一種基于sdn的云計算數(shù)據(jù)中心的審計系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)�����,該系統(tǒng)包括核心管理模塊����、系統(tǒng)基礎(chǔ)功能模塊以及與其他安全設(shè)備/虛擬機的聯(lián)動接口。核心管理模塊是是整個系統(tǒng)的關(guān)鍵核心��,包括SDN控制器管理平臺模塊、審計虛擬機管理平臺模塊和審計虛擬機安全保障模塊��。系統(tǒng)基礎(chǔ)功能模塊對云數(shù)據(jù)中心環(huán)境中的多控制器進行協(xié)調(diào)管理�����,包括交換機接口通信模塊�����,控制器同步模塊�,分布式管理模塊�����,故障恢復(fù)模塊�,冗余備份模塊。與其他安全設(shè)備/虛擬機的聯(lián)動接口提供基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)與其他審計虛擬安全管理平臺或者其他網(wǎng)絡(luò)安全產(chǎn)品的接口�。通過本發(fā)明實現(xiàn)了在云計算數(shù)據(jù)中心中不影響業(yè)務(wù)正常運行的條件下提供可定制、擴展的虛擬審計服務(wù)的目的���。
【專利說明】—種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�,尤其涉及一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)及方法���。
【背景技術(shù)】
[0002]目前我國云計算正處于發(fā)展階段�,數(shù)據(jù)的安全性是阻礙其發(fā)展的重要因素。當(dāng)把數(shù)據(jù)交付給云計算時面臨著風(fēng)險����,為了保障虛擬基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用程序的安全需要采用有效的措施,如審計(CSA云安全指南中提到)�����。但是由于虛擬化技術(shù)的引入��,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式�����;并且虛擬機數(shù)量變化快的特性也要求有與之相適應(yīng)的迅速的安全防護�����。而這些都是傳統(tǒng)的審計手段無法做到的��。
[0003]因此對于采用基于虛擬化的云平臺架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說�,安全性及合規(guī)性依然是他們需要考慮的首要因素,用戶需要一套完整的應(yīng)用于云計算環(huán)境下的審計方案可以為虛擬和物理環(huán)境都提供持續(xù)的保護����,并滿足其合規(guī)性檢查的需要�,做到全面的審計覆蓋���。
[0004]申請?zhí)枮镃N201010270810.0的發(fā)明專利公開了一種云數(shù)據(jù)審計的方法和系統(tǒng)�。云數(shù)據(jù)審計的系統(tǒng)包括文件監(jiān)控模塊和審計模塊�,系統(tǒng)首先通過文件監(jiān)控模塊調(diào)用獲得用戶使用的文件和數(shù)據(jù)��,然后再通過審計模塊對用戶使用的數(shù)據(jù)的備份數(shù)據(jù)進行審計���。采用本發(fā)明可使得云計算系統(tǒng)能進行數(shù)據(jù)內(nèi)容和使用權(quán)限的審核���,而且對用戶的使用不產(chǎn)生影響,又能及時遏制用戶對不良數(shù)據(jù)的使用或?qū)?shù)據(jù)的越權(quán)使用����,并能對不良數(shù)據(jù)和不良用戶作相應(yīng)處理。
[0005]此發(fā)明的目的在于提供一種云數(shù)據(jù)的審計方法和系統(tǒng)��,使得云計算系統(tǒng)能監(jiān)測不良數(shù)據(jù)�、不良用戶以及用戶對數(shù)據(jù)的越權(quán)使用,本發(fā)明要解決的技術(shù)問題在于使得云計算系統(tǒng)自動地審計用戶使用的數(shù)據(jù)��,確保杜絕不良數(shù)據(jù)、有害數(shù)據(jù)的使用�����,但不影響用戶使用的速度和質(zhì)量���。此技術(shù)需要對對審計模塊審計通過的數(shù)據(jù)進行標(biāo)識����,另外在數(shù)據(jù)被重新修改后需要刪除對數(shù)據(jù)的標(biāo)識����;這些都需要耗費較大的系統(tǒng)資源,也容易弄臟原始數(shù)據(jù)本身��。另外�����,此發(fā)明只能在限定范圍內(nèi)進行審計以避免資源耗用過大���,不能對云計算數(shù)據(jù)中心進行整體普適性的審計���。
