CN113760450A - 私有云虚拟机自动安全管理方法、装置、终端及存储介质 - Google Patents

私有云虚拟机自动安全管理方法、装置、终端及存储介质 Download PDF

Info

Publication number
CN113760450A
CN113760450A CN202110837810.2A CN202110837810A CN113760450A CN 113760450 A CN113760450 A CN 113760450A CN 202110837810 A CN202110837810 A CN 202110837810A CN 113760450 A CN113760450 A CN 113760450A
Authority
CN
China
Prior art keywords
virtual machine
information
operating system
user
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110837810.2A
Other languages
English (en)
Inventor
刘雁鸣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202110837810.2A priority Critical patent/CN113760450A/zh
Publication of CN113760450A publication Critical patent/CN113760450A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

本发明公开一种私有云虚拟机自动安全管理方法、装置、终端及存储介质,接收用户提交的虚拟机创建申请,进行虚拟机创建;监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;根据所挂载的操作系统镜像检索系统漏洞,并将所检索的系统漏洞推送给用户;根据虚拟机配置信息为虚拟机进行防ARP攻击配置。本发明由云平台创建虚拟机时自动进行相关安全信息的设置和管理,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。

Description

私有云虚拟机自动安全管理方法、装置、终端及存储介质
技术领域
本发明涉及私有云虚拟机安全管理领域,具体涉及一种私有云虚拟机自动安全管理方法、装置、终端及存储介质。
背景技术
私有云一般应用在企业内部,提供研发、内部应用运行使用,其安全性也越来越受关注。当前业界对私有云的安全管理一般是通过安全管理模块提供集中式的管理,通常需要安全运维人员主动去进行相关扫描、配置操作。然后一方面在虚拟机众多、业务繁杂的场景下,安全运维人员无法及时的、按需的进行相关安全风险评估和消减;另一方面安全运维人员一般操作权限有限,无法获取虚拟机的相关信息,无法做到对虚拟机更全面的安全风险评估和消减。
发明内容
为解决上述问题,本发明提供一种私有云虚拟机自动安全管理方法,由云平台创建虚拟机时自动进行相关安全信息的设置和管理,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
第一方面,本发明的技术方案提供一种私有云虚拟机自动安全管理方法,包括以下步骤:
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞,并将所检索的系统漏洞推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
进一步地,步骤S1中用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
则该方法还步骤以下步骤:
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
进一步地,步骤S3中根据所挂载的操作系统镜像检索系统漏洞信息,具体为:
识别操作系统版本;
根据所识别操作系统版本,基于预存的系统漏洞数据库,检索到相应的系统漏洞信息。
进一步地,识别操作系统版本,具体为:
计算所挂载操作系统镜像的哈希值;
将所计算的挂载操作系统哈希值与预存的若干操作系统镜像的哈希值进行比对;
根据比对结果识别操作系统版本。
进一步地,步骤S4中根据虚拟机配置信息为虚拟机进行防ARP攻击配置,具体为:
根据虚拟机配置文件获取虚拟机MAC地址;
根据虚拟机ARP缓存表获取虚拟机IP地址;
将虚拟机MAC地址与虚拟机IP地址进行绑定完成虚拟机的防ARP攻击设置。
进一步地,该方法还包括以下步骤:
S6,接收用户提交的虚拟机修改申请;所述虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息;
S7,对虚拟机修改申请进行审核;
S8,若审核通,执行步骤S4和S5。
第二方面,本发明的技术方案还包括一种私有云虚拟机自动安全管理装置,包括,
创建申请接收模块:接收用户提交的虚拟机创建申请;
虚拟机创建模块:进行虚拟机创建;
进程检测模块:监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置;
漏洞信息检索推送模块:根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
防ARP攻击配置模块:根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
进一步地,创建申请接收模块所接收用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
则该装置还包括,
访问规则配置模块:根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
第三方面,本发明的技术方案提供一种终端,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行上述任一项所述的方法。
第四方面,本发明的技术方案提供一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上述任一项所述的方法。
本发明提供的一种私有云虚拟机自动安全管理方法、装置、终端及存储介质,相对于现有技术,具有以下有益效果:在虚拟机创建时为用户检索系统漏洞信息并推送给用户,且可获取的虚拟机配置信息为虚拟机进行防ARP攻击配置。本发明由云平台创建虚拟机时自动进行相关安全信息的设置和管理,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
如图1所示为本实施例一提供的一种私有云虚拟机自动安全管理方法流程示意图;
如图2所示为本实施例二提供的一种私有云虚拟机自动安全管理方法流程示意图;
如图3所示为本实施例三提供的一种私有云虚拟机自动安全管理方法流程示意图;
如图4所示为本实施例四提供一种私有云虚拟机自动安全管理装置结构示意框图;
图5为本发明实施例五提供的一种终端的结构示意图。
具体实施方式
以下对本发明涉及的英文术语进行解释:
ARP:Address Resolution Protocol,地址解析协议;
MAC:Media Access Control Address,物理地址,用来确认网络设备位置的位址。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
私有云一般应用在企业内部,提供研发、内部应用运行使用,其安全性也越来越受关注。当前业界对私有云的安全管理一般是通过安全管理模块提供集中式的管理,通常需要安全运维人员主动去进行相关扫描、配置操作。然后一方面在虚拟机众多、业务繁杂的场景下,安全运维人员无法及时的、按需的进行相关安全风险评估和消减;另一方面安全运维人员一般操作权限有限,无法获取虚拟机的相关信息,无法做到对虚拟机更全面的安全风险评估和消减。
因此,本实施例一提供一种私有云虚拟机自动安全管理方法,由云平台创建虚拟机时自动进行相关安全信息的设置和管理,减轻安全运维人员的管理压力,为虚拟机提供更全面的安全风险评估和消减。
如图1所示为本实施例一提供的一种私有云虚拟机自动安全管理方法流程示意图,包括以下步骤。
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
本实施例一提供的一种私有云虚拟机自动安全管理方法在虚拟机创建时为用户检索系统漏洞信息并推送给用户,且可获取的虚拟机配置信息为虚拟机进行防ARP攻击配置。本方法由云平台创建虚拟机时自动进行相关安全信息的设置和管理,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
实施例二
在虚拟机的安全管理方便,用户在某些场景在还需要访问规则安全保证,即配置主机可允许访问的端口信息。因此,本实施例二提供的一种私有云虚拟机自动安全管理方法,在提交虚拟机创建申请时,在申请中包含相关信息,由云平台在创建虚拟机时同时创建。与现有技术相比,安全运维人员无法获知到相关信息,也即无法进行配置,而且在虚拟机量较多时,无法及时完成配置。
如图2所示为本实施例二提供的一种私有云虚拟机自动安全管理方法流程示意图,包括以下步骤。
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;其中,用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置;
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
本实施例二提供的一种私有云虚拟机自动安全管理方法在虚拟机创建时为用户检索系统漏洞信息并推送给用户,且可获取的虚拟机配置信息为虚拟机进行防ARP攻击配置,同时可根据接收的待开放端口列表信息和待使用的网络信息进行访问规则的配置。本方法由云平台创建虚拟机时自动进行相关安全信息的设置和管理,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
在一些具体实施例中,步骤S3中根据所挂载的操作系统镜像检索系统漏洞信息,具体通过识别操作系统版本来检索,当然需预先存储系统漏洞数据库。具体包括以下步骤:
步骤一,识别操作系统版本;
步骤二,根据所识别操作系统版本,基于预存的系统漏洞数据库,检索到相应的系统漏洞信息。
需要说明的是,预存的系统漏洞数据库可以是云平台内置的,也可以在线获取。
另外,步骤一识别操作系统版本可通过操作系统的版本确定,具体包括:
步骤一.1,计算所挂载操作系统镜像的哈希值;
步骤一.2,将所计算的挂载操作系统哈希值与预存的若干操作系统镜像的哈希值进行比对;
步骤一.3,根据比对结果识别操作系统版本。
需要说明的是,云平台内除了存储系统漏洞数据库外,还预存了若干操作系统镜像的哈希值,可存储多个主流操作系统镜像哈希值,以便与挂载的操作系统镜像哈希值比对。
比对到相同的哈希值,则该哈希值对应的预存操作系统镜像的操作系统版本即是用户挂载的操作系统版本。
在一些具体实施例中,骤S4中根据虚拟机配置信息为虚拟机进行防ARP攻击配置,具体通过虚拟机MAC地址和IP的地址的绑定实现,具体包括以下步骤:
步骤一,根据虚拟机配置文件获取虚拟机MAC地址;
步骤二,根据虚拟机ARP缓存表获取虚拟机IP地址;
步骤三,将虚拟机MAC地址与虚拟机IP地址进行绑定完成虚拟机的防ARP攻击设置。
其中,步骤三中具体可通过ARP命令实现虚拟机MAC地址与虚拟机IP地址的绑定。
在一些具体实施例中,步骤S5根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口,具体可通过openvswitch的ACL功能或联动第三方云虚拟防火墙进行访问规则设置。
实施例三
考虑到用户在虚拟机运行过程过程中,还需要对虚拟机进行变更,为保证虚拟机的安全,本实施例在虚拟机变更时,同样进行安全信息的配置。
如图3所示为本实施例三提供的一种私有云虚拟机自动安全管理方法流程示意图,包括以下步骤。
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建。
其中,用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息。
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测。
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户。
该步骤具体通过识别操作系统版本来检索,当然需预先存储系统漏洞数据库。具体包括以下步骤:
步骤一,识别操作系统版本;
步骤二,根据所识别操作系统版本,基于预存的系统漏洞数据库,检索到相应的系统漏洞信息。
需要说明的是,预存的系统漏洞数据库可以是云平台内置的,也可以在线获取。
另外,步骤一识别操作系统版本可通过操作系统的版本确定,具体包括:
步骤一.1,计算所挂载操作系统镜像的哈希值;
步骤一.2,将所计算的挂载操作系统哈希值与预存的若干操作系统镜像的哈希值进行比对;
步骤一.3,根据比对结果识别操作系统版本。
需要说明的是,云平台内除了存储系统漏洞数据库外,还预存了若干操作系统镜像的哈希值,可存储多个主流操作系统镜像哈希值,以便与挂载的操作系统镜像哈希值比对。
比对到相同的哈希值,则该哈希值对应的预存操作系统镜像的操作系统版本即是用户挂载的操作系统版本。
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
该步骤具体通过虚拟机MAC地址和IP的地址的绑定实现,具体包括以下步骤:
步骤一,根据虚拟机配置文件获取虚拟机MAC地址;
步骤二,根据虚拟机ARP缓存表获取虚拟机IP地址;
步骤三,将虚拟机MAC地址与虚拟机IP地址进行绑定完成虚拟机的防ARP攻击设置。
其中,步骤三中具体可通过ARP命令实现虚拟机MAC地址与虚拟机IP地址的绑定。
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
该步骤具体可通过openvswitch的ACL功能或联动第三方云虚拟防火墙进行访问规则设置。
S6,接收用户提交的虚拟机修改申请;所述虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息;
S7,对虚拟机修改申请进行审核;
S8,若审核通,则返回步骤S4。
