VMware公司已经展示了其Goldilocks项目的原型设计，这也正式印证了其长久以来一直暗示的，正在开发一款新型安全方案的计划。

　　VMware公司Goldilocks项目原理示意图。

其设计灵感源自NSX网络虚拟化产品创建网络"微分区"的能力，即将虚拟网络隔离于网络内其余部分之外，从而建立起"最低权限环境"，即仅允许策略中所设定的必要权限。微分区的流行让VMware颇感意外，但用户则乐于借此创建自己的虚拟网络，并确保其无法为外部人士所接入及访问。另外，由于全部微分区皆以虚拟化方式存在，因此即使攻击者成功入侵，其亦可被随时关闭。

VMware公司的安全计划同样采用微分区设计，并利用相关概念保护计算与数据资产。

VMware公司安全产品高级副总裁Tom Corn在本届VMworld大会的主题演讲中对此进行了解释。在长达一个小时的演讲中，Corn表示端点安全在最近几年甚至是过去十年当中，已经成为一大重要挑战。尽管端点安全仍然拥有一定程度的保障，但Corn表示随着安全环境的日趋复杂，目前的安全方法已经难以应对各类最新威胁。一部分管理策略相当简单--例如Web服务器不需要与存储服务器进行通信--但当应用跨数据中心边界运行并触及其它资源时，则会给策略的具体实施带来更多复杂性因素。Corn表示，这种复杂性意味着防火墙有时候需要运行2万多条规则方能实现必要保障。

Goldilocks项目要求应用程序在处于"黄金状态"时提供"出生证明"。这份证明当中应包含该应用程序的全部授权行为，具体列出预期内的可执行文件、网络基础设施应用方式、将用于接入网络的具体端口乃至其它一切与应用程序状态相关的因素。

VMware公司随后会立足于虚拟机管理程序内核当中对全部预期行为进行监控。之所以选择内核作为监控立足点，是因为其属于不同于主机或者访问虚拟机的可信域。Corn指出，如果不与攻击者所处的可信域保持一致，安全人员将很难检测其恶意活动并加以阻止。

以虚拟机管理程序内核为制高点，Goldilocks项目会监控Corn提出的所谓全部虚拟机"出生证明"的相关"清单"，同时提供"证明服务"以监控访客操作系统内核、进程以及通信。如果虚拟机发生未经清单解释的行为，则Goldilocks将立即给出警告！

以下为Goldilocks项目演示资料中的虚拟机报告控制台。

　　下图则为所产生报告内容的特写。

下图为流程的下一步骤：一旦系统管理员或者其他相关人员在安全运营中心内接到与预期外行为相关的警报，他们可利用多种选项检查、强化或者介入虚拟机运行流程。

Corn同时指出，VMware公司希望利用类似的方案实现数据保护，即同样对数据性质及其预期使用方式进行描述与证明，而后再利用其它强制性策略对其进行加密或者采取其它保护手段，从而更加安全地实现数据网络传输。

当你拥有一把锤子……

古话说得好，当你拥有一把锤子，那么一切看起来都像是外子。这句俗语用来形容VMware真是再贴切不过了。作为虚拟巨头，VMware公司显然是打算用虚拟化解决一切问题。

不过Corn的观点确实非常有趣，因为目前的大多数计算基础设施在构建时仍采取先开放再保护的设计思路。虚拟机管理程序能够提供更具约束力的运行环境。因此也许VMware真的能够在这一领域有所作为。

不过Corn并没有提到Goldilocks项目何时才会以产品形式正式发布。但从演示视频中的实际运行代码来看，VMware公司明显已经走上了产品发布的正轨。我们将进一步关注其销售方式与具体上市时间。