解决方案
面向政府、金融、能源、运营商、互联网、大型企业等,帮助构建数据中心内部零信任
-
金融
-
能源
-
政府
-
大型集团
-
运营商
-
更多
中国海油
- 分类:能源
- 发布时间:2022-06-19 17:05:02
- 访问量:0
中国海洋石油集团有限公司(以下简称“中国海油”)是中国最大的海上油气生产运营商。2020年,中国海油在《财富》杂志“世界500强企业”排名第64位。近年来,中国海油积极推动数字化转型工作,正式发布了《中国海油数字化转型顶层设计纲要》和《智能油田顶层设计纲要》。2020年,集团公司召开了“数字化转型、智能化发展”专题座谈会,进一步明确了数字化转型的方向和路径。
用户需求
中国海油在数字化转型过程中,面对日益增长的业务上云需求,对其数据中心安全防护要求也在不断提高,有以下需求亟待解决:
要求对数据中心内部的东西向流量进行精细管理,以缩减风险暴露面;
需要有效监测防护手段能够发现和阻断绕过堡垒机逃逸的审计违规行为;
需要一个安全平台对实网环境中的云平台虚拟机、容器平台以及实体服务器进行统一管理;
需要针对内网东西向流量的可视及管控手段,补齐整体安全能力。
解决方案
通过多次技术调研和方案论证,用户采用4机集群的方式部署了蜂巢自适应微隔离安全平台,最终实现了内网工作负载东西向流量管控。目前,通过蜂群安全管理终端(BEA)纳管的实体服务器数量达900余个,云平台虚拟机服务器和容器数量总计约3500个,合计工作负载纳管规模达4400余个,帮助用户解决了实战化防护场景下东西向流量防护、远程管理合规、异构平台工作负载统一管理、以及内网东西向流量可视化管理等问题。
基于上述部署示意图,重点实现了下述能力:
通过网络流量学习,自动生成工作负载间的连接关系,建立业务流基线。同时,导出端口使用情况信息,建立了端口台账,并通过设置安全策略实现非必要暴露端口阻断,防止攻击者进入网络后在内网当中进行横向渗透;
筛选基于22、3389等远程管理端口的访问记录,通过对远程管理IP进行检索,针对来源为非堡垒机的访问连接进行封禁、追查;
通过在实体服务器、虚拟机、容器节点上分别部署BEA,实现对异构环境中不同形态工作负载的统一纳管;
基于业务连接的可视化能力,绘制全网统一的业务拓扑,实现高效便捷的业务访问梳理,同时为安全策略优化及调整提供依据。
效果及收益
风险暴露面缩减
- 依托白名单安全策略、端口台账导出等功能,梳理东西向流量访问关系,导出端口台账;
- 基于安全策略配置实现风险暴露面缩减;
违规远程访问封禁
- 通过异常内部流量分析功能,帮助用户筛选出非法的远程管理连接;实现阻断非法远程连接访问的违规行为;
工作负载统一纳管
- 基于广泛的环境适应性,帮助用户实现全网工作负载统一纳管,使全局东西向流量统一纳管,形成能力一致的访问控制能力;
业务连接可视化
- 绘制全网统一的业务拓扑,实现高效便捷的业务访问梳理;
- 处于“黑盒”状态的东西向流量实时展现,内部流量不可见的问题得以妥善解决。
扫二维码用手机看
