长亭科技大规模主机资产风险管理方案_主机资产风险管理体系-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

长亭科技大规模主机资产风险管理方案

数字经济蓬勃发展，在服务器规模扩张、云化进程推进、暴露窗口增多、攻击价值提升等因素影响下，大规模主机的资产风险管理面临多项挑战，方案协助大规模主机管理者构建主机资产风险管理体系，满足合规、实战对抗等多种场景的安全要求。

立即咨询

方案背景

服务器安全危机

在数字经济时代，服务器的规模逐年攀升，业务架构也更为灵活，拥有更多的互联网暴露面，面临的网络安全风险也在同步增加。在国家互联网应急响应中心发布的报告中，2020年境内感染计算机恶意程序的服务器数量已达534万台。对于转型后的数智化政企单位来说，服务器的持续安全监测与管理极为重要。

云化场景下涌动的新问题

伴随虚拟化与云化技术的大规模应用，服务器的部署状态、环境发生较大改变，据2021年发布的“攻防之变”报告的调研数据，在受访者中超过70%的企业业务部署在私有云或公有云上，而在IT 建设规模更大的参与演练企业中，这一比例更是接近80%。在服务器规模扩张、云化进程推进、攻击价值提升、暴露窗口增多等因素的综合作用下，大规模主机场景中的服务器资产风险管理面临着更多的挑战。

大规模主机业务场景中的安全管理需求 icon

01/复杂架构中适配兼容与统一管理难题 icon

云上云下多种主机环境的兼容适配问题

大规模主机场景对应的组织单位，通常有着一定的IT建设“沉淀”，拥有来自不同厂家、版本的服务器，运行着多样化的操作系统。而在推进云化进程以更好的支撑业务时，云主机、容器等技术的引入进一步增加了计算环境的复杂度，增加了统一主机资产风险管理的实现难度。

与安全体系的联动融合难题

在体系化、平台化的安全建设趋势下，主机安全措施与已有安全体系脱节将导致主机安全管理成本的增加、整体安全管理效率的下降。然而在当前多样化、多厂商的安全建设现状下，安全措施与体系的融合并不简单。

多部门协作下的管理需求问题

服务器作为承载业务的关键平台，其安全管理涉及安全、运维、研发、业务、监管等多个组织部门，各方具有不同的诉求，易出现权责不明等问题，影响安全管理措施落地。

02/云工作负载安全风险的持续管理问题 icon

安全事件的准确性问题

在主机安全保障中，漏洞、弱口令等脆弱性风险的消除是非常重要的一环，但夹杂在海量脆弱性告警中的误报问题，占用着大量人员精力，也降低了安全告警处置的效率。除此之外，主机入侵检测作为避免主机提权、横向移动和满足合规的重要手段，得到了较高的重视，但是全面与精准告警的实现仍然较为困难。

千万级安全告警与日志的分析研判问题

在保障安全检测效果的同时，安全运维人员需要在上万台服务器所产生的1000W+日志、10W+告警中筛选出真实、重要、危害性强的安全事件，分析研判压力巨大。

差异的安全需求问题

主机的安全保障与其部署位置、承载业务等多个因素相关，因此服务器量级的增加，也意味着对应安全需求的愈发多样【万台服务器可能衍生出数十种不同的安全策略】，对安全策略的灵活性要求更高，管理的难度也更大。

03/资源消耗和稳定运行的业务保障难题 icon

计算资源与带宽消耗问题

在主机安全方案的部署运行中，常见的担忧是开启安全措施后超出预期的计算资源占用，轻则降低业务访问效率，重则导致老旧服务器宕机。此外在大规模主机场景中，由于主机安全日志、安全数据量级的显著提升，集中发送可能引起带宽占用与流量冲击问题。

产品连续性与稳定性的考验

在大规模主机场景中，存在根据业务动态变化进行服务器资源灵活调度的情况，此时若主机安全措施无法便捷部署、性能扩展不及时，则无法实现连续的主机安全保障。

海量资产的快速部署问题

大规模主机场景中，海量主机的安全措施若采取人工部署方式，不仅周期长、效率低，而且当版本较多、环境复杂时更是极易出现配置错误情况。

大规模主机资产风险管理方案 icon

通过牧云（CloudWalker）主机安全管理平台的集群部署，稳定、高效的实现大规模主机的安全管控，持续收敛风险暴露面，解决大规模主机风险管理的核心问题。方案凭借具有极强兼容性的牧云（CloudWalker）轻量化探针，可快速部署于各种环境的服务器中，进行服务器资产信息收集、状态监听、安全检测，并将收集到的数据发送至牧云（CloudWalker）管理端集群中进行处理、分析与展示。

