背景

天翼云平臺缺少自研主機安全類產品，依賴第三方廠商oem的產品成本高，服務售后鏈條變長，與我們自身的業務融合度不高，沒有很好滿足云環境的安全需求。服務主機面臨著巨大的安全風險，急需一款云原生產品為天翼云提供云上主機的安全防護能力，ECHA的控制臺支持統一的資產管理、零信任授權、主機合規檢查、歷史行為數據的溯源分析，通過安全云腦大數據安全分析，推送威脅情報數據給EDR，EDR能根據IOC情報快速定位威脅、發現并響應安全事件。翼察EDR產品的防護體系以安全準入為核心，以預防、防御、檢測與響應這四個維度的能力來提供事前事中事后的服務。
授權能力：為用戶業務提供零信任授權服務，安全準入能力，重新定義安全邊界，提供更精準更全面的權限管理能力。
預防能力：為用戶提供對資產盤點、等級保護2.0審查等預防能力；
防御能力：為用戶提供對勒索病毒、暴力破解等攻擊的實時防御能力；
檢測能力：為用戶提供漏洞檢測、弱密碼掃描的檢測能力；
響應能力：支持威脅定位、威脅情報聯動響應能力。

產品架構

1. 外部資源包括用戶的所有IT資產，云終端、pc、用戶自建業務、云服務等等，在終端上安裝翼察的EDR agent，負責授權，殺毒，日志上報，策略執行等操作。
2. 接入層是基于pomerium的零信任分布式網關，終端與業務服務之間的所有請求均需經過零信任網關，只放行獲得授權的請求。
3. API層、服務層與數據庫層組成翼察的后臺核心服務。
4. 翼察后臺服務可部署在公有云與私有云上，公有云上盡量依托K8S的服務治理能力，減少運維的壓力。私有云上部署則可以滿足大型用戶更高級別的安全需求。

翼察后臺系統分為三個主要的邏輯組件：主控中心、后臺數據中心和零信任網關

1. 主控中心只部署在全國區，負責管控所有的后臺數據中心和零信任網關；
2. 后臺數據中心靈活部署，從1個到N個，可視用戶規模而定，盡量選擇骨干網上的較大資源池創建；
3. 零信任網關無狀態設計，輕量部署，可在多地布點，提高用戶的訪問質量和容災能力；

以下是整個系統的詳細設計圖，包括主控中心，后臺數據中心、零信任網關、用戶agent和用戶業務系統的數據流設計：

1. 基于天翼云的網絡架構（全國區+若干地區節點），云翼察系統的主控中心部署在全國區，主要包括web管理端、管理后臺主控節點和策略數據庫等。在重要資源池的預置區可部署云翼察的后臺數據中心，Ipa、IAM服務、SOC服務等等。在任意資源池可部署零信任網關，靈活擴展，調度方便，最大限度保證用戶的業務可用性。
2. 終端Agent主要分成兩大類，一類為天翼云上的終端，另外一類為云外終端，都可通過翼察的安全EDR Agent接入翼察系統。
3. 用戶業務系統也是分成終端云業務與非終端云業務，可接入翼察的零信任系統，獲得統一、安全、可靠的業務準入服務。
   • 終端云用戶，業務流量可直接代理到零信任網關，準入鑒權過濾后通過內網回源到用戶業務服務器上，幾乎不影響用戶業務的網絡速度。
   • 非終端云用戶，業務流量可根據就近原則和網絡情況配置低延時的零信任網關，提供高質量的準入接入服務，零信任網關的多點部署可應對復雜的公網環境。
   • 流量加密，接入零信任網管的流量，首先會經過agent進行加密，發送到零信任網關再轉發到sidecar（部署到用戶業務側的一個透明代理），解密流量后再轉發回用戶業務服務。流量加密保證了鏈路安全性的同時，用戶又感知不到加密過程，極大降低了用戶的接入成本。