實現多租戶模式政務云安全體系

新時代的云服務能迅速實現企業業務上線的資源彈性擴張和收縮，然而業務上云的同時同樣面臨著巨大的挑戰。

云安全的建設需求

目前越來越多的政務云采用了PPP或面向政務云運營方租賃云服務的建設方式，社會力量參與政務云建設運營，傳統安全產品的合作、交付模式已經越來越不適用于云上安全租戶安全體系與能力的建設。根據政務云建設方式的變化，主要的安全需求體現在以下兩個方面：

1.平臺安全

政務云基礎平臺安全包括基礎硬件安全建設和租戶之間的安全隔離。政務云平臺的基礎安全保障是云服務方所需承擔的基本義務，提供服務的云服務方需保護的對象涵蓋物理基礎設施、服務器、網絡和安全設備，虛擬化平臺系統、資源池、云管平臺，以及為租戶提供的鏡像、模板等，不同租戶之間東西向安全建設。

圖1 政企云安全邏輯拓撲圖

同時政務云平臺在網絡結構上要遵循電子政務外網系列安全標準，云平臺滿足三級等保建設需求，保證合規合法，就高不就低的進行等級保護合規性建設，讓更多租戶業務上云。

2.租戶安全

安全資源可管理：租戶業務上云后，租戶會對平臺方提出需要獨立、可配置的安全功能，相比過去在出口部署硬件安全設備，統一配置的方案無法滿足千差萬別的多租戶業務形態，這就需要為租戶提供一系列可供租戶對已購買安全服務自管理的界面，需滿足個性化安全建設。

業務安全可視：政務云用戶在采用了政務云提供的安全方案后，對自身安全狀況是不了解的，主要因為用戶業務上云后，網絡邊界已經消失，數據流轉發路徑不可視，而云安全方案提供商提供的方案都是偏向檢測、防御的，缺少面向租戶設計的租戶業務安全展示界面，但隨著政務云權責體系的清晰，租戶需要對自身業務系統安全負責，而安全可視是基礎，不可視的安全、檢測、防御租戶上云業務也很難開展。

政企云安全體系建設

圖1為政企云安全體系邏輯拓撲圖，通過分析政企云的安全建設需求，主要從平臺安全設計、南北向租戶安全設計、東西向租戶安全設計三大主要方面對政企云的安全體系建設進行探討。

1.平臺安全

互聯網出口安全設計：為各部門提供統一互聯網出口，互聯網訪問服務。

抗DDoS攻擊：部署流量清洗設備，對于超大流量型DDoS攻擊，可將流量引入到擁有2T及更高帶寬的公有云，將安全威脅清洗后，再將流量重定向到互聯網出口，完成DDoS流量的安全防護。

部署負載均衡，保障鏈路可靠性：出口處采用雙運營商線路，雙線路通過交換機一分為四，交叉連接兩臺負載均衡設備，負載均衡設備將內網訪問運營商1業務的流量分擔到運營商1出口，訪問運營商2業務的流量分擔到運營商2出口，避免跨運營商訪問帶來的延遲、丟包等不良影響，同時兩條線路互相備份，單條線路出現故障，所有業務立即切換到另一條線路上，保證業務不中斷。同時互聯網訪問內網業務的時候，通過負載均衡設備可以實現讓運營商1用戶通過運營商1的出口訪問內網服務器，運營商2的用戶通過運營商2線路訪問內網服務器，當單條線路出現故障時，所有業務切換到正常的鏈路，保證業務24小時無故障運行。

部署下一代防火墻，進行互聯網出口立體防護：負載均衡向下接兩臺下一代應用層防火墻，下一代防火墻解決方案實現包含IPS、防病毒、防Web攻擊、防APT攻擊及僵尸網絡防護的2-7層全面安全防護。

部署流量管理設備，實現上網流量的管理控制，提升帶寬利用率，用戶行為升級滿足網絡安全法合規要求。

數據中心安全設計：數據中心區分為公共服務區和政務業務區兩大部分，在兩大業務區數據中心前端分別部署兩臺下一代防火墻，開啟 FW、IPS、WAF功能實現數據中心立體安全防護。

