CN107204980B - 一种安全服务交付方法及*** - Google Patents
一种安全服务交付方法及*** Download PDFInfo
- Publication number
- CN107204980B CN107204980B CN201710380112.8A CN201710380112A CN107204980B CN 107204980 B CN107204980 B CN 107204980B CN 201710380112 A CN201710380112 A CN 201710380112A CN 107204980 B CN107204980 B CN 107204980B
- Authority
- CN
- China
- Prior art keywords
- security
- service package
- service
- package
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5051—Service on demand, e.g. definition and deployment of services in real time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种安全服务交付方法及***,该方法包括:获取安全服务包申请单;根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;对目标安全服务包所需的安全组件进行编排,得到相应的安全服务链;创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。本申请在为租户提供安全服务之前,先获取安全服务包申请单,然后根据该申请单创建相应的安全服务包、编排相应的安全组件,从而得到相应的安全服务链,这样使得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求,避免了供应与实际需求不匹配的情况出现。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种安全服务交付方法及***。
背景技术
随着信息时代的快速发展,云服务***上存储的数据量越来越大,与此同时,云服务***的信息安全性受到越来越多的重视。为了提高云服务***的信息安全,目前已有云服务供应商创建了云安全服务平台(即CSSP,Cloud Security Service Platform),通过上述云安全服务平台,可以为云服务租户提供服务化的安全交付平台,以提升租户的个人信息安全性。
然而,目前不同类型的租户在向云安全服务平台申请安全服务时,所获取到的安全服务都是一样的,这样一方面会导致某些租户最终所获取到的安全服务超过了其真正需要的安全服务水平,从而造成浪费现象,而另外一方面则会导致某些租户最终所获取到的安全服务无法真正满足其对安全服务的实际需求,从而给租户造成了潜在的信息安全风险。
发明内容
有鉴于此,本发明的目的在于提供一种安全服务交付方法及***,能够为租户提供与其自身实际应用需要相匹配的安全服务。其具体方案如下:
一种安全服务交付方法,包括:
获取安全服务包申请单;
根据所述安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;
对所述目标安全服务包所需的安全组件进行编排,得到相应的安全服务链;
创建与所述安全服务链对应的安全虚拟机,以利用所述安全虚拟机为租户提供相应的安全服务。
可选的,所述获取安全服务包申请单的过程,包括:
获取租户根据自身的应用场景需求选取的安全服务包申请单。
可选的,所述获取安全服务包申请单的过程,包括:
获取预先内置的安全服务包申请单。
可选的,在所述云安全服务平台上所创建的安全服务包,包括安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
可选的,所述网站安全场景服务包,包括基础防御服务包和/或Web安全增强服务包;
所述检测类服务包,包括失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
可选的,所述对所述目标安全服务包所需的安全组件进行编排,得到相应的安全服务链的过程,包括:
确定所述目标安全服务包所需的所有安全组件,得到目标组件集合;
根据所述目标安全服务包,确定所述目标组件集合对应的组件连接顺序;
根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链。
可选的,所述根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链的过程,包括:
确定出所述目标组件集合中每个安全组件所在的区域位置;
通过策略路由回注技术并根据所述组件连接顺序将数据流量相应地引流至所述目标组件集合中每个安全组件所在的区域位置的方式,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到所述安全服务链。
可选的,所述方法,还包括:
确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;
确定与所述应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;
根据与所述目标安全服务包集合中的每个安全服务包对应的安全服务链,构建与每个安全服务链对应的安全网络拓扑线路,得到与所述目标云对应的安全网络拓扑图。
本发明还相应公开了一种安全服务交付***,包括:
申请单获取模块,用于获取安全服务包申请单;
服务包创建模块,用于根据所述安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;
组件编排模块,用于对所述目标安全服务包所需的安全组件进行编排得到相应的安全服务链;
虚拟机创建模块,用于创建与所述安全服务链对应的安全虚拟机,以利用所述安全虚拟机为租户提供相应的安全服务。
