【技术实现步骤摘要】
一种面向虚拟机集群的分布式网络安全方法
[0001]本专利技术涉及网络安全
,特别是指一种面向虚拟机集群的分布式网络安全方法。
技术介绍
[0002]随着云计算、虚拟化技术的快速发展,虚拟机使用越来越多。大多数业务系统迁移到了虚拟机里,运行在虚拟机集群环境中。云环境下的网络虚拟化技术,使虚拟机集群的网络边界变得模糊,虚拟机运行的业务系统和敏感数据面临严重的网络安全威胁。
[0003]虚拟机集群里的业务应用系统,由大单体的巨石型架构转变为三层业务架构或云原生业务架构,承载业务系统的虚拟机集群的流量模型是以各虚拟机之间的东西向流量为主,各个虚拟机之间可随意访问,缺少有效安全访问机制和安全策略防护手段。传统的边界安全设备仅能控制南北向流量,这种虚拟机集群的虚拟之间的东西流量则会绕过传统边界安全设备,虚拟机之间可以随意的访问,存在风险。
[0004]因为集群内的各个虚拟机之间是可以随意互相访问,所以集群内的虚拟机之间没有纵深防御体系,攻击者更容易开展东西向横向攻击。如有一台虚拟机被攻击者攻陷,那么攻击者就可以利...
【技术保护点】
【技术特征摘要】
1.一种面向虚拟机集群的分布式网络安全方法,其特征在于,搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行;安全策略的加载与执行的实现方法为:分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE;在虚拟机上运行微安全访问引擎MSAE,得到虚拟机信息,微安全访问引擎MSAE对虚拟机信息进行分类、归并、整合后,通过加密通信发送给分布式安全策略平台DSPP;分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据;以业务系统名称为初始标签建立虚拟机数据表,并录入虚拟机的结构化范式数据;制定包括源、目的、服务、时间段四个关键要素的安全策略模型,并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置;其中,安全策略的动作为允许或阻断;根据制定好的安全策略模型,分析出每台虚拟机的安全策略明细,利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形,转成为最终每台虚拟机可使用安全策略;安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接,分别把每台虚拟机的安全策略进行数据封装,以消息形式发送每台虚拟机;每台虚拟机的微安全访问引擎MSAE收到安全策略后,进行消息校验,把安全策略进行预检查,加载执行安全策略;当虚拟机集群内的虚拟机之间发生网络访问时,虚拟机使用安全策略检测流量,根据安全策略的动作配置,允许或阻断流量。2.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述分布式安全策略平台DSPP是控制管理组件,分布式安全策略平台DSPP内安装有微安全访问引擎MSAE的客户端;所述微安全访问引擎MSAE针对所有虚拟机的操作系统有不同的软件版本,全部微安全访问引擎MSAE的软件版本都被装载入分布式安全策略平台DSPP。3.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述虚拟机信息包括虚拟机的基础信息、虚拟机的业务信息、业务系统开放服务的信息、虚拟机的流量;其中,虚拟机的基础信息包括主机名称、IP地址、操作系统版本及补丁、CPU使用情况、内存占用情况、磁盘信息;虚拟机的业务信息包括操作系统组件信息、WEB软件名称及版本信息、数据库软件名称及版本信息、中间件名称及版本信息;业务系统开放服务的信息包括业务的配置参数、服务端口、文件名称、进程信息;虚拟机的流量包括虚拟机的入方向的网络流量、出方向的网络流量。4.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据的方法为:分布式安全策略平台DSPP收到每台虚拟机的信息...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。