[发明专利]一种面向虚拟机集群的分布式网络安全方法

说明书

本发明提出了一种面向虚拟机集群的分布式网络安全方法，解决了在虚拟机集群中各个虚拟机之间随意访问，造成安全风险的技术问题；本发明搭建分布式安全策略平台DSPP，所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息，智能计算出每台虚拟机的安全访问的策略，并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行。本发明在虚拟机上安装微安全访问引擎MSAE和布式安全策略平台DSPP，可以清晰了解虚拟机集群的每台虚拟机的操作系统、安装软件组件、业务系统的详情，为每台虚拟机建立了安全策略，使各虚拟机之间的能安全的访问，实现面向虚拟机集群的安全。

技术领域

本发明涉及网络安全技术领域，特别是指一种面向虚拟机集群的分布式网络安全方法。

背景技术

随着云计算、虚拟化技术的快速发展，虚拟机使用越来越多。大多数业务系统迁移到了虚拟机里，运行在虚拟机集群环境中。云环境下的网络虚拟化技术，使虚拟机集群的网络边界变得模糊，虚拟机运行的业务系统和敏感数据面临严重的网络安全威胁。

虚拟机集群里的业务应用系统，由大单体的巨石型架构转变为三层业务架构或云原生业务架构，承载业务系统的虚拟机集群的流量模型是以各虚拟机之间的东西向流量为主，各个虚拟机之间可随意访问，缺少有效安全访问机制和安全策略防护手段。传统的边界安全设备仅能控制南北向流量，这种虚拟机集群的虚拟之间的东西流量则会绕过传统边界安全设备，虚拟机之间可以随意的访问，存在风险。

因为集群内的各个虚拟机之间是可以随意互相访问，所以集群内的虚拟机之间没有纵深防御体系，攻击者更容易开展东西向横向攻击。如有一台虚拟机被攻击者攻陷，那么攻击者就可以利用这台虚拟机作跳板，随意攻击虚拟机集群内的任意的其他虚拟机，带来严重的安全风险。当攻击者从炫耀技术，转变偷取并转卖客户重要数据、勒索赎金的利益追求，所以虚拟机群集内的各虚拟机之间要优先做安全访问控制，建立精细的安全策略体系，防止各个虚拟之间的随意访问。

虚拟机集群内的多种业务系统、生产与测试环境混合在一起没有合理的隔离，没有安全策略，带来严重的安全风险。

发明内容

针对上述背景技术中存在的不足，本发明提出了一种面向虚拟机集群的分布式网络安全方法，解决了在虚拟机集群中各个虚拟机之间随意访问，造成安全风险的技术问题，为每台虚拟机建立了安全策略，使各虚拟机之间的能安全的访问，实现面向虚拟机集群的安全。

本发明的技术方案是这样实现的：

一种面向虚拟机集群的分布式网络安全方法，搭建分布式安全策略平台DSPP，所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息，智能计算出每台虚拟机的安全访问的策略，并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行；

安全策略的加载与执行的实现方法为：

分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE；

在虚拟机上运行微安全访问引擎MSAE，得到虚拟机信息，微安全访问引擎MSAE对虚拟机信息进行分类、归并、整合后，通过加密通信发送给分布式安全策略平台DSPP；

分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据；

以业务系统名称为初始标签建立虚拟机数据表，并录入虚拟机的结构化范式数据；

制定包括源、目的、服务、时间段四个关键要素的安全策略模型，并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置；其中，安全策略的动作为允许或阻断；

根据制定好的安全策略模型，分析出每台虚拟机的安全策略明细，利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形，转成为最终每台虚拟机可使用安全策略；

安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接，分别把每台虚拟机的安全策略进行数据封装，以消息形式发送每台虚拟机；