[0006]此外�,申請?zhí)枮镃N201210588862.1的發(fā)明專利公開了基于多Agent的動態(tài)可擴展云審計方法�����,每臺主機上都加載運行Agent事件收集子系統(tǒng)和Agent事件分析子系統(tǒng)����,在受監(jiān)視云審計系統(tǒng)中作為后臺進程運行審計信息的收集和分析,并將數(shù)據(jù)傳遞給中央管理者服務(wù)器;GUI客戶端用于查看各個主機的狀態(tài)�����;中央管理服務(wù)器和數(shù)據(jù)庫用于接收來自主機的數(shù)據(jù)和報告�,控制整個云審計系統(tǒng)的通信信息��,對接收到的安全審計事件進行分析�、存儲;WindowsAgent子系統(tǒng)底層調(diào)用系統(tǒng)的應(yīng)用程序編程接口 api直接獲取windows的事件內(nèi)容標(biāo)準(zhǔn)化為系統(tǒng)日志syslog事件發(fā)送給agent事件分析子系統(tǒng)��;Linux Agent系統(tǒng)最底層采用事件收集模塊收集數(shù)據(jù)�����。
[0007]此發(fā)明要求在每臺主機上安裝一個代理以進行審計工作��,這將耗用該主機自身的資源。另外在該主機崩潰(如中毒���,死機等情況)時��,代理停止工作����,這將影響審計的連續(xù)性和完備性�����。另外當(dāng)該主機上的虛擬機發(fā)生遷移時���,此發(fā)明很難追蹤該遷移的虛擬機��,從而實現(xiàn)對該虛擬機的持續(xù)審計���。
【發(fā)明內(nèi)容】
[0008]本發(fā)明為了解決現(xiàn)有技術(shù)中云計算數(shù)據(jù)中心審計的缺點或不足,采用了一種基于SDN的云計算數(shù)據(jù)中心審計的方案���,從而實現(xiàn)了在云計算數(shù)據(jù)中心中不影響業(yè)務(wù)正常運行的條件下提供可定制�、擴展的虛擬審計服務(wù)的目的����。
[0009]本發(fā)明提供了一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)��,該系統(tǒng)包括核心管理模塊�、系統(tǒng)基礎(chǔ)功能模塊以及與其他安全設(shè)備/虛擬機的聯(lián)動接口�。
[0010]核心管理模塊是是整個系統(tǒng)的關(guān)鍵核心,包括SDN控制器管理平臺模塊�����、審計虛擬機管理平臺模塊和審計虛擬機安全保障模塊�。
[0011]SDN控制器管理平臺模塊負責(zé)對網(wǎng)絡(luò)流量規(guī)則的執(zhí)行,包括流表生成模塊��、流表下發(fā)模塊�、虛擬交換機變動模塊和流量異常檢測模塊���。
[0012]流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表�,接著虛擬交換機變動模塊根據(jù)需要通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口�,最后流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則。
[0013]流量異常檢測模塊是配合審計虛擬機安全保障模塊工作�,通過對審計虛擬機服務(wù)器上的流量進行檢測,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng)�����,以確保審計虛擬機服務(wù)器自身的安全。
[0014]審計虛擬機管理平臺模塊負責(zé)完成主機上審計虛擬安全器件的變動工作����,包括四個模塊,分別是虛擬機創(chuàng)建模塊����、虛擬機中斷模塊、虛擬機關(guān)閉模塊和虛擬機同步遷移模塊�����,審計虛擬機管理平臺模塊接受到審計虛擬安全器件變動要求����,選擇上述四個模塊中相應(yīng)的模塊與SDN控制器管理平臺模塊協(xié)調(diào)以完成在指定主機上增加、中止��、復(fù)制審計虛擬器件的要求���。
