CN102132287A - 保护虚拟客机免于受感染主机的攻击 - Google Patents
保护虚拟客机免于受感染主机的攻击 Download PDFInfo
- Publication number
- CN102132287A CN102132287A CN2009801341015A CN200980134101A CN102132287A CN 102132287 A CN102132287 A CN 102132287A CN 2009801341015 A CN2009801341015 A CN 2009801341015A CN 200980134101 A CN200980134101 A CN 200980134101A CN 102132287 A CN102132287 A CN 102132287A
- Authority
- CN
- China
- Prior art keywords
- main frame
- obedient
- passenger plane
- biddability
- described main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Abstract
在一虚拟化环境(100)中,监视客机(205)可在其上操作的主机(210)以确定它是否因顺从适用策略(如更新到当前最新安全补丁、运行反病毒程序、已被证明能运行客机,等等)并且不受可能破坏或损害客机(205)的安全性的恶意软件(即,“malware”)(252)的影响而健康。如果发现主机(210)是不顺从(non-compliant)的,则防止客机(205)在该主机(210)上引导或连接到网络(223),以确保整个虚拟化环境(100)是顺从的并且保护客机(205)(包括它的数据和应用等)免受可经由在不健康主机(210)上运行的恶意代码来针对它发起的攻击或将客机从网络(223)隔离,直至非顺从性得到补救为止。
Description
背景技术
虚拟化是使得能够通过将一个计算资源与其他计算资源隔离或解除耦合来更有效且高效地利用信息技术(“IT”)基础结构的具有广泛影响的重要策略。这一策略可应用于计算栈的所有层,从数据中心到桌面。并非像典型的静态计算环境那样将各层锁定在一起——操作系统(“OS”)锁定到硬件、应用程序锁定到OS、以及用户界面锁定到本地计算设备,虚拟化旨在放松这些部分对彼此的直接依赖。
这样的数据中心-到-桌面虚拟化使得在无需获取新硬件并配置各组件的情况下快速部署新能力成为可能。减少了测试需求和应用兼容性问题,简化了自动化过程,并且更容易实现灾难恢复能力。在桌面上,虚拟化可帮助创建使消费者或企业员工能够访问他们所需要的应用的基础结构,而不管他们位于何处。例如,使用虚拟化产品和技术来实现客机,用户可以使用主机从实际上任何位置来访问他们的个性化桌面,他们的应用程序、数据、设置、以及偏好全部都保持完好。
提供本背景技术来介绍以下概述和详细描述的简要上下文。本背景技术不旨在帮助确定所要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题或缺点中的任一个或全部的实现。
概述
在虚拟化环境中,客机受该客机可在其上操作的不健康的受感染主机的攻击的威胁是通过以下安排来解决的:监视主机以确定它是否因顺从适用策略(如,更新到当前最新安全补丁,运行反病毒程序,已被证明能运行客机,等等)并且不受可能破坏或损害客机的安全性的恶意软件(即“malware”)的影响而健康。如果发现主机是不顺从(non-compliant)的,则防止客机在该主机上引导或连接到网络,以确保整个虚拟化环境是顺从的并且保护客机(包括它的数据和应用等)免受经由在不健康的主机上运行的恶意代码针对它发起的攻击,或将客机从网络隔离直至可以补救不顺从性为止。
在各说明性示例中,在客机上运行的客健康代理被配置成在客机的引导过程期间与主机上的主健康代理进行通信,以检查主机与存储在客机上的或从顺从策略服务器接收到的一个或多个顺从策略的顺从性。如果发现主机是不顺从的,则客机可以向用户显示出错消息,以便可以补救主机的不顺从性,例如通过安装适当的补丁、缺失的反病毒应用或更新等。如果主机已经是顺从的,或在补救之后变得顺从,则客机可以完成它的引导过程以实现虚拟化环境,使得用户的桌面、应用、和数据变得可在客机上供使用。
在虚拟化环境被初始化并且运作之后,还可以周期性地检查主机的顺从状态。例如,如果客机尝试连接到诸如企业或公司网络等网络,则客健康代理可以向主健康代理请求指示主机的当前健康状况的顺从性声明。在授予网络访问之前,顺从性声明可由客健康代理转发到网络上的远程策略实施点以验证主机与该实施点所要求的一个或多个策略的顺从性。如果顺从性声明指示出主机不遵从适用策略(这指示主机处于危险中,并且具有高的受感染和/或受恶意软件损害的机会),则拒绝网络访问。可以向用户提供出错消息,以便可以在再次尝试网络访问之前补救不顺从性。
在检查主机的健康的另一示例中,如果怀疑虚拟化环境的完整性受到损害,则客健康代理可以向主健康代理请求顺从性声明以验证和/或确认与适用策略的继续顺从。例如,可以在端点(即,安全网关设备)处接收在企业安全评估共享(“ESAS”)安全模型下的安全评估,该端点被安排成监视网络中的安全相关信息。接收到的安全评估可以触发虚拟环境受到损害的怀疑。顺从性声明可被用来确定是否发生了涉及主机的安全事故,以确认或拒绝该怀疑,或触发对主机的附加分析。如果确认主机受到损害,则可以挂起客机上的操作,拒绝网络连接请求等等,直至涉及主机的安全事故已被解决并补救为止。
有利的是,本发明的用于保护客机免受主机上的恶意软件的攻击的安排使得能够增强虚拟化环境中的安全性。尽管维持了对计算资源解除耦合的基本虚拟化原理,但对客机和主机的安全分析被链在一起以检查并实施主机对适用策略的顺从性。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图描述
图1示出可在主机上操作的虚拟化体系结构;
图2示出客机可在具有到网络的连接的主机上操作的说明性虚拟化环境;
图3示出可在客机和主机上操作的说明性组件;
图4示出在客机引导时检查主机的健康状况的第一说明性使用场景的流程图;
图5示出周期性地检查主机的健康状况的第二说明性使用场景的流程图;
图6示出其中提供信道以使得能够在多个端点之间共享安全评估的说明性企业安全评估共享(“ESAS”)安排;以及
图7示出使用安全评估来触发对主机与适用策略的顺从性的检查的说明性场景。
各附图中相同的附图标记指示相同的元素。
详细描述
虚拟化是在许多方面极大地改变当今计算的分裂技术。例如,虚拟化使得用户(即,消费者或诸如企业员工等商业用户)能够避免在离开他们的台式PC(个人计算机)时必须携带他们自己的膝上型计算机。相反,他们可以在诸如USB(通用串行总线)设备等便携式存储设备上携带他们桌面的镜像,并在诸如家庭PC;酒店自助服务终端、机场、图书馆或网吧处的可公共访问的PC;朋友的家庭计算机等任何主计算机上将该桌面作为虚拟客机来运行。
通过创建被称为分区的、主机的操作系统和一个或多个客机在其中执行的多个隔离逻辑单元,可在诸如PC等主机100上设置虚拟化环境。如图1所示,虚拟化环境102通常包括可被用来创建支持客机的一个或多个子分区1101...N的根分区106。在一些情况下,子分区还可进一步产生它自己的子分区。根分区106包含主机的操作系统并且能够直接访问该主机的硬件,包括中央处理器、存储器以及其他硬件资源。
虚拟化软件层116被安排在各分区与主机上的硬件120之间。在该示例中,虚拟化软件包括通过支持分区间通信的层116中的逻辑信道来向子分区110展示硬件120的虚拟视图的管理程序。来自客机的对虚拟硬件的请求通过该逻辑信道被定向到父分区或根分区。根分区随后将管理这些请求并通过该信道进行响应。整个请求和响应过程对在客机上运行的操作系统而言完全透明。
尽管虚拟化执行得很好并且提供显著的灵活性和经济价值,但在主机感染了诸如病毒、特洛伊木马、键击记录器等恶意软件时,存在可能的安全威胁。一旦在子分区110上启动了客机,就可向主机上的恶意软件提供偷取或篡改该客机上的数据的机会。另外,如果客机被用来访问诸如远程企业网络等网络,则恶意软件可以通过该客机来获得对网络上的资源和数据的未经授权的访问。
诸如NAP/NAC(网络访问保护/控制)等安全解决方案可用于通过验证客机与给定顺从策略的顺从性来检查客机的健康状况。例如,该策略可以指定客机要使用最新安全补丁来完全更新、运行具有最新当前签名的反病毒或反恶意软件软件程序、具有正确地配置的软件防火墙等。然而,当前解决方案只对客机执行顺从性检查而忽略主机的健康状况。因此,即使在发现客机完全顺从并且健康的情况下,当前解决方案也不能解决将客机暴露给可能驻留在主机上的恶意软件的问题。
图2示出可以实现本发明的用于保护客机免于受感染主机的攻击的安排的说明性虚拟化环境200。虚拟客机205可在诸如PC等具有到诸如远程企业网络223(“企业内网”)等网络的连接215的主机210上操作。网络连接215可以使用包括例如VPN(虚拟专用网)、基于SSL(安全套接字层)的VPN、通过IPSec(因特网协议安全)的VPN等各种远程连网协议之一来实现。或者,网络连接215可以使用全局SCM(安全内容管理)基础结构来实现,例如在本申请的受让人所拥有的2008年6月29日提交的题为“Globally Distributed Infrastructure for Secure Content Management(用于安全内容管理的全局分布的基础结构)”的美国专利申请第12/164,078号中描述的,该申请通过引用而整体结合于此。
在企业内网223中,网络连接215的远程端点处是策略实施点226,连同顺从策略服务器230,它们各自将在下文详细描述。企业资源和数据(在图2中由数据234统一标识)可在企业内网223中获得,并且通常包括需要保护免受盗窃和恶意攻击的一些私有、敏感和/或机密信息。企业内网223通常被安排成支持其他设备,如支持公司或企业的员工的IT需求所需要的客户机计算机、工作站、膝上型计算机、移动设备等(未示出)。其他设备可以在逻辑上与企业内网223部署在一起或在一些情况下部署在企业内网的远程。
边缘防火墙239位于企业内网223中的周界处,它被配置成监视企业内网与诸如因特网242等外部网络之间的通信。诸如电子邮件和web服务器和数据库等外部资源245通常可通过因特网242来访问。
用户可以通过将该用户的桌面镜像250从诸如所示的USB驱动器等便携式存储介质253加载到主机210来创建虚拟化环境200。在一些情况下,便携式存储介质253还可包括虚拟化软件116。在桌面镜像250被传送到子分区并且虚拟化软件可运作时,在主机210上实例化客机205,并且客机205在主机上虚拟化用户的计算机,包括桌面、应用、数据、设置以及偏好。注意,在客机205上虚拟化的对象(即,应用、数据等)的具体混合可以随实现而变化,并且并非在每一实现中都需要虚拟化所有对象。
主机210通常位于企业内网223的远程并且可包括可公共访问的PC,如自助服务终端、图书馆等处的PC,或基于家庭的计算机,从安全保护观点来看基于家庭的计算机通常不像它们的企业内网相对物那样被严密地控制或监视。结果,恶意软件(如附图标记252所示)可以感染主机,这有可能损害客机205。
为了处理主机210上的恶意软件威胁,如图3所示,主健康代理305被配置成在主机上运行,并检查主机与顺从策略308的顺从性。在一些实现中,当客机首次在子分区上启动时,顺从策略308可以本地存储在客机205上,或在其他实现中,顺从策略308可以从顺从策略服务器230(图2)中检索。顺从策略308通常将指定主机210的最小可接受健康条件。这样的条件可以随实现变化,或由安全管理员来配置。例如,顺从策略308可以指定主机210应打上最新安全更新补丁并且受反病毒产品或服务的保护。尽管在该示例中说明性地使用了单个策略,但在一些应用中,可以利用多个顺从策略。
主健康代理305和本地存储的顺从策略可被存储在便携式存储介质253(图2)上,并且在启动期间分别被传送到主机和客机。在一些实现中,主健康代理305可被实现成NAP客户端的一部分或可在主机210上运行或另外包括类似NAP功能的其他组件或代理的一部分。
主健康代理305可以检查指示主机的健康状况的各种因素,包括例如:安全补丁状态(其中术语“状态”指的是最后的补丁是什么以及它是在何时安装的)、反病毒和/或反恶意软件软件的存在、病毒或恶意软件签名的更新状态、指示主机被证明能运行客机的特定证书/文件/注册表键的存在(例如,主机是企业或企业内网的IT资产)、适当地配置的软件防火墙的存在,等等。注意,在此列出的因素旨在是说明性的,并且还可以利用其他因素,如满足具体实现的需求可能需要的那些因素。
主健康代理305还被配置成与作为客机205的组件的对应的客健康代理312进行通信。具体而言,在主健康代理305执行检查之后,主健康代理305可以生成指示主机的健康状况的顺从性声明320。顺从性声明320可由主健康代理305例如响应于来自客健康代理312的请求而发送到客健康代理。或者,主健康代理305可以在发生其他触发或条件时或者在预定时间自己主动地发送顺从性声明320。
主健康代理305可被配置成将顺从性声明320发送到顺从策略服务器230(或策略实施点226)而非客健康代理312。在这种情况下,顺从策略服务器230可以检查顺从性声明320。如果发现主机210顺从适用策略,则顺从策略服务器230可以向主健康代理305发行经签署的健康证书322。在主健康代理305从客健康代理312接收到请求时,它可以将经签署的健康证书322发送到该客健康代理。
客健康代理312可以在本地使用顺从性声明320(或经签署的健康证书322)来确定是否存在客机205可在其中操作的安全虚拟化环境。另外,在访问外部网络或企业内网223(图2)时,客机205可以将顺从性声明320(或经签署的健康证书322)转发到策略实施点226。这些使用中的每一个在下文图4和5中的流程图中示出的使用场景中被进一步示出。这些流程图参考图2和3中示出并在所附文本中描述的元素。
图4示出主健康代理305在客机205在主机210上的引导或初始化过程中的某一点处检查该主机的健康状况的第一说明性使用场景400的流程图。例如,该检查可以在用户尝试将桌面镜像250作为客机来在可位于诸如图书馆、自助服务终端或网吧等公共场所的未知主机上启动的任何时间发生。在客机205开始引导过程(如附图标记410所示)时,场景400开始,此时,客健康代理312启动(415)。
客健康代理312对主健康代理305作出检查主机210的健康状况的请求(420),以便可以查明主机对策略308的顺从性。如上所述,所检查的具体因素以及策略308所施加的要求可以随实现变化。主健康代理305响应于该请求来执行健康检查(425)并将顺从性声明320提供给客健康代理312(430)。或者,如上所述,主健康代理305可以将顺从性声明320提供给顺从策略服务器230并在确定主机顺从适用策略的情况下接收回经签署的健康证书322。
客健康代理312对照顺从策略308来比较从主健康代理305接收到的顺从性声明320(435)。如果确定主机210是顺从的(或如果经签署的健康证书322指示顺从性)(在判定框410处),则允许客机205继续其引导过程直至其结束(445)。这使得能够创建虚拟化环境200,以便可以在客机205上提供用户的桌面、应用、设置、偏好、数据等中的一个或多个(460)。
如果主机上不存在客健康代理或顺从性声明320对照策略308的比较指示主机210不遵从该策略,则可以经由在客机205上运行的用户界面来显示出错消息(450)。该出错消息可以给出主机210的不顺从性的细节的通知,使得用户可以尝试补救主机上的问题。例如,如果主机210遗漏了关键安全补丁,则用户可以下载该补丁并安装它来使该主机顺从策略308。一旦做了如此补救,客机205就可以继续引导过程(455)以便为用户创建虚拟化环境(460)。
图5示出主健康代理305周期性地检查主机210的健康状况的第二说明性使用场景500的流程图。在该示例中,在客机205尝试访问诸如企业内网223等外部网络时执行该检查。
在策略实施点226通过网络连接215看到该尝试时,它将在允许完成到企业内网223的连接之前请求产生顺从性声明(510)。作为响应,客健康代理312向主健康代理305请求顺从性声明320(515)并且主健康代理执行主机210的健康检查以生成顺从性声明(520)。或者,如上所述,主健康代理305可以将顺从性声明320提供给顺从策略服务器230并在确定主机顺从适用策略的情况下接收回经签署的健康证书322。
客健康代理312将顺从性声明320转发给策略实施点226(525)。策略实施点226对照适用顺从策略来比较该声明(530)。通常,适用策略将由顺从策略服务器230来提供。另外,如上述在本地存储的策略308的情况下,在给定实现中,一个或多个策略可适用于主机210。如果来自主健康代理305的顺从性声明指示主机210顺从适用策略(或如果经签署的健康证书322指示顺从性)(在判定框535处),则策略实施点226向客机205授予对企业内网223的访问(540)。
如果主机上不存在客健康代理或顺从性声明320对照顺从策略服务器230所提供的策略的比较指示主机210不遵从该策略,则策略实施点226拒绝网络访问(545),并且可以经由在客机205上运行的用户界面来显示出错消息(550)。该出错消息可以给出主机210的不顺从性的细节的通知,使得用户可以尝试补救主机上的顺从性问题。例如,如果主机210遗漏了在主机上运行的反病毒产品的恶意软件签名的最新更新,则用户可以下载该签名更新并安装它来使该主机顺从适用策略。如果如此补救,则顺从实施点226向客机205授予网络访问(555),以使得该客机处的用户可以对数据存储234进行读写和/或访问基于因特网的资源245。
在其他情况下,主健康代理305也可被用来检查主机210健康状况。例如,如果怀疑虚拟化环境的完整性被损害,则客健康代理可以向主健康代理请求健康声明以验证和/或确认继续顺从适用策略。在一个说明性示例中,可以接收在ESAS安全模型下的安全评估来触发这样的怀疑。
图6示出其中提供信道605以使得能够在被称为端点6101,2...N的多个安全网关之间共享安全评估的说明性ESAS安排600。用于企业网络安全的基于ESAS的安全模型在本申请的受让人所拥有的2007年3月14日提交的题为“Enterprise Security Assessment Sharing(企业安全评估共享)”的美国专利申请第11/724,061号中描述,并且该申请通过被引用而整体结合于此,它提供了对安全事故的增强检测并启用单个企业范围视图来使安全管理员能够定义并实施清楚、简单以及统一的企业范围响应策略来对安全事故进行自动响应。
ESAS依赖于语义抽象,称为使得能够在企业安全环境中的各端点之间共享安全相关信息的安全评估。在该示例中,企业安全环境可包括企业内网223(图2)以及它支持的用户和机器(包括客机205和主机210),或涵盖使用例如全局SCM基础结构的分布式安排。
安全评估被定义为端点将较宽泛的上下文含义向所收集的关于该环境中诸如计算机、用户、服务、网站、数据或企业整体等感兴趣对象的信息(即,某些上下文中的数据)的试验性指派。安全评估利用对于端点的简明词汇来声明环境中的对象落入诸如“已受损”或“正被攻击”等某一评估类别以及所检测到的事故的严重性(例如,低、中、高、关键)。
安全评估是试验性的,因为它遭受某种不确定性并且在有限时间段内有效。安全评估的试验性特性反映在其两个分量中:保真度字段,其表达端点对其上下文含义指派的置信度水平,以及生存时间(“TTL”)字段,其反映端点对安全评估预期有效的时间段的估计。由此,例如,安全评估可由端点用来根据该端点对一个或多个安全事故的现有理解来声明某一机器已受损,严重性等级为关键、保真度为中且具有30分钟的TTL。
在任何给定企业网络环境中,可以利用各种类型的安全评估。这些可包括例如评估类别和对象类型的各种组合。
ESAS通常提供多个优点。通过采用具有简明词汇的安全评估,显著地降低了企业中的总体数据复杂性并且在各端点之间只共享有意义的信息。使用安全评估还消除了对在中央存储位置收集大量原始数据的需求,并由此使得能够在非常经济的基础上构建高度可缩放的企业安全解决方案。另外,可容易地用按需可扩展性来部署新端点。安全评估可以在该新端点和现有端点之间共享而无需重新配置现有端点中的响应策略中的任一个。新端点使用现有端点已经理解的语义抽象来担当新的安全评估源即可。利用安全评估还使得能够使用非常紧凑且清楚的方法来建立企业范围安全策略,而无需理解每一个端点可在企业中生成的所有可能的安全事件并然后试图描述对于每一个事件的响应动作。
在ESAS安全模型下,企业网络用户服从管控IT资产在企业环境中的利用的安全策略。具体而言,安全策略通常至少部分地由端点610来实施。安全策略通常对哪些用户可以访问信息、什么类型的信息可被访问以及何时可被访问、准许和不准许的行为、审计企业中的实践等等进行管控。
