总22期
Patent    成功案例
Patent    成功案例
“云网安”一体化,建设安全的政务云
文/王鹭点

近年来,为满足城市发展需要,提升城市管理水平,强化政务执行效能,各地政务云纷纷落地,而围绕政务云的规划与建设也进入到了高速发展阶段。同时,政务云在信息安全与信息共享、开放性之间的矛盾也愈加显著,如何在保证政务云安全性的基础上提升信息共享和通讯畅通的效率,已经成为各地政府部门和建设实施方必须考虑的重点问题。

政务云面临的安全挑战与风险

目前,在政务云应用上各种移动设备、远程设备连接、浏览器以及各种应用程序的插件程序、智能终端、云主机的出现,都给信息安全带来了新的挑战,其中内部攻击者和系统漏洞仍然是信息安全较大的威胁。

以安徽省政务云为例,其在建设之初的规划中就已经从其他政务云中总结出来自安全与管理的多种隐患与风险,主要体现在:

1. 流量不可视:多业务平面(Overlay、Underlay)带来了流量识别与分析的风险。

2. 边界不固定:政务租户之间边界模糊,给区域边界防护造成了风险。

3. 虚拟化自身安全:并行计算、分布式存储、虚拟化平台都或多或少存在接口、系统漏洞等风险。

4. 数据安全与共享:海量政务数据正面临跨部门安全交换与共享的安全风险。

5. 监管与运营:政务云涉及监管方、服务方、使用方、支持方等多个角色,面临日常协作、运营运维等风险。

基于对以上安全问题的考虑,安徽省政务云制定出了总体目标,重点包括:

1. 安全合规:政务云平台安全满足“等级保护”中的“一个中心、三重防护”的要求,确保云底座安全可靠。

2. 服务化安全能力:兼顾政务云租户安全,为租户提供按需审批、自主管理、弹性扩展的服务化安全能力。

3. 多级防护体系:建设纵深防护体系,实现从网络到计算、从应用到数据的多级安全保护。

4. 安全可视化:通过多源数据采集与分析,实现政务云安全态势呈现与应急响应,搭建政务云安全指挥舱。

根据上述目标,安徽省政务云分别提出针对政务云平台的安全建设要求和针对政务云租户网络安全的建设要求。平台安全与租户网络安全两者密不可分,要求从平台和租户两个维度提升政务云安全防护能力,实现政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取较大的安全利益,同时保证政务的信息基础设施、信息应用服务和信息内容能够抵御各种安全威胁,提供具有保密性、完整性、真实性、可用性和可控性的整体安全保障能力。

“1+3”安全防护架构

在安徽省政务云的安全规划与建设中,新华三担负着重要的建设任务。新华三认为,云计算环境下的安全需要从两方面考虑,一是业务安全,二是合规需求。政务云由于增加了运营场景,要兼顾政务内网和政务外网的双重安全需求,在保障整体政务云平台安全合规的同时,更需要面向租户使用,所以对租户隔离和云资源管理问题也会特别关注。

图1 新华三云平台“1+3”安全防护架构

租户上云后应用系统的安全将依靠云平台与数据中心整体架构的稳定与安全,更是业务上云后的保障重点。为此,新华三针对云平台安全提出了“1+3”的安全防护架构,即一个中心,三重防护,由安全管理中心、安全通信网络、安全区域边界、安全计算环境组成整体框架,实现了政务云平台网络环境下的整体安全防护能力。

图2 新华三安全云管理平台

除了保障安徽省政务云平台自身安全外,新华三还为云租户今后通过应用系统的等级保护建设提供了必要的技术及可扩展的安全能力。利用安全云管中心,租户可以更方便地对安全资源进行按需申请、统一纳管及自主部署应用,而以“等保2.0”为基础的安全架构更为租户业务系统建立起了安全防护的资源池,其中安全审计资源池可以很好地解决租户业务流量的安全审查、业务数据内容监测等问题。此外,安全管理资源池还帮助租户实现了网络安全的态势感知、智能化、流程化管理等功能。

值得一提的是,新华三充分发挥在全国各类政务云建设中积累的经验,基于安全云管理平台打造出了安全即服务理念,持续赋能安徽省政务云安全建设。该方案定义了各类标准安全服务,可同时纳管多种安全产品,如态势感知、日志审计、防火墙、入侵检测、防病毒、VPN、负载均衡、WAF、数据库审计、堡垒机、漏扫,抗DDos等,并实现了安全产品的集中管理和策略下发,为租户提供了具备针对性的安全防护能力。同时,安全云管理平台还能够为租户提供在线安全服务、安全协维,并可通过专业的安全服务运营团队快速响应租户的各种安全需求。

融合“云网安”的一体化能力

众所周知,新华三是为数不多的既具备云平台建设能力又具备网络建设能力,同时又具备安全建设能力的综合性厂商。借助云、网业务所兼具的天然优势,新华三可将云安全与云网实现深度融合,形成“云网安”的一体化能力。另外,新华三安全云管理平台基于OpenStack框架,能够与新华三云计算管理平台(Cloud OS)实现深度融合,通过Cloud OS的统一入口即可管理安全能力,同时还可利用SDN控制器实现联动,并识别租户边界网关节点,为安全产品分配对应租户的业务地址,最终实现对租户流量的牵引与安全服务链的编排能力,将租户所需的安全组件直接部署到租户网络中去,无需引流,真正让租户业务的网络安全得到了保障。

而在安徽省政务云的安全建设中,新华三就充分发挥出“云网安”一体化的技术方案优势,成功助力安徽省政务云做到了安全合规、业务可管、风险可控以及安全可视的效果,并以“等保2.0”合规为抓手实现了跨网分区安全合规等能力。同时,在业务分区域分级保护的机制下,利用统一的运维入口将管理网与业务网进行了有效分离,做到业务可管,而对于东西向与南北向的安全防护,包括云平台安全边界及租户访问控制能力均实现了风险可控。此外,为实现安全可视要求,新华三还专门帮助安徽省政务云建立起了应用与资源可视化监控、安全事件可视化监控以及虚拟网络可视化监控等平台。最终,在国家信息中心的指导下,新华三助力安徽省政务云成功打造出全国较早完整的政务云“等保2.0”合规平台。

观点

新华三云安全解决方案所具备的合规性、高性能、高效性、兼容性和开放性的五大独特优势,为云平台安全与云租户安全提供了优质的多样化安全服务,而新华三在满足等保需求的各类安全服务中,通过等保套餐“一键开通”的技术融合优势与能力,为政务云用户提供了既高效又可靠的合规保障。不仅如此,该方案基于OpenStack架构并对外提供标准化接口的特性,也在保障开放性与兼容性的同时,为政务云用户提供了安全与性能的双重强大保障。

分享到
关闭