“信创云安全资源池”是安全能力的合集。主要针对云计算环境下,差异化安全能力交付不足,网络运维安全服务复杂和安全服务弹性伸缩能力差等问题,通过采用“安全即服务”的设计理念,把安全作为服务进行交付,系统从逻辑控制层出发,屏蔽底层技术细节,将各类安全能力从单纯的产品配置转变为服务化配置,将繁琐的安全业务重新进行定义,从用户业务的角度出发,抽象为必要的实现逻辑,定义各类标准安全服务,并关联租户边界“网关”节点,实现租户的流量的牵引与安全能力编排,使得能够安全能够在云计算平台中以服务的形式进行呈现,和其他资源一样被分配、调度和使用,完成云租户/云内业务的安全防护。主要核心业务功能包括:云安全资源服务能力,涵盖防火墙、VPN、抗DDOS、漏洞扫描、主机加固、运维审计、数据库审计等安全服务不少于14种安全服务;安全云运营管理平台,租户的安全业务人员可通过安全云管理平台申请各自所需的云安全服务,并能够实现自主化的策略管理。信创云安全资源池具有云安全能力资源共享,灵活部署,弹性扩展,按需分配,简化运维等应用特点,实现并践行了安全服务化应用愿景。
一、实施背景
行业信创云安全资源池的安全能力能够满足国家对等级保护的要求,为用户提供行业化差异属性的安全服务;公有信创云安全资源池的安全能力则能够满足对清洗类服务性能的补充以及提供更为丰富的安全情报。
在行业安全云模式下,信创云安全资源池的相关软件及硬件都将部署在客户数据中心本地,可以用于防护传统数据中心,或者是私有云/专有云模式的数据中心。可以同云操作系统实现完美的融合,也可以很好的兼容基于OpenStack的第三方云架构。在这个模式中,将为每个租户的安全防护以及数据中心的边界安全防护。行业信创云安全资源池模式可以选择线下交易或是虚拟充值的运营方式,非常适合政务云、行业私有云、园区专有云的部署场景。
二、实施目标
紫光恒越信创云安全资源池解决方案采用“安全即服务”的设计理念,以服务于多个租户的安全运营模式来设计产品技术架构,融合了云、网络虚拟化、安全等技术,将嵌入式安全设备、硬件安全设备、NFV安全设备、第三方安全设备形成统一的安全资源池,可提供涵盖防火墙、VPN、抗DDOS、漏洞扫描、主机加固、运维审计、数据库审计等安全服务不少于14种云安全服务。
通过SDN控制器实现安全设备资源/业务集中管理和统一调度/下发,实现云安全服务的按需交付弹性扩展。
通过结合服务链技术,实现安全服务链的可定义、可编排,实现云安全服务自动化快速部署。
通过业务部署编排的自动化,实现端到端的业务自动化部署。
从租户视角出发,提供一套极简的配置逻辑,仅通过简单操作便能完成安全服务的购买与开通;在云平台上呈现唯一用户接口,实现灵活、高效云+网络+安全一体化部署无需引流稳定可靠,实现云安全的整体交付;基于大数据分析,从不同角色、不同维度向用户展示云计算网络云安全服务信息,并提供各种可视化的操作界面,使得管理员轻松运维管理云计算网络云安全服务,及时清晰掌握云安全服务状况和云计算网络安全态势风险,及时应对各类安全事件。
三、建设内容
解决方案架构图:
“信创云安全资源池”主要由两个部分组成:安全资源池不同类型的安全组件和安全云管理平台。安全组件由多种安全产品组成,包括防火墙、负载均衡、WAF、数据库审计、堡垒机、日志审计、漏洞扫描等,可根据业务的定级要求,提供相应的安全能力;而安全云管理平台则主要负责云环境下的安全运营和管理。租户的安全业务人员可通过安全云管理平台申请各自所需的云安全服务,并能够实现自主化的策略管理。租户管理员通过安全云管理平台根据权限管理范围实现对租户申请的审批、资源分配等。
四、实施效果
某医院经过80多年的建设发展,已成为一所集医、教、研于一体的大型综合性现代化“三级甲等”医院。根据实际业务需要构建数据安全交换平台,通过软件定义安全、软件定义管理的形式,利用统一的安全平台实现核心流量可监测、安全组件可管理、业务数据可治理的安全需求。
数据安全交换平台总体架构包含基础承载资源与软件平台两部分,基础承载资源为服务器,承载智慧数据安全交换平台并提供计算资源与存储资源。软件平台包含态势感知子平台、安全防护与管理资源池、数据安全治理子平台三个子模块。态势感知子平台,即图中绿色部分通过接入安全防护与管理资源池内的虚拟防火墙以及流量探针,对安全事件进行统一分析与研判,实现全网安全事件深度分析。而安全防护与管理资源池通过防护类组件,如虚拟防火墙等图中红色部分,对内外网边界提供安全隔离,同时通过运维类组件等图中黄色部分对内网进行安全管理、安全审计,最后通过数据安全治理子平台,也就是图中墨蓝色组件对数据进行进一步分析并进行综合治理。平台内部实现统一的数据标准,通过数据归一化处理实现一份数据全平台使用。配合深度学习、人工智能、大数据等手段为各能力组件进行赋能与提升,确保安全能力可落地。