蔷薇灵动东西向流量微隔离解决方案_自适应微隔离安全平台

立即咨询

立即试用

商务合作

蔷薇灵动东西向流量微隔离解决方案

蔷薇灵动东西向流量微隔离解决方案，聚焦自适应微隔离安全与数据中心微隔离场景。基于零信任架构，精准识别数据中心南北/东西向流量，通过动态策略实现应用间细粒度访问控制，有效隔离威胁扩散路径，提升数据中心安全防护能力，护航企业核心资产安全。

立即咨询

数据中心架构演进导致“东西向”问题突显 icon

数据中心内网：网络攻击“众矢之的”，安全防护“法外之地” icon

MITRE ATT&CK框架

横向移动是网络攻击的核心战术

攻击者可通过远程服务漏洞、内部网络钓鱼、横向工具等多种方式实现攻击在内网的横移

内网安全对多数企业是管控盲区

传统网络安全侧重边界防护、主要针对南北向流量构建纵深防御体系

东西向安全挑战

问题①：业务边界不清

不同等级系统混合部署，高敏、高危应用与普通应用全向互通

问题②：业务关系不明

内部访问关系错综复杂，无法有效梳理，导致策略设置及运维缺乏依据，风险大

问题③：暴露敞口过大

工作负载普遍存在过度开放端口，超75%以上为非必要暴露，“两高一弱”资产面向全域网络开放，导致内部攻击敞口大，勒索扩散、攻击横移无阻

问题④：访控粒度过粗

业务团队与安全团队目标不统一，策略申请“就宽就粗”保业务;如果是容器只做了集群间访问控制，内部没有访问控制。另外还存在策略运维难、内网存在管理盲区等问题

问题⑤：内网威胁无感

基于流量镜像的数据捕捉不完整、不经济

基于IP地址分析访问行为不可靠、不显性

现有技术手段在能力上相差甚远 icon

核心难点：控制点太贵、用不起，控制点太少，管不细;策略太多，无来源，签名特征没用，抓不着

虚拟局域网（VLAN）

完全没有可视化，发现不了攻击
控制手段极少，没有处置能力；三层交换策略粗，根本防不了内部横移

网络防火墙/安全组

少了没有用，多了网络变慢
成本太高，三年一换
策略维护不过来，易出错、难排查

杀毒软件

公共特征基本没用
专有病毒库升级不过来
新型威胁完全不认识

主机安全产品（CWPP）

此类产品宣称的微隔离能力实际为服务器主机防火墙的远控功能
这类产品开启微隔离模块后将大量占用服务器资源
缺少可视化、身份化等能力，实际无法使用，市面无落地案例

微隔离及其技术内核

方案部署架构

知心东西向网络数据分析平台（ZSIEM）

微隔离系统配套工具，以自适应微隔离系统的运行数据为算据，从业务、资产、暴露面等视角对工作负载间的东西向访问进行多维分析和可视化展现

蜂巢安全计算中心（QCC）

微隔离系统策略决策点，基于BDC/BEA采集上报的工作负载运行上下文，动态计算策略更新并分发执行

蜂群安全管理终端（BEA）

微隔离系统策略执行点，以Agent形式安装于实体服务器、云主机操作系统，监测工作负载运行上下文，接收并执行QCC分发的安全策略

蜂群安全守护容器（BDC）

微隔离系统策略执行点，以守护容器（DaemonSet）形式部署运行于K8S集群各Node上，监测Pod运行上下文，接收并执行QCC分发的安全策略

核心功能

业务关系深度洞察

以业务视角对纳管资产连接关系进行统一可视化呈现，同时基于业务访问基线构建，辅助策略定义及异常发现

东西向流量精细访控

通过多种策略模式实现精细至端点级的跨平台、跨集群统一管控，有效防止勒索扩散，病毒传播

基于标签的策略管理

标签与资产身份绑定，极大下降策略难度及总量，助力灵活高效实现基于逻辑边界的分级分域及零信任管理

软件定义策略运维

策略可随敏态网络变化进行自适应策略计算变更，确保全网策略无冗余，轻松实现万点级规模运维

可视化分析与量化运营

可从多视角对纳管资产进行时序性访问行为异常分析，并基于多维数据实现针对暴露面的量化评估

内部威胁发现与应急响应

提供全要素自定义事件侦测引擎，可快速发现内部威胁，同时结合多种策略及隔离封禁手段，实现快速精准处置

核心功能①：业务关系深度洞察 icon

洞察业务依赖，建立业务关系链条

