CN114143048B - 一种安全资源管理的方法、装置及存储介质 - Google Patents
一种安全资源管理的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114143048B CN114143048B CN202111366486.7A CN202111366486A CN114143048B CN 114143048 B CN114143048 B CN 114143048B CN 202111366486 A CN202111366486 A CN 202111366486A CN 114143048 B CN114143048 B CN 114143048B
- Authority
- CN
- China
- Prior art keywords
- proxy device
- security
- cloud
- resource
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及云计算领域,公开了一种安全资源管理的方法、装置及存储介质,方法应用于多云安全管理平台,多云安全管理平台与至少一个代理装置相连接,包括:向代理装置下发安全管理指令,以使代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态,基于代理装置上传的运行信息,确定安全策略,运行信息是代理装置根据采集的运行状态生成的,并将安全策略发送给代理装置,以使代理装置监控至少一种安全资源对安全策略的执行情况,通过代理装置的设置,实现了对虚拟主机下的各个安全资源的统一管理,避免了多云安全管理平台对安全资源的直接监管,提升了对安全资源的管理效率和安全性,并能快速适配多种安全资源。
Description
技术领域
本申请涉及云计算技术领域,提供了一种安全资源管理的方法、装置及存储介质。
背景技术
随着云计算的普及,企业业务上云成为一个主流的趋势,越来越多的企业和单位开始将业务往云上迁移。目前,应用最为普遍的云包括公有云、私有云和混合云等。
其中,混合云是通过网络连接组合一个或多个公有云和私有云的云环境,允许在不同的云环境之间共享数据和应用程序。混合云和异构云的主要差异是:异构云只涵盖了多个不同厂商的公有云平台,而混合云则在此基础上增加了私有云,某些场景下甚至包含了物理主机。
实际应用中,企业根据业务需求在不同的云环境中合理分配工作业务和负载。针对某些高敏和核心的业务,考虑到这些业务需要更高的安全性保障,企业可以将其在私有云环境中运行。而另外一些对公众提供服务或者非高敏的业务,可以部署在公有云上,以便享受公有云上的存储、计算和所有其他容量特性。
同样的在混合云的应用过程中,混合云上的安全资源也成为了重要的考虑因素,目前尚无有效的解决办法来保障混合云上的安全资源。
发明内容
本申请实施例提供一种安全资源管理的方法、装置及存储介质,在保障安全资源的安全性的基础上,进一步提升了对安全资源的管理效率,并能快速适配多种安全资源。
本公开提供的具体技术方案如下:
第一方面,本申请实施例提供了一种安全资源管理的方法,方法应用于多云安全管理平台,多云安全管理平台与至少一个代理装置相连接,包括:
向代理装置下发安全管理指令,以使代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态;
基于代理装置上传的运行信息,确定安全策略,其中,运行信息是代理装置根据采集的运行状态生成的;
将安全策略发送给代理装置,以使代理装置监控至少一种安全资源对安全策略的执行情况。
可选地,多云安全管理平台通过以下方式与代理装置建立连接:
当监测到代理装置发送的注册信息到达时,开放用户数据报协议UDP端口接收注册信息;
若接收到的注册信息有效,且注册信息携带的代理装置的身份信息合法,则确定需要与代理装置建立连接;
向确定需要建立连接的代理装置发送随机令牌和连接地址;
验证接收到的代理装置发送的附带令牌与随机令牌一致后,与代理装置通过连接地址建立连接,其中,附带令牌是代理装置基于随机令牌生成的。
可选地,通过以下方式确定注册信息携带的代理装置的身份信息是否合法:
解析注册信息,获取注册信息携带的代理装置的身份标识号;
若身份标识号符合预设的身份标识规则,则确定注册信息携带的代理装置的身份信息合法。
可选地,方法还包括:
接收代理装置发送的扫描到的至少一种安全资源;
将至少一种安全资源确定为代理装置的监控对象,并向代理装置发送监控指示。
可选地,代理装置与至少一种安全资源之间通过内部局域网相连,代理装置与多云安全管理平台之间通过网际互联协议IP相连。
第二方面,本申请实施例提供了一种安全资源管理的方法,方法应用于代理装置,代理装置与多云安全管理平台相连接,包括:
接收多云安全管理平台下发的安全管理指令,基于安全管理指令,通过插件的方式采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态;