可选的,所述申请单获取模块,具体用于获取租户根据自身的应用场景需求选取的安全服务包申请单。
可选的,所述申请单获取模块,具体用于获取预先内置的安全服务包申请单。
可选的,在所述云安全服务平台上所创建的安全服务包,包括安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
可选的,所述网站安全场景服务包,包括基础防御服务包和/或Web安全增强服务包;
所述检测类服务包,包括失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
可选的,所述组件编排模块,包括:
组件确定子模块,用于确定所述目标安全服务包所需的所有安全组件,得到目标组件集合;
顺序确定子模块,用于根据所述目标安全服务包,确定所述目标组件集合对应的组件连接顺序;
通道搭建子模块,用于根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链。
可选的,所述通道搭建子模块,包括:
区域位置确定单元,用于确定出所述目标组件集合中每个安全组件所在的区域位置;
数据引流单元,用于通过策略路由回注技术并根据所述组件连接顺序将数据流量相应地引流至所述目标组件集合中每个安全组件所在的区域位置的方式,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到所述安全服务链。
可选的,所述***,还包括:
应用场景确定模块,用于确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;
服务包确定模块,用于确定与所述应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;
拓扑图构建模块,用于根据与所述目标安全服务包集合中的每个安全服务包对应的安全服务链,构建与每个安全服务链对应的安全网络拓扑线路,得到与所述目标云对应的安全网络拓扑图。
本发明中,安全服务交付方法,包括:获取安全服务包申请单;根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;对目标安全服务包所需的安全组件进行编排,得到相应的安全服务链;创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
可见,本发明在为租户提供安全服务之前,先获取安全服务包申请单,然后根据该申请单创建相应的安全服务包、编排相应的安全组件,从而得到相应的安全服务链,由此可见,本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的,这样使得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求,也即,本发明实现了为租户提供与其自身实际需求相适应的安全服务的目的,避免了供应与实际需求不匹配的情况出现。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种安全服务交付方法流程图;
图2为本发明实施例公开的一种具体的安全服务交付方法流程图;
图3为本发明实施例公开的一种安全服务交付时序图;
图4为本发明实施例公开的另一种具体的安全服务交付方法流程图;
图5为本发明实施例公开的安全服务包示意图;
图6为本发明实施例公开的一种具体的安全服务交付方法流程图;
图7为本发明实施例公开的一种安全服务编排示意图;
图8为本发明实施例公开的一种安全网络拓扑图;
图9为本发明实施例公开的一种安全服务交付***结构示意图;
图10为本发明实施例公开的一种具体的安全服务交付***结构示意图;
图11为本发明实施例公开的另一种具体的安全服务交付***结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种安全服务交付方法,参见图1所示,该方法包括:
步骤S11:获取安全服务包申请单。
可以理解的是,本实施例中的安全服务包申请单可以是针对一个安全服务包的申请单,也可以是针对多个安全服务包的申请单。
步骤S12:根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包。
本实施例中,上述目标安全服务包中可以包括与上述安全服务包申请单对应的一个或多个安全服务包。
步骤S13:对目标安全服务包所需的安全组件进行编排,得到相应的安全服务链。
需要说明的是,本实施例中,不同的安全服务包各自所需的安全组件会有所不同,不同的安全组件可以为数据流提供不同的安全服务。本实施例对上述目标安全服务包所需的安全组件进行了编排,由此后续便可按照编排顺序将数据流相应地引流至不同的安全组件中,从而实现对数据流的多层次有序的个性化安全服务。由此可见,本实施例中对安全组件进行编排的本质便是对安全服务的编排。
本实施例中,安全服务包所需的安全组件包括但不限于深信服开发的vNGAF(即Virtual Next Generation Application Firewall)[如IPS(即Intrusion PreventionSystem)、AV(即Anti Virus)、WAF(即Web Application Firewall)、UTM(即Unified ThreatManagement)等]、vSSL(即Virtual Secure Sockets Layer)、vAD(即Virtual ApplicationDelivery)、vDAS(即Virtual Database Audit System)、防篡改、漏洞扫描、堡垒机等。
步骤S14:创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
具体的,本实施例可以为上述安全服务链中的每个安全组件均创建一个独立的安全虚拟机,从而得到与上述安全服务链对应的多个安全虚拟机,这种情况下得到的安全虚拟机可以为租户提供与一个安全组件相对应的安全服务。当然,本实施例也可以为上述安全服务链中的多个安全组件创建相应的安全虚拟机,甚至可以为上述安全服务链中的所有安全组件创建一个安全虚拟机,这样,在最终创建得到的与上述安全服务链对应的安全虚拟机中,每台安全虚拟机可以与上述安全服务链中的多个安全组件相对应,这样意味着每台安全虚拟机可以为租户提供与多个安全组件相对应的安全服务。
例如,假设上述安全服务链中包含5个已经编排好的安全组件,则可以为上述5个安全组件中的每个安全组件均创建一个独立的安全虚拟机,从而得到相应的5台安全虚拟机;当然,也可以只为上述5个安全组件创建一台安全虚拟机,以利用这台安全虚拟机为租户提供与上述5个安全组件对应的安全服务;另外,本实施例也可以为上述5个安全组件创建2台安全虚拟机,其中一台安全虚拟机可为租户提供与上述5个安全组件中的3个安全组件相对应的安全服务,另一台安全虚拟机则可为租户提供与另外2个安全组件相应的安全服务。
可以理解的是,本实施例在利用上述安全虚拟机在为租户提供安全服务之前,还需要在安全虚拟机中创建与上述目标安全服务包相对应的安全策略,这样安全虚拟机便可为租户提供相应的安全服务。
可见,本发明实施例在为租户提供安全服务之前,先获取安全服务包申请单,然后根据该申请单创建相应的安全服务包、编排相应的安全组件,从而得到相应的安全服务链,由此可见,本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的,这样使得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求,也即,本发明实施例实现了为租户提供与其自身实际需求相适应的安全服务的目的,避免了供应与实际需求不匹配的情况出现。
参见图2所示,本发明实施例公开了一种具体的安全服务交付方法,包括以下步骤:
步骤S21:获取租户根据自身的应用场景需求选取的安全服务包申请单。
具体的,本实施例可以在租户提交上述安全服务包申请单之前,先将所有可供租户选择的安全服务包的相关信息展示给租户,例如,先把租户可以选择的安全服务包的名称、类型、应用场景、优缺点、费用成本等相关信息呈现给租户,在此基础上,再获取租户根据自身的实际应用场景需要提交的有关安全服务包的申请单。
步骤S22:根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包。
具体的,可以通过运营方审核的方式,先对上述安全服务包申请单进行审核,如果审核通过,将可允许在CSSP平台上创建相应的安全服务包,如果审核未通过,则不允许在CSSP平台上创建相应的安全服务包,此时租户可以重新提交安全服务包申请单,直到审核通过或者提交次数达到预设次数阈值为止。
本实施例中,在云安全服务平台上所创建的安全服务包,具体可以包括但不限于安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
具体的,本实施例可以预先创建一个安全服务包数据库,该数据库中可以包括所有可供租户选择购买的安全服务包,例如可以包括上述安全接入服务包、运维审计服务包、网站安全场景服务包、检测类服务包、安全运营服务包以及应用交付服务包。在获取到租户提供的安全服务包申请单之后,本实施例将可以从上述安全服务包数据库中挑选出与上述申请单相对应的安全服务包,并将挑选出的安全服务包添加至上述云安全服务平台,从而达到在云安全服务平台上创建与上述申请单相对应的安全服务包的目的。
其中,上述网站安全场景服务包,具体可以包括但不限于基础防御服务包和/或Web安全增强服务包。上述检测类服务包,具体可以包括但不限于失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
需要进一步说明的是,上述安全接入服务包,具体可提供IPSEC(即InternetProtocol Security)、VPN(Virtual Private Network)、SSL VPN(SSL,即Secure SocketsLayer)等安全接入服务。上述运维审计服务包,具体可提供针对租户虚拟机的运维审计服务。上述基础防御服务包,具体可提供应用控制、FW(即Firewall)、AV、IPS等防御服务。上述Web安全增强服务包,具体可提供WAF、防篡改、数据防泄密等服务。上述失控主机发现服务包,具体可提供异常行为检测、发现已被黑客控制虚拟机的服务。上述数据库审计服务包,具体可提供针对租户数据库审计服务。上述云端监测服务包,具体可提供针对租户Web业务的安全监测服务。上述安全运营服务包,具体可提供针对租户Web业务的安全运营服务。上述应用交付服务包,具体可提供针对租户业务***的应用负载均衡服务。
步骤S23:确定目标安全服务包所需的所有安全组件,得到目标组件集合。
步骤S24:根据目标安全服务包,确定目标组件集合对应的组件连接顺序。
步骤S25:根据组件连接顺序,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到安全服务链。
由上可见,本发明实施例在得到上述目标安全服务包之后,将会创建相应的安全服务链,具体的过程是先确定与目标安全服务包对应的目标组件集合以及与上述目标组件集合对应的组件连接顺序,然后根据上述组件连接顺序在安全组件之间依序搭建数据流传输通道,从而得到相应的安全服务链。可以理解的是,上述数据流传输通道起到将数据流从一个安全组件传输至另一个安全组件的作用,这样意味着在某个安全组件内部为数据流提供某种安全服务之后,将会在另一个安全组件内部为该数据流提供另一种安全服务。
具体的,上述步骤S25中,根据组件连接顺序,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到安全服务链的过程,可以包括以下步骤:
确定出目标组件集合中每个安全组件所在的区域位置,然后通过策略路由回注技术并根据组件连接顺序将数据流量相应地引流至目标组件集合中每个安全组件所在的区域位置的方式,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到安全服务链。
也即,本实施例具体可以通过策略路由回注技术对数据流量进行引流处理,以此实现对安全组件之间的数据流传输通道进行依序搭建的目的。
步骤S26:创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
关于上述创建安全虚拟机的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本发明实施例还可以包括:为租户提供相应的账号信息,以便租户通过账号信息登录CSSP租户侧客户端,然后在CSSP租户侧客户端上管理运营相应的安全服务。可以理解的是,上述账号信息的有效期与租户实际支付的费用呈正相关关系。
另外,需要进一步说明的是,在上述获取到安全服务包申请单、创建安全服务包、编排安全组件、创建安全虚拟机等各个步骤完成之后,均可以向上一级发送相应的反馈信息,以通知上一级相应步骤的处理结果。图3为本发明实施例公开的一种安全服务交付时序图,该图3示出了租户方、运营方、CSSP平台、服务编排器、安全虚拟机之间的处理流程以及信息反馈过程。
由上可知,与租户的应用场景需求对应的安全服务包中可以融合多种安全组件,通过多种安全组件之间的相互协调调用,可以达到1+1大于2的效果。例如,当云端扫描出来0day的漏洞,CSSP平台就可以在vAF上开启对应的WAF和IPS的策略。另外,当AF发现失陷主机和僵尸网络,可以直接在安全虚拟机上进行杀毒和webshell查杀,从而协助租户从云端到云平台边界,再到服务器终端建立了一套紧密无缝的安全防御体系。其中,上述webshell是以asp(即Active Server Pages)、php(即PHP:Hypertext Preprocessor)、jsp(即JavaServer Pages)或者cgi(即Common Gateway Interface)等文件形式存在的一种命令执行环境,也可以称做是一种网页后门。
参见图4所示,本发明实施例公开了另一种具体的安全服务交付方法,包括以下步骤:
步骤S31:获取预先内置的安全服务包申请单。
本实施例中,上述预先内置的安全服务包申请单可以预先保存在申请单数据库中,其中,上述申请单数据库中预先保存有能够覆盖租户大部分应用场景需求的安全服务包申请单,也即,上述申请单数据库中的每一份安全服务包申请单所对应的安全服务均能满足租户的一种特定应用场景需求。可以理解的是,上述申请单数据库具体可以是由运营方根据当前市场上大部分租户的较为典型的应用场景需求,创建相应的申请单并保存后得到的。
步骤S32:根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包。
根据上述内容以及前述实施例中公开的内容可知,本发明可以通过租户根据自身实际需求来进行选取的方式或者通过预先内置的方式来确定出相应的安全服务包。
图5为本发明实施例中公开的安全服务包示意图,从图5中可以看出,第一,“安全接入场景”服务包现在已经内置了“安全接入服务包”,可提供IPSEC VPN、SSL VPN等安全接入服务,同时对有堡垒机需求的租户,提供“运维审计服务包”,可提供针对租户虚机的运维审计服务。两种服务包可以叠加使用,效果更好。第二,“网站安全场景”的服务包从低到高提供了“基础防御服务包”、“Web安全增强服务包”,前者可提供应用控制、FW(防火墙)、AV、IPS等防御功能;后者可提供WAF、网站防篡改、数据防泄密等服务。并且两者可以叠加使用,效果更好。第三,同时可以为“网站安全场景”提供几类检测***包,如“失控主机发现服务包”、“数据库审计服务包”和“云端监测服务包”。其中,“失控主机发现服务包”可提供通过检测异常行为来发现已被黑客控制虚拟机的服务;“数据库审计服务包”可提供针对租户数据库的审计服务;“云端监测服务包”可提供针对租户Web业务的安全监测服务。这三类服务包也可和“基础防御服务包”、“Web安全增强服务包”叠加使用。第四,本实施例还提供“安全运营服务包”,用于提供针对租户Web业务的安全运营服务。第五,在租户的“业务发布场景”中,提供了“应用交付服务包”,可用于提供针对租户业务***的应用负载均衡服务。
步骤S33:确定目标安全服务包所需的所有安全组件,得到目标组件集合。
步骤S34:根据目标安全服务包,确定目标组件集合对应的组件连接顺序。
步骤S35:确定出目标组件集合中每个安全组件所在的区域位置。
步骤S36:通过策略路由回注技术并根据组件连接顺序将数据流量相应地引流至目标组件集合中每个安全组件所在的区域位置的方式,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到安全服务链。
步骤S37:创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
关于上述步骤S32至S37的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
在前述实施例的基础上,参见图6所示,本发明实施例中的安全服务交付方法,还可以进一步包括以下步骤:
步骤S401:确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;
步骤S402:确定与应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;
步骤S403:根据与目标安全服务包集合中的每个安全服务包对应的安全服务链。
图7为本发明实施例中公开的一种安全服务编排示意图,对于政府云而言,通常涉及以下三种用户,分别是政府人员、运维人员以及互联网访问人员,基于上述三种人群各自所对应的应用场景,可以确定出与每种应用场景相对应的安全服务包,进而可以确定出与每种应用场景相对应的安全服务链。对政府办公OA***来说,用户为政府人员,本实施例可以创建如下安全服务链:Internet→vNGAF→vSSL→vNGAF→数据库审计;对政务云运维***来说,用户是运维人员,本实施例可以创建如下安全服务链:Internet→vNGAF→vSSL→vNGAF→堡垒机;对政府门户网站来说,用户是普通的互联网访问人员,本实施例可以创建如下安全服务链:Internet→vNGAF→漏洞扫描→vAD→数据库审计→防篡改。本实施例中,在对安全组件进行编排时,可以通过策略路由回注技术,将数据流按需引流至各个服务区域中相应的服务节点,如审计区域中的“数据库审计”和“堡垒机”、代理区域中的vAD和vSSL,以及安全区域中的“漏洞扫描”以及vNGAF。
