丁海驁

以智能交通、智慧城市、智慧醫(yī)療、智慧教育、智慧金融等為應(yīng)用場(chǎng)景的“新基建”，實(shí)際上是將“數(shù)字化”定義的范疇，從商業(yè)領(lǐng)域延伸到了整個(gè)社會(huì)的各個(gè)層面。而以數(shù)字定義全社會(huì)，雖然提供了中國(guó)經(jīng)濟(jì)模式向數(shù)字經(jīng)濟(jì)時(shí)代轉(zhuǎn)型的基礎(chǔ)，但是這種強(qiáng)調(diào)以互聯(lián)網(wǎng)、物聯(lián)網(wǎng)為紐帶，高度融合、彼此映射的現(xiàn)實(shí)與虛擬的關(guān)系，無(wú)疑在很大程度上提高了數(shù)字和信息對(duì)于維護(hù)整個(gè)社會(huì)秩序的作用——如果把數(shù)據(jù)中心時(shí)代的安全攻防戰(zhàn)比喻成冷兵器時(shí)代的戰(zhàn)爭(zhēng)，那么在全社會(huì)范圍內(nèi)的網(wǎng)絡(luò)化、數(shù)字化時(shí)代，數(shù)據(jù)安全攻防戰(zhàn)就相當(dāng)于核武器級(jí)別——因此，信息安全必須成為保障“新基建”成果的關(guān)鍵。

“現(xiàn)在的信息安全模式轉(zhuǎn)型，勢(shì)在必行。”傅純一，VMware大中華區(qū)高級(jí)產(chǎn)品經(jīng)理日前接受采訪時(shí)表示，傳統(tǒng)意義上，信息安全按照用戶響應(yīng)的過(guò)程被分為預(yù)告、阻止、檢測(cè)和響應(yīng)四個(gè)部分，而每一個(gè)部分，在安全市場(chǎng)里都對(duì)應(yīng)有很多技術(shù)、產(chǎn)品和服務(wù)提供商。即便如此，現(xiàn)在的信息安全系統(tǒng)和解決方案依然不足以應(yīng)付越來(lái)越復(fù)雜的“數(shù)字化社會(huì)”的需求，根本原因在于：現(xiàn)有的信息安全防護(hù)解決方案和產(chǎn)品的邏輯本身，存在很大的隱患。

“外掛、孤立和被動(dòng)，就是今天企業(yè)級(jí)信息安全防護(hù)的現(xiàn)狀。”傅純一強(qiáng)調(diào)：目前被應(yīng)用的信息安全措施，一般都是以外掛為主，往往是在基礎(chǔ)架構(gòu)、操作系統(tǒng)、應(yīng)用都構(gòu)建完成后，再在此基礎(chǔ)上通過(guò)一些第三方提供的解決方案來(lái)保護(hù)應(yīng)用和數(shù)據(jù)安全，通過(guò)外掛的形式整合到系統(tǒng)里面的。而“外掛方式”帶來(lái)的最大的問(wèn)題，是不同的產(chǎn)品、解決方案之間，各自獨(dú)立，甚至還可能會(huì)產(chǎn)生一些沖突，很難為用戶提供彼此配合、完整的安全體系?！按蠹叶贾滥就霸?，一個(gè)木桶的容量，取決于最短的一塊木板。同樣，企業(yè)的安全措施只要有任何一個(gè)環(huán)節(jié)有漏洞，那么整個(gè)安全體系就是有懈可擊的?！备导円煌瑫r(shí)認(rèn)為，過(guò)分強(qiáng)調(diào)被動(dòng)防護(hù)，是現(xiàn)在傳統(tǒng)信息安全領(lǐng)域在指導(dǎo)方針?lè)矫娴穆浜螅骸澳壳暗陌踩胧?，絕大多數(shù)都是被動(dòng)的。什么叫被動(dòng)呢？被動(dòng)就是：先要有攻擊手段，然后安全廠商才知道有這種安全手段存在，進(jìn)而才會(huì)被動(dòng)地推出相應(yīng)的防護(hù)措施?！?/p>

因此扭轉(zhuǎn)以往“外掛、孤立、被動(dòng)”的信息安全解決方案的產(chǎn)品邏輯和運(yùn)作模式，建立一個(gè)“內(nèi)建、整合、主動(dòng)”的信息數(shù)據(jù)安全理論和解決方案，對(duì)于保障整個(gè)社會(huì)的數(shù)字化轉(zhuǎn)型，即是傅純一強(qiáng)調(diào)的信息安全模式轉(zhuǎn)型“勢(shì)在必行”。

VMware構(gòu)建一個(gè)全新的“內(nèi)建、整合、主動(dòng)”的信息數(shù)據(jù)安全解決方案的理論基礎(chǔ)，是其“幫助企業(yè)跨任意云端、在任意設(shè)備上交付任意應(yīng)用”的愿景正在成為現(xiàn)實(shí)——在2019年VMware宣布收購(gòu)了Pivotal并進(jìn)而推出指向云原生的VMware Tanzu后，事實(shí)上VMware不僅已經(jīng)能夠?yàn)槠髽I(yè)用戶提供一個(gè)“從私有云到混合云、公有云，甚至邊緣云”的統(tǒng)一操作平臺(tái)；而且能夠?yàn)橛脩籼峁┌?gòu)建、部署、管理等全流程的跨云平臺(tái)應(yīng)用模式——這實(shí)際上就意味著VMware已經(jīng)有能力覆蓋企業(yè)所有IT基礎(chǔ)架構(gòu)，以及包括網(wǎng)絡(luò)、云端、客戶端、應(yīng)用等在內(nèi)的IT應(yīng)用場(chǎng)景。

而事實(shí)上，VMware在不斷拓展產(chǎn)品線和業(yè)務(wù)范圍的過(guò)程中，一直在每個(gè)環(huán)節(jié)都部署了相應(yīng)的信息安全解決方案：例如在傳統(tǒng)優(yōu)勢(shì)的VMware vSphere和NSX中內(nèi)置的安全策略，以及在2017年發(fā)布的面向數(shù)據(jù)中心端點(diǎn)安全解決方案AppDefense、2018年發(fā)布的云配置安全性與合規(guī)性服務(wù)VMware Secure State，以及2019年收購(gòu)的云原生端點(diǎn)保護(hù)平臺(tái)Carbon Black，和剛剛宣布要收購(gòu)的面向云原生環(huán)境的Octarine……

“VMware倡導(dǎo)的具有內(nèi)建、整合和主動(dòng)標(biāo)簽的信息數(shù)據(jù)安全解決方案，我們稱之為原生安全解決方案，它不應(yīng)該被理解為一個(gè)簡(jiǎn)單的產(chǎn)品，它其實(shí)也不是一個(gè)產(chǎn)品，而是在IT基礎(chǔ)架構(gòu)中，內(nèi)建的一整套的方法和工具：通過(guò)這些方法和工具，來(lái)保護(hù)這些平臺(tái)上運(yùn)行的所有的應(yīng)用和數(shù)據(jù)的安全?！备导円徽f(shuō)，VMware的專長(zhǎng)原本就是專注于為用戶提供基礎(chǔ)架構(gòu)，原本的安全技術(shù)和解決方案，就是與基礎(chǔ)架構(gòu)緊密融合的。因此從這一點(diǎn)上看，實(shí)際上所謂的“原生安全解決方案”，就是在VMware基礎(chǔ)架構(gòu)基礎(chǔ)上，將原有安全策略和解決方案進(jìn)行整合和統(tǒng)一梳理，“從而讓原生安全作為基礎(chǔ)架構(gòu)的一個(gè)有機(jī)構(gòu)成部分”，并覆蓋到包括基礎(chǔ)架構(gòu)平臺(tái)、端點(diǎn)設(shè)備、甚至應(yīng)用等各個(gè)層面上。

