CN111970242B - 云安全防护方法、装置及存储介质 - Google Patents
云安全防护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111970242B CN111970242B CN202010681189.0A CN202010681189A CN111970242B CN 111970242 B CN111970242 B CN 111970242B CN 202010681189 A CN202010681189 A CN 202010681189A CN 111970242 B CN111970242 B CN 111970242B
- Authority
- CN
- China
- Prior art keywords
- security
- cloud
- network
- service platform
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云安全防护方法、装置及存储介质。其中,该方法包括:基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象;基于所述云安全服务平台管理的网络设备构建统一的网络对象;基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。可以屏蔽云平台及网络设备的特性,对云安全服务平台管理的各种云平台进行统一的安全防护,从而可以避免不同安全厂商的安全产品能力的参差不齐,且统一的安全防护能够减少安全策略的维护,利于后续的安全运维管理。
Description
技术领域
本发明涉及云服务领域,尤其涉及一种云安全防护方法、装置及存储介质。
背景技术
随着云服务的推广应用,众多企业都逐步将业务向云端迁移,比如,云平台厂商根据业务需求的不同,搭建内部私有云(如华为云、腾讯云、阿里云等),或是直接迁移到公有云上,或是结合多套公有云和多套私有云的混合云,私有云、公有云和混合云成为构成当前云服务的三大趋势。
不管是部署在IDC(Internet Data Center,互联网数据中心)机房的私有云,还是大型云平台提供的公有云,亦或是混合云,云平台作为提供计算虚拟化、网络虚拟化和存储虚拟化的虚拟化平台,自身并无强大的安全防护能力保护云平台中用户的业务。
相关技术中,为了增强云服务的安全防护能力,往往采用以下方式:
方式一,云平台厂商基于NFV(Network Functions Virtualization,网络功能虚拟化)集成各个安全厂商的安全虚拟机(安全VM),如防火墙、入侵检测***、堡垒机等,对租户内的业务虚拟机进行防护,NFV方案依赖于云平台的计算和存储,无需考虑安全VM自身的性能受限问题。但是,不同云平台厂商需要去集成各个安全厂商的安全VM,且各个云平台(如华为云、华三云、腾讯云、AWS等)会根据自身云平台的需求集成不同安全厂商的安全VM,甚至同一个云厂商会集多家安全厂商的安全VM,导致安全能力参差不齐,用户的业务安全难以得到有效保障,且不同安全厂商的安全产品导致统一的安全运维存在极大的障碍。
方式二,安全厂商通过引流的方式进行流量清洗,以加强云上用户的业务安全。然而,现有的引流方式往往针对的是私有云场景,并且私有云内业务的快速变化导致核心交换机上的策略需要频繁的修改,存在安全策略维护困难的缺陷。
发明内容
有鉴于此,本发明实施例提供了一种云安全防护方法、装置及存储介质,旨在提升云平台的安全防护能力,并减少安全维护工作量。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种云安全防护方法,包括:
基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象;
基于所述云安全服务平台管理的网络设备构建统一的网络对象;
基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
在一些实施例中,所述基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象,包括:
对云安全服务平台管理的云平台提取各平台共用的标准化参数,基于所述标准化参数构建安全对象元素,所述安全对象元素包括以下至少之一:租户、云服务器、虚拟数据中心及虚拟私有云;
基于安全对象元素生成所述云安全服务平台的防护对象,所述防护对象包括以下至少之一:租户级防护对象和业务级防护对象。
在一些实施例中,所述基于所述云安全服务平台管理的网络设备构建统一的网络对象,包括:
基于所述云安全服务平台管理的物理交换机和/或软件定义网络(SoftwareDefined Network,SDN)控制器,构建统一的网络对象。
在一些实施例中,所述方法还包括:
基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象;
基于更新后的防护对象向网络对象下发引流策略。
在一些实施例中,所述基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象,包括:
获取所述云安全服务平台管理的云平台中配置变化的云平台的安全对象元素;
基于配置变化后的安全对象元素更新租户级防护对象和/或业务级防护对象。
在一些实施例中,所述方法还包括:
基于所述云安全服务平台管理的网络设备更新统一的网络对象。
在一些实施例中,所述安全资源池配置防火墙、入侵检测***、堡垒机及网络分析***中的至少一种安全监测装置。
本发明实施例还提供了一种云安全防护装置,包括:
防护对象管理模块,用于基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象;
网络对象管理模块,用于基于所述云安全服务平台管理的网络设备构建统一的网络对象;
安全配置模块,用于基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
本发明实施例又提供了一种云安全服务平台,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明任一实施例所述方法的步骤。
本发明实施例还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明任一实施例所述方法的步骤。
本发明实施例提供的技术方案,通过对云安全服务平台管理的云平台构建云安全服务平台的防护对象,对云安全服务平台管理的网络设备构建统一的网络对象,基于所述云安全服务平台的防护对象向网络对象下发引流策略,可以屏蔽云平台及网络设备的特性,对云安全服务平台管理的各种云平台进行统一的安全防护。由于可以对各云平台进行统一的安全防护,从而可以避免不同安全厂商的安全产品能力的参差不齐,且统一的安全防护能够减少安全策略的维护,利于后续的安全运维管理。
附图说明
图1为本发明实施例云安全防护方法的流程示意图;
图2为本发明实施例云安全防护装置的结构示意图;
图3为本发明实施例云安全服务平台的结构示意图;
图4为应用本发明实施例云安全服务平台的***结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
本发明实施例提供了一种云安全防护方法,该云安全防护方法可以应用于云安全服务平台(Cloud Security Service Platform,CSSP),如图1所示,该云安全防护方法包括:
步骤101,基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象;
步骤102,基于所述云安全服务平台管理的网络设备构建统一的网络对象;
步骤103,基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
本发明实施例云安全防护方法,通过对云安全服务平台管理的云平台构建云安全服务平台的防护对象,对云安全服务平台管理的网络设备构建统一的网络对象,基于所述云安全服务平台的防护对象向网络对象下发引流策略,可以屏蔽云平台及网络设备的特性,对云安全服务平台管理的各种云平台进行统一的安全防护。由于可以对各云平台进行统一的安全防护,从而可以避免不同安全厂商的安全产品能力的参差不齐,且统一的安全防护能够减少安全策略的维护,利于后续的安全运维管理。
示例性地,云安全服务平台可以对多种云平台进行管理,比如,私有云平台、公有云平台、混合云平台等,其中,私有云(Private Cloud)平台是指是为一个客户单独使用而构建的云,从而可以提供对数据、安全性和服务质量的有效控制;公有云(Public Cloud)平台是指第三方提供商为用户提供的能够使用的云,一般可通过Internet(因特网)访问使用,核心属性是共享资源服务;混合云(Hybrid Cloud)平台融合了公有云和私有云,是近年来云服务的主要模式和发展方向。云安全服务平台可以便捷地接入上述的各类云平台,比如,通过选择云平台的类型和对应的版本号,输入云平台的IP地址和账号密码,便能在云安全服务平台一键接入云平台,便于后续对接入的云平台进行管理。
在一些实施例中,步骤101基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象,包括:
对云安全服务平台管理的云平台提取各平台共用的标准化参数,基于所述标准化参数构建安全对象元素,所述安全对象元素包括以下至少之一:租户、云服务器、虚拟数据中心及虚拟私有云;
基于安全对象元素生成所述云安全服务平台的防护对象,所述防护对象包括以下至少之一:租户级防护对象和业务级防护对象。
这里,租户(TENANT)是指云平台上用户可以被访问的资源集合,即管理虚拟数据中心的用户的资源集合;云服务器(Elastic Compute Service,ECS)是指各云平台对应的服务器;虚拟数据中心(Virtual Data Center,VDC)是指将云计算概念运用于数据中心的一种新型的数据中心形态;虚拟私有云(Virtual Private Cloud,VPC)是指为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。可以理解的是,一个租户下可以对应多个VPC,一个VPC可以对应多个ECS。实际应用中,可以对各种云平台抽象出安全对象元素对应的标准化参数,即归一化云安全所需的安全对象元素,从而使得云安全服务平台屏蔽掉各云平台的特性,可以为用户展示统一的云平台的安全对象元素,便于进行统一的运维管理(即运行维护管理)。
示例性地,云安全服务平台可以根据云平台的安全对象元素生成云安全服务平台的防护对象,比如,可以根据设定策略,基于管理的各云平台的安全对象元素构建租户级防护对象和/或业务级防护对象。这里,租户级防护对象可以存在关联关系的租户的集合,比如,可以对具有相同服务业务的租户构建统一的租户级防护对象,从而可以对该类租户进行统一的安全防护管理。业务级防护对象可以是对相同或者相似的服务业务创建防护对象,从而可以对该类服务业务进行统一的安全防护管理。具体的设定策略可以根据需求进行合理设置,使得安全对象元素与防护对象之间存在关联关系即可,本发明实施例对此不做具体限定。
在一些实施例中,步骤102基于所述云安全服务平台管理的网络设备构建统一的网络对象,包括:基于所述云安全服务平台管理的物理交换机和/或SDN控制器,构建统一的网络对象。
示例性地,云安全服务平台可以快捷地接入各类网络设备,比如,接入物理交换机和/或SDN控制器。
在一应用示例中,云安全服务平台可快速接入各类物理交换机,比如,选择交换机的类型和对应的版本号,输入交换机的IP地址和账号密码,云安全服务平台便能一键纳管物理交换机。云安全服务平台还可以可快速接入各类SDN控制器,比如,选择对应的SDN控制器的类型,输入SDN控制器的IP地址和账号密码,便能一键纳管SDN控制器。云安全服务平台纳管物理交换机和/或SDN控制器后,可以抽象出各网络设备对应的标准化参数,即归一化网络设备的参数,基于归一化的参数创建统一的网络对象,云安全服务平台还可以为用户展示统一的网络设备对应的网络对象,从而屏蔽不同网络设备的特性,便于进行统一的运维管理。
步骤103基于所述云安全服务平台的防护对象向网络对象下发引流策略,包括:
云安全服务平台基于防护对象配置的引流策略向相应的网络对象下发引流策略。
这里,云安全服务平台创建防护对象后,可以对防护对象进行网络编排,即为防护对象分配引流策略,使得防护对象的网络流量基于相应的引流策略引流至安全资源池,并经安全资源池进行流量清洗后到达业务***。如此,实现各类云平台基于防护对象的统一安全防护。
在一些实施例中,安全资源池配置防火墙、入侵检测***、堡垒机及网络分析***中的至少一种安全监测装置。网络流量基于引流策略被引流至安全资源池,通过安全资源池内各安全监测装置对流量进行检测处理,检测处理后的网络流量再传递至相应的业务***。
在一些实施例中,云安全防护方法还包括:
基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象;
基于更新后的防护对象向网络对象下发引流策略。
这里,若各云平台的租户或者业务发生变化,云安全服务平台可以基于获取的云平台的安全对象元素,更新所述防护对象,并基于更新后的防护对象向网络对象下发引流策略,从而可以实现云平台、云安全服务平台及网络设备的安全防护的统一,使得云平台、云安全服务平台及网络设备之间可以全自动的同步协调,从而可以省去后续手动维护引流策略的麻烦。
可以理解的是,云安全服务平台预先配置好引流策略与防护对象之间的对应关系,从而基于更新后的防护对象可以确定更新后的引流策略,并将引流策略发送给网络设备,实现网络流量的引流。
在一些实施例中,所述基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象,包括:
获取所述云安全服务平台管理的云平台中配置变化的云平台的安全对象元素;
基于配置变化后的安全对象元素更新租户级防护对象和/或业务级防护对象。
示例性地,各云平台可以在配置发生变化时,发送配置变化的消息给云安全服务平台,云安全服务平台可以响应于配置变化的消息,获取相应云平台的安全对象元素,并基于获取的安全对象元素更新防护对象。在另一些实施例中,云安全服务平台还可以定时拉取管理的云平台的安全对象元素,并和本地缓存的安全对象元素进行比较,确定数据不一致时,判定相应的云平台发生配置变化,并基于配置变化后的安全对象元素更新防护对象。
在一些实施例中,云安全防护方法还包括:基于所述云安全服务平台管理的网络设备更新统一的网络对象。如此,可以在网络设备发生配置变化后,云安全服务平台基于配置变化后的网络设备更新统一的网络对象。
为了实现本发明实施例的方法,本发明实施例还提供一种云安全防护装置,该云安全防护装置与上述云安全防护方法对应,上述云安全防护方法实施例中的各步骤也完全适用于本云安全防护装置实施例。
如图2所示,该云安全防护装置包括:防护对象管理模块201、网络对象管理模块202及安全配置模块203,其中,防护对象管理模块201用于基于云安全服务平台管理的云平台构建所述云安全服务平台的防护对象;网络对象管理模块202用于基于所述云安全服务平台管理的网络设备构建统一的网络对象;安全配置模块203用于基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
在一些实施例中,防护对象管理模块201具体用于:
对云安全服务平台管理的云平台提取各平台共用的标准化参数,基于所述标准化参数构建安全对象元素,所述安全对象元素包括以下至少之一:租户、云服务器、虚拟数据中心及虚拟私有云;
基于安全对象元素生成所述云安全服务平台的防护对象,所述防护对象包括以下至少之一:租户级防护对象和业务级防护对象。
在一些实施例中,网络对象管理模块202具体用于:
基于所述云安全服务平台管理的物理交换机和/或软件定义网络(SDN)控制器,构建统一的网络对象。
在一些实施例中,防护对象管理模块201还用于基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象;安全配置模块203还用于基于更新后的防护对象向网络对象下发引流策略。
在一些实施例中,防护对象管理模块201具体用于:获取所述云安全服务平台管理的云平台中配置变化的云平台的安全对象元素;基于配置变化后的安全对象元素更新租户级防护对象和/或业务级防护对象。
在一些实施例中,网络对象管理模块202还用于:基于所述云安全服务平台管理的网络设备更新统一的网络对象。
在一些实施例中,所述安全资源池配置防火墙、入侵检测***、堡垒机及网络分析***中的至少一种安全监测装置。
实际应用时,防护对象管理模块201、网络对象管理模块202及安全配置模块203,可以由云安全防装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的云安全防护装置在进行云安全防护时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的云安全防护装置与云安全防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种云安全服务平台。图3仅仅示出了该云安全服务平台的示例性结构而非全部结构,根据需要可以实施图3示出的部分结构或全部结构。
如图3所示,本发明实施例提供的云安全服务平台300包括:至少一个处理器301、存储器302、用户接口303和至少一个网络接口304。云安全服务平台300中的各个组件通过总线***305耦合在一起。可以理解,总线***305用于实现这些组件之间的连接通信。总线***305除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线***305。
其中,用户接口303可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本发明实施例中的存储器302用于存储各种类型的数据以支持云安全服务平台的操作。这些数据的示例包括:用于在云安全服务平台上操作的任何计算机程序。
本发明实施例揭示的云安全防护方法可以应用于处理器301中,或者由处理器301实现。处理器301可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,云安全防护方法的各步骤可以通过处理器301中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器301可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器301可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器302,处理器301读取存储器302中的信息,结合其硬件完成本发明实施例提供的云安全防护方法的步骤。
在示例性实施例中,云安全服务平台可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,存储器302可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图4示出了应用本发明实施例云安全服务平台(CSSP)的***结构示意图。在该应用示例中,CSSP的上层连接多个云平台,比如,华为云、腾讯云、阿里云、浪潮云、AWS等,CSSP的下层连接多种网络设备,如华为交换机、华三交换机、华三SDN控制器等。CSSP中的多云适配管理适配各个云平台,实现VDC、GLANCE、VPC、TENANT、ECS和IAM(Identity and AccessManagement,身份识别与访问管理)等各个特性,归一化不同云平台的特性。其中,GLANCE用于在云平台上为虚拟机的创建提供镜像服务,IAM具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。各云平台归一化后的安全对象元素经调度中心发送至统一安全运维平台。在统一的安全运维平台,用户无需感知上层的云平台的类型和下层物理网络的类型,通过配置统一的安全策略模板,送入统一的调度中心,根据当前管理的云平台和物理网络自动适配成合适的引流策略给调度中心,调度中心基于该引流策略对网络数据进行引流。其中,物理核心引流管理集成多个物理交换机的管理(如华为CE12808S/华三S2850等),屏蔽对下层物理交换机的感知,对上层提供统一的私有云物理引流管理;除了物理核心之外,还有可能存在SDN引流方式,SDN引流管理集成多个SDN控制器(华为SDN/华三SDN等)的管理,屏蔽对下层SDN引流的感知,对上层提供统一的私有云物理引流管理。
当云环境中配置发生变化时候,多云适配管理会定时获取云平台的变化,送入调度中心,经过分析引擎后更新防护对象及引流策略,调度中心基于更新后的防护对象下发引流策略到物理核心引流管理或SDN引流管理中,实现整个网络安全的闭环。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器402,上述计算机程序可由XX设备的处理器401执行,以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种云安全防护方法,其特征在于,包括:
对云安全服务平台管理的云平台提取各平台共用的标准化参数,基于所述标准化参数构建安全对象元素,基于安全对象元素生成所述云安全服务平台的防护对象;所述安全对象元素包括以下至少之一:租户、云服务器、虚拟数据中心及虚拟私有云,所述防护对象包括以下至少之一:租户级防护对象和业务级防护对象;
基于所述云安全服务平台管理的物理交换机和/或软件定义网络SDN控制器,构建统一的网络对象,且所述网络对象是根据网络设备的参数的归一化结果创建的,以屏蔽所述网络设备的特性;
基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象;
基于更新后的防护对象向网络对象下发引流策略。
3.根据权利要求2所述的方法,其特征在于,所述基于获取的所述云安全服务平台管理的云平台的安全对象元素,更新所述防护对象,包括:
获取所述云安全服务平台管理的云平台中配置变化的云平台的安全对象元素;
基于配置变化后的安全对象元素更新租户级防护对象和/或业务级防护对象。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述云安全服务平台管理的网络设备更新统一的网络对象。
5.根据权利要求1所述的方法,其特征在于,所述安全资源池配置防火墙、入侵检测***、堡垒机及网络分析***中的至少一种安全监测装置。
6.一种云安全防护装置,其特征在于,包括:
防护对象管理模块,用于对云安全服务平台管理的云平台提取各平台共用的标准化参数,基于所述标准化参数构建安全对象元素,基于安全对象元素生成所述云安全服务平台的防护对象;所述安全对象元素包括以下至少之一:租户、云服务器、虚拟数据中心及虚拟私有云,所述防护对象包括以下至少之一:租户级防护对象和业务级防护对象;
网络对象管理模块,用于基于所述云安全服务平台管理的物理交换机和/或软件定义网络SDN控制器,构建统一的网络对象,且所述网络对象是根据网络设备的参数的归一化结果创建的,以屏蔽所述网络设备的特性;
安全配置模块,用于基于所述云安全服务平台的防护对象向网络对象下发引流策略,所述引流策略用于将网络流量引流至安全资源池,所述安全资源池配置至少一种安全监测装置,用于根据安全策略对接收到的网络流量进行安全防护。
7.一种云安全服务平台,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至5任一项所述方法的步骤。
8.一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010681189.0A CN111970242B (zh) | 2020-07-15 | 2020-07-15 | 云安全防护方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010681189.0A CN111970242B (zh) | 2020-07-15 | 2020-07-15 | 云安全防护方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111970242A CN111970242A (zh) | 2020-11-20 |
| CN111970242B true CN111970242B (zh) | 2022-09-30 |
Family
ID=73362086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010681189.0A Active CN111970242B (zh) | 2020-07-15 | 2020-07-15 | 云安全防护方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970242B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910705B (zh) * | 2021-02-02 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN113395275B (zh) * | 2021-06-10 | 2022-05-24 | 杭州安恒信息技术股份有限公司 | 一种云平台安全防护功能管控方法、***及存储介质 |
| CN115567229A (zh) * | 2021-06-30 | 2023-01-03 | 上海云盾信息技术有限公司 | 基于云的互联网访问控制方法、装置、介质、设备和*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护***以及流量清洗方法 |
| WO2017148219A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 虚拟专用网业务实现方法、装置及通信*** |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101703088B1 (ko) * | 2015-04-10 | 2017-02-22 | 쿨클라우드(주) | Sdn 기반의 통합 라우팅 방법 및 그 시스템 |
| CN109922021B (zh) * | 2017-12-12 | 2022-03-08 | 中国电信股份有限公司 | 安全防护***以及安全防护方法 |
| CN110875943A (zh) * | 2018-09-03 | 2020-03-10 | 深信服科技股份有限公司 | 安全服务交付方法及相关装置 |
| CN109167795B (zh) * | 2018-09-27 | 2022-03-22 | 深信服科技股份有限公司 | 一种安全防御***及方法 |
| CN109547437B (zh) * | 2018-11-23 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种安全资源池的引流处理方法及装置 |
-
2020
- 2020-07-15 CN CN202010681189.0A patent/CN111970242B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017148219A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 虚拟专用网业务实现方法、装置及通信*** |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护***以及流量清洗方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111970242A (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111970242B (zh) | 云安全防护方法、装置及存储介质 | |
| US10862920B2 (en) | Systems and methods for dynamic network security control and configuration | |
| AU2018204279B2 (en) | Systems and methods for network analysis and reporting | |
| US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
| US10848520B2 (en) | Managing access to resources | |
| US10454934B2 (en) | Activity based access control in heterogeneous environments | |
| US11102215B2 (en) | Graphical user interface privacy, security and anonymization | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| US11134085B2 (en) | Cloud least identity privilege and data access framework | |
| US10911299B2 (en) | Multiuser device staging | |
| US10542047B2 (en) | Security compliance framework usage | |
| WO2023040953A1 (en) | Progressively validating access tokens | |
| US11477187B2 (en) | API key access authorization | |
| US10601959B2 (en) | System and method for managing virtual environments in an infrastructure | |
| US9843605B1 (en) | Security compliance framework deployment | |
| US20200336371A1 (en) | Single user device staging | |
| CA2854540C (en) | Managing cross perimeter access | |
| US11748505B2 (en) | Secure data processing in a third-party cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |