searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

ECHA架构设计

2023-03-28 06:45:36
69
0

背景


天翼云平台缺少自研主机安全类产品,依赖第三方厂商oem的产品成本高,服务售后链条变长,与我们自身的业务融合度不高,没有很好满足云环境的安全需求。服务主机面临着巨大的安全风险,急需一款云原生产品为天翼云提供云上主机的安全防护能力,ECHA的控制台支持统一的资产管理、零信任授权、主机合规检查、历史行为数据的溯源分析,通过安全云脑大数据安全分析,推送威胁情报数据给EDR,EDR能根据IOC情报快速定位威胁、发现并响应安全事件。翼察EDR产品的防护体系以安全准入为核心,以预防、防御、检测与响应这四个维度的能力来提供事前事中事后的服务。
授权能力:为用户业务提供零信任授权服务,安全准入能力,重新定义安全边界,提供更精准更全面的权限管理能力。
预防能力:为用户提供对资产盘点、等级保护2.0审查等预防能力;
防御能力:为用户提供对勒索病毒、暴力破解等攻击的实时防御能力;
检测能力:为用户提供漏洞检测、弱密码扫描的检测能力;
响应能力:支持威胁定位、威胁情报联动响应能力。

产品架构

  1. 外部资源包括用户的所有IT资产,云终端、pc、用户自建业务、云服务等等,在终端上安装翼察的EDR agent,负责授权,杀毒,日志上报,策略执行等操作。
  2. 接入层是基于pomerium的零信任分布式网关,终端与业务服务之间的所有请求均需经过零信任网关,只放行获得授权的请求。
  3. API层、服务层与数据库层组成翼察的后台核心服务。
  4. 翼察后台服务可部署在公有云与私有云上,公有云上尽量依托K8S的服务治理能力,减少运维的压力。私有云上部署则可以满足大型用户更高级别的安全需求。

翼察后台系统分为三个主要的逻辑组件:主控中心、后台数据中心和零信任网关

  1. 主控中心只部署在全国区,负责管控所有的后台数据中心和零信任网关;
  2. 后台数据中心灵活部署,从1个到N个,可视用户规模而定,尽量选择骨干网上的较大资源池创建;
  3. 零信任网关无状态设计,轻量部署,可在多地布点,提高用户的访问质量和容灾能力;

 

以下是整个系统的详细设计图,包括主控中心,后台数据中心、零信任网关、用户agent和用户业务系统的数据流设计:

  1. 基于天翼云的网络架构(全国区+若干地区节点),云翼察系统的主控中心部署在全国区,主要包括web管理端、管理后台主控节点和策略数据库等。在重要资源池的预置区可部署云翼察的后台数据中心,Ipa、IAM服务、SOC服务等等。在任意资源池可部署零信任网关,灵活扩展,调度方便,最大限度保证用户的业务可用性。
  2. 终端Agent主要分成两大类,一类为天翼云上的终端,另外一类为云外终端,都可通过翼察的安全EDR Agent接入翼察系统。
  3. 用户业务系统也是分成终端云业务与非终端云业务,可接入翼察的零信任系统,获得统一、安全、可靠的业务准入服务。
    • 终端云用户,业务流量可直接代理到零信任网关,准入鉴权过滤后通过内网回源到用户业务服务器上,几乎不影响用户业务的网络速度。
    • 非终端云用户,业务流量可根据就近原则和网络情况配置低延时的零信任网关,提供高质量的准入接入服务,零信任网关的多点部署可应对复杂的公网环境。
    • 流量加密,接入零信任网管的流量,首先会经过agent进行加密,发送到零信任网关再转发到sidecar(部署到用户业务侧的一个透明代理),解密流量后再转发回用户业务服务。流量加密保证了链路安全性的同时,用户又感知不到加密过程,极大降低了用户的接入成本。
0条评论
0 / 1000
唐****标
6文章数
0粉丝数
唐****标
6 文章 | 0 粉丝
原创

