本发明专利技术实施例公开了一种虚拟安全网关的安全策略配置系统与方法,其中,方法包括:根据用户配置生成用户安全策略;以虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;查询用户信息库,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略下发给各VSG。本发明专利技术实施例可以实现从用户维度对Hypervisor模式VSG安全策略的配置。
【技术实现步骤摘要】
本专利技术涉及云计算虚拟安全防护技术,尤其是一种。
技术介绍
虚拟安全网关(Visual Security Gateway, VSG)是新兴的云计算安全产品。VSG以虚拟机的形态部署在云平台上,能够为云平台上托管虚拟机之间的网络通信提供安全检测与控制。目前业界VSG产品的实现方式多样,其中虚拟层(Hypervisor)模式VSG是最有前景的实现方式之一。Hypervisor模式VSG的实现原理如下:一些主流虚拟化软件提供商,向第三方安全合作伙伴开放应用程序接口(API),例如,虚拟化软件VMware先后公开了VMware安全接口 vmSafe和虚拟防护套件vShield的API,让第三方安全合作伙伴能够将其安全网关产品与虚拟化软件稱合,在hypervisor层上实现对虚拟机通信流量的安全监控。这样,流出虚拟机的数据包在数据交换前就可以进行检测与处置,从而解决对位于同一物理机上的不同来源与属性的资源的访问控制与入侵防御问题。这类VSG产品因与虚拟化软件有API联系,所以必须和受保护虚拟机运行在同一台服务器上。原理上可以为每台虚拟机都配置一台VSG,但一台物理机上部署多台VSG将占用太多存储与计算资源,所以业界基本采用一台VSG对整台物理机上所有虚拟机进行防护的实现方式。然而,在实现本专利技术的过程中,专利技术人发现,业界这种基于物理机的部署方式,为多用户对Hypervisor模式VSG的管理带来诸多问题。云最重要的特性是计算的弹性扩展,这种便利性决定了用户所辖的各种资源分布式地散布在多处物理机上,而不同用户的资源可能位于同一台物理机上。也就是说Hypervisor模式VSG与用户管理范围是彼此交叉重叠的,并不存在一一对应关系。所以VSG的安全策略无法从用户的维度进行配置、管理,这将使VSG的运营维护非常不便,且难以将VSG管理权限向用户开放,并且,VSG无法为用户提供更好的个性化网络通信安全监控服务。
技术实现思路
本专利技术实施例所要解决的技术问题是:提供一种,以实现从用户维度对Hypervisor模式VSG安全策略的配置,为用户提供个性化的虚拟机网络通信安全监控服务。本专利技术实施例提供的一种虚拟安全网关的安全策略配置系统,包括:策略存储单元,用于存储策略模板,包括用户安全策略模板和下发给各虚拟安全网关VSG的VSG安全策略;所述策略模板为用于配置、记录安全策略的数据表,所述数据表包括源地址、目的地址、功能引擎、协议类型、处置策略数据项,安全策略在数据表中按照优先级为从前往后排列;用户信息库,用于存储从虚拟化管理平台中同步的虚拟机配置信息以及从VSG管理系统同步的VSG配置信息;其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息;配置门户单元,用于根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;分解单元,用于根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;合成单元,用于查询用户信息库中存储的虚拟机配置信息与VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;以及利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;分发单元,用于分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。在本专利技术安全策略配置系统的另一个实施例中,以虚拟机所有的虚拟网卡为最小单位包括:以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位。在本专利技术安全策略配置系统的另一个实施例中,所述分解单元,具体用于从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息;根据用户安全策略涉及的虚拟网卡信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息;根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址同一替换该用户的用户安全策略中的虚拟机的其它信息;以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前;去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目;为每条安全策略条目标注优先级;为每条安全策略条目标注用户ID ;以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组;分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类;所述处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作;分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。在本专利技术安全策略配置系统的另一个实施例中,所述合成单元以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略时,具体用于以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。在本专利技术安全策略配置系统的另一个实施例中,所述合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略时,具体用于按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类;分别将多个第一安全策略条目类与多个第二安全策略条目类做集合并处理,生成新的安全策略条目类;分别将依据不同处置策略分类得到的新的安全策略条目类之间做集合差处理,生成新的安全策略条目集合;去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目,得到最新VSG安全策略。在本专利技术安全策略配置系统的另一个实施例中,还包括:检测单元,用于按照遍历路径的方法,对所述最新VSG安全策略进行合理性检测;所述分发单元,具体用于根据检测单元的检测结果,分别将通过合理性检测的最新VSG安全策略下发给各VSG。在本专利技术安全策略配置系统的另一个实施例中,所述检测单元,具体用于依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行本文档来自技高网...
【技术保护点】
一种虚拟安全网关的安全策略配置系统,其特征在于,包括:策略存储单元,用于存储策略模板,包括用户安全策略模板和下发给各虚拟安全网关VSG的VSG安全策略;所述策略模板为用于配置、记录安全策略的数据表,所述数据表包括源地址、目的地址、功能引擎、协议类型、处置策略数据项,安全策略在数据表中按照优先级为从前往后排列;用户信息库,用于存储从虚拟化管理平台中同步的虚拟机配置信息以及从VSG管理系统同步的VSG配置信息;其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息;配置门户单元,用于根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;分解单元,用于根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;合成单元,用于查询用户信息库中存储的虚拟机配置信息与VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;以及利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;分发单元,用于分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。...
【技术特征摘要】
【专利技术属性】
技术研发人员:樊宁,何明,沈军,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。