工作負載標簽化管理

零信任訪控需要面向身份，微隔離的控制需要面向業務，這二者的關聯是什么？對于“非人實體”而言，他的身份其實是他的業務角色，這一點其實與“真人實體”并沒有什么差異（小張、小李不是身份，這個人的業務角色才是授予他權限的依據）。

• 工作負載標簽化管理，是指基于多維屬性標簽，刻畫工作負載業務角色、標定工作負載資產身份的管理設計。標簽化是實現基于業務的互訪流量可視化、面向業務的訪問控制和自適應策略計算的基礎能力；

• 通常情況下，可通過工作負載的位置、環境、應用、角色等屬性定義標簽；

• 在進行策略配置時，我們是通過標簽的組合來設定策略控制的范圍的。所以，從工作負載本身到角色，到帶有多維標簽的身份、再到使用多維標簽的策略范圍，我們通過五層實體、四次動態映射實現了安全策略與基礎設施解耦（即面向業務而非基礎設施）。

微隔離訪問控制

支持內部云主機之間的微隔離訪問控制（東西向），基于拓撲設置安全策略、可減少內部安全策略總數的90%。

當我們理清了內部連接的基線模型后，就要開始進行策略配置了。東西向流量的策略配置復雜度比較高，我們也進行了針對性的設計：

• 首先，上面提到策略是基于標簽而配置的，一方面實現了安全策略面向業務（而非基礎設施），另一方面則大幅減少了基于IP地址的策略規模，降低了系統運算量及性能開銷；

• 其次，我們的策略具有多種模式，具備建設、測試、防護3種策略生效模式，最大化的降低安全策略部署過程中的業務影響；

• 第三，我們可以通過多種方式配置策略，比如在可視化視圖中點擊連接線，向導式的快速放通某個連接，又比如我們可以提供一個策略生成器，將當前的策略效果與實際發生的連接進行匹配，幫助客戶分析出目前的策略配置沒有覆蓋到的連接，進而快速、批量的生成策略，最大化降低使用難度。

• 第四，對于有特殊需求的終端，我們也支持基于IPSec協議實現點到點的加密，最大化實現靈活管控。

安全策略可視化管理

在業務拓撲中利用紅綠線標識符合策略的流量及不符合策略的流量，并支持查看流量阻斷日志。

由于工作負載帶有業務角色屬性，所以非常有利于基于學習到的連接關系生成一張綜合的可視化視圖，可以直觀呈現環境間、業務間、工作組間、工作負載間的互訪關系。基于此能力，實現如下價值：

• 有利于梳理資產、摸清家底，知道有哪些工作負載，知道工作負載開放了什么端口（暴露面），護網時可利用此功能生成資產臺賬和端口臺賬；

• 便于以學習到的情況為基礎，清晰的梳理內部的互訪關系；

• 業務連接可視化分析解決了管理者對數據中心東西向流量不可視、無感知的難題，同時也是進一步確定流量基線，部署訪問控制策略的依據。

自適應策略調整

在業務遷移、彈性拓展等場景下，可自動調整安全策略，并支持API自動化編排。

全局策略自適應計算，是指微隔離系統根據工作負載的變化而自動調整符合其業務角色的安全策略。這樣的場景在云化數據中心中時常發生，如業務從物理機遷移至虛擬機、新的數據中心建設、新的業務上線、動態擴縮容等。

這里我們示例了一種最簡單的策略自適應計算場景：

• 用戶基于標簽，使用接近自然語言的描述配置一條策略；

• 自適應策略計算引擎將標簽翻譯為對應的IP地址；

• 當某一個工作負載發生IP變化時，BEA迅速上報該信息，自適應策略引擎則基于這個變化快速進行策略計算，并將新的策略下發至相關工作負載上。

混合云統一安全管理

面向操作系統開發，能夠提供跨平臺（任何基礎架構的公有云、私有云、混合云）、跨介質（物理機、虛擬機、容器）的統一安全管理能力。

• 支持任何基礎架構技術構建的云平臺，包括OpenStack、VMware、KVM、Docker等；

• 實現混合環境下，不同介質的內部流量統一監控、安全策略統一管理；

• 支持阿里云、青云、Ucloud、Azure等公有云平臺；

• 支持Red Hat、CentOS、Ubuntu、Windows等常見操作系統版本。