云安全管理在政務云安全防護體系建設中的重要性
云計算作為下一代互聯(lián)網(wǎng)的核心技術之一正在不斷的自我進化和完善中。在世界范圍,越來越多的云計算應用正在不斷的被開發(fā)出來,企業(yè)、政府、個人用戶也正逐漸從了解云計算轉變?yōu)檫M駐云計算和使用云計算。
中國的云計算經(jīng)過了2011年的初始元年,2012的風起云涌,2013、2014年的力量積蓄,終于在2015年迎來了等待已久的全面爆發(fā)。2015年也可以看成是云計算在中國全面落地的一年,由政府主導的政務云成為了推動云計算從概念走向應用的核心動力。工業(yè)和信息化部、國家發(fā)展改革委員會等部委也相繼發(fā)布了多個支持云計算和政務云建設的政策、規(guī)劃和相關意見要求。政務云的落地,一方面得益于政府在政策和資金層面的支持,另一方面也得益于云計算技術的逐漸成熟。
在云計算尤其是政務云的建設過程中,安全是一個不可忽略也無法繞過的關鍵問題。保證電子政務系統(tǒng)的安全不僅僅在于可以提供穩(wěn)定可靠的政務服務,同時更是國家信息安全的一種直接體現(xiàn)。
政務云既然是云計算與電子政務結合的產(chǎn)物,那么運行在云計算環(huán)境中的電子政務平臺也繼承和具有了云計算的種種特點。云計算利用虛擬化技術能夠為其使用者提供快速靈活的資源管配能力,通過對原有物理資源的使用方法的重新定義,利用資源池技術消除了原有的物理資源的使用限制,把資源集中起來統(tǒng)一管理再以更細粒度的方式對資源進行重新按需分配。
這種復雜而靈活的管理方式得益于云計算環(huán)境中所存在的云管理平臺。由于硬件的虛擬化和服務的軟件化,使得云管理平臺可以以軟件定義的方式按需的申請資源、部署資源、調(diào)度資源。
云計算的這種技術實現(xiàn)方式既是其優(yōu)勢所在,同時也是安全的問題所在。當安全資產(chǎn)不能夠被集中管理和按需分配時,云環(huán)境虛擬化資產(chǎn)的彈性調(diào)整會使得原本部署在固定位置上的安全資產(chǎn)失去防護的目標。因此,在云計算環(huán)境中,我們不僅需要云管理來管理和調(diào)度業(yè)務資源,也需要云安全管理來基于業(yè)務資源的彈性變化按需的配置和部署相應的安全防護服務。
在云計算建設過程中,一些云管理平臺也可以提供部分安全功能,如部署虛擬防火墻和配置ACL策略等。然而,系統(tǒng)化的安全防護體系需要由分析、審計、監(jiān)測、防護等多種專業(yè)安全功能協(xié)同完成,這些往往是云管理平臺所無法提供的。
安全管理平臺的設計初衷即為了解決云計算環(huán)境中的安全防護體系的構建問題,并通過其專業(yè)的安全管理和部署能力,實現(xiàn)按需的對安全資源的管理調(diào)度,以適應業(yè)務資源彈性動態(tài)變化的特性。將安全管理獨立于云管理也更利于整個云環(huán)境中安全系統(tǒng)的不斷自我完善和擴展,而不易受到云管理系統(tǒng)的制約和影響。而從管理權限和安全級別上來看,安全管理也應該高于云管理,這樣在安全管理過程中才能夠對云管理過程實施全面的監(jiān)控和運維保障。
政務云從體系架構和安全需求上都對安全管理有著更高的要求。與企業(yè)私有云不同,政務云不僅需要利用云服務提供商所提供的基礎設施來運行各種業(yè)務系統(tǒng)和服務平臺為政府部門日常辦公和公眾政務提供服務,更需要借助云服務提供商的專業(yè)運維管理能力來提高電子政務的IT服務運維管理水平,并降低成本。因此政務云通常都采取租用第三方云服務的方式來提供服務,這種模式使得云服務提供商對政務云中的資產(chǎn)和數(shù)據(jù)具有很高的訪問和控制權限。在此運營服務模式下,安全管理的獨立性就顯得尤為重要,若不能將政務安全管理從云運營服務方的云基建設施管理中獨立出來,那將不能客觀的評價政務云環(huán)境中的安全狀況,容易在安全建設的過程中產(chǎn)生缺陷和盲點。在安全管理和運維過程中,云管理平臺作為整個云計算環(huán)境的管理中心,它更不應該亦成為安全管理中心,云管理平臺自身的安全運行需要被保證,云管理過程的操作更需要被審計,因此獨立的云安全管理平臺將作為整個云管理的監(jiān)護人,時刻保障政務云環(huán)境的安全、保證云環(huán)境中業(yè)務運行的安全。
云安全管理平臺能夠提供更加專業(yè)和完整的安全解決方案,而并不是僅僅提供部分安全功能。特別在云計算環(huán)境下,安全需要協(xié)同和配合,相對于集成部分安全功能的云管理平臺,專業(yè)的云安全管理平臺將能夠更加有效的協(xié)同各類安全產(chǎn)品形成一個完整的安全防護體系。
在政務云的安全解決方案中,云安全管理平臺應該成為云監(jiān)測、云審計和云防護的中心。這是因為在所有安全產(chǎn)品中,云安全管理平臺具備其他類安全設備所不具有的全景安全感知和分析能力,包括從云基建設施到虛擬機的深度視角,以及遍及整個網(wǎng)絡環(huán)境中所有資產(chǎn)和業(yè)務應用的廣度視角。云計算環(huán)境中,資產(chǎn)和網(wǎng)絡都會隨著云管理的業(yè)務需求而發(fā)生改變和調(diào)整,而無論是傳統(tǒng)安全設備還是虛擬化形態(tài)的安全設備自身都無法發(fā)現(xiàn)這種變化,無法感知虛擬機的創(chuàng)建和遷移,亦無法感知網(wǎng)絡邏輯邊界的變化。云安全管理平臺可以通過對云管理平臺、虛擬機和虛擬網(wǎng)絡的全方位探測和感知,來發(fā)現(xiàn)任何的資產(chǎn)和網(wǎng)絡的變化,從而按需的調(diào)整安全設備的部署,來保證安全防護的完整性和有效性。
從另一個角度說,云安全管理平臺將負責整個云計算環(huán)境中安全資源的運維和生命周期的管理。這種安全運維和管理不應該由云管理方發(fā)起,而應該由云安全管理平臺通過對云環(huán)境資產(chǎn)、網(wǎng)絡等各種信息的獨立的采集、匯總、分析、審計后,以從安全的專業(yè)視角來進行管控。
總之,通過云安全管理平臺的安全管理能力和安全整合能力,我們有理由相信云安全管理平臺將在政務云的安全建設中起到重要的作用。
