一种云安全运营平台的实现方法及装置与流程

1.本发明涉及云安全管理技术领域，尤其是一种云安全运营平台的实现方法及装置。


背景技术：

2.云计算可以对资源进行灵活分配，弹性扩容，快速恢复，使得运维效率大大提高，降低了项目部署的周期，节省了运维成本。随着云计算的发展，越来越多的业务选择云上部署，云安全也越来越得到用户的重视。
3.为了云上业务的安全性，云计算厂家都会引入第三方安全产品，用户可以根据自身业务的需求，进行安全产品的选择。当前，云安全运营平台对于新纳管的云安全产品，都需要进行开发对接才能实现纳管，而且基本都是半自动化的，无法实现自动授权，很多云安全产品都是手动导入证书进行授权，使得云安全产品上线周期长，部署周期长，不能够完全自动化，与云资源自身的发展不匹配。


技术实现要素：

4.为解决现有技术存在的上述问题，本发明提供一种云安全运营平台的实现方法及装置，通过云安全产品规格与云资源以及证书管理中心的映射，大大提高云安全产品的部署效率。
5.为实现上述目的，本发明采用下述技术方案：
6.在本发明一实施例中，提出了一种云安全运营平台的实现方法，该方法包括：
7.云安全运营平台根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台；
8.云管平台根据云资源配置信息创建云资源；
9.证书管理中心根据云安全产品规格以及云资源对云安全产品进行自动授权。
10.进一步地，云安全产品具有唯一标识；
11.云安全产品通过该唯一标识与证书管理中心进行关联。
12.进一步地，云安全产品具有多种规格，一种规格可关联多个云资源。
13.进一步地，云安全运营平台根据所确定的云资源配置信息向云管平台发起云资源的部署请求。
14.进一步地，云管平台根据云资源的部署请求创建云资源，并根据其网络需求分配网络资源。
15.进一步地，云安全运营平台将云安全产品规格以及待授权云安全产品的弹性ip、云资源标识和端口信息，通告给证书管理中心。
16.进一步地，证书管理中心根据云安全产品规格以及云资源标识生成证书，并通过弹性ip和端口信息对云安全产品进行自动授权。
17.在本发明一实施例中，还提出了一种云安全运营平台的实现装置，该装置包括：
18.云安全产品管理模块，用于云安全产品的管理，以及建立云安全产品规格与云资源的映射关系；
19.云资源管理模块，用于云资源的管理；
20.授权中心管理模块，用于实现云安全运营平台与证书管理中心的交互，实现云安全产品的自动授权；
21.订单管理模块，用于实现用户对云安全产品的订购；
22.云服务管理模块，用于实现云安全运营平台与云管平台的交互。
23.进一步地，云安全运营平台根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台。
24.进一步地，云管平台根据云资源配置信息创建云资源。
25.进一步地，证书管理中心根据云安全产品规格以及云资源对云安全产品进行自动授权。
26.进一步地，云安全产品具有唯一标识；
27.云安全产品通过该唯一标识与证书管理中心进行关联。
28.进一步地，云安全产品具有多种规格，一种规格可关联多个云资源。
29.进一步地，云安全运营平台根据所确定的云资源配置信息向云管平台发起云资源的部署请求。
30.进一步地，云管平台根据云资源的部署请求创建云资源，并根据其网络需求分配网络资源。
31.进一步地，云安全运营平台将云安全产品规格以及待授权云安全产品的弹性ip、云资源标识和端口信息，通告给证书管理中心。
32.进一步地，证书管理中心根据云安全产品规格以及云资源标识生成证书，并通过弹性ip和端口信息对云安全产品进行自动授权。
33.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述云安全运营平台的实现方法。
34.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行云安全运营平台的实现方法的计算机程序。
35.有益效果：
36.本发明通过云安全产品规格与云资源以及证书管理中心的映射关系，自动实现多云管平台以及多云安全产品的对接，并且能够实现云安全产品的快速部署，自动授权，大大减少了云安全产品的上线时间，提高了云安全产品的维护效率。
附图说明
37.图1是本发明一实施例的云安全运营平台的实现方法流程示意图；
38.图2本发明一实施例的云安全运营平台的实现装置结构示意图；
39.图3是本发明一实施例的计算机设备结构示意图。
具体实施方式
40.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
41.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
42.根据本发明的实施方式，提出了一种云安全运营平台的实现方法及装置，云安全运营平台根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台；云管平台根据云资源配置信息创建云资源；证书管理中心根据云安全产品规格以及云资源对云安全产品进行自动授权，从而实现了云安全产品的自动部署以及自动授权。
