本发明专利技术实施例公开了一种基于虚拟交换网络的虚拟安全域的划分方法及其装置,其中,该方法包括:划分不同安全级别的虚拟安全域;基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;在虚拟交换网络中构建完整的虚拟安全边界。在本发明专利技术实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。
【技术实现步骤摘要】
【专利摘要】本专利技术实施例公开了一种基于虚拟交换网络的虚拟安全域的划分方法及其装置,其中,该方法包括:划分不同安全级别的虚拟安全域;基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;在虚拟交换网络中构建完整的虚拟安全边界。在本专利技术实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。【专利说明】一种基于虚拟交换网络的虚拟安全域的划分方法及装置
本专利技术涉及云计算安全
,尤其涉及一种基于虚拟交换网络的虚拟安全域的划分方法及装置。
技术介绍
随着云计算技术应用的进一步发展,云计算的安全也成为业界关注的问题。云计算市场规模的迅速扩大,使得其将成为诸如水电、煤气的公共基础设施,使用云计算服务的政府机构、企业和个人,其数据与信息安全将严重依赖于云计算服务提供系统的保密性和安全性,这给国家信息安全、企业安全和个人隐私保护带来了前所未有的挑战。云计算的安全不仅是广大用户选择云计算服务的首要考虑因素,也是云计算实现健康可持续发展的基础。目前虚拟化作为云计算的核心技术,虚拟化数据中心也给网络安全带来了一些挑战,尤其是虚拟机的迀移、计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题,虚拟化数据中心的网络建设仍然采用传统的安全技术来应对网络安全问题,如VLAN扩展、网络安全策略上移、虚拟交换网络网关上移等。在VLAN扩展中,虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前,VLAN是最好的选择,但由于VLAN的数量最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图1所示,VLAN扩展的有以下两个实现途径。QinQ:采用VLAN嵌套的方式将VLAN的数量扩展至Ij 160万个。内层标签称为用户VLAN即C - VLAN,外层标签成为运营VLAN,即S - VLAN,例如100个C - VLAN不同的同一类用户可以封装同一个相同S-VLAN,极大地扩展VLAN的数量。该方法配置简单,易维护;但其缺点是接入的用户规模较小。VPLS:用户VLAN封装在不同VPLAS通道内,不同的用户封装不同的VPLS通道即可实现海量用户之间良好的安全控制。其优点是接入规模大,可伸缩性强,易于跨地域数据中心之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂,使数据中心之间扩展复杂度变大。通过将虚拟化服务器集群的网关设在防火墙上,防火墙进行虚拟化,分割成多个防火墙实例提供网络安全服务,对每块防火墙划分多个逻辑实例,通过防火墙上的安全策略配置,来提供虚拟化网络安全。虚拟化数据中心尽量将服务器集群规划在同一个二层网络中,才能保证虚拟机能够自由迀移,如果进行了VLAN划分,则虚拟机只能在同一个VLAN的网络中进行迀移。并且服务器网关尽量不设在防火墙上,因为防火墙属于强控制设施,网关一旦设置在防火墙上灵活性将大大的受到限制。
技术实现思路
本专利技术的目的在于克服现有技术的不足,本专利技术提供了一种基于虚拟交换网络的虚拟安全域的划分方法及装置,可通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性。为了解决上述问题,本专利技术提出了一种基于虚拟交换网络的虚拟安全域的划分方法,所述方法包括: 划分不同安全级别的虚拟安全域; 基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中; 在虚拟交换网络中构建完整的虚拟安全边界。优选地,在所述在虚拟交换网络中构建完整的虚拟安全边界的步骤之后,还包括: 根据虚拟安全边界构建云计算安全组件。优选地,在所述根据虚拟安全边界构建云计算安全组件的步骤之后,还包括: 根据云计算安全组件构建虚拟安全域视图。优选地,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。优选地,所述在虚拟交换网络中构建完整的虚拟安全边界的步骤,包括: 在虚拟交换网络中识别出虚拟数据交换端口; 根据虚拟数据交换端口构建虚拟安全边界。相应地,本专利技术还提供一种基于虚拟交换网络的虚拟安全域的划分装置,所述装置包括: 划分模块,用于划分不同安全级别的虚拟安全域; 部署模块,用于基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中; 构建模块,用于在虚拟交换网络中构建完整的虚拟安全边界。优选地,所述构建模块还用于根据虚拟安全边界构建云计算安全组件。优选地,所述构建模块还用于根据云计算安全组件构建虚拟安全域视图。优选地,所述云计算安全组件包括病毒防护组件、访问控制组件、入侵检测组件、完整性审计组件中的一种或多种。优选地,所述构建模块包括: 识别单元,用于在虚拟交换网络中识别出虚拟数据交换端口; 构建单元,用于根据虚拟数据交换端口构建虚拟安全边界。在本专利技术实施例中,通过基于虚拟化的安全技术实现虚拟化交换网络下的虚拟安全域划分,通过虚拟安全域提高云计算环境下的信息安全性,同时无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,提高运行效率。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1是现有网络安全技术中VLAN扩展的不意图; 图2是本专利技术实施例的基于虚拟交换网络的虚拟安全域的划分方法的流程示意图; 图3是本专利技术实施例的基于虚拟交换网络的虚拟安全域的划分装置的结构组成示意图; 图4是本专利技术实施例中构建模块的结构组成示意图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图2是本专利技术实施例的基于虚拟交换网络的虚拟安全域的划分方法的流程示意图,如图2所示,该方法包括: SI,划分不同安全级别的虚拟安全域; S2,基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中; S3,在虚拟交换网络中构建完整的虚拟安全边界。进一步地,S3包括: 在虚拟交换网络中识别出虚拟数据交换端口; 根据虚拟数据交换端口构建虚拟安全边界。在本专利技术实施例中,根据信息安全等级保护要求,需要为不同的安全等级划分相应的安全域。在云计算的环境下,划分不同安全级别的虚拟安全域,以数据中心核心交换端口和VLAN为边界来构建安全域。这样就可以依据预设条件将大数据的生产环境部署在某一逻辑安全域之中。考虑到同一逻辑安全域中,多租户和多业务系统之间还存在相互隔离本文档来自技高网...
【技术保护点】
一种基于虚拟交换网络的虚拟安全域的划分方法,其特征在于,所述方法包括:划分不同安全级别的虚拟安全域;基于虚拟交换网络将大数据生产环境部署在指定的虚拟安全域中;在虚拟交换网络中构建完整的虚拟安全边界。
【技术特征摘要】
【专利技术属性】
技术研发人员:罗龙,王鹿苑,梁俊龙,刘坤锐,赖美仪,张国友,
申请(专利权)人:广东三盟信息科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。