[发明专利]一种云平台租户网络隔离测试方法

说明书

本方法公开了一种云平台租户网络隔离测试方法，属于计算机云安全测试技术领域。建立预期的云平台租户网络隔离矩阵；获取租户控制节点和所有计算节点上所有租户网络的基本信息。获取网络节点上所有租户网络的网络三层及以上隔离信息。获取网络节点和计算节点上的租户子网二层隔离信息。获取计算节点上的租户和租户子网的网络接入信息，生成实际的云平台租户网络隔离矩阵Ma。将生成的实际云平台租户网络隔离矩阵Ma和预期矩阵Me进行比较。通过从云平台网络底层获取运行环境中租户网络隔离情况，实时检测出当前云平台网络隔离是否发生异常，并为云审计员提供可视化网络隔离报告，为云租户网络服务可能发生的安全问题提供追责途径。

技术领域

本方法涉及云安全测试方面，尤其涉及一种基于云平台的租户网络隔离测试方法，属于计算机技术领域。

背景技术

随着云计算技术的不断成熟，越来越多的企业和个人选择将系统部署到云平台上，但是，云平台对于云租户来说，就是相当于“黑盒”。云提供商并不能回答云租户关于安全问题的咨询，也不能给租户提供云平台多租户网络的隔离报告。租户不能完全了解云平台环境，不能及时发现租户网络内的数据是否安全，使得租户不能完全信任云平台环境。

现有云平台管理软件主要包括Openstack、CloudStack、Eucalyptus等，都包含计算、存储、网络等基本管理组件。其中，Openstack目前支持的技术更多，受众更广，最为流行。一方面，云平台的内部虚拟机网络实际上是一个大型局域网，故也采用了局域网网络隔离技术如VLAN、GRE、VXLAN等。VXLAN和GRE在VLAN的基础上进行了改进，采用隧道转发模式转发虚拟机网络流量。另一方面，云平台管理软件采用了多层次的网络虚拟化技术为租户提供网络服务，包括使用虚拟网桥将虚拟机接入网络，使用虚拟交换机传递虚拟机之间的流量，使用虚拟路由器和防火墙隔离网络设备和服务。

目前业界对云平台上的租户网络隔离技术及测试展开了许多研究。严立宇等提出将原本集中在Openstack网络节点的虚拟路由器/防火墙分布到各个计算节点对租户虚拟机进行隔离，但如果虚拟路由器/防火墙策略发生变化，容易出现不同节点上的相同租户的虚拟机隔离状态不一致的问题；Openstack提出的计量组件Ceilometer通过采集云平台网络数据进行流量分析，能够根据一些已知流量规则发现异常流量，但无法迅速定位异常所处的问题；Yang Xu面向基于边界的SDN背景提出了一种通过对控制节点和宿主机终端各层网络状态的一致性检验方法，但并没有全面覆盖云平台中的所有网络设备，导致无法全面测试隔离是否被破坏，如未考虑租户网络接入设备的状态测试等。

上述方案在一定程度上对租户网络隔离及测试问题进行了研究，但仍然存在无法有效定位隔离失效点、测试不够全面等问题，这将导致云内部审计员或第三方审计员无法直观了解云平台上多租户网络的隔离策略和机制是否遭到破坏，不利于云平台安全运行和追责。针对这些问题，本发明提出了一种云平台租户网络隔离测试方法。

发明内容

针对当前云平台租户网络隔离的测试需求，本发明提供了一种面向云平台的租户网络隔离测试方法。通过从云平台网络底层获取运行环境中租户网络隔离情况，实时检测出当前云平台网络隔离是否发生异常，并为云审计员提供可视化网络隔离报告，为云租户网络服务可能发生的安全问题提供追责途径。

本发明采用的技术方案为一种云平台租户网络隔离测试方法，该方法包括以下步骤：

步骤一，建立预期的云平台租户网络隔离矩阵；该矩阵包括云平台的所有租户的租户子网中的虚拟机VM，虚拟机中的应用端口，以及不同虚拟机应用端口之间的连接关系；用1表示不同虚拟机VM应用端口之间连通，用0表示不同虚拟机VM应用端口之间不连通。

云平台的所有租户用Tenant-name表示，租户子网用subnet-name表示，租户子网用subnet-name表示，虚拟机中的应用端口用port-id表示；