CN105324778B - 用于把虚拟机分派给安全容器的方法、系统和装置 - Google Patents
用于把虚拟机分派给安全容器的方法、系统和装置 Download PDFInfo
- Publication number
- CN105324778B CN105324778B CN201480034454.9A CN201480034454A CN105324778B CN 105324778 B CN105324778 B CN 105324778B CN 201480034454 A CN201480034454 A CN 201480034454A CN 105324778 B CN105324778 B CN 105324778B
- Authority
- CN
- China
- Prior art keywords
- container
- label
- group
- safety container
- network connectivity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种技术包括分别根据各自的安全容器操作一个或更多个虚拟机,其中各自的安全容器与基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器传送的各自的规则相关联。在一个或更多个虚拟机上操作一个或更多个安全服务,以识别与一个或更多个虚拟机相关联的一个或更多个安全威胁。获得由端点安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机。并且至少基于所获得的标记当中的一个或更多个以及一个或更多个标准来将虚拟机之一识别为需要传送到隔离容器。
Description
技术领域
本文档涉及虚拟机和安全服务。
背景技术
虚拟机是物理计算机系统的基于软件的抽象。一般而言,可以在物理计算机系统上执行的任何计算机程序都可以使用虚拟化软件在虚拟机中执行。虚拟化软件是逻辑上介入虚拟机和物理计算机系统之间并与虚拟机和物理计算机系统接合的软件。每个虚拟机被配置为执行在此被称为客户OS的操作系统以及应用程序。在此被称为主机的物理计算机系统可以执行一个或更多个虚拟机。
通过网络连接,虚拟机可以被本地或远程访问。例如,有可能使用远程桌面客户端来远程访问虚拟机。远程桌面客户端是与远程计算机系统交流用户接口信息的计算机程序。一般而言,用户接口信息包括从远程计算机系统接收并且显示在用户本地的计算机上的显示数据,并且向远程计算机系统发送由用户生成的键盘和鼠标输入。以这种方式,远离用户地执行的应用程序可以被用户访问并与用户交互。
另外,不管是在虚拟机上执行还是在主机上直接执行,应用程序和操作系统都仍然易受暗中进入计算机环境的诸如病毒或蠕虫之类的程序或代码的攻击。病毒常常自我复制,或者使它们被复制,由此消耗过量的计算机资源,并造成计算机操作的劣化或中断。“蠕虫”可以被定义为把它自己自动附到发出的电子邮件或其它网络消息的病毒。有些病毒擦除或破坏磁盘文件,或者要求硬盘全部重新格式化。病毒可能一进入计算机环境就立刻肆意破坏,或者可能处于休眠状态直到环境使它们的代码被主计算机执行。不管特定的病毒会造成什么样的潜在损坏,所有病毒一般都被认为是恶意的,都应当防止其感染系统,并且如果发现就应当除去。为此,术语“病毒”将指任何此类恶意代码。
病毒的威胁在联网的环境中尤为严重,在所述联网的环境中,网络上的计算机能够被黑客团伙创建的复杂性和严重性程度不同的病毒访问。这些病毒可以通过各种机制(例如,作为电子邮件的附件或者作为下载文件)或者通过监听网络端口的服务程序来暗中进入计算机环境。防病毒软件的各种示例包括针对恶意代码来扫描整个盘驱动器和存储器系统的系统扫描器,以及在被操作系统请求时对文件进行扫描的“按访问(on-access)”扫描器。其它类型的防病毒软件也是可能的。
发明内容
