VMworld 2017：偵測應用預期狀態、VM 新方案 AppDefense 阻截可能攻擊！

安全性在虛擬世界之中一直都是令人關注的議題，現時大家可通過由第三方提供的方案去協助提供防禦，不過剛剛在 VMworld 2017 之上，VMware 正式宣布將會推出主要保護執行於虛擬環境或雲環境的各種應用的方案 – VMware AppDefense。

該安全方案利用虛擬基礎架構，根據正執行的應用程式的預期狀態（intended state）進行監控，而且可以檢查企圖操縱應用程式的攻擊，並自動做出回應。VMware 今天還宣布與第三方解決方案的整合產品，他們將讓合作夥伴生態系統能充分利用 VMware AppDefense 的應用程式可視化（application visibility）和回應安排（response orchestration）。

VMware 安全產品資深副總裁 Tom Corn 表示：「安全事件頻率與成本不斷升高，代表原本僅重視追查威脅的安全模式有根本的缺陷。『AppDefense 具有基於意圖的安全模式，專注於應用程式應該做的（已知善意）而非攻擊者做的（已知惡意）。我們認為正如 VMware NSX 與微分段對網路所發揮的作用一樣，它對運算的意義重要，並為關鍵應用建構最低權限（least privilege）的環境。』

實現這種基於意圖的安全模式條件包括：

－應用與基礎架構配置逐漸自動化；
－採用的應用框架能提供關於預期狀態更豐富、更可信的視界；
－機器學習可推斷出大量人口的狀態與行為；
－虛擬化與雲端運算技術的廣泛使用，提供更多應用程式使用情境和隔離。

VMware vSphere 讓 AppDefense 有幾項獨特功能。首先，處於可以了解豐富應用程式情境的獨特位置，包括運行狀態和配置狀態。其二，利用 hypervisor 建立保護區，從中儲存預期狀態和監控運行（runtime）行為。其三，利用 vSphere和 NSX 來自動並安排回應。結果是 AppDefense 大幅減少攻擊面，使威脅識別和回應更有效率，並創建出更敏捷的開發維運（DevOps）友好型安全模式。

AppDefense 讓用戶能提高現有安全控制的效力。端點安全、安全訊息與事件管理（SIEM）以及安全營運中心分析（Security Operations Center Analytics）與 AppDefense 整合，獲得獨特的應用程式情境，充分利用虛擬基礎架構，實施修復並保護其自身在端點中的位置。託管的安全服務供應商可圍繞 AppDefense 建構新型資料中心，以及雲安全產品與服務。AppDefense 初期合作夥伴包括：

IBM Security：AppDefense 計畫與 IBM QRadar 安全分析平台整合，使安全團隊能理解並回應本地和雲環境（例如 IBM 雲）内的進階和內部威脅。該整合將透過 IBM Security App Exchange 以應用程式交付，為共同客戶提供對虛擬化工作負載更高可視化和控制，無須偏重於不同的安全工具，協助組織保護自身關鍵資料並保證合規。

RSA：RSA NetWitness Suite 將可與 AppDefense 互通（interoperable），將其用於企業虛擬資料中心內更深層的應用程式情境、自動回應/安排，以及應用程式攻擊可視化。RSA NetWitness Endpoint 與 AppDefense 互通，檢視可疑行為的過程，讓安全分析師或 AppDefense 管理員能在惡意行為更廣泛影響資料中心前，阻止這些行為。

CarbonBlack：AppDefense 將利用 Carbon Black 的信譽（reputation）訊息協助保護虛擬環境。安全團隊利用 Carbon Black 的信譽分類，可自動確定哪些行為需要額外驗證和哪些行為可以得到預先批准，進一步更快速地發出警示。信譽資料還允許軟體升級時自動更新清單，可顯著減少白名單中常見的誤報量。

SecureWorks：SecureWorks 正在開發一個充分利用 AppDefense 的新解決方案。該解決方案是 SecureWorks Cloud Guardian 组合的一部分，將在用戶的虛擬環境中實現安全監測、驗證和回應能力。該解決方案將利用 SecureWorks 的全球威脅情報，以及能協助組織將制定、調整和執行保護其虛擬環境的挑戰，轉交給具有近二十年管理服務經驗的專家團隊處理。

Puppet：Puppet Enterprise 與 AppDefense 整合，提供對預期虛擬機配置的可視化和深入見解，協助區分授權變更和惡意行為。