[发明专利]用于执行网络功能虚拟化NFV安全服务代理NFV SSA的方法和计算平台

说明书

用于执行网络功能虚拟化(NFV)安全架构(其包括NFV安全服务控制器和一个或多个NFV安全服务代理)的安全监测服务的技术。NFV安全服务控制器配置成向NFV安全服务代理传送安全监测策略，并且在NFV安全服务代理实施安全监测策略。NFV安全服务代理配置成监测遥测数据，并且封装遥测的至少一部分以用于传送到NFV安全架构的NFV安全监测分析系统以供安全威胁分析。描述并且要求保护其他实施例。

相关申请的交叉引用

本申请要求2015年5月11日提交的标题为“TECHNOLOGIES FOR SCALABLESECURITY ARCHITECTURE OF VIRTUALIZED NETWORKS”的美国发明专利申请序号14/709,168，(其根据35 U.S.C.§119(e)要求2015年2月4日提交的标题为“SCALABLESECURITYARCHITECTURE AND TECHNOLOGIES FOR VIRTUALIZED NETWORKS IN SERVICE PROVIDERDEPLOYMENTS”的美国临时专利申请序号62/112,151,的优先权)的优先权。

技术领域

本发明涉及用于虚拟化网络的可扩缩安全架构的技术，更具体地涉及一种用于执行网络功能虚拟化NFV安全服务代理NFV SSA的计算平台和相应方法。

背景技术

网络运营商和服务提供商通常依靠各种网络虚拟化技术来管理复杂的大规模计算环境、例如高性能计算(HPC)和云计算环境。例如，网络运营商和服务提供商网络可依靠网络功能虚拟化(NFV)部署来部署网络服务(例如防火墙服务、网络地址转换(NAT)服务、负荷平衡服务、深层分组检查(DPI)服务、传输控制协议(TCP)优化服务等)。这类NFV部署通常使用NFV基础设施来编排各种虚拟机(VM)，以便对网络业务执行虚拟化网络服务(通常被称作虚拟化网络功能(VNF))，并且管理跨各种VM的网络业务。

与传统非虚拟化部署不同，虚拟化部署将网络功能与基础硬件分离，这产生高动态的并且一般能够被运行于具有通用处理器的现成服务器的网络功能和服务。因此，能够根据需要基于要对网络业务所执行的特定功能或网络服务将VNF向内/向外扩展。但是，接入外露接口(例如经由探头的接入接口)以用于监测传统非虚拟化部署的功能组件之间的网络业务的处理的传统方式对VNF部署中的接入没有不同。例如，欧洲电信标准协会(ETSI)的NFV的工业规范组已发布多个虚拟化模型，其中这类接入/监测接口是含糊的。此外，各种部署中(例如VNF之内、VNF之间等)可用的不同接入接口的数量可使得难以探测与VNF有关的预期信息。例如，一些部署可实现供应商专有非标准化接口，以便优化处理能力并且降低可归因于信令的等待时间，这可限制接入可用性。

发明内容

按照本发明第一方面的一种计算机可读介质，包括存储在其上的指令，所述指令如果由至少一个处理器执行，则促使所述至少一个处理器执行网络功能虚拟化NFV安全服务代理NFV SSA，所述NFV SSA要执行具有如下操作的方法：

从 NFV 安全服务控制器接收安全监测策略；

经由第一安全信道收集包括所述处理器的平台的遥测数据；

基于所述安全监测策略来监测所述遥测数据，其中所述安全监测策略包括向所述NFV SSA指示要监测所述平台的哪个遥测数据的监测规则；

封装所述遥测数据；以及

将所述封装的遥测数据经由第二安全信道传输给安全监测分析系统以进行分析，其中所述封装的遥测数据是基于所述安全监测策略传输的。

按照本发明第二方面的一种用于执行网络功能虚拟化NFV安全服务代理NFV SSA的计算平台，所述计算平台包括：

网络接口控制器；

存储器装置；以及