CN113141356A - 云计算平台下微隔离装置及方法 - Google Patents
云计算平台下微隔离装置及方法 Download PDFInfo
- Publication number
- CN113141356A CN113141356A CN202110402092.6A CN202110402092A CN113141356A CN 113141356 A CN113141356 A CN 113141356A CN 202110402092 A CN202110402092 A CN 202110402092A CN 113141356 A CN113141356 A CN 113141356A
- Authority
- CN
- China
- Prior art keywords
- management center
- information
- micro
- cloud computing
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 17
- 239000000523 sample Substances 0.000 claims abstract description 43
- 238000012544 monitoring process Methods 0.000 claims abstract description 38
- 238000007689 inspection Methods 0.000 claims abstract description 32
- 238000005516 engineering process Methods 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 7
- 230000000007 visual effect Effects 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 30
- 230000006399 behavior Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000006854 communication Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003014 reinforcing effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于云计算领域,提供了一种云计算平台下微隔离装置及方法。其中,该装置包括管理中心和Agent探针模块;所述Agent探针模块安装在云计算平台中各个服务器上,用于监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;所述管理中心,用于配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;所述Agent探针模块,还用于将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
Description
技术领域
本发明属于云计算领域,尤其涉及一种云计算平台下微隔离装置及方法。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
随着云计算技术在信息化建设中的快速普及,政府和公司内部各部门用来发布公告、提供服务、征集意见的信息系统不断集中,形成了以各大公司、各级政府为单位的网站群。因此,对于网站群的安全运行已经成为当今社会信息安全建设的重要课题。
早期的微隔离技术专指网络交换领域中通过限制以太网的冲突域,来提升整个网络的性能。在云计算和虚拟化时代,微隔离有了新含义,主要是指利用软件或者硬件的技术手段,在云计算或虚拟化环境中,划分更多逻辑上的安全域,形成逻辑的安全边界,实现访问控制、威胁检测与阻断、监控和审计等等安全功能,提供小到虚机级的防护。
当前云计算时代的微隔离技术有多种实现方式,主要包括:物理安全设备隔离虚拟化环境、主机代理、虚拟交换机隔离、基于Hypervisor的控制和不基于Hypervisor的网络安全控制。每种实现方式都有自身的特点。物理安全设备隔离虚拟化环境采用独立安全设备进行安全域隔离,以报文头、内容和行为做策略,对环境没有依赖;主机代理在每个代理机上加载代理软件,对进出虚拟机的流量,虚拟机应用,内容进行控制,强依赖于虚拟机操作系统;虚拟交换机隔离主要利用虚拟交换机的能力,在虚拟交换机上进行控制,在虚拟网卡对虚拟交换机的识别和报文头上做策略;基于Hypervisor的控制在Hypervisor再加上虚拟机上安装的安全软件,在虚拟网卡上对基于虚拟机的识别、报文头或内容做策略,依赖虚拟化平台的API;不基于Hypervisor的网络安全控制在一个虚拟机或物理设备上实现功能,在安全域或隔离边界上基于虚拟机识别,报文头或内容做策略,不依赖虚拟化环境,但需要引流。
尽管微隔离技术在云计算或虚拟化环境中,有着划分更多逻辑上的安全域、形成逻辑的安全边界、实现访问控制、威胁检测与阻断、监控和审计等等安全功能、提供小到虚机级的防护等诸多优点,但是发明人发现,如今的微隔离技术仍有一些不足:(1)新旧设备不兼容导致的分布式控制问题,(2)微隔离技术也会受到恶意攻击导致失效。
发明内容
为了解决上述背景技术中存在的至少一项技术问题,本发明提供一种云计算平台下微隔离装置及方法,其通过管理中心与各个Agent探针模块相互通信,利用Agent探针模块进行微隔离,能够提升网站抵御攻击能力,有效保障重点网站的安全平稳运营。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一个方面提供一种云计算平台下微隔离装置,其包括管理中心和Agent探针模块;
所述Agent探针模块安装在云计算平台中各个服务器上,用于监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;
所述管理中心,用于配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;
所述Agent探针模块,还用于将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
进一步地,所述Agent探针模块还用于将阻断当前连接信息反馈至管理中心,所述管理中心还用于生成安全事件告警以提示用户。
上述技术方案的优点在于,在管理中心以安全事件告警的形式向用户做出提示,能够保证网站群服务器的安全运营。
进一步地,所述Agent探针模块以内核加固的方式巡检相应服务器的安全。
上述技术方案的优点在于,以内核加固的方式对主机安全配置进行全面、高效的基线检查,包括检查系统弱口令、检查克隆账户、检查计划任务等。
进一步地,巡检相应服务器的安全包括检查系统弱口令、检查克隆账户、检查计划任务以及修补服务器潜在风险项。
进一步地,所述管理中心,用于将监控信息及巡检信息形成数据流并进行可视化展示。
上述技术方案的优点在于,这样能够帮助安全运维人员实时准确把握业务系统内部网络信息流动情况。
进一步地,所述管理中心还用于持续学习存储的监控信息及巡检信息,自动发现并跟踪业务信息资产的变更,并采用交互式安全检测技术自动识别出发生变更的业务资产的安全风险。
其中资产的变更包括服务器、服务器上运行的软件、网站、以及web应用类型等,安全风险包括危险端口、安全漏洞、恶意代码、敏感信息泄露等,上述技术方案的优点在于,这样能够缩短Attackfree时间窗,避免ShadowIT带来的安全风险。
进一步地,所述管理中心还用于持续自动化跟踪每台服务器的安全状态,并对每台服务器建立风险档案及风险评分。
上述技术方案的优点在于,之后汇总所有服务器状态,对整个业务环境的安全风险进行评估,协助管理员更好的了解整个业务系统及每台服务器当前的安全状态。
本发明的第二个方面提供一种基于如上述所述的云计算平台下微隔离装置的微隔离方法,其包括:
Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;
管理中心配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;由Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
进一步地,该方法还包括:
Agent探针模块将阻断当前连接信息反馈至管理中心,由管理中心生成安全事件告警以提示用户。
进一步地,该方法还包括:
管理中心将监控信息及巡检信息形成数据流并进行可视化展示。
与现有技术相比,本发明的有益效果是:
本发明提供了一种云计算平台下微隔离装置,其解决了新旧设备不兼容导致的分布式控制以及微隔离技术也会受到恶意攻击导致失效的问题,采用安装在云计算平台中各个服务器上的Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储,在管理中心中配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中,利用Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配来判断访问是否合法,提升了网站抵御攻击能力,有效保障了重点网站的安全平稳运营。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明实施例的云环境同vlan内虚拟机间通信过程图;
图2是本发明实施例的平面传递示意图;
图3是本发明实施例的云计算平台下微隔离装置结构示意图;
图4是本发明实施例的云计算平台下微隔离装置原理图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
云环境同vlan内虚拟机间通信过程如图1所示;VM1与VM2在vlan100内,VM1与VM2通信时,通过vSwitch即可互通,这个过程与物理交换机直连两台PC相同.那么当希望对VM1进行防护时,就需要将VM1到VM2的流量牵引到业务平面,由业务平面进行安全检测后,再将流量交给VM2,如图2所示。
与图1相比,图2中多了一些组件,分别是控制平面、业务平面、vSwitch2、vlan3700(即pg3700),通过上面的介绍,我们知道控制平面负责配置管理,即告诉业务平面对其收到的流量执行什么样的安全检查.业务平面则负责具体执行安全检查。整个系统引流的关键在于vSwitch2,我们看到,VM1不再与VM2在同一个vlan(vlan100)内,而是重新接入到vlan3700中,而vlan3700所属虚拟交换机vSwitch2通过trunk与业务平面互联,这样能保证VM1去往VM2的流量可以通过vSwitch2进入到业务平面,从而由业务平面进行安全检查。业务平面执行相关安全检查后,将VM1去VM2的流量通trun接口发给vSwitch1,而此时VM1所带vlan标签为vlan3700,而VM2所在vlan为vlan100,为了保证由业务平面处理后的数据顺利进入到vlan100,从而被VM2接收到,只需要业务平面在向vSwitch1转发时,将vlan3700转换为vlan100即可。通过上述过程即可实现VM1去往VM2的流量先经过业务平面的安全检查,检查后再做个vlan标签转换动作,进而将数据交给VM2。
基于上述微隔离原理可知:
(1)云平台内部流量不可见:在虚拟化环境中,多台VM在内部交互的流量都直接通过虚拟交换机直接转发,因此所有内部的交互流量都变得无法可视。在没有深度可视化内部流量的情况下,就无法发现内部的威胁,更谈不上对威胁的控制。在出口部署的传统防火墙不可能对VM间的流量进行识别.当新的内部流量激增或者变化的情况下,出口的防火墙也无法感知其内部的变化,进而也不能采取相关措施。
