《政务云安全建设实践(16页).pdf》由会员分享,可在线阅读,更多相关《政务云安全建设实践(16页).pdf(16页珍藏版)》请在三个皮匠报告上搜索。
1、温州政务云安全建设分享黄锡斌高级工程师、副经理政务云安全建设实践一、温州市政务云建设背景二、政务云安全方案选型过程三、当前政务云云安全方案目 录content一、温州市政务云建设背景背景温州市电信从2012年开始为政府部门提供“服务器虚拟化”服务,为政府部门网站提供IDC平台、虚拟主机服务。运营商建设电子政务云,售卖云服务,利润较低。政务云建设初期,就考虑了安全资源如何运营和增值的问题电信作为政务云承建方,希望交付的安全方案与租户上云业务分离,权责划分清晰二、政务云安全方案选型过程政务云安全方案选型纯安全硬件出口部署安全设备租户侧依靠操作系统自带安全规则或软件接口引流通过虚拟化底层接口引流利用
2、虚拟化底层接口实现租户侧安全硬件一虚多借助专有硬件安全设备一虚多技术通过硬件设备的分级分权管理分配管理权温州市政务云安全方案选型,参考了其他省份政务云安全建设方案,考察了以下三种租户安全实现方案:纯安全硬件部署方案部署硬件设备,如防火墙、IPS、WAF等安全硬件设备,通过网络地址的方式区分用户并分配策略。描述优点1.租户侧无需安装任何软件或agent2.能够实现政务云平台层面的安全防护缺点1.无法区分租户2.无法实现差异化收费运营模式3.租户无法自管理4.安全策略无法个性化设备,容易误判、误报防火墙IPS、WAF漏扫核心交换区域安全管理区域计算、存储资源池DDOS接口引流方案描述优点1.通过虚
3、拟化平台底层引流,租户侧无需安装任何软件或agent2.平台运营方可以实现差异化配置和部署3.能够实现安全业务收益缺点1.租户不可管理,安全不可视2.过于依赖平台方提供的技术、接口3.目前实现最好的是vmware,华为、华三均不支持通过API实现vNICvNICvSwitchVMSafe接口流量牵引流量牵引流量牵引VM1VM2vNICVM3插件Vmware ESXi通过云平台技术提供方提供的接口,通过云平台API进行引流,结合第三方安全厂商安全产品提供安全功能硬件一虚多+网络引流方案最终确定采用的方案温州政务云在项目选型阶段,受限于当时的技术,采用了以上安全方案,通过出口安全硬件一虚多、WAF
4、反向代理,实现租户侧安全能力交付,每年实现安全营收100w左右描述优点1.租户侧无需安装任何软件或agent2.支持管理员分级分权管理3.能够实现IPS 简单的WAF 功能4.能够实现简单的差异化安全服务运营缺点1.缺少安全厂商产品后续支撑,很多功能交付不尽人意,无法使用2.在租户侧无法实现自管理,租户自身业务安全状况不可视3.安全功能有限(负载、IPS、传统FW)专线接入区域防火墙IPSWAF互联网区域核心交换区域安全管理区域计算、存储资源池反向代理原有方案使用中遇到的问题现有方案使用过程中遇到的问题希望新的安全方案能够解决的问题安全功能过少,租户安全需求难满足能够提供丰富的安全功能租户上云
5、后,安全策略调试繁琐能够提供流程化、自动化的安全功能配置租户无法管理购买的安全服务能够提供独立的租户安全子管理界面缺少租户安全可视界面能够提供独立的租户业务安全可视界面目前安全增值能力较弱,仍无法持续运营通过将安全服务化交付,满足三、政务云云安全资源池方案温州市政务云安全资源池方案 需要在已有架构上实施,通过在出口设备上引流到云安全资源池 实施后,可以将原有IPS WAF设备下线,网络整体架构清晰 每租户的网关直接指向云安全资源池的独立的安全网关,同时使用NAT功能 跟据租户需求,匹配安全服务专线接入区域出口防火墙互联网区域核心交换区域计算、存储资源池引流,每个租户的网关分别指向安全资源池安全
6、资源池安全接入包安全接入包高级防御包高级防御包安全网关(安全网关(NATNAT)基础防御包基础防御包高级防御包高级防御包安全网关(安全网关(NATNAT)安全接入包安全接入包高级防御包高级防御包安全网关(安全网关(NATNAT)租户租户A A安安全服务全服务租户租户B B安安全服务全服务租户租户C C安安全服务全服务安全接入包安全接入包高级防御包高级防御包安全网关(安全网关(NATNAT)基础防御包基础防御包高级防御包高级防御包安全网关(安全网关(NATNAT)安全接入包安全接入包高级防御包高级防御包安全网关(安全网关(NATNAT)租户租户A A安安全服务全服务租户租户B B安安全服务全服务
7、租户租户C C安安全服务全服务部署温州市政务云安全资源池方案1.选择服务2.拖拽至虚拟网络3.配置引流策略3.配置引流策略为租户释放安全服务过程租户侧自管理界面授权时限可配置的安全功能目前温州政务云采用的安全服务包提供堡垒机、数据库审计组件提供web防护、网页防篡改、敏感信息防泄密安全组件提供应用控制、防病毒网关、IPS功能提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组件安全接入包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件提供安全运营报告、安全策略检测、加固咨询、威胁分析、渗透测试、远程应急响应、通报问题处理运营服务基础防御包高级防御包安全运维包云端检测包安全运营包云安全资源池为政务云带来的价值功能全面租户安全自管理交付流程简单权责划分清晰安全接入:SSL防御:IPS WAF数据库审计运维:堡垒机多重服务包组合售卖满足不同租户需求租户在购买安全服务后,可以独立管理安全服务,如配置vpn用户,配置WAF、IPS策略。租户业务安全可视图形化交付流程租户购买安全服务后,通过鼠标拖拽即可完成交付电信负责平台安全以及租户安全资源池,租户关注自身业务安全与租户侧操作系统、业务软件无任何耦合关系