發力浦東政務——上海移動打造雲安全建設風向標

雲時代大潮湧動，滾滾向前，政務雲應用更是突飛猛進，跑在了各行業的前列。與此同時，政府部門對雲安全的擔憂也一直高居不下，成為政務雲應用領域的重要組成部分。

由於政務雲承載的都是政府機構用於執行政府職能的資訊系統，涉及的資訊更為敏感，需要更高的安全性；另一方面，政務雲行使政府職能的特點導致更容易受到來自外部或內部的攻擊。因此，近年來國家也為此出臺了一系列規範和標準，包括《關於加強黨政部門雲端計算服務網路安全管理的意見》、《資訊系統安全等級保護基本要求雲端計算安全技術要求》、《資訊系統安全等級保護測評要求雲端計算要求》、《政務雲安全技術要求與實施指南》、《政務雲平臺安全等級保護測評方法與規範》等。

作為政務雲的建設者，上海移動在浦東政務雲專案建設中，同樣將雲安全建設視為重中之重。通過全面的雲安全體系建設，成功地提升了浦東政務雲安全成效。讓我們看看他們是怎麼做的吧！

雲中領跑，安全更要同步

浦東作為推動上海經濟社會發展的引擎，在雲端計算領域更是走在全國的前列。2015年，上海移動與上海浦東新區政府一起通過ppp模式，啟動了全新的政務雲資料中心專案，採用雲端計算技術，依託政務專網資源，為政府各個部門搭建一個統一的政務雲服務平臺，實現以“雲”的理念重新變革政務建設模式，解決傳統政務建設、運維和管理難題，提高政務建設效率和服務水平。

打造領先的政務雲，同樣要構建領先的雲安全體系。對此，上海移動對浦東政務雲安全整體上制定了幾個目標。首先是租戶安全隔離，在雲平臺環境下，不同安全需求的委辦局租戶可能執行在同一臺物理機上，要避免在一個租戶遇到安全威脅時向其他租戶擴散，不影響到同主機上其他部委的正常業務。另外，還要避免政務雲平臺管理員訪問委辦局機密資料，對資料機密性、完整性、可用性造成破壞。

其次是無邊界安全防護。傳統資料中心安全防護的最大特點是以“邊界”為核心，而在伺服器虛擬化、逐步實現雲端計算之後，安全邊界的概念已然不存在，傳統的安全防護方式失去了作用，只能通過隨時隨地、無處不在的防護才能保障安全性。

再則是安全按需調配。在雲環境中，租戶的基本需求是計算資源和儲存資源的自定義申請和彈性的服務交付，面對安全的需求也是如此。傳統的安全防護基礎設施無法為租戶有效的分配個性化的安全資源，降低了單個租戶的安全防護要求，成為雲服務環境下的服務瓶頸，需要有效地加以解決。

另外，還要提供安全可靠的雲平臺，滿足政務雲更高的安全性要求。政務雲上的業務系統要實現三級等級保護，需要支撐平臺通過相應的等級保護認證。

浦東雲安全走“兩步”

在具體部署過程中，新華三與上海移動、浦東區政府一起，參照國家推出的各項雲安全規範，設計了政務雲整體安全解決方案，從物理層、資源抽象與控制層、雲服務層，提供全方位的安全防護，包括防DDoS攻擊、漏洞掃描、主機防禦、網站防禦、使用者隔離、認證與審計、資料安全等模組，合理地解決政務雲資訊保安與資訊共享、開放性之間的矛盾。在政務雲系統保證合規性、安全性和機密性的基礎上，保持資訊共享和通訊暢通的效率。

整個安全體系建設分為兩步走

第一步，就是完成中高階系列防火牆、堡壘機、系統漏洞掃描、資料庫漏洞掃描、資料庫審計、入侵防禦等安全裝置的部署，形成基礎安全防護能力。

接下來的第二步，浦東政務雲通過部署網閘、伺服器負載均衡、上網行為審計、WAF、Web漏洞掃描、天機-安全管理中心等安全裝置和軟體，將全網安全資源建設成統一的安全能力中心。

不難看出，安全能力中心對於雲架構來說顯得更為重要。安全能力中心按需求分為東西向和南北向。東西向安全能力中心實現虛擬機器之間的安全隔離，避免虛機上的風險在內部橫向擴散，提供多虛擬機器之間的業務負載均衡，保障服務的可靠性。南北向安全能力中心則實現平臺和租戶從政務外網向廣域網、網際網路訪問以及從廣域網、網際網路訪問政務外網的流量全方位安全防護。

安全的與“雲”俱進

雲架構與傳統IT架構有著十分明顯的差別，對於安全防護來說，同樣需要與時俱進。在浦東政務雲安全建設過程中，上海移動採用了當前業內最前沿的SDN+安全服務鏈技術，可謂雲安全建設領域的成功樣板。

說到安全服務鏈，先要分析一下傳統安全業務部署的弱點。傳統模式下，安全業務部署通常基於物理拓撲，將安全裝置序列到業務流量路徑中，無法滿足快速變更的需求；裝置能力擴充套件性較差，也無法在多業務間共享；傳統基於路徑的部署方式無法應用於Overlay網路。

而採用SDN+安全服務鏈技術，可以基於Overlay網路構建集中的安全能力資源池，通過集中的SDN控制器將需要進行安全防護的業務流量引流到安全能力中心進行防護，並且根據業務需求編排安全業務的防護順序，也就是通常所說的服務鏈，按需排程安全資源，安全資源以服務方式交付，真正實現安全能力的彈性擴充套件、業務能力共享、多租戶隔離的雲安全防禦。無論是事前的日常安全檢查、事中的安全防禦，以及事後的快速響應都能夠有效保障雲平臺和租戶的主機、網路、應用的安全及穩定，並通過新華三的天機安全管理中心實現以業務為核心，融合安全、網路、應用的統一管理，提供安全風險態勢感知、安全業務快速部署、安全分析和審計、安全響應和報告等。

這種方式的好處十分明顯。通過SDN控制器定義安全服務鏈，上海移動在浦東政務雲專案中實現了服務鏈定義的自動化，而且控制器會實時監控安全資源池的負載情況，可以根據負載實現安全資源池的擴充套件或者資源釋放。某個委辦局需要新開一項業務時，只需在申請計算、儲存、網路資源同時按業務需求申請一定數量安全資源即可上線某項業務，下線某個業務即收回所有資源，有效減少了投資成本，運營成本，縮短了新業務投入時間，增加了靈活性。

此外，政務雲安全防護控制面實現由新華三的SDN Controller叢集實現，提高了可靠性和可擴充套件性，避免了大規模組播的複雜部署。並支援分散式閘道器功能，使虛機遷移後不需要重新配置閘道器等網路引數，部署簡單、靈活。東西向業務通過服務鏈方式部署虛擬防火牆等提供安全訪問控制，南北向業務通過中高階防火牆、IPS等提供安全訪問控制。

目前，浦東新區政務雲已順利交付，搭建完成了全區統一的電子政務資源雲平臺，全面支撐了政務網的業務需求，成為推動浦東“新經濟”重要基礎，同時也為整個上海乃至國內政務雲應用提供參考和借鑑。通過浦東政務雲的安全體系建設，上海移動也成功探索出雲安全建設的方向，為未來的政務雲建設實踐出新的路徑。

本文出處：暢享網
本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。