[发明专利]一种基于SDN的云计算安全保护系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于SDN的云计算安全保护系统及方法。

背景技术

目前我国众多行业都已在云计算上进行了大规模的投入，但云计算建设大多仍处于初级阶段。一些运营商、有实力的企业单位以及大型政府信息中心，经过几年的建设已经初步建成了基础设施即服务(IaaS)云，很多单位已经逐步将非核心的业务移植到云平台上，而核心业务的转移因担心数据中心和云平台遭到数据泄漏或导致业务中断而开展缓慢。这其中由于虚拟化技术的引入，打破了传统的网络边界的划分方式，另外虚拟机数量变化快也相应的要求安全防护能迅速与之相适应，这些使得传统的安全技术手段无法做到有效的安全防护。因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说，安全性及合规性依然是他们需要考虑的首要因素，用户需要一套完整的安全方案可以为虚拟和物理环境都提供持续的保护，并满足其合规性检查的需要。

申请号为CN201310539052.1的发明专利申请涉及一种软件自定义网络安全实施方法、系统及控制器，属于网络技术安全领域。其公开的一种软件定义网络安全实施方法，包括：部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息；安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。本发明还公开了另两种软件定义网络安全实施方法，一种软件定义网络安全实施系统及控制器。该技术方案有效地解决软件定义网络面临的安全问题。

该技术参考利用了SDN的三层模型，重点建立一个基于控制器的网络操作系统，在自动识别网络安全状态，自动生成策略并转化成流表下发至支持SDN的物理交换机或虚拟交换机，以实时智能的保护当前网络。

但该技术面临保护对象快速变化，如虚拟机突然增加或虚拟机大批量迁往异地的数据中心等情况，则防护压力变大，不足以应对安全保护需求，可能出现控制器网络操作系统无法追踪保护虚拟机或无法为激增的虚拟机提供安全防护的情况。

目前众多厂商都推出了自己的SVM(安全虚拟器件产品)。SVM具有快速部署，扩展性好，按需灵活提供服务的能力。

例如趋势科技Deep Security虚拟设备：以透明方式在VMware vSphere虚拟机上强行实施安全策略以进行无代理恶意软件防护、IDS/IPS、完整性监控、Web应用程序防护、应用程序控制和防火墙保护，如果需要，可以与DeepSecurity客户端配合使用进行日志检查和深度防御。

例如Vyatta可提供一个商业安全设备，为每一个网络类的包括云架构提供设备。Vyatta的产品线包括Vyatta虚拟网络设备。Vyatta在虚拟设备VMware，XEN，XenServer的虚拟机环境中工作。虚拟安全设备包括防火墙，IPSec和基于SSL的VPN，入侵检测，过滤，动态路由和基于路由器的NAT，DHCP等服务，这都是为IPv6的准备。

这些安全虚拟器件有些以虚拟机的方式向客户提供服务，有些与虚拟化平台结合向客户提供服务。它们能快速的安装部署在适用的虚拟化平台上，并且根据总控制中心的要求，在主机上部署或关闭。但是这些虚拟器件在精确追踪虚拟机之间的流量、流经指定用户(如IP或MAC地址等的用户)流量、虚拟机迁移时的流量等这些流量时，并不能高效完整的完成任务。

其中以虚拟机的方式向客户提供服务的虚拟器件的增删大多由人工完成，如果云环境中的虚拟机数量发生急剧的变化，很可能来不及应付云计算中变化的安全需求。

发明内容

本发明为了解决现有技术中云计算中安全保护的缺点或不足，采用了一种基于SDN的云计算安全保护方法的方案，从而实现了在云环境中按需灵活快速的提供可定制的安全保护服务的目的。

本发明提供的一种基于SDN的云计算安全保护系统，其基于支持SDN的虚拟交换机和虚拟平台管理接口，在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化，制定新的安全策略，并且根据需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件，例如IDS、审计类产品、漏洞扫描、安全管理平台，并且向支持SDN的虚拟交换机更新安全策略，能实时有效的保护云计算中心的安全并且节省系统资源，该系统具体包括以下模块：

该系统由控制器集群控制模块、环境监控模块和集群基础功能保障模块组成。