一种云安全防护系统以及流量清洗方法与流程

本发明涉及流量清洗技术领域，尤其涉及的是基于云计算的流量清洗方法和云安全防护系统以及流量清洗方法。

背景技术：

全球云计算服务市场近年来保持高增长。据统计，2014年全球云计算服务市场规模达1528亿美元，增长率达17.9％，其中典型的基础设施即服务(英文全称：Infrastructure as a Service，英文简称：IaaS)、平台即服务(英文全称：Platform as a Service，英文简称：PaaS)、软件即服务(英文全称：Software as a Service，英文简称：SaaS)服务的市场规模达425亿美元。云服务增速是全球IT支出的4倍，预计在全球IT支出中的占比将从2013年的3.6％提高到2018年的6.6％。云计算服务正日益演变为新型的信息基础设施。

云计算是整个IT领域的一场变革，计算资源规模化、集约化使生产工作效率均得到了极大提升，然而随之带来的是保护企业资产、敏感数据等的新挑战，加拿大标准协会CSA于2月底公布的2016年12大云计算威胁中，数据泄露，弱身份信息或访问管理造成的威胁独占鳌头。造成这些威胁的背后主要因素是我们在使用云服务的时候，其对于租户来说是不透明的且租户缺少对于云服务的掌控力，与此同时传统安全解决方案又难以部署在云服务之前。因此能否解决这些安全难题，成为企业向云迁移的先决条件之一。

目前在云计算环境中的安全解决方案，大致分为二类，一类是云平台厂商提供基本的安全能力，解决平台层的安全问题，业务层的安全由租户自己保证。另一类是由传统安全厂商把硬件安全设备软件化，移植到云平台来保证云计算环境的安全，但是在云计算环境下，与传统网络不同，在云计算环境下，客户业务资源可弹性扩展，这样要求安全也需要弹性扩展，仅通过传统安全硬件设备软件化无法实现。在云计算环境下，相同物理主机可同时运行多个客户的业务数据，没有传统物理边界，安全边界变得模糊，虚机东西向流量控制与可视成为问题。在云计算环境下，为保证业务连续性，客户业务可在多个不同云平台商之间迁移，客户需求一个统一的、更简单的安全运维平台，而目前云安全方案无法满足。

技术实现要素：

本发明提供了一种云安全防护系统以及流量清洗方法，其较高的安全性，且能够实现客户业务资源的弹性扩展。

本发明实施例第一方面提供了一种云安全防护系统，包括云平台、云安全服务平台，所述云平台用于部署虚拟机，所述云安全服务平台用于在所述虚拟机上部署终端安全，所述云安全防护系统还包括安全资源池，所述安全资源池用于查看和/或管理所述终端安全。

所述安全资源池包括以下所示的至少一项组件：

虚拟下一代应用防火墙vNGAF、虚拟网上行为管理vAC以及虚拟SSL VPN。

所述安全资源池集中部署在多个云计算节点上，或所述安全资源池集所包括的至少一个所述组件部署在所述云计算节点上，所述云计算节点包括多个所述虚拟机。

所述安全资源池包括以下功能所示的至少一项：

用于向所述云平台提供南北向流量的安全防护能力、用于为所述终端安全提供用户管理的功能、用于为所述终端安全提供流量可视的功能、用于为所述终端安全提供安全可视的功能；

所述安全防护能力包括以下所示的至少一项：

网站的后门工具webshell防护、杀毒以及防篡改。

所述云安全服务平台包括以下功能所示的至少一项：

用于提供对云平台的管理、流量可视以及安全服务。

所述终端安全包括以下功能所示的至少一项：

用于为所述虚拟机提供网络的安全防护能力、用于为所述虚拟机提供主机的安全防护能力以及用于对所述云平台提供东西向流量的安全防护能力；

所述安全防护能力包括以下所示的至少一项：

网站的后门工具webshell防护、杀毒以及防篡改。

所述云安全服务平台包括用户交互系统、鉴权系统、安全组件系统、实时信息系统、日志系统以及告警系统；

所述用户交互系统用于提供控制面板和/或状态传输接口REST API，所述控制面板用于实现用户与云安全防护系统的交互，所述云安全服务平台通过所述REST API接口与所述云平台进行交互；

所述鉴权系统用于对用户身份进行验证；

所述安全组件系统用于与所述云平台对接，且所述安全组件系统用于管理所述云平台和所述终端安全；

所述实时信息系统用于将所述安全资源池和/或所述终端安全的实时信息反馈给用户；

所述日志系统用于获取所述安全资源池和/或所述终端安全的安全日志，所述日志系统还用于对所述安全日志进行分析以生成分析结果，所述日志系统还用于将所述分析结果向用户反馈；