公共服務器區分為網站集群區和數據交換區，兩區采用邏輯隔離，網站集群區存放各單位網站業務，并采用東西隔離的方式實現東西安全防護；同時建立專門的數據交換區，實現不同部門之間數據的共享和傳輸。

政務業務區分為按業務的安全等級分為二級等保、三級等保區，兩個區域邏輯隔離，分別采用等級保護二級、三級的安全標準進行安全策略配置；此外成立一個政務網數據共享區，實現各部門之間政務業務和數據的共享；對于計算資源要求較高的中大型數據成立專門的物理服務器區進行此類業務存放。出數據庫外各業務都部署在虛擬化環境下，為了實現虛擬化環境下多用戶的業務隔離的同時部分數據共享，采用東西向安全防護組件進行安全建設。

政務外網邊界安全設計：政務外網邊界采用下一代防火墻設備，通過防火墻的權限控制策略對不同的第三方單位開放不同的安全端口，將權限最小化，避免越權訪問風險，同時開啟僵尸主機安全功能，阻斷病毒、木馬對內部業務安全的沖擊。

運維管理區安全設計：構架獨立的管理網絡，與業務網絡分離，避免兩張網絡混雜帶來的攻擊風險，以及管理帶寬被擠占而無法隨時管控的風險；在運維管理區邊界，部署一套SSL VPN設備，基于SSL VPN的認證、加密、安全檢測、權限分配、訪問記錄等一系列手段，實現政務業務遠程安全訪問，部署堡壘機完成全網設備維護的安全授權、權限控制、日志記錄，保證設備維護的安全性；部署安全管理平臺對全網所有安全設備進行統一管理及維護。

2.安全資源池

安全資源池部署在核心交換機上，采用物理旁路，邏輯串聯的方式，核心交換機采用策略路由的方式將云平臺的業務流量引流到云安全資源池，通過安全資源池的云Web防護系統、云DDoS、云堡壘機、云數據庫審計、云防火墻、云 IPS、云 VPN、云防病毒、云APT檢測對數據量進行安全檢測，檢測完成后在返回給交換機到出口。完成整個數據流的安全防護，實現了南北向和東西向縱深防護體系。

3.南北向租戶安全

面向租戶的安全南北向防護，主要通過安全資源池平臺上包含的各類安全組件來實現防護。

NFV方式：

以通過為不同的租戶創建不同的VNF支持多租戶，并且能夠根據租戶的性能需求，動態的調整分配給這些VNF的計算和存儲資源，實現租戶VNF功能和性能的按需分配。

解耦合操作系統EDR方式：

采用終端檢測響應平臺方案，由輕量級的端點探針和管理平臺共同組成。輕量級的端點探針agent需要安裝在用戶的云服務器上，管理平臺可以部署在云平臺內，由管理平臺進行全面的安全分析，根據已知攻擊指示器(IOC)、行為分析和機器學習等技術來檢測安全攻擊行為，并對這些攻擊做出快速的響應動作。

4.東西向租戶安全

東西向租戶安全個性化較強，因此云安全方案各有不同，主要有以下三種形式。

硬件一虛多：

硬件一虛多，將一個超大性能硬件設備虛擬成多個隔離的硬件設備。

優點是可實現完全物理隔離；缺點是初次投資設備性能要求較高、后期性能達到瓶頸擴容困難，針對三級等保， 安全防護要求有缺失。

SDN/VXLAN：

匹配支持VXLAN及OPENFLOW硬件采用服務鏈引流技術，實現安全防護。

優點是網路和安全融合一體化自動交付；缺點是初次硬件投資成本較大，不適合建設好的政務云，需要較強的硬件支持，產品需要同一個廠商提供，不具備開放性。

全軟件方案：

所有租戶云安全全部軟件交付，實現個性化安全規劃。

優點是功能豐富，可實現自主化的交互，擴容方便靈活，適應性強；缺點是底層虛擬化平臺升級或者變化，虛擬化組件對應開發接口會變化，需要二次開發很麻煩。

結語

政企云安全關系到政府和企業IT系統良好運行的關鍵，在進行政企云系統建設時需要多調研并謹慎的規劃和選擇安全體系建設方案，要能夠滿足國標、行標和相關政策合規要求。