步骤S404:构建与每个安全服务链对应的安全网络拓扑线路,得到与目标云对应的安全网络拓扑图。
图8中便示出了一种安全网络拓扑图。通过上述步骤S404,本实施例可以在交付安全服务时,可全自动地构建出与特定的云***对应的适用于安全服务包的拓扑图,而无需手动去构造拓扑。
相应的,本发明实施例还公开了一种安全服务交付***,参见图9所示,该***包括:
申请单获取模块11,用于获取安全服务包申请单;
服务包创建模块12,用于根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;
组件编排模块13,用于对目标安全服务包所需的安全组件进行编排得到相应的安全服务链;
虚拟机创建模块14,用于创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
可以理解的是,本实施例中的安全服务包申请单可以是针对一个安全服务包的申请单,也可以是针对多个安全服务包的申请单。
本实施例中,上述目标安全服务包中可以包括与上述安全服务包申请单对应的一个或多个安全服务包。
需要说明的是,本实施例中,不同的安全服务包各自所需的安全组件会有所不同,不同的安全组件可以为数据流提供不同的安全服务。本实施例对上述目标安全服务包所需的安全组件进行了编排,由此后续便可按照编排顺序将数据流相应地引流至不同的安全组件中,从而实现对数据流的多层次有序的个性化安全服务。由此可见,本实施例中对安全组件进行编排的本质便是对安全服务的编排。
本实施例中,安全服务包所需的安全组件包括但不限于深信服开发的vNGAF[如IPS、AV、WAF、UTM等]、vSSL、vAD、vDAS、防篡改、漏洞扫描、堡垒机等。
本实施例中,上述虚拟机创建模块14可以为上述安全服务链中的每个安全组件均创建一个独立的安全虚拟机,从而得到与上述安全服务链对应的多个安全虚拟机,这种情况下得到的安全虚拟机可以为租户提供与一个安全组件相对应的安全服务。当然,本实施例中的虚拟机创建模块14也可以为上述安全服务链中的多个安全组件创建相应的安全虚拟机,甚至可以为上述安全服务链中的所有安全组件创建一个安全虚拟机,这样,在最终创建得到的与上述安全服务链对应的安全虚拟机中,每台安全虚拟机可以与上述安全服务链中的多个安全组件相对应,这样意味着每台安全虚拟机可以为租户提供与多个安全组件相对应的安全服务。
可以理解的是,本实施例在利用上述安全虚拟机在为租户提供安全服务之前,还需要在安全虚拟机中创建与上述目标安全服务包相对应的安全策略,这样安全虚拟机便可为租户提供相应的安全服务。
可见,本发明在为租户提供安全服务之前,先获取安全服务包申请单,然后根据该申请单创建相应的安全服务包、编排相应的安全组件,从而得到相应的安全服务链,由此可见,本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的,这样使得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求,也即,本发明实现了为租户提供与其自身实际需求相适应的安全服务的目的,避免了供应与实际需求不匹配的情况出现。
参见图10所示,本发明实施例公开了一种具体的安全服务交付***,包括以下模块:
申请单获取模块21,用于获取安全服务包申请单。
在一种具体实施方式,上述申请单获取模块21,具体可以用于获取租户根据自身的应用场景需求选取的安全服务包申请单。
具体的,本实施例中的申请单获取模块21可以在租户提交上述安全服务包申请单之前,先将所有可供租户选择的安全服务包的相关信息展示给租户,例如,先把租户可以选择的安全服务包的名称、类型、应用场景、优缺点、费用成本等相关信息呈现给租户,在此基础上,再获取租户根据自身的实际应用场景需要提交的有关安全服务包的申请单。
在另一种具体实施方式中,上述申请单获取模块22,具体可以用于获取预先内置的安全服务包申请单。
本实施例中,上述预先内置的安全服务包申请单可以预先保存在申请单数据库中,其中,上述申请单数据库中预先保存有能够覆盖租户大部分应用场景需求的安全服务包申请单,也即,上述申请单数据库中的每一份安全服务包申请单所对应的安全服务均能满足租户的一种特定应用场景需求。可以理解的是,上述申请单数据库具体可以是由运营方根据当前市场上大部分租户的较为典型的应用场景需求,创建相应的申请单并保存后得到的。
服务包创建模块22,用于根据安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包。
具体的,上述服务包创建模块22可以通过运营方审核的方式,先对上述安全服务包申请单进行审核,如果审核通过,将可允许在CSSP平台上创建相应的安全服务包,如果审核未通过,则不允许在CSSP平台上创建相应的安全服务包,此时租户可以重新提交安全服务包申请单,直到审核通过或者提交次数达到预设次数阈值为止。
本实施例中,在云安全服务平台上所创建的安全服务包,具体可以包括但不限于安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
具体的,本实施例可以预先创建一个安全服务包数据库,该数据库中可以包括所有可供租户选择购买的安全服务包,例如可以包括上述安全接入服务包、运维审计服务包、网站安全场景服务包、检测类服务包、安全运营服务包以及应用交付服务包。在获取到租户提供的安全服务包申请单之后,本实施例将可以从上述安全服务包数据库中挑选出与上述申请单相对应的安全服务包,并将挑选出的安全服务包添加至上述云安全服务平台,从而达到在云安全服务平台上创建与上述申请单相对应的安全服务包的目的。
其中,上述网站安全场景服务包,具体可以包括但不限于基础防御服务包和/或Web安全增强服务包。上述检测类服务包,具体可以包括但不限于失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
需要进一步说明的是,上述安全接入服务包,具体可提供IPSEC、VPN、SSL VPN等安全接入服务。上述运维审计服务包,具体可提供针对租户虚拟机的运维审计服务。上述基础防御服务包,具体可提供应用控制、FW、AV、IPS等防御服务。上述Web安全增强服务包,具体可提供WAF、防篡改、数据防泄密等服务。上述失控主机发现服务包,具体可提供异常行为检测、发现已被黑客控制虚拟机的服务。上述数据库审计服务包,具体可提供针对租户数据库审计服务。上述云端监测服务包,具体可提供针对租户Web业务的安全监测服务。上述安全运营服务包,具体可提供针对租户Web业务的安全运营服务。上述应用交付服务包,具体可提供针对租户业务***的应用负载均衡服务。
组件编排模块23,用于对目标安全服务包所需的安全组件进行编排得到相应的安全服务链。
虚拟机创建模块24,用于创建与安全服务链对应的安全虚拟机,以利用安全虚拟机为租户提供相应的安全服务。
其中,上述组件编排模块23,具体可以包括以下子模块:
组件确定子模块231,用于确定目标安全服务包所需的所有安全组件,得到目标组件集合;
顺序确定子模块232,用于根据目标安全服务包,确定目标组件集合对应的组件连接顺序;
通道搭建子模块233,用于根据组件连接顺序,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到安全服务链。
由上可见,本发明实施例在得到上述目标安全服务包之后,将会利用上述组件编排模块23创建相应的安全服务链,具体的过程是先确定与目标安全服务包对应的目标组件集合以及与上述目标组件集合对应的组件连接顺序,然后根据上述组件连接顺序在安全组件之间依序搭建数据流传输通道,从而得到相应的安全服务链。可以理解的是,上述数据流传输通道起到将数据流从一个安全组件传输至另一个安全组件的作用,这样意味着在某个安全组件内部为数据流提供某种安全服务之后,将会在另一个安全组件内部为该数据流提供另一种安全服务。
具体的,上述通道搭建子模块233,可以包括如下单元:
区域位置确定单元2331,用于确定出目标组件集合中每个安全组件所在的区域位置;
数据引流单元2332,用于通过策略路由回注技术并根据组件连接顺序将数据流量相应地引流至目标组件集合中每个安全组件所在的区域位置的方式,对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到安全服务链。
进一步的,本发明实施例中的安全服务交付***还可以包括:账号信息提供模块,用于为租户提供相应的账号信息,以便租户通过账号信息登录CSSP租户侧客户端,然后在CSSP租户侧客户端上管理运营相应的安全服务。可以理解的是,上述账号信息的有效期与租户实际支付的费用呈正相关关系。
在前述实施例的基础上,参见图11所示,本发明实施例中的安全服务交付***,还可以进一步包括:
应用场景确定模块31,用于确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;
服务包确定模块32,用于确定与应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;
拓扑图构建模块33,用于根据与目标安全服务包集合中的每个安全服务包对应的安全服务链,构建与每个安全服务链对应的安全网络拓扑线路,得到与目标云对应的安全网络拓扑图。
例如,对于政府云而言,通常涉及以下三种用户,分别是政府人员、运维人员以及互联网访问人员,基于上述三种人群各自所对应的应用场景,可以确定出与每种应用场景相对应的安全服务包,进而可以确定出与每种应用场景相对应的安全服务链。对政府办公OA***来说,用户为政府人员,本实施例可以创建如下安全服务链:Internet→vNGAF→vSSL→vNGAF→数据库审计;对政务云运维***来说,用户是运维人员,本实施例可以创建如下安全服务链:Internet→vNGAF→vSSL→vNGAF→堡垒机;对政府门户网站来说,用户是普通的互联网访问人员,本实施例可以创建如下安全服务链:Internet→vNGAF→漏洞扫描→vAD→数据库审计→防篡改。本实施例中,在对安全组件进行编排时,可以通过策略路由回注技术,将数据流按需引流至各个服务区域中相应的服务节点,如审计区域中的“数据库审计”和“堡垒机”、代理区域中的vAD和vSSL,以及安全区域中的“漏洞扫描”以及vNGAF。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种安全服务交付方法及***进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种安全服务交付方法,其特征在于,包括:
获取安全服务包申请单;
根据所述安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;
对所述目标安全服务包所需的安全组件进行编排,得到相应的安全服务链;
创建与所述安全服务链对应的安全虚拟机,以利用所述安全虚拟机为租户提供相应的安全服务;
并且,所述方法还包括:
确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;确定与所述应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;根据与所述目标安全服务包集合中的每个安全服务包对应的安全服务链,构建与每个安全服务链对应的安全网络拓扑线路,得到与所述目标云对应的安全网络拓扑图。
2.根据权利要求1所述的安全服务交付方法,其特征在于,所述获取安全服务包申请单的过程,包括:
获取租户根据自身的应用场景需求选取的安全服务包申请单。
3.根据权利要求1所述的安全服务交付方法,其特征在于,所述获取安全服务包申请单的过程,包括:
获取预先内置的安全服务包申请单。
4.根据权利要求1所述的安全服务交付方法,其特征在于,
在所述云安全服务平台上所创建的安全服务包,包括安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
5.根据权利要求4所述的安全服务交付方法,其特征在于,
所述网站安全场景服务包,包括基础防御服务包和/或Web安全增强服务包;
所述检测类服务包,包括失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
6.根据权利要求1至5任一项所述的安全服务交付方法,其特征在于,所述对所述目标安全服务包所需的安全组件进行编排,得到相应的安全服务链的过程,包括:
确定所述目标安全服务包所需的所有安全组件,得到目标组件集合;
根据所述目标安全服务包,确定所述目标组件集合对应的组件连接顺序;
根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链。
7.根据权利要求6所述的安全服务交付方法,其特征在于,所述根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链的过程,包括:
确定出所述目标组件集合中每个安全组件所在的区域位置;
通过策略路由回注技术并根据所述组件连接顺序将数据流量相应地引流至所述目标组件集合中每个安全组件所在的区域位置的方式,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到所述安全服务链。
8.一种安全服务交付***,其特征在于,包括:
申请单获取模块,用于获取安全服务包申请单;
服务包创建模块,用于根据所述安全服务包申请单,在云安全服务平台上创建相应的安全服务包,得到目标安全服务包;
组件编排模块,用于对所述目标安全服务包所需的安全组件进行编排得到相应的安全服务链;
虚拟机创建模块,用于创建与所述安全服务链对应的安全虚拟机,以利用所述安全虚拟机为租户提供相应的安全服务;
并且,所述***还包括:
应用场景确定模块,用于确定出目标云的所有用户各自所对应的应用场景,得到相应的应用场景集合;
服务包确定模块,用于确定与所述应用场景集合中的每个应用场景对应的安全服务包,得到相应的目标安全服务包集合;
拓扑图构建模块,用于根据与所述目标安全服务包集合中的每个安全服务包对应的安全服务链,构建与每个安全服务链对应的安全网络拓扑线路,得到与所述目标云对应的安全网络拓扑图。
9.根据权利要求8所述的安全服务交付***,其特征在于,
所述申请单获取模块,具体用于获取租户根据自身的应用场景需求选取的安全服务包申请单。
10.根据权利要求8所述的安全服务交付***,其特征在于,
所述申请单获取模块,具体用于获取预先内置的安全服务包申请单。
11.根据权利要求8所述的安全服务交付***,其特征在于,
在所述云安全服务平台上所创建的安全服务包,包括安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包和/或应用交付服务包。
12.根据权利要求11所述的安全服务交付***,其特征在于,
所述网站安全场景服务包,包括基础防御服务包和/或Web安全增强服务包;
所述检测类服务包,包括失控主机发现服务包和/或数据库审计服务包和/或云端监测服务包。
13.根据权利要求8至12任一项所述的安全服务交付***,其特征在于,所述组件编排模块,包括:
组件确定子模块,用于确定所述目标安全服务包所需的所有安全组件,得到目标组件集合;
顺序确定子模块,用于根据所述目标安全服务包,确定所述目标组件集合对应的组件连接顺序;
通道搭建子模块,用于根据所述组件连接顺序,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,得到所述安全服务链。
14.根据权利要求13所述的安全服务交付***,其特征在于,所述通道搭建子模块,包括:
区域位置确定单元,用于确定出所述目标组件集合中每个安全组件所在的区域位置;
数据引流单元,用于通过策略路由回注技术并根据所述组件连接顺序将数据流量相应地引流至所述目标组件集合中每个安全组件所在的区域位置的方式,对所述目标组件集合中的安全组件之间的数据流传输通道进行依序搭建,相应地得到所述安全服务链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710380112.8A CN107204980B (zh) | 2017-05-25 | 2017-05-25 | 一种安全服务交付方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710380112.8A CN107204980B (zh) | 2017-05-25 | 2017-05-25 | 一种安全服务交付方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107204980A CN107204980A (zh) | 2017-09-26 |
| CN107204980B true CN107204980B (zh) | 2020-08-14 |
Family
ID=59906150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710380112.8A Active CN107204980B (zh) | 2017-05-25 | 2017-05-25 | 一种安全服务交付方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204980B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896191B (zh) * | 2017-11-27 | 2020-11-27 | 深信服科技股份有限公司 | 一种基于容器的虚拟安全组件跨云***及方法 |
| CN110875943A (zh) * | 2018-09-03 | 2020-03-10 | 深信服科技股份有限公司 | 安全服务交付方法及相关装置 |
| CN109286630B (zh) * | 2018-10-15 | 2021-11-19 | 深信服科技股份有限公司 | 等保处理方法、装置、设备及存储介质 |
| CN110138760B (zh) * | 2019-05-08 | 2021-10-01 | 绿盟科技集团股份有限公司 | 一种安全服务的设置方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
| CN105282195A (zh) * | 2014-06-27 | 2016-01-27 | 中兴通讯股份有限公司 | 网络服务提供、策略规则评估、服务组件选择方法及装置 |
| CN106330575A (zh) * | 2016-11-08 | 2017-01-11 | 上海有云信息技术有限公司 | 一种安全服务平台及安全服务部署方法 |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713633B2 (en) * | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
-
2017
- 2017-05-25 CN CN201710380112.8A patent/CN107204980B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
| CN105282195A (zh) * | 2014-06-27 | 2016-01-27 | 中兴通讯股份有限公司 | 网络服务提供、策略规则评估、服务组件选择方法及装置 |
| CN106330575A (zh) * | 2016-11-08 | 2017-01-11 | 上海有云信息技术有限公司 | 一种安全服务平台及安全服务部署方法 |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107204980A (zh) | 2017-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107204980B (zh) | 一种安全服务交付方法及*** | |
| US9832228B2 (en) | Methods, systems, and computer program products for managing firewall change requests in a communication network | |
| US8578465B2 (en) | Token-based control of permitted sub-sessions for online collaborative computing sessions | |
| CN101990183B (zh) | 保护用户信息的方法、装置及*** | |
| US10116628B2 (en) | Server-paid internet access service | |
| CN101626369B (zh) | 一种单点登录方法、设备及*** | |
| CN112073400A (zh) | 一种访问控制方法、***、装置及计算设备 | |
| US20150350212A1 (en) | Methods and systems for authorizing web service requests | |
| CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络***和方法 | |
| CN106464717A (zh) | 将公共云与专用网络资源连接 | |
| CN105391724B (zh) | 用于信息***的授权管理方法及授权管理装置 | |
| US20080178254A1 (en) | Centralized secure offload of security services for distributed security enforcement points | |
| US20110289575A1 (en) | Directory authentication method for policy driven web filtering | |
| US20160057163A1 (en) | Validating and enforcing end-user workflow for a web application | |
| US20210058454A1 (en) | Automated end-to-end application deployment in a data center | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| CN114995214A (zh) | 远程访问应用的方法、***、装置、设备及存储介质 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| US11924220B2 (en) | User directory deployment based on user and group policies | |
| CN110875943A (zh) | 安全服务交付方法及相关装置 | |
| CN102045309A (zh) | 一种用于防止计算机病毒攻击的方法和装置 | |
| CN103428161A (zh) | 一种电话认证服务*** | |
| US12015594B2 (en) | Policy integration for cloud-based explicit proxy | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权***和方法 | |
| CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |