CN102682242A - 虚拟化系统中的安全强制 - Google Patents
虚拟化系统中的安全强制 Download PDFInfo
- Publication number
- CN102682242A CN102682242A CN2011102589464A CN201110258946A CN102682242A CN 102682242 A CN102682242 A CN 102682242A CN 2011102589464 A CN2011102589464 A CN 2011102589464A CN 201110258946 A CN201110258946 A CN 201110258946A CN 102682242 A CN102682242 A CN 102682242A
- Authority
- CN
- China
- Prior art keywords
- server
- information
- client
- client computer
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种系统,包括虚拟机(VM)服务器和策略引擎服务器。VM服务器包括两个或多个客户机操作系统和代理器。代理器被配置成从两个或多个客户机操作系统收集信息。策略引擎服务器被配置成:从代理器接收信息;基于该信息生成针对两个或多个客户机操作系统中的第一个客户机OS的访问控制信息;基于该访问控制信息配置执行器。
Description
技术领域
本文所描述的实施方式总体上涉及虚拟机(VM)。
背景技术
出于安全考虑,增加了在允许客户端(例如,用户的计算机)访问目标服务器提供的资源(例如,下载/上传数据的能力、访问专用网络的能力)之前采取的强制措施。通常,位于客户端与目标服务器之间的网络内的强制装置要求客户端的管理员或用户在客户端上安装代理器,以收集关于客户端的信息,并将该信息从客户端推送到策略引擎服务器。策略引擎服务器基于收集的信息确定是否允许客户端访问目标服务器的资源,并将该确定传送给强制装置。这种方法的一个问题在于,客户端的用户通常能关闭本地安装的代理器并试图绕开安全措施。另一个问题是在代理器与用户想在客户端上运行的其他软件应用之间可能会出现兼容性问题(例如,驱动器冲突)。因此,代理器可能会妨碍用户的执行访问目标服务器之外的操作的能力。此外,目标的代理器可能无法在其硬件和/或软件配置与代理器不兼容的特定客户端上运行。
另一个发展趋势是从中央处理器(CPU)的虚拟化转向运行独立虚拟系统。虚拟化的CPU可实现多个“虚拟机”。虚拟机(VM)服务器可同时运行多个VM。虚拟机(VM)可运行针对使用VM的客户端的单个客户机操作系统(OS)。目前,为了允许客户端经由VM的客户机OS访问目标服务器的资源,需要在每个客户机OS上运行单独的代理器。由此,在与客户端对应的客户机OS中的每个上运行代理器时可能会出现与在每个单独客户端上运行代理器时出现的问题相似的问题。
另外,VM的管理员需要针对VM上的每个客户机映像手动地预安装和配置访问目标服务器的资源所需的代理器。策略服务器引擎会定期更新其对应代理器需要执行的操作,以提供访问。因此,在管理员需要确定代理器是否进行了更新并且在每次更新之后手动重新配置/更新VM的多个代理器时,会进一步消耗管理开销。此外,用户可手动创建新的VM,但不能在VM上安装代理器。没有代理器的新VM不能帮助访问与代理器关联的目标服务器。
发明内容
根据一个方面,一种方法可包括:计算机装置接收来自客户端装置的实例(instance)请求;计算机装置响应于实例请求而运行虚拟机(VM)服务器的第一客户机操作系统(OS);计算机装置的代理器搜索第一客户机OS,以获得第一信息,并搜索VM服务器的一个或多个其他客户机操作系统,以获得其他信息;计算机装置基于第一信息确定是否符合第一标准;在符合第一标准时计算机装置允许第一客户机OS访问目标服务器的资源。
根据另一个方面,非暂时性计算机可读介质可储存使计算机执行一种方法的程序。该方法可包括:接收针对第一虚拟机(VM)服务器的客户机操作系统(OS)的客户机信息;从第二VM服务器的第二代理器接收针对第二VM服务器的实例的应用信息;基于客户机信息和应用信息来确定客户机OS访问第二VM服务器的实例的访问类型;基于确定的访问类型生成访问控制信息;向执行器(enforcer)提供访问控制信息。第一代理器可从客户机OS收集客户机信息,并从第一VM服务器的一个或多个其他客户机操作系统收集其他客户机信息。
根据又一方面,系统可包括虚拟机(VM)服务器和策略引擎服务器。VM服务器可包括两个或多个客户机操作系统和代理器。代理器可从两个或多个客户机操作系统收集信息。策略引擎服务器可:从代理器接收信息;基于所述信息生成两个或多个客户机操作系统中的第一个客户机OS的访问控制信息;基于访问控制信息配置执行器。访问控制信息可指示是否允许第一客户机OS访问目标。执行器可允许或拒绝第一客户机OS访问目标。
附图说明
结合在本说明中并构成本说明书的一部分的附图示出了本文描述的一个或多个实现方式,附图与这些描述一起解释了这些实现方式。在附图中:
图1是可实现本文所述的系统和/或方法的示例环境的示图;
图2是图1的一个或多个装置的示例部件的示图;
图3是概念地示出虚拟机(VM)服务器的示例部件的示图;
图4是概念地示出图1的服务器的示例操作的示图;
图5是用于提供经由VM访问目标服务器的安全性的示例过程的流程图;以及
图6是用于提供访问控制信息的示例过程的流程图。
具体实施方式
下列详细描述参照附图。不同附图中的相同参考号可表示相同或相似元件。
虚拟机(VM)可包括像物理机一样执行程序的机器的软件实现方式。VM可包括两种不同类型的虚拟机:提供支持完整操作系统的运行的系统平台的系统虚拟机;以及被设计成运行单个程序的流程虚拟机。提供VM虚拟化的软件层称为管理程序。VM服务器可包括单个管理程序。VM服务器的所有VM(以及客户机OS)可使用管理程序的服务。管理程序,也称为虚拟机监控程序(VMM),可在硬件上或VM服务器的操作系统之上运行。管理程序可控制VM的实例化。管理程序可允许作为VM的实例操作的多个客户机操作系统(OS)同时在VM服务器上运行。每个客户机OS可对应于从VM服务器请求VM的实例的不同客户端。
本文所述的实现方式可为虚拟化系统提供安全强制。一组客户端中的一个客户端可连接到VM服务器上。VM服务器可将VM的实例分配给该客户端。VM可针对该客户端运行客户机操作系统(OS)。VM服务器可将数据传送给客户端,以显示VM的客户机OS的表示法(例如,通过远程桌面(RDT)显示表示法)。VM服务器可针对VM服务器中的所有客户机OS运行管理程序中的单个代理器。该代理器可确定管理程序何时添加新VM/客户机OS。该代理器可在搜索一个或多个其他客户机OS的同时搜索该客户机OS,以获得该客户机OS的客户机信息。该客户机信息可包括健康信息(例如,客户机OS的补丁等级、客户机OS是否开启了防火墙、客户机OS是否安装了最新版本的特定防病毒软件等)、当前活动信息(例如,客户机OS的当前网络连接)、身份信息(例如,正在操作客户端的用户的标识符(例如,姓名)和实现客户端的装置的标识符)、客户机OS上正在运行的应用(多个应用)的信息等。
代理器可将客户机信息传送给防火墙代理器或策略引擎。在一个实现方式中,防火墙代理器可基于客户机信息确定是否允许客户机OS访问目标服务器的一个或多个资源。此处,访问目标服务器的资源可指经由目标服务器访问独立网络或访问由目标服务器主控的应用或网络服务。在另一个实现方式中,策略引擎可通过评价客户机信息来确定是否允许客户机OS访问目标服务器的一个或多个资源。策略引擎可通过经与访问目标服务器相关联的(安全)策略来运行客户机信息,从而进行评价(例如,如一个策略所要求的,确定用户的标识符是否与被允许访问目标服务器的人或装置的标识符匹配)。策略引擎可基于客户机信息的评估生成访问控制信息。策略引擎可用访问控制信息对执行器进行配置。执行器可基于访问控制信息允许或拒绝客户机OS访问目标服务器的一个或多个资源。
图1是可实现本文所述的系统和/或方法的示例环境100的示意图。环境100可包括以下元件中的一个或多个:客户端装置110-1、110-2、……、110-N(N≥1)(总称为“客户端装置110”,单独称为“一个客户端装置110”)、网络120、VM服务器130、网络140、策略引擎服务器150、执行器160以及目标服务器170。实际上,环境100可比图1包括更多的元件、更少的元件、不同的元件、或以不同方式设置的元件。此外,环境100的一个或多个元件可执行被描述为由环境100的一个或多个其他元件执行的任务。
客户端装置110可表示能从网络120接收数据和/或向该网络传送数据的任何装置。客户端装置110可允许用户提示客户端装置110接收/传送数据。在一个实现方式中,客户端装置110可采取计算机、服务器、智能手机、个人计算机、膝上型电脑、掌上电脑、便携通信装置(例如,移动电话)接入点基站等的形式。客户端装置110可直接地,或通过(例如)路由器、交换机、网桥、防火墙、网关、基站等间接地与网络120连接。客户端装置110可经由网络120将请求传送给VM服务器,以获得VM的实例。客户端装置110可经由网络120从VM服务器130接收数据,以显示针对VM的实例的客户机OS的表示法或针对网络应用的用户界面。
网络120和网络140可包括单个网络、相同类型的多个网络,或不同类型的多个网络。例如,网络120和/或网络140中的每一个可包括装置之间的直接连接,局域网(LAN)、广域网(WAN)、城域网(MAN)、无线网络(例如,通用分组无线业务(GPRS)网络)、自组织网络、公用电话交换网(PSTN)、因特网子集、任何其他网络或它们的任何组合。
VM服务器130可表示能实现VM的任何装置。在一个实现方式中,VM服务器130可采取计算机、服务器、多个服务器等中的一个或多个的形式。VM服务器130可运行一个或多个不同VM。VM服务器130可经由网络120从针对特定VM的客户端装置110接收请求。VM服务器130可响应于每个请求运行特定VM的单独客户机OS。VM服务器130可在VM的管理程序上运行单个代理器,以从每个客户机OS中搜索信息。在另一个实现方式中,VM服务器130可表示集群。可在集群的每个节点上运行单个代理器。VM服务器130可直接地或经由网络140将数据传送给策略引擎服务器150、执行器160和/或目标服务器170,或从它们接收数据。
策略引擎服务器150可表示能确定是否允许VM服务器130的客户机OS访问目标服务器170的任何装置。策略引擎服务器150可采取硬件/软件部件、计算机、服务器、多个服务器、路由器、交换机、防火墙、网关等中的一个或多个的形式。策略引擎服务器150可从VM服务器130(直接或经由网络140)接收与VM服务器130的客户机OS有关的客户机信息。策略引擎服务器150可生成访问控制信息并(直接或经由网络140)传送给执行器160。在另一个实现方式中,VM服务器130、执行器160或目标服务器170中的一个可包括策略引擎服务器150。
执行器160可表示能强制(允许或拒绝)VM服务器130的客户机OS访问目标服务器170和/或目标服务器170的资源的任何装置。执行器160可采取网络部件、路由器、交换机、防火墙、网关、硬件/软件部件、计算机、服务器、多个服务器等形式。执行器160可从VM服务器130的客户机OS接收面向目标服务器170的业务(或访问目标服务器170的请求)。执行器160可直接或经由网络140从策略引擎服务器150接收针对客户机OS的访问控制信息。执行器160可基于访问控制信息允许客户机OS访问目标服务器170的一个或多个资源。在另一个实现方式中,VM服务器130、网络140、策略引擎服务器150或目标服务器170中的一个可包括执行器160。
目标服务器170可表示能接收和/或传送数据的任何装置。目标服务器170可提供VM服务器130的客户机OS可能请求访问的一个或多个资源。目标服务器170可采取任何计算机的形式,包括服务器(例如,网络服务器、文件服务器等)。在另一个实现方式中,目标服务器170可用作至提供一个或多个资源的单独网络(图1中未显示)的接入点(或一部分)。目标服务器170可在允许客户机OS使用与目标服务器170相关联的资源之前直接或经由网络140从执行器160接收许可。
在另一个实现方式中,目标服务器170还可用作VM服务器。目标服务器170可运行多个VM,以提供网络服务和/或应用(例如,PeopleSoft应用、网络服务、电子邮件服务等)。目标服务器170还可如VM服务器130一样包括带有针对VM的单个代理器的管理程序。目标服务器170可针对网络服务/应用的每个实例来创建/运行客户机OS。单个代理器可收集关于特定客户机OS的网络服务/应用的应用信息。目标服务器170的单个代理器可直接或经由网络140将应用信息传送至VM服务器130的防火墙代理器或传送至策略引擎服务器150。VM服务器130的防火墙代理器或策略引擎服务器150除客户机信息之外还可使用应用信息来确定允许VM服务器130的客户机OS访问目标服务器170的访问类型(如果有的话)。
在又一个实现方式中,单个VM服务器可包括主控针对客户端110的用户的客户机OS的VM服务器130和提供用户访问的应用/服务的单独VM(例如,目标服务器170的单独VM或VM服务器130的单独应用VM的单独VM)。例如,VM服务器130可包括针对客户机OS的客户端VM和应用VM。单个VM服务器(例如,VM服务器130)也可包括执行器160和/或另一个执行器,以强制(允许或拒绝)客户端VM访问应用VM。
图2是可与客户端装置110、VM服务器130、策略引擎服务器150、执行器160或目标服务器170中的一个或多个对应的装置200的示例部件的示图。客户端装置110、VM服务器130、策略引擎服务器150、执行器160和目标服务器170中的每一个可包括一个或多个装置200和/或装置200的任何一个或多个部件。
如图2所示,装置200可包括总线210、处理器220、主存储器230、只读存储器(ROM)240、存储装置250、输入装置260、输出装置270和通信接口280。总线210可包括允许在装置200的部件之间进行通信的路径。总线210可表示连接装置200的不同部件的一个或多个专用总线。例如,一个专用总线可直接将处理器220连接到主存储器230和/或ROM240。
处理器220可包括一个或多个处理器、微处理器或可解释和执行指令的其他类型的处理器。主存储器230可包括RAM或可存储处理器220执行的信息和指令的另一种类型的动态存储器。ROM 240可包括ROM装置或可存储处理器220使用的静态信息和/或指令的另一种类型的静态存储器。存储装置250可包括磁记录介质和/或光记录介质及其对应驱动器,或可移动式存储器,例如闪存。
输入装置260可包括允许操作者向装置200输入信息的机构,例如,键盘、鼠标、笔、麦克风、声音识别和/或生物计量机构、触摸屏等。输出装置270可包括向操作者输出信息的机构,包括显示器、打印机、扬声器等。通信接口280可包括使装置200与其他装置和/或系统能进行通信的任何类似收发器的机构。例如,通信接口280可包括用于经由网络与另一个装置或系统进行通信的机构。
如下面将具体描述的,装置200可执行特定操作。装置200可响应于处理器220执行了包含在计算机可读介质(诸如,主存储器230)中的软件指令(例如,(多个)计算机程序)来执行这些操作。计算机可读介质可被定义为非暂时性存储装置。存储装置可包括单个物理存储装置内的空间或跨多个物理存储装置扩展的空间。软件指令可从其他计算机可读介质(例如存储装置250)或经由通信接口280从另一个装置被读入存储器230。存储器230中包含的软件指令可使处理器220执行本文所述的过程。或者,硬接线电路可替代软件指令或与软件指令结合被用于执行本文所述的过程。因此,本文所述的实现方式并不限于硬件电路和软件的任何特定组合。
尽管图2示出了装置200的示例部件,而在其他实现方式中,装置200可包括比图2所描述的更少的部件、不同的部件、以不同方式设置的部件或附加的部件。可选地,或附加地,装置200的一个或多个部件可执行被描述为由装置200的一个或多个其他部件执行的一个或多个其他任务。
图3是概念地示出虚拟机(VM)服务器130的示例部件的示图。如图3所示,VM服务器130可包括以下部件的一个或多个:VM 305-1、305-2、……、305-N(总称为“VM 130”,单独称为“一个VM 130”和管理程序320。每个VM 305可分别运行单个客户机操作系统(OS)310-1、310-2、……、310-N(总称为“客户机OS 310”,单独称为“一个客户机OS 310”)。实际上,VM服务器130可包括比图3所示附加的部件、更少的部件、不同的部件或以不同方式设置的部件。
如上所述,管理程序320可用作允许VM 305虚拟化的软件层。在一个实现方式中,管理程序320可包括代理器330和防火墙代理器340。在另一个实现方式中,如下面参照图4所述,管理程序320可以不包括防火墙代理器340。代理器330和防火墙代理器340可在管理程序320内部运行。管理程序320可管理代理器330和/或防火墙代理器340。客户机OS 310可使用管理程序320的服务。管理程序320可实现客户机OS 310可通过其在VM服务器130上运行的控制应用。管理程序320可从客户端装置110接收获取VM 305的实例的请求。该请求可包括关于客户端装置110的用户的身份信息。管理程序320可获取针对VM 305的一种客户机OS的映像,并将该映像的复制品实例化,以创建VM 305并针对客户端装置110在VM 305上运行客户机OS 310。每个客户机OS 310可与一个不同的客户端装置110对应。
代理器330可在管理程序320内运行。在一个实现方式中,代理器330可用作访问目标服务器170的所有客户机OS 310的唯一代理器。代理器330可确定管理程序330已添加了客户机OS 310并对客户机OS 310进行搜索。代理器330响应于搜索客户机OS 310可接收关于客户机OS 310的健康信息,并确定与客户机OS 310相关联的用户(或客户端装置110)的身份信息。代理器330可从接收了与客户机OS 310相关联的请求的管理程序320找到实际身份信息。代理器330可将健康信息和身份信息传送给防火墙代理器340。在一个实现方式中,代理器330可定期检查(重新搜索)是否需要为客户机OS定期更新信息。在另一个实现方式中,管理程序320可在客户机OS 310内发生特定受关注变化(例如,删除了防病毒软件)时通知代理器330。代理器330可响应于通知而重新搜索客户机OS 310。
防火墙代理器340也可在管理程序320内运行。防火墙代理器340可基于从代理器330接收的针对客户机OS 310的健康信息和身份信息确定准许客户机OS 310哪种访问类型(如果有的话)。防火墙代理器340可基于该确定提供网络业务的安全强制。换句话说,防火墙代理器340可允许或拒绝用户从客户机OS 310访问目标服务器170的资源。例如,防火墙代理器340可在健康信息满足访问合法文件的特定标准时(例如,安装了特定版本的防病毒软件和/或启动了特定防火墙),允许是合法部门中的用户访问存储在目标服务器170上的合法文件。
在另一个实现方式中,代理器330可将针对客户机OS 310的健康信息和身份信息传送至处于管理程序320外部的策略引擎服务器150。策略引擎服务器150可基于健康信息、身份信息和策略引擎服务器150找到策略来确定关于准许客户机OS 310哪种访问的指示。策略引擎服务器150可将该指示传送至处于管理程序320内部的防火墙代理器340。防火墙代理器340可基于该指示允许或拒绝用户从客户机OS 310访问目标服务器170的资源。防火墙代理器340可不访问策略。
图4是概念地示出VM服务器130和目标服务器170的示例部件以及VM服务器130、策略引擎服务器150、执行器160和目标服务器170的示例操作的示图。如图4所示,VM服务器130可包括一个或多个客户机OS,如上文参照图3所述(图4中未示出VM 305,但每一个客户机OS 310与一个不同的VM 305对应)。VM服务器130的管理程序320可不包括如图3所示的防火墙代理器340。
在一个实现方式中,代理器330可搜索客户机OS 310,以获得健康信息和身份信息。代理器330在接收到健康信息和身份信息之后可将健康信息和身份信息作为客户机信息440传送给策略引擎服务器150。策略引擎服务器150可基于客户机信息440确定允许客户机OS 310访问目标服务器170的资源的访问类型。
在另一个实现方式中,如图4所示,目标服务器170可为VM服务器。如图5所示,目标服务器170可包括应用VM(本文简称为“app”)410-1、410-2、……、410-M(总称为“app 410”,单独称为“一个app 410”)的一个或多个实例以及管理程序420。实际上,目标服务器170可包括相比图4所示的附加的部件、更少的部件、不同的部件或以不同方式设置的部件。
如下面进一步描述的,app 410可表示运行用于执行应用的客户机OS的VM。管理程序420可包括代理器430。app 410、管理程序420和代理器430可分别与上述的客户机OS 310、管理程序320和代理器330相似地进行操作。
在一个实现方式中,代理器430可用作目标服务器170的所有app 410的唯一代理器。app 410可提供(多个)特定应用或(多个)网络服务。代理器430可搜索app 410,以获得每个app 410的信息。代理器430可将该信息作为应用信息445传送至策略引擎服务器150。策略引擎服务器150可基于客户机信息440和应用信息445来确定允许客户机OS 310访问目标服务器170的资源(例如,使用app 410)的访问类型。
策略引擎服务器150可基于管理员设置的提供给策略引擎服务器150的一系列策略/标准做出关于客户机OS 310的访问类型的确定。策略引擎服务器150可基于该确定生成访问控制信息450。策略引擎服务器150可将访问控制信息450传送至执行器160(或者,在另一个实现方式中,策略引擎服务器150可基于访问控制信息450配置执行器160)。用户可使用客户机OS 310访问目标服务器170的资源(例如,访问网络或使用app410)。执行器160可基于访问控制信息450确定是否允许或拒绝用户从客户机OS 310访问资源。
图5是用于提供经由VM服务器130访问目标服务器170的安全强制的示例过程500的流程图。在一个实现方式中,VM服务器130可执行过程500。在另一个实现方式中,可由与VM服务器130分离或结合的装置执行过程500中的全部或一部分。
如图5所示,过程500可包括接收实例请求(框510)。例如,客户端110的用户可将客户端装置110连接至网络120。用户可使用客户端装置110以经由网络120连接至VM服务器130。用户可提示客户端装置110生成访问VM服务器130上的VM 305的实例的实例请求。客户端装置110可将实例请求传送给VM服务器130。VM服务器130可接收该实例请求。在一个实现方式中,VM服务器130可要求用户登录。VM服务器130可在登录过程中接收/确定用户的身份信息。如下面进一步描述的,代理器330可在稍后的时间点找到该身份信息。
可运行客户机OS 310(框520)。例如,VM服务器130(例如,具体地,管理程序320)可响应于实例请求为客户端装置110的用户分配VM305的实例。VM服务器130可获取一种客户机OS 310的映像,以在VM305内运行。VM服务器130可将该映像的复制品实例化,以创建与客户端装置110相关联的客户机OS 310。VM服务器130可运行客户端装置110的客户机OS 310。
可传送VM 305的表示法(框530)。例如,客户端装置110可向客户端装置110的用户提供至其他计算机/虚拟系统(例如,VM)的用户界面(例如,远程桌面(RDT))。VM服务器130可针对在VM 305实例中在VM服务器130上运行的客户机OS 310来生成数据以提供表示法,从而在用户界面中进行显示。VM服务器130可将表示法的数据传送至客户端装置110。客户端装置110的用户界面可为用户显示客户机OS 310的表示法。该表示法可允许用户使用用户界面与客户机OS 310进行交互/对其进行控制(例如,提示客户机OS 310(尝试)访问目标服务器170)。
可对客户机OS 310进行搜索,以获得客户机信息(框540)。例如,VM服务器130的管理程序320可仅包括单个代理器,代理器330,用于收集客户机OS 310访问目标服务器170所需的所有信息。代理器330可确定是否创建/激活了客户机OS 310(即,添加到VM服务器130)。在确定创建了客户机OS 310之后,代理器330可搜索客户机OS 310,以获得健康信息、当前活动信息和/或身份信息。健康信息可包括与客户机OS 310相关的各种因素的状态,包括,例如,客户机OS 310上安装的防病毒软件的类型和版本、客户机OS 310的安全设置、客户机OS 310的补丁等级等。搜索健康信息可包括扫描与客户机OS 310相关联的存储器(例如,物理存储器(例如,RAM)、非易失性存储器(例如,磁盘)等)、在客户机OS 310上进行病毒扫描、对与客户机OS 310相关联的防火墙进行测试等。当前活动信息可包括动态信息,该动态信息包括客户机OS 310的当前网络连接(例如,客户机OS 310是否被连接至外部电子邮件服务等)。
身份信息可包括与客户机OS 310相关联的客户端110的用户的身份。身份信息可包括,例如,用户姓名、用户对应的数字标识符、涉及应提供给用户的访问类型的信息(例如,用户处于公司法律部门的信息)等。管理程序320可接收作为VM 305的实例请求的一部分的身份信息,VM 305提示运行客户机OS 310。代理器330可基于作为搜索客户机OS 310的结果而接收的信息,从管理程序320找到身份信息。健康信息、当前活动信息和/或身份信息可构成与客户机OS 310相关联的客户机信息。
可传送客户机信息(框550)。例如,代理器330在搜索并确定了客户机信息之后可将客户机信息传送给防火墙代理器340(或如本文所述的策略引擎服务器150)。在一个实现方式中,代理器330在初次搜索并确定了客户机信息之后可继续定期搜索客户机OS 310(框540)(例如,每隔30秒),以获得客户机OS 310的客户机信息的任何更新。另外地,或可选地,当客户机OS 310内发生一个或多个预定事件时(例如,修改了存储操作系统注册表的存储区域),代理器330可继续搜索客户机OS 310。如有任何更新,代理器330可将更新的客户机信息传送给防火墙代理器340(或如本文所述的策略引擎服务器150)。在另一个实现方式中,代理器330可(例如,从管理程序320)接收客户机OS 310发生的受关注变化(就可能影响策略引擎服务器150存储的一个或多个策略(例如,删除了防病毒软件)而言,策略引擎服务器150感兴趣的变化)的通知。代理器330可响应于通知而搜索客户机OS 310,以获得更新的客户机信息。代理器330可将更新的客户机信息传送给防火墙代理器340(或策略引擎服务器150)。
