云時代大潮涌動，滾滾向前，政務(wù)云應(yīng)用更是突飛猛進，跑在了各行業(yè)的前列。與此同時，政府部門對云安全的擔(dān)憂也一直高居不下，成為政務(wù)云應(yīng)用領(lǐng)域的重要組成部分。

由于政務(wù)云承載的都是政府機構(gòu)用于執(zhí)行政府職能的信息系統(tǒng)，涉及的信息更為敏感，需要更高的安全性；另一方面，政務(wù)云行使政府職能的特點導(dǎo)致更容易受到來自外部或內(nèi)部的攻擊。因此，近年來國家也為此出臺了一系列規(guī)范和標準，包括《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》、《信息系統(tǒng)安全等級保護基本要求云計算安全技術(shù)要求》、《信息系統(tǒng)安全等級保護測評要求云計算要求》、《政務(wù)云安全技術(shù)要求與實施指南》、《政務(wù)云平臺安全等級保護測評方法與規(guī)范》等。

作為政務(wù)云的建設(shè)者，上海移動在浦東政務(wù)云項目建設(shè)中，同樣將云安全建設(shè)視為重中之重。通過全面的云安全體系建設(shè)，成功地提升了浦東政務(wù)云安全成效。讓我們看看他們是怎么做的吧！

云中領(lǐng)跑，安全更要同步

浦東作為推動上海經(jīng)濟社會發(fā)展的引擎，在云計算領(lǐng)域更是走在全國的前列。2015年，上海移動與上海浦東新區(qū)政府一起通過ppp模式，啟動了全新的政務(wù)云數(shù)據(jù)中心項目，采用云計算技術(shù)，依托政務(wù)專網(wǎng)資源，為政府各個部門搭建一個統(tǒng)一的政務(wù)云服務(wù)平臺，實現(xiàn)以“云”的理念重新變革政務(wù)建設(shè)模式，解決傳統(tǒng)政務(wù)建設(shè)、運維和管理難題，提高政務(wù)建設(shè)效率和服務(wù)水平。

打造領(lǐng)先的政務(wù)云，同樣要構(gòu)建領(lǐng)先的云安全體系。對此，上海移動對浦東政務(wù)云安全整體上制定了幾個目標。首先是租戶安全隔離，在云平臺環(huán)境下，不同安全需求的委辦局租戶可能運行在同一臺物理機上，要避免在一個租戶遇到安全威脅時向其他租戶擴散，不影響到同主機上其他部委的正常業(yè)務(wù)。另外，還要避免政務(wù)云平臺管理員訪問委辦局機密數(shù)據(jù)，對數(shù)據(jù)機密性、完整性、可用性造成破壞。

其次是無邊界安全防護。傳統(tǒng)數(shù)據(jù)中心安全防護的最大特點是以“邊界”為核心，而在服務(wù)器虛擬化、逐步實現(xiàn)云計算之后，安全邊界的概念已然不存在，傳統(tǒng)的安全防護方式失去了作用，只能通過隨時隨地、無處不在的防護才能保障安全性。

再則是安全按需調(diào)配。在云環(huán)境中，租戶的基本需求是計算資源和存儲資源的自定義申請和彈性的服務(wù)交付，面對安全的需求也是如此。傳統(tǒng)的安全防護基礎(chǔ)設(shè)施無法為租戶有效的分配個性化的安全資源，降低了單個租戶的安全防護要求，成為云服務(wù)環(huán)境下的服務(wù)瓶頸，需要有效地加以解決。

另外，還要提供安全可靠的云平臺，滿足政務(wù)云更高的安全性要求。政務(wù)云上的業(yè)務(wù)系統(tǒng)要實現(xiàn)三級等級保護，需要支撐平臺通過相應(yīng)的等級保護認證。

浦東云安全走“兩步”

在具體部署過程中，新華三與上海移動、浦東區(qū)政府一起，參照國家推出的各項云安全規(guī)范，設(shè)計了政務(wù)云整體安全解決方案，從物理層、資源抽象與控制層、云服務(wù)層，提供全方位的安全防護，包括防DDoS攻擊、漏洞掃描、主機防御、網(wǎng)站防御、用戶隔離、認證與審計、數(shù)據(jù)安全等模塊，合理地解決政務(wù)云信息安全與信息共享、開放性之間的矛盾。在政務(wù)云系統(tǒng)保證合規(guī)性、安全性和機密性的基礎(chǔ)上，保持信息共享和通訊暢通的效率。

整個安全體系建設(shè)分為兩步走。

第一步，就是完成中高端系列防火墻、堡壘機、系統(tǒng)漏洞掃描、數(shù)據(jù)庫漏洞掃描、數(shù)據(jù)庫審計、入侵防御等安全設(shè)備的部署，形成基礎(chǔ)安全防護能力。

接下來的第二步，浦東政務(wù)云通過部署網(wǎng)閘、服務(wù)器負載均衡、上網(wǎng)行為審計、WAF、Web漏洞掃描、天機-安全管理中心等安全設(shè)備和軟件，將全網(wǎng)安全資源建設(shè)成統(tǒng)一的安全能力中心。

不難看出，安全能力中心對于云架構(gòu)來說顯得更為重要。安全能力中心按需求分為東西向和南北向。東西向安全能力中心實現(xiàn)虛擬機之間的安全隔離，避免虛機上的風(fēng)險在內(nèi)部橫向擴散，提供多虛擬機之間的業(yè)務(wù)負載均衡，保障服務(wù)的可靠性。南北向安全能力中心則實現(xiàn)平臺和租戶從政務(wù)外網(wǎng)向廣域網(wǎng)、互聯(lián)網(wǎng)訪問以及從廣域網(wǎng)、互聯(lián)網(wǎng)訪問政務(wù)外網(wǎng)的流量全方位安全防護。

安全的與“云”俱進

云架構(gòu)與傳統(tǒng)IT架構(gòu)有著十分明顯的差別，對于安全防護來說，同樣需要與時俱進。在浦東政務(wù)云安全建設(shè)過程中，上海移動采用了當(dāng)前業(yè)內(nèi)最前沿的SDN+安全服務(wù)鏈技術(shù)，可謂云安全建設(shè)領(lǐng)域的成功樣板。

說到安全服務(wù)鏈，先要分析一下傳統(tǒng)安全業(yè)務(wù)部署的弱點。傳統(tǒng)模式下，安全業(yè)務(wù)部署通?；谖锢硗負洌瑢踩O(shè)備串行到業(yè)務(wù)流量路徑中，無法滿足快速變更的需求；設(shè)備能力擴展性較差，也無法在多業(yè)務(wù)間共享；傳統(tǒng)基于路徑的部署方式無法應(yīng)用于Overlay網(wǎng)絡(luò)。

而采用SDN+安全服務(wù)鏈技術(shù)，可以基于Overlay網(wǎng)絡(luò)構(gòu)建集中的安全能力資源池，通過集中的SDN控制器將需要進行安全防護的業(yè)務(wù)流量引流到安全能力中心進行防護，并且根據(jù)業(yè)務(wù)需求編排安全業(yè)務(wù)的防護順序，也就是通常所說的服務(wù)鏈，按需調(diào)度安全資源，安全資源以服務(wù)方式交付，真正實現(xiàn)安全能力的彈性擴展、業(yè)務(wù)能力共享、多租戶隔離的云安全防御。無論是事前的日常安全檢查、事中的安全防御，以及事后的快速響應(yīng)都能夠有效保障云平臺和租戶的主機、網(wǎng)絡(luò)、應(yīng)用的安全及穩(wěn)定，并通過新華三的天機安全管理中心實現(xiàn)以業(yè)務(wù)為核心，融合安全、網(wǎng)絡(luò)、應(yīng)用的統(tǒng)一管理，提供安全風(fēng)險態(tài)勢感知、安全業(yè)務(wù)快速部署、安全分析和審計、安全響應(yīng)和報告等。

這種方式的好處十分明顯。通過SDN控制器定義安全服務(wù)鏈，上海移動在浦東政務(wù)云項目中實現(xiàn)了服務(wù)鏈定義的自動化，而且控制器會實時監(jiān)控安全資源池的負載情況，可以根據(jù)負載實現(xiàn)安全資源池的擴展或者資源釋放。某個委辦局需要新開一項業(yè)務(wù)時，只需在申請計算、存儲、網(wǎng)絡(luò)資源同時按業(yè)務(wù)需求申請一定數(shù)量安全資源即可上線某項業(yè)務(wù)，下線某個業(yè)務(wù)即收回所有資源，有效減少了投資成本，運營成本，縮短了新業(yè)務(wù)投入時間，增加了靈活性。

此外，政務(wù)云安全防護控制面實現(xiàn)由新華三的SDN Controller集群實現(xiàn)，提高了可靠性和可擴展性，避免了大規(guī)模組播的復(fù)雜部署。并支持分布式網(wǎng)關(guān)功能，使虛機遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡單、靈活。東西向業(yè)務(wù)通過服務(wù)鏈方式部署虛擬防火墻等提供安全訪問控制，南北向業(yè)務(wù)通過中高端防火墻、IPS等提供安全訪問控制。

目前，浦東新區(qū)政務(wù)云已順利交付，搭建完成了全區(qū)統(tǒng)一的電子政務(wù)資源云平臺，全面支撐了政務(wù)網(wǎng)的業(yè)務(wù)需求，成為推動浦東“新經(jīng)濟”重要基礎(chǔ)，同時也為整個上海乃至國內(nèi)政務(wù)云應(yīng)用提供參考和借鑒。通過浦東政務(wù)云的安全體系建設(shè)，上海移動也成功探索出云安全建設(shè)的方向，為未來的政務(wù)云建設(shè)實踐出新的路徑。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。