随着中国电信“云转数改”战略的提出,各省分公司亟需建立起一套异构融合的新4A系统,以打造统一的身份安全底座,实现集团“一张网、一朵云、一个系统、一套流程”。
电信运营商融合4A平台建设背景
根据工信部和集团公司4A平台建设要求,中国电信某省分公司针对运维域及IT域不同的业务场景和需求,建设了运维域和IT域两套4A平台,两套4A平台在运营期间为保障系统安全及运维安全发挥了重要作用。
随着数字强国战略的推进,传统网络安全和数字经济安全发展相结合的需求日益迫切。为满足这一需求,该省分公司以 “网是基础、云为核心、网随云动、云网一体”的思路不断探索实践,在夯实云网融合信息基础设施的同时,打破云网安全传统壁垒,满足“云改数转”云网融合要求,对云网基础设施安全纳管,实现云网运维安全一体化供给、一体化运营、一体化服务,实现省内融合4A平台的统一规划、统一建设、统一运维和统一管理,统筹规划需求,提升投资收益。
保旺达异构4A平台融合方案
综合考虑到该省分公司原有两套4A平台无论是从架构上、功能上、性能上都无法满足云网融合的需求,保旺达对原4A平台进行全面重构、深度融合,构建新一代云网安全运营管理体系,有效推进统一平台建设:
01
设计模式采用微服务架构
利用微服务架构提升平台柔性适配能力,实现平台安全能力快速开通、安全能力供给可配置、可调整、可编排,满足IT域对“4A平台的灵活性、高可用性、数据安全性”和运维域对“4A平台实现多种类网元管控、高并发、支持特色工具单点登录”的要求。
02
植入大量高可用性设计
融合后平台纳管用户和资源数大幅增加,对融合4A平台统一承载和集约运营能力都提出了更高的要求,融合4A平台进行了大量高可用性的设计,创新性采用多层冗余备用、性能实时监控、资源动态调度等技术提供可靠持续的4A服务。
03
搭载原子化安全能力
融合4A平台快速平稳割接方案
01
第一阶段:
制定周密的上线割接方案
02
第二阶段:
进行多轮割接演练
03
第三阶段:
制定应急预案
04
第四阶段:
按不同维度分步骤割接
依据割接方案按不同维度分步骤割接,按组织架构顺序:建设部门->省公司->13个地市公司;按业务架构顺序:运维域->IT域;按运维域网元设备顺序:城域网->新城网->Ipran->IDC/ISP->AC设备。
05
第五阶段:
提供有力割接后保障支撑
成立割接保障团队,由公司副总挂帅,产品经理、技术经理驻场,提供7*24小时保障服务,随时进行用户答疑工作并处理割接过程中出现的问题,为了推进割接进度,专门成立引流小组,通过短信、邮件、平台通知的方式引导用户使用融合4A平台。
融合4A平台建设成果
在保旺达的技术支撑下,中国电信某省分公司融合4A平台上线以来运行稳定,截至目前,已纳管140000+个资源、7000+个主账号,用户操作审计400万+/日,接入各类不同云网资源,包括5GC、Ipran、DCN网资源、公网资源、新城网、城域网、IDC/ISP、AC设备等各类资源。4A平台的各项性能均得到大幅提升:
➤➤对后端服务从业务维度和独立功能维度进行微服务化拆分,降低业务耦合、提升功能可扩展性;
➤➤通过资源批量登录、个性化脚本管理来简化资源访问过程和提升运维操作效率;
➤➤充分利用分布式缓存和智能负载算法对Tacacs+协议核心认证流程进行优化,从原4A系统50并发提升至1000+;
➤➤通过整合外部平台能力来拉通上下游数据流和业务流, 如:通过与统一工号、统一认证系统交互,实现统一身份管理和认证标准化;
➤➤通过与ITSM、SOC平台对接,自动化纳管全省资产;
➤➤通过程序账号管理、高危指令识别,将采控平台、运监系统的资源操作全部纳入4A管控。
融合4A平台建设亮点
01
基于动态信任评估的身份安全管控能力
02
基于AI+数据驱动的自适应审计能力
03
基于云原生架构的快速响应交付能力
融合4A基于云原生架构,通过DevOps实现高效协作、基于微服务提升灵活性和可维护性、支持设计态与运行态分离简化开发流程、全环节云原生部署实现动态资源和高效扩展。平台具备更高的灵活性、可扩展性和安全性,能够更好地应对不断变化的业务需求,同时降低运维成本和风险。
保旺达融合4A平台目前已经在多个运营商省分公司落地部署,具备应对不同身份安全需求场景的拓展能力。未来保旺达将继续致力于为客户构建统一的身份安全底座,提升客户整体身份安全防护能力。
