實(shí)現(xiàn)多租戶(hù)模式政務(wù)云安全體系

新時(shí)代的云服務(wù)能迅速實(shí)現(xiàn)企業(yè)業(yè)務(wù)上線的資源彈性擴(kuò)張和收縮，然而業(yè)務(wù)上云的同時(shí)同樣面臨著巨大的挑戰(zhàn)。

云安全的建設(shè)需求

目前越來(lái)越多的政務(wù)云采用了PPP或面向政務(wù)云運(yùn)營(yíng)方租賃云服務(wù)的建設(shè)方式，社會(huì)力量參與政務(wù)云建設(shè)運(yùn)營(yíng)，傳統(tǒng)安全產(chǎn)品的合作、交付模式已經(jīng)越來(lái)越不適用于云上安全租戶(hù)安全體系與能力的建設(shè)。根據(jù)政務(wù)云建設(shè)方式的變化，主要的安全需求體現(xiàn)在以下兩個(gè)方面：

1.平臺(tái)安全

政務(wù)云基礎(chǔ)平臺(tái)安全包括基礎(chǔ)硬件安全建設(shè)和租戶(hù)之間的安全隔離。政務(wù)云平臺(tái)的基礎(chǔ)安全保障是云服務(wù)方所需承擔(dān)的基本義務(wù)，提供服務(wù)的云服務(wù)方需保護(hù)的對(duì)象涵蓋物理基礎(chǔ)設(shè)施、服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備，虛擬化平臺(tái)系統(tǒng)、資源池、云管平臺(tái)，以及為租戶(hù)提供的鏡像、模板等，不同租戶(hù)之間東西向安全建設(shè)。

圖1 政企云安全邏輯拓?fù)鋱D

同時(shí)政務(wù)云平臺(tái)在網(wǎng)絡(luò)結(jié)構(gòu)上要遵循電子政務(wù)外網(wǎng)系列安全標(biāo)準(zhǔn)，云平臺(tái)滿(mǎn)足三級(jí)等保建設(shè)需求，保證合規(guī)合法，就高不就低的進(jìn)行等級(jí)保護(hù)合規(guī)性建設(shè)，讓更多租戶(hù)業(yè)務(wù)上云。

2.租戶(hù)安全

安全資源可管理：租戶(hù)業(yè)務(wù)上云后，租戶(hù)會(huì)對(duì)平臺(tái)方提出需要獨(dú)立、可配置的安全功能，相比過(guò)去在出口部署硬件安全設(shè)備，統(tǒng)一配置的方案無(wú)法滿(mǎn)足千差萬(wàn)別的多租戶(hù)業(yè)務(wù)形態(tài)，這就需要為租戶(hù)提供一系列可供租戶(hù)對(duì)已購(gòu)買(mǎi)安全服務(wù)自管理的界面，需滿(mǎn)足個(gè)性化安全建設(shè)。

業(yè)務(wù)安全可視：政務(wù)云用戶(hù)在采用了政務(wù)云提供的安全方案后，對(duì)自身安全狀況是不了解的，主要因?yàn)橛脩?hù)業(yè)務(wù)上云后，網(wǎng)絡(luò)邊界已經(jīng)消失，數(shù)據(jù)流轉(zhuǎn)發(fā)路徑不可視，而云安全方案提供商提供的方案都是偏向檢測(cè)、防御的，缺少面向租戶(hù)設(shè)計(jì)的租戶(hù)業(yè)務(wù)安全展示界面，但隨著政務(wù)云權(quán)責(zé)體系的清晰，租戶(hù)需要對(duì)自身業(yè)務(wù)系統(tǒng)安全負(fù)責(zé)，而安全可視是基礎(chǔ)，不可視的安全、檢測(cè)、防御租戶(hù)上云業(yè)務(wù)也很難開(kāi)展。

政企云安全體系建設(shè)

圖1為政企云安全體系邏輯拓?fù)鋱D，通過(guò)分析政企云的安全建設(shè)需求，主要從平臺(tái)安全設(shè)計(jì)、南北向租戶(hù)安全設(shè)計(jì)、東西向租戶(hù)安全設(shè)計(jì)三大主要方面對(duì)政企云的安全體系建設(shè)進(jìn)行探討。

1.平臺(tái)安全

互聯(lián)網(wǎng)出口安全設(shè)計(jì)：為各部門(mén)提供統(tǒng)一互聯(lián)網(wǎng)出口，互聯(lián)網(wǎng)訪問(wèn)服務(wù)。

抗DDoS攻擊：部署流量清洗設(shè)備，對(duì)于超大流量型DDoS攻擊，可將流量引入到擁有2T及更高帶寬的公有云，將安全威脅清洗后，再將流量重定向到互聯(lián)網(wǎng)出口，完成DDoS流量的安全防護(hù)。

