基于多租户模式的政务云安全体系建设研究

基于多租户模式的政务云安全体系建设研究

摘要：云计算作为当前互联网的一项重要技术，其应用在政府、企业及个人领

域中得到推广，与此同时其安全问题也越来越受重视。本文分析了云安全建设的

需求，对基于多租户模式的政务云安全体系建设展开了详细的介绍，以期能为有

关需要提供参考。

关键词：多租户；政务云；安全体系；建设

随着互联网技术及信息技术的快速发展，云计算技术作为一项新兴技术，能

够弥补传统电子政务的不足，也逐渐成为实现业务平台基础设施的一种方式。其中，政务云安全体系的建设是政务云平台设计的重要内容，必须要高度重视，从

而提高政务云的安全水平。基于此，本文展开了相关介绍。

1.云安全的建设需求

目前越来越多的政务云采用了PPP或面向政务云运营方租赁云服务的建设方式，社会力量参与政务云建设运营，传统安全产品的合作、交付模式已经越来越

不适用于云上安全租户安全体系与能力的建设。根据政务云建设方式的变化，主

要的安全需求体现在以下两个方面：

1.1 平台安全

政务云基础平台安全包括基础硬件安全建设和租户之间的安全隔离。政务云

平台的基础安全保障是云服务方所需承担的基本义务，提供服务的云服务方需保

护的对象涵盖物理基础设施、服务器、网络和安全设备，虚拟化平台系统、资源池、云管平台，以及为租户提供的镜像、模板等，不同租户之间东西向安全建设。

同时政务云平台在网络结构上要遵循电子政务外网系列安全标准，云平台满

足三级等保建设需求，保证合规合法，就高不就低的进行等级保护合规性建设，

让更多租户业务上云。

图1 政企云安全逻辑拓扑图

1.2 租户安全

安全资源可管理：租户业务上云后，租户会对平台方提出需要独立、可配置的安全功能，相比过去在出口部署硬件安全设备，统一配置的方案无法满足千差万别的多租户业务形态，

这就需要为租户提供一系列可供租户对已购买安全服务自管理的界面，需满足个性化安全建设。

业务安全可视：政务云用户在采用了政务云提供的安全方案后，对自身安全状况是不了

解的，主要因为用户业务上云后，网络边界已经消失，数据流转发路径不可视，而云安全方

案提供商提供的方案都是偏向检测、防御的，缺少面向租户设计的租户业务安全展示界面，

但随着政务云权责体系的清晰，租户需要对自身业务系统安全负责，而安全可视是基础，不

可视的安全、检测、防御租户上云业务也很难开展。

2.政企云安全体系建设

图1为政企云安全体系逻辑拓扑图，通过分析政企云的安全建设需求，主要从平台安全

设计、南北向租户安全设计、东西向租户安全设计三大主要方面对政企云的安全体系建设进

行探讨。

2.1 平台安全

互联网出口安全设计：为各部门提供统一互联网出口，互联网访问服务。

抗DDoS攻击：部署流量清洗设备，对于超大流量型DDoS攻击，可将流量引入到拥有

2T及更高带宽的公有云，将安全威胁清洗后，再将流量重定向到互联网出口，完成DDoS流

量的安全防护。

部署负载均衡，保障链路可靠性：出口处采用双运营商线路，双线路通过交换机一分为四，交叉连接两台负载均衡设备，负载均衡设备将内网访问运营商1业务的流量分担到运营

商1出口，访问运营商2业务的流量分担到运营商2出口，避免跨运营商访问带来的延迟、

丢包等不良影响，同时两条线路互相备份，单条线路出现故障，所有业务立即切换到另一条

线路上，保证业务不中断。同时互联网访问内网业务的时候，通过负载均衡设备可以实现让

运营商1用户通过运营商1的出口访问内网服务器，运营商2的用户通过运营商2线路访问

内网服务器，当单条线路出现故障时，所有业务切换到正常的链路，保证业务24小时无故

障运行。

部署下一代防火墙，进行互联网出口立体防护：负载均衡向下接两台下一代应用层防火墙，下一代防火墙解决方案实现包含IPS、防病毒、防Web攻击、防APT攻击及僵尸网络防

护的2-7层全面安全防护。

部署流量管理设备，实现上网流量的管理控制，提升带宽利用率，用户行为升级满足网

络安全法合规要求。

数据中心安全设计：数据中心区分为公共服务区和政务业务区两大部分，在两大业务区

数据中心前端分别部署两台下一代防火墙，开启FW、IPS、WAF功能实现数据中心立体安全

防护。

公共服务器区分为网站集群区和数据交换区，两区采用逻辑隔离，网站集群区存放各单

位网站业务，并采用东西隔离的方式实现东西安全防护；同时建立专门的数据交换区，实现

不同部门之间数据的共享和传输。

政务业务区分为按业务的安全等级分为二级等保、三级等保区，两个区域逻辑隔离，分

别采用等级保护二级、三级的安全标准进行安全策略配置；此外成立一个政务网数据共享区，实现各部门之间政务业务和数据的共享；对于计算资源要求较高的中大型数据成立专门的物

理服务器区进行此类业务存放。出数据库外各业务都部署在虚拟化环境下，为了实现虚拟化

环境下多用户的业务隔离的同时部分数据共享，采用东西向安全防护组件进行安全建设。

政务外网边界安全设计：政务外网边界采用下一代防火墙设备，通过防火墙的权限控制

策略对不同的第三方单位开放不同的安全端口，将权限最小化，避免越权访问风险，同时开

启僵尸主机安全功能，阻断病毒、木马对内部业务安全的冲击。

运维管理区安全设计：构架独立的管理网络，与业务网络分离，避免两张网络混杂带来

的攻击风险，以及管理带宽被挤占而无法随时管控的风险；在运维管理区边界，部署一套SSLVPN设备，基于SSLVPN的认证、加密、安全检测、权限分配、访问记录等一系列手段，

实现政务业务远程安全访问，部署堡垒机完成全网设备维护的安全授权、权限控制、日志记录，保证设备维护的安全性；部署安全管理平台对全网所有安全设备进行统一管理及维护。

2.2 安全资源池

安全资源池部署在核心交换机上，采用物理旁路，逻辑串联的方式，核心交换机采用策

略路由的方式将云平台的业务流量引流到云安全资源池，通过安全资源池的云Web防护系统、云DDoS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对

数据量进行安全检测，检测完成后在返回给交换机到出口。完成整个数据流的安全防护，实

现了南北向和东西向纵深防护体系。

2.3 南北向租户安全

面向租户的安全南北向防护，主要通过安全资源池平台上包含的各类安全组件来实现防护。

NFV方式：

以通过为不同的租户创建不同的VNF支持多租户，并且能够根据租户的性能需求，动态

的调整分配给这些VNF的计算和存储资源，实现租户VNF功能和性能的按需分配。

解耦合操作系统EDR方式：

采用终端检测响应平台方案，由轻量级的端点探针和管理平台共同组成。轻量级的端点

探针agent需要安装在用户的云服务器上，管理平台可以部署在云平台内，由管理平台进行

全面的安全分析，根据已知攻击指示器（IOC）、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。

2.4 东西向租户安全

东西向租户安全个性化较强，因此云安全方案各有不同，主要有以下三种形式。