43.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
44.图1是本发明一实施例的云安全运营平台的实现方法流程示意图。如图1所示，该方法包括：
45.s1、云安全运营平台创建云安全产品以及云安全产品的规格；
46.云安全运营平台创建云安全产品，云安全产品具有唯一标识；通过云安全产品的唯一标识与云安全产品的规格进行关联；每种云安全产品根据产品的特征，可设置多种规格。
47.s2、建立云安全产品与证书管理中心以及云资源的映射关系；
48.云安全产品根据云安全产品唯一标识建立与证书管理中心的映射关系，证书管理中心可根据云安全产品规格以及云安全产品所关联的云资源的标识，生成证书，并对云安全产品进行自动授权；云安全运营平台纳管证书管理中心的通信方式和授权方式；
49.根据云安全产品规格所需要的云资源，建立不同的云安全产品规格与云资源的映射关系；云资源配置信息包括cpu类型，cpu数目，内存，系统盘，数据盘大小以及带宽，弹性ip，镜像等；一种安全产品规格可以关联多种云资源。
50.s3、根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台；
51.用户通过云安全运营平台订购云安全产品，根据业务需求确定云安全产品的规格，以及根据所防护的云资产的网络信息确定云安全产品的网络信息；云安全运营平台根据云安全产品规格确定所需要的云资源配置信息；云安全运营平台根据所防护的云资产的位置信息确定云安全产品所对应的云管平台，该位置信息可以为资源池；云安全运营平台根据所防护的云资产的网络信息，确定云安全产品的网络信息，包括vpc(虚拟私有云)信息，子网信息以及安全组等。
52.s4、云管平台根据云资源配置信息创建云资源；
53.云安全运营平台将云安全产品所需要的云资源配置信息通告给云管平台，云管平台根据所通告的云资源配置信息，创建云资源，并根据其网络需求，为其分配相关的网络资源；
54.云资源信息由web页面输入；
55.云资源部署后自动生成唯一的云资源标识。
56.s5、云安全运营平台收到云管平台的云资源创建成功之后，发起授权申请；
57.云安全运营平台收到云管平台的云资源创建成功的消息之后，查询云资源的网络信息，得到云安全产品所关联的云资源的弹性ip以及云资源标识，进一步的，根据云安全产品的唯一标识去查询证书管理中心，得到证书管理中心的通信方式以及授权方式；
58.云安全运营平台向证书管理中心发起授权申请，该申请中携带云安全产品规格、云资源标识、弹性ip以及端口信息；证书管理中心根据安全产品规格以及云资源标识生成证书，并根据弹性ip以及端口信息向云安全产品进行自动授权，从而实现了云安全产品的自动部署，自动授权。
59.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
60.为了对上述云安全运营平台的实现方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
61.实施例一：
62.在本实施例中，某公有云接入云墙，为租户提供安全防护。用户可以通过云安全运营平台订购云墙。云安全运营平台根据用户的订购请求，自动部署云墙并进行授权。
63.具体实现步骤如下：
64.1、云安全运营平台创建云安全产品以及云安全产品的规格；
65.云安全运营平台创建云安全产品，云安全产品具有唯一标识；通过云安全产品的唯一标识与云安全产品的规格进行关联；每种云安全产品根据产品的特征，可设置多种规格。比如，在本实施例中，云墙作为新接入的云安全产品，安全运营平台为其生成云安全产品标识，作为云墙的唯一标识。进一步的，根据云墙的产品特性，比如，版本类型(基础版，高级版)，主备模式，扩展功能(防病毒，url过滤等)等云墙自身特点，创建不同的云安全产品规格。
66.2、建立云安全产品与证书管理中心以及云资源的映射关系；
67.云安全产品根据云安全产品唯一标识建立与证书管理中心的映射关系，证书管理中心可根据云安全产品规格以及云安全产品所关联的云资源的标识，生成证书，并对云安全产品进行自动授权。云安全运营平台纳管证书管理中心的通信方式和授权方式。
68.根据云安全产品规格所需要的云资源，建立不同的云安全产品规格与云资源的映射关系；云资源包括cpu类型，cpu数目，内存，系统盘，数据盘大小以及带宽，弹性ip，镜像等；一种云安全产品规格可以关联多种云资源。
69.在本实施例中，在云安全运营平台中，建立云墙与证书管理中心的映射关系。当系统中存在可以对云墙进行授权的证书管理中心时，则不需要新建证书管理中心，只需要建立云墙与现有证书管理中心的映射关系即可。云安全运营平台中纳管证书管理中心的通信方式和授权方式，其通信方式包括授权中心的通信地址，端口以及消息类型等，其授权方式
包括了证书的生成以及自动授权方式。
