將政務云安全建設攤開給你看!
責編:gltian |2019-08-02 15:26:05一、政務云安全概述
隨著政務云建設在全國如火如荼的進行,不但政務要上云,更要考慮業務上云以后安全穩定的運行;政務云安全的建設需要打消云租戶的安全顧慮,同時也要滿足監管單位對政務云安全的監管要求。那么,面對政務云安全建設的方方面面,到底如何才能做得更好呢?
通過綠盟科技云計算安全解決方案在多個政務云安全項目落地,我們分享一些自己的經驗同時也算是拋磚引玉,為其他政務云安全建設提出一些指導性建議。
1.項目建設面臨的風險
對于政務云而言,整個建設包括云計算基礎設施、云計算服務、云計算安全等等,政務云安全主要面臨的風險有以下三個方面,分別是云計算安全技術風險、合規監管的強需求、政務云建設有限的安全預算。
- 云計算技術安全風險
當政務與云計算相遇,推動了電子政務向云計算模式應用快速轉變,在計算、存儲、網絡等享受著云計算帶來的便利的同時,也引入了新的安全風險。其中虛擬化技術的帶來了虛擬化網絡的不確定性,虛擬機位置動態變化,可能位于不同物理服務器上,網絡邊界動態變化,單個業務域位于單服務器內或者多臺服務器之間。傳統的網絡設備無法防護虛擬化內部的網絡流量,更無法檢測虛擬化內部的網絡威脅,虛擬主機之間缺乏有效防護手段。此外,傳統的數據安全風險、安全管理風險等依然存在。
- 合規監管的強需求
自云計算在國內發展開始,國家相關的政策、法規就在不斷的完善中,政策層面從2015年的《關于促進云計算創新發展培育信息產業新業態的意見》、《關于加強黨政部門云計算服務網絡安全管理的意見》到2016年《關于加快“互聯網+政務服務”工作的指導意見》,同年人大常委會發布《網絡安全法》從法律層面重視對網絡安全的保障,而后《國家電子政務外網標準-政務云安全要求》、《GBT22239-2019信息安全技術網絡安全等級保護基本要求》等等相繼出臺。建設政務云有了指導標準,安全技術要求有了衡量的尺度。
- 政務云建設有限的安全預算
根據IDC、Gartner等咨詢機構推測私有云行業發展趨勢的報告,參照過去幾年IT基礎設施的軟硬件的投入比例,一般安全投入占IT基礎設施總投入的2~5%,有限的安全預算面對方方面面的安全要求應該如何進行合理的分配,又或者說在安全建設的過程中那些關鍵的要求應值得我們關注,我們將通過建設過程中的關鍵要素進行逐一的分析。
2.建設過程的關鍵要素
政務云建設應遵循頂層設計的原則,統籌規劃云計算建設方案及云安全建設方案。云安全建設方案應以保障云平臺安全運行為基礎,為政務云客戶提供安全服務;政務云平臺的服務對象主要面對區域的廳局委辦,每個廳局委辦由于業務的獨立性需要相互之間進行隔離,每個廳局委辦根據自己的業務系統來劃分相應的內部分區和安全策略;另外,政務云的集約化建設前提下,廳局委辦多以購買服務的方式上云,政務云平臺除了滿足IT資源服務化以外,還需要提供安全資源服務化,通過自服務門戶讓各廳局委辦自己來管理自己的安全策略。
在頂層設計的原則下,技術措施相應落地實施;根據政務云平臺的網絡劃分進行邊界檢測與防護,政務云內按照業務區域劃分不同的安全域,安全域之間進行網絡隔離和訪問控制;虛擬化層面采用虛擬安全設備保證區域的隔離和檢測,采用安全資源池技術為政務云客戶提供安全服務,保障客戶的安全按需自主可控和合規性監管要求。
