一种云管理方法、装置、设备、系统及可读存储介质与流程

1.本技术涉及计算机技术领域，特别涉及一种云管理方法、装置、设备、系统及可读存储介质。


背景技术：

2.当前网络安全供应商给各客户提供通用的安全组件及通用的安全防护策略。如：提供给客户a的防火墙安全组件和提供给客户b的防火墙安全组件相同，并且相应的防火墙安全防护策略也相同。但是，不同客户的业务情况大多不同，如：客户a对外提供搜索引擎业务，一般web类攻击较多。而客户b对外提供电商业务，涉及到交易的数据需要重点保护。而通用的安全组件及通用的安全防护策略无法有针对性地对客户业务进行安全防护。
3.因此，如何有针对性地对客户业务进行安全防护，是本领域技术人员需要解决的问题。


技术实现要素：

4.有鉴于此，本技术的目的在于提供一种云管理方法、装置、设备、系统及可读存储介质，以有针对性地对客户业务进行安全防护。其具体方案如下：
5.第一方面，本技术提供了一种云管理方法，应用于云管理系统，包括：
6.获取所述云管理系统纳管的目标云平台的云日志；
7.通过分析所述云日志确定所述目标云平台的安全防护策略；
8.获取所述目标云平台针对所述安全防护策略的应用配置信息，按照所述应用配置信息将所述安全防护策略应用至所述目标云平台中的至少两个安全管理虚拟机。
9.可选地，所述至少两个安全管理虚拟机与所述目标云平台中记录所述云日志的安全管理虚拟机不同；
10.相应地，所述安全防护策略还应用至所述目标云平台中记录所述云日志的安全管理虚拟机。
11.可选地，所述云日志包括：所述目标云平台中的防御类安全管理虚拟机、审计类安全管理虚拟机和/或运维类安全管理虚拟机记录得到的云业务日志和安全防护日志。
12.可选地，所述通过分析所述云日志确定所述目标云平台的安全防护策略，包括：
13.利用预设规则分析所述云日志，得到所述安全防护策略。
14.可选地，还包括：
15.若所述目标云平台中不存在所述安全管理虚拟机，则在所述目标云平台中创建所述安全管理虚拟机，并将所述安全防护策略应用至新创建的所述安全管理虚拟机。
16.可选地，所述安全管理虚拟机的创建过程包括：
17.通过所述目标云平台的密钥及接口鉴权账户接入所述目标云平台；
18.获取用户指定的安全组件；
19.在所述目标云平台中创建安装有所述安全组件的安全管理虚拟机，并将所述目标
云平台产生的流量引流至该安全管理虚拟机。
20.第二方面，本技术提供了一种云管理装置，应用于云管理系统，包括：
21.获取模块，用于获取所述云管理系统纳管的目标云平台的云日志；
22.分析模块，用于通过分析所述云日志确定所述目标云平台的安全防护策略；
23.策略更新模块，用于获取所述目标云平台针对所述安全防护策略的应用配置信息，按照所述应用配置信息将所述安全防护策略应用至所述目标云平台中的至少两个安全管理虚拟机。
24.第三方面，本技术提供了一种电子设备，包括：
25.存储器，用于存储计算机程序；
26.处理器，用于执行所述计算机程序，以实现前述公开的云管理方法。
27.第四方面，本技术提供了一种云管理系统，所述云管理系统由多个电子设备以分布式微服务架构组成；所述云管理系统纳管有至少一个目标云平台。
28.可选地，所述云管理系统预置有：用于流量审计、安全防御和/或运维审计的安全组件。
29.第五方面，本技术提供了一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的云管理方法。
30.通过以上方案可知，本技术提供了一种云管理方法，应用于云管理系统，包括：获取所述云管理系统纳管的目标云平台的云日志；通过分析所述云日志确定所述目标云平台的安全防护策略；获取所述目标云平台针对所述安全防护策略的应用配置信息，按照所述应用配置信息将所述安全防护策略应用至所述目标云平台中的至少两个安全管理虚拟机。
31.可见，本技术能够收集获取云管理系统纳管的任一目标云平台的云日志，并通过分析该云日志确定该目标云平台的安全防护策略，之后获取目标云平台针对分析所得的安全防护策略的应用配置信息，进而按照应用配置信息将安全防护策略应用至目标云平台中的至少两个安全管理虚拟机。该方案可结合目标云平台的实际运行情况评估目标云平台当前的安全风险，并给出对应的安全防护策略，并将安全防护策略即时应用到目标云平台中的至少两个安全管理虚拟机，从而实现：根据目标云平台的实际运行情况给出合适的安全防护策略，并将得到的安全防护策略应用到云上的各安全管理虚拟机，使得该安全防护策略可被不同安全管理虚拟机共享。如此一来，就可以给不同云提供与其业务匹配的安全防护策略，从而有针对性地对客户业务进行安全防护，并使一个云中的各安全组件共享同一防护策略，实现同一防护策略在云中的横向扩展。