70.进一步的，建立云安全产品规格与云资源的映射关系，每个云安全产品可以有多种规格，每种规格可以适配不同的云资源，云资源配置信息包括cpu类型，cpu数目，内存，系统盘，数据盘大小以及带宽，弹性ip，镜像等。
71.3、根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台；
72.用户通过云安全运营平台订购云安全产品，根据业务需求确定云安全产品的规格，以及根据所防护的资产的网络信息确定云安全产品的网络信息；云安全运营平台根据云安全产品规格确定所需要的云资源配置信息；云安全运营平台根据所防护的云资产的位置信息确定云安全产品所对应的云管平台，该位置信息可以为资源池；云安全运营平台根据所防护的云资产的网络信息，确定云安全产品的网络信息，包括vpc(虚拟私有云)信息，子网信息以及安全组等。
73.在本实施例中，租户通过云安全运营平台订购云墙，根据自身防护需求，选择云墙的规格为基础版，单节点部署模式。进一步的，根据所防护云资产的网络信息，选择云墙的部署网络即vpc和子网，以及安全组，弹性ip等。
74.可选的，云安全运营平台根据云墙的部署位置，即资源池信息，确定云管平台。进一步的，根据云安全产品规格，确定所需要的云资源配置信息。本实施里中，根据云墙的产品规格(单机版，基础版)以及内蒙资源池等特点，确定所需要的云资源配置信息，即4vcpu，10g内存，40g系统盘，100g数据盘。
75.4、云管平台根据云资源配置信息创建云资源；
76.云安全运营平台将云安全产品所需要的云资源配置信息通告给云管平台，云管平台根据所通告的云资源配置信息，创建云资源，并根据其网络需求，为其分配相关的网络资源。在本实施例中，云管平台为承载云墙业务的云主机，加载云墙的镜像，并根据vpc和子网信息，分配ip地址，以及弹性ip等网络信息。
77.5、云安全运营平台收到云管平台的云资源创建成功之后，发起授权申请；
78.云安全运营平台收到云管平台的云资源创建成功的消息之后，查询云资源的网络信息，得到云安全产品的弹性ip以及云资源标识，进一步的，根据云安全产品的唯一标识去查询证书管理中心，得到证书管理中心的通信方式以及授权方式。可选的，云资源的标识可以为云主机的uuid(universally unique identifier，通用唯一编码)。
79.云安全运营平台向证书管理中心发起授权申请，该申请中携带云安全产品规格、云资源标识、弹性ip以及端口信息；证书管理中心根据安全产品规格以及云资源标识生成证书，并根据弹性ip以及端口信息向云安全产品进行自动授权，从而实现了云安全产品的自动部署，自动授权。
80.基于同一发明构思，本发明还提出一种云安全运营平台的实现装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
81.图2是本发明一实施例的云安全运营平台的实现装置结构示意图。如图2所示，该装置包括：
82.云安全产品管理模块101，用于云安全产品的管理，以及建立云安全产品规格与云资源的映射关系；
83.云安全产品具有多种规格，一种规格可关联多个云资源；
84.云安全产品具有唯一标识；
85.云安全产品通过该唯一标识与证书管理中心进行关联。
86.云资源管理模块102，用于云资源的管理。
87.授权中心管理模块103，用于实现云安全运营平台与证书管理中心的交互，实现云安全产品的自动授权；
88.云安全运营平台将云安全产品规格以及待授权云安全产品的弹性ip、云资源标识和端口信息，通告给证书管理中心；
89.证书管理中心根据云安全产品规格以及云资源标识生成证书，并通过弹性ip和端口信息对云安全产品进行自动授权。
90.订单管理模块104，用于实现用户对云安全产品的订购；
91.云安全运营平台根据用户订购的云安全产品确定所需的云资源配置信息，根据所防护的云资产的位置信息确定所对应的云管平台；
92.云安全运营平台根据所确定的云资源配置信息向云管平台发起云资源的部署请求。
93.云服务管理模块105，用于实现云安全运营平台与云管平台的交互；
94.云管平台收到云资源的部署请求，根据云资源配置信息创建云资源，并根据其网络需求分配网络资源。
95.应当注意，尽管在上文详细描述中提及了云安全运营平台的实现装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
96.基于前述发明构思，如图3所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述云安全运营平台的实现方法。
97.基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述云安全运营平台的实现方法的计算机程序。
98.本发明提出的云安全运营平台的实现方法及装置，通过云安全与授权中心以及云资源的映射，大大提高云安全产品的部署效率。
99.虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
100.对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。