端点610可包括例如对企业内的安全相关数据的不同部分进行监视、评估并采取动作的安全产品。例如,如图6所示,企业内网223可以利用安全产品的组合,包括边缘防火墙产品6101、一个或多个专用行业安全网关产品6102以及主安全产品610N。尽管在该特定说明性示例中没有使用,但取决于特定实现的需求,也可使用其他类型的安全产品,包括例如业务安全网关、信息泄漏保护网关、包括web应用保护产品的网络侵入检测系统(“NIDS”)产品、UTM(统一威胁管理)产品、SEM/SIM(安全事件管理/安全事故管理)产品、NAP产品、以及可用的健康监视和配置管理产品(例如,微软
Software Update Services(软件更新服务))。
边缘防火墙是被安排成保护企业内网223免遭基于因特网的威胁同时向用户提供对应用和数据的远程访问的安全产品。边缘防火墙可具体化为例如,微软Internet Security and
(因特网安全和加速,“ISA”)服务器。行业安全产品保护各种行业应用,包括例如企业内网223中使用的电子邮件应用,如微软
以提供反病毒和反垃圾邮件保护。主机安全产品的商用示例是微软公司的Threat Management Gateway(“TMG”,威胁管理网关)产品,其为企业的台式计算机、膝上型计算机和服务器操作系统提供统一的恶意软件保护。
在大多数典型的ESAS实现中,还可以使用被称为ESAS中央服务器616的专用端点。ESAS中央服务器616耦合到安全评估信道605,并通过订阅所有安全评估、记录安全评估、并且还记录由端点610响应于环境中的安全事故而采取的本地动作来作为集中式审核点来执行。该ESAS中央服务器616向管理员提供企业整体以及每一端点610的历史和当前状态的综合视图。利用安全评估使得管理员能够紧凑且高效地配置对跨整个企业检测到的事故的响应策略。安全评估用作用于定义企业范围安全响应策略的自然锚或起始点。由此启用流水线化的且一致的管理界面来为跨整个企业的每一种类型的安全评估定义所需响应。
端点610还可具有将安全评估发布到在环境中操作的安全评估信道上以及订阅由其他端点发布的可用安全评估的子集的功能。存在于环境中的活动的安全评估(即,具有指示评估仍然有效的TTL的安全评估)用于提供安全上下文,该安全上下文给予这样的端点610查看其自己的本地可用信息的新的方式。
即,该安全上下文允许端点610将从各种不同源接收到的并且跨对象类型的安全评估的证据进行组合或相关以显著提高其对潜在安全事故的检测的质量。端点610随后根据一组响应策略来作出关于对于每一种类型的安全评估(无论是从另一端点接收到的还是由该端点本身内部生成的)什么本地动作或响应是适当的决定。事故检测是高效且经济的,因为安全上下文使得能够以安全评估的形式来对企业范围信息进行分布式处理,而没有在整个企业中共享大量原始数据(其中大多数都由于缺乏任何上下文而是完全无关的)的负担。端点610还被安排成在提示本地动作的安全评估到期时(即,在该安全评估超过TTL字段中所指定的生存时间时)回退该本地动作。
在该说明性示例中,客机205还被配置成通过安全评估信道605接收到的标识涉及主机210的安全事故的安全评估的订户。因此,安全评估信道605可以例如通过VPN/SSL连接或使用全局SCM访问来虚拟地并且在逻辑上扩展到客机。
图7示出使用安全评估来触发对主机与适用策略的顺从性的检查的说明性场景700。场景700可以分四个阶段来描述。如附图标记710所指示的,边缘防火墙6101首先标识主机210可能已受损,例如这是因为该主机创建了太多的到因特网242的连接而使得对于该行为的最有可能的解释是安全性损害的存在。
其次,如附图标记720所示,边缘防火墙6101通过安全评估信道605将具有高严重性和高保真度的、指示怀疑主机“已受损”的安全评估发送到订阅端点610。第三,由于客机205是涉及其主机的安全评估的订户,所以它将通过安全评估信道605接收到安全评估720。安全评估720引起对主机上的根分区包含出于恶意目的而作出连接的恶意软件的怀疑。如果确认了这样的怀疑,则虚拟化环境是不健康的并且客机205可能处于危险中。因此,接收到的安全评估720可被用来触发向客健康代理312请求主健康代理305执行主机210的健康检查。主健康代理305将响应于该请求来执行该检查并将指示结果的顺从性声明320提供给客健康代理312。如果顺从性声明320指示一问题,则可以通知用户以便可以实现补救。
另外,在一些实现中,接收安全评估720的订阅端点6101.2...N和ESAS中央服务器616可被用来通过应用它们自己的相关规则和本地可用的数据来应用专用的安全专家经验来触发动作。可对客机205执行端点610的动作以检查该客机是否受在主机上检测到的安全事故的损害,补救任何损害,和/或将该客机从企业内网或其他IT对象隔离,直至验证了它是健康的为止。端点610所采取的动作可另选地应用于主机210,而在一些实现中,客机205和主机210都可以是这些动作的主体。通常,所采取的特定动作和它们应用到的IT对象将由在企业内网或企业环境中配置和实现的响应策略来管控。
如图7中的附图标记740笼统地示出的,端点610响应于接收到的安全评估所采取的动作说明性地包括主安全端点610N执行按需反病毒扫描。另外,如图所示,行业安全端点6102可以临时地挂起即时消息收发(“IM”)或电子邮件通信。ESAS中央服务器616引发对安全分析员(例如,管理员)的警告并且还记录安全评估和所调用的所有动作。要强调的是,这些动作旨在是说明性的并且其他端点所采取的其他动作可被用来满足给定实现或使用场景的需求。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上文所描述的具体特征和动作是作为实现权利要求的示例形式来公开的。
Claims (15)
1.一种用于操作在主机(210)上操作的子分区(110)中创建的客机(205)的方法,所述方法包括以下步骤:
在所述主机(210)的子分区(110)上启动所述客机(205)的引导过程;
与所述主机(210)上的根分区(106)进行通信以确定所述主机(210)对顺从策略(308)的顺从性;
如果确定所述主机(210)顺从所述顺从策略(308),则完成所述客机(205)在所述子分区(110)中的引导过程以创建虚拟化环境(100);以及
如果确定所述主机(210)不顺从所述顺从策略(308),则终止所述客机(205)在所述子分区(110)中的引导过程。
2.如权利要求1所述的方法,其特征在于,还包括使用能在所述客机上操作的客健康代理来与所述根分区进行通信的步骤。
3.如权利要求2所述的方法,其特征在于,还包括使用能在所述主机的根分区上操作的主健康代理来与所述客健康代理进行通信的步骤。
4.如权利要求3所述的方法,其特征在于,所述主健康代理被配置成检查指示所述主机的健康状况的一个或多个因素。
5.如权利要求4所述的方法,其特征在于,所述一个或多个因素包括以下中的至少一个:安全补丁状态、反病毒软件的存在、反恶意软件的存在、病毒签名状态、恶意软件签名状态、指示所述主机已被证明能运行所述客机的证书或文件注册表键的存在、防火墙的存在或所述防火墙的配置状态。
6.如权利要求3所述的方法,其特征在于,还包括接收存储在计算机可读介质上的指令的步骤,所述指令在由部署所述主机上的一个或多个处理器执行时实现所述主健康代理或所述客健康代理。
