大规模主机场景对应的组织单位，通常有着一定 的IT建设“沉淀”，拥有来自不同厂家、版本的 服务器，运行着多样化的操作系统。而在推进云 化进程以更好的支撑业务时，云主机、容器等技 术的引入进一步增加了计算环境的复杂度，增加 了统一主机资产风险管理的实现难度。

在体系化、平台化的安全建设趋势下，主机 安全措施与已有安全体系脱节将导致主机安 全管理成本的增加、整体安全管理效率的下 降。然而在当前多样化、多厂商的安全建设 现状下，安全措施与体系的融合并不简单。

服务器作为承载业务的关键平台，其安全管 理涉及安全、运维、研发、业务、监管等多 个组织部门，各方具有不同的诉求，易出现 权责不明等问题，影响安全管理措施落地。

在主机安全保障中，漏洞、弱口令等脆弱性 风险的消除是非常重要的一环，但夹杂在海 量脆弱性告警中的误报问题，占用着大量人 员精力，也降低了安全告警处置的效率。 除此之外，主机入侵检测作为避免主机提权、横 向移动和满足合规的重要手段，得到了较高的重 视，但是全面与精准告警的实现仍然较为困难。

在保障安全检测效果的同时，安全运维人员 需要在上万台服务器所产生的1000W+日 志、10W+告警中筛选出真实、重要、危害 性强的安全事件，分析研判压力巨大。

主机的安全保障与其部署位置、承载业务等 多个因素相关，因此服务器量级的增加，也 意味着对应安全需求的愈发多样【万台服务 器可能衍生出数十种不同的安全策略】，对 安全策略的灵活性要求更高，管理的难度也 更大。

在主机安全方案的部署运行中，常见的担忧是 开启安全措施后超出预期的计算资源占用，轻 则降低业务访问效率，重则导致老旧服务器宕 机。此外在大规模主机场景中，由于主机安全 日志、安全数据量级的显著提升，集中发送可 能引起带宽占用与流量冲击问题。

在大规模主机场景中，存在根据业务动态变 化进行服务器资源灵活调度的情况，此时若 主机安全措施无法便捷部署、性能扩展不及 时，则无法实现连续的主机安全保障。

大规模主机场景中，海量主机的安全措施若 采取人工部署方式，不仅周期长、效率低， 而且当版本较多、环境复杂时更是极易出现 配置错误情况。

通过牧云（CloudWalker）主机安全管理平台的集群部署，稳定、高效的实现大规模主机的安全管控，持续收敛风险暴露面，解决大 规模主机风险管理的核心问题。 方案凭借具有极强兼容性的牧云（CloudWalker）轻量化探针，可快速部署于各种环境的服务器中，进行服务器资产信息收集、状态 监听、安全检测，并将收集到的数据发送至牧云（CloudWalker）管理端集群中进行处理、分析与展示。

牧云（CloudWalker）当前已完成物理机房、公有云、私有云、混合云等多种数据中心环境的适配及业务环境交付部署，支持复杂 架构中主机安全的统一管理。

牧云（CloudWalker）针对常见的CentOS、Ubuntu、Suse等 Linux发行版操作系统、各版本Windows Server操作系统已完成兼 容性适配，并且积极响应国产化战略，适配了中标麒麟、银河麒麟 以及统信UOS等国产化操作系统，充分满足复杂环境部署需求。通 过部署于业务服务器中的探针，牧云（CloudWalker）能够定时采 集或手动采集进程端口、软件应用等服务器资产信息，从而以安全 视角展示资产状况。

主机安全措施与整体安全运营体系的有效融合可以提升整体的防御 效果，在具体部署中牧云（CloudWalker）支持通过OpenAPI、 Syslog等方式与CMDB进行资产同步、与态势感知共享日志、借助 邮件系统、钉钉、企业微信等进行及时告警，从而实现与企业已有 IT体系有机结合。

而针对大规模主机场景中特殊的多部门协作需求，采用RBAC权限 管控模型的牧云（CloudWalker）支持用户自定义业务功能权限以 及数据管理权限。

牧云（CloudWalker）具有出色的脆弱性检测、入侵检测能力，其中对WebShell、反弹Shell等的检出效果业已得到多次竞测验证。 脆弱性检测中，牧云（CloudWalker）通过资产信息（实时采集）与15W+漏洞库的规则匹配与验证，进行漏洞的全面发现。并 且支持应急漏洞（侧重精准发现高危漏洞）和通用漏洞（侧重全量发现漏洞）两种检测模式，满足不同场景下的漏洞检测需求。 针对入侵威胁，牧云（CloudWalker）支持攻击链关键节点操作的持续监控，进行异常行为监控、WebShell检测、反弹shell检 测、Bash命令审计等关键动作，及时发现主机入侵威胁并告警，及时处置以降低事件影响。

针对主机安全产生的海量日志，牧云（CloudWalker）通过深度行 为算法、动态沙箱的智能安全检测模型与算法进行WebShell、反 弹Shell等关键威胁监测，并通过多种检测引擎交叉验证恶意文 件，保障检测的效率与准确性，降低安全运维人员告警处理负担。

为满足不同业务属性下的安全需求，牧云（CloudWalker）支持主 机业务组划分，提供标准的策略模板+灵活的策略自定义，由管理 端集群进行任务的集中管理和调派，实现计划任务执行、任务状态 监控等功能。 而根据资产监控类别以及安全事件特点，牧云（CloudWalker）采 用分阶段检测模式，分别是基础状态监控、异常行为识别、安全引 擎分析和安全事件上报。如常态化的进行低资源占用的状态监控， 与业务错峰进行主动扫描任务，兼具检测效率和整体安全效果。

借助牧云（CloudWalker）内置的安全事件闭环模型，能够帮助安 全运营人员在海量的安全事件中分层过滤抓取关健，并从监测、分 析、处置到加固进行事件的生命周期管理与实时展现。

基于K8S底层架构的管理端集群，天然适配多云环境，满足混合云环境下多公有云、私有云/IDC的主机安全管理需求。集群中所有 的服务都能水平任意扩展，并可以依据真实环境针对性扩展关键服务，在保障集群承载能力的同时，也满足未来的集群扩展需要。

牧云（CloudWalker）与CMDB系统同步，对接IT业务数 据，对接字段包括：业务部门、业务系统、服务器位置、 资产负责人信息、安全负责人信息，定时拉取业务数据。

牧云（CloudWalker）通过定时任务，对现网进行全网主 动探测，发现未知、无主资产，基于组织和业务系统进行 资产分组展示和管理。

每季度对以业务系统为最小单位，以等级保护2.0三级要求 标准对操作系统和中间件进行合规检测。通过内置的安全 事件排序模型，帮助客户在10万+的安全事件中分层过滤， 抓去关健事件，同时对事件进行闭环管理，完成监测、分 析、处置、加固的完整处置流程。