[0015]審計虛擬機安全保障模塊負責(zé)對整個系統(tǒng)的安全保障工作��,通過SDN控制器管理平臺的流量異常檢測模塊監(jiān)控審計虛擬機服務(wù)器上流量的實時情況��,一旦發(fā)現(xiàn)異常���,審計虛擬機服務(wù)器上的OVS交換機立即提取相應(yīng)信息并且發(fā)送給審計流量異常檢測���,審計虛擬機安全保障模塊根據(jù)信息做出安全決策。
[0016]系統(tǒng)基礎(chǔ)功能模塊對云數(shù)據(jù)中心環(huán)境中的多控制器進行協(xié)調(diào)管理�����,是整個系統(tǒng)工作的基礎(chǔ)�,確保整個控制集群能夠在云環(huán)境中將所有的安全策略同步、獲取所有實時的安全狀態(tài)�、以安全可靠的方式執(zhí)行操作,包括交換機接口通信模塊��,控制器同步模塊�,分布式管理模塊,故障恢復(fù)模塊和冗余備份模塊����;控制器同步模塊和分布式管理模塊是確??偪刂浦行牡闹噶钅芗皶r可靠的到達虛擬交換機或主機的VMM/Hypervisor,并且實現(xiàn)策略指令的同步;冗余備份模塊對各區(qū)域內(nèi)的控制器進行冗余備份��,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn);故障恢復(fù)模塊在控制器�、虛擬交換機、云主機發(fā)生故障后����,快速的恢復(fù)相關(guān)安全保護的措施。
[0017]與其他安全設(shè)備/虛擬機的聯(lián)動接口提供基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)與其他審計虛擬安全管理平臺或者其他網(wǎng)絡(luò)安全產(chǎn)品的接口�����。[0018]此外�,本發(fā)明還提供一種基于SDN的云計算數(shù)據(jù)中心的審計方法,該方法基于SDN技術(shù),云計算數(shù)據(jù)中心的審計控制臺根據(jù)支持SDN的虛擬交換機反饋的審計防護需求,調(diào)動SDN控制器管理平臺和審計虛擬機管理平臺根據(jù)各地區(qū)各主機審計需求的最新情況增加/刪除審計虛擬器件�,其中主機的網(wǎng)橋由支持SDN的虛擬交換機替換,使用流表轉(zhuǎn)發(fā)的方式完成多對多的端口鏡像��,將所需監(jiān)控的端口流量轉(zhuǎn)發(fā)到指定的審計虛擬安全器件上��;其具體流程如下:
[0019]S1�、云計算數(shù)據(jù)中心的物理主機和虛擬主機的流量通過流量復(fù)制器發(fā)送至各審計服務(wù)器的網(wǎng)卡上;
[0020]S2�����、SDN控制器管理平臺模塊通過審計主機上的支持SDN的交換機感知到需要審計的流量規(guī)模,即分析出云計算中心審計的流量審計需求和審計虛擬器件變動的需求�;
[0021]S3、SDN控制器管理平臺模塊的流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表��;
[0022]s4�、審計虛擬機管理平臺模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口;
[0023]S5�、SDN控制器管理平臺模塊的流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則;
[0024]S6�、SDN控制器管理平臺模塊的流量異常檢測模塊實時運行配合審計虛擬機安全保障模塊工作,通過對審計虛擬機服務(wù)器上的流量進行檢測���,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng)����,以確保審計虛擬機服務(wù)器自身的安全�。
[0025]本發(fā)明技術(shù)方案帶來的有益效果:通過本發(fā)明能有效應(yīng)對云計算環(huán)境中審計的虛擬機突然增加或虛擬機整體大批量遷往異地的數(shù)據(jù)中心等審計需求迅速變化的情況。通過支持SDN的虛擬交換機在不影響正常業(yè)務(wù)工作的情況下自動識別安全需求的變化�,在云計算中心的各地各審計主機上快速的部署或關(guān)閉虛擬器件,能有效的保證云計算數(shù)據(jù)中心審計的有效性�����,提供可定制����、擴展的虛擬審計服務(wù)。
【專利附圖】
【附圖說明】
[0026]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其它的附圖���。
[0027]圖1是本發(fā)明系統(tǒng)的功能模塊圖;
[0028]圖2是本發(fā)明系統(tǒng)的物理架構(gòu)圖����;
[0029]圖3是本發(fā)明方法的網(wǎng)絡(luò)拓撲圖�。
