▍平臺介紹

網御云安全管理平臺是針對私有云、數據中心、虛擬化平臺推出的安全資源池產品。云安全管理平臺集成了公司全系列的虛擬安全軟件產品，通過集中化的云安全管理平臺加上安全資源池內的安全組件和安全服務，有效應對云環境下的常規威脅和高級定向威脅，實現面向云內東西向和南北向流量的，具備靈活、按需彈性特點的安全防護和檢測能力，并提供友好的API與私有云對接。產品采用SDN、openstack、K8S微服務等新技術，是國內領先的云計算安全能力平臺。

 

平臺架構如右圖所示：

 

▍建設方案

安全資源池與云平臺業務資源池之間一般采取松耦合的方式，即兩套資源池各自獨立部署，只在管理平臺層面互相開放接口，進行必要的信息共享。便于安全服務商與云服務商之間建立清晰的運維職責界面，同時便于安全服務商履行最終用戶賦予的對云服務商進行監督和審計的職責，確保最終用戶的利益。

安全資源池分為串行防護、旁路檢測、服務管理等3類資源池：

● 串行資源池部署

分為南北向串行防護資源池、東西向串行防護資源池。

● 南北向安全資源池

將內網與外網間的流量牽引至南北向安全資源池內，通過服務編排完成清洗防護操作，并將干凈的流量回注到業務資源池內。

● 東西向安全資源池

將內網中不同安全域之間的流量牽引至東西向安全資源池內，通過服務編排完成清洗防護操作，并將干凈的流量回注到業務資源池內。

● 旁路資源池部署

分為服務鏈數據復制、交換機端口鏡像、虛機導流、插件導流等多種方案。其用途是對租戶資源池內導流出來的鏡像流量進行檢測處理，無需對檢測后的流量回注到租戶資源池內。

● 服務鏈數據復制

在串行防護引流的同時，可以完成流量復制操作，并將復制后的鏡像流量交付給檢測審計類安全網元，同步完成旁路檢測審計操作。

● 交換機端口鏡像

在物理或者虛擬交換機上做交換機端口鏡像，需要鏡像導流路徑兩端的交換機支持交換機端口鏡像。

● 虛擬機鏡像導流

在宿主機上劃分一臺虛擬機部署導流虛機軟件，可以從虛擬化環境最底層抓取流量，可以根據安全策略對流量進行過濾，基于五元組可以實現協議級別的流量過濾。

● 插件導流

在業務資源池內的業務虛機上安裝導流插件，對虛機上的業務流量進行抓取，以隧道方式送到安全資源池內的安全網元，安全網元內置解除隧道封裝功能，并完成對鏡像流量的后續處理。目前支持數據庫審計等產品的插件導流方式。

● 服務資源池部署

安全服務資源池無需接收和處理租戶網絡中的原始業務流量或者鏡像業務流量，只需與租戶網絡之間網絡可達即可。其用途是對租戶資源池進行漏洞掃描、配置核查、綜合日志審計、集中安全管理等。

 

▍能力輸出

云安全管理平臺，通過對各類安全資源的管理、調度、編排，使各種軟件、硬件、虛擬化形態的安全能力全面適配云環境，對云環境所面臨的各類安全風險進行持續的管理和評估。

平臺可以輸出產品級的安全能力，也可以輸出整體解決方案級的安全能力。

 

● 輸出產品級的安全能力：

防護類安全產品能力

如防火墻、WEB應用防護、入侵防御等

檢測類安全產品能力

入侵檢測、超融合檢測、高級持續性威脅檢測、數據庫審計等

管理類安全產品能力

基線核查、漏掃、運維審計等

 

● 輸出方案級的安全能力：

合規安全能力

輸出滿足等級保護2.0要求的云安全解決方案能力

信息安全能力

輸出滿足敏感信息防護相關法規要求的解決方案能力

安全增值能力

將安全能力池化、服務化、運營化，對政企專線、傳統IT環境、云化IT環境提供安全增值服務，輸出安全增值解決方案能力

工控安全能力

將工控安全產品虛擬化，并通過安全服務編排，適配工控業務場景，對工業云進行防護，輸出工控安全解決方案能力

 

● 專家服務

提供以下專家服務：

技術支持：

提供遠程、現場的專家技術咨詢，客戶交流，現場測試，現場實施服務

咨詢規劃：

提供面向特定行業領域或業務場景的項目前期咨詢規劃，輸出頂層架構、標準體系、技術指南等，指導行業專網、行業云的安全能力規劃建設和實施

方案定制：

提供面向具體用戶的個性化需求分析、解決方案定制，提出并落地符合具體重點項目需求的云安全解決方案。