中国联通葫芦岛市分公司政务云云安全资源池项目案例介绍

客户简介

中国联通有限公司葫芦岛分公司成立于2005-05-29,座落于:辽宁省葫芦岛市龙港区龙湾大街23号,主要经营固定通信业务,移动通信业务,国内、国际通信设施服务业务,数据通信业务,网络接入业务,各类电信增值业务,与通信信息业务相关的系统集成业务等。立足本地,着眼未来,稳步发展,不断迈向全国,致力于为公众提供可靠、深受信赖的产品和服务。

客户现状

中国联通有限公司葫芦岛分公司政务云平台采用阿里云为基础,面向葫芦岛市委办局提供云服务,目前已经具备多种天融信、H3C等出口边界安全设备,但对于2019年12月1日开始实施的等保2.0制度中,云安全防护等要求方面存在缺失,为满足葫芦岛市各委办局政务内网各业务系统等级保护云安全要求,提供实现安全而全面的安全云环境满足针对委办局业务南北向防护、东西向防护,保障重要业务满足三级等级保护要求进行云安全体系建设,为租户侧安全资源的管理界面建设、业务安全可视化建设,保证委办局租户业务上云后,葫芦岛市联通会对租户提供安全服务。

客户需求分析
1、 虚拟化带来的技术风险

通过360在云计算上的丰富安全防治经验,结合目前在葫芦岛市联通机房政务云的现场实际情况及整体安全态势发展,我们认为目前政务云环境中安全威胁主要有以下几点:

云环境安全风险

Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层。是软件,通常就会面临漏洞风险。2015年名为毒液的安全漏洞,攻击者可以从客户系统发送命令和精心编制的参数数据到软盘控制器,以此导致数据缓冲区溢出,并在主机管理程序进程环境中执行任意代码。该漏洞存在于QEMU的虚拟软盘控制器(FDC)中,而FDC代码应用于众多虚拟化平台和设备中。

新型具备定向攻击性的病毒木马开始流行爆发

近年爆发的勒索病毒和普通的病毒木马相比更具针对性和攻击性,主要针对内网进行感染破坏。传统的静态防病毒体系无法全面防治勒索病毒,对各大政府、企事业单位造成了大面积的影响。对于新型的病毒木马,需要采用更全、更快、更准的病毒库和更智能化的病毒引擎才能解决应对这类快速攻击型的病毒。随着病毒木马的产业链化,很多病毒木马为了逃脱杀毒系统的拦截,病毒木马自身进行了很强的隐匿和变形,以此混淆杀毒系统。传统基于特征的杀毒引擎和病毒库已经无法应对这种弱特征的病毒木马恶意程序。

虚拟化环境成为病毒木马、网络攻击的重灾区

虚拟化环境相比于传统IT架构,其系统单位呈指数级上升。虚拟机临间隔离措施弱,病毒木马传播和横向攻击难度低,一旦虚拟化环境某台虚拟机感染病毒或者被攻陷植入后门,整个虚拟化环境都极有可能被感染。针对政务云虚拟化这种特殊的IT架构,传统的IT安全解决方案很难做到全面拦截和应对。

安全防护能力的高要求和虚拟化追求性能稳定理念相背离

为了提高安全能力和防护效果,需要系统提供尽可能高的资源支撑。在虚拟化环境资源利用率成倍增加的前提下,单位虚拟机所拥有的资源很有限。目前传统的安全解决方案仍然立足于主机层面,此时杀毒能力的资源消耗和虚拟机有限的资源形成了矛盾。虚拟化杀毒所引起的性能消耗,很可能导致虚拟化环境的不稳定,更严重导致整个业务中断。

总体上讲,在虚拟化环境中上,建设虚拟化安全能力,安全防护能力是首要考虑的指标,另外如何平衡防护能力和资源消耗成为衡量虚拟化中安全解决方案的重要指标。

统一集中化部署无法满足租户日益增长的安全需求

传统主机安全产品固定、静态的交付模式无法满足云下的多租户场景。所有租户共用一套安全模板,由安全运维方统一进行安全管理运维。针对各委办局的不同安全标准及要求,统一集中化的主机安全产品不能够完美契合云下各租户的主机安全诉求,需要寻求更加灵活、适应多租户环境的主机安全解决方案。

2、 安全运维风险

在政务云场景下将会由云平台方和云租户方来共同承担,所谓“三分建设、七分运维”,合理安全运维对中国联通葫芦岛市分公司政务云的安全运营至关重要。政务云上线运营后,运维管理、安全监控、应急响应等流程职责都会发生变化,这就给安全运维带来新的安全风险,主要风险有:

安全职责不清晰;

安全运维流程不清晰;

安全可视化不足;

运维工作要涉及多个平台,运维复杂度高;

运维权限分散,给运维审计、监控造成难度;

3、 安全管理风险

政务云建设及上线运营牵涉到云平台建设和设备提供方、云服务提供方、租户(委办局)、监管方、测评方等多协同单位参与建设与运营管理,这就造成了政务云中各方安全责任边界不像传统模式下那么清晰,云服务方的安全体系建设范围和目标也比较模糊,主要体现在如下几点:

云整体安全防护怎样实施?

安全责任如何划分?

出事后,责任如何追溯?

4、 合规风险

近年来工信、公安、网信等主管部门针对政务云平台的安全建设、安全运营出台了诸多安全合规要求和指导标准,特别是等级保护2.0的正式实施,对政务云平台提供出更加严格详细的安全防护建设要求,另外还有些安全规范目前多处于编写或征求意见稿阶段,这对已运营的政务云平台以及上云的厅局委办的合规性带来了不可预见的安全合规风险。

解决方案

云安全管理平台旨在帮助葫芦岛联通构建面向政务云租户的公共安全基础设施,并开展云安全运营服务。为支撑平台价值目标,平台从设计方面划分为两个主要部分进行支撑,包括:

控制台: 即前端系统,为云服务商、云租户这两个云计算服务中的主要角色提供了围绕云安全运营服务的各类交互功能。通过WEB人机交互界面帮助葫芦岛联通开展安全运营服务,帮助政务云租户方便的管理上云资产的安全、方便的获取各类安全服务。

云安全资源池: 即后端系统,内含负责安全资源引流、调度的安全SDN控制器和交换机,安全资源池管理系统和平台,以及各类需要提供安全服务的安全能力组件。其中,SDN控制器、安全资源池和平台可由标准X86服务器承载,各类安全能力以虚拟机形式承载在其上,SDN交换机为专有硬件。

360云安全管理平台旁路部署于核心交换机,采用高内聚、低耦合的设计和部署思路,自成一体。在部署时,可与云计算管理平台、虚拟化平台进行深入对接即可开展安全业务的运营。

而针对租户提供的各类安全能力,则主要围绕租户的三个主要边界进行。分别为:租户VPC边界,VPC内业务系统边界,以及主机边界。

租户VPC边界: 通过核心交换机,以引流手段(策略路由引流或SDN引流)将采购了安全服务的租户的南北向流量引导至安全资源池,从而完成对租户VPC边界的安全防护。

VPC内业务系统边界(安全域边界): 通过在VPC内的虚拟机操作系统上部署主机微隔离组件,对租户在VPC内设立的业务系统边界(可通过云安全管理平台设立业务系统)进行隔离和访问控制,并通过一个集中的管理中心对隔离策略进行管理。

主机边界: 同理,通过主机微隔离组件,也可以将访问控制策略的细粒度下沉至虚拟机,对虚拟机的边界进行隔离和访问控制保护。

方案价值及意义
客户价值

平台分离,与平台自身解耦,强调安全独立运行

整体云安全解决方案采用自研接口和规范,安全能力独立运行和维护。不管原有政务云虚拟化平台如何变化,整体安全能力不会受到影响。通过独立接口,可以将更多的360安全能力赋予给客户,实现技术的可演进可迭代。

先进技术,值得依赖的国内首屈一指的攻防能力

基于360云端大数据+多引擎结合的方式,拥有全球最大的病毒木马特征库和黑白名单库和最快云端威胁响应感知系统,本地内置多种专利杀毒引擎和防护模式,全面应对已知病毒、未知病毒威胁、网络攻击,并提供主动防御能力。

灵活扩展,安全能力持续附加

方案采用模块化设计,具备灵活的安全功能扩展能力。客户可根据自身情况,灵活选择安全能力。同时360在云上的安全能力能够通过本方案持续附加给客户,帮助客户在应对应急事件、突发问题时能够进行快速决策和有效响应。

完善的立体防御体系

基于多年互联网安全防护的技术积累,融合了360虚拟化攻防团队的研究成果,360虚拟化安全管理系统提出了Hypervisor、虚拟机、虚拟机应用的三层防护安全架构,利用多引擎病毒查杀方式及虚拟化防火墙的访问控制策略,实现从虚拟机资源池中的底层安全,到虚拟机的系统安全,到虚拟机内部的应用安全的立体防御,为企业提供自内至外、自上之下的安全运维环境。

云上租户安全统一管理、统一运营

传统环境下防火墙、WAF、堡垒机、扫描器、VPN等产品都是各自为阵,相互独立,大大的增加了管理员的管理压力,通过360云安全管理平台实现资源池内的安全产品的统一登录、统一配置、统一引流等功能,为中国联通葫芦岛分公司(云服务商)提供了一个高效的云安全统一管理和运营平台,更好的为云上租户提供服务。

安全能力按需交付

云计算最大的好处是资源的共享、按需交付,安全也应如此。云安全管理平台实现云安全建设将由云平台运营方统一进行建设,根据租户的需求进行交付。

安全合规

通过平台加载的各类安全设备和服务,为云上租户提供便捷的安全合规保障,一条龙式的帮助云上租户通过等级保护测评。

弹性扩容

360云安全管理平台以安全能力建设支持弹性扩容为原则,实现横向扩容和纵向扩容两种类别的弹性扩容,横向扩容指自动增减虚拟机集群,可以成倍提升SAAS集群的防御能力。纵向扩容指自动增减单台虚拟机的CPU、内存等能力,以快速扩容单台安全设备的防御性能。

租户隔离

因为安全设备本来也是非常敏感的数据,在实现统一分析、统一管理的基础上,360云安全管理平台实现云安全设备和数据基于租户进行数据和权限的隔离,保障每个租户的防护的独立性。

开放合作

360云安全管理平台是一个开放、合作的安全运营平台,方便各安全厂家的安全产品接入。一方面丰富和提升云平台的安全能力,另一方面也给租户更多的选择。

云上安全可视化

随着云平台的不断成熟,租户业务系统的不断迁入,整个云平台的安全会变得越来越复杂。通过部署360云安全管理平台能够全局观察整个云平台的安全态势,实现安全拓扑、业务风险、安全合规等可视化管理,让安全运维管理变得更加简单。