【具體實施方式】
[0030]下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例�。基于本發(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍����。
[0031]一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)獨立部署在云計算平臺中����,利用云計算平臺強大的計算能力為云數(shù)據(jù)中心中基于虛擬機運行的系統(tǒng)提供全面的����、高性能的網(wǎng)絡(luò)安全保護�。一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)功能圖如圖1所示�。
[0032]一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)包括核心管理模塊、系統(tǒng)基礎(chǔ)功能模塊以及與其他安全設(shè)備/虛擬機的聯(lián)動接口�。
[0033]核心管理模塊是是整個系統(tǒng)的關(guān)鍵核心,包括SDN控制器管理平臺模塊�����、審計虛擬機管理平臺模塊和審計虛擬機安全保障模塊��。一種基于SDN的云計算數(shù)據(jù)中心執(zhí)行審計行為包括二種���,一種是網(wǎng)絡(luò)流量規(guī)則的執(zhí)行�����,即SDN控制器下發(fā)流表至虛擬交換機����;另一種是SVM的調(diào)整,即SVM控制器通知主機增加或關(guān)閉安全虛擬器件���。
[0034]SDN控制器管理平臺模塊負責(zé)對網(wǎng)絡(luò)流量規(guī)則的執(zhí)行�,包括流表生成模塊���、流表下發(fā)模塊�、虛擬交換機變動模塊和流量異常檢測模塊��。流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表�,接著虛擬交換機變動模塊根據(jù)需要通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口,最后流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則��。另外流量異常檢測模塊是配合審計虛擬機安全保障模塊工作���,通過對審計機虛擬服務(wù)器上的流量進行檢測�,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng)���,以確保審計虛擬機服務(wù)器自身的安全�����。
[0035]審計虛擬機管理平臺模塊負責(zé)完成主機上審計虛擬安全器件的變動工作�,包括四個模塊,分別是虛擬機創(chuàng)建模塊�����、虛擬機中斷模塊�、虛擬機關(guān)閉模塊和虛擬機同步遷移模塊。審計虛擬機管理平臺模塊接受到審計虛擬安全器件變動要求����,選擇上述四個模塊中相應(yīng)的模塊與SDN控制器管理平臺模塊協(xié)調(diào)以完成在指定主機上增加�、中止、復(fù)制審計虛擬器件的要求����。這樣當(dāng)主機上的虛擬機增加或刪除時,主機可以提供與之相匹配的安全保障能力����,并且防止資源的浪費;另外虛擬機在不同主機之間遷移時�,也能保證原有的安全策略能不間斷的隨虛擬機遷移。
[0036]審計虛擬機安全保障模塊負責(zé)對整個系統(tǒng)的安全保障工作���。通過SDN控制器管理平臺的流量異常檢測模塊監(jiān)控審計虛擬機服務(wù)器上流量的實時情況��。一旦發(fā)現(xiàn)異常��,審計虛擬機服務(wù)器上的OVS交換機立即提取相應(yīng)信息并且發(fā)送給審計流量異常檢測�,審計虛擬機安全保障模塊根據(jù)信息做出安全決策。
[0037]系統(tǒng)基礎(chǔ)功能模塊對云數(shù)據(jù)中心環(huán)境中的多控制器進行協(xié)調(diào)管理���,主要包括交換機接口通信模塊����,控制器同步模塊����,分布式管理模塊,故障恢復(fù)模塊��,冗余備份模塊����;是整個系統(tǒng)工作的基礎(chǔ),確保整個控制集群能夠在云環(huán)境中將所有的安全策略同步��、獲取所有實時的安全狀態(tài)��、以安全可靠的方式執(zhí)行操作。
[0038]其中特別的指出��,核心管理模塊通過系統(tǒng)基礎(chǔ)功能模塊中的交換機接口通信模塊使用南向接口協(xié)議與支持SDN的虛擬交換機進行安全通信���,使用其他模塊實現(xiàn)多控制器之間的流表的同步�����;同時也使用交換機接口通信模塊與主機的VMM/Hypervisor進行通信����,以安全加密的方式將增刪安全虛擬器件的指令傳遞執(zhí)行下去����?����?刂破魍侥K和分布式管理模塊是確?���?偪刂浦行牡闹噶钅芗皶r可靠的到達虛擬交換機或主機的VMM/Hypervisor,并且實現(xiàn)策略指令的同步。冗余備份模塊對各區(qū)域內(nèi)的控制器進行冗余備份�����,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn)。故障恢復(fù)模塊在控制器�����、虛擬交換機����、云主機發(fā)生故障后,快速的恢復(fù)相關(guān)安全保護的措施�����。
[0039]與其他安全設(shè)備/虛擬機的聯(lián)動接口提供基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)與其他審計虛擬安全管理平臺或者其他網(wǎng)絡(luò)安全產(chǎn)品的接口����。與其他安全設(shè)備/虛擬機的聯(lián)動接口能實現(xiàn)不同審計虛擬機服務(wù)器之間的聯(lián)動,也能實現(xiàn)與其他網(wǎng)絡(luò)安全產(chǎn)品如IDS�、防火墻、漏洞掃描之間的聯(lián)動���,能為安全管理平臺所統(tǒng)一管理��。
[0040]本發(fā)明方法基于SDN技術(shù)����,提出一個云計算數(shù)據(jù)中心的審計方法。云計算數(shù)據(jù)中心的審計控制臺根據(jù)支持SDN的虛擬交換機反饋的審計防護需求����,調(diào)動SDN控制器管理平臺和審計虛擬機管理平臺根據(jù)各地區(qū)各主機審計需求的最新情況增加/刪除審計虛擬器件。其中主機的網(wǎng)橋由支持SDN的虛擬交換機替換����,使用流表轉(zhuǎn)發(fā)的方式完成多對多的端口鏡像,將所需監(jiān)控的端口流量轉(zhuǎn)發(fā)到指定的審計虛擬安全器件上��。其具體流程如下:
[0041]1�����、云計算數(shù)據(jù)中心的物理主機和虛擬主機的流量通過流量復(fù)制器發(fā)送至各審計服務(wù)器的網(wǎng)卡上�����。
[0042]2,SDN控制器管理平臺模塊通過審計主機上的支持SDN的交換機感知到需要審計的流量規(guī)模��,即分析出云計算中心審計的流量審計需求和審計虛擬器件變動的需求�。
[0043]3����、SDN控制器管理平臺模塊的流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表���。
[0044]4、審計虛擬機管理平臺模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口�����。
[0045]5�����、SDN控制器管理平臺模塊的流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則�。
[0046]6、SDN控制器管理平臺模塊的流量異常檢測模塊實時運行配合審計虛擬機安全保障模塊工作���,通過對審計虛擬機服務(wù)器上的流量進行檢測�����,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng)���,以確保審計虛擬機服務(wù)器自身的安全。
[0047]一種基于SDN的云計算數(shù)據(jù)中心的審計方法的網(wǎng)絡(luò)連接建立在分布式虛擬交換機技術(shù)上�,支持開源技術(shù)Openvswitch�。在Xen虛擬化平臺中,傳統(tǒng)上其內(nèi)部網(wǎng)絡(luò)主要由虛擬網(wǎng)卡與虛擬橋接器組成�,提供虛擬機橋接實體網(wǎng)絡(luò)及虛擬機之間彼此通信的機制,而虛擬交換機技術(shù)的引入可以帶給Hypervisor/VMM更多彈性化的功能來管控整體的虛擬網(wǎng)絡(luò)結(jié)構(gòu)�����。
[0048]一種基于SDN的云計算數(shù)據(jù)中心的審計方法的物理架構(gòu)圖如圖2所示��。
[0049]由圖2可見�,業(yè)務(wù)主機外的物理防火墻可以為主機內(nèi)的網(wǎng)絡(luò)提供包過濾、訪問控制��、身份認(rèn)證����、流量控制等邊界安全防護功能。
[0050]審計虛擬機服務(wù)器的接入需要交換機端口鏡像���,將流量經(jīng)由流量復(fù)制器復(fù)制多份之后�,導(dǎo)入審計主機中的OVS橋�,OVS橋?qū)⒂脩艟W(wǎng)絡(luò)環(huán)境流量直接導(dǎo)入對應(yīng)安全虛擬器件中進行處理����。另外OVS橋為審計虛擬機服務(wù)器內(nèi)部的安全虛擬機群提供管理網(wǎng)絡(luò)�����,為用戶提供遠程配置����、管理的接入便利�����。由于監(jiān)聽類的安全產(chǎn)品需要處理大量的網(wǎng)絡(luò)流量�����,因此在審計主機中為每一個監(jiān)聽類的安全虛擬器件配備至少一塊物理網(wǎng)卡以滿足對于網(wǎng)絡(luò)性能的要求�����。
[0051]在審計虛擬機服務(wù)器上提供各種版本的審計虛擬機���,也可根據(jù)需要增加其他監(jiān)聽類安全產(chǎn)品和非監(jiān)聽類安全產(chǎn)品�。監(jiān)聽類的安全產(chǎn)品包括IDS����,審計類產(chǎn)品等�,非監(jiān)聽類產(chǎn)品有漏洞掃描���、安全管理平臺等����。
[0052]一種基于SDN的云計算數(shù)據(jù)中心的審計方法的網(wǎng)絡(luò)拓撲圖如圖3所示�。
[0053]本發(fā)明以安全虛擬器件代替了原有硬件設(shè)備的產(chǎn)品交付方式,更加快捷�、高效,且節(jié)約成本�。審計的安全虛擬機器件主要包括細粒度的數(shù)據(jù)庫審計虛擬器件和合規(guī)性審計虛擬器件。
[0054]細粒度的數(shù)據(jù)庫審計虛擬器件
[0055]此審計虛擬器件可保護業(yè)界主流的數(shù)據(jù)庫系統(tǒng)���,防止受到特權(quán)濫用�、已知漏洞攻擊�、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫進行交互時�,細粒度的數(shù)據(jù)庫審計虛擬器件會自動根據(jù)預(yù)設(shè)置的風(fēng)險控制策略,結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息���,進行特征檢測及審計規(guī)則檢測�����,任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警����。
[0056]合規(guī)性審計虛擬器件
[0057]IT管理者�����、合規(guī)性審計人員可以利用合規(guī)性審計虛擬器件����,定義和報告在其環(huán)境中開展合規(guī)性運營應(yīng)滿足的具體要求(包括企業(yè)、集團法規(guī)或政府相關(guān)政策)��。云平臺管理員可以快速查看環(huán)境內(nèi)部的總體合規(guī)性狀態(tài)���,并確定每臺虛擬機觸發(fā)違規(guī)警報的具體情況���。合規(guī)性審計虛擬器件基于“數(shù)據(jù)捕獲一應(yīng)用層數(shù)據(jù)分析一監(jiān)控、審計和響應(yīng)”的模式提供各項安全功能��,使得它的審計功能大大優(yōu)于基于日志收集的審計系統(tǒng)�,通過收集一系列極其豐富的審計數(shù)據(jù),結(jié)合細粒度的審計規(guī)則�����、以滿足對敏感信息的特殊保護需求。這種連續(xù)的監(jiān)控能夠確保當(dāng)VMM/Hypervisor的配置和接入權(quán)限出現(xiàn)變化時將被詳細審查���,從而減少了虛擬平臺管理員做出錯誤或不適當(dāng)?shù)牟僮鳌?br>
[0058]其他可替換的安全虛擬器件
[0059]安全虛擬器件庫還可以包含其他安全產(chǎn)品�����,包括IDS入侵檢測����、安全審計�、SOC安全管理平臺、漏洞掃描等�。這樣安全虛擬器件同審計虛擬器件一樣可以在專用的服務(wù)器上安裝
[0060]本發(fā)明還能夠使用傳統(tǒng)的審計方法,將需要審計的主機的流量導(dǎo)出后交由審計服務(wù)器完成�����。但是面對突然增加或遷移的審計目標(biāo)需要人工或?qū)S闷脚_追蹤和評估審計服務(wù)器資源�����,并且重新部署審計主機。這樣需要更多的時間�,而且會造成資源的浪費。
[0061]以上對本發(fā)明實施例所提供的一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)及方法進行了詳細介紹���,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述����,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時�����,對于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想�,在【具體實施方式】及應(yīng)用范圍上均會有改變之處�,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制��。
【權(quán)利要求】
1.一種基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)��,其特征在于�����,該系統(tǒng)包括核心管理模塊、系統(tǒng)基礎(chǔ)功能模塊以及與其他安全設(shè)備/虛擬機的聯(lián)動接口 ����; 核心管理模塊是是整個系統(tǒng)的關(guān)鍵核心,包括SDN控制器管理平臺模塊����、審計虛擬機管理平臺模塊和審計虛擬機安全保障模塊; SDN控制器管理平臺模塊負責(zé)對網(wǎng)絡(luò)流量規(guī)則的執(zhí)行��,包括流表生成模塊���、流表下發(fā)模塊�、虛擬交換機變動模塊和流量異常檢測模塊���; 流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表����,接著虛擬交換機變動模塊根據(jù)需要通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口�����,最后流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則; 流量異常檢測模塊是配合審計虛擬機安全保障模塊工作��,通過對審計虛擬機服務(wù)器上的流量進行檢測����,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng),以確保審計虛擬機服務(wù)器自身的安全��; 審計虛擬機管理 平臺模塊負責(zé)完成主機上審計虛擬安全器件的變動工作�,包括四個模塊���,分別是虛擬機創(chuàng)建模塊��、虛擬機中斷模塊�����、虛擬機關(guān)閉模塊和虛擬機同步遷移模塊�,審計虛擬機管理平臺模塊接受到審計虛擬安全器件變動要求���,選擇上述四個模塊中相應(yīng)的模塊與SDN控制器管理平臺模塊協(xié)調(diào)以完成在指定主機上增加��、中止�����、復(fù)制審計虛擬器件的要求����; 審計虛擬機安全保障模塊負責(zé)對整個系統(tǒng)的安全保障工作,通過SDN控制器管理平臺的流量異常檢測模塊監(jiān)控審計虛擬機服務(wù)器上流量的實時情況����,一旦發(fā)現(xiàn)異常,審計虛擬機服務(wù)器上的OVS交換機立即提取相應(yīng)信息并且發(fā)送給審計流量異常檢測��,審計虛擬機安全保障模塊根據(jù)信息做出安全決策�; 系統(tǒng)基礎(chǔ)功能模塊對云數(shù)據(jù)中心環(huán)境中的多控制器進行協(xié)調(diào)管理,是整個系統(tǒng)工作的基礎(chǔ)���,確保整個控制集群能夠在云環(huán)境中將所有的安全策略同步��、獲取所有實時的安全狀態(tài)��、以安全可靠的方式執(zhí)行操作��,包括交換機接口通信模塊����,控制器同步模塊,分布式管理模塊�,故障恢復(fù)模塊和冗余備份模塊;控制器同步模塊和分布式管理模塊是確?�?偪刂浦行牡闹噶钅芗皶r可靠的到達虛擬交換機或主機的VMM/Hypervisor,并且實現(xiàn)策略指令的同步����;冗余備份模塊對各區(qū)域內(nèi)的控制器進行冗余備份,以防止機器突然中斷發(fā)生的信息丟失情況的出現(xiàn)�;故障恢復(fù)模塊在控制器、虛擬交換機�、云主機發(fā)生故障后,快速的恢復(fù)相關(guān)安全保護的措施���; 與其他安全設(shè)備/虛擬機的聯(lián)動接口提供基于SDN的云計算數(shù)據(jù)中心的審計系統(tǒng)與其他審計虛擬安全管理平臺或者其他網(wǎng)絡(luò)安全產(chǎn)品的接口。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,核心管理模塊通過系統(tǒng)基礎(chǔ)功能模塊中的交換機接口通信模塊�����,使用南向接口協(xié)議與支持SDN的虛擬交換機進行安全通信�����,使用其他模塊實現(xiàn)多控制器之間的流表的同步;同時也使用交換機接口通信模塊與主機的VMM/Hypervisor進行通信�,以安全加密的方式將增刪安全虛擬器件的指令傳遞執(zhí)行下去。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于���,與其他安全設(shè)備/虛擬機的聯(lián)動接口能實現(xiàn)不同審計虛擬機服務(wù)器之間的聯(lián)動���,也能實現(xiàn)與其他網(wǎng)絡(luò)安全產(chǎn)品,例如IDS����、防火墻、漏洞掃描之間的聯(lián)動����,能被安全管理平臺統(tǒng)一管理。
4.一種基于SDN的云計算數(shù)據(jù)中心的審計方法���,其特征在于����,該方法基于SDN技術(shù),云計算數(shù)據(jù)中心的審計控制臺根據(jù)支持SDN的虛擬交換機反饋的審計防護需求,調(diào)動SDN控制器管理平臺和審計虛擬機管理平臺根據(jù)各地區(qū)各主機審計需求的最新情況增加/刪除審計虛擬器件����,其中主機的網(wǎng)橋由支持SDN的虛擬交換機替換,使用流表轉(zhuǎn)發(fā)的方式完成多對多的端口鏡像����,將所需監(jiān)控的端口流量轉(zhuǎn)發(fā)到指定的審計虛擬安全器件上;其具體流程如下: S1��、云計算數(shù)據(jù)中心的物理主機和虛擬主機的流量通過流量復(fù)制器發(fā)送至各審計服務(wù)器的網(wǎng)卡上�����; s2���、SDN控制器管理平臺模塊通過審計主機上的支持SDN的交換機感知到需要審計的流量規(guī)模,即分析出云計算中心審計的流量審計需求和審計虛擬器件變動的需求�; s3、SDN控制器管理平臺模塊的流表生成模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求生成需要變更的流表�; s4、審計虛擬機管理平臺模塊根據(jù)云計算中心審計的流量審計需求和審計虛擬器件變動的需求通知相應(yīng)主機上生成/刪除新的虛擬交換機或相應(yīng)主機上的虛擬交換機生成/刪除端口或生成/刪除接口�����; s5、SDN控制器管理平臺模塊的流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機處以更新流表規(guī)則�; s6、SDN控制器管理平臺模塊的流量異常檢測模塊實時運行配合審計虛擬機安全保障模塊工作���,通過對審計虛擬機服務(wù)器上的流量進行檢測�,當(dāng)發(fā)現(xiàn)異常時及時響應(yīng)�,以確保審計虛擬機服務(wù)器自身的安全。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,審計虛擬機服務(wù)器的接入需要交換機端口鏡像�����,將流量經(jīng)由流量復(fù)制器復(fù)制多份之后����,導(dǎo)入審計主機中的OVS橋,OVS橋?qū)⒂脩艟W(wǎng)絡(luò)環(huán)境流量直接導(dǎo)入對應(yīng)安全虛擬器件中進行處理���。
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于,審計主機中為每一個監(jiān)聽類的安全虛擬器件配備至少一塊物理網(wǎng)卡以滿足對于網(wǎng)絡(luò)性能的要求�����。
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于�,在審計虛擬機服務(wù)器上提供各種版本的審計虛擬機,也可根據(jù)需要增加其他監(jiān)聽類安全產(chǎn)品和非監(jiān)聽類安全產(chǎn)品�����,監(jiān)聽類的安全產(chǎn)品包括但不限于IDS����,審計類產(chǎn)品,非監(jiān)聽類產(chǎn)品包括但不限于漏洞掃描�、安全管理平臺。
8.根據(jù)權(quán)利要求4所述的方法���,其特征在于�,本發(fā)明還能夠使用傳統(tǒng)的審計方法�,將需要審計的主機的流量導(dǎo)出后交由審計服務(wù)器完成�����,但是面對突然增加或遷移的審計目標(biāo)需要人工或?qū)S闷脚_追蹤和評估審計服務(wù)器資源,并且重新部署審計主機��。
【文檔編號】H04L12/24GK103973481SQ201410160047
【公開日】2014年8月6日 申請日期:2014年4月21日 優(yōu)先權(quán)日:2014年4月21日
【發(fā)明者】楊育斌, 程麗明 申請人:藍盾信息安全技術(shù)股份有限公司