CN111556047B - 一种私有云环境下安全服务的部署方法 - Google Patents
一种私有云环境下安全服务的部署方法 Download PDFInfo
- Publication number
- CN111556047B CN111556047B CN202010334465.6A CN202010334465A CN111556047B CN 111556047 B CN111556047 B CN 111556047B CN 202010334465 A CN202010334465 A CN 202010334465A CN 111556047 B CN111556047 B CN 111556047B
- Authority
- CN
- China
- Prior art keywords
- security
- virtual machine
- service
- security service
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种私有云环境下安全服务的部署方法,应用于云安全管理平台,该方法包括:接收部署请求;调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中虚拟机基于容器化技术实现且集成有安全资源池的安全服务;根据部署请求确定目标安全服务,激活虚拟机上的目标安全服务;接收目标安全服务发送的对接请求,以实现目标安全服务与本地的对接。可见,该安全管理平台提供轻量级安全服务,可以在私有云环境下快速部署安全服务,实现安全服务和用户业务的无缝融合。此外,本申请还提供了一种云安全管理平台、私有云环境下安全服务的部署设备及可读存储介质,其技术效果与上述方法的技术效果相对应。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种私有云环境下安全服务的部署方法、设备、可读存储介质及云安全管理平台。
背景技术
随着云计算技术的兴起,众多客户开始自建私有云,并把信息系统逐步迁移到了云上。传统的数据中心在安全领域积累了大量的理论和最佳实践,但如何保障云上信息系统的安全则是一个新的领域。各大云安全标准组织、安全厂家和企业自身都提出了自己云安全体系。云安全领域中信息系统运维安全问题尤其突出。
目前私有云环境中,安全防护要么依赖于传统硬件,要么采用云化的安全服务的方式。前者对于上云业务的防护不够便捷,后者安全资源池的方式,目前存在2种形态,松耦合方案和紧耦合方案。松耦合方案里安全资源池独立于传统的云平台环境,实现资源的安全开通,租户安全资源相互隔离,但是租户安全资源池和租户业务系统之间的互通往往依赖于外界的设置,遇到复杂的云化环境,不能够满足防护要求。后者需要和云平台对接开通,过程长,开销大,同时一种对接方案在异构厂商环境里,不能够复用。
私有云环境下安全防护方法通常是以上方式并存。但是,业务系统上云后,安全能力不能够快速响应,极大的增加了黑客入侵的可能性。租户对于自己业务的防护状态不能直观感知,不能快速响应。综上,当前私有云环境下的安全服务存在部署复杂、上线难的问题。
发明内容
本申请的目的是提供一种私有云环境下安全服务的部署方法、设备、可读存储介质及云安全管理平台,用以解决当前私有云环境下的安全服务存在部署复杂、上线难的问题。其具体方案如下:
第一方面,本申请提供了一种私有云环境下安全服务的部署方法,应用于云安全管理平台,该方法包括:
接收部署请求;
调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接。
优选的,在所述接收部署请求之前,还包括:
根据注册请求,将安全服务以镜像文件的方式注册到本地的安全资源池。
优选的,所述调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,包括:
对客户端输入的身份信息进行认证,若认证通过,则调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机。
优选的,所述激活所述虚拟机上的所述目标安全服务,包括:
对客户端输入的在所述目标安全服务的账号信息进行认证,若认证通过,则激活所述虚拟机上的所述目标安全服务。
优选的,在所述接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接之后,还包括:
调用底层云管理平台的引流接口,将业务流量引入所述目标安全服务,以便所述目标安全服务对所述业务流量进行编排清洗。
优选的,在所述接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接之后,还包括:
接收所述目标安全服务发送的syslog格式的用户业务日志,以实现安全防护。
优选的,在所述接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接之后,还包括:
利用Kubernetes系统对所述虚拟机上的容器进行管理。
第二方面,本申请提供了一种云安全管理平台,用于在私有云环境下部署安全服务,该平台包括:
请求接收模块:用于接收部署请求;
虚拟机创建模块:用于调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
激活模块:用于根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
对接模块:用于接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接。
第三方面,本申请提供了一种私有云环境下安全服务的部署设备,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如上所述的私有云环境下安全服务的部署方法的步骤。
第四方面,本申请提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上所述的私有云环境下安全服务的部署方法的步骤。
本申请所提供的一种私有云环境下安全服务的部署方法,应用于云安全管理平台,该方法包括:接收部署请求;调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;根据部署请求所携带的服务标识信息确定目标安全服务,激活虚拟机上的目标安全服务;接收目标安全服务发送的对接请求,以实现目标安全服务与本地的对接。可见,该安全管理平台提供轻量级安全服务,可以在私有云环境下快速部署安全服务,实现安全服务和用户业务的无缝融合。
