CN105592089B - 一种云计算下的租户安全隔离方法 - Google Patents

一种云计算下的租户安全隔离方法 Download PDF

Info

Publication number
CN105592089B
CN105592089B CN201511002000.6A CN201511002000A CN105592089B CN 105592089 B CN105592089 B CN 105592089B CN 201511002000 A CN201511002000 A CN 201511002000A CN 105592089 B CN105592089 B CN 105592089B
Authority
CN
China
Prior art keywords
tenant
pvlan
cloud computing
isolation
different
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511002000.6A
Other languages
English (en)
Other versions
CN105592089A (zh
Inventor
张高磊
刘国宝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201511002000.6A priority Critical patent/CN105592089B/zh
Publication of CN105592089A publication Critical patent/CN105592089A/zh
Application granted granted Critical
Publication of CN105592089B publication Critical patent/CN105592089B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种云计算下的租户安全隔离方法。该方法包括:租户间隔离步骤,基于VRF区分不同租户以隔离多个租户相互之间;以及租户内部隔离步骤,对于每个租户,利用PVLAN技术实现租户内部的安全隔离。因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。

Description

一种云计算下的租户安全隔离方法
技术领域
本发明涉及云技术,具体地涉及能够保障云计算安全性的云计算下的租户安全隔离的方法。
背景技术
随着云计算的租户数量日以继夜得增长,网络的迅速发展,用户对于网络数据通讯的安全性提出更高的要求,诸如防范黑客攻击,控制病毒传播等,都要保证网络带给用户相对安全性。如果把云计算的数据中心看做一个ISP运营商级别的网络环境,面对大量零散的租户如何隔离是一个重要的问题,防范租户内外的安全问题。
现有技术为了保证租户的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的,一般,会用访问控制列表(AccessControl List, ACL)技术实现,用来控制端口进出的数据包。但是ACL更加适用于所有的被路由协议,不如物理上隔离那样纯粹,而且维护人员需要维护ACL列表非常繁多,增加运维人员的压力及错误概率。
发明内容
鉴于上述问题,本发明旨在提供一种能够有效、安全隔离云计算下的多个租户的云计算下的租户安全隔离方法。
本发明的云计算下的租户安全隔离方法,其特征在于,包括下述步骤:
租户间隔离步骤,基于VRF区分不同租户以隔离多个租户相互之间;以及
租户内部隔离步骤,对于每个租户,利用PVLAN实现应用内部的安全隔离。
优选地,在所述租户间隔离步骤中,对于不同租户分别分配不同的标签。
优选地,在所述租户间隔离步骤中,对于不同租户分别分配不同RD作为标签。
优选地,对于每个租户,根据不同业务设计不同的PVLAN模式以实现应用内部的安全隔离。
优选地,在所述租户内部隔离步骤,对于每个租户的DMZ、APP、DB设计不同的PVLAN模式。
优选地,在所述租户内部隔离步骤,对于每个租户,将该租户的DMZ的PVLAN模式设计为隔离PVLAN、将该租户的DB的PVLAN模式设计为隔离PVLAN、将该租户的APP的PVLAN模式设计为主PVLAN。
如上所述,在云计算内部通过标间标记不同租户的IP能够区别不同租户,使得各租户相互之间能够实现隔离(也就是外部隔离)。而且,在此基础上,对于各租户,通过业务的DMZ、APP、DB来设计不同的PVLAN模式,由此,在各租户内部能够分别实现租户内部的安全隔离(即内部隔离)。
因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。
附图说明
图1是表示本发明的云计算租户安全隔离方法中的租户间隔离步骤的示意图。
图2是表示本发明的云计算租户安全隔离方法中的租户内部隔离步骤的示意图。
图3是表示将租户间隔离步骤和租户内部隔离步骤相结合的示意图。
具体实施方式
下面介绍的是本发明的多个实施例中的一些,旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。
本发明的云计算租户安全隔离方法主要包括以下两大步骤:
(1)租户间的隔离步骤:基于VRF,对于不同租户分配不同的IP以区分不同租户;以及
(2)租户内部的隔离步骤:对于每个租户,根据业务的DMZ、APP、DB设计不同的PVLAN模式。
接着,租户间隔离步骤和租户内部隔离步骤进行具体说明。
图1是表示本发明的云计算租户安全隔离方法中的租户间隔离步骤的示意图。
首先,对于VRF(VPN Routing & Forwarding Instance,VPN路由转发实例)进行说明。每一个VRF可以看作虚拟的路由器,好像是一台专用的PE(Provider Edge)设备。该虚拟路由器包括如下元素:
一张独立的路由表;
一组归属于这个VRF的接口的集合;
一组只用于本VRF的路由协议。
对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表,多个VRF实例相互分离独立。
因此,VRF允许一个设备内共存在一张多实例的路由表。它本身允许网络设备通过在路由上分配标签来实现路由的区分进而在运营商内部打通VPN通道,实现不同地方二点的专线通信。通过互联网的技术利用标签能区分路由的技术,在云计算内部通过标签标记租户的IP,进而区分租户。这里所谓云计算内部是指数据中心内部,不包括网络边沿部分。
如图1所示,云计算下,基于VRF技术,对于不同租户A、租户B、租户C通过标签标记不同的IP。例如,对于不同租户A、租户B、租户C,通过RD来标记不同的IP。RD是RouteDistinguisher(路径区别符)的缩写,是说明路由属于哪个VPN的标志,理论上可以为每个VRF配置一个RD。由此,能够区分不同租户A、租户B和租户C并且能够将租户A、租户B、租户C之间相互隔离。
图2是表示本发明的云计算租户安全隔离方法中的租户内部隔离步骤的示意图。
首先,对于PVLAN(Private VLAN,私有VLAN),也称“专用虚拟局域网”进行说明。
PVLAN(Private VLAN 私有VLAN)通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的PVLAN中,它们可以使用相同的IP子网。在PVLAN中,交换机端口有3种类型:IsolatedPort(即隔离端口)、Community Port(即团体端口)和Promiscuous Port(即混杂端口),它们分别对应不同的VLAN类型:隔离端口属于隔离PVLAN,团体端口属于团体PVLAN。
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其它用户没有任何访问。PVLAN的功能可以保证同一个VLAN中的各个端口相互之间不能通信。
每个PVLAN 包含2种VLAN :主VLAN(primary VLAN)和辅助VLAN(SecondaryVLAN)。辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN(isolated VLAN)和团体VLAN(community VLAN)。
辅助VLAN的通信方式:可以和所有他所关联的隔离 VLAN,团体 VLAN通信。
团体VLAN的通信方式:可以同那些处于相同团体 VLAN内的团体 端口通信,也可以与PVLAN中的混杂端口通信。 (每个PVLAN可以有多个community VLAN)
隔离 VLAN的通信方式:不可以和处于相同隔离 VLAN内的其它隔离端口通信,只可以与混杂端口通信。
如上述的PVLAN技术可知,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备(Digital Subscriber Line AccessMultiplexer,数字用户线路接入复用设备)的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。PVLAN的隔离VLAN之间不能相互通信,只能与主VLAN和混杂端口通信。
因此,在本发明中,可以利用PVLAN的上述特点,根据业务的DMZ、APP、DB来设计不同的PVLAN模式,由此实现应用内部的安全隔离。
如图2所示,对于每一个租户,例如租户A,将租户A的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。
通过这样的设定,在租户A内部DB不能和APP进行通信,在租户A内部DMZ和DB相互间不能通信,而DMZ和DB仅能够分别与APP之间进行通信。由此,在租户A内部,能够实现租户A内部的安全隔离。
图3是表示将租户间的隔离步骤和租户内部的隔离步骤相结合的示意图。
如图3所示,基于VRF通过标签标记不同租户A、租户B、租户C的IP来区别不同租户,使得租户A、租户B、租户C之间相互隔离。
在此基础上,对于租户A,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户A的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。对于租户B,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户B的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。对于租户C,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户C的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。由此,在租户A内部、租户B内部、租户C内部DMZ和DB分别隔离,由此在在租户A内部、租户B内部、租户C内部能够实现租户内部的安全隔离。
如上所述,在云计算内部通过标间标记不同租户的IP能够区别不同租户,使得各租户相互之间能够实现隔离(也就是外部隔离)。而且,在此基础上,对于各租户,通过业务的DMZ、APP、DB来设计不同的PVLAN模式,由此,在各租户内部能够分别实现租户内部的安全隔离(即内部隔离)。
因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。
以上例子主要说明了云计算下的租户安全隔离的方法。尽管只对其中一些本发明的具体实施方式进行了描述,但是本领域普通技术人员应当了解,本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此,所展示的例子与实施方式被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。

Claims (5)

1.一种云计算下的租户安全隔离方法,其特征在于,包括下述步骤:
租户间隔离步骤,基于VRF即VPN路由转发实例区分不同租户以隔离多个租户相互之间,其中,VPN是指虚拟专用网络;以及
租户内部隔离步骤,对于每个租户,基于PVLAN实现租户内部的安全隔离,
在所述租户内部隔离步骤,对于每个租户,将该租户的DMZ即隔离区的PVLAN模式设计为隔离PVLAN、将该租户的DB即数据库的PVLAN模式设计为隔离PVLAN、将该租户的APP即应用的PVLAN模式设计为主PVLAN,
其中,PVLAN是指专用虚拟局域网。
2.如权利要求1所述的云计算下的租户安全隔离方法,其特征在于,
在所述租户间隔离步骤中,对于不同租户分别分配不同的标签。
3.如权利要求2所述的云计算下的租户安全隔离方法,其特征在于,
在所述租户间隔离步骤中,对于不同租户分别分配不同RD即路径区别符作为标签。
4.如权利要求1~3任意一项所述的云计算下的租户安全隔离方法,其特征在于,
对于每个租户,根据不同业务设计不同的PVLAN模式以实现应用内部的安全隔离。
5.如权利要求4任意一项所述的云计算下的租户安全隔离方法,其特征在于,
在所述租户内部隔离步骤,对于每个租户的DMZ即隔离区、APP即应用、DB即数据库设计不同的PVLAN模式。
CN201511002000.6A 2015-12-29 2015-12-29 一种云计算下的租户安全隔离方法 Active CN105592089B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511002000.6A CN105592089B (zh) 2015-12-29 2015-12-29 一种云计算下的租户安全隔离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511002000.6A CN105592089B (zh) 2015-12-29 2015-12-29 一种云计算下的租户安全隔离方法

Publications (2)

Publication Number Publication Date
CN105592089A CN105592089A (zh) 2016-05-18
CN105592089B true CN105592089B (zh) 2018-11-27

Family

ID=55931303

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511002000.6A Active CN105592089B (zh) 2015-12-29 2015-12-29 一种云计算下的租户安全隔离方法

Country Status (1)

Country Link
CN (1) CN105592089B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120702B (zh) * 2018-08-24 2021-07-27 高振宇 隔离云的方法及系统
CN110913021B (zh) * 2019-12-23 2022-06-28 和元达信息科技有限公司 一种互联网云计算的多租户管理系统及方法
CN112134778B (zh) * 2020-09-25 2022-10-28 优刻得科技股份有限公司 混合云场景中的动态路由方法、系统、设备和介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702679A (zh) * 2009-11-26 2010-05-05 福建星网锐捷网络有限公司 基于虚拟局域网的报文处理方法及交换设备
CN102780608A (zh) * 2011-05-13 2012-11-14 国际商业机器公司 用于分布式虚拟交换机的私有虚拟局域网方法和系统
CN103001953A (zh) * 2012-11-21 2013-03-27 北京航空航天大学 虚拟机网络资源分配方法及装置
CN103473117A (zh) * 2013-09-18 2013-12-25 北京思特奇信息技术股份有限公司 云模式下的虚拟化方法
CN104283755A (zh) * 2013-07-01 2015-01-14 阿里巴巴集团控股有限公司 一种虚拟专用云接入方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702679A (zh) * 2009-11-26 2010-05-05 福建星网锐捷网络有限公司 基于虚拟局域网的报文处理方法及交换设备
CN102780608A (zh) * 2011-05-13 2012-11-14 国际商业机器公司 用于分布式虚拟交换机的私有虚拟局域网方法和系统
CN103001953A (zh) * 2012-11-21 2013-03-27 北京航空航天大学 虚拟机网络资源分配方法及装置
CN104283755A (zh) * 2013-07-01 2015-01-14 阿里巴巴集团控股有限公司 一种虚拟专用云接入方法及系统
CN103473117A (zh) * 2013-09-18 2013-12-25 北京思特奇信息技术股份有限公司 云模式下的虚拟化方法

Also Published As

Publication number Publication date
CN105592089A (zh) 2016-05-18

Similar Documents

Publication Publication Date Title
US10999197B2 (en) End-to-end identity-aware routing across multiple administrative domains
EP2995067B1 (en) A direct connect virtual private interface for a one to many connection with multiple virtual private clouds
EP2569908B1 (en) A method to pass virtual local area network information in virtual station interface discovery and configuration protocol
Yu et al. A survey of virtual LAN usage in campus networks
US9294305B2 (en) Method for sending ethernet frames in ethernet tree service and provider edge device
CA2756289A1 (en) Method and apparatus for implementing and managing virtual switches
US8442041B2 (en) Virtual service domains
CN105592089B (zh) 一种云计算下的租户安全隔离方法
EP3066786B1 (en) Enabling load balancing in a network virtualization overlay architecture
WO2011069392A1 (zh) 一种专用虚拟局域网的实现方法和装置
Li et al. VSITE: A scalable and secure architecture for seamless L2 enterprise extension in the cloud
CN101304337A (zh) 生成业务虚拟私有网络的接入拓扑的方法和装置
CN101304338B (zh) 发现多协议标签交换三层虚拟私有网中设备的方法、装置
Cisco Configuring VLANs
Cisco Understanding and Configuring VLANs
Cisco Configuring VLANs
Cisco VLAN Membership
Ahmad Design and Implementation of Network Security using Inter-VLAN-Routing and DHCP
Cisco Configuring VLANs
Cisco Configuring VLANs
Cisco Configuring VLANs
Cisco Configuring VLANs
Cisco Configuring VLANs
Cisco Configuring VLANs
CN102355424B (zh) 一种实现mim与vpls互通转发的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant