CN110321698A - 一种用于在云环境中保护业务安全的系统及方法 - Google Patents
一种用于在云环境中保护业务安全的系统及方法 Download PDFInfo
- Publication number
- CN110321698A CN110321698A CN201910431580.2A CN201910431580A CN110321698A CN 110321698 A CN110321698 A CN 110321698A CN 201910431580 A CN201910431580 A CN 201910431580A CN 110321698 A CN110321698 A CN 110321698A
- Authority
- CN
- China
- Prior art keywords
- operating component
- virtual machine
- service application
- requesting party
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于在云环境中保护业务安全的系统及方法,其中所述系统包括:宿主机单元,用于为多个虚拟机单元提供基础运行环境;多个虚拟机单元,其中每个虚拟机单元均用于提供用户运行环境,所述用户运行环境用于运行与用户相关联的云操作系统;多个容器管理单元,每个容器管理单元根据用户预先设置的最小运行集确定业务应用的集合,将所述集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机单元进行运行的第一运行组件,并且将所述集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机单元进行运行的第二运行组件。
Description
技术领域
本发明涉及云环境的安全保护领域,并且更具体地,涉及一种用于在云环境中保护业务安全的系统及方法。
背景技术
云环境是指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计算能力、存储能力或者虚拟机服务等的互联网或者大数据环境。目前,现有技术中,通过虚拟化的技术以适应云环境。虚拟化,是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。这种工作方法十分适合当下的云环境,虚拟化使用软件的方法重新定义划分IT资源,可以实现IT资源的动态分配、灵活调度、跨域共享,提高IT资源利用率,使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求。
但从安全技术角度来看,虚拟化技术在云计算时代的大量应用使传统信息安全时代下的安全隔离手段面临巨大挑战。现有技术存在通过在管理虚拟机中分别创建与各个客户标识对应的权限,并且通过对不同执行环境分配不同的权限,来增强服务组件安全性的方案。但是现有技术,仅通过对不同的执行环境分配不同的权限,不能实现对有安全风险的虚拟机进行监测。
因此,需要一种技术,以用于在云环境中保护业务的安全。
发明内容
本发明提供了一种用于在云环境中保护业务安全的系统及方法,以解决如何对云环境中保护业务的安全的问题。
为解决上述问题,本发明提供了一种用于在云环境中保护业务安全的系统,所述系统包括:
宿主机单元,用于为多个虚拟机单元提供基础运行环境;
多个虚拟机单元,其中每个虚拟机单元均用于提供用户运行环境,所述用户运行环境用于运行与用户相关联的云操作系统;
多个容器管理单元,每个容器管理单元根据用户预先设置的最小运行集确定业务应用的集合,将所述集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机单元进行运行的第一运行组件,并且将所述集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机单元进行运行的第二运行组件。
优选地,还包括:
其中安全保护代理模块用于监测服务器外部的请求方针对所述第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将所述访问请求重定向到第二运行组件;
在所述第二运行组件针对所述访问请求进行业务处理的过程中,所述安全保护代理模块对所述请求方的后续请求进行安全检查,并且当确定所述请求方的后续请求涉及攻击行为时,获取所述请求方的识别信息和攻击行为,并且将所述识别信息和攻击行为存储在所述安全保护代理模块中。
优选地,所述宿主机单元运行在云环境的服务器中。
优选地,所述云操作系统是Linux系统或Windows系统。
优选地,所述最小运行集是能够实现用户的辅助业务需求的最少业务应用的集合,并且其中所述用户业务应用是实现用户的基本业务需求的业务应用。
优选地,所述第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在所述第一运行组件中,从而使得在所述第一运行组件从第一虚拟机单元被迁移到第二虚拟机单元时,所述第二虚拟机单元的容器管理单元能够获取所述第一运行组件的最新运行数据。
优选地,还包括当所述安全保护代理模块确定所监测的针对第一运行组件的访问请求的请求方为恶意方时,拒绝所述访问请求。
优选地,其中当确定所述请求方的后续请求涉及攻击行为时,还包括将所述请求方标记为恶意方。
优选地,所述第一运行组件以预定时间间隔向所述宿主机单元提供基础运行环境的其它虚拟机单元发送所存储的恶意方的识别信息和攻击行为。
优选地,其中当确定所述请求方的后续请求涉及攻击行为并且获取所述请求方的识别信息和攻击行为后,将所述第二运行组件删除并且根据所述第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
优选地,其中当确定所述请求方的后续请求不涉及攻击行为,所述第二运行组件针对所述请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给所述第一运行组件,以使得所述第一运行组件和第二运行组件在业务数据上保持同步。
基于本发明的另一方面,本发明提供一种用于在云环境中保护业务安全的方法,所述方法包括:
生成用于运行多个虚拟机的基础运行环境;
利用多个虚拟机中每个虚拟机来提供用户运行环境,所述用户运行环境用于运行与用户相关联的云操作系统;
根据用户预先设置的最小运行集确定业务应用的集合,将所述集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机进行运行的第一运行组件,并且将所述集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机进行运行的第二运行组件。
优选地,还包括:
其中安全保护代理模块用于监测服务器外部的请求方针对所述第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将所述访问请求重定向到第二运行组件;
在所述第二运行组件针对所述访问请求进行业务处理的过程中,所述安全保护代理模块对所述请求方的后续请求进行安全检查,并且当确定所述请求方的后续请求涉及攻击行为时,获取所述请求方的识别信息和攻击行为,并且将所述识别信息和攻击行为存储在所述安全保护代理模块中。
优选地,在云环境的服务器中生成用于运行多个虚拟机的基础运行环境。
优选地,所述云操作系统是Linux系统或Windows系统。
优选地,所述最小运行集是能够实现用户的辅助业务需求的最少业务应用的集合,并且其中所述用户业务应用是实现用户的基本业务需求的业务应用。
优选地,所述第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在所述第一运行组件中,从而使得在所述第一运行组件从第一虚拟机被迁移到第二虚拟机时,所述第二虚拟机能够获取所述第一运行组件的最新运行数据。
优选地,还包括当所述安全保护代理模块确定所监测的针对第一运行组件的访问请求的请求方为恶意方时,拒绝所述访问请求。
优选地,其中当确定所述请求方的后续请求涉及攻击行为时,还包括将所述请求方标记为恶意方。
优选地,所述第一运行组件以预定时间间隔向所述宿主机单元提供基础运行环境的其它虚拟机发送所存储的恶意方的识别信息和攻击行为。
优选地,其中当确定所述请求方的后续请求涉及攻击行为并且获取所述请求方的识别信息和攻击行为后,将所述第二运行组件删除并且根据所述第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
优选地,其中当确定所述请求方的后续请求不涉及攻击行为,所述第二运行组件针对所述请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给所述第一运行组件,以使得所述第一运行组件和第二运行组件在业务数据上保持同步。
有鉴于此,本发明的目的本发明的实施方式基于虚拟机单元和容器管理单元构建得到客户的业务系统,业务系统包括但不限于客户内部的数据系统。通过在容器管理单元中注入安全保护模块,监控入侵和攻击行为,用于在云环境中保护业务安全。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:
图1为根据本发明实施方式的用于在云环境中保护业务安全的系统结构图;
图2为根据本发明实施方式的用于在云环境中保护业务安全的方法流程图;
图3为根据本发明实施方式的用于在云环境中保护业务安全的系统构建关系示意图;以及
图4为根据本发明实施方式的用于在云环境中保护业务安全的系统基础框架的图。
具体实施方式
以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。
图1为根据本发明实施方式的用于在云环境中保护业务安全的系统结构图。本发明的实施方式提供一种用于在云环境中保护业务安全的系统,本发明的实施方式基于虚拟机单元和容器管理单元构建得到客户的业务系统,业务系统包括但不限于客户内部的数据系统。通过在容器管理单元中注入安全保护模块,监控入侵和攻击行为,以及通过跟踪入侵者,并且将入侵者记录在大数据平台中。
如图1所示,系统100包括:宿主机单元101、多个虚拟机单元102以及多个容器管理单元103。
其中宿主机单元101用于为多个虚拟机单元102提供基础运行环境。优选地,宿主机单元运行在云环境的服务器中。本发明的实施方式通过在服务器硬件上构建宿主机单元101,并通过宿主机单元101构建多个虚拟机单元102。