(2)虚拟机和虚拟机之间缺乏安全隔离:在同一物理服务器上的多台VM间,可通过服务器内部的虚拟网络之间通信,这短路掉了传统的数据中心防火墙的安全防护。在传统的数据中心内,不同的应用分布在不同的物理服务器上,在靠近物理服务器的位置会部署安全设备比如防火墙,用以提供隔离、状态防护、入侵检测等安全保护。当服务器虚拟化后,在物理服务器内部存在多个虚拟机VM,每个虚拟机承载不同应用;同时,物理服务器内部,还由于虚拟化引入了新的虚拟网络层,具体就是一个虚拟交换机,同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟交换机直接通信,不再通过外部的物理防火墙,因此原有的安全防护机制失效了。且不提我们在管理上,期望监控应用间的通信情况时,也无法实现。
(3)云安全对云平台弹性扩展、动态迁移的适应:在同一数据中心内的不同服务器间迁移、或者跨数据中心站点的迁移时,传统的数据中心防火墙上预先配置的安全策略无法跟随,这带来安全漏洞。在传统数据中心里,为服务器提供安全防护的防火墙等设备,都是基于安全策略,针对具体服务器做好了固定的配置。而在虚拟化的数据中心里,出于负载均衡、资源动态调整、高可用性、服务器硬件维护甚至是节约电源的目的,虚拟机会在数据中心内从一台物理服务器手工或者动态地向另一台物理服务器迁移,此时外部防火墙无法感知虚拟机的位置变化,因此针对具体应用的安全策略无法跟随,这又导致的新的安全漏洞。基于虚拟机的计算规模呈现爆发式增长的趋势,对云计算安全提出了更高的要求,表现为:高性能要求:要求有更高的运行效率以支撑不断膨胀的数据中心;性能弹性扩展:现有的安全方案能够提供更好的弹性扩展能力:以适应云数据中心虚拟化不断提升的性能要求;全面的可靠性保障,能够提供更好的冗余设计,最大限度地满足数据中心业务的连续性要求;虚拟化:可为不同业务或者虚拟机提供独立的安全业务平面;多业务隔离:在虚拟交换层上实现多业务隔离,为不同业务之间互访提供安全可控的保障。
综上所述,现有的云计算平台下微隔离装置存在新旧设备不兼容导致的分布式控制问题以及微隔离技术也会受到恶意攻击导致失效的问题,为了解决上述技术问题,本发明提供一种云计算平台下微隔离装置及方法,其通过管理中心与各个Agent探针模块相互通信,利用Agent探针模块进行微隔离,能够提升网站抵御攻击能力,有效保障重点网站的安全平稳运营。
下面通过具体实施方式来详细给出云计算平台下微隔离装置及方法的具体实施过程:
实施例一
如图3和图4所示,本实施例提供了一种云计算平台下微隔离装置,其包括管理中心和Agent探针模块。
在本实施例中,所述Agent探针模块安装在云计算平台中各个服务器上,用于监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储。
在本实施例中,所述管理中心,用于配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中。
在具体实施中,所述Agent探针模块以内核加固的方式巡检相应服务器的安全。这样以内核加固的方式对主机安全配置进行全面、高效的基线检查,包括检查系统弱口令、检查克隆账户、检查计划任务等。
其中,巡检相应服务器的安全包括检查系统弱口令、检查克隆账户、检查计划任务以及修补服务器潜在风险项。
在本实施例中,所述Agent探针模块,还用于将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
在一些实施例中,所述Agent探针模块还用于将阻断当前连接信息反馈至管理中心,所述管理中心还用于生成安全事件告警以提示用户。这样在管理中心以安全事件告警的形式向用户做出提示,能够保证网站群服务器的安全运营。
在其他实施例中,为了能够帮助安全运维人员实时准确把握业务系统内部网络信息流动情况,所述管理中心用于将监控信息及巡检信息形成数据流并进行可视化展示。
在一些实施例中,所述管理中心还用于持续学习存储的监控信息及巡检信息,自动发现并跟踪业务信息资产的变更,并采用交互式安全检测技术自动识别出发生变更的业务资产的安全风险。其中资产的变更包括服务器、服务器上运行的软件、网站、以及web应用类型等,安全风险包括危险端口、安全漏洞、恶意代码、敏感信息泄露等,上述技术方案的优点在于,这样能够缩短Attackfree时间窗,避免ShadowIT带来的安全风险。
在一些实施例中,所述管理中心还用于持续自动化跟踪每台服务器的安全状态,并对每台服务器建立风险档案及风险评分,之后汇总所有服务器状态,对整个业务环境的安全风险进行评估,协助管理员更好的了解整个业务系统及每台服务器当前的安全状态。
本实施例提供了一种云计算平台下微隔离装置,其解决了新旧设备不兼容导致的分布式控制以及微隔离技术也会受到恶意攻击导致失效的问题,采用安装在云计算平台中各个服务器上的Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储,在管理中心中配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中,利用Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配来判断访问是否合法,提升了网站抵御攻击能力,有效保障了重点网站的安全平稳运营。
实施例二
本实施例提供了一种基于如上述所述的云计算平台下微隔离装置的微隔离方法,其包括:
Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;
管理中心配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;由Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
在其他实施例中,基于如上述所述的云计算平台下微隔离装置的微隔离方法还包括:
Agent探针模块将阻断当前连接信息反馈至管理中心,由管理中心生成安全事件告警以提示用户。
在其他实施例中,基于如上述所述的云计算平台下微隔离装置的微隔离方法还包括:
管理中心将监控信息及巡检信息形成数据流并进行可视化展示。
本实施例提供了一种云计算平台下微隔离方法,其解决了新旧设备不兼容导致的分布式控制以及微隔离技术也会受到恶意攻击导致失效的问题,采用安装在云计算平台中各个服务器上的Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储,在管理中心中配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中,利用Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配来判断访问是否合法,提升了网站抵御攻击能力,有效保障了重点网站的安全平稳运营。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种云计算平台下微隔离装置,其特征在于,包括管理中心和Agent探针模块;
所述Agent探针模块安装在云计算平台中各个服务器上,用于监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;
所述管理中心,用于配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;
所述Agent探针模块,还用于将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
2.如权利要求1所述的云计算平台下微隔离装置,其特征在于,所述Agent探针模块还用于将阻断当前连接信息反馈至管理中心,所述管理中心还用于生成安全事件告警以提示用户。
3.如权利要求1所述的云计算平台下微隔离装置,其特征在于,所述Agent探针模块以内核加固的方式巡检相应服务器的安全。
4.如权利要求1所述的云计算平台下微隔离装置,其特征在于,巡检相应服务器的安全包括检查系统弱口令、检查克隆账户、检查计划任务以及修补服务器潜在风险项。
5.如权利要求1所述的云计算平台下微隔离装置,其特征在于,所述管理中心,用于将监控信息及巡检信息形成数据流并进行可视化展示。
6.如权利要求1所述的云计算平台下微隔离装置,其特征在于,所述管理中心还用于持续学习存储的监控信息及巡检信息,自动发现并跟踪业务信息资产的变更,并采用交互式安全检测技术自动识别出发生变更的业务资产的安全风险。
7.如权利要求1所述的云计算平台下微隔离装置,其特征在于,所述管理中心还用于持续自动化跟踪每台服务器的安全状态,并对每台服务器建立风险档案及风险评分。
8.一种基于如权利要求1-7中任一项所述的云计算平台下微隔离装置的微隔离方法,其特征在于,包括:
Agent探针模块监控相应服务器上的流量和行为以及巡检相应服务器的安全,并将监控信息及巡检信息上传至管理中心进行存储;
管理中心配置监控信息及巡检信息的访问规则并下发至各个服务器的Agent探针模块中;由Agent探针模块将当前访问信息与所述管理中心下发的访问规则进行匹配,若符合访问规则,则继续访问;否则,阻断当前连接。
9.如权利要求8所述的云计算平台下微隔离装置的微隔离方法,其特征在于,该方法还包括:
Agent探针模块将阻断当前连接信息反馈至管理中心,由管理中心生成安全事件告警以提示用户。
10.如权利要求8所述的云计算平台下微隔离装置的微隔离方法,其特征在于,该方法还包括:
管理中心将监控信息及巡检信息形成数据流并进行可视化展示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110402092.6A CN113141356A (zh) | 2021-04-14 | 2021-04-14 | 云计算平台下微隔离装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110402092.6A CN113141356A (zh) | 2021-04-14 | 2021-04-14 | 云计算平台下微隔离装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113141356A true CN113141356A (zh) | 2021-07-20 |
Family
ID=76812533
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110402092.6A Pending CN113141356A (zh) | 2021-04-14 | 2021-04-14 | 云计算平台下微隔离装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113141356A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114697091A (zh) * | 2022-03-18 | 2022-07-01 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111371695A (zh) * | 2020-03-03 | 2020-07-03 | 中国工商银行股份有限公司 | 服务限流方法及装置 |
US20200336484A1 (en) * | 2016-03-28 | 2020-10-22 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
CN112035191A (zh) * | 2020-08-27 | 2020-12-04 | 浪潮云信息技术股份公司 | 基于微服务的apm全链路监控系统及方法 |
-
2021
- 2021-04-14 CN CN202110402092.6A patent/CN113141356A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200336484A1 (en) * | 2016-03-28 | 2020-10-22 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
CN111371695A (zh) * | 2020-03-03 | 2020-07-03 | 中国工商银行股份有限公司 | 服务限流方法及装置 |
CN112035191A (zh) * | 2020-08-27 | 2020-12-04 | 浪潮云信息技术股份公司 | 基于微服务的apm全链路监控系统及方法 |
Non-Patent Citations (1)
Title |
---|
王奕钧等: "基于微隔离技术的政府网站群综合防护方案研究", 《警察技术》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114301841B (zh) * | 2021-12-20 | 2024-02-06 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114697091A (zh) * | 2022-03-18 | 2022-07-01 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
CN114697091B (zh) * | 2022-03-18 | 2024-03-12 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9166988B1 (en) | System and method for controlling virtual network including security function | |
US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
US20130074181A1 (en) | Auto Migration of Services Within a Virtual Data Center | |
CN104579732B (zh) | 虚拟化网络功能网元的管理方法、装置和系统 | |
US9807055B2 (en) | Preventing network attacks on baseboard management controllers | |
CN109716729A (zh) | 动态的基于负载的自动缩放网络安全微服务架构 | |
CN103685608B (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
US10944720B2 (en) | Methods and systems for network security | |
US10129114B1 (en) | Protocol exposure as network health detection | |
CN113141356A (zh) | 云计算平台下微隔离装置及方法 | |
KR101286015B1 (ko) | 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
US11824716B2 (en) | Systems and methods for controlling the deployment of network configuration changes based on weighted impact | |
CN103067356A (zh) | 保障业务虚拟机安全的系统及方法 | |
KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
US8370897B1 (en) | Configurable redundant security device failover | |
CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
Lee et al. | Fault localization in NFV framework | |
Smirnov et al. | Network traffic processing module for infrastructure attacks detection in cloud computing platforms | |
EP3079302B1 (en) | Method and system for improving the network configuration trustworthiness in a software defined network | |
US10979302B2 (en) | Meta behavioral analytics for a network or system | |
Bousselham et al. | Security of virtual networks in cloud computing for education | |
Gokulakrishnan et al. | Peer-toPeer convoluted fault recognition to conquer Single-Point stoppage in Cloud systems | |
Bavani et al. | Comprehensive Survey of Implementing Multiple Controllers in a Software-Defined Network (SDN) | |
KR20230142014A (ko) | 단자함 내 지능형 홈넷 게이트웨이를 포함하는 세대별 망분리 및 보안 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210720 |
|
RJ01 | Rejection of invention patent application after publication |