免费试用
最新研究
主机安全能力建设指南
主机安全能力建设指南
立即下载

青藤零域·微隔离安全平台

2022-02-18

青藤零域·微隔离安全平台,让东西向流量控制不再难。

1. 安全挑战

传统的数据中心安全防护方式是建立防火墙,阻止内外网之间未经授权的连接。但随着数据中心的扩大和升级,网络安全的关注重心逐渐发生迁移。现代数据中心约20%的流量是内外网之间的数据交换,而更为庞大的80%流量流转于内网主机之间,因此内网主机之间东西向的网络访问更值得被关注。企业做好东西向网络控制可以解决许多棘手的安全问题。

 防止横向渗透:云化部署让流量激增,黑客更容易隐匿攻击行为,东西向控制可以有效检测和拦截横向渗透行为

 紧急处置威胁:面对已知的内网入侵行为,东西向控制可以紧急隔离失陷主机的网络,防止威胁蔓延

 满足等保要求:等保2.0中内网访问控制是基本合规要求,东西向控制使企业实现精细化管控,满足等保合规要求

 实现零信任理念:零信任是IT架构“无边界”化趋势下最火热的理念,微隔离作为实现零信任的—种最佳方式,让其得以落地

2. 产品介绍

青藤零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。 

青藤零域由Agent、计算引擎和控制台组成,支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境,异构环境对用户完全透明。

3. 产品能力

3.1 业务梳理

资产清点:实施访问控制的前提条件是清晰理解工作负载的业务属性,只有看清工作负载上运行了什么软件和服务,才能有分析网络的思路。青藤零域支持清点硬件信息、操作系统信息、数据库、应用软件、web中间件、web应用等十余个大类的资产,辅助管理员梳理业务。

分组和标签设置:经过资产调查,可进一步对工作负载进行分组和添加标签,体现其业务职责,也可用于编写精简易读且高效的网络策略。

3.2 连接可视化

自动采集主机的出入站流量,获取IP、端口、协议、进程等网络信息。以拓扑图、列表等形式展示工作负载之间、分组之间的网络访问关系。

3.3 访问控制

为了满足不同的管理场景,主机访问控制策略支持不同的形式。

 以分组定义策略:实现较粗粒度的管理,比如同一业务系统内的工作负载之间可以互相访问,而无关的业务系统之间的访问被禁止。

 以标签定义策略:给工作负载打上特定标签,则会自动继承满足该标签的网络策略,提高运维效率。比如Java主机可以访问MySQL主机。

 精确到端口:策略可精确到端口,严格管控每个服务,彻底收缩暴露风险。

 指定IP:对于无法安装探针的设备可以用IP表示,也支持IP段和CIDR格式。

对于访问控制策略,可以在拓扑图和列表中可直接对访问关系添加策略,自动将访问双方的信息填入策略的各字段值中,避免管理员手动填写琐碎的字段。

流量看得清一业务拓扑图可视化展示访问关系

自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。

3.4 异常访问告警

如果希望只对网络访问进行监控告警,而不直接拦截非法的连接,可采用告警模式。实时对比网络访问和网络策略,对不符合策略的异常流量产生告警,以邮件、短信、系统消息等形式在第一时间发出告警。

3.5 隔离失陷主机

一键隔离失陷主机的网络,避免威胁持续扩散。可选择隔离出站或入站流量,也可在隔离状态下开放指定端口,比如保持远程登录端口畅通,便于管理员上机排查问题。

4. 产品优势

轻Agent安全稳定

 Agent的CPU占用率<1%,内存占用<40M,在系统负载过高时,会主动降级运行。

 对Agent加壳防护,防止被篡改;采用加密传输与服务端通信,保证数据安全。

 1000+头部客户、600万+台服务器运行实践,稳定性高达99.9999%

统一安全管理

 一个 Agent 集成微隔离、主机安全、容器安全等多种能力,并可持续扩展。

 一套 Agent 和 Server 统一安全管理平台,降低管理员的使用成本。

跨平台支持

 支持CentOS、RedHat、Ubuntu、Windows等主流操作系统。

 支持VMware、OpenStack、阿里云等多种IT环境,异构环境完全透明。

5. 应用案例

客户需求

某电力企业作为国家电网公司直属单位,是中国电力行业多学科、综合性的科研机构,在中国电力工业发展的各个标志性阶段做出了重要贡献。该客户作为关键信息基础设施领域的重点保护单位,拥有大型数据中心,安装了数万台服务器,服务器之间进行着错综复杂的业务访问。客户需要清楚地梳理这样庞大繁杂的业务网、深刻地了解网络中的情况,并对不同环境的主机进行统一细粒度的安全管控,阻断非法的访问。

解决方案

 青藤采用独立部署的方式,对客户约1200台服务器部署Agent,涵盖Centos7、Ubuntu12-14、Windows Server2012等物理机和虚拟机。

 通过Agent自主学习主机的业务访问和资产信息,通过拓扑图清晰可视化展示主机之间业务组之间的访问关系。

 利用统一的管理平台,按照不同的管理场景,创建不同粒度的访问控制策略,阻断不符合策略的异常访问。 

客户收获

 实现跨平台的统一高效策略管理,获得清晰的网络连接和策略配置信息。

 灵活地管控策略,可按照业务分组进行粗粒度管控,或实施细化到端口的精细化管控。

 业务或IT环境变化时可自适应调整发布到主机的策略,实现自动化运维,减少人力成本。


预测、防御、检测、响应,让安全一触即达

免费试用

7*24小时安全监控

5*8小时故障诊断

安装升级服务

产品使用培训