1、杨长茂绿盟科技集团 云安全解决方案总监云时代的原生安全虚拟机服务器容器Serverless生存时间资源占用：安全能力需要持续扩展，能够涵盖云原生领域，提供一致的安全防护。已用于核心业务生产,43%已用于非核心业务生产,19%仅应用于测试阶段,14%评估,14%未采用,10%数据来源：中国云原生用户调查报告（2020年）容器应用情况统计全生命周期防护接入CI/CD部署模式数据来源：2021 container security and usage report构建阶段扫描,74%构建阶段不扫描,26%构建阶段运行阶段3.攻击日志上传容器安全管理系统编排引擎日志处理模块节点入侵检测容器业务容器（保

2、护对象）业务容器（攻击者）流量控制安全引擎1.流量镜像2.网络攻击4.发现攻击，触发隔离规则5.阻断网络攻击网络入侵检测容器安全扫描最新漏洞环境变化带来的漏洞面向容器的CWPP深度镜像扫描，发现问题禁止上线。容器节点加固，满足基线要求。检测和分析容器进程，发现恶意行为，告警和容器下线。容器微隔离和入侵检测，防止东西向攻击。微服务和API扫描，防止web攻击和数据泄露。应用安全监控和可视化。CI/CD安全构建交付运行DockerfileDocker镜像开发服务器镜像仓库编排软件注册扫描POD1POD2节点1节点2运行时扫描（节点、K8S、容器、微服务）事件告警合规检查主机加固（节点安全）微隔离（

3、网络安全）入侵检测（容器安全）允许上线？Web防护（微服务安全）运行时安全监控分析漏洞、恶意文件（镜像安全）硬件安全设备虚拟化安全能力云化安全服务网络即服务NFVIMANO+SDNSASE云技术赋能安全：利用SDN和NFV等技术，对现有安全能力进行升级，使其具备云计算特性。安全即服务网络即服务绿盟SASE安全网关 零信任访问 数据防泄漏 云沙箱 终端安全 行为审计 日志审计 网站安全监测 威胁情报SD-WAN QoS 全球路由优化 广域网优化 加速访问应用分支机构远程办公移动端客户端移动端客户端代理商合作伙伴/外包公司IoT设备InternetSaaS应用公/私有云数据中心云原生架构弹性可扩展

4、、数据私有全球部署绿盟全球数据中心支持所有边缘SD-WAN网络，支持SDP接入身份认证以身份为核心SD-WANGRE/IPSECclient/clientless SDP基于零信任的云安全内网访问服务，适用于用户到私有数据/程序的连接。形态：SaaS化服务（SDP接入模式需要安装终端软件，IAP接入模式不需要）安装agent SDP访问高密级应用数据中心Internet边缘绿盟SASE边缘SDP agent终端PC/手机SD-WAN应用加速&QoS网络服务安全服务123内部员工分支机构零信任访问控制资产暴露面隐藏企微钉钉认证就近接入SASE边缘节点访问无agent IAP访问低密级应用外部合作

5、商流量加密流量加密私有云抗DDoS攻击四到七层应用代理 关键特性零信任访问控制收敛暴露面 基础能力隐藏应用抗DDoS多因子认证支持TCP/UDP应用支持全程流量加密 高级能力应用健康监控第三方身份服务提供商对接安全移动办公，安全访问内网应用多分支、多合作伙伴访问多地业务业务上多家公有云，收敛暴露面移动端PC1、用户安装agent认证可信客户端申请接入SAGSDP server企微钉钉认证安装agentSAG2、通知SAG向该客户端开放30秒IP和端口3、可信终端与SAG建立连接企业内网应用4、获取身份信息5、基于最小授权原则，SAG执行认证并代理授权访问绿盟SASE CloudSAG公有云B数

6、据中心SDP server1、设备认证为可信设备2、多因子认证3、统一访问控制公有云A数据中心绿盟SASE Cloud可信设备安装agent普通设备认证不通过，不可建连接，不可见应用1、分支部署CPE，就近接入SASE CloudSAG私有IDC2、基于最小授权原则，SAG执行认证授权，并代理访问合作伙伴分支机构公有云数据中心SAG绿盟SASE Cloud即服务化的云上安全网关，基于防火墙、IPS、沙箱等为客户提供针对Web和Internet的威胁保护。同时提供上网行为审计，贴合等保要求提供SaaS安全能力。关键特性访问代理就近接入威胁防护访问控制 基础安全能力云安全网关URL过滤防恶意软件W

7、eb访问控制 高级安全能力威胁情报公有云上SaaS应用Internet边缘绿盟SASE边缘VPN设备/支持GRE IPsec设备/SD-WAN分支机构SD-WAN或建隧道SaaS加速&QoS网络服务安全服务123防恶意软件文件过滤就近接入SASE边缘节点访问过滤恶意网站流量加密流量加密上网行为审计日志审计员工电脑遭受病毒攻击，并通过公司网络感染其他电脑1、部署CPE，就近接入SASE CloudNF4、安全访问Internet企业缺少针对全网威胁的防护手段，网络安全风险高IPSTAC绿盟云员工电脑员工电脑员工电脑2、过滤恶意URL，防入侵3、防恶意文件公司1、部署CPE，就近接入SASE Cloud绿盟云员工电脑运维人员员工电脑2、过滤恶意URL、防入侵、防未知威胁Internet公司ISOP3、上报日志到分析平台4、运营用户界面，全网威胁可视化NIA能力池Internet终端安全数据防泄漏日志审计威胁情报云安全集中管理系统总部移动办公容器容器安全管理系统统一终端安全管理系统公有云/私有云/混合云绿盟云本地PoP节点CWPPSASE安全网关零信任访问网站安全监测沙箱SD-WANQoS加速访问广域网优化安全即服务网络即服务分支机构SD-WAN CPESD-WAN CPESD-WAN CPEAgent云主机SD-WAN CPE谢谢！