一种用于混合云的虚拟机管控方法

一种用于混合云的虚拟机管控方法
【专利摘要】本发明公开了一种用于混合云的虚拟机管控方法，针对混合云中的公有云虚拟机访问私有云时的安全问题，提出了一种支持动态访问控制策略的管控方法。通过在公用云虚拟机内部安装监控代理，动态地将虚拟机状态发送给的混合云管理平台进行安全风险分析，后者根据分析结果生成相应的访问控制策略，并下发至私有云网关，私有云网关执行策略，从而实现对公有云虚拟机的动态管控。
【专利说明】一种用于混合云的虚拟机管控方法

【技术领域】
[0001]本发明涉及一种计算机云的虚拟机管控方法，尤其涉及针对混合云模式下公有云中的虚拟机对私有云的安全访问控制。

【背景技术】
[0002]随着云计算技术的应用推广，混合云模式逐渐成企业信息化的重要IT战略。混合云是私有云，公有云，社区云之外的一种计算资源部署模式。其特点是云环境是由多种部署模式云构成的。其典型的构成模式是私有云环境扩展到公有云环境中。如图1所示，私有云网关和公有云网关之间是互联网。混合云管理平台同时管理私有云，私有云网关及用户租用的公有云虚拟机。
[0003]由于公有云中的虚拟机面临被篡改，病毒，木马等风险，这些受到攻击的虚拟机可能成为攻击者访问私有云的跳板，非法访问私有云内部资源，甚至入侵私有云环境。因此，有必要对公有云中的虚拟机进行严格的访问控制管理。
[0004]目前还没有专门针对混合云中公有云虚拟机访问私有云的安全管控方法。比较相关的方案是使用私有云网关来实施访问控制。私有云网关具有防火墙，防病毒，防入侵等功能，由于私有云网关上的访问控制策略是预先设置的，即静态的。当虚拟机的安全状态变化时，私有云网关并不能感知这些变化，给私有云环境带来的安全风险。


