发明内容
针对现有技术中的缺陷,本发明提供了一种虚拟化网络动态信息安全的监控方法及系统,实现了在不影响整个系统稳定性的情况下,对存在安全问题的虚拟交换机进行处理。
第一方面,本发明提供一种虚拟化网络动态信息安全的监控方法,包括:
虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;
当所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心向所述虚拟化管理中心发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护中心;
所述隔离防护中心收到虚拟化健康服务管理中心的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。
可选的,所述虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值,包括:
所述虚拟化健康管理服务中心通过虚拟化管理中心获得虚拟交换机的物理拓扑信息;
所述虚拟化健康服务管理中心根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
可选的,所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量,包括:
所述虚拟化管理中心接收所述虚拟化健康服务管理中心配置并下发的捕获所述虚拟交换机的流量;
所述虚拟化管理中心通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
可选的,所述虚拟化健康服务管理中心配置并下发所述虚拟交换机的流量的健康监测策略,包括:
所述虚拟化健康服务管理中心向所述安全域对应的威胁预警模块下发健康监测策略;
所述虚拟化健康服务管理中心通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
可选的,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
第二方面,本发明还提供了一种虚拟化网络动态信息安全的监控系统,包括:虚拟化健康服务管理模块、虚拟化管理模块和隔离防护模块;
所述虚拟化健康服务管理模块,用于获取虚拟化管理模块中虚拟交换机的健康阈值;
所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理模块预设的健康阈值时,向所述虚拟化管理模块发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护模块;
隔离防护模块,用于收到所述虚拟化健康服务管理模块的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则;
所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理模块预设的健康阈值时,将所述虚拟交换机迁移回所述虚拟化管理模块。
可选的,所述虚拟化健康服务管理模块,还用于:
通过虚拟化管理模块获得虚拟交换机的物理拓扑信息;
根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
可选的,所述虚拟化管理模块,用于:
接收所述虚拟化健康服务管理模块配置并下发的捕获所述虚拟交换机的流量;
通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
可选的,所述虚拟化健康服务管理模块,还用于:
向所述安全域对应的威胁预警模块下发健康监测策略;
通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
可选的,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
由上述技术方案可知,本发明提供的一种虚拟化网络动态信息安全的监控方法及系统,在多租户环境下,保证完整的虚拟化技术特性(资源池化、弹性可扩展、动态迁移等),在不改变用户原有网络配置的前提下,采用较小的资源代价,提供一种完整的、高效可用的虚拟化环境信息安全监控系统框架,该框架可以集成包括虚拟交换机安全和虚拟网络安全在内的各类虚拟化或物理形态的安全产品,实现了在不影响整个系统稳定性的情况下,对存在安全问题的虚拟交换机进行处理。
