本發明屬于云計算領域，提供了一種云計算平臺下微隔離裝置及方法。其中，該裝置包括管理中心和Agent探針模塊；所述Agent探針模塊安裝在云計算平臺中各個服務器上，用于監控相應服務器上的流量和行為以及巡檢相應服務器的安全，并將監控信息及巡檢信息上傳至管理中心進行存儲；所述管理中心，用于配置監控信息及巡檢信息的訪問規則并下發至各個服務器的Agent探針模塊中；所述Agent探針模塊，還用于將當前訪問信息與所述管理中心下發的訪問規則進行匹配，若符合訪問規則，則繼續訪問；否則，阻斷當前連接。

技術領域

本發明屬于云計算領域，尤其涉及一種云計算平臺下微隔離裝置及方法。

背景技術

本部分的陳述僅僅是提供了與本發明相關的背景技術信息，不必然構成在先技術。

隨著云計算技術在信息化建設中的快速普及，政府和公司內部各部門用來發布公告、提供服務、征集意見的信息系統不斷集中，形成了以各大公司、各級政府為單位的網站群。因此，對于網站群的安全運行已經成為當今社會信息安全建設的重要課題。

早期的微隔離技術專指網絡交換領域中通過限制以太網的沖突域，來提升整個網絡的性能。在云計算和虛擬化時代，微隔離有了新含義，主要是指利用軟件或者硬件的技術手段，在云計算或虛擬化環境中，劃分更多邏輯上的安全域，形成邏輯的安全邊界，實現訪問控制、威脅檢測與阻斷、監控和審計等等安全功能，提供小到虛機級的防護。

當前云計算時代的微隔離技術有多種實現方式，主要包括：物理安全設備隔離虛擬化環境、主機代理、虛擬交換機隔離、基于Hypervisor的控制和不基于Hypervisor的網絡安全控制。每種實現方式都有自身的特點。物理安全設備隔離虛擬化環境采用獨立安全設備進行安全域隔離，以報文頭、內容和行為做策略，對環境沒有依賴；主機代理在每個代理機上加載代理軟件，對進出虛擬機的流量，虛擬機應用，內容進行控制，強依賴于虛擬機操作系統；虛擬交換機隔離主要利用虛擬交換機的能力，在虛擬交換機上進行控制，在虛擬網卡對虛擬交換機的識別和報文頭上做策略；基于Hypervisor的控制在Hypervisor再加上虛擬機上安裝的安全軟件，在虛擬網卡上對基于虛擬機的識別、報文頭或內容做策略，依賴虛擬化平臺的API；不基于Hypervisor的網絡安全控制在一個虛擬機或物理設備上實現功能，在安全域或隔離邊界上基于虛擬機識別，報文頭或內容做策略，不依賴虛擬化環境，但需要引流。

盡管微隔離技術在云計算或虛擬化環境中，有著劃分更多邏輯上的安全域、形成邏輯的安全邊界、實現訪問控制、威脅檢測與阻斷、監控和審計等等安全功能、提供小到虛機級的防護等諸多優點，但是發明人發現，如今的微隔離技術仍有一些不足：(1)新舊設備不兼容導致的分布式控制問題，(2)微隔離技術也會受到惡意攻擊導致失效。

發明內容

為了解決上述背景技術中存在的至少一項技術問題，本發明提供一種云計算平臺下微隔離裝置及方法，其通過管理中心與各個Agent探針模塊相互通信，利用Agent探針模塊進行微隔離，能夠提升網站抵御攻擊能力，有效保障重點網站的安全平穩運營。

為了實現上述目的，本發明采用如下技術方案：

本發明的第一個方面提供一種云計算平臺下微隔離裝置，其包括管理中心和Agent探針模塊；

所述Agent探針模塊安裝在云計算平臺中各個服務器上，用于監控相應服務器上的流量和行為以及巡檢相應服務器的安全，并將監控信息及巡檢信息上傳至管理中心進行存儲；

所述管理中心，用于配置監控信息及巡檢信息的訪問規則并下發至各個服務器的Agent探針模塊中；

所述Agent探針模塊，還用于將當前訪問信息與所述管理中心下發的訪問規則進行匹配，若符合訪問規則，則繼續訪問；否則，阻斷當前連接。

進一步地，所述Agent探針模塊還用于將阻斷當前連接信息反饋至管理中心，所述管理中心還用于生成安全事件告警以提示用戶。