VMware展示了上图——Goldilocks项目的工作系统模型——它秘密开发的一个新型安全方案。
这个新的理念受NSX网络虚拟产品建立网络“微分段”能力的启发——在一个“最小权限环境”中将虚拟网络与外界网络隔离,仅允许遵从法规进行通信。微分段的普及出乎VMware的意料,但用户喜欢这种方式——能让它们建立无法与外界接触的虚拟网络,因为通信受限也就意味即便非法入侵,也是有来无回。而且因为微分段都是虚拟的,当入侵者进入后它们可以被删除。”
VMware的安全计划反复出现了微分段,并将其概念带入到保护计算和数据中。
VMWare安全产品资深副总裁,Tom Corn在VMworld大会期间(该演讲恰好与Michael Dell的一场新闻发布会时间重叠,之后也没有重申,直至近日才有演讲视频流出)解释了这一理念。(文章末尾附视频地址)
以下是在Goldilocks测试版中控制台如何关于虚拟机作出报告:
goldilocks产生的报告特写:
然后接下来发生的情况——一旦系统管理员或是安全运维中心的小伙伴们收到关于未知运行情况的警报,它们将选择进行隔离,强化或以其他方式介入虚拟机的操作。
视频传送门,已测试可打开:http://vmware.mediasite.com/mediasite/Play/95d689c2ecfc4e11bb199bca1ab61f811d?catalog=dbf1ec28-2557-4dd3-a381-e5fe4ceabc40