安全服务交付方法及相关装置制造方法及图纸

本发明专利技术提供安全服务交付方法及相关装置，以实现为租户按需提供安全服务。上述安全服务交付方法包括：安全资源池获取租户的安全服务需求；所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。可见，在本发明专利技术实施例中，安全资源池会为租户提供与其安全服务需求相应的虚拟化形式的安全服务，从而可实现为租户按需提供安全服务，避免出现浪费现象，或无法真正满足租户对安全服务的实际需求的问题。

Safety service delivery method and related devices

【技术实现步骤摘要】
安全服务交付方法及相关装置
本专利技术涉及云计算领域，特别涉及安全服务交付方法及相关装置。
技术介绍
云计算作为一种新兴的计算资源利用方式还在不断发展之中，其与传统信息系统一样面临着信息安全问题，目前已有云服务供应商为云服务租户提供安全服务交付。然而，不同租户可能对于安全服务有不同的要求，而现有的云安全服务平台申请安全服务时，所获取到的安全服务都是一样的，这样一方面会导致某些租户最终所获取到的安全服务超过了其真正需要的安全服务水平，从而造成浪费现象，而另外一方面则会导致某些租户最终所获取到的安全服务无法真正满足其对安全服务的实际需求，从而给租户造成了潜在的信息安全风险。
技术实现思路
有鉴于此，本专利技术实施例提供安全服务交付方法及相关装置，以实现为租户按需提供安全服务。为实现上述目的，本专利技术实施例提供如下技术方案：一种安全服务交付方法，包括：安全资源池获取租户的安全服务需求；所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。优选的，所述安全服务交付方法还包括：进行租户服务编排，得到安全服务链；所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务包括：使用所述安全服务链为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。优选的，所述进行租户服务编排，得到为所述租户提供所述至少一种租户可见的安全服务的安全服务链包括：创建所述至少一种租户可见的安全服务所需的各个安全组件；每一安全服务对应至少一个安全组件；对所述各个安全组件进行编排，得到为所述租户提供所述至少一种租户可见的安全服务的安全服务链。优选的，所述对租户服务编排包括：对所述租户申请的安全服务所需的安全组件进行编排，形成安全服务链，利用安全服务链为租户提供相应的安全服务。优选的，所述安全组件包括但不限于以下一种或多种：下一代防火墙组件、入侵防护组件、入侵检测组件、Web应用防火墙、流量清洗组件、上网行为管理组件、数据库审计组件、SSLVPN组件、负载均衡组件、日志审计组件、运维审计组件、漏洞扫描组件、安全配置核查组件和防恶意代码组件。优选的，所述安全资源池用于为租户提供自主管理服务，所述自主管理服务包括所述租户服务编排。优选的，所述安全资源池包括租户页面；所述安全资源池还用于：在租户登陆首页显示所述租户的所有安全组件；所述租户登陆首页属于所述租户页面中的页面。优选的，所述安全资源池还用于为安全资源池管理员账户提供安全运营管理服务，所述安全运营管理服务包括：状态监控服务、租户管理服务、订单管理服务、日志管理服务和平台管理服务中的至少一种。优选的，所述平台管理服务包括：当检测到所述安全资源池对应的集群中的主机满足第一条件或第二条件时，将运行在所述主机上的租户进行迁移；其中，所述第一条件包括所述主机存在网口故障；所述第二条件包括所述主机离线。优选的，所述第一条件还包括：所述主机存在网口故障的持续时长到达设定的网口故障迁移检测时间阈值；所述第二条件还包括：所述主机的离线持续时长到达预设的主机离线故障迁移检测时间阈值。优选的，所述网口故障迁移检测时间阈值的取值范围为5-300秒，所述主机离线故障迁移检测时间阈值的取值范围为5-300秒。优选的，所述平台管理服务包括：当系统检测到资源池中有主机网口故障，或者出现主机离线的情况，系统会将运行在该主机上的租户迁移到其它运行状态良好的主机上。优选的，可通过设置网口故障迁移检测时间以及主机离线故障迁移检测时间，当系统到达设置的阈值，系统会自动迁移租户到正常的主机上。优选的，所述平台管理服务包括：根据所述安全资源池所对应的集群中各主机的资源负载情况，调度租户的运行位置。优选的，所述根据所述安全资源池所对应的集群中各主机的资源负载情况，调度租户的运行位置包括：当检测到所述安全资源池对应的集群中任一主机的资源负载情况满足调度条件时，为运行在所述任一主机上的租户调度其他主机作为新的运行位置；其中，所述调度条件包括第一调度条件和第二调度条件中的至少一种；所述第一调度条件包括：所述任一主机的CPU利用率达到CPU利用率阈值；所述第二调度条件包括：所述任一主机的内存利用率达到内存利用率阈值中的至少一种。优选的，所述CPU利用率阈值的取值范围为50％-100％，默认值为70％；所述内存利用率阈值的取值范围为50％-100％，默认值为70％。优选的，所述第一调度条件还包括：第一敏感度达到敏感度阈值；所述第一敏感度表征了所述任一主机的CPU利用率达到CPU利用率阈值的持续时长；所述第二调度条件还包括：第二敏感度达到敏感度阈值；所述第二敏感度表征了所述任一主机的内存利用率达到内存利用率阈值的持续时长。优选的，所述敏感度阈值的取值范围为1-3分钟。优选的，所述安全资源池的部署方式包括：旁路、串联、策略路由或软件定义网络SDN引流；所述租户指定服务器或设备的流量流经所述安全资源池中的所述安全服务链，由所述安全服务链进行安全处理后，流出所述安全资源池。优选的，安全资源池在网络中部署方式包括：旁路、串联、策略路由或SDN引流；网络的流量流经所述安全资源池内部，进行安全处理后流出。优选的，所述安全资源池用于为租户提供自主管理服务，所述自主管理服务包括所述租户服务编排。优选的，所述安全资源池应具有租户服务可视功能，在租户登陆首页显示租户已申请的所有安全组件。优选的，所述自主管理服务还包括：向租户提供安全资讯目录、解决方案服务目录及安全服务目录；所述安全服务目录用于为租户提供安全服务的购买入口。优选的，所述安全资源池应具有服务市场功能，在服务市场上包括安全资讯、解决方案服务目录及安全服务目录，在安全服务目录中可购买租户需要的安全服务功能，实现按需自服务。优选的，所述自主管理服务还包括：安全服务的编辑服务，所述编辑服务包括规格修改、续期或删除。优选的，所述安全资源池应具有租户服务管理功能，以便于租户在管理平台上直接通过单点登录的方式进入安全服务界面进行租户服务管理，并对租户的安全服务进行规格修改、续期、删除等功能操作。优选的，所述安全服务需求具体为订单；所述自主管理服务还包括：订单展示服务和租户订单管理服务；其中，所述订单展示服务用于对租户的订单进行分类展示；所述分类包括但不限于：“全部”、“待审批”、“已通过”、“未通过”和“已取消”；所述租户订单管理服务用于：对处于待审核状态的订单进行取消。优选的，安全资源池应具有订单管理功能，租户可在管理平台对其订单信息进行管理和展示，不仅限于包括按“全部”“待审批”“已通过”“未通过”“已取消”分类展示；安全资源池应具有租户订单取消功能，租户对待审核的安全应用申请订单进行取消。优选的，所述自主管理服务还包括：租户账户管理服务；所述租户账户管理服务包括但不限于：新增租户管理员账户及密码修改。优选的，安全资源池应具有租户账本文档来自技高网...