所述告警系统用于向用户反馈警告信息。

所述鉴权系统还包括以下所示的功能的至少一项：

令牌管理、提供访问资源的服务目录、提供与用户身份对应的访问控制、服务端点的注册。

所述实时信息包括以下所示的至少一项：

流量、运行状态、保护状态、CPU使用率以及内存使用率。

所述分析结果以可视图表和/或安全报表的形式向用户反馈。

本发明实施例第二方面提供了一种流量清洗方法，基于本发明实施例第一方面所提供的云安全防护系统，所述流量清洗方法包括：

根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池，所述目标虚拟机的数目为至少一个，且所述目标虚拟机为受到分布式拒绝服务DDoS攻击的虚拟机；

通过所述安全资源池根据已配置的流量牵引规则确定与所述目标虚拟机对应的安全资源；

通过与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗以生成清洗后的流量；

通过所述安全资源池将所述清洗后的流量回注到所述目标虚拟机。

所述通过所述安全资源池根据已配置的流量牵引规则确定与所述目标虚拟机对应的安全资源之前，所述方法还包括：

控制所述云安全服务平台通过云平台获取所述目标虚拟机所属的目标租户信息；

控制所述云安全服务平台通过所述目标租户信息在所述安全资源池上创建所述安全资源，且所述安全资源与所述目标虚拟机对应；

控制所述云安全服务平台根据所述目标租户信息生成所述流量牵引规则，且所述流量牵引规则与所述目标虚拟机对应；

控制所述云安全服务平台将所述流量牵引规则发送给所述安全资源池。

所述根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池之前，所述方法还包括：

接收用户输入的引流方式配置信息；

根据所述引流方式配置信息配置所述引流方式。

所述与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗以生成清洗后的流量之后，所述方法还包括：

通过所述安全资源池生成流量清洗安全日志，所述流量清洗安全日志用于指示与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗的情况；

通过所述安全资源池将所述流量清洗安全日志发送给云安全服务平台CSSP。

本发明提供了一种云安全防护系统以及流量清洗方法，所述系统包括云平台、云安全服务平台，本实施例所示的云安全防护系统能够实现集中管理和安全可视，且能够统一控制所有安全组件，提供云平台安全状态展示功能，便于用户操作和管理。且本实施例所示的云安全防护系统具有较高的安全性，且能够实现客户业务资源的弹性扩展。

附图说明

图1为本发明所提供的云安全防护系统的一种实施例结构示意图；

图2为本发明所提供的安全资源池的一种设置方式结构示意图；

图3为本发明所提供的安全资源池的另一种设置方式结构示意图；

图4为本发明所提供的云安全服务平台的一种设置方式结构示意图；

图5为本发明所提供的流量清洗方法的一种实施例步骤流程图。

具体实施方式

以下首先结合图1所示对本发明实施例所提供的云安全防护系统的具体结构进行说明：

如图1所示，本发明实施例所示的云安全防护系统包括：

云安全服务平台102(英文全称：Cloud Security Service Platform，英文简称：CSSP)，所述云安全服务平台102用于在云环境中，提供对云平台各安全组件的统一管理、流量可视、安全服务等功能。

云平台103、用于部署虚拟机106。

具体的，可在云平台103上实现对虚拟机106的虚拟化技术，其中，虚拟化技术就是通过脱耦合把应用软件和在其上的操作系统与底层的物理设备分离开来。

本实施例对所述云平台103不做限定，本实施例以所述云平台为OpenStack云计算管理平台或威睿VMware公司的云平台或华为公司的云平台等。

本实施例所示的云安全服务平台102还用于在租户的虚拟机106上部署终端安全105(英文全称：Endpoint Security，英文简称：EPS)，EPS105用于为虚拟机106提供网络及主机等安全防护能力。

具体的，在本实施例中，所述EPS105可提供对云平台103东西向流量的防护，包括webshell防护、杀毒、防篡改等安全防护功能。

安全资源池104，本实施例中，安全资源池104提供对云平台103南北向流量的防护。

本实施例对所述安全资源池104所包括的安全组件不做限定，例如，所述安全资源池104包括安全组件下一代防火墙vNGAF、虚拟上网行为管理vAC或虚拟SSL VPN vSSL。

具体的，安全资源池104为EPS105提供统一的租户管理，流量可视，安全可视，安全服务等功能；租户通过安全资源池104可以查看和管理属于本租户的EPS105，以实现查看本租户的虚拟机的流量成分、安全状态等功能。

核心路由器101，用于实现数据的转发。

以下结合图2和图3所示对所述安全资源池104的设置方式进行说明：

一种如图2所示，安全资源池104的存在形式可以是集中部署在几台云计算节点201上，具体的，所述安全资源池104所包括的安全组件集中部署在几台云计算节点201上。

另一种如图3所示，安全资源池104的存在形式可以是分布云平台的各个云计算节点301上，具体的，所述安全资源池104所包括的安全组件分别分布在所述云计算节点301上。

具体的，以下结合图4所示对云安全服务平台CSSP的具体结构进行示例性说明。

本实施例所示的所述云安全服务平台CSSP包括：

用户交互系统401、鉴权系统402、安全组件系统403、实时信息系统404、日志系统405、告警系统406。

具体的，所述用户交互系统401提供Web访问的控制面板DashBoard和/或REST API接口。

具体的，所述控制面板提供租户登录管理安全组件，租户通过所述看着面板能够实现的功能包括但不限于查看安全日志，系统配置等。

具体的，REST(英文全称：REpresentational State Transfer，中文全称：状态传输)；

所述REST API接口提供给第三方系统做二次开发和集成用。

所述鉴权系统402主要负责的功能包括但不限于用户的身份认证、令牌管理、提供访问资源的服务目录，以及基于用户角色的访问控制等功能。

具体的，所述鉴权系统402可检测用户名以及用户登录密码是否正常，令牌的颁发，服务端点的注册，以及该用户是否具有访问特定资源的权限等，都由所述鉴权系统402完成。

所述安全组件系统403主要负责与OpenStack、VMware、vNGAF、EPS的对接，提供对云平台和安全组件的管理功能，例如创建vNGAF、创建EPS等。

具体的，所述安全组件系统403中设置有云平台API，以使所述安全组件系统403通过所述云平台API与所述云平台进行数据交互。

所述安全组件系统403中设置有vNGAF API，以使所述安全组件系统403通过所述vNGAF API与所述安全资源进行数据交互。

所述安全组件系统403中设置有EPS API，以使所述安全组件系统403通过所述EPS API与所述部署有EPS的虚拟机进行数据交互。

所述实时信息系统404负责从vNGAF、EPS等安全组件中收集实时的状态信息反馈给租户，比如：流量、运行状态、保护状态、CPU使用率、内存使用率等信息。

所述日志系统405负责从vNGAF、EPS等安全组件中收集安全日志，并对安全日志进行综合分析，产出相关的可视图表或者产出安全报表反馈给租户。

所述告警系统406负责向租户发送安全告警、系统异常告警等，包括但不限于邮件告警、短信告警、微信告警等。

采用本实施例所示的云安全防护系统的有益效果在于：

本实施例所提供的云安全防护系统能够实现多种功能，例如流量清洗，且包括多层流量的清洗，例如防火墙WAF流量清洗、入侵防御系统IPS流量清洗、安全网关UTM流量清洗等；也包括南北流量和东西流量的清洗等。

本实施例所示的云安全防护系统还能够实现安全能力的扩展，即本实施例所示的云安全防护系统支持多种安全组件，包括下一代防火墙vNGAF、安全行为控制vAC、数据安全加密vSSL、端点安全EPS WebShell防护、防篡改以及杀毒等。

本实施例所示的云安全防护系统还能够实现集中管理和安全可视，且CSSP还能够统一控制所有安全组件，提供云平台安全状态展示等功能，从而便于用户操作和管理。

本实施例所示的云安全防护系统还能够实现多租户管理功能，从而实现租户安全资源自管理，以使云安全防护系统可控制，易维护。

可选的，以下对本发明实施例所提供的云安全防护系统实现流量清洗的过程，进行示例性说明：

本实施例所示的流量清洗的方法基于上述实施例所示的云安全防护系统，本实施例对所述云安全防护系统的具体结构不做赘述。

以下结合图5所示对本实施例所提供的流量清洗方法进行说明：

步骤501、所述核心路由器接收用户输入的引流方式配置信息。

在需要进行流量清洗时，用户可通过所述核心路由器输入引流方式配置信息，所述引流方式配置信息用于指示所述核心路由器将需要清洗的流量牵引至所述安全资源池。

本实施例所示的所述引流方式配置信息可为用于配置策略路由的信息或其他能够实现引流的配置信息。

步骤502、所述核心路由器根据所述引流方式配置信息配置引流方式。

所述核心路由器在接收到用户输入的所述引流方式配置信息后，即可配置引流方式，以使所述核心路由器能够根据该引流方式对虚拟机的流量进行牵引。

具体的，本实施例所示的核心路由器配置引流方式的具体过程可为，所述核心路由器根据用户输入的所述引流方式配置信息更新所述核心路由器的路由表项以实现引流方式的配置。

步骤503、所述核心路由器根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池。

本实施例中，所述目标虚拟机的数目为至少一个，且所述目标虚拟机为受到分布式拒绝服务DDoS攻击的虚拟机，即本实施例所示的所述目标虚拟机为需要进行流量清洗的虚拟机。

具体的，本实施例所示的目标虚拟机上安装有终端安全EPS客户端，所述目标虚拟机的EPS客户端接入到云安全服务平台CSSP。

步骤504、所述云安全服务平台CSSP通过云平台获取所述目标虚拟机所属的目标租户信息。

具体的，本实施例所示的所述云安全服务平台CSSP通过所述云安全服务平台CSSP的接口REST API与云平台进行交互，从而使得所述云安全服务平台CSSP能够获取到云平台的目标租户信息。

具体的，所述目标租户信息为需要进行流量清洗的租户信息。

需明确的是，本实施例所示的步骤504与步骤501和步骤503之间并无执行时序先后的限定。

步骤505、所述云安全服务平台CSSP通过所述目标租户信息在所述安全资源池上创建安全资源。

具体的，所述云安全服务平台CSSP所创建的所述安全资源与所述目标虚拟机对应。

本实施例所示的所述安全资源池能够虚拟机的流量进行清洗。

步骤506、所述云安全服务平台CSSP根据所述目标租户信息生成流量牵引规则。

本实施例所示的所述流量牵引规则与所述目标虚拟机对应。

所述流量牵引规则用于指示与所述目标虚拟机对应的安全资源。

步骤507、所述云安全服务平台CSSP将所述流量牵引规则发送给所述安全资源池。

步骤508、所述安全资源池根据已配置的所述流量牵引规则确定与所述目标虚拟机对应的安全资源。

本实施例中，在所述安全资源池根据所述流量牵引规则确定与所述目标虚拟机对应的所述安全资源。

本实施例对所述流量牵引规则不做限定，只要所述安全资源池根据所述流量牵引规则能够确定与所述目标虚拟机对应的安全资源。

步骤509、与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗以生成清洗后的流量。

具体的，所述安全资源能够对与所述安全资源对应的虚拟机的流量进行攻击报文过滤，从而精确检测并阻断各种网络层和应用层的分布式拒绝服务DDoS和未知恶意流量。

所述安全资源支持丰富的攻击防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。

步骤510、所述安全资源池将所述清洗后的流量回注到所述目标虚拟机。

具体的，在进行流量回注的过程中，所述安全资源池和与所述核心路由器之间建立用于传输流量的隧道，在所述安全资源池完成对虚拟机的流量进行清洗后，所述安全资源池即可通过已建立的隧道将清洗后的流量发送给所述核心路由器，所述核心路由器即可将清洗后的流量转发给虚拟机。

需明确的是，本实施例对流量回注的说明为可选的示例，不做限定，只要所述安全资源池能够将清洗后的流量发送给所述目标虚拟机即可，具体方式不做限定。

步骤511、所述安全资源池生成流量清洗安全日志。

本实施例所示的所述流量清洗安全日志用于指示与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗的情况。

步骤512、所述安全资源池将所述流量清洗安全日志发送给云安全服务平台CSSP。

所述云安全服务平台CSSP即可显示所述流量清洗安全日志，以使用户掌握所述目标虚拟机的流量进行清洗的情况。

采用本实施例所示的流量清洗方法的有益效果在于：

能够将所有的云计算环境下的安全功能软件化并且资源化，并提供对安全资源的统一管理，采用本实施例所示的流量清洗方法，核心路由器能够根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池，与所述目标虚拟机对应的安全资源能够对目标虚拟机的流量进行清洗以生成清洗后的流量，且所述安全资源池还可将清洗后的流量回注到目标虚拟机，可见，采用本实施例所示的流量清洗方法能够有效的对虚拟机发生攻击的流量进行清洗，而且当业务需求变化时，仅通过引流方式的配置以及流量牵引规则的配置更新即可，不必重新进行网络配置、部署及更换硬件设备，从而简单、灵活地实现了对虚拟机流量的清洗。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。