可确定允许的访问类型,并生成访问控制信息(框560)。例如,在一个实现方式中,防火墙代理器340可从代理器330接收客户机信息。防火墙代理器340可使用客户机信息中的健康信息、当前活动信息和/或身份信息以确定可允许提供给客户机OS 310的访问类型(例如,客户机OS 310可访问的目标服务器170的何种资源)。为此,防火墙代理器340可将健康信息、当前活动信息和/或身份信息与针对一个或多个资源指定的一个或多个策略/标准进行比较。防火墙代理器340可基于比较结果生成针对客户机OS 310的访问控制信息。在另一个实现方式中,策略引擎服务器150可从代理器330接收客户机信息。策略引擎服务器150可基于客户机信息和策略引擎服务器150找到的一个或多个策略/标准来生成访问控制信息。策略引擎服务器150可将访问控制信息传送至防火墙代理器340。防火墙代理器340可从策略引擎服务器150接收访问控制信息。访问控制信息可指定客户机OS 310可访问的目标服务器170的何种资源(如果有的话)。防火墙代理器340可存储针对客户机OS 310的访问控制信息。
可接收访问请求(框570)。例如,客户端装置110的用户可使用客户机OS 310尝试访问目标服务器170的资源。该资源可包括,例如,至与目标服务器170相关联的网络(例如,内联网)的连接、目标服务器170主控的网络应用、目标服务器170(作为文件服务器)上存储的文件、用于将文件上传到目标服务器170的存储空间等。客户机OS 310可生成访问目标服务器170的资源的访问请求(或任何其他网络业务)。在一个实现方式中,该访问请求可包括关于用户想访问的目标服务器170的资源的信息和用于识别客户机OS 310的信息。客户机OS 310可将访问请求传送至访问目标服务器170。防火墙代理器340可接收该访问请求(例如,通过拦截)。在另一个实现方式中,防火墙代理器340可在网络业务流量开始时接收,以确定是否允许访问。
可允许或拒绝访问(框580)。例如,防火墙代理器340可确定什么样的客户机OS 310正在发出访问请求。防火墙代理器340可找到针对客户机OS 310的访问控制信息。防火墙代理器340可基于访问控制信息确定是否允许客户机OS 310采用访问请求中请求的访问类型。防火墙代理器340可在允许请求的访问类型时使客户机OS 310访问目标服务器170的资源。在防火墙代理器340允许访问时,防火墙代理器340可转发(允许)客户机OS 310与目标服务器170之间的业务。防火墙代理器340基于访问控制信息在不允许客户机OS 310请求的访问类型时,可拒绝客户机OS 310访问目标服务器170的资源。防火墙代理器340拒绝访问时,防火墙代理器340可通知客户机OS 310访问被拒绝。防火墙代理器340还可向客户机OS 310传送消息,以解释为什么拒绝访问(例如,客户机OS 310没有安装用于访问目标服务器170的策略所要求的防病毒软件的正确版本)。在另一个实现方式中,防火墙代理器340还可使客户机OS 310改为连接到强制网络门户(captive portal)。强制网络门户可允许客户机OS 310的用户针对防火墙代理器340采取补救措施,使客户机OS 310采用访问请求中请求的访问类型。
在其他实现方式中,环境100除允许或拒绝客户机OS 310访问之外还可提供其他服务,或者,提供其他服务而不允许或拒绝访问客户机OS310。例如,来自客户机OS 310的客户机信息可包括入侵检测类型。入侵检测类型由于与客户机OS 310相连接而可提供关于何种类型攻击应被预期到的前后关系信息。在另一个示例中,客户机信息可包括服务质量(QoS)的类型。可针对与客户机OS 310相关联的业务提供QoS的类型。
图6是用于提供访问控制信息的示例过程600的流程图。在一个实现方式中,策略引擎服务器150可执行过程600。在另一个实现方式中,可由与策略引擎服务器150分离的或与其结合的装置来执行过程600中的全部或一部分。过程500的框510-550可在过程600之前。
如图6所示,过程600可包括接收客户机信息(框610)。例如,代理器330可用作VM服务器130的管理程序320中的唯一代理器,用于从可访问目标服务器170的所有客户机OS 310收集信息。代理器330可搜索客户机OS 310,以获得每个客户机OS 310对应的客户机信息。代理器330可将客户机信息传送给策略引擎服务器150。策略引擎服务器150可从代理器330接收客户机信息。
可接收应用信息(框620)。例如,代理器430可用作目标服务器170的管理程序420中的唯一代理器,用于从所有app 410收集信息。在一个实现方式中,代理器430可搜索app 410,以获得目标服务器170上运行的应用的应用信息。客户端装置110的用户可经由客户机OS 310访问由app 410提供的资源。代理器430可将应用信息传送给策略引擎服务器150。策略引擎服务器150可从代理器430接收客户机信息。
可确定允许的访问类型,并可生成访问控制信息(框630)。例如,在一个实现方式中,策略引擎服务器150可基于代理器330提供的客户机信息来确定每个客户机OS 310的允许访问类型(例如,客户机OS 310可访问目标服务器170的何种资源)。换句话说,策略引擎服务器150可确定客户机OS 310可访问目标服务器170的何种资源(如果有的话)。为此,策略引擎服务器150可参照由防火墙代理器340进行的框560来执行与如上面所述相似的过程。
在一个实现方式中,策略引擎服务器150可基于代理器330提供的客户机信息和代理器430提供的应用信息来确定针对每个客户机OS 310的允许访问类型(例如,客户机OS 310可访问的目标服务器170的何种资源)。为了使客户机OS 310访问目标服务器170的不同资源,策略引擎服务器150可存储规定客户机OS 310和/或与客户机OS 310关联的用户需要符合何种标准的不同策略。客户机OS 310适用的策略/标准可根据应用信息而变化。例如,基于web的电子邮件应用的应用信息可要求试图访问基于web的电子邮件应用的客户机OS 310符合防火墙已启动的标准。在另一个示例中,网络服务的应用信息可要求访问网络服务的客户机OS 310符合策略引擎服务器150存储的、已安装特定防病毒软件的策略/标准。策略引擎服务器150可通过确定客户机信息和/或应用信息是否符合策略来检查客户机OS 310是否可访问目标服务器170的资源。策略引擎服务器150可基于根据策略可访问目标服务器170的何种资源来针对客户机OS310生成访问控制信息。
可接收访问控制信息的请求(框640)。例如,在一个实现方式中,策略引擎服务器150生成访问控制信息之后,策略引擎服务器150可存储访问控制信息,并等待传送访问控制信息,直到从执行器160接收到请求。执行器160可在客户机OS 310尝试访问目标服务器170的资源时从客户机OS 310接收/拦截业务。执行器160可确定执行器160是否具有针对客户机OS 310的访问控制信息。如果没有,执行器160可生成请求,以获取针对客户机OS 310的访问控制信息。执行器160可将获取访问控制信息请求传送给策略引擎服务器150。策略引擎服务器150可响应于该请求而将访问控制信息传送给执行器160。在另一个实现方式中,策略引擎服务器150在将访问控制信息传送给执行器160之前可不等待接收访问控制信息请求。在又一个实现方式中,策略引擎服务器150可存储客户机信息和应用信息,直到从执行器160接收了请求。策略引擎服务器150可仅在接收到请求(框640)之后确定允许何种访问类型,并生成访问控制信息(框630)。可传送访问控制信息,或可对执行器进行配置(框650)。例如,在一个实现方式中,策略引擎服务器150响应于获取访问控制信息的请求可找到与客户机OS 310(其与请求相关联)相关联的访问控制信息。策略引擎服务器150可将找到的访问控制信息传送给执行器160。在另一个实现方式中,在策略引擎服务器150刚一生成针对客户机OS 310的访问控制信息之后,策略引擎服务器150就可将访问控制信息传送给执行器160。
执行器160可从策略引擎服务器150接收访问控制信息。执行器160可基于访问控制信息确定是否允许客户机OS 310访问目标服务器170的资源。在另一个实现方式中,策略引擎服务器150可基于访问控制信息配置执行器160。策略引擎服务器150可在不从执行器160接收访问控制信息请求的情况下,或在接收之后,对执行器160进行配置。为了配置执行器160,策略引擎服务器150可规定执行器160何时(是否)应允许客户机OS 310访问目标服务器170的资源。如果执行器160允许访问,则执行器160可在客户机OS 310与目标服务器170的资源之间传送业务。
在另一个实现方式中,执行器160可提供协调强制(coordinatedenforcement)。访问控制信息可规定客户机OS 310一次可访问目标服务器170的何种资源。执行器160可基于访问控制信息在客户机OS 310已访问一个资源时拒绝其访问另一个资源。例如,客户机OS 310可访问提供合法文件的目标服务器170的资源。在客户机OS 310正在访问提供合法文件的资源的同时,执行器160可拒绝客户机OS 310访问外部网络资源(例如,以防止数据传送到外部资源、降低在访问目标170的同时恶意改变代理器330的保密布置的风险等)。
实现方式的前述说明提供了图解和描述,但并不意在穷举或将本发明限于所公开的确定形式。可借鉴上述教导或可从本发明的实践获得修改和变化。
例如,尽管关于图5和图6已描述了一系列框,但在其他实现方式中,可改变对框的顺序。在一个示例中,可在为获得客户机信息而搜索客户机OS(框540)之后传送VM的表示法(框530)。在另一个示例中,可在确定允许的访问类型(框560)之前接收访问请求(框570)。此外,可并行执行独立框。
显而易见的是,上述示例方面可在附图所示的实施方式中以软件、固件和硬件的多种不同形式来实现。用于实施这些方面的实际软件代码或专用控制硬件不应理解为限制。因此,对这些方面的操作和动作进行说明时没有采用特定软件代码——应理解的是,软件和控制硬件可设计为基于本文的说明来实现这些方面。
虽然权利要求中引用了且/或说明书中公开了特征的特定组合,这些组合并非意在限制本发明的公开。实际上,这些特征中的许多可以权利要求中没有明确引用和/或说明书中没有明确公开的方式进行组合。虽然下列每项从属权利要求可直接仅从属于另一个权利要求,本发明的公开包括每个从属权利要求与权利要求集内的每个其它权利要求组合。
本申请中使用的元件、动作或指令不应理解为本发明是关键的或必不可少的,除非另有明确说明。另外,本文使用的冠词“a”意在包括一个或多个项目。仅指代一个项目时,使用术语“一个”或类似术语。进一步,短语“基于”用于表示“至少部分基于”,除非另有明确表述。
Claims (20)
1.一种方法,包括:
计算机装置接收来自客户端装置的实例请求;以及
所述计算机装置响应于所述实例请求而运行虚拟机(VM)服务器的第一客户机操作系统(OS);
所述计算机装置的代理器搜索第一客户机OS,以获得第一信息,并搜索所述VM服务器的一个或多个其他客户机操作系统,以获得其他信息;
所述计算机装置基于所述第一信息确定是否符合第一标准;以及
在符合所述第一标准时所述计算机装置允许所述第一客户机OS访问目标服务器的资源。
2.根据权利要求1所述的方法,其中,所述第一信息包括所述第一客户机OS的健康信息、所述第一客户机OS的当前活动信息或与所述第一客户机OS相关联的用户的身份信息中的至少一个。
3.根据权利要求1所述的方法,其中,搜索所述VM服务器的所述第一客户机OS以获得所述第一信息包括以下步骤中的至少一个:
扫描与所述第一客户机OS相关联的存储器,
在所述第一客户机OS上进行病毒扫描,或
测试所述第一客户机OS的防火墙。
4.根据权利要求1所述的方法,
其中,所述一个或多个其他客户机操作系统包括第二客户机OS,
其中,所述其他信息包括所述第二客户机OS的第二信息,以及
其中,所述方法进一步包括:
所述计算机装置确定所述第二信息是否符合所述第一标准;以及
在所述第二信息符合所述第一标准时允许所述第二客户机OS访问所述目标服务器的资源。
5.根据权利要求1所述的方法,其中,允许所述第一客户机OS访问所述目标服务器的资源包括:
从所述第一客户机OS接收业务;以及
在符合所述第一标准时将所述业务传送给所述目标服务器的资源,其中,所述目标服务器的资源是专用网络的接入点。
6.根据权利要求1所述的方法,其中,基于所述第一信息确定是否符合所述第一标准的步骤包括:
将所述第一信息传送至策略引擎;以及
从所述策略引擎接收访问控制信息,其中,所述访问控制信息指示是否允许第一实例访问所述目标服务器的资源。
7.根据权利要求1所述的方法,进一步包括:
接收与在所述目标服务器上运行的应用有关的应用信息,其中,进一步基于所述应用信息来确定是否符合所述第一标准。
8.根据权利要求1所述的方法,
其中,所述代理器在所述VM服务器的管理程序内运行,
其中,所述方法进一步包括:
所述代理器接收所述第一客户机OS内的特定变化的通知,
响应于所述通知,搜索所述第一客户机OS,以获得更新的第一信息,以及
所述计算机装置基于所述更新的第一信息确定是否符合所述第一标准。
9.一种方法,包括:
计算机装置从第一虚拟机(VM)服务器的第一代理器接收针对所述第一VM服务器的客户机操作系统(OS)的客户机信息,其中,所述第一代理器收集来自所述客户机OS的所述客户机信息以及来自所述第一VM服务器的一个或多个其他客户机操作系统的其他客户机信息;
所述计算机装置从第二VM服务器的第二代理器接收针对所述第二VM服务器的实例的应用信息;
所述计算机装置基于所述客户机信息和所述应用信息来确定允许所述客户机OS访问所述第二VM服务器的实例的访问类型;
所述计算机装置基于确定的所述访问类型生成访问控制信息;以及
所述计算机装置向执行器提供所述访问控制信息。
10.根据权利要求9所述的方法,
其中,所述第二代理器从所述第二VM的实例收集所述应用信息,并从所述第二VM的一个或多个其他实例收集其他应用信息,以及
其中,所述执行器基于所述访问控制信息允许或拒绝在所述客户机OS与目标之间进行业务传送。
11.根据权利要求9所述的方法,其中,提供所述访问控制信息包括:
从所述执行器接收所述访问控制信息的请求,以及
响应于所述请求将所述访问控制信息传送至所述执行器。
12.根据权利要求11所述的方法,其中,传送所述访问控制信息包括:
在接收所述请求之前,储存与客户机OS的标识符相关联的所述客户机信息或所述访问控制信息,
在接收所示请求之后,基于所述请求确定所述客户机OS的标识符,其中,所述请求包括所述标识符,
响应于所述请求,基于所述标识符确定针对所述客户机OS的所述访问控制信息,以及
将确定的所述访问控制信息传送至所述执行器。
13.根据权利要求11所述的方法,其中,所述执行器响应于从所述客户机OS接收业务而传送针对所述访问控制信息的请求。
14.根据权利要求9所述的方法,其中,所述客户机信息包括以下内容的至少其中之一:
与所述客户机OS相关联的客户端的身份信息,
关于所述客户机OS上安装的防病毒软件的防病毒信息,
所述客户机OS的安全设置,或
所述客户机OS的补丁等级。
15.一种系统,包括:
虚拟机(VM)服务器,包括:
两个或多个客户机操作系统,以及
所述VM的代理器,用于从所述两个或多个客户机操作系统收集信息;以及
策略引擎服务器,用于:
从所述代理器接收所述信息,
基于所述信息生成针对所述两个或多个客户机操作系统中的第一客户机OS的访问控制信息,其中,所述访问控制信息指示是否允许所述第一客户机OS访问目标,以及
基于所述访问控制信息配置执行器,其中,所述执行器允许或拒绝所述第一客户机OS访问所述目标。
16.根据权利要求15所述的系统,其中,所述VM服务器进一步包括:
管理程序,用于:
从客户端装置接收实例请求,
响应于所述实例请求而生成所述第一客户机OS,以及
管理所述两个或多个客户机操作系统和所述代理器。
17.根据权利要求15所述的系统,
其中,所述策略引擎服务器进一步用于储存一个或多个策略,以及
其中,所述一个或多个策略规定了访问所述目标的要求。
18.根据权利要求17所述的系统,
其中,所述信息包括所述第一客户机OS的健康信息,以及
其中,生成所述访问控制信息时,所述策略引擎服务器用于:
确定所述健康信息是否符合所述要求,以及
在所述健康信息符合要求时,在所述访问控制信息中指出允许所述第一客户机OS访问所述目标。
19.根据权利要求15所述的系统,
其中,所述目标包括第二VM服务器,以及
其中,所述第二VM服务器包括:
所述第二VM的一个或多个实例,允许所述两个或多个客户机OS访问应用或网络服务,以及
第二代理器,用于从所述第二VM中的一个或多个实例收集应用信息。
20.根据权利要求19所述的系统,
其中,所述策略引擎服务器进一步用于从所述第二代理器接收所述应用信息,以及
其中,进一步基于所述应用信息生成所述访问控制信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/051,471 | 2011-03-18 | ||
| US13/051,471 US8959569B2 (en) | 2011-03-18 | 2011-03-18 | Security enforcement in virtualized systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102682242A true CN102682242A (zh) | 2012-09-19 |
| CN102682242B CN102682242B (zh) | 2015-11-18 |
Family
ID=44719325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110258946.4A Expired - Fee Related CN102682242B (zh) | 2011-03-18 | 2011-09-02 | 用于管理虚拟机系统的方法以及虚拟机系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8959569B2 (zh) |
| EP (1) | EP2500824A3 (zh) |
| CN (1) | CN102682242B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护系统及方法 |
| CN106657180A (zh) * | 2015-10-29 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于云服务的信息传输方法、装置、终端设备及系统 |
Families Citing this family (80)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9646164B2 (en) * | 2010-12-30 | 2017-05-09 | Aziomatics Ab | System and method for evaluating a reverse query |
| US9460289B2 (en) * | 2011-02-18 | 2016-10-04 | Trend Micro Incorporated | Securing a virtual environment |
| US8959569B2 (en) | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US9749291B2 (en) * | 2011-07-15 | 2017-08-29 | International Business Machines Corporation | Securing applications on public facing systems |
| US8875223B1 (en) | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| US10089127B2 (en) | 2011-11-15 | 2018-10-02 | Nicira, Inc. | Control plane interface for logical middlebox services |
| US9015714B2 (en) * | 2012-11-27 | 2015-04-21 | Citrix Systems, Inc. | Diagnostic virtual machine created to monitor cluster of hypervisors based on user requesting assistance from cluster administrator |
| RU2537814C9 (ru) * | 2013-02-06 | 2018-07-13 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2538286C9 (ru) * | 2013-02-06 | 2018-07-12 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| US20140259171A1 (en) * | 2013-03-11 | 2014-09-11 | Spikes, Inc. | Tunable intrusion prevention with forensic analysis |
| US9584544B2 (en) * | 2013-03-12 | 2017-02-28 | Red Hat Israel, Ltd. | Secured logical component for security in a virtual environment |
| US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
| US8943569B1 (en) * | 2013-10-01 | 2015-01-27 | Myth Innovations, Inc. | Wireless server access control system and method |
| US20150100670A1 (en) * | 2013-10-04 | 2015-04-09 | International Business Machines Corporation | Transporting multi-destination networking traffic by sending repetitive unicast |
| CN103701822A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 访问控制方法 |
| US9215214B2 (en) * | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
| US9215210B2 (en) | 2014-03-31 | 2015-12-15 | Nicira, Inc. | Migrating firewall connection state for a firewall service virtual machine |
| US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
| US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
| US9609019B2 (en) * | 2014-05-07 | 2017-03-28 | Attivo Networks Inc. | System and method for directing malicous activity to a monitoring system |
| US9769204B2 (en) * | 2014-05-07 | 2017-09-19 | Attivo Networks Inc. | Distributed system for Bot detection |
| US9729512B2 (en) | 2014-06-04 | 2017-08-08 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US9825913B2 (en) | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US9537738B2 (en) * | 2014-06-27 | 2017-01-03 | Intel Corporation | Reporting platform information using a secure agent |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
| US9692727B2 (en) | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
| US10606626B2 (en) | 2014-12-29 | 2020-03-31 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
| US9560078B2 (en) | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| US10250603B1 (en) | 2015-03-30 | 2019-04-02 | Amazon Technologies, Inc. | Connection control for virtualized environments |
| US10579406B2 (en) * | 2015-04-08 | 2020-03-03 | Avago Technologies International Sales Pte. Limited | Dynamic orchestration of overlay tunnels |
| US9959398B1 (en) * | 2015-04-30 | 2018-05-01 | Ims Health Incorporated | Dynamic user authentication and authorization |
| US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
| US10320786B2 (en) * | 2015-09-14 | 2019-06-11 | Samsung Electronics Co., Ltd. | Electronic apparatus and method for controlling the same |
| US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
| US9560015B1 (en) * | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US10581917B2 (en) * | 2016-06-14 | 2020-03-03 | Motorola Solutions, Inc. | Systems and methods for enforcing device policies |
| US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
| US10333983B2 (en) | 2016-08-30 | 2019-06-25 | Nicira, Inc. | Policy definition and enforcement for a network virtualization platform |
| US10542071B1 (en) * | 2016-09-27 | 2020-01-21 | Amazon Technologies, Inc. | Event driven health checks for non-HTTP applications |
| WO2018067399A1 (en) * | 2016-10-03 | 2018-04-12 | Stratus Digital Systems | Transient transaction server |
| US20190114630A1 (en) | 2017-09-29 | 2019-04-18 | Stratus Digital Systems | Transient Transaction Server DNS Strategy |
| US20180115556A1 (en) * | 2016-10-25 | 2018-04-26 | American Megatrends, Inc. | Systems and Methods of Restricting File Access |
| US10193862B2 (en) | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
| US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
| US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
| US11032246B2 (en) * | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
| US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
| US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
| US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
| US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
| US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US10826943B2 (en) | 2018-08-21 | 2020-11-03 | At&T Intellectual Property I, L.P. | Security controller |
| US11063946B2 (en) * | 2018-10-24 | 2021-07-13 | Servicenow, Inc. | Feedback framework |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
| US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
| US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
| US11829793B2 (en) | 2020-09-28 | 2023-11-28 | Vmware, Inc. | Unified management of virtual machines and bare metal computers |
| US20220159029A1 (en) * | 2020-11-13 | 2022-05-19 | Cyberark Software Ltd. | Detection of security risks based on secretless connection data |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| US11663159B2 (en) | 2021-08-31 | 2023-05-30 | International Business Machines Corporation | Deterministic enforcement in data virtualization systems |
| US11995024B2 (en) | 2021-12-22 | 2024-05-28 | VMware LLC | State sharing between smart NICs |
| US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
| US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080134176A1 (en) * | 2006-10-17 | 2008-06-05 | Managelq, Inc. | Enforcement of compliance policies in managed virtual systems |
| US20100017512A1 (en) * | 2008-07-21 | 2010-01-21 | International Business Machines Corporation | Method and System For Improvements In or Relating to Off-Line Virtual Environments |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5761477A (en) * | 1995-12-04 | 1998-06-02 | Microsoft Corporation | Methods for safe and efficient implementations of virtual machines |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| EP1593026A1 (en) * | 2003-02-14 | 2005-11-09 | Whale Communications Ltd. | System and method for providing conditional access to server-based applications from remote access devices |
| WO2005036806A2 (en) | 2003-10-08 | 2005-04-21 | Unisys Corporation | Scalable partition memory mapping system |
| US7409719B2 (en) | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
| US7603719B2 (en) * | 2005-01-28 | 2009-10-13 | TVWorks, LLC. | Resource access control |
| US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| WO2008090470A2 (en) | 2007-01-16 | 2008-07-31 | Absolute Software Corporation | A security module having a secondary agent in coordination with a host agent |
| US9270594B2 (en) * | 2007-06-01 | 2016-02-23 | Cisco Technology, Inc. | Apparatus and method for applying network policy at virtual interfaces |
| CN101971162B (zh) * | 2008-02-26 | 2012-11-21 | 威睿公司 | 将基于服务器的桌面虚拟机架构扩展到客户机上 |
| US20090241192A1 (en) * | 2008-03-21 | 2009-09-24 | Thomas Andrew J | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
| US8281363B1 (en) * | 2008-03-31 | 2012-10-02 | Symantec Corporation | Methods and systems for enforcing network access control in a virtual environment |
| US9177145B2 (en) * | 2009-03-24 | 2015-11-03 | Sophos Limited | Modified file tracking on virtual machines |
| US8959569B2 (en) | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
-
2011
- 2011-03-18 US US13/051,471 patent/US8959569B2/en not_active Expired - Fee Related
- 2011-09-01 EP EP11179745.2A patent/EP2500824A3/en not_active Withdrawn
- 2011-09-02 CN CN201110258946.4A patent/CN102682242B/zh not_active Expired - Fee Related
-
2015
- 2015-02-12 US US14/620,901 patent/US9596268B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080134176A1 (en) * | 2006-10-17 | 2008-06-05 | Managelq, Inc. | Enforcement of compliance policies in managed virtual systems |
| US20100017512A1 (en) * | 2008-07-21 | 2010-01-21 | International Business Machines Corporation | Method and System For Improvements In or Relating to Off-Line Virtual Environments |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护系统及方法 |
| CN106657180A (zh) * | 2015-10-29 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于云服务的信息传输方法、装置、终端设备及系统 |
| CN106657180B (zh) * | 2015-10-29 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 用于云服务的信息传输方法、装置、终端设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2500824A2 (en) | 2012-09-19 |
| US20150156219A1 (en) | 2015-06-04 |
| US8959569B2 (en) | 2015-02-17 |
| EP2500824A3 (en) | 2013-11-06 |
| US20120240182A1 (en) | 2012-09-20 |
| CN102682242B (zh) | 2015-11-18 |
| US9596268B2 (en) | 2017-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102682242A (zh) | 虚拟化系统中的安全强制 | |
| US10719369B1 (en) | Network interfaces for containers running on a virtual machine instance in a distributed computing environment | |
| US10187459B2 (en) | Distributed load balancing system, health check method, and service node | |
| US10122798B2 (en) | System and process for managing network communications | |
| EP3317804B1 (en) | Automatically preventing and remediating network abuse | |
| US10558407B2 (en) | Availability of devices based on location | |
| US8839235B2 (en) | User terminal device and service providing method thereof | |
| US10133525B2 (en) | Autonomous secure printing | |
| JP6266696B2 (ja) | サービス志向ソフトウェア定義型セキュリティのフレームワーク | |
| US8762985B2 (en) | User terminal device and service providing method thereof | |
| GB2551792A (en) | Elastic outbound gateway | |
| US20180302409A1 (en) | Universal Security Agent | |
| US8935357B2 (en) | User terminal device and service providing method thereof | |
| EP2541835B1 (en) | System and method for controlling access to network resources | |
| JP2013522794A (ja) | 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
| US8949962B2 (en) | Server and service providing method thereof | |
| US10255092B2 (en) | Managed virtual machine deployment | |
| KR20140094602A (ko) | 전용 캐시 관리 시스템 및 방법 | |
| US11770704B2 (en) | Distance based session roaming | |
| CN110324184B (zh) | 服务扩容与迁移方法、装置、系统、设备及可读存储介质 | |
| EP3002699A1 (en) | A method for controlling the execution of an application in a virtual computer environment | |
| JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
| US12015594B2 (en) | Policy integration for cloud-based explicit proxy | |
| Bellavista et al. | Cosmos: A context-centric access control middleware for mobile environments | |
| Mongiello et al. | Reios: Reflective architecting in the internet of objects |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: NETSCREEN TECHNOLOGIES INC. TO: JUNIPER NETWORKS INC. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151118 Termination date: 20190902 |