CN105075212B - 用于数据中心安全的混合防火墙 - Google Patents
用于数据中心安全的混合防火墙 Download PDFInfo
- Publication number
- CN105075212B CN105075212B CN201380072377.1A CN201380072377A CN105075212B CN 105075212 B CN105075212 B CN 105075212B CN 201380072377 A CN201380072377 A CN 201380072377A CN 105075212 B CN105075212 B CN 105075212B
- Authority
- CN
- China
- Prior art keywords
- firewall
- application
- virtual machines
- virtual
- increased number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/177—Initialisation or configuration control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种用于采用硬件和软件防火墙组件来管理用于云计算数据中心的混合防火墙解决方案的系统和方法。虚拟应用由第一多个应用虚拟机来托管,并且第二多个防火墙虚拟机提供用于与虚拟应用相关联的流量的加防火墙服务。云管理实体确定虚拟应用需要增加数目的应用虚拟机。验证用于虚拟应用的安全简档,以确定增加数目的应用虚拟机是否需要增加数目的防火墙虚拟机。云管理实体可以按需要实例化附加应用虚拟机和防火墙虚拟机。
Description
技术领域
本发明一般地涉及云计算安全。具体地,涉及用于管理对虚拟化应用的加防火墙和其他服务需要的硬件和软件的系统和方法。
背景技术
随着云计算的快速演进,在服务器上运行的虚拟机上运行计算机程序变得越来越普遍。虚拟机(VM)是如物理机一样、执行程序的机器(即,计算机)的软件实现。运行虚拟机的物理硬件被称为主机或主机计算机,并且可以驻留在数据中心设施中。
数据中心是用于容纳计算机系统和关联组件的设施,通常包括用于在计算机系统和外部网络之间传输业务的路由器和交换机。数据中心通常包括冗余电源和冗余数据通信连接,以提供用于操作的可靠基础设施并且最小化任何破坏的机会。信息安全也是一个问题,并且由于该原因,数据中心必须提供安全的环境,以最小化安全漏洞的任何机会。
虚拟化具有优于传统计算环境的若干优点。在虚拟机上运行的操作系统和应用通常仅需要在虚拟机运行的底层物理硬件上可用的全部资源的一部分。主机系统可以采用多个物理计算机,其中的每一个运行多个虚拟机。虚拟机可以按需要被创建和关闭,因此仅按需要使用物理计算机的资源。虚拟化应用可以在一个或多个虚拟机上运行,该一个或多个虚拟机可以按应用需要被扩大或缩小。
虚拟化的另一优点是由用于操作虚拟机和将虚拟机从一个物理站点移动到另一个或者在相同数据中心内的主机之间移动虚拟机的能力提供的灵活性。虚拟机可以被移动,以便于更好地利用主机机器并且提供扩大或缩小尺寸的弹性。
许多数据中心使用采用专用硬件和软件的设施,以在数据中心中提供各种服务。这样的服务可以包括防火墙服务、负载平衡服务、统一威胁管理(UTM)服务、入侵检测和预防系统(IDS/IPS)、数据丢失预防(DLP)系统、代理/网关服务和其他安全服务。
图1图示了在提供防火墙和安全服务的数据中心100之前布置有硬件设施102的数据中心100。数据中心100具有7个刀片(blade)104、106、108、110、112、114、116。刀片1–5、104-112运行由虚拟化层118管理的虚拟机VM1-VM10。刀片6和7、114和116运行由虚拟化层120管理的虚拟存储组件VS1-VS4。硬件防火墙102检查并且过滤从网络122到数据中心100的业务。基于用于数据中心100的最大吞吐量来确定该防火墙102的容量。在实践中,这通常导致防火墙102的过大尺寸。
如果数据中心100的硬件在未来升级并且数据中心100的总容量增加,则防火墙设施102也将需要被升级,以满足日益增加的业务需求。该类型的操作可能需要服务中断、硬件/软件升级的投资和高操作成本。
由硬件设施提供的服务的虚拟化也蓄势待发。例如,虚拟防火墙(VF)是完全在虚拟化环境内运行的网络防火墙服务,其可以提供与由物理网络防火墙或防火墙服务设备传统上提供的相同的分组过滤和监视。
图2图示了采用纯虚拟防火墙的数据中心200。数据中心200具有7个刀片204、206、208、210、212、214和216。刀片1-5、204-212运行由虚拟化层218管理的虚拟机VM1-VM10。刀片6和7、214和216运行由虚拟化层220管理的虚拟存储组件VS1-VS4。刀片4和5、210和212可以被配置到运行加防火墙应用的虚拟机VM7-VM10或更简单地称为“虚拟防火墙”。刀片4、210可以一直专用于虚拟防火墙,而刀片5、212可以在流量增加时被指配给防火墙。当流量减少时,可以释放这些虚拟机VM9和VM10。类似于图1的硬件防火墙102,虚拟防火墙可以检查并且过滤从网络222到数据中心200的流量。虚拟化的防火墙服务允许资源按流量需要调整。
因此,希望提供一种用于集成硬件和虚拟防火墙组件并且减轻相关联的可扩展性问题的系统和方法。
发明内容
本发明的目的在于消除或减轻现有技术的至少一个缺点。
在本发明的第一方面,提供了一种用于管理与虚拟化应用相关的防火墙需要的方法。包括处理器的云计算管理实体确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在第一多个中的增加数目的应用虚拟机。确定增加数目的应用虚拟机需要增加数目的防火墙虚拟机。应用虚拟机被实例化;并且防火墙虚拟机被实例化。
