[发明专利]异构云平台安全策略统一管理方法、装置和系统

说明书

本发明公开一种异构云平台安全策略统一管理方法、装置和系统。该方法包括：接收用户输入的抽象安全访问策略；将所述抽象安全访问策略转换为底层云平台的具体安全访问策略；将所述具体安全访问策略下发给相应的底层云平台。本发明基于对安全策略规则的抽象，采用适配器技术对异构云平台的安全策略进行统一，使得用户层面设置的安全策略规则，能够自动适配到各云平台，从而实现异构云平台安全策略的统一管理及配置，具有良好的实用性。

技术领域

本发明涉及云计算领域，特别涉及一种异构云平台安全策略统一管理方法、装置和系统。

背景技术

随着云计算技术的应用推广，越来越多的企业选择通过公有云、私有云或者混合云的方式实现核心业务上云。云主机的安全问题日益凸显，成为现阶段IaaS(Infrastructure as a Service，即基础设施即服务)云平台的关键问题。以OpenStack、VMware vCenter为代表的主流IaaS云管理平台大都实现了基于虚拟机级别安全访问策略。

鉴于云平台底层虚拟化技术的差异性，云管理平台对于虚拟机安全策略的实现方式也各不相同。例如采用KVM作为虚拟化软件的OpenStack云管理平台选择基于Linuxiptables实现虚拟机的安全，而采用vSphere作为虚拟化软件的VMware vCenter则基于vSwitch的安全组策略(Port group)实现云安全。除了安全策略实现方式不同外，不同云平台对安全策略的定义也不同，包括策略格式和策略内容不同，导致云管理平台无法对不同云平台的安全策略进行统一的管理。随着异构云平台共存和资源交互场景的频繁发生，迫切需要一种统一的办法来保持异构云平台的安全策略的一致性。

发明内容

鉴于以上技术问题，本发明提供了一种异构云平台安全策略统一管理方法和系统、异构云管理平台以及安全策略适配器，利用抽象安全规则和适配器技术，实现异构云平台的安全规则统一管理和配置。

根据本发明的一个方面，提供一种异构云平台安全策略统一管理方法，包括：

接收用户输入的抽象安全访问策略；

将所述抽象安全访问策略转换为底层云平台的具体安全访问策略；

将所述具体安全访问策略下发给相应的底层云平台。

在本发明的一个实施例中，所述方法还包括：

根据不同虚拟化环境下典型的防火墙规则定义，抽象具有普适性的云平台安全策略模型和规则；

将具有普适性的云平台安全策略模型和规则呈现给用户，以便接收用户输入的抽象安全访问策略。

在本发明的一个实施例中，所述将所述抽象安全访问策略转换为底层云平台的具体安全访问策略包括：

针对虚拟机跨异构云平台部署的情况，将述抽象安全访问策略转换为适合不同类型底层云平台的具体安全访问策略。

根据本发明的另一方面，提供一种异构云管理平台，包括安全策略管理模块、安全策略适配模块和安全策略下发模块，其中：

安全策略管理模块，用于接收用户输入的抽象安全访问策略；

安全策略适配模块，用于将所述抽象安全访问策略转换为底层云平台的具体安全访问策略；

安全策略下发模块，用于将所述具体安全访问策略下发给相应的底层云平台。

在本发明的一个实施例中，安全策略管理模块包括安全策略管理单元、用户交互单元和安全策略发送单元，其中：

安全策略管理单元，用于根据不同虚拟化环境下典型的防火墙规则定义，抽象具有普适性的云平台安全策略模型和规则；