技術乾貨｜深信服超融合如何實現業務上線即安全？

想了解更多精彩內容，快來關注中國科技資訊網

關鍵業務上雲後，真的安全嗎？

雲上如果存在漏洞，那資料洩露、業務中斷、勒索威脅等問題隨時都有可能發生。

即使透過外掛的漏掃裝置進行不定期巡檢，掃描結果誤報、掃描結果資訊混亂無法跟資產關聯、問題太多無人力逐一排查等問題緊隨而來。

所以，如何有效地管理雲上漏洞？

深信服超融合6。8。0給出了答案。

一、上線即安全

在業務雲化過程中，全面監控雲上資產，可以有效發現脫離安全策略的“漏網之魚”。

深信服超融合內建的雲安全中心能夠

自動給所有虛擬機器安裝agent

，從而實現資產系統識別、應用識別，並接受下發的漏洞檢測修復、病毒查殺等指令，達到虛擬機器上線即安全的效果。

為了保證agent能夠不受環境限制能夠給所有虛擬機器裝上去實現監控，

深信服超融合自研G2H模組間通訊方式。

雲安全中心可透過virtio-serial或virtio-vsock打通虛擬機器、物理主機之間的網路通訊，並藉助物理主機上的代理服務將虛擬機器的請求，經由物理主機轉發給終端安全防護模組和雲安全中心，

實現在虛擬機器沒有打通與終端安全防護模組、雲安全中心網路的情況下，自動給虛擬機器安裝agent。

在監控能力方面，雲安全中心提供了資產識別能力，以便使用者能夠根據不同的資產進行不同的安全響應。

資產識別依賴於安裝的agent，agent裡呼叫了VMTools與終端安全防護模組能力，透過VMTools後臺自動收集虛擬機器上的資訊，再由應用識別模組識別作業系統、web應用、資料庫、中介軟體及相應版本，透過G2H隧道將所收集的資產指紋資訊定期同步給雲安全中心平臺。

所以，只需透過虛擬機器上輕量化的agent，

雲安全中心可以做到從終端、系統到應用層面的全面監控

。

二、漏洞管理

防護動作不應只侷限在終端，而是需要

終端、網路、雲端

三位一體全方位防護。

針對終端漏洞管理，深信服超融合雲安全中心透過自動安裝的agent與創新的模組通訊方式，支援對全平臺主流漏洞進行實時檢測。

深信服超融合透過識別資產變更，能自動對終端安全防護模組下發漏洞掃描任務，使用者也可選擇透過介面主動手動觸發漏洞掃描。

虛擬機器終端上的agent會實時將任務進度、漏洞資訊回傳給雲安全中心

，並幫助使用者視覺化地瞭解資產中的漏洞和風險情況，識別虛擬機器當前存在的漏洞風險。

透過內建的終端安全防護模組，深信服超融合提供漏洞一鍵修復功能或建議，引導使用者嚮導化完成掃描修復動作。修復前自動呼叫超融合自身底層快照介面進行修復前快照兜底，修復後如果業務異常可以及時恢復到快照點。

在網路防護上，深信服超融合提供了網路視覺化功能，

能夠對業務間複雜的訪問流量進行分析

，準確地繪製出業務系統之間的訪問關係。

流量採集器透過旁路方式部署在虛擬網路層，採集到的流量匯入到流量收集器，再由流量分析模組對收集的流量進行解析，之後將流量資訊儲存在資料庫中供呼叫，並以圖形化的方式將訪問關係呈現出來。

透過訪問關係，管理運維人員可以識別異常訪問流量，排查意外暴露的埠，並可在排查處置前透過內建的分散式防火牆對漏洞虛擬機器進行封堵，

防止潛在威脅進一步擴散

。

另外，深信服超融合也提供了流量映象功能，可將東西向流量映象到安全審計裝置做七層流量分析。

未來，深信服超融合將推出虛擬補丁功能，在網路層面，用軟體定義的方式檢測防禦利用漏洞進行攻擊的流量，在保證業務不中斷的情況下，也能封堵漏洞。

在深信服超融合本身提供的主機防護和網路防護能力基礎上，深信服

7*24小時威脅情報中心也在雲端向超融合雲安全中心實時推送全球最新的威脅情報。

使用者只需將終端安全防護模組連通威脅情報中心，虛擬機器無需另外連線公網即可獲取到最新的漏洞資訊與處置建議，

確保超融合所有虛擬機器漏洞可第一時間暴露出來

，幫助運維人員及時處置響應。

基於深信服在安全領域二十餘年的積累，深信服超融合打造了雲、網、端多維度防護的雲安全中心，將安全能力真正

“融合”在超融合中，並不斷提供豐富的安全事件閉環方案，幫助使用者業務實現上線即安全。

以上就是本期《信服雲黑板報》的分享，關-注“深信服科技”，持續-獲-取-更多技術乾貨內容。

免責宣告：本文轉自網路，不做商業用途，本號只做資訊儲存之目的，文章僅代表原發媒體原發作者個人觀點，與本號無關。其原創性以及文中陳述文字和內容（包括圖片版權等問題）未經本號證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，並請自行核實相關內容。本號不承擔此類作品侵權行為的直接責任及連帶責任。

若無意侵犯您的合法權益，請作者持權屬證明與我們聯絡，我們深表歉意，將及時更正、刪除，謝謝。