本文以河南广播电视台融合媒体项目建设为例,对云平台进行安全等保定级,安全边界的界定,提出混合云+文件多分布的建设思路。通过虚拟化非编和云非编对素材访问方式的不同构建符合非编工具的安全体系,构建符合云服务对外提供Web访问的安全模式,以及文件安全传输和多分布的方式。通过虚拟化安全、网络安全、主机安全、应用安全、数据安全和媒体存储安全等设计,构建适合融合媒体应用的云平台安全体系。
混合云,安全域,安全等保,高安全区,文件安全传输
在全台网1.0时期,《广播电视相关信息系统安全等级保护定级指南》规定了各级电视台信息系统的安全级别,如表1所示。
融合媒体时期电视台网络与互联网连接更紧密,因此安全比之前更重要、更复杂,这样在遵循现有等保要求的同时,我们还要满足融合媒体业务发展的需要。针对这种情况,河南台在融合媒体云平台建设时,提出了混合云+素材多分布的总体设计思路。在这样的思路下我们考虑整个融合媒体云平台的安全。
1 融合媒体云平台的安全
1.1混合云
混合云是台内业务趋于安全的考虑必须建在私有云上,同时还希望使用公有云的资源和服务,因此就出现了混合云的模式。
从图1可以看出私有云、专属云和公有云组成混合云,公有云是最终的目标。电视台的融合媒体云平台依据业务特点和安全要求进行划分,每个区域都按照IaaS、PaaS、SaaS三层云架构建设,同时在安全域内部署相应业务系统、能力服务和多种编辑工具。
有了混合云的定位,我们就要考虑融合媒体云平台整体建设,同时根据业务考虑安全设计。
1.2安全域的划分
在混合云模式下建设融合媒体云平台,依然要根据总局的等保要求进行建设,根据业务类型和安全要求进行安全域的划分,我们要充分考虑业务未来发展的情况,将新媒体业务系统尽量部署在公有云或专属云上,其中专属云上的业务系统为二级等保系统,将传统的电视生产系统部署在私有云上,根据私有云上建设的业务系统进行等保定级,同时私有云还要与现有的台内制播网络进行交互,所以要对融合媒体云平进行安全边界的划分:
1. 互联网与专属云之间应有个安全边界,主要保护专属云的安全;
2. 专属云与私有云之间应有个安全边界,主要保护私有云的安全;
3. 私有云与播出系统之间有个安全边界,主要保护播出系统的安全。
1.3边界安全
要保护融合媒体云平台的安全,网络安全边界是第一道防线。边界安全的防护,一般都在边界安装部署相关的安全设备,对外部的访问进行过滤和控制,对内部向外传输的数据信息进行安全检查。
网络边界除了上述内容还有文件安全传输设备,也就是通过广电行业专有设备传输视音图文素材,传输设备可以对素材进行杀毒、白名单过滤、文件深度检测和文件完整性校验,保证从低安全等级向高安全等级传输的安全。
1.4云平台安全
云平台主要部署了虚拟化资源池、服务平台、应用软件,都基于虚拟化技术实现,因此其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。
1. 虚拟化安全
主要涉及虚拟化组件及其管理的安全,包括了物理设备、虚拟化计算、虚拟化网络、虚拟存储和安全管理的安全。
2. 网络安全
网络安全主要涉及、网络访问控制、网络入侵防范、恶意代码防范、安全审计等内容。
3. 主机安全
通过部署杀毒系统,并在各虚拟终端上安装轻代理客户端,实现对虚拟化环境的防病毒管理。
4. 应用安全
云平台一般都采用Web的方式来对外提供各类服务。WAF通过深入分析和解析HTTP的有效性、提供安全模型只允许已知流量通过、应用层规则、基于会话的保护,可检测应用程序异常情况和敏感数据是否被窃取,并阻断攻击或隐藏敏感数据,保护云计算平台的Web服务器,确保云平台Web应用和服务免受侵害。
5. 数据安全
对于数据安全,需要涉及数据的产生、传输、存储、使用、迁移、销毁以及备份和恢复的全生命周期,并在数据的不同生周期阶段采用数据分类分级、标识、加密、审计、擦除等手段。
1.5媒体存储安全
媒体存储本身安全的高可用和高安全性,对整个融合媒体云平台的稳定运行相当重要,同时存储还要有数据保护机制和访问控制机制,通过这些手段保护数据的安全。