根据采集的运行状态生成运行信息,将运行信息上传给多云安全管理平台,以使多云安全管理平台基于运行信息确定安全策略,并将安全策略发送给代理装置;
通过安全策略,监控至少一种安全资源对安全策略的执行情况。
可选地,根据采集的运行状态生成运行信息,包括:
采集设置在混合云上的与安全管理指令相关联的虚拟主机的至少一种安全资源的运行状态;
对运行状态进行汇总得到运行信息;和/或
剔除运行状态中的敏感数据后得到运行信息。
第三方面,一种多云安全管理平台,包括:
存储器,用于存储可执行指令;
处理器,用于读取并执行存储器中存储的可执行指令,以实现如第一方面任一项的方法。
第四方面,一种代理装置,包括:
存储器,用于存储可执行指令;
处理器,用于读取并执行存储器中存储的可执行指令,以实现如第二方面任一项的方法。
第五方面,一种计算机可读存储介质,当所述存储介质中的指令由处理器执行时,使得所述处理器能够执行上述第一方面和第二方面任一项所述的方法。
本申请有益效果如下:
综上所述,本公开实施例中,提供的一种安全资源管理的方法、装置及存储介质,方法应用于多云安全管理平台,多云安全管理平台与至少一个代理装置相连接,该方法包括:向代理装置下发安全管理指令,以使代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态,基于代理装置上传的运行信息,确定安全策略,这里的运行信息是代理装置根据采集的运行状态生成的,并将安全策略发送给代理装置,以使代理装置监控至少一种安全资源对安全策略的执行情况,通过代理装置的设置,实现了对虚拟主机下的各个安全资源的统一管理,避免了多云安全管理平台对各个安全资源的直接监管,提升了对各个安全资源的管理效率和安全性,并能快速适配多种安全资源。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例中的多云安全管理平台通过代理装置对安全资源进行管理的***架构示意图;
图2为本申请实施例中多云安全管理平台管理安全资源的流程示意图;
图3为本申请实施例中多云安全管理平台与代理装置建立连接的流程示意图;
图4为本申请实施例中代理装置执行安全资源管理的流程示意图;
图5为本申请实施例中代理装置根据采集的运行状态生成运行信息的流程示意图;
图6为本公开实施例中多云安全管理平台的实体架构示意图;
图7为本公开实施例中代理装置的实体架构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够使用除了在这里图示或描述的那些以外的顺序实施。
下面结合附图对本申请优选的实施方式进行详细说明。
参阅图1所示,本公开实施例中,***中包含了至少一个多云安全管理平台、代理装置和与代理装置相连接的至少一个安全资源,在图1中,多云安全管理平台通过互联网与设置在多个虚拟主机上的各个安全资源相连接,从图1中可见,虚拟主机所在的混合云包括共有云A和私有云B,以代理装置11…代理装置1N来示例性表示运行在公有云A上的安全资源,并且,代理装置11连接的虚拟主机(VPC1)下连接有四个安全资源,分别是安全资源1、安全资源2、安全资源3和安全资源4,代理装置1N连接的虚拟主机(VPCN)下也连接有四个安全资源,分别是安全资源1、安全资源2、安全资源3和安全资源4;以代理装置21…代理装置2N来示例性表示运行在私有云B上的安全资源,并且,代理装置21连接的虚拟主机(VPC1)下连接有四个安全资源,分别是安全资源1、安全资源2、安全资源3和安全资源4,代理装置2N连接的虚拟主机(VPCN)下连接有四个安全资源,分别是安全资源1、安全资源2、安全资源3和安全资源4。
实施过程中,代理装置11、代理装置1N、代理装置21和/或代理装置2N与多云安全管理平台之间能够进行数据交互,具体的,多云安全管理平台向上述各个代理装置下发安全管理指令,代理装置采集运行状态并生成运行信息上传给多云安全管理平台,以使多云安全管理平台能够进一步将安全策略发送给代理装置,这样,代理装置能够监控与其相连的安全资源对安全策略的执行情况。
本公开实施例中,安全资源管理的方法的实现,主要分为多云安全管理平台侧和代理装置侧两种,下面先介绍由多云安全管理平台执行安全资源管理的方法的情况。参阅图2所示,本公开实施例中,方法应用于多云安全管理平台,多云安全管理平台与至少一个代理装置相连接,多云安全管理平台执行安全资源管理的具体流程如下:
步骤201:向代理装置下发安全管理指令,以使代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态。
首先要进行说明的是,现有技术中,各个安全资源都是直接通过互联网与多云安全管理平台相连接的,这样,每个安全资源在使用过程中的运行状态等都有可能通过互联网暴露,导致各个安全资源的安全性无法保证。
而本公开实施例中,代理装置与至少一种安全资源之间通过内部局域网相连,各个安全资源的运行状态都由代理装置进行分析汇总等生成运行信息,代理装置与多云安全管理平台之间通过网际互联协议(Internet Protocol,IP)相连,由代理装置统一将运行信息发送给多云安全管理平台,从而减小了运行信息由互联网暴露的几率,进一步保证了各个安全资源的安全性。
