密码服务平台建设方案
一、方案组成
如上图所示,佰倬密码服务平台建设方案主要特色为,充分利用业务计算区自身的计算资源 (租户应用系统内主机或虚拟机的算力),通过分布式部署密码模块客户端的方式,将密码资源分散到整个业务计算区。
佰倬密码服务平台建设方案由4部分组成:
1)密码服务平台(含密码模块服务端):对密码服务区设备进行统一管理,对密码模块客户端进行统一管理,对租户系统的密码应用进行集中配置和监控。
2)国密SSLVPN:对访问政务外网内应用系统的通信通道进行机密性及完整性保护。
3)身份认证系统:对对访问政务外网内应用系统的用户进行身份鉴别。
4)密码模块客户端:对政务外网内应用系统的数据存储进行机密性及完整性保护。
二、方案优势
目前常见的云密码资源池方案普遍采取堆砌硬件的方式,然后再进行池化和虚拟化,如下图:
这类方案本质上都是外置加解密,存在多个痛点:
1)需要用户应用系统做接口适配改造。
2)存量数据加密转换困难,难以保证用户业务连续性。
3)仅应用层做接口适配开发的话,应用层能获取数据明文,但数据库等中间件加载的数据仍为密文,数据库的数据检索和结构化查询能力被破坏,从而导致应用系统功能受限。
4)加解密性能受外置的硬件资源影响,从而存在并发性性能瓶颈。
5)加解密性能受云平台内部东西向网络负载影响,而云环境下部署的各种应用系统采用微服务架构的比例越来越大,云平台本身的东西向网络数据压力也在持续增长。
和传统方案相比,佰倬密码服务平台建设方案具备如下优势:
采用服务端/客户端的分布式部署方式,加解密运算分散到客户端且下沉至操作系统内核,实现云原生、内置式的透明加解密,用户应用免改造的同时,也解决了常见方案的各种痛点。
可高效满足应用系统的密评需求,可排除所有高风险项。
使用的产品功能多,覆盖的需求面广,系统架构先进简洁,性能优势明显。
在建设成本方面能够大幅降低一次性投入,仅较少投入即可形成服务能力。之后可按需灵活动态扩容。
