[发明专利]一种云平台租户网络隔离测试方法

摘要

本方法公开了一种云平台租户网络隔离测试方法，属于计算机云安全测试技术领域。建立预期的云平台租户网络隔离矩阵；获取租户控制节点和所有计算节点上所有租户网络的基本信息。获取网络节点上所有租户网络的网络三层及以上隔离信息。获取网络节点和计算节点上的租户子网二层隔离信息。获取计算节点上的租户和租户子网的网络接入信息，生成实际的云平台租户网络隔离矩阵Ma。将生成的实际云平台租户网络隔离矩阵Ma和预期矩阵Me进行比较。通过从云平台网络底层获取运行环境中租户网络隔离情况，实时检测出当前云平台网络隔离是否发生异常，并为云审计员提供可视化网络隔离报告，为云租户网络服务可能发生的安全问题提供追责途径。

主权项

一种云平台租户网络隔离测试方法，其特征在于：该方法包括以下步骤：步骤一，建立预期的云平台租户网络隔离矩阵；该矩阵包括云平台的所有租户的租户子网中的虚拟机VM，虚拟机中的应用端口，以及不同虚拟机应用端口之间的连接关系；用1表示不同虚拟机VM应用端口之间连通，用0表示不同虚拟机VM应用端口之间不连通；云平台的所有租户用Tenant‑name表示，租户子网用subnet‑name表示，租户子网用subnet‑name表示，虚拟机中的应用端口用port‑id表示；根据云平台默认的网络隔离策略及用户自定义的网络隔离策略，自动生成包含云平台上所有VM的网络隔离状态的预期矩阵Me；步骤二，获取租户控制节点和所有计算节点上所有租户网络的基本信息；首先收集控制节点数据库中关于云平台租户名称Tenant‑name，租户子网subnet‑name，所有VM的MAC地址和IP地址，确定<Tenant‑name,subnet‑name,MAC,IP>之间的关联关系；然后获取所有计算节点上的相关信息，包括VM‑name，VM挂载的传统虚拟网桥名，MAC地址和内部标记，其中，VM挂载的传统虚拟网桥名用qbr‑id表示，MAC地址和内部标记用in‑tag表示，拥有相同in‑tag的VM表示处于同一子网中，然后确定<VM‑name,qbr‑id,MAC,in‑tag>；通过两个元组关系，确定<Tenant‑name,subnet‑name,VM‑name,MAC,IP,qbr‑id,in‑tag>之间的联系；步骤三，获取网络节点上所有租户网络的网络三层及以上隔离信息；首先，收集云平台虚拟路由信息，包括虚拟路由器名和路由规则；由于只有连接到相同虚拟路由器的网络才能相互连通，通过关联虚拟路由器规则中的IP地址，步骤二中关于subnet‑name和IP之间的关系，可确定租户子网是否隔离；步骤四，获取网络节点和计算节点上的租户子网二层隔离信息，计算节点中，网络节点和计算节点上获取信息的方法相同；首先，获取计算节点虚拟网桥名，之后获取网桥规则上的标记；如果两个网桥规则是可逆的，则表明子网内部是相互连通的，通过关联网桥规则的标记，步骤二中关于in‑tag和VM‑name之间的关系，以确定相同租户相同子网VM之间的隔离性；步骤五，获取计算节点上的租户和租户子网的网络接入信息；首先获取所有计算节点上的传统网桥规则，包括传统网桥名qbr‑id、规则中出现的IP地址和虚拟机的应用端口port‑id，关联步骤二中的qbr‑id和VM‑name，确定当前规则针对的VM‑name；通过规则中出现的IP地址和port‑id，关联步骤二中<VM‑name、IP>，确定VM间port‑id的隔离情况；步骤六，根据步骤二到步骤五获取的信息，确定<Tenant‑name，subnet‑name，VM‑name，port‑id>的连通性，生成实际的云平台租户网络隔离矩阵Ma；步骤七，将生成的实际云平台租户网络隔离矩阵Ma和预期矩阵Me进行比较；分别遍历比较矩阵的每一行，观察实际矩阵相比较预期矩阵是否改变，如果发生改变，说明云平台的租户网络隔离被破坏；通过对实际云平台租户网络隔离矩阵和预期矩阵进行比较并且生成的相应结果，说明本方法能够确定云平台多租户网络的连通情况，从而发现与预期网络不相符的通信路径，从而提供给云审计员实时云平台租户网络隔离报告，为云租户网络服务可能发生的安全问题提供追责途径。