政务系统安全接入公有云的思路探讨

来源:办公信息化安全处 李栋 李鑫 赵佳璐   时间:2016-06-20

云安全是一个伴随云计算逐步产生和发展的重要课题。在传统的数据中心模式下,政府作为政务系统的使用者和管理者,对于系统安全责无旁贷。而云计算的引入,特别是公有云,使得政府对业务和数据的控制权一部分被转移到了云服务商手中。无论是第三方云服务商角色的介入,还是虚拟化、分布式等一系列信息新技术的冲击,都给云安全带来了更为严峻的挑战。政府部门对数据安全和业务稳定运行往往具有较高的要求,所以政府在考虑将自身系统接入云计算服务时,要特别关注安全问题。

在这篇报告中我们首先介绍云计算的典型服务模式,然后依据我国当前政务建设环境和需求,重点讨论以IaaS模式为代表的公有云环境下,政府用户如何有把握的将政务系统安全接入到云。

一、云计算典型服务模式

      云计算主要有以下三种典型的服务模式:

(一)基础设施即服务(IaaS:在IaaS模式下,云服务商向客户提供虚拟计算机、存储、网络等计算资源,以及访问云计算基础设施的服务接口。客户可在这些资源上部署运行操作系统、中间件、数据库和应用软件等。客户通常不能管理或控制云计算基础设施,但对操作系统、存储和应用由控制权。

(二)平台即服务(PaaS:在PaaS模式下,云服务商向客户提供的是运行于云计算基础设施之上的软件开发和运行平台,如:标准语言与工具、数据访问、通用接口等。客户可利用该类平台开发和部署自己的软件应用。客户通常不能管理或控制支撑平台运行所需的底层资源,如网络、服务器、操作系统、存储等,但可对应用的运行环境进行配置。

(三)软件即服务(SaaS:在SaaS模式下,云服务商向客户提供的是运行于云上的应用软件。客户可利用程序接口或者WEB浏览器访问云服务商提供的应用软件,如电子邮件、协同办公等。客户通常不能管理支撑应用软件运行的底层资源,如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理。

 

二、安全建设分层

IaaS服务模式下 ,对于政府用户来讲,云为其提供的是一台台的虚拟机(理想条件下还会有虚拟交换机,虚拟路由等)。以安全建设责任划分,整个云环境可以被划分成如下两层:

(一)基础设施层安全,安全责任主体是云服务商。安全保障范围涵盖底层硬件设备、计算资源、存储资源、网络资源等。云服务商的工作内容是解决整个云的边界安全和由虚拟计算、虚拟存储和虚拟网络所带来的虚拟化安全问题。从政府角度讲,政府应作为用户,去要求和评估云服务商在基础设施层所能做到的安全防护能力。

(二)基础设施层之上的安全,安全责任主体是政府用户。在这一层的安全建设过程中,可假定云服务商在底层已提供了足够安全的计算能力、存储能力和网络能力。政府应作为建设者,去规划和建设基于该层之上的信息系统安全防护体系。


1. 安全建设分层模式图

三、对用户虚拟主机(网络)做防护的必要性

 

我们首先探讨下用户在基础设施层之上建立安全防护体系的必要性。假定云服务商提供的云已通过了安全评估,是否表示用户可以在云上任意部署信息系统而无需再考虑安全问题?答案是否定的,原因如下:

(一)相较于传统的内部数据中心,云计算将不保证现有数据和业务完全处在政府控制下。在信息系统的部署和运维过程中,出现了一个新的第三方角色,即云服务商。对于重要信息系统,用户有必要在云中建立一套完整的安全防护体系,以应对新角色所带来的潜在安全问题。

(二)公有云是一个多租户环境,公有云的安全不代表内部租户间的安全。同时,信息系统中的设备(虚拟)并不需要全部对外暴露,在云上划分子网,搭建逻辑隔离区域并对该区域做防护是非常有必要的。

    (三)传统数据中心和云计算在密钥管理上存在差别,这就涉及到了密钥的所属权和管理权问题。传统数据中心内,密钥的功能和管理工具由内部团队来配置维护。而云计算环境很有可能采用的是密钥共享模式或完全由供应商管理维护的模式。这种控制权的转移会影响到用户云的可信。

    (四)公有云的防护通常因为要兼容多租户环境,无法做到针对用户的特定安全防护控制。尤其是对于业务日志分析和审计功能,外围的公有云安全往往无法贴合实际业务系统,定制化程度不高,从而丧失一部分保护能力。对于安全性要求较高的政府部门业务系统,在原有云之上构建专属的安全防护体系是必要且合理的。

       

四、基础设施层之上的安全如何建设

 

IaaS云给用户提供的最基本服务,就是云底层虚拟出的计算、存储和网络资源。用户可以在此基础上选择生成所需要的操作系统,然后部署开发环境和应用。对于用户来讲,小规模的应用系统,可以直接使用一两台虚拟机做服务器即可。而系统规模一旦扩大,则需要对系统有网络层次上的划分和逻辑边界的设立,这样才有助于安全管理。目前产业界能满足这项要求的是VPC虚拟私有云)解决方案。

VPC是指在公有云中给用户分出一片逻辑隔离的区域,供其创建可自主定义的计算环境。用户可以在该环境下自定义子网和路由,并将计算或存储资源通过虚拟网络连接起来,组成虚拟子网。截止目前,市场上主流的公有云服务商基本已实现对VPC的支持。

有了VPC这个概念,我们就可以将云安全与传统数据中心的安全对接,现有等级保护方法也可以用来做参考借鉴。但是,传统上的等级保护,依赖于防火墙、IDS/IPS、网关、防病毒等各种安全设备的联动部署。而云所提供的是一台台虚拟机,硬件安全设备无法照搬,那如何能满足等保安全建设的要求?

传统安全产品虚拟化,是目前产业界的主要解决思路。我们调研了阿里云、腾讯云、华为云等几家云厂商市场上的第三方云防护产品,包括虚拟化防火墙、虚拟网关、虚拟WAF等等。这些云安全产品的共同特点是,在原有软硬合一设备的基础上,将软件部分提取出来,以安装包或操作系统镜像的方式提供给用户。而主机加固、防病毒等安全产品,则直接装入到用户虚拟机,然后统一适配管控。

所以,虚拟化后的安全产品,实际上是将传统安全设备软硬件相分离,用户首先准备合适的虚拟资源,然后购买并安装安全厂商提供的镜像。两者组合构成完整的虚拟化安全设备。结合云所提供的虚拟化网络能力,将该虚拟设备部署到用户自身的云环境中。

虚拟化安全设备 = 虚拟主机 + 安全产品镜像

以下举例深信服公司针对阿里云所研制的虚拟防火墙,其部署模式如下:


2. 虚拟防火墙vNGAF部署模式示意图

    用户在部署防火墙时,首先在云中申请一台虚拟机,然后将防火墙镜像安装在该虚机上,并通过配置虚拟路由,将防火墙置于租户子网边界。同时,用户要将业务系统的域名解析到该防火墙上,利用防火墙做代理,汇集分析流量,根据防护策略对外界做访问控制、流量审计、攻击检测等功能。目前云计算环境下的安全设备,多倾向于把各种防护功能做到一台设备上,防火墙、网关、审计等设备在功能实现上趋同。

以上介绍的是网络边界防护。对于网络内部,其实我们首先要关注的是虚拟环境下如何划分和实现网络,如何像传统计算中心一样通过路由、交换机之间的连线来构建一个网络拓扑结构。VPC中有虚拟路由和虚拟交换机的概念,它们实现的技术基础是SDNSoftware Defined Network,即软件定义网络。核心思想是将虚拟环境下的网络变成一种动态可编程的软件资源。通过将网络设备控制面与数据面分离开,来实现对网络流量的灵活控制,从而使网络作为管道变得更加智能。通过这种可编程的网络,我们可以任意构建自己所需的内部子网环境,并在必要位置部署安全防护设备。以下是阿里云上关于虚拟网络部分的配置截图:


3. 阿里云管理面板示例图

总之,讨论在公有云上建立自有防护体系,用户很大程度上可以将传统计算中心的等保建设思路移植过来。VPC机制使得用户在云中有了自己的网络边界,在这个边界内,配置虚拟网络以实现网络拓扑,部署虚拟化安全产品以满足等保建设要求。

 

五、如何管理用户云环境

目前成熟的IaaS公有云环境,云服务商通常会为用户提供一个管理切面。这个切面包括了对虚拟机、虚拟网络、域名解析等各方面的管理。用户可在管理面板上管理所拥有的云资源。或者,用户可在本地网络环境中,通过在云边界部署堡垒机,以VPN隧道等安全连接方式连入云网络来管理虚拟设备。

 

六、云安全建设中可能会遇到的实际问题

       (一)除国内发展较为成熟的公有云服务商外,自建私有云或社区云并非都能提供类似VPC这样的解决方案。用户在做好等保规划后,应结合云自身所实际提供的服务能力开展安全建设工作。

(二)云环境下的虚拟主机尚无法在性能上完全与传统安全硬件设备等同,故当有高性能需求的政务系统接入云时,应特别考虑安全设备对性能的影响因素。目前有相关应对策略,将传统的串联防护模块,如WAFIPS等,直接植入到应用服务器虚拟机上,即由在链路设防改为在虚拟机终端设防。

(三)政务系统接入公有云的过程中,不可避免涉及到各种区别以往的管理问题。用户内部对于虚拟资源的使用权限分配和管理、用户与云服务商之间关于系统监管权责和数据控制权的划分等问题,都是政务信息系统外迁入云前所要慎重考虑的。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919