政务云安全建设实践（16页）.pdf

1、温州政务云安全建设分享黄锡斌高级工程师、副经理政务云安全建设实践一、温州市政务云建设背景二、政务云安全方案选型过程三、当前政务云云安全方案目 录content一、温州市政务云建设背景背景温州市电信从2012年开始为政府部门提供“服务器虚拟化”服务，为政府部门网站提供IDC平台、虚拟主机服务。运营商建设电子政务云，售卖云服务，利润较低。政务云建设初期，就考虑了安全资源如何运营和增值的问题电信作为政务云承建方，希望交付的安全方案与租户上云业务分离，权责划分清晰二、政务云安全方案选型过程政务云安全方案选型纯安全硬件出口部署安全设备租户侧依靠操作系统自带安全规则或软件接口引流通过虚拟化底层接口引流利用

2、虚拟化底层接口实现租户侧安全硬件一虚多借助专有硬件安全设备一虚多技术通过硬件设备的分级分权管理分配管理权温州市政务云安全方案选型，参考了其他省份政务云安全建设方案，考察了以下三种租户安全实现方案：纯安全硬件部署方案部署硬件设备，如防火墙、IPS、WAF等安全硬件设备，通过网络地址的方式区分用户并分配策略。描述优点1.租户侧无需安装任何软件或agent2.能够实现政务云平台层面的安全防护缺点1.无法区分租户2.无法实现差异化收费运营模式3.租户无法自管理4.安全策略无法个性化设备，容易误判、误报防火墙IPS、WAF漏扫核心交换区域安全管理区域计算、存储资源池DDOS接口引流方案描述优点1.通过虚

3、拟化平台底层引流，租户侧无需安装任何软件或agent2.平台运营方可以实现差异化配置和部署3.能够实现安全业务收益缺点1.租户不可管理，安全不可视2.过于依赖平台方提供的技术、接口3.目前实现最好的是vmware，华为、华三均不支持通过API实现vNICvNICvSwitchVMSafe接口流量牵引流量牵引流量牵引VM1VM2vNICVM3插件Vmware ESXi通过云平台技术提供方提供的接口，通过云平台API进行引流，结合第三方安全厂商安全产品提供安全功能硬件一虚多+网络引流方案最终确定采用的方案温州政务云在项目选型阶段，受限于当时的技术，采用了以上安全方案，通过出口安全硬件一虚多、WAF

4、反向代理，实现租户侧安全能力交付，每年实现安全营收100w左右描述优点1.租户侧无需安装任何软件或agent2.支持管理员分级分权管理3.能够实现IPS 简单的WAF 功能4.能够实现简单的差异化安全服务运营缺点1.缺少安全厂商产品后续支撑，很多功能交付不尽人意，无法使用2.在租户侧无法实现自管理，租户自身业务安全状况不可视3.安全功能有限（负载、IPS、传统FW）专线接入区域防火墙IPSWAF互联网区域核心交换区域安全管理区域计算、存储资源池反向代理原有方案使用中遇到的问题现有方案使用过程中遇到的问题希望新的安全方案能够解决的问题安全功能过少，租户安全需求难满足能够提供丰富的安全功能租户上云

5、后，安全策略调试繁琐能够提供流程化、自动化的安全功能配置租户无法管理购买的安全服务能够提供独立的租户安全子管理界面缺少租户安全可视界面能够提供独立的租户业务安全可视界面目前安全增值能力较弱，仍无法持续运营通过将安全服务化交付，满足三、政务云云安全资源池方案温州市政务云安全资源池方案 需要在已有架构上实施，通过在出口设备上引流到云安全资源池 实施后，可以将原有IPS WAF设备下线，网络整体架构清晰 每租户的网关直接指向云安全资源池的独立的安全网关，同时使用NAT功能 跟据租户需求，匹配安全服务专线接入区域出口防火墙互联网区域核心交换区域计算、存储资源池引流，每个租户的网关分别指向安全资源池安全

6、资源池安全接入包安全接入包高级防御包高级防御包安全网关（安全网关（NATNAT）基础防御包基础防御包高级防御包高级防御包安全网关（安全网关（NATNAT）安全接入包安全接入包高级防御包高级防御包安全网关（安全网关（NATNAT）租户租户A A安安全服务全服务租户租户B B安安全服务全服务租户租户C C安安全服务全服务安全接入包安全接入包高级防御包高级防御包安全网关（安全网关（NATNAT）基础防御包基础防御包高级防御包高级防御包安全网关（安全网关（NATNAT）安全接入包安全