【发明内容】

[0005]本发明的目的在于:发明一种用于混合云环境下的虚拟机管控方，通过在公用云虚拟机内部安装监控代理，动态地将虚拟机状态发送给的混合云管理平台进行安全风险分析，后者根据分析结果生成相应的访问控制策略，并下发至私有云网关，私有云网关执行策略，从而实现对公有云虚拟机的动态管控。
[0006]本发明是这样实现的:一种混合云的虚拟机管控方法，包括如下步骤:
[0007]步骤一初始化:部署监控代理至公有云虚拟机中；混合云管理平台根据所述公有云虚拟机信息创建初始访问控制策略；混合云管理平台部署初始访问控制策略至私有云网关。具体步骤如下:
[0008]1、通过混合云管理平台登录公有云虚拟机；
[0009]2、通过所述公有云虚拟机命令行接口安装监控代理；
[0010]3、手动启动代理或修改虚拟机配置以支持监控代理随虚拟机一起启动；
[0011]4、注册所述公有云虚拟机信息到混合云管理平台中；
[0012]5、通过混合云管理平台根据所述公有云虚拟机信息创建相应的初始访问控制策略；
[0013]6、通过混合云管理平台部署所述公有云虚拟机的初始访问控制策略至私有云网关。
[0014]所述的访问控制策略包括三种类型:阻塞策略，所述公有云虚拟机在访问私有云时被阻止；放行策略，所述公有云虚拟机在访问私有云时被放行；延迟策略，所述公有云虚拟机在一定时间内不能访问私有云。
[0015]步骤二虚拟机状态收集:监控代理收集公有云虚拟机的状态信息；监控代理与混合云管理平台建立安全连接；监控代理通过安全连接将虚拟机状态信息发送给混合云管理平台。具体步骤如下:
[0016]1、所述监控代理收集所述公有云虚拟机的状态信息，并以XML文件格式临时存储在本地；
[0017]2、所述监控代理与所述混合云管理平台建立安全连接；
[0018]3、所述监控代理通过安全连接将XML文件发送给所述混合云管理平台；
[0019]4、所述监控代理删除本地XML文件。
[0020]步骤三虚拟机访问控制决策:混合云管理平台对虚拟机状态信息进行安全风险分析；混合云管理平台根据风险分析结果生成相应的访问控制策略；混合云管理平台部署新的虚拟机访问控制策略至私有云网关。具体步骤如下:
[0021]1、所述混合云管理平台中的安全风险管理引擎根据所述公有云虚拟机的状态信息XML文件对虚拟机进行安全风险分析，并输出分析结果；
[0022]2、所述混合云管理平台中的安全策略管理引擎根据安全风险分析结果生成针对所述公有云虚拟机的访问控制策略；
[0023]3、通过所述混合云管理平台发送所述虚拟机访问控制策略至所述私有云网关。
[0024]步骤四访问控制策略执行:私有云网关更新模块更新虚拟机访问控制策略；当出现来自所述公有云虚拟机的链接时，私有云网关执行更新后的虚拟机访问控制策略。具体步骤如下:
[0025]1、所述私有云网关更新针对所述公有云虚拟机的访问控制策略库信息；
[0026]2、所述私有云网关监控来自公有云的虚拟机的数据包；
[0027]3、当出现来自所述公有云虚拟机的数据包时，私有云网关执行更新后的虚拟机访问控制策略。
[0028]该步骤所述访问控制策略执行的具体流程如下:
[0029]1、提取出所述公有云的虚拟机特征；
[0030]2、根据虚拟机特征查询所述私有云网关本地访问控制策略库；
[0031 ] 3、当匹配到所述访问控制策略记录时，执行相应的访问控制。
[0032]如果是阻塞策略，则所述公有云虚拟机的数据包被丢弃；如果是放行策略，则所述公有云虚拟机的数据包被转发至私有云；如果是延迟策略，则判断是否所述公有云虚拟机的数据包的是否在延迟时间间隔内，如果是则所述公有云虚拟机的数据包被丢弃；否则被转发至私有云。
[0033]相较于现有技术本发明具有的积极效果在于:本发明解决了混合云环境下管理和控制公有云的虚拟机安全访问私有云的问题。支持公有云虚拟机的动态访问控制:所提出的访问控制策略可以根据虚拟机的安全状态进行动态调整，适应公有云环境下虚拟机的安全性变化。支持不同公有云环境:因为监控代理只依赖于具体的虚拟机上的操作系统环境，不依赖底层公有云虚拟化技术；实现可行性强。本发明中只需要在每个虚拟机内部安装一个监控代理即可，不增加其他组件。因此技术实现的可行性强。

【专利附图】

【附图说明】
[0034]图1是现有技术中典型混合云结构连接示意图。
[0035]图2是本发明公开的一种混合云的虚拟机管控方法的处理流程图。
[0036]图3是本发明公开的一种混合云虚拟机管控方法的应用场景连接示意图。

【具体实施方式】
[0037]本发明为混合云环境下的公有云虚拟机提供了一种动态访问控制方法。为了更好的说明本发明中的方法及技术，本发明给出了一些具体图例。需要说明的是，这里给出的图例只是本发明的一种实例，对于本领域技术人员，可以根据这些实例方便地获得其他实例。下面结合本发明中的附图，对本发明中的技术方案进行清楚，完整地描述。
[0038]本发明公开了一种用于混合云的虚拟机管控方法的处理流程如图2所示:
[0039]步骤一:初始化
[0040]部署监控代理至所述公有云虚拟机中；
[0041]混合云管理平台根据公有云虚拟机信息创建初始访问控制策略；
[0042]混合云管理平台部署初始访问控制策略至私有云网关；
[0043]该步骤中，所述混合云管理平台是一种信息管理系统，主要功能包括云服务管理，安全管理，云资源管理等。其中安全管理又包括设施监控，安全策略管理，安全风险管理，身份认证管理等功能；
[0044]所述监控代理是一个具有收集虚拟机内部状态信息的程序，如操作系统日志信息，关键组件完整性信息等；监控代理具有一定的自保护功能，运行在虚拟机的内核态，可随虚拟机启动而启动，也可以手动运行或停止。
[0045]所述私有云网关是私有云边界的安全设备，如防火墙。
[0046]混合云管理平台通过私有云网关专用的管理端口下发所述虚拟机的访问控制策略。
[0047]所述公有云虚拟机信息包括虚拟机标记ID，虚拟机IP，虚拟机MAC ；
[0048]所述虚拟机初始访问控制策略包括三种类型:
[0049]阻塞策略，则所述虚拟机访问私有云的连接被阻止；
[0050]放行策略，则所述虚拟机访问私有云的连接被放行；
[0051]延迟策略，则所述虚拟机访问私有云的在一定时间内被拒绝；
[0052]步骤二:虚拟机状态收集
[0053]监控代理收集公有云虚拟机的状态信息；
[0054]监控代理与混合云管理平台中的安全检测模块建立连接；
[0055]监控代理通过安全连接将虚拟机状态信息发送给混合云管理平台；
[0056]该步骤中，监控代理启动后，监控代理收集虚拟机状态信息。在一定时间间隔后，监控代理与混合云管理平台的安全检测模块建立加密连接；然而地将收集虚拟机状态信息以XML文件发送给混合云管理平台；
[0057]步骤三:虚拟机访问控制决策
[0058]混合云管理平台对虚拟机状态信息进行安全风险分析；
[0059]混合云管理平台根据风险分析结果生成相应的访问控制策略；
[0060]混合云管理平台部署新的虚拟机访问控制策略至私有云网关；
[0061]该步骤中，混合云安全管理平台对虚拟机状态的安全风险分析是根据一定的安全检测方法执行的。如果安全风险分析结果发现虚拟机存在安全风险或者安全风险已撤销，则混合云安全管理平台会自动化生成针对虚拟机的访问控制策略；然后由程序自动地通过私有云网关管理接口下发至私有云网关；
[0062]当然，管理员也可以手动地通过混合云管理平台创建或修改虚拟机防火控制策略，并下发给私有z?网关；
[0063]步骤四:访问控制策略执行
[0064]私有云网关更新模块更新虚拟机访问控制策略；
[0065]当出现来自所述公有云虚拟机的链接时，私有云网关执行更新后的虚拟机访问控制策略；当收到所述虚拟机的私有云连接请求时执行访问控制；执行过程和传统的访问控制过程类似，包括提取请求服务的特征信息，并根据特征信息查询本体访问控制策略库；根据访问策略执行相应的处理；
[0066]该步骤中，私有云网关收到虚拟机的访问控制策略后，先更新本地策略库；在更新本地策略库前，先查询是否已经存在，如果存在则不需要更新；否则按照本地策略库规则存储；策略库可以采用数据库来实现；
[0067]私有云网关分析流经的数据包信息，如果发现来自所述虚拟机的数据包时，则查询本地访问控制策略库。如果找到对应的策略则根据对应的策略执行访问控制。为降低频繁访问本地访问控制策略库，可以对虚拟机的访问控制处理结果进行缓存，这样可以通过访问缓存就能确定当前连接访问的处理方式。
[0068]与所公开的混合云虚拟机管控方法相对应，如图3所示的本发明公开了一种混合云的虚拟机管控方法的应用场景连接示意图。
[0069]混合云环境包含混合云管理平台，私有云，私有云网关，公有云网关及公有云，公有云虚拟机，公有云虚拟机。其中，公有云虚拟机是混合云用户租用的虚拟机，其内部安装有监控代理。
[0070]通过上述部署，混合云管理平台可以实现对私有云和公有云虚拟机的统一管理；同时，公有云虚拟机如果出现关键组件被篡改、恶意代码入侵等情况，可以通过该虚拟机中的监控代理将安全状态变化相关联的信息(如组件完整性计算值，日志记录)发送给混合云管理平台。混合云管理平台利用其风险管理引擎判决公有云虚拟机是否处于安全风险状态，并根据风险分析结果动态创建针对该虚拟机的访问控制策略，然而部署到私有云网关上，从而实现对公有云虚拟机的动态访问控制。
【权利要求】
1.一种混合云的虚拟机管控方法，其特征在于:所述方法包括如下步骤: 步骤一:初始化 部署监控代理至公有云虚拟机中； 混合云管理平台根据所述公有云虚拟机信息创建初始访问控制策略； 混合云管理平台部署初始访问控制策略至私有云网关； 步骤二:虚拟机状态收集 监控代理收集公有云虚拟机的状态信息； 监控代理与混合云管理平台建立安全连接； 监控代理通过安全连接将虚拟机状态信息发送给混合云管理平台； 步骤三:虚拟机访问控制决策 混合云管理平台对虚拟机状态信息进行安全风险分析； 混合云管理平台根据风险分析结果生成相应的访问控制策略； 混合云管理平台部署所述虚拟机访问控制策略至私有云网关； 步骤四:访问控制策略执行 私有云网关更新模块更新虚拟机访问控制策略； 当出现来自所述公有云虚拟机的链接时，私有云网关执行更新后的虚拟机访问控制策略。
2.根据权利I所述的管控方法，其特征在于:所述步骤一的具体流程如下: ①通过混合云管理平台登录公有云虚拟机； ②通过所述公有云虚拟机命令行接口安装监控代理； ③手动启动代理或修改虚拟机配置以支持监控代理随虚拟机一起启动； ④注册所述公有云虚拟机信息到混合云管理平台中； ⑤通过混合云管理平台根据所述公有云虚拟机信息创建相应的初始访问控制策略； ⑥通过混合云管理平台部署所述公有云虚拟机的初始访问控制策略至私有云网关。
3.根据权利I或2所述的步骤中，其特征在于:所述的访问控制策略包括三种类型: 阻塞策略，所述公有云虚拟机在访问私有云时被阻止； 放行策略，所述公有云虚拟机在访问私有云时被放行； 延迟策略，所述公有云虚拟机在一定时间内不能访问私有云。
4.根据权利I所述的管控方法，其特征在于，所述步骤二的具体流程如下: ①所述监控代理收集所述公有云虚拟机的状态信息，并以XML文件格式临时存储在本地； ②所述监控代理与所述混合云管理平台建立安全连接； ③所述监控代理通过安全连接将XML文件发送给所述混合云管理平台； ④所述监控代理删除本地XML文件。
5.根据权利I所述的管控方法，其特征在于:所述步骤三的具体流程如下: ①所述混合云管理平台中的安全风险管理引擎根据所述公有云虚拟机的状态信息XML文件对虚拟机进行安全风险分析，并输出分析结果； ②所述混合云管理平台中的安全策略管理引擎根据安全风险分析结果生成针对所述公有云虚拟机的访问控制策略； ③通过所述混合云管理平台发送所述虚拟机访问控制策略至所述私有云网关。
6.根据权利I所述的管控方法，其特征在于:所述步骤四具体流程如下: ①所述私有云网关更新针对所述公有云虚拟机的访问控制策略库信息； ②所述私有云网关监控来自公有云的虚拟机的数据包； ③当出现来自所述公有云虚拟机的数据包时，私有云网关执行更新后的虚拟机访问控制策略。
7.根据权利6所述步骤四流程，其特征在于:所述访问控制策略执行的具体流程如下: ①提取出所述公有云的虚拟机特征； ②根据虚拟机特征查询所述私有云网关本地访问控制策略库； ③当匹配到所述访问控制策略记录时，执行相应的访问控制。 如果是阻塞策略，则所述公有云虚拟机的数据包被丢弃； 如果是放行策略，则所述公有云虚拟机的数据包被转发至私有云； 如果是延迟策略，则判断是否所述公有云虚拟机的数据包的是否在延迟时间间隔内，如果是则所述公有云虚拟机的数据包被丢弃；否则被转发至私有云。
【文档编号】H04L29/06GK104270467SQ201410571654
【公开日】2015年1月7日 申请日期:2014年10月24日 优先权日:2014年10月24日
【发明者】冯斌, 赵铭, 孙强强, 丘惠军, 陈昊, 何子龙, 刘忠魁 申请人:冯斌, 赵铭, 孙强强