✅ 案例背景：

本案例企业是全球领先的线上财富管理平台，为支撑数字化业务发展，该公司基于两地三中心架构建成了规模庞大的数据中心，采用多种虚拟化平台、云架构的数万点虚拟机、容器工作负载分布于各中心。据统计，数据中心75%的网络流量均发生在内部，由工作负载间横向连接产生，再加上云化数据中心弹性、灵活、敏捷的特点，使得侧重边界防护以及内部划定边界，分域而治的防御思想不再可行。东西向流量管控能力缺失容易造成攻击者侵入网络后的横向侧移、恶意代码的内部传播毫无障碍，给数据中心、业务应用和数据带来巨大安全风险。

在业务保障及合规监管的多重驱动下，以零信任理念和技术框架为指导，基于“微隔离（Micro-Segmentation）”技术对数据中心内部的东西向流量进行可视化、细粒度访控管理，成为该公司亟待补充的安全能力。

✅ 案例概述：

蔷薇灵动蜂巢自适应微隔离安全平台在架构上由“蜂群安全管理终端（BEA）”及“蜂后安全计算中心（QCC）”两部分组成。本案例中，经过两期项目建设，承载该公司业务应用的30000余个虚拟机、容器工作负载，均安装了BEA客户端，并分别接入部署于各数据中心的QCC集群，实现了跨越多地、覆盖全网、混合架构统一纳管的的数据中心东西向流量防控管理，达成项目建设预期。

基于零信任理念及微隔离系统的设计逻辑，一切访控规则均需要基于工作负载的业务角色而定义，而业务角色则由工作负载的多维属性关联标定。微隔离系统基于API接口打通了与CMDB（配置管理数据库）的数据通道，不但可从CMDB系统同步全部工作负载的主机名、网络配置、分组、环境、应用等资产信息，同时还一并获得了工作负载的东西向网络访问需求。QCC基于上述信息实现了工作负载角色和访控策略的自动化配置，大幅提升了系统部署效率。

同时，该公司采用了两地三中心的数据中心结构，各数据中心需独立管理本地的工作负载，但由于大量业务运行需基于跨数据中心的流量交互，各数据中心管理者进行本地访控策略配置时，则需能够调用其他数据中心工作负载的角色及相关对象。为此，分别部署于三个数据中心的QCC集群进一步打通了“超级集群”模式，实现了工作负载角色标签、策略对象的同步，满足了该公司独立管理、全局控制的管理需求。

✅ 客户效果反馈

经过项目建设，该公司在快速补齐安全能力的同时，进一步稳固了数据中心内部架构，为数字化转型及经营注入了强有力保障。

1.全局可视化能力提升：通过微隔离系统部署，并基于其标签化的资产管理及可视化连接分析能力，数据中心内部的工作资产属性及业务间的互访关系得以理清，公司业务、系统、安全等部门均获得了管理能力和水平上的显著提升。

2.攻击暴露面大幅缩减：基于零信任理念，在数据中心内部实现了基于身份的最小特权动态控制，填补了该公司数据中心内部流量的防护空白。通过微分段访控策略的逐步细化、收紧，工作负载的攻击暴露面得以大幅缩减，面向定向攻击横向侧移、勒索病毒内部传播等威胁的防御能力得到显著提升。

3.支撑DevSecOps流程：通过超级集群模式部署，并与ITSM、CMDB等管理系统实现数据打通，实现了自动化的工作负载及安全策略配置。安全策略的防护自工作负载生成时起即开始生效，并贯穿应用开发、测试、运行的全生命周期。微隔离系统的运行完全适应了客户的DevSecOps流程，使得客户在享有云原生技术弹性、灵活、敏捷等红利的同时，切实提升了安全性保障。

4.满足云等保合规要求：微隔离策略的部署，使得客户具备了内部工作负载间的精细访控能力，满足了“等级保护2.0”中“云计算环境安全扩展要求”中相关检测项，使得公司在实现安全能力补齐、防护水平提升的同时，满足了监管合规要求。