云时代大潮涌动,滚滚向前,政务云应用更是突飞猛进,跑在了各行业的前列。与此同时,政府部门对云安全的担忧也一直高居不下,成为政务云应用领域的重要组成部分。
由于政务云承载的都是政府机构用于执行政府职能的信息系统,涉及的信息更为敏感,需要更高的安全性;另一方面,政务云行使政府职能的特点导致更容易受到来自外部或内部的攻击。因此,近年来国家也为此出台了一系列规范和标准,包括《关于加强党政部门云计算服务网络安全管理的意见》、《信息系统安全等级保护基本要求云计算安全技术要求》、《信息系统安全等级保护测评要求云计算要求》、《政务云安全技术要求与实施指南》、《政务云平台安全等级保护测评方法与规范》等。
作为政务云的建设者,上海移动在浦东政务云项目建设中,同样将云安全建设视为重中之重。通过全面的云安全体系建设,成功地提升了浦东政务云安全成效。让我们看看他们是怎么做的吧!
云中领跑,安全更要同步
浦东作为推动上海经济社会发展的引擎,在云计算领域更是走在全国的前列。2015年,上海移动与上海浦东新区政府一起通过ppp模式,启动了全新的政务云数据中心项目,采用云计算技术,依托政务专网资源,为政府各个部门搭建一个统一的政务云服务平台,实现以“云”的理念重新变革政务建设模式,解决传统政务建设、运维和管理难题,提高政务建设效率和服务水平。
打造领先的政务云,同样要构建领先的云安全体系。对此,上海移动对浦东政务云安全整体上制定了几个目标。首先是租户安全隔离,在云平台环境下,不同安全需求的委办局租户可能运行在同一台物理机上,要避免在一个租户遇到安全威胁时向其他租户扩散,不影响到同主机上其他部委的正常业务。另外,还要避免政务云平台管理员访问委办局机密数据,对数据机密性、完整性、可用性造成破坏。
其次是无边界安全防护。传统数据中心安全防护的最大特点是以“边界”为核心,而在服务器虚拟化、逐步实现云计算之后,安全边界的概念已然不存在,传统的安全防护方式失去了作用,只能通过随时随地、无处不在的防护才能保障安全性。
再则是安全按需调配。在云环境中,租户的基本需求是计算资源和存储资源的自定义申请和弹性的服务交付,面对安全的需求也是如此。传统的安全防护基础设施无法为租户有效的分配个性化的安全资源,降低了单个租户的安全防护要求,成为云服务环境下的服务瓶颈,需要有效地加以解决。
另外,还要提供安全可靠的云平台,满足政务云更高的安全性要求。政务云上的业务系统要实现三级等级保护,需要支撑平台通过相应的等级保护认证。
浦东云安全走“两步”
在具体部署过程中,新华三与上海移动、浦东区政府一起,参照国家推出的各项云安全规范,设计了政务云整体安全解决方案,从物理层、资源抽象与控制层、云服务层,提供全方位的安全防护,包括防DDoS攻击、漏洞扫描、主机防御、网站防御、用户隔离、认证与审计、数据安全等模块,合理地解决政务云信息安全与信息共享、开放性之间的矛盾。在政务云系统保证合规性、安全性和机密性的基础上,保持信息共享和通讯畅通的效率。
整个安全体系建设分为两步走。
第一步,就是完成中高端系列防火墙、堡垒机、系统漏洞扫描、数据库漏洞扫描、数据库审计、入侵防御等安全设备的部署,形成基础安全防护能力。
接下来的第二步,浦东政务云通过部署网闸、服务器负载均衡、上网行为审计、WAF、Web漏洞扫描、天机-安全管理中心等安全设备和软件,将全网安全资源建设成统一的安全能力中心。
不难看出,安全能力中心对于云架构来说显得更为重要。安全能力中心按需求分为东西向和南北向。东西向安全能力中心实现虚拟机之间的安全隔离,避免虚机上的风险在内部横向扩散,提供多虚拟机之间的业务负载均衡,保障服务的可靠性。南北向安全能力中心则实现平台和租户从政务外网向广域网、互联网访问以及从广域网、互联网访问政务外网的流量全方位安全防护。
安全的与“云”俱进
云架构与传统IT架构有着十分明显的差别,对于安全防护来说,同样需要与时俱进。在浦东政务云安全建设过程中,上海移动采用了当前业内最前沿的SDN+安全服务链技术,可谓云安全建设领域的成功样板。
说到安全服务链,先要分析一下传统安全业务部署的弱点。传统模式下,安全业务部署通常基于物理拓扑,将安全设备串行到业务流量路径中,无法满足快速变更的需求;设备能力扩展性较差,也无法在多业务间共享;传统基于路径的部署方式无法应用于Overlay网络。
而采用SDN+安全服务链技术,可以基于Overlay网络构建集中的安全能力资源池,通过集中的SDN控制器将需要进行安全防护的业务流量引流到安全能力中心进行防护,并且根据业务需求编排安全业务的防护顺序,也就是通常所说的服务链,按需调度安全资源,安全资源以服务方式交付,真正实现安全能力的弹性扩展、业务能力共享、多租户隔离的云安全防御。无论是事前的日常安全检查、事中的安全防御,以及事后的快速响应都能够有效保障云平台和租户的主机、网络、应用的安全及稳定,并通过新华三的天机安全管理中心实现以业务为核心,融合安全、网络、应用的统一管理,提供安全风险态势感知、安全业务快速部署、安全分析和审计、安全响应和报告等。
这种方式的好处十分明显。通过SDN控制器定义安全服务链,上海移动在浦东政务云项目中实现了服务链定义的自动化,而且控制器会实时监控安全资源池的负载情况,可以根据负载实现安全资源池的扩展或者资源释放。某个委办局需要新开一项业务时,只需在申请计算、存储、网络资源同时按业务需求申请一定数量安全资源即可上线某项业务,下线某个业务即收回所有资源,有效减少了投资成本,运营成本,缩短了新业务投入时间,增加了灵活性。
此外,政务云安全防护控制面实现由新华三的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模组播的复杂部署。并支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。东西向业务通过服务链方式部署虚拟防火墙等提供安全访问控制,南北向业务通过中高端防火墙、IPS等提供安全访问控制。
目前,浦东新区政务云已顺利交付,搭建完成了全区统一的电子政务资源云平台,全面支撑了政务网的业务需求,成为推动浦东“新经济”重要基础,同时也为整个上海乃至国内政务云应用提供参考和借鉴。通过浦东政务云的安全体系建设,上海移动也成功探索出云安全建设的方向,为未来的政务云建设实践出新的路径。