砥砺深耕:开启政务云安全新范式
“依托全国一体化政务大数据体系,统筹整合现有政务云资源,构建全国一体化政务云平台体系,实现政务云资源统筹建设、互联互通、集约共享。强化电子政务网络统筹建设管理,促进高效共建共享,降低建设运维成本。统筹建立安全高效的跨网数据传输机制,有序推进非涉密业务专网向电子政务外网整合迁移,各地区各部门原则上不再新建业务专网。”
————《关于加强数字政府建设的指导意见》
当前,政府数字化建设如火如荼展开,而政务云也成为了“数字城市”建设的关键基础设施,承载政务信息化系统和数据,有助于提升政府集约化信息建设水平。政务信息系统上云,为政务数据开放和信息共享提供了良好的技术基础,“让百姓少跑腿、信息多跑路”,有力提升了政府服务能力和效率。与此同时,平台资源的集中化与共享模式也带来了巨大的安全挑战。如何确保政务云上租户的业务系统和数据安全,提供多层次立体化的政务云安全防护体系,成为日渐重要的课题。因此,结合存在的隐患及安全风险制定有效的防范措施是政府数字化建设中的必然选择。
政务云场景下面临的安全挑战
云计算环境增加了安全暴露面:传统安全防护措施难以实现弹性防护,整体防护能力有限。
云上安全组件缺乏统一安全管理:云安全组件处于“信息孤岛”状态,无法统一监控与管理,组件间缺乏联动防御。
云安全合规需求:等保2.0(安全通用+云计算扩展需求)、网络安全法和行业安全标准对云安全提出了合规要求。
云计算技术复杂性带来新的安全问题:新技术的使用带来新的安全问题和风险,包括不限于虚拟化技术/虚拟网络、Overlay技术/VXLAN、云上租户/系统缺乏有效的监测、共享的技术漏洞、虚拟机逃逸等。
安全责任主体不清晰:云平台建设商与云租户都是安全责任主体,应当各负其责,安全部门与运维部门安全责任边界需要清晰等。
传统安全问题:云安全威胁,数据泄露,身份、凭证和访问管理不足,不安全的API/系统漏洞,账户劫持/恶意的内部人员,APT/数据丢失,滥用和恶意使用云服务,拒绝服务等传统安全问题在云计算环境中依然存在。
网御星云建设方案
结合政务云安全实际建设,网御星云从安全合规、安全可视、安全运营等维度,基于可管、可控、可信的纵深防御能力体系,构建全维度安全态势感知能力,形成“预防—检测—防御—响应”的安全运营闭环,鼎力打造政务云安全合规、运营一体化的CSM云安全管理平台,为政务云上系统及云上业务提供全方位安全防护。
基于CSMA理念,依托组装式平台架构(盘古平台)构建云安全网格化防护平台(CSM云安全管理平台),通过对接异构系统进行生态开放,以及通过平台化的方式整合散落各地的安全孤岛和数据孤岛,从而形成“全域联动、立体高效”的网络安全防护体系。
采用SecaaS安全能力服务化设计,通过精细化流量调度和编排技术,灵活引流租户业务防护流量,以安全策略为单位进行安全防护规划,通过策略和数据双重隔离技术,保障各租户的数据安全隔离。
以智能、集成和联动的方式应对各类攻击威胁,基于权责分离为云平台和租户打造集预防、防御、检测、响应、恢复等全防护链条的云安全纵深防御体系,为客户构建安全合规、安全可视、安全可运营的一体化云安全管理平台。
案例:
某市大数据局政务云安全建设要求满足政务网和互联网区百余云租户等保三级建设,不仅需要大幅节省硬件资源及项目整体投入,还要保障平台后期易于管理维护。网御星云基于该市政务云场景建设云安全防护中心,采用共享化云安全能力及租户间数据隔离,实现弹性、按需为不同租户提供云上安全服务。同时,满足了云上租户等保合规建设要求,为云平台安全建设降本增效,构建强有效、易维护的安全防护体系。
随着各行各业的重要业务迁移上云,云应用生态也将随之细化完善,这也对云安全提出了更高要求。网御星云将持续探索实践,推动云安全技术和产品迭代演进,为用户构建“云”安全之盾,助推云安全发展进程,为政府数字化建设安全保驾护航。