7.如权利要求6所述的方法,其特征在于,所述计算机可读介质是还包括在所述虚拟化环境中使用的桌面镜像的存储介质。
8.如权利要求7所述的方法,其特征在于,所述桌面镜像包括所述顺从策略、数据、用户设置、用户偏好或应用中的一个或多个。
9.如权利要求1所述的方法,其特征在于,还包括以下步骤:i)配置所述客机以耦合到通信信道,用于安全评估的发布和订阅模型通过该通信信道来操作,每一安全评估被安排成提供与联网环境中的对象有关的安全事故的上下文意义,所述通信信道在多个安全端点之间共享,并且所述安全评估使用所述多个端点通常理解的分类法,ii)通过所述通信信道接收描述所述主机上的、由安全端点检测到的可能安全事故的安全评估,以及iii)响应于所接收到的安全评估,触发对所述主机上的组件执行所述主机的健康检查的请求。
10.如权利要求1所述的方法,其特征在于,还包括在确定所述主机不顺从时显示出错消息的步骤,所述出错消息指示所述主机不顺从所述顺从策略并且提供可以执行对不顺从性的补救的通知。
11.一种用于管理来自在主机(210)上的子分区(110)上运行的客机(205)的网络访问的方法,所述方法包括以下步骤:
从所述客机(205)接收对连接到网络(223)的请求;
从所述客机(205)请求指示所述主机的健康状态的顺从性声明(320);
对照指定所述主机(210)的最小健康条件的一个或多个顺从策略来比较所述顺从性声明(320);
如果所述顺从性声明(320)指示所述主机(210)顺从所述一个或多个顺从策略,则向所述客机(205)授予对所述网络(223)的访问;以及
如果所述顺从性声明(320)指示所述主机(210)不顺从所述一个或多个顺从策略,则拒绝连接到所述网络(223)的请求。
12.如权利要求11所述的方法,其特征在于,还包括从顺从策略服务器接收所述一个或多个顺从策略的步骤。
13.如权利要求11所述的方法,其特征在于,还包括在补救了所述主机对所述一个或多个顺从策略的不顺从性的情况下向所述客机授予对所述网络的访问的步骤。
14.如权利要求13所述的方法,其特征在于,所述远程连接是由VPN、使用SSL的VPN、通过IPSec的VPN、或全局SCM服务之一来实现的。
15.如权利要求11所述的方法,其特征在于,所述顺从性声明是由在所述主机的根分区上运行的组件生成的,所述组件被安排成检查所述主机的健康状态并且将所述顺从性声明返回所述客机,或被安排成检查所述主机的健康状态并将所述顺从性声明返回给顺从策略服务器并且在确定所述主机顺从所述一个或多个顺从策略的情况下从所述顺从策略服务器接收经签署的健康声明。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/199,812 | 2008-08-28 | ||
| US12/199,812 US8954897B2 (en) | 2008-08-28 | 2008-08-28 | Protecting a virtual guest machine from attacks by an infected host |
| PCT/US2009/052438 WO2010025007A2 (en) | 2008-08-28 | 2009-07-31 | Protecting a virtual guest machine from attacks by an infected host |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102132287A true CN102132287A (zh) | 2011-07-20 |
| CN102132287B CN102132287B (zh) | 2015-02-11 |
Family
ID=41722206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980134101.5A Active CN102132287B (zh) | 2008-08-28 | 2009-07-31 | 保护虚拟客机免于受感染主机的攻击 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8954897B2 (zh) |
| EP (1) | EP2318975B1 (zh) |
| JP (1) | JP5518865B2 (zh) |
| CN (1) | CN102132287B (zh) |
| WO (1) | WO2010025007A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103718183A (zh) * | 2011-07-25 | 2014-04-09 | 阿尔卡特朗讯 | 软件运行时出处 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015789B2 (en) * | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
| US9426179B2 (en) | 2009-03-17 | 2016-08-23 | Sophos Limited | Protecting sensitive information from a secure data store |
| US9621584B1 (en) * | 2009-09-30 | 2017-04-11 | Amazon Technologies, Inc. | Standards compliance for computing data |
| US9087188B2 (en) * | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
| US8321940B1 (en) * | 2010-04-30 | 2012-11-27 | Symantec Corporation | Systems and methods for detecting data-stealing malware |
| US9111079B2 (en) | 2010-09-30 | 2015-08-18 | Microsoft Technology Licensing, Llc | Trustworthy device claims as a service |
| US8875286B2 (en) | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
| US9218461B2 (en) * | 2010-12-01 | 2015-12-22 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions |
| US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