一般而言,本文档中所描述的主题的一方面可以体现在以下技术中,该技术包括:分别根据各自的安全容器(security container)来操作一个或更多个虚拟机,其中各自的安全容器与各自的规则相关联,所述规则基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器(quarantine container)的传送;在所述虚拟机中的一个或更多个上操作一个或更多个端点安全服务,以识别与所述虚拟机中的一个或更多个虚拟机相关联的一个或更多个安全威胁;获得由所述一个或更多个安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机;至少基于所获得的标记当中的一个或更多个以及所述标准中的一个或更多个,来识别虚拟机中需要传送到隔离容器的一个虚拟机;以及,把识别出的虚拟机传送到隔离容器。该方面的其它实施例包括对应的系统、装置和被编码在非临时性机器可读存储介质上的计算机软件。
这些及其它方面可以可选地包括以下特征中的一个或更多个。安全服务可以包括防病毒扫描器、数据丢失防护(DLP)、文件完整性监视、木马(rootkit)检测器、漏洞管理、网络防火墙、web安全控制,以及入侵检测/防护系统。可以解决安全威胁,以除去使识别出的虚拟机从该识别出的虚拟机的各自的安全容器传送到隔离容器的标记;并且识别出的虚拟机可以从隔离容器传送到该识别出的虚拟机的各自的安全容器。可以提供用户接口来创建并配置一个或更多个各自的安全容器,其中用户接口被配置为针对一个或更多个各自的安全容器中的每一个创建一个或更多个基于标记的规则。每个标记可以包括虚拟机标识符、标记标签、以及标记值。各自的规则可以指定威胁级别阈值,并且其中识别虚拟机包括将标记值与该威胁级别阈值进行比较。一个或更多个端点安全服务可以包括被配置为根据已知的标记格式生成标记的防病毒扫描器、被配置为根据已知的标记格式生成标记的漏洞管理机制、或者被配置为根据已知的标记格式生成标记的数据丢失防护机制中的一个或更多个。操作一个或更多个虚拟机可以包括:响应于虚拟机登录事件来检测用户成员资格组;基于用户成员资格组来选择各自的安全容器;并且把与虚拟机登录事件相关联的虚拟机分派给选定的安全容器。一个或更多个各自的安全容器可以包括:与第一规则相关联的第一安全容器,所述第一规则基于一个或更多个第一标准来指定虚拟机从第一安全容器到第一隔离容器的传送;以及与第二规则相关联的第二安全容器,所述第二规则基于一个或更多个第二标准来指定虚拟机从第二安全容器到第二隔离容器的传送。实现方式可以包括操作标记通信层以接收来自一个或更多个安全服务的一个或更多个标记,该标记通信层对于一个或更多个端点安全服务是不可知的。实现方式可以包括根据隔离容器来操作网络防火墙,以限制识别出的虚拟机的网络连接性。
本文档中所描述的主题的特定实施例可被实施为实现以下优点中的一个或更多个。提供让安全服务标记虚拟机的框架可以使得被标记的虚拟机能够快速且自动地传送到诸如隔离容器之类的不同的、更严格的容器。一旦在虚拟机上检测到病毒,对于防止病毒对未受影响的系统的扩散或影响、防止敏感信息的泄漏或者这两者,最小化虚拟机在隔离容器之外所花的时间是有利的。
本文档中所描述的主题的一个或更多个实施例的细节在附图和以下说明书中得到阐述。通过阅读说明书、附图和权利要求,主题的其它特征、方面和优点将变得清楚。
附图说明
图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。
图2示出了被配置为执行虚拟机的系统的示例的体系架构。
图3示出了包括安全管理器的安全框架的示例的体系架构。
图4示出了安全过程的示例的流程图。
图5示出了安全过程的另一示例的流程图。
图6示出了安全过程的另一示例的流程图。
各种图中相同的附图标记和命名指示相同的要素。
具体实施方式
本文档描述在不同的端点安全服务(例如,防病毒软件)和网络安全服务(例如,网络防火墙)之间实现协同编排(synergistic orchestration)的框架。这种框架可以使得能够在虚拟机环境内对安全策略的违背进行快速且自动的响应,同时使得客户能够选择端点和网络安全服务中的最佳种类,包括由不同供应商提供的那些服务。
