政务云安全概述随着全国政务云建设如火如荼的进行,不仅政务需要上云,还需要考虑上云后业务的安全稳定运行;政务云安全建设需要打消云租户的安全顾虑,同时还要满足监管机构对政务云安全的监管要求。那么,面对政务云安全建设的方方面面,如何才能做得更好呢?通过绿盟科技云计算安全解决方案在多个政务云安全项目的实施,分享了自己的一些经验,同时也算是一个引子,对其他政务云安全提出了一些指导性建议建造。项目建设面临的风险对于政务云来说,整个建设包括云计算基础设施、云计算服务、云计算安全等,政务云安全面临的主要风险有以下三个方面,即云计算安全技术风险、需求旺盛政府云建设的合规监管和有限的安全预算。1、云计算技术的安全风险当政务与云计算相遇,推动电子政务快速向云计算模式应用转变。在享受云计算在计算、存储、网络等方面带来便利的同时,也引入了新的安全隐患。风险。其中,虚拟化技术给虚拟化网络带来了不确定性。虚拟机的位置动态变化。它可能位于不同的物理服务器上。网络边界是动态变化的。单个业务域位于单个服务器中或多个服务器之间。传统网络设备无法保护虚拟化内的网络流量,更无法检测虚拟化内的网络威胁,虚拟主机之间也没有有效的保护手段。此外,传统的数据安全风险和安全管理风险依然存在。2.合规监管需求旺盛。云计算在我国发展以来,国家相关政策法规不断完善。政策层面从2015年的《关于促进云计算创新发展培育信息产业新业态的意见》、《关于加强党政部门云计算服务网络安全管理的意见》转变为2016年的《关于加快“互联网+政务服务”工作的指导意见》。、《GBT22239-2019信息安全技术网络安全等级保护基本要求》等相继发出。政务云建设有指导标准,安全技术要求有衡量标准。3、电子政务云建设安全预算有限根据IDC、Gartner等咨询机构的报告推测私有云行业的发展趋势,参考过去几年软硬件在IT基础设施上的投资比例多年来,一般安全投资占IT基础设施总投资的2%。~5%,有限的安全预算应该如何合理分配到各个方面的安全需求,或者说安全建设过程中那些关键需求是值得我们关注的,我们将一一梳理建设过程中的关键要素一分析。建设过程的关键要素政务云建设要遵循顶层设计原则,统筹规划云计算建设方案和云安全建设方案。云安全建设方案应立足于保障云平台安全运行,为政务云客户提供安全服务;政务云平台的服务对象主要面向地区局局。相互隔离,各司局委办根据自身业务系统划分相应的内部分区和安全策略;此外,在政务云集约化建设的前提下,局、局、委办多以购买服务的方式接入云,政务云平台除了满足IT资源服务外,还需要提供安全资源服务。通过自助门户,各司局可以管理自己的安全政策。在顶层设计原则下,相应实施技术措施;根据政务云平台的网络划分进行边界检测和防护,政务云中根据业务区域划分不同的安全域,安全域之间进行网络隔离和访问控制;在自动化层面,通过虚拟安全设备保障区域隔离检测,利用安全资源池技术为政务云客户提供安全服务,确保客户安全自主可控并符合监管要求.国内政务云尚处于基础设施投入阶段,大部分政务云尚未向服务运营转型,“三点建设,七点运维”只是强调运维的重要性施工完成后。如何依托软硬件为政务云客户提供更好的服务,更好地发挥云计算的作用,成为政务云建设的关键。政务云安全案例分析某市政府部门推进信息化建设。越来越多的政务信息系统将迁移至政务云。信息系统涉及各市委、办、局的重要信息。如何保障信息系统的安全,是政务云迫切需要面对和解决的重要挑战。绿盟科技云计算安全解决方案助力地方政府云安全建设。通过与市政府、云服务商等参与方的多方协调,对本次政务云安全建设提出了两大重要目标和挑战。1、政务云作为政务应用的载体,严格按照国家和行业安全标准进行设计和建设,安全合规;2、安全能力建设应符合云计算的特点,提供丰富、灵活、On-demand的云安全服务。“NSFOXNebula”NCSS云计算安全解决方案整体架构设计遵循以业务为中心、以风险为导向,基于深度主动防护的思想,综合考虑云平台安全威胁、需求特点、及相关要求。安全防护体系架构、内容实现机制及相关产品组件的优化设计从管理和技术两个方面充分保障了政务云的安全。图1总体架构设计硬件边界安全防护在政务云与互联网的边界,通过传统物理手段部署NTA(流量分析系统)、ADS(抗Ddos攻击系统)、IPS(入侵防护系统)等设备检测异常流量并进行清洗,检测并阻断各种网络攻击。基于政务云内部安全域的划分,可以采用合理的手段保护政务云平台区域边界的安全。图2硬件边界保护虚拟化层安全防护1.虚拟化网络安全在政务云虚拟化网络层面,我们在云计算节点上部署安全虚拟机,使用虚拟化防火墙对边界进行不同粒度的隔离和保护;另外,在政务云互联网域的Web服务器上部署HWAF,为网页提供防篡改能力,使用虚拟化Web应用保护进行互联网域前的Web保护;部署在公共服务区的服务器主机上EDR、防病毒等,提供主机层面的风险安全防护使用远程安全评估系统(RSAS)对云平台和虚拟机进行安全评估,扫描针对软硬件资产存在的漏洞,及时发现存在的资产安全缺陷,有效保护资产安全。