蔷薇灵动2023安全守卫者计划获奖案例分享：广联达数据中心微隔离实践

发布时间：

2023-09-11 16:10

来源：

作者：

访问量：

蔷薇灵动携手数字建筑行业SaaS服务供应商广联达，基于自适应微隔离方案，实现了在多地跨域分布式数据中心典型场景中的大规模落地，通过构建作用于全局数据中心的统一东西向流量管理平台，有效解决了数据中心资产内部网络缺乏安全屏障的问题，其创新应用将对同类数据中心架构企业解决共性问题具有较强借鉴意义。

“安全守卫者计划”由中国信息通信研究院发起，聚焦云安全和零信任领域技术发展，旨在遴选一批成熟度高、具有示范性作用的优秀安全应用案例，通过树立标杆进一步推动安全技术深入应用，促进行业健康发展。

近日，第三批优秀案例征集结果在首届SecGo云和软件安全大会上进行了发布。蔷薇灵动携手广联达科技有限公司（以下简称“广联达”）联合申报的“广联达数据中心微隔离实践”案例，凭借微隔离系统在分布式数据中心架构下的大规模落地，成功入选。

以下为本次获奖案例简介：

背景及需求

广联达是数字建筑平台服务商，其秉承“数字建筑”理念，基于庞大的产品矩阵及服务为用户提供全方位数字化转型服务，其中多数应用以公共SaaS服务模式提供。为支撑业务运行稳定，广联达逐步构建起多地跨域分布式数据中心架构，基于分布式架构高可用、易扩展等优势为遍布全球的用户提供多类数字建筑应用的快捷交付，伴随业务发展，数据中心整体规模稳步扩张。

SaaS服务基于互联网交付，应用系统类型丰富、服务数量繁多，同时分布式部署使得多地数据中心间通过互联提供更高的开放性，在逻辑上形成了一个网络全通的资产区域，使得暴露敞口进一步增大，一旦数据中心内部有服务器失陷，则威胁通过内部横移极易蔓延至所有数据中心，从而危害全局业务安全。按照业务属性的划分，广联达的资产可分为测试、预发布和生产环境，但由于构建于开放互联的云平台之上，则难以实现各环境间的基础隔离，恰恰体现出了在内部网络隔离方面的薄弱。

针对上述问题，广联达曾尝试通过数据中心间的物理边界隔离予以解决，但并未达成理想效果。一方面是控制粒度依然过粗，仅能实现数据中心级别的东西向流量控制，而对于同一数据中心内部的流量则依然处于失控状态。另一方面，由于基础设施采用的技术栈复杂，涉及不同的虚拟化、容器架构，存在多类运行时环境，在弹性伸缩、敏态变化的场景中，策略难以跟随资产的迁移而自动变更，导致策略“越控越粗”逐渐形同虚设。

解决方案

为彻底解决数据中心资产内部网络缺乏安全屏障的问题，广联达通过蔷薇灵动提供的自适应微隔离方案，构建了作用于全局数据中心的统一东西向流量管理平台。

1）基于微隔离系统面向业务的可视化连接梳理及标签化策略管理能力，使得用户摆脱了分布式数据中心的结构制约，实现了通过一个管理平面统一对全网各数据中心和本地计算环境网络流量的可视化管理和精细化访问控制。通过策略设置，实现了数据中心间、业务系统间、应用分层间的服务调用控制，大幅缩减了内部资产的暴露面，极大规避了“单点突破、整网暴露”的风险。同时，基于微隔离系统面向业务和资产身份的策略体系，实现了策略随资产弹性变化而自适应计算，彻底解决了人工运维策略无法适应云化环境敏态变化的难题。

2）针对广联达多地跨域的分布式数据中心架构，微隔离系统在部署时创新性的使用了分布式集群模式，即在各数据中心部署分布式集群的分支节点，为本地工作负载提供汇聚接入服务，通过分支节点与微隔离计算中心的管理互联，实现多地跨域场景下的统一管理。通过这一方案应用，有效解决了分布式数据中心难以统管的问题，并可通过集群扩展应对数据中心计算节点的动态扩容。

3）利用微隔离系统丰富的API接口，与广联达当前网管平台进行全流程打通和融合，当申请策略开通或变更时，可由业务部门提交工单申请，由安全部门依据工单内容进行策略调整及配置并同步至微隔离系统管理中心即可。由于策略管理面向业务标签，大幅缩减了策略配置条数及复杂度，同时通过基于工单的线上操作，极大提升了用户策略运维管理效率。

当前，广联达通过微隔离系统已实现对数千点工作负载网络流量的有效访控，全面提升了内网安全防护水平、消除了安全死角。相较于过去在静态边界实施基于IP的防火墙策略方式，有效降低了运维管理的复杂度，同时节省了硬件设备的投资及运维成本。

总结

当前，数字化转型正在各行业加速深化推进，以订阅形式提供软件应用服务的SaaS模式正迎来蓬勃发展的机遇期。广联达作为专业领域的SaaS服务供应商，其在分布式数据中心架构下面临的网络安全问题具有较强共性。本方案的落地，对于SaaS服务提供商以及同类数据中心架构的企业具有较强的借鉴意义。

微隔离,零信任