在本发明的第一方面的实施例中,根据检测到与虚拟化应用相关联的防火墙比率阈值被增加数目的应用虚拟机超过,确定所需要的增加数目的防火墙虚拟机。防火墙比率阈值可以被包括在虚拟化应用的部署时配置的应用简档中。虚拟化应用可以被托管在第一多个应用虚拟机上,并且第二多个防火墙虚拟机可以提供用于与虚拟化应用相关联的流量的加防火墙服务。
在另一实施例中,该方法进一步包括:将应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目作比较。
在另一实施例中,该方法进一步包括:计算应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目的比率;以及将所计算的比率与关联于虚拟化应用的防火墙比率需要作比较。
在另一实施例中,该方法进一步包括:将第一多个中的所需要的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量作比较。
在另一实施例中,该方法进一步包括:将第一多个中的所需要的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量和为了由虚拟化应用使用而提供的硬件防火墙的带宽的总和作比较。
在另一实施例中,该方法进一步包括下述步骤:确定增加数目的应用虚拟机需要增加数目的负载平衡虚拟机;以及实例化负载平衡虚拟机。
在另一实施例中,该方法进一步包括下述步骤:确定虚拟化应用需要第一多个中的减少数目的应用虚拟机;确定减少数目的应用虚拟机需要减少数目的防火墙虚拟机;关闭应用虚拟机;以及关闭防火墙虚拟机。
在本发明的第二方面中,提供了一种云管理实体,包括用于存储指令的存储器和配置为执行指令的处理引擎。处理引擎被配置为确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在第一多个中的增加数目的应用虚拟机。该处理引擎确定增加数目的应用虚拟机需要增加数目的防火墙虚拟机。该处理引擎实例化应用虚拟机并且实例化防火墙虚拟机。
在本发明的第二方面的实施例中,云管理实体进一步包括通信接口,该通信接口用于与第一多个应用虚拟机和第二多个防火墙虚拟机进行通信。
在另一实施例中,响应于检测到与虚拟化应用相关联的防火墙比率阈值被超过来进行需要增加数目的防火墙虚拟机的确定。防火墙比率阈值可以通过处理引擎被包括在虚拟化应用的部署时配置的应用简档中。虚拟化应用可以被托管在第一多个应用虚拟机上,并且第二多个防火墙虚拟机可以针对与虚拟化应用相关联的流量提供加防火墙服务。
在另一实施例中,处理引擎将第一多个中的应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目作比较。
在另一实施例中,处理引擎计算第一多个中的应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目的比率;以及将所计算的比率与关联于虚拟化应用的防火墙比率阈值作比较。
在另一实施例中,处理引擎将第一多个中的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量作比较。
在另一实施例中,处理引擎将第一多个中的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量和为了由虚拟化应用使用而提供的硬件防火墙的带宽容量的总和作比较。
在结合附图回顾对本发明的具体实施例的以下描述时,本发明的其他方面和特征对于本领域普通技术人员来说将是明显的。
附图说明
现在将仅通过示例的方式,参考附图来描述本发明的实施例,在附图中:
图1是具有硬件防火墙的现有技术的数据中心的框图;
图2是具有虚拟防火墙的现有技术的数据中心的框图;
图3是具有混合防火墙的数据中心的框图;
图4a是第一时间处的虚拟机指派的示例;
图4b是第二时间处的虚拟机指派的示例;
图5是图示实施例的流程图;
图6是图示实施例的呼叫流程图;
图7是根据一个或多个实施例的方法的流程图;以及
图8是示例性云管理设备的框图。
具体实施方式
以下可以参考根据附图标号的特定元件。下面的讨论应被视为是示例性的,而不是对本发明范围的限制。本发明的范围由权利要求限定,而不应被视为受到下述实现细节的限制,如本领域技术人员将理解的,其可通过用等同功能元件替换元件来进行修改。
本发明涉及一种用于管理采用硬件和虚拟防火墙组件二者的混合防火墙解决方案的系统和方法。硬件部分可以非常专用于基本操作,并且因此,不需要被经常更新。虚拟防火墙部分的容量可以在任何给定时间随着在数据中心中运行的应用的容量而变化。可以强化在虚拟防火墙和虚拟化应用之间的预定义的比率,以避免用于服务流量处理的任何瓶颈或阻塞。额外虚拟防火墙的添加可以通过启动专用于运行防火墙服务的附加虚拟机来实现。
不同的虚拟应用可以具有不同的需要,并且因此,每个应用可以具有可以在部署应用时配置的不同的安全比率简档。该安全比率简档可以用于验证在虚拟防火墙的数目和提供应用的虚拟机的数目之间的比率。替代地,安全简档可以在与应用相关联的应用虚拟机和防火墙虚拟机之间定义对带宽容量的比率需要、虚拟机的类型、处理功率、存储/存储器或其组合。
图3图示了采用混合防火墙的数据中心300。硬件防火墙302和虚拟防火墙303被集成以保护数据中心300。数据中心300具有7个刀片304、306、308、310、312、314和316。刀片1-5、304-312提供由虚拟化层318管理的虚拟机VM1-VM10。刀片6和7、314和316提供由虚拟化层320管理的虚拟存储组件VS1-VS4。刀片5、312提供专用于运行虚拟防火墙服务的虚拟机VM9和VM10。硬件防火墙302的容量可以最初被设计为处理从网络322到数据中心300的所有预期流量。随着时间的推移,数据中心300的刀片中的一些硬件可以被升级,并且整个数据中心300能够处理更多流量。在该情况下,可能超过防火墙容量,并且硬件防火墙302成为瓶颈。为了处理增加的流量,可以在刀片5、312中启动虚拟防火墙303。然后,进入的流量的一部分可以被路由到虚拟防火墙303,以卸载对硬件应用302的需求。
虽然图3仅关注混合硬件和虚拟防火墙,但是本领域技术人员将理解,相同的概念可以应用于数据中心中的其他服务,诸如负载平衡。在另一实施例中,硬件部分可以包括“浅”负载平衡器、浅防火墙和硬件模式匹配组件。已知这些元件全部都以硬件有效地实现。通过以硬件实现这些元件,该系统可以受益于近年来对基于因特网协议(IP)的过滤的硬件技术和用于检测分组中的恶意软件签名的模式匹配的机制的开发。这些元件主要在部署相关联的虚拟应用时被配置。不需要硬件部分知道虚拟应用安全简档,因为过滤基于L3-L5层信息完成并且应用层L7不由硬件部分来分析。例如,浅负载平衡器可以仅使用分组IP 5元组(源IP地址、源端口、目的地IP地址、目的地端口、协议)来进行负载平衡。浅防火墙还可以仅使用IP 5元组来进行过滤。硬件模式匹配可以在IP分组中使用使用硬件组件的模式识别和硬件正则(regex)。预先定义的恶意软件签名的集合在所有IP分组中被测试,而不需要知道关联的虚拟应用的安全简档。
该示例的软件部分包括虚拟防火墙和虚拟负载平衡器,虚拟防火墙和虚拟负载平衡器在虚拟机上运行并且被调谐到特定虚拟应用的安全简档。这些组件通常可以在应用层L7上进行操作。因此,在布置上需要设置用于虚拟应用安全简档的预定义的参数。因此,能够针对每个特定应用创建良好调谐的虚拟防火墙和/或负载平衡器,并且针对每个应用独立地对其进行缩放。因为安全机制基于诸如通常由一般计算机监视的行为监视的算法,并且因为在工业中在硬件上并不有效地被实现,所以对于用于这些组件的专用硬件没有迫切需要。
应当注意,即使用于各种虚拟应用的安全简档可能不同,该混合方法的硬件部分对于数据中心中的所有虚拟应用是共同的。软件部分专用于每个虚拟应用,并且可以被调谐为其安全简档。虽然硬件部分可以被认为是非弹性的和非可扩展的,但是如果对于硬件部分来说流量增加到无法管理的水平,则可以创建附加防火墙虚拟机,以便于在将其路由到软件组件之前处理额外的流量。
为了提供进一步可调整性并且强化应用安全比率简档,如上所述,提供了用于对数据中心中的不同应用指派虚拟机的机制。图4a和图4b图示了在两个不同时间点t1和t2时数据中心300中的虚拟机的示例性指派。
在图4a中,在第一时间t1,对云管理应用400a指派4个虚拟机,对防火墙服务402a指派3个虚拟机,对负载平衡服务404a指派2个虚拟机,并且19个虚拟机用于应用406a。在图4b中,在第二时间t2,对云管理应用400b指派4个虚拟机,对防火墙服务402b指派5个虚拟机,对负载平衡服务404b指派3个虚拟机,并且28个虚拟机用于应用406b。从该示例中,本领域技术人员将认识到在防火墙、负载平衡和应用之间指派的虚拟机的数目之间的关系。
与公共数据中心相对,在私人云计算环境中,要布置的应用的确切类型是已知和有限的。假定应用开发者可以定义用于其应用的简档,详细说明了要在布置时满足的参数集合。可以假设,在任何时间,具有不同的预定义的安全简档的不同的虚拟应用可以在私有云中运行。例如,在电信云中,IP多媒体子系统(IMS)简档、IP语音(VOIP)简档、因特网协议电视(IPTV)简档、分组数据网络网关(PDN GW)简档和用于web应用的超文本传输协议(HTTP)简档都可以被定义。
因为这些常规电信应用的需要是已知的,所以能够定义防火墙比率,该防火墙比率设置了有多少虚拟防火墙需要被布置用于处理与虚拟应用相关联的X数目的虚拟机的流量。应当注意,该比率可以是在相同虚拟应用或虚拟应用类型内运行不同类型的虚拟应用的虚拟机的数目的函数。例如,虚拟IMS应用可以包括运行流量处理器、输入/输出负载器和路由器的虚拟机。用于IMS应用的防火墙比率可以被定义为运行虚拟应用内的各种子应用的虚拟机的总数的函数。
防火墙比率可以用作用于对不同的应用指派或分布虚拟机的基础。与简单地等待流量负载达到阈值并且然后启动附加虚拟防火墙相对,这里讨论的方法是主动的,并且与创建用于应用的虚拟机的新的实例并行地创建新的虚拟防火墙。因此,安全性需要的软件组件可以在与应用本身被缩放的同时被缩放。基于用于各种虚拟应用的不同比率的组合,还可以针对数据中心定义总体比率。
还可以关于诸如负载平衡的其他虚拟化服务来创建比率简档。例如,虚拟应用可以具有定义特定数目的应用虚拟机所需要的防火墙虚拟机的数目和负载平衡虚拟机的数目的防火墙比率和负载平衡比率二者。
图5是图示用于调整用于虚拟应用的虚拟负载平衡器和虚拟防火墙的新的实例的本发明的实施例的流程图。该过程可以通过云管理系统或数据中心中的应用来执行。该过程通过接收对用于应用的至少一个附加虚拟机的请求来开始(步骤500)。响应于该请求,启动一个或多个应用虚拟机(步骤502)。验证运行防火墙服务的虚拟机的数目和运行应用的虚拟机的数目之间的比率(步骤504),以便于确定是否需要附加防火墙虚拟机(步骤506)。如果不需要新的防火墙虚拟机,则新启动的应用虚拟机可以与现有防火墙虚拟机相关联(步骤508)。如果需要附加防火墙虚拟机,则将其启动(步骤510)并且与新的应用虚拟机相关联(步骤512)。可选地,新启动的防火墙虚拟机可以与现有防火墙虚拟机和现有应用虚拟机二者相关联。
在满足用于虚拟应用的防火墙比率之后,也可以验证运行负载平衡服务的虚拟机的数目和运行应用的虚拟机的数目之间的负载平衡比率(步骤514)。确定是否需要附加负载平衡虚拟机来满足该比率(516)。如果不需要新的负载平衡虚拟机,则新启动的应用虚拟机可以与现有负载平衡虚拟机相关联(步骤518)。如果需要附加负载平衡虚拟机,则将其启动(步骤520)并且与新的应用虚拟机相关联(步骤522)。与防火墙虚拟机类似,新启动的负载平衡虚拟机可以可选地与现有负载平衡虚拟机和现有应用虚拟机相关联。
在一些实施例中,可能必须确定是否能够在步骤519中启动新的防火墙虚拟机或者在步骤520中启动新的负载平衡虚拟机之前启动主机中的附加虚拟机。在无法满足所需要的附加虚拟机的情况下,可以递送对应的警报或通知。数据中心的操作者可以考虑增加数据中心的总体容量或利用附加资源。
图6是图示本发明的另一实施例的呼叫流程图。对于该示例的目的,假定该过程在单个数据中心中发生。在替代实施例中,在不脱离本发明的范围的情况下,云计算组件可以位于多个数据中心中的多个主机中。云管理设备或实体600被设置在数据中心处。在一些实施例中,云管理实体600可以在物理上驻留在数据中心外或在各种数据中心之间分布。云管理实体600可以被实现为用于提供对数据中心的配置管理和控制虚拟化层650和底层物理硬件的专用刀片。虚拟化层650用作虚拟机管理器,提供硬件虚拟化,这允许用于管理多个或不同操作系统和应用的虚拟操作平台。虚拟化650可以包括一个或多个管理程序(hypervisor)。硬件服务设施防火墙630和虚拟防火墙640也被设置在数据中心中。虚拟防火墙640在图6中被示为单个块,但是可以由很多虚拟机组成。
云管理实体600接收对实例化用于虚拟应用的新的虚拟机的触发(步骤601)。云管理600可以基于很多因素来决定需要新的虚拟机,该因素包括由虚拟应用处理的流量带宽。云管理600请求由硬件防火墙630(步骤602)和虚拟防火墙640(步骤604)处理的流量的快照。硬件防火墙630和虚拟防火墙640向云管理600返回所请求的信息(步骤603和605)。在步骤606中,比较防火墙虚拟机的数目和应用虚拟机的数目之间的比率,以确定是否需要附加防火墙虚拟机。可以将该比率与关联于虚拟应用的预定义的安全参数作比较。该参数可以定义用于专用于运行与多个运行关联于应用的防火墙服务的虚拟机对应的应用的多个虚拟机的阈值或需要。替代地,该参数可以定义应用虚拟机和防火墙虚拟机之间的流量或带宽比例需要。
云管理600指令虚拟化650启动新的应用虚拟机(步骤607)。虚拟化650实例化新的虚拟机670(步骤608)。向虚拟化650(步骤609)和云管理600(步骤610)确认虚拟机670的成功实例化。
根据在步骤606确定没有满足用于应用的防火墙比率,云管理600指令虚拟化650启动新的防火墙虚拟机(步骤611)。虚拟化650实例化新的防火墙虚拟机680(步骤612)。向虚拟化650(步骤613)和云管理600(步骤614)确认防火墙虚拟机680的成功实例化。
在新的应用虚拟机670和新的防火墙虚拟机680的成功实例化之后,云管理600可以指令虚拟化650来将虚拟防火墙680与虚拟机670相关联(步骤615)。虚拟化650分别向虚拟机670和虚拟防火墙680发送配置指令(步骤616和618)。向虚拟化650(步骤617和619)确认成功配置和关联,进而虚拟化650向云管理600确认成功(步骤620)。
在一些实施例中,可以针对诸如负载平衡的其他虚拟化服务来重复步骤606-620。如关于图5所讨论的,可以验证运行负载平衡服务的虚拟机的数目和运行应用的虚拟机的数目之间的负载平衡比率,以确定是否需要增加数目的负载平衡虚拟机。
本领域技术人员可以理解,在图6中所示的步骤的顺序对于本发明的每个实施例不是必需的。例如,在不影响本发明的范围的情况下,云管理实体600可以选择在启动附加应用虚拟机670(步骤607-610)之前,启动附加虚拟防火墙680(步骤611-614)。
图7是根据本发明的一个或多个实施例的方法的流程图。该过程通过确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在第一个多个中的增加数目的应用虚拟机来在框700中开始。该确定可以根据与虚拟化应用或任何数目的其他因素相关联的流量的增加来进行。虚拟化应用可以被托管在第一多个应用虚拟机上。第二多个防火墙虚拟机可以为与虚拟化应用相关联的流量提供加防火墙服务。
在框710中,可选地,检测与虚拟化应用相关联的防火墙比率阈值被在框700中确定为所需要的增加数目的应用虚拟机超过。防火墙比率可以是与虚拟化应用相关联的预定义的安全简档需要。该应用安全简档可以在布置虚拟化应用时被配置。
在一些实施例中,根据将所需要的第一多个中的应用虚拟机的增加的数目与第二多个中的防火墙虚拟机的数目作比较来进行框710的检测。可以将被确定为虚拟化应用所需要的应用虚拟机的总数与当前在第二多个中的防火墙虚拟机的数目作比较,以确定是否超过了防火墙比率阈值。如果超过了防火墙比率,则需要增加数目的防火墙虚拟机。
在其他实施例中,根据将增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量作比较来进行框710的检测。增加数目的应用虚拟机的带宽容量可以是所需要的数目的应用虚拟机的容量中的每一个的总和。防火墙虚拟机的带宽容量可以是当前在第二多个中的防火墙虚拟机的容量的总和。可以比较各个带宽容量,以确定是否超过防火墙比率阈值。可选地,还可以考虑为与虚拟化应用一起使用而提供的硬件防火墙的带宽。可以将所提供的硬件防火墙的带宽容量和多个防火墙虚拟机的带宽容量的总和与所需要的增加数目的应用虚拟机的总带宽容量作比较以确定是否超过了防火墙比率阈值。如果超过了防火墙比率,则需要增加数目的防火墙虚拟机。
在框720,确定增加数目的应用虚拟机需要增加数目的防火墙虚拟机。可以根据检测到已经超过了防火墙比率来确定虚拟化应用需要至少一个附加防火墙虚拟机的确定(在框710中)。替代地,可以响应于确定了需要增加数目的应用虚拟机来确定虚拟化应用需要至少一个附加防火墙虚拟机的确定(在框700中)。
在框730中,实例化附加应用虚拟机。实例化的应用虚拟机可以被添加到第一多个应用虚拟机。实例化的附加应用虚拟机可能需要通过其配置过程而被附连到或者与初始第一多个应用虚拟机相关联。
在框740中,实例化附加防火墙虚拟机。实例化的防火墙虚拟机可以被添加到第二多个防火墙虚拟机。实例化的附加防火墙虚拟机可能需要通过其配置过程而被附连到或者与初始第二多个防火墙虚拟机相关联。
在替代实施例中,可以确定增加数目的应用虚拟机需要增加数目的负载平衡虚拟机。与关于防火墙比率的讨论类似,与应用虚拟机相比,与虚拟化应用相关联的安全简档可以定义对负载平衡虚拟机的数目的比率需要。可以响应于确定了需要增加数目的应用虚拟机来验证该比率。因此,可以实例化负载平衡虚拟机。
在另一替代实施例中,可以确定虚拟化应用需要第一多个中的减少数目的应用虚拟机。根据验证防火墙比率,可以确定减小数目的应用虚拟机需要减小数目的防火墙虚拟机。应用虚拟机和防火墙虚拟机可以按需要被关闭。
对本领域技术人员显而易见的是,在一些实施例中,图7中的步骤的顺序可以在不脱离本发明的预期范围的情况下被修改。例如,在验证防火墙比率或者确定需要增加数目的防火墙虚拟机之前,实例化附加虚拟机。框720的需要增加数目的防火墙虚拟机的确定通过确定虚拟应用需要增加数目的应用虚拟机来触发,并且可以在启动任何附加虚拟机之前或之后来进行。类似地,不论是否已经启动了增加的数目,都可以使用所需要的增加数目的应用虚拟机来检查防火墙比率。
图8是图示与示例性云管理实体或设备800相关联的功能细节的框图。云管理设备800可以包括处理引擎810、存储器820和通信接口830。云管理设备800可以使用专用底层硬件来实现,或者替代地可以本身被实现为数据中心中的虚拟机。云管理设备800可以执行这里描述的与管理虚拟应用及其关联虚拟服务相关的各种实施例。云管理设备800可以响应于处理引擎810执行在诸如存储器820这样的数据储存库中存储的指令来执行这些操作。指令可以是软件指令,并且数据储存库可以是任何逻辑或物理计算机可读介质。虽然图8中被示出为单个实体,但是如上所述,云管理设备800可以通过地理上分散的多个不同设备来实现。
处理引擎810确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要第一多个中的增加数目的应用虚拟机。响应于确定了需要的增加数目的应用虚拟机,处理引擎810确定虚拟化应用也需要增加数目的防火墙虚拟机。因此,新的应用虚拟机和新的防火墙虚拟机通过处理引擎810来实例化。
处理引擎810可以响应于检测到防火墙比率阈值被超过而确定虚拟化的应用需要增加数目的防火墙虚拟机。防火墙比率阈值可以是与虚拟化应用相关联的安全需要,定义每应用虚拟机所需要的防火墙虚拟机的数目。替代地,防火墙比率阈值可以定义与增加数目的应用虚拟机的带宽容量相较的、对防火墙虚拟机的带宽容量需要。可选地,当检查防火墙比率阈值时,还可以考虑提供硬件防火墙的带宽容量用于由虚拟化应用使用。
通信接口830可以用于与第一多个应用虚拟机和第二多个防火墙虚拟机进行通信、或者与其关联的管理程序进行通信。处理引擎810可以通过通信接口830发出和接收指令。云管理装置800能够在云计算环境中与各种实体(物理和虚拟的)进行通信。
本文所描述的实施例已经涉及诸如防火墙和负载平衡服务这样的虚拟服务。本领域技术人员将理解,这里提出的机制可以被应用于在虚拟机上运行的任何服务。其他虚拟服务的示例包括因特网协议安全(IPSec)服务、虚拟专用网络(VPN)服务、负载平衡服务、入侵检测和预防系统(IDS/IPS)或统一威胁管理(UTM)服务。
本发明的混合防火墙机制将硬件部分与软件部分分离以提高灵活度和可扩展度。该方法将快速改变的一般中央处理单元(CPU)技术与专用硬件的技术分离。随着数据中心刀片随时间升级为最新的技术,该方法可以使得数据中心管理员能够改变虚拟应用的防火墙比例以适应该升级。不需要升级专用硬件防火墙,因为虚拟防火墙将尽可能多地改善用于虚拟应用的虚拟机。
本发明的实施例可以被表示为存储在机器可读介质(也被称为计算机可读介质、处理器可读介质或实现有计算机可读程序代码的计算机可用介质)中的软件产品。机器可读介质可以是任何适当的有形介质,包括磁、光或电存储介质,包括软盘、紧缩盘只读存储器(CD-ROM)、数字多功能盘只读存储器(DVD-ROM)存储器设备(易失性或非易失性)或类似的存储机制。机器可读介质可以包含各种指令集、代码序列、配置信息或其他数据,其在被执行时使得处理器执行根据本发明的实施例的方法中的步骤。本领域普通技术人员将认识到,实现所描述的发明所需要的其他指令和操作还可以被存储在机器可读介质上。从机器可读介质运行的软件可以与电路对接,以执行所描述的任务。
本发明的上述实施例意在仅是示例。在不背离仅由所附权利要求限定的本发明的范围的情况下,本领域技术人员可以对具体实施例进行修改和变化。
Claims (10)
1.一种用于通过具有处理引擎的云管理实体来管理与虚拟化应用相关的防火墙需要的方法,包括:
-通过所述处理引擎来确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在所述第一多个中的增加数目的应用虚拟机;
-通过所述处理引擎来确定所述增加数目的应用虚拟机需要增加数目的防火墙虚拟机;
-实例化应用虚拟机;以及
-实例化防火墙虚拟机,
其中根据检测到与所述虚拟化应用相关联的防火墙比率阈值由于所述增加数目的应用虚拟机而被超过,来确定所需要的增加数目的防火墙虚拟机,其中所述防火墙比率设置了有多少虚拟防火墙需要被布置用于处理与所述虚拟化应用相关联的某个数目的虚拟机的流量;
其中所述检测通过将所述第一多个中的所需要的增加数目的应用虚拟机的带宽容量与所述第二多个中的所述防火墙虚拟机的带宽容量作比较来进行,或者通过将所述第一多个中的所需要的增加数目的应用虚拟机的带宽容量与所述第二多个中的所述防火墙虚拟机的带宽容量和被提供用于由所述虚拟化应用使用的硬件防火墙的带宽容量的总和作比较来进行。
2.根据权利要求1所述的方法,其中所述防火墙比率阈值被包括在布置所述虚拟化应用时配置的应用简档中。
3.根据权利要求1所述的方法,其中所述虚拟化应用被托管在所述第一多个应用虚拟机上,并且所述第二多个防火墙虚拟机提供用于与所述虚拟化应用相关联的流量的加防火墙服务。
4.根据权利要求1所述的方法,进一步包括下述步骤:将实例化的所述应用虚拟机添加到所述第一多个;以及将实例化的所述防火墙虚拟机添加到所述第二多个。
5. 根据权利要求1所述的方法,进一步包括下述步骤:
-确定所述增加数目的应用虚拟机需要增加数目的负载平衡虚拟机;以及
-实例化负载平衡虚拟机。
6.根据权利要求1所述的方法,进一步包括下述步骤:
-确定所述虚拟化应用需要所述第一多个中的减少数目的应用虚拟机;
-确定所述减少数目的应用虚拟机需要减少数目的防火墙虚拟机;
-关闭应用虚拟机;以及
-关闭防火墙虚拟机。
7. 一种云管理实体,包括:
-用于存储指令的存储器;以及
-处理引擎,被配置为执行所述指令以用于:确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在所述第一多个中的增加数目的应用虚拟机;确定所述增加数目的应用虚拟机需要增加数目的防火墙虚拟机;实例化应用虚拟机;并且实例化防火墙虚拟机,
其中响应于检测到与所述虚拟化应用相关联的防火墙比率阈值由于所述增加数目的应用虚拟机而被超过来确定需要所述增加数目的防火墙虚拟机,其中所述防火墙比率设置了有多少虚拟防火墙需要被布置用于处理与所述虚拟化应用相关联的某个数目的虚拟机的流量;
其中所述处理引擎通过将所述第一多个中的所述增加数目的应用虚拟机的带宽容量与所述第二多个中的所述防火墙虚拟机的带宽容量作比较来进行所述检测,或者通过将所述第一多个中的所述增加数目的应用虚拟机的带宽容量与所述第二多个中的所述防火墙虚拟机的带宽容量和被提供用于由所述虚拟化应用使用的硬件防火墙的带宽容量的总和作比较来进行所述检测。
8.根据权利要求7所述的云管理实体,进一步包括:通信接口,所述通信接口用于与所述第一多个应用虚拟机和所述第二多个防火墙虚拟机进行通信。
9.根据权利要求7所述的云管理实体,其中所述防火墙比率阈值通过所述处理引擎被包括在所述虚拟化应用的部署时配置的应用简档中。
10.根据权利要求7所述的云管理实体,其中所述虚拟化应用被托管在所述第一多个应用虚拟机上,并且所述第二多个防火墙虚拟机提供用于与所述虚拟化应用相关联的流量的加防火墙服务。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/710,642 US9275004B2 (en) | 2012-12-11 | 2012-12-11 | Hybrid firewall for data center security |
US13/710,642 | 2012-12-11 | ||
PCT/IB2013/060822 WO2014091431A1 (en) | 2012-12-11 | 2013-12-11 | Hybrid firewall for data center security |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105075212A CN105075212A (zh) | 2015-11-18 |
CN105075212B true CN105075212B (zh) | 2020-08-04 |
Family
ID=50073228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380072377.1A Active CN105075212B (zh) | 2012-12-11 | 2013-12-11 | 用于数据中心安全的混合防火墙 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9275004B2 (zh) |
EP (1) | EP2932682B1 (zh) |
CN (1) | CN105075212B (zh) |
ES (1) | ES2758927T3 (zh) |
WO (1) | WO2014091431A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9251115B2 (en) * | 2013-03-07 | 2016-02-02 | Citrix Systems, Inc. | Dynamic configuration in cloud computing environments |
CN105229761B (zh) * | 2013-05-24 | 2017-04-19 | 丰田自动车株式会社 | 永磁体原料粉末的制造方法、永磁体的制造方法和永磁体坯料粉末的检验方法 |
US9497165B2 (en) * | 2015-03-26 | 2016-11-15 | International Business Machines Corporation | Virtual firewall load balancer |
US9459912B1 (en) * | 2015-06-24 | 2016-10-04 | International Business Machines Corporation | Installing virtual machines within different communication pathways to access protected resources |
US9864640B2 (en) * | 2015-08-14 | 2018-01-09 | International Business Machines Corporation | Controlling virtual machine density and placement distribution in a converged infrastructure resource pool |
US10185638B2 (en) * | 2015-09-29 | 2019-01-22 | NeuVector, Inc. | Creating additional security containers for transparent network security for application containers based on conditions |
CN106656905B (zh) * | 2015-10-28 | 2020-02-21 | 新华三技术有限公司 | 防火墙集群实现方法及装置 |
US20170366605A1 (en) * | 2016-06-16 | 2017-12-21 | Alcatel-Lucent Usa Inc. | Providing data plane services for applications |
CN107645479B (zh) * | 2016-07-22 | 2020-03-31 | 平安科技(深圳)有限公司 | 一种实现防火墙多活高可用性的方法及终端 |
US10341299B2 (en) | 2016-12-15 | 2019-07-02 | Nicira, Inc. | Collecting firewall flow records of a virtual infrastructure |
US10630644B2 (en) * | 2016-12-15 | 2020-04-21 | Nicira, Inc. | Managing firewall flow records of a virtual infrastructure |
US11436524B2 (en) * | 2018-09-28 | 2022-09-06 | Amazon Technologies, Inc. | Hosting machine learning models |
US11562288B2 (en) | 2018-09-28 | 2023-01-24 | Amazon Technologies, Inc. | Pre-warming scheme to load machine learning models |
US11057348B2 (en) * | 2019-08-22 | 2021-07-06 | Saudi Arabian Oil Company | Method for data center network segmentation |
US11522834B2 (en) * | 2020-04-11 | 2022-12-06 | Juniper Networks, Inc. | Autotuning a virtual firewall |
CN113595802A (zh) * | 2021-08-09 | 2021-11-02 | 山石网科通信技术股份有限公司 | 分布式防火墙的升级方法及其装置 |
US20230362234A1 (en) * | 2022-05-04 | 2023-11-09 | Microsoft Technology Licensing, Llc | Method and system of managing resources in a cloud computing environment |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US8127347B2 (en) * | 2006-12-29 | 2012-02-28 | 02Micro International Limited | Virtual firewall |
WO2008084826A1 (ja) | 2007-01-11 | 2008-07-17 | Nec Corporation | プロビジョニングシステム、方法、及び、プログラム |
US8095661B2 (en) | 2007-12-10 | 2012-01-10 | Oracle America, Inc. | Method and system for scaling applications on a blade chassis |
US8572612B2 (en) | 2010-04-14 | 2013-10-29 | International Business Machines Corporation | Autonomic scaling of virtual machines in a cloud computing environment |
US8612744B2 (en) | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
JP2012243255A (ja) * | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
US20140289418A1 (en) * | 2011-10-10 | 2014-09-25 | Ira Cohen | Methods and systems for planning execution of an application in a cloud computing system |
US9311160B2 (en) * | 2011-11-10 | 2016-04-12 | Verizon Patent And Licensing Inc. | Elastic cloud networking |
WO2013165369A1 (en) * | 2012-04-30 | 2013-11-07 | Hewlett-Packard Development Company, L.P. | Automated event management |
US9104492B2 (en) * | 2012-09-04 | 2015-08-11 | Wisconsin Alumni Research Foundation | Cloud-based middlebox management system |
US20140101656A1 (en) * | 2012-10-10 | 2014-04-10 | Zhongwen Zhu | Virtual firewall mobility |
-
2012
- 2012-12-11 US US13/710,642 patent/US9275004B2/en active Active
-
2013
- 2013-12-11 CN CN201380072377.1A patent/CN105075212B/zh active Active
- 2013-12-11 WO PCT/IB2013/060822 patent/WO2014091431A1/en active Application Filing
- 2013-12-11 ES ES13828986T patent/ES2758927T3/es active Active
- 2013-12-11 EP EP13828986.3A patent/EP2932682B1/en active Active
Non-Patent Citations (1)
Title |
---|
"Integrated and Autonomic Cloud Resource Scaling";Masum Z.Hasan等;《IEEE Network Operations and Management Symposium》;20120608;正文第1327-1333页 * |
Also Published As
Publication number | Publication date |
---|---|
EP2932682B1 (en) | 2019-09-04 |
ES2758927T3 (es) | 2020-05-07 |
CN105075212A (zh) | 2015-11-18 |
WO2014091431A1 (en) | 2014-06-19 |
US9275004B2 (en) | 2016-03-01 |
US20140164619A1 (en) | 2014-06-12 |
EP2932682A1 (en) | 2015-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105075212B (zh) | 用于数据中心安全的混合防火墙 | |
US10498601B2 (en) | Dynamic, load-based, auto-scaling network security microservices architecture | |
US11397609B2 (en) | Application/context-based management of virtual networks using customizable workflows | |
US10742679B2 (en) | Multi-tiered network architecture for mitigation of cyber-attacks | |
US10623309B1 (en) | Rule processing of packets | |
US9935829B1 (en) | Scalable packet processing service | |
US20140101656A1 (en) | Virtual firewall mobility | |
US20150341377A1 (en) | Method and apparatus to provide real-time cloud security | |
US20090328193A1 (en) | System and Method for Implementing a Virtualized Security Platform | |
US11924167B2 (en) | Remote session based micro-segmentation | |
WO2016160533A1 (en) | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries | |
US10193862B2 (en) | Security policy analysis based on detecting new network port connections | |
US9847970B1 (en) | Dynamic traffic regulation | |
US10169594B1 (en) | Network security for data storage systems | |
US9652279B1 (en) | Remotely interacting with a virtualized machine instance | |
KR102646200B1 (ko) | eBPF(XDP)를 활용한 효율적 패킷 전송 방법 및 이를 위한 컴퓨팅 장치 | |
US20230222210A1 (en) | Hypervisor assisted virtual machine clone auto-registration with cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |