1、政务云安全资源池解决方案深信服安全BU政务云建设进入租户运营阶段2022-7-2722个省(直辖市)政务云建设情况调查云平台基本完成一期建设开始运营租户上云业务与数据租户上云数量不乐观后续运营业务很难开展租户上云是政务云向上演变的前提2022-7-27互联网+政务应用集中后,可提供更多的互联网+政务服务,简化办事流程。加快政府数据数据资源开放共享,依法推进数据资源向社会开放提供更多的场景化的政务服务应用(SaaS),满足局委办单位业务应用国家大数据战略政务应用场景化国务院办公厅关于转发国家发改委等部门推进“互联网+政务服务”开展信息慧敏试点实施方案的通知中共中央关于制定国民经济和社会发展第十三
2、个五年规划的建议局委办单位不上云,一切将成为空谈租户上云进程缓慢是政务云普遍面临的问题2022-7-27选择非核心业务上云租户不上云“只管上云,出了安全事件平台方负责”与原单位机房相比,政务云提供的安全功能过少,担心业务安全,所以不上云。建设初期缺少相关合规标准和成熟的云安全权责模型可参考的云安全标准2022-7-27权利:缺乏安全合规手段云计算安全服务指南GB/T 31167GB/T 22239.2云计算等保标准租户 压力责任:谁运行谁负责安全尚未资源化、服务化手段单一,防御为主缺乏安全对抗的服务能力可参考的国内、外成熟的权责模型2022-7-27AWS 安全责任模型阿里云 安全责任模型由云
3、平台负责由租户负责安全市场丰富安全功能,提供服务化交付深信服认为的云安全责任共担模型2022-7-27低风险低风险低风险高风险高风险高风险低风险低风险中风险基础环境IaaSPaaSDaaSSaaS风险数据应用运行环境容器操作系统虚拟化计算存储网络物理用户权责云服务商权责安全责任共担模型如何理解2022-7-27云服务云服务类型安全责任划分云服务器IaaS从租户所使用的操作系统开始由租户负责,包括操作系统之上的应用、数据,以及操作系统的安全管理,如补丁。云数据库PaaS数据库管理及权限由云租户负责,数据库漏洞,数据库冗余配置有云服务商负责。政务OA类应用SaaS用户负责管理OA业务内的安全,包括
4、账号安全,账号权限等。2022-7-27安全共担、多方共建才是合理的解决方案云服务方:基础(平台)安全安全厂商:局委办(业务增值)安全云平台基础设施平台安全基础设施外部力量:共建、共创安全生态面向租户侧交付的安全能力专家服务安全运维安全服务云业务网络安全业务数据安全业务应用安全安全能力补充安全能力复用符合上文描述的安全产品应具备的特征2022-7-27符合安全责任共担模型的租户侧安全解耦功能全面服务化交付生态开放划分独立的安全资源池区域与云计算环境解耦部署与专有安全硬件解耦满足局委办单位上云业务合规要求满足云上业务生命周期内安全需求安全资源与计算服务一样可以服务化交付安全资源按需分配,支持弹性
5、扩容为第三方安全厂商入驻平台提供人性化接入环境为云平台提供标准的调用接口2022-7-27深信服政务云安全方案符合安全责任共担模型的安全资源池方案2022-7-27基于标准化X86服务器构建的基础平台基于虚拟化技术的安全资源池基础软件平台安全能力服务化交付云计算环境与平台安全引流与云环境解耦与专有硬件设备解耦租户安全自运维开放生态补充安全短板平台方界面租户侧界面安全管理平台满足租户侧合规、业务安全需求典型网络架构平台层安全设备安全资源池接入出口设备网络出口云环境引流口引流口引流交换机安全资源池私网交换机核心分支接入包移动接入包基础防护包网站基础包网站高级包失陷主机包南北向安全能力东西向隔离密码
6、暴力破解Webshell检测安全审计数据安全应用安全安全生态能力VM操作系统EDR应用VM操作系统应用EDR微隔离端点防护安全资源池管控平台东西(EDR)向安全能力EDR受控流云安全资源池组件2022-7-27分支接入包分支IPCEC组网移动接入包SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组件数据库审计包针对SQL、MySQL、DB2数据库审计运维审计包运维人员操作网络设备、数据库、服务器监控与审计基础防护包提供应用控制、防病毒网关、IPS功能网站安全基础包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS功能网站安全高级包提供web