图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。诸如数据处理装置之类的物理机器可以根据分别分派的安全容器105a-c来执行虚拟机110a-d。安全容器105a-c是可以指定诸如防火墙设置115a-c、用于一个或更多个安全服务的操作设置以及基于标记的规则120a-c之类的策略的虚拟机操作环境。在一些实现方式中,安全容器105a-c与各自的具有不同允许级别的网络连接性的防火墙设置115a-c相关联。在这个示例中,第一安全容器105a与指定完全网络访问的防火墙设置115a相关联,而第二安全容器105b与指定受限网络访问的防火墙设置115b相关联。例如,隔离容器105c可以与指定无网络访问的防火墙设置115c相关联。基于标记的规则120a-b可以基于一个或更多个标准(诸如基于由一个或更多个安全服务提供的安全标记的标准)来指定到隔离容器105c的传送130。安全标记可以表示由虚拟机110a-d的安全服务审查生成的安全决定。在有些情况下,规则120c可以指定一旦标记被安全服务清除就从隔离容器105c离开的传送130。
图2示出了被配置为执行虚拟机的系统201的示例的架构。在系统201中,物理机器230可以被配置为使用管理程序220来执行虚拟机110a-e。计算机终端240a-b可以利用网络235来访问虚拟机110a-e。在有些实现中,系统201可以被配置为经由计算机终端240a-b来提供虚拟桌面基础架构(virtual desktop infrastructure,VDI)。VDI允许计算机管理员在虚拟基础架构上主持和管理用户桌面,例如,VDI给予每个用户用于桌面计算的独立虚拟机。在有些实现中,计算机终端240a-b被配置为通过使用远程桌面协议来向虚拟机110a-e提供物理前端。计算机终端240a-b的各种示例包括诸如PC、瘦客户端(thin client)、零客户端之类的客户端访问设备。其它类型的终端也是可能的。
有些虚拟机110a-d可以分别被分派给安全容器105a-c中的一个,而被称为安全虚拟机的一个或更多个其它虚拟机110e可以被配置为向虚拟机110a-d提供端点安全服务、网络安全服务或者这两者。例如,安全虚拟机110e可以执行端点安全服务,诸如针对诸如病毒之类的安全威胁来对其它虚拟机110a-d进行扫描的防病毒扫描器。在有些实现中,例如,防病毒扫描器可以与在虚拟机110a-d上运行的瘦代理(thin agent)交互,以执行对虚拟机的内存、持久性储存器和网络通信的扫描。在其它实现中,安全虚拟机110a上的防病毒扫描器可以自主地扫描其它虚拟机110a-d。在其它实现中,管理程序220可以执行一个或更多个网络安全服务,诸如操作网络防火墙。
图3示出了包括安全管理器310的安全框架的示例的架构。虚拟基础结构可以部署包括端点安全服务305a-b和网络安全服务305c-d的安全服务305a-d。端点安全服务305a-b的各种示例包括防病毒扫描器、数据丢失防护(DLP)、文件完整性监视、木马检测器和漏洞管理。其它类型的示例也是可能的。网络安全服务305c-d的各种示例包括网络防火墙、web安全控制和入侵检测/防护系统。其它类型的示例也是可能的。
安全管理器310可以基于安全容器与安全服务305a-d交互。安全管理器310可以提供用于创建和配置安全容器的用户接口。安全容器可以指定要在分派给该容器的虚拟机上执行的一个或更多个安全服务。一个或更多个规则可以与每个安全容器相关联。这种规则可以存储在安全容器规范数据库320中。在有些实现中,规则可以基于安全扫描的结果来指定动作(例如,移到隔离容器)。另外,针对服务305a-d中的一个或更多个的配置信息可以存储在安全容器规范数据库320中。配置信息可以针对每个安全服务来指定,并且可以包括诸如安全服务名称、对应于安全服务的可执行文件的位置或者安全设置之类的参数。其它类型的参数也是可能的。例如,用于防病毒安全服务的配置信息可以包括扫描频率和扫描类型。在有些实现中,安全管理器310可以基于由安全容器指定的配置信息来操作安全服务305a-d。安全管理器310可以把虚拟机分派给安全容器;这种分派被存储在虚拟机安全容器分派数据库325中。
安全服务305a-d中的一个或更多个可以基于安全扫描的结果、安全事件或者这两者来把标记分派给虚拟机。安全管理器310可以提供标记通信层,以从安全服务305a-d中的一个或更多个接收标记并且把标记分配给诸如虚拟机标记检查器330之类的组件。在有些实现中,标记信息可以包括虚拟机标识符、标记名称和标记值。其它类型的标记信息也是可能的。在有些实现中,可以使用可扩展标记语言(XML)将标记传送到标记通信层。虚拟机标记检查器330可以访问由安全服务305a-d生成的标记并且把它们与由安全容器的规则指定的一个或更多个标准进行比较。基于满足该一个或更多个标准,可以自动执行与该规则相关联的动作。
图4示出了如由一个或更多个数据处理装置实施的安全过程的示例的流程图。在405,该过程在虚拟机(VM)上部署安全服务。在有些实现中,部署安全服务可以包括安装诸如防病毒扫描器之类的安全软件。在410,该过程注册安全服务。注册安全服务可以包括配置安全管理器以操作安全服务。注册安全服务可以包括配置安全管理器配置以识别由安全服务生成的标记。
在415,该过程提供用户接口(UI),以创建并配置安全容器和用于容器的基于标记的规则。提供UI可以包括显示图形用户接口(GUI)。提供UI可以包括提供命令行接口(CLI)。在有些实现中,UI可以被设计成针对不同的安全容器而指定不同的服务配置选项。例如,一个安全容器可以具有按小时的防病毒扫描需求,而另一个安全容器可以具有按天或按周的防病毒扫描需求。
在420,该过程把VM分派给安全容器中的一个或更多个。在有些实现中,UI还可以提供用于把虚拟机分派给安全容器的界面。在有些实现中,VM到安全容器的分派是响应于登录事件而动态执行的。例如,分派可以基于与登录事件相关联的用户的用户身份或用户组身份。
在425,该过程经由安全容器来应用安全服务。经由安全容器应用安全服务可以包括基于安全容器的需求来访问和使用一个或更多个服务配置选项。在430,该过程在VM上操作安全服务,以检测安全威胁。在有些实现中,安全管理器可以使安全服务根据安全容器的需求以周期性的时间间隔执行虚拟机的扫描。在435,该过程基于各自检测到的安全威胁来选择性地把标记分派给VM。例如,安全服务可以基于检测到诸如病毒或造成漏洞的配置错误之类的威胁来输出标记。标记的各种示例包括基于文本的标签,诸如“virus.threat=detected”、“malware.threat=high”或“dlp.violation=HIPAA”。其它类型的标签也是可能的,例如标记可以以二进制格式而不是文本格式表示。在有些实现中,标记可以包括行业标准漏洞得分,诸如通用漏洞评分系统(CVSS)得分,例如“CVSS=9.7”。在440,该过程基于所分派的标记和基于标记的规则来选择性地改变VM的安全容器分派。例如,安全容器可以指定:CVSS得分为7或以上的任何分派的VM都传送到阻止网络访问的隔离容器。
图5示出了如可以由一个或更多个数据处理装置实施的安全过程的另一示例的流程图。在505,该过程创建具有如下规则的一个或更多个安全容器:所述规则基于一个或更多个标准来指定到隔离容器的传送。标准的各种示例包括威胁级别阈值标准、漏洞标准、文件完整性标准、木马检测标准。其它类型的标准也是可能的。例如,一个规则可以指定威胁级别阈值标准,如果该标准被满足或超过,则会触发传送。例如,另一个规则可以指定木马检测标准,如果该标准被满足,例如检测到木马,则会触发传送。操作一个或更多个虚拟机可以包括:响应于虚拟机登录事件来检测用户成员资格组、基于用户成员资格组来选择安全容器、以及把与虚拟机登录事件相关联的虚拟机分派给选定的安全容器。
在510,该过程根据一个或更多个安全容器来操作一个或更多个虚拟机。在515,该过程在虚拟机上操作一个或更多个端点安全服务,以识别一个或更多个安全威胁并且把一个或更多个标记分派给一个或更多个虚拟机中的一个或更多个。操作一个或更多个端点安全服务可以包括使服务把标记发送到标记通信层。
在520,该过程操作标记通信层以接收来自一个或更多个端点安全服务的一个或更多个标记,所述标记通信层对于一个或更多个端点安全服务是不可知的或者独立的。这种不可知的标记通信层可以使得来自相同或不同供应商的安全服务能够访问标记通信层并且使得能够经由安全管理器进行服务间的协调。另外,标记通信层可以采用已知的标记格式,使得端点安全服务根据该已知的标记格式提供标记。在有些实现中,操作标记通信层包括接收包含虚拟机标识符、标记标签和标记值的标记。在有些实现中,操作标记通信层包括从安全服务接收包含标记的数据包。操作标记通信层可以包括存储由端点安全服务产生的标记。在有些实现中,标记通信层基于发布/订阅模型,在所述发布/订阅模型中安全服务把标记发布到中间件引擎并且标记检查器向中间件引擎订阅以接收标记。
在525,该过程在使用一个或更多个标记和一个或更多个标准的规则下识别需要传送到隔离容器的虚拟机。识别需要传送的虚拟机可以包括从标记数据库检索标记。识别需要传送的虚拟机可以包括经由标记通信层检索存储在一个或更多个存储器位置中的标记数据。识别需要传送的虚拟机可以包括比较被访问的虚拟机标记与相应安全容器的一个或更多个规则。该过程可以包括把识别出的虚拟机传送到隔离容器。传送识别出的虚拟机可以包括更新安全容器分派数据条目。传送识别出的虚拟机可以包括把虚拟机标识符添加到被分派给安全容器的虚拟机的列表。在530,该过程根据隔离容器来操作网络防火墙,以限制识别出的虚拟机的网络连接性。
图6示出了安全过程的另一示例的流程图。在605,该过程访问由用于分派给第一安全容器的虚拟机的端点安全服务生成的标记。在610,该过程基于标记来确定第一安全容器是否需要将虚拟机传送到第二安全容器。如果不需要传送,则在630,该过程继续根据第一安全容器操作虚拟机。如果需要传送,则在615,该过程把虚拟机传送到第二安全容器。在620,该过程根据第二安全容器操作虚拟机。在625,该过程解决安全威胁,以除去标记并且传送回第一安全容器。解决安全威胁可以包括除去受病毒感染的文件、应用软件更新、或者终止易受攻击的进程/软件。解决安全威胁可以包括重新执行安全服务以及基于安全服务的决定来确定是否除去标记。在630,该过程根据第一安全容器操作虚拟机。
本文所描述的安全过程中的一个或更多个可以在以下示例中采用。在典型的医院数据中心中,管理员可以通过安全管理器来部署诸如防病毒产品、DLP产品、漏洞管理产品之类的端点安全解决方案、以及诸如防火墙产品、web安全控制产品之类的网络安全服务。管理员可以使用安全管理器的GUI来创建用于不同医院员工的用户成员资格组,诸如医生用户组和护士用户组。另外,管理员可以使用GUI来创建用于每个用户成员资格组的安全容器。此外,管理员还可以为病人医疗记录服务器创建组和安全容器。管理员可以基于安全策略来使用GUI创建用于安全容器的规则。例如,医院的董事会可以批准以下安全策略:
安全策略1.允许医生外部访问互联网,但是他们需要服从web安全控制(例如,不允许浏览被董事会归类为“受限”的网站);
安全策略2.不允许护士外部互联网访问;
安全策略3.医生和护士的机器需要按天用防病毒服务扫描;
安全策略4.被诊断为病毒或已知恶意风险级别高于“中等”的任何机器都必须被隔离,不能进行网络访问;
安全策略5.医生和护士的机器需要针对HIPAA策略违反按周用DLP服务扫描(例如,这些机器不准永久性地存储机密的病人数据);
安全策略6.如果机密的病人数据存在于机器上,则机器需要被隔离,无法网络访问外界,并且数据需要被除去;
安全策略7.医务人员可以访问病人医疗记录服务器,以访问病人数据,但是非医务人员不可以;
安全策略8.所有机器都将通过漏洞管理服务按周进行针对漏洞的扫描;以及
安全策略9.CVSS得分高于8的带有漏洞的机器必须被隔离。
为了遵守上述经批准的安全策略,管理员可以使用安全管理器的GUI来执行以下:
