数据中心东西向流量管控解决方案

数据中心东西向流量管控解决方案

面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任

产品试用申请
数据中心东西向流量管控解决方案

数据中心东西向流量管控解决方案

面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任

产品试用申请

数据中心东西向流量管控解决方案


安全挑战

 

 

随着云计算由大规模基础设施建设进入行业深化应用阶段,数据中心基础架构的巨变引发了安全管控能力与新型基础设施安全需求的脱节。

 

研究表明,云化数据中心中有75%的网络流量均发生于其内部,由工作负载间的横向连接而产生。对于侧重边界防护、面向基础设施、主要针对南北向流量进行管控防护的传统安全技术而言,东西向流量已然成为难以覆盖的“空白地带”。

 

“隔离”技术是最早、最基础、也是最为核心的安全技术手段之一。在过往实践中,通常会在数据中心内部划定物理边界,并利用防火墙系统实现分域而治。然而,在东西向流量剧增的技术背景下,域间控制、域内全通的模式显然已无法满足细粒度、精细化的管控要求。

 

此外,在强调弹性、敏捷的云化数据中心,海量工作负载往往随业务变化动态迁移,基于IP的静态策略依靠人工不可运维,使原本就受到局限的访问控制措施不得不采用“大段放通”的方式,进一步削弱了数据中心的管控力度。

解决方案

 

 

微隔离技术也称为“基于身份的分段(Identity-Based Segmentation)”,区别于传统基于防火墙的安全域隔离,其基于工作负载身份,通过访问控制策略或加密规则,对位于本地或云端数据中心的工作负载(物理机/虚拟机/容器等)进行细粒度隔离和精细化访问控制。

 

通过部署蔷薇灵动蜂巢自适应微隔离安全平台,并基于“零信任五步法”实施安全策略,能够对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,有效帮助用户解决云内流量不可视、不可控的难题。

“零信任五步法”是行业公认的零信任理念落地方法,也是切实可行的微隔离实施方案,包括定义、分析、设计、防护和运维5个关键阶段。

  • 定义阶段:完成蜂后安全计算中心(QCC)部署,并利用运维平台批量完成蜂群安全管理终端(BEA)在工作负载操作系统的安装,实现微隔离系统对工作负载的纳管。
  • 分析阶段:基于用户的资产管理数据,为工作负载设置可刻画其业务属性的多维签化,如位置、环境、应用、角色等,为后续进行业务连接分析和访问控制奠定基础。
  • 设计阶段:学习工作负载的连接关系,并结合业务访问需求确定其合理性,构建业务连接基线和模型。
  • 防护阶段:基于业务连接基线和模型,配置对应的访问控制策略,并利用测试模式的策略执行对策略规则进行优化,最终将策略切换为防护模式以使其生效。
  • 运维阶段:一方面通过微隔离系统产生的连接关系、阻断关系对策略持续优化维护。另一方面则面向新的业务需求及时进行策略配置和调整。
 

方案优势

 

 

高性能架构设计,纳管规模大

得益于系统采用的多项专有策略计算及分发算法,支持多种规格集群扩展及高级集群模式,方案可满足10万点级规模数据中心防护模式部署。                                                                                                                     

复杂环境适应强,全场景可用

基于“计算中心+主机代理”架构,实现基础架构无关,可满足异地多活中心、分布式数据中心部署,兼容主流云平台及容器平台架构,统一纳管实体服务器、虚拟机、容器等各类工作负载,并适应复杂网络环境。          

企业级特性完备,全要素管控

支持IP、身份、加密等多种微分段模式,具备完善的微隔离策略管理框架,满足金融级用户数据中心管理规范要求。                                                                                                                                                         

用户价值

 

 

东西向流量可视可控

通过微隔离系统部署,补齐对东西向流量的可视化管理和精细化控制能力,实现数据中心内部流量可视可控,提升安全管控水平。

构建零信任访控模式

通过白名单模式的策略设置,实现基于工作负载身份的最小特权控制,在数据中心率先落地零信任访问控制模式,建立内网安全屏障。

简化云平台策略运维

基于自适应策略计算引擎,实现安全策略随工作负载变化而迁移,以自动化策略更新替代人工策略运维,显著降低管理成本。