四川XX州政务云平台安全实践
  • 2021.11.25
  • 1351
  • 北京天融信网络安全技术有限公司

一、案例背景:

为纵深推进国家“上云用数赋智”行动,贯彻落实党中央、国务院和省委、省政府加快发展数字经济的决策部署,深入实施创新驱动发展战略,聚焦四川特色优势领域,强化数字化转型服务,着力推动数字技术创新赋能实体经济,加快构建现代产业体系。通过数字化转型促进中心建设,打造一批数字化转型服务平台,催生一批数字化转型支撑技术与产品,开发一批数字化转型解决方案,探索建立数字化转型的标准和规范,形成一批可复制、可推广的数字化转型模式和典型经验,充分激发企业数字化转型积极性,有效释放创新改革红利,加速促进经济社会数字化转型。 
 

近年来,在州委、州政府的坚强领导下,四川省XX州科技战线按照《国家数字经济创新发展试验区(四川)建设工作方案》和《四川省数字化转型促进中心建设实施方案》要求加速科技创新能力建设,努力提高科技服务水平,充分发挥了科技对经济社会发展的支撑和引领作用。为响应国家战略、解决重复建设、资源错配、资金浪费等问题,有效打破地区间、部门间的信息壁垒,最大限度实现数据资源的交流互换和高度共享,提高城市公共服务水平,构建高效便捷的政务环境,四川省XX州建设了州、县(市)一体化的政务云和政务大数据平台, 推进跨层级、跨部门政务信息资源共享和业务协同,实现电子政务从粗放式向集约化、低效能向高绩效发展模式的转变,构建特色的数字化智慧政务体系。
 

  • 政务云安全面对的难点问题/需求

在传统单体建设模式下,各单位需构建独立的机房、机柜、服务器、虚拟化、操作系统及业务系统来满足数字电子政务办公需求,安全建设也在各单位出口部署防火墙、WAF、入侵防御等安全设备构建安全壁垒,通过分区分域实现不同安全层级之间的防护,某单位安全问题对其他单位影响较小或几乎没影响;但当政务业务上云后,资源池化,所有单位业务都运行在政务云平台上,此时将无法采用传统安全解决方案进行安全隔离和防护,某一云主机被攻击将会影响整个云平台上所有单位的业务运行,安全风险较大,此外,云平台的业务形态也会导致新的漏洞和缺陷,因此,如何做好云平台的纵深安全防护成为政务业务上云的核心问题和痛点。
 

  • 云租户安全需求

云计算应能面向租户提供按需的安全防护能力服务,云内存在各种未知目的用户以及各类重要程度各不相同的业务系统。云运营方无法对所有云内用户行为进行约束和管控,这将导致云环境内部变得不再可信。在云计算出现以前,安全产品基于单租户模式设计,安全策略在设备全局层面下发。而云计算环境往往是多租户的,各个租户之间可能存在相互冲突的网络配置、安全策略,比如租户A的IP地址和租户B的IP地址重叠,租户A和租户B安全防护等级不一致等等。在云计算多租户场景中,租户通常会根据自身业务需求和安全合规要求进行顶层安全设计。当前云平台能提供的安全措施屈指可数,租户顶层安全设计难以落地,业务系统安全难以保障。如何对云内用户和业务系统提供一套能够根据用户的需求快速配置云计算安全能力以及现动态扩展虚拟化的层次达到对应用进行扩展的目的安全防护体系,对云租户业务进行进行有针对性地安全隔离、防护、监控和审计,是目前云计算环境下迫切需要解决的问题。
 

  • 云内安全需求

云计算为用户带来了更灵活的资源弹性配置,动态负载均衡,高可用等功能,提高了硬件资源利用率,缩短了大型应用服务系统的部署时间。然而,在云计算环境中,虚拟机之间的通信流量是直接在vswitch中完成的,通信流量并没有通过外部交换设备,导致对这部分的流量失去监控,连接在同一个vswitch上的虚拟机之间可以相互通信,可能存在被监听以及相互攻击的风险;再者,虚拟机存在迁移的特性,当虚拟机迁移到其他服务器上,会造成安全域边界的动态化,导致传统固定边界的防护手段在云计算环境中失效。但,当前云平台能提供云内东西向安全防护能力少之又少,如何构建一套有效的东西安全防护体系,将成为云计算中心建设中的重点,只有更加完善的防护体系,才能为用户提供更加可靠的安全防护能力。
 

在进行政务云平台规划时,需同步规划云平台安全和上云后各委办局单位业务系统的安全保障措施,为避免云平台厂商既当运动员又当裁判,引发系统性安全问题,最好的解决方案是将云计算和云安全分别交由不同厂商进行建设,以最大程度保障安全的独立性。整体调研国内现状可发现,云平台的传统安全防护相对比较成熟(和非云环境下的安全没有本质上的差异),但是云上业务系统的安 全却属于比较新的领域,业界并没有标准化的解决方案。基于上述痛点,需考虑3大政务云安全建设相关目标:1)云上业务系统的安全设计和建设要能全面满足等保2.0要求,要充分考虑租户安全能力和云主机之间的安全隔离;2)云上业务系统的安全保障要能和云平台融合,使用方式要尽可能简单;3)云安全相关产品要能被政务云监管平台全面监管。
 

二、案例概述:

四川省XX州数字政务云平台的建设是深入实施创新驱动发展战略,聚焦四川特色优势领域,强化数字化转型服务的重要体现。XX州数字政务云平台建设将全面面向数字化转型需求,整合各方资源,使用便捷的数字化解决方案,推动四川省XX州数字化建设进程。
 

本次云四川省XX州数字政务云平台的建设主要面临着传统的安全防护手段逐渐无法满足用户在云计算环境下的安全需求。传统的网络安全是以分区分域为核心原则进行设计的,通过在物理边界上串行部署防火墙、入侵防御等硬件安全设备来保障区域间的安全。这种设计原则基于同一区域内的主机是可信的,但这一假设在云计算环境下正在变的不可靠。根据《网络安全等级保护基本要求-云计算安全扩展要求》,针对云服务客户,云计算平台“应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力”和“应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访间路径、选择安全组”的安全能力;针对虚拟机安全,云计算平台“应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流最”、“应保证当虚拟机迁移时,访问控制策略随其迁移”以及“应允许云服务客户设置不同虚拟机之间的访问控制策略”的安全能力,但目前绝大多数云数据中心无法很好的满足《网络安全等级保护基本要求-云计算安全扩展要求》的相关要求,如何构建一套完善的安全防护体系,将是本次云数据中心急需解决的问题。
 

本次安全建设将参考《等保2.0》标准,采用通用安全防护+云计算安全防护并重的防护体系进行设计。物理网络安全将通过安全通信网络设计、安全区域边界设计、安全计算环境设计以及安全管理中心设计四个部分进行设计与建设。同时参考等保2.0云计算扩展要求进行设计,针对云租户将通过云安全资源池,为租户提供丰富的安全防护能力;针对云内安全,将通过虚拟化防火墙系统,进行云内东西向威胁的检测和防御。
 


 

三、安全技术应用情况:

(安全解决方案对于前述数字化场景的风险应对措施)

天融信在本项目采用了三层纵深安全解决方案。首先,平台层安全从分区分域的安全设计理念出发,将政务外网和互联网区划分了边界安全区、安全接入区、安全管理区、云计算区, 边界安全区通过防火墙、入侵防御、WAF、APT监测、抗D 等设备针对进入云数据中心和访问云平台服务的流量提供了有效的攻击检测和防御能力,安全接入区通过部署双因子认证VPN系统为远程运维提供了加密隧道保障,安全管理区通过堡垒机、日志审计、数据库审计、态势感知等安全系统为云平台自身的运行维护提供了集中的审计和威胁呈现、安全运营分析能力,云计算区通过天融信EDR产品保障了云平台宿主机安全, 基于先进的轻量级虚拟沙盒技术防御病毒和漏洞攻击。
 

其次,在云租户层南北向安全方面,通过部署天融信云安全资源池,有效解决了云内不同租户业务系统间的隔离、攻击检测和防御、等保合规等问题。通过天融信云安全资源池,我们可以为云上各个业务系统提供差异化的专属安全防护、深度威胁检测和精准安全审计能力,有效满足各委办局租户单位的差异化安全需求。天融信云安全资源池可以支持云安全能力的按需使用,根据委办局单位的具体需求进行安全能力开通,可极大的提升云平台硬件资源的利用率,节约运营成本。
 

天融信云安全资源池和云平台的身份认证体系进行了集成对接,实现用户可从云平台直接单点登录到云安全管理平台,避免了在多个平台间的反复登录, 提升了运维人员的运维操作体验。当前,XX政务云仅使用了云安全资源池中一部分的安全能力, 后续如果委办局或监管单位提出了新的安全需求,天融信云安全资源池还可通过扩容授权的方式快速上线新的安全能力,以快速响应电子政务领域的新需求,提升用户对云安全服务的满意度。
 

最后,在云主机层东西向安全方面,通过部署天融信虚拟化分布式防火墙, 实现了对云内各业务系统之间的访问控制和高级威胁防御,有效的降低了云内威胁横向扩散的风险。同时, 天融信分布式防火墙还可以对云内流量进行分析,辅助云平台梳理业务通信关系,以方便运维人员更有针对性的制定安全策略。
 

另外,天融信在四川设置的分公司、地市办事处和安全服务西南分中心配置了100 多名专业的网络安全工程师,可为政务云上线运行提供有力的专业技术支持和安全服务保障。
 

四、客户反馈效果:

项目建设期间,我司技术人员、研发人员、项目经理以及销售经理鼎力支撑,与用户同心协力,保证了项目顺利并高分通过等保测评,用户十分认可天融信的产品品质和服务能力,并通过总集给我司颁发了感谢信。

 

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