ECHA架构设计

2023-03-28 06:45:36
69
0

背景


天翼云平台缺少自研主机安全类产品,依赖第三方厂商oem的产品成本高,服务售后链条变长,与我们自身的业务融合度不高,没有很好满足云环境的安全需求。服务主机面临着巨大的安全风险,急需一款云原生产品为天翼云提供云上主机的安全防护能力,ECHA的控制台支持统一的资产管理、零信任授权、主机合规检查、历史行为数据的溯源分析,通过安全云脑大数据安全分析,推送威胁情报数据给EDR,EDR能根据IOC情报快速定位威胁、发现并响应安全事件。翼察EDR产品的防护体系以安全准入为核心,以预防、防御、检测与响应这四个维度的能力来提供事前事中事后的服务。
授权能力:为用户业务提供零信任授权服务,安全准入能力,重新定义安全边界,提供更精准更全面的权限管理能力。
预防能力:为用户提供对资产盘点、等级保护2.0审查等预防能力;
防御能力:为用户提供对勒索病毒、暴力破解等攻击的实时防御能力;
检测能力:为用户提供漏洞检测、弱密码扫描的检测能力;
响应能力:支持威胁定位、威胁情报联动响应能力。

产品架构

  1. 外部资源包括用户的所有IT资产,云终端、pc、用户自建业务、云服务等等,在终端上安装翼察的EDR agent,负责授权,杀毒,日志上报,策略执行等操作。
  2. 接入层是基于pomerium的零信任分布式网关,终端与业务服务之间的所有请求均需经过零信任网关,只放行获得授权的请求。
  3. API层、服务层与数据库层组成翼察的后台核心服务。
  4. 翼察后台服务可部署在公有云与私有云上,公有云上尽量依托K8S的服务治理能力,减少运维的压力。私有云上部署则可以满足大型用户更高级别的安全需求。

翼察后台系统分为三个主要的逻辑组件:主控中心、后台数据中心和零信任网关

  1. 主控中心只部署在全国区,负责管控所有的后台数据中心和零信任网关;
  2. 后台数据中心灵活部署,从1个到N个,可视用户规模而定,尽量选择骨干网上的较大资源池创建;
  3. 零信任网关无状态设计,轻量部署,可在多地布点,提高用户的访问质量和容灾能力;

 

以下是整个系统的详细设计图,包括主控中心,后台数据中心、零信任网关、用户agent和用户业务系统的数据流设计:

  1. 基于天翼云的网络架构(全国区+若干地区节点),云翼察系统的主控中心部署在全国区,主要包括web管理端、管理后台主控节点和策略数据库等。在重要资源池的预置区可部署云翼察的后台数据中心,Ipa、IAM服务、SOC服务等等。在任意资源池可部署零信任网关,灵活扩展,调度方便,最大限度保证用户的业务可用性。
  2. 终端Agent主要分成两大类,一类为天翼云上的终端,另外一类为云外终端,都可通过翼察的安全EDR Agent接入翼察系统。
  3. 用户业务系统也是分成终端云业务与非终端云业务,可接入翼察的零信任系统,获得统一、安全、可靠的业务准入服务。
    • 终端云用户,业务流量可直接代理到零信任网关,准入鉴权过滤后通过内网回源到用户业务服务器上,几乎不影响用户业务的网络速度。
    • 非终端云用户,业务流量可根据就近原则和网络情况配置低延时的零信任网关,提供高质量的准入接入服务,零信任网关的多点部署可应对复杂的公网环境。
    • 流量加密,接入零信任网管的流量,首先会经过agent进行加密,发送到零信任网关再转发到sidecar(部署到用户业务侧的一个透明代理),解密流量后再转发回用户业务服务。流量加密保证了链路安全性的同时,用户又感知不到加密过程,极大降低了用户的接入成本。
文章来自个人专栏
翼察
6 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0