一种动态部署安全能力的实现方法与流程

文档序号:12915794阅读:406来源:国知局
本发明涉及一种动态部署安全能力的实现方法,属于网络安全
技术领域

背景技术
:随着云计算业务的广泛发展,云安全业务也得到同步发展。云安全产品能力当前主要的部署形态有两种:1)硬件部署方案:直接旁路部署在云数据中心核心交换机或者串接在云数据中心出口网络处,重点实现针对整个云平台业务的安全防护。2)软件部署方案:将传统的安全能力软件化,并搭建一个服务器集群形成安全能力池化,重点针对云上租户业务提供安全防护。当前云安全部署方案中,无论是硬件还是软件方案,都很难实现完全自动化的动态弹性部署。当前云安全能力容量都是用户事先设置好的,需要云租户实现选择开通多大安全容量的业务,比如需要开通1gbps的虚拟防火墙业务等,如果流量超出开通的安全业务承载能力则会导致流量被丢弃。技术实现要素:针对现有技术中存在的技术问题,本发明的目的在于提供一种动态弹性部署安全能力的实现方法,可以根据用户的实际业务流量大小来进行弹性伸缩,同时可以实现用户业务流量自动引流。本发明的技术方案为:一种动态部署安全能力的实现方法,其步骤为:1)云网络的云安全中心创建一安全虚机,并加载安全能力的镜像到该安全虚机;所述安全虚机为运行安全业务的虚拟机;2)所述云安全中心将生成的路由策略发送给目标云租户网络的虚拟路由器,所述虚拟路由器根据该路由策略将相应的业务流量牵引到该安全虚机上;3)所述云安全中心获取该安全虚机的设定关键性能指标,当该安全虚机的若干关键性能指标达到预先设置的阈值,则创建一新的安全虚机并加载安全能力的镜像;当云网络中存在一个或多个安全虚机时,所述云安全中心选取一安全虚机作为主安全虚机;并将云网络中所有云租户网络中需安全防护的流量牵引到该主安全虚机;4)该主安全虚机根据流量的五元组,将流量分配给其他安全虚机并建立、维护一分流规则表;该分流规则表包括若干分流规则,每一分流规则包括一流量的五元组及处理该流量的安全虚机地址;5)所述云安全中心监控各安全虚机的设定关键性能指标,确定是否存在需要释放的安全虚机;如果存在待释放的安全虚机,则该主安全虚机将该待释放的安全虚机的地址从该分流规则表中去掉,并维持该分流规则表中已创建的分流规则,当待释放的安全虚机流连接数为0时释放该安全虚机,并删除该分流规则表中对应的分流规则。进一步的,确定是否存在需要释放的安全虚机的方法为:所述云安全中心监控各安全虚机的设定关键性能指标的指标值;对于处理同一目标云租户网络的流量的n台安全虚机,如果该n台安全虚机的每一关键性能指标均满足设定条件,则从该n台安全虚机中选取一安全虚机进行释放,且所选取的安全虚机非该主安全虚机;所述设定条件为:(c1+c2+……+cn)<(n-1)*m,m为设定的阈值,c1、c2、……cn分别为各安全虚机的同一关键性能指标的指标值。进一步的,该主安全虚机根据流量的五元组,将流量轮询分配给其他安全虚机。进一步的,该主安全虚机为所述云网络的云安全中心创建的第一个安全虚机。进一步的,所述云网络中设有一核心交换机,所述云网络中的各云租户网络通过该核心交换机与云网络中其他业务单元及外部的互联网相连。进一步的,所述关键性能指标包括cpu利用率、内存利用率及虚拟网卡占用率。本发明的有益效果在于:本发明通过安全虚机弹性扩充或释放的机制,实现了基于安全能力的性能监控的弹性伸缩方案。附图说明图1为本发明方案组网图。具体实施方式为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。如图1所示,在一个云网络中,存在多个云租户网络——vpc(虚拟私有云,virtualprivatecloud),每个vpc内部是一个虚拟的经典网络,包括虚拟路由器(vrouter)、虚拟交换机(vswitch)和虚拟主机(vm)。所有vpc通过云网络的核心交换机与云网络中其他业务单元及外部的互联网相连。动态部署云安全方案主要有两个核心功能组件:1)云安全中心:主要实现云安全能力的资源监控、云安全能力的弹性部署调度等。2)安全池:所有已创建或释放的安全虚机(sec,即运行安全业务的虚拟机)都会纳入安全池进行统一管控。总体方案关键处理流程包括以下几个方面:1)云安全中心依据业务流量动态部署安全能力;2)云安全中心给vrouter下发引流策略;3)vrouter将业务流量牵引到安全能力上进行处理。动态部署安全能力方案涉及的关键实如下:1)云安全中心初始会调用云平台接口创建一个安全虚机,并加载安全能力的镜像;安全能力包括虚拟防火墙、虚拟ips、虚拟waf、虚拟数据库审计、虚拟堡垒机等等。2)云安全中心调用vrouter的路由接口,将生成的策略路由下发给虚拟路由器,虚拟路由器根据路由策略将相应的业务流量牵引到安全虚机上;策略路由根据安全业务不同会有不同的策略,比如安全业务是防火墙,则策略路由需要将源ip或目的ip为虚拟服务器的流量牵引到安全虚机,也即确保虚拟服务器进出的流量都要进入安全虚机;如果安全业务为数据库审计,则策略路由需要将源ip或目的ip为数据库服务器的流量牵引到安全虚机;如果安全业务为waf,则策略路由需要将源ip或目的ip为web服务器的流量牵引到安全虚机。3)云安全中心通过snmp获取安全虚机的关键性能指标,包括cpu利用率、内存利用率及虚拟网卡占用率;4)如果安全虚机部分性能指标达到用户事先设置的阈值(如90%),则会调用云平台接口再创建一个安全虚机并加载安全能力的镜像。5)多台安全虚机之间的分流策略通过云安全中心给vrouter下发的路由规则来实现,实现方案为:假如当前有3台安全虚机(安全虚机1、安全虚机2、安全虚机3),云安全中心下发路由规则给虚拟路由器将所有vpc需要进行安全防护的流量牵引到安全虚机1,安全虚机1根据流量五元组(源ip地址、目的ip地址、源端口号、目的端口号、协议id)来判断流规则,不同五元组为不同的流。安全虚机1根据不同流的接收顺序,轮询给安全虚机2、安全虚机3分配一部分流量。安全虚机1需要维护下面这个分流规则表(其中下一跳地址为127.0.0.1表示本机,12.0.0.1表示安全虚机2的地址,12.0.0.2表示安全虚机3的地址):源ip地址目的ip地址源端口号目的端口号协议id下一跳地址10.0.0.111.0.0.11034580806127.0.0.110.0.0.211.0.0.22345623612.0.0.110.0.0.311.0.0.3456734561712.0.0.2本发明中,无论是一台还是多台安全虚机,所有安全流量都是牵引到安全虚机1作为主安全虚机。如果只有1台安全虚机,则安全虚机1自身对所有流量进行处理;如果有多台安全虚机,则安全虚机1会再进行分流策略。安全虚机1对于其处理的原业务流量会标记下一跳地址为自身(127.0.0.1),也即在新的安全虚机创建起来前已经存在的业务流量会继续维持。分流规则表的老化基于协议和超时两种机制来实现,协议老化是指监控到tcp等协议已经终止,则老化掉该条分流规则;超时老化是指在超时时间内依然没有收到报文的分流规则会自动老化,超时时间可以由用户设置,默认为3600s。6)如果云安全中心针对同一个云租户网络同时监控多个安全虚机的关键性能指标(即同一个vpc网络如果需要多台安全虚机来进行安全防护,则云安全中心需要监控这些安全虚机的性能指标),基于下面的实现方法来判断是否需要释放一个安全虚机:假如目前有n台安全虚机,并假如用户设置的阈值为m,每台安全虚机的cpu利用率分别为c1、c2、……cn,(c1+c2+……+cn)<(n-1)*m。如果针对每一个性能参数(cpu利用率、内存利用率、虚拟网卡占用率)都满足上述算法,则云安全中心会选择一台安全虚机进行释放。安全虚机释放方案:云安全中心选择安全虚机1之外的一台进行释放,选择规则为根据网卡利用率最低的一台。释放前,安全虚机1会将需要释放的这台安全虚机下一跳ip从分流规则表中去掉,安全虚机1不再创建下一跳ip为待释放的安全虚机的分流规则,但是已经创建的分流规则继续维持,直到待释放的安全虚机流连接数为0再释放安全虚机,同时清理掉分流规则。同时云安全中心会实时监控每一台安全虚机的流连接数,当这台被释放的安全虚机上的流连接数为0后,云安全中心将该安全虚机纳入安全池集中管理。以上实施仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。当前第1页12
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1