一種云安全防護系統以及流量清洗方法技術方案

本發明專利技術提供了一種云安全防護系統以及流量清洗方法，所述系統包括云平臺、云安全服務平臺，所述云平臺用于部署虛擬機，所述云安全服務平臺用于在所述虛擬機上部署終端安全，所述云安全防護系統還包括安全資源池，所述安全資源池用于查看和/或管理所述終端安全。本實施例所示的云安全防護系統能夠實現集中管理和安全可視，且能夠統一控制所有安全組件，提供云平臺安全狀態展示功能，便于用戶操作和管理。

Cloud safety protection system and flow cleaning method

The invention provides a cloud security protection system and the flow of cleaning method, the system includes a cloud platform, cloud security services platform, the cloud platform for the deployment of virtual machines, the cloud security service platform for the deployment of terminal security in the virtual machine, the cloud security system also includes security resource pool the safety, resource pool for viewing and / or the terminal security management. The cloud security protection system shown in the embodiment can realize centralized management and security visibility, and can uniformly control all security components, provide the security state display function of the cloud platform, and facilitate the operation and management of the user.

【技術實現步驟摘要】
一種云安全防護系統以及流量清洗方法
本專利技術涉及流量清洗
，尤其涉及的是基于云計算的流量清洗方法和云安全防護系統以及流量清洗方法。
技術介紹
全球云計算服務市場近年來保持高增長。據統計，2014年全球云計算服務市場規模達1528億美元，增長率達17.9％，其中典型的基礎設施即服務(英文全稱：InfrastructureasaService，英文簡稱：IaaS)、平臺即服務(英文全稱：PlatformasaService，英文簡稱：PaaS)、軟件即服務(英文全稱：SoftwareasaService，英文簡稱：SaaS)服務的市場規模達425億美元。云服務增速是全球IT支出的4倍，預計在全球IT支出中的占比將從2013年的3.6％提高到2018年的6.6％。云計算服務正日益演變為新型的信息基礎設施。云計算是整個IT領域的一場變革，計算資源規模化、集約化使生產工作效率均得到了極大提升，然而隨之帶來的是保護企業資產、敏感數據等的新挑戰，加拿大標準協會CSA于2月底公布的2016年12大云計算威脅中，數據泄露，弱身份信息或訪問管理造成的威脅獨占鰲頭。造成這些威脅的背后主要因素是我們在使用云服務的時候，其對于租戶來說是不透明的且租戶缺少對于云服務的掌控力，與此同時傳統安全解決方案又難以部署在云服務之前。因此能否解決這些安全難題，成為企業向云遷移的先決條件之一。目前在云計算環境中的安全解決方案，大致分為二類，一類是云平臺廠商提供基本的安全能力，解決平臺層的安全問題，業務層的安全由租戶自己保證。另一類是由傳統安全廠商把硬件安全設備軟件化，移植到云平臺來保證云計算環境的安全，但是在云計算環境下，與傳統網絡不同，在云計算環境下，客戶業務資源可彈性擴展，這樣要求安全也需要彈性擴展，僅通過傳統安全硬件設備軟件化無法實現。在云計算環境下，相同物理主機可同時運行多個客戶的業務數據，沒有傳統物理邊界，安全邊界變得模糊，虛機東西向流量控制與可視成為問題。在云計算環境下，為保證業務連續性，客戶業務可在多個不同云平臺商之間遷移，客戶需求一個統一的、更簡單的安全運維平臺，而目前云安全方案無法滿足。
技術實現思路
