為電子政務云加把鎖——廣州電子政務云安全建設解決方案
責編:cnetsec |2015-04-08 15:35:23新平臺,新風險
2013年2月,根據《國家電子政務“十二五”規劃》的部署,工業和信息化部信息化推進司制定并下發了《基于云計算的電子政務公共平臺頂層設計指南》,以指導各級政府深化電子政務應用。廣州市積極響應并落實執行,“智慧廣州”的建設得到進一步發展,到2014年廣州市電子政務云平臺已初具規模,可承接廣州市100+家委(員會)、辦(公室)、局的日常業務。借助云計算技術對廣州市政府的IT資源進行統一管理、按需使用,可有效節約信息化建設資源投入成本,降低IT資源消耗。
廣州電子政務云的建設初衷是促進市各委辦局的數據大集中,要實現該目標,除了確保網絡的可用性和穩定性,也要保證網絡的安全性和業務的私密性,才能讓各委辦局放心地把自己的業務牽引到云平臺來。
電子政務云平臺雖然可以為信息共享和業務互聯帶來極大的便利,同時也引入一些新的安全風險,特別是由數據云化,統一托管所帶來的一系列安全挑戰日益凸顯。
那么新的云平臺都有哪些安全風險呢?
數據安全隔離:以前每個委辦局數據都在自己的網絡系統內,和其他委辦局天然隔離,現在數據云化之后,多個委辦局共享同一個云數據中心,如何保證這些物理上共享的數據資源的安全隔離,使得各委辦局的敏感數據資源不會被其他委辦局誤訪串訪,是擺在廣州市電子政務云安全建設之中的一個嚴峻問題。
高性能高并發:數據大集中之后,隨著業務的不斷發展,數據量越來越多,縱向流量勢必增大,云化之后的數據中心各服務器區之間需要協同工作,橫向的流量演變為主要流量,吞吐量也比以前增長數倍,且未來預計會出現持續增長。如何能找到適應這種大流量、大并發、突發性、可線性增長需求的安全設備也是擺在廣州電子政務云安全建設面前的棘手問題。
互聯網安全威脅防御:廣州市電子政務云數據中心服務器區分為專網云平臺,安全島云平臺,互連網接入區云平臺,這三個平臺有互相獨立的需求,也有互相訪問的需求,如何保證這些橫向數據的隔離和互訪,確保這些數據不受非法入侵、病毒攻擊、篡改呢?
簡單管理:各委辦局業務集中后,這么多安全策略如何配置與管理,是否能有智能的輔助工具以簡化維護工作量?
立體防護,安全可控
考慮到廣州電子政務云的網絡現狀,華為推薦采用“立體防護、安全可控”的理念,分區、分層、分平面的實施整網安全防護:在電子政務云平臺出口部署下一代防火墻、IPS,負責對縱向流量進行安全防護;在核心交換機旁掛部署高端防火墻、流量監控、IDS、防病毒網關等設備,負責對縱向和橫向重要流量的安全防護。通過這種立體式的安全防護體系,達到對網絡邊界提供訪問控制、病毒過濾、防攻擊、防入侵、內外網數據安全隔離等防護功能,從而保障了云平臺安全,做到信息可控可管。
該方案中的明星產品是華為USG6680下一代防火墻,憑借業界領先的應用識別管控能力、大容量全方位的虛擬化功能、智能運維簡化管理的SmartPolicy功能,贏得用戶青睞。
各委辦局虛擬化隔離,定制化安全策略
目前廣州電子政務云覆蓋的100多個委辦局需要做到完全邏輯隔離,而且有些高要求的委辦局還要根據業務再進行內部邏輯隔離,這就要求防火墻必須具備大容量的虛擬系統能力。華為下一代防火墻支持上千個虛擬化系統,能對每個虛擬系統的業務做到正確轉發、獨立管理、相互隔離,并且能做到路由虛擬化,全系列安全功能虛擬化,資源虛擬化,配置虛擬化。
路由虛擬化:每個虛擬防火墻都擁有各自的路由表及會話表,相互獨立隔離,使各委辦局在路由層面天然隔離,為防止部委間非法訪問把好了第一道門。
安全功能虛擬化:每個虛擬防火墻都可以配置獨立的安全策略及其他安全功能,只有屬于該虛擬系統的報文才會受到這些配置的影響。
資源虛擬化:每個虛擬防火墻可以獨立分配資源,包括用戶數、策略數、會話規格、在線用戶數、帶寬等。有效保證了各委辦局之間擁有獨立的設備資源,從而保證業務的可靠性。
配置虛擬化:具備虛擬用戶運營能力,每個虛擬防火墻都擁有獨立的虛擬系統管理員和配置界面,每個虛擬系統管理員只能管理自己所屬的虛擬系統。
靈活高效的管理手段,簡化運維,智能管理
廣州電子政務云業務系統繁多,每個委辦局都有自己獨特的應用系統,又伴隨著網絡向移動互聯、Web2.0應用等趨勢的發展,應用也越來越多,傳統防火墻通過五元組ACL做控制的安全策略行為已經顯得有點力不從心。針對網絡應用流量日益復雜的現狀和趨勢,華為下一代防火墻創新的建立了從Application/應用、Content/內容、Time/時間、User/ 用戶、Attack/攻擊以及Location/位置6個緯度的ACTUAL感知技術,使得基于此技術的安全策略可以更加準確、合理、精細地控制網絡流量、防御安全威脅、保障用戶的網絡安全。并提供智能感知能力,把管理員無法準確識別的業務流量類型智能學習,還原為防火墻管理員可理解的各種應用、威脅、內容、用戶、位置等維度的分類,從而對各委辦局在共享網絡的同時也能進行多緯度、細致化的業務管控,極大的方便了運維。
針對繁多的安全策略進行智能優化,簡化運維,減少風險
這里值得一提的是,如何針對100多個委辦局的眾多安全策略進行配置和維護,是著實讓人頭疼的一件事情,當廣州電子政務云了解到華為的防火墻具備SmartPolicy功能時,非常高興,這可幫助用戶解決了很大的運維難題。華為防火墻的SmartPolicy功能可以自動學習網絡中的流量,根據學習結果,風險識別結果,分析當前策略的有效性;還可以分析安全策略的沖突、冗余情況,并對這些分析結果提供優化建議。極大的解決了冗繁的安全策略在運維中的麻煩。
可信可靠的安全網絡
華為下一代防火墻采用電信級架構,采用“多核MIPS”+“硬件協處理加速”+“高速SwitchFabric”硬件處理機制和“一次解包,多次引用”的軟件處理機制,使防火墻在開啟應用層防護的同時也具備了高性能的吞吐量,完全能滿足大型云數據中心的應用場景。
客戶價值
自從2014年4月部署了華為安全設備至今,網絡運行穩定,安全可靠。廣州電子政務云打造的“網絡隔離、整體防護、簡化運維,安全管理”的防護理念,為各委辦局打造了安全的數據中心網絡,在保證政務云網絡便利的同時也保證了高可靠的安全性,使各委辦局可以放心的把自己的業務牽引到云數據中心中來。