如何将政务云打造得更安全合规？

只看该作者 · 发表于 2017-12-26 11:01

一年超17朵某公司安全实践经验：如何将某公司打造得更安全合规

发在过去不到一年时间内，某公司智安全相继交付5朵省级、12朵市级某公司的安全方案，究竟是什么样的某公司安全建设方案能够取得众多用户的一致认可，获得佳绩？今天，信服君带你一起探讨如何解决某公司的安全问题。

某公司安全建设为什么难落地

某公司建设过程只重视平台合规，未考虑租户安全。
过去，在政府轻资产、PPP建设模式下，某公司安全体系的建设呈现出分段趋势。首期安全目标往往是云平台的合规(如等保三级），对租户差异化的安全需求考虑不足，租户缺乏安全保障手段，导致租户难以上云、某公司的运营难以为继。

业内方案能力单一，难以满足某公司精细化需求。
当前的业内方案无法满足现实要求，主要是租户需要精细化、差异化、全生命周期的安全，而业内的“硬件一虚多防火墙”方案，安全能力单一。另外，租户的采购对象是服务化资源，某公司安全方案也要服务化交付；而业内大多数厂商还只注重产品，不提供服务化交付方案。

让某公司更安全合规
那么，某公司要实现安全合规，建设初期，应通盘考虑哪几点：

1、责任共担、权责明晰是基本原则

“安全权责明晰、安全责任共担”的理念开始普遍受到认可，业内的主流厂商，也提出了面向安全共担的方案模型。如下图所示：

安全共担方案模型中，三方权责大致归类：
云服务商：重点保障基础设施（云平台）整体安全运转。

安全厂商：作为云服务商的延伸，提供专业的安全增值服务，比如，租户VPC边界安全、VPC内部的虚拟网络安全，虚拟主机的安全加固及安全防御、业务数据安全保护、安全态势展示等服务资源。同时提供租户安全管理平台和云服务商安全运营管理平台用于运维管理。

委办局（租户）：利用云服务商、安全厂商提供的安全资源和服务，对租用的VPC网络、虚拟机、应用系统、业务数据进行安全策略配置；对业务系统进行组织结构设定、权限分配和日常运维，并对其业务安全负责。

2、整体考虑、体系化建设是基本保障

为了保障整个某公司可落地，需要进行整体考虑、体系化建设并达到以下三点：
安全合规是基线：应该全面考虑平台安全合规、租户业务系统安全合规，这是整个某公司安全必须达到的基本要求。

业务安全是本质：整个安全体系的设计和建设，应将保障租户业务安全作为核心、重点（平台安全，也是为了保障租户业务安全），只有租户业务得到安全保障租户才愿意上云，才能使得某公司良性、快速发展。

建云整体规划很关键：为了保障运营方和租户方的合规和业务安全，需要进行整体规划、建设，至少要考虑两大部分：一个是平台安全合规，一个是为租户提供丰富的安全资源、服务，保障租户具有足够的安全能力可用。

信服君认为应该通过整体安全规划，设计“安全共担、多方共建、分段实现、两端兼顾”的某公司安全解决方案，并利用平台边界安全设备、租户安全资源池，帮助实现云平台整体的安全合规。建议利用安全资源池平台共建能力丰富的安全生态，帮助租户梳理安全责任边界，为租户在选云、上云、用云等各阶段提供定制化服务，真正地为租户的业务安全、安全合规提供保障。

某公司安全体系规划参考

某公司某公司安全方案备受认可

面向合规，覆盖不同阶段的某公司安全建设方案

面向新建某公司：构造完整的平台合规+租户安全合规架构，利用平台边界安全设备、租户安全资源池，帮助实现云平台整体的安全合规，并利用安全资源池平台共建能力丰富的安全生态，帮助租户梳理安全责任边界。

面向已建某公司：可在云平台安全架构基础之上，选择使用面向委办局（云租户）安全资源池+安全运营服务，为云上委办局单位提供个性化的、灵活的、服务化交付的安全方案。

权责明晰，安全服务化交付
某公司安全资源池“一套方案、三套界面、权责清晰”的理念，将某公司主管方、某公司租户、某公司安全服务商责任边界理清，通过功能区隔，将安全理念具体落实到每一个角色：
主管方（平台）视角：提供全局的安全态势感知与安全监管服务，面向云租户提供安全市场与安全服务分配、审批服务。
云租户视角：面向上云业务安全需求，租户可在云市场按需选购安全服务，根据自身业务安全需求灵活编排云上虚拟安全架构，提供独立的租户级别的统一运维界面，一套界面运维全部云上安全服务。
服务商视角：提供独立的面向云租户的安全运营、安全运维服务。

生态连接，一体化交付体验
某公司安全服务平台作为底层平台，可快速整合第三方合作伙伴安全能力，目前南京聚铭网络、杭州思福迪等合作伙伴已经完成能力整合，且形成标准的接口和整合方案，可面向某公司上委办局提供一体化交付体验。目前，云服务商可注册至云安全服务平台，云租户可在线选择云平台注册的安全服务商，将云租户安全服务托管于安全服务商。