本專利技術提供了一種云安全防護系統以及流量清洗方法，其較高的安全性，且能夠實現客戶業務資源的彈性擴展。本專利技術實施例第一方面提供了一種云安全防護系統，包括云平臺、云安全服務平臺，所述云平臺用于部署虛擬機，所述云安全服務平臺用于在所述虛擬機上部署終端安全，所述云安全防護系統還包括安全資源池，所述安全資源池用于查看和/或管理所述終端安全。所述安全資源池包括以下所示的至少一項組件：虛擬下一代應用防火墻vNGAF、虛擬網上行為管理vAC以及虛擬SSLVPN。所述安全資源池集中部署在多個云計算節點上，或所述安全資源池集所包括的至少一個所述組件部署在所述云計算節點上，所述云計算節點包括多個所述虛擬機。所述安全資源池包括以下功能所示的至少一項：用于向所述云平臺提供南北向流量的安全防護能力、用于為所述終端安全提供用戶管理的功能、用于為所述終端安全提供流量可視的功能、用于為所述終端安全提供安全可視的功能；所述安全防護能力包括以下所示的至少一項：網站的后門工具webshell防護、殺毒以及防篡改。所述云安全服務平臺包括以下功能所示的至少一項：用于提供對云平臺的管理、流量可視以及安全服務。所述終端安全包括以下功能所示的至少一項：用于為所述虛擬機提供網絡的安全防護能力、用于為所述虛擬機提供主機的安全防護能力以及用于對所述云平臺提供東西向流量的安全防護能力；所述安全防護能力包括以下所示的至少一項：網站的后門工具webshell防護、殺毒以及防篡改。所述云安全服務平臺包括用戶交互系統、鑒權系統、安全組件系統、實時信息系統、日志系統以及告警系統；所述用戶交互系統用于提供控制面板和/或狀態傳輸接口RESTAPI，所述控制面板用于實現用戶與云安全防護系統的交互，所述云安全服務平臺通過所述RESTAPI接口與所述云平臺進行交互；所述鑒權系統用于對用戶身份進行驗證；所述安全組件系統用于與所述云平臺對接，且所述安全組件系統用于管理所述云平臺和所述終端安全；所述實時信息系統用于將所述安全資源池和/或所述終端安全的實時信息反饋給用戶；所述日志系統用于獲取所述安全資源池和/或所述終端安全的安全日志，所述日志系統還用于對所述安全日志進行分析以生成分析結果，所述日志系統還用于將所述分析結果向用戶反饋；所述告警系統用于向用戶反饋警告信息。所述鑒權系統還包括以下所示的功能的至少一項：令牌管理、提供訪問資源的服務目錄、提供與用戶身份對應的訪問控制、服務端點的注冊。所述實時信息包括以下所示的至少一項：流量、運行狀態、保護狀態、CPU使用率以及內存使用率。所述分析結果以可視圖表和/或安全報表的形式向用戶反饋。本專利技術實施例第二方面提供了一種流量清洗方法，基于本專利技術實施例第一方面所提供的云安全防護系統，所述流量清洗方法包括：根據已配置的引流方式將目標虛擬機的流量牽引至安全資源池，所述目標虛擬機的數目為至少一個，且所述目標虛擬機為受到分布式拒絕服務DDoS攻擊的虛擬機；通過所述安全資源池根據已配置的流量牽引規則確定與所述目標虛擬機對應的安全資源；通過與所述目標虛擬機對應的所述安全資源對所述目標虛擬機的流量進行清洗以生成清洗后的流量；通過所述安全資源池將所述清洗后的流量回注到所述目標虛擬機。所述通過所述安全資源池根據已配置的流量牽引規則確定與所述目標虛擬機對應的安全資源之前，所述方法還包括：控制所述云安全服務平臺通過云平臺獲取所述目標虛擬機所屬的目標租戶信息；控制所述云安全服務平臺通過所述目標租戶信息在所述安全資源池上創建所述安全資源，且所述安全資源與所述目標虛擬機對應；控制所述云安全服務平臺根據所述目標租戶信息生成所述流量牽引規則，且所述流量牽引規則與所述目標虛擬機對應；控制所述云安全服務平臺將所述流量牽引規則發送給所述安全資源池。所述根據已配置的引流方式將目標虛擬機的流量牽引至安全資源池之前，所述方法還包括：接收用戶輸入的引流方式配置信息；根據所述引流方式配置信息配置所述引流方式。所述與所述目標虛擬機對應的所述安全資源對所述目標虛擬機的流量進行清洗以生成清洗后的流量之后，所述方法還包括：通過所述安全資源池生成流量清洗安全日志，所述流量清洗安全日志用于指示與所述目標虛擬機對應的所述安全資源對所述目標虛擬機的流量進行清洗的情況；通過所述安全資源池將所述流量清洗安全日志發送給云安全服務平臺CSSP。本專利技術提供了一種云安全防護系統以及流量清洗方法，所述系統包括云平臺、云安全服務平臺，本實施例所示的云安全防護系統能夠實現集中管理和安全可視，且能夠統一控制所有安全組件，提供云平臺安全狀態展示功能，便于用戶操作和管理。且本實施例所示的云安全防護系統具有較高的安全性，且能夠實現客戶業務資源的彈性擴展。附圖說明圖1為本專利技術所提供的云安全防護系統的一種實施例結構示意圖；圖2為本專利技術所提供的安全資源池的一種設置方式結構示意圖；圖3為本專利技術所提供的安全資源池的另一種設置方式結構示意圖；圖4為本專利技術所提供的云安全服務平臺的一種設置方式結構示意圖；圖5為本專利技術所提供的流量清洗方法的一種實施例步驟流程圖。具體實本文檔來自技高網...

【技術保護點】
一種云安全防護系統，其特征在于，包括云平臺、云安全服務平臺，所述云平臺用于部署虛擬機，所述云安全服務平臺用于在所述虛擬機上部署終端安全，所述云安全防護系統還包括安全資源池，所述安全資源池用于查看和/或管理所述終端安全。

【技術特征摘要】
1.一種云安全防護系統，其特征在于，包括云平臺、云安全服務平臺，所述云平臺用于部署虛擬機，所述云安全服務平臺用于在所述虛擬機上部署終端安全，所述云安全防護系統還包括安全資源池，所述安全資源池用于查看和/或管理所述終端安全。2.根據權利要求1所述的系統，其特征在于，所述安全資源池包括以下所示的至少一項組件：虛擬下一代應用防火墻vNGAF、虛擬網上行為管理vAC以及虛擬SSLVPN。3.根據權利要求2所述的系統，其特征在于，所述安全資源池集中部署在多個云計算節點上，或所述安全資源池集所包括的至少一個所述組件部署在所述云計算節點上，所述云計算節點包括多個所述虛擬機。4.根據權利要求3所述的系統，其特征在于，所述安全資源池包括以下功能所示的至少一項：用于向所述云平臺提供南北向流量的安全防護能力、用于為所述終端安全提供用戶管理的功能、用于為所述終端安全提供流量可視的功能、用于為所述終端安全提供安全可視的功能；所述安全防護能力包括以下所示的至少一項：網站的后門工具webshell防護、殺毒以及防篡改。5.根據權利要求1所述的系統，其特征在于，所述云安全服務平臺包括以下功能所示的至少一項：用于提供對云平臺的管理、流量可視以及安全服務。6.根據權利要求1所述的系統，其特征在于，所述終端安全包括以下功能所示的至少一項：用于為所述虛擬機提供網絡的安全防護能力、用于為所述虛擬機提供主機的安全防護能力以及用于對所述云平臺提供東西向流量的安全防護能力；所述安全防護能力包括以下所示的至少一項：網站的后門工具webshell防護、殺毒以及防篡改。7.根據權利要求1至6任一項所述的系統，其特征在于，所述云安全服務平臺包括用戶交互系統、鑒權系統、安全組件系統、實時信息系統、日志系統以及告警系統；所述用戶交互系統用于提供控制面板和/或狀態傳輸接口RESTAPI，所述控制面板用于實現用戶與云安全防護系統的交互，所述云安全服務平臺通過所述RESTAPI接口與所述云平臺進行交互；所述鑒權系統用于對用戶身份進行驗證；所述安全組件系統用于與所述云平臺對接，且所述安全組件系統用于管理所述云平臺和所述終端安全；所述實時信息系統用于將所述安全資源池和/或所述終端安全的實時信息反饋給用戶；所述日志系統用于獲取所述安全資源池和/或所述終端安全的安全日志，所述日志系統還用于對所述安全日志進行分析以生成分析結果，所述日志系...

【專利技術屬性】
技術研發人員：張結輝，
申請(專利權)人：深圳市深信服電子科技有限公司，
類型：發明
國別省市：廣東,44