本發明公開一種異構云平臺安全策略統一管理方法、裝置和系統。該方法包括：接收用戶輸入的抽象安全訪問策略；將所述抽象安全訪問策略轉換為底層云平臺的具體安全訪問策略；將所述具體安全訪問策略下發給相應的底層云平臺。本發明基于對安全策略規則的抽象，采用適配器技術對異構云平臺的安全策略進行統一，使得用戶層面設置的安全策略規則，能夠自動適配到各云平臺，從而實現異構云平臺安全策略的統一管理及配置，具有良好的實用性。

技術領域

本發明涉及云計算領域，特別涉及一種異構云平臺安全策略統一管理方法、裝置和系統。

背景技術

隨著云計算技術的應用推廣，越來越多的企業選擇通過公有云、私有云或者混合云的方式實現核心業務上云。云主機的安全問題日益凸顯，成為現階段IaaS(Infrastructure as a Service，即基礎設施即服務)云平臺的關鍵問題。以OpenStack、VMware vCenter為代表的主流IaaS云管理平臺大都實現了基于虛擬機級別安全訪問策略。

鑒于云平臺底層虛擬化技術的差異性，云管理平臺對于虛擬機安全策略的實現方式也各不相同。例如采用KVM作為虛擬化軟件的OpenStack云管理平臺選擇基于Linuxiptables實現虛擬機的安全，而采用vSphere作為虛擬化軟件的VMware vCenter則基于vSwitch的安全組策略(Port group)實現云安全。除了安全策略實現方式不同外，不同云平臺對安全策略的定義也不同，包括策略格式和策略內容不同，導致云管理平臺無法對不同云平臺的安全策略進行統一的管理。隨著異構云平臺共存和資源交互場景的頻繁發生，迫切需要一種統一的辦法來保持異構云平臺的安全策略的一致性。

發明內容

鑒于以上技術問題，本發明提供了一種異構云平臺安全策略統一管理方法和系統、異構云管理平臺以及安全策略適配器，利用抽象安全規則和適配器技術，實現異構云平臺的安全規則統一管理和配置。

根據本發明的一個方面，提供一種異構云平臺安全策略統一管理方法，包括：

接收用戶輸入的抽象安全訪問策略；

將所述抽象安全訪問策略轉換為底層云平臺的具體安全訪問策略；

將所述具體安全訪問策略下發給相應的底層云平臺。

在本發明的一個實施例中，所述方法還包括：

根據不同虛擬化環境下典型的防火墻規則定義，抽象具有普適性的云平臺安全策略模型和規則；

將具有普適性的云平臺安全策略模型和規則呈現給用戶，以便接收用戶輸入的抽象安全訪問策略。

在本發明的一個實施例中，所述將所述抽象安全訪問策略轉換為底層云平臺的具體安全訪問策略包括：

針對虛擬機跨異構云平臺部署的情況，將述抽象安全訪問策略轉換為適合不同類型底層云平臺的具體安全訪問策略。

根據本發明的另一方面，提供一種異構云管理平臺，包括安全策略管理模塊、安全策略適配模塊和安全策略下發模塊，其中：

安全策略管理模塊，用于接收用戶輸入的抽象安全訪問策略；

安全策略適配模塊，用于將所述抽象安全訪問策略轉換為底層云平臺的具體安全訪問策略；

安全策略下發模塊，用于將所述具體安全訪問策略下發給相應的底層云平臺。

在本發明的一個實施例中，安全策略管理模塊包括安全策略管理單元、用戶交互單元和安全策略發送單元，其中：

安全策略管理單元，用于根據不同虛擬化環境下典型的防火墻規則定義，抽象具有普適性的云平臺安全策略模型和規則；