本实施例三提供的一种私有云虚拟机自动安全管理方法在虚拟机创建时为用户检索系统漏洞信息并推送给用户,且可获取的虚拟机配置信息为虚拟机进行防ARP攻击配置,同时可根据接收的待开放端口列表信息和待使用的网络信息进行访问规则的配置。本方法由云平台创建虚拟机时自动进行相关安全信息的设置和管理,同时在虚拟机变更时也进行安全进行配置,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
实施例四
本实施例四提供一种私有云虚拟机自动安全管理装置,用于实现前述的私有云虚拟机自动安全管理装置方法。
如图4所示为本实施例四提供一种私有云虚拟机自动安全管理装置结构示意框图,包括以下功能模块。
创建申请接收模块101:接收用户提交的虚拟机创建申请;
虚拟机创建模块102:进行虚拟机创建;
进程检测模块103:监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置;
漏洞信息检索推送模块104:根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
防ARP攻击配置模块105:根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
在一些具体实施例中,创建申请接收模块所接收用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息。则该装置还包括访问规则配置模块106:根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。具体地,访问规则配置模块106具体可通过openvswitch的ACL功能或联动第三方云虚拟防火墙进行访问规则设置。
在一些具体实施例中,漏洞信息检索推送模块104具体通过识别操作系统版本来检索,当然需预先存储系统漏洞数据库。具体地,漏洞信息检索推送模块104用于识别操作系统版本,根据所识别操作系统版本,基于预存的系统漏洞数据库,检索到相应的系统漏洞信息。其中,识别操作系统版本可通过操作系统的版本确定,相应的漏洞信息检索推送模块104还用于计算所挂载操作系统镜像的哈希值,将所计算的挂载操作系统哈希值与预存的若干操作系统镜像的哈希值进行比对,根据比对结果识别操作系统版本。需要说明的是,云平台内除了存储系统漏洞数据库外,还预存了若干操作系统镜像的哈希值,可存储多个主流操作系统镜像哈希值,以便与挂载的操作系统镜像哈希值比对。另外,比对到相同的哈希值,则该哈希值对应的预存操作系统镜像的操作系统版本即是用户挂载的操作系统版本。
在一些具体实施例中,防ARP攻击配置模块105具体通过虚拟机MAC地址和IP的地址的绑定实现,相应地防ARP攻击配置模块105用于根据虚拟机配置文件获取虚拟机MAC地址,根据虚拟机ARP缓存表获取虚拟机IP地址,将虚拟机MAC地址与虚拟机IP地址进行绑定完成虚拟机的防ARP攻击设置。其中,具体可通过ARP命令实现虚拟机MAC地址与虚拟机IP地址的绑定。
在一些具体实施例中,该装置还接收虚拟机的修改申请,并审核该修改。具体地,该装置还包括以下功能模块。
虚拟机修改申请接收模块107:接收用户提交的虚拟机修改申请;需要说明的是,虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息。
虚拟机修改申请审核模块108:对虚拟机修改申请进行审核。
需要说明的是,若审核通过则执行防ARP攻击配置模块105和访问规则配置模块106。
本实施例四提供的一种私有云虚拟机自动安全管理方法在虚拟机创建时为用户检索系统漏洞信息并推送给用户,且可获取的虚拟机配置信息为虚拟机进行防ARP攻击配置,同时可根据接收的待开放端口列表信息和待使用的网络信息进行访问规则的配置。本方法由云平台创建虚拟机时自动进行相关安全信息的设置和管理,同时在虚拟机变更时也进行安全进行配置,实现主动为私有云用户提供安全保障,且可实现大量虚拟机的及时、自动化安全管理,减轻安全运维人员的管理压力,且云平台可获取虚拟机更多信息,为虚拟机提供更全面的安全风险评估和消减。
实施例五
图5为本发明实施例提供的一种终端装置300的结构示意图,该终端装置300可以用于执行本发明实施例提供的私有云虚拟机自动安全管理。
在一些具体实施例中,该终端装置300具体执行以下步骤:
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;其中,用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置;
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口;
S6,接收用户提交的虚拟机修改申请;所述虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息;
S7,对虚拟机修改申请进行审核;
S8,若审核通,则返回步骤S4。
其中,该终端装置300可以包括:处理器310、存储器320及通信单元330。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器320可以用于存储处理器310的执行指令,存储器320可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器320中的执行指令由处理器310执行时,使得终端300能够执行以下上述方法实施例中的部分或全部步骤。
处理器310为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器320内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC) 组成,例如可以由单颗封装的IC 所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器310可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元330,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
实施例六
本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。
在一些具体实施例中,该程序执行时具体实现以下步骤:
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;其中,用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置;
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口;
S6,接收用户提交的虚拟机修改申请;所述虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息;
S7,对虚拟机修改申请进行审核;
S8,若审核通,则返回步骤S4。
所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,包括若干指令用以使得一台计算机终端(可以是个人计算机,服务器,或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。

Claims (10)

1.一种私有云虚拟机自动安全管理方法,其特征在于,包括以下步骤:
S1,接收用户提交的虚拟机创建申请,进行虚拟机创建;
S2,监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置,若完成则执行以下步骤,否则持续监测;
S3,根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
S4,根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
2.根据权利要求1所述的私有云虚拟机自动安全管理方法,其特征在于,步骤S1中用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
则该方法还步骤以下步骤:
S5,根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
3.根据权利要求2所述的私有云虚拟机自动安全管理方法,其特征在于,步骤S3中根据所挂载的操作系统镜像检索系统漏洞信息,具体为:
识别操作系统版本;
根据所识别操作系统版本,基于预存的系统漏洞数据库,检索到相应的系统漏洞信息。
4.根据权利要求3所述的私有云虚拟机自动安全管理方法,其特征在于,识别操作系统版本,具体为:
计算所挂载操作系统镜像的哈希值;
将所计算的挂载操作系统哈希值与预存的若干操作系统镜像的哈希值进行比对;
根据比对结果识别操作系统版本。
5.根据权利要求4所述的私有云虚拟机自动安全管理方法,其特征在于,步骤S4中根据虚拟机配置信息为虚拟机进行防ARP攻击配置,具体为:
根据虚拟机配置文件获取虚拟机MAC地址;
根据虚拟机ARP缓存表获取虚拟机IP地址;
将虚拟机MAC地址与虚拟机IP地址进行绑定完成虚拟机的防ARP攻击设置。
6.根据权利要求5所述的私有云虚拟机自动安全管理方法,其特征在于,该方法还包括以下步骤:
S6,接收用户提交的虚拟机修改申请;所述虚拟机修改申请中包含待开放端口列表信息和待使用的网络信息;
S7,对虚拟机修改申请进行审核;
S8,若审核通,执行步骤S4和S5。
7.一种私有云虚拟机自动安全管理装置,其特征在于,包括,
创建申请接收模块:接收用户提交的虚拟机创建申请;
虚拟机创建模块:进行虚拟机创建;
进程检测模块:监测用户是否已完成在所创建虚拟机上挂载操作系统镜像并完成虚拟机配置;
漏洞信息检索推送模块:根据所挂载的操作系统镜像检索系统漏洞信息,并将所检索的系统漏洞信息推送给用户;
防ARP攻击配置模块:根据虚拟机配置信息为虚拟机进行防ARP攻击配置。
8.根据权利要求7所述的私有云虚拟机自动安全管理装置,其特征在于,创建申请接收模块所接收用户提交的虚拟机创建申请中包含待开放端口列表信息和待使用的网络信息;
则该装置还包括,
访问规则配置模块:根据待开放端口列表信息和待使用的网络信息,为虚拟机设置访问规则,实现只允许待使用网络内的主机访问待开放端口。
9.一种终端,其特征在于,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-6任一项所述的方法。
10.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
CN202110837810.2A 2021-07-23 2021-07-23 私有云虚拟机自动安全管理方法、装置、终端及存储介质 Withdrawn CN113760450A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110837810.2A CN113760450A (zh) 2021-07-23 2021-07-23 私有云虚拟机自动安全管理方法、装置、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110837810.2A CN113760450A (zh) 2021-07-23 2021-07-23 私有云虚拟机自动安全管理方法、装置、终端及存储介质

