技术领域
[0001] 本
发明涉及计算机技术领域,尤其涉及一种基于多安全域的云平台分级管理方法及装置。
背景技术
[0002] 应用系统分级保护是依据国家保密标准,针对涉及国家秘密的应用系统实际安全需求划分不同等级的安全保护域(安全域)。不同密级的应用系统被划分到不同的安全域,便于对应用系统按密级管理,防止不同密级之间信息交换,产生泄密危险。对有跨安全域
访问需求的应用进行访问控制,能够把要保护的资源与访问者分离开来,保证涉密信息不泄露。
[0003] 应用系统分级安全域划分:
[0004] 分级安全域划分,首先需要先确定应用系统密级,按照安全保护需求的不同把应用系统分为非密、秘密级、机密级等不同等级;不同密级的应用需要划分到不同安全域内,相同密级的应用,需要根据相互信任程度、是否具有相同的安全访问控制和边界控制策略等决定是否划分到同一安全域。
[0005] 多租户资源隔离技术:
[0006] 多租户技术又称多重租赁技术,是一种
软件架构技术,是实现如何在多用户环境下共用相同的系统或程序组件,并且可确保各用户间数据的隔离性。在当下云计算时代,多租户技术在共用的
数据中心以单一系统架构域服务提供多数客户端相同甚至可定制化的服务,并且仍可以保障客户的数据隔离。
[0007] 分级应用跨安全域交互访问:
[0008] 分级应用跨安全域交互访问主要存在两类情况,一类是同一用户需要访问不同密级的业务系统,需要保证低密级操作时禁止涉及高密级信息。另一类是应用系统需要进行跨密级操作,这些业务系统在设计时,需要跨密级进行信息交互,跨不同密级网络的业务是双向的,明确边界上业务安全控制是关键。
发明内容
[0009] 本发明
实施例提供一种基于多安全域的云平台分级管理方法及装置,用以解决
现有技术中的上述问题。
[0010] 本发明实施例提供一种基于多安全域的云平台分级管理方法,包括:
[0011] 在云计算环境下,按保密要求确定涉密信息系统中应用系统密级,采用物理隔离的方式进行不同密级的应用系统的安全域的划分,并根据安全域的等级进行保护;
[0012] 对不同密级的安全域之间采用安全防护设备进行网络隔离,对不同安全域之间实施设备级安全防护;对同一密级的安全域之间,根据业务种类进行安全隔离,不同业务系统之间共享底层
基础设施资源,采用虚拟安全域的方式对不同虚拟安全域之间进行隔离;
[0013] 在业务系统跨不同安全域进行访问时,所有云服务的安全域之间的通信访问通过数据交换域与各云服务的安全域中设置的核心交换域进行数据交互。
[0014] 优选地,所述根据安全域的等级进行保护具体包括:
[0015] 根据系统使用单位的重要性、系统中涉密信息的数量与含量、信息系统的重要程度和使用单位对信息系统的依赖程度,确定是否选择增强型保护;
[0016] 涉密信息系统中相同密级的不同安全域,根据
风险分析结果采取相同或者不同的保护措施;
[0017] 涉密信息系统中不同密级的安全域,按照相应等级的保护要求进行保护。
[0018] 优选地,采用虚拟安全域的方式对不同虚拟安全域之间进行隔离具体包括:
[0019] 利用Docker自定义网络功能,在当前密级安全域内创建一个Overlay类型安全域即虚拟安全域,实现在现有安全域网络之上的
叠加虚拟化网络,该叠加虚拟化网络采用内部IP的方式,对于同一业务系统的服务容器,将其接入同一虚拟安全域的网络中,保证安全域内不同宿主机上的虚拟化容器间的安全访问;不同业务系统的所有服务容器接入该业务系统的专有安全域网络,保证应用容器形成专属的安全域子网,达到跨安全域的隔离防护;
[0020] 通过虚拟安全域对租户网络资源进行划分管理,保证不同虚拟安全域之间的网络相互无法访问,同一安全域内的不同虚拟化主机正常通信。
[0021] 优选地,所述方法进一步包括:
[0022] 设置管理域,通过所述管理域创建并管理代理访问软件和代理访问策略。
[0023] 优选地,在业务系统跨不同安全域进行访问时,所有云服务的安全域之间的通信访问通过数据交换域与各云服务的安全域的核心交换域进行数据交互具体包括:
[0024] 在所述数据交换域中设置代理访问软件;
[0025] 在业务系统跨不同安全域进行访问时,不同密级的云服务的安全域,在其相互通信过程中,由数据交换域中的代理访问软件进行代理访问,并在进行代理访问时,首先从管理域中获取代理访问策略,并根据所述代理访问策略通过所述数据交换域进行不同密级的安全域的数据交互。
[0026] 本发明实施例还提供一种基于多安全域的云平台分级管理装置,包括:
存储器、处理器及存储在所述存储器上并可在所述处理器上运行的
计算机程序,所述计算机程序被所述处理器执行时实现上述方法的步骤。
[0027] 采用本发明实施例,针对应用系统等级保护要求,结合应用系统运行的云计算平台,实施基于多安全域的划分云计算环境管理,为云平台
支撑应用系统分级管理提供了可行的解决方案,保证了不同等级的应用系统、涉密信息服务,在享受云平台提供的全生命周期基础设施运维便利的同时,能够隔离业务系统运行范围,把复杂的安全问题化解成小区域的安全问题,使得基于云计算平台的应用系统符合分级保护要求。本发明实施例为应用系统跨域访问提供解决方案,访问代理部署在独立的数据交换域内,便于进行独立的交互访问监控管理。采用代理作为跨域访问的
中间层,在访问
请求没有到达目标服务前就限制低密级访问高密级的泄密行为,使跨域访问做到安全可控。使用容器作为代理的部署载体,更适用于有快速部署、更新需求的云计算平台环境。
[0028] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照
说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
[0029] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0030] 图1是本发明实施例中基于多安全域的云平台分级管理技术实施过程的示意图;
[0031] 图2是本发明实施例中云计算环境下的应用分级安全域划分的示意图;
[0032] 图3是本发明实施例中基于容器的跨域访问流程的示意图。
具体实施方式
[0033] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0034] 云计算技术将基础设施资源进行集中管理,通过虚拟化的方式实现租户资源共享,然而应用系统分级保护要求明确不同密级应用需要采用不同等级的安全防护措施,因此基于云计算平台的分级应用需要进行按域划分管理,实施具体的安全防护措施。应用分级管理主要涉及如下几个方面的问题。
[0035] 基于云计算平台的多安全域划分在确定应用系统密级的基础上,清晰的定义分级应用安全域的边界范围,明确安全域的涉密等级;针对不同密级应用系统的保密需求,控制云计算平台上不同密级安全域之间资源的隔离,实现具有相同安全等级的应用系统在同一个域中可以共享存储、进行信息交互操作;不同等级的应用系统在安全策略的控制下,根据需求可以进行跨域访问。
[0036] 本发明实施例实现基于多安全域的云平台分级管理技术,该技术的核心是结合云计算平台系统生命周期内从网络系统规划设计、部署、维护管理到运营全过程中的所有要素,实现平台租户对计算、存储及网络三类基础设施的相互隔离,形成具有相同安全需求的网络隔离区域。该技术主要可分为三部分内容,分别为分级应用多安全域划分管理、多安全域租户资源隔离防护以及基于容器的跨域代理访问,保障云计算平台多租户资源隔离性和跨域访问的安全性,分级保护实施过程如图1所示。
[0037] 分级应用多安全域划分管理
[0038] 云计算环境下的应用分级安全域划分,是在明确应用系统边界的基础上,充分结合实际应用环境进行划分。首先确定应用系统密级,按保密要求的不同把应用系统分成秘密级和机密级等不同等级,然后进行不同密级的应用系统安全域划分,明确采用物理隔离的方式,将不同密级的计算、存储等设备进行机房划分并统一管理。再根据系统使用单位的重要性、系统中涉密信息的数量与含量、信息系统的重要程度和使用单位对信息系统的依赖程度等因素,确定是否选择增强型保护要求。涉密信息系统中相同等级的不同安全域,可根据风险分析结果采取不同的保护措施;系统中不同等级的安全域,应当按照相应等级的保护要求进行保护。
[0039] 如图2所示,为云计算环境下的应用分级安全域划分示例。云服务按照不同的安全等级被划分在不同的云服务安全中,云服务安全域可通过云平台完成
硬件资源的隔离配置,形成相互独立、相互隔离的分密级云服务安全区域。各密级云服务安全域通过相应的核心交换域为各类终端域提供服务,交换域也通过区分密级,保证不同密级间的业务数据不同跨越不同密级的网络。云平台开设管理功能被部署于统一的管理域中,对整个网络环境进行统一的资源开设及安全管理。
[0040] 多安全域租户资源隔离防护
[0041] 多安全域下租户资源的隔离防护主要分为两类进行实施,一是不同密级的安全域之间的隔离防护,此类隔离防护采用安全防护设备进行网络隔离,不同安全域之间实施设备级安全防护。二是在同一密级的安全域内,应用系统需要根据业务种类进行安全隔离,不同业务系统之间共享底层基础设施资源,采用虚拟安全域的方式,确保不同虚拟安全域之间达到有效隔离。
