发力浦东政务——上海移动打造云安全建设风向标

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全基线管理CSPM免费试用,1000次1年
简介:

云时代大潮涌动,滚滚向前,政务云应用更是突飞猛进,跑在了各行业的前列。与此同时,政府部门对云安全的担忧也一直高居不下,成为政务云应用领域的重要组成部分。

由于政务云承载的都是政府机构用于执行政府职能的信息系统,涉及的信息更为敏感,需要更高的安全性;另一方面,政务云行使政府职能的特点导致更容易受到来自外部或内部的攻击。因此,近年来国家也为此出台了一系列规范和标准,包括《关于加强党政部门云计算服务网络安全管理的意见》、《信息系统安全等级保护基本要求云计算安全技术要求》、《信息系统安全等级保护测评要求云计算要求》、《政务云安全技术要求与实施指南》、《政务云平台安全等级保护测评方法与规范》等。

作为政务云的建设者,上海移动在浦东政务云项目建设中,同样将云安全建设视为重中之重。通过全面的云安全体系建设,成功地提升了浦东政务云安全成效。让我们看看他们是怎么做的吧!


云中领跑,安全更要同步

浦东作为推动上海经济社会发展的引擎,在云计算领域更是走在全国的前列。2015年,上海移动与上海浦东新区政府一起通过ppp模式,启动了全新的政务云数据中心项目,采用云计算技术,依托政务专网资源,为政府各个部门搭建一个统一的政务云服务平台,实现以“云”的理念重新变革政务建设模式,解决传统政务建设、运维和管理难题,提高政务建设效率和服务水平。

打造领先的政务云,同样要构建领先的云安全体系。对此,上海移动对浦东政务云安全整体上制定了几个目标。首先是租户安全隔离,在云平台环境下,不同安全需求的委办局租户可能运行在同一台物理机上,要避免在一个租户遇到安全威胁时向其他租户扩散,不影响到同主机上其他部委的正常业务。另外,还要避免政务云平台管理员访问委办局机密数据,对数据机密性、完整性、可用性造成破坏。

其次是无边界安全防护。传统数据中心安全防护的最大特点是以“边界”为核心,而在服务器虚拟化、逐步实现云计算之后,安全边界的概念已然不存在,传统的安全防护方式失去了作用,只能通过随时随地、无处不在的防护才能保障安全性。

再则是安全按需调配。在云环境中,租户的基本需求是计算资源和存储资源的自定义申请和弹性的服务交付,面对安全的需求也是如此。传统的安全防护基础设施无法为租户有效的分配个性化的安全资源,降低了单个租户的安全防护要求,成为云服务环境下的服务瓶颈,需要有效地加以解决。

另外,还要提供安全可靠的云平台,满足政务云更高的安全性要求。政务云上的业务系统要实现三级等级保护,需要支撑平台通过相应的等级保护认证。


浦东云安全走“两步”

在具体部署过程中,新华三与上海移动、浦东区政府一起,参照国家推出的各项云安全规范,设计了政务云整体安全解决方案,从物理层、资源抽象与控制层、云服务层,提供全方位的安全防护,包括防DDoS攻击、漏洞扫描、主机防御、网站防御、用户隔离、认证与审计、数据安全等模块,合理地解决政务云信息安全与信息共享、开放性之间的矛盾。在政务云系统保证合规性、安全性和机密性的基础上,保持信息共享和通讯畅通的效率。

整个安全体系建设分为两步走

第一步,就是完成中高端系列防火墙、堡垒机、系统漏洞扫描、数据库漏洞扫描、数据库审计、入侵防御等安全设备的部署,形成基础安全防护能力。

接下来的第二步,浦东政务云通过部署网闸、服务器负载均衡、上网行为审计、WAF、Web漏洞扫描、天机-安全管理中心等安全设备和软件,将全网安全资源建设成统一的安全能力中心。

不难看出,安全能力中心对于云架构来说显得更为重要。安全能力中心按需求分为东西向和南北向。东西向安全能力中心实现虚拟机之间的安全隔离,避免虚机上的风险在内部横向扩散,提供多虚拟机之间的业务负载均衡,保障服务的可靠性。南北向安全能力中心则实现平台和租户从政务外网向广域网、互联网访问以及从广域网、互联网访问政务外网的流量全方位安全防护。

安全的与“云”俱进

云架构与传统IT架构有着十分明显的差别,对于安全防护来说,同样需要与时俱进。在浦东政务云安全建设过程中,上海移动采用了当前业内最前沿的SDN+安全服务链技术,可谓云安全建设领域的成功样板。

说到安全服务链,先要分析一下传统安全业务部署的弱点。传统模式下,安全业务部署通常基于物理拓扑,将安全设备串行到业务流量路径中,无法满足快速变更的需求;设备能力扩展性较差,也无法在多业务间共享;传统基于路径的部署方式无法应用于Overlay网络。

而采用SDN+安全服务链技术,可以基于Overlay网络构建集中的安全能力资源池,通过集中的SDN控制器将需要进行安全防护的业务流量引流到安全能力中心进行防护,并且根据业务需求编排安全业务的防护顺序,也就是通常所说的服务链,按需调度安全资源,安全资源以服务方式交付,真正实现安全能力的弹性扩展、业务能力共享、多租户隔离的云安全防御。无论是事前的日常安全检查、事中的安全防御,以及事后的快速响应都能够有效保障云平台和租户的主机、网络、应用的安全及稳定,并通过新华三的天机安全管理中心实现以业务为核心,融合安全、网络、应用的统一管理,提供安全风险态势感知、安全业务快速部署、安全分析和审计、安全响应和报告等。

这种方式的好处十分明显。通过SDN控制器定义安全服务链,上海移动在浦东政务云项目中实现了服务链定义的自动化,而且控制器会实时监控安全资源池的负载情况,可以根据负载实现安全资源池的扩展或者资源释放。某个委办局需要新开一项业务时,只需在申请计算、存储、网络资源同时按业务需求申请一定数量安全资源即可上线某项业务,下线某个业务即收回所有资源,有效减少了投资成本,运营成本,缩短了新业务投入时间,增加了灵活性。

此外,政务云安全防护控制面实现由新华三的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模组播的复杂部署。并支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。东西向业务通过服务链方式部署虚拟防火墙等提供安全访问控制,南北向业务通过中高端防火墙、IPS等提供安全访问控制。

目前,浦东新区政务云已顺利交付,搭建完成了全区统一的电子政务资源云平台,全面支撑了政务网的业务需求,成为推动浦东“新经济”重要基础,同时也为整个上海乃至国内政务云应用提供参考和借鉴。通过浦东政务云的安全体系建设,上海移动也成功探索出云安全建设的方向,为未来的政务云建设实践出新的路径。



本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。

目录
相关文章
|
1月前
|
云安全 人工智能 自然语言处理
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
阿里云内容安全大模型获CSA安全金盾奖
1048 2
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
1月前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。
|
1月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。

热门文章

最新文章