案例摘要
该信创政务云是以全国产化组件构建的全栈式信创云平台,云平台为租户应用提供各类基础资源与安全服务资源,其中密码服务体系基于信创云底座打造,融合支持虚拟化能力的硬件云服务器密码机,构建了一套能力全面、合规高效的云原生密码服务平台。
云原生密码服务平台面向租户提供个性化密码服务接入能力,租户按需购买,避免传统硬件密码资源池方案的巨额投入。平台同时具备传统方案缺失的弹性伸缩、租户资源隔离、实例高可用等安全保障机制。
实施背景
随着近年来云计算技术越来越广泛的在工业和信息化领域规模化建设,使用自主可控的国产密码技术对云上数据进行保护的需求也是愈发迫切。云平台作为数字时代的重要基础设施,密码应用合规必然成为政务信创云平台必须具备的重要能力。
为贯彻落实《中华人民共和国密码法》关于信息系统密码应用的要求,结合《国家信息化领导小组关于我国电子政务建设指导意见》,决定对政务云平台进行密码应用建设。依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,在保证通用要求的基础上,目前从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等层面全面满足密码应用要求。
实施目标
云原生密码服务平台提供11类密码服务供租户自由选择,主要包括身份认证类的签名验签服务、协同签名服务、动态令牌服务;安全通道类的SSL网关服务、SSL VPN服务;数据机密性完整性保护类的数据加解密服务、数据库加密服务、文件加密服务;不可否认性类的电子签章服务、时间戳服务;密钥管理类的密钥管理服务,真正实现云上“一站式”商密合规支撑能力。
云原生密码平台可有效支撑政务云租户快速完成密码能力的接入与合规改造,建立起覆盖应用全生命周期的商密防护体系,满足“密评”对政务类应用的商密应用要求。
建设内容
云原生密码服务平台主要由加密服务、密码服务实例、密码服务管控平台组成:
一、加密服务:纳管云平台底层的硬件密码计算资源,即云服务器密码机,并将云服务器密码机中的虚拟密码计算资源映射至云上,为各类密码服务提供合规的密钥生成、密码运算能力。
二、密码服务实例:密码服务实例可分为服务型实例与非服务型实例,服务型实例以SDK或API方式被租户VPC(虚拟私有云)内应用访问,基于ECS(信创云主机)部署,以1对1的形式对租户VPC提供服务。非服务型实例,如SSL网关服务、SSL VPN服务,是通过网关或VPN实例的形式为租户业务提供证书卸载与通道加密,属于流量型组件,云平台配置跨VPC引流策略,将租户VPC业务流量转发到密码服务,密码服务再调用虚拟密码机实现国密证书的加解密运算,完成国密运算后,再将流量转发至目标端。
三、密码服务管控平台:提供资源概览、服务管理、密码资源等功能。以微服务架构部署,提供高可靠、高可用、高性能可扩展的管理平台,帮助平台运维方、云上租户把握密码服务上线后的运行状况。
建设密码服务平台,提供可信身份鉴别、网络安全通道、数据机密性完整性保护、不可否认性保护等各类密码服务,主要能力如下:
1、身份鉴别,可选择适配各类型终端、使用便捷的动态令牌服务;可选择功能齐全、安全强度高的协同签名服务;也可基于硬件UKEY通过国密签名验证方式实现登录用户的身份认证。
2、网络传输,提供支持HTTP、TCP等网络协议的SSL安全网关服务,满足各类应用网络通道的国密SSL应用需求;提供SSL VPN服务,为云租户远程运维建立国密通道,同时避免共用硬件VPN设备可能产生的安全风险。
3、数据存储安全,提供安全强度高的应用层加密服务,同时针对老旧系统、海量历史数据加密需求,提供免改造的数据库透明加密服务以及文件透明加密服务,降低应用改造压力。
4、不可否认性需求,提供签名验签服务、电子签章服务、时间戳服务,三类服务满足关键操作与关键业务流程的鉴权需求。
5、密钥管理,以合规密钥生命周期管理维度,提供密钥管理服务,统一管理各类服务中使用的密钥,确保密钥体系安全。
建设优势如下:
1、成本集约,使用方便
统一的密码服务体系,减少了密码应用的对接改造成本,同时通过政务云发挥基础设施聚合效应,以软件定义+服务化的方式提密码支撑能力,显著降低密码资源建设成本,同时方案提供了操作简单方便的管理方式,可进行资源的申请调配、系统情况的监控操作,简化了密码资源的管理运维,让原本使用门槛较高的密码服务真正做到简单易用。
2、弹性伸缩,密码服务扩容或收缩时,平台将自动拉起或释放同类型、同版本密码服务实例,扩容的密码服务数据自动同步并通过健康检查后,接入负载节点。
密码计算资源的扩容或收缩时,通过动态调节VSM分组资源及密码服务所占VSM分组资源比例,实现密码计算资源的动态伸缩能力。
3、统一监管,支持密码资源动态化的分配和管理,提供密码资源的统一监控的能力,实时监控密码资源的运行状态,及时发现运行异常的资源并发出告警信息,提示用户及时对异常资源进行处理,实现为业务应用持续提供密码资源的能力。
4、集中的服务入口,云上各类应用系统通过对接统一标准的密码服务接口,实现各种应用场景下的密码服务接入,能够快速的实现密码服务与业务系统的集成,降低接口对接的工作量。
5、态势感知能力,基于整体密码运行环境的态势感知组件,通过对密码服务各项数据的收集、分析,动态地洞悉密码服务可能产生的风险,从全局视角提升对异常状态的发现识别、理解分析、响应处置。
6、建设符合标准,依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,在保证通用要求的基础上,目前从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等层面全面满足密码应用要求。
实施效果
基于云原生密码服务平台的政务云平台密码服务体系,大大简化了云上业务系统密评合规的建设难度,具备良好的可推广性和可复制性,该体系核心优势与价值可体现在以下几个方面。
一、自主可控的密码技术路线
方案采用国密+信创的技术实现,在信息技术应用创新的背景下为云上政务应用安全体系建设提供更多启发。基于国产CPU技术架构和国产操作系统等自主可靠技术及设备,发挥云计算高可靠性、高通用性、高可扩展性及敏捷快速、弹性灵活等特征建设自主可控的密码服务平台,实现国密组件的全生命周期管理、跨域协同办理、高效安全运行。
二、密码资源与服务统一管理
打通云环境中密码资源与服务管理的所有卡点,即实现密码服务与密码应用的统一管理,利用云平台自带的自动化监控、自动化运维等能力,实现底层资源的编排,告警、监控统一管理等,极大降低平台运维方与应用运维方的工作负担。
三、密码资源高效利用
密码服务能力支持横向扩展、自动扩容缩容,底层硬件密码资源支持动态调整,密码服务与硬件密码资源高效联动,即可满足当下政务应用多样化密码服务需求,又预留了充分的扩展空间,为政务应用提供安全可靠的国密基础设施。
四、立足政务信创云环境,解决密码应用难点
政务应用商用密码改造是各厅局数字化转型、加强自主可控的重点任务之一,传统IT架构建设过程中,主要通过自采密码设备进行改造。应用上云后密码改造面临与云平台技术兼容的难点,且存在共性需求和重复投入情况。因此本方案可满足政务应用共性密码合规需求、助力政务应用商密改造降本增效,加速自主可控。