虚拟私有云安全检测方法、装置、设备及存储介质

技术领域

本申请涉及信息安全技术领域，尤其涉及一种虚拟私有云安全检测方法、装置、设备及存储介质。

背景技术

虚拟私有云(英文全称：Virtual Private Cloud，英文简称：VPC)是用户的专属网络空间，可以由弹性云服务器构建并由用户自主配置和管理；可以实现网络隔离，提升用户云中资源的安全性。现有安全检测产品通常可以针对VPC外层进行检测，对VPC内部服务进行检测时，需要在每个服务对应集群内开通网络端口并部署各集群对应的扫描引擎。

VPC内部集群较多时需要打通多个网络端口与VPC外部的安全检测终端进行数据传输，可能由于VPC暴露端口数量较多而产生不必要的安全隐患，损害了VPC的安全性。

发明内容

本申请提供一种虚拟私有云安全检测方法、装置、设备及存储介质，用以解决对VPC内部服务进行检测时，需要在每个服务对应集群内开通网络端口并部署各集群对应的扫描引擎，损害了VPC的安全性的问题。

第一方面，本申请提供一种虚拟私有云安全检测方法，应用于扫描引擎，所述扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，所述虚拟私有云中还部署有负载均衡器，所述负载均衡器与至少一个服务对应集群及所述扫描引擎通信连接，所述负载均衡器与安全检测终端通信连接，所述方法包括：

通过负载均衡器接收安全检测终端发送的扫描指令；

按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据；

将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

可选地，所述扫描引擎以集群的方式部署于虚拟私有云中，所述扫描引擎对应的集群与虚拟私有云中的至少一个服务对应集群通信连接；所述扫描指令中包括待扫描的服务的标识；所述按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据，包括：

按扫描指令对所述待扫描的服务的标识对应的集群进行安全扫描，以获得安全扫描结果数据。

可选地，所述扫描指令中包括安全扫描类型；所述按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据，包括：

按安全扫描类型对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描类型5对应的安全扫描结果数据。

可选地，所述负载均衡器包括入口IP地址及出口IP地址，入口IP地址具有对应的接收端口，所述出口IP地址具有对应的发送端口；所述入口IP地址及所述接收端口及发送端口是虚拟私有云管理服务器控制负载均衡器创建的；所述负载均衡器分别采用所述接收端口与所述发送端口与安全检测终端通信连接。

0可选地，所述通过负载均衡器接收安全检测终端发送的扫描指令之前，还包括：

接收所述管理服务器发送的端口创建指令，所述端口创建指令用于指示所述扫描引擎创建负载监听端口；所述负载均衡器还包括扫描监听端口，所述扫描监听端口是所述管理服务器控制负载均衡器创建的；采用负载监听端口建立与所述负载均衡器的扫描监听端口之间的通信连接。

5第二方面，本申请提供一种虚拟私有云安全检测方法，应用于安全检测终端，包括：

通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；所述扫描引擎及所述负载均衡器部署于虚拟私有云中，所述扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，所述负载均衡器与至少一个服务对应集群及所述扫描引擎通信连接，所述负载均衡器与安全检测终端通信连接；0接收扫描引擎通过负载均衡器发送的安全扫描结果数据；

根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

可选地，所述扫描指令中包括待扫描的服务的标识和/或安全扫描类型。

可选地，所述通过负载均衡器向扫描引擎发送扫描指令，包括：

向负载均衡器的接收端口发送扫描指令，以使负载均衡器将所述扫描指令发送至扫描5引擎；所述接收端口为入口IP地址与安全检测终端IP地址之间对应的负载均衡器的通信

端口。

可选地，所述接收扫描引擎通过负载均衡器上报的安全扫描结果数据，包括：

接收通过负载均衡器发送端口发送的安全扫描结果数据；所述发送端口为出口IP地

址与安全检测终端IP地址之间对应的负载均衡器的通信端口；所述安全扫描结果数据为0扫描引擎按扫描指令进行安全扫描后发送至负载均衡器的。

第三方面，本申请提供一种虚拟私有云安全检测装置，应用于扫描引擎，所述扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，所述虚拟私有云中还部署有负载均衡器，所述负载均衡器与至少一个服务对应集群及所述扫描引擎通信连接，所述负载均衡器与安全检测终端通信连接，所述装置包括：

接收模块，用于通过负载均衡器接收安全检测终端发送的扫描指令；

扫描模块，用于按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据；

发送模块，用于将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

第四方面，本申请提供一种虚拟私有云安全检测装置，应用于安全检测终端，包括：

发送模块，用于通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；所述扫描引擎及所述负载均衡器部署于虚拟私有云中，所述扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，所述负载均衡器与至少一个服务对应集群及所述扫描引擎通信连接，所述负载均衡器与安全检测终端通信连接；

接收模块，用于接收扫描引擎通过负载均衡器发送的安全扫描结果数据；

生成模块，用于根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

第五方面，本申请提供一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器及收发器；

所述存储器存储计算机执行指令；所述收发器用于收发数据；

所述处理器执行所述存储器存储的计算机执行指令，以实现上述第一方面或第二方面所述的虚拟私有云安全检测方法。

第六方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现上述述第一方面或第二方面所述的虚拟私有云安全检测方法。

本申请提供的虚拟私有云安全检测方法、装置、设备及存储介质，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，所述虚拟私有云中还部署有负载均衡器，所述负载均衡器与至少一个服务对应集群及所述扫描引擎通信连接，所述负载均衡器与安全检测终端通信连接；所述方法应用于扫描引擎，扫描引擎通过负载均衡器接收安全检测终端发送的扫描指令；按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据；将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。所述方法应用于安全检测终端，安全检测终端通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；接收扫描引擎通过负载均衡器发送的安全扫描结果数据；根据所述安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。由于扫描引擎可以通过负载均衡器与VPC外的安全检测终端进行通信，无需打通开通多个端口，仅将负载均衡器与安全检测终端之间的端口打通就可以实现对虚拟私有云中各服务对应集群的安全扫描，可以减少VPC暴露的端口，减少暴露端口带来的安全隐患，提高VPC的安全性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请提供的网络架构示意图；

图2为本申请实施例一提供的虚拟私有云安全检测方法流程图；

图3为本申请实施例三提供的虚拟私有云安全检测方法流程图；

图4为本申请提供的虚拟私有云安全检测示意图；

图5为本申请实施例五提供的虚拟私有云安全检测装置的结构示意图；

图6为本申请实施例六提供的虚拟私有云安全检测装置的结构示意图；

图7为本申请实施例七提供的电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中，“多个”的含义是两个以上，除非另有明确具体的限定。

首先对本发明所涉及的现有技术进行详细说明及分析。

目前在对VPC内部服务对应集群进行安全检测时，需要在服务对应集群内部署扫描引擎并需要在每个服务对应集群内开通网络端口与外界互通，会导致VPC暴露端口数量较多而产生不必要的安全隐患，损害了VPC的安全性。

负载均衡器可以将流量分发到不同的后端服务，发明人在研究中发现，可以预先将虚拟私有云中的服务配置为负载均衡器的后端服务，从而使扫描引擎可以通过负载均衡器与VPC外的安全检测终端进行通信，无需打通开通多个端口，可以减少端口暴露带来的安全隐患，提高VPC的安全性。所以本申请提供一种虚拟私有云安全检测方法，应用于扫描引擎，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，虚拟私有云中还部署有负载均衡器，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接；扫描引擎通过负载均衡器接收安全检测终端发送的扫描指令后，按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据；将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。本申请还提供一种虚拟私有云安全检测方法，应用于安全检测终端，安全检测终端通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；接收扫描引擎通过负载均衡器发送的安全扫描结果数据；根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

图1为本申请提供的网络架构示意图，如图1所示，包括安全检测终端1、负载均衡器2、扫描引擎3；安全检测终端1向负载均衡器2发送扫描指令，负载均衡器2将接收到的扫描指令发送至扫描引擎3；扫描引擎3按扫描指令对服务对应集群进行扫描，以获得安全扫描结果数据；获得安全扫描结果数据后，扫描引擎3将安全扫描结果数据发送至负载均衡器2，负载均衡器2将接收到的安全扫描结果数据发送至安全检测终端1。

本申请的技术方案中，所涉及的金融数据或用户数据等信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

实施例一

图2为本申请实施例一提供的虚拟私有云安全检测方法流程图，本申请实施例针对VPC内部服务进行检测时，需要在每个服务对应集群内开通网络端口并部署各集群对应的扫描引擎，损害了VPC的安全性的问题，提供了虚拟私有云安全检测方法。本实施例中的方法应用于扫描引擎，扫描引擎中包括虚拟私有云安全检测装置，虚拟私有云安全检测装置可以位于电子设备中。其中，电子设备可以为表示各种形式的数字计算机，例如云服务器。

