网御星云云安全管理平台_云计算安全防护平台

网御星云云安全管理平台

网御星云云安全管理平台是网御星云根据在安全领域多年技术积累，聚合全产线产品力量，针对私有云、政务云、虚拟化平台等云环境下推出的一款云安全产品。全面满足云上租户业务防护以及安全合规需求，是国内最为领先的云计算安全防护平台。

网御星云云安全管理平台 icon

网御星云云安全管理平台是网御星云根据在安全领域多年技术积累，聚合全产线产品力量，针对私有云、政务云、虚拟化平台等云环境下推出的一款云安全产品。基于软件定义安全的云安全管理平台针对当前云数据中心的复杂网络环境，将安全能力池化，为云上业务租户提供弹性、灵活的云上安全服务，安全组件能力涉及租户主干链路防护、旁路检测防护以及安全运维管理等多方向，防护范围覆盖网络安全、主机安全、应用安全、数据安全，全面满足云上租户业务防护以及安全合规需求，是国内最为领先的云计算安全防护平台。

网御星云云安全方案

面临的挑战：边界消失，流量不可见，弹性和多租户，传统安全产品改造。

云安全需求框架

核心功能

网御云安全管理平台的功能框架如上图所示，主要包括以下核心功能：

安全资源管理

云安全管理平台通过各类安全资源池：串行防护资源池、旁路检测资源池、服务管理资源池、硬件资源池，集成各类安全资源，并通过安全服务编排，使池化的安全资源能够全面适配云和虚拟化环境。

安全服务编排

安全资源池可实现安全服务链编排，使得网络流量在安全资源中流转时，根据业务类型、防护级别等要求，按需经过各类安全服务节点，这些安全服务节点包括防火墙、WAF、入侵检测、负载均衡等。安全服务编排综合利用SDN、NFV、服务链SFC、大二层等技术，实现逻辑拓扑与物理拓扑解耦，安全设备的网络部署不再依赖于具体的物理网络结构，而是软件可定义和编排的，使安全能力的部署和调整扩容更加灵活。具体包括流量牵引和服务编排两个动作。流量牵引需要掌握或同步租户业务的网络、子网信息，并划分和定义安全域，包括业务流量的起始域和目标域，进而对源和目的之间的业务流量进行牵引，进入服务链区域。服务编排对需要进行防护的流量进行识别、分类、标识（服务路径ID、业务ID），进而根据标识将业务流量送入不同的安全服务链、控制业务流量经过安全网元的先后顺序，对业务流量进行所需的清洗防护功能。

产品价值

能力丰富，助力合规

云安全管理平台整合了丰富的虚拟安全组件，包含下一代防火墙、WAF、IPS、IDS、CWPP、日志审计、数据库审计、网络审计、网页防篡改、堡垒机、漏洞扫描、SOC、DLP、VPN、基线核查、天珣桌管、景云防病毒等。平台基于多租户的运营架构，可与云管理平台实现WebUI和API两个层面的对接，以编排“安全服务链”为核心，给云租户提供等级保护基本要求-云计算扩展要求所需的二级、三级安全能力服务包，租户可按需组织满足“云等保”要求的服务套餐。

运营&增值

云安全管理平台提供了和云管理平台独立的安全系统，责任边界相对清晰，更容易运行维护。同时可以安全能力服务包的形式实现对租户的运营收益，各租户可通过自服务门户实现自我监控。

自适应安全架构

云安全管理平台是集防御、检测、响应和预测于一体的自适应安全架构，以智能、集成和联动的方式应对各类攻击，形成事前防御、预测，事中检测，事后回溯，有效构建云安全体系。

统一管理，提高运维效率

云安全管理平台具有丰富的管理功能，友好的用户界面，统一的安全产品管理接口。安全产品出现故障时，可以通过界面登陆虚机串口、重启虚机、切换网络等手段，远程处理故障，不用管理员跑机房操作安全产品调试，极大的提高了网络安全产品运维的效率。

安全可视，态势感知

云安全管理平台可在安全态势大屏中查看当前租户信息、安全组件运行状态、安全事件及攻击态势等，及时了解安全威胁事件并进行闭环处理，降低安全运营难度与成本，有效提高运营效率，让用户专注于自身的业务当中。

安全协同，智能运营

云安全管理平台利用SOAR技术，实现了安全能力的协同联动，通过剧本编排，发挥整体安全能力的协同效果，大幅提升安全运营效率，让安全运营更加智能。

边界防护与检测

云安全管理平台提供云内东西向的安全检测与安全防护，可视化云内业务系统的安全攻击并提供相应的访问控制措施，为业务系统提供边界安全。

灵活扩展，持续提升安全能力

云安全管理平台支持安全产品虚拟化的部署方式，在单机硬件资源允许的条件下，用户通过创建安全产品虚拟机，快速扩展自己的安全能力；云安全管理平台支持分布式系统架构，在单机硬件资源不够时，可将多台主机组成硬件资源池，通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式，近乎无限扩展安全能力。云安全管理平台整体支持平滑升级，升级过程快速便捷，为用户提供最新的云安全能力。

多层次高可用抗灾体系

云安全资源池支持部署多个控制节点，满足高可靠需求。安全服务通过组件级别HA能力实现高可用，同时负载组的功能也能在增强性能的同时提供业务保障。分布式存储保障平台数据的完整性，伴随着组件迁移保障安全数据连续性。引流网迁移、组件假死监控、组件单点Bypass等技术以多维多角度保障业务连续性。

适用场景—政务云等保合规 icon

客户痛点

政务云的建设利用云计算的技术将政务应用的基础支撑平台进行了整合，提升了政务信息系统的建设效率，降低了管理难度。但与之同时，各个委办局业务系统的集中造成了安全风险的增加，同时传统的安全防护体系难以满足云等保权责划分的要求，租户无法实现安全资源的按需申请和自助服务。

解决方案

网御星云云安全管理平台可以为政务云平台提供完整的租户安全防护体系。租户根据自身业务的安全需求，可以按需申请所需的各类安全组件。平台管理方也可针对政务云上业务的需求，自定义安全服务套餐，实现一体化交付。

适用场景—私有云安全防护 icon

存在问题

私有云的建设，使得计算和存储资源实现了软件定义、按需调度和弹性扩展。传统的硬件设备堆叠的方式架构固化，安全能力及性能均无法实现灵活的按需使用及弹性扩展，难以适配云平台的安全建设。

解决方案

用户可根据自身私有云平台的建设发展，按需扩展安全资源池的组件类型及安全能力。用户可通过横向扩展服务器的方式扩展整个平台的性能，灵活适配云平台安全建设需求。用户在安全资源池平台上也可按需灵活选取安全组件，实现安全架构的快速调整。

适用场景—云平台对接 icon

存在问题

云租户业务上云后安全防护往往需要自行负责，云平台自身可提供安全防护能力有限，无法满足用户的各类安全需求。用户采用硬件设备又需要投入大量的时间成本进行方案的建设和上线，且建设完成后各个硬件设备架构固化，无法灵活编排和弹性扩展。

解决方案

网御星云云安全管理平台可与主流云平台进行深度对接，云平台的管理平台可实现用户管理、订单管理等功能。云平台服务商可将安全能力与云计算能力打包提供给用户，实现业务增值。同时，用户也可随着业务自身的发展变化，调整安全组件类型，以适应业务安全需求的不断变化。

VMware案例---某省电信 icon

拓扑说明：虚拟化环境为VMware6.0 交换机为vSwitch。VTAP侦听到vSwitch上的流量后，过滤封装后交付至SDS流转发平台。流转发平台将流量交付虚拟化安全资源池。

VMware案例---某省联通医疗云 icon

本案例利用VMware分布式交换机的管理界面进行的端口镜像配置，要求服务器有空闲的网口或者利用业务流量网口（不建议）。产品：Vetrix（虚拟IDS、虚拟审计、虚拟FlowEye、虚拟WAF、SOC）。虚拟交换机版本：VDS 6.0.0，VDS 5.5.0，VDS 5.1.0，VDS 5.0.0 。

VMware案例---某省联通医疗云 icon

具体部署：WinA、WinB是同属一个物理节点上的两台虚拟机。甲方要求: 需要检测南北向和东西向的流量。通过vShpere Web Client利用vds自身的远程镜像功能实现流量复制导出。

与华为平台合作案例——某省移动 icon

具体部署：云资源池数据安全平台主机服务器，实现对网内主机、数据库的敏感数据扫描与识别，并制定定期扫描计划，对扫描结果进行汇总展现。采用VTAP虚拟导流器将被监控虚拟主机的流量导出，发送给vetrix控制中心进行敏感数据和主机的行为分析。本案例利用华为分布式交换机的管理界面进行的端口镜像配置，要求服务器有空闲的网口或者利用业务流量网口（不建议）。