(yè)用戶提供一個“從私有云到混合云、公有云，甚至邊緣云”的統(tǒng)一操作平臺；而且能夠為用戶提供包括構(gòu)建、部署、管理等全流程的跨云平臺應(yīng)用模式——這實際上就意味著VMware已經(jīng)有能力覆蓋企業(yè)所有IT基礎(chǔ)架構(gòu)，以及包括網(wǎng)絡(luò)、云端、客戶端、應(yīng)用等在內(nèi)的IT應(yīng)用場景。

而事實上，VMware在不斷拓展產(chǎn)品線和業(yè)務(wù)范圍的過程中，一直在每個環(huán)節(jié)都部署了相應(yīng)的信息安全解決方案：例如在傳統(tǒng)優(yōu)勢的VMware vSphere和NSX中內(nèi)置的安全策略，以及在2017年發(fā)布的面向數(shù)據(jù)中心端點安全解決方案AppDefense、2018年發(fā)布的云配置安全性與合規(guī)性服務(wù)VMware Secure State，以及2019年收購的云原生端點保護平臺Carbon Black，和剛剛宣布要收購的面向云原生環(huán)境的Octarine……

“VMware倡導(dǎo)的具有內(nèi)建、整合和主動標簽的信息數(shù)據(jù)安全解決方案，我們稱之為原生安全解決方案，它不應(yīng)該被理解為一個簡單的產(chǎn)品，它其實也不是一個產(chǎn)品，而是在IT基礎(chǔ)架構(gòu)中，內(nèi)建的一整套的方法和工具：通過這些方法和工具，來保護這些平臺上運行的所有的應(yīng)用和數(shù)據(jù)的安全?！备导円徽f，VMware的專長原本就是專注于為用戶提供基礎(chǔ)架構(gòu)，原本的安全技術(shù)和解決方案，就是與基礎(chǔ)架構(gòu)緊密融合的。因此從這一點上看，實際上所謂的“原生安全解決方案”，就是在VMware基礎(chǔ)架構(gòu)基礎(chǔ)上，將原有安全策略和解決方案進行整合和統(tǒng)一梳理，“從而讓原生安全作為基礎(chǔ)架構(gòu)的一個有機構(gòu)成部分”，并覆蓋到包括基礎(chǔ)架構(gòu)平臺、端點設(shè)備、甚至應(yīng)用等各個層面上。

根據(jù)企業(yè)應(yīng)用IT基礎(chǔ)架構(gòu)的不同場景，VMware的“原生安全解決方案”被分成四類：端點和工作負載安全、網(wǎng)絡(luò)安全、工作空間安全和云安全。

“vSphere是VMware的計算平臺，同時也是業(yè)界最安全的企業(yè)計算平臺，因為在vSphere上內(nèi)建了很多的安全措施?！贬槍λ姆N應(yīng)用場景，傅純一介紹了分別對應(yīng)的不同的VMware安全解決方案，例如針對“端點和工作負載安全”，對應(yīng)的是vSphere和Carbon Black；網(wǎng)絡(luò)安全則是由傳統(tǒng)的VMware NSX Data Center解決方案來負責；工作空間安全場景由VMware Workspace ONE和Carbon Black來覆蓋；最后云安全部分，是由基于云端的VMware Secure State服務(wù)來滿足用戶安全需求。

“VMware的原生安全最突出的特點是內(nèi)建，同時，我們也試圖把所有的解決方案，根據(jù)安全模型整合到四個領(lǐng)域，或者通過把某一個領(lǐng)域的解決方案全部結(jié)合在一起，從而實現(xiàn)了整合的價值，讓用戶的整體解決方案：使用起來更加流暢，管理起來更加簡便，各個環(huán)節(jié)之間的安全漏洞可以更少?！敝劣谧儽粍訛橹鲃?，傅純一除了強調(diào)VMware的主動安全防御工具AppDefense外，還認為：要想變被動為主動，則系統(tǒng)就必要深入了解被保護對象的工作環(huán)境，掌握被保護對象的正常行為模式，當惡意攻擊發(fā)生時就可以及時發(fā)現(xiàn)這些異常的行為，從而觸發(fā)相應(yīng)的應(yīng)對措施 （隔離、掛起、告警等）——顯然內(nèi)建、整合的安全防護系統(tǒng)，同樣為未來更廣泛的主動防護提供了基礎(chǔ)和必要的系統(tǒng)支持。

寫在最后

不久之前，VMware中國區(qū)總經(jīng)理王冰峰在一篇署名文章《跟隨新基建加速，穿越信息安全的迷霧》中，除了談到原生安全、大數(shù)據(jù)等話題外，其談到一點“安全服務(wù)”。 王冰峰認為：科技的發(fā)展為黑客帶來更多攻擊手段，導(dǎo)致越來越多層出不窮的數(shù)據(jù)和隱私泄露等安全隱患。而問題在于，企業(yè)不斷創(chuàng)新，黑客的技術(shù)卻如影隨行，甚至他們的工具和手段有時勝過企業(yè)和政府，可謂“防不勝防”。為此，王冰峰強調(diào)：專業(yè)的事情應(yīng)該交由交給專業(yè)的人來做，未來將會出現(xiàn)更多專業(yè)的安全公司，負責信息安全的各個核心解決方案。而政府出于管理需要，也需要考慮建立專業(yè)的安全技術(shù)機構(gòu)，幫助企業(yè)解決安全性問題。