解决方案
面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任
面向云平台的攻击横移防护解决方案
- 分类:应用场景
- 发布时间:2020-10-30 16:55:23
- 访问量:0
安全挑战
数字化转型加速推动云计算深化运用,在愈演愈烈的网络威胁形势下,攻击手法持续演进升级,使得构建云平台防护体系时必须接受更为糟糕的假设,即“边界一定会被突破、系统一定会被攻陷”。基于著名的“攻杀链(Cyber Kill Chain)”理论,当前已发生的网络攻击或数据泄漏事件,无一不是攻击者在成功侵入网络后,通过大面积横向侧移,持续扩大“战果”而造成的重大损失,承载核心业务和关键数据的云数据中心是重灾区。
对于侧重边界防护、主要针对南北向流量构建纵深防御体系的传统安全技术而言,东西向流量已然成为安全措施难以覆盖的“空白地带”。由于云平台内部的网络通信处于域内全通状态,攻击者侵入网络后的横向侧移、恶意代码的内部传播毫无障碍,正所谓“单点突破、整网暴露”。
没有可靠的网络安全体系,数字化转型则犹如构建于空虚地基之上的建筑,风雨飘摇、如履薄冰。而东西向流量的管控能力缺失,给云平台、业务应用和数据带来了巨大安全风险。
解决方案
微隔离是云工作负载保护中的一项基础、必备能力,基于蔷薇灵动蜂巢自适应微隔离安全平台,能够通过细粒度的隔离控制,有效切断新型网络攻击、恶意软件在云平台内部的横向移动和扩散。
云内隔离与控制需基于业务视角开展,微隔离系统通过多维标签刻画工作负载的业务属性,对工作负载进行分组管理和角色标定,从而在基础设施与业务属性间建立映射关系,为工作负载赋予业务视角。
基于工作负载的位置、环境、应用、角色等多维标签,可结合业务的安全需求定制不同粒度的访问控制策略,如多个数据中心间隔离、生产与测试环境隔离、不同业务间隔离、业务内不同应用分层隔离等。同时,访问控制策略以“最小特权”为原则设定,通过“非白即黑”的模式实现业务授权最小化,有效切断合理业务访问外的其他任何流量。
结合微隔离系统提供的连接可视化能力,并辅以配套的“微隔离数据分析与决策平台”,通过对微隔离系统阻断的连接、周期内的高强度连接等进行计算分析,实现攻击横移行为的检测,同时结合微隔离系统独具优势的隔离封禁能力实现应急处置。
方案优势
打破物理边界制约
突破了传统的静态物理边界限制,基于业务属性对数据中心、环境、业务、应用分层建立逻辑边界,可实现颗粒度更细、精细度更高的隔离控制。
动态适应云化环境
微隔离是顺应云计算环境访问控制需求而生的创新技术,其通过去IP化的策略管理设计、自适应策略计算引擎等,可完全适应云平台特性,安全策略始终随工作负载迁移同步而动。
跨平台集约化管理
基于软件定义架构和广泛兼容性,微隔离系统可实现跨数据中心、跨云平台、跨工作负载类型的统一管理,实现全局性的可视化管理和隔离控制。
用户价值
收缩非必要暴露面
实测数据显示,企业级用户的工作负载非必要暴露端口占比平均高达65%,通过中等粒度的环境隔离(如生产、测试环境隔离),暴露端口数通常可减少约40%,微隔离可有效实现收缩内部暴露面的防护效果。
提升攻击侧移难度
通过白名单模式的策略控制,可极大程度切断攻击侧移、恶意软件横向传播的路径,以1000个工作负载规模的中小型数据中心为例,实施中等粒度的环境隔离后,攻击成功的难度平均提升约22倍。
提高检测响应水平
实施微隔离策略后,将迫使攻击者尝试更多的攻击手法触及目标,由此将产生大量阻断连接数据,可支撑用户大幅提高内网攻击检测能力,并利用微隔离系统细粒度、精细化控制能力实现及时精准的处置。
扫二维码用手机看
