等保案例 3

用户简介

辽宁省政务云是由辽宁省信息中心主管，由辽宁省联通运营单位承建的、面向全省各厅局级委办局单位提供laaS资源服务的平台，能够根据委办局租户的需求提供响应的计算资源、存储资源和网络资源，实现IT基础资源的集中管理，有助于实现辽宁省政务系统和数据集中共享，最终实现向“互联网+政务服务”的过渡。

痛点和需求

存在云平台安全合规风险：根据等保2.0相关标准、《云计算服务安全指南》、《政务云安全要求》等云安全政策要求，提供政务云服务的云服务商需要有保障用户数据和业务系统安全的相关能力，并且相关计算基础设施需要按照网络安全等级保护中第三级的要求去建设和维护。

云租户安全需求难以满足：传统云平台安全架构仅能够为租户提供通用的安全策略，无法使用于所有租户。租户无法根据自身业务需求选择和管理安全组件，还将方法租户的业务系统“上云”后安全责任难以界定等风险，从而对“上云”产生顾虑。另外，不适用的安全策略也会影响租户的业务系统通过网络安全等级保护测评。

云租户安全运维能力不足：政务云的云租户，主要是委办局等政府单位，部分单位未配备专业的安全管理和运维人员，很难根据自身业务需求独立完成相关安全策略配置。如果云服务商不能给此类云租户提供充分的安全运维管理服务，租户的业务“上云”后安全将难以保障，还可能导致租户向其他平台转移。

云监管缺乏全局监测和协同管控能力：网阔安全的闭环仅靠分散在各个网络节点的防御设备是不够的。由于缺乏全局的安全监测能力，当安全事件发生时，云监管方无法第一时间获知事件进展信息，更不谈上对事件处置进行应急调度。云监管方应当从自身安全监督的职责出发，实现对安全事件的实时发现、精准定位和及时处置，能够对发现的安全事件进行快速通报，并指派责任人对安全事件进行响应。

解决之道

传统安全方案无法实现针对云租户的安全建设，更加无法满足云租户对业务系统进行等级保护建设以及通过等级保护测评的需求，深信服基于“持续保护、不止合规”的等级保护价值主张，为辽宁省政务云提供了不仅满足等级保护合规要求，同时具备部署灵活、运维管理简单且可实现安全资源增值特点的资源池化网络安全等级保护方案。

方案规划拓扑如下：

云安全资源池采用物理旁路、逻辑串联的方式部署在核心交换机上，通过在核心交换机上配置 策略路由的方式将云平台的业务流量引流到安全云资源池。云安全资源池的云web防护系统、云防火墙、云IPS等对数据流量进行安全检测，检测完成后再返回核心交换机。同时云数据库审计会对访问数据库的数据流量进行记录；云堡垒机对运维人员的相关操作进行审计。完成整个数据流的安全防护，实现了南北向和东西向的纵深访防护体系。

方案价值

软件定义、快速交付：云安全资源池的应用，通过软件定义、快速交付，相比于传统硬件堆叠方式的等级保护建设变得更简单；安全功能统一管理，减少硬件运维工作；组件化安全功能交付，弹性扩展，随需而变。

安全合规、责任界面清晰：云安全资源池为政务云的运营者以及将业务系统部署于政务云的各个委办局分别提供各自的安全界面，云服务商及云租户通过自己的授权账号登录至专门的页面中系统进行运维管理，安全责任变得更清晰明确。

业务增值：云平台运营者通过为用户提供池化的安全资源服务，子啊推动各级委办局上云、打造可信云业务的同时也避免了安全建设成为固定投入，二十将安全转化为了一种经济、可经营的产品，并获得持续产出。