| US8843915B2 (en) * | 2011-07-28 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Signature-based update management |
| US8782351B2 (en) | 2011-10-13 | 2014-07-15 | International Business Machines Corporation | Protecting memory of a virtual guest |
| US8788763B2 (en) | 2011-10-13 | 2014-07-22 | International Business Machines Corporation | Protecting memory of a virtual guest |
| US9032520B2 (en) * | 2012-02-22 | 2015-05-12 | iScanOnline, Inc. | Remote security self-assessment framework |
| US8839447B2 (en) * | 2012-02-27 | 2014-09-16 | Ca, Inc. | System and method for virtual image security in a cloud environment |
| US9058504B1 (en) * | 2013-05-21 | 2015-06-16 | Malwarebytes Corporation | Anti-malware digital-signature verification |
| GB2515757A (en) * | 2013-07-02 | 2015-01-07 | Ibm | Managing virtual machine policy compliance |
| US9065854B2 (en) * | 2013-10-28 | 2015-06-23 | Citrix Systems, Inc. | Systems and methods for managing a guest virtual machine executing within a virtualized environment |
| US9762603B2 (en) * | 2014-05-10 | 2017-09-12 | Informatica Llc | Assessment type-variable enterprise security impact analysis |
| US9851998B2 (en) | 2014-07-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Hypervisor-hosted virtual machine forensics |
| US10425447B2 (en) * | 2015-08-28 | 2019-09-24 | International Business Machines Corporation | Incident response bus for data security incidents |
| US9990222B2 (en) * | 2016-03-18 | 2018-06-05 | Airwatch Llc | Enforcing compliance rules against hypervisor and virtual machine using host management component |
| US10142364B2 (en) | 2016-09-21 | 2018-11-27 | Upguard, Inc. | Network isolation by policy compliance evaluation |
| US10795991B1 (en) * | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| US10554492B2 (en) | 2017-06-09 | 2020-02-04 | Microsoft Technology Licensing, Llc | Physical machine management in distributed computing systems |
| US11030057B2 (en) * | 2018-07-06 | 2021-06-08 | EMC IP Holding Company LLC | System and method for critical virtual machine protection |
| US11604671B2 (en) | 2020-03-19 | 2023-03-14 | Red Hat, Inc. | Secure virtual machine and peripheral device communication |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040059900A1 (en) * | 2002-09-24 | 2004-03-25 | Drake Backman | Mechanism for controlling PXE-based boot decisions from a network policy directory |
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN1940805A (zh) * | 2005-09-30 | 2007-04-04 | 联想(北京)有限公司 | 计算机系统及其安全加固方法 |
| CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
| CN101071463A (zh) * | 2007-06-08 | 2007-11-14 | 北京飞天诚信科技有限公司 | 虚拟个人办公环境的方法和设备 |
| US20080046990A1 (en) * | 2006-08-21 | 2008-02-21 | International Business Machines Corporation | System and method for validating a computer platform when booting from an external device |
| WO2008054999A2 (en) * | 2006-10-17 | 2008-05-08 | Manage Iq, Inc. | Enforcement of compliance policies in managed virtual systems |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6609199B1 (en) | 1998-10-26 | 2003-08-19 | Microsoft Corporation | Method and apparatus for authenticating an open system application to a portable IC device |
