1

容器云下电子政务云安全解决方案

2

目录

客户案例蓝盾容器云 容器云安全挑战

容器云安全解决方案

3

蓝盾容器云

4

让容器技术在政府落地

底层技术组件 核心管理平台

基础架构云 (IaaS)

容器云(PaaS/CaaS)

上层服务展现

+

+

新一代云计算

传统云计算

EcOS

5

1. 更轻量

2. 更快速

3. 更便捷

传统虚拟化技术

以OS为中心

新一代容器技术(Docker)

以应用为中心

Server

Host OS

Hypervisor

Guest OS

Bin/Libs

App A

Guest OS

Bin/Libs

App B

Server

Host OS

Docker Engine

Bin/Libs

App A

Bin/Libs

App B

被替换

Docker VS Hypervisor

6

容器云优势

用户体验 应用快速迭代

业务扩展成本控制

应用持续集成/持续部署关键技术：DevOps

更高效的资源利用率，有效减少设备投入，实现成本可控关键技术：Docker

轻松应对大并发的应用访问关键技术：负载均衡、弹性伸缩

应用解耦，扩展业务，即插即用关键技术：微服务

7

蓝盾云平台总体架构设计

Kubernetes

Calico+

Spring Cloud

Newben

Tomcat

ELKK

ELK

Discuss

Jenkins

Wordpress

Nginx

HAProxy

MySQL

Hypertable

Redis

MongoDB

Hadoop

Storm

MapReduce

Spark

Deeplearning4j

Caffe

TensorFlow

H2O

框架与核心 中间件 大数据 机器学习

PaaS/CaaS

基础设施

SaaS

计算资源

存储资源

网络资源

虚拟化层

IaaS层管理平台

VM VM VM VM VM

IaaS

公有云

VM VM VM VM VM公有云

第三方SaaS应用

行业SaaS应用

…... …...

大数据分析决策

大数据模型识别

云安全体系

综合云管平台

安全集中管理

应用安全

容器安全

数据安全

虚拟安全

服务器安全

网各安全

机房安全

物理服务器

ØPaaS :以Docker云平台为依托，建立业务管理与服务应用云平台。PaaS平台秉承“大平台、微服务、轻应用”的建设思路，支持敏捷开发、弹性扩展，确保平台能够满足业务需求。