【技术保护点】
1.一种安全服务交付方法，其特征在于，包括：/n安全资源池获取租户的安全服务需求；/n所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。/n

【技术特征摘要】
1.一种安全服务交付方法，其特征在于，包括：
安全资源池获取租户的安全服务需求；
所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。


2.如权利要求1所述的方法，其特征在于，所述安全服务需求用于向所述安全资源池申请提供至少一种租户可见的安全服务；
所述安全服务交付方法还包括：
进行租户服务编排，得到安全服务链；
所述安全资源池为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务包括：
使用所述安全服务链为所述租户提供与所述安全服务需求相应的虚拟化形式的安全服务。


3.如权利要求2所述的方法，其特征在于，所述进行租户服务编排，得到安全服务链包括：
创建所述至少一种租户可见的安全服务所需的各个安全组件；每一安全服务对应至少一个安全组件；
对所述各个安全组件进行编排，得到为所述租户提供所述至少一种租户可见的安全服务的安全服务链。


4.如权利要求2所述的方法，其特征在于，所述对租户服务编排，得到为所述租户提供所述至少一种租户可见的安全服务的安全服务链包括：
对所述租户申请的安全服务所需的安全组件进行编排，形成安全服务链，利用安全服务链为租户提供相应的安全服务。


5.如权利要求3所述的方法，其特征在于，所述安全组件包括但不限于以下一种或多种：
下一代防火墙组件、入侵防护组件、入侵检测组件、Web应用防火墙、流量清洗组件、上网行为管理组件、数据库审计组件、SSLVPN组件、负载均衡组件、日志审计组件、运维审计组件、漏洞扫描组件、安全配置核查组件和防恶意代码组件。


6.如权利要求2所述的方法，其特征在于，所述安全资源池用于为租户提供自主管理服务，所述自主管理服务包括所述租户服务编排。


7.如权利要求6所述的方法，其特征在于，所述安全资源池包括租户页面；
所述安全资源池还用于：在租户登陆首页显示所述租户的所有安全组件；所述租户登陆首页属于所述租户页面中的页面。


8.如权利要求6所述的方法，其特征在于，所述安全资源池还用于为安全资源池管理员账户提供安全运营管理服务，所述安全运营管理服务包括：状态监控服务、租户管理服务、订单管理服务、日志管理服务和平台管理服务中的至少一种。


9.如权利要求8所述的方法，其特征在于，所述平台管理服务包括：
当检测到所述安全资源池对应的集群中的主机满足第一条件或第二条件时，将运行在所述主机上的租户进行迁移；其中，所述第一条件包括所述主机存在网口故障；所述第二条件包括所述主机离线。


10.如权利要求9所述的方法，其特征在于，所述第一条件还包括：所述主机存在网口故障的持续时长到达设定的网口故障迁移检测时间阈值；所述第二条件还包括：所述主机的离线持续时长到达预设的主机离线故障迁移检测时间阈值。


11.如权利要求10所述的方法，其特征在于，所述网口故障迁移检测时间阈值的取值范围为5-300秒，所述主机离线故障迁移检测时间阈值的取值范围为5-300秒。

<...

【专利技术属性】
技术研发人员：黄林康，李崇良，徐涛，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44