产品核心价值
蔷薇灵动自适应微隔离产品提供云数据中心的内部流量可视化及端口级访问控制能力。
1、东西向流量可视化
数据中心内部流量(东西向流量)的可视化管理是现代数据中心管理最为迫切的需求之一。由于当代数据中心普遍具有计算节点众多,内部流量复杂的特点,使得东西向流量很难被准确的理解,进而也就无法被有效的管理甚至优化,因此,迫切需要提供一种技术能力对东西向流量进行清晰的展现和梳理。蔷薇灵动自适应安全平台,通过终端软件不断的搜集流量信息,并将这些信息汇总到策略计算引擎,由策略计算引擎根据这些信息统一绘制出一张完整的流量模型图。当然仅仅进行可视化梳理是不够的,因为大型数据中心的内部节点往往非常庞大,其流量关系也很复杂,因此,必须具备很好的抽象与梳理能力,并最终呈现出一个管理者可以理解的抽象的流量模型。
2、数据中心攻击面分析与缩减
在主机上每一个开放的端口就是一个攻击入口,而每一个能够访问这台主机的计算节点都是一个可能攻击源。而安全管理的一个重要方式就是减少攻击面,基本做法就是一方面关闭不必要开放的服务端口,一方面限制能够访问主机的来源。通过蔷薇灵动的终端程序 BEA 可以很容易搜集到主机的服务开放情况,而通过 QCC 的策略管理, 以及可视化的业务拓扑,可以清楚的看到业务访问逻辑,和服务所需端口,从而可以限制哪些计算节点可以访问哪些服务, 有效的缩减主机的攻击面。
3、安全策略自适应调整及管理
摆脱传统命令行式的安全运维方式,可通过业务拓扑图,在查看业务实际访问逻辑的基础上进行策略配置,并使用基于角色的策略管理方式,可缩减与运维人员所需管理的安全策略总数的 90%。当工作负载的在线状态、角色标签、 IP 地址、所属工作组、地址表信息、服务信息发生变化时,产品能够通过自适应技术,自动改变工作负载的安全策略,避免繁重的管理工作,避免人工错误,避免延迟响应。
4、混合云统一管理
当代数据中心,往往是由多种底层技术架构混合而成的,常见的构成包括了物理机, VMware,Openstack,公有云。用户往往很难找到一种能够跨越所有这些技术架构的管理手段来对数据中心进行统一的内网安全管理。而蔷薇灵动由于是面向主机而非底层架构进行开发,因此具备了成为混合云架构下的统一策略管理平台能力。
5、业务安全迁移及弹性拓展
当代数据中心的一个重要的管理场景就是应用迁移及拓展,可能有很多原因出发这一过程,比如从物理机迁移到虚拟机,新的数据中心建设,新的业务上线,应对短期流量高峰等。在过去,应用的迁移及拓展过程中,企业面临着很多的安全问题,而通过蔷薇灵动的自适应安全管理平台,利用身份特征,自动识别新业务单元角色,自动配置安全策略,则可以有效的解决这些问题。
6、支撑等保 2.0 要求
蔷薇灵动自适应安全平台可以帮助客户满足等保 2.0 中的如下要求:
绘制与当前运行情况相符的虚拟化网络拓扑结构图,并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控;蔷薇灵动自适应安全平台,通过终端软件不断的搜集流量信息,并将这些信息汇总到策略计算引擎,由策略计算引擎根据这些信息统一绘制出一张完整的流量模型图。
1)能识别、监控虚拟机之间、虚拟机与物理机之间的流量
蔷薇灵动客户端 BEA 是面向操作系统的,能够适应各种基础架构及服务器形态。并能够查看内部流量
的访问时间、次数、服务应用及端口。
2)保证当虚拟机迁移时,访问控制策略随其迁移;
同 3.5。当工作负载的状态发生变化后, QCC 策略计算中心会自动计算策略并加载到工作负载之上。
3)允许云租户设置不同虚拟机之间的访问控制策略等。
通过对业务拓扑的操作,即可以对虚拟机进行策略配置。 通过多账户设置可提供给云租户进行自定义管理。
环境要求
1. 自适应安全平台 QCC 安装环境
操作系统: CentOS7.0 及以上
配置: 500 台虚拟机或物理机以下,推荐 8 核 8G; 500 点以上需采用分布式架构。
开放端口说明: 为便于 web 访问,需 QCC 开放 443 端口;客户端 BEA 与 QCC 通信需 QCC 开放入站的8000、 60001、 60011、 60021、 60031 端口( BEA 所在虚机无需开放、端口可定制)。
2.终端 BEA 安装环境
Linux 支持环境:
Centos6、 7
Ubuntu12、 14、 16 (LTS only)
Windows 支持环境:
Windows Server 2008 R2、 2012、 2012 R2、 2016
Windows7、 10
基础环境支持:
任何 hypervisor (VMware ESXi、 Microsoft Hyper-V、 Nutanix AHV、 KVM)
物理主机
私有云
公有云( AWS、 Azure、阿里云、青云、 Ucloud......)
1 review for Cisco