某省政务云安全资源池建设案例

1.1 某省政务云安全资源池建设案例
1.1.1 案例背景
某省政务云是为加强电子政务的开展，专门建立的政府私有云。

建立政务云对于电子政务的办公效率、政务服务水平都具有十分重大的意义。

云计算技术的应用赋予了应用灵活性、扩展性、快速交付的能力，但同时也给安全策略的部署与管理带来巨大的挑战，包括法律法规标准不健全、应用本身存在严重的安全漏洞等，尤其是当海量的政务业务系统迁移到政务云中时，云上安全更显得尤为重要。

如果由于系统存在的安全漏洞被黑客利用时，会严重阻碍电子政务云的发展，影响政务网站的公信力。

1.1.2 需求分析
云计算、虚拟化技术的应用给政务网的业务能力带来了革命性的变化，整个业务系统上线、交付、扩容变得非常简单。

但云计算技术同样也给信息安全公司带来了挑战，包括：
网络安全边界变得模糊
传统数据中心安全业务部署模型
传统数据中心业务采用分区、分层部署的模型，每一个业务分区/分层间存在物理网络边界，安全设备通常以物理形态部署在不同的分区/分层边界处进行安全管控。


云数据中心逻辑拓扑
云数据中心所有计算资源共享同一套物理网络，不同业务分区通过逻辑网络（VLAN或VxLAN）进行隔离，业务计算资源（VM）可根据需求动态迁移、伸缩，业务分区间网络边界变得模糊，传统基于物理边界进行安全策略部署的模式已不再适用。

流量监控变得异常困难
云数据中心计算资源采用虚拟化技术部署，为提高数据交换效率，同一台物理服务器内部不同虚拟机（VM）间互访的流量通常通过内置的vSwitch直接进行交换转发，传统基于物里网络设备进行流量监控的方法无法监控到同一台服务器内部虚拟机间的流量。

虚拟机迁移，如何实现安全策略动态跟随
虚拟机（VM）动态迁移技术可让虚拟机在不关机且持续提供服务的前提下从一台理服务器迁移到另一台物理服务器，在计算资源重新规划调整的情况下可保证业务的连续运行与数据的一致性，在云数据中心的运维过程中得到普遍的应用。

虚拟机迁移前后所在的网络位置可能产生变化，如何保证虚拟机迁移后对应的网络安全策略跟随虚机动态生效是云数据中心安全资源&策略部署时所必须考虑的问题。

安全能力需要按需交付
资源动态按需交付是云数据中心的基础需求，同网络、计算、存储资源一样，云数据中心安全资源也需要能够根据应用部署的需求按需灵活交付。

传统基于物理拓扑路径部署独立安全
设备的模式存在安全能力无法动态复用、物理安全设备容易成为性能瓶颈的问题，已无法满足云数据中心围绕应用需求动态弹性交付安全资源的需求，安全资源的虚拟化与安全业务部署的物理解耦技术成为云数据中心安全策略部署的关键需求。

安全责任边界变得模糊了
以租代建模式不仅可以减少用户直接投资，降低建设、运行成本，灵活满足业务发展对IT
基础设施的需求，而且在云服务提供商专业技术&运营团队的支持下，业务运行稳定性和可靠性可以得到有效的保障，已被越来越多的客户所认可采纳。

安全问题是用户在业务上云规划时所关注的首要问题，厘清安全管理边界，明确双方安全管理职责与协调机制，确保各自职责范围内的安全技术与管理措施得到有效的执行，这些是云服务提供商和租用云服务的客户所需要共同考虑的问题。

安全管理边界的明晰，不仅可以确保云数据中心承载租户业务的安全运行，而且在安全事件处理时可以有效整合双方资源，快速定位解决存在的安全问题，避免事后责任追查与归属时的推诿问题。

云上依然要遵从等级保护
等级保护作为我国信息安全保障工作的基本制度，同时也是一系列基本标准、技术标准的集合，通过规范化的技术措施与安全评估有效保证了业务系统的安全性，在政务、医疗、教育、金融、能源等领域得到有效的推行。

在业务系统上云时，如何保证迁移到云上的业务系统仍然能够满足等保合规要求是政务云关注的重点。

由于云计算技术在我国的应用还处于发展阶段，云数据中心应用的虚拟化、SDN等新兴技术引入了新的风险点，相关技术仍在不断地发展变化，云安全等保相关标准还在补充完善，云数据中心安全建设需要紧密跟踪云等保相关标准工作的进展，确保云平台及云上承载的业务系统全面符合等保合规要求。

1.1.3 解决方案
安全体系架构介绍
本案例安全防护设计充分考虑了云计算的特点与需求，基于对安全威胁的分析明确安全需求，充分利用现有成熟的安全控制措施，结合云计算的特点和最新技术进行综合考虑，以满足风险管理及合规性要求，保障和促进云计算业务的发展。

某省政务云安全体系架构
某省政务云安全资源池架构
本案例政务云数据中心安全规划与建设主要关注下面几个部分：
➤云平台基础设施安全
云平台涵盖构建云数据中心的网络设备、安全设备、计算资源、存储资源以及对应的管理设施（Portal门户、OpenStack、网络管理、安全管理、SDN控制器等），云平台一旦被攻破，其上承载的所有应用安全都将受到威胁，云平台作为一个整体需要部署对应的安全设施与策略进行安全管控与防护，确保基础设施的运行安全。

➤租户安全
租户安全是云数据中心区别于传统数据中心安全业务部署与管理的关键需求，涉及租户应用系统的安全运行防护、租户间安全隔离、地址重叠（VPC）、租户内应用系统间安全隔离、租户应用系统不同组件间安全访问控制等多个方面。

租户应用系统的安全运行防护包括网络安全、主机安全、虚拟化安全、应用安全、数据安全、安全审计多个方面，云数据中心的安全建设需要使安全防护能力能够根据租户的安全防护需求灵活调度，全面满足租户应用系统安全运行防护需求。

➤物理安全
云数据中心面临的物理层安全风险与传统数据中心基本相同，主要包括物理主机、网络、存储等基础设施安全，物理通信线路安全、电力安全、温湿控制系统安全、消防安全等需要考虑的因素。

➤容灾备份
容灾备份作为数据中心建设的基本需求，主要解决自然突发灾害时应用系统的持续性需求，确保应用及数据的安全，在云数据中心安全建设时也是重点。

➤安全运维管理&安全保障体系
"三分技术，七分管理"，有效的运维管理是保障安全的重要手段。

云数据中心安全建设对数据安全、隐私保护提出了更高的要求，在数据管理权与所有权分离的状态下这些问题显得更加突出。

结合云数据中心的运营与运行特点，本案例建立了对应的安全运维管理与安全保障体系。

解决方案特点介绍
本案例解决方案主要是通过SDN和NFV技术来构建一个云安全资源池. SDN和NFV作为云计算中新一代网络技术，既可通过独自层面去解决不同的网络问题，满足不同角度的业务需求，又能够紧密结合服务链技术，实现安全资源灵活调度、动态扩展、按需快速交付，全面满足用户对业务安全部署的要求。

安全资源池的部署效果如下图：
某省政务云安全资源池方案以“SDN+NFV”技术为依托，聚焦应用安全灵活调度安全资源，具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点。

➤全面地安全防护服务
除防火墙、负载均衡、VPN等基础网络安全服务，某省政务云安全资源池重点建设了云监测、云防御、云审计、云上合规、网页防篡改、云数据库审计、云堡垒机等服务，结合虚拟网络隔离技术，全面满足用户安全等保合规建设需求。

➤弹性可扩展安全资源池
通过服务链技术按需灵活调度业务流量，使安全资源的部署与物理网络位置解耦。

基于容器的硬件虚拟化技术，为虚拟设备独立运行提供资源保障，结合IRF双机堆叠技术，提供安全可靠的安全服务。

系统全面兼容硬件、NFV方式的安全资源池，安全资源可在线扩容，现网业务运行不受影响。

➤安全业务自动化部署
通过SDN与服务链技术的结合，安全控制器可实现网络、安全资源的一体化管理与调度，云数据中心安全业务部署所需的安全资源分配、业务流量调度、安全策略部署得以集中交付，轻松实现安全业务的自动化部署。

➤安全可视化管理
可实现安全拓扑、业务风险、安全合规等可视化管理，安全运维管理变得简单。

➤开放的技术平台
某省政务云安全资源池方案全面兼容KVM、VMWare等主流虚拟化平台，能够与CloudOS、基于OpenStack的第三方云平台、第三方私有云平台对接，通过控制器开放API与服务链代理技术支持第三方安全设备的纳管，实现云安全资源的集中交付。

1.1.4 安全效益分析
本案例电子政务云安全体系建设充分考虑到了云平台和云租户的效益和价值，云平台是指云的运营和建设方，在本案例中主要是指由省政府牵头成立的X云大数据公司。

云租户就是指委办局。

现分成云平台安全视角、云租户安全视角进行说明本案例的收益。

云平台安全收益
云平台安全视角主要用来帮助云平台建设方、运营方了解整个云平台的安全状态，并依据此数据提供、孵化出有针对性的租户增值服务产品，提高云平台的收益，还可以为云平台
的后期建设规划提供依据。

形成丰富的增值服务产品
通过本方案的部署，可以帮助云平台运营单位形成非常丰富的增值服务产品，帮助云平台尽快收回成本，实现盈利。

可形成的增值服务产品包括：
◆所有租户应用可用性及时掌握
通过云安全运营平台的大数据分析系统和可视化展示，展示整个云平台的所有租户的网站应用概况。

通过此视图可以让云平台建设方、运营方了解整个云平台到底有多少网站应用存活，也可以了解有多少网站的出现访问异常。

云安全运营方可以针对网站出现访问异常情况进行跟踪和服务，提供增值服务。

◆所有租户应用安全状况了如指掌
通过此视图可以了解整个云平台所有租户的网站安全状态，主要包括几个方面：
1)总共有多少网站存在安全漏洞、安全事件；
2)整个云平台的安全漏洞类型、高危端口分布情况；
3)最新的安全事件取证分析情况；
4)0day漏洞的分布情况；
这些信息的了解都可以帮助云平台运营方去提供丰富的安全增值服务产品，也能够大大提升云平台的应急响应能力。

◆云平台防御动态展示
此图主要是帮助云平台了解自身云平台安全防御能力状态，比如云平台建立了10G的web应用防护清洗能力，通过此图就可以了解到目前有多少用户启用了web防护，整个云平台受到了哪些类型、地方、IP的攻击排行，方便云平台及时采取有效措施。

◆高危漏洞影响快速评估
信息安全是一个变化非常快的领域，每天都会有非常多的新型漏洞爆发，此视图可以帮助云平台运营方快速完成0day漏洞的分布情况，通过大数据的分析系统基本可以实现：
1)30分钟完成0day漏洞的影响范围评估；
2)30分钟内提供具体的漏洞影响单位、域名信息；
3)3秒钟内完成用户端的告警信息分享；
云租户安全收益
云租户安全视角主要提供给云租户集中管理、实施自身的安全防护产品。

让云租户拥有最方便的安全方案
在云计算平台上传统的安全防护方案都无法按照原始模式进行交付，比如传统的防火墙、IPS、WAF、日志审计等硬件设备都无法在云平台进行安装，即使厂家按照软件方式进行交付，也会存在日志采集、流量采集困难，无法达到防护策略的最佳效果、无法关联分析等。

本方案可以帮助云租户以最小的成本、最便捷的方式开启云上安全防护方案。

租户的防护效果可以从三个方面进行：
1)攻击流：从用户发起流量就会经过公有云防御中心进行DDOS的流量检查，检查完毕
后流量才会抵达云平台出口，并会经过本地云防御中心再次进行DDOS清洗、WAF清洗、防火墙清洗，然后才会进入到云租户VPC网络内。

云租户VPC出口还可以部署租户独享的下一代防火墙、网页防篡改等，实现更加精细化的控制。

2)监测流：监测主要从两个方面发起，一个是通过在公有云防御中心部署的扫描引擎，
对租户的互联网应用（web）进行7*24的监测，及时发现网站的漏洞、访问状态等。

而部署在租户内的数据库、系统漏洞扫描引擎，则可以及时发现系统和数据库层的漏洞情况。

3)日志流：通过云平台API、部署在租户内的日志采集引擎，将租户相关安全设备日志、
系统日志、应用日志等进行统一收集，送入到大数据分析系统，进行标准化处理、大数据关联分析后进行可视化展示。

让租户的日志完整保存，做到任何事件有据可依。

◆应用防护效果一目了然
通过云安全运营平台的网站防御监测视图，可以对租户已经开通了web防护的网站应用状态进行了解。

通过该图可以了解最新的攻击动态，包括攻击国家排行、攻击IP排行、攻击的URL排行等，也可以实时展现出网站的攻击流量比例。

还可以一目了然的知道网站在全国各省的访问状态。

◆运行状态清晰可控
通过提炼形成每个租户的应用防护结构图，展示租户相关应用设备的运行状态。