新時(shí)代的云服務(wù)能迅速實(shí)現(xiàn)企業(yè)業(yè)務(wù)上線的資源彈性擴(kuò)張和收縮，然而業(yè)務(wù)上云的同時(shí)同樣面臨著巨大的挑戰(zhàn)。

云安全的建設(shè)需求

目前越來越多的政務(wù)云采用了PPP或面向政務(wù)云運(yùn)營方租賃云服務(wù)的建設(shè)方式，社會力量參與政務(wù)云建設(shè)運(yùn)營，傳統(tǒng)安全產(chǎn)品的合作、交付模式已經(jīng)越來越不適用于云上安全租戶安全體系與能力的建設(shè)。根據(jù)政務(wù)云建設(shè)方式的變化，主要的安全需求體現(xiàn)在以下兩個(gè)方面：

1.平臺安全

政務(wù)云基礎(chǔ)平臺安全包括基礎(chǔ)硬件安全建設(shè)和租戶之間的安全隔離。政務(wù)云平臺的基礎(chǔ)安全保障是云服務(wù)方所需承擔(dān)的基本義務(wù)，提供服務(wù)的云服務(wù)方需保護(hù)的對象涵蓋物理基礎(chǔ)設(shè)施、服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備，虛擬化平臺系統(tǒng)、資源池、云管平臺，以及為租戶提供的鏡像、模板等，不同租戶之間東西向安全建設(shè)。

圖1 政企云安全邏輯拓?fù)鋱D

同時(shí)政務(wù)云平臺在網(wǎng)絡(luò)結(jié)構(gòu)上要遵循電子政務(wù)外網(wǎng)系列安全標(biāo)準(zhǔn)，云平臺滿足三級等保建設(shè)需求，保證合規(guī)合法，就高不就低的進(jìn)行等級保護(hù)合規(guī)性建設(shè)，讓更多租戶業(yè)務(wù)上云。

2.租戶安全

安全資源可管理：租戶業(yè)務(wù)上云后，租戶會對平臺方提出需要獨(dú)立、可配置的安全功能，相比過去在出口部署硬件安全設(shè)備，統(tǒng)一配置的方案無法滿足千差萬別的多租戶業(yè)務(wù)形態(tài)，這就需要為租戶提供一系列可供租戶對已購買安全服務(wù)自管理的界面，需滿足個(gè)性化安全建設(shè)。

業(yè)務(wù)安全可視：政務(wù)云用戶在采用了政務(wù)云提供的安全方案后，對自身安全狀況是不了解的，主要因?yàn)橛脩魳I(yè)務(wù)上云后，網(wǎng)絡(luò)邊界已經(jīng)消失，數(shù)據(jù)流轉(zhuǎn)發(fā)路徑不可視，而云安全方案提供商提供的方案都是偏向檢測、防御的，缺少面向租戶設(shè)計(jì)的租戶業(yè)務(wù)安全展示界面，但隨著政務(wù)云權(quán)責(zé)體系的清晰，租戶需要對自身業(yè)務(wù)系統(tǒng)安全負(fù)責(zé)，而安全可視是基礎(chǔ)，不可視的安全、檢測、防御租戶上云業(yè)務(wù)也很難開展。

政企云安全體系建設(shè)

圖1為政企云安全體系邏輯拓?fù)鋱D，通過分析政企云的安全建設(shè)需求，主要從平臺安全設(shè)計(jì)、南北向租戶安全設(shè)計(jì)、東西向租戶安全設(shè)計(jì)三大主要方面對政企云的安全體系建設(shè)進(jìn)行探討。

1.平臺安全

互聯(lián)網(wǎng)出口安全設(shè)計(jì)：為各部門提供統(tǒng)一互聯(lián)網(wǎng)出口，互聯(lián)網(wǎng)訪問服務(wù)。

抗DDoS攻擊：部署流量清洗設(shè)備，對于超大流量型DDoS攻擊，可將流量引入到擁有2T及更高帶寬的公有云，將安全威脅清洗后，再將流量重定向到互聯(lián)網(wǎng)出口，完成DDoS流量的安全防護(hù)。

部署負(fù)載均衡，保障鏈路可靠性：出口處采用雙運(yùn)營商線路，雙線路通過交換機(jī)一分為四，交叉連接兩臺負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備將內(nèi)網(wǎng)訪問運(yùn)營商1業(yè)務(wù)的流量分擔(dān)到運(yùn)營商1出口，訪問運(yùn)營商2業(yè)務(wù)的流量分擔(dān)到運(yùn)營商2出口，避免跨運(yùn)營商訪問帶來的延遲、丟包等不良影響，同時(shí)兩條線路互相備份，單條線路出現(xiàn)故障，所有業(yè)務(wù)立即切換到另一條線路上，保證業(yè)務(wù)不中斷。同時(shí)互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)業(yè)務(wù)的時(shí)候，通過負(fù)載均衡設(shè)備可以實(shí)現(xiàn)讓運(yùn)營商1用戶通過運(yùn)營商1的出口訪問內(nèi)網(wǎng)服務(wù)器，運(yùn)營商2的用戶通過運(yùn)營商2線路訪問內(nèi)網(wǎng)服務(wù)器，當(dāng)單條線路出現(xiàn)故障時(shí)，所有業(yè)務(wù)切換到正常的鏈路，保證業(yè)務(wù)24小時(shí)無故障運(yùn)行。

部署下一代防火墻，進(jìn)行互聯(lián)網(wǎng)出口立體防護(hù)：負(fù)載均衡向下接兩臺下一代應(yīng)用層防火墻，下一代防火墻解決方案實(shí)現(xiàn)包含IPS、防病毒、防Web攻擊、防APT攻擊及僵尸網(wǎng)絡(luò)防護(hù)的2-7層全面安全防護(hù)。

部署流量管理設(shè)備，實(shí)現(xiàn)上網(wǎng)流量的管理控制，提升帶寬利用率，用戶行為升級滿足網(wǎng)絡(luò)安全法合規(guī)要求。

數(shù)據(jù)中心安全設(shè)計(jì)：數(shù)據(jù)中心區(qū)分為公共服務(wù)區(qū)和政務(wù)業(yè)務(wù)區(qū)兩大部分，在兩大業(yè)務(wù)區(qū)數(shù)據(jù)中心前端分別部署兩臺下一代防火墻，開啟 FW、IPS、WAF功能實(shí)現(xiàn)數(shù)據(jù)中心立體安全防護(hù)。

公共服務(wù)器區(qū)分為網(wǎng)站集群區(qū)和數(shù)據(jù)交換區(qū)，兩區(qū)采用邏輯隔離，網(wǎng)站集群區(qū)存放各單位網(wǎng)站業(yè)務(wù)，并采用東西隔離的方式實(shí)現(xiàn)東西安全防護(hù)；同時(shí)建立專門的數(shù)據(jù)交換區(qū)，實(shí)現(xiàn)不同部門之間數(shù)據(jù)的共享和傳輸。

政務(wù)業(yè)務(wù)區(qū)分為按業(yè)務(wù)的安全等級分為二級等保、三級等保區(qū)，兩個(gè)區(qū)域邏輯隔離，分別采用等級保護(hù)二級、三級的安全標(biāo)準(zhǔn)進(jìn)行安全策略配置；此外成立一個(gè)政務(wù)網(wǎng)數(shù)據(jù)共享區(qū)，實(shí)現(xiàn)各部門之間政務(wù)業(yè)務(wù)和數(shù)據(jù)的共享；對于計(jì)算資源要求較高的中大型數(shù)據(jù)成立專門的物理服務(wù)器區(qū)進(jìn)行此類業(yè)務(wù)存放。出數(shù)據(jù)庫外各業(yè)務(wù)都部署在虛擬化環(huán)境下，為了實(shí)現(xiàn)虛擬化環(huán)境下多用戶的業(yè)務(wù)隔離的同時(shí)部分?jǐn)?shù)據(jù)共享，采用東西向安全防護(hù)組件進(jìn)行安全建設(shè)。

政務(wù)外網(wǎng)邊界安全設(shè)計(jì)：政務(wù)外網(wǎng)邊界采用下一代防火墻設(shè)備，通過防火墻的權(quán)限控制策略對不同的第三方單位開放不同的安全端口，將權(quán)限最小化，避免越權(quán)訪問風(fēng)險(xiǎn)，同時(shí)開啟僵尸主機(jī)安全功能，阻斷病毒、木馬對內(nèi)部業(yè)務(wù)安全的沖擊。

運(yùn)維管理區(qū)安全設(shè)計(jì)：構(gòu)架獨(dú)立的管理網(wǎng)絡(luò)，與業(yè)務(wù)網(wǎng)絡(luò)分離，避免兩張網(wǎng)絡(luò)混雜帶來的攻擊風(fēng)險(xiǎn)，以及管理帶寬被擠占而無法隨時(shí)管控的風(fēng)險(xiǎn)；在運(yùn)維管理區(qū)邊界，部署一套SSL VPN設(shè)備，基于SSL VPN的認(rèn)證、加密、安全檢測、權(quán)限分配、訪問記錄等一系列手段，實(shí)現(xiàn)政務(wù)業(yè)務(wù)遠(yuǎn)程安全訪問，部署堡壘機(jī)完成全網(wǎng)設(shè)備維護(hù)的安全授權(quán)、權(quán)限控制、日志記錄，保證設(shè)備維護(hù)的安全性；部署安全管理平臺對全網(wǎng)所有安全設(shè)備進(jìn)行統(tǒng)一管理及維護(hù)。

2.安全資源池

安全資源池部署在核心交換機(jī)上，采用物理旁路，邏輯串聯(lián)的方式，核心交換機(jī)采用策略路由的方式將云平臺的業(yè)務(wù)流量引流到云安全資源池，通過安全資源池的云Web防護(hù)系統(tǒng)、云DDoS、云堡壘機(jī)、云數(shù)據(jù)庫審計(jì)、云防火墻、云 IPS、云 VPN、云防病毒、云APT檢測對數(shù)據(jù)量進(jìn)行安全檢測，檢測完成后在返回給交換機(jī)到出口。完成整個(gè)數(shù)據(jù)流的安全防護(hù)，實(shí)現(xiàn)了南北向和東西向縱深防護(hù)體系。

3.南北向租戶安全

面向租戶的安全南北向防護(hù)，主要通過安全資源池平臺上包含的各類安全組件來實(shí)現(xiàn)防護(hù)。

NFV方式：

以通過為不同的租戶創(chuàng)建不同的VNF支持多租戶，并且能夠根據(jù)租戶的性能需求，動態(tài)的調(diào)整分配給這些VNF的計(jì)算和存儲資源，實(shí)現(xiàn)租戶VNF功能和性能的按需分配。

解耦合操作系統(tǒng)EDR方式：

采用終端檢測響應(yīng)平臺方案，由輕量級的端點(diǎn)探針和管理平臺共同組成。輕量級的端點(diǎn)探針agent需要安裝在用戶的云服務(wù)器上，管理平臺可以部署在云平臺內(nèi)，由管理平臺進(jìn)行全面的安全分析，根據(jù)已知攻擊指示器(IOC)、行為分析和機(jī)器學(xué)習(xí)等技術(shù)來檢測安全攻擊行為，并對這些攻擊做出快速的響應(yīng)動作。

4.東西向租戶安全

東西向租戶安全個(gè)性化較強(qiáng)，因此云安全方案各有不同，主要有以下三種形式。

硬件一虛多：

硬件一虛多，將一個(gè)超大性能硬件設(shè)備虛擬成多個(gè)隔離的硬件設(shè)備。

優(yōu)點(diǎn)是可實(shí)現(xiàn)完全物理隔離；缺點(diǎn)是初次投資設(shè)備性能要求較高、后期性能達(dá)到瓶頸擴(kuò)容困難，針對三級等保， 安全防護(hù)要求有缺失。

SDN/VXLAN：

匹配支持VXLAN及OPENFLOW硬件采用服務(wù)鏈引流技術(shù)，實(shí)現(xiàn)安全防護(hù)。

優(yōu)點(diǎn)是網(wǎng)路和安全融合一體化自動交付；缺點(diǎn)是初次硬件投資成本較大，不適合建設(shè)好的政務(wù)云，需要較強(qiáng)的硬件支持，產(chǎn)品需要同一個(gè)廠商提供，不具備開放性。

全軟件方案：

所有租戶云安全全部軟件交付，實(shí)現(xiàn)個(gè)性化安全規(guī)劃。

優(yōu)點(diǎn)是功能豐富，可實(shí)現(xiàn)自主化的交互，擴(kuò)容方便靈活，適應(yīng)性強(qiáng)；缺點(diǎn)是底層虛擬化平臺升級或者變化，虛擬化組件對應(yīng)開發(fā)接口會變化，需要二次開發(fā)很麻煩。

結(jié)語

政企云安全關(guān)系到政府和企業(yè)IT系統(tǒng)良好運(yùn)行的關(guān)鍵，在進(jìn)行政企云系統(tǒng)建設(shè)時(shí)需要多調(diào)研并謹(jǐn)慎的規(guī)劃和選擇安全體系建設(shè)方案，要能夠滿足國標(biāo)、行標(biāo)和相關(guān)政策合規(guī)要求。