《用于虚拟化及云安全性的系统和方法》由会员分享,可在线阅读,更多相关《用于虚拟化及云安全性的系统和方法(4页珍藏版)》请在金锄头文库上搜索。
1、用于虚拟化及云安全性的系统和方法专利名称:用于虚拟化及云安全性的系统和方法技术领域:本方法及系统涉及计算机系统,且更明确来说,涉及虚拟化及云安全性。背景技术:在计算中,虚拟化是建立某些对象(例如,硬件平台、操作系统、存储装置或网络资源)的虚拟(而非实际)版本。虚拟化是企业IT的整体趋势的部分,企业IT包括自主计算,其为IT环境将能够基于所感知的活动来管理其自身的一情形;及公用程序计算,其中计算机处理能力被视为客户端可仅在需要时支付以获得的公用程序。虚拟化的常见目标是使管理任务集中化,同时改善可调整性及工作负载。使用高速个人计算机及智能型移动装置的大量用户的聚集显著增加虚拟化环境中所需的包处理性
2、能。对每包的处理是区分及保障服务所必要的。緑色计算正变为限制电消耗所必须的。又,必须缩短基础结构部署调度以实现较快收益产生。包括多核心CPU及硬件业标准(例如,AMC、快速PCI (PCI Express)、AdvancedTCA及刀片中心(Blade Center)的最近技术改善可实现预期性能等级,同时提供在集成与电消耗比方面具有卓越性能的可调整解决方案。这还意味着将需要高性能软件包处理来有效率地实施不同协议且确保充足的服务质量。大多数高级网络已采用分级(class-based)服务质量的概念,因此所述网络需要每包处理以用于在包服务之间进行区分。数据中心与远程用户之间的业务是使用IPSec加
3、密且需要硬件密码引擎的辅助。多核心技术提供必要处理能力且以较低电消耗提供高级网络所需的高集成度。然而,软件设计复杂性持续,从而使开发及集成困难。结果是妨碍了基于多核心的解决方案的部署。随着虚拟化及云计算逐渐变得越来越流行,可将现存服务器在逻辑上分组为可用资源的単一、大的集区。将这些装置的容量聚集到可用资源的単一集区中使得能够有效率地利用服务器,此导致资本及操作费用两者的相关减少。然而,虚拟化使传统安全性措施不足以保护以免受虚拟环境中的新出现的安全性威胁。这是归因于在服务器与存储子系统之间的数据路径中缺乏主保护。保护的缺乏阻止企业体验主数据中心转变的全部益处。虽然云计算常常被视为增加安全性风险且
4、引入新的威胁媒介(vector),但其也呈现改善安全性的令人激动的机会。云的特性(例如,标准化、自动化及到基础结构中的增加的可见性)可显著地提高安全性等级。在隔离域中运行计算服务,在运动中及静止时提供数据的默认加密,及经由虚拟存储装置控制数据均已变成可改善可信度及减少数据损失的活动。另外,硬化的运行时图像的自动供应(provisioning)及回收可减少攻击表面且改善鉴识(forensics)。发明内容本发明掲示一种用于虚拟化及云安全性的系统及方法。根据个实施例,种系统包含第一多核心处理群集及第多核心处理群集,其与网络接卡通信;及软件指令。当由所述第二多核心处理群集执行所述软件指令时,所述软件
5、指令致使所述第二多核心处理群集接收对服务的请求,建立新虚拟机或调用现存虚拟机以服务于所述请求,且将指示所述服务的成功完成的所要结果返回到所述第一多核心处理群集。包括作为本说明书的部分的随附图式说明目前优选实施例,且与上文所提供的一般描述及下文所给出的优选实施例的详细描述一起用以解释及教示本文中所掲示的原理。图1说明根据个实施例的供本系统使用的示范性系统层级布局。图2说明根据个实施例的供本系统使用的包括虚拟化及云安全性架构的示范性系统层级布局。图3说明根据个实施例的供本系统使用的示范性软件基础结构。图4说明根据个实施例的供本系统使用的示范性硬件基础结构。图5说明根据个实施例的供本系统使用的示范性
