一种云安全防护系统以及流量清洗方法技术方案

本发明专利技术提供了一种云安全防护系统以及流量清洗方法，所述系统包括云平台、云安全服务平台，所述云平台用于部署虚拟机，所述云安全服务平台用于在所述虚拟机上部署终端安全，所述云安全防护系统还包括安全资源池，所述安全资源池用于查看和/或管理所述终端安全。本实施例所示的云安全防护系统能够实现集中管理和安全可视，且能够统一控制所有安全组件，提供云平台安全状态展示功能，便于用户操作和管理。

Cloud safety protection system and flow cleaning method

The invention provides a cloud security protection system and the flow of cleaning method, the system includes a cloud platform, cloud security services platform, the cloud platform for the deployment of virtual machines, the cloud security service platform for the deployment of terminal security in the virtual machine, the cloud security system also includes security resource pool the safety, resource pool for viewing and / or the terminal security management. The cloud security protection system shown in the embodiment can realize centralized management and security visibility, and can uniformly control all security components, provide the security state display function of the cloud platform, and facilitate the operation and management of the user.

【技术实现步骤摘要】
一种云安全防护系统以及流量清洗方法
本专利技术涉及流量清洗
，尤其涉及的是基于云计算的流量清洗方法和云安全防护系统以及流量清洗方法。
技术介绍
全球云计算服务市场近年来保持高增长。据统计，2014年全球云计算服务市场规模达1528亿美元，增长率达17.9％，其中典型的基础设施即服务(英文全称：InfrastructureasaService，英文简称：IaaS)、平台即服务(英文全称：PlatformasaService，英文简称：PaaS)、软件即服务(英文全称：SoftwareasaService，英文简称：SaaS)服务的市场规模达425亿美元。云服务增速是全球IT支出的4倍，预计在全球IT支出中的占比将从2013年的3.6％提高到2018年的6.6％。云计算服务正日益演变为新型的信息基础设施。云计算是整个IT领域的一场变革，计算资源规模化、集约化使生产工作效率均得到了极大提升，然而随之带来的是保护企业资产、敏感数据等的新挑战，加拿大标准协会CSA于2月底公布的2016年12大云计算威胁中，数据泄露，弱身份信息或访问管理造成的威胁独占鳌头。造成这些威胁的背后主要因素是我们在使用云服务的时候，其对于租户来说是不透明的且租户缺少对于云服务的掌控力，与此同时传统安全解决方案又难以部署在云服务之前。因此能否解决这些安全难题，成为企业向云迁移的先决条件之一。目前在云计算环境中的安全解决方案，大致分为二类，一类是云平台厂商提供基本的安全能力，解决平台层的安全问题，业务层的安全由租户自己保证。另一类是由传统安全厂商把硬件安全设备软件化，移植到云平台来保证云计算环境的安全，但是在云计算环境下，与传统网络不同，在云计算环境下，客户业务资源可弹性扩展，这样要求安全也需要弹性扩展，仅通过传统安全硬件设备软件化无法实现。在云计算环境下，相同物理主机可同时运行多个客户的业务数据，没有传统物理边界，安全边界变得模糊，虚机东西向流量控制与可视成为问题。在云计算环境下，为保证业务连续性，客户业务可在多个不同云平台商之间迁移，客户需求一个统一的、更简单的安全运维平台，而目前云安全方案无法满足。
技术实现思路
本专利技术提供了一种云安全防护系统以及流量清洗方法，其较高的安全性，且能够实现客户业务资源的弹性扩展。本专利技术实施例第一方面提供了一种云安全防护系统，包括云平台、云安全服务平台，所述云平台用于部署虚拟机，所述云安全服务平台用于在所述虚拟机上部署终端安全，所述云安全防护系统还包括安全资源池，所述安全资源池用于查看和/或管理所述终端安全。所述安全资源池包括以下所示的至少一项组件：虚拟下一代应用防火墙vNGAF、虚拟网上行为管理vAC以及虚拟SSLVPN。所述安全资源池集中部署在多个云计算节点上，或所述安全资源池集所包括的至少一个所述组件部署在所述云计算节点上，所述云计算节点包括多个所述虚拟机。所述安全资源池包括以下功能所示的至少一项：用于向所述云平台提供南北向流量的安全防护能力、用于为所述终端安全提供用户管理的功能、用于为所述终端安全提供流量可视的功能、用于为所述终端安全提供安全可视的功能；所述安全防护能力包括以下所示的至少一项：网站的后门工具webshell防护、杀毒以及防篡改。所述云安全服务平台包括以下功能所示的至少一项：用于提供对云平台的管理、流量可视以及安全服务。所述终端安全包括以下功能所示的至少一项：用于为所述虚拟机提供网络的安全防护能力、用于为所述虚拟机提供主机的安全防护能力以及用于对所述云平台提供东西向流量的安全防护能力；所述安全防护能力包括以下所示的至少一项：网站的后门工具webshell防护、杀毒以及防篡改。所述云安全服务平台包括用户交互系统、鉴权系统、安全组件系统、实时信息系统、日志系统以及告警系统；所述用户交互系统用于提供控制面板和/或状态传输接口RESTAPI，所述控制面板用于实现用户与云安全防护系统的交互，所述云安全服务平台通过所述RESTAPI接口与所述云平台进行交互；所述鉴权系统用于对用户身份进行验证；所述安全组件系统用于与所述云平台对接，且所述安全组件系统用于管理所述云平台和所述终端安全；所述实时信息系统用于将所述安全资源池和/或所述终端安全的实时信息反馈给用户；所述日志系统用于获取所述安全资源池和/或所述终端安全的安全日志，所述日志系统还用于对所述安全日志进行分析以生成分析结果，所述日志系统还用于将所述分析结果向用户反馈；所述告警系统用于向用户反馈警告信息。所述鉴权系统还包括以下所示的功能的至少一项：令牌管理、提供访问资源的服务目录、提供与用户身份对应的访问控制、服务端点的注册。所述实时信息包括以下所示的至少一项：流量、运行状态、保护状态、CPU使用率以及内存使用率。所述分析结果以可视图表和/或安全报表的形式向用户反馈。本专利技术实施例第二方面提供了一种流量清洗方法，基于本专利技术实施例第一方面所提供的云安全防护系统，所述流量清洗方法包括：根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池，所述目标虚拟机的数目为至少一个，且所述目标虚拟机为受到分布式拒绝服务DDoS攻击的虚拟机；通过所述安全资源池根据已配置的流量牵引规则确定与所述目标虚拟机对应的安全资源；通过与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗以生成清洗后的流量；通过所述安全资源池将所述清洗后的流量回注到所述目标虚拟机。所述通过所述安全资源池根据已配置的流量牵引规则确定与所述目标虚拟机对应的安全资源之前，所述方法还包括：控制所述云安全服务平台通过云平台获取所述目标虚拟机所属的目标租户信息；控制所述云安全服务平台通过所述目标租户信息在所述安全资源池上创建所述安全资源，且所述安全资源与所述目标虚拟机对应；控制所述云安全服务平台根据所述目标租户信息生成所述流量牵引规则，且所述流量牵引规则与所述目标虚拟机对应；控制所述云安全服务平台将所述流量牵引规则发送给所述安全资源池。所述根据已配置的引流方式将目标虚拟机的流量牵引至安全资源池之前，所述方法还包括：接收用户输入的引流方式配置信息；根据所述引流方式配置信息配置所述引流方式。所述与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗以生成清洗后的流量之后，所述方法还包括：通过所述安全资源池生成流量清洗安全日志，所述流量清洗安全日志用于指示与所述目标虚拟机对应的所述安全资源对所述目标虚拟机的流量进行清洗的情况；通过所述安全资源池将所述流量清洗安全日志发送给云安全服务平台CSSP。本专利技术提供了一种云安全防护系统以及流量清洗方法，所述系统包括云平台、云安全服务平台，本实施例所示的云安全防护系统能够实现集中管理和安全可视，且能够统一控制所有安全组件，提供云平台安全状态展示功能，便于用户操作和管理。且本实施例所示的云安全防护系统具有较高的安全性，且能够实现客户业务资源的弹性扩展。附图说明图1为本专利技术所提供的云安全防护系统的一种实施例结构示意图；图2为本专利技术所提供的安全资源池的一种设置方式结构示意图；图3为本专利技术所提供的安全资源池的另一种设置方式结构示意图；图4为本专利技术所提供的云安全服务平台的一种设置方式结构示意图；图5为本专利技术所提供的流量清洗方法的一种实施例步骤流程图。具体实本文档来自技高网...

【技术保护点】
一种云安全防护系统，其特征在于，包括云平台、云安全服务平台，所述云平台用于部署虚拟机，所述云安全服务平台用于在所述虚拟机上部署终端安全，所述云安全防护系统还包括安全资源池，所述安全资源池用于查看和/或管理所述终端安全。

【技术特征摘要】
1.一种云安全防护系统，其特征在于，包括云平台、云安全服务平台，所述云平台用于部署虚拟机，所述云安全服务平台用于在所述虚拟机上部署终端安全，所述云安全防护系统还包括安全资源池，所述安全资源池用于查看和/或管理所述终端安全。2.根据权利要求1所述的系统，其特征在于，所述安全资源池包括以下所示的至少一项组件：虚拟下一代应用防火墙vNGAF、虚拟网上行为管理vAC以及虚拟SSLVPN。3.根据权利要求2所述的系统，其特征在于，所述安全资源池集中部署在多个云计算节点上，或所述安全资源池集所包括的至少一个所述组件部署在所述云计算节点上，所述云计算节点包括多个所述虚拟机。4.根据权利要求3所述的系统，其特征在于，所述安全资源池包括以下功能所示的至少一项：用于向所述云平台提供南北向流量的安全防护能力、用于为所述终端安全提供用户管理的功能、用于为所述终端安全提供流量可视的功能、用于为所述终端安全提供安全可视的功能；所述安全防护能力包括以下所示的至少一项：网站的后门工具webshell防护、杀毒以及防篡改。5.根据权利要求1所述的系统，其特征在于，所述云安全服务平台包括以下功能所示的至少一项：用于提供对云平台的管理、流量可视以及安全服务。6.根据权利要求1所述的系统，其特征在于，所述终端安全包括以下功能所示的至少一项：用于为所述虚拟机提供网络的安全防护能力、用于为所述虚拟机提供主机的安全防护能力以及用于对所述云平台提供东西向流量的安全防护能力；所述安全防护能力包括以下所示的至少一项：网站的后门工具webshell防护、杀毒以及防篡改。7.根据权利要求1至6任一项所述的系统，其特征在于，所述云安全服务平台包括用户交互系统、鉴权系统、安全组件系统、实时信息系统、日志系统以及告警系统；所述用户交互系统用于提供控制面板和/或状态传输接口RESTAPI，所述控制面板用于实现用户与云安全防护系统的交互，所述云安全服务平台通过所述RESTAPI接口与所述云平台进行交互；所述鉴权系统用于对用户身份进行验证；所述安全组件系统用于与所述云平台对接，且所述安全组件系统用于管理所述云平台和所述终端安全；所述实时信息系统用于将所述安全资源池和/或所述终端安全的实时信息反馈给用户；所述日志系统用于获取所述安全资源池和/或所述终端安全的安全日志，所述日志系统还用于对所述安全日志进行分析以生成分析结果，所述日志系...

【专利技术属性】
技术研发人员：张结辉，
申请(专利权)人：深圳市深信服电子科技有限公司，
类型：发明
国别省市：广东,44