一种云操作系统中提供安全即服务的系统和方法
【技术领域】
[0001]本发明涉及云操作系统技术领域,尤指一种云操作系统中提供安全即服务的系统和方法。
【背景技术】
[0002]云计算逐渐被行业认可,基础设施即服务、平台即服务、软件即服务都已进行商用阶段,其中基础设施即服务(IaaS,Infrastructure as a Service)产品已经较为成熟的应用于各云数据中心。消费者通过Internet可以从完善的计算机基础设施获得服务。Internet上其他类型的服务包括平台即服务(Platform as a Service,PaaS)和软件即服务(Software as a Service,SaaS)。PaaS提供了用户可以访问的完整或部分的应用程序开发,SaaS则提供了完整的可直接使用的应用程序。
[0003]但是,云计算领域最重要的云安全,特别是安全即服务,还处于理论研究阶段。云安全发展的滞后,大大影响了云用户对于云计算的信心,也延后了云产业的发展。
【发明内容】
[0004]为了解决上述技术问题,本发明提供了一种云操作系统中提供安全即服务的系统和方法,能够为云操作系统中的虚拟机提供全方位及时的安全保护,避免传统安全防护模式下安全特征更新造成的计算节点的网络风暴。
[0005]为了达到本发明目的,本发明提供了一种云操作系统中提供安全即服务的系统,包括:安全资源池,更新节点和安全终端代理,其中,安全资源池,用于通过计算节点上的安全程序集中安全资源,为虚拟机提供安全服务;更新节点,用于链接安全更新库,并对安全资源池的安全资源进行更新;安全终端代理,用于在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。
[0006]进一步地,所述安全服务以安全规则的形式提供,安全规则包括下面的一种或几种:防病毒、防火墙、DP1、完整性检测、防恶意软件、漏洞扫描、日志审计。
[0007]进一步地,所述安全资源池按操作系统划分安全资源子池。
[0008]进一步地,所述安全终端代理通过调用安全资源池的接口获取安全资源。
[0009]本发明还提供了一种云操作系统中提供安全即服务的方法,其特征在于,包括:在云操作系统中的计算节点上安装安全程序,多个计算节点的安全程序集中安全资源形成安全资源池;更新节点链接安全更新库,且安全资源池与更新节点相连,更新安全资源池的安全资源;安全终端代理在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。
[0010]进一步地,所述安全服务以安全规则的形式提供,安全规则包括下面的一种或几种:防病毒、防火墙、DP1、完整性检测、防恶意软件、漏洞扫描、日志审计。
[0011]进一步地,所述安全终端代理通过调用安全资源池的接口获取安全资源。
[0012]与现有技术相比,本发明云操作系统中的计算节点上的虚拟机无需安装安全软件,也无需主动更新安全特征库,无论何时创建、开启虚拟机,安全保护都是实施最新的,同时避免了传统模式下,多台虚拟机更新安全资源给计算节点带来的网络风暴。
[0013]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0014]附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0015]图1是本发明的一种实施例中云操作系统中提供安全即服务的系统的架构示意图。
[0016]图2是本发明的一种实施例中云操作系统中提供安全即服务的方法的流程示意图。
【具体实施方式】
[0017]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0018]在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0019]图1是本发明的一种实施例中云操作系统中提供安全即服务的系统的示意图。如图1所示,包括安全资源池,更新节点和安全终端代理,其中,
[0020]安全资源池,用于通过计算节点上的安全程序集中安全资源,为虚拟机提供安全服务。
[0021]具体地,安全资源池可按操作系统划分安全资源子池。安全资源池的构建是通过在计算节点上构建相应的安全程序,所有的安全服务展现的安全功能通过安全程序提供。安全服务以安全规则的形式进行提供,安全规则包括下面的一种或几种:防病毒、防火墙、DP1、完整性检测、防恶意软件、漏洞扫描、日志审计等。
[0022]更新节点,用于链接安全更新库,并对安全资源池的安全资源进行更新。
[0023]具体地,更新节点链接安全更新库,通过因特网下载最新安全补丁、病毒库等。安全资源池通过网络,与更新节点交互,获取最新的安全补丁、病毒库等等安全信息,更新安全特征库。
[0024]安全终端代理,用于在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。