6、硬件基础结构实施方案。图6说明根据 个实施例的供本系统使用的具有虚拟化支持的示范性系统层级布局。应注意,各图未必按比例绘制,且类似结构或功能的元件贯穿各图通常由相似參考数字表示以用于说明性目的。还应注意,各图仅既定促进对本文中所描述的各种实施例的描述。各图不描述本文中所掲示的教示的每一方面且不限制权利要求书的范围。具体实施例方式掲示一种用于虚拟化及云安全性的系统及方法。根据个实施例,一种系统包含第一多核心处理群集及第多核心处理群集,其与网络接卡通信;及软件指令。当由所述第二多核心处理群集执行所述软件指令时,所述指令致使所述第二多核心处理群集接收对服务的请求;建立新虚拟机或调用现存虚拟机以服务所
7、述请求;及将指示所述服务的成功完成的所要结果返回到所述第一多核心处理群集。根据个实施例,本系统提供快速路径包处理的有效实施以利用由多核心处理器提供的性能益处。为实现安全性目的,本系统包括完整、全面且即用的网络连接特征集合,所述网络连接特征包括VLAN、链路聚集、GRE封装、经由IP隧穿的GTP及IP、通过虚拟路由管理、路由及虚拟路由的第3层转发、每包QoS及过滤(ACL)、IPSec、SVT1、IKEvl及IKEv2。根据个实施例,本系统可与控制平面操作系统(OS)完全集成以用于最大程度地再使用软件、简化集成及隐藏多核心设计复杂性。本系统在具有用干与内建式加速器(例如,密码引擎)介接的统一高级
8、API的多核心平台上运行,且在包括低成本高容量硬件的不同多核心架构及用于网络装备的大ATCA配置上进行调整。本系统提供开放架构以使集成容易。根据一个实施例,本系统的一个方面包括从数据中心中的服务器卸载包处理。本系统的又一方面包括并入额外软件堆栈以支持安全性及其它应用程序功能。根据一个实施例,提供安全性软件堆栈、UTM(统一威胁管理)或企业安全性堆栈。除了在系统上透明地运行的软件外,还存在可由包含于下文所描述的硬件刀片中的多核心处理群集加速的安全性相关功能。根据一个实施例,本系统的另一方面包括提供虚拟化安全性。虚拟化安全平台是云计算安全平台的基础,且包括额外软件以从虚拟化服务器卸载包处理及安全性
9、功能。根据一个实施例,实情为,包处理及安全性功能接着由作为本系统的部分的包处理虚拟机及安全性虚拟机来处置。对于现存客户,虚拟化安全性软件是经由安全链路及远程呼叫中心而从远程服务器下载到现存用户的系统上。对于新用户,所述软件经预先安装且随着随附硬件一起递送。一旦软件在初始电力开启后经加载,客户的应用程序便取决于安全性应用而下载到各种硬件模块上的软件上。由本系统提供的益处的简要概述包括以下各者虚拟及物理设备到服务器虚拟化中的集成;虚拟机认知;每一虚拟机上的安全性策略的实施;虚拟机的可见性及控制;由设备及安全性软件的组合所提供的安全性;端点数据保护;业务及安全性功能的加速;用于第三方安全性软件供货商
10、的开放软件框架;主机性能损失的消除 及数据安全性。本系统包括集成于标准服务器平台中的分布式实时计算能力。可将分布式实时计算群集视作服务器群,且当增加工作负载时可按需求增加服务器群资源。可快速启动、撤销启动、升级或部署服务器群资源。本系统的性能可调整性是二维的水平及垂直。相同设备功能可通过同质架构而垂直地扩展,且不同设备功能可通过异质架构而水平地扩展。下文更详细地解释同质及异质架构。本系统提供电力消耗最优化。应用程序加载驱动方法提供最佳电力消耗利用。按需求启用及停用资源以遵循绿色能源策略。本系统的软件编程模型提供所有现存应用程序无需被重写,且所有新出现的新应用程序可透明地运行。图1说明根据一个实
11、施例的供本系统使用的示范性系统层级布局。应用服务器101正运行服务器应用程序103。应用服务器101具有操作系统(OS) 104、驱动程序106、中间件套接字107及中间件代理程序105。应用服务器101正运行用于包及应用程序处理或安全性软件的多核心群集108,且经由PC1-e (快速PCI)底板109与网络接口卡(NIC)IlO通信。网络接口卡(NIC) 110提供网络111接入。根据本文中所揭示的实施例,中间件套接字107及代理程序105与虚拟化及云安全性系统102通信。图2说明根据一个实施例的供与本发明系统一起使用的包括虚拟化及云安全性架构的示范性系统层级布局。应用服务器201正运行服务
12、器应用程序203。应用服务器201具有操作系统(OS) 204、驱动程序206、中间件套接字207及中间件代理程序205。应用服务器201正运行用于服务器应用程序的多核心群集208。应用服务器201需要包处理及安全性功能,且这些请求由虚拟化及云安全性系统(VCSS) 202拦截及服务。所述服务可经由中间件套接字207及代理程序205进行通信。根据本文中所揭示的实施例,中间件套接字207及代理程序205与虚拟化及云安全性系统(VCSS) 202通信。根据一个实施例,VCSS202包括硬件刀片,其具有插入到PC1-e底板209中的多核心处理群集211 ;及最小软件堆栈,其包括网络套接字代理程序21
13、4、实时操作系统(RTOS) 213及控制/数据平面软件堆栈212。VCSS202还可包括安全性支持215及应用层服务器代理程序216。中间件套接字207及代理程序205还可关于服务请求而与应用服务器代理程序216通信。应用服务器代理程序216与RT0S213、控制/数据软件堆栈212及网络套接字代理程序214通信以经由PCIe底板209通过网络接口卡(NIC) 210而通过HW/多核心处理群集来服务于请求。网络接口卡(NIC) 210提供网络217接入。下文紧跟着进行对控制/数据平面堆栈212及安全性软件215的更详细描述。硬件(HW)刀片/多核心群集211提供用于开发智能网络连接及安全平台
14、的硬件,其支持对智能网络/安全性加速及对聚合数据中心应用(例如,存储、安全性、深层包检查(DPI)、防火墙、WAN最佳化及应用程序递送(ADC)计算)的应用程序卸载的增长需求。HW/多核心群集211包含多核心处理器群集(例如,Freescale的P4080E QorIQ)、DDR存储器、快闪存储器、IOGb或IGb网络接口、迷你SD/MMC卡槽、USB端口、串行控制台端口及电池后备式(battery backed) RTC0配置硬件的软件包括实时OS (即,Linux及在Linux下的驱动程序)以控制硬件块及功能。般来说,多核心群集及在多核心群集中的安全性硬件加速单元可处置适当功能以用于实施D
15、PI/DDI (深层包检查/深层数据检查)。举例来说,协议分析包括HTTP、SIP及SNMP ;内容格式包括XML、HTML/JavaScript ;且模式匹配包括IPS模式及病毒模式。HW/多核心群集的其它实施例可包括不同多核心群集(例如,来自CaviumNetworks、Netlogic及Tilera的多核心群集)(例如)以加速其它新出现的功能。举例来说,Cavium Networks的Nitrox系列有助于实施其它安全性措施,且Tilera的GX系列有助于实施多媒体串流传输及压缩/解压缩应用。虽然所描绘的实施例包括PC1-e形状因数,但在不脱离本系统的精神的情况下可使用ATCA及刀片中心
16、及其它形状因数。实时操作系统(RTOS) 213是既定服务于实时应用程序请求的操作系统(OS)。RTOS的关键特性是其关于其接受及完成应用程序的任务所采用的时间量的一致性的程度;可变性为抖动。硬实时操作系统相比于软实时操作系统具有较少抖动。主要设计目标并非高处理量,而是软或硬性能分类的保证。通常或一般可满足期限(deadline)的RTOS为软实时OS,但如果其可确定性地满足期限,则其为硬实时OS。实时OS具有用于调度的高级算法。调度器灵活性使得能够实现对进程优先权的较宽计算机系统协调(orchestration),但实时OS更常专用于应用程序的窄集合。实时OS的关键因素是最小中断等待时间及最小线程切换等待时间。然而,相比针对实时OS在一给定时段内可执行的工作量,实时OS针对其可如何快速或如何可预测地响应而更有价值。实时OS的实例包括来自Windriver的VxWorks或Linux。根据一个实施例,安全性软件215包含以下各者中的一者或一者以上具有NAT (网络地址翻译)的状态
