选择区域语言: EN CN HK
docurl=/cn/Solution/IndustrySolution/TV_Solution/Broadcast_Media/Solutions/201711/1045111_30004_0.htm

电视台融合媒体云安全资源池建设关键技术

【发布时间:2017-11-06】

融合媒体云作为电视台的重要生产基础平台,安全建设是重中之重。融合媒体云的安全建设可依据公安部、总局科技司、中央网信办的发布的相关等保规范要求,进行系统的等保定级和等保建设。总局科技司《广播电视相关信息系统安全等级保护定级指南》对各级电视中心相关信息系统安全等级保护的定级有明确要求。融合媒体云平台的等保定级按照“就高不就低”的原则,一般省级电视台的融媒云平台需按照三级等保级别进行设计建设。

融媒云的安全建设包括为物理层、资源抽象与控制层、云服务层提供全方位的安全防护,包括访问控制、应用监测、、漏洞扫描、操作系统和应用防护、网站防御、租户隔离、认证与审计、数据安全等模块,以满足三级等保要求。

如图所示,融合媒体云的安全系统建设包括四大部分。第一,融媒云系统与电视台内部各大IT系统之间的边界防护,包括与办公网、现有生产网系统等,需部署相应的高安全区、数据交换隔离区。第二,融媒云与外部各网络系统之间的边界防护,包括与Internet、第三方合作伙伴、公有云和专属云之间对接时需设置相应的外延域边界安全防护区。第三,融媒云内部各业务部门拥有的云资源之间的安全隔离、安全访问控制,以及具体业务应用需要数据库审计、Web防护、负载均衡等安全服务,这依赖于融媒云内部署的云内安全资源池所提供的云安全资源。第四,融媒云的运维安全需要考虑对运维人员身份的验证、运维权限的分配、运维行为的实时监控、运维终端的安全接入等多个方面,方案规划在云平台管理区设置云运维的安全接入和运维审计系统。

云内安全资源池的建设是当前的热点和难点,超越了传统IT安全技术的范畴,方案采用了新的安全服务链和安全虚拟化技术。

首先,因为云平台内的业务主机为虚机形式,虚机在云平台内的迁移时常发生,其物理位置是动态变化的,这导致传统IT安全所采用的“确定业务边界,划分安全域”的“围防”安全思想不再有效。云平台上业务系统的安全防护必须能够随业务虚机的位置变化实现“业务安全域”的动态重构,即安全服务能够动态跟踪虚机之间、虚机与外部网络之间的流量路径变化,在该路径上动态加载相应的防火墙、负载均衡、IPS等安全服务,这类似于“塔防”游戏的思路。

为实现云计算中的这种“塔防”安全需求,新华三融媒云方案中基于SDN、NFV和VXLAN技术实现了安全服务链技术,云管理平台可调用SDN控制器动态在虚机之间、虚机与外部网络之间部署安全节点提供服务,虚机的位置发生变化时,安全节点的服务可自动跟随不中断。基于安全服务链,可为融媒云内的各类业务提供南北向(内部业务系统与外部用户)和东西向(业务系统之间)的安全防护服务。

第二,云计算的最大价值在于对IT资源的虚拟化和按需分配,提升IT设备的资源利用率。如何实现安全设备资源的虚拟化和为云租户的业务进行按需分配?方案对云内安全资源池中的高性能防火墙、负载均衡、IPS等硬件安全设备实现了虚拟化,包括基于H3C安全集群框架(SCF)的多机的N:1虚拟化和基于H3C SOP架构的单系统的1:N虚拟化。云管理平台根据云用户的需求调用SDN控制器实现对虚拟安全资源的分配、部署。

后续我们会就云安全服务链和安全设备资源虚拟化技术分专题再做详细介绍。