由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的首届中国电子政务安全大会于日前在北京成功召开。安数云CTO韩正平受邀出席会议,并带来题为《等保2.0时代的政务云安全实践分析与应用》的主题演讲。
安数云CTO韩正平
以下是演讲内容实录:
安数云公司是一个以云安全技术为主的创业公司,从云安全本身来说,我们做的是云安全资源池,资源池里虚拟化的应用,包括技术服务。
下面我将从这几个方面为大家汇报。
政务信息化发展,政务云是关键。当前云计算的发展存在共享技术漏洞引入的虚拟化安全风险、云服务不可信带来的信息安全风险、多租户模式带来的数据泄露风险、云平台恶意使用带来的运营安全风险等众多安全问题,解决政务云计算的安全问题,不容忽视。
目前政务云保障的特点和要求,简单梳理一下。我们需要向不同的部门,不同类型的服务,我们能提供服务,保障应用的安全,跨部门之间的信息共享、业务协同。云端之间的安全保障,业务系统在云端,用户还在C端,我们怎么样保障。多租户之间互相可信,包括监管相应的问题,这些东西都是影响或者说制约用云的问题。相关标准不多说了,大家宣贯的比较多。
刚才说到各个部门、各个业务,我们在系统、业务、应用之间,简单梳理一下,有哪些安全上的需求,从比较传统一点的,从网络安全、系统安全、应用安全、业务安全,从新型的业务来说,云的网络边界,支付的安全,上云之后我们面临的安全的风险、安全的需求、安全的威胁应该说都比传统网络,在这里风险可能有所增加,我们需要去解决的问题也是多很多。
现在政务云系统为了解决我们所面临的案件问题,我们可能需要上各种手段措施,从不同的层面,从网络也好,主机也好,应用也好,我们需要数据部落防护,需要防火墙,需要VPN,用云现在是一个趋势,也是给大家工作业务带来很大便利,但是为了用云,需要解决的问题,我们用了更多安全防护的系统设备,我们需要相对专业的人员,用了云之后在方便便捷的同时,复杂度也同时增加了许多。
如果是大型的公有云,比如阿里、腾讯、华为,他们会有比较大的预算,比较大的团队,比如阿里巴巴云安全团队几百上千人,政务云、业主、用户肯定没有这样的支撑,但是风险是一样的,我们怎么解决?我们比较早提出来的方案,这个方案现在来说很多厂商也采纳了,采用单独构建安全资源池,把云安全给SaaS化,把安全部件化,以资源池的形式来存在。
安全设备是资源池化,我们需要多个安全设备,把安全设备形成一个服务链,给客户提供的情况下,我们不再提交一个一个网络安全防护设备,而是提交安全的资源池,去应用的情况下,只需要在资源池里的安全设备进行管理、进行维护、进行应用,使用安全服务便捷性,或者更加有效的程度。下面看一下具体安全资源池的方案,面向两方面的需求,一是云平台的基础需求,再一个云租户的需求,给租户提供安全的SaaS服务。从安全能力、安全功能来说,从接入层面、防护层面,包括扫描、监控、审计,也是适应等保2.0需求,提供服务。
使用安全资源池有一个核心的理念,还是通过STN技术解决问题,流量需要定义,安全资源需要定义,安全威胁需要定义,都是可以通过STN技术解决这个问题,这样还可以给客户提供能力,比如安全服务的标准化、多样化,包括安全服务自动编排。安全资源池里我们也提供具体类型的服务,比如说防火墙,比如说日审计,这个服务大致可以分为三类,一类是需要对流量进行检测,第二类只需要进行检测,不需要进行流量的回流,比如IDS路径检测,日志审计这样的。第三类应用层,网络可达就可以,比如态势感知。大概这么三类服务。
安全服务、安全资源相当于是聚群在一起的,不是分散的,这些服务是可以横向扩展的,比如一个虚拟化的防火墙性能不够的时候,可以动态横向的扩展,虚拟化的防火墙发生故障的时候,可以自动解决。安全服务链,虚拟化设备有很多种,但是租户需要的虚拟化设备,根据业务是不一样的。有的用户倾向网络攻击,IPS做一个重点。有的需要一种,两种,三种,服务链对安全要求进行有效的支撑。这是安全服务链对业务流量进行检测的示意,当业务流量进来之后,通过导流引擎,可以通过SDN实现,防火墙WAF处理之后,导流回去,进入租户,之后进入业务系统。流量进来之后,经过IPS,经过防火墙,经过WAF,通过导流引擎再引流回去。
