案例背景介紹

2016年7月15日，銀監會發布《中國銀行業信息科技“十三五”發展規劃監管指導意見》征求稿，要求到“十三五”末期（2020年），銀行業面向互聯網場景的重要信息系統全部遷移至云計算架構平臺，其他系統遷移比例不低于60%。至此，銀監會明確了銀行業上云時間表。面對新的市場環境，中國平安作為多元化的綜合性金融服務集團，旗下平安科技在預見云計算對傳統產業帶來巨大變化的同時，憑借發展云計算的先天條件和業務需求，以業務場景為切入點，籌建了平安金融云。金融云服務，將聯合其他金融IT方案，為銀行、基金、保險等金融機構提供IT資源和互聯網運維服務，開展面向銀行業的公共云平臺規劃和建設，讓金融機構能夠更好地開展互聯網業務。

平安金融云網絡面臨的挑戰

平安云對國內外先進架構進行比對驗證，在保證技術可靠性的前提下選擇商用產品進行補充的方式，支持了平安系軟件應用在平安云上線。網絡是云計算的基石，金融云網絡更是金融系統上云面臨的最大挑戰。如何實現網絡架構安全合規？如何應對頻發的網絡威脅？這不僅是金融業務遇到的難題，更是金融云網絡面臨的挑戰。

缺乏檢測異常流量攻擊的有效手段。當前網絡攻擊行為呈現出成本低廉、手段多樣和危害極大三個特征。傳統的網絡安全防護手段（傳統安全工具都是單點防護，互相之間缺乏聯動）已顯現出各自的局限。在防護范圍角度，傳統手段往往著重在網絡邊界和客戶端布防，對來自內網的網絡流量沒有給予足夠重視。在檢測方式角度，基于網包特征匹配的檢測方式對APT（Advanced Persistent Threat）攻擊防御不足。

管理和維護海量安全規則十分困難。按照基本的安全規則計算，平安云支持單個虛擬機默認配置約60條安全規則，若50臺虛擬機配滿安全策略則多達3000條。業務上線后更多的規則將被下發到虛擬機、更多的規則將隨著業務的變化和虛擬機的遷移而修改。隨著時間的推移，系統中的安全策略往往只增不減，規則數目龐大，新增規則是否生效、是否與其他規則沖突、如何判定歷史規則是否失效……怎樣對海量規則高效管理已經成為運維團隊日常耗時最多的工作。

云杉網絡與平安科技的合作

云杉網絡與平安科技在2016年初進行合作，基于對開放網絡和軟件定義網絡等理念上的一致，雙方在網絡建設、運維及安全方面進行了深入的合作，在云環境中實現領先的網絡服務。以Deepflow產品為基礎，為平安云構建網絡大數據分析平臺后，初期實現多點多地數據中心網絡數據采集、運營分析、快速故障排查等，并覆蓋公有云、私有云。隨著合作深入，云杉參與到了平安云更多規劃的網絡服務，如網絡安全服務、數據分析增值服務等。

客戶價值

開放網絡數據，不僅為網絡部門提供服務，也為安全、系統等部門提供給服務。在異常流量分析、滲透攻擊發現、業務優化等方面提供支撐依據。 Deepflow實時監控全網流量，并基于NBAD大數據安全分析，能夠識別端口掃描、ARP欺騙、暴力破解、多種Dos攻擊等網絡惡意行為，迅速識別被感染的虛擬機。

貫徹安全意圖、實現網絡閉環。云杉網絡Deepflow提供了安全白名單驗證機制，用戶可按IP地址、業務角色、資源組等方式劃分網絡資源，并依照意圖設定安全驗證策略， Deepflow實時分析確保持續感知網絡流量，驗證安全策略。 Deepflow結合平安云的AIOPS、分布式防火墻，實現用戶網絡意圖的監控一體和策略閉環。

云杉網絡和平安科技展開了多項合作以及新技術的探索， Deepflow以數據場景化為核心，覆蓋物理網絡、虛擬網絡和云網環境，并從采集、分析、可視和控制四個維度，協助平安金融云構建了數據驅動的云網絡安全分析平臺。