混合环境统一安全管理解决方案

混合环境统一安全管理解决方案

面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任

产品试用申请
混合环境统一安全管理解决方案

混合环境统一安全管理解决方案

面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任

产品试用申请

混合环境统一安全管理解决方案


安全挑战

 

 

当前,数字化浪潮正席卷各行各业,为满足日益迫切的弹性算力需求,云计算迎来迅猛发展和技术的快速迭代,新的基础架构、技术栈和供应商不断涌现。在数字化建设的不同历史阶段,企业则往往采用不同的技术方案构建云计算平台,在长期建设中形成了普遍的混合计算环境。例如,业务应用分布于公有云、私有云,云平台采用多种虚拟化架构(如Vmware、KVM、信创云等),应用系统则由不同类型的工作负载所承载(如实体服务器、虚拟机、容器等)。


基础设施架构巨变的同时,传统以边界为核心,域间隔离、域内全通的防护手段已无法适应新的威胁环境,对数据中心内部进行更为精细的访问控制势在必行。而受制于混合环境的复杂性,以及各类技术路线固有的特性,使得在混合环境下实施统一的微隔离控制遭遇有力挑战。

解决方案

 

 

基于混合环境数据中心微隔离统一管理的迫切需求,通过对各类微隔离技术路线进行深入探索研究,蔷薇灵动创新性采用“主机代理(Agent)”的微隔离技术路线,实现面向各类基础架构的全面兼容性,进而为混合环境数据中心提供统一、全局的微隔离控制解决方案。

主机代理(Agent)微隔离技术路线,通过在工作负载运行环境中部署轻量级的Agent,并驱动工作负载操作系统自带的主机防火墙程序实现“近站”侧的流量控制。由于策略执行点作用于工作负载的操作系统,因此可以极大规避部署位置、底层架构等对微隔离系统运行的影响,仅需通过与操作系统进行适配,即可实现较好的兼容性。同时,由于容器网络的转发通常采取复用其宿主机操作系统内核的方式,因此,基于主机代理的微隔离方案可天然支持对容器网络的管理。

 

除此之外,由于现代数据中心的工作负载规模庞大,且具有极强的动态伸缩特性,本方案采用Overlay的管理架构,基于安全计算中心对所有已纳管的工作负载进行业务属性标签化管理,通过标签建立脱离于主机名、IP等基础设施层的管理分层,实现对各类工作负载的统一管理,即无论工作负载部署于私有云、公有云,无论其运行于何种架构之上,无论其为实体服务器、虚拟机还是容器,均可在一个统一框架内实现无差别管理。

方案优势

 

 

基础架构无关

基于广泛的兼容适配能力,具备丰富的环境适应性。可支持私有云、公有云、混合云等数据中心统一管理。支持VMware、KVM等主流云架构,Kubernetes、Openshift、华为CCE、青云QKE等容器平台。适配Docker、CRI-O、Containerd等主流容器运行时,兼容Windows Server、主流Linux发行版、国产操作系统。 

系统影响小

采用全用户态设计及单向控制通信,可避免对系统内核的侵蚀和额外端口的开放,同时通过对多种连接关系、策略对象的多维智能聚合,在多项资源占用保护机制的全效协同下,可极大优化系统性能开销,降低产品带来的系统影响。                                                                                                                                                      

纳管规模大

通过分布式策略执行方式,可消除单点性能瓶颈,提升系统的整体健壮性,同时结合安全计算中心多种集群化的设计以及超强自适应策略计算引擎的算力支撑,可实现单集群3万点,超级集群10万点的超大规模工作负载纳管。                                                                                                                                                               

用户价值

 

 

安全能力与基础设施解耦

基于基础架构无关的特性及Overlay管理分层设计,实现面向业务、覆盖各类基础设施的统一管理。同时,可规避安全能力对云平台后期扩展、架构演进的制约。

一张视图实现全局纵览

基于全局工作负载流量学习能力,抽象绘制业务流量可视化拓扑,使管理者能够在一张视图中纵览复杂数据中心混合环境的内部流量。

一套策略实现全网统管

利用遍布全网的策略执行点,通过多维度标签化管理体系,使管理者能够使用一套策略框架,实现覆盖全网各类环境、架构、工作负载的统一策略管理。