具体实施方式
下面结合附图,对发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图,如图1所示,上述方法包括如下步骤:
101、虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;
102、当所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心向所述虚拟化管理中心发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护中心;
103、所述隔离防护中心收到虚拟化健康服务管理中心的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。
上述方法通过切换虚拟交换机运行的环境来避免了部署侵入式安全产品到虚拟化环境中,从而影响虚拟化环境性能和稳定性的问题。
具体的,上述步骤101包括:
1011、所述虚拟化健康管理服务中心通过虚拟化管理中心获得虚拟交换机的物理拓扑信息;
1012、所述虚拟化健康服务管理中心根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
1013、所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
在具体应用中,上述步骤1013中所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量,包括:
所述虚拟化管理中心接收所述虚拟化健康服务管理中心配置并下发的捕获所述虚拟交换机的流量;
所述虚拟化管理中心通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
上述步骤1013中所述虚拟化健康服务管理中心配置并下发所述虚拟交换机的流量的健康监测策略,包括:
所述虚拟化健康服务管理中心向所述安全域对应的威胁预警模块下发健康监测策略;
举例来说,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
所述虚拟化健康服务管理中心通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
为了更清楚的说明上述方法,图2示出了本发明实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图,如图2所示,该方法主要通过8个处理过程构成了一个完整的健康安全服务框架,基础拓扑信息获取、虚拟交换机业务信息关联、非侵入式的健康检查和安全评估、指标阈值配置和监测、运行环境切换、侵入式健康检查安全修复和威胁隔离、运行环境恢复。其中基础拓扑信息获取指系统从虚拟化平台获得虚拟交换机、虚拟网络的物理拓扑信息;虚拟交换机业务信息关联是在获得虚拟化环境的物理拓扑基础上按照用户的业务划分逻辑的安全域;非侵入式的健康检查和安全评估指针对逻辑安全域中包括的虚拟交换机进行包括漏洞扫描、基线扫描、入侵检测、网络审计、设备互联关系审计等非侵入式的安全检查;指标阈值配置和监测指对非侵入安全检查返回的实时结果参数进行指标化处理和计算,配置不同参数的关注度,以获得每个虚拟交换机的健康阈值;运行环境切换指对健康值低于设定阈值的虚拟交换机进行在线迁移,把其运行环境切换到部署了侵入式安全服务和产品的环境中;侵入式健康检查安全修复和威胁隔离指对切换到该环境中的虚拟交换机进行侵入式的细粒度检测和修复,对无法修复的进行暂时的隔离;运行环境恢复指对修复(如杀毒、打补丁)后且健康检查值达到预定预定阈值的虚拟交换机迁移回没有部署侵入式安全服务和产品的虚拟网络业务环境。通过整个8个处理过程,该方法实现了按需的对存在安全问题的虚拟交换机进行处理,以迁移虚拟交换机的方式来减小在虚拟化环境中启动安全软件带来的资源消耗和对整个系统环境稳定性的影响,并且该方法具有很高的环境和平台适应性,既可用于云环境建设的规划阶段,也可用于已经商用的云环境,既适应私有云环境,也适用于公有云环境,并能够以服务的方式提供安全服务。
