中铁信安科博云陌微隔离安全系统

产品简介

科博云陌微隔离安全系统是面向云化数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析，和细粒度的安全策略管理。能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。

产品背景

云数据中心内部网络安全的核心需求

业务可见：虚拟化环境复杂，不清楚业务访问辐，无法部署东西向策略，错误策路无法及时发现。

安全策略弹性灵活：业务迁移、弹性扩展是云平台的常见场服，安全策略应适用此类场景，而不应该每次变化都是一场灾难。

混合云统一安全管理：混合云成为现代数据中心主流模式，割裂的安全管理增加安全运维成本，缺少全局性。

软件定义安全：云数据中心需要更灵活的安全管理模式，计算开销更低、部更便、运维更开放。

等保2．0中对云数据中心的要求

新的等保评测得分将分为两部分：分别是系统得分和云平台得分，分别对应安全通用要求和云计算拓展要求。其中新增了如下几点要求：

安全通用要求

—应除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

—应在关网络节点处检测、防止或限制从内部发起的网络攻击行为；

—应关闭不需要的系统服务、默认共享和高危端口。

云计算拓展要求

—应保证当虚拟机迁移时，访问控制策路随其迁移；

—应允许云服务客户设置不同虚拟机之间的访问控制策路。

产品价值

满足等保2．0：以等保三级为例，科博云陌微隔离安全系统可以帮助用户满足等保2．0中12点要求（通用安全6点，云计拓展要求6点）

内部流量可视化拓扑，缩减内部80％攻击面：科博云陌微离安全系统能够绘制出一张统一的流量拓扑，能够识别虚拟机之间，虚拟机与物理机之间的流量，标识应用及端口；拓扑支持对工作负载进行排序，梳理业务访问逻辑。

如果胁透到数据中心，产品可以阻止其横向移动到其他服务器，这将极大地减少攻击面和业务风险。产品将安全能力下放到每个工作负载，防止攻击者利用跳板窃取有价值的数据；防止病毒在内部网络中传播。同时也提供了在网络层面关闭高危端口的能力。

安全策略可视化统一管理

摆脱传统命令行式的安全运维方式，可通过业务拓扑图，在查看业务实际访问逻辑的基础上进行策略配置，并使用基于角色的策路管理方式，可缩减与运维人员所需管理的安全策路总数的90％。

产品分为多个策略状态，为安全运维人员提供策略规划界面，通过红绿线来标识流量与策略的匹配关系，可验证策路准确性后再进行发布。

同时提供阻断日志，便于查看策略有效性、发现异常连接、快速判断是否阳断业务。

混合云安全统一管理

产品面向操作系统开发，能够提供跨平台（任何基础架构的公有云、私有云、混合云）、跨介质（物理机、虚拟机、容器）的统一安全管理能力。

管理人员可以通过统一的管理界面查看混合云内的所有主机的业务访问情况，统一进行策略规划、部署实施；各业务部门还可分帐户查看各自业务的访问情况及安全设置。

产品构架

科博云陌微隔离安全系统的构架如下图所示：

科博云陌微隔离安全系统的总体技术架构由两部分组成，一部分是安装在主机上的蜂群安全管理终端BEA（Bee Enforcement Agent），一部分是集中的后安全计算中心QCC（ Queen Compute Center）。

BEA持续的监控主机 context和一些运行时统计信息并将这些信息不断传送给QCC。QCC根据来自BEA的context持续进行策略计算，并将生成策路下发给BEA，由BEA完成对主机的策路更新。