摘要:云安全,是政务云的头等大事,政务云的规划和实施,务必要安全先行,以确保现有电子政务业务能够平滑的向政务云迁移,做到等保合规。
如果要说云计算在哪个领域应用最广泛,需求最复杂,发展最快,那么政务云就是首当其冲。国家“十二五”规划提出要“加强信息共享,厉行节约”,因此各省市政府开始整合现有的软硬件资源,构建公共电子政务平台,而政务云是目前最适合的方式。
政务云属于政府云,随着政务云的推广实施问题也随之而来,政务云建设既需要解决政府职能部门间的 “信息孤岛”问题,同时也要考虑云计算技术的各种安全风险。以安全继承性角度看:电子政务云业务仍然是政务业务系统,也需要进行等级保护;从安全合规性角度看:各政府局委办租户利用云平台架构,需要按照其重要性进行等级保护,云平台提供者必须要考虑运营方式下租户如何合规。
一、政务云需要解决的安全问题
云计算技术的引入、云平台、虚拟化技术的使用以及资源和数据的集中为信息安全带来了前所未有的难题。除了云计算技术的共性安全问题外,在政务云特殊的环境下还包括如下难点需要解决。
- 业务系统隔离是政务云安全的首要问题
传统网络,所有政务业务都是各自部署在各自的独立业务区,安全防护自成体系,而在云计算环境下,网络、安全、计算、存储等资源共享,如何为每个政府单位,每个业务系统提供有效的隔离机制,是政务云安全需要解决的首要问题。
- 如何提供不同等级的安全服务?
传统网络,各业务单位按照不同业务系统的重要性和安全等级,划分安全域,提供如防火墙、VPN、负载均衡、WEB安全防护等能力。而在云计算环境下资源统一供给,如何为不同的政府单位,不同安全防护需求的业务系统提供个性化的分等级安全服务,并满足信息安全等级保护相关条款,对政务云安全架构设计提出了较高的要求。
- 政务内、外网的安全隔离问题
电子政务网络根据业务职能,一般包括对外提供互联网服务的互联网业务区,对内纵向互联的部门业务区(一般指电子政务外网,政务内网不在本文讨论范围之内),还有横向互联的公共业务区,如何在政务云里,在保证这些区域的有效隔离的同时,还为不同的租户提供有效安全防护,又是一大难点。
- 安全资源的自动化部署问题
政务云的创建就是为了改变原有政府各类业务建设和维护的困难,提升政府办事效率,而在计算资源、网络资源等能够实现自动化部署的前提下,安全能力也要实现自动化的部署交付,这就要求能够政务云实现全业务自动化管理。
因此可以说,当前任何一个政务云的规划和实施,都是首先考虑从安全性方面进行合理规划,这样才能确保现有电子政务业务能够向政务云平滑的迁移。
二、政务云安全体系设计规划
政务云的规划在安全性方面需考虑如下因素。
- 按照政务网业务划分的要求进行整个云网络的安全区域划分,并在各区域内提供相应的云安全服务。
- 实现政务多租户隔离与个性化安全服务,以确保不同的委办局业务在迁移到政务云后同样能够享受等保合规的安全服务。
- 借助先进的安全自动化部署服务,提供云安全服务的自动化部署功能。
1、政务云各业务区域安全规划及隔离设计
政务云按所承载业务的不同划分为不同的区域,面向互联网的门户网站和相关信息系统区域、部门自身的业务系统区域和跨部门共享的信息系统区域。各区域之间应采用VPC等技术进行隔离,区域内部信息系统按不同的安全要求确定安全等级并按相应要求保护,跨区域数据的访问或数据同步应有相关的控制手段。政务云IaaS平台需按照等保三级标准进行建设,各租户业务系统根据等级保护定级要求实施不同安全级别的保护见图1。各区域具体的安全防护规划如下。
- 互联网业务区,一般部署各政府职能部门对外门户网站和公共服务业务,不同业务单位需要进行有效隔离,同时要应对来自互联网的各种可能风险,安全防护内容将主要以WEB安全防护为主。
- 部门业务区,主要部署各部门专属业务,为部门内部服务,主要防护需求为租户间隔离,业务分等级保护。
- 公共业务区,主要为政务部门公共服务及跨部门、跨地区的业务协同应用系统。此类应用仅能在电子政务网内部访问,仅被授权的业务部门具有访问权限。
图1. 政务云业务区安全需求分析
如图2所示,按照各分区安全要求构建安全防护网络,主要考虑以下因素。
- 政务云基础设施资源划分为三个独立的区域,分别为互联网业务区、公共业务区、部门业务区,三个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。
- 为满足等保合规需求,每个业务区内还需要划分二级等保区和三级等保区两个区域,两者的计算资源不允许共享,即二级和三级业务应用系统不得在同时部署在同一台物理服务器上。每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户应用间通过访问控制设备进行访问控制,禁止非授权访问。
- 管理区域与业务区域网络要实现隔离。管理平台(网管平台、安管平台、云管理平台)仅允许通过管理区域内的管理终端本地访问,避免远程管理可能引入的系统风险;远程安全接入区提供VPN接入服务,满足政务应用(移动报税、公安执法等)远程访问需求。
图2. 政务云业务区域隔离设计
2、创建多业务安全资源池,构建政务云安全等保立体防御矩阵
在政务云里,要针对不同的租户提供隔离和个性化的安全服务,为每个租户单独部署一套安全设备是不现实的,因此如同计算资源虚拟化一样,我们也可以将安全资源虚拟化。如图3所示,采用安全设备虚拟化技术建立安全资源池实现多业务能力。在政务云中,因为等级保护的需求,通常需要具备以下能力:云防火墙提供区域隔离;云入侵防御提供攻击防御能力;云负载均衡提供应用优化和流量调度能力;云WEB安全防护(云WAF)提供WEB攻击防护;云VPN提供租户VPN接入能力;云防病毒提供针对租户的网络防病毒能力;云堡垒机提供租户网络安全运维审计能力,云审计提供对租户的业务访问审计能力等。所有安全防护资源根据业务类型和保护级别可以从资源池里按需调用,从而构建出云安全等保立体防御矩阵。
需要强调的是,虚拟化技术是实现基于多业务隔离和访问控制的重要方式,而且这里提到的虚拟化技术是要求实现完全虚拟化。要想实现完全虚拟化,我们建议每个虚拟化的安全设备能够通过唯一的OS内核对系统硬件资源进行管理,每个虚拟安全设备作为一个容器实例运行在同一个内核之上,多台虚拟安全设备相互独立,对外呈现为一个完整的安全设备,该系统业务功能完整、管理独立、具备精细化的资源限制能力。这样才能做到每个虚拟安全资源独立自主的为不同租户提供互不干扰的服务。互不干扰很重要。我们可以设想一下,假如某一个虚拟安全设备因为访问量大,侵占了整个物理设备的资源,那么在同一台物理设备上的其他虚拟安全设备将无法正常提供服务。
图3. 等级保护多业务安全资源池设计
3、政务云安全自动化部署
- 通过SDN/Overlay架构搭建自动化安全调度网络
云计算的环境中,对自动部署的要求尤其高,除了计算、存储等业务部署的自动化外,网络安全的自动化也是重中之重。因此在整个政务云中引入云计算、网络、安全的一体化自动调度方案很有必要。我们建议通过SDN/Overlay技术实现对网络安全的改造,通过对业务流量自动化调度,并结合服务链技术定义安全防护的类型和顺序,将流量按需引入安全防护资源池中进行“清洗”,从而进行灵活的安全防护调度,如图4所示。
图4. 政务云安全一体化自动调度方案
- 构建可编排的安全服务
如图5所示,通过云平台统一门户,实现多租户安全资源自助申请和个性化安全服务。提供给租户在申请云主机、云存储等服务时配套提供的安全防护服务,安全策略定义也要与租户的云服务行为相一致,主要为外部用户对政务云内部资源的安全威胁防御,实现租户通过政务外网、公有云、互联网等对政务云内部资源的风险过滤,有效保证政务云基础资源的安全性。
图5. 政务云安全业务自助申请
从自助门户上申请的安全服务,基于软件编排的安全服务能够自动形成转发路径表并下发到底层硬件设备,实现自动化的业务配置和部署,其流程如下。
- 需要通过自助式Portal门户进行用户的身份认证;
- 租户在登录自助门户后,根据自身的业务需要,选择或定义差异化的安全需求和资源带宽要求;
- 在完成申请确认后,这些安全业务和策略进行自动化的配置下发;
- 如果用户选择多个安全服务如FW/IPS/LB等,需要为租户的业务流生成匹配的安全服务转发路径并实现流量的自动化牵引,提升业务部署的效率;
- 需要管理平台具备针对不同租户的安全资源和策略进行监控的能力,并将监控的分析报告提交给用户,使得用户可以根据分析结果对资源和安全策略进行调整。
三、政务云安全的监管
政务云除了做到基础的安全隔离防护外,根据政务业务的特点,还需要在安全监管上进行规划设计。如政务网站群集中到云里后,我们需要提供对网站群的集中监管能力;另外,政务云作为一个庞大的政务业务服务体系,整网安全监控显得更为重要,这也需要我们能够提供对整网安全可视化,安全态势监控的能力的交付。如图6所示,华三通信设计的“华三天机”安全监控平台,能够实时展示云内各种安全状况,并结合大数据技术预知风险,协助管理员作出做出有效管控措施。
图6. 政务云安全监控平台
四、结束语
本文所涉及的政务云安全的规划和设计其实主要是政务云租户网络安全防护部分,一个完善的方案还包括云平台安全、租户业务系统主机安全、应用安全、数据安全等等内容,受篇幅所限,这里不一一分析。同时,也应该看到政务云安全的建设方案还在不断发展和演进过程中,任重而道远,我们仍然需要通过持续不断的探索和实践逐步完善各种安全交付能力,从而搭建出一个可精细化运营的安全的政务云。
浙公网安备 33010802004375号