如图2所示，该方法具体步骤如下：

步骤S101、通过负载均衡器接收安全检测终端发送的扫描指令。

步骤S102、按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据。

步骤S103、将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

本申请实施例中，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，虚拟私有云中还部署有负载均衡器，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接。

本申请实施例中，负载均衡器可以将流量分发到不同的后端服务，可以预先将虚拟私有云中的服务配置为负载均衡器的后端服务。虚拟私有云中的服务包括扫描引擎对应服务。

具体地，在将虚拟私有云中的服务配置为负载均衡器的后端服务后，若负载均衡器接收安全检测终端发送的扫描指令，则负载均衡器可以将该扫描指令发送至对应的扫描引擎；扫描引擎接收到扫描指令后按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据，并将安全扫描结果数据发送至负载均衡器；负载均衡器接收到安全扫描结果数据后，将安全扫描结果数据发送至安全检测终端，以使安全检测终端根据安全扫描结果数据生成对应的安全检测结果。

其中，安全扫描结果数据中包括扫描引擎对各服务对应集群的进行扫描获得的数据，例如，安全扫描结果数据可以为扫描引擎对虚拟私有云中各服务对应集群进行安全扫描时生成的扫描日志。

本申请实施例提供的虚拟私有云安全检测方法，应用于扫描引擎，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，虚拟私有云中还部署有负载均衡器，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接；扫描引擎通过负载均衡器接收安全检测终端发送的扫描指令；按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据；将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。由于预先将扫描引擎配置为负载均衡器的后端，从而使扫描引擎可以通过负载均衡器与VPC外的安全检测终端进行通信，无需打通开通多个端口，仅将负载均衡器与安全检测终端之间的端口打通就可以实现对虚拟私有云中各服务对应集群的安全扫描，可以减少VPC暴露的端口，减少暴露端口带来的安全隐患，提高VPC的安全性。

实施例二

在上述实施例一的基础上，扫描指令中可以包括待扫描的服务的标识，步骤S102按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据的一种实现方式可以包括：按扫描指令对待扫描的服务的标识对应的集群进行安全扫描，以获得安全扫描结果数据。

本申请实施例中，扫描引擎可以以集群的方式部署于虚拟私有云中，无需部署各集群对应的扫描引擎，可以减少VPC内需要部署的扫描引擎的数量，可以减少VPC资源的占用。

具体地，扫描指令中可以包括待扫描的服务的标识，扫描引擎接收到扫描指令后，可以对扫描指令中通过扫描的服务的标识指定的集群进行安全扫描，并获得对应服务的安全扫描结果数据；将安全扫描结果数据发送至安全检测终端后，安全检测终端可以生成待扫描的服务的标识对应的安全检测结果。

可选地，虚拟私有云管理服务器中可以包括Kubernetes组件，可以采用虚拟私有云管理服务器中的Kubernetes组件在虚拟私有云中创建扫描引擎对应集群。

本申请实施例提供的虚拟私有云安全检测方法，按扫描指令对待扫描的服务的标识对应的集群进行安全扫描，以获得安全扫描结果数据，可以指定待扫描的服务，无需对VPC中所有服务进行扫描，可以节约扫描资源及计算资源。

可选地，扫描指令中还可以包括安全扫描类型，步骤S102按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据的一种实现方式还可以包括：按安全扫描类型对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描类型对应的安全扫描结果数据。

其中，安全扫描类型可以为安全漏洞扫描、资产扫描等，本申请实施例对此不做限定。

本申请实施例中，扫描指令中可以包括一种或多种安全扫描类型，扫描引擎接收到扫描指令后，可以按扫描指令包括的中安全扫描类型中对服务对应集群进行安全扫描，并获得安全扫描类型对应的安全扫描结果数据。

本申请实施例提供的虚拟私有云安全检测方法，按安全扫描类型对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描类型对应的安全扫描结果数据，可以按指定的安全扫描类型对服务对应集群进行扫描，可以更匹配用户需求，提高用户体验，并且可以节约计算资源。

可选地，本申请实施例中负载均衡器可以包括入口IP地址及出口IP地址，入口IP地址具有对应的接收端口，出口IP地址具有对应的发送端口；入口IP地址及接收端口及发送端口是虚拟私有云管理服务器控制负载均衡器创建的；负载均衡器分别采用接收端口与发送端口与安全检测终端通信连接。

