一種云數(shù)據(jù)中心安全系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及安全技術領域，尤指一種云數(shù)據(jù)中心安全系統(tǒng)。
【背景技術】
[0002]云數(shù)據(jù)中心(Cloud Data Center)是為提供云計算服務而建設的數(shù)據(jù)中心。云計算所需要的數(shù)據(jù)中心來源于互聯(lián)網(wǎng)，但又向集成化平臺演進，因此，云計算數(shù)據(jù)中心從基礎設施到計算與應用是連續(xù)和整體的，并相互關聯(lián)和可適應。
[0003]目前，云安全已經(jīng)成為云計算的熱點領域，但是，完整的云數(shù)據(jù)中心的安全架構(gòu)方案比較匱乏，且大部分已經(jīng)應用的安全架構(gòu)方案還是偏重于傳統(tǒng)的數(shù)據(jù)中心安全，采用傳統(tǒng)的邊界安全加固，例如硬件防火墻，網(wǎng)站應用級入侵防御系統(tǒng)(WAF，Web Applicat1nFirewall)、認證服務器，日志服務器等，沒有考慮云安全的特性，也沒有考慮虛擬化層的安全，嚴重阻礙了云計算產(chǎn)業(yè)的發(fā)展。

【發(fā)明內(nèi)容】

[0004]為了解決上述技術問題，本發(fā)明提供了一種云數(shù)據(jù)中心安全系統(tǒng)，能夠?qū)崿F(xiàn)全面地對云數(shù)據(jù)中心進行安全保護。
[0005]為了達到本發(fā)明目的，本發(fā)明提供了一種云數(shù)據(jù)中心安全系統(tǒng)，應用于云數(shù)據(jù)中心的安全防護，包括:傳統(tǒng)安全層，用于通過邊界安全加固方式，進行所述云數(shù)據(jù)中心最外圍的安全防護；虛擬資源安全層，用于通過對虛擬資源隔離，進行所述云數(shù)據(jù)中心中虛擬資源的安全防護；虛擬資源平臺安全層，用于基于虛擬化架構(gòu)的安全工具監(jiān)控虛擬機，進行所述云數(shù)據(jù)中心中虛擬資源平臺的安全防護。
[0006]所述邊界安全加固方式，至少包括下面的一種:入侵檢測系統(tǒng)IDS、防分布式拒絕服務DD0S、認證網(wǎng)關、防火墻Firewall、域名系統(tǒng)DNS、安全操作中心S0C、堡皇機、網(wǎng)站應用級入侵防御系統(tǒng)WAF。
[0007]所述IDS，用于對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施；所述DD0S，用于將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊；所述認證網(wǎng)關，用于對使用所述云數(shù)據(jù)中心的應用進行身份認證；所述Firewal I，用于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全；所述DNS，用于因特網(wǎng)上域名和IP地址的相互映射；所述S0C，用于進行日志審計；所述堡皇機，用于主機安全防護；所述WAF，用于為Web應用提供保護。
[0008]所述對虛擬資源隔離的隔離方式至少包括下面的一種:虛擬防火墻、虛擬局域網(wǎng)VLAN和安全組。
[0009]所述虛擬防火墻，用于所述云數(shù)據(jù)中心南北向邊界的防護；所述VLAN，用于在所述云數(shù)據(jù)中心的交換機上實現(xiàn)二層網(wǎng)絡的隔離；所述安全組，用于所述云數(shù)據(jù)中心東西向邊界的安全防護。
[0010]所述基于虛擬機架構(gòu)的增強安全工具，至少完成以下一種安全保護:虛擬機的入侵檢測、系統(tǒng)日志、蜜罐、完整性檢測和惡意代碼檢測分析。
[0011]所述虛擬機的入侵檢測，用于通過對虛擬機的傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施；所述系統(tǒng)日志，用于對虛擬機操作系統(tǒng)日志進行日志審計；所述蜜罐，用于引誘并處理非法攻擊；所述完整性檢測和惡意代碼檢測分析，用于對虛擬機文件進行完整性檢測和惡意代碼檢測分析。
[0012]通過本發(fā)明，將傳統(tǒng)安全防護方式和虛擬資源的安全防護方式相結(jié)合，形成傳統(tǒng)安全層、虛擬資源安全層和虛擬資源平臺安全層，如果遇到外部攻擊，形成從傳統(tǒng)安全層防護到虛擬化平臺層防護到虛擬資源層防護的安全防護，從而實現(xiàn)了全面地對云數(shù)據(jù)中心進行安全保護。
[0013]本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
【附圖說明】
[0014]附圖用來提供對本發(fā)明技術方案的進一步理解，并且構(gòu)成說明書的一部分，與本申請的實施例一起用于解釋本發(fā)明的技術方案，并不構(gòu)成對本發(fā)明技術方案的限制。
[0015]圖1是本發(fā)明的一種實施例中云數(shù)據(jù)中心安全系統(tǒng)的示意圖。
[0016]圖2是基于圖1的云數(shù)據(jù)中心安全系統(tǒng)的詳細架構(gòu)示意圖。
【具體實施方式】
[0017]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白，下文中將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。
[0018]在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0019]云數(shù)據(jù)中心通常分為服務和管理兩大部分。在服務方面，主要以提供用戶基于云的各種服務為主，共包含3個層次:基礎設施即服務(IaaS)、平臺即服務(PaaS)、軟件即服務(SaaS);在管理方面，主要以云的管理層為主，它的功能是確保整個云計算中心能夠安全、穩(wěn)定地運行，并且能夠被有效管理。
[0020]圖1是本發(fā)明的一種實施例中云數(shù)據(jù)中心安全系統(tǒng)的示意圖。如圖1所示，本發(fā)明的云數(shù)據(jù)中心安全系統(tǒng)應用于云數(shù)據(jù)中心的安全防護，包括傳統(tǒng)安全層、虛擬資源安全層和虛擬資源平臺安全層。
[0021]圖2是基于圖1的云數(shù)據(jù)中心安全系統(tǒng)的詳細架構(gòu)示意圖。如圖2所示，
[0022]傳統(tǒng)安全層是整個云數(shù)據(jù)中心最外圍防護，用于通過核心交換機運用傳統(tǒng)的邊界安全加固方式進行安全防護，安全防護方式包括以下的一種或多種:入侵檢測系統(tǒng)(IDS，Intrus1n Detect1n System)、防分布式拒絕服務(DDOS，Distributed Denial ofService)設備、認證網(wǎng)關、防火墻(Firewall)、域名系統(tǒng)(DNS，Domain Name System)、安全操作中心(SOC，Security Operat1ns Center)、堡皇機(Access Gateway)、網(wǎng)站應用級入侵防御系統(tǒng)(WAF，Web Applicat1n Firewall)，其中，
[0023]IDS，是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施；
[0024]DDOS,是將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，即通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的，從而成倍地提高拒絕服務攻擊的威力；
[0025]認證網(wǎng)關，通過對使用云數(shù)據(jù)中心的應用進行身份認證實現(xiàn)安全登錄；
[0026]FirewalI，是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入；
[0027]DNS，是因特網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串；
[0028]S0C,主要用來進行日志審計；
[0029]堡皇機，用于主機安全防護，所有對于主機的訪問，必須經(jīng)過堡皇機；
[0030]WAF，是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護。
[0031]需要說明的是，具體如何利用IDS、DD0S、認證網(wǎng)關、防火墻、DNS、S0C、堡皇機和WAF進行安全防護為本領域的技術人員所熟知，故在此不贅述。
[0032]虛擬資源安全層用于根據(jù)業(yè)務需要對虛擬資源進行隔離，隔離方式至少包括下面的一種:虛擬防火墻、虛擬局域網(wǎng)(VLAN，Virtual Local Area Network)和安全組，其中，
[0033