文 / 中信建投证券信息技术部 李剑戈
数字化时代背景下,通过金融科技创新重塑传统服务和流程,切实服务实体经济,已成为金融机构数字化转型的重要方向。而云计算与信创作为数字“新基建”的重要组成部分,亦成为推动金融行业数字化转型的关键力量。作为证监会批准设立的全国性大型综合证券公司,中信建投证券(以下简称“中信建投”)积极响应国家金融数字化发展号召,全方位拓展云计算应用的深度和广度,以云计算平台建设为契机推动数据中心向可用性管理中心转型。同时,鉴于金融业的业务特征和监管要求,中信建投以零信任安全理念为指导,建设基于信创的金融混合云平台,不仅释放云原生新技术在金融领域的应用能力,还提出切实可行的安全落地方案,尝试提供关键业务上云面临的数据安全等监管素材。
金融混合云建设面临的关键挑战
随着“云化”成为一个不可逆的基础设施演进趋势,越来越多金融机构选择将自己的IT资源和公有云基础设施及服务集成,以实现计算资源的统一配置、扩展和集中管理。但由于证券行业的业务特性、强监管以及高服务质量要求,相对于传统的混合云建设,面临如下几个挑战。
1.技术挑战:实现全栈信创改造的横纵一体化发展。基于信息技术应用创新要求,金融行业解决关键技术“卡脖子”难题,完成全栈信创技术改造,且技术改造工作不能仅局限于自主可控虚拟化产品和信创裸机的替代层面,还需要完成云平台的替换改造升级,实现横向覆盖;同时,也需要推动现有关键业务系统信创改造的纵深发展,完善关键业务的信创升级布局,更好保障客户、市场、企业的安全与稳定。
2.平台架构挑战:高成熟度信创产品和方案稀缺/应对信创供应链保障不确定风险。建设金融信创全栈云平台架构,还需综合考虑现阶段信创产品和方案的成熟度。目前信创行业处于飞速发展阶段,但产品和服务能力仍需较长时间的市场实践检验。市场上存在多条主流技术路线、多种软硬件品牌,信创供应链保障也存在不确定风险。
3.安全合规挑战:网络安全“失守”、业务迁移不畅。网络安全方面,当在混合云环境中引入相对开放的公有云或行业云环境,传统的边界安全模型将难以满足现有基础设施的安全要求。一是本身多租户的云环境受攻击面积和潜在的攻击影响增大;二是行业云与私有云的交互连接安全相对脆弱。业务上云方面,混合云基础设施技术栈不同,现有的企业安全网络策略无法平滑迁移至云上或者在多朵云上互相迁移,难以对网络流量进行整合、关联分析并深度挖掘潜在的安全风险。监管方面,证券行业是强监管行业,基于信创架构混合云的整体方案设计需要充分考虑业务安全性,符合行业关键数据安全强监管要求。
4.运营挑战:持续稳定的规模化运营能力是关键。金融混合云平台在系统逐步试运行过程中,势必面临着从小规模业务上线发展到中大规模推广,从简单场景到复杂场景的逐步演变,且整个过程始终具备高水平运营服务能力。
金融混合云的建设思路
1.基于零信任理念设计系统架构。为突破上述挑战,中信建投探索出基于自主可控芯片技术的全栈信创金融混合云解决方案。
解决方案基于全栈信创体系,其中混合云由行业云和私有云组成,行业云使用行业基础设施云服务,私有云使用中信建投自建私有云资源。硬件方面,以“ARM、海光”硬件方案为主,同时兼顾了arm和x86架构;软件方面,操作系统、中间件、数据库等满足信创要求,确保混合云全栈满足信创技术标准要求。
为实现安全合规以及规模化运营,中信建投将零信任理念以“搭积木”的方式融合到整个云基础设施内,构建安全虚拟化分层结构,解决了零信任访问、零信任计算、零信任存储、零信任传输四大核心问题。在系统整体设计中,零信任框架分为如下核心模块。
(1)可信网络。可信网络覆盖云内部通信及跨云通信场景,在物理网络拓扑或VPC网络拓扑之上,基于身份构建软件定义的安全叠加网络,提供应用互访传输安全、应用访问控制、动态安全链路维护等能力。
(2)可信计算环境。可信计算环境是对物理或虚拟设施的高度抽象化,通过构建可信计算环境向上支持应用与数据,横跨信创混合云IaaS、PaaS平台,以及信创桌面平台。
(3)零信任应用代理与零信任数据交换代理。跨云业务互访与数据交换,以及桌面侧对云侧资源的访问则通过零信任应用(数据交换)代理来完成。云内部业务互访与数据交换同时支持点对点模式与代理模式两种模式。此外,代理模块与可信网络,可共同完成动态组网与动态隔离两项能力,能够以虚拟机、容器等虚拟化单位为节点动态地根据业务需要组成局部的计算网格,让业务数据只在该网格之间流动而与其他网络相互隔离。
(4)零信任策略中心。基于分布式架构,支持多地多中心,对全局混合云与桌面端进行安全监管与控制,结合安全运营中心,通过大数据和数据可视化技术辅助企业安全集中统一施加管控。基于AI的数据驱动安全技术能够为数据安全纵深防御体系辅以自适应能力,能够跟随业务的发展而动态调整安全系统本身。
2.完成信创混合云构建。目前该解决方案已经在中信建投的业务场景进行了规模验证,充分利用行业云弹性资源满足业务发展的灵活性,赋能业务保障业务与数据安全,达到预期效果。
第一,方案针对网上交易、手机APP等互联网应用的信创适配,完成从业务侧到硬件层面的全栈信创升级,验证了全栈信创的技术可行性,具备推广性。
第二,方案借助模块化的信创改造技术分层设计,包括国产芯片、操作系统、IaaS与PaaS层、中间件、安全虚拟化等分层独立,不同层次松耦合,灵活组合,满足业务系统复杂性要求,实现了关键软硬件、关键技术的信创混合云计算方案,能够支撑多条主流技术路线并行、多种软硬件品牌混用的业务场景。
第三,在安全合规层面,基于零信任的防护体系通过分布式的云上应用身份认证系统,使得行业云上所有运行在零信任可信计算环境的应用程序均具有合法身份。行业云上应用对私有云内部业务系统的跨云访问,均需通过跨云接入网关层进行细粒度持续的身份验证与动态鉴权,实现了零信任访问安全。同时,通过在行业云上构建可信叠加网络,来实现数据在行业云内部,行业云与私有云之间交互的零信任传输安全,从而落地零信任微分段框架,更细粒度地实现东西向业务互访流量的安全。
第四,统一的控制平面,覆盖从系统初始化、策略管理、系统运营等全生命周期,可根据系统运行状态,生成业务互访关系的服务依赖拓扑分析,实现全向流量的可视化。
方案优势及价值
基于零信任的信创混合云在上线后取得明显成效,处理互联网侧的突发流量能力提升3~5倍,同等能力的投入成本降低50%以上。
1.搭建信创混合云平台,充分释放混合云能力。基于零信任的信创混合云计算方案,不仅提升了券商互联网业务处理能力,打造全栈信创的金融核心计算能力,还充分利用超融合、分布式计算及大数据等技术,打破证券业务在私有云和基于公有云的行业云之间的割裂状态,发挥行业云侧的计算弹性、高性能计算、带宽资源丰富等优势,搭建出一体化的信创混合云计算平台。
2.解决卡脖子难题,积极建设信创生态圈。此方案使用全栈信创技术充分解决了“卡脖子”问题。对网上交易、手机APP等面向互联网的系统进行信创升级和适配,构建长期发展的扩展性。基于自主芯片技术、软件技术的全栈信创解决方案,充分解耦品牌、服务商、技术等元素,在高安全、高性能的金融场景下促进多元化和生态化,打造满足证券行业关键业务处理要求、全供应链合作共赢的信创生态圈。
3.构建零信任防护体系,增强证券服务竞争力。使用基于零信任网络安全的云原生应用解决方案,提供全栈微分段、用户级、设备级安全访问能力,将数据保护、业务保护及资源保护作为整个云计算的安全标的,全面提升目前基于网络安全的云服务防护体系。同时,软件定义的安全计算环境,保障了行业公有云数据计算安全、存储安全能力。这种基于零信任理念的体系,也为互联网资源在传统意义上的防护架构提供有效补充,为金融业务使用公有云提出新的参考。
中信建投提升混合云安全级别,满足了金融行业对强安全的要求,从而释放广阔的互联网计算、5G计算能力,加速金融证券市场有效性的收敛过程,增强国内券商在国际金融市场服务的核心竞争力。
4.拥抱强监管,行业使用混合云先行先试。中信建投在尝试将混合云计算能力与满足行业数据安全强监管要求相结合的同时,为混合云场景下的监管提供一手的技术标准、实践方案、运行数据等素材。这种核心技术创新与科技监管体系同频共振,拓展了基础技术在金融领域的应用边界。中信建投也在大数据、AI算法、云计算、安全零信任等技术与关键基础设施全面融合构建全新信创生态圈,积极推进行业数字化转型和资本市场金融科技创新发展。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。