其中，出口IP地址为VPC物理网络出口IP地址。本申请实施例中，内网对公网的访问都使用出口IP地址。

本申请实施例中，可以预选创建负载均衡器并为负载均衡器配置入口IP地址；开通安全检测终端IP地址与入口IP地址间的接收端口，以及安全检测终端IP地址与出口IP地址间的发送端口。接收端口用于接收安全检测终端发送的扫描指令，发送端口用于向安全检测终端发送安全扫描结果数据。

本申请实施例提供的虚拟私有云安全检测方法，负载均衡器分别采用接收端口与发送端口与安全检测终端通信连接，可以将VPC的出口通道及入口通道分开，可以避免数据冲突，并可以增加数据的安全性。

可选地，在步骤S101通过负载均衡器接收安全检测终端发送的扫描指令之前，还包括：

步骤S201、接收管理服务器发送的端口创建指令。

步骤S202、采用负载监听端口建立与负载均衡器的扫描监听端口之间的通信连接。

其中，端口创建指令用于指示扫描引擎创建负载监听端口；负载均衡器还包括扫描监听端口，扫描监听端口是管理服务器控制负载均衡器创建的。

本申请实施例中，在部署扫描引擎后，需要在扫描引擎集群与负载均衡器的IP地址间创建监听进行通信。具体地，可以根据接收的端口创建指令创建扫描监听端口，从而建立与负载均衡器的扫描监听端口之间的通信连接。

可选地，负载均衡器的IP地址可以为入口IP地址。

本申请实施例提供的虚拟私有云安全检测方法，接收管理服务器发送的端口创建指令，采用负载监听端口建立与负载均衡器的扫描监听端口之间的通信连接，通过与负载均衡器的扫描监听端口之间的通信连可以与负载均衡器之间的通信，从而可以接收负载均衡器发送的扫描指令，并将安全扫描结果数据发送至负载均衡器。

实施例三

图3为本申请实施例三提供的虚拟私有云安全检测方法流程图，本申请实施例针对VPC内部服务进行检测时，需要在每个服务对应集群内开通网络端口并部署各集群对应的扫描引擎，损害了VPC的安全性的问题，提供了虚拟私有云安全检测方法。本实施例中的方法应用于安全检测终端，安全检测终端中包括虚拟私有云安全检测装置，虚拟私有云安全检测装置可以位于电子设备中。其中，电子设备可以为表示各种形式的数字计算机，例如云服务器。

如图3所示，该方法具体步骤如下：

步骤S301、通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描。

步骤S302、接收扫描引擎通过负载均衡器发送的安全扫描结果数据。

步骤S303、根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

其中，扫描引擎及负载均衡器部署于虚拟私有云中，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接。

本申请实施例不限制向扫描引擎发送扫描指令的触发方式。示例性地，可以主动触发对VPC中服务的安全检测、也可以周期性的触发对VPC中服务的安全检测；在确定对VPC中服务的触发安全检测后，通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描。

具体地，在确定向扫描引擎发送扫描指令后，向负载均衡器发送该扫描指令，以使负载均衡器将扫描指令发送至扫描引擎；扫描引擎在接收到扫描指令后，按扫描指令对虚拟私有云中各服务对应集群进行安全扫描以获得安全扫描结果数据；扫描引擎完成扫描后将安全扫描结果数据发送至负载均衡器，以使负载均衡器将安全扫描结果数据发送至安全检测终端。

可选地，在生成虚拟私有云中各服务对应集群的安全检测结果后，还可以向指定邮箱发送包括安全检测结果的邮件，以使指定用户获知各服务对应集群的安全检测结果。

本申请实施例提供的虚拟私有云安全检测方法，应用于安全检测终端，通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；扫描引擎及负载均衡器部署于虚拟私有云中，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接；接收扫描引擎通过负载均衡器发送的安全扫描结果数据；根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。由于预先将扫描引擎配置为负载均衡器的后端，从而使扫描引擎可以通过负载均衡器与VPC外的安全检测终端进行通信，无需打通开通多个端口，仅将负载均衡器与安全检测终端之间的端口打通就可以实现对虚拟私有云中各服务对应集群的安全扫描，可以减少VPC暴露的端口，减少暴露端口带来的安全隐患，提高VPC的安全性。

可选地，扫描指令中包括待扫描的服务的标识和/或安全扫描类型。

本申请实施例中，若扫描引擎以集群的方式部署，则扫描指令中可以包括待扫描的服务的标识，以控制扫描引擎扫描待扫描的服务的标识对应集群。

本申请实施例中，扫描指令中还可以包括一种或多种安全扫描类型，安全扫描类型可以为安全漏洞扫描、资产扫描等，按扫描指令中的安全扫描类型可以检测到集群内部服务的安全漏洞、和/或域名资产等情况，本申请实施例对此不做限定。

具体地，根据扫描指令中的待扫描的服务的标识可以确定待扫描的集群，根据扫描指令中的安全扫描类型，可以确定对待扫描集群的扫描类型。

本申请实施例提供的虚拟私有云安全检测方法，扫描指令中包括待扫描的服务的标识和/或安全扫描类型，可以指定待扫描的服务或指定安全扫描类型，更匹配用户需求，提高用户体验，并且可以节约计算资源。

实施例四

在上述任一实施例的基础上，负载均衡器可以包括入口IP地址，入口IP地址具有对应的接收端口，则步骤S301通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描的一种实现方式可以为：

向负载均衡器的接收端口发送扫描指令，以使负载均衡器将扫描指令发送至扫描引擎。

其中，接收端口为入口IP地址与安全检测终端IP地址之间对应的负载均衡器的通信端口；入口IP地址及接收端口是虚拟私有云管理服务器控制负载均衡器创建的。

本申请实施例中接收端口用于负载均衡器接收安全检测终端发送的扫描指令，负载均衡器通过接收端口接收到扫描指令后，将扫描指令发送至扫描引擎。

本申请实施例提供的虚拟私有云安全检测方法，向负载均衡器的接收端口发送扫描指令，以使负载均衡器将扫描指令发送至扫描引擎，可以实现VPC内集群入口的统一，可以减少暴露的端口，提高了VPC的安全性。

在上述任一实施例的基础上，负载均衡器还可以包括出口IP地址，出口IP地址具有对应的发送端口；则步骤S302接收扫描引擎通过负载均衡器发送的安全扫描结果数据的一种实现方式可以为：

接收通过负载均衡器发送端口发送的安全扫描结果数据。

其中，发送端口为出口IP地址与安全检测终端IP地址之间对应的负载均衡器的通信端口，发送端口是虚拟私有云管理服务器控制负载均衡器创建的；出口IP地址为VPC物理网络出口IP地址。本申请实施例中，内网对公网的访问都使用出口IP地址。安全扫描结果数据为扫描引擎按扫描指令进行安全扫描后发送至负载均衡器的。

本申请实施例中发送端口用于负载均衡器向安全检测终端发送安全扫描结果数据。具体地，负载均衡器在接收到安全扫描结果数据后，通过发送端口将扫描指令发送至安全监测终端。

本申请实施例提供的虚拟私有云安全检测方法，接收通过负载均衡器发送端口发送的安全扫描结果数据，可以实现VPC内集群出口的统一，可以减少暴露的端口，提高了VPC的安全性。

图4为本申请提供的虚拟私有云安全检测示意图，如图4所示，安全终端向负载均衡器的接收端口发送扫描指令，负载均衡器将接收到的扫描指令发送至扫描引擎对应集群，同一个VPC内的集群网络互通，扫描引擎对应集群在接受到扫描指令后可以按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，并获得安全扫描结果数据；扫描引擎对应集群将安全扫描结果数据发送至负载均衡器，负载均衡器通过发送端口将安全扫描结果数据发送至安全检测终端。

实施例五

图5为本申请实施例五提供的虚拟私有云安全检测装置的结构示意图。本申请实施例提供的虚拟私有云安全检测装置，应用于扫描引擎，可以执行虚拟私有云安全检测方法实

施例一提供的处理流程，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，虚5拟私有云中还部署有负载均衡器，负载均衡器与至少一个服务对应集群及扫描引擎通信连

接，负载均衡器与安全检测终端通信连接。如图5所示，该虚拟私有云安全检测装置50包括：接收模块501，扫描模块502和发送模块503。

具体地，接收模块501，用于通过负载均衡器接收安全检测终端发送的扫描指令；

扫描模块502，用于按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获0得安全扫描结果数据；

发送模块503，用于将安全扫描结果数据通过负载均衡器发送至安全检测终端，以使安全检测终端根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

本申请实施例提供的装置可以具体用于执行上述实施例一所提供的方法实施例，具体功能此处不再赘述。

5可选地，扫描引擎以集群的方式部署于虚拟私有云中，扫描引擎对应的集群与虚拟私

有云中的至少一个服务对应集群通信连接；扫描指令中包括待扫描的服务的标识；扫描模块502，具体用于按扫描指令对虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描结果数据，包括：按扫描指令对待扫描的服务的标识对应的集群进行安全扫描，以获得安全扫描结果数据。

0可选地，扫描指令中包括安全扫描类型；扫描模块502，具体用于按安全扫描类型对

虚拟私有云中各服务对应集群进行安全扫描，以获得安全扫描类型对应的安全扫描结果数据。

可选地，负载均衡器包括入口IP地址及出口IP地址，入口IP地址具有对应的接收端

口，出口IP地址具有对应的发送端口；入口IP地址及接收端口及发送端口是虚拟私有云5管理服务器控制负载均衡器创建的；负载均衡器分别采用接收端口与发送端口与安全检测

终端通信连接。

可选地，虚拟私有云安全检测装置50还包括：创建模块；创建模块用于接收管理服务器发送的端口创建指令，端口创建指令用于指示扫描引擎创建负载监听端口；负载均衡

器还包括扫描监听端口，扫描监听端口是管理服务器控制负载均衡器创建的；采用负载监0听端口建立与负载均衡器的扫描监听端口之间的通信连接。

本申请实施例提供的装置可以具体用于执行上述方法实施例一或二，具体功能此处不再赘述。

实施例六

图6为本申请实施例六提供的虚拟私有云安全检测装置的结构示意图。本申请实施例提供的虚拟私有云安全检测装置，应用于安全检测终端，可以执行虚拟私有云安全检测方法实施例三提供的处理流程。如图6所示，该虚拟私有云安全检测装置60包括：发送模块601，接收模块602和生成模块603。

具体地，发送模块601，用于通过负载均衡器向扫描引擎发送扫描指令，以使扫描引擎按扫描指令对虚拟私有云中各服务对应集群进行安全扫描；扫描引擎及负载均衡器部署于虚拟私有云中，扫描引擎与虚拟私有云中的至少一个服务对应集群通信连接，负载均衡器与至少一个服务对应集群及扫描引擎通信连接，负载均衡器与安全检测终端通信连接。

接收模块602，用于接收扫描引擎通过负载均衡器发送的安全扫描结果数据。

生成模块603，用于根据安全扫描结果数据生成虚拟私有云中各服务对应集群的安全检测结果。

本申请实施例提供的装置可以具体用于执行上述实施例三所提供的方法实施例，具体功能此处不再赘述。

可选地，扫描指令中包括待扫描的服务的标识和/或安全扫描类型。

可选地，发送模块601，具体用于向负载均衡器的接收端口发送扫描指令，以使负载均衡器将扫描指令发送至扫描引擎；接收端口为入口IP地址与安全检测终端IP地址之间对应的负载均衡器的通信端口。

可选地，接收模块602，具体用于接收通过负载均衡器发送端口发送的安全扫描结果数据；发送端口为出口IP地址与安全检测终端IP地址之间对应的负载均衡器的通信端口；安全扫描结果数据为扫描引擎按扫描指令进行安全扫描后发送至负载均衡器的。

本申请实施例提供的装置可以具体用。于执行上述方法实施例三或四，具体功能此处不再赘述。

实施例七

图7为本申请实施例七提供的电子设备的结构示意图，如图7所示，本申请还提供了一种电子设备70，包括：存储器701、处理器702及收发器703。

其中，存储器701用于存储计算机执行指令，收发器703用于收发数据，存储器701、处理器702及收发器703通信连接。具体地，程序可以包括程序代码，程序代码包括计算机执行指令。存储器701可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。

处理器702，用于执行存储器701存放的存放计算机执行指令。

其中，计算机执行指令存储在存储器701中，并被配置为由处理器702执行以实现本申请实施例一、二或实施例三、四提供的方法。相关说明可以对应参见附图中的步骤所对应的相关描述和效果进行理解，此处不做过多赘述。

其中，本申请实施例中，存储器701和处理器702通过总线连接。总线可以是工业标准体系结构(Industry Standard Architecture，简称为ISA)总线、外部设备互连(Peripheral Component Interconnect，简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现本申请实施例一、二或实施例三、四提供的方法。

本申请实施例还提供一种计算机程序产品，包括计算机执行指令，计算机执行指令被处理器执行时实现本申请实施例一、二或实施例三、四提供的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

用于实施本申请的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程全路径轨迹融合装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本申请的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本申请的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。