[0025]具体地,安全代理程序的作用是调用安全资源池的接口,进行安全防护,该安全代理程序以单独安装包的方式在虚拟机中进行安装。安全终端代理和安全资源池通过彼此调用对方的接口进行交互,交互的信息包括对虚拟机的网络流量、文件、完整性等进行安全验证,从而对虚拟机进行安全防护。
[0026]图2是本发明的一种实施例中云操作系统中提供安全即服务的方法的流程示意图。如图2所示,包括:
[0027]步骤201,在云操作系统中的计算节点上安装安全程序,多个计算节点的安全程序集中安全资源形成安全资源池。
[0028]在本步骤中,在每台计算节点上安装安全代理程序,为运行在此计算节点上的虚拟机提供安全服务;多台安装安全代理程序的计算节点组成安全资源池。
[0029]步骤202,更新节点链接安全更新库,且安全资源池与更新节点相连,更新安全资源池的安全资源。
[0030]在本步骤中,安全资源池的安全资源自动通过更新节点进行更新。
[0031]步骤203,安全终端代理在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。
[0032]在本步骤中,运行在计算节点上的虚拟机通过自身的安全代理程序,与计算节点的安全程序进行交互,利用计算节点提供的安全功能对本身进行防护,例如防病毒、补丁检测、防火墙、DP1、防恶意软件、完整性检测、日志审计等。
[0033]以云操作系统为例:
[0034]云用户申请带有安全服务的虚拟机,例如win7 ;后台生成win7操作系统的虚拟机,里面预装了安全代理;此虚拟机开机后,会根据安全规则,对虚拟机进行安全防护,因为后台的安全资源池已经自动通过更新节点进行更新,所以无需定期升级病毒库、安全补丁 ;假如此虚拟机宕机或者关机一段时间,再开机,立刻就会受到最新的安全保护,也无需像传统模式下,担心虚拟机的杀毒软件过期、病毒库不是最新。
[0035]本发明中,虚拟机无需安装安全软件,也无需主动更新安全特征库,无论何时创建、开启虚拟机,安全保护都是实施最新的,同时避免了传统模式下,多台虚拟机更新安全特征库给计算节点带来的网络风暴。
[0036]虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1.一种云操作系统中提供安全即服务的系统,其特征在于,包括:安全资源池,更新节点和安全终端代理,其中, 安全资源池,用于通过计算节点上的安全程序集中安全资源,为虚拟机提供安全服务; 更新节点,用于链接安全更新库,并对安全资源池的安全资源进行更新; 安全终端代理,用于在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。2.根据权利要求1所述的云操作系统中提供安全即服务的系统,其特征在于,所述安全服务以安全规则的形式提供,安全规则包括下面的一种或几种:防病毒、防火墙、DP1、完整性检测、防恶意软件、漏洞扫描、日志审计。3.根据权利要求1所述的云操作系统中提供安全即服务的系统,其特征在于,所述安全资源池按操作系统划分安全资源子池。4.根据权利要求1所述的云操作系统中提供安全即服务的系统,其特征在于,所述安全终端代理通过调用安全资源池的接口获取安全资源。5.一种云操作系统中提供安全即服务的方法,其特征在于,包括: 在云操作系统中的计算节点上安装安全程序,多个计算节点的安全程序集中安全资源形成安全资源池; 更新节点链接安全更新库,且安全资源池与更新节点相连,更新安全资源池的安全资源; 安全终端代理在计算节点上的虚拟机内部署安全代理程序,安全代理程序从安全资源池获取安全资源,为虚拟机提供安全服务。6.根据权利要求5所述的云操作系统中提供安全即服务的方法,其特征在于,所述安全服务以安全规则的形式提供,安全规则包括下面的一种或几种:防病毒、防火墙、DP1、完整性检测、防恶意软件、漏洞扫描、日志审计。7.根据权利要求5所述的云操作系统中提供安全即服务的方法,其特征在于,所述安全终端代理通过调用安全资源池的接口获取安全资源。
【专利摘要】本发明公开了一种云操作系统中提供安全即服务的系统和方法,包括:安全资源池,用于集中安全资源进行池化,为虚拟机提供安全服务;更新节点,用于链接安全更新库,并对安全资源池的资源进行更新;安全终端代理,用于在虚拟机内部署安全代理程序,通过与安全资源池进行交互,对虚拟机进行安全防护。本发明提高了云数据中心的运维效率且降低运维成本。本发明为云操作系统中的虚拟机提供了全方位及时的安全保护,避免传统安全防护模式下安全特征更新造成的计算节点的网络风暴。
【IPC分类】H04L29/06
【公开号】CN105141608
【申请号】CN201510527879
【发明人】郭锋
【申请人】浪潮(北京)电子信息产业有限公司
【公开日】2015年12月9日
【申请日】2015年8月25日