其实“不打不相识”的故事在江湖上早已司空见惯,但是在商业世界中却不多见。去年10月就有人爆料, VMware云计算(和360将酝酿一次大的商业合作,果然,2018年1月30日,两家公司宣布重大技术合作。首先进入故事之前,接下来我们就先介绍一下两位主角:
360大家都认识,自不必多说。考虑有些朋友较少关注云计算及相关产业,这里简单介绍一下VMware。VMware是戴尔的子公司,最近正考虑和戴尔合并,以帮助戴尔上市。
它的市值高达510亿美元,强大却又低调。但凡你能想到的大型国企、银行、部委,比如工商银行、中石油、国家电网、中国海关,基本上都是 VMware的客户。即便在全球虚拟化市场,VMware也长期霸占绝对的统治地位。
(VMware)
“虚拟化”是做什么的?这里用冷藏库来做个简单科普:有一天,冷藏库的面包有了龙虾味,肉有了榴莲味,没错,窜味儿了。这时一个叫 VMware的泥瓦匠跑过来,帮你把冰库划分很多小库房,每个库房都相当于独立的小冷藏库。从此,你再也不用担心窜味儿了,并且每个小冷藏库都能独立控制温度,互不影响。
在这个例子里,冷藏库就是物理服务器,制冷机就是操作系统(Windows、Linux),小库房就是 VMware利用虚拟化技术模拟出来的空间。简而言之,VMware的虚拟化技术能让你在一台物理机上运行很多个虚拟机且互不影响,极大提高机器利用率和安全性。
虚拟化技术对云计算的意义重大,因为云计算本身就是把一个巨大无比的服务资源划分成很多小空间来使用,虚拟化在其中是最基础的软件设施。由此,VMware在云计算行业的角色很重要,有点像 PC时代的微软。
第一次“回眸”
其实是发生在2016年3月的某个安全峰会上。360工程师展示的议题“利用模糊测试发现逃逸漏洞”引起了 VMware工程师的注意。不过,当时他们并没预料自家虚拟机的壁垒会被黑客攻破,因为7年来从未有人公开突破它的安全防护,以至于VMware成了“不败神话”,让全世界黑客汤望之兴叹。
当月,世界级黑客破解大赛 Pwn2Own开办,里头新增了一个 VMware虚拟机项目,破解分数高达13分位居榜首,所有参赛选手开始研究这个项目。据360工程师唐青昊回忆,那时正值中国的春节,一帮小伙伴们为了搞定这个项目,过年期间都在家抱着电脑,别人噼里啪啦放炮仗,他们噼里啪啦敲代码。
可惜,最后由于 VMware安全确实做得不错,加上准备时间过于仓促,最终不得不放弃该项目,白忙和了一阵。那次比赛也没有任何其他队伍成功破解 VMware ,甚至连报名的都没有。从此 360和 VMware结下了“梁子”。
几个月后,另一场黑客破解大赛 PwnFest 2016开办,唐青昊身处于VMware Workstation虚拟机中,他只运行了一个特殊的程序,片刻,宿主机器弹出了一个计算器程序 ,“不败神话”落幕。
虚拟机里的用户穿透安全壁垒逃逸到宿主机器,以上帝视角俯瞰并威胁着宿主机以及上面的其他虚拟机。随后几天,我猜 VMware工程师们忙得不可开交,不到5天就为旗下所有受该漏洞影响的产品紧急推出安全补丁,这补漏速度比谷歌苹果都快。
同时,他们不忘公开鸣了破解者,其中就有360。(现场还有一个韩国黑客也完成破解,不在本文讨论范畴)
本以为事情到此为止,没想到半年后的 Pwn2Own 2017上 VMware又遭破解,又是360的团队,并且漏洞不仅影响 VMware旗下的个人端产品,还影响广泛应用于企业级服务器市场的 ESXi。又是不到一周,VMware官方紧急发布公告表示已火速修复相关漏洞,再次向 360公开致谢并“示爱”,称赞其是 VMware安全领域的“开路者”。
两次破解直接促成了两家公司的合作,这种说法显然太过草率。但那两次交手至少让 360吸引到 VMware的注意,为之后的牵手创造了一些契机。就像小说开头两位江湖高手在客栈两次碰面和交锋,为后面的故事埋下伏笔。
第一次牵手成功
破解大赛就发生在3月底,4月, VMware全球老大帕特·基辛格就造访了360。不得不说,这个时间点挺巧。10月,VMware在北京举行云计算与虚拟化领域的 vFORUM大会,360是铂金赞助商,360企业安全集团总裁吴云坤位列演讲者之列。仅仅过了6个月,这两家公司似乎已经进入“我中有你你中有我”的热恋期。似乎正要酝酿深度合作。
然而相爱简单相处难,商业合作毕竟不是温馨的请客吃饭,两家公司的合作若要长久,还得讲究长期的共同利益。360和VMware能相互提供什么帮助,以至于最终走到一起?这得从 VMware在中国的境遇说起。2016年4月,VMware CEO基辛格带着销售人员去趟长城拍了张照。他说,“我希望1000年以后大家会看到,我们这么早的时候就已经非常关注中国市场了。”
VMware确实一直关注中国市场,早在10年前就已进入中国市场。但由于其外企身份,不免收到政策上的掣肘,在大型央企、政府、公安等行业,始终有一部分市场份额始终难以触及。“自主可控”四个字是几乎所有技术型外企需要面临的难题,不止是 VMware,连微软都是如此,为了拿下中国政府市场,微软专门跟一家中国国营技术和国防企业联合制作“ Windows 10特供版”,可谓用心良苦。
寻找一些比较靠近央企、政府、公安部门的,完全没有外资背景的中国本土公司来合作,是大多数 IT外企解决自主可控问题的路数。VMware也不例外, 2016年和中科曙光公司合资成立了一家公司,后者出身自中科院,可谓“根正苗红”。在网络安全方面,VMware需要按照信息安全有关法律条例,找一个靠谱的本土安全厂商作为“云监管平台”。
这就好比盖一栋楼,承建单位需要由另一个监理单位来监督,共同协作才能让用户的权益得到保障。对于 VMware来说,如果没有这个“监理方”,就很难拿下中国大客户。谁来当这个“监理方”?这时360出现了。小伙默默晒出自己的房产证和车钥匙,一下子俘虏了姑娘的芳心 --以下是360企业安全这几年的成绩:超过80%的中央部委采用360的产品和解决方案,包括海关总署、国税总局、最高检、最高法、公安部等等。超过60%的大型央企全面采用360的产品,包括中石化、中石油、国家电网等。超过90%大型商业银行深入使用360的产品和解决方案,包括人民银行、建行、交行、招行、工行等。
除了业务做得好,360这个小伙还“根正苗红”。国企和部委对于云监管平台有一个默认的要求,需要自主可控的纯中国公司,不能有外资背景。从这一点上看,BAT之类的就都不合格了,而 2016年从美国退市的 360,是一家纯中资公司,完全符合 VMware的“择偶标准”。
一旦双方形成合作,VMware便可借助其本土优势进驻大型央企、政府,以及公安等很多行业当中,为它们做私有云等更多服务。而 360则可以依托 VMware在私有云和虚拟化市场的地位,顺势推广自己的云安全解决方案,可谓双赢。只是因为在人群中多看了一眼,从此没能忘掉你容颜。360和VMware走到一起,顺理成章又门当户对。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明,否则将追究法律责任。https://blog.kokojia.com/joleen1006/b-1580.html