近日,证券信息技术研究发展中心(上海)公布了 “证券基金行业信息技术应用创新基地 2022 年度行业共研优秀课题” 评选结果,其中,由申万宏源证券有限公司(申万宏源证券)与北京志凌海纳科技有限公司(SmartX)共同申报的课题 ——“基于信创平台构建‘微分段安全防护’的应用验证结题报告”(以下简称“课题”)荣获 “最具前瞻价值奖”。
自 2021 年合作以来,申万宏源证券基于 SmartX 超融合产品并结合自身实际需求完成了多场景云化资源池的建设:
- 充分发挥 SmartX 超融合软硬件充分解耦、支持硬件异构的特点,将原有的 40 台 HP380 G9 服务器进行利旧改造,建设了高性价比的异地灾备云资源池。
- 基于 SmartX 超融合集群高性能、高可靠的特点建设了资管业务云资源池,为资管子公司快速建设进程提供助力。
- 发挥 SmartX 超融合多芯片统一管理的能力,建设涵盖鲲鹏、海光芯片的信创云资源池,运行资管直销、风控、ABS 综合业务等各类生产交易系统。
基于以上实践,申万宏源证券最终实现了全国多数据中心且涵盖交易生产场景、异地灾备场景、信创场景的“一云多芯”基础架构云平台,坚实地完成了公司倡导的”降本增效“的业务方针。
了解更多:申万宏源证券超融合基础架构转型实践经验
课题背景
同时伴随基于信创的基础架构资源池交付并投入使用,安全管理为日常运维带来以下诸多挑战。
挑战一
在虚拟化环境内,虚拟机之间(东西向流量)没有有效的网络访问控制手段,未授权访问将严重威胁系统安全。
挑战二
配置虚拟机访问策略,采用传统 IP 地址的策略(ACL)管理方案,面对上千个虚拟机对象,运维复杂度将无法估量。
挑战三
在虚拟化资源池内,虚拟机常发生迁移动作,变更所在物理服务器,如何保证虚拟机迁移后,策略控制始终生效。
挑战四
安全策略控制执行应更加高效,从而保证虚拟机网络数据转发性能,而传统式的引导流量到特定目标就行执行检查,将严重影响数据转发性能。
课题目标与亮点
本次共研课题针对信创云的内部各种安全问题与挑战,探索采用微分段技术,基于虚拟机对象制定访问规则和策略,实现对不同业务间灵活高效的隔离防护,并形成评测报告。
- 白名单策略模型基于一个预先定义的允许访问规划,未允许的访问流量均会被阻止并记录事件,该模型可有效预防未知风险,保护系统免受未经授权的访问和恶意行为的威胁(病毒/恶意访问/网络攻击等)。
- 基于虚拟机标签进行安全策略精细化控制,相较传统 IP 地址控制,有效降低复杂度,并提高运维效率。
- 灵活性:标签拥有聚类的特点,可以为相同的业务类型或部门进行对象标识。
- 动态性:IP 地址可能会发生变化,标签标识对象不受 IP 地址变化的影响,同时可以实现对不连续 IP 地址的安全策略简化。
- 可扩展性:标签可以轻松地添加、修改和删除,这使得在面对不断变化的用户、设备和环境时,更容易管理和控制策略对象。
- 虚拟机贴身保护,安全策略能够跟随虚拟机自动在不同主机、不同集群之间迁移,而无需重新设置。实现虚拟机移动不同物理位置,策略随行的防护效果。
- 软件定义分布式防火墙,无需在虚拟机内安装 Agent,无单点安全网关转发瓶颈,不依赖物理网络特殊功能或配置,最大化保障数据转发性能。
- 网络流量全路径可视化,实时掌控网络行为与事件。
- 异常虚拟机按需隔离控制,限制出入流量,防止异常扩散。
课题共完成网络流量可视化、微分段结合业务访问控制(标签管理)、安全攻击防护、安全策略性能测试、架构可靠性验证、组件模块升级等 11 项测试。为信创云平台实行微分段安全策略提供了可行性参考。
在课题研究中,双方积极探索技术方案,实现统一运维平面下的业务安全控管。使用软件定义方式,通过 API Server 无缝配合,搭建管理平面、控制平面和数据平面组三层技术框架,支持信创云网络与安全微分段管理功能。
其中,管理平面提供 WEB UI 或 API 的访问方式、微分段的相关软件包部署管理与安全策略配置管理;控制平面通过一组由 3 个或 5 个控制器节点所组成的控制器集群,对虚拟化集群进行集中式管理,并将控制代理 Agent 部署在集群中的每个物理节点(Hypervisor)之上,以负责学习虚拟机信息和生成安全规则;数据平面通过 OpenFlow 实现基于 OVS (Open vSwitch) 的数据转发和策略控制,支持 L3 和 L4 层安全规则的灵活编排,以及对 TCP、UDP、ICMP 协议进行流量过滤。
此次荣获“最具前瞻价值奖”是对双方在信创场景探索中专业性和创新性的肯定,双方也将继续深耕于证券基金行业的信创转型领域,洞察行业信创转型需求,在存储协议替代、数据库一体机替代、存算分离等新场景下展开信创技术创新,为证券行业信创发展提供更多参考。
关于申万宏源证券
申万宏源证券有限公司(以下简称申万宏源证券)是由新中国第一家股份制证券公司——申银万国证券股份有限公司与国内资本市场第一家上市证券公司——宏源证券股份有限公司,于 2015 年合并组建而成。
截至 2023 年,申万宏源证券注册资本 535 亿元,是国家主权财富基金——中国投资有限责任公司的直管企业。公司营业网点遍布全国,公司及所属子公司共设有 54 家证券分公司和 7 家期货分公司,297 家证券营业部和 21 家期货营业部,在香港设有子公司,并设有伦敦、东京、新加坡、首尔等海外分支机构办事处。
申万宏源证券为企业集团、个人投资者、专业机构投资者、金融同业机构及政府客户提供以资本市场为核心的全产业链综合金融服务,拥有投资银行、财富管理、机构服务和交易、投资管理等全业务牌照,主营业务涵盖企业金融、个人金融、机构服务及交易、投资管理四大板块。
志凌海纳 SmartX 在信创
北京志凌海纳科技有限公司(以下简称 SmartX)成立于 2013 年,自成立之初即坚持自主研发而非基于开源的方式,从 0 开始编写分布式块存储代码,并以超融合架构为切入点,为客户提供现代化 IT 基础设施所需要的计算、存储、网络与安全、备份与恢复,以及管理等产品。
SmartX 可为客户提供融合部署和分离部署的两种信创落地方案,其中融合部署方案以超融合软件 SMTX OS 为核心,帮助客户实现虚拟化的信创转型,以及存储的信创和分布式云化转型;分离部署方案以分布式存储软件 SMTX ZBS 为核心,帮助客户实现存储的信创和分布式云化转型。
以上产品均已通过工业和信息化部电子第四研究院(赛西实验室)、工业和信息化部电子第五研究所(赛宝实验室)的产品与自研率检测,符合信创技术栈质量标准。同时,SmartX 是国内首批同时通过信通院可信云超融合面向云计算、云原生、信创三个场景评估的厂商。
截止目前,SmartX 已经助力交通银行、中信建投证券、陕西信合等多家金融机构搭建了自研、解耦、生产就绪的“轻量信创云底座”,承载关键生产与一般生产业务,总部署规模超过 2000 节点。
想了解更多 SmartX 在信创方面的实践,欢迎点击一键获取电子书: