山石云內東西向微隔離與可視化解決方案


方案背景

云計算和虛擬化技術出現后,在云內呈現了多樣的安全挑戰。云計算環境內部,由于缺乏適應云計算需求的安全產品,在安全方面普遍呈現了以下問題:

  • 云內部流量、應用、威脅不可視:虛機間通信流量部分通過虛擬交換機進行交換,傳統技術手段無能為力。
  • 被放大的安全域:體現為因為網絡虛擬化和虛機的引入,傳統上一個多臺服務器組成安全域內,實際被防護虛機數量呈幾十倍增長。
  • 沒有明確物理邊界:因為虛網絡和虛機遷移等技術的引入,傳統的物理安全邊界消失。
  • 安全責任劃分不確定:一些分工變得模糊,比如連接虛機的虛網絡的 VLAN 維護工作,誰來負責?
  • 巨大的工作量:被防護的虛機幾十倍增加,再加上云計算中虛機數量、網絡的彈性擴展或收縮,帶來了“數量、頻度、復雜度”三維度的配置工作量提升。因為繁復,而疏于管理和配置。

方案介紹

山石云·格是創新的分布式網絡側微隔離產品,為用戶帶來安全同時也帶來了業務持續性,全自動化部署、拓撲零打擾,單點登錄等優勢,降低了運維成本。通過便捷的引流技術從獨立的視角做到云計算環境中虛機、網絡資產可視,通信、應用和網絡威脅可視,對云計算提供最小粒度的安全防護,“橫”到廣播域內 虛機間,“縱”到 80 端口中的每種應用和威脅,幫助政府、金融、運營商、企業等搭建安全、合規的“綠色”云平臺。

方案優勢

由vSOM、vSCM、vSSM、vSDM四大虛擬模塊組成,這些虛擬模塊均以虛機的形式提供,基于云平臺的模板分發機制,山石云·格可實現快速、高效部署。同時,山石云·格基于透明二層模式,用戶無需更改虛機當前網絡配置,即可實現山石云·格產品部署,不影響當前業務運行。山石云·格采用全分布式架構,多個模塊只通過一個IP地址管理,全局維護統一策略和會話表,可實現原址在線升級。

山石云·格是以虛機形態存在的網絡探針深入云內,貼近虛機;對虛擬網絡流量可視化監控工具,具備應用識別、異常行為識別、網絡病毒識別能力。

山石云·格可以基于業務組、時間、終端、應用、流量、交換關系、安全威脅等多種維度對云內網絡的運行情況進行深度可視,且大屏展示功能提供云內業務交互關系和運行狀況。通過直觀的視圖,用戶可以快速查找、發現自己內部網絡中安全、性能等問題。

山石云·格是一款深入到云環境內部的微隔離安全產品,業務性能監控(SPM)可以根據安全服務模塊采集到所有受保護虛擬機的流量,分析被保護虛機的流量,根據TCP數據包的ACK報文和相應數據報文間的時間間隔來計算時延和抖動指標,根據重復ACK報文及數據報文的重發來計算雙向的網絡丟包數量繪制出一條完整的業務鏈,從計算資源、服務質量和網絡質量三個方面對一條業務鏈進行全方位的監控,通過不同的圖標展示不同維度的監控質量,可以以服務鏈和服務列表兩種模式為云管理員提供可視化的數據,幫助云管理員了解各虛擬機的狀態。

應用場景

企業承載眾多關鍵業務,資源池內業務交互繁雜,當前面臨云內東西向流量缺乏有效的可視可控方案,亟需解決云內流量的可視化預警、安全管控等難題。依據網絡安全法及云計算安全擴展要求,其云內資源需根據業務需求靈活劃分安全域,分級管控訪問權限,具備云內防入侵攻擊、防病毒橫向擴展能力。應用山石云·格的微隔離、IPS、AV等安全服務,結合用戶現有終端殺毒產品形成云資源池內網絡微隔離防護+本地查殺的整套立體防護方案。同時利用山石云·格的全分布式架構,滿足運營商行業全組件HA部署要求;利用透視鏡、策略助手、策略分組、SPM等功能,解決云內復雜交互關系的可視化梳理、安全策略收斂維護、運維業務運維運營等工作。

企業新一代核心業務系統上線,建設雙活數據中心,其業務服務器區、分支行接入區、外聯區等均虛擬化部署在VMware NSX環境下,山石云·格在NSX環境下憑借針對于5-7層的安全防護、對威脅流量及應用的可視化以及云內安全報告的高性能、高可靠性可滿足客戶業務系統性能需求,解決用戶業務中斷問題,結合硬件防火墻組成的twinmode模式(配置自動同步、會話同步)和數據庫防火墻共同對云計算環境下的業務系統進行分層分級立體防護。同時,山石云·格的透視鏡、防火墻、IPS和AV功能,滿足用戶對云內資產交互關系、威脅狀況可視以及入侵防護、防病毒能力和應用控制能力的需求。