32.相应地，本技术提供的一种云管理装置、设备、系统及可读存储介质，也同样具有上述技术效果。
附图说明
33.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
34.图1为本技术公开的一种云管理方法流程图；
35.图2为本技术公开的一种云管理系统的框架示意图；
36.图3为本技术公开的一种云管理系统的云平台管理功能示意图；
37.图4为本技术公开的一种云管理系统的闭环处理流程示意图；
38.图5为本技术公开的一种云管理装置示意图；
39.图6为本技术公开的一种电子设备示意图；
40.图7为本技术公开的另一种电子设备示意图。
具体实施方式
41.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
42.目前，网络安全供应商给各客户提供通用的安全组件及通用的安全防护策略。如：提供给客户a的防火墙安全组件和提供给客户b的防火墙安全组件相同，并且相应的防火墙安全防护策略也相同。但是，不同客户的业务情况大多不同，如：客户a对外提供搜索引擎业务，一般web类攻击较多。而客户b对外提供电商业务，涉及到交易的数据需要重点保护。而通用的安全组件及通用的安全防护策略无法有针对性地对客户业务进行安全防护。为此，本技术提供了一种云管理方案，能够有针对性地对客户业务进行安全防护，实现同一防护策略在云中的横向扩展。
43.参见图1所示，本技术实施例公开了一种云管理方法，应用于云管理系统，包括：
44.s101、获取云管理系统纳管的目标云平台的云日志。
45.在本实施例中，云管理系统可以纳管多个业务方(客户)的云平台，任一个被云管理系统纳管的云平台均可称为目标云平台，因此云管理系统可以纳管有至少一个目标云平台。当然，一个业务方的云平台可能不止一个，因此任一业务方的目标云平台包括：同一业务方的私有云和/或公有云。
46.在一种具体实施方式中，云日志包括：目标云平台中的防御类安全管理虚拟机(如防火墙)、审计类安全管理虚拟机和/或运维类安全管理虚拟机记录得到的云业务日志和安全防护日志。具体的，云业务日志即：业务方的云平台上运行业务所产生的日志信息。安全防护日志即：云管理系统为该云平台提供的安全组件运行所产生的日志信息。安全组件如：防火墙、堡垒机等。一个安全组件可以以虚拟机的形式部署在目标云平台中，即以安全管理虚拟机的形式运行在目标云平台中，该目标云平台上的各种流量都可以根据需要引流至相应安全管理虚拟机。
47.s102、通过分析云日志确定目标云平台的安全防护策略。
48.其中，分析云日志可以确定出：哪些需要安全防护的业务还未进行安全防护、可以撤销哪些业务的安全防护、已被安全防护的业务的防护效力如何等，由此可确定：存在哪些安全防护风险以及相应的风险解决策略(即安全防护策略)。
49.例如：需要安全防护的业务还未进行安全防护，那么可以对此种情况进行告警，并提示安全防护风险。相应的安全防护策略可以是：立即将此类业务纳入防护列表。
50.再如：已被安全防护的业务的防护效力欠佳，那么可以对此种情况进行告警，并提
示防护效力低的风险。相应的安全防护策略可以是：加强此类业务的防护策略。
51.又如：攻击检测类安全组件检测到爆破攻击，那么可以对此种情况进行告警，并提示爆破攻击风险。相应的安全防护策略可以是：在防火墙安全组件中对此类攻击进行拦截。可见，通过分析云日志不仅可以针对具体业务进行防护，还可以实现：不同安全组件间的联动防护，从而可提升安全防护能力。
52.在一种具体实施方式中，确定目标云平台的安全防护策略之后，还包括：评估安全防护风险，并对安全防护风险进行告警。
53.在一种具体实施方式中，通过分析云日志确定目标云平台的安全防护策略，包括：利用预设规则分析云日志，得到安全防护策略。预设规则可以是常见的安全规则。由于安全管理虚拟机有防御类、审计类、运维类，那么这些安全管理虚拟机可记录得到：防御类日志、审计类日志、运维类日志，之后利用预设规则可以综合分析不同类型的日志信息，从而确定安全防护策略。这些安全管理虚拟机记录得到的日志均为：安全防护日志，而云平台中还会记录有云业务日志，那么利用预设规则还可以综合分析安全防护日志和云业务日志，从而确定安全防护策略。
54.s103、获取目标云平台针对安全防护策略的应用配置信息，按照应用配置信息将安全防护策略应用至目标云平台中的至少两个安全管理虚拟机。
55.由于安全组件与相应防护策略配合使用，且安全组件作为一个虚拟机部署在目标云平台中，因此在一种具体实施方式中，将安全防护策略部署至目标云平台，包括：在目标云平台中确定安全防护策略对应的安全管理虚拟机；将安全防护策略部署于安全管理虚拟机。若目标云平台中不存在安全管理虚拟机，则在目标云平台中创建安全管理虚拟机，并将安全防护策略应用至新创建的安全管理虚拟机。
56.在一种具体实施方式中，安全管理虚拟机用于对目标云平台进行流量审计、安全防御或运维审计。例如：安全管理虚拟机可以是：日志审计虚拟机(用于对目标云平台进行日志审计)、防火墙(用于对目标云平台进行安全防御)、堡垒机(用于对目标云平台进行运维审计)等。
57.在一种具体实施方式中，安全管理虚拟机的创建过程包括：通过目标云平台的密钥及接口鉴权账户接入目标云平台；获取用户指定的安全组件；在目标云平台中创建安装有安全组件的安全管理虚拟机，并将目标云平台产生的流量引流至该安全管理虚拟机。
58.为了提升云管理系统的可维护性和可扩展性，可以按照分布式架构设计实现云管理系统，因此在一种具体实施方式中，云管理系统为分布式微服务架构。也即：云管理系统为分布式系统，由多个节点组成。微服务架构可以对服务请求进行统一认证和路由转发，还可以动态对微服务进行弹性扩展。
59.为了实现不同安全组件间的联动防护，可以在获得安全防护策略后，将该安全防护策略部署到目标云平台中的各个安全管理虚拟机中，使得各个安全管理虚拟机以此安全防护策略联动防护。在一种具体实施方式中，至少两个安全管理虚拟机与目标云平台中记录云日志的安全管理虚拟机不同；相应地，安全防护策略还应用至目标云平台中记录云日志的安全管理虚拟机。例如：分析某一云平台x中安全管理虚拟机a记录得到的日志，得到相应防护策略，该防护策略既可以应用于安全管理虚拟机a，也可以应用于该云平台x中的其他安全管理虚拟机，从而实现：云平台x中安全管理虚拟机a发现的异常能够被云平台x中的
其他安全管理虚拟机也知道，实现防护策略共享和联合防护。
60.其中，记录云日志的安全管理虚拟机可以是：目标云平台中的任意一个安全管理虚拟机或所有安全管理虚拟机，部署安全防护策略的安全管理虚拟机也可以是：目标云平台中的任意一个安全管理虚拟机或所有安全管理虚拟机。至于到底将安全防护策略部署于哪些安全管理虚拟机，取决于针对安全防护策略的应用配置信息。该应用配置信息由目标云平台的管理员配置。当管理员未配置时，默认将安全防护策略部署于目标云平台中的所有安全管理虚拟机。
61.可见，本实施例能够收集获取云管理系统纳管的任一目标云平台的云日志，并通过分析该云日志确定该目标云平台的安全防护策略，之后获取目标云平台针对分析所得的安全防护策略的应用配置信息，进而按照应用配置信息将安全防护策略应用至目标云平台中的至少两个安全管理虚拟机。该方案可结合目标云平台的实际运行情况评估目标云平台当前的安全风险，并给出对应的安全防护策略，并将安全防护策略即时应用到目标云平台中的至少两个安全管理虚拟机，从而实现：根据目标云平台的实际运行情况给出合适的安全防护策略，并将得到的安全防护策略应用到云上的各安全管理虚拟机，使得该安全防护策略可被不同安全管理虚拟机共享。如此一来，就可以给不同云提供与其业务匹配的安全防护策略，从而有针对性地对客户业务进行安全防护，并使一个云中的各安全组件共享同一防护策略，实现同一防护策略在云中的横向扩展。
62.请参见图2，图2示意了一种云管理系统的框架图。在图2中，北向接口用于连接各目标云平台。本实施例设置了用于连接各种目标云平台的接口，因此可以集成各种类型的私有云、公有云。
63.本实施例中的云管理系统为分布式微服务架构，由各节点组成。分布式微服务通过服务框架进行安装、路由注册和权限初始化后，外部系统可通过同一网关进行统一认证，后续可选用对应节点进行业务处理。当然，在云管理系统纳管的目标云平台不多时，这些节点也可以暂时脱离云管理系统，转而处理其他业务。待云管理系统的管理负载变多时，随时添加新的节点，如此云管理系统的可维护性和可扩展性就得到了提升。
64.如图2所示，云管理系统提供有：登录认证、系统管理、租户管理、插件管理等管理功能，还针对各目标云平台提供有：安全运营管理、组件管理、云平台管理等功能。当然，还提供有：数据库、缓存等基础服务。
65.具体的，针对各目标云平台提供的云平台管理功能的管理框架图可参见图3。如图3所示，各客户的私有云、公有云接入云管理系统的任意节点，同时以rest接口接入同一网关。各客户的私有云、公有云的相关数据存储在图3中的db(数据库)中，当然还可以提供外部rest接口，以便连接安全组件。图3为多云管理的基础服务，其向下承接各类云平台(如图3所示的公有云、私有云)的安全组件生命周期管理、网络管理、用户权限管理等，向上承接云管理系统的业务逻辑分发，通过松耦合方式关联云管理系统与各云平台。
66.各客户的私有云、公有云接入云管理系统后，可以自动为各个目标云平台部署安全组件。具体的，通过通过目标云平台的ak/sk(密钥)或北向接口的鉴权账号，接管目标云平台的虚拟机管理、镜像管理、租户管理、虚拟专用网络管理等，然后基于云管理系统内的安全组件镜像生成对应规格的虚拟机，部署在指定目标云平台的虚拟专用网络内。该虚拟机开机后，初始化组件内部认证机制和下发安全功能授权，以激活组件安全功能，从而该虚
拟机可对该目标云平台进行安全防护。
67.安全组件部署完成后，将可以将目标云平台内的业务流量通过调整流表、默认路由等方式引流至安全组件，以使安全组件分析这些流量并进行安全防护。如：引流流量至web防火墙这一安全组件，那么安全防护可以是：基于七层代理规则进行代理防护。
68.如图4所示，云管理系统可以收集某一业务方的所有目标云平台的云平台日志(即业务日志)及安全日志(即安全防护日志)，对所收集的这些日志进行分析，可到该业务方的云防护风险，让基于此风险可以进一步调整安全组件的防护策略，形成集云平台集成、自动化安全运维、安全日志统一分析告警和整体安全组件调度的闭环处理流程。如图4所示，云管理系统还具备日志收集、风险分析、运营告警等微服务模块。
69.其中，基于风险进一步调整安全组件的防护策略，包括：通过分析目标云平台内部业务，自动创建与其业务匹配的防护策略。如：在业务有变化的时候，自动感知并动态增加服务策略，也就是：有业务扩展的时候，自行将新业务添加至防护列表。
70.可见，本实施例可以利用云管理系统统一管理多个云、并能够实现：自动化安全运维、安全日志统一分析告警和整体安全组件调度的闭环处理流程。
71.下面对本技术实施例提供的一种云管理装置进行介绍，下文描述的一种云管理装置与上文描述的一种云管理方法可以相互参照。
72.参见图5所示，本技术实施例公开了一种云管理装置，应用于云管理系统，包括：
73.获取模块501，用于获取云管理系统纳管的目标云平台的云日志；
74.分析模块502，用于通过分析云日志确定目标云平台的安全防护策略；
75.策略更新模块503，用于获取目标云平台针对安全防护策略的应用配置信息，按照应用配置信息将安全防护策略应用至目标云平台中的至少两个安全管理虚拟机。
76.在一种具体实施方式中，至少两个安全管理虚拟机与目标云平台中记录云日志的安全管理虚拟机不同；相应地，安全防护策略还应用至目标云平台中记录云日志的安全管理虚拟机。
77.在一种具体实施方式中，云日志包括：目标云平台中的防御类安全管理虚拟机、审计类安全管理虚拟机和/或运维类安全管理虚拟机记录得到的云业务日志和安全防护日志。
78.在一种具体实施方式中，分析模块具体用于：
79.利用预设规则分析云日志，得到安全防护策略。
80.在一种具体实施方式中，还包括：
81.创建模块，用于若目标云平台中不存在安全管理虚拟机，则在目标云平台中创建安全管理虚拟机，并将安全防护策略应用至新创建的安全管理虚拟机。
82.在一种具体实施方式中，安全管理虚拟机的创建过程包括：通过目标云平台的密钥及接口鉴权账户接入目标云平台；获取用户指定的安全组件；在目标云平台中创建安装有安全组件的安全管理虚拟机，并将目标云平台产生的流量引流至该安全管理虚拟机。
83.其中，关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
84.可见，本实施例提供了一种云管理装置，该装置能够有针对性地对客户业务进行安全防护，实现同一防护策略在云中的横向扩展。
85.下面对本技术实施例提供的一种电子设备进行介绍，下文描述的一种电子设备与上文描述的一种云管理方法及装置可以相互参照。
86.参见图6所示，本技术实施例公开了一种电子设备，包括：
87.存储器601，用于保存计算机程序；
88.处理器602，用于执行所述计算机程序，以实现上述任意实施例公开的方法。
89.请参考图7，图7为本实施例提供的另一种电子设备示意图，该电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在电子设备301上执行存储介质330中的一系列指令操作。
90.电子设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windows servertm，mac os xtm，unixtm，linuxtm，freebsdtm等。
91.在图7中，应用程序342可以是执行云管理方法的程序，数据344可以是执行云管理方法所需的或产生的数据。
92.上文所描述的云管理方法中的步骤可以由电子设备的结构实现。
93.下面对本技术实施例提供的一种云管理系统进行介绍，下文描述的一种云管理系统与上文描述的一种云管理方法、装置及设备可以相互参照。
94.一种云管理系统，云管理系统由多个电子设备以分布式微服务架构组成，故任一电子设备可以看作云管理系统的一个分布式节点。云管理系统纳管有至少一个目标云平台。
95.在一种具体实施方式中，云管理系统预置有：用于流量审计、安全防御和/或运维审计的安全组件及相应防护策略。
96.在一种具体实施方式中，云管理系统用于：获取目标云平台的云业务日志和安全防护日志；通过分析所述云业务日志和所述安全防护日志，确定所述目标云平台的安全防护风险及所述安全防护风险对应的安全防护策略；将所述安全防护策略部署至所述目标云平台。
97.在一种具体实施方式中，云管理系统还用于对安全防护风险进行告警。
98.在一种具体实施方式中，云管理系统具体用于：
99.在目标云平台中确定安全防护策略对应的安全管理虚拟机；
100.将安全防护策略部署于安全管理虚拟机。
101.在一种具体实施方式中，安全管理虚拟机用于对目标云平台进行流量审计、安全防御或运维审计。
102.在一种具体实施方式中，云管理系统还用于：通过目标云平台的密钥及接口鉴权账户纳管目标云平台；获取用户指定的安全组件；在目标云平台中创建安装有安全组件的安全管理虚拟机，并将目标云平台产生的流量引流至该安全管理虚拟机。
103.在一种具体实施方式中，云管理系统为分布式微服务架构。
104.在一种具体实施方式中，任一目标云平台包括：同一业务方的私有云和/或公有云。
105.在一种具体实施方式中，云管理系统用于：获取云管理系统纳管的目标云平台的云日志；通过分析云日志确定目标云平台的安全防护策略；获取目标云平台针对安全防护策略的应用配置信息，按照应用配置信息将安全防护策略应用至目标云平台中的至少两个安全管理虚拟机。
106.可见，本实施例提供了一种云管理系统，该装置能够有针对性地对客户业务进行安全防护，实现同一防护策略在云中的横向扩展。
107.下面对本技术实施例提供的一种可读存储介质进行介绍，下文描述的一种可读存储介质与上文描述的一种云管理方法、装置及设备可以相互参照。
108.一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的云管理方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
109.本技术涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
110.需要说明的是，在本技术中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本技术要求的保护范围之内。
111.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。
112.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的可读存储介质中。
113.本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。