新疆移动面向租户的虚拟化安全能力及专线防护能力建设项目探索及应用

新疆移动面向租户的虚拟化安全能力及专线防护能力建设项目探索及应用

曾婕

中国移动新疆公司计划建设部

摘要：新疆移动公司在“2+14 数据中心”工程建设中，组建专网承载数据中心业务，通过数据中心管理平台，实现全疆 IDC 托管业务的统一管理，以及IDC 云业务资源的统一管理和智能调度。通过建设面向租户的虚拟化安全能力及专线防护能力项目，满足集团客户需求，并降低各地州单节点的安全防护能力建设造价。

一、背景现状：

在企业数字化建设以及数据中心业务云化的时代大背景下，越来越多的企业开始投入云平台建设。面对云平台的一体化结构，云内的安全防护需求无法采用传统的设备部署模式来解决。随着国家等保2.0的颁布，国家对安全合规性要求的逐渐严格、用户对云平台安全措施及措施统一管理的需求，市场需要云平台的安全防护产品。

通过对标天翼云、阿里云，以及近一年来本省云项目投标，新疆公司云产品能力在面向租户的虚拟化安全服务方面存在短板。因此急需启动中国移动新疆公司面向租户的虚拟化安全能力及专线防护能力建设项目，满足安全等保要求，同时为后期疆内各厅局级单位上云项目具备投标能力、基础云产品能力全覆盖，具备快速建设能力。

二、建设目标

满足国家安全考核及政企租户安全能力输出需求，响应“中国移动网络安全三年滚动规划（2019年-2021年）”，满足新形势、新技术下的安全需求，试点相关安全系统的能力变现，完善安全运营流程，提供面向租户的虚拟化安全能力及专线防护能力安全手段，实现安全运营工作的集中化、规范化、平台化、自动化、常态化开展。

三、建设内容及规模

本项目建设内容及规模如下：

满足2+14数据中心安全能力防护（昌吉数据中心及克拉玛依数据中心虚拟安全中心集中部署，满足南北疆安全能力输出），本期系统处理能力至少满足30个租户的等保2.0相关要求的虚拟化安全能力输出，每个租户最低1Gbps的流量处理能力。新增相关配套硬件。

硬件配套要求：新增购买虚拟化安全服务平台、虚拟化安全能力组件、虚机导流组件；虚拟化安全能力组件包括云防火墙、云IPS、云堡垒机、云WAF、云数据库审计、云VPN、云日志审计七项虚拟化安全服务组件及专线防护交换机。

软件安全能力要求：满足2+14数据中心安全能力防护（必须具备上表软件安全能力要求，详细功能见下述章节描述），本期系统处理能力至少满足30个租户的等保2.0相关要求的虚拟化安全能力输出，每个租户最低1Gbps的流量处理能力（单租户处理能力不限上限，仅供本期软件系统总输出能力最低限参考，若为1个用户服务，则整体平台可提供单用户高达30Gbps的处理能力），以租户形式向地市节点提供网络虚拟化安全能力输出（卖方提供的软件应不限部署位置，可在2+14任意节点提供软件部署，前期部署以克拉玛依及昌吉数据中心为主，后期根据需要可下沉地市），同时为专线网络提供防护能力。

四、网络部署方案

图 1：网络组织图

本期在克拉玛依数据中心组建虚拟化管理节点分管北疆区域，在昌吉数据中心组建虚拟化管理节点分管南疆区域。为满足本期功能需求，及30租户业务能力要求。需新建如下硬件：

（一）节点服务器：

昌吉数据中心及克拉玛依云大各1台。

（二）计算节点服务器（提供虚拟化安全能力）：

昌吉数据中心 4台，克拉玛依云大9台（含6台地州下沉备用）。

五、云安全管理平台功能建设

（一）平台架构

云安全管理平台通过底层虚拟化技术将安全组件进行软件化，并以池化方式将各类安全组件进行集中化管理、编排，实现管控一体，通过SDN技术实现对安全组件的服务编排能力，从而实现软件定义安全。整体产品结构如图所示，主要由云安全管理平台和云安全资源池两部分组成：

图 2： 平台架构图

2. 云安全管理平台

云安全管理平台作为云安全管理员和租户的统一管理入口，可提供安全资源的集中生产、管理、运维、策略控制以及服务链编排等服务。平台采用微服务架构，功能模块可弹性扩展扩展，各模块之间互相隔离、互不影响，各模块之间的重启、重载不影响主进程的活动。各类安全功能通过平台服务目录形式进行展现，用户可以按需选择自己在云中需要的安全资源。同时云安全管理平台开放安全生态，南向可接入第三方安全功能，通过（标准+定制）北向接口接入云平台的上级MSO与专业OSS系统，与现有OSS系统融合。

2. 云安全资源池

安全资源池底层基于虚拟化技术将物理服务器整合形成逻辑集群池，从而提供安全能力集成、安全能力编排、安全路径隔离、安全能力执行等功能，来满足业务系统的东西向安全需求、南北向安全需求、安全管理需求等。

（1）支持三权分立，支持系统管理员、审计管理员、安全管理员三类角色。

（2）支持设置密码复杂度，支持设置登录超时时间，支持设置可信访问源。三是支持E1000、virtIO、SR-IOV、DPDK、物理网卡直通等模式。

（3）支持openflow流表、支持二层转发和三层转发，流表规则和转发规则支持独立管理，同时支持被云安全管理平台统一管理。

（4）支持链路聚合、支持端口绑定。

（5）支持按租户对虚拟安全设备进行底层隔离，保证平台自身安全性，保证数据隔离性。

（6）支持虚拟防火墙、虚拟入侵防御、虚拟入侵检测、虚拟数据库审计等产品的统一部署，同时部署在同一个安全资源池中，同时完成业务系统的安全防御和安全检测。

六、小结：

面向租户的虚拟化安全能力及专线防护能力建设项目，通过云安全产品能力市场，面向云租户提供虚拟化的安全产品，在有安全产品需求的政企项目中，只需虚拟出需要的安全产品，而不必单独采购硬件安全设备，实现投资减少的同时又降低了维护成本。

实现安全产品虚拟化市场，以供租户根据等级保护要求或也无需求，进行自主选择或推广安全能力。目前已实现了六个租户的安全能力需求分配及上线，当前计划支持至少三十个租户上线。通过本项目节约了租户对安全能力需求的单独硬件采购，节约采购成本，同时，节约了机房机柜空间利用及电力等动力维护等消耗成本。

参考文献

[1]吴王宏. 基于等级保护要求的信息系统安全体系的设计与实现[D]. 2010.

[2]袁野. 基于OpenStack云平台资源调度方法的研究[D]. 南京邮电大学.

[3]孙晓芬. 基于云平台的一体化城市大数据中心建设初探[J]. 数字化用户, 2018, 024(050):227-228.

[4]张培. 基于应用主导的私有云安全策略管理机制研究[D]. 北京交通大学.

作者简介：曾婕，1984年12月，女，汉，中国移动通信集团新疆有限公司，中级通信工程师职称，从事集客工程管理专业，曾荣获新疆通信协会科技进步奖三等奖、自治区QC成果大赛三等奖、新疆移动公司卓越员工称号。