一种基于虚拟交换网络的虚拟安全域的划分方法及装置的制造方法
【专利摘要】本发明实施例公开了一种基于虚拟交换网络的虚拟安全域的划分方法及其装置,其中,该方法包括:划分不同安全级别的虚拟安全域;基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;在虚拟交换网络中构建完整的虚拟安全边界。在本发明实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。
【专利说明】
一种基于虚拟交换网络的虚拟安全域的划分方法及装置
技术领域
[0001]本发明涉及云计算安全技术领域,尤其涉及一种基于虚拟交换网络的虚拟安全域的划分方法及装置。
【背景技术】
[0002]随着云计算技术应用的进一步发展,云计算的安全也成为业界关注的问题。云计算市场规模的迅速扩大,使得其将成为诸如水电、煤气的公共基础设施,使用云计算服务的政府机构、企业和个人,其数据与信息安全将严重依赖于云计算服务提供系统的保密性和安全性,这给国家信息安全、企业安全和个人隐私保护带来了前所未有的挑战。云计算的安全不仅是广大用户选择云计算服务的首要考虑因素,也是云计算实现健康可持续发展的基础。
[0003]目前虚拟化作为云计算的核心技术,虚拟化数据中心也给网络安全带来了一些挑战,尤其是虚拟机的迀移、计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题,虚拟化数据中心的网络建设仍然采用传统的安全技术来应对网络安全问题,如VLAN扩展、网络安全策略上移、虚拟交换网络网关上移等。
[0004]在VLAN扩展中,虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。
[0005]要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前,VLAN是最好的选择,但由于VLAN的数量最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图1所示,VLAN扩展的有以下两个实现途径。
[0006]QinQ:采用VLAN嵌套的方式将VLAN的数量扩展至Ij 160万个。内层标签称为用户VLAN即C - VLAN,外层标签成为运营VLAN,即S - VLAN,例如100个C - VLAN不同的同一类用户可以封装同一个相同S-VLAN,极大地扩展VLAN的数量。该方法配置简单,易维护;但其缺点是接入的用户规模较小。
[0007]VPLS:用户VLAN封装在不同VPLAS通道内,不同的用户封装不同的VPLS通道即可实现海量用户之间良好的安全控制。其优点是接入规模大,可伸缩性强,易于跨地域数据中心之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂,使数据中心之间扩展复杂度变大。
[0008]通过将虚拟化服务器集群的网关设在防火墙上,防火墙进行虚拟化,分割成多个防火墙实例提供网络安全服务,对每块防火墙划分多个逻辑实例,通过防火墙上的安全策略配置,来提供虚拟化网络安全。虚拟化数据中心尽量将服务器集群规划在同一个二层网络中,才能保证虚拟机能够自由迀移,如果进行了VLAN划分,则虚拟机只能在同一个VLAN的网络中进行迀移。并且服务器网关尽量不设在防火墙上,因为防火墙属于强控制设施,网关一旦设置在防火墙上灵活性将大大的受到限制。
【发明内容】
[0009]本发明的目的在于克服现有技术的不足,本发明提供了一种基于虚拟交换网络的虚拟安全域的划分方法及装置,可通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性。
[0010]为了解决上述问题,本发明提出了一种基于虚拟交换网络的虚拟安全域的划分方法,所述方法包括:
划分不同安全级别的虚拟安全域;
基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;
在虚拟交换网络中构建完整的虚拟安全边界。
[0011]优选地,在所述在虚拟交换网络中构建完整的虚拟安全边界的步骤之后,还包括: 根据虚拟安全边界构建云计算安全组件。
[0012]优选地,在所述根据虚拟安全边界构建云计算安全组件的步骤之后,还包括: 根据云计算安全组件构建虚拟安全域视图。
[0013]优选地,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。
[0014]优选地,所述在虚拟交换网络中构建完整的虚拟安全边界的步骤,包括:
在虚拟交换网络中识别出虚拟数据交换端口;
根据虚拟数据交换端口构建虚拟安全边界。
[0015]相应地,本发明还提供一种基于虚拟交换网络的虚拟安全域的划分装置,所述装置包括:
划分模块,用于划分不同安全级别的虚拟安全域;
部署模块,用于基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;
构建模块,用于在虚拟交换网络中构建完整的虚拟安全边界。
[0016]优选地,所述构建模块还用于根据虚拟安全边界构建云计算安全组件。
[0017]优选地,所述构建模块还用于根据云计算安全组件构建虚拟安全域视图。
[0018]优选地,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。
[0019]优选地,所述构建模块包括:
识别单元,用于在虚拟交换网络中识别出虚拟数据交换端口;
构建单元,用于根据虚拟数据交换端口构建虚拟安全边界。
[0020]在本发明实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。
【附图说明】
[0021]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0022]图1是现有网络安全技术中VLAN扩展的不意图;
图2是本发明实施例的基于虚拟交换网络的虚拟安全域的划分方法的流程示意图;
图3是本发明实施例的基于虚拟交换网络的虚拟安全域的划分装置的结构组成示意图;
图4是本发明实施例中构建模块的结构组成示意图。
【具体实施方式】
[0023]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0024]图2是本发明实施例的基于虚拟交换网络的虚拟安全域的划分方法的流程示意图,如图2所示,该方法包括:
SI,划分不同安全级别的虚拟安全域;
S2,基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;
S3,在虚拟交换网络中构建完整的虚拟安全边界。
[0025]进一步地,S3包括:
在虚拟交换网络中识别出虚拟数据交换端口;
根据虚拟数据交换端口构建虚拟安全边界。
[0026]在本发明实施例中,根据信息安全等级保护要求,需要为不同的安全等级划分相应的安全域。在云计算的环境下,划分不同安全级别的虚拟安全域,以数据中心核心交换端口和VLAN为边界来构建安全域。这样就可以依据预设条件将大数据的生产环境部署在某一逻辑安全域之中。
[0027]考虑到同一逻辑安全域中,多租户和多业务系统之间还存在相互隔离的要求,因此需要基于虚拟交换网络,将大数据生产环境部署在指定的虚拟安全域之中。
[0028]最后,在虚拟交换网络中识别出相关的虚拟数据交换端口,从而构建完整的虚拟安全边界。
[0029]进一步地,在S3之后还包括:
根据虚拟安全边界构建云计算安全组件,并根据云计算安全组件构建虚拟安全域视图。
[0030]本发明实施例的云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。
[0031]具体实施中,通过集中的云计算安全管理平台构建虚拟的安全域视图,来为云计算虚拟化环境提供信息安全保障。
[0032]在云计算环境下,基于每一个物理节点的内部虚拟交换网络,采用基于容器(Container)的虚拟化技术部署安全容器。安全容器以透明方式运行,具有启动快、部署便捷、资源占用小的特点,不需要变更网络或修改IP地址即可创建安全区域。所有虚拟机之间的数据流量先通过安全容器进行过滤才能转发至目的地。
[0033]通过云计算安全组件可以在云计算环境下提供病毒防护、访问控制、入侵检测、完整性审计等功能。
[0034]其中,在病毒防护方面,针对云计算虚拟环境中通过安全API接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agent程序,即虚拟主机系统无代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。
[0035]在访问控制方面,传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题,在本发明中,提供全面基于状态检测细粒度的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离,防火墙同时支持各种泛洪攻击的识别和拦截。
[0036]在入侵检测方面,在主机和网络层面同时进行入侵监测和预防。然而,随着虚拟化技术的出现,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所具有的功能。
[0037]例如,由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源。
[0038]通过安全API接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(policy-based)监控和分析工具,使云计算安全管理平台更精确的流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。
[0039]同时云计算安全管理平台在虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。
[0040]在完整性审计方面,可以针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能,当这些关键位置为恶意篡改或感染病毒时,可以提供为管理员提供告警和记录功能,从而提供系统的安全性。
[0041]相应地,本发明实施例还提供一种基于虚拟交换网络的虚拟安全域的划分装置,如图3所示,该装置包括:
划分模块1,用于划分不同安全级别的虚拟安全域;
部署模块2,用于基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;
构建模块3,用于在虚拟交换网络中构建完整的虚拟安全边界。
[0042]进一步地,构建模块3还用于根据虚拟安全边界构建云计算安全组件,并根据云计算安全组件构建虚拟安全域视图。
[0043]云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。
[0044]进一步地,如图4所示,构建模块3包括:
识别单元30,用于在虚拟交换网络中识别出虚拟数据交换端口;
构建单元31,用于根据虚拟数据交换端口构建虚拟安全边界。
[0045]本发明的装置实施例中各功能模块的功能可参见本发明方法实施例中的流程处理,这里不再赘述。
[0046]在本发明实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。
[0047]本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(R0M,Read Only Memory )、随机存取存储器(RAM,RandomAccess Memory)、磁盘或光盘等。
[0048]另外,以上对本发明实施例所提供的基于虚拟交换网络的虚拟安全域的划分方法及其装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【主权项】
1.一种基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,所述方法包括: 划分不同安全级别的虚拟安全域; 基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中; 在虚拟交换网络中构建完整的虚拟安全边界。2.如权利要求1所述的基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,在所述在虚拟交换网络中构建完整的虚拟安全边界的步骤之后,还包括: 根据虚拟安全边界构建云计算安全组件。3.如权利要求2所述的基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,在所述根据虚拟安全边界构建云计算安全组件的步骤之后,还包括: 根据云计算安全组件构建虚拟安全域视图。4.如权利要求2或3所述的基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。5.如权利要求1所述的基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,所述在虚拟交换网络中构建完整的虚拟安全边界的步骤,包括: 在虚拟交换网络中识别出虚拟数据交换端口; 根据虚拟数据交换端口构建虚拟安全边界。6.—种基于虚拟交换网络的虚拟安全域的划分装置,其特征在于,所述装置包括: 划分模块,用于划分不同安全级别的虚拟安全域; 部署模块,用于基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中; 构建模块,用于在虚拟交换网络中构建完整的虚拟安全边界。7.如权利要求6所述的基于虚拟交换网络的虚拟安全域的划分装置,其特征在于,所述构建模块还用于根据虚拟安全边界构建云计算安全组件。8.如权利要求7所述的基于虚拟交换网络的虚拟安全域的划分装置,其特征在于,所述构建模块还用于根据云计算安全组件构建虚拟安全域视图。9.如权利要求6或7所述的基于虚拟交换网络的虚拟安全域的划分系统,其特征在于,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。10.如权利要求6所述的基于虚拟交换网络的虚拟安全域的划分系统,其特征在于,所述构建模块包括: 识别单元,用于在虚拟交换网络中识别出虚拟数据交换端口; 构建单元,用于根据虚拟数据交换端口构建虚拟安全边界。
【文档编号】H04L29/06GK105847255SQ201610170582
【公开日】2016年8月10日
【申请日】2016年3月24日
【发明人】罗龙, 王鹿苑, 梁俊龙, 刘坤锐, 赖美仪, 张国友
【申请人】广东三盟信息科技有限公司