?

技術(shù)領(lǐng)域

本發(fā)明涉及一種計算機信息安全技術(shù)領(lǐng)域，具體地說是一種虛擬化環(huán)境下的云安全監(jiān)測方法。

背景技術(shù)

傳統(tǒng)的企業(yè)流量模型相對比較簡單，各種應(yīng)用基準流量及突發(fā)流量有規(guī)律可循，即使對較大型的數(shù)據(jù)中心，仍然可以根據(jù)web應(yīng)用服務(wù)器的重要程度進行有針對性的防護，對安全設(shè)備的處理能力沒有太高的要求。

傳統(tǒng)的安全威脅檢測模式中，客戶端安全軟件或硬件安全網(wǎng)關(guān)充當了威脅檢測的主體，所有的流量都將在客戶端或網(wǎng)關(guān)上完成全部的威脅檢測。這種模式的優(yōu)點是全部檢測基于本地處理延時較小，但是由于客戶端相互獨立，系統(tǒng)之間的隔離阻止了威脅檢測結(jié)果的共享。這也意味著在企業(yè)A已經(jīng)檢測到的新型威脅在企業(yè)B依然可能造成破壞，沒有形成整體的安全防護。

虛擬化是目前云計算最為重要的技術(shù)支撐，需要整個虛擬化環(huán)境中的存儲、計算及網(wǎng)絡(luò)安全等資源的支持。在這個方面，基于服務(wù)器的虛擬化技術(shù)走在了前面，已開始廣泛的部署應(yīng)用。基于該虛擬化環(huán)境，系統(tǒng)的安全威脅和防護要求也產(chǎn)生了新的變化。

傳統(tǒng)風(fēng)險依舊，防護對象擴大。一方面，一些安全風(fēng)險并沒有因為虛擬化的產(chǎn)生而規(guī)避。盡管單個物理服務(wù)器可以劃分成多個虛擬機，但是針對每個虛擬機，其業(yè)務(wù)承載和服務(wù)提供和原有的單臺服務(wù)器基本相同，因此傳統(tǒng)模型下的服務(wù)器所面臨的問題，虛擬機也同樣會遇到，諸如對業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、服務(wù)器或虛擬機的操作系統(tǒng)和應(yīng)用程序的漏洞攻擊、業(yè)務(wù)系統(tǒng)的病毒防護等；另一方面，服務(wù)器虛擬化的出現(xiàn)，擴大了需要防護的對象范圍，如IPS入侵防御系統(tǒng)就需要考慮以Hypervisor和vCenter為代表的特殊虛擬化軟件，由于其本身所處的特殊位置和在整個系統(tǒng)中的重要性，任何安全漏洞被利用，都將可能導(dǎo)致整個虛擬化環(huán)境的全部服務(wù)器的配置混亂或業(yè)務(wù)中斷。

云計算環(huán)境下的資源監(jiān)測是云計算平臺資源管理的重要組成部分，為資源分配、任務(wù)調(diào)度和負載均衡等提供依據(jù)。由于云計算環(huán)境下資源的透明虛擬化和彈性化，并需要對用戶使用資源進行計費，因此原有的資源監(jiān)測方法不能完全滿足云計算環(huán)境的要求。

發(fā)明內(nèi)容　　

本發(fā)明的技術(shù)任務(wù)是提供一種進一步防止快速增長且具有動態(tài)性的網(wǎng)絡(luò)威脅，提高云計算虛擬化環(huán)境下的整體安全性能的一種虛擬化環(huán)境下的云安全監(jiān)測方法。

本發(fā)明的技術(shù)任務(wù)是按以下方式實現(xiàn)的，直接在云的服務(wù)器端的內(nèi)部部署虛擬機安全軟件，通過對虛擬機開放的API接口的利用，將所有虛擬機之間的流量交換在進入到虛擬機之前，先引入到虛擬機安全軟件進行檢查。

虛擬機安全軟件為VMware開發(fā)的虛擬機安全軟件。

所述的流量指虛擬機之間的橫向流量。

虛擬機之間的橫向流量安全：同一個服務(wù)器的不同虛擬機之間的流量將直接在服務(wù)器端內(nèi)部實現(xiàn)交換，服務(wù)器端的內(nèi)部部署虛擬機安全軟件，通過對虛擬機開放的API接口的利用，將所有虛擬機之間的流量交換在進入到虛擬機之前，先引入到虛擬機安全軟件進行檢查。

此時可以根據(jù)需求將不同的虛擬機劃分到不同的安全域，并配置各種安全域間隔離和互訪的策略。

本發(fā)明的一種虛擬化環(huán)境下的云安全監(jiān)測方法，通過虛擬機監(jiān)測器和Java調(diào)用C/C++得到資源的狀態(tài)信息。

虛擬機之間的縱向流量包括從客戶端到服務(wù)器端的正常流量訪問請求，以及不同虛擬機之間的三層轉(zhuǎn)發(fā)的流量；縱向流量的交換必然經(jīng)過云的外置的硬件安全防護層進行檢查，硬件安全防護層的防護的設(shè)備類型是以防火墻和入侵防御系統(tǒng)等產(chǎn)品為主，在部署的方式上要求防火墻或入侵防御設(shè)備具備INLINE阻斷安全攻擊的能力，部署的位置可以旁掛在匯聚層或者是串接在核心層和匯聚層之間。

VMware是全球桌面到數(shù)據(jù)中心虛擬化解決方案的領(lǐng)導(dǎo)廠商。在虛擬化和云計算基礎(chǔ)架構(gòu)領(lǐng)域處于全球領(lǐng)先地位，所提供的經(jīng)客戶驗證的解決方案可通過降低復(fù)雜性以及更靈活、敏捷地交付服務(wù)來提高IT效率。VMware虛擬機是VMware公司開發(fā)的虛擬化平臺。

本發(fā)明的一種虛擬化環(huán)境下的云安全監(jiān)測方法具有以下優(yōu)點：進一步防止快速增長且具有動態(tài)性的網(wǎng)絡(luò)威脅，提高云計算虛擬化環(huán)境下的整體安全性能；因而，具有很好的推廣使用價值。

附圖說明

下面結(jié)合附圖對本發(fā)明進一步說明。

附圖1為一種虛擬化環(huán)境下的云安全監(jiān)測方法的一個實例的結(jié)構(gòu)框圖。

圖中VM流量重定向到安全虛擬機，即為虛擬機的流量引入到虛擬機安全軟件進行檢查的實例。

具體實施方式