实现多租户模式政务云安全体系

新时代的云服务能迅速实现企业业务上线的资源弹性扩张和收缩，然而业务上云的同时同样面临着巨大的挑战。

云安全的建设需求

目前越来越多的政务云采用了PPP或面向政务云运营方租赁云服务的建设方式，社会力量参与政务云建设运营，传统安全产品的合作、交付模式已经越来越不适用于云上安全租户安全体系与能力的建设。根据政务云建设方式的变化，主要的安全需求体现在以下两个方面：

1.平台安全

政务云基础平台安全包括基础硬件安全建设和租户之间的安全隔离。政务云平台的基础安全保障是云服务方所需承担的基本义务，提供服务的云服务方需保护的对象涵盖物理基础设施、服务器、网络和安全设备，虚拟化平台系统、资源池、云管平台，以及为租户提供的镜像、模板等，不同租户之间东西向安全建设。

图1 政企云安全逻辑拓扑图

同时政务云平台在网络结构上要遵循电子政务外网系列安全标准，云平台满足三级等保建设需求，保证合规合法，就高不就低的进行等级保护合规性建设，让更多租户业务上云。

2.租户安全

安全资源可管理：租户业务上云后，租户会对平台方提出需要独立、可配置的安全功能，相比过去在出口部署硬件安全设备，统一配置的方案无法满足千差万别的多租户业务形态，这就需要为租户提供一系列可供租户对已购买安全服务自管理的界面，需满足个性化安全建设。

业务安全可视：政务云用户在采用了政务云提供的安全方案后，对自身安全状况是不了解的，主要因为用户业务上云后，网络边界已经消失，数据流转发路径不可视，而云安全方案提供商提供的方案都是偏向检测、防御的，缺少面向租户设计的租户业务安全展示界面，但随着政务云权责体系的清晰，租户需要对自身业务系统安全负责，而安全可视是基础，不可视的安全、检测、防御租户上云业务也很难开展。

政企云安全体系建设

图1为政企云安全体系逻辑拓扑图，通过分析政企云的安全建设需求，主要从平台安全设计、南北向租户安全设计、东西向租户安全设计三大主要方面对政企云的安全体系建设进行探讨。

1.平台安全

互联网出口安全设计：为各部门提供统一互联网出口，互联网访问服务。

抗DDoS攻击：部署流量清洗设备，对于超大流量型DDoS攻击，可将流量引入到拥有2T及更高带宽的公有云，将安全威胁清洗后，再将流量重定向到互联网出口，完成DDoS流量的安全防护。

部署负载均衡，保障链路可靠性：出口处采用双运营商线路，双线路通过交换机一分为四，交叉连接两台负载均衡设备，负载均衡设备将内网访问运营商1业务的流量分担到运营商1出口，访问运营商2业务的流量分担到运营商2出口，避免跨运营商访问带来的延迟、丢包等不良影响，同时两条线路互相备份，单条线路出现故障，所有业务立即切换到另一条线路上，保证业务不中断。同时互联网访问内网业务的时候，通过负载均衡设备可以实现让运营商1用户通过运营商1的出口访问内网服务器，运营商2的用户通过运营商2线路访问内网服务器，当单条线路出现故障时，所有业务切换到正常的链路，保证业务24小时无故障运行。

部署下一代防火墙，进行互联网出口立体防护：负载均衡向下接两台下一代应用层防火墙，下一代防火墙解决方案实现包含IPS、防病毒、防Web攻击、防APT攻击及僵尸网络防护的2-7层全面安全防护。

部署流量管理设备，实现上网流量的管理控制，提升带宽利用率，用户行为升级满足网络安全法合规要求。

数据中心安全设计：数据中心区分为公共服务区和政务业务区两大部分，在两大业务区数据中心前端分别部署两台下一代防火墙，开启 FW、IPS、WAF功能实现数据中心立体安全防护。

公共服务器区分为网站集群区和数据交换区，两区采用逻辑隔离，网站集群区存放各单位网站业务，并采用东西隔离的方式实现东西安全防护；同时建立专门的数据交换区，实现不同部门之间数据的共享和传输。

政务业务区分为按业务的安全等级分为二级等保、三级等保区，两个区域逻辑隔离，分别采用等级保护二级、三级的安全标准进行安全策略配置；此外成立一个政务网数据共享区，实现各部门之间政务业务和数据的共享；对于计算资源要求较高的中大型数据成立专门的物理服务器区进行此类业务存放。出数据库外各业务都部署在虚拟化环境下，为了实现虚拟化环境下多用户的业务隔离的同时部分数据共享，采用东西向安全防护组件进行安全建设。

政务外网边界安全设计：政务外网边界采用下一代防火墙设备，通过防火墙的权限控制策略对不同的第三方单位开放不同的安全端口，将权限最小化，避免越权访问风险，同时开启僵尸主机安全功能，阻断病毒、木马对内部业务安全的冲击。

运维管理区安全设计：构架独立的管理网络，与业务网络分离，避免两张网络混杂带来的攻击风险，以及管理带宽被挤占而无法随时管控的风险；在运维管理区边界，部署一套SSL VPN设备，基于SSL VPN的认证、加密、安全检测、权限分配、访问记录等一系列手段，实现政务业务远程安全访问，部署堡垒机完成全网设备维护的安全授权、权限控制、日志记录，保证设备维护的安全性；部署安全管理平台对全网所有安全设备进行统一管理及维护。

2.安全资源池

安全资源池部署在核心交换机上，采用物理旁路，逻辑串联的方式，核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池，通过安全资源池的云Web防护系统、云DDoS、云堡垒机、云数据库审计、云防火墙、云 IPS、云 VPN、云防病毒、云APT检测对数据量进行安全检测，检测完成后在返回给交换机到出口。完成整个数据流的安全防护，实现了南北向和东西向纵深防护体系。

3.南北向租户安全

面向租户的安全南北向防护，主要通过安全资源池平台上包含的各类安全组件来实现防护。

NFV方式：

以通过为不同的租户创建不同的VNF支持多租户，并且能够根据租户的性能需求，动态的调整分配给这些VNF的计算和存储资源，实现租户VNF功能和性能的按需分配。

解耦合操作系统EDR方式：

采用终端检测响应平台方案，由轻量级的端点探针和管理平台共同组成。轻量级的端点探针agent需要安装在用户的云服务器上，管理平台可以部署在云平台内，由管理平台进行全面的安全分析，根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。

4.东西向租户安全

东西向租户安全个性化较强，因此云安全方案各有不同，主要有以下三种形式。

硬件一虚多：

硬件一虚多，将一个超大性能硬件设备虚拟成多个隔离的硬件设备。

优点是可实现完全物理隔离；缺点是初次投资设备性能要求较高、后期性能达到瓶颈扩容困难，针对三级等保， 安全防护要求有缺失。

SDN/VXLAN：

匹配支持VXLAN及OPENFLOW硬件采用服务链引流技术，实现安全防护。

优点是网路和安全融合一体化自动交付；缺点是初次硬件投资成本较大，不适合建设好的政务云，需要较强的硬件支持，产品需要同一个厂商提供，不具备开放性。

全软件方案：

所有租户云安全全部软件交付，实现个性化安全规划。

优点是功能丰富，可实现自主化的交互，扩容方便灵活，适应性强；缺点是底层虚拟化平台升级或者变化，虚拟化组件对应开发接口会变化，需要二次开发很麻烦。

结语

政企云安全关系到政府和企业IT系统良好运行的关键，在进行政企云系统建设时需要多调研并谨慎的规划和选择安全体系建设方案，要能够满足国标、行标和相关政策合规要求。