建立访问基线，辅助策略规则定义

跨平台可视化，虚机容器同台观测

监测异常访问，及时发现违规连接

核心功能②：东西向流量精细访控 icon

精细至主机、容器级的策略定义及执行

支持基于身份的策略、端到端加密策略

跨数据中心、跨运行平台、跨容器集群无差别统一管理

防勒索扩散、防攻击横移、防内部扫描、防堡垒机绕过

核心功能③：基于标签的策略管理 icon

标签与资产身份绑定，轻松实现零信任管理

基于标签构建逻辑边界，灵活高效分级分域

策略与IP地址解耦，策略规则总量下降90%

不依赖任何外部设备，不改变现有网络结构

核心功能④：软件定义策略运维 icon

自适应策略计算

智能防护高敏态网络

自动化策略运维

万点级规模轻松维护

全网策略无冗余

资产下线即清除策略

拖拽式策略变更，策略与
标签自动跟随

核心功能⑤：可视化分析与量化运营 icon

全局、业务、资产、端口多视角分析

基于时序性基线的访问行为异常分析

自动化生成端口台账，一键封堵非必要暴露端口

量化评估暴露面风险，有序牵引内网暴露面治理

核心功能⑥：内部威胁发现与应急响应 icon

5类源数据统合计算分析，全要素自定义事件侦测

预置40余种异常事件规则

一键式策略下发，快速响应异常事件

主机级策略执行，精准选择处置范围

多模式隔离封禁，灵活定义处置动作

微隔离实施“五步法” icon

七鱼智能客服产品领先力 icon

等保合规及能力提升

以微隔离技术为核心，助力企业满足分级分域隔离、端口最小化治理、安全运维保障、业务攻击面风险治理、态势感知增强等多方面能力要求

业务边界构建及可视化

基于微隔离产品精细化连接学习及策略执行能力，针对数据中心内部不同业务实现灵活的边界划分及可视化关系展现

勒索病毒传播扩散防御

针对勒索攻击各个关键环节进行防护、检测和处置，通过对外隐藏暴露面，对内严格防横移的措施，有效遏制勒索病毒侵入及传播泛滥

实战化网络安全攻防演练

通过在“关内”进行有效布防、监测和处置，实现对内网攻击敞口的收缩及对攻击横移的快速检测与及时响应

工控主机网络防护

基于广泛兼容、适配对工控环境提供完善微隔离解决方案，通过对工控网络精细分段保障工控系统安全稳定运行

数据中心域间防火墙替换

基于主机级、跨平台统一精细化访问控制能力，有效填补域间防火墙流量看不见、策略控不好、管理运维难、采购成本高等痛点

云原生网络微隔离控制

在容器环境创新采用Daemonset原生化微隔离部署形式，实现安全能力与容器平台的内嵌融合，有效消除防护盲区

云平台隔离组件替换

通过与基础架构无关的特性及完善的策略管理模型，实现面向业务、覆盖各类基础设施的统一管理，可规避安全能力对云平台扩展、架构演进制约

关键信息基础设施保护

基于面向业务的天然视角、灵活精细的策略管控等能力优势助力用户满足关基保护要求相关能力要求

“两高一弱”专项治理

以微隔离技术合理评估“两高一弱”风险，并基于“一键策略”能力封堵非必要暴露、缩减业务攻击面，规避弱口令带来的系统和应用风险

核心优势

微隔离技术引领者，头部用户共同选择

华大智造：企业级混合云统一管理 icon

背景及需求

①在公有云上通过云防火墙实现细粒度控制，而在私有云上仅通过域间防火墙实现网段间隔离，云上云下隔离强度不同，访问控制存在明显的安全短板
②私有云及公有云采用不同的隔离手段，策略配置需要独立运维，导致效率低下，运维成本攀升
③由于物理防火墙存在折旧，而虚拟防火墙需不断购买订阅，且伴随后续业务上云的不断扩张，将导致投入成本进一步攀升

价值与收益

①利用微隔离系统替代了公有云的虚拟防火墙和本地数据中心内的域间物理防火墙，使全局具备粒度、精度一致的访问控制能力
②通过微隔离系统的计算中心，实现在一个管理平面内对云上、云下工作负载的统一纳管，同时基于业务属性对所有工作负载进行分组和标签设置，实现了跨云、跨域、跨平台的统一管理
③基于工作负载的部署位置、承载业务、应用角色，对工作负载间的流量进行精细化控制，实现业务域内的安全防护，减少了东西向的“爆炸半径”