國內政務云的目前還處于基礎設施投入中,多數的政務云還沒有向服務運營轉變,而“三分建設、七分運維”正是在強調建設完成后運營運維的重要性,如何依托軟硬件更好的為政務云客戶提供服務,更好的發揮云計算的作用成為了政務云建設的一個關鍵。
二、政務云安全案例剖析
某地市政府部門推進信息化建設,越來越多的政務信息系統將遷移到政務云中,信息系統中涉及到市各委辦廳局的重要信息,如何保障信息系統安全,是政務云急需面對和解決重要挑戰。綠盟科技云計算安全解決方案助力某地市政務云安全建設,通過與市政府、云服務商等參與方多方協調,提出了本次政務云安全建設的兩個重要的目標和挑戰,一、作為政務應用的承載體,政務云應嚴格按照國家及行業安全標準規范設計建設,安全合規;二、安全能力建設應契合云計算的特點,為各委辦廳局提供豐富的、彈性的、按需的云安全服務。
1.總體架構設計
“綠盟星云”NCSS云計算安全解決方案遵循以業務為中心,風險為導向,基于縱深主動防護思想,綜合考慮云平臺安全威脅、需求特點和相關要求,對安全防護體系架構、內容、實現機制及相關產品組件進行了優化設計,從管理和技術兩個方面充分保障政務云安全。
圖 1總體架構設計
2.硬件邊界安全防護
在政務云與互聯網邊界通過傳統物理手段,部署NTA(流量分析系統)、ADS(抗Ddos攻擊系統)和IPS(入侵保護系統)等設備,對異常流量進行檢測和清洗,對各種網絡攻擊進行檢測和阻斷。政務云內部基于安全域的劃分,可以采用合理的手段進行政務云平臺區域邊界的安全防護。
圖 2硬件邊界防護
3.虛擬化層安全防護
- 虛擬化網絡安全
在政務云虛擬化網絡層面,我們通過在云計算節點上部署安全虛機利用虛擬化防火墻進行不同粒度的邊界隔離和防護;利用虛擬化入侵檢測系統進行網絡異常檢測;另外,在政務云互聯網區域的web服務器上部署HWAF提供網頁防篡改能力,在互聯網域之前利用虛擬化Web應用防護進行web防護;在公共服務區域服務器主機上部署EDR、防病毒等來針對主機層面的風險進行安全防護
采用遠程安全評估系統(RSAS)對云平臺、虛擬機進行安全評估,針對軟硬件資產進行脆弱性掃描,及時發現現有資產安全缺陷并及時處理,有效保護資產的安全。
- 多租戶安全
本項目的政務云客戶為各廳局委辦的業務系統及公眾服務門戶,廳局委辦不但要保證業務的穩定運行也要滿足監管合規的需求。另外尤為重要的是對于安全策略、安全事件等需要及時掌握,自主可控。綠盟科技基于綠盟星云NCSS云計算安全解決方案,基于網絡功能虛擬化將安全資源聚集起來構建資源池,通過資源池控制層對虛擬化資源進行封裝調度,上層提供政務云租戶服務門戶,政務云租戶可以通過服務門戶按需向資源池申請安全服務;
資源池支持利舊的傳統硬件安全設備和虛擬安全設備等類型的安全資源,接受資源池控制器的管理,對外提供相應的安全能力。安全資源池包含了虛擬化防火墻、入侵防御、入侵檢測、WEB應用防護、安全審計、日志審計、WEB安全掃描、主機安全掃描、主機防病毒、終端檢測與響應等安全組件。
通過這些豐富的安全能力不但能滿足客戶的合規監管需求如等級保護、網站集約化防護等,還可以保障業務系統安全的運行。
圖 3多租戶安全服務
4.安全運營平臺
建立安全運營平臺為政務云的運行維護提供有力支撐工具,依托大數據安全、智能威脅研判、基于情報的漏洞管理、威脅情報平臺、海量數據存儲與分析、云安全管理平臺,覆蓋了邊界控制、評估分析、威脅防護、監測預警、合規治理等全面的安全管控界面。
安全運營平臺以廣義安全資源池作為依托,資源池內各類型安全能力提供防護、監測、檢測能力及安全數據,這些作為中間層安全控制平臺層面的輸入,滿足數據分析、服務編排等技術要求;安全控制平臺層面由各類型控制模塊組成,綠盟星云NCSS云安全集中管理系統作為政務云安全的運行保障,控制廣義資源池安全能力為上層運營體系提供服務能力; NCSS協同綠盟科技智能安全運營平臺為政務云提供運營服務,通過資源池虛擬化能力、云端SAAS能力提供政務云安全增值服務,并且通過組合資源池能力滿足政務云客戶等級保護合規性要求,通過本地運營團隊打通基于云地的數據分析服務和運維服務;并嘗試通過與政務云服務商合作運營的模式,結合技術和管理更好的構建政務云安全運營體系,為政務云客戶提供完善的安全保障。
圖 5安全運營體系
5.安全運維服務
通過完善的運維服務體系設計,消除“雞蛋放在一個籃子里面”的安全風險。政務云安全運維正是需要依托云服務商、安全廠商、監管機構等共同努力;在安全廠商方面針對云計算的特性,打造政務云服務三部走,即上云階段、在云階段、退云階段;
針對不同階段設計安全服務例如上云階段,注重為政務云客戶業務系統基線核查,環境的安全檢查;政務云業務在云階段注重安全運行的監控、安全巡檢、策略調優、應急處置等;政務云業務遷移或者退云階段,注重政務云客戶數據清理、資源回收、服務關閉等等。
圖 6綠盟科技安全服務體系
三、客戶收益
1.建立完善的運營、運維體系
基于云邊界防護、云內防護、統一管理,“三步走”設計原則,建設一套從點到面的全方位防護體系,為政務云平臺及政務云客戶從基礎云環境到租戶安全提供持續全面地安全保障。
2.實現安全的集中運維
利用綠盟星云NCSS云安全管理系統對安全資源池內所有資源進行統一管理,統一監控,虛擬化設備生命周期的管理,查看整個安全資源池的運行狀態和日志報表展現。簡單、易用的運維平臺可對云內虛擬化安全設備進行統一運維管理,可大幅度降低客戶運維成本的投入,提高運維管理效率。
3.政務云安全責任清晰
相比其他的行業云,政務云服務商和云租戶更加看重合規和監管的要求,基于此種場景,政務云安全易于采用云服務商與云租戶責任共同承擔的模式,依據法律法規等合規要求將屬于云租戶負責的安全要求交由云租戶自行運維管理。
綠盟云安全解決方案通過分離運維與租戶管理訪問權限,提供租戶服務門戶將安全能力提供給云租戶自行選擇,從而在責任界定上清晰可見,避免了責任不清出現的推諉扯皮。
4.滿足監管合規要求
綠盟云計算安全解決方案給云平臺、云租戶實現共贏帶來可能,云平臺在建設符合等級保護要求的同時,也滿足了云租戶的要求;通過資源池服務的方式將安全能力提供給租戶使用。通過構建安全監測、識別、防護、審計和響應的綜合能力,有效抵御相關威脅,使客戶在向云遷移及使用云服務的過程中滿足監管與合規性要求。
5.安全增值可運營
云平臺在滿足自身安全需求的同時,將安全資源變成安全服務提供給租戶,使租戶可以像購買計算、存儲、網絡等資源一樣,按需選擇;另一方面,云平臺也可以獲得持續的收益,從而補強云平臺的安全能力,形成一個良性循環。
四、總結
通過對政務云安全案例從點到面的剖析,我們可以發現選擇一個優秀的政務云安全解決方案是成功的一半,讓政務云服務商在建設過程、后期運營中都感受到專業、可靠的安全體驗。
最后總結一下綠盟科技云計算安全解決方案所帶來的價值:我們用綠盟科技的技術積累為政務云客戶打造成熟穩定的解決方案,用綠盟科技云地協同的運營服務保障建設完成后安全穩定運營。
轉載自安全加:http://toutiao.secjia.com/article/page?topid=111782