多个虚拟机单元102中的每个虚拟机单元均用于提供用户运行环境,用户运行环境用于运行与用户相关联的云操作系统。本发明的实施方式,通过在每个虚拟机单元102上实现云环境部署,优选地,云操作系统是Linux系统或Windows系统。
多个容器管理单元103,每个容器管理单元103根据用户预先设置的最小运行集确定业务应用的集合,将集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机单元102进行运行的第一运行组件,并且将集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机单元进行运行的第二运行组件。本发明的实施方式,在多个虚拟机单元102上构建多个容器管理单元103,通过容器管理单元对用户业务应用、业务应用以及安全保护代理模块进行打包。客户的实际业务系统,包括用户业务应用、业务应用部署在机房或私有云上,然后在该系统前端设置软件或者硬件的安全保护代理模块。通过安全保护代理模块监控通过互联网或内部网络对于业务系统的访问行为。如果发现访问行为是入侵或攻击行为,则通过路由将所有访问导向用于在云环境中保护业务安全的第二运行组件。
优选地,最小运行集是能够实现用户的辅助业务需求的最少业务应用的集合,并且其中用户业务应用是实现用户的基本业务需求的业务应用。
优选地,其中安全保护代理模块用于监测服务器外部的请求方针对第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将访问请求重定向到第二运行组件。在第二运行组件针对访问请求进行业务处理的过程中,安全保护代理模块对请求方的后续请求进行安全检查,并且当确定请求方的后续请求涉及攻击行为时,获取请求方的识别信息和攻击行为,并且将识别信息和攻击行为存储在安全保护代理模块中。系统上部署有与实际业务系统基本相同的伪业务系统第二运行组件,第二运行组件的下层设置有安全保护代理模块,通过安全保护代理模块来记录所有的入侵行为和攻击行为,并追踪入侵者,记录在大数据平台中,并且能够根据记录的行为和发起攻击的攻击方的信息提供以下三个方面的数据支持:以供后续改进优化业务系统提供数据支持;具体通过IP地址、账号等信息追踪获得,识别可能的攻击方;识别攻击行为,通过大数据的完善,使得识别更加精确。同时,系统提供对于所有的攻击行为和威胁的统计、分析和显示,使得客户对于安全威胁有更加直观的了解。
优选地,第一运行组件以预定时间间隔向宿主机单元提供基础运行环境的其它虚拟机单元发送所存储的恶意方的识别信息和攻击行为。
优选地,还包括当安全保护代理模块确定所监测的针对第一运行组件的访问请求的请求方为恶意方时,拒绝访问请求。
优选地,其中当确定请求方的后续请求涉及攻击行为时,还包括将请求方标记为恶意方。
优选地,第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在第一运行组件中,从而使得在第一运行组件从第一虚拟机单元被迁移到第二虚拟机单元时,第二虚拟机单元的容器管理单元能够获取第一运行组件的最新运行数据。
优选地,其中当确定请求方的后续请求涉及攻击行为并且获取请求方的识别信息和攻击行为后,将第二运行组件删除并且根据第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
优选地,其中当确定请求方的后续请求不涉及攻击行为,第二运行组件针对请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给第一运行组件,以使得第一运行组件和第二运行组件在业务数据上保持同步。
本发明实施方式的系统100的基本架构是采用虚拟机单元加容器管理单元技术相结合,其中在容器管理单元中注入了安全保护代理模块实现安全防护。多个虚拟机单元的作用是实现云部署,在服务器上以不同的资源支持多个操作系统同时运行多个容器管理单元的作用是将整个运行环境模拟出来,并且由于多个容器管理单元的特性,运行环境和系统部署后可以形成镜像整体重现,方便配置。本发明的实施方式为基于虚拟机单元部署的云环境的容器管理单元构建客户的业务系统,例如内部数据系统在容器管理单元中注入安全保护代理模块,监控入侵和攻击的行为,进行记录。
图2为根据本发明实施方式的用于在云环境中保护业务安全的方法流程图。如图2所示,方法200从步骤201开始。
优选地,在步骤201,生成用于运行多个虚拟机的基础运行环境。优选地,在云环境的服务器中生成用于运行多个虚拟机的基础运行环境。本发明的实施方式通过在服务器硬件上构建宿主机单元,并通过宿主机单元构建多个虚拟机单元。
优选地,在步骤202,利用多个虚拟机中每个虚拟机来提供用户运行环境,用户运行环境用于运行与用户相关联的云操作系统。优选地,云操作系统是Linux系统或Windows系统。
优选地,在步骤203,根据用户预先设置的最小运行集确定业务应用的集合,将集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机进行运行的第一运行组件,并且将集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机进行运行的第二运行组件。本发明的实施方式,在多个虚拟机单元上构建多个容器管理单元,通过容器管理单元对用户业务应用、业务应用以及安全保护代理模块进行打包。客户的实际业务系统,包括用户业务应用、业务应用部署在机房或私有云上,然后在该系统前端设置软件或者硬件的安全保护代理模块。通过安全保护代理模块监控通过互联网或内部网络对于业务系统的访问行为。如果发现访问行为是入侵或攻击行为,则通过路由将所有访问导向用于在云环境中保护业务安全的第二运行组件。
