數字化時代背景下,通過金融科技創新重塑傳統服務和流程,切實服務實體經濟,已成為金融機構數字化轉型的重要方向。而云計算與信創作為數字“新基建”的重要組成部分,亦成為推動金融行業數字化轉型的關鍵力量。作為證監會批準設立的全國性大型綜合證券公司,中信建投證券(以下簡稱“中信建投”)積極響應國家金融數字化發展號召,全方位拓展云計算應用的深度和廣度,以云計算平臺建設為契機推動數據中心向可用性管理中心轉型。同時,鑒于金融業的業務特征和監管要求,中信建投以零信任安全理念為指導,建設基于信創的金融混合云平臺,不僅釋放云原生新技術在金融領域的應用能力,還提出切實可行的安全落地方案,嘗試提供關鍵業務上云面臨的數據安全等監管素材。
金融混合云建設面臨的關鍵挑戰
隨著“云化”成為一個不可逆的基礎設施演進趨勢,越來越多金融機構選擇將自己的IT資源和公有云基礎設施及服務集成,以實現計算資源的統一配置、擴展和集中管理。但由于證券行業的業務特性、強監管以及高服務質量要求,相對于傳統的混合云建設,面臨如下幾個挑戰。
1.技術挑戰:實現全棧信創改造的橫縱一體化發展。基于信息技術應用創新要求,金融行業解決關鍵技術“卡脖子”難題,完成全棧信創技術改造,且技術改造工作不能僅局限于自主可控虛擬化產品和信創裸機的替代層面,還需要完成云平臺的替換改造升級,實現橫向覆蓋;同時,也需要推動現有關鍵業務系統信創改造的縱深發展,完善關鍵業務的信創升級布局,更好保障客戶、市場、企業的安全與穩定。
2.平臺架構挑戰:高成熟度信創產品和方案稀缺/應對信創供應鏈保障不確定風險。建設金融信創全棧云平臺架構,還需綜合考慮現階段信創產品和方案的成熟度。目前信創行業處于飛速發展階段,但產品和服務能力仍需較長時間的市場實踐檢驗。市場上存在多條主流技術路線、多種軟硬件品牌,信創供應鏈保障也存在不確定風險。
3.安全合規挑戰:網絡安全“失守”、業務遷移不暢。網絡安全方面,當在混合云環境中引入相對開放的公有云或行業云環境,傳統的邊界安全模型將難以滿足現有基礎設施的安全要求。一是本身多租戶的云環境受攻擊面積和潛在的攻擊影響增大;二是行業云與私有云的交互連接安全相對脆弱。業務上云方面,混合云基礎設施技術棧不同,現有的企業安全網絡策略無法平滑遷移至云上或者在多朵云上互相遷移,難以對網絡流量進行整合、關聯分析并深度挖掘潛在的安全風險。監管方面,證券行業是強監管行業,基于信創架構混合云的整體方案設計需要充分考慮業務安全性,符合行業關鍵數據安全強監管要求。
4.運營挑戰:持續穩定的規模化運營能力是關鍵。金融混合云平臺在系統逐步試運行過程中,勢必面臨著從小規模業務上線發展到中大規模推廣,從簡單場景到復雜場景的逐步演變,且整個過程始終具備高水平運營服務能力。
金融混合云的建設思路
1.基于零信任理念設計系統架構。為突破上述挑戰,中信建投探索出基于自主可控芯片技術的全棧信創金融混合云解決方案。
解決方案基于全棧信創體系,其中混合云由行業云和私有云組成,行業云使用行業基礎設施云服務,私有云使用中信建投自建私有云資源。硬件方面,以“ARM、海光”硬件方案為主,同時兼顧了arm和x86架構;軟件方面,操作系統、中間件、數據庫等滿足信創要求,確保混合云全棧滿足信創技術標準要求。
為實現安全合規以及規模化運營,中信建投將零信任理念以“搭積木”的方式融合到整個云基礎設施內,構建安全虛擬化分層結構,解決了零信任訪問、零信任計算、零信任存儲、零信任傳輸四大核心問題。在系統整體設計中,零信任框架分為如下核心模塊。
(1)可信網絡。可信網絡覆蓋云內部通信及跨云通信場景,在物理網絡拓撲或VPC網絡拓撲之上,基于身份構建軟件定義的安全疊加網絡,提供應用互訪傳輸安全、應用訪問控制、動態安全鏈路維護等能力。
(2)可信計算環境。可信計算環境是對物理或虛擬設施的高度抽象化,通過構建可信計算環境向上支持應用與數據,橫跨信創混合云IaaS、PaaS平臺,以及信創桌面平臺。
(3)零信任應用代理與零信任數據交換代理。跨云業務互訪與數據交換,以及桌面側對云側資源的訪問則通過零信任應用(數據交換)代理來完成。云內部業務互訪與數據交換同時支持點對點模式與代理模式兩種模式。此外,代理模塊與可信網絡,可共同完成動態組網與動態隔離兩項能力,能夠以虛擬機、容器等虛擬化單位為節點動態地根據業務需要組成局部的計算網格,讓業務數據只在該網格之間流動而與其他網絡相互隔離。
(4)零信任策略中心。基于分布式架構,支持多地多中心,對全局混合云與桌面端進行安全監管與控制,結合安全運營中心,通過大數據和數據可視化技術輔助企業安全集中統一施加管控。基于AI的數據驅動安全技術能夠為數據安全縱深防御體系輔以自適應能力,能夠跟隨業務的發展而動態調整安全系統本身。
2.完成信創混合云構建。目前該解決方案已經在中信建投的業務場景進行了規模驗證,充分利用行業云彈性資源滿足業務發展的靈活性,賦能業務保障業務與數據安全,達到預期效果。
第一,方案針對網上交易、手機APP等互聯網應用的信創適配,完成從業務側到硬件層面的全棧信創升級,驗證了全棧信創的技術可行性,具備推廣性。
第二,方案借助模塊化的信創改造技術分層設計,包括國產芯片、操作系統、IaaS與PaaS層、中間件、安全虛擬化等分層獨立,不同層次松耦合,靈活組合,滿足業務系統復雜性要求,實現了關鍵軟硬件、關鍵技術的信創混合云計算方案,能夠支撐多條主流技術路線并行、多種軟硬件品牌混用的業務場景。
第三,在安全合規層面,基于零信任的防護體系通過分布式的云上應用身份認證系統,使得行業云上所有運行在零信任可信計算環境的應用程序均具有合法身份。行業云上應用對私有云內部業務系統的跨云訪問,均需通過跨云接入網關層進行細粒度持續的身份驗證與動態鑒權,實現了零信任訪問安全。同時,通過在行業云上構建可信疊加網絡,來實現數據在行業云內部,行業云與私有云之間交互的零信任傳輸安全,從而落地零信任微分段框架,更細粒度地實現東西向業務互訪流量的安全。
第四,統一的控制平面,覆蓋從系統初始化、策略管理、系統運營等全生命周期,可根據系統運行狀態,生成業務互訪關系的服務依賴拓撲分析,實現全向流量的可視化。
方案優勢及價值
基于零信任的信創混合云在上線后取得明顯成效,處理互聯網側的突發流量能力提升3~5倍,同等能力的投入成本降低50%以上。
1.搭建信創混合云平臺,充分釋放混合云能力。基于零信任的信創混合云計算方案,不僅提升了券商互聯網業務處理能力,打造全棧信創的金融核心計算能力,還充分利用超融合、分布式計算及大數據等技術,打破證券業務在私有云和基于公有云的行業云之間的割裂狀態,發揮行業云側的計算彈性、高性能計算、帶寬資源豐富等優勢,搭建出一體化的信創混合云計算平臺。
2.解決卡脖子難題,積極建設信創生態圈。此方案使用全棧信創技術充分解決了“卡脖子”問題。對網上交易、手機APP等面向互聯網的系統進行信創升級和適配,構建長期發展的擴展性。基于自主芯片技術、軟件技術的全棧信創解決方案,充分解耦品牌、服務商、技術等元素,在高安全、高性能的金融場景下促進多元化和生態化,打造滿足證券行業關鍵業務處理要求、全供應鏈合作共贏的信創生態圈。
3.構建零信任防護體系,增強證券服務競爭力。使用基于零信任網絡安全的云原生應用解決方案,提供全棧微分段、用戶級、設備級安全訪問能力,將數據保護、業務保護及資源保護作為整個云計算的安全標的,全面提升目前基于網絡安全的云服務防護體系。同時,軟件定義的安全計算環境,保障了行業公有云數據計算安全、存儲安全能力。這種基于零信任理念的體系,也為互聯網資源在傳統意義上的防護架構提供有效補充,為金融業務使用公有云提出新的參考。
中信建投提升混合云安全級別,滿足了金融行業對強安全的要求,從而釋放廣闊的互聯網計算、5G計算能力,加速金融證券市場有效性的收斂過程,增強國內券商在國際金融市場服務的核心競爭力。
4.擁抱強監管,行業使用混合云先行先試。中信建投在嘗試將混合云計算能力與滿足行業數據安全強監管要求相結合的同時,為混合云場景下的監管提供一手的技術標準、實踐方案、運行數據等素材。這種核心技術創新與科技監管體系同頻共振,拓展了基礎技術在金融領域的應用邊界。中信建投也在大數據、AI算法、云計算、安全零信任等技術與關鍵基礎設施全面融合構建全新信創生態圈,積極推進行業數字化轉型和資本市場金融科技創新發展。
GoUpSec
嘶吼專業版
信息安全與通信保密雜志社
關鍵基礎設施安全應急響應中心
安全牛
E安全
中國信通院CAICT
安全圈
安全牛
D1Net
商密君
中國信息安全
