山石云·格微隔离解决方案


方案背景

云计算和虚拟化技术出现后,在云内呈现了多样的安全挑战。云计算环境内部,由于缺乏适应云计算需求的安全产品,在安全方面普遍呈现了以下问题:

  • 云内部流量、应用、威胁不可视:虚机间通信流量部分通过虚拟交换机进行交换,传统技术手段无能为力。
  • 被放大的安全域:体现为因为网络虚拟化和虚机的引入,传统上一个多台服务器组成安全域内,实际被防护虚机数量呈几十倍增长。
  • 没有明确物理边界:因为虚网络和虚机迁移等技术的引入,传统的物理安全边界消失。
  • 安全责任划分不确定:一些分工变得模糊,比如连接虚机的虚网络的 VLAN 维护工作,谁来负责?
  • 巨大的工作量:被防护的虚机几十倍增加,再加上云计算中虚机数量、网络的弹性扩展或收缩,带来了“数量、频度、复杂度”三维度的配置工作量提升。因为繁复,而疏于管理和配置。

方案介绍

山石云·格是创新的分布式网络侧微隔离产品,为用户带来安全同时也带来了业务持续性,全自动化部署、拓扑零打扰,单点登录等优势,降低了运维成本。通过专利引流技术,从独立的视角做到云计算环境中虚机、网络资产可视,通信、应用和网络威胁可视,对云计算提供最小粒度的安全防护,“横”到广播域内 虚机间,“纵”到 80 端口中的每种应用和威胁,帮助政府、金融、运营商、企业等搭建安全、合规的“绿色”云平台。

方案优势

由vSOM、vSCM、vSSM、vSDM四大虚拟模块组成,这些虚拟模块均以虚机的形式提供,基于云平台的模板分发机制,山石云·格可实现快速、高效部署。同时,山石云·格基于透明二层模式,用户无需更改虚机当前网络配置,即可实现山石云·格产品部署,不影响当前业务运行。山石云·格采用全分布式架构,多个模块只通过一个IP地址管理,全局维护统一策略和会话表,可实现原址在线升级。

山石云·格是以虚机形态存在的网络探针深入云内,贴近虚机;对虚拟网络流量可视化监控工具,具备应用识别、异常行为识别、网络病毒识别能力。

山石云·格可以基于业务组、时间、终端、应用、流量、交换关系、安全威胁等多种维度对云内网络的运行情况进行深度可视,且大屏展示功能提供云内业务交互关系和运行状况。通过直观的视图,用户可以快速查找、发现自己内部网络中安全、性能等问题。

山石云·格是一款深入到云环境内部的微隔离安全产品,业务性能监控(SPM)可以根据安全服务模块采集到所有受保护虚拟机的流量,分析被保护虚机的流量,根据TCP数据包的ACK报文和相应数据报文间的时间间隔来计算时延和抖动指标,根据重复ACK报文及数据报文的重发来计算双向的网络丢包数量绘制出一条完整的业务链,从计算资源、服务质量和网络质量三个方面对一条业务链进行全方位的监控,通过不同的图标展示不同维度的监控质量,可以以服务链和服务列表两种模式为云管理员提供可视化的数据,帮助云管理员了解各虚拟机的状态。

应用场景

企业承载众多关键业务,资源池内业务交互繁杂,当前面临云内东西向流量缺乏有效的可视可控方案,亟需解决云内流量的可视化预警、安全管控等难题。依据网络安全法及云计算安全扩展要求,其云内资源需根据业务需求灵活划分安全域,分级管控访问权限,具备云内防入侵攻击、防病毒横向扩展能力。应用山石云·格的微隔离、IPS、AV等安全服务,结合用户现有终端杀毒产品形成云资源池内网络微隔离防护+本地查杀的整套立体防护方案。同时利用山石云·格的全分布式架构,满足运营商行业全组件HA部署要求;利用透视镜、策略助手、策略分组、SPM等功能,解决云内复杂交互关系的可视化梳理、安全策略收敛维护、运维业务运维运营等工作。

企业新一代核心业务系统上线,建设双活数据中心,其业务服务器区、分支行接入区、外联区等均虚拟化部署在VMware NSX环境下,山石云·格在NSX环境下凭借针对于5-7层的安全防护、对威胁流量及应用的可视化以及云内安全报告的高性能、高可靠性可满足客户业务系统性能需求,解决用户业务中断问题,结合硬件防火墙组成的twinmode模式(配置自动同步、会话同步)和数据库防火墙共同对云计算环境下的业务系统进行分层分级立体防护。同时,山石云·格的透视镜、防火墙、IPS和AV功能,满足用户对云内资产交互关系、威胁状况可视以及入侵防护、防病毒能力和应用控制能力的需求。