根據(jù)企業(yè)應(yīng)用IT基礎(chǔ)架構(gòu)的不同場(chǎng)景，VMware的“原生安全解決方案”被分成四類：端點(diǎn)和工作負(fù)載安全、網(wǎng)絡(luò)安全、工作空間安全和云安全。

“vSphere是VMware的計(jì)算平臺(tái)，同時(shí)也是業(yè)界最安全的企業(yè)計(jì)算平臺(tái)，因?yàn)樵趘Sphere上內(nèi)建了很多的安全措施?！贬槍?duì)四種應(yīng)用場(chǎng)景，傅純一介紹了分別對(duì)應(yīng)的不同的VMware安全解決方案，例如針對(duì)“端點(diǎn)和工作負(fù)載安全”，對(duì)應(yīng)的是vSphere和Carbon Black；網(wǎng)絡(luò)安全則是由傳統(tǒng)的VMware NSX Data Center解決方案來(lái)負(fù)責(zé)；工作空間安全場(chǎng)景由VMware Workspace ONE和Carbon Black來(lái)覆蓋；最后云安全部分，是由基于云端的VMware Secure State服務(wù)來(lái)滿足用戶安全需求。

“VMware的原生安全最突出的特點(diǎn)是內(nèi)建，同時(shí)，我們也試圖把所有的解決方案，根據(jù)安全模型整合到四個(gè)領(lǐng)域，或者通過(guò)把某一個(gè)領(lǐng)域的解決方案全部結(jié)合在一起，從而實(shí)現(xiàn)了整合的價(jià)值，讓用戶的整體解決方案：使用起來(lái)更加流暢，管理起來(lái)更加簡(jiǎn)便，各個(gè)環(huán)節(jié)之間的安全漏洞可以更少?！敝劣谧儽粍?dòng)為主動(dòng)，傅純一除了強(qiáng)調(diào)VMware的主動(dòng)安全防御工具AppDefense外，還認(rèn)為：要想變被動(dòng)為主動(dòng)，則系統(tǒng)就必要深入了解被保護(hù)對(duì)象的工作環(huán)境，掌握被保護(hù)對(duì)象的正常行為模式，當(dāng)惡意攻擊發(fā)生時(shí)就可以及時(shí)發(fā)現(xiàn)這些異常的行為，從而觸發(fā)相應(yīng)的應(yīng)對(duì)措施 （隔離、掛起、告警等）——顯然內(nèi)建、整合的安全防護(hù)系統(tǒng)，同樣為未來(lái)更廣泛的主動(dòng)防護(hù)提供了基礎(chǔ)和必要的系統(tǒng)支持。

寫(xiě)在最后

不久之前，VMware中國(guó)區(qū)總經(jīng)理王冰峰在一篇署名文章《跟隨新基建加速，穿越信息安全的迷霧》中，除了談到原生安全、大數(shù)據(jù)等話題外，其談到一點(diǎn)“安全服務(wù)”。 王冰峰認(rèn)為：科技的發(fā)展為黑客帶來(lái)更多攻擊手段，導(dǎo)致越來(lái)越多層出不窮的數(shù)據(jù)和隱私泄露等安全隱患。而問(wèn)題在于，企業(yè)不斷創(chuàng)新，黑客的技術(shù)卻如影隨行，甚至他們的工具和手段有時(shí)勝過(guò)企業(yè)和政府，可謂“防不勝防”。為此，王冰峰強(qiáng)調(diào)：專業(yè)的事情應(yīng)該交由交給專業(yè)的人來(lái)做，未來(lái)將會(huì)出現(xiàn)更多專業(yè)的安全公司，負(fù)責(zé)信息安全的各個(gè)核心解決方案。而政府出于管理需要，也需要考慮建立專業(yè)的安全技術(shù)機(jī)構(gòu)，幫助企業(yè)解決安全性問(wèn)題。