2.多租户安全本项目的电子政务云客户端为各司局委托的业务系统和公共服务门户。佣金既要保证业务的稳定运行,又要满足合规要求。此外,安全策略和安全事件需要及时掌握并自主控制尤为重要。基于绿盟星云NCSS云计算安全解决方案,绿盟科技将基于网络功能虚拟化的安全资源聚合起来构建资源池,并通过资源池控制层对虚拟化资源进行封装和调度。上层提供政务云租户服务入口,政务云租户可通过服务入口按需向资源池申请安全服务;资源池支持旧的传统硬件安全设备和虚拟安全设备等多种类型的安全资源,接受资源池控制器的管理,对外提供相应的安全能力。安全资源池包括虚拟防火墙、入侵防御、入侵检测、WEB应用防护、安全审计、日志审计、WEB安全扫描、主机安全扫描、主机防病毒、终端检测与响应等安全组件。这些丰富的安全能力不仅可以满足客户的合规监管需求,如分级保护、网站集约化防护等,还可以保障业务系统的安全运行。图3多租户安全服务安全运营平台建立安全运营平台,为政务云运维提供强大的支撑工具,依托大数据安全、智能化威胁研判、智能化漏洞治理、威胁智能平台、海量数据存储与分析、云安全管理平台涵盖边界管控、评估分析、威胁防护、监控预警、合规治理等全方位安全管控接口。安全运营平台基于广义的安全资源池。资源池中各类安全能力提供保护、监控、检测能力和安全数据。这些作为中层安全管控平台的输入,满足数据分析、业务编排等技术需求;控制平台层由各类控制模块组成。绿盟科技星云NCSS云安全集中管理系统作为政务云安全的运行保障,控制广义资源池的安全能力,为上层运行系统提供服务能力;NCSS与绿盟科技智能安全运营平台合作为政务云提供运营服务,通过资源池虚拟化能力和云SAAS能力提供政务云安全增值服务,通过资源池组合满足政务云客户级保护合规需求能力,通过本地运营团队打通云端服务数据分析服务和运维服务;并尝试通过与政务云服务商的合作运营模式,结合技术和管理,构建更完善的政务云安全运营体系,为政务云客户提供全方位的安全保障。图4安全运营体系安全运维服务通过对运维服务体系的综合设计,消除了“鸡蛋放在一个篮子里”的安全风险。政务云安全运维需要依靠云服务商、安全厂商、监管机构等的共同努力;在安全厂商方面,根据云计算的特点,建设政务云服务的三个步骤是上云阶段、上云阶段、退役阶段。云相;设计不同阶段的安全服务。比如上云阶段,重点做好政务云客户业务系统的基线验证和环境安全检查;政务云业务注重云阶段安全运行监控、安全巡查、政策优化、应急响应。处置等;在政务云业务迁移或退云阶段,重点关注政务云客户数据清理、资源回收、服务关停等。图5绿盟科技安全服务体系客户收益建立基于云边界保护的综合运维体系,云端内部保护,统一管理。“三步走”设计原则构建由点到面的全方位防护体系,为政务云平台及政务云客户提供从云基础环境到租户安全的持续、全面的安全防护。实现安全的集中运维使用绿盟科技星云NCSS云安全管理系统,对安全资源池中的所有资源进行统一管理和统一监控,管理虚拟化设备的生命周期,查看设备的运行状态和日志报表展示整个安全资源池。简单易用的运维平台,可对云端虚拟化安全设备进行统一运维管理,可大大降低客户运维成本投入,提高运维管理效率。政务云安全责任明确与其他行业云相比,政务云服务商和云租户更注重合规和监管要求。基于这种场景,政务云安全很容易采用云服务商和云租户共担责任的模式。根据法律法规及其他合规要求,将属于云租户责任的安全需求交由云租户自行运维管理。绿盟科技云安全解决方案将运维和租户管理的访问权限分离,提供租户服务入口,提供安全能力供云租户自主选择,责任界定清晰可见,避免因责任不明推卸责任.满足合规要求绿盟科技云计算安全解决方案为云平台和云租户带来双赢的可能。云平台在满足等级保护要求的同时,也满足了云租户的要求;通过资源池服务为租户提供安全能力。通过构建全面的安全监控、识别、防护、审计和响应能力,有效抵御相关威胁,使客户在上云和使用云服务过程中满足监管合规要求。安全增值可运营云平台,在满足自身安全需求的同时,将安全资源转化为安全服务提供给租户,租户可以按需选择购买计算、存储、网络等资源;另一方面,云平台也可以获得持续收益,从而强化云平台的安全能力,形成良性循环。总结通过对政务云安全案例的由点到面的分析,我们可以发现,选择一个优秀的政务云安全解决方案就成功了一半,让政务云服务商在建设过程和后期运营过程中感受到专业和可靠。安全体验。最后,总结一下绿盟科技云计算安全解决方案带来的价值:我们利用绿盟科技的技术积累,为政务云客户打造成熟稳定的解决方案,利用绿盟科技云本地协同运营服务保障建设完成。安全稳定运行。
