[发明专利]一种云环境安全扫描器及方法

说明书

技术领域

本发明涉及云安全技术领域，具体涉及一种云环境安全扫描器及方法。

背景技术

漏洞扫描是指利用一些自动化工具来发现网络上各类主机及主机所处网络的安全漏洞，这些自动化工具通常被称为漏洞扫描器。传统扫描器分为主机扫描器与网络扫描器，传统扫描器起作用的一个重要的前提是扫描器与被检测环境保持网络的连通性，即当扫描器无法直接连通至被检测环境时，扫描器失效。由于云环境内部网络的封闭性，导致传统方法在针对云环境扫描时无法有效进行脆弱性扫描。

云环境架构：①云计算环境的一个重要特性是按需提供服务，资源的动态拓展。一个普遍的方法是对云环境的设备使用内网ip，满足云环境的主机可方便动态拓展，经过NAT等技术与外界进行通信。在动态弹性改变资源时，对云环境的使用者来说不会造成除计算能力改变之外的的其他问题。②云环境的异构性导致在云环境中可能存在多个不同的hypervisor，一个hypervisor支撑多个主机。此时不同的hypervisor之间可能属于不同的网络。③因此，当传统扫描器应用在云环境中时，由于前述云环境的两个特点，可以看出传统扫描器无法有效的针对云环境进行扫描。

云环境物理资源使用：云计算环境下，多个虚拟主机运行在同一hypervisor之上时，不同虚拟机通过hypervisor的模拟使得使用者在形式上仿佛独自占用物理资源使用，但实际上不同虚拟机之间在运行时共享物理资源。当扫描器需要动态获取虚拟主机运行情况时，无法通过传统方式获知虚拟主机使用情况。因此，考虑VMI技术。VMI是在虚拟机外部监控虚拟机内部运行状态的方法被称为虚拟机自省(VirtualMachineIntrospection,VMI)。VMI允许特权域查看非特权域的运行状态，并能获得被监控虚拟机运行状况相关的状态数据，这些数据包括内存使用情况，磁盘空间的使用情况，以及操作系统日志文件的数据等等。

发明内容

本发明的目的在于提供一种云环境安全扫描器及方法。

本发明的技术方案是这样实现的：

一种云环境安全扫描器，包括：

安全扫描器模块：分布在云环境中各虚拟化物理机的多个hypervisor，启动时自动连通安全服务模块并在安全服务模块注册为存活节点；直接通过当前网络对安全扫描器模块所在hypervisor的虚拟主机及hypervisor进行漏洞扫描，或通过VMI技术获取虚拟主机及hypervisor动态运行信息，根据该运行信息对安全扫描器模块所在hypervisor的虚拟主机及hypervisor进行漏洞扫描，并将扫描结果发送至安全服务模块；

安全服务模块：在能被云环境网络连通的安全服务器中实现，远程调控安全扫描器模块，根据安全扫描器提供的所处云环境信息向不同安全扫描器模块传输扫描配置信息和扫描命令，并搜集扫描结果；

扫描漏洞数据库：存储并实时更新漏洞信息，包括虚拟主机漏洞、云环境网络漏洞、hypervisor漏洞。

一种利用所述的云环境安全扫描器进行云环境安全扫描的方法，包括以下步骤：

步骤1、安全扫描器模块启动时自动连通安全服务模块，将自身所处云环境信息发送给安全服务器并在安全服务模块注册为存活节点；

步骤2、安全服务模块根据安全扫描器模块传送来的云环境信息形成扫描配置，并将扫描配置信息和扫描命令，发送给该安全扫描器模块；

步骤3、安全扫描器模块根据扫描配置，对云环境中各虚拟化物理机的hypervisor、hypervisor上运行的虚拟主机进行漏洞扫描；

漏洞扫描的方式包括：直接通过网络调用扫描插件定时触发对云环境中各虚拟化物理机的hypervisor、hypervisor上运行的虚拟主机进行漏洞扫描；根据VMI技术获取的虚拟主机及hypervisor动态运行信息，调用扫描插件定时触发对云环境中各虚拟化物理机的hypervisor、hypervisor上运行的虚拟主机进行漏洞扫描；

步骤4、搜集漏洞扫描结果并将结果发送至安全服务模块。

有益效果：