[0042] 虚拟安全域实际是对租户网络资源的划分管理,保证不同虚拟安全域之间的网络相互无法访问,同一安全域内的不同虚拟化主机能够正常通信。利用Docker自定义网络功能,我们在当前密级安全域内快速创建一个Overlay类型安全域,实现在现有安全域网络之上的叠加虚拟化网络,该网络采用内部IP的方式,对于同一业务系统的服务容器,我们将其接入同一虚拟安全域网络中,从而能够保证安全域内不同宿主机上的虚拟化容器间的安全访问;不同业务系统的所有服务容器接入该业务系统的专有安全域网络,保证了应用容器能够形成专属的安全域子网,达到跨安全域的隔离防护。Docker配置Overlay虚拟网络的配置代码(采用etcd作为后端配置存储系统):
[0043] dockerd
[0044] -H 0.0.0.0:4243
[0045] --cluster-advertise=:4243
[0046] --cluster-store=etcd://etcdHost:2379
[0047] 创建虚拟安全域代码:
[0048] Builder builder=NetworkConfig.builder();
[0049] builder=builder.driver(″overlay″);
[0050] builder=builder.name(″NetworkName″);
[0051] NetworkConfig config=builder.build();
[0052] String endpoint=″http://″+dockerHost+″:″+dockerPort;
[0053] DockerClient client=DefaultDockerClient.builder().uri(endpoint).build();
[0054] client.createNetwork(config);
[0055] 基于容器的跨域代理访问
[0056] 分级安全域使得不同安全域内的云服务之间相互隔离,无法进行通信访问,对于跨不同密级的复杂应用系统,则需要进行针对性处理,解决业务系统跨不同安全域进行访问的问题。基于容器的跨域访问代理技术既能满足安全域之间的隔离性要求,又能解决有跨域访问需求的安全问题。基于安全域划分后的运维管理平台将云平台的开设管理功能放置于管理域中,云服务分别运行于各自相互独立的同密级安全域中。基于容器的跨域访问代理技术要求所有云服务安全域之间的通信访问必须经过独立划分的数据交换域,数据交换域能够与各云服务安全域的核心交换域进行连接,在两个需要进行跨域通信访问的的云服务安全域之间起到代理访问的作用。
[0057] 如图3所示,两个不同密级的云服务安全域,在其相互通信过程中,由中间的数据交换域进行代理访问,限定代理访问策略为机密级到秘密级,相反方向禁止进行跨域访问,否则不符合分级保护安全保密要求。数据交换域中的代理访问软件由云平台开设管理域负责创建并管理,依托底层的容器平台能够迅速创建代理访问容器,供安全域间代理访问使用,而代理访问的策略也从管理域中获取,也保证了安全策略的统一管理。
[0058] 本发明实施例的有益效果如下:
[0059] 1、提供了基于云计算平台的安全域划分方法
[0060] 本发明实施例针对应用系统等级保护要求,结合应用系统运行的云计算平台,实施基于多安全域的划分云计算环境管理,为云平台支撑应用系统分级管理提供了可行的解决方案,保证了不同等级的应用系统、涉密信息服务,在享受云平台提供的全生命周期基础设施运维便利的同时,能够隔离业务系统运行范围,把复杂的安全问题化解成小区域的安全问题,使得基于云计算平台的应用系统符合分级保护要求。
[0061] 2、为有跨域访问需求的应用系统提供了解决方案
[0062] 基于容器的跨域访问代理技术为应用系统跨域访问提供解决方案,访问代理部署在独立的数据交换域内,便于进行独立的交互访问监控管理。采用代理作为跨域访问的中间层,在访问请求没有到达目标服务前就限制低密级访问高密级的泄密行为,使跨域访问做到安全可控。使用容器作为代理的部署载体,更适用于有快速部署、更新需求的云计算平台环境。
[0063] 显然,本领域的技术人员应该明白,上述的本发明的各模
块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成
电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0064] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。