1.6文件传输安全
融合媒体下与互联网和移动设备交互将非常紧密,这样对文件安全传输设备需求更迫切,同时在功能和系统交互上要更方便快捷,所以我们对文件安全传输设备要求如下:
1. 可以直接将汇聚和通联来的素材通过文件安全传输系统自动的摆渡到私有云的相关系统下;
2. 可以将互联网和办公网的视音图文素材通过文件安全传输系统自动杀毒、深度检测等摆渡到私有云的相关系统下,提高系统安全性和生产效率。同样从私有云相关系统出到专属云的素材也通过文件安全传输系统摆渡出来,以便在新媒体、两微一端和手机APP等平台进行发布。
1.7非编访问安全
1. 云非编
在云时代要满足编辑在办公网或互联网环境下使用,通过映射和挂载共享存储的方式,无法解决存储访问安全和网络链路安全问题,必须选择适应云平台安全访问的云非编工具。
2. GPU虚拟化非编
根据编辑的需要,云平台需要提供不同种编辑工具,这些编辑工具同样需要让编辑可以在办公网或互联网端使用,即在专属云中或办公网上可以安全访问私有云GPU虚拟化非编。
2 融合媒体云平台安全设计
2.1混合云总体框架
项目目标确定以混合云模式进行融合媒体云平台建设,图2为混合云的总体框架。
从图2可以看出混合云由私有云、专属云和公有云组成,同时根据安全域的划分有三个安全边界:
1. 公有云与专属云,专属云为二级等保;
2. 专属云与私有云,私有云为二级等保;
3. 私有云与播出系统,播出系统是三级等保。
专属云主要负责:电视台新媒体业务,主要是与互联网进行对接,然后将互联网的内容进行整理最终将有价值的内容通过高安全区传输到私有云。
私有云主要负责:电视台传统生产工作包括:电视文稿、上载、制作、包装、共享等,同时还为专属云提供相应的内容,供专属云多渠道发布。
公有云主要负责:互联网汇聚、粉丝互动、新媒体运营等适合公有云的业务。
通过统一的PaaS对私有云、专属云和公有云的资源进行统一的调度和管理,从而打造电视台自己的混合云体系。
为了网络安全私有云、专属云和公有云使用独立的IaaS资源,任何一套出现问题都不会影响其它云的运行,当专属云受到攻击时私有云不受到影响,这样专属云还起到了“堡垒机”的作用。
2.2云平台总体设计
根据河南台融合媒体云平台业务需求的考虑,设计出符合河南台自身特点的网络安全框架,如图3。
依据广电总局的等保要求,省级台的播出和新闻是三级等保,其它的生产系统都为二级等保,这样融合媒体云平台上的系统按照二级等保进行设计。
2.3云平台网络拓扑
根据系统建设的需求,以及安全域划分、等保要求,制定出融合媒体云平台的拓扑图(图4)。
从图4看整个网络分互联网、互联网接入区、融合媒体云平台、对内安全边界、现有制播网,其中融合媒体由专属云、高安全区和私有云构成。
1. 互联网接入区(即是对外安全边界)与专属云为一个安全域,也就是说互联网接入区保护的是专属云的安全,这个域主要的工作是与互联网进行互联互通,也是对外安全边界;
2. 高安全区与私有云为一个安全域,即高安全区是专属云与私有云的安全边界,在高安全区内有协议网关、安全网关、DMZ区和文件安全传输等设备进行安全防护;
3. 私有云为二级等保系统而播出网为三级等保系统,私有云与播出系统之间通过防火墙和入侵防御设备进行防护。
2.4边界安全设计
在云平台总体设计上我们设计了两个安全边界,即对外的安全边界和对内的安全边界,但基于对现有制播网安全的考虑,以及后续项目上云的规划,我们在专属云和私有云间设计了一个高安全区。
1. 互联网接入区设计(对外安全边界设计)
我们在互联网边界采用双出口,选择两个运营商保证链路的冗余,两台路由器设备,两台链路负载均衡设备,用于链路之间进行负载均衡。出口部署两台防火墙,配置网络地址转换(NAT)功能。部署两台入侵防御设备防护外来的攻击。部署两台上网行为管理,用于对用户的上网行为进行审计和流量控制。所有安全设备采用主备模式部署,通过心跳线实时同步会话信息,保证网络链路切换时业务不中断。
2. 高安全区设计
主要考虑私有云还要与制播网进行节目送播和素材共享,为了保障现有制播网的安全,同时私有云是二级等保安全,所以私有云需要有安全边界,即高安全区。我们在融合媒体云平台上使用了H3C SecPath M9006一体化安全网关设备,他集访问控制、入侵防御、恶意代码防范功能,根据业务访问需求对安全网关统一配置即可实现防护作用。在安全数据交换上我们根据不同需求,采用不用的安全设备如:协议网关和文件安全传输设备,设备按主备或集群的部署方式保证高可用性。
3. 对内安全边界
对内安全边界在融合媒体云平台项目之前就已经建成,在这不进行描述。
2.5云平台安全设计
云平台是这次融合媒体云平台建设的核心,包括虚拟化安全、网络安全、主机安全、应用安全、数据安全设计。
1. 虚拟化安全设计
虚拟化安全包括了物理设备、虚拟化计算、虚拟化网络、虚拟存储及安全管理。
从物理设备安全有计算设备、网络设备、存储设备都按冗余进行设计,不管哪类物理设备出现一台故障都不会影响整个虚拟化平台的使用。如图5。
在项目中我们使用两台SAN存储、两台Vplex、两台SAN交换机,这样三类设备组成虚拟化存储资源。所有的虚拟化操作系统都通过Vplex存储到两套存储中,这样两套存储为镜像设备,即使一个SAN存储设备有故障另一台同样能提供服务。
2. 网络安全设计
网络安全主要从入侵防御、恶意代码防范和安全审计着手,具体设计如图6。
在云平台中的运维区我们部署网神SecFox堡垒机和360虚拟化安全管理系统,运维人员通过堡垒机对所有设备进行访问,其中有对计算、存储、交换机等操作日志,以及通过堡垒机对虚拟化安全管理系统进行访问,同样将各种日志记录,从而审计系统进行事故原因查询、定位,为事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生后能够有效的追查事件发生的地点和过程以及责任人。
3. 主机安全设计
在虚拟终端上安装轻代理客户端,从管理端通过安全策略下发到虚拟主机上,实现对虚拟化环境的防病毒管理。我们在这个项目中使用360虚拟化安全管理系统实现。
4. 应用安全设计
应用安全分为内网和外网两种,因私有云对外提供的都是Web形式的访问,所以在私有云的安全边界上进行Web防护,这个功能由安全网关实现。而在外的Web访问,我们在互联网接入区域专属云部署Web防火墙实现,从而保证Web访问安全,以及防护网页防篡改。
2.6媒体存储安全
在本项目中我们使用EMC的Islion集群NAS存储,使用4台X410分布式存储节点,每个节点由后端网络和前端网络组成,每个节点后端网络通过IB卡与两台IB交换机连接保证冗余性,主要负责节点间数据交换;前端网络通过万兆网卡与两台万兆交换机连接保证冗余性,主要负责与访问主机进行数据交换。
Islion数据保护是通过节点冗余实现,也就N+M的模式,N是数据位,M是校验位。在此次我们使用4个节点,也就是3+1的模式,当一个节点故障存储同样正常使用,然后根据其它节点上的数据进行恢复。
任何分布式存储都有元数据文件,对于Islion元数据文件存储在每个节点上,同时进行数据的同步保证原数据一致,当任一节点故障都会从其它节点进行读取,保证对外服务正常。
2.7 终端安全设计
网络边界安全和云平台安全设计都完成了,只剩终端安全的设计,我们在专属云使用360终端安全管理系统和网络安全准入系统,这样将轻量级的天擎客户端软件安装在PC终端上,通过管理中心统一配置进行。
3 融合媒体云平台安全应用
融合媒体云台在建设初就考虑到了应用的创新和安全访问的问题,主要从体在以下几方面:应用服务安全,文件传输安全、文件多分布、非编工具安全外延和云非编安全访问。
3.1应用服务安全
融合媒体云的模式下所有的PaaS服务和SaaS服务都部署在统一的IaaS上,通过虚拟化安全的特性保证每台虚拟机的安全运行。在虚拟化的模式下对外服务主要用B/S访问方式,这样就要求我们的应用服务都是B/S架构。
出口安全网关是整个私有云的唯一出口,它将核心服务如PaaS服务、数据库服务、检索服务、调度服务、消息服务、缓存服务和应用服务都保护在私有云内部。专属云和办公网访问应用服务,应用服务再访问数据库,同时在根据软件访问的需求在安全网关上进行安全策略配置,防御通过应用层非法的入侵。
3.2文件传输安全
在本项目中文件安全传输系统主要完成文件素材的安全入出系统,在办公网通过B/S界面上传到目标系统,同时在相关系统进行素材的登记,在融合媒体系统通过流程驱动传入目标系统,并进行素材的登记。同样从私有云的目标系统可以出到融合媒体系统和办公网,供系统和用户下载使用。
文件安全传输系统外部与办公网和融合媒体系统进行通过交换机进行连接,内部与私有云的制作系统进行连接,同时部署两套文件安全传输系统保证高可用、冗余和负载均衡。文件安全传输系统支持AD域用户的导入、支持文件白名单过滤、支持文件深度检测、支持文件MD5码校验、支持大小文件快速的传入传出,支持与第三方系统进行对接,从而实现系统级文件安全交互。
3.3文件多分布访问
在融合媒体云的建设下我们需要考虑在混合云下如何进行素材的统一管理,但同时根据播出、发布渠道对视频文件码率进行要求,也就是说在私有云中的制作系统使用100Mb素材,在专属云中的新媒体中使用8Mb、2Mb或者更低的码率,但对于一个素材它可能分布在私有云和专属云都有,只不过是不同的码率,这样不管在私有云还是专属云都能进行检索。还有根据素材的分布使用不同的编辑工具进行编辑,如在专属云可以进行B/S编辑,然后快速的退给新媒体进行发布,或给微博和微信进行分享,而在私有云内使用非编进行电视节目精编给电视播出,这样就可以对同一内容在不同播出渠道进行播出,实现了内容协同报道。
从图8可以看到两个工作流:
1. 台内私有云源码素材上载进入集中存储,经过转码服务产生低码率素材,通过DMZ区同步服务同步到专属云的融合媒体系统,供融合媒体系统编辑和发布使用,以及供台外通过互联访问的用户进行编辑和发布;
2. 台外源码上载到专属云的融合媒体系统存储中,经过转码服务生成低码率素材,然后将源码通过同步服务同步到私有云的生产系统存储中,供台内的编辑使用。
3.4非编工具安全外延
编辑希望在办公网或互联网进行编辑,基于这个需求,以及我们对安全的考虑,最终通过GPU虚拟化的方式解决非编工具安全外延方式。
虚拟化非编在私有云的虚机上,在专属云编辑工作区通过Citrix的协议网关访问虚拟化非编,通过这个协议网关将虚拟工作站的屏幕信息、键盘和鼠标信息传输到专属云的电脑上,专属云电脑只能通过IE界面操作私有云内的虚拟化非编,不能进行其它工作如传输文件、插USB外设等存在安全隐患的操作,从而实现了非编工具的灵活选择,编辑也不再局限于一种编辑工具,充分体现了虚拟化非编的优势。
3.5云非编安全访问
在项目建设之初我们就想选择一款适合互联网环境下使用的非编,同时融合媒体系统也需要这样的工具。
通过调研我们选择了新奥特的天鹰云非编,天鹰云非编是一款适合在互联网下使用的非编,其工作原理如图9。
从图9我们可以看出天鹰云非编有两条路径访问路径,一条是元数据服务器进行用户登录,任务的创建、打开和修改等操作。另一条是天鹰云非编进行素材访问的路径,通过智能流引擎从云存储(支持公有云对象存储和私有云存储)中读取素材,同时将读取的素材实时进行H.264流推送,这样就可以实现随时随地的创作。
云非编是同过智能流引擎服务器访问专属云存储中的低码率素材文件,互联网编辑会根据带宽自适应播放的画幅,使得用户能够得到流畅的编辑体验,同时云非编支持本地素材与云端素材的混合编辑,最终将打点素材传到云端而不是整段素材,提高了传输的效率。
本文详细介绍了河南台在融合媒体云平台从安全设计到应用安全的实践过程。首先根据业务的发展确定了混合云的构架,根据混合云构架进行边界安全、云平台安全和终端安全的设计,以及适配这些安全设计我们在业务上的实践如:应用服务安全、文件传输安全、文件多分布访问安全、非编工具安全外延和云非编安全访问等逐一进行了阐述。
希望通过河南台的融合媒体云平台建设经验可以对广电行业融合媒体平台的建设有所借鉴和指导意义。