另外,为了使代理装置更便捷地与多云安全管理平台建立连接,可将代理装置插件化,即多云安全管理平台统一将与各个代理装置之间的连接接口设置成插件的形式,这样,当有更多的代理装置要连接到多云安全管理平台时,通过插件的形式能够实现快速连接。
下面详细介绍一下多云安全管理平台与代理装置建立连接的过程,参阅图3所示,建立连接的步骤具体包括:
步骤2000:当监测到代理装置发送的注册信息到达时,开放用户数据报协议(UserDatagram Protocol,UDP)端口接收注册信息。
实施过程中,多云安全管理平台先通过下列方式判断是否需要与代理装置建立连接。与现有技术中多云安全管理平台通过始终处于开发状态的端口接收注册信息的方式不同,本申请实施例中,多云安全管理平台只有在监测到代理装置发送的注册信息到达时,才会开放UDP端口,并通过该开放的UDP端口接收注册信息。
显然,与一直开放端口接收注册信息的方式相比,本申请实施例中所采取的方式能够避免端口被其他信息所攻击,进而提升了端口的安全性。
步骤2001:若接收到的注册信息有效,且注册信息携带的代理装置的身份信息合法,则确定需要与代理装置建立连接。
在接收到上述注册信息后,多云安全管理平台会先判断该接收到的注册信息是否有效,具体判断依据是核实该注册信息的格式是否与注册信息的预设格式一致,若一致则判定该注册信息有效;若不一致则判定该注册信息无效。
在确定上述注册信息有效的前提下,进一步判断注册信息携带的代理装置的身份信息是否合法,具体判断依据可以是判定身份信息对应的身份标识(Identity Document,ID)是不是伪造的。具体的,通过以下方式确定注册信息携带的代理装置的身份信息是否合法:
方式(1):解析注册信息,获取注册信息携带的代理装置的身份标识号。
实施过程中,多云安全管理平台解析接收到的注册信息,进而获取注册信息携带的代理装置的身份标识号,即获取身份信息对应的ID等等。
方式(2):若身份标识号符合预设的身份标识规则,则确定注册信息携带的代理装置的身份信息合法。
这里的身份标识规则可以预设为:身份标识的具体号码位数为固定位、身份标识的具体号码不能完全重复等等,实施过程中,只有身份标识号都符合预设的身份标识规则后,才能确定注册信息携带的代理装置的身份信息合法,在此基础上,确定该代理装置需要与多云安全管理平台建立连接。
如果身份标识号有一项不符合预设的身份标识规则,则确定注册信息携带的代理装置的身份信息不合法,在实施过程中,将身份信息不合法的代理装置确定为不需要与多云安全管理平台建立连接的代理装置,即不建立不合法的身份信息对应的代理装置与多云安全管理平台之间的连接。
当进一步确认代理装置的身份信息合法后,则将该代理装置确定为需要与代理装置建立连接的代理装置。
步骤2002:向确定需要建立连接的代理装置发送随机令牌和连接地址。
实施过程中,在确定需要与代理装置建立连接后,多云安全管理平台向代理装置发送随机令牌和连接地址。这里的随机令牌为代理装置与多云安全管理平台进行连接的凭证,这里的连接地址为多云安全管理平台允许代理装置进行连接的端口号等。
步骤2003:验证接收到的代理装置发送的附带令牌与随机令牌一致后,与代理装置通过连接地址建立连接,其中,附带令牌是代理装置基于随机令牌生成的。
为了保证安全性,在与代理装置建立连接之前,多云安全管理平台会验证待连接的代理装置发送的附带令牌与之前向该待连接的代理装置发送的随机令牌是否一致,这里的附带令牌是代理装置基于随机令牌生成的,例如,为了进一步加强安全性,代理装置对随机令牌进行加密后生成附带令牌等。
实施过程中,如果多云安全管理平台比对接收到的附带令牌与之前发送的随机令牌一致后,则与代理装置通过连接地址建立连接;如果多云安全管理平台比对接收到的附带令牌与之前发送的随机令牌不一致,则不与代理装置建立连接。
考虑到受多云安全管理平台管理的混合云中,存在多个私有云和多个公有云,而每一个私有云和每一个公有云上都可以设置若干种安全资源,相应的,每一个私有云和每一个公有云上都可以设置多个代理装置,通常是一个私有云或一个公有云上都设置有一个虚拟主机,每一个虚拟主机需要配置一个代理装置。为了使每一个代理装置都能匹配到相应的安全资源,该方法还包括:
1)多云安全管理平台接收代理装置发送的扫描到的至少一种安全资源。
实施过程中,待代理装置对虚拟主机进行扫描后,获取虚拟主机上设置的至少一种安全资源,例如,防火墙、杀毒程序等,并将通过扫描获取到的安全资源发送给多云安全管理平台。
实施过程中,多云安全管理平台接收各个代理装置发送的至少一种安全资源。通常,多云安全管理平台会将代理装置与其对应扫描到的安全资源进行标记,这样来区分各个代理装置以及各个安全资源具体是通过哪个代理装置扫描得到的。
2)多云安全管理平台将至少一种安全资源确定为代理装置的监控对象,并向代理装置发送监控指示。
