選擇區域語言: EN CN HK
docurl=/cn/Solution/IndustrySolution/TV_Solution/Broadcast_Media/Solutions/201711/1045111_30004_0.htm

電視臺融合媒體云安全資源池建設關鍵技術

【發布時間:2017-11-06】

融合媒體云作為電視臺的重要生產基礎平臺,安全建設是重中之重。融合媒體云的安全建設可依據公安部、總局科技司、中央網信辦的發布的相關等保規范要求,進行系統的等保定級和等保建設。總局科技司《廣播電視相關信息系統安全等級保護定級指南》對各級電視中心相關信息系統安全等級保護的定級有明確要求。融合媒體云平臺的等保定級按照“就高不就低”的原則,一般省級電視臺的融媒云平臺需按照三級等保級別進行設計建設。

融媒云的安全建設包括為物理層、資源抽象與控制層、云服務層提供全方位的安全防護,包括訪問控制、應用監測、、漏洞掃描、操作系統和應用防護、網站防御、租戶隔離、認證與審計、數據安全等模塊,以滿足三級等保要求。

如圖所示,融合媒體云的安全系統建設包括四大部分。第一,融媒云系統與電視臺內部各大IT系統之間的邊界防護,包括與辦公網、現有生產網系統等,需部署相應的高安全區、數據交換隔離區。第二,融媒云與外部各網絡系統之間的邊界防護,包括與Internet、第三方合作伙伴、公有云和專屬云之間對接時需設置相應的外延域邊界安全防護區。第三,融媒云內部各業務部門擁有的云資源之間的安全隔離、安全訪問控制,以及具體業務應用需要數據庫審計、Web防護、負載均衡等安全服務,這依賴于融媒云內部署的云內安全資源池所提供的云安全資源。第四,融媒云的運維安全需要考慮對運維人員身份的驗證、運維權限的分配、運維行為的實時監控、運維終端的安全接入等多個方面,方案規劃在云平臺管理區設置云運維的安全接入和運維審計系統。

云內安全資源池的建設是當前的熱點和難點,超越了傳統IT安全技術的范疇,方案采用了新的安全服務鏈和安全虛擬化技術。

首先,因為云平臺內的業務主機為虛機形式,虛機在云平臺內的遷移時常發生,其物理位置是動態變化的,這導致傳統IT安全所采用的“確定業務邊界,劃分安全域”的“圍防”安全思想不再有效。云平臺上業務系統的安全防護必須能夠隨業務虛機的位置變化實現“業務安全域”的動態重構,即安全服務能夠動態跟蹤虛機之間、虛機與外部網絡之間的流量路徑變化,在該路徑上動態加載相應的防火墻、負載均衡、IPS等安全服務,這類似于“塔防”游戲的思路。

為實現云計算中的這種“塔防”安全需求,新華三融媒云方案中基于SDN、NFV和VXLAN技術實現了安全服務鏈技術,云管理平臺可調用SDN控制器動態在虛機之間、虛機與外部網絡之間部署安全節點提供服務,虛機的位置發生變化時,安全節點的服務可自動跟隨不中斷。基于安全服務鏈,可為融媒云內的各類業務提供南北向(內部業務系統與外部用戶)和東西向(業務系統之間)的安全防護服務。

第二,云計算的最大價值在于對IT資源的虛擬化和按需分配,提升IT設備的資源利用率。如何實現安全設備資源的虛擬化和為云租戶的業務進行按需分配?方案對云內安全資源池中的高性能防火墻、負載均衡、IPS等硬件安全設備實現了虛擬化,包括基于H3C安全集群框架(SCF)的多機的N:1虛擬化和基于H3C SOP架構的單系統的1:N虛擬化。云管理平臺根據云用戶的需求調用SDN控制器實現對虛擬安全資源的分配、部署。

后續我們會就云安全服務鏈和安全設備資源虛擬化技術分專題再做詳細介紹。

超碰caoporen97人人