本申请技术方案通过所提出的虚拟化健康安全服务框架结合了目前三种不同虚拟化安全解决方案的优势,在充分考虑虚拟化平台自身可用性的前提下,本技术方案采用带外实时检测分析加迁移式按需隔离防护的技术路线,有效避免了采用软件方式或虚拟交换机方式的安全应用网关、病毒防护等产品在虚拟化环境中对大量高密度部署虚拟交换机不间断实时检测扫描所带来的极大的资源消耗,也降低了由于串联在网络中的阻断式安全产品自身性能和稳定性对用户业务系统所带来的系统健壮性影响,并且能够更好的适应虚拟化环境中虚拟交换机的动态变化的特性。相对于流量导出式的安全解决方案,本申请技术方案能够提供包括虚拟交换机安全和虚拟网络旁路式检测和阻断隔离功能的完整解决方案,具有更高的应用价值。本申请技术方案还保留了采用物理安全产品提供安全服务能力的优势,使得用户能够有效利用已经采购的物理安全设备,并且具有更好的扩展能力。
图2给出了虚拟化网络动态信息安全监控方法的流程框图,整个框图通过四个主要的系统进行协助工作的,分别是:虚拟化健康服务管理中心、流量捕获探针、安全域的威胁预警、隔离防护中心。整个系统的模块间按照以下工作流程进行协作:
1、获取虚拟化物理拓扑信息:虚拟化健康服务管理中心通过用户业务系统中的虚拟化管理中心获得整个虚拟化平台中的虚拟交换机和虚拟网络的物理拓扑信息。
2、注册基于安全域的健康监测模块:通过获取的物理拓扑信息,在虚拟化健康服务管理中心中创建安全域,并绑定该安全域所对应的安全威胁预警模块,选择并配置隔离防护中心中的相关安全服务。如首先创建一个包含VM3的安全域,指定该安全域对应的威胁预警模块为威胁预警模块x,为该安全域选择Web安全防护、统一安全网关、入侵防御系统、DDOS防御等安全检测和隔离服务,并通过这些第三方安全产品的控制台配置这些服务。
3.1、配置并下发流量捕获和导流策略:通过流量捕获探针(虚拟交换机)的管理口向其下发流量捕获和导流策略,指定其具体捕获的流量和导出到安全域威胁预警模块的目的。
3.2、配置并下发健康监测策略:向安全域威胁预警模块下发健康监测策略,指定需要关注的健康监测指标(非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测高级威胁报警指数、虚拟交换机漏洞扫描报警数、虚拟交换机软件关键补丁缺失数等)。
4、流量捕获探针捕获流量:流量捕获探针从虚拟交换机上按照安全域配置抓取需要捕获的流量,本实施例中抓取了VM3的流量。
5、流量捕获探针导出流量:流量捕获探针按照安全域所绑定的安全域威胁预警模块的地址,把属于该安全域的数据包的目的MAC地址修改成所绑定的安全域威胁预警模块的MAC地址,并转发到网络上。本实施例中即把VM3相关的数据包的目的MAC都改成安全域威胁预警模块x的目的MAC。
6.1、安全域威胁预警模块实时监测:安全域威胁预警模块根据所配置的安全健康监测策略实时计算所指定关注的指标
6.2、安全域威胁预警模块实时同步监测指标:安全域威胁预警模块把所关注的指标值实时同步到虚拟化健康服务管理中心。
6.3、计算健康阈值:根据用预先设定的指标系数,按照给定公式虚拟交换机的健康阈值(该公式和指标系数作用于整个安全域)。
6.4、控制迁移健康度低于阈值的虚拟交换机:当虚拟化健康服务管理中心发现有虚拟交换机低于其所设定的健康阈值时,向虚拟化管理中心发出迁移命令,将该虚拟交换机迁移到隔离防护中心,本实施例中假设发现VM3的健康度低于其阈值,则将VM3迁移到隔离防护中心。
6.5、通知修改网络流管理规则:在虚拟化健康服务管理中心发起迁移命令前,需要先通知隔离防护中心修改其所控制的基于SDN的交换机的流表规则,以保证虚拟交换机在迁移过去后能够正常工作,且流量被完整监控和防护。
7、虚拟交换机迁移:VM3在虚拟化管理中心的控制下在线迁移到隔离防护中心,由于该模块也属于整个虚拟化资源池的一部分,因此在线迁移的整个过程不会引起运行在VM3上的业务系统的中断。
8.1、修改虚拟交换机流表规则:隔离防护中心在收到虚拟化健康服务管理中心的通知后,将向虚拟交换机发出配置命令,修改其流表规则,将相关流量直接送到外部的SDN交换机中。本实施例中即建立虚拟交换机和SDN物理交换机间的GRE隧道,并把VM3的流量封装到该GRE隧道中。
8.2、修改SDN物理交换机的流表规则:隔离防护中心在收到虚拟化健康服务管理中心的通知后,将向SDN物理交换机发出配置命令,修改其流表规则,以保证迁移来的虚拟交换机的出入流量将被先引导至第三方安全产品中,再转发到其真正的目的。
在隔离防护中心里的虚拟交换机是否迁移回正常的业务环境将由用户在虚拟化健康服务管理中心中进行配置,可以在被健康修复的虚拟交换机的健康度高于阈值后自动触发迁移回业务环境的命令,或设置为只手动迁移。
图3为本发明实施例提供的虚拟化网络动态信息安全的监控方法的原理框图,如图3所示,初始情况下虚拟交换机运行在业务环境中,带外监测模块运行在带外监测环境中,不使用虚拟化资源池的资源,而由带外监控模块对虚拟交换机提供实时的健康监测,通过这个监测过程实时的计算迁移条件对应的健康度值。健康检查和隔离防护环境也属于虚拟化资源池的一部分,但是由于不和业务环境相耦合,因此该部分的资源是固定大小分配的,不会因为用户业务虚拟交换机的数量增加而过度消耗虚拟化资源池的资源。
在两种情况下,将触发虚拟交换机向健康检查和隔离防护环境迁移,分别是定期检查时间触发和健康度触发。定期检查时间是用户设定的一个具体的时间,系统在到该时刻时,不考虑虚拟交换机的健康度情况,会直接把相关虚拟交换机迁移到健康检查和隔离防护环境中进行检查和必要的修复。健康度触发的情况是当健康度低于用户事先设定阈值时,系统根据虚拟交换机是攻击的受体还是攻击发起人对虚拟交换机采取不同的策略,对于虚拟交换机是被攻击对象的,把虚拟交换机迁移到健康检查和隔离防护环境中后,采用防火墙等策略,来阻断攻击,并对虚拟交换机的系统进行杀毒、打补丁等修复,但仍然保证虚拟交换机的网络连通和正常业务流量的收发;而对于虚拟交换机自身是攻击者的情况,将在迁移后先对其采取网络隔离,再对其进行杀毒、打补丁等修复工作。
虚拟交换机在两种情况下可以被迁移回业务环境,一种采用系统自动判断,即当系统监测虚拟交换机的健康度达到其阈值时,把虚拟交换机自动迁移回去,另外一种情况是让用户手动操作,下指令来把虚拟交换机迁移回业务环境中。
图4为本发明一实施例提供的虚拟化网络动态信息安全的监控系统的结构示意图,如图4所示,该系统包括:虚拟化管理模块41、虚拟化健康服务管理模块42和隔离防护模块43;
所述虚拟化健康服务管理模块42,用于获取虚拟化管理模块41中虚拟交换机的健康阈值;
所述虚拟化健康服务管理模块42,还用于在所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理模块预设的健康阈值时,向所述虚拟化管理模块发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护模块;
隔离防护模块43,用于收到所述虚拟化健康服务管理模块的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则;
所述虚拟化健康服务管理模块42,还用于在所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理模块预设的健康阈值时,将所述虚拟交换机迁移回所述虚拟化管理模块。
所述虚拟化健康服务管理模块42,还用于:
通过虚拟化管理模块获得虚拟交换机的物理拓扑信息;
根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
所述虚拟化管理模块,用于:
接收所述虚拟化健康服务管理模块配置并下发的捕获所述虚拟交换机的流量;
通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
所述虚拟化健康服务管理模块,还用于:
向所述安全域对应的威胁预警模块下发健康监测策略;
通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
举例来说,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数等。
上述系统通过一种新的系统架构方式和虚拟交换机管控技术相结合,实现在多租户环境下,对虚拟网络流量进行实时的捕获、分析,根据安全策略,按需的把发现问题的虚拟交换机从一般业务环境迁移到虚拟化安全服务域,并对其进行安全威胁处理,在处理完成后,再根据用户定义的安全策略自动或手动将其移回一般业务域。该服务框架可以提供包括实时检测监视、健康状态检查和评估、威胁诊断和处理、安全隔离等服务项目和功能。本发明所公开的系统至少包括安全虚拟交换机形态的流量捕获探针模块44、虚拟化健康服务管理模块42、安全域威胁预警模块45、隔离防护模块43和虚拟化管理模块41。
所述安全虚拟交换机形态的流量捕获探针模块44,用于按用户配置捕获用户所关注的虚拟交换机的网络流量,并根据其所属安全域导出到对应的安全域威胁预警模块。该安全虚拟交换机需要在每台物理虚拟化服务器上部署一台,并根据该物理主机上的虚拟交换机数量部署相同数量的虚拟网卡,用于监听对应虚拟交换机上的网络流。每个虚拟交换机流量捕获探针都配置有一个专用于流量导出的网卡,当该模块从虚拟交换机上利用混杂端口组或者端口镜像方式捕获到数据包后,根据该数据包的IP和MAC地址判断其所属虚拟交换机,并找到该虚拟交换机对应的安全域威胁预警模块地址,将数据包的目的MAC改成该安全域威胁预警模块地址,再转发出去。
所述虚拟化健康服务管理模块42,用于向用户提供可视化的虚拟化网络健康状态监控服务。该模块部署在物理机或虚拟交换机上,通过Web界面提供人机交互。该模块通过调用虚拟化管理模块(如vCenter、CloudStack)的虚拟化管理接口获得虚拟化环境中的物理拓扑信息,并实时监控该物理拓扑的变化。该模块还向用户提供可视化的安全域管理配置界面,在该界面上,用户可以创建基于其业务逻辑的安全域,选择属于该安全域的虚拟交换机,并为每个安全域指定一个对应的安全域威胁预警模块。在创建好安全域后,用户还需要为每个安全域配置健康威胁预警指标,该指标所包含参数从该安全域对应的安全域威胁预警模块实时获得,主要包括非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测高级威胁报警指数、虚拟交换机漏洞扫描报警数、虚拟交换机软件关键补丁缺失数等,若指标值超出预警值,则引起该指标变化的相关虚拟交换机将被在线迁移到部署了隔离防护模块的环境中进行细粒度的检查和处理,该迁移可设置为自动或手动,迁移指令通过虚拟化健康服务管理模块42调用虚拟化管理模块41的虚拟化管理接口实现。
所述安全域威胁预警模块45,用于对以安全域为单位的虚拟交换机集合进行非侵入式的健康状态检查和威胁扫描分析,并将结果实时的同步到虚拟化健康服务管理模块。每个安全域内的所有虚拟交换机都配置有相同的安全服务项目或安全策略,当安全域创建后,该安全域对应的虚拟交换机的标识信息(IP地址和MAC地址)就将被同步到对应的安全域威胁预警模块中。安全域威胁预警模块中整合了入侵检测、网络审计、设备互联关系审计、漏洞扫描、基线扫描等无需侵入用户虚拟交换机操作系统和虚拟网络环境就能够实现的安全检测和分析功能,根据用户的配置(所订购的服务项目)启动相应的服务,计算实时的指标值,并同步到虚拟化健康服务管理模块中。
隔离防护模块43,用于采用侵入式的检测和控制手段,细粒度检测虚拟交换机可能存在的健康问题,清除和修复发现的安全威胁,阻止非法系统调用、网络连接等执行。该模块所进行的工作将在虚拟化健康服务管理模块的指导下进行,根据迁入虚拟交换机的状态,分别执行健康状态检查和评估服务或威胁诊断和处理服务或安全隔离的服务,其中健康状态检查和评估服务是根据用户配置对虚拟交换机进行定期健康状态打分;威胁诊断和处理服务是对由于指标值超过预警值而迁移过来的虚拟交换机进行侵入式的细粒度检查和安全问题修复;安全隔离服务是对在问题修复后仍然无法达到预定健康值的虚拟交换机进行网络隔离,以避免其对网络中的其他虚拟交换机产生安全威胁。隔离防护模块处理后的虚拟交换机的健康值将得到修正,并同步给虚拟化健康服务管理模块,在处理后达到一定健康度的虚拟交换机根据用户的配置自动迁移回原业务环境或等待用户手动处理。隔离防护模块主要通过整合第三方病毒查杀、Web安全防护、统一安全网关、入侵检测和审计等安全产品来实现对虚拟交换机的健康检测、安全问题修复和安全隔离,其中作用于虚拟交换机操作系统的病毒查杀工具采用与虚拟化平台深度耦合的无代理架构实现,网络安全类产品则借助SDN交换机实现多个串并联安全产品的按需协同工作。