山石云内东西向微隔离与可视化解决方案

---

方案背景

云计算和虚拟化技术出现后，在云内呈现了多样的安全挑战。云计算环境内部，由于缺乏适应云计算需求的安全产品，在安全方面普遍呈现了以下问题：

• 云内部流量、应用、威胁不可视：虚机间通信流量部分通过虚拟交换机进行交换，传统技术手段无能为力。
• 被放大的安全域：体现为因为网络虚拟化和虚机的引入，传统上一个多台服务器组成安全域内，实际被防护虚机数量呈几十倍增长。
• 没有明确物理边界：因为虚网络和虚机迁移等技术的引入，传统的物理安全边界消失。
• 安全责任划分不确定：一些分工变得模糊，比如连接虚机的虚网络的 VLAN 维护工作，谁来负责？
• 巨大的工作量：被防护的虚机几十倍增加，再加上云计算中虚机数量、网络的弹性扩展或收缩，带来了“数量、频度、复杂度”三维度的配置工作量提升。因为繁复，而疏于管理和配置。

方案介绍

山石云·格是创新的分布式网络侧微隔离产品，为用户带来安全同时也带来了业务持续性，全自动化部署、拓扑零打扰，单点登录等优势，降低了运维成本。通过便捷的引流技术从独立的视角做到云计算环境中虚机、网络资产可视，通信、应用和网络威胁可视，对云计算提供最小粒度的安全防护，“横”到广播域内 虚机间，“纵”到 80 端口中的每种应用和威胁，帮助政府、金融、运营商、企业等搭建安全、合规的“绿色”云平台。

方案优势

由vSOM、vSCM、vSSM、vSDM四大虚拟模块组成，这些虚拟模块均以虚机的形式提供，基于云平台的模板分发机制，山石云·格可实现快速、高效部署。同时，山石云·格基于透明二层模式，用户无需更改虚机当前网络配置，即可实现山石云·格产品部署，不影响当前业务运行。山石云·格采用全分布式架构，多个模块只通过一个IP地址管理，全局维护统一策略和会话表，可实现原址在线升级。

山石云·格是以虚机形态存在的网络探针深入云内，贴近虚机；对虚拟网络流量可视化监控工具，具备应用识别、异常行为识别、网络病毒识别能力。

山石云·格可以基于业务组、时间、终端、应用、流量、交换关系、安全威胁等多种维度对云内网络的运行情况进行深度可视，且大屏展示功能提供云内业务交互关系和运行状况。通过直观的视图，用户可以快速查找、发现自己内部网络中安全、性能等问题。

山石云·格是一款深入到云环境内部的微隔离安全产品，业务性能监控（SPM）可以根据安全服务模块采集到所有受保护虚拟机的流量，分析被保护虚机的流量，根据TCP数据包的ACK报文和相应数据报文间的时间间隔来计算时延和抖动指标，根据重复ACK报文及数据报文的重发来计算双向的网络丢包数量绘制出一条完整的业务链，从计算资源、服务质量和网络质量三个方面对一条业务链进行全方位的监控，通过不同的图标展示不同维度的监控质量，可以以服务链和服务列表两种模式为云管理员提供可视化的数据，帮助云管理员了解各虚拟机的状态。