部署負(fù)載均衡，保障鏈路可靠性：出口處采用雙運(yùn)營(yíng)商線路，雙線路通過(guò)交換機(jī)一分為四，交叉連接兩臺(tái)負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備將內(nèi)網(wǎng)訪問(wèn)運(yùn)營(yíng)商1業(yè)務(wù)的流量分擔(dān)到運(yùn)營(yíng)商1出口，訪問(wèn)運(yùn)營(yíng)商2業(yè)務(wù)的流量分擔(dān)到運(yùn)營(yíng)商2出口，避免跨運(yùn)營(yíng)商訪問(wèn)帶來(lái)的延遲、丟包等不良影響，同時(shí)兩條線路互相備份，單條線路出現(xiàn)故障，所有業(yè)務(wù)立即切換到另一條線路上，保證業(yè)務(wù)不中斷。同時(shí)互聯(lián)網(wǎng)訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)的時(shí)候，通過(guò)負(fù)載均衡設(shè)備可以實(shí)現(xiàn)讓運(yùn)營(yíng)商1用戶(hù)通過(guò)運(yùn)營(yíng)商1的出口訪問(wèn)內(nèi)網(wǎng)服務(wù)器，運(yùn)營(yíng)商2的用戶(hù)通過(guò)運(yùn)營(yíng)商2線路訪問(wèn)內(nèi)網(wǎng)服務(wù)器，當(dāng)單條線路出現(xiàn)故障時(shí)，所有業(yè)務(wù)切換到正常的鏈路，保證業(yè)務(wù)24小時(shí)無(wú)故障運(yùn)行。

部署下一代防火墻，進(jìn)行互聯(lián)網(wǎng)出口立體防護(hù)：負(fù)載均衡向下接兩臺(tái)下一代應(yīng)用層防火墻，下一代防火墻解決方案實(shí)現(xiàn)包含IPS、防病毒、防Web攻擊、防APT攻擊及僵尸網(wǎng)絡(luò)防護(hù)的2-7層全面安全防護(hù)。

部署流量管理設(shè)備，實(shí)現(xiàn)上網(wǎng)流量的管理控制，提升帶寬利用率，用戶(hù)行為升級(jí)滿(mǎn)足網(wǎng)絡(luò)安全法合規(guī)要求。

數(shù)據(jù)中心安全設(shè)計(jì)：數(shù)據(jù)中心區(qū)分為公共服務(wù)區(qū)和政務(wù)業(yè)務(wù)區(qū)兩大部分，在兩大業(yè)務(wù)區(qū)數(shù)據(jù)中心前端分別部署兩臺(tái)下一代防火墻，開(kāi)啟 FW、IPS、WAF功能實(shí)現(xiàn)數(shù)據(jù)中心立體安全防護(hù)。

公共服務(wù)器區(qū)分為網(wǎng)站集群區(qū)和數(shù)據(jù)交換區(qū)，兩區(qū)采用邏輯隔離，網(wǎng)站集群區(qū)存放各單位網(wǎng)站業(yè)務(wù)，并采用東西隔離的方式實(shí)現(xiàn)東西安全防護(hù)；同時(shí)建立專(zhuān)門(mén)的數(shù)據(jù)交換區(qū)，實(shí)現(xiàn)不同部門(mén)之間數(shù)據(jù)的共享和傳輸。

政務(wù)業(yè)務(wù)區(qū)分為按業(yè)務(wù)的安全等級(jí)分為二級(jí)等保、三級(jí)等保區(qū)，兩個(gè)區(qū)域邏輯隔離，分別采用等級(jí)保護(hù)二級(jí)、三級(jí)的安全標(biāo)準(zhǔn)進(jìn)行安全策略配置；此外成立一個(gè)政務(wù)網(wǎng)數(shù)據(jù)共享區(qū)，實(shí)現(xiàn)各部門(mén)之間政務(wù)業(yè)務(wù)和數(shù)據(jù)的共享；對(duì)于計(jì)算資源要求較高的中大型數(shù)據(jù)成立專(zhuān)門(mén)的物理服務(wù)器區(qū)進(jìn)行此類(lèi)業(yè)務(wù)存放。出數(shù)據(jù)庫(kù)外各業(yè)務(wù)都部署在虛擬化環(huán)境下，為了實(shí)現(xiàn)虛擬化環(huán)境下多用戶(hù)的業(yè)務(wù)隔離的同時(shí)部分?jǐn)?shù)據(jù)共享，采用東西向安全防護(hù)組件進(jìn)行安全建設(shè)。

政務(wù)外網(wǎng)邊界安全設(shè)計(jì)：政務(wù)外網(wǎng)邊界采用下一代防火墻設(shè)備，通過(guò)防火墻的權(quán)限控制策略對(duì)不同的第三方單位開(kāi)放不同的安全端口，將權(quán)限最小化，避免越權(quán)訪問(wèn)風(fēng)險(xiǎn)，同時(shí)開(kāi)啟僵尸主機(jī)安全功能，阻斷病毒、木馬對(duì)內(nèi)部業(yè)務(wù)安全的沖擊。