此外,本申请还提供了一种云安全管理平台、私有云环境下安全服务的部署设备及可读存储介质,其技术效果与上述方法的技术效果相对应,这里不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请所提供的一种私有云环境下安全服务的部署方法实施例一的实现流程图;
图2为本申请所提供的一种私有云环境下安全服务的部署方法实施例二的实现流程图;
图3为本申请所提供的一种私有云环境下安全服务的部署方法实施例二的系统架构示意图;
图4为本申请所提供的一种云安全管理平台实施例的功能框图;
图5为本申请所提供的一种私有云环境下安全服务的部署设备实施例的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前私有云环境下的安全服务存在部署复杂、上线难的问题,需要一种安全有效、快速上线的方式,对用户的业务全方位的安全防护,同时可以对用户的操作进行认证、授权和审计。针对该问题,本申请提供一种私有云环境下安全服务的部署方法、设备、可读存储介质及云安全管理平台,能够提供轻量级安全服务,可以在私有云环境下快速部署安全服务,实现安全服务和用户业务的无缝融合。
下面对本申请提供的一种私有云环境下安全服务的部署方法实施例一进行介绍,参见图1,实施例一应用于云安全管理平台,该方法包括:
S101、接收部署请求;
S102、调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
S103、根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
S104、接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接。
安全服务模块化进入VPC网络。本实施例中,安全服务以镜像的形式进入云安全管理平台,云安全管理平台将镜像进行注册。镜像可以支持qcow2格式、vmdk格式,来适配各种云化场景。镜像能够快速拉起,满足占用资源少的要求。
本实施例中,用户可以按需开通安全服务。用户在云安全管理平台侧开通安全服务订单,该订单以虚拟机的形式在VPC网络里拉起,安全服务自动按需激活,实时计费。更具体的,首先获取到用户的安全防护需求,对用户开通的安全产品进行服务化抽象,在用户VPC内开通服务化的安全产品,激活安全服务,安全服务通过守护进程向云安全管理平台进行注册,获取授权,特征库更新。
安全服务和云安全管理平台注册对接,在实际应用中,可以对用户进行认证,如果认证通过,采用VPN技术在安全服务和私有云网络内部建立一条加密隧道,安全服务通过加密隧道向云安全管理平台进行注册连接,该注册隧道承载安全服务的认证请求、授权请求、日志请求。具体的,安全服务通过镜像内置的守护进程,完成安全服务向上层注册。此外,安全服务设置有访问控制列表,具体内容如下:源地址为IP_A,目的地址为云安全管理平台,动作允许执行;源地址为任意,目的地址为任意,动作拒绝执行。
云安全管理平台还具备统一管理功能,通过CAS等免密技术来完成安全服务的统一管理。具体的,通过docker对安全实例服务化,并且通过K8S技术对容器进行统一管理。云安全管理平台还用于通过API接口对相应的安全服务进行认证。安全服务激活失败表明认证失败,可以向用户端发送认证失败的提示消息。在实际应用中,接收所述用户端的开通安全服务的指令,安全服务接收指令并交给云安全管理平台,云安全管理平台调度底层云平台开通资源,通过镜像模板,拉起安全服务实例。
安全服务向云安全管理平台发送日志。具体的,通过netconf或者调用云平台接口技术来对流量进行引流,然后用户业务流量经过安全服务的清洗,自动产生日志,安全服务集中式向安全管理平台发送日志。作为一种具体的实施方式,上述日志信息以标准的syslog格式进行发送。
云安全管理平台对接收到的日志进行大数据分析,进行威胁情报展示,梳理资产,发现强威胁安全产品,对于强威胁状态主机以醒目的方式进行展示,通过邮件甚至短信通知管理员。此外,安全管理平台可以周期性地生成表格,对安全服务统一展示,以便管理员及时进行安全防护操作。
本实施例所提供一种私有云环境下安全服务的部署方法,应用于云安全管理平台,该方法包括:接收部署请求;调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;根据部署请求所携带的服务标识信息确定目标安全服务,激活虚拟机上的目标安全服务;接收目标安全服务发送的对接请求,以实现目标安全服务与本地的对接。可见,该安全管理平台提供轻量级安全服务,可以在私有云环境下快速部署安全服务,实现安全服务和用户业务的无缝融合。
下面开始详细介绍本申请提供的一种私有云环境下安全服务的部署方法实施例二,实施例二基于前述实施例一实现,并在实施例一的基础上进行了一定程度上的拓展。
参见图2和图3,实施例二具体应用于云安全管理平台,该方法包括:
S201、根据注册请求,将安全服务以镜像文件的方式注册到本地的安全资源池;
S202、接收管理员或客户端的部署请求;
S203、对客户端输入的身份信息进行认证,若认证通过,则调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
S204、根据所述部署请求所携带的服务标识信息确定目标安全服务,对客户端输入的在所述目标安全服务的账号信息进行认证,若认证通过,则激活所述虚拟机上的所述目标安全服务;
如果云安全管理平台认证失败,则向用户端发送认证失败消息。
S205、接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接;
S206、利用Kubernetes系统对所述虚拟机上的容器进行管理;
S207、调用底层云管理平台的引流接口,将业务流量引入所述目标安全服务,以便所述目标安全服务对所述业务流量进行编排清洗;
S208、接收所述目标安全服务发送的syslog格式的用户业务日志,以实现安全防护。
本实施例的实施过程主要如下:安全模块服务化,安全服务的配置激活,安全服务在按需分配的场景下自动防护。运行状态中的安全防护模式,安全服务和云安全管理平台集中式通信,并实时发送状态信息。云安全管理平台对安全服务的集中式管理,还可以根据用户需求更新安全策略。
上述安全模块服务化,包括安全产品在vmware环境、openstack、zstack等各种云化场景下的支持,具体采用docker化的容器服务,能够融入到云平台的VPC内,因此与租户的业务网络直接互通。
对于用户流量的自动编排,在将流量通过云管理平台的接口引到安全防护模块后,安全防护模块会对流量进行编排清洗,编排的过程按照用户选取的安全策略,如WAF/IPS/IDS等。
当安全服务向云安全管理平台注册成功后,用户端可以进一步将自身的信息发送至云安全管理平台以实现注册,注册信息包括用户端的IP和需求安全服务信息。平台可以对已授权的安全服务服务进行许可的下发,平台接收到安全服务的激活请求,对相应的模块进行授权。对信息系统的日志进行记录,并作为日志留存,记录用户的许可消耗信息。用户可以通过租户账号登录云安全管理平台页面,在安全管理平台页面进行产品的使用以及安全策略的配置。
为保证安全模块的高可用,可以采用双机方案,服务监听主备地址,流量的牵引通过内部的LB或者VIP的方式实现负载,从而让服务具备双机高可用场景。
上述云安全管理平台包括运维审计模块、负载均衡模块、数据备份模块、漏洞扫描模块、数据库审计模块,所述的安全服务模块包括:攻击检测及处理子模块、数据加密接口、数据隔离子模块、访问控制子模块、冗余存储及恢复子模块。上述负载均衡模块建立在应用服务模块结构之上,提供有效透明的方法以扩展网络设备、隔离服务器、增加ACL、加强安全防护服务、提高网络的灵活性和可用性。
可见,本实施例提供的一种私有云环境下安全服务的部署方法,属于私有云安全防护技术领域,满足各异构云环境下的安全资源池的快速落地。该方法包括:落地用户的私有云安全管理平台;注册安全服务镜像至云安全管理平台;对于需要安全防护的租户,由云平台管理员或者是租户申请云安全服务;管理平台调用底层云平台接口,在租户VPC网络里创建一台镜像为云安全服务的虚拟机;云安全服务虚拟机采用容器化技术,集成了审计/扫描/网关类安全服务组建,按需激活服务;云安全服务虚拟机同时会自动向安管平台注册,完成与安全平台的对接,实现安全防护的展示和分析,包括特征库升级。
可见,本实施例通过自主可控的接口完成安全服务集的扩展;安全服务集合在相应的模块里,开通后自动注册;注册完成后,完成授权激活,安全实例配置的更新;平台统一管理安全服务,支持租户的单点登录认证。通过嵌入云平台虚拟机内部,实现各种云化场景的业务快速上线。实现了安全服务和用户业务的无缝融合,解决了可能会在公共网络中暴露信息系统的安全问题。
下面对本申请实施例提供的一种云安全管理平台进行介绍,下文描述的一种云安全管理平台与上文描述的一种私有云环境下安全服务的部署方法可相互对应参照。
本实施例的云安全管理平台用于在私有云环境下部署安全服务,如图4所示,该平台包括:
请求接收模块401:用于接收部署请求;
虚拟机创建模块402:用于调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
激活模块403:用于根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
对接模块404:用于接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接。
本实施例的一种云安全管理平台用于实现前述的私有云环境下安全服务的部署方法,因此该云安全管理平台中的具体实施方式可见前文中的私有云环境下安全服务的部署方法的实施例部分,例如,请求接收模块401、虚拟机创建模块402、激活模块403、对接模块404,分别用于实现上述私有云环境下安全服务的部署方法中步骤S101,S102,S103,S104。所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的一种云安全管理平台用于实现前述的私有云环境下安全服务的部署方法,因此其作用与上述方法的作用相对应,这里不再赘述。
此外,本申请还提供了一种私有云环境下安全服务的部署设备,如图5所示,包括:
存储器100:用于存储计算机程序;
处理器200:用于执行所述计算机程序,以实现如上文所述的私有云环境下安全服务的部署方法的步骤。
最后,本申请提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上文所述的私有云环境下安全服务的部署方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种私有云环境下安全服务的部署方法,其特征在于,应用于云安全管理平台,该方法包括:
接收部署请求;
调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接;
调用底层云管理平台的引流接口,将业务流量引入所述目标安全服务,以便所述目标安全服务对所述业务流量进行编排清洗。
2.如权利要求1所述的方法,其特征在于,在所述接收部署请求之前,还包括:
根据注册请求,将安全服务以镜像文件的方式注册到本地的安全资源池。
3.如权利要求1所述的方法,其特征在于,所述调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,包括:
对客户端输入的身份信息进行认证,若认证通过,则调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机。
4.如权利要求3所述的方法,其特征在于,所述激活所述虚拟机上的所述目标安全服务,包括:
对客户端输入的在所述目标安全服务的账号信息进行认证,若认证通过,则激活所述虚拟机上的所述目标安全服务。
5.如权利要求1所述的方法,其特征在于,在所述接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接之后,还包括:
接收所述目标安全服务发送的syslog格式的用户业务日志,以实现安全防护。
6.如权利要求1-5任意一项所述的方法,其特征在于,在所述接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接之后,还包括:
利用Kubernetes系统对所述虚拟机上的容器进行管理。
7.一种云安全管理平台,其特征在于,用于在私有云环境下部署安全服务,该平台包括:
请求接收模块:用于接收部署请求;
虚拟机创建模块:用于调用底层云管理平台的虚拟机创建接口在租户VPC网络创建虚拟机,其中所述虚拟机基于容器化技术实现,且集成有安全资源池的安全服务;
激活模块:用于根据所述部署请求所携带的服务标识信息确定目标安全服务,激活所述虚拟机上的所述目标安全服务;
对接模块:用于接收所述目标安全服务发送的对接请求,以实现所述目标安全服务与本地的对接;调用底层云管理平台的引流接口,将业务流量引入所述目标安全服务,以便所述目标安全服务对所述业务流量进行编排清洗。
8.一种私有云环境下安全服务的部署设备,其特征在于,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如权利要求1-6任意一项所述的私有云环境下安全服务的部署方法的步骤。
9.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如权利要求1-6任意一项所述的私有云环境下安全服务的部署方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010334465.6A CN111556047B (zh) | 2020-04-24 | 2020-04-24 | 一种私有云环境下安全服务的部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010334465.6A CN111556047B (zh) | 2020-04-24 | 2020-04-24 | 一种私有云环境下安全服务的部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111556047A CN111556047A (zh) | 2020-08-18 |
CN111556047B true CN111556047B (zh) | 2022-07-12 |
Family
ID=72003946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010334465.6A Active CN111556047B (zh) | 2020-04-24 | 2020-04-24 | 一种私有云环境下安全服务的部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111556047B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112162819B (zh) * | 2020-09-18 | 2023-12-22 | 北京浪潮数据技术有限公司 | 跨虚拟机和Kubernetes集群的应用部署方法 |
CN111930473B (zh) * | 2020-09-25 | 2021-01-01 | 亮风台(上海)信息科技有限公司 | 在容器云上部署图像识别服务的方法与设备 |
CN112738138B (zh) * | 2021-03-30 | 2022-09-30 | 腾讯科技(深圳)有限公司 | 云安全托管方法、装置、设备及存储介质 |
CN113296798B (zh) * | 2021-05-31 | 2022-04-15 | 腾讯科技(深圳)有限公司 | 一种服务部署方法、装置及可读存储介质 |
CN114374611B (zh) * | 2022-01-06 | 2024-04-19 | 杭州安恒信息技术股份有限公司 | 公有云vpc环境下管理业务平面分离的实现方法和设备 |
CN114938309A (zh) * | 2022-06-21 | 2022-08-23 | 北京华创方舟科技集团有限公司 | 一种私有云搭建与部署方法 |
CN115987574A (zh) * | 2022-12-06 | 2023-04-18 | 中国联合网络通信集团有限公司 | 虚拟私有云安全检测方法、装置、设备及存储介质 |
CN116016509B (zh) * | 2022-12-19 | 2024-05-14 | 中国联合网络通信集团有限公司 | 私有云数据处理方法、装置、设备及存储介质 |
CN115664948B (zh) * | 2022-12-28 | 2023-03-17 | 北京六方云信息技术有限公司 | 虚拟资源自动配置下发方法、装置、系统及存储介质 |
CN117009036B (zh) * | 2023-08-09 | 2024-05-28 | 北京志凌海纳科技股份有限公司 | 一种基于分布式proxy解决vpc服务更新方法和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
CN107896191A (zh) * | 2017-11-27 | 2018-04-10 | 深信服科技股份有限公司 | 一种基于容器的虚拟安全组件跨云系统及方法 |
CN108200207A (zh) * | 2018-02-11 | 2018-06-22 | 中国联合网络通信集团有限公司 | 云计算系统安全服务的方法和系统、安全云管理平台 |
CN109040065A (zh) * | 2018-08-01 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种云安全管理平台与云平台的对接方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105354076B (zh) * | 2015-10-23 | 2019-01-25 | 北京云端光科技术有限公司 | 一种应用部署方法及装置 |
CN107357660A (zh) * | 2017-07-06 | 2017-11-17 | 华为技术有限公司 | 一种虚拟资源的分配方法及装置 |
CN107911344A (zh) * | 2017-10-28 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种云平台的安全对接方法 |
US10996972B2 (en) * | 2018-09-25 | 2021-05-04 | Microsoft Technology Licensing, Llc | Multi-tenant support on virtual machines in cloud computing networks |
CN110932900B (zh) * | 2019-11-29 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 云管理平台与云安全管理平台业务对接的方法和系统 |
-
2020
- 2020-04-24 CN CN202010334465.6A patent/CN111556047B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
CN107896191A (zh) * | 2017-11-27 | 2018-04-10 | 深信服科技股份有限公司 | 一种基于容器的虚拟安全组件跨云系统及方法 |
CN108200207A (zh) * | 2018-02-11 | 2018-06-22 | 中国联合网络通信集团有限公司 | 云计算系统安全服务的方法和系统、安全云管理平台 |
CN109040065A (zh) * | 2018-08-01 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种云安全管理平台与云平台的对接方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111556047A (zh) | 2020-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111556047B (zh) | 一种私有云环境下安全服务的部署方法 | |
US11210123B2 (en) | Securing live migration of a virtual machine including blocking communication with other virtual machines | |
JP6771650B2 (ja) | クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム | |
CN102420846B (zh) | 企业用户对主存的虚拟机的远程访问 | |
US11469964B2 (en) | Extension resource groups of provider network services | |
US11422846B2 (en) | Image registry resource sharing among container orchestrators in a virtualized computing system | |
CN109254831B (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
US20080172492A1 (en) | System and method for virtualized resource configuration | |
US20140366093A1 (en) | Apparatus and method for virtual desktop service | |
US8832775B2 (en) | Techniques for workload spawning | |
US20100325279A1 (en) | Automatic virtual machine migration in mixed sbc/cbc environment | |
US20100325197A1 (en) | Method for improving boot time of a client having a virtualized operating environment | |
US11997015B2 (en) | Route updating method and user cluster | |
CN113923023B (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
US20230153145A1 (en) | Pod deployment in a guest cluster executing as a virtual extension of management cluster in a virtualized computing system | |
Demchenko et al. | Defining intercloud security framework and architecture components for multi-cloud data intensive applications | |
CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
CN110753069B (zh) | 云桌面离线管理的方法、设备和存储介质 | |
US11507408B1 (en) | Locked virtual machines for high availability workloads | |
US20210165662A1 (en) | Systems and Methods for Automated Application Launching | |
Sun et al. | CSB: Cloud service bus based public SaaS platform for small and median enterprises | |
CN109361675B (zh) | 一种信息安全保护的方法、系统及相关组件 | |
Upadhyay et al. | Secure live migration of VM's in Cloud Computing: A survey | |
Rathod et al. | Secure live vm migration in cloud computing: A survey | |
US20210019201A1 (en) | Real-Time File System Event Mapping To Cloud Events |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |