虚拟化安全怎么做？靠安全设备虚拟化还是换个思路？（三）

云锁如何防御东西向流动（lateral movement）？

云锁采用微隔离和流可视化技术重新定义虚拟网络边界和监控内部网络信息流动，防止攻击者入侵内部业务网络后的东西向移动（lateral movement）。

微隔离（Microsegmentation）是一种更细粒度的网络隔离技术,可以跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略，防止攻击者入侵内部业务网络后的东西向移动（lateral movement）。微隔离域内服务器可自由拖动或加入其它微隔离域，隔离策略自动调整；

流可视化（Flow visibility）通过监控业务系统数据流并将其可视化,帮助安全运维人员实时准确把握业务系统内部网络信息流动情况。

首先登录云锁V3版云中心（http://v3.yunsuo.com.cn/login），进入云中心总览页面，可以快速预览账号下所有服务器的安全状况，包括安全基线巡检得分、风险报告、高危主机等。

点击“边界管理”选项，进入边界管理模块：通过机器学习，云锁能自动识别到企业的业务资产、资产类型和访问关系，并且自动生成可定义访问规则的业务拓扑图。

图标标识说明：云锁能自动识别负载均衡、Web、消息队列、数据库、缓存等业务类型并用不同的图标标识

线条颜色说明：禁止访问（红色）、允许访问（绿色）、无策略（灰色）

服务器可自由拖动到不同的安全域中，拖动后访问规则自动变更。

点击蓝色加号键，可以创建新的虚拟安全域：

点击“设置”图标，可设置安全域内访问规则，比如仅允许web服务器访问数据库服务器，不允许其他业务类型访问数据库服务器。

点击服务器图标，自动识别主机上的服务器的IP地址、操作系统版本、服务进程以及使用的端口：

点击“角色标签”可自定义当前角色标签。角色标签代表了服务器所属业务类型，云锁可以基于业务类型定义全局访问策略。

总结：虚拟化安全的未来是SAAS

在短短几年间，云锁这类主机安全软件（SAAS）已经成长的非常强大，仅通过一个轻量级的agent就几乎涵盖了安全防御的所有层面。作为虚拟化安全的原生解决方案，安全SAAS已经开始成为下一代信息安全的主流解决方案。