殷諾科技股份有限公司

資訊安全設備

vArmour分散式資安系統

原廠產品簡介

vArmour是業界第一個分散式資安系統，能讓使用者在多種雲端環境下監控資訊流量及行為。可提高資料中心內部的可視性及資訊安全，並提升運行效率。

綜觀虛擬環境內部

可跨網域及多種應用，即時監看來自Layer-2到Layer-7網路流量，使資安管理效益極大化。
創新的資安儀表板可呈現出流量趨勢，供管理者判斷整體安全狀態
針對特定行為可再深入點取用戶資訊，以供進一步偵察。
管理者可自行制定資安政策以分析流量，製作客製化報表；也可透過RESTful APIs輕易與第三方資安分析工具整合。

揭露潛藏入侵行為

列出各種APP溝通的關聯圖示，使潛藏的入侵行為無所遁形快速偵察遭侵入的機台，並可精確追蹤駭客路徑，找出入侵起始點
針對較重大的威脅入侵行為做特定搜尋，以利判斷出最佳修復方案
收集來自世界各地的威脅情資，並即時分享更新給vArmour用戶

即時處置可疑行為

分散式架構可深入每個您想保護的虛擬機，並可隨著虛擬機的遷移而調動所在位置
支援”威脅情資偵測”及”資安政策執行”，可於觀察到可疑入侵活動的同時，馬上在同一系統裡主動阻斷攻擊
可跨網域將同性質虛擬機”微切分”成同一群組，方便進行更縝密的資安政策設定
安全加密架構可在確保網路安全的前提下提高資源利用率

簡化既有資安操作

不論使用何種雲端服務，均可透過單一界面下達及執行資安政策，藉以消除安全死角
當新App或執行個體已執行vMotion，可隨之動態進行auto-scale，免除手動設定新資安政策的困擾
當偵測到可疑行為時，可根據客戶需求執行特定腳本，或將收集到的資訊匯入客戶原有的警示系統
可與第三方雲端自動化開發工具(如Puppet, Chef)無縫接軌整合

產品方案功能

vArmour分散式資安系統 [vArmour DSS]

vArmour DSS的分散式資安系統(Distributed Security System)是業界第一個為能通用於多種雲端環境而設計的。在架構上，由單一智能網絡(Fabric)連接串起分散在各Hypervisor的感測器(EP/EPi)。這使得整個系統可視為邏輯單一的整體，不需單獨為每台虛擬機(或執行單位)設定資安政策。藉由將資料中心資安防線由傳統疆界深入至內部的每個機台，vArmour可提供Layer-1到Layer-7的流量供客戶檢視，並可跨實體設備、私有雲及公有雲進行全球一致性的資安政策管理。

vArmour 雲端聯防 [SharedDefense]

SharedDefense是vArmour DSS架構中的一環雲端服務，可提供全球視野，用以持續更新各種客戶環境中的資安事件、可疑行為、威脅特性、及資料中心內部威脅擴散種類。藉由SharedDefense, vArmour資安分析師可結合來自第三方資料庫、vArmour內部研究以及客戶資料庫的情資，加以判斷攻擊所在的網址/地域。

SharedDefense所提供效益如下:

收集並分析最新的威脅情資，持續更新vArmour DSS
提供更有效益的情資見解，供客戶更新資安政策參考，以防止不斷進化的資安攻擊
客戶群橫跨各產業應用及區域，可聯合協防偵測威脅

vArmour 智能網絡 [vArmour Fabric]

vArmour Fabric是由分散於各資料中心hypervisor的感測器串起的網絡，透過單一邏輯平台可統合管理。針對資料中心內部流量可進行深度封包偵測、也可依各感測器收集到的流量找出正常值基線，再執行資安政策。藉由Micro Segmentation(微切分技術)，vArmour Fabric可有效控制每台虛擬機，並可依組織實際需求跨網域切分不同群組管理; 或是允許不同安全層級的虛擬機共存於同一個Hypervisor。

透過收集到的流量，Fabric可提供下列功能:

依客製化欄位產生詳細的Layer-7 metadata，可供vArmour資安分析平台及第三方工具(比如: SIEM）做流量內容的觀察
單一政策管理機制可控管網絡內部應用程式的互動，不需與其他工具整合
將”封包檢測”與”網路控制管理”分開運行，可即時啟動新增的節點，大幅減少整體架構所需耗用的資源
當偵測到可疑行為，可藉由內建的阻擋規則，快速採取行動遏止駭客

vArmour分析平台 [vArmour Analytics]

vArmour Analytics收集來自Fabric的流量，可大幅提高資料中心內部可視性。藉由分析這些流量的模式，可以偵測並對潛在的威脅發出警示。使用者亦可針對未預期的可疑應用行為修改政策。這些政策可透過Fabric在跨雲端環境執行。

可跨網域、虛擬機及多種應用，持續監看網路流量，提高資料中心內部透明度
創新的資安儀表板可呈現出流量趨勢，供管理者判斷整體安全狀態
針對特定行為可再深入點取用戶資訊，以供進一步偵察
使用者可依喜好客製化資安儀表板表格及圖形，以歸類收集到的資訊（包括來源/目的地網址，應用及虛擬機資訊，以及地域來源）
可客製化警示功能，藉以快速偵察並回應攻擊

「分散式資安系統」設計原則

現今的資料中心已逐漸轉為軟體導向，並建置於多樣化的基礎設施中。為因應此變革，vArmour DSS架構運用「Extensible, Scalable, Independent, Actionable」為設計原則，以符合今日跨多種雲端環境的需求。

跨多種雲端環境的資安架構

vArmour DSS能引導組織建立可跨多種雲端環境的資安架構。透過API-based系統，vArmour可與資安應用領域的合作夥伴有效整合，帶給客戶更多效益。

主要技術核心及產品效益

主要技術核心	產品效益
可分散佈署於需監控之VM，並在單一邏輯平台統一管理。	無論客戶所在網路環境為實體、虛擬、或公有雲、私有雲，vArmour產品均可依客戶網路架構提供低成本及簡易安裝的安全防護可透過微切分(micro-segmentation)技術「隔離並控制」被入侵的資料中心，減少安全損害可透過Fabric動態分配security processing，減少firewall端 load balancing需求
可支援任何網路架構，不受限少數結盟廠牌	可彈性置入任何網路架構 (tap mode, vWire, L2, L3, VLAN Trunk, SDN) 支援主要Hypervisor版本，包括ESXi, KVM
可動態執行並自動化安排、協調與管理資安政策	當新的VM上線運作時，可自動實施安全性政策，立即提供防護可自動化VM安全防禦機制，確保VM動態遷移過程不會產生封包損耗。可透過RESTful API整合第三方系統，結合原有網路資源提供更緊密的安全防護。
即時網路安全防禦分析功能	可即時將hypervisor內部及各VM間的網路流量以簡易圖表方式視覺化呈現可透過威脅情資分析來偵測資料中心內部的攻擊擴散狀況可分析出攻擊的相關環節，進而限縮攻擊者的權限，避免重要情資外洩而干擾組織營運可統一更新公司資安政策於所有VM，或佈建特殊政策於特定VM，避免遭受進一步攻擊並加強管控能力。