01/“开放兼容”——统一的主机资产风险管理 icon

牧云（CloudWalker）当前已完成物理机房、公有云、私有云、混合云等多种数据中心环境的适配及业务环境交付部署，支持复杂架构中主机安全的统一管理。

Linux、Windows国产化系统等OS广泛可装

牧云（CloudWalker）针对常见的CentOS、Ubuntu、Suse等 Linux发行版操作系统、各版本Windows Server操作系统已完成兼容性适配，并且积极响应国产化战略，适配了中标麒麟、银河麒麟以及统信UOS等国产化操作系统，充分满足复杂环境部署需求。通过部署于业务服务器中的探针，牧云（CloudWalker）能够定时采集或手动采集进程端口、软件应用等服务器资产信息，从而以安全视角展示资产状况。

开放API、日志提取—“乐高”般灵活嵌入

主机安全措施与整体安全运营体系的有效融合可以提升整体的防御效果，在具体部署中牧云（CloudWalker）支持通过OpenAPI、 Syslog等方式与CMDB进行资产同步、与态势感知共享日志、借助邮件系统、钉钉、企业微信等进行及时告警，从而实现与企业已有 IT体系有机结合。

基于角色管控权限—兼顾多样管理需求

而针对大规模主机场景中特殊的多部门协作需求，采用RBAC权限管控模型的牧云（CloudWalker）支持用户自定义业务功能权限以及数据管理权限。

02/“智能防守”——持续的安全运营 icon

牧云（CloudWalker）具有出色的脆弱性检测、入侵检测能力，其中对WebShell、反弹Shell等的检出效果业已得到多次竞测验证。脆弱性检测中，牧云（CloudWalker）通过资产信息（实时采集）与15W+漏洞库的规则匹配与验证，进行漏洞的全面发现。并且支持应急漏洞（侧重精准发现高危漏洞）和通用漏洞（侧重全量发现漏洞）两种检测模式，满足不同场景下的漏洞检测需求。针对入侵威胁，牧云（CloudWalker）支持攻击链关键节点操作的持续监控，进行异常行为监控、WebShell检测、反弹shell检测、Bash命令审计等关键动作，及时发现主机入侵威胁并告警，及时处置以降低事件影响。

智能分析、准确告警可节约90%运维精力

针对主机安全产生的海量日志，牧云（CloudWalker）通过深度行为算法、动态沙箱的智能安全检测模型与算法进行WebShell、反弹Shell等关键威胁监测，并通过多种检测引擎交叉验证恶意文件，保障检测的效率与准确性，降低安全运维人员告警处理负担。

分阶段检测、灵活定义策略兼顾安全与业务

为满足不同业务属性下的安全需求，牧云（CloudWalker）支持主机业务组划分，提供标准的策略模板+灵活的策略自定义，由管理端集群进行任务的集中管理和调派，实现计划任务执行、任务状态监控等功能。而根据资产监控类别以及安全事件特点，牧云（CloudWalker）采用分阶段检测模式，分别是基础状态监控、异常行为识别、安全引擎分析和安全事件上报。如常态化的进行低资源占用的状态监控，与业务错峰进行主动扫描任务，兼具检测效率和整体安全效果。

安全事件筛选、周期管理无惧海量告警日志

借助牧云（CloudWalker）内置的安全事件闭环模型，能够帮助安全运营人员在海量的安全事件中分层过滤抓取关健，并从监测、分析、处置到加固进行事件的生命周期管理与实时展现。

03/ “轻量弹性”——稳定的业务保障 icon

基于K8S底层架构的管理端集群，天然适配多云环境，满足混合云环境下多公有云、私有云/IDC的主机安全管理需求。集群中所有的服务都能水平任意扩展，并可以依据真实环境针对性扩展关键服务，在保障集群承载能力的同时，也满足未来的集群扩展需要。

阈值设定、分组发送——保障业务稳定运行

牧云（CloudWalker）业务结构中管理端负责安全分析与状态管理，探针仅进行数据采集和状态监控。在默认策略下，轻量化探针的CPU占用率小于2%，内存占用小于80MB，并支持CPU、内存、网络传输、磁盘读写等资源的灵活阈值设定，满足不同业务场景中，主机安全防护对计算资源占用的差异化需求。针对大规模场景中探针日志集中发送带来的带宽占用、流量冲击问题，牧云（CloudWalker）将探针日志基于业务组定时发送，并支持基于业务场景的自定义调整适配。

低权限运行——保障整体安全性

在自身安全性维度，牧云（CloudWalker）通过Capability机制对关键操作授权，以实现对系统关键行为的监控，而在安装结束后降至普通用户权限（非root权限），防止因权限失守、滥用引起的系统安全风险。

运行状态监测——安全持续稳定

牧云（CloudWalker）管理端得益于其长亭分布式滑板车底座（基于K8S架构，资源占用、安装部署等方面得到优化），支持包括自动装箱、水平拓展与智能调度等完整集群能力。而牧云（CloudWalker）借助管理端内的负载均衡，支持依据服务负载以及机器物理性能进行智能的资源调度，并且自带高可用特性，能够自行调整资源与服务问题，实现故障发现与自我修复。牧云（CloudWalker）轻量化探针采用分层设计架构，监听进程可持续监测业务进程的资源占用和运行状态，在出现故障宕机、掉线时进行告警和拉起，保障探针的连续性。

自动化部署——快速落地、便捷运维

在部署过程中，牧云（CloudWalker）管理端在安装包中预置容器环境，无论是物理机、还是虚拟机均可实现一键部署，并支持在线更新。牧云（CloudWalker）轻量化探针则支持命令安装模式，可通过管理端自动生成的一条命令，借助现网运维管理平台进行下发与执行，业务主机根据操作系统及版本进行探针安装包自动匹配、下载与安装，并与管理端建立连接。

方案优势

基于K8S的长亭分布式滑板车底座

保障管理端自由伸缩、水平拓展

轻量化非root探针降低负载

灵活定义阈值

多种检测模式搭配选择

灵活策略满足业务需求

过滤筛选

支持安全事件的闭环管理

基于RBAC的灵活赋权

满足多部门管理需求

开放的第三方联动

内嵌已有IT架构

实践应用案例

在国家监管政策以及外部威胁形势的促进下，某大型金融机构开展主机侧的安全增强建设，从而有效的梳理主机资产状态和安全事件，提升互联网暴露资产的风险管理和处置能力，建立主机的安全风险监测平台，统筹安全运营的多个环节和为多部门多角色协作提供平台。并提出了以下三点核心需求：实现不同业务环境下的2万台服务器节点的资产与风险持续监测，感知服务器资产状态以及入侵事件，工具联动、数据联动、人员联动，实现快速发现、快速分析、快速响应能力。

经过多方调研后，以集群方式部署的牧云（CloudWalker）主机安全风险管控平台获得客户认可，在保证主机业务稳定性的基础上，与统一运维管理平台联动，实现大规模多分组探针的快速部署。驱动2万+探针对现网主机的资产、脆弱性、威胁事件进行实时监测分析。

牧云（CloudWalker）与CMDB系统同步，对接IT业务数据，对接字段包括：业务部门、业务系统、服务器位置、资产负责人信息、安全负责人信息，定时拉取业务数据。

牧云（CloudWalker）通过定时任务，对现网进行全网主动探测，发现未知、无主资产，基于组织和业务系统进行资产分组展示和管理。

每季度对以业务系统为最小单位，以等级保护2.0三级要求标准对操作系统和中间件进行合规检测。通过内置的安全事件排序模型，帮助客户在10万+的安全事件中分层过滤，抓去关健事件，同时对事件进行闭环管理，完成监测、分析、处置、加固的完整处置流程。

检测任务集中管理，共建立75个不同策略的检测任务，牧云（CloudWalker）管理端集群进行任务的集中管理和调派，包括任务计划、任务状态监控。

在业务低峰期，牧云（CloudWalker）对主机资产进行通用漏洞扫描，同时对高风险漏洞进行专项漏洞验证与分析，快速寻找业务系统脆弱点。入侵检测则采用实时被动监测模式，全天候感知主机资产威胁状态。