| GB2376764B (en) | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
| GB2376765B (en) | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments with verifiable environment identities |
| US7370324B2 (en) | 2003-09-30 | 2008-05-06 | Intel Corporation | Switching between a service virtual machine and a guest virtual machine in a virtual machine monitor environment |
| US20050132122A1 (en) | 2003-12-16 | 2005-06-16 | Rozas Carlos V. | Method, apparatus and system for monitoring system integrity in a trusted computing environment |
| JP2007226277A (ja) | 2004-04-02 | 2007-09-06 | Matsushita Electric Ind Co Ltd | 仮想マシン改ざん検査方法、および仮想マシン改ざん検査装置 |
| US7370166B1 (en) | 2004-04-30 | 2008-05-06 | Lexar Media, Inc. | Secure portable storage device |
| AU2005222507B2 (en) | 2004-10-15 | 2010-10-28 | Microsoft Corporation | Portable computing environment |
| BRPI0612995A2 (pt) | 2005-07-14 | 2010-12-14 | Matsushita Electric Ind Co Ltd | mÉtodo de verificaÇço, dispositivo de processamento de informaÇço, circuito integrado implementado em um dispositivo de processamento de informaÇço, meio de armazenamento e programa de verificaÇço |
| US20070074192A1 (en) | 2005-08-30 | 2007-03-29 | Geisinger Nile J | Computing platform having transparent access to resources of a host platform |
| WO2007127188A2 (en) | 2006-04-24 | 2007-11-08 | Encryptakey, Inc. | Portable device and methods for performing secure transactions |
| WO2007136192A1 (en) | 2006-05-18 | 2007-11-29 | Sanggyu Lee | Method for protecting client and server |
| US8510859B2 (en) | 2006-09-26 | 2013-08-13 | Intel Corporation | Methods and arrangements to launch trusted, co-existing environments |
| US9015703B2 (en) | 2006-10-17 | 2015-04-21 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
| US8099786B2 (en) | 2006-12-29 | 2012-01-17 | Intel Corporation | Embedded mechanism for platform vulnerability assessment |
| US7765374B2 (en) | 2007-01-25 | 2010-07-27 | Microsoft Corporation | Protecting operating-system resources |
| US8959568B2 (en) | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| US8418173B2 (en) * | 2007-11-27 | 2013-04-09 | Manageiq, Inc. | Locating an unauthorized virtual machine and bypassing locator code by adjusting a boot pointer of a managed virtual machine in authorized environment |
| US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
-
2008
- 2008-08-28 US US12/199,812 patent/US8954897B2/en active Active
-
2009
- 2009-07-31 JP JP2011525050A patent/JP5518865B2/ja active Active
- 2009-07-31 WO PCT/US2009/052438 patent/WO2010025007A2/en active Application Filing
- 2009-07-31 CN CN200980134101.5A patent/CN102132287B/zh active Active
- 2009-07-31 EP EP09810429.2A patent/EP2318975B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040059900A1 (en) * | 2002-09-24 | 2004-03-25 | Drake Backman | Mechanism for controlling PXE-based boot decisions from a network policy directory |
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN1940805A (zh) * | 2005-09-30 | 2007-04-04 | 联想(北京)有限公司 | 计算机系统及其安全加固方法 |
| CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
| US20080046990A1 (en) * | 2006-08-21 | 2008-02-21 | International Business Machines Corporation | System and method for validating a computer platform when booting from an external device |
| WO2008054999A2 (en) * | 2006-10-17 | 2008-05-08 | Manage Iq, Inc. | Enforcement of compliance policies in managed virtual systems |
| CN101071463A (zh) * | 2007-06-08 | 2007-11-14 | 北京飞天诚信科技有限公司 | 虚拟个人办公环境的方法和设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103718183A (zh) * | 2011-07-25 | 2014-04-09 | 阿尔卡特朗讯 | 软件运行时出处 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2318975B1 (en) | 2018-08-22 |
| WO2010025007A2 (en) | 2010-03-04 |
| EP2318975A2 (en) | 2011-05-11 |
| EP2318975A4 (en) | 2013-11-20 |
| CN102132287B (zh) | 2015-02-11 |
| JP2012510650A (ja) | 2012-05-10 |
| US8954897B2 (en) | 2015-02-10 |
| US20100058432A1 (en) | 2010-03-04 |
| WO2010025007A3 (en) | 2010-04-22 |
| JP5518865B2 (ja) | 2014-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102132287B (zh) | 保护虚拟客机免于受感染主机的攻击 | |
| US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
| US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
| US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
| CN102217226B (zh) | 合并移动设备和计算机以创建安全的个性化环境 | |
| AU2002239889B2 (en) | Computer security and management system | |
| US8607339B2 (en) | Systems and methods for improved identification and analysis of threats to a computing system | |
| US10740190B2 (en) | Secure data protection and recovery | |
| JP2006520975A (ja) | 非侵入な自動オフサイト・パッチ・フィンガプリンティングおよびアップデーティングシステム、および方法 | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| CN104704472A (zh) | 侧信道攻击的检测和缓解 | |
| CN108027856B (zh) | 使用可信平台模块来建立攻击信息的实时指示器 | |
| US11425170B2 (en) | System and method for deploying and configuring cyber-security protection solution using portable storage device | |
| CN112039894A (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
| US20080184368A1 (en) | Preventing False Positive Detections in an Intrusion Detection System | |
| US10616245B2 (en) | Real-time remediation respective of security incidents | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| US10963569B2 (en) | Early boot driver for start-up detection of malicious code | |
| US9552491B1 (en) | Systems and methods for securing data | |
| US20120174206A1 (en) | Secure computing environment | |
| JP6933320B2 (ja) | サイバーセキュリティフレームワークボックス | |
| CN113868643B (zh) | 运行资源的安全检测方法、装置、电子设备及存储介质 | |
| US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
| Kim et al. | A Study on Log Collection to Analyze Causes of Malware Infection in IoT Devices in Smart city Environments. | |
| EP4312141A1 (en) | Vulnerability risk prediction engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150730 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150730 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |