【零信任落地案例】蔷薇灵动中国交通建设股份有限公司零信任落地解决方案

1方案背景

目前中国交通建设股份有限公司（以下简称中交建）数据中心内部千台主机 所采用的网络安全防护手段主要有边界类以及终端类等产品，现有的安全防护产 品无法实现数据中心、公有云等上千规模的虚机访问关系可视化、不同介质环境的统一精细化管理、点对点白名单式的访问控制，访问控制策略的管理现状主要 采用人工梳理的方式梳理数据中心内部各主机相关联的业务主机，人工梳理各主 机所需开放的业务端口，采用人工方式设置每台主机的访问控制策略，当主机业 务发生变化或主机迁移时，需人工更新访问控制策略。这种人工管理访问控制策 略的管理方式耗时长且策略梳理困难，亟需实现基于业务的访问控制关系和端口 的自动化梳理、实现基于业务的访问控制策略的设置、实现策略的自适应更新及 实现不同介质环境的统一管理。

2方案概述和应用场景

2. 1现状描述

1. 第一阶段 我司在中交建完成了对VPC间防火墙的部分替换，利用微隔离策略替代原有 vpc间的防火墙策略的替换。 2. 第二阶段 对中交下属50余家二级单位进行纳管，做到分级授权、分散管理，分数部 署方式，避免边界防火墙压力过大； 3. 第三阶段 完成对4A身份系统的对接； 完成与CMDB的对接，进行配置、策略的同步更新；

2. 2蔷薇灵动5步实现数据中心零信任

1. 明确要实施微隔离的基础设施，确定管理范围 中交建部署我司集群版管理中心，最大管理范围可达25000+的终端。对纳 管范围内的虚拟机进行客户端部署，同时通过独特的身份标签技术对每一台机器 进行描述。 2. 利用可视化技术对业务流进行梳理

​3.根据业务特征，构建零信任网络架构

4.生成并配置微隔离策略，对被防护系统实施最小权限访问控制

​5.对主机网络行为进行持续监控

​

3优势特点和应用价值

3. 1优势特点

3.1.1分级授权、分散管理 大型企业规模庞大、分层过多造成管理及运维困难，各部门协同工作效率不高，很难及时作出有效决策。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台能对不同权限用户提供细致 到功能点的权限设置，区分安全、运维与业务部门的权限划分，结合微隔离5 步法更好地实现数据中心零信任。

3.1.2高可靠、可扩展集群

微隔离产品属于计算密集型产品，随着点数的增多计算量成指数型增长，在 应对超大规模场景时如何保持产品的稳定性、抗故障率等是一种巨大挑战。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台支持集群模式，支持更多的 工作负载接入，降低系统的耦合性，更以扩展，解决资源抢占问题，提升可靠性, 有更好的抗故障能力。

3.1.3大规模一步通信引擎

随着超大规模场景的需求日益增多，管理中心和客户端之间通信能力迎来巨 大挑战。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台可做到高效并发通信，通过 软件定义的方式，从各自为战彼此协商走向了统一决策的新高度。

3.1.4 API联动、高度可编排

超大规模情况下，资产信息、网络信息、安全信息、管理信息、运维信息等 各自独立，不能紧密结合。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台面向云原生，API全面可编 排，便于融入客户自动化治理的体系结构里，讲个信息平面打通并精密编排在一 起，促进生态的建设。

3.1.5高性能可视化引擎

随着云计算时代的来临，网络流量不可见就不能对业务进行精细化管控，同 时也不能进行更高层的网络策略建设。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台对全网流量进行可视化展示, 提供发现攻击或不合规访问的新手段，为梳理业务提供新的视角；同时平台可与 运维管理产品对接，便于对业务进行管理。

3.1.6高性能自适应策略计算引擎

随着业务不断增长，企业网络架构不断演进、内部工作负载数量也呈指数型 增长。超大规模场景下，海量节点、策略量大增、策略灵活性不足等问题日益显 著，而企业往往缺少有效的应对方式。

能力体现：蔷薇灵动蜂巢自适应微隔离安全平台可以自动适应云环境的改变。 面向业务逻辑与物理实现无关，减少策略冗余。为弹性增长的计算资源提供安全 能力。软件定义安全，支持DevSecOps,安全与策略等同。

3.2应用价值

3.2.1业务价值

1. 满足数据中心中各业务对东西向流量管控的要求。

针对现有业务场景，根据业务实际的访问情况，配置点对点白名单式安全策 略；需对内网服务器（虚拟机）细分安全域。对于高危端口、异常来源IP、异 常主机，需在网络层直接关闭、阻断。防止攻击者进入网络后在数据中心内部横 移；在上千点主机的业务规模下，当主机的业务、IP等发生变化时，需能够实 现访问控制策略的自适应更新；需实现针对物理机、虚拟机及容器的统一管理。

2. 攻击面缩减。

数据中心内部存在大量无用的端口开放，存在较大风险。

3. 发现低访问量虚机。

目前数据中心内部存在有些虚拟机访问量较少，使用频率不高的情况，这造 成了资源浪费，并且可能成为僵尸主机，增加安全风险。

4. 内部异常流量发现。

目前数据中心内部缺少对于内部东西向流量的监测能力，内部存在不合规的 访问行为。

5. 简化安全运维工作。

目前数据中心内部由于历史原因及人员的更迭，现有很多规则已与需求不符, 但由于不清楚业务访问逻辑，安全策略调整十分困难，需要能够减少安全策略总 数，并对策略调整提供依据。

6. 投资有效性需求。

目前数据中心内部采用传统物理服务器，虚拟化云平台也在持续建设中（按 照规划，云平台将发展为混合云架构），以及不排除未来会采用容器技术进行业 务搭建。考虑到投资的有效性，具体要求如下：

1） 既适用于物理机、也适用于不同技术架构的云平台。

2） 可以对容器之间的流量进行识别和控制。

3） 物理机、不同技术架构的虚拟机、容器均可在同一平台进行可视化呈现 及安全管理。

7. 协助满足等保2. 0的要求。

等保新规中“能够识别、监控虚拟机之间，虚拟机与物理机之间的流量'‘等 要求。

3.2. 2功能分析

1. 内部流量可视化

1） 需要在一个界面中绘制全网业务流量拓扑，并能实时更新访问情况；

2） 需识别物理机之间、虚拟机之间、虚拟机与物理机之间的流量；

3） 需识别流量的来源IP、目的IP、访问端口即服务；

4） 需能够查看虚拟机所开放的服务、服务所监听的端口，及服务对应的进 程；

5） 需能够记录服务及端口的被访问次数；

6） 需能够记录被阻断的访问，包括来源IP、访问的服务及端口、被阻断的 次数等信息；

7） 拓扑图需可以标识出不符合访问控制策略的访问流量；

8） 拓扑图中的元素需支持拖动、分层，实现业务逻辑的梳理。

2. 对未来可能涉及到的容器环境提供微隔离防护能力

1） 需能够识别容器之间的访问流量；

2） 需识别流量的来源IP、目的IP、访问端口及服务；

3） 需能够实现容器之间的访问控制。

3. 微隔离策略管理

1） 需实现全网物理机、虚拟机、容器的访问控制策略统一管理；

2） 通过web页面需实现访问控制策略的增加、删除、调整；

3） 需可以进行精细化访问控制策略的设置，包括访问的来源、目的、访问 的端口及服务；

4） 需可配置逻辑业务组的组内规则及组间规则。

4. 访问控制策略自适应调整

1） 当物理机、虚拟机、容器的IP发生变化时，产品需能够自动调整所有与 其相关主机的访问控制策略；

2） 在虚拟机迁移的过程中访问控制策略需能随之迁移；

3） 当虚拟机发生复制时，系统能需识别并自动将原虚拟机的角色及访问控 制策略应用到新复制的虚拟机上；

4） 产品需能够自动发现新建虚拟机，并自动匹配预设访问控制策略。

5. 兼容性要求

1） 需支持Windows sever2008R2和以上Windows全系64位服务器操作系统， 及 CentOS、Ubuntu、Redhat 等主流 Linux 发行版本；

2） 需支持实体服务器、VPS和云主机等混合环境；

3） 需支持OpenStack等云操作平台，Xen、Hyper-V、VMware、KVM等虚拟 化架构。

6. 产品安装

1） 客户端支持一键快速安装，可利用统一运维工具，一键批量安装；

2） 客户端的安装、升级、删除无需重启虚拟机。

4经验总结

实施过程中的挑战：客户要求虚拟机模板内置客户端镜像形式部署，由于部 署时间紧张且需要对不同的虚拟机内的文件进行修改，故没有采取此安装方式。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）