一种云计算中心的安全服务系统的制作方法

本发明公开一种云计算中心的安全服务系统，属于信息安全技术领域。

背景技术：

随着信息化快速发展，云计算正在越来越受关注，无论是互联网厂商和运营商，还是通信厂商和基础网络运营商，都对云计算表现出极大的关注。狭义的云计算是指互联网技术基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源；广义的云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的，也可以是任意其他的服务，云计算具有超大规模、虚拟化、安全可靠等优点。对于网络运营商而言，云计算可以使运营成本和操作维护成本大大降低，达到节能减排的目的，除此之外，还可以扩大运营的范围，而不仅仅受限于管道运营。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。对于用户而言，云计算使得随时、随地消费服务成为可能，用户可以不需要大量投资而获得运营业务所需的IT资源，完全可以根据自己的需求来租用，IT资源像水、电和煤气一样，按需获取和计费。在云计算场景下，大量的用户信息都集中在云计算提供商，与传统的互联网业务相比，其信息更集中、信息资产价值更高、面临的攻击也会更多。云计算的安全解决方案需要根据不同业务的差异化安全需求，提供安全解决方案。而传统上针对单一业务所制定的安全解决方案，无法适应云计算平台高度共享的特性，因此，需要云计算安全在系统级架构上进行创新，以适应平台的新特性，满足平台上所有业务的个性化安全需求。云计算的前景是无容置疑的，但是在实际使用过程中不可避免地会面临一些极端条件。例如：移动终端无法接入到网络，网络不稳定造成的会话突然终止而使得用户数据和信息的丢失，用户所处网络条件差而造成拥堵现象比较明显，黑客劫持会话攻击云中心等。

云描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。这些组件可以迅速策划、置备、部署和退役，并且可以迅速扩充或缩减，提供按需的、效用计算类似的分配和消费模式。云计算安全可以促进云计算创新发展，将有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等很多问题。通常的来说在SaaS环境中，安全控制及其范围在服务合同中进行协商；服务等级、隐私和符合性等也都在合同中关系到。在IaaS中，低层基础设施和抽象层的安全保护属于提供商职责，其它职责则属于客户。PaaS则居于两者之间，提供商为平台自身提供安全保护，平台上应用的安全性及如何安全地开发这些应用则为客户的职责。

技术实现要素：

针对上述提到的现有技术中的有云计算基础资源的安全性保护技术的缺陷，系统包括云计算中心基础安全服务引擎核心模块、虚拟化层管理模块、上层服务开放接口以及第三方平台开放API接口，云计算中心基础安全服务引擎核心模块通过对安全服务编排管理和对基础资源的计算资源管理、网络资源管理、存储资源进行管理，并且对基础资源进行持续的安全监控，云计算中心基础安全服务引擎核心模块与虚拟层安全管理模块、上层服务开放接口以及第三方平台开放API接口连接。

本发明解决其技术问题采用的技术方案是：一种云计算中心的安全服务系统，系统包括云计算中心基础安全服务引擎核心模块、虚拟化层管理模块、上层服务开放接口以及第三方平台开放API接口，云计算中心基础安全服务引擎核心模块通过对安全服务编排管理和对基础资源的计算资源管理、网络资源管理、存储资源进行管理，并且对基础资源进行持续的安全监控，云计算中心基础安全服务引擎核心模块与虚拟层安全管理模块、上层服务开放接口以及第三方平台开放API接口连接。

本发明解决其技术问题采用的技术方案进一步还包括：

所述的云计算中心基础安全服务引擎核心模块与虚拟层安全管理通过对IPS/IDS、UTM、入侵检测、审计、防火墙/VPN、安全内容、漏洞扫描必要的数据中心的安全管理；向虚拟化平台、平台上的虚拟机、虚拟网络提供安全服务；根据基础安全管理模块下达的安全政策，对接服务模块快速的部署或关闭所需的安全虚拟器件并且向虚拟交换机更新安全策略。

所述的虚拟层安全管理模块对云计算基础资源分为网络虚拟化、计算虚拟化、存储虚拟化这三个虚拟化资源的角度进行管理，同时也对安全虚拟器件进行管理，整合融入云计算中心中的虚拟化管理平台，向云计算中心基础安全服务引擎核心模块实时提供监控报告，并从云计算中心基础安全服务引擎核心模块反馈的指示提供具体的安全保护。