Ø基础设施 :可同时接入IaaS虚拟机、公有云主机、物理服务器等各种基础资源，实现混合云管理和资源池化。

ØSaaS :以Docker云平台为基础，建立大数据业务管理与服务应用平台。应用端以增值拓展，开发服务，合作运营为主要功能，确保能够满足各种场景客户的业务需求。

8

容器云平台方案特点

平台将致力于在高效率、低成本、大安全、大数据、标准化和定制化等六个方面为用户解决痛点、提供服务，免费力助用户转型升级。

高效率：ü 多语言SDKü 多协议接入方

式ü 消息分发

大安全： ü 提供安全的设备端ü 提供安全的数据存

储策略ü 提供综合云安全解

决方案ü 支持行业标准的对

称数据加密

大数据：ü 提供弹性大数据平台

标准化：ü 协议标准化ü 产品标准化ü 数据模型标

准化

定制化：ü 支持产品功能定制ü 支持APP面板定制个

性化定义

低成本：ü 按需购入，成本可控ü 高效开发运维，快速交付ü 设备高效利用，无需重复

投资

容器云平台

9

容器云平台在政务云应用-DevOps

基于EcOS云平台的全流程自动化Devops，将新应用/新模块开发周期缩短至以前的1/8

代码提交

代码提交

模块构建 单元测试 代码审核

模块构建 单元测试 代码审核

测试环境构建

系统测试 代码审核

代码合并

应用发布

容器云平台

大幅度提升构建效率 更优的测试环境管理 便利地版本升级、回滚

10

SOA架构单体应用 微微服务架构

应用优化的优势：

ü消除冗余，应用减负；

ü增强核心，无限扩展；

ü多种技术，无缝融合；

ü敏捷交付，闪电上市；

ü持续集成，持续部署；

ü应用启动，秒级完成；

容器云平台在政务云应用-应用优化

11

蓝盾容器云平台解决方案价值

政府企业上云

加速企业业务互联网化，打造企业云、行业云、政

务云

效率提升

提升开发、测试和运维效率的60%

DevOps战略

微服务、容器化和CI/CD一体化，产品上

市时间缩短至1/6

企业级容器平台

企业级Docker商用决方案，达到99.9999%电信

级稳定性

成本节约

相比VMWare和KVM虚拟化密度提升20倍

混合云管理

实现跨云平台可移植性不受限与云厂商，

节省成本30%

多元化支撑

支持大数据、人工智能和高性能计算集群平台

专业服务

专业咨询与管理服务，实现客户金融级运营托

管诉求

12

容器云安全挑战

13

容器云安全挑战

分保安全需求• 涉密信息系统也按照秘密、机密、

绝密三级进行分级管理

等保安全需求• 对物理层、网络层、系统层、应

用层、管理层多个维度进行防护

企业安全要求• 保护自己的资产业务流不受攻击

传统安全

挑战二：租户安全

挑战三：容器安全

挑战四：运维管理安全

新增挑战

容器云安全

挑战一：动态、模糊的网络边界

14

容器云安全挑战 : 动态、模糊的网络边界

Host1 Host2 Host3

蓝盾 EcOS平台

Docker镜像构建

镜像库

租户1 WEB1

租户2WEB1

租户3DB1

租户1 WEB2

租户2DB1

租户3DB2

租户1 DB1

HostN……

Ø容器动态生成

Ø不同业务东西向流量安全防护

15

容器云安全挑战 : 容器IP不固定

WEB容器1

Nginx容器2

DB容器1

Eth0 Eth0 Eth0

Docker0

物理机网卡Eth0

主机1

WEB容器2

Eth0

Docker0

物理机网卡Eth0

任意主机

WEB容器3

Eth0

WEB容器4

Eth0

动态弹性伸缩

WEB容器1

Nginx容器2

Eth0 Eth0

Docker0

物理机网卡Eth0

生产环境1主机1

业务热迁移 Nginx容器2

Eth0

Docker0

物理机网卡Eth0

生产环境2主机2

Ø容器云环境中，所有

容器IP都是动态设定，

对安全策略制定提出

新的要求

Ø容器云中高级特性如

弹性伸缩、业务热迁

移、滚动更新等机制

对安全策略跟随带来

新的接点

16

容器云安全挑战 : 租户安全

物理机网段

Nginx网段

Web网段

DB网段

Ø租户间应用安全隔离

Ø租户间网络安全隔离

租户1 WEB1

租户2Nginx1

租户3DB1

Eth0 Eth0 Eth0

Docker0

物理机网卡Eth0

租户WEB2

Eth0

Docker0

物理机网卡Eth0

主机1 主机2

租户3DB2

Eth0

组户2Nginx2

Eth0

Docker0

物理机网卡Eth0

主机3

租户3DB3

Eth0

17

容器云安全挑战 : 容器安全

容器化带来了新的安全点：

Ø镜像安全

Ø容器云平台安全

Ø Docker安全

Ø应用安全

Host1 Host2 Host3

蓝盾 EcOS平台

Docker镜像构建

镜像库

租户1 WEB1

租户2WEB1

租户3DB1

租户1 WEB2

租户2DB1

租户3DB2

租户1 DB1

HostN……

18

容器云安全挑战 : 运维管理安全

集中管控

账号管理

认证管理

授权管理

安全审计

安全事件集中管理

主机日志 应用日志

容器云平台日志

存储日志

网络日志

网络设备日志

安全设备日志 Ø应用无序扩张，运维不可控

Ø安全事件集中管控挑战

19

容器云安全解决方案

20

GB/T 22239.1 《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求》GB/T 22239.2 《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》

信息系统定级：《定级指南》GB/T22240-2008等级保护实施：《实施指南》信安字[2007]10号信息系统安全建设：《基本要求》GB/T22239-2008、《通用安全技术要求》GB/T20271-2006、《安全技术设计要求》 GB/T24856-2009 等10个要求和规范、GB/T 22239.2《信息安全技术 网络安全等级保护基本要求》 、GB/T 25070.2《信息安全技术 网络安全等级保护安全设计技术要求》 、GB/T 28448.1《信息安全技术 网络安全等级保护测评要求》 等级测评：《测评要求》报批稿/《测评过程要求》报批稿 / GA/T713-2007

云安全规划依据 - 等保

应用类

产品类 其他类等保安全建设整改

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

等保2.0技术要求

云服务方和云租户对计算资源拥有不同

的控制范围，控制范围则决定了安全责

任的边界

云租户云服务方

安全责任方

21

容器云下电子政务云安全框架设计

安全服务

安全集成实施服务

安全评估服务

安全优化服务

安全管理

安全事件集中管理

安全策略管理

安全集中管控

数据安全

安全数据交换

数据加密密钥管理

数据备份与容灾

容器安全

容器云平台安全

Docker漏洞扫描及加固

镜像漏洞扫描

容器隔离

物理设施安全

应用安全

主机安全

网络安全

WEB应用安全 WEB网页防篡改

OS安全加固 服务病毒防护

防火墙 流量清洗

VPN接入 安全域

网络病毒防护 入侵检查/入侵防御

云安全池

数据库审计容器间防护

22

01-防火墙：划分安全域，对各个域的访问流

量进行防护；抵御外部对各个应用的攻击

02-IDS入侵监测：监测记录对业务系统的入侵

行为

03-IPS入侵防御：对业务系统进行入侵检测及

防护

04-防DDos：对WEB应用进行防护，防止

Ddos攻击

05-防病毒：抵御外部病毒病毒通过应用进入

网络

安全防护手段

安全方案 - 数据中心边界网络安全

安全责任：

云服务方

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

黑客

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

IDS

黑客入侵漏洞攻击病毒木马DDos

IPS

FW FW

IPS

23

安全方案 – 容器网络安全

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

安全责任：

云服务方

01 不同云租户之间网络资源的隔离

03 容器之间网络防护

04 容器与宿主机之间网络防护

02 云租户下不同业务之间网络资源隔离及防护

容器 容器容器

容器 容器容器

容器 容器容器

X

Web

Application

Database

云租户网络安全

Host1 Host2 Host3

蓝盾 EcOS平台

HostN……

24

安全方案 - 访问控制及安全审计

传输加密：可使用VPN通道加密访问控制：认证登录，操作授权操作审计：对操作行为进行审计

云堡垒机为云租户提供自主访问控制和审计。不同云租户之间，通过独享的访问控制系统运维各自的容器，互不干扰，数据独立。

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

堡垒机

安全责任：

云服务方 云租户

云租户

操作员1

操作员2

云服务方

操作员1

操作员2

云堡垒机

物理堡垒机

物理网络设备

物理服务器

容器 容器容器

容器 容器容器

容器 容器容器Web

Application

Database

云租户网络安全

Host1 Host2 Host3

蓝盾 EcOS平台

HostN……

25

安全方案 - 资源控制

Ø支持设置单一容器的资源限制量，保护容器的性能不

因其他容器尝试消耗共享硬件上的太多资源而降低

Ø支持多租户间资源完全隔离，包括物理资源隔离、应

用隔离、网络隔离、存储隔离、私有仓库等，实现多

租户间资源控制物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

内存隔离基于Namespace实现不同容器的内存隔离

CPU隔离基于Namespace实现不同容器的CPU隔离

网络隔离容器内SDN，虚拟子网实现容器间网络隔离

租户隔离租户间资源隔离、租户间应用隔离、租户间网络隔离

安全责任：

云服务方

26

安全方案 - 安全配置与加固

云漏洞与基线扫描可为云租户提供

自助漏洞管理和容器安全基线配置。

A：定期进行docker、容器云平台漏洞扫描• 扫描docker、容器云平台、应用、数据库等漏洞，及时修补

容器安全配置及加固

B：安全基线扫描• 扫描容器的配置是否符合安全要求

云漏洞/基线扫描

云租户

操作员1

定期漏洞扫找及基线核查• 漏洞扫描：对镜像漏洞定期修补，防止蔓延• 基线扫描：对镜像安全配置进行定期核查，确保镜像达到安全基线要求

镜像保护

云服务方

操作员1

物理漏扫服务器

定期漏洞扫描和基线核查• 漏洞扫描：对物理服务器漏洞定期修补• 基线扫描：定期核查配置满足安全基线

物理服务器

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

安全责任：

云服务方 云租户

27

安全方案 - 应用安全

云WAF以云租户或云业务为单位，对WEB应用服务器进行安全防护保护，实现各类 SQL 注入、

跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为、CC等攻击防护，支持网页防篡改。同时

支持 Web 应用加速、WEB负载均衡；其动态评估建模技术更准确识别入侵行为；能够对应用系

统的运行状况进行监测，并在发现异常时进行告警。

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

安全责任：

云服务方 云租户

容器 容器容器

容器 容器容器

容器 容器容器Web

Application

Database

云租户虚拟网络

云WAFINTERNET

Host1 Host2 Host3

蓝盾 EcOS平台

HostN……

云网页防篡改

28

安全方案 - 数据安全

物理和环境安全

网络和通信安全

设备和计算安全

应用和数据安全

技术要求

• 云数据库审计替代传统

物理数据库审计系统，

数据库数据不用流出云

即可完成审计。

• 系统数据由云租户负责

审计，可确保敏感数据

由租户控制，不外泄。

安全责任：

云服务方 云租户

云租户

云服务方

云数据库审计

审计数据

• 确保业务连续性

• 确保应用重要数据完整性

• 确保应用重要数据不泄漏

容器 容器容器

容器 容器容器

容器 容器容器Web

Application

Database

云租户虚拟网络

Host1 Host2 Host3

蓝盾 EcOS平台

HostN……

29

数据安全解决方案 端到端安全解决方案

数据多副本 本地备份

混合云容灾容灾

• 支持与公有云API对接

• 实现混合云容灾

• 两地三中心容灾方案

• 本地数据3副本 • 支持本地数据备份

站点1

站点1 站点2

•主备容灾•传统解决方案

•成本高，需要专门资源的支持

•共享容灾•多对一的故障保护

•适用于远程分支机构的容灾

•互为灾备•两个站点都运行生产系统

•两个站点互为备份站点1 站点2

站点1 站点2

•双活容灾•跨数据中心资源统一调度

•支持容灾中心的资源复用

安全方案 – 数据灾备

30

安全方案 – 云安全运维

交付使用

安全运维指引导入

审批及施工

资源回收

资源申请

资源维护及监控

云运营流程

云管理平台运营区

日常基线核查进行镜像更新

登陆堡垒机进行云运维

漏洞扫描后安全交付

云安全运维

日志采集

大数据安全态势分析

监控数据导出攻击事件安全日志设备信息

云安全管控中心

安全监控

安全运维管理

安全建设管理

安全策略和管理制度

安全管理机构和人员

管理要求

安全责任：

云服务方

31

客户案例

32

电子政务云安全案例

客户名称：国家电子政务外网云平台• 云管理平台为超融合云平台（IaaS＋PaaS）

服务内容• 集成8大云安全产品（云堡垒机、云漏扫、云数据库审计、云网页防篡改、云WAF、云防火墙、云上网行为审计、云SOC）

X86服务器

虚拟化操作系统

容器云管理平台

云数据库审计

云堡垒机

云WAF

云防火墙

云漏扫

云上网行为审计

云SOC

云网页防篡改

PaaS 平台

容器容器 容器 容器 容器 容器 容器……

33

ECS ECS

RDSMySQL 5. 6

-

RDSMySQL 5. 6

RDSMySQL 5. 6

2100SERVER 2100SERVER

Internet

( )

公有云租户云安全案例

客户名称（阿里云租户）：广东新佳联投资管理有限公司广州市圈圈贷互联网金融信息服务有限公司广东小森金科信息技术有限公司广州御泰互联网金融信息服务有限公司

服务内容

•安全等级保护测评整改 •安全风险评估整改服务

优势：公有云租户对虚拟安全产品私有化后，业务敏感数据安全可控。

蓝盾高密度安全虚机

34

谢谢您的观看THANK YOU