优选地,最小运行集是能够实现用户的辅助业务需求的最少业务应用的集合,并且其中用户业务应用是实现用户的基本业务需求的业务应用。
优选地,其中安全保护代理模块用于监测服务器外部的请求方针对第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将访问请求重定向到第二运行组件;在第二运行组件针对访问请求进行业务处理的过程中,安全保护代理模块对请求方的后续请求进行安全检查,并且当确定请求方的后续请求涉及攻击行为时,获取请求方的识别信息和攻击行为,并且将识别信息和攻击行为存储在安全保护代理模块中。系统上部署有与实际业务系统基本相同的伪业务系统第二运行组件,第二运行组件的下层设置有安全保护代理模块,通过安全保护代理模块来记录所有的入侵行为和攻击行为,并追踪入侵者,记录在大数据平台中,并且能够根据记录的行为和发起攻击的攻击方的信息提供以下三个方面的数据支持:以供后续改进优化业务系统提供数据支持;具体通过IP地址、账号等信息追踪获得,识别可能的攻击方;识别攻击行为,通过大数据的完善,使得识别更加精确。同时,系统提供对于所有的攻击行为和威胁的统计、分析和显示,使得客户对于安全威胁有更加直观的了解。
优选地,第一运行组件以预定时间间隔向宿主机单元提供基础运行环境的其它虚拟机发送所存储的恶意方的识别信息和攻击行为。
优选地,还包括当安全保护代理模块确定所监测的针对第一运行组件的访问请求的请求方为恶意方时,拒绝访问请求。
优选地,其中当确定请求方的后续请求涉及攻击行为时,还包括将请求方标记为恶意方。
优选地,第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在第一运行组件中,从而使得在第一运行组件从第一虚拟机被迁移到第二虚拟机时,第二虚拟机能够获取第一运行组件的最新运行数据。
优选地,其中当确定请求方的后续请求涉及攻击行为并且获取请求方的识别信息和攻击行为后,将第二运行组件删除并且根据第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
优选地,其中当确定请求方的后续请求不涉及攻击行为,第二运行组件针对请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给第一运行组件,以使得第一运行组件和第二运行组件在业务数据上保持同步。
图3为根据本发明实施方式的用于在云环境中保护业务安全的系统构建关系示意图。如图3所示,系统300包括服务器硬件301,在服务器硬件301硬件上构建宿主机单元302,宿主机单元302上构建多个虚拟机单元303-1,303-2…303-n,以及构建多个容器管理单元304-1,304-2…304-n,通过容器管理单元对用户业务应用、业务应用以及安全保护代理模块进行打包。本发明的实施方式中,客户的实际业务系统部署在机房或私有云上,然后在该系统前端设置软件或者硬件的安全保护代理模块305-1,305-2…305-n。通过安全保护代理模块监控通过互联网或内部网络对于业务系统的访问行为。如果发现访问行为是入侵或攻击行为,则通过路由将所有访问导向用于在云环境中保护业务安全的系统300。系统300上部署有与实际业务系统基本相同的伪业务系统,伪业务系统的下层设置有安全保护代理模块,通过安全保护代理模块来记录所有的入侵行为和攻击行为,并追踪入侵者,记录在大数据平台中,并且能够根据记录的行为和发起攻击的攻击方的信息提供以下三个方面的数据支持:以供后续改进优化业务系统提供数据支持;具体通过IP地址、账号等信息追踪获得,识别可能的攻击方;识别攻击行为,通过大数据的完善,使得识别更加精确。同时,安全云的系统300提供对于所有的攻击行为和威胁的统计、分析和显示,使得客户对于安全威胁有更加直观的了解。
安全云的系统300的基本架构是采用虚拟机单元加容器管理单元技术相结合,其中在容器管理单元中注入了安全保护代理模块实现安全防护。多个虚拟机单元作用是实现云部署,在服务器上以不同的资源支持多个操作系统同时运行多个容器管理单元的作用是将整个运行环境模拟出来,并且由于多个容器管理单元的特性,运行环境和系统部署后可以形成镜像整体重现,方便配置。本发明的实施方式是基于虚拟机单元部署的云环境的容器管理单元构建得到客户的业务系统,例如内部数据系统在容器管理单元中注入安全保护代理模块,监控入侵和攻击的行为,进行记录。
在服务器硬件上设置的宿主机单元HOSTOS支持对硬件资源的调用。多个虚拟机单元用于实现云操作系统的部署,在宿主机单元HOSTOS上实现以预先配置的资源来运行,例如linux不同发行版本和windows server等云操作系统的运行。
多个容器管理单元为容器打包技术的驱动引擎,其在多个虚拟机单元构建的操作系统的基础上进一步运行环境需要的软件打包,例如php、mysql等以及业务系统本身和安全代理。使用多个容器管理单元,可以使得整个业务系统以及其环境可以独立于多个虚拟机单元构件的云操作系统。同时,也可以方便地通过文件复制形成镜像来重现业务系统和运行环境。这对于后期进行版本管理以及跟踪系统缺陷有很大的作用。同时,安全保护代理模块在容器管理单元启动时自动启动,并对所有业务系统以及虚拟机单元进行监控、记录和跟踪。
图4为根据本发明实施方式的用于在云环境中保护业务安全的系统基础框架的图。如图4所示,客户实际业务系统401部署在机房或私有云上,然后在该系统前端设置软件或者硬件的安全网桥402,通过安全网桥402监控通过网络403对于业务系统的访问行为,网络403包括互联网或内部网络。如果发现访问行为是入侵或攻击行为,则通过路由将所有访问导向安全云404。安全云404上部署有与实际业务系统基本相同的伪业务系统,伪业务系统的下层设置有安全代理(agent),通过安全代理来记录所有的入侵行为和攻击行为,并追踪入侵者,记录在大数据平台405中,根据记录的行为和发起攻击的攻击方的信息可以提供以下三个方面的数据支持:以供后续改进优化业务系统提供数据支持;识别可能的攻击方,具体识别方式包括通过IP地址、账号等信息追踪获得;识别可能攻击行为,通过大数据平台405中大数据的完善,使得识别更加精确。同时,系统提供对于所有的攻击行为和威胁的统计、分析和显示,使得客户对于安全威胁有更加直观的了解。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于在云环境中保护业务安全的系统,所述系统包括:
宿主机单元,用于为多个虚拟机单元提供基础运行环境;
多个虚拟机单元,其中每个虚拟机单元均用于提供用户运行环境,所述用户运行环境用于运行与用户相关联的云操作系统;
多个容器管理单元,每个容器管理单元根据用户预先设置的最小运行集确定业务应用的集合,将所述集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机单元进行运行的第一运行组件,并且将所述集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机单元进行运行的第二运行组件。
2.根据权利要求1所述的系统,还包括:
其中安全保护代理模块用于监测服务器外部的请求方针对所述第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将所述访问请求重定向到第二运行组件;
在所述第二运行组件针对所述访问请求进行业务处理的过程中,所述安全保护代理模块对所述请求方的后续请求进行安全检查,并且当确定所述请求方的后续请求涉及攻击行为时,获取所述请求方的识别信息和攻击行为,并且将所述识别信息和攻击行为存储在所述安全保护代理模块中。
3.根据权利要求1所述的系统,所述第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在所述第一运行组件中,从而使得在所述第一运行组件从第一虚拟机单元被迁移到第二虚拟机单元时,所述第二虚拟机单元的容器管理单元能够获取所述第一运行组件的最新运行数据。
4.根据权利要求1所述的系统,其中当确定所述请求方的后续请求涉及攻击行为并且获取所述请求方的识别信息和攻击行为后,将所述第二运行组件删除并且根据所述第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
5.根据权利要求1所述的系统,其中当确定所述请求方的后续请求不涉及攻击行为,所述第二运行组件针对所述请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给所述第一运行组件,以使得所述第一运行组件和第二运行组件在业务数据上保持同步。
6.一种用于在云环境中保护业务安全的方法,所述方法包括:
生成用于运行多个虚拟机的基础运行环境;
利用多个虚拟机中每个虚拟机来提供用户运行环境,所述用户运行环境用于运行与用户相关联的云操作系统;
根据用户预先设置的最小运行集确定业务应用的集合,将所述集合中的至少一个业务应用、用户业务应用和安全保护代理模块进行组合以形成能够跨虚拟机进行运行的第一运行组件,并且将所述集合中的至少一个业务应用和用户业务应用进行组合以形成无法跨虚拟机进行运行的第二运行组件。
7.根据权利要求6所述的方法,还包括:
其中安全保护代理模块用于监测服务器外部的请求方针对所述第一运行组件访问请求,当确定所监测的针对第一运行组件的访问请求具有安全风险时,将所述访问请求重定向到第二运行组件;
在所述第二运行组件针对所述访问请求进行业务处理的过程中,所述安全保护代理模块对所述请求方的后续请求进行安全检查,并且当确定所述请求方的后续请求涉及攻击行为时,获取所述请求方的识别信息和攻击行为,并且将所述识别信息和攻击行为存储在所述安全保护代理模块中。
8.根据权利要求6所述的方法,所述第一运行组件中的至少一个业务应用、用户业务应用和安全保护代理模块在运行时所生成的运行数据均保存在所述第一运行组件中,从而使得在所述第一运行组件从第一虚拟机被迁移到第二虚拟机时,所述第二虚拟机能够获取所述第一运行组件的最新运行数据。
9.根据权利要求6所述的方法,其中当确定所述请求方的后续请求涉及攻击行为并且获取所述请求方的识别信息和攻击行为后,将所述第二运行组件删除并且根据所述第一运行组件中的至少一个业务应用和用户业务应用进行组合以形成新的第二运行组件。
10.根据权利要求6所述的方法,其中当确定所述请求方的后续请求不涉及攻击行为,所述第二运行组件针对所述请求方的后续请求进行业务处理,并且将进行业务处理所生成的更新的数据发送给所述第一运行组件,以使得所述第一运行组件和第二运行组件在业务数据上保持同步。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431580.2A CN110321698A (zh) | 2019-05-22 | 2019-05-22 | 一种用于在云环境中保护业务安全的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431580.2A CN110321698A (zh) | 2019-05-22 | 2019-05-22 | 一种用于在云环境中保护业务安全的系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110321698A true CN110321698A (zh) | 2019-10-11 |
Family
ID=68113305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910431580.2A Pending CN110321698A (zh) | 2019-05-22 | 2019-05-22 | 一种用于在云环境中保护业务安全的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110321698A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978589A (zh) * | 2022-04-13 | 2022-08-30 | 中国科学院信息工程研究所 | 一种轻量级云操作系统及其构建方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060136912A1 (en) * | 2004-12-17 | 2006-06-22 | Intel Corporation | Method, apparatus and system for transparent unification of virtual machines |
| CN102160036A (zh) * | 2008-09-15 | 2011-08-17 | 国际商业机器公司 | 服务环境中虚拟机的安全动态迁移 |
| CN102467632A (zh) * | 2010-11-19 | 2012-05-23 | 奇智软件(北京)有限公司 | 一种浏览器隔离使用的方法 |
| CN105793862A (zh) * | 2013-12-03 | 2016-07-20 | 微软技术许可有限责任公司 | 动态程序在隔离环境中的受指导执行 |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护系统、网络安全防护方法以及存储介质 |
-
2019
- 2019-05-22 CN CN201910431580.2A patent/CN110321698A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060136912A1 (en) * | 2004-12-17 | 2006-06-22 | Intel Corporation | Method, apparatus and system for transparent unification of virtual machines |
| CN102160036A (zh) * | 2008-09-15 | 2011-08-17 | 国际商业机器公司 | 服务环境中虚拟机的安全动态迁移 |
| CN102467632A (zh) * | 2010-11-19 | 2012-05-23 | 奇智软件(北京)有限公司 | 一种浏览器隔离使用的方法 |
| CN105793862A (zh) * | 2013-12-03 | 2016-07-20 | 微软技术许可有限责任公司 | 动态程序在隔离环境中的受指导执行 |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护系统、网络安全防护方法以及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978589A (zh) * | 2022-04-13 | 2022-08-30 | 中国科学院信息工程研究所 | 一种轻量级云操作系统及其构建方法 |
| CN114978589B (zh) * | 2022-04-13 | 2023-08-08 | 中国科学院信息工程研究所 | 一种轻量级云操作系统及其构建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Puthal et al. | Cloud computing features, issues, and challenges: a big picture | |
| US9906547B2 (en) | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history | |
| US8528101B1 (en) | Integrated physical security control system for computing resources | |
| Zunnurhain et al. | Security attacks and solutions in clouds | |
| CN102843385B (zh) | 一种用于云计算环境中防范旁路攻击虚拟机的方法 | |
| Sharma et al. | Literature review: Cloud computing-security issues, solution and technologies | |
| CN112671772B (zh) | 基于云安全能力平台的网络安全服务系统及方法 | |
| Chiang et al. | Swiper: Exploiting virtual machine vulnerability in third-party clouds with competition for I/O resources | |
| Hershey et al. | System of systems for quality-of-service observation and response in cloud computing environments | |
| US9930070B2 (en) | Modifying security policies of related resources | |
| Alyas et al. | Live migration of virtual machines using a mamdani fuzzy inference system | |
| Jamkhedkar et al. | A framework for realizing security on demand in cloud computing | |
| Toumi et al. | Cooperative trust framework for cloud computing based on mobile agents | |
| CN106503587A (zh) | 一种数据盘的挂载方法及虚拟机监控器 | |
| Messina et al. | An agent based architecture for vm software tracking in cloud federations | |
| Szefer et al. | Cyber defenses for physical attacks and insider threats in cloud computing | |
| RU2557476C2 (ru) | Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений | |
| Keshavarzi et al. | Research challenges and prospective business impacts of cloud computing: A survey | |
| CN110321698A (zh) | 一种用于在云环境中保护业务安全的系统及方法 | |
| Sleit et al. | Cloud computing challenges with emphasis on Amazon EC2 and windows azure | |
| Xiao et al. | An accountable framework for sensing-oriented mobile cloud computing | |
| Wongthai et al. | Logging solutions to mitigate risks associated with threats in infrastructure as a service cloud | |
| Hershey et al. | System of systems to provide quality of service monitoring, management and response in cloud computing environments | |
| Wu et al. | Public cloud security protection research | |
| Deylami et al. | Tailoring the cyber security framework: How to overcome the complexities of secure live virtual machine migration in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191011 |
|
| RJ01 | Rejection of invention patent application after publication |