本发明的有益效果是：一种云计算中心的基础安全服务引擎重点保护云计算基础资源的安全性问题，着重解决虚拟化层的安全问题，同时保持传统安全产品的优势对云计算基础资源进行灵活可定制化的管理，确保对云计算每个环节进行了严格的安全保护；同时整合传统的安全产品(UTM、防火墙、IDS入侵检测、漏洞扫描等安全类产品)实现虚拟化的安全保护和传统的安全保护；为政府，企业实现全虚拟化、自动化部署，做到真正的软硬件资源全融合，对云计算基础资源进行一体化的安全管理，实现高效运维。

下面将结合附图和具体实施方式对本发明做进一步说明。

附图说明

图1是本发明产品的系统架构图。

图2为本发明原理图。

具体实施方式

本实施例为本发明优选实施方式，其他凡其原理和基本结构与本实施例相同或近似的，均在本发明保护范围之内。

请参看附图1，一种云计算中心的基础安全服务引擎由云计算中心基础安全服务引擎核心模块、虚拟化层管理模块组成，并向上层服务(包括大数据平台、PaaS平台即服务、SaaS软件即服务)开放接口，也向部分第三方平台开放API接口，以提供云计算基础资源的安全监控服务和资源管控服务。

云计算中心基础安全服务引擎核心模块通过对安全服务编排管理和对基础资源的计算资源管理、网络资源管理、存储资源进行管理，并且对基础资源(包括物理资源和虚拟化资源)进行持续的安全监控，其包含安全服务编排管理模块，硬件层与虚拟层安全管理模块和资源对接服务模块。

安全服务编排管理是对涉及系统安全、网络安全和数据安全的基础安全进行管理，建立系统程序安全要求；为IaaS资源组件提供认证和访问策略服务，依赖自身(基于IdentityAPI)系统进行工作，对计算网元、映像、存储等进行认证与授权，管理虚拟机镜像发现、注册、检索，收集IaaS内部发生的所有事件以作为计费和监控以及其它服务提供数据支撑。

硬件层与虚拟层安全管理通过对IPS/IDS、UTM、入侵检测、审计、防火墙/VPN、安全内容、漏洞扫描必要的数据中心的安全管理；向虚拟化平台、平台上的虚拟机、虚拟网络提供安全服务；根据基础安全管理模块下达的安全政策，对接服务模块快速的部署或关闭所需的安全虚拟器件(如IDS/IPS、审计类产品、漏洞扫描、安全管理平台)并且向虚拟交换机更新安全策略。

资源对接服务模块通过与云计算基础资源对接的计算资源、网络资源、存储资源、安全监控进行安全管理，监听IaaS基础设施上虚拟化管理平台、相关虚拟机、虚拟交换机等实体的活动变化情况，把消息反馈给基础安全管理模块以供其实时监控，同时接受安全服务编排管理模块下达的安全命令，将其转达至相应的物理/虚拟服务器、物理/虚拟交换机、物理/虚拟安全设备等相关网元以具体实施。

虚拟化层管理对云计算基础资源分为网络虚拟化、计算虚拟化、存储虚拟化这三个虚拟化资源的角度进行管理，同时也对安全虚拟器件进行管理，整合融入云计算中心中的虚拟化管理平台，向云计算中心基础安全服务引擎核心模块实时提供监控报告，并从云计算中心基础安全服务引擎核心模块反馈的指示提供具体的安全保护。

一种云计算中心的基础安全服务引擎的工作原理如图2所示。

一个云计算中心的基础安全服务引擎对云计算基础资源进行整体全面的保护。一个云计算中心的基础安全服务引擎从功能角度可以分成云计算中心的基础资源管理控制和针对这些资源的管理和安全监控。一个云计算中心的基础安全服务引擎通过资源对接模块对基础资源分为计算资源、存储资源、网络资源这三方面进行管理，合理分配和调度资源以供服务所需；同时在计算资源、存储资源、网络资源的管理网络之中增加安全监控功能，对数据流、业务活动情况、数据库等资源分别进行实时的监控，并且能按照管理员的指定快速的增减安全服务功能。

一个云计算中心的基础安全服务引擎从技术角度可以分成传统非虚拟化服务器和虚拟化服务器这两个群体的资源管理和安全监控服务。针对传统非虚拟化服务器的资源管控和安全保护服务保持传统数据中心的资源管理和安全保护方法。针对虚拟化服务器的资源管理和安全保护根据云计算的基本技术构成，依据云计算中心工作原理框架，通过对各虚拟化平台的管理器即VMM/hypervisor的简单改造，进行虚拟化资源的分配和调度，同时根据被保护对象的重要级别和规模来分配虚拟安全器件或实体物体设备以提供相应的安全保护服务。