本发明专利技术实施例公开了一种虚拟机的安全补丁升级方法,及装置,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,其中方法的实现包括:拷贝所述映像文件,得到映像文件备份;在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。该过程,补丁升级在安全环境下进行不存在时间窗的问题,也不需要虚拟机去适配所有类型的操作系统的版本,及其所有的补丁,因此安全补丁的升级工作量较小。综上,本发明专利技术实施例提供了安全并且能够广泛应用的虚拟机安全补丁升级的方案。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别涉及一种虚拟机的安全补丁升级方法,及装置。
技术介绍
主机虚拟化是实现主机功能的一种虚拟技术;在主机虚拟化场景下,主机内包含租户的虚拟机(Virtual Machine,VM)。租户的虚拟机内可以安装各种软件,软件可能因虚拟机长时间关机/休眠而错过关键安全补丁升级,从而导致该虚拟机启动后到打上安全补丁之前的时间窗内处于不安全状态,该时间窗内容易遭到黑客入侵或感染病毒。业界就该问题有广泛的讨论和需求。其中一种解决方案如下:基于虚拟化解决方案提供的专用应用程序编程接口(Applicat1n Programming Interface,API),对在线的VM的补丁和安全状态进行探测,然后对缺乏的安全补丁进行升级。专用API例如:VMWARE VMSAFE API (威睿VM安全API)。该方案,需要专用的API,上述专用的API —般由防病毒厂商和软件供应商共同定义,具体实现流程如下:在VM启动以后,防病毒厂商提供的防病毒软件通过上述专用的API从VM内的软件侧探测VM内安全补丁的安装情况;在发现VM缺乏的安全补丁后,对缺乏的安全补丁进行升级。但是,使用API进行探测到安全补丁升级完成之前的时间窗内,仍然会处于不安全的状态。为了解决存在不安全状态的时间窗的问题,业界又提出了另一种解决方案如下:在VM安装专用的安全代理(Agent)软件,在VM启动后通过该安全Agent软件自动进行安全补丁的检测和升级,具体流程如下:首先在VM内安装专用的安全Agent软件,上述安全Agent软件随VM的操作系统启动而启动,上述安全Agent软件启动后自动检查本机安全补丁的状态,检测到安全补丁缺失后,自动向服务器侧发起补丁升级过程,对缺失的安全补丁进行升级。采用安全Agent的方案,需要做一个安全Agent软件安装到所有客户的虚拟机,安全Agent软件需要适配所有类型的操作系统的版本,及其所有的补丁。由于适配工作量过大,该技术方案目前仅在企业私有云受控的场景下使用。因此,采用安全Agent的方案对系统版本和补丁检测的适配工作量过大,难以广泛应用。
技术实现思路
本申请提供了一种虚拟机的安全补丁升级方法,及装置,用于提供安全并且能够广泛应用的虚拟机安全补丁升级的方案。—方面,本申请的实施例提供一种虚拟机的安全补丁升级方法,应用于虚拟主机,虚拟主机内包含有虚拟机,虚拟机具有提供操作系统的映像文件,该映像文件通常可以是包括系统盘在内的任意能够提供操作系统功能的文件,方法具体包括:拷贝映像文件,得到映像文件备份;映像文件备份是映像文件的备份文件,和原始的映像文件通常是相同的;在安全环境下启动映像文件备份,对映像文件备份进行安全补丁升级得到目标映像文件;安全补丁的升级可以参考系统升级的方式,在这里启动映像文件备份的运行环境应当是被认为是安全的环境,例如私有云或者别的安全环境;在安全补丁升级成功后,使用目标映像文件替换映像文件。在一个可能的设计中,在安全环境下启动映像文件备份之前,所述方法还包括:同步本地与升级服务器的安全补丁的数据;该“本地”是指控制虚拟机安全补丁升级的实体设备的本地,更具体地可以是本地的数据库;安全补丁的数据同步,可以是下载全部的最新安全补丁,也可以是仅更新最新的安全补丁的版本号等标识性信息;依据安全补丁的数据确定虚拟机是否有需要升级的安全补丁,获取虚拟机当前状态;确定是否有需要升级的安全补丁的方式可以确定上述映像文件备份里面是否已经包含了最新的安全补丁,如果不是那么就有需要升级的安全补丁;虚拟机的状态可能有很多,本实施例主要关注其是不是处于运行状态;确定虚拟机有需要升级的安全补丁,并且虚拟机当前状态为非运行状态,则在安全环境下启动映像文件备份。本实施例提供的安全补丁的获得方案,可以方便安全补丁的集中管理。在一个可能的设计中,方法还包括:接收安全补丁升级的配置策略,配置策略至少包括:安全补丁升级的频率;配置策略是用来确定升级所采用的规则,除了升级频率,还可以定义升级顺序等任意规则;上述虚拟机当前状态为非运行状态包括:在安全补丁升级的频率对应的时间点,虚拟机的状态为非运行状态。对于不同的租户而言,其租用的虚拟机的安全补丁升级,可以按照需求进行定制,本实施例则为该需求提供了支持。在一个可能的设计中,在使用目标映像文件替换映像文件之前,方法还包括:同步本地与安全服务器的病毒库数据库;病毒数据库可以包含病毒特征码在内的用于识别病毒/木马等恶意软件的特征数据,其具体形式是特征码还是专用的杀毒软件本身并不影响本实施例的实现;启动目标映像文件使升级的安全补丁生效,使用病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。在VM的映像文件进行安全补丁升级完成以后,有可能存在安全风险,本实施例则为消除这种风险提供了解决方案。在一个可能的设计中,方法还包括:若安全补丁升级失败,则将目标映像文件回退到映像文件备份。在一个可能的设计中,安全环境包括:虚拟私有云VPC。安全环境是包括安全升级域在内的任意能够提供安全的软件运行的环境,VPC作为一个可选实现方式并不是唯一实现方案。二方面,本申请的实施例提供一种虚拟机的安全补丁升级装置,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,包括:文件拷贝单元,用于拷贝所述映像文件,得到映像文件备份;补丁升级单元,用于在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;替换控制单元,用于在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。在一个可能的设计中,所述装置还包括:补丁同步单元,用于在所述补丁升级单元在安全环境下启动所述映像文件备份之前,同步本地与升级服务器的安全补丁的数据;升级确认单元,用于依据所述安全补丁的数据确定所述虚拟机是否有需要升级的安全补丁 ;状态获取单元,用于获取所述虚拟机当前状态;所述补丁升级单元,用于在所述升级确认单元确定所述虚拟机有需要升级的安全补丁,并且所述状态确认单元获取到所述虚拟机当前状态为非运行状态,则在安全环境下启动所述映像文件备份。在一个可能的设计中,所述装置还包括:策略接收单元,用于接收安全补丁升级的配置策略,所述配置策略至少包括:安全补丁升级的频率;所述虚拟机当前状态为非运行状态包括:在所述安全补丁升级的频率对应的时间点,所述虚拟机的状态为非运行状态。在一个可能的设计中,所述装置还包括:病毒库同步单元,用于在所述补丁升级单元在使用所述目标映像文件替换所述映像文件之前,同步本地与安全服务器的病毒库数据库;映像启动单元,用于启动所述目标映像文件使升级的安全补丁生效;安全验证单元,用于使用所述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。在一个可能的设计中,所述装置还包括:回退控制单元,用于若安全补丁升级失败,则将所述目标映像文件回退到所述映像文件备份。在一个可能的设计中,所述补丁升级单元,用于在虚拟私有云VPC启动所述映像文件备份。三方面,本申请实施例还提供了另一种虚拟机的安全补丁升级装置,应用于虚拟主机,上述虚拟主机内包含有虚拟机,上述虚拟机具有提供操作系统的映像文件,包括:接收器、发射器、处理器以及存储器;其中,本文档来自技高网...
【技术保护点】
一种虚拟机的安全补丁升级方法,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,其特征在于,包括:拷贝所述映像文件,得到映像文件备份;在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:张喆,郑晓峰,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。