,构建多访问方式下统一的认证通道,管理网络由ESXi宿主机和vCenter Server服务器构成。系统采用B/S架构,管理员通过Web浏览器登录管理界面,方便配置安全策略并查看日志记录。为防止单点故障,装置采用双机热备的方式部署。
[0037]如图2所示,为VMware云环境体系结构示意图。在VMware ESXi的体系结构中,ESXi宿主机被挂载在vCenter Server下,建立高可用性主机集群,vCenter提供图形界面对虚拟化云环境中的各类资源和策略进行统一的管理和配置。ESXi宿主机和vCenterServer所在的网络被定义为云环境的管理网络,主要有两类访问方法。一是通过登录vCenter Server管理控制平台,访问云端资源,实现对虚拟机磁盘文件的读取或拷贝,这类用户包括Web客户端、vSphere客户端,以及数据中心的备份设备;二是通过远程传输协议等方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储,包括SSH登录、Remote-CLI登录,以及通过应用程序编程接口获取hypervisor底层数据等。
[0038]如图3所示,为本实施例云环境下虚拟机防窃取系统体系结构示意图。在本实施例中,防窃取装置将首先启用主机服务器内置的轻量级防火墙,设定只有本装置的IP地址才可以发送管理命令,从而禁止ESXi宿主机和vCenter Server从其他渠道接收管理指令。之后防窃取装置将监控所有通过的数据包,如果连接指向一台被保护的ESXi宿主机或vCenter Server,并且是通过管理端口到达的,防窃取装置上的应用程序将会接管该连接,并对磁盘文件拷贝请求的合法性进行验证。反之,装置将会直接让连接通过而不做管理。
[0039]对于本实施例来说,防窃取装置将从vCenter Server中导入对用户的身份认证信息,对磁盘文件的访问控制策略可通过装置的管理Web界面自主创建,或者从vCenter中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
[0040]在运行过程时,防窃取装置将截获用户对管理网络中磁盘文件的所有拷贝请求,这些请求可能来自vShere Client、Web Client、虚拟机备份设备、SSH、ESXi Remote-CL1、应用程序编程接口等,并对这些请求进行分析。首先验证用户身份,确保用户身份是被认证的合法用户,然后检查其将要执行的任务和操作与对应的操作权限是否匹配。若用户通过验证且请求合法,防窃取装置内运行的应用程序会暂时终止用户的连接,然后以用户的身份重新开始一个从应用程序到目标主机的对话。通过这样的操作,控制用户对虚拟机磁盘文件执行的所有拷贝操作。若用户没有获得授权或请求不合法,应用程序将终止那些没有通过认证的用户操作。以上过程对用户完全透明,对用户的操作体验没有任何影响。
[0041]与此同时,对于合法用户的拷贝操作,装置将会记录日志信息,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的系统调用等等,弥补VMware体系架构中日志记录功能的不足。并将所有的访问和拷贝操作的日志以Excel、TXT或HTM格式保存下来,提供集中式的日志检索服务,便于管理员的查询和审计。
[0042]根据上述实施例的描述可知,防窃取装置为物理设备,采用双机热备的方式部署在管理网络和企业网络之间,将多种认证登录渠道合并,实现身份认证的整合。软件方面,应用程序基于Windows Server操作系统自主研发,提供对用户友好的管理界面,方便设备管理员进行配置,防窃取装置具有的功能包括:
[0043]I):从vCenter Server中导入云环境中各类用户的身份认证信息,包括用户、角色和权限。
[0044]2):提供对磁盘文件访问控制策略的创建、删除、修改功能,以及从vCenterServer中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
[0045]3):截获用户对管理网络中磁盘文件的所有拷贝请求,并对这些请求进行分析。首先验证用户身份,然后核查用户拷贝操作的合法性。若操作合法,应用将接管该连接,控制本次拷贝操作。反之,应用程序将阻断用户请求。
[0046]4):通过日志,记录所有对虚拟机磁盘文件的拷贝行为,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的系统调用等。日志以Excel、TXT或HTM格式保存,以便提供集中式的检索服务。
[0047]以上所述的【具体实施方式】,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的【具体实施方式】而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种云环境下虚拟机防窃取方法,其特征在于,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括: 获取企业网络对管理网络中磁盘文件的所有拷贝请求; 从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份; 如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配; 如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。2.如权利要求1所述的方法,其特征在于,还包括: 通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。3.如权利要求1或2所述的方法,其特征在于,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。4.如权利要求3所述的方法,其特征在于,所述防窃取装置为双机热备的方式部署。5.如权利要求1或2所述的方法,其特征在于,所述管理网络包括ESXi宿主机和vCenter Server 服务器。6.如权利要求1或2所述的方法,其特征在于,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。7.如权利要求2所述的方法,其特征在于,所述日志以Excel、TXT或HTM格式存储。8.如权利要求1或2所述的方法,其特征在于,还包括: 检测到文件的下载行为时,发出警告。
【专利摘要】本发明涉及一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:获取企业网络对管理网络中磁盘文件的所有拷贝请求;从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105120010
【申请号】CN201510599733
【发明人】陈乐然, 王刚, 陈威, 徐小天, 石磊
【申请人】华北电力科学研究院有限责任公司, 国家电网公司
【公开日】2015年12月2日
【申请日】2015年9月18日