На проходящей сейчас в Лас-Вегасе конференции VMworld 2017 компания VMware, как обычно, представляет главные анонсы новых продуктов и технологий этого года. Один из первых - объявление о новой технологии VMware AppDefense, которая представляет собой новую модель защиты приложений в виртуализованных и облачных средах. Кто помнит, о ней было еще объявлено на VMworld 2016 под рабочим названием Project Goldilocks.
AppDefense предназначена для организаций, которым требуется повышенный уровень защиты для приложений. Для защиты сетевого взаимодействия от атак типа уже есть техники на базе микросегментации со стороны решения VMware NSX (см. service insertion и guest introspection), а теперь вот и AppDefense будет реализовывать этот подход дальше, но уже на уровне приложений (естественно, при полной интеграции с vSphere и NSX). Также среди интеграций заявлены решения IBM Puppet, RSA & SecureWorks и другие.
Суть технологии AppDefense заключается в том, что она изучает нормальное поведение операционной системы и приложений при обычных условиях, а в случае выявления отклонений от этого состояния, оповещает об этом администратора и автоматически предпринимает некоторые шаги по защите окружения. Эти шаги можно оркестрировать, то есть управлять их составом и последовательностью. Вот какие действия можно предпринимать для скомпрометированного приложения:
Заблокировать сетевую коммуникацию конкретного процесса
Сделать снапшот виртуальной машины для последующего анализа
Отправить виртуальную машину с приложением в Suspend или выключить ее
По-сути, это whitelisting подход (добавление доверенных компонентов в список) вместо blacklisting (блокирование вредоносных компонентов). Надо отметить, что AppDefense работает на уровне гипервизора ESXi, поэтому до нее трудно дотянуться со стороны вредоносного ПО внутри виртуальных машин.
AppDefense не будет генерировать много алармов, но если ее аларм сработает - значит действительно произошло что-то серьезное, и администратору следует обратить на это внимание.
На данный момент технология AppDefense уже доступна для пользователей в США на базе годовой подписки, стоит это $500 в год на один процессор хост-сервера ESXi. Основная страница продукта находится по этой ссылке.