下面简单介绍一下方案的几个特点优势,首先方案完全符合等保2.0的标准,资源池这种模式,比较能够有效的去适应等级保护,等保有二级、三级、四级的需求,可以为等级保护要求提供不同的套餐。有一个统一安全管理的特点,通过安全资源池,我们对资源池里虚拟化安全设备,比如虚拟化防火墙,虚拟化VPN,有统一的管理界面,我们能够统一登陆进去,统一配置策略,统一进行报警数据、日志管理,这些数据也可以通过日志管理系统或者态势感知系统进行统一数据分析。服务是按需交付,不同的等级保护要求,按照要求交付相应的安全服务。部署,我们必须要一个一个具备,放到网络云平台,根据流量的监测,服务探测,自动化的部署。
合规说过了,还有弹性扩容,不管硬件需要扩容,安全服务需要扩容,硬件是必须的,如果性能不够,我们需要提供硬件,如果软件在虚拟化层面,我们是可以自动完成这项工作的。在租户隔离方面,可以通过虚拟化的防火墙,可以通过自带EDR租户之间的隔离。可视化,可以通过态势感知,结合态势感知系统进行可视化的工作。
这里提到弹性拓展,虚拟机制不够的时候,硬件是需要增加的,虚拟机可以动态增加的,服务器硬件也是可以通过横向拓展服务器硬件,来实现扩容。有一个资源利用的问题,有一个特点是虚拟化的硬件,虚拟化的安全设备不一定去支持一个租户,可以通过策略隔离的形式,可以为多个租户服务,我们一个租户,比如流量比较大的情况下,需要多个虚拟化设备,流量比较少,一个虚拟化的安全设备可以提供给多个租户,就通过隔离进行虚拟化设备的共享。
再一个第三方安全产品的接入,我们自己有自己的产品线,有十几个安全设备虚拟化设备的产品线,但是肯定需要支持其他厂商的安全设备,在这块来说,两种形式,一个深度兼容,跟它的合作,跟管理自己的一样,不管从产品的操作管理、策略管理、数据管理,都可以融合起来。还有一种通过单点登陆,通过功能的调用,比较简单的接入。我们使用的安全资源池,这里有虚拟化的防火墙,还有硬件的防火墙怎么办?硬件防火墙可以利用起来的,通过导流,可以把流量导到硬件防火墙,再导入到云平台,云租户这来。
简单介绍一下资源池支撑的虚拟安全模块,前面说到各种模块,再介绍一下比较有特点的虚拟化安全模块。云平台和云租户来说,综合检查评估系统目前来说市面上支持检查种类最多的一个系统,过等保有几个措施,合规性的检查、检测、扫描探测、整改,在评估检测这块,跟用户有一些交流,在过等保之前,需要进行一定的检测,过了之后,等保的要求是说每一年或者每半年重新评估检测,日常的情况下,随着业务系统的变更,用户使用的变更需要经常性的做自我检查,资源池里不断提供安全实施、安全整改功能,常规性的安全检查我们也是提供的,不仅仅是进行漏洞的检查,包括系统的漏洞、数据库、安全策略、安全基线、包括视频、风控都支持,检查的能力比较强,而且检查面也是非常全面。
WEB应用防火墙,通过硬件做的比较好一点,我们通过虚拟化支持大流量,衡量扩展,这块做的相对比较好一点。适应日常外部流量的特点,我们针对性的采取防护的策略,防护的方式,应该说智能化的判断,加入AI判断的方式,能针对应用系统的特点来做相应的检测。还有入侵防御这块,这个跟WAF的特点有点类似,加入AI检测判断,能够让流量防护更有针对性。
DPI是我们比较新的系统,一个设备可以对流量进行深度检测,现在比较异常的攻击或者比较新的攻击,勒索软件之类的,在这方面的检测,我们还是具备一定的优点。数据库审计,我们支持主流的数据库,全面支持国产化的数据库。还有UEBA,集成机器学习关联分析,这个做的比基于流量的深度检测更偏向于业务系统。
下面简单汇报几个案例,一个是针对运营商,我们给运营商适应等保要求,适应防护要求,偏向于等级保护以及满足等级保护要求。第二个某信息中心,我们这种解决方案跟采用大量安全设备解决方案,最大的区别就是这种解决方案,安全跟网络是解耦的,不管什么云,现在大家部署政务云,我们跟华为合作,跟浪潮合作,跟金山合作,下面不同的政务云的底层,比如今天上午华为的领导说他们有非常全民的产品线,他们部署华为云,我们的安全系统只能用华为的安全系统。如果用别人的,因为是虚拟化,特别是涉及到虚拟化的底层,需要跟华为再进行适配,我们这种模式不管是华为云还是其他云,跟你是解耦关系,只要接过来,网络上能连通,网络能牵引,就可以使用。这是在信息中心,要求安全业务解耦。云用这家,不一定或者说不放心安全也用它的,这种方式就是比较好的解决方案。
这是一个单位的信息安全实验室,前期实验室,后期做信息中心,这是一个院校提供的,需要多样化的安全防护系统使用,我们按须提供,一期提供五种安全房屋,二期可能八种,三期可能十五种。
还有IDC机房,这是部署软件的资源池,原有硬件也需要一体化的应用,这样把硬件相当于也做了虚拟化的对应,通过SDN技术,在资源池里给综合的使用起来。
(本文是安数云CTO韩正平在首届中国电子政务安全大会上的演讲内容实录,略有删减,未经本人确认。)
