CN105991734B - 一种云平台管理方法及系统 - Google Patents
一种云平台管理方法及系统 Download PDFInfo
- Publication number
- CN105991734B CN105991734B CN201510085477.9A CN201510085477A CN105991734B CN 105991734 B CN105991734 B CN 105991734B CN 201510085477 A CN201510085477 A CN 201510085477A CN 105991734 B CN105991734 B CN 105991734B
- Authority
- CN
- China
- Prior art keywords
- cloud
- management platform
- security level
- cloud host
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种云平台管理方法及系统,方法包括:云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区。本发明充分利用VPN、4A、堡垒机等网络安全设备功能完善、稳定可靠的优势,将其集成进云计算资源池中,为云计算资源池中的云主机提供可靠、高效的网络安全与系统审计服务。
Description
技术领域
本发明涉及云平台相关技术领域,特别是一种云平台管理方法及系统。
背景技术
IaaS(Infrastructure as a Service基础设施即服务)云计算技术通过虚拟化技术将一台物理主机虚拟化为多台虚拟机主机。虚拟机之间互相独立,并且可以运行不同的操作系统。IaaS云计算资源池中将多台相同配置、相同虚拟化软件的物理主机组成集群,多个集群构成资源池。通过IaaS云计算技术,可以构建多种云服务,实现资源的快速供给、灵活复用、弹性伸缩。云计算资源池的虚拟机通过网络与资源池中或外部的物理机、虚拟机进行交互,为保证信息安全,VPN(Virtual Private Network)、4A(认证Authentication、账号Account、授权Authorization、审计Audit)等网络安全设施来提供相应的云安全服务。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一4A安全管理平台设备解决方案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。国内外安全厂商均实现了相应的商业化产品,即4A安全管理平台设备,或称为4A设备。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种设备。
虚拟专用网络(Virtual Private Network,VPN),是指在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低,易于使用的特点。
虚拟化是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
现有的解决方案中,通常的做法是将虚拟主机视同为物理主机,以VPN、4A等系统连接物理主机的方式将其和虚拟主机连接。但是这种方法需要在不同的网络安全设备中进行分别进行配置,无法实现云管理平台对虚拟资源和网络安全资源的统一管理和统一调度,对于资源池中大量的虚拟机主机非常耗时耗力,也无法根据运营需要灵活地增加或者减少相应的安全服务。
发明内容
基于此,有必要针对现有技术未能将不同的网络安全设备中的虚拟主机进行统一管理的技术问题,提供一种云平台管理方法及系统。
一种云平台管理方法,包括:
云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区;
第一安全等级区创建步骤,包括:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
第二安全等级区创建步骤,包括:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
一种云平台管理系统,包括:
云主机生成请求获取模块,用于:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;
第一安全等级区创建模块,用于:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
第二安全等级区创建模块,用于:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
本发明通过对云主机生成请求所要求访问的安全等级区进行区分,对于安全等级要求低的采用直接访问的方式,而对于安全等级较高的,则为其建立VPN和4A,实现安全访问。从而充分利用VPN、4A、堡垒机等网络安全设备功能完善、稳定可靠的优势,将其集成进云计算资源池中,为云计算资源池中的云主机提供可靠、高效的网络安全与系统审计服务。同时,通过完善的信息集成,由云管理平台统一调度安全、计算、存储、网络等资源,可以方便地将不同服务进行组合,为用户提供不同等级、不同功能等网络安全与云主机服务。
附图说明
图1为本发明一种云平台管理方法的工作流程图;
图2为本发明最佳实施例的系统结构示意图;
图3为本发明一种云平台管理系统的结构模块图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细的说明。
如图1所示为本发明一种云平台管理方法的工作流程图,包括:
步骤S101,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行步骤S102,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行步骤S103,所述第二安全等级区的安全等级高于所述第一安全等级区;
步骤S102,包括:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
步骤S103,包括:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
其中,云主机是指通过虚拟化技术在云计算资源池中所创建的虚拟机。云计算资源池中包括有具有较低安全等级的第一安全等级区和具有较高安全等级的第二安全等级区,云管理平台接收到云主机生成请求后,在接收到对该云主机生成请求的审核通过后,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机。
第二安全等级区有加密连接,加强认证,加强审计等安全功能,在第二安全等级区,云计算资源池中的云主机只有通过所述4A安全管理平台和堡垒机才能访问
本发明针对用户的不同的安全要求,实现不同的网络连接访问功能。对于第一安全等级区,即低安全等级区的访问,当在第一安全等级区创建好云主机后,向用户返回云主机的IP地址、主机名和登录密码,使得用户可以直接对云主机进行访问,而对于第二安全等级区,即高安全等级区的访问,在第二安全等级区创建好云主机后,为用户在VPN、4A上进行合适的设置,然后向用户返回虚拟专用网络账号、虚拟专用网络密码、4A安全管理平台设备账号、4A安全管理平台设备密码、所述云主机的IP地址和主机名,使得用户能够顺利地通过VPN、4A和堡垒机的方式访问在高安全等级区中的云主机。
在其中一个实施例中,云管理平台将生成的云主机登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
至此,云主机的密码只有4A安全管理平台设备掌握,用户只能通过所述4A安全管理设备才能登陆云主机。4A安全管理平台设备根据自身的策略,定期自动修改所述虚拟机登陆密码,降低该密码被破解的风险。
本实施例中,由4A安全管理平台设备(4A设备)对于第二安全等级区中的云主机登录密码进行管理,定期修改。由于云主机登录密码由4A设备进行管理,因此,用户必须通过4A设备访问云主机,从而保证第二安全等级区内的云主机的安全。
在其中一个实施例中:
所述步骤S103中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
所述步骤S103中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安全管理平台设备密码。
在其中一个实施例中,还包括:
所述4A安全管理平台设备定时从所述堡垒机获取堡垒机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡垒机审计日志整合进云管理平台审计日志。
在其中一个实施例中,还包括:
访问请求步骤,包括:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡垒机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡垒机显示用于访问所述第二安全等级区的云主机的界面。堡垒机全程记录下用户操作该云主机的审计信息。
本实施例为用户提供了一个访问云主机的途径,对于第一安全等级区,用户可以直接进行访问,而对于第二安全等级区,云管理平台为用户完成所有的VPN、4A的登录步骤,使得用户能够方便地访问云主机。
如图2所示为本发明最佳实施例的系统结构示意图,包括:云管理平台21、VPN设备22、4A设备23、堡垒机24和云计算资源池25,云计算资源池25划分为低安全等级区251和高安全等级区252。
针对用户的不同的安全要求及使用场景,对系统间的集成方案进行详细描述
1.用户申请、使用低安全等级区的云主机
1)用户通过云管理平台21的自服务门户211提交低安全等级区251的云主机使用申请,内容包括使用者信息、云主机配置(CPU、内存、硬盘大小)、对应的操作系统及应用软件、网络配置要求(内外网权限、网卡数量、IP地址等)使用期限等信息。
2)自服务门户211通过IF1将相应的申请信息传递至云管理平台21的管理门户212。
3)系统管理员在管理门户212对用户的云主机申请进行审核,审核通过后,在管理门户212对用户的申请进行施工。
4)施工成功后,云管理平台21通过短信网关和邮件网关向用户发送短信和邮件,通知用户申请主机的IP地址,主机名,初始密码等信息。
5)用户可以通过云管理平台21的自服务门户211所带的远程登陆控制端登陆所申请的云主机(如图2中b1所示),也可以通过其他远程登陆用户端直接登陆云主机。用户可以自行修改云主机密码,用户自己对密码的安全性和强度负责。
6)云管理平台21的管理门户212同样带有远程登陆的用户端,管理员可以通过他登陆用户申请的云主机(如图中a1所示),主要用于系统检查和故障排除。
2.用户在外网,申请、使用高安全等级区域的云主机
1)用户通过自服务门户211提交高安全等级区252的云主机使用申请,内容包括使用者信息、云主机配置(CPU、内存、硬盘大小)、对应的操作系统及应用软件、网络配置要求(内外网权限、网卡数量、IP地址等)使用期限等信息。
2)自服务门户211通过IF1以webservice方式将相应的申请信息传递至管理门户212。
3)系统管理员在管理门户212对用户的云主机申请进行审核,审核通过后,在管理门户对用户的申请进行施工操作。
4)云管理平台21按照用户要求为用户生成相应的云主机。
5)检查用户是否有VPN设备账号,如果有,云管理平台21通过接口IF2(可视VPN设备的特点采用hppts连接串的方式或者webservice方式),则将VPN设备账号绑定至云平台专用的用户组,如果没有,云管理平台21通过接口IF2在VPN设备22上为云主机的用户创建VPN设备账号、密码及访问权限,并将VPN设备账号绑定至云平台专用的用户组。用户创建成功之后,VPN设备返回云平台登陆VPN设备使用的URL。(VPN设备中,用户和用户组,策略是按用户组来进行;用户组对用户数无限制,VPN设备系统中预先对云平台设定了一个云平台专用的用户组,其访问策略是可以对4A设备23和堡垒机24进行访问)。
6)检查云平台管理平台21是否为用户在4A设备23中创建了主账号(4A设备中资源使用者的账号称为主账号),如果没有,通过接口IF3在4A设备23中为用户创建主账号。
7)将新创建的云主机的信息及账号通过接口IF3同步至4A设备23,同步的信息包括云主机所属的业务域、业务系统的名称及编号、资源名称、主机名称、资源类型(windows主机、liunx主机、数据库等)、系统类型(Windows、Redhat、Suse Linux、Ubuntu、Oracle、DB2、Sybase、Sqlserver、infomix、MySQL等)、IP地址、负责人、访问协议、4A管理账号、最高权限账号、切换管理账号模式(su模式;super模式;enable模式)、默认工作目录、默认shell、数据库或实例名、数据库端口等信息。为保证信息安全,同步过程涉及的密码均采用DES加密,同步成功后,4A设备23会定期自动修改云主机的登陆密码,确保信息安全。
8)云管理平台21通过短信网关和邮件网关向用户发送短信和邮件,通知用户VPN设备22登陆信息(URL、用户名,密码),4A设备23登陆信息(URL、用户名、密码)以及申请主机的IP地址,主机名等信息。
9)用户在外网使用云主机时,首先在外网登陆VPN设备22,进入内网,然后登陆4A进行系统认证,认证通过后,通过堡垒机24对云主机进行操作。如果用户通过云管理平台21的自服务门户登录所申请的云主机,则云管理平台21自动完成VPN设备22和4A设备23的登陆,通过远程登陆空间显示堡垒机24的登陆界面。登陆云主机过程如图中c1,c2,c3,c4所示。
10)为确保云管理平台21记录完成的审计信息,4A设备23会通过IF4定时向云管理平台21以syslog的方式发送堡垒机24的审计日志,发送内容包括:事件类别、事件类型、事件开始及结束时间、源及目的IP、Mac地址,端口,主账号、从账号、操作名称、操作类别、认证状态、事件级别等信息。云管理平台21接受到相应的审计信息后后,将该信息整合进平台的审计日志中。
11)为确保4A设备23与云管理平台21数据一致,在上述实时同步的基础上,云管理平台21定期将用户和资源信息通过接口IF3全量传递给4A设备23(通过ftp方式),4A设备23逐条核对相关信息。
12)若用户申请的云主机注销之后,云管理平台21通过IF3接口将4A中的资源信息删除。
13)若用户不再拥有资源池中任何资源,经审批之后,分别通过IF3和IF2接口删除4A主账号及VPN设备22账号。
3.用户在内网,申请、使用用高安全等级区域的云主机
此种情况与用户在外网的情况类似,但是由于在内网,用户不需要首先登陆VPN设备22,可以直接登陆4A,然后通过堡垒机24对系统进行操作,登陆云主机的过程如图中d1,d2,d3所示。因此,内网情况下,涉及云管理平台21与VPN设备22的交互与数据同步均不需要,其余过程与外网情况下相同。
如图3所示为本发明一种云平台管理系统的结构模块图,包括:
云主机生成请求获取模块301,用于:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;
第一安全等级区创建模块302,用于:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
第二安全等级区创建模块303,用于:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
在其中一个实施例中,云管理平台将生成的云主机登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
在其中一个实施例中:
所述第二安全等级区创建模块中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
所述第二安全等级区创建模块中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安全管理平台设备密码。
在其中一个实施例中,还包括:
所述4A安全管理平台设备定时从所述堡垒机获取堡垒机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡垒机审计日志整合进云管理平台审计日志。
在其中一个实施例中,还包括:
访问请求模块,用于:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡垒机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡垒机显示用于访问所述第二安全等级区的云主机的界面。堡垒机全程记录下用户操作该云主机的审计信息。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种云平台管理方法,其特征在于,包括:
云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区;
第一安全等级区创建步骤,包括:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
第二安全等级区创建步骤,包括:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名;
访问请求步骤,包括:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡垒机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡垒机显示用于访问所述第二安全等级区的云主机的界面。
2.根据权利要求1所述的云平台管理方法,其特征在于,云管理平台将生成的云主机登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
3.根据权利要求1所述的云平台管理方法,其特征在于:
所述第二安全等级区创建步骤中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有所述虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
所述第二安全等级区创建步骤中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安全管理平台设备密码。
4.根据权利要求1所述的云平台管理方法,其特征在于,还包括:
所述4A安全管理平台设备定时从所述堡垒机获取堡垒机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡垒机审计日志整合进云管理平台审计日志。
5.一种云平台管理系统,其特征在于,包括:
云主机生成请求获取模块,用于:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;
第一安全等级区创建模块,用于:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
第二安全等级区创建模块,用于:
获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡垒机;
获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名;
访问请求模块,用于:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡垒机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡垒机显示用于访问所述第二安全等级区的云主机的界面。
6.根据权利要求5所述的云平台管理系统,其特征在于,云管理平台将生成的云主机登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
7.根据权利要求5所述的云平台管理系统,其特征在于:
所述第二安全等级区创建模块中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有所述虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
所述第二安全等级区创建模块中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安全管理平台设备密码。
8.根据权利要求5所述的云平台管理系统,其特征在于,还包括:
所述4A安全管理平台设备定时从所述堡垒机获取堡垒机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡垒机审计日志整合进云管理平台审计日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510085477.9A CN105991734B (zh) | 2015-02-16 | 2015-02-16 | 一种云平台管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510085477.9A CN105991734B (zh) | 2015-02-16 | 2015-02-16 | 一种云平台管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105991734A CN105991734A (zh) | 2016-10-05 |
CN105991734B true CN105991734B (zh) | 2019-05-17 |
Family
ID=57038394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510085477.9A Active CN105991734B (zh) | 2015-02-16 | 2015-02-16 | 一种云平台管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105991734B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108540301B (zh) * | 2017-03-03 | 2021-01-12 | 华为技术有限公司 | 一种预置账户的密码初始化方法及相关设备 |
CN109150792B (zh) * | 2017-06-15 | 2022-03-08 | 杭州海康威视数字技术股份有限公司 | 一种提高数据存储安全性方法及装置 |
CN107483258A (zh) * | 2017-08-25 | 2017-12-15 | 长沙曙通信息科技有限公司 | 一种云计算划分区域管理实现方法 |
CN110730153B (zh) * | 2018-07-16 | 2022-06-14 | 阿里巴巴集团控股有限公司 | 云设备的账号配置方法、装置和系统、数据处理方法 |
CN109756362B (zh) * | 2018-11-23 | 2022-11-04 | 奇安信科技集团股份有限公司 | 一种第三方安全组件的集成处理方法及装置 |
CN109951548B (zh) * | 2019-03-19 | 2021-11-19 | 深信服科技股份有限公司 | 云平台的资源的管理方法及云管平台 |
CN111917810B (zh) * | 2019-05-09 | 2022-09-23 | Oppo广东移动通信有限公司 | 一种云通信方法及装置、用户设备、网络设备 |
CN110830546A (zh) * | 2019-09-20 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于容器云平台的可用域建设方法、装置、设备 |
CN110808850B (zh) * | 2019-10-15 | 2022-09-27 | 武汉达梦数据库有限公司 | 一种PaaS平台的组件接入系统及方法 |
CN110913024B (zh) * | 2019-12-30 | 2022-02-01 | 中国联合网络通信集团有限公司 | 云平台信息同步方法、系统、控制设备及存储介质 |
CN111522638B (zh) * | 2020-04-14 | 2023-09-19 | 高明飞 | 一种云计算资源池管理方法及装置 |
CN112287328A (zh) * | 2020-10-29 | 2021-01-29 | 广东电力信息科技有限公司 | 一种便于办公的移动办公系统及方法 |
CN112738206B (zh) * | 2020-12-25 | 2022-08-23 | 北京浪潮数据技术有限公司 | 一种分布式集群和云平台的对接方法及组件 |
CN113079164B (zh) * | 2021-04-02 | 2023-03-24 | 江苏保旺达软件技术有限公司 | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 |
CN114374691A (zh) * | 2021-09-29 | 2022-04-19 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现含容错机制的自动改密的方法 |
CN113992670B (zh) * | 2021-10-25 | 2023-07-18 | 杭州安恒信息技术股份有限公司 | 一种云管理系统 |
CN116545781B (zh) * | 2023-07-06 | 2023-11-24 | 广东维信智联科技有限公司 | 一种云访问数据安全管理系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562609A (zh) * | 2009-05-27 | 2009-10-21 | 西北大学 | Vpn网络安全漏洞检测全局准入控制系统 |
CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
-
2015
- 2015-02-16 CN CN201510085477.9A patent/CN105991734B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562609A (zh) * | 2009-05-27 | 2009-10-21 | 西北大学 | Vpn网络安全漏洞检测全局准入控制系统 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
Non-Patent Citations (1)
Title |
---|
"云计算信息安全分析与实践";佟得天,刘旭东,郭涛峰;《电信科学》;20130210;正文第5页左栏倒数第1-4行,右栏第1-4行 |
Also Published As
Publication number | Publication date |
---|---|
CN105991734A (zh) | 2016-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105991734B (zh) | 一种云平台管理方法及系统 | |
CN108322472B (zh) | 用于提供基于云的身份和访问管理的方法、系统和介质 | |
CN103618752B (zh) | 一种虚拟机远程桌面安全访问系统及方法 | |
CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
US9112836B2 (en) | Management of secure data in cloud-based network | |
Jing et al. | A brief survey on the security model of cloud computing | |
CN105074685B (zh) | 企业社交商业计算的多租户支持方法、计算机可读介质及系统 | |
CN103051631B (zh) | PaaS平台与SaaS应用系统的统一安全认证方法 | |
CN109565505A (zh) | 用于多租户身份和数据安全管理云服务的租户自助服务故障排除 | |
CN109314724A (zh) | 云计算系统中虚拟机访问物理服务器的方法、装置和系统 | |
CN113114498B (zh) | 一种可信区块链服务平台的架构系统及其构建方法 | |
CN109361517A (zh) | 一种基于云计算的虚拟化云密码机系统及其实现方法 | |
CN102722576B (zh) | 一种云计算环境下数据库加密保护系统和加密保护方法 | |
CN106055967A (zh) | 一种saas平台用户组织权限管理的方法以及系统 | |
US20100281173A1 (en) | Delegated administration for remote management | |
WO2022247359A1 (zh) | 集群访问方法、装置、电子设备和介质 | |
CN105450636A (zh) | 一种云计算管理系统及云计算管理系统的管理方法 | |
CN104636678B (zh) | 一种云计算环境下对终端设备进行管控的方法和系统 | |
CN104769908A (zh) | 基于ldap的多租户云中身份管理系统 | |
CN107480509A (zh) | 运维安全审计系统登录容器方法、系统、设备及存储介质 | |
CN106031128B (zh) | 移动设备管理的方法和装置 | |
CN109831322B (zh) | 多系统账号权限集中管理方法、设备及存储介质 | |
CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
CN108959902A (zh) | 一种多系统集成平台和方法、计算机可读存储介质 | |
CN109819053A (zh) | 应用于混合云环境下的跳板机系统及其控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |