本發明實施例公開了一種虛擬機的安全接入控制實現方法和系統，其中，方法包括：新建虛擬機時，虛擬機管理平臺將該新建虛擬機的屬性信息發送給策略管理控制器；策略管理控制器通知虛擬防火墻或者虛擬交換機限制該新建虛擬機的通信權限，使其只能與安全基線管理系統通信，并通知安全基線管理系統對該新建虛擬機進行安全合規性檢查檢查和修復；若新建虛擬機未通過安全合規性，安全基線管理系統利用最新安全配置策略對新建虛擬機的安全配置進行修復，并在修復完畢后通知策略管理控制器；策略管理控制器通知虛擬防火墻或者虛擬交換機取消對新建虛擬機的通信權限限制。本發明實施例可以實現對新創建的虛擬機進行安全合規性檢查。

技術領域

本發明涉及云計算安全領域，尤其是一種虛擬機的安全接入控制實現方法和系統。

背景技術

云計算的彈性業務要求快速的進行虛擬機部署。目前，通常通過克隆虛擬機鏡像模版的方式對新建虛擬機進行部署。如果虛擬機鏡像模版創建時間較長，可能存在未及時更新的安全補丁，或者系統配置與現有安全策略不符合。如果根據這個鏡像模版創建的虛擬機即時啟動接入網絡，可能存在安全風險。

為了解決虛擬機存在的安全風險問題，需要對新創建的虛擬機進行安全合規性檢查，通過后才允許接入網絡，這種技術屬于終端安全接入控制技術。

現有傳統的終端安全接入控制技術方案，目前主要有基于客戶端/服務器（C/S）的使用802.1x協議實現終端接入控制實現方式，和路由策略控制實現方式。然而，在實現本發明的過程中，發明人發現上述兩種實現方式并不適用于虛擬機環境：

上述兩種實現方式都需要安裝客戶端，用于上報網絡屬性及安全狀態信息，以觸發服務器進行安全檢查。而虛擬機業務客戶一般不喜歡安裝客戶端；

基于802.1x協議實現終端接入控制實現方式對虛擬交換機性能影響較大，一般不建議開啟；

路由策略控制方式無法控制同一物理機上虛擬機之間的橫向流量互訪，不適用于虛擬機環境。

發明內容

本發明實施例所要解決的技術問題是：提供一種虛擬機的安全接入控制實現方法和系統，以實現對新創建的虛擬機進行安全合規性檢查。

本發明實施例提供的一種虛擬機的安全接入控制實現方法，包括：

新建虛擬機時，虛擬機管理平臺將該新建虛擬機的屬性信息發送給策略管理控制器；所述新建虛擬機的屬性信息包括新建虛擬機的標識信息、工作狀態與表示虛擬機所在位置的網絡屬性信息；

策略管理控制器通知虛擬防火墻或者虛擬交換機限制該新建虛擬機的通信權限，使得該新建虛擬機只能與安全基線管理系統通信，并通知安全基線管理系統對該新建虛擬機進行安全合規性檢查檢查和修復；

安全基線管理系統對所述新建虛擬機進行安全合規性檢查；

在所述新建虛擬機未通過安全合規性檢查時，安全基線管理系統利用最新安全配置策略對所述新建虛擬機的安全配置進行修復，并在修復完畢后通知策略管理控制器；

策略管理控制器通知虛擬防火墻或者虛擬交換機取消對所述新建虛擬機的通信權限限制。

上述方法的一個具體實施例中，所述策略管理控制器通知虛擬防火墻或者虛擬交換機限制該新建虛擬機的通信權限包括：

策略管理控制器通知虛擬防火墻或者虛擬交換機，將所述新建虛擬機放到隔離區。

上述方法的一個具體實施例中，所述策略管理控制器通知虛擬防火墻或者虛擬交換機取消對所述新建虛擬機的通信權限限制包括：

策略管理控制器通知虛擬防火墻或者虛擬交換機，將此新建虛擬機放到所屬工作區域，以與其它通信實體正常通信。