一种云数据中心安全系统技术方案

技术编号:12225155 阅读:87 留言:0更新日期:2015-10-22 02:27
本发明专利技术公开了一种云数据中心安全系统,应用于云数据中心的安全防护,包括:传统安全层,用于通过边界安全加固方式,进行云数据中心最外围的安全防护;虚拟资源安全层,用于通过对虚拟资源隔离,进行云数据中心中虚拟资源的安全防护;虚拟资源平台安全层,用于基于虚拟化架构的安全工具监控虚拟机,进行云数据中心中虚拟资源平台的安全防护。本发明专利技术通过从传统安全层防护到虚拟化平台层防护到虚拟资源层防护的安全防护,实现了全面地对云数据中心进行安全保护。

【技术实现步骤摘要】

本专利技术涉及安全
,尤指一种云数据中心安全系统
技术介绍
云数据中心(Cloud Data Center)是为提供云计算服务而建设的数据中心。云计算所需要的数据中心来源于互联网,但又向集成化平台演进,因此,云计算数据中心从基础设施到计算与应用是连续和整体的,并相互关联和可适应。目前,云安全已经成为云计算的热点领域,但是,完整的云数据中心的安全架构方案比较匮乏,且大部分已经应用的安全架构方案还是偏重于传统的数据中心安全,采用传统的边界安全加固,例如硬件防火墙,网站应用级入侵防御系统(WAF,Web Applicat1nFirewall)、认证服务器,日志服务器等,没有考虑云安全的特性,也没有考虑虚拟化层的安全,严重阻碍了云计算产业的发展。
技术实现思路
为了解决上述技术问题,本专利技术提供了一种云数据中心安全系统,能够实现全面地对云数据中心进行安全保护。为了达到本专利技术目的,本专利技术提供了一种云数据中心安全系统,应用于云数据中心的安全防护,包括:传统安全层,用于通过边界安全加固方式,进行所述云数据中心最外围的安全防护;虚拟资源安全层,用于通过对虚拟资源隔离,进行所述云数据中心中虚拟资源的安全防护;虚拟资源平台安全层,用于基于虚拟化架构的安全工具监控虚拟机,进行所述云数据中心中虚拟资源平台的安全防护。所述边界安全加固方式,至少包括下面的一种:入侵检测系统IDS、防分布式拒绝服务DD0S、认证网关、防火墙Firewall、域名系统DNS、安全操作中心S0C、堡皇机、网站应用级入侵防御系统WAF。所述IDS,用于对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施;所述DD0S,用于将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击;所述认证网关,用于对使用所述云数据中心的应用进行身份认证;所述Firewal I,用于内部网络与外部网络之间的网络安全;所述DNS,用于因特网上域名和IP地址的相互映射;所述S0C,用于进行日志审计;所述堡皇机,用于主机安全防护;所述WAF,用于为Web应用提供保护。所述对虚拟资源隔离的隔离方式至少包括下面的一种:虚拟防火墙、虚拟局域网VLAN和安全组。所述虚拟防火墙,用于所述云数据中心南北向边界的防护;所述VLAN,用于在所述云数据中心的交换机上实现二层网络的隔离;所述安全组,用于所述云数据中心东西向边界的安全防护。所述基于虚拟机架构的增强安全工具,至少完成以下一种安全保护:虚拟机的入侵检测、系统日志、蜜罐、完整性检测和恶意代码检测分析。所述虚拟机的入侵检测,用于通过对虚拟机的传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施;所述系统日志,用于对虚拟机操作系统日志进行日志审计;所述蜜罐,用于引诱并处理非法攻击;所述完整性检测和恶意代码检测分析,用于对虚拟机文件进行完整性检测和恶意代码检测分析。通过本专利技术,将传统安全防护方式和虚拟资源的安全防护方式相结合,形成传统安全层、虚拟资源安全层和虚拟资源平台安全层,如果遇到外部攻击,形成从传统安全层防护到虚拟化平台层防护到虚拟资源层防护的安全防护,从而实现了全面地对云数据中心进行安全保护。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。【附图说明】附图用来提供对本专利技术技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本专利技术的技术方案,并不构成对本专利技术技术方案的限制。图1是本专利技术的一种实施例中云数据中心安全系统的示意图。图2是基于图1的云数据中心安全系统的详细架构示意图。【具体实施方式】为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。云数据中心通常分为服务和管理两大部分。在服务方面,主要以提供用户基于云的各种服务为主,共包含3个层次:基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS);在管理方面,主要以云的管理层为主,它的功能是确保整个云计算中心能够安全、稳定地运行,并且能够被有效管理。图1是本专利技术的一种实施例中云数据中心安全系统的示意图。如图1所示,本专利技术的云数据中心安全系统应用于云数据中心的安全防护,包括传统安全层、虚拟资源安全层和虚拟资源平台安全层。图2是基于图1的云数据中心安全系统的详细架构示意图。如图2所示,传统安全层是整个云数据中心最外围防护,用于通过核心交换机运用传统的边界安全加固方式进行安全防护,安全防护方式包括以下的一种或多种:入侵检测系统(IDS,Intrus1n Detect1n System)、防分布式拒绝服务(DDOS,Distributed Denial ofService)设备、认证网关、防火墙(Firewall)、域名系统(DNS,Domain Name System)、安全操作中心(SOC,Security Operat1ns Center)、堡皇机(Access Gateway)、网站应用级入侵防御系统(WAF,Web Applicat1n Firewall),其中,IDS,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施;DDOS,是将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,即通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,从而成倍地提高拒绝服务攻击的威力;认证网关,通过对使用云数据中心的应用进行身份认证实现安全登录;FirewalI,是一种位于内部网络与外部网络之间的网络安全系统,从而保护内部网免受非法用户的侵入;DNS,是因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串;S0C,主要用来进行日志审计;堡皇机,用于主机安全防护,所有对于主机的访问,必须经过堡皇机;WAF,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。需要说明的是,具体如何利用IDS、DD0S、认证网关、防火墙、DNS、S0C、堡皇机和WAF进行安全防护为本领域的技术人员所熟知,故在此不赘述。虚拟资源安全层用于根据业务需要对虚拟资源进行隔离,隔离方式至少包括下面的一种:虚拟防火墙、虚拟局域网(VLAN,Virtual Local Area Network)和安全组,其中,[0033当前第1页1 2 本文档来自技高网...

【技术保护点】
一种云数据中心安全系统,应用于云数据中心的安全防护,其特征在于,包括:传统安全层,用于通过边界安全加固方式,进行所述云数据中心最外围的安全防护;虚拟资源安全层,用于通过对虚拟资源隔离,进行所述云数据中心中虚拟资源的安全防护;虚拟资源平台安全层,用于基于虚拟化架构的安全工具监控虚拟机,进行所述云数据中心中虚拟资源平台的安全防护。

【技术特征摘要】

【专利技术属性】
技术研发人员:郭锋刘俊朋胡玉鹏于辉李新虎
申请(专利权)人:浪潮北京电子信息产业有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1