CN104067265A - 用于支持在云中的安全应用部署的系统和方法 - Google Patents
用于支持在云中的安全应用部署的系统和方法 Download PDFInfo
- Publication number
- CN104067265A CN104067265A CN201380006426.1A CN201380006426A CN104067265A CN 104067265 A CN104067265 A CN 104067265A CN 201380006426 A CN201380006426 A CN 201380006426A CN 104067265 A CN104067265 A CN 104067265A
- Authority
- CN
- China
- Prior art keywords
- application
- cloud
- security
- data
- secure data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种在因特网云中安全地部署软件应用的方法,包括:识别(42)软件应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面;将安全数据部署(43)在无法通过因特网而公共地访问的一个或多个安全服务器上;以及将非安全数据部署(45)在可通过因特网而公共地获得的一个或多个云服务器上,其中通过使用仅访问计算结果的安全连接来管理安全服务器与云服务器之间的通信。
Description
技术领域
本公开涉及云计算环境中的软件应用管理。
背景技术
云基础架构服务,也被称为基础架构即服务(IaaS),与原始(块)存储和网络一起交付计算机基础架构特别是平台虚拟化环境作为服务。客户以完全外包服务的方式获得服务器、软件、数据中心空间或网络设备,而不是购买这些资源。由云计算支持的强大的抽象是通过虚拟化底层物理资源的资源级抽象(resource level abstraction)。在这种范例中,用户免除了拥有和管理物理计算资源的麻烦。相反,用户可通过使用提供者所公开的API来从云提供者请求计算服务。一个这样的实例是Amazon的EC2,通过Amazon的EC2,用户可获得对所需的计算资源的访问。由于云提供者提供一组诸如服务器/CPU、存储和网络带宽之类的虚拟资源,所以用户不对物理资源有任何控制权。在这样的计算模式中,需要用户准备虚拟镜像(image),该虚拟镜像将主管被称为虚拟设备的应用。这种模式的益处在于用户意识不到底层物理计算资源并且不需要管理该物理资源。用户的焦点在于在这些虚拟资源上管理应用。由于共享由虚拟化技术所分割的公共物理资源组,所以云提供者能够显著降低计算资源的成本。然而,由于对将敏感数据移至云的担忧,所以企业客户关于云计算的主要的担心出现了。这种担忧可阻止企业将应用移至云。此外,若干审计和一致性监管策略妨碍众多应用利用云计算环境的益处。
发明内容
如本文所述的本发明的示例性实施例通常包括用于支持在云环境中的这种应用部署同时允许企业客户利用云环境的优点的方法和系统。
根据本发明的一个方面,提供一种在因特网云中安全地部署软件应用的方法,包括:识别软件应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面;将所述安全数据部署在无法通过所述因特网而公共地访问的一个或多个安全服务器上;以及将非安全数据部署在可通过所述因特网而公共地获得的一个或多个云服务器上,其中通过使用仅访问计算结果的安全连接来管理所述安全服务器与所述云服务器之间的通信。
根据本发明的再一方面,所述方法包括将交付点终端与所述应用的所述安全数据相关联,以管理所述安全数据。
根据本发明的再一方面,所述方法包括提供访问策略,用以当应用事件访问安全数据时生成异常,其中访问安全数据的所述事件,由与所述应用的所述安全数据相关联的所述交付点终端来管理。
根据本发明的再一方面,所述方法包括对所述应用进行概要分析,以识别所述应用的使用安全数据的那些方面以及所述应用的使用非安全数据的那些方面,其中应用概要分析器生成已注解的图,所述已注解的图指示哪些应用组件需要被部署在所述一个或多个安全服务器上。
根据本发明的再一方面,所述方法包括将需要访问安全数据的任何其它应用或应用组件部署于所述安全服务器。
根据本发明的另一方面,提供一种非暂时性的计算机可读的程序存储装置,明确实现由所述计算机运行的程序指令以执行用于在因特网云中安全地部署软件应用的方法步骤。
附图说明
图1表示根据本发明一实施例的云计算节点;
图2表示根据本发明一实施例的云计算环境;
图3表示根据本发明一实施例的抽象模型层;
图4是根据本发明的实施例的、用于支持在云中进行安全应用部署的方法的流程图。
具体实施方式
首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源,例如可以是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征包括:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图1,其中显示了云计算节点的一个例子。图1显示的云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
云计算节点10具有计算机系统/服务器12,其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示,通常称为“硬盘驱动器”)。尽管图1中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器12一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图2,其中显示了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图3,其中显示了云计算环境50(图2)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图3所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机,例如系统;基于RISC(精简指令集计算机)体系结构的服务器,例如IBM系统;IBM系统;IBM系统;存储设备;网络和网络组件。软件组件的例子包括:网络应用服务器软件,例如IBM应用服务器软件;数据库软件,例如IBM数据库软件。(IBM,zSeries,pSeries,xSeries,BladeCenter,WebSphere以及DB2是国际商业机器公司在全世界各地的注册商标)。
虚拟层62提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,以及虚拟客户端。
在一个示例中,管理层64可以提供下述功能:资源供应功能:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
工作负载层66提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学提供;数据分析处理;交易处理。
根据本发明的实施例,企业客户可通过如下方式来利用云资源:所述方式为通过选择性地迁移应用并在客户方(premises)自身内选择那些使用安全数据的应用,并且更新云管理中心配置使得这些分域(divided domain)作为单个云应用而无缝管理。该部署由模块化云设计所提供的底层机制来促进。客户识别客户服务的使用安全数据的部分并且在客户方自身内保持该服务部分。尽管该服务部分托管在客户方,但是该服务部分仍然是通过对云管理中心的配置进行管理所支持的全部云应用的一部分。由客户所识别的安全数据被标记,策略被插入到应用服务器软件中,所述应用服务器软件协调客户与其数据的交互以便当访问安全数据时生成异常,从而调用安全处理程序以服务于安全数据交易。
在将应用迁移至混合云结构期间所包含的步骤可如下所示。(1)识别使用安全数据的那些服务方面。全部服务现在分成两个域:安全域和云域。(2)将用于安全域的基础架构托管在客户方内。(3)将云域托管在云基础架构中。(4)通过使用仅访问计算结果的安全连接来管理安全域与云域之间的通信。(5)云管理中心凭借模块化支持来管理安全域和云域。
根据本发明的实施方式,可使用基于交付点(point-of-delivery,POD)的云结构来配合混合云结构。每个企业均可部署自己的POD以处理安全应用和数据,并且将该POD加入到云操作中心(COC),所述云操作中心起到针对用户客户端的应用服务器的作用。然后,可对安全数据以及与具有安全问题(with security concerns)的应用进行管理并部署在所述安全POD上,同时可将应用的那些非安全的部分托管在云的公共部分上。这些分割的应用可使用适当定义的API进行通信。
在实现这种混合云结构时所面临的挑战包括为客户POD和公共POD的无缝管理设计控制和管理平台、以及设计并分割(split)应用管理。在用于促进私有云和公共云混合的基于POD的结构中,可对COC进行配置以既管理客户方的私有POD又管理可通过因特网访问的公共POD。可对COC进行适当地配置,以将对安全应用的请求路由并分配至私有POD,并管理其它功能以促进私有云与公共云之间的通信。
在分割应用拓扑(split application topology)中,企业客户可识别其需要在私有POD中的应用部署的部分。接口可用作应用的安全部分与非安全部分之间的边界。对安全应用的请求可被发送至COC以用于在私有POD上部署和管理,以便所需的安全数据从不穿过客户边界。
对于通过使用POD的部署的选项包括分割应用拓扑,使得接触数据或与数据相关的应用的任何组件均托管在私有POD中,或者包括将数据访问或计算限制在私有云中同时将其它应用组件托管在公共云上,在所述公共云上,分割的组件通过接口边界来通信。
对于分割应用的选项包括以功能级别分割应用、分割中间的基础架构(middle infrastructure)、以及分割平台基础架构。根据本发明的实施例,以最高级别的粒度(granularity),将应用分割为安全组件和非安全组件。
在将应用分割为安全组件和非安全组件时至少有两个挑战。一个挑战是确定应用中哪些组件应当被保持在客户方的内部,以便解决所有的安全问题。另一个挑战涉及在应用中的安全组件与非安全组件之间提供无缝通信。第二个问题可由模块化云设计概念解决,所述模块化云设计概念例如在同时待审申请YOR8-2009-0439“用于构建模块化云的方法和设备”中所公开的模块化云设计概念。
关于第一个挑战,对于分割确定的关键问题是接触安全数据的或者须传送被认为是安全的数据的应用的任何组件须被托管在私有云或被指定为安全的云上的基础架构上。
根据本发明的实施例,可使用最佳实践的方法。最佳实践是通常由应用提供者所开发的企业应用部署指南。一种方法是将应用组件中那些访问被标记为安全的数据库的组件标记并指定为“仅安全”。安全组件和非安全组件分别被移至私有云和公共云。通过在基于POD的结构中已建立的通信信道来促进数据通信。
根据本发明的另一实施例,用户可将应用组件和数据源标记为安全和非安全。
根据本发明的另一实施例,可使用自动概要分析(automated profiling)来在应用和应用组件中跟踪数据流,以确定所述应用或应用组件中的哪些应当被标记为安全和非安全。在该情形中,对应用图(application graph)进行注解,以找出需要被安全地部署的那些组件。已注解的图将指示哪些组件需要部署在安全云上。诸如Hewlett Packard的eConfigure之类的商业上可获得的软件程序可使用这种模型以定义部署计划。
这些方法基于对安全数据的直接依赖而提供了分割。由于依赖于这些应用的其它应用可将数据暴露于公共云,所以可获得依赖性,因此也应当将这些应用标记为安全。根据本发明的实施例的用于所述已获得的依赖性的算法是:(1)将标记为安全的组件置于安全的POD上;(2)应当将需要访问但却又无法访问安全的POD中的组件的任何组件置于安全的POD中;以及(3)重复步骤(2)直到所有这样的要求得以解决。
然而,应当理解的是,POD结构仅是用于促进上文对安全组件和非安全组件的分割的一种实现方式,并且本发明的其它实施例并不限于基于POD的设计。根据本发明的其它实施例的方法可利用私有云平台和公共云平台的其它组合,或者可利用安全云组件和非安全云组件的更一般的其它组合,其中敏感数据以及访问这种数据的应用被保持并被限制于安全云。在安全组件与非安全组件之间的管理控制和通信可由那些云中的各个已得到支持的设计来促进。
图4是根据本发明的实施例的、用于在因特网云中安全地部署软件应用的方法的流程图。现在参照该图,根据本发明的实施例的方法在步骤41处开始,步骤41通过对应用进行概要分析以生成已注解的组件图,从而识别应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面。在步骤S42,使用已注解的组件图来识别应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面。在步骤43,将安全数据部署在无法通过因特网公共地访问的一个或多个安全服务器上,并且将交付点(POD)终端(terminal)与应用的安全数据相关联以便管理安全数据。此外,将需要访问安全数据的任何其它应用或应用组件部署于安全服务器。在步骤44,提供一种访问策略,用以当应用事件访问安全数据时生成异常。访问安全数据的所述事件,将由与应用的安全数据相关联的交付点终端管理。在步骤45,将非安全数据部署在一个或多个可公共地获得的因特网云服务器上。通过使用仅访问计算结果的安全连接来管理在安全服务器与云服务器之间的通信。
尽管已经参照附图详细描述了本发明的示例性实施例,然而本领域技术人员将理解的是,在不脱离所附权利要求所阐述的本发明的实施例的精神和范围的情况下,可以对本发明进行各种修改和替换。
Claims (10)
1.一种在因特网云中安全地部署软件应用的方法,包括下列步骤:
识别(42)软件应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面;
将所述安全数据部署(43)在无法通过所述因特网而公共地访问的一个或多个安全服务器上;以及
将非安全数据部署(45)在可通过所述因特网而公共地获得的一个或多个云服务器上,
其中通过使用仅访问计算结果的安全连接来管理所述安全服务器与所述云服务器之间的通信。
2.根据权利要求1所述的方法,还包括将交付点终端与所述应用的所述安全数据相关联,以管理所述安全数据。
3.根据权利要求2所述的方法,还包括提供(44)禁止访问策略,用以当应用事件访问安全数据时生成异常,其中访问安全数据的所述事件,由与所述应用的所述安全数据相关联的所述交付点终端来管理。
4.根据权利要求1所述的方法,还包括对所述应用进行概要分析(41),以识别所述应用的使用安全数据的那些方面以及所述应用的使用非安全数据的那些方面,其中应用概要分析器生成已注解的图,所述已注解的图指示哪些应用组件需要被部署在所述一个或多个安全服务器上。
5.根据权利要求4所述的方法,还包括将需要访问安全数据的任何其它应用或应用组件部署于所述安全服务器。
6.一种非暂时性的计算机可读的程序存储装置,明确实现由所述计算机运行的程序指令以执行用于在因特网云中安全地部署软件应用的方法步骤,包括以下步骤:
识别(42)软件应用的使用安全数据的那些方面以及该应用的使用非安全数据的那些方面;
将所述安全数据部署(43)在无法通过所述因特网而公共地访问的一个或多个安全服务器上;以及
将非安全数据部署(45)在可通过所述因特网而公共地获得的一个或多个云服务器上,
其中通过使用仅访问计算结果的安全连接来管理所述安全服务器与所述云服务器之间的通信。
7.根据权利要求6所述的计算机可读的程序存储装置,所述方法还包括将交付点终端与所述应用的所述安全数据相关联,以管理所述安全数据。
8.根据权利要求7所述的计算机可读的程序存储装置,所述方法还包括提供(44)访问策略,用以当应用事件访问安全数据时生成异常,其中访问安全数据的所述事件,由与所述应用的所述安全数据相关联的所述交付点终端来管理。
9.根据权利要求6所述的计算机可读的程序存储装置,所述方法还包括对所述应用进行概要分析(41),以识别所述应用的使用安全数据的那些方面以及所述应用的使用非安全数据的那些方面,其中应用概要分析器生成已注解的图,所述已注解的图指示哪些应用组件需要被部署在所述一个或多个安全服务器上。
10.根据权利要求9所述的计算机可读的程序存储装置,所述方法还包括将需要访问安全数据的任何其它应用或应用组件部署于所述安全服务器。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/356,293 US8984132B2 (en) | 2012-01-23 | 2012-01-23 | System and method for supporting secure application deployment in a cloud |
US13/356,293 | 2012-01-23 | ||
PCT/US2013/022689 WO2013112543A1 (en) | 2012-01-23 | 2013-01-23 | System and method for supporting secure application deployment in the cloud |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104067265A true CN104067265A (zh) | 2014-09-24 |
CN104067265B CN104067265B (zh) | 2016-10-26 |
Family
ID=48798175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380006426.1A Active CN104067265B (zh) | 2012-01-23 | 2013-01-23 | 用于支持在云中的安全应用部署的系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8984132B2 (zh) |
CN (1) | CN104067265B (zh) |
WO (1) | WO2013112543A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107172038A (zh) * | 2017-05-11 | 2017-09-15 | 深信服科技股份有限公司 | 一种用于提供安全服务的信息处理方法以及安全服务平台 |
CN107786517A (zh) * | 2016-08-30 | 2018-03-09 | 中国电信股份有限公司 | 云安全业务的部署方法、系统以及安全控制系统 |
CN112800369A (zh) * | 2021-01-27 | 2021-05-14 | 海尔数字科技(青岛)有限公司 | 基于工业互联网的数据访问方法及工业互联网一体化系统 |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140366084A1 (en) * | 2012-01-25 | 2014-12-11 | Nec Corporation | Management system, management method, and non-transitory storage medium |
WO2014021849A1 (en) * | 2012-07-31 | 2014-02-06 | Hewlett-Packard Development Company, L.P. | Orchestrating hybrid cloud services |
US9843487B2 (en) * | 2013-03-12 | 2017-12-12 | Oracle International Corporation | System and method for provisioning cloud services using a hybrid service management engine plugin |
US9785767B2 (en) * | 2013-03-15 | 2017-10-10 | Imagine Communications Corp. | Systems and methods for determining trust levels for computing components |
US10628578B2 (en) * | 2013-03-15 | 2020-04-21 | Imagine Communications Corp. | Systems and methods for determining trust levels for computing components using blockchain |
EP3063663A4 (en) | 2013-10-30 | 2017-04-19 | Hewlett-Packard Enterprise Development LP | Stitching an application model to an infrastructure template |
US10230580B2 (en) | 2013-10-30 | 2019-03-12 | Hewlett Packard Enterprise Development Lp | Management of the lifecycle of a cloud service modeled as a topology |
EP3063660A4 (en) | 2013-10-30 | 2017-06-14 | Hewlett-Packard Enterprise Development LP | Execution of a topology |
US10230568B2 (en) | 2013-10-30 | 2019-03-12 | Hewlett Packard Enterprise Development Lp | Monitoring a cloud service modeled as a topology |
US10284427B2 (en) | 2013-10-30 | 2019-05-07 | Hewlett Packard Enterprise Development Lp | Managing the lifecycle of a cloud service modeled as topology decorated by a number of policies |
WO2015065356A1 (en) | 2013-10-30 | 2015-05-07 | Hewlett-Packard Development Company, L.P. | Topology remediation |
US20160239595A1 (en) * | 2013-10-30 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Instantiating a topology-based service using a blueprint as input |
KR20150095029A (ko) * | 2014-02-12 | 2015-08-20 | 한국전자통신연구원 | 응용 프로그램 가상화 시스템 및 사용자 단말의 응용 프로그램 가상화 방법 |
US9871851B2 (en) * | 2014-06-30 | 2018-01-16 | EMC IP Holding Company LLC | Migrating private infrastructure services to a cloud |
US9762616B2 (en) * | 2015-08-08 | 2017-09-12 | International Business Machines Corporation | Application-based security rights in cloud environments |
US9398087B1 (en) * | 2015-11-29 | 2016-07-19 | International Business Machines Corporation | Secure deployment of an application across deployment locations |
US10432707B2 (en) | 2016-03-02 | 2019-10-01 | International Business Machines Corporation | Optimization of integration flows in cloud environments |
US10225253B2 (en) | 2016-07-22 | 2019-03-05 | Microsoft Technology Licensing, Llc | Usage tracking in hybrid cloud computing systems |
US10484460B2 (en) * | 2016-07-22 | 2019-11-19 | Microsoft Technology Licensing, Llc | Access services in hybrid cloud computing systems |
US10387670B2 (en) | 2016-09-21 | 2019-08-20 | International Business Machines Corporation | Handling sensitive data in an application using external processing |
US10171431B2 (en) | 2016-09-21 | 2019-01-01 | International Business Machines Corporation | Secure message handling of an application across deployment locations |
US10601871B2 (en) * | 2017-01-18 | 2020-03-24 | International Business Machines Corporation | Reconfiguration of security requirements for deployed components of applications |
US10901812B2 (en) * | 2017-09-18 | 2021-01-26 | Rapyuta Robotics Co., Ltd. | Managing communication between cloud and heterogeneous devices across networks |
US10423449B2 (en) | 2017-11-20 | 2019-09-24 | International Business Machines Corporation | Allocating tasks in a computing environment |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090254572A1 (en) * | 2007-01-05 | 2009-10-08 | Redlich Ron M | Digital information infrastructure and method |
US20100185968A1 (en) * | 2008-12-11 | 2010-07-22 | Sugarcrm Inc. | Business software application system and method |
US20110016214A1 (en) * | 2009-07-15 | 2011-01-20 | Cluster Resources, Inc. | System and method of brokering cloud computing resources |
CN101969475A (zh) * | 2010-11-15 | 2011-02-09 | 张军 | 基于云计算的商业数据可控分发与融合应用系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7716109B1 (en) * | 1999-04-29 | 2010-05-11 | Citibank, N.A. | System and method for web trading |
US7367048B2 (en) * | 2003-07-10 | 2008-04-29 | International Business Machines Corporation | Apparatus and method for autonomic email access control |
US20080080526A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Migrating data to new cloud |
US8417938B1 (en) * | 2009-10-16 | 2013-04-09 | Verizon Patent And Licensing Inc. | Environment preserving cloud migration and management |
US8171537B2 (en) | 2010-01-29 | 2012-05-01 | Ellis Frampton E | Method of securely controlling through one or more separate private networks an internet-connected computer having one or more hardware-based inner firewalls or access barriers |
US8417798B2 (en) * | 2010-05-11 | 2013-04-09 | International Business Machines Corporation | Deploying artifacts for packaged software application in cloud computing environment |
-
2012
- 2012-01-23 US US13/356,293 patent/US8984132B2/en active Active
-
2013
- 2013-01-23 CN CN201380006426.1A patent/CN104067265B/zh active Active
- 2013-01-23 WO PCT/US2013/022689 patent/WO2013112543A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090254572A1 (en) * | 2007-01-05 | 2009-10-08 | Redlich Ron M | Digital information infrastructure and method |
US20100185968A1 (en) * | 2008-12-11 | 2010-07-22 | Sugarcrm Inc. | Business software application system and method |
US20110016214A1 (en) * | 2009-07-15 | 2011-01-20 | Cluster Resources, Inc. | System and method of brokering cloud computing resources |
CN101969475A (zh) * | 2010-11-15 | 2011-02-09 | 张军 | 基于云计算的商业数据可控分发与融合应用系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786517A (zh) * | 2016-08-30 | 2018-03-09 | 中国电信股份有限公司 | 云安全业务的部署方法、系统以及安全控制系统 |
CN107172038A (zh) * | 2017-05-11 | 2017-09-15 | 深信服科技股份有限公司 | 一种用于提供安全服务的信息处理方法以及安全服务平台 |
CN107172038B (zh) * | 2017-05-11 | 2020-04-28 | 深信服科技股份有限公司 | 一种用于提供安全服务的信息处理方法、平台、组件及系统 |
CN112800369A (zh) * | 2021-01-27 | 2021-05-14 | 海尔数字科技(青岛)有限公司 | 基于工业互联网的数据访问方法及工业互联网一体化系统 |
Also Published As
Publication number | Publication date |
---|---|
US20130191539A1 (en) | 2013-07-25 |
CN104067265B (zh) | 2016-10-26 |
US8984132B2 (en) | 2015-03-17 |
WO2013112543A1 (en) | 2013-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104067265B (zh) | 用于支持在云中的安全应用部署的系统和方法 | |
CN109478161B (zh) | 使用调试容器提供关于生产容器的调试信息 | |
CN103368767B (zh) | 用于在容许故障的因特网云上部署软件应用的方法和系统 | |
CN103729250B (zh) | 用于选择被配置为满足一组要求的数据节点的方法和系统 | |
US9641392B2 (en) | Policy implementation in a networked computing environment | |
CN103365725B (zh) | 在多个云之间动态分配工作负荷部署单元的方法和系统 | |
US8843621B2 (en) | Event prediction and preemptive action identification in a networked computing environment | |
US10311216B2 (en) | Borrowing software licenses in a license management system for time based usage | |
US20110138034A1 (en) | Metering resource usage in a cloud computing environment | |
CN102981907A (zh) | 用于虚拟机分配的系统和方法 | |
US10972586B2 (en) | Reusable message flow between applications of a message broker integrated systems environment | |
CN104660669A (zh) | 针对应用模式组件从多个主机选择一个主机的方法和系统 | |
CN104424013A (zh) | 在计算环境中部署虚拟机的方法和设备 | |
JP2019536123A (ja) | 外部処理を用いたアプリケーション内のセンシティブ・データの処理 | |
CN104731658A (zh) | 供应和合并共享资源以最大化资源可用性的方法和系统 | |
Alam et al. | Recent developments in cloud based systems: state of art | |
JP7358005B2 (ja) | クラウド・サービスのためのネイティブ・コード生成 | |
CN105359088A (zh) | 使用动态生成的虚拟磁盘内容优化供应时间的方法 | |
CN103927216A (zh) | 用于管理虚拟装置的方法和系统 | |
CN104657411A (zh) | 用于信息技术资源管理的方法和系统 | |
WO2019180523A1 (en) | Using blockchain for flexible application licensing | |
Alsaeed et al. | Towards cloud computing services for higher educational institutions: Concepts & literature review | |
Kumar Sharma et al. | A Vision towards Optimization of Ontological Datacenters Computing World | |
US11586470B2 (en) | Scalable workflow engine with a stateless orchestrator | |
CN104951238A (zh) | 用于在分布式虚拟环境中管理数据存储的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |