一种云计算下的租户安全隔离方法

文档序号:9828269阅读:1503来源:国知局
一种云计算下的租户安全隔离方法
【技术领域】
[0001]本发明涉及云技术,具体地涉及能够保障云计算安全性的云计算下的租户安全隔离的方法。
[0002]
【背景技术】
[0003]随着云计算的租户数量日以继夜得增长,网络的迅速发展,用户对于网络数据通讯的安全性提出更高的要求,诸如防范黑客攻击,控制病毒传播等,都要保证网络带给用户相对安全性。如果把云计算的数据中心看做一个ISP运营商级别的网络环境,面对大量零散的租户如何隔离是一个重要的问题,防范租户内外的安全问题。
[0004]现有技术为了保证租户的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的,一般,会用访问控制列表(AccessControl List, ACL)技术实现,用来控制端口进出的数据包。但是ACL更加适用于所有的被路由协议,不如物理上隔离那样纯粹,而且维护人员需要维护ACL列表非常繁多,增加运维人员的压力及错误概率。

【发明内容】

[0005]鉴于上述问题,本发明旨在提供一种能够有效、安全隔离云计算下的多个租户的云计算下的租户安全隔离方法。
[0006]本发明的云计算下的租户安全隔离方法,其特征在于,包括下述步骤:
租户间隔离步骤,基于VRF区分不同租户以隔离多个租户相互之间;以及租户内部隔离步骤,对于每个租户,利用PVLAN实现应用内部的安全隔离。
[0007]优选地,在所述租户间隔离步骤中,对于不同租户分别分配不同的标签。
[0008]优选地,在所述租户间隔离步骤中,对于不同租户分别分配不同RD作为标签。
[0009]优选地,对于每个租户,根据不同业务设计不同的PVLAN模式以实现应用内部的安全隔离。
[0010]优选地,在所述租户内部隔离步骤,对于每个租户的DMZ、APP、DB设计不同的PVLAN模式。
[0011]优选地,在所述租户内部隔离步骤,对于每个租户,将该租户的DMZ的PVLAN模式设计为隔离PVLAN、将该租户的DB的PVLAN模式设计为隔离PVLAN、将该租户的APP的PVLAN模式设计为主PVLAN。
[0012]如上所述,在云计算内部通过标间标记不同租户的IP能够区别不同租户,使得各租户相互之间能够实现隔离(也就是外部隔离)。而且,在此基础上,对于各租户,通过业务的DMZ、APP、DB来设计不同的PVLAN模式,由此,在各租户内部能够分别实现租户内部的安全隔离(即内部隔离)。
[0013]因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。
[0014]
【附图说明】
[0015]图1是表示本发明的云计算租户安全隔离方法中的租户间隔离步骤的示意图。
[0016]图2是表示本发明的云计算租户安全隔离方法中的租户内部隔离步骤的示意图。
[0017]图3是表示将租户间隔离步骤和租户内部隔离步骤相结合的示意图。
【具体实施方式】
[0018]下面介绍的是本发明的多个实施例中的一些,旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。
[0019]本发明的云计算租户安全隔离方法主要包括以下两大步骤:
(1)租户间的隔离步骤:基于VRF,对于不同租户分配不同的IP以区分不同租户;以及
(2)租户内部的隔离步骤:对于每个租户,根据业务的DMZ、APP、DB设计不同的PVLAN模式。
[0020]接着,租户间隔离步骤和租户内部隔离步骤进行具体说明。
[0021]图1是表示本发明的云计算租户安全隔离方法中的租户间隔离步骤的示意图。
[0022]首先,对于VRF(VPNRouting & Forwarding Instance,VPN路由转发实例)进行说明。每一个VRF可以看作虚拟的路由器,好像是一台专用的PE(Provider Edge )设备。该虚拟路由器包括如下元素:
一张独立的路由表;
一组归属于这个VRF的接口的集合;
一组只用于本VRF的路由协议。
[0023 ] 对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表,多个VRF实例相互分离独立。
[0024]因此,VRF允许一个设备内共存在一张多实例的路由表。它本身允许网络设备通过在路由上分配标签来实现路由的区分进而在运营商内部打通VPN通道,实现不同地方二点的专线通信。通过互联网的技术利用标签能区分路由的技术,在云计算内部通过标签标记租户的IP,进而区分租户。这里所谓云计算内部是指数据中心内部,不包括网络边沿部分。
[0025]如图1所示,云计算下,基于VRF技术,对于不同租户A、租户B、租户C通过标签标记不同的IP。例如,对于不同租户A、租户B、租户C,通过RD来标记不同的IP。RD是RouteDistinguisher(路径区别符)的缩写,是说明路由属于哪个VPN的标志,理论上可以为每个VRF配置一个RD。由此,能够区分不同租户A、租户B和租户C并且能够将租户A、租户B、租户C之间相互隔离。
[0026]图2是表示本发明的云计算租户安全隔离方法中的租户内部隔离步骤的示意图。
[0027]首先,对于PVLAN(Private VLAN,私有VLAN),也称“专用虚拟局域网”进行说明。
[0028]PVLAN(Private VLAN私有VLAN)通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。尽管各设备处于不同的PVLAN中,它们可以使用相同的IP子网。在PVLAN中,交换机端口有3种类型-1solatedPort(即隔离端口 )、Community Port(即团体端口)和Promiscuous Port(即混杂端口 ),它们分别对应不同的VLAN类型:隔离端口属于隔离PVLAN,团体端口属于团体PVLAN。
[0029]PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1