汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。
2013年7月,G7安家阿里云上。起初诉求是,利用云来快速搭建业务的服务端、获取更强的运维能力以及更好的安全能力。上云后,G7的显著改变是管理的快捷、统一,以及云所提供的整体能力。
但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。
G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。
由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂......
基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。
但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。
另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。
如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。
当业务大部分部署在云环境中,复杂度高,基于可视化进行微隔离和业务梳理至关重要 — 企业必须先“看得清业务”、才能“隔离的精细”。在云防火墙的协助下,历时3周左右,G7完成了安全域从2个到43个、每安全域的服务器数量从300降为13的精细化隔离,实现了业务的全面可见,有序管理。
在此基础上,G7通过云防火墙发现了很多服务器的异常情况,例如某些监控主机已变为代理主机,某些数据库服务器被来自互联网的流量访问,某些服务器已经成为信息孤岛。
再次,运维管理人员,通过云防火墙的流量可视,能轻松完成弹性迁移和业务变更的操作,是否存在访问关系?怎样的访问关系?是否会影响业务?一目了然。
也正因此,云防火墙最终提高了G7的整体运维效率,降低了运维成本。让业务发展和安全稳定能够顺利并行。
阿里云云盾· 云防火墙是国内首款基于可视化的微隔离产品。
与传统防火墙相比,阿里云云盾 · 云防火墙为企业带来了这些创新价值:
首先是业务可视:让企业先看见业务,再进行策略部署;
其次,减少隔离策略错误:通过流量可视,最大程度保障了策略的正确性;
最后,简化运维:云防火墙通过拓扑化将资产、资产的访问关系一一呈现出来,让运维更加简单。
在技术上,它将业务可视与微隔离原本看似关系不大的两项技术,有效的结合在一起,基于机器学习算法,实现智能分组(Intelligent Segmentation):企业无需进行任何配置,一开通就可以自身的业务的分区、分组、服务器资产、服务器之间的访问关系。
除了G7以外,云防火墙已经为超过150家阿里云的企业服务。在未来,云防火墙将通过更多的智能算法和大数据分析,帮助全球企业实现更多业务之间、服务器之间、应用之间的策略管控,让安全管理迈入有序、可见、自动化的时代。
点击了解阿里云云盾 · 云防火墙
https://www.aliyun.com/product/cfw?spm=5176.8142029.388261.122.1c8f6e81kKZH31