7、防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS、僵尸网络、实时漏洞分析失陷主机包主机僵尸网络、实时漏洞分析云端检测包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件应用交付包4-7层应用负载、SSL卸载安全检测与防御安全接入安全审计深信服云安全资源池功能概览在线服务安全运营报告安全加固咨询人工应急响应安全状态监控安全风险统一分析统一安全资源分配安全态势可视安全日志统一运维 安全可视化威胁可视态势可视流量可视 网络可视资产可视漏洞攻击渗透测试网页篡改Web攻击访问控制 数据窃取业务安全安全服务编排入侵防御IPSEC VPNSSL VPN堡垒机数据库审计云端检测微隔离W
8、eb防护数据防泄密L4-L7应用控制防病毒功能网页防篡改能力支撑层安全运营管理租户安全自服务平台层安全运营安全服务编排安全资源统一分配安全接入服务网站安全基础服务网站安全高级防御服务失陷主机发现服务云端检测服务应用交付服务交付与运营平台层安全服务层安全组网安全接入接入安全深信服安全资源池基础平台微隔离端点安全检测合作伙伴服务南北向安全东西向安全安全生态2022-7-27云安全资源池功能介绍安全资源服务交付流程分配安全服务2022-7-27租户侧界面首页2022-7-27业务系统维度的个性化安全服务租户业务可配、可查、可视丰富的安全扩展组件安全大屏组件2022-7-27东西向安全微隔离2022-
9、7-27租户VPC网站WEB端OA前端WEB网站后端DBOA后端DB租户业务所在VM终端agent网站业务域OA业务域安全资源池东西向流量配置界面安全资源池EDR策略下发Web角色DB角色邮件角色DB角色拒绝访问拒绝访问允许访问允许访问微隔离策略配置2022-7-27业务安全域应用提供者应用服务应用使用者策略动作门户网站业务域WEB应用角色Apache(Http,80)All允许门户网站业务域DB应用角色MySQL(TCP,3306)WEB应用角色允许门户网站业务域ALLALLALL拒绝OA业务域DB应用角色MySQL(TCP,3306)邮件应用角色允许OA业务域ALLALLALL拒绝例如门户
10、网站业务域的WEB应用角色的服务器组提供的Apache应用服务,策略动作允许门户网站业务域内所有主机的访问,而DB应用角色的服务器组提供的MySQL应用服务,策略动作只允许门户网站业务域内的WEB应用角色的服务器组的访问。门户网站业务域内的WEB应用角色之间的主机,由于没有访问的需求,配置为隔离拒绝的策略。2022-7-27高可用与性能优化设计云安全资源池:多层次的高可用设计CoreCore网络数据交换网双链路存储数据交换网双链路vSSLvSSLvAFvAF审计vSSLvSSLvAFvAFvAFvAF堡垒机审计vSSLvSSL堡垒机审计VRVRVRVR堡垒机漏扫失控发现失控发现失控发现失控发现
11、漏扫秒级切换n 链路、硬件、软件多层次高可用技术n 实现秒级的故障恢复和切换n 平台故障,策略路由自动ByPass策略路由ByPass安全服务漂移vAFvAF组件双机组件热恢复ByPass云安全资源池:多层级的高性能优化底层驱动优化SRIOV虚拟网卡优化跨主机通信优化VR绑定内核TSO/LRO大包优化多队列转发优化按需流量牵引DPDK/SPDK动态热添加服务组件负载均衡存储数据IO调度优化服务组件Docker化性能优化虚拟网络优化超融合平台优化未来40%+50%+30%+100+%2022-7-27典型案例典型案例温州政务云2022-7-27基础防御包Web增强包失陷主机发现包安全接入包安全运
12、维包Web增强包H3C M9K(堆叠)(堆叠)安全资源池安全资源池H3C 12510HW 9306CE 12808IDC 出口出口华三云平台华三云平台华为云平台华为云平台阿里云平台阿里云平台引流口引流口引流口引流口引流口引流口引流交换机引流交换机安全资源池基础平台安全资源池基础平台安全资源池私网交换机(存储私网、vxlan)老云万兆流量老云万兆流量阿里云万兆流阿里云万兆流量量千兆流量千兆流量网络架构1.运营模式市政府向电信租赁云服务,电信作为云服务运营方提供服务2.对接环境阿里云、华为云、华三云环境3.承载租户:目前40+租户,涉及200台虚机4.涉及业务系统:涵盖绝大多数局委办单位互联网应用,包含大并发应用如:公安、交警web查询、微信端查询系统;THANKS!