運(yùn)維管理區(qū)安全設(shè)計(jì)：構(gòu)架獨(dú)立的管理網(wǎng)絡(luò)，與業(yè)務(wù)網(wǎng)絡(luò)分離，避免兩張網(wǎng)絡(luò)混雜帶來(lái)的攻擊風(fēng)險(xiǎn)，以及管理帶寬被擠占而無(wú)法隨時(shí)管控的風(fēng)險(xiǎn)；在運(yùn)維管理區(qū)邊界，部署一套SSL VPN設(shè)備，基于SSL VPN的認(rèn)證、加密、安全檢測(cè)、權(quán)限分配、訪問(wèn)記錄等一系列手段，實(shí)現(xiàn)政務(wù)業(yè)務(wù)遠(yuǎn)程安全訪問(wèn)，部署堡壘機(jī)完成全網(wǎng)設(shè)備維護(hù)的安全授權(quán)、權(quán)限控制、日志記錄，保證設(shè)備維護(hù)的安全性；部署安全管理平臺(tái)對(duì)全網(wǎng)所有安全設(shè)備進(jìn)行統(tǒng)一管理及維護(hù)。

2.安全資源池

安全資源池部署在核心交換機(jī)上，采用物理旁路，邏輯串聯(lián)的方式，核心交換機(jī)采用策略路由的方式將云平臺(tái)的業(yè)務(wù)流量引流到云安全資源池，通過(guò)安全資源池的云Web防護(hù)系統(tǒng)、云DDoS、云堡壘機(jī)、云數(shù)據(jù)庫(kù)審計(jì)、云防火墻、云 IPS、云 VPN、云防病毒、云APT檢測(cè)對(duì)數(shù)據(jù)量進(jìn)行安全檢測(cè)，檢測(cè)完成后在返回給交換機(jī)到出口。完成整個(gè)數(shù)據(jù)流的安全防護(hù)，實(shí)現(xiàn)了南北向和東西向縱深防護(hù)體系。

3.南北向租戶(hù)安全

面向租戶(hù)的安全南北向防護(hù)，主要通過(guò)安全資源池平臺(tái)上包含的各類(lèi)安全組件來(lái)實(shí)現(xiàn)防護(hù)。

NFV方式：

以通過(guò)為不同的租戶(hù)創(chuàng)建不同的VNF支持多租戶(hù)，并且能夠根據(jù)租戶(hù)的性能需求，動(dòng)態(tài)的調(diào)整分配給這些VNF的計(jì)算和存儲(chǔ)資源，實(shí)現(xiàn)租戶(hù)VNF功能和性能的按需分配。

解耦合操作系統(tǒng)EDR方式：

采用終端檢測(cè)響應(yīng)平臺(tái)方案，由輕量級(jí)的端點(diǎn)探針和管理平臺(tái)共同組成。輕量級(jí)的端點(diǎn)探針agent需要安裝在用戶(hù)的云服務(wù)器上，管理平臺(tái)可以部署在云平臺(tái)內(nèi)，由管理平臺(tái)進(jìn)行全面的安全分析，根據(jù)已知攻擊指示器(IOC)、行為分析和機(jī)器學(xué)習(xí)等技術(shù)來(lái)檢測(cè)安全攻擊行為，并對(duì)這些攻擊做出快速的響應(yīng)動(dòng)作。

4.東西向租戶(hù)安全

東西向租戶(hù)安全個(gè)性化較強(qiáng)，因此云安全方案各有不同，主要有以下三種形式。

硬件一虛多：

硬件一虛多，將一個(gè)超大性能硬件設(shè)備虛擬成多個(gè)隔離的硬件設(shè)備。

優(yōu)點(diǎn)是可實(shí)現(xiàn)完全物理隔離；缺點(diǎn)是初次投資設(shè)備性能要求較高、后期性能達(dá)到瓶頸擴(kuò)容困難，針對(duì)三級(jí)等保， 安全防護(hù)要求有缺失。

SDN/VXLAN：

匹配支持VXLAN及OPENFLOW硬件采用服務(wù)鏈引流技術(shù)，實(shí)現(xiàn)安全防護(hù)。

優(yōu)點(diǎn)是網(wǎng)路和安全融合一體化自動(dòng)交付；缺點(diǎn)是初次硬件投資成本較大，不適合建設(shè)好的政務(wù)云，需要較強(qiáng)的硬件支持，產(chǎn)品需要同一個(gè)廠商提供，不具備開(kāi)放性。

全軟件方案：

所有租戶(hù)云安全全部軟件交付，實(shí)現(xiàn)個(gè)性化安全規(guī)劃。

優(yōu)點(diǎn)是功能豐富，可實(shí)現(xiàn)自主化的交互，擴(kuò)容方便靈活，適應(yīng)性強(qiáng)；缺點(diǎn)是底層虛擬化平臺(tái)升級(jí)或者變化，虛擬化組件對(duì)應(yīng)開(kāi)發(fā)接口會(huì)變化，需要二次開(kāi)發(fā)很麻煩。

結(jié)語(yǔ)

政企云安全關(guān)系到政府和企業(yè)IT系統(tǒng)良好運(yùn)行的關(guān)鍵，在進(jìn)行政企云系統(tǒng)建設(shè)時(shí)需要多調(diào)研并謹(jǐn)慎的規(guī)劃和選擇安全體系建設(shè)方案，要能夠滿(mǎn)足國(guó)標(biāo)、行標(biāo)和相關(guān)政策合規(guī)要求。