实施过程中,多云安全管理平台将至少一种安全资源确定为代理装置的监控对象,即由多云安全管理平台将所接收到的各个安全资源进行划分,划分的原则为:代理装置将其扫描到的安全资源作为监控对象。当然,在某些应用场景中,代理装置与各个安全资源的对应关系也可进行灵活设定。
在确定了代理装置对应的监控对象即各个安全资源后,多云安全管理平台向代理装置发送监控指示,省去了逐一向各个安全资源发送监控指示的过程,由代理装置在监控指示下统一管理各个安全资源。
步骤202:基于代理装置上传的运行信息,确定安全策略,其中,运行信息是代理装置根据采集的运行状态生成的。
实施过程中,代理装置在接收到多云安全管理平台下发的安全管理指令后,采集各个安全资源的运行状态,来获知各个安全资源的运行情况。
进一步的,待代理装置根据运行状态生成运行信息,并上传给多云安全管理平台,由多云安全管理平台根据运行信息来确定安全策略,即多云安全管理平台根据代理装置管辖的各个安全资源的现有的运行状态来确定安全策略。
步骤203:将安全策略发送给代理装置,以使代理装置监控至少一种安全资源对安全策略的执行情况。
由于每一个虚拟主机中都设置有代理装置,因此,多云安全管理平台直接将安全策略发送给代理装置,再由代理装置将该安全策略逐一发送给与之建立连接的各个安全资源。至少一种安全资源执行该安全策略,其执行情况由代理装置来进行监控。
由于,代理装置与其所管理的安全资源是通过虚拟局域网进行连接的,从而减小了上述安全策略通过互联网传输造成的暴露隐患。
在介绍完由多云安全管理平台执行安全资源管理的方法的情况后,下面再介绍由代理装置执行安全资源管理的方法的情况。参阅图4所示,本公开实施例中,代理装置与多云安全管理平台相连接,代理装置执行安全资源管理的具体流程如下:
步骤301:接收多云安全管理平台下发的安全管理指令,基于安全管理指令,通过插件的方式采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态。
实施过程中,每一个代理装置下都设置有至少一种安全资源,代理装置通过虚拟局域网统一管理上述至少一种安全资源。具体的,代理装置接收多云安全管理平台下发的安全管理指令,在该安全管理指令的指示下,代理装置至少一种安全资源的运行状态。
需要进行说明的是,代理装置通过虚拟局域网采集到各个安全资源的运行状态的方式,省去了各个安全资源逐一向多云安全管理平台汇报运行状态的过程。
为了明确代理装置所监管的安全资源都有哪些,上述方法还包括:
[1]对虚拟主机进行扫描,获取虚拟主机上设置的至少一种安全资源。
实施过程中,在一个虚拟主机中匹配设置有一个代理装置,代理装置对虚拟主机进行整体扫描,获取虚拟主机上设置的至少一种安全资源,例如,防火墙等。
[2]将扫描到的至少一种安全资源发送给多云安全管理平台。
在代理装置获取到虚拟主机上设置的安全资源后,代理装置将扫描到的安全资源发送给多云安全管理平台。具体的,代理装置可对安全资源进一步进行整理,例如,将各个安全资源的属性(例如,名称、大小、使用时间等)进行汇总后发送给多云安全管理平台。
[3]基于接收到的监控指示,将至少一种安全资源确定为执行安全策略的对象。
待多云安全管理平台将安全资源确定为监控对象,并向代理装置发送监控指示后,代理装置基于接收到的监控指示,建立与该安全资源的连接,即将该安全资源确定为执行安全策略的对象。
当有多个安全资源都被确定为该代理装置执行安全策略的对象时,代理装置基于接收到的监控指示,逐一将每一种安全资源都确定为执行安全策略的对象,直到与该代理装置相关联的所有安全资源都被代理装置确定为执行安全策略的对象为止。
步骤302:根据采集的运行状态生成运行信息,将运行信息上传给多云安全管理平台,以使多云安全管理平台基于运行信息确定安全策略,并将安全策略发送给代理装置。
各个安全资源在实时运行的过程中会产生不同的运行状态,实施过程中,代理装置采集上述运行状态,并进一步生成运行信息后上报给多云安全管理平台,由多云安全管理平台基于上述运行信息来指导各个安全资源的下一步运行情况。
具体的,上述根据采集的运行状态生成运行信息,参阅图5所示,包括:
步骤3021:采集设置在混合云上的与安全管理指令相关联的虚拟主机的至少一种安全资源的运行状态。
由于,虚拟主机上的每种安全资源在运行过程中实时对应有运行状态,在采集过程中,可为多种安全资源设置同一个固定的采集间隔,或者,为每一种安全资源设置不同的采集间隔,在此基础上采集与安全管理指令相关联的虚拟主机的至少一种安全资源的运行状态。
这里与安全管理指令相关联的虚拟主机为多云安全管理平台想要监控的目标虚拟主机,例如,当虚拟主机有N个时,相应的代理装置也有N个,与多云安全管理平台本次下发的安全管理指令相关联的虚拟主机即为N个代理装置中的一个或者多个。
步骤3022:对运行状态进行汇总得到运行信息;和/或剔除运行状态中的敏感数据后得到运行信息。
为了减小对传输带宽的占用,代理装置在采集到各个安全资源的运行状态后,可进一步对运行状态进行汇总得到运行信息,这样能够将汇总后的运行信息发送到多云安全管理平台,从而减小了逐一发送运行信息对传输带宽造成的影响。
在某些实施例中,安全资源的运行状态中携带有敏感数据,在这种情况下,代理装置可以在剔除运行状态中的敏感数据后得到运行信息,从而减小了敏感数据在传送给多云安全管理平台的过程中暴露的风险。
步骤303:通过安全策略,监控至少一种安全资源对安全策略的执行情况。
实施过程中,代理装置在接收到多云安全管理平台发出的安全策略后,进一步将上述安全策略转发给各个安全资源。代理装置还会监控每一种安全资源对该安全策略的执行情况,例如,执行速度、执行结果等等。
基于同一发明构思,参阅图6所示,本公开实施例提供一种多云安全管理平台,包括:存储器602,用于存储可执行指令;处理器601,用于读取并执行存储器中存储的可执行指令,并执行上述第一方面的任意一种方法。
基于同一发明构思,参阅图7所示,本公开实施例提供一种代理装置,包括:存储器702,用于存储可执行指令;处理器701,用于读取并执行存储器中存储的可执行指令,并执行上述第二方面的任意一种方法。
基于同一发明构思,本申请实施例提供一种计算机可读存储介质,当所述存储介质中的指令由处理器执行时,使得所述处理器能够执行上述第一方面和第二方面任一项所述的方法。
综上所述,本公开实施例中,提供的一种安全资源管理的方法、装置及存储介质,方法应用于多云安全管理平台,多云安全管理平台与至少一个代理装置相连接,该方法包括:向代理装置下发安全管理指令,以使代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态,基于代理装置上传的运行信息,确定安全策略,这里的运行信息是代理装置根据采集的运行状态生成的,并将安全策略发送给代理装置,以使代理装置监控至少一种安全资源对安全策略的执行情况,通过代理装置的设置,实现了对虚拟主机下的各个安全资源的统一管理,避免了多云安全管理平台对各个安全资源的直接监管,提升了对各个安全资源的管理效率和安全性,并能快速适配多种安全资源。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品***。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品***的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品***的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种安全资源管理的方法,其特征在于,所述方法应用于多云安全管理平台,所述多云安全管理平台与至少一个代理装置相连接,包括:
向所述代理装置下发安全管理指令,以使所述代理装置通过插件的方式,采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态;
基于所述代理装置上传的运行信息,确定安全策略,其中,所述运行信息是所述代理装置根据采集的所述运行状态生成的;
将所述安全策略发送给所述代理装置,以使所述代理装置监控所述至少一种安全资源对所述安全策略的执行情况。
2.如权利要求1所述的方法,其特征在于,所述多云安全管理平台通过以下方式与所述代理装置建立连接:
当监测到所述代理装置发送的注册信息到达时,开放用户数据报协议UDP端口接收所述注册信息;
若接收到的所述注册信息有效,且所述注册信息携带的所述代理装置的身份信息合法,则确定需要与所述代理装置建立连接;
向确定需要建立连接的代理装置发送随机令牌和连接地址;
验证接收到的所述代理装置发送的附带令牌与所述随机令牌一致后,与所述代理装置通过所述连接地址建立连接,其中,所述附带令牌是所述代理装置基于所述随机令牌生成的。
3.如权利要求2所述的方法,其特征在于,通过以下方式确定所述注册信息携带的所述代理装置的身份信息是否合法:
解析所述注册信息,获取所述注册信息携带的所述代理装置的身份标识号;
若所述身份标识号符合预设的身份标识规则,则确定所述注册信息携带的所述代理装置的身份信息合法。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述代理装置发送的扫描到的所述至少一种安全资源;
将所述至少一种安全资源确定为所述代理装置的监控对象,并向所述代理装置发送监控指示。
5.如权利要求1~4任一所述的方法,其特征在于,所述代理装置与所述至少一种安全资源之间通过内部局域网相连,所述代理装置与所述多云安全管理平台之间通过网际互联协议IP相连。
6.一种安全资源管理的方法,其特征在于,所述方法应用于代理装置,所述代理装置与多云安全管理平台相连接,包括:
接收所述多云安全管理平台下发的安全管理指令,基于所述安全管理指令,通过插件的方式采集设置在混合云上的虚拟主机的至少一种安全资源的运行状态;
根据采集的所述运行状态生成运行信息,将所述运行信息上传给所述多云安全管理平台,以使所述多云安全管理平台基于所述运行信息确定安全策略,并将所述安全策略发送给所述代理装置;
通过所述安全策略,监控所述至少一种安全资源对所述安全策略的执行情况。
7.如权利要求6所述的方法,其特征在于,所述根据采集的所述运行状态生成运行信息,包括:
