超大规模网络内部安全管理解决方案

安全挑战

随着企业数字化转型的持续推进，企业业务“全面上云”已成普遍常态，基础设施虚拟化、应用架构微服务化，致使云上工作负载规模剧增。隔离是最基础核心的安全技术手段，而面向动辄数万点虚拟化工作负载的超大规模数据中心，实施全局统一的东西向流量微隔离控制却面临着多重难度及挑战。

微隔离系统为了适应敏态的业务变化，必须进行持续的策略计算，系统的计算复杂度随着纳管规模增加而指数级放大，性能挑战首当其冲。其次，超大规模数据中心往往采用多地、多活、多级等方式部署，同时具有明晰的管理权责划分，微隔离系统要实现对全局网络的统一管理，既要适应兼容复杂的组网环境，又需能够灵活分权、分域、分业务管理。以上因素已成为制约大型数据中心规划落地微隔离能力的重要阻滞因素。

解决方案

蔷薇灵动蜂巢自适应微隔离安全平台通过高性能安全计算中心、超级集群部署模式及分组管理应用，能够有效应对性能、网络环境及管理架构的适应性挑战。

高性能安全计算中心：蔷薇灵动蜂巢自适应微隔离安全平台采用软件定义架构，蜂后安全计算中心（QCC）作为其控制平面，承担全量工作负载接入纳管、全局策略更新计算等关键功能。QCC采用微服务架构设计，为终端安全接入、数据连接管理、策略更新计算等关键系统服务内嵌高性能算法并分配独立的算力资源，同时可通过集群扩容的方式，实现性能扩展及高可用性保障。目前，单个QCC集群最大可支持3万点虚拟机或4万点容器工作负载接入，并在策略规则全网生效的条件下，提供敏捷、高效的策略自适应计算能力。

超级集群部署模式：为实现算力扩展，并适应分布式、多活等复杂数据中心架构，QCC可支持超级集群模式部署。在超级集群模式下，各数据中心分别独立部署QCC集群，为工作负载提供就近接入和本地化的策略计算服务，不同QCC集群间将相互提供备份接入和纳管服务。同时，各QCC集群间保持工作负载、策略规则等管理数据实时同步，使各数据中心管理员能够跨域调用策略对象，实现跨数据中心流量的精准管控。此外，可独立部署超级集群中心节点，与各QCC集群建立管理连接，为最高权限管理者提供全局性的管理框架和操作视图，实现全域东西向流量的统一管理。

分组管理应用：为满足大型数据中心的复杂管理架构和分权分域管理要求，微隔离系统可利用其配套的应用中心（App Center）提供“分组管理”功能。该功能可定义各管理员的“角色”和“资产集”，角色可对其能够进行的具体管理操作进行限定，资产集则能够以承载业务应用的工作负载分组划定一个管理范围，将二者与管理员关联，即实现了对管理员管理权限和范围的限定。基于该功能应用，系统能够为不同业务应用、不同职责的管理员建立对应的账号，并提供统一登录入口和符合其管理权限、范围的操作视图，从而以灵活的权限分配适应超大规模数据中心的管理架构。

方案优势