摘要: 蔷薇灵动蜂巢自适应微隔离安全平台——基于仿生学的软件定义微隔离产品 蔷薇灵动蜂巢自适应微隔离安全平台是面向数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及...
蔷薇灵动蜂巢自适应微隔离安全平台——基于仿生学的软件定义微隔离产品
蔷薇灵动蜂巢自适应微隔离安全平台是面向数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。
产品基于自主开发的一套自适应安全架构,将安全能力与工作负载(workload)紧密结合起来,根据自适应引擎计算自动调整安全策略,而且做到了与底层架构无关,使得产品在混合云统一安全管理、业务与安全同步交付、容器间安全等问题上具备了完美的解决能力。
QCC(Queen Compute Center)蜂后安全计算中心
秒级策略计算,实时绘制拓扑QCC计算中心接受来自BEA的context信息,对安全策略进行持续的计算,并将计算结果推送给BEA以对workload进行安全防护。
BEA(Bee Enforce Agent)蜂群安全管理终端
简易安装,高峰0.5%性能消耗BEA控制引擎实时收集workload上的context信息并反馈给QCC,同时根据QCC下发的策略对workload上的安全策略做实时的精确调整。
微隔离 产品架构图
微隔离产品核心能力
可视化业务拓扑
为应对现在数据中心计算节点众多、内部流量复杂,无法有效的管理和优化的问题,蔷薇灵动自适应安全平台能够绘制出一张完整的流量模型图,对东西向流量进行清晰的展现和梳理。
• 能够识别工作负载之间(物理机、虚拟机、容器)之间的流量,标识进程及端口
• 制作全网端口台账
• 业务访问关系自学习,协助创建白名单访问控制策略
• 发现无访问或者低访问空占主机
• 基于业务流流向,分析攻击路径微隔离 可视化业务拓扑二
面向业务的策略管理模型
提供一种独特的应用及虚拟机定义方法,并建立一套可见的、可适应的、接近自然语言的策略模型。
• 消除网络结构(VLAN、子网、IP),标签化策略配置,缩减安全策略总数90%
• 策略与策略作用范围脱耦,进一步下降策略总数,提升策略灵活性和准确性
• 基于业务拓扑自动化生成安全策略,极大提升策略配置效率
策略自适应计算
蔷薇灵动的自适应技术能够根据数据中心内部的变化而自动调整安全策略,结合微隔离技术,能够实现自适应的端到端的精细化访问控制。
• 全网策略自动计算和配置
• 虚拟机漂移时,策略自动跟随
• 业务弹性扩展时,策略自动添加
• 虚机/容器上下线时,策略自动添加删除微隔离
内部异常流量分析
对全流量的捕捉,能看见任意两个点的通信关系,监控所有发生过的流量,可提供对攻击的溯源、取证、符合合规性检查的能力。
• 流量关联分析,快速发现内部渗透、横移、扫描、勒索病毒传播等行为
• 基于白名单策略比对,有效补充现有黑名单异常流量,分析产品的不足,大程度发现内网攻击行为
• 能够识别工作负载之间(物理机、虚拟机、容器)的流量,标识进程及端口
• 结合告警模块,自定义异常行为告警
漏洞分析与屏蔽
将工作负载上漏洞的风险评分与其在网络层的暴露面进行综合分析,并通过与微隔离的结合,为用户提供一种独特的漏洞攻击面分析与漏洞屏蔽方案。
• 独有的漏洞屏蔽技术,完善漏洞治理闭环,一键下降全网90%的漏洞风险
• 漏洞与资产结合,漏洞与业务结合
• 分析漏洞的暴露情况得出可能的攻击路径
• 提供一套全新的漏洞风险量化管理体系
• 提升漏洞扫描执行效率
混合云统一安全管理
面向操作系统开发,能够提供跨平台(任何基础架构的公有云、私有云、混合云)、跨介质(物理机、虚拟机、容器)的统一安全管理能力。
• 支持任何基础架构技术构建的云平台,包括OpenStack、VMware、KVM、Docker等
• 实现混合环境下,不同介质的内部流量统一监控、安全策略统一管理
• 支持阿里云、青云、Ucloud、Azure等公有云平台
• 支持Red Hat、CentOS、Ubuntu、Windows等常见操作系统版本.
微隔离产品价值
减少数据中心内部威胁
• 阻止攻击者在内网的横向移动,极大减少攻击面和业务风险
• 防止攻击者利用跳板窃取有价值的数据
• 防止病毒在内部网络中传播
• 可在网络层关闭高危端口的能力
缩短业务交付时间
• 基于软件定义的隔离能力,让安全同样的敏捷、可控
• 可在几秒内为企业业务应用提供安全服务
• 为各业务部门提供独立的安全服务,可进行策略的部署和业务的查看
• 有效缩短企业安全所需要的可靠的应用和服务的交付时间
简化网络流量
• 显著减少东西通信时所需的跳变,大幅提升业务应用性能
• 消除无效过滤点(东西向流量被迫通过物理防火墙),避免造成阻塞和不必要的延迟
• 工作负载部署与网络拓扑解耦,允许数据中心中所有工作负载进行策略部署和迁移
减少运维成本
• 大幅减少安全运维中手动操作和安全性任务所需的时间
• 独特的身份识别技术,为新入网的工作负载进行自适应策略配置
• 高度的自动化和可编排能力消除了手工配置错误的风险
