本发明涉及云计算领域,特别涉及一种异构云平台安全策略统一管理方法、装置和系统。
背景技术:
::随着云计算技术的应用推广,越来越多的企业选择通过公有云、私有云或者混合云的方式实现核心业务上云。云主机的安全问题日益凸显,成为现阶段iaas(infrastructureasaservice,即基础设施即服务)云平台的关键问题。以openstack、vmwarevcenter为代表的主流iaas云管理平台大都实现了基于虚拟机级别安全访问策略。鉴于云平台底层虚拟化技术的差异性,云管理平台对于虚拟机安全策略的实现方式也各不相同。例如采用kvm作为虚拟化软件的openstack云管理平台选择基于linuxiptables实现虚拟机的安全,而采用vsphere作为虚拟化软件的vmwarevcenter则基于vswitch的安全组策略(portgroup)实现云安全。除了安全策略实现方式不同外,不同云平台对安全策略的定义也不同,包括策略格式和策略内容不同,导致云管理平台无法对不同云平台的安全策略进行统一的管理。随着异构云平台共存和资源交互场景的频繁发生,迫切需要一种统一的办法来保持异构云平台的安全策略的一致性。技术实现要素:鉴于以上技术问题,本发明提供了一种异构云平台安全策略统一管理方法和系统、异构云管理平台以及安全策略适配器,利用抽象安全规则和适配器技术,实现异构云平台的安全规则统一管理和配置。根据本发明的一个方面,提供一种异构云平台安全策略统一管理方法,包括:接收用户输入的抽象安全访问策略;将所述抽象安全访问策略转换为底层云平台的具体安全访问策略;将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,所述方法还包括:根据不同虚拟化环境下典型的防火墙规则定义,抽象具有普适性的云平台安全策略模型和规则;将具有普适性的云平台安全策略模型和规则呈现给用户,以便接收用户输入的抽象安全访问策略。在本发明的一个实施例中,所述将所述抽象安全访问策略转换为底层云平台的具体安全访问策略包括:针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。根据本发明的另一方面,提供一种异构云管理平台,包括安全策略管理模块、安全策略适配模块和安全策略下发模块,其中:安全策略管理模块,用于接收用户输入的抽象安全访问策略;安全策略适配模块,用于将所述抽象安全访问策略转换为底层云平台的具体安全访问策略;安全策略下发模块,用于将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,安全策略管理模块包括安全策略管理单元、用户交互单元和安全策略发送单元,其中:安全策略管理单元,用于根据不同虚拟化环境下典型的防火墙规则定义,抽象具有普适性的云平台安全策略模型和规则;用户交互单元,用于将具有普适性的云平台安全策略模型和规则呈现给用户,以及接收用户输入的抽象安全访问策略;安全策略发送单元,用于将用户输入的抽象安全访问策略发送给安全策略适配模块。在本发明的一个实施例中,安全策略适配模块用于针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。根据本发明的另一方面,提供一种异构云管理平台,包括安全策略管理模块,其中:安全策略管理模块,用于接收用户输入的抽象安全访问策略,并将所述抽象安全访问策略发送给安全策略适配器,以便安全策略适配器将所述抽象安全访问策略转换为底层云平台的具体安全访问策略,并下发给相应的底层云平台。在本发明的一个实施例中,安全策略管理模块包括安全策略管理单元、用户交互单元和安全策略发送单元,其中:安全策略管理单元,用于根据不同虚拟化环境下典型的防火墙规则定义,抽象具有普适性的云平台安全策略模型和规则;用户交互单元,用于将具有普适性的云平台安全策略模型和规则呈现给用户,以及接收用户输入的抽象安全访问策略;安全策略发送单元,用于将用户输入的抽象安全访问策略发送给安全策略适配器。根据本发明的另一方面,提供一种安全策略适配器,包括安全策略适配模块和安全策略下发模块,其中:安全策略适配模块,用于将异构云管理平台发送的、用户输入的抽象安全访问策略转换为底层云平台的具体安全访问策略;安全策略下发模块,用于将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,安全策略适配模块用于针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。根据本发明的另一方面,提供一种异构云平台安全策略统一管理系统,包括上述任一实施例所述的异构云管理平台、以及上述任一实施例所述的安全策略适配器。本发明基于对安全策略规则的抽象,采用适配器技术对异构云平台的安全策略进行统一,使得用户层面设置的安全策略规则,能够自动适配到各云平台,从而实现异构云平台安全策略的统一管理及配置,具有良好的实用性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明异构云管理平台第一实施例的示意图。图2为本发明一个实施例中安全策略管理模块的示意图。图3为本发明异构云管理平台第二实施例的示意图。图4为本发明安全策略适配器第一实施例的示意图。图5为本发明异构云平台安全策略统一管理系统第一实施例的示意图。图6为本发明异构云管理平台第三实施例的示意图。图7为本发明异构云平台安全策略统一管理方法第一实施例的示意图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。申请人发现:现有异构云平台在整合和交互时,安全策略面临以下问题:1)异构云平台拥有不同的安全策略实现方式和操作流程,无法通过统一的云管理平台管理,需通过各自的管理组件进行操作,加剧了运维人员学习成本和管理的复杂度;2)异构云平台对安全策略的定义不同,导致异构云平台交互时可能面临因安全规则不一致而出现安全访问漏洞。针对上述问题,本专利提出基于对安全策略规则的抽象,采用适配器技术对异构云平台的安全策略进行统一,使得用户层面设置的安全策略规则,能够自动适配到各云平台,从而实现异构云平台安全策略的统一管理及配置,具有良好的实用性。图1为本发明异构云管理平台第一实施例的示意图。如图1所示,所述异构云管理平台包括安全策略管理模块110、安全策略适配模块120和安全策略下发模块130,其中:安全策略管理模块110,用于接收用户输入的抽象安全访问策略。图2为本发明一个实施例中安全策略管理模块的示意图。如图2所示,图1实施例的安全策略管理模块110可以包括安全策略管理单元111、用户交互单元112和安全策略发送单元113,其中:安全策略管理单元111,用于根据不同虚拟化环境(如openstack/kvm、vmware/vsphere等)下典型的防火墙规则定义,抽象一套具有普适性的云平台安全策略模型和规则。用户交互单元112,用于将所述具有普适性的云平台安全策略模型和规则呈现给用户,以及接收用户定义的抽象安全访问策略。在本发明的一个具体实施例中,所述用户交互单元112可以实现为gui(graphicaluserinterface,图形用户界面)。安全策略发送单元113,用于将用户定义的抽象安全访问策略发送给安全策略适配模块120。安全策略适配模块120,用于进行策略翻译,即将用户定义的策略规则按照底层云平台的策略格式进行转换,生成适合运行在底层云平台的具体安全策略规则。在本发明的一个实施例中,安全策略适配模块120可以用于针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。安全策略下发模块130,用于将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,安全策略下发模块130具体用于通过云平台的api(applicationprogramminginterface,应用程序编程接口)接口(通常是各自云管理平台的开放api)将具体的安全策略规则下发至底层云平台,由底层云平台运行生效。基于本发明上述实施例提供的异构云管理平台,通过抽象安全策略模型和安全规则适配技术,统一了异构云环境下安全策略的管理及配置,提高了异构云平台安全配置的易用性,降低了运维成本,同时也解决了异构云平台安全策略的差异性问题,排除了安全策略不一致带来的异构云互访安全隐患。本发明上述实施例的云管理平台可以由具备异构云管理能力的云管理平台(例如openstack、vcenter等云管理平台)改进实现。本发明上述实施例对具备异构云管理能力的云管理平台进行改进,增加安全策略管理模块和安全策略适配模块,用于底层不同云平台间安全策略的统一管理和配置。图3为本发明异构云管理平台第二实施例的示意图。如图3所示,所述异构云管理平台可以包括安全策略管理模块310,其中:安全策略管理模块310,用于接收用户输入的抽象安全访问策略,并将所述抽象安全访问策略发送给安全策略适配器,以便安全策略适配器将所述抽象安全访问策略转换为底层云平台的具体安全访问策略,并下发给相应的底层云平台。在本发明的一个实施例中,如图3所示,安全策略管理模块310包括安全策略管理单元311、用户交互单元312和安全策略发送单元313,其中:安全策略管理单元311,用于根据不同虚拟化环境(如openstack/kvm、vmware/vsphere等)下典型的防火墙规则定义,抽象具有普适性的云平台安全策略模型和规则。用户交互单元312,用于将具有普适性的云平台安全策略模型和规则呈现给用户,以及接收用户输入的抽象安全访问策略。在本发明的一个具体实施例中,所述用户交互单元312可以实现为gui(graphicaluserinterface,图形用户界面)。安全策略发送单元313,用于将用户输入的抽象安全访问策略发送给安全策略适配器,以便安全策略适配器将所述抽象安全访问策略转换为底层云平台的具体安全访问策略,并下发给相应的底层云平台。图4为本发明安全策略适配器第一实施例的示意图。如图4所示的安全策略适配器包括安全策略适配模块420和安全策略下发模块430,其中:安全策略适配模块420,用于将异构云管理平台发送的、用户输入的抽象安全访问策略转换为底层云平台的具体安全访问策略;在本发明的一个实施例中,安全策略适配模块420用于针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。安全策略下发模块430,用于将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,安全策略下发模块430具体用于通过云平台的api接口(通常是各自云管理平台的开放api)将具体的安全策略规则下发至底层云平台,由底层云平台运行生效。图5为本发明异构云平台安全策略统一管理系统第一实施例的示意图。如图5所示,所述系统包括异构云管理平台30和安全策略适配器40,其中:安全策略适配器30,为如图3实施例所述的异构云管理平台。安全策略适配器40,为如图4实施例所述的安全策略适配器。本发明上述实施例的云管理平台或异构云平台安全策略统一管理系统可以由具备异构云管理能力的云管理平台(例如openstack、vcenter等云管理平台)改进实现。基于本发明上述实施例提供的异构云平台安全策略统一管理系统,通过抽象安全策略模型和安全规则适配器,统一了异构云环境下安全策略的管理及配置,提高了异构云平台安全配置的易用性,降低了运维成本,同时也解决了异构云平台安全策略的差异性问题,排除了安全策略不一致带来的异构云互访安全隐患。下面通过具体示例对本发明异构云管理平台进行说明:图6为本发明异构云管理平台第三实施例的示意图。图6实施例的技术方案利用抽象规则和适配器技术,实现异构云平台安全策略的统一管理,如图6所示,具体实施案例如下:1.选择openstack云管理平台作为统一的异构云管理平台,在openstack增加安全策略管理模块。2.安全策略管理模块定义了一套抽象的安全策略规则,这些规则尽量覆盖不同云平台的安全策略,具有一定的普适性。安全策略管理模块通过界面将安全策略规则暴露给用户,用户根据规则定义具体的安全访问策略。3.用户在界面定义好安全策略后,由云管理平台将抽象策略下发至安全策略适配器。4.安全策略适配器对安全策略规则进行转换,由于虚拟机可能会跨异构云平台部署,因此安全策略适配器需要根据底层具体的云平进行策略规则转换。例如对于kvm和vmwarevsphere共存的情况,需要将抽象安全策略规则翻译成适合于kvm平台的iptables规则和适合于vmwarevsphere的portgroup规则。转换完毕后,安全策略适配器通过底层各个云平台的开放api下发策略。5.各云平台(kvm平台、esxi平台、hyper-v平台)接收安全策略规则,运行生效。本发明上述实施例基于对安全策略规则的抽象,采用适配器技术对异构云平台的安全策略进行统一,使得用户层面设置的安全策略规则,能够自动适配到各云平台,从而实现异构云平台安全策略的统一管理及配置,具有良好的实用性。图7为本发明异构云平台安全策略统一管理方法第一实施例的示意图。在本发明一个实施例中,图7实施例可由本发明包括安全策略管理模块110和安全策略适配模块120的异构云管理平台执行。在本发明另一实施例中,图7实施例还可由本发明异构云平台安全策略统一管理执行,即,图7实施例可以本实施例还可由本发明仅包括安全策略管理模块310的异构云管理平台与单独设置的安全策略适配器合作执行。如图7所示的所述方法可以包括:步骤701,接收用户输入的抽象安全访问策略。在本发明的一个实施例中,步骤701可以包括通过gui接收用户输入的抽象安全访问策略。在本发明的一个实施例中,在步骤701之前,所述方法还可以包括:(如openstack/kvm、vmware/vsphere等)下典型的防火墙规则定义,抽象一套具有普适性的云平台安全策略模型和规则;将具有普适性的云平台安全策略模型和规则通过gui呈现给用户,以便通过gui接收用户输入的抽象安全访问策略。步骤702,将用户输入的抽象安全访问策略转换为底层云平台的具体安全访问策略。在本发明的一个实施例中,步骤702可以包括:针对虚拟机跨异构云平台部署的情况,将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。步骤703,将所述具体安全访问策略下发给相应的底层云平台。在本发明的一个实施例中,步骤703可以包括:通过云平台的api接口(通常是各自云管理平台的开放api)将具体的安全策略规则下发至底层云平台,由底层云平台运行生效。基于本发明上述实施例提供的方法,通过抽象安全策略模型和安全规则适配技术,统一了异构云环境下安全策略的管理及配置,提高了异构云平台安全配置的易用性,降低了运维成本,同时也解决了异构云平台安全策略的差异性问题,排除了安全策略不一致带来的异构云互访安全隐患。在上面所描述的异构云管理平台、安全策略适配器等功能单元可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(plc)、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。当前第1页12当前第1页12