AppDefense应用安全解决方案概览

AppDefense是一种数据中心端点与应用安全产品，可将威胁检测和响应嵌入应用和数据所在的虚拟化层，具有非常好的洞察力和防御能力。AppDefense基于白名单策略来工作，相对于识别恶意行为的黑名单策略防御系统而言，可以更简单更精准地识别安全威胁。并提供多种安全威胁的响应方式。

AppDefense的核心组件只有三个，一个是位于云端的App Defense Cloud Manager，它是监控管理平台；一个是部署于本地数据中心的Appliance，作为本地代理，它主要负责数据的收集与传输，并与vCenter、NSX和vRA等组件建立连接；还有一个是主机和客户机模块，分别部署于ESXi虚拟化层和Guest OS之上。

AppDefense平台的主要功能：

应用控制- 可全面查看数据中心内的工作负载及其预期状态和允许的行为，并对这些工作负载进行分组；

运行时异常检测与控制- 监控操作系统、用户应用、警报和控制流程、网络以及内核事件的实时状态；

进程分析- 内置的进程分析引擎可提供整体进程恶意性评分，并显示潜在可疑的具体特征；

经过编排的修复- 可让用户全面了解虚拟基础架构以及客户机操作系统和应用体系，能够在出现安全事件时以更有效的方式编排具体的相关修复。

登录Manager界面后的第一件事就是添加或查看Appliance的配置和状态：

清单(Inventory) 页面可以看到当前由AppDefense管理的主机和虚拟机。

要对应用程序的行为进行精细化控制，需要设置Scope，即安全域或安全分区，每个Scope内部可以添加不同的应用、服务、成员，并可以配置不同的行为模式策略。

在部署应用后，AppDefense 还可以“学习”这些行为。创建好安全范围并将其应用到某个应用后，默认模式为“Learning Mode”（学习模式）。在此期间，系统会在应用运行时记录所有相关活动。

完成检查后，安全运维团队或应用所有者可以验证和/或修改这一预期活动主列表。确定最终预期状态后，系统会将安全范围置于“Protected Mode”（受保护模式）。安全范围移至此模式后，AppDefense 将使用允许的行为列表针对工作负载强制实施正确的安全环境和状况，以管控任何偏离该列表的行为。

在活动列表中，可以查看每一个应用的路径，哈希值，信誉记录和来源，以及被允许的行为和网络通讯，也可以根据需要对部分内容进行修改。

进程活动情况可以通过学习获得，如下图中SQL Server数据库进程和Python进程的活动情况就是通过学习得到的，包括CLI命令行和网络通讯等内容。

启用保护模式以后可以查看和配置安全控制规则，定义当检测到出站连接、入站连接、Guest OS完整性和AppDefense完整性出现违规时如何处理，在下面的例子中，我们将缺省配置更改为Guest OS完整性受到破坏时利用NSX的防火墙功能对该虚拟机进行隔离。

我们可以看到，与之对应的NSX组件，分别为安全标签(AppDefense.AnomalyFound，不可更改，由AppDefense自动添加到NSX)，安全组(自由定义，规则匹配安全标签)和防火墙规则(自由定义,源或目的地指定为安全组)。

下面我们将模拟一次攻击行为，对操作系统和AppDefense的完整性进行破坏。并检查AppDefense的防御效果。

回到AppDefense Manager界面，可以看到新产生的告警信息，表明AppDefense已经侦测到了这些攻击行为。请注意，ID为139的事件表明操作系统完整性已被破坏，但并未执行任何修复动作，因为我们之前配置为手工修复。

打开事件，可以看到右上角的隔离按钮，选择此按钮将虚拟机隔离。回到告警列表，可以看到此告警的修复状态变为Queued: Quarantine”（已排队：隔离）一两分钟后，此列将变为“Action taken: Quarantine”（已执行操作：隔离）

手工隔离之后，我们可以看到Db虚拟机被AppDefense加上了安全标签，因此它成为了隔离安全组的一员，再次尝试访问应用，Web页面可以显示，但登录系统失败，因为数据库服务器已经不能访问。管理员可以到安全标签页面中解除隔离，以恢复正常访问。

我们再回到Scope的定义与管理界面，查看Web-Tier中的应用程序定义，可以看到新旧两个版本应用程序的信息都被保留下来(哈希值不同)，因为旧的程序还可能仍在其他的位置使用，如果确定不再需要，也可以手工删除这部分内容。

以上结合了几个例子来介绍AppDefense的安全防护功能，今天的分享就是这些，谢谢大家。