青藤零域·微隔离安全平台，让东西向流量控制不再难。

1. 安全挑战

传统的数据中心安全防护方式是建立防火墙，阻止内外网之间未经授权的连接。但随着数据中心的扩大和升级，网络安全的关注重心逐渐发生迁移。现代数据中心约20%的流量是内外网之间的数据交换，而更为庞大的80%流量流转于内网主机之间，因此内网主机之间东西向的网络访问更值得被关注。企业做好东西向网络控制可以解决许多棘手的安全问题。

● 防止横向渗透：云化部署让流量激增，黑客更容易隐匿攻击行为，东西向控制可以有效检测和拦截横向渗透行为

● 紧急处置威胁：面对已知的内网入侵行为，东西向控制可以紧急隔离失陷主机的网络，防止威胁蔓延

● 满足等保要求：等保2.0中内网访问控制是基本合规要求，东西向控制使企业实现精细化管控，满足等保合规要求

● 实现零信任理念：零信任是IT架构“无边界”化趋势下最火热的理念，微隔离作为实现零信任的—种最佳方式，让其得以落地

2. 产品介绍

青藤零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。 

青藤零域由Agent、计算引擎和控制台组成，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明。

3. 产品能力

3.1 业务梳理

资产清点：实施访问控制的前提条件是清晰理解工作负载的业务属性，只有看清工作负载上运行了什么软件和服务，才能有分析网络的思路。青藤零域支持清点硬件信息、操作系统信息、数据库、应用软件、web中间件、web应用等十余个大类的资产，辅助管理员梳理业务。

分组和标签设置：经过资产调查，可进一步对工作负载进行分组和添加标签，体现其业务职责，也可用于编写精简易读且高效的网络策略。

3.2 连接可视化

自动采集主机的出入站流量，获取IP、端口、协议、进程等网络信息。以拓扑图、列表等形式展示工作负载之间、分组之间的网络访问关系。

3.3 访问控制

为了满足不同的管理场景，主机访问控制策略支持不同的形式。

● 以分组定义策略：实现较粗粒度的管理，比如同一业务系统内的工作负载之间可以互相访问，而无关的业务系统之间的访问被禁止。

● 以标签定义策略：给工作负载打上特定标签，则会自动继承满足该标签的网络策略，提高运维效率。比如Java主机可以访问MySQL主机。

● 精确到端口：策略可精确到端口，严格管控每个服务，彻底收缩暴露风险。

● 指定IP：对于无法安装探针的设备可以用IP表示，也支持IP段和CIDR格式。

对于访问控制策略，可以在拓扑图和列表中可直接对访问关系添加策略，自动将访问双方的信息填入策略的各字段值中，避免管理员手动填写琐碎的字段。

流量看得清一业务拓扑图可视化展示访问关系

自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。

3.4 异常访问告警

如果希望只对网络访问进行监控告警，而不直接拦截非法的连接，可采用告警模式。实时对比网络访问和网络策略，对不符合策略的异常流量产生告警，以邮件、短信、系统消息等形式在第一时间发出告警。

3.5 隔离失陷主机

一键隔离失陷主机的网络，避免威胁持续扩散。可选择隔离出站或入站流量，也可在隔离状态下开放指定端口，比如保持远程登录端口畅通，便于管理员上机排查问题。

4. 产品优势

轻Agent安全稳定

● Agent的CPU占用率<1%，内存占用<40M，在系统负载过高时，会主动降级运行。

● 对Agent加壳防护，防止被篡改；采用加密传输与服务端通信，保证数据安全。

● 1000+头部客户、600万+台服务器运行实践，稳定性高达99.9999%

统一安全管理

● 一个 Agent 集成微隔离、主机安全、容器安全等多种能力，并可持续扩展。

● 一套 Agent 和 Server 统一安全管理平台，降低管理员的使用成本。

跨平台支持

● 支持CentOS、RedHat、Ubuntu、Windows等主流操作系统。

● 支持VMware、OpenStack、阿里云等多种IT环境，异构环境完全透明。

5. 应用案例

客户需求

某电力企业作为国家电网公司直属单位，是中国电力行业多学科、综合性的科研机构，在中国电力工业发展的各个标志性阶段做出了重要贡献。该客户作为关键信息基础设施领域的重点保护单位，拥有大型数据中心，安装了数万台服务器，服务器之间进行着错综复杂的业务访问。客户需要清楚地梳理这样庞大繁杂的业务网、深刻地了解网络中的情况，并对不同环境的主机进行统一细粒度的安全管控，阻断非法的访问。

解决方案

● 青藤采用独立部署的方式，对客户约1200台服务器部署Agent，涵盖Centos7、Ubuntu12-14、Windows Server2012等物理机和虚拟机。

● 通过Agent自主学习主机的业务访问和资产信息，通过拓扑图清晰可视化展示主机之间业务组之间的访问关系。

● 利用统一的管理平台，按照不同的管理场景，创建不同粒度的访问控制策略，阻断不符合策略的异常访问。 

客户收获

● 实现跨平台的统一高效策略管理，获得清晰的网络连接和策略配置信息。

● 灵活地管控策略，可按照业务分组进行粗粒度管控，或实施细化到端口的精细化管控。

● 业务或IT环境变化时可自适应调整发布到主机的策略，实现自动化运维，减少人力成本。