本发明涉及一种虚拟机系统的改进,具体涉及一种虚拟机防护系统的改进。
背景技术:
虚拟机技术是虚拟化技术的一种,所谓虚拟化技术就是将事物从一种形式转变成另一种形式,最常用的虚拟化技术有操作系统中内存的虚拟化,实际运行时用户需要的内存空间可能远远大于物理机器的内存大小,利用内存的虚拟化技术,用户可以将一部分硬盘虚拟化为内存,而这对用户是透明的。又如,可以利用虚拟专用网技术(vpn)在公共网络中虚拟化一条安全,稳定的“隧道”,用户感觉像是使用私有网络一样。
但是目前在云端虚拟机的安全威胁也越来越多,例如防护结构缺陷、虚拟边界威胁、虚拟边界威胁、虚拟边界威胁、资源滥用、资源滥用、防护结构缺陷、侧信道威胁、恶意用户等等。特别是防护结构缺陷和虚拟边界的新的恶意攻击和渗透行为越来越常见。
技术实现要素:
本发明的目的在于针对现有技术的缺陷和不足,提供一种虚拟机防护系统,它功能全面,可以实现病毒防护,透明防护、无代理访问和安全云服务功能;透明防护:具有节省系统开销,技术先进等优点。
为实现上述目的,本发明采用以下技术方案是:针对vmware公有/私有云环境和amazon云平台的全方位服务器安全平台,其功能包括恶意软件防护、web信誉监测服务、防火墙、入侵阻止、完整性监控和日志检查审计等;能够让云提供商以合适的安全成本,高效地构建满足pcidss2.0、hipaa、nist和sas70对应的合规性要求的云平台;它由透明监控虚拟设备、安全客户端(在物理机上部署)、管理中心和云安全服务网络组成使用基于vmwarevshieldendpoint的透明监控虚拟设备,可以检测vm隐蔽信道、虚拟机跳跃、并对虚拟机的新实例创建进行防护;与虚拟机中需要配置客户端的symantec/mcafee产品相比,无代理的设计使系统开销显著减少。
所述的symantec使用一系列子产品来进行云安全的防护,其中主要的防护产品是“关键系统防护解决方案”和“数据中心安全套件”。关键系统防护软件通过提供hids和hips,防护vmwarevsphere主机的安全,提供对文件、网络的监控和集中式管理。数据中心安全套件(serverplus)由主机上的透明监控模块和虚拟机中的终端安全模块组成,能够为虚拟机提供透明监控、离线漏洞修补等功能。
本发明功能全面:包括病毒防护,透明防护(无代理访问)和安全云服务(web信誉)功能;透明防护:节省系统开销,技术先进;热补丁技术:patch运行中的虚拟机内核,不停机的情况下保护已知的新漏洞(1day防护);休眠补丁技术:对休眠的虚拟机打补丁,解决防护间隙问题。
具体实施方式
本具体实施方式采用的技术方案是:针对vmware公有/私有云环境和amazon云平台的全方位服务器安全平台,其功能包括恶意软件防护、web信誉监测服务、防火墙、入侵阻止、完整性监控和日志检查审计等;能够让云提供商以合适的安全成本,高效地构建满足pcidss2.0、hipaa、nist和sas70对应的合规性要求的云平台;它由透明监控虚拟设备、安全客户端(在物理机上部署)、管理中心和云安全服务网络组成使用基于vmwarevshieldendpoint的透明监控虚拟设备,可以检测vm隐蔽信道、虚拟机跳跃、并对虚拟机的新实例创建进行防护;与虚拟机中需要配置客户端的symantec/mcafee产品相比,无代理的设计使系统开销显著减少。
所述的symantec使用一系列子产品来进行云安全的防护,其中主要的防护产品是“关键系统防护解决方案”和“数据中心安全套件”。关键系统防护软件通过提供hids和hips,防护vmwarevsphere主机的安全,提供对文件、网络的监控和集中式管理。数据中心安全套件(serverplus)由主机上的透明监控模块和虚拟机中的终端安全模块组成,能够为虚拟机提供透明监控、离线漏洞修补等功能。
本具体实施方式中vmware;配置管理器vcenterconfigurationmanager;网络安全vedgesecurity(vxlan);终端安全提供vshieldendpoint给合作厂商。国家需求:实现信息化、保障信息的自由高效流通,利用信息技术提高社会生产率,促进社会和谐;云计算是信息产业目前增长最快的发展方向,需要利用先进的技术在云计算方面占据制高点和国际市场,创造新的经济发展机会;保障主权信息的cia绿色计算,智能计算。应用需求:it业对云计算的应用;利用paas、容器虚拟化,快速开发新应用并且提供服务;(案例:36kr,待查);利用iaas,快速部署自己的应用,按需弹性设置计算资源用量,从传统机房转变为享受数据中心统一服务器维护服务;(案例:阿里云的应用案例,云游戏服务器);利用saas,进行资源、数据的共享和分析mashup,重构出新的云服务(案例:ifttt,微博与淘宝的数据交换?)。
it业这些应用对云服务的需求:配置的自动化,灵活伸缩和可迁移:增加部署效率,尽量少或者不修改就可以部署(调系统很麻烦的)稳定的云服务:不要宕机和丢失数据针对云的性能监测和审计:可以为云服务器租用第三方的性能监测和分析服务。(案例:cloudphysics)安全的合规性:合规==信任==安全。(案例:aws)。
非it业:医疗行业:云存储(医疗影像),云oa(电子病历,开药),知识库(分析);政务云:云oa(政务流程),数据共享(公安云);快销行业:桌面虚拟化(易于维护,统一服务)。
对云服务的需求:可以从现有配置平滑迁移到云(网络的配置,系统的兼容,迁移);维护变简单而不是复杂(中心化);业务流畅性(虚拟网络网速,虚拟机效率);数据保密性(c);数据分析(bigdata)。
本行业的发展需求:技术高密度虚拟机,轻量化系统(提高效率,节约成本);节能环保(省电)
尽量少或者不修改就可以部署。产业:标准化:合规性,规范化操作和管理带来信任;细分化:发展针对云服务的服务,例如监控、管理、安全;扩展化:扩展虚拟化,软化的对象,例如nfv(电信局虚拟化),sdn(软件定义网络)。
低能耗数据中心设计问题——节能环保;
轻量级虚拟机设计——提高效率,限制功能保证安全;
虚拟化硬件设计——提高效率,建立兼容pc架构的,适合一虚多和多虚一的架构。(利用pc架构,实现以往的大型机、中型机的功能架构);
安全规范制定与合规性——用规范来定义安全规程,利用相关的技术实现安全规范;
实现潜在的对虚拟机架构的攻击,以及对这种攻击的防护—-因为虚拟化攻击没有造成严重后果的实际的例子,所以都不关注。要实现这种攻击才能更好地防护。
数据的加密共享和密文计算——saas共享数据。
本具体实施方式功能全面:包括病毒防护,透明防护(无代理访问)和安全云服务(web信誉)功能;透明防护:节省系统开销,技术先进;热补丁技术:patch运行中的虚拟机内核,不停机的情况下保护已知的新漏洞(1day防护);休眠补丁技术:对休眠的虚拟机打补丁,解决防护间隙问题。
以上所述,仅用以说明本发明的技术方案而非限制,本领域普通技术人员对本发明的技术方案所做的其它修改或者等同替换,只要不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。