Publications (1)

Publication Number Publication Date
CN113760450A true CN113760450A (zh) 2021-12-07

Family

ID=78787907

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110837810.2A Withdrawn CN113760450A (zh) 2021-07-23 2021-07-23 私有云虚拟机自动安全管理方法、装置、终端及存储介质

Country Status (1)

Country Link
CN (1) CN113760450A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679450A (zh) * 2022-02-11 2022-06-28 锐捷网络股份有限公司 一种访问控制方法、装置、电子设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679450A (zh) * 2022-02-11 2022-06-28 锐捷网络股份有限公司 一种访问控制方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
WO2021051878A1 (zh) 基于用户权限的云资源获取方法、装置及计算机设备
CN111695156A (zh) 业务平台的访问方法、装置、设备及存储介质
CN110601880B (zh) 一种云平台、业务处理方法、命令接口及计算机设备
CN111641627A (zh) 用户角色权限管理方法、装置、计算机设备及存储介质
CN111414407A (zh) 数据库的数据查询方法、装置、计算机设备及存储介质
CN111131221B (zh) 接口校验的装置、方法及存储介质
CN105893097A (zh) 一种处理bios的选项信息的方法及装置
CN106911770A (zh) 一种基于多云存储的数据共享方法及系统
CN106789363A (zh) 一种向虚拟机配置网卡的方法及装置
CN112653618A (zh) 微服务应用api端点的网关注册方法及装置
CN115238247A (zh) 基于零信任数据访问控制系统的数据处理方法
CN113760450A (zh) 私有云虚拟机自动安全管理方法、装置、终端及存储介质
CN109558300B (zh) 一种整机柜告警处理方法、装置、终端及存储介质
CN114564856B (zh) 一种基于fmea的数据共享方法及电子设备
CN114244555B (zh) 一种安全策略的调整方法
CN114124524A (zh) 一种云平台权限设置方法、装置、终端设备及存储介质
CN108449428A (zh) 一种网络连接方法、装置、服务器和存储介质
CN115208689A (zh) 基于零信任的访问控制方法、装置及设备
CN112631949B (zh) 一种调试方法、装置、计算机设备及存储介质
CN114861160A (zh) 提升非管理员账户权限的方法及装置、设备、存储介质
CN113656378A (zh) 一种服务器管理方法、装置、介质
CN109492376B (zh) 设备访问权限的控制方法、装置及堡垒机
CN109871708A (zh) 数据传输方法、装置、电子设备及存储介质
CN111966286A (zh) 一种多数据池分级迁移的方法及系统
CN111783121A (zh) 数据处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211207

WW01 Invention patent application withdrawn after publication