技術領域

本發明涉及虛擬機安全領域，尤其涉及一種保障業務虛擬機安全的系統及方法。

背景技術

近年來，隨著虛擬化技術的日益成熟，服務器虛擬化已經在各行業得到廣泛應用。服務器虛擬化是一種全虛擬化技術，它可以將一臺物理服務器虛擬成多臺獨立的虛擬機，我們可以在不同虛擬機上安裝不同的操作系統，部署不同的業務，一臺虛擬機崩潰或被攻擊不會對該物理服務器上其它虛擬機造成影響。服務器虛擬化技術可以實現數據中心IT資源的整合，提高服務器的資源利用率，減少服務器硬件的購置數量，可以大大節約企業的購置和運營成本。此外，采用服務器虛擬化技術可以構建資源高度共享和服務高度可靠的服務器集群系統，與傳統的服務器集群相比，具有更好的成本優勢。

動態性是服務器虛擬化的一個顯著特點，也就是說，在虛擬化環境中，可以將一臺物理服務器上的虛擬機遷移到其它物理服務器上，并可以確保虛擬機業務的不間斷性。服務器虛擬化的這種動態特性可以實現虛擬化環境中資源的優化配置，從而可能實現一個綠色節能的新型數據中心。

但服務器虛擬化動態特性可能使得傳統安全監控設備無法正常工作。傳統網絡安全監控設備一般假設被監控對象是靜止不動的，但這個假設在虛擬化環境中不再成立。當所監控的虛擬機遷移時，傳統的網絡安全設備無法感知到虛擬機的遷移，無法確保虛擬機遷移后安全策略的一致性。因此，有必要研發一種適合動態虛擬化環境能夠為特定虛擬機提供不間斷安全保障的方法和系統，確保虛擬機在遷移過程中的安全策略一致性。

發明內容

本發明提供了一種保障業務虛擬機安全的系統和方法，以解決如何在動態虛擬化環境中實現對承載著重要業務的業務虛擬機的連續安全監控問題。

本發明提供了一種保障業務虛擬機安全的系統，該系統包括安全管理中心和位于物理服務器上的一一對應的業務虛擬機和安全虛擬機，其中：

所述安全管理中心，用于獲得當前業務虛擬機遷移前后所屬的源物理服務器信息和目標物理服務器信息，將當前業務虛擬機對應的安全虛擬機同步遷移到目標物理服務器上，并通過虛擬化平臺中的虛擬化管理服務器向所述當前業務虛擬機對應的安全虛擬機發送安全策略；

所述安全虛擬機，用于接收來自所述安全管理中心的所述安全策略，根據所述安全策略對對應的業務虛擬機進行實時安全監控。

優選地，所述安全虛擬機為一個運行在虛擬機監視器上的特權虛擬機，所述特權虛擬機，用于通過虛擬機監視器提供的監控接口實現對對應的業務虛擬機的安全監控。

優選地，所述安全虛擬機為在所述虛擬化平臺上加載的一個虛擬機，所述安全管理中心，還用于通過所述虛擬管理服務器配置所述安全虛擬機所在物理服務器上的虛擬交換機上的鏡像端口，使得所述安全虛擬機對進出對應的業務虛擬機的網絡流量進行監控。

優選地，所述安全管理中心位于一臺單獨的物理服務器上，或者與所述虛擬管理服務器集成在一起。

優選地，所述安全虛擬機，還用于通過所述監控接口對對應的業務虛擬機的網絡流量以及內部行為進行安全監控。

優選地，所述安全虛擬機，還用于在檢測到攻擊事件后向所述安全管理中心發送所述攻擊事件；

所述安全管理中心，還用于在收到所述攻擊事件后，對所述攻擊事件進行關聯分析和做出響應。

優選地，所述安全管理中心，還用于在所述虛擬管理服務器注冊虛擬機遷移事件，以及接收所述虛擬管理服務器在當前業務虛擬機遷移時發送的遷移通知事件，并根據所述遷移通知事件獲得所述當前業務虛擬機遷移前后所屬的源物理服務器信息和目標物理服務器信息。

本發明還提供了一種保障業務虛擬機安全的方法，該方法包括：

獲得當前業務虛擬機發生遷移前后所屬的源物理服務器信息和目標物理服務器信息；

將當前業務虛擬機對應的安全虛擬機同步遷移到目標物理服務器上，并向遷移后的安全虛擬機發送安全策略，使得該遷移后的安全虛擬機根據所述安全策略對對應的當前業務虛擬機進行實時安全監控。

優選地，所述獲得當前業務虛擬機發生遷移前后所屬的源物理服務器信息和目標物理服務器信息之前，該方法還包括：

注冊所述當前業務虛擬機遷移事件，接收所述當前業務虛擬機發生遷移時發送的遷移通知事件；

所述獲得當前業務虛擬機發生遷移前后所屬的源物理服務器信息和目標物理服務器信息，包括：

根據所述遷移通知事件獲得當前業務虛擬機發生遷移前后所屬的源物理服務器信息和目標物理服務器信息。