[发明专利]安全防护系统以及安全防护方法

说明书

本公开涉及一种安全防护系统以及安全防护方法，涉及网络安全技术领域。本公开的系统包括：云安全服务平台，安全资源池；云安全服务平台用于向网络内的装置下发对应的流量导流策略，流量导流策略用于将各台虚拟机的流量导流至安全资源池，其中，装置包括：虚拟机、路由器和交换机中的至少一种，流量包括虚拟机之间交互的东西向流量；安全资源池中配置至少一种安全监测装置或审计装置，用于根据安全策略对接收到的流量进行安全检测或审计。本公开的方案同样适用于南北向流量，实现了流量可视化，重塑虚拟机之间的安全边界，可以对全网流量进行安全防护，提高网络安全性。

技术领域

本公开涉及网络安全技术领域，特别涉及一种安全防护系统以及安全防护方法。

背景技术

随着云计算技术的不断发展，云平台的安全问题也变得越来越重要。

目前，一些云安全防护方案例如防火墙，DDoS(Distributed Denial of Service，分布式拒绝服务)防护方案等等，主要都用于边界的安全防护。它们主要聚焦在内外网之间边界上通过的流量，这些流量一般叫做南北向流量。这一层面的安全防护是十分必要的。

发明内容

发明人发现：云计算环境下虚拟化技术的使用，带来从竖井式系统变为横向融合的虚拟化环境后，物理边界消失，物理安全设备在处理东西向边界安全时的效用不断下降。应用网络虚拟化技术后，导致占数据中心70％以上的东西向流量无须经过网关转发，由二层转发即可完成三层路由的功能，导致传统的物理安全审计/检测设备在获取流量时出现了盲区。也就是上述用于南北向流量防护的方案，对于虚拟机之间的东西向流量无法进行监控，虚机之间缺乏威胁隔离机制，网络威胁一旦进入云平台内部，难以发现，可以肆意蔓延。

本公开所要解决的一个技术问题是：如何对虚拟机之间的东西向流量进行安全防护，提高网络安全性。

根据本公开的一些实施例，提供的一种安全防护系统，包括：云安全服务平台，安全资源池；云安全服务平台用于向网络内的装置下发对应的流量导流策略，流量导流策略用于将各台虚拟机的流量导流至安全资源池，其中，装置包括：虚拟机、路由器和交换机中的至少一种，流量包括虚拟机之间交互的东西向流量；安全资源池中配置至少一种安全监测装置或审计装置，用于根据安全策略对接收到的流量进行安全检测或审计。

在一些实施例中，该安全防护系统还包括：安全虚拟机，用于获取同一宿主机内其他虚拟机的流量，根据安全策略提取需要检测或审计的流量，并将提取的流量导流至安全资源池。

在一些实施例中，安全虚拟机用于将提取的流量发送至核心交换机，以便核心交换机将该流量发送至安全资源池。

在一些实施例中，安全虚拟机还用于对同一宿主机内其他虚拟机的流量的安全态势信息进行收集，将收集的安全态势信息发送至云安全服务平台；云安全服务平台还用于对安全态势信息进行归并和分析，并提供可视化安全态势展现。

在一些实施例中，该安全防护系统还包括：软件定义网络SDN控制器，用于接收云安全服务平台下发的流量导流策略，根据流量导流策略确定流量的安全路径，向安全路径上的装置下发对应的策略路由，以便安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。

在一些实施例中，安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。

在一些实施例中，该安全防护系统还包括：核心交换机，用于接收安全虚拟机发送的出境流量，将出境流量发送至安全检测资源池中的出境分发虚拟路由器，接收安全检测资源池中的入境分发虚拟路由器返回的检测后的出境流量，将检测后的出境流量发送至对应的目的地址，或者，接收入境流量，将入境流量发送至安全检测资源池中的入境分发虚拟路由器，接收安全检测资源池中的出境分发虚拟路由器返回的检测后的入境流量，将检测后的入境流量发送至对应的安全虚拟机。