某股份制商业银行总行信息中心金融行业云云网融合异构安全-C114.PDF

某股份制商业银行总行信息中心金融行业云云网融合异构 安全解决方案 一、案例概述 2017 央行印发了《中国金融业信息技术“十三五”发展规划》，明确指 出“十三五”时期金融业要全面支持深化改革，并提出目标：截止“十三五” 末期，银行业面向互联网场景的重要信息系统全部迁移至云计算架构平台， 其他系统迁移比例不低于60%。在这一文件的指导下国内金融行业开始逐渐 加大在云计算方向的技术研究和应用力度。 某股份制商业银行总行信息中心是山石网科多年的业务合作伙伴和重 要的金融行业用户，该行自2015 年就开始进行金融云技术可研和项目可行 性研究，在2016 年完成了内部私有云项目的一期搭建，是国内较早进行业 务云化尝试的股份制商业银行之一。经过多年技术研究、经验积累和尝试， 该行在金融云建设方面取得了显著进展，据公开数据显示，其金融云平台上 线后目前已经有1100 万用户。 2018 年，该行在新一期的金融云建设中开始引入国内某知名ICT 厂商 基于 Openstack 开源框架研发的商业云平台并使用了 SDN 搭建基础网络， 基于此架构完成了总行测试云、总行业务云、分行测试云、分行业务云等多 个项目的建设，初步形成了由总行统一建设、个分子机构按需申请使用的金 融行业云运营使用模式。 在此种运营模式下，如何使云平台和云平台承载的业务系统符合国家、 行业相关政策法规及安全监管要求，并且可以满足该行自身情况和发展的 需求，成为了该行总行信息中心在下一步信息安全建设中的一个重要课题。 该行联合山石网科和云平台/SDN 厂商对目前业务需求进行了梳理，总 结了信息安全建设中存在的几个问题： 1) 目前该银行金融行业云的运营方式为，由总行进行统一建设和基础设施 维护，各个分支机构按照需求申请计算资源和网络资源，分支机构自行对申 请到的资源进行运维管理。所以所有资源（包括计算资源、网络资源、安全 服务等）都要做到在线的自动化下发，目前云平台和 SDN 已经可以做到资 源的在线申请和自动下发，但防火墙无法与云平台和SDN 进行联动，无法 做到资源和配置的自动化下发。 2) 由于金融行业的特殊性，现阶段用户仍然倾向于使用硬件防火墙进行安 全防护，目前市场上没有硬件防火墙与云平台相结合，实现云网联动并支持 多租户环境的解决方案和产品。 3) 因为存在多租户和使用硬件防火墙的需求，如果采用传统方案，就需要 为每一个租户提供一台硬件防火墙，而这样就丧失了云的灵活性，并且增加 了用户前期的建设投入。 4) 考虑未来如果采用软防火墙，需要方案可以同时支持软/硬防火墙，而市 面上的产品和方案均只能支持软件防火墙与云平台联动，无法支持软/硬防 火墙混用。 该行总行信息中心又结合相关政策法规、行业技术发展趋势以及自身 情况，对此次的网络信息安全方案提出了几点基本要求： 1) 方案要有技术前瞻性和扩展性，希望可以最大限度的解耦； 2) 要求基础设施与安全异构； 3) 要求方案支持Openstack 开源架构并且符合NFV 架构； 4) 希望可以将安全服务化，向租户提供真正的 SECaas （security-as-a- service）。 二、解决方案 针对该项目中存在的问题以及用户提出的要求，山石网科与云平台、SDN 提供厂商进行深入的技术探讨，结合双方产品技术优势，参考Openstack 开 源框架及ETSI NFV 框架对此方案进行了设计。 经过与用户和云平台厂商的多轮沟通和几个月的测试联调，最终确定了 国内金融行业首个使用硬件防火墙实现云网融合异构安全的解决方案，方 案实现概述如下： 1) 防火墙使用山石网科 X 系列硬件防火墙，该系列防火墙可以提供最大 1Tbps 吞吐以及极高的可靠性，并可以支持vSys 功能，通过vSys 功能可以 在一台硬件防火墙上虚拟出多个虚拟防火墙（vFW）提供租户级的防火墙功 能服务； 2) 由山石网科开发适配云平台的HS FWaas Plugin 插件，由云平台配合将 原有FWaas Plugin 插件进行替换，以实现租户对虚拟防火墙（vFW）的自动 在线创建； 3) 山石网科的FW Driver 提供接口接受L3 事件，支持kafka 的DMQ Server 能力，以获取AC 的L3 事件；山石网科的HS FWaas Plugin 支持查询接口 互联信息，以便进行回程路由的配置； 4) 由SDN 厂商在AC 控制器上增加第三方防火墙异构的能力； 5) 由云平