采集设置在混合云上的与所述安全管理指令相关联的虚拟主机的至少一种安全资源的运行状态;
对所述运行状态进行汇总得到所述运行信息;和/或
剔除所述运行状态中的敏感数据后得到所述运行信息。
8.一种多云安全管理平台,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于读取并执行所述存储器中存储的可执行指令,以实现如权利要求1-5任一项所述的方法。
9.一种代理装置,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于读取并执行所述存储器中存储的可执行指令,以实现如权利要求6-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,当所述存储介质中的指令由处理器执行时,使得所述处理器能够执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111366486.7A CN114143048B (zh) | 2021-11-18 | 2021-11-18 | 一种安全资源管理的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111366486.7A CN114143048B (zh) | 2021-11-18 | 2021-11-18 | 一种安全资源管理的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143048A CN114143048A (zh) | 2022-03-04 |
| CN114143048B true CN114143048B (zh) | 2023-09-26 |
Family
ID=80390206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111366486.7A Active CN114143048B (zh) | 2021-11-18 | 2021-11-18 | 一种安全资源管理的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143048B (zh) |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113596A (zh) * | 2014-07-15 | 2014-10-22 | 华侨大学 | 一种私有云的云监控***及方法 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN106412094A (zh) * | 2016-11-02 | 2017-02-15 | 深圳前海生生科技有限公司 | 一种以公有云方式组织管理分散资源的方法 |
| CN106992964A (zh) * | 2017-02-20 | 2017-07-28 | 广东省中医院 | 一种适用于混合云的微服务安全代理*** |
| CN108429755A (zh) * | 2018-03-21 | 2018-08-21 | 深圳天源迪科信息技术股份有限公司 | 网络安全基础信息动态管理平台及方法 |
| CN109327335A (zh) * | 2018-10-07 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 一种云监控解决***及方法 |
| WO2019100605A1 (zh) * | 2017-11-21 | 2019-05-31 | 平安科技(深圳)有限公司 | 平台即服务paas容器平台的构建方法、服务器、***及存储介质 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及*** |
| CN110505187A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 混合云中安全规则管理方法、***、服务器及存储介质 |
| CN110557433A (zh) * | 2019-07-26 | 2019-12-10 | 华云超融合科技有限公司 | 资源的管理方法、平台、云网关、***及存储介质 |
| CN111464646A (zh) * | 2020-04-01 | 2020-07-28 | 中国工商银行股份有限公司 | 信息处理方法、装置、电子设备和介质 |
| CN111563018A (zh) * | 2020-04-28 | 2020-08-21 | 北京航空航天大学 | 一种人机物融合云计算平台的资源管理和监控方法 |
| CN112235133A (zh) * | 2020-09-28 | 2021-01-15 | 建信金融科技有限责任公司 | 通用云管平台的设计方法和通用云管平台 |
| CN112383502A (zh) * | 2020-09-11 | 2021-02-19 | 深圳市证通电子股份有限公司 | 物理机和虚拟机统一监控的方法、***和电子装置 |
| CN112511560A (zh) * | 2020-12-21 | 2021-03-16 | 北京云思畅想科技有限公司 | 一种基于服务网格的混合云环境下数据安全保障方法 |
| CN112640382A (zh) * | 2018-08-20 | 2021-04-09 | 思科技术公司 | 多云结构中的弹性策略缩放 |
| CN113055410A (zh) * | 2019-12-26 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 云资源管理方法、装置、设备、***及可读存储介质 |
| CN113452592A (zh) * | 2021-06-09 | 2021-09-28 | 北京奥星贝斯科技有限公司 | 混合云架构下的跨云数据访问方法及装置 |
| CN113516507A (zh) * | 2021-06-16 | 2021-10-19 | 国云科技股份有限公司 | 一种多云管理平台资源计费方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10505982B2 (en) * | 2015-10-23 | 2019-12-10 | Oracle International Corporation | Managing security agents in a distributed environment |
-
2021
- 2021-11-18 CN CN202111366486.7A patent/CN114143048B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113596A (zh) * | 2014-07-15 | 2014-10-22 | 华侨大学 | 一种私有云的云监控***及方法 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN106412094A (zh) * | 2016-11-02 | 2017-02-15 | 深圳前海生生科技有限公司 | 一种以公有云方式组织管理分散资源的方法 |
| CN106992964A (zh) * | 2017-02-20 | 2017-07-28 | 广东省中医院 | 一种适用于混合云的微服务安全代理*** |
| WO2019100605A1 (zh) * | 2017-11-21 | 2019-05-31 | 平安科技(深圳)有限公司 | 平台即服务paas容器平台的构建方法、服务器、***及存储介质 |
| CN108429755A (zh) * | 2018-03-21 | 2018-08-21 | 深圳天源迪科信息技术股份有限公司 | 网络安全基础信息动态管理平台及方法 |
| CN110505187A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 混合云中安全规则管理方法、***、服务器及存储介质 |
| CN112640382A (zh) * | 2018-08-20 | 2021-04-09 | 思科技术公司 | 多云结构中的弹性策略缩放 |
| CN109327335A (zh) * | 2018-10-07 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 一种云监控解决***及方法 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及*** |
| CN110557433A (zh) * | 2019-07-26 | 2019-12-10 | 华云超融合科技有限公司 | 资源的管理方法、平台、云网关、***及存储介质 |
| CN113055410A (zh) * | 2019-12-26 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 云资源管理方法、装置、设备、***及可读存储介质 |
| CN111464646A (zh) * | 2020-04-01 | 2020-07-28 | 中国工商银行股份有限公司 | 信息处理方法、装置、电子设备和介质 |
| CN111563018A (zh) * | 2020-04-28 | 2020-08-21 | 北京航空航天大学 | 一种人机物融合云计算平台的资源管理和监控方法 |
| CN112383502A (zh) * | 2020-09-11 | 2021-02-19 | 深圳市证通电子股份有限公司 | 物理机和虚拟机统一监控的方法、***和电子装置 |
| CN112235133A (zh) * | 2020-09-28 | 2021-01-15 | 建信金融科技有限责任公司 | 通用云管平台的设计方法和通用云管平台 |
| CN112511560A (zh) * | 2020-12-21 | 2021-03-16 | 北京云思畅想科技有限公司 | 一种基于服务网格的混合云环境下数据安全保障方法 |
| CN113452592A (zh) * | 2021-06-09 | 2021-09-28 | 北京奥星贝斯科技有限公司 | 混合云架构下的跨云数据访问方法及装置 |
| CN113516507A (zh) * | 2021-06-16 | 2021-10-19 | 国云科技股份有限公司 | 一种多云管理平台资源计费方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143048A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9076013B1 (en) | Managing requests for security services | |
| JP6046276B2 (ja) | ネットワークでのアプリケーションアウェアネスの方法及び装置 | |
| CA2946424C (en) | Method and apparatus for a scoring service for security threat management | |
| US11252196B2 (en) | Method for managing data traffic within a network | |
| Kelbert et al. | Data usage control enforcement in distributed systems | |
| WO2014094151A1 (en) | System and method for monitoring data in a client environment | |
| CN114268508B (zh) | 物联网设备安全接入方法、装置、设备及介质 | |
| US9882965B2 (en) | Techniques for network process identity enablement | |
| CN111131310A (zh) | 访问控制方法、装置、***、计算机设备和存储介质 | |
| CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
| CN112087427B (zh) | 通信验证方法、电子设备及存储介质 | |
| CN111866993B (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
| US20190007306A1 (en) | Device and method for controlling route of traffic flow | |
| CN114143048B (zh) | 一种安全资源管理的方法、装置及存储介质 | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| CN105099930B (zh) | 加密数据流流量控制方法及装置 | |
| CN111212077A (zh) | 主机访问***及方法 | |
| Mannhart | Mitigation as a Service in a Cooperative Network Defense | |
| RU2008109223A (ru) | Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении | |
| CN113507450B (zh) | 一种基于参数特征向量的内外网数据过滤方法及装置 | |
| US20240028376A1 (en) | Log forwarding for an agent platform appliance and software-defined data centers that are managed through the agent platform appliance | |
| US20240007462A1 (en) | Connecting a software-defined data center to cloud services through an agent platform appliance | |
| US11855890B2 (en) | Systems and methods for secure network management of virtual network function | |
| CN114598500A (zh) | 一种安全服务提供方法、平台、电子设备、介质及程序 | |
| CN117376011A (zh) | 一种安全防护***、安全防护方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |