云時代大潮涌動,滾滾向前,政務云應用更是突飛猛進,跑在了各行業的前列。與此同時,政府部門對云安全的擔憂也一直高居不下,成為政務云應用領域的重要組成部分。
由于政務云承載的都是政府機構用于執行政府職能的信息系統,涉及的信息更為敏感,需要更高的安全性;另一方面,政務云行使政府職能的特點導致更容易受到來自外部或內部的攻擊。因此,近年來國家也為此出臺了一系列規范和標準,包括《關于加強黨政部門云計算服務網絡安全管理的意見》、《信息系統安全等級保護基本要求云計算安全技術要求》、《信息系統安全等級保護測評要求云計算要求》、《政務云安全技術要求與實施指南》、《政務云平臺安全等級保護測評方法與規范》等。
作為政務云的建設者,上海移動在浦東政務云項目建設中,同樣將云安全建設視為重中之重。通過全面的云安全體系建設,成功地提升了浦東政務云安全成效。讓我們看看他們是怎么做的吧!
云中領跑,安全更要同步
浦東作為推動上海經濟社會發展的引擎,在云計算領域更是走在全國的前列。2015年,上海移動與上海浦東新區政府一起通過ppp模式,啟動了全新的政務云數據中心項目,采用云計算技術,依托政務專網資源,為政府各個部門搭建一個統一的政務云服務平臺,實現以“云”的理念重新變革政務建設模式,解決傳統政務建設、運維和管理難題,提高政務建設效率和服務水平。
打造領先的政務云,同樣要構建領先的云安全體系。對此,上海移動對浦東政務云安全整體上制定了幾個目標。首先是租戶安全隔離,在云平臺環境下,不同安全需求的委辦局租戶可能運行在同一臺物理機上,要避免在一個租戶遇到安全威脅時向其他租戶擴散,不影響到同主機上其他部委的正常業務。另外,還要避免政務云平臺管理員訪問委辦局機密數據,對數據機密性、完整性、可用性造成破壞。
其次是無邊界安全防護。傳統數據中心安全防護的最大特點是以“邊界”為核心,而在服務器虛擬化、逐步實現云計算之后,安全邊界的概念已然不存在,傳統的安全防護方式失去了作用,只能通過隨時隨地、無處不在的防護才能保障安全性。
再則是安全按需調配。在云環境中,租戶的基本需求是計算資源和存儲資源的自定義申請和彈性的服務交付,面對安全的需求也是如此。傳統的安全防護基礎設施無法為租戶有效的分配個性化的安全資源,降低了單個租戶的安全防護要求,成為云服務環境下的服務瓶頸,需要有效地加以解決。
另外,還要提供安全可靠的云平臺,滿足政務云更高的安全性要求。政務云上的業務系統要實現三級等級保護,需要支撐平臺通過相應的等級保護認證。
浦東云安全走“兩步”
在具體部署過程中,新華三與上海移動、浦東區政府一起,參照國家推出的各項云安全規范,設計了政務云整體安全解決方案,從物理層、資源抽象與控制層、云服務層,提供全方位的安全防護,包括防DDoS攻擊、漏洞掃描、主機防御、網站防御、用戶隔離、認證與審計、數據安全等模塊,合理地解決政務云信息安全與信息共享、開放性之間的矛盾。在政務云系統保證合規性、安全性和機密性的基礎上,保持信息共享和通訊暢通的效率。
整個安全體系建設分為兩步走
第一步,就是完成中高端系列防火墻、堡壘機、系統漏洞掃描、數據庫漏洞掃描、數據庫審計、入侵防御等安全設備的部署,形成基礎安全防護能力。
接下來的第二步,浦東政務云通過部署網閘、服務器負載均衡、上網行為審計、WAF、Web漏洞掃描、天機-安全管理中心等安全設備和軟件,將全網安全資源建設成統一的安全能力中心。
不難看出,安全能力中心對于云架構來說顯得更為重要。安全能力中心按需求分為東西向和南北向。東西向安全能力中心實現虛擬機之間的安全隔離,避免虛機上的風險在內部橫向擴散,提供多虛擬機之間的業務負載均衡,保障服務的可靠性。南北向安全能力中心則實現平臺和租戶從政務外網向廣域網、互聯網訪問以及從廣域網、互聯網訪問政務外網的流量全方位安全防護。
安全的與“云”俱進
云架構與傳統IT架構有著十分明顯的差別,對于安全防護來說,同樣需要與時俱進。在浦東政務云安全建設過程中,上海移動采用了當前業內最前沿的SDN+安全服務鏈技術,可謂云安全建設領域的成功樣板。
說到安全服務鏈,先要分析一下傳統安全業務部署的弱點。傳統模式下,安全業務部署通常基于物理拓撲,將安全設備串行到業務流量路徑中,無法滿足快速變更的需求;設備能力擴展性較差,也無法在多業務間共享;傳統基于路徑的部署方式無法應用于Overlay網絡。
而采用SDN+安全服務鏈技術,可以基于Overlay網絡構建集中的安全能力資源池,通過集中的SDN控制器將需要進行安全防護的業務流量引流到安全能力中心進行防護,并且根據業務需求編排安全業務的防護順序,也就是通常所說的服務鏈,按需調度安全資源,安全資源以服務方式交付,真正實現安全能力的彈性擴展、業務能力共享、多租戶隔離的云安全防御。無論是事前的日常安全檢查、事中的安全防御,以及事后的快速響應都能夠有效保障云平臺和租戶的主機、網絡、應用的安全及穩定,并通過新華三的天機安全管理中心實現以業務為核心,融合安全、網絡、應用的統一管理,提供安全風險態勢感知、安全業務快速部署、安全分析和審計、安全響應和報告等。
這種方式的好處十分明顯。通過SDN控制器定義安全服務鏈,上海移動在浦東政務云項目中實現了服務鏈定義的自動化,而且控制器會實時監控安全資源池的負載情況,可以根據負載實現安全資源池的擴展或者資源釋放。某個委辦局需要新開一項業務時,只需在申請計算、存儲、網絡資源同時按業務需求申請一定數量安全資源即可上線某項業務,下線某個業務即收回所有資源,有效減少了投資成本,運營成本,縮短了新業務投入時間,增加了靈活性。
此外,政務云安全防護控制面實現由新華三的SDN Controller集群實現,提高了可靠性和可擴展性,避免了大規模組播的復雜部署。并支持分布式網關功能,使虛機遷移后不需要重新配置網關等網絡參數,部署簡單、靈活。東西向業務通過服務鏈方式部署虛擬防火墻等提供安全訪問控制,南北向業務通過中高端防火墻、IPS等提供安全訪問控制。
目前,浦東新區政務云已順利交付,搭建完成了全區統一的電子政務資源云平臺,全面支撐了政務網的業務需求,成為推動浦東“新經濟”重要基礎,同時也為整個上海乃至國內政務云應用提供參考和借鑒。通過浦東政務云的安全體系建設,上海移動也成功探索出云安全建設的方向,為未來的政務云建設實踐出新的路徑。
京公網安備 11010502049343號