a)把web安全控制安全服务分派给“医生”安全容器(解决安全策略1),
b)把具有阻止访问外部网站的策略的网络防火墙服务分派给“护士”安全容器(解决安全策略2),
c)以每天一次的扫描频率把端点安全防病毒服务分派给“医生”安全容器和“护士”安全容器(解决安全策略3),
d)把端点安全DLP服务分派给“医生”安全容器和“护士”安全容器,使得DLP服务按周扫描HIPAA违反(解决安全策略5),
e)把具有允许访问病人医疗记录服务器的策略的网络防火墙服务分派给“医生”安全容器和“护士”安全容器(解决安全策略7),
f)把具有阻止访问病人医疗记录服务器的策略的网络防火墙服务分派给与非医务人员相关联的安全容器(解决安全策略7),
g)把端点安全漏洞管理服务分派给所有容器并且把扫描频率设置为每周一次(解决安全策略8),
h)把基于标记的规则分派给安全容器,使得标记为“中等”或更高威胁级别的虚拟机被传送到隔离容器(解决安全策略4),
i)把基于标记的规则分派给安全容器,使得标记为DLP违反的虚拟机被传送到隔离容器(解决安全策略6),以及
j)把基于标记的规则分派给安全容器,使得标记为CVSS得分高于8的虚拟机被传送到隔离容器(解决安全策略9)。
基于经由GUI接收的输入,安全管理器可以输出一个或更多个配置文件,该一个或更多个配置文件捕捉被分派的服务和基于标记的规则。在有些实现中,配置文件可以基于诸如XML之类的基于文本的格式或二进制格式而被格式化。另外,安全管理器可以维持一个或更多个日志文件,该一个或更多个日志文件识别虚拟机以及相关联的事件,其中相关联的事件诸如是标记分派或基于规则的动作(如到隔离容器的传送)。
本文档中所描述的主题和操作的实施例可以以包括本文档中所公开的结构及其结构等效物的数字电子电路或者计算机软件、固件或硬件或者它们当中的一个或更多个的组合来实现。本文档中所描述的主题的实施例可以被实现为编码在计算机存储介质上的一个或更多个计算机程序,即计算机程序指令的一个或更多个模块,以便由数据处理装置执行或者以便控制数据处理装置的操作。替代地或附加地,程序指令可以被编码在人工生成的传播信号(例如机器生成的电、光或电磁信号)上,所述传播信号被生成为对信息进行编码以便发送到合适的接收器装置来让数据处理装置执行。计算机存储介质可以是或者可以包含于计算机可读存储设备、计算机可读存储基底、随机或串行访问存储器阵列或设备、或者它们当中一个或更多个的组合。另外,虽然计算机存储介质不是传播信号,但是计算机存储介质可以是编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质还可以是或者可以包含于一个或更多个分离的物理组件或介质(例如,多个CD、盘、或者其它存储设备)。
本文档中所描述的操作可以被实现为由数据处理装置对存储在一个或更多个计算机可读存储设备上的或者从其它源接收的数据执行的操作。术语“数据处理装置”涵盖了用于处理数据的所有种类的装置、设备和机器,作为示例,包括可编程处理器、计算机、片上系统、或者这些中的多个或组合。该装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除硬件之外,装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构造处理器固件、协议堆栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或者它们当中一个或更多个的组合的代码。所述装置和执行环境可以实现各种不同的计算模型基础结构,诸如web服务、分布式计算和网格计算基础结构。
计算机程序(也称为程序、软件、软件应用程序、脚本或代码)可以以任意形式的编程语言来写,包括编译性或解释性语言、声明性或过程性语言,并且可以以任意形式部署,包括作为独立的程序或者作为适于在计算环境中使用的模块、组件、子例程、对象或其它单元。计算机程序可以但不一定对应于文件系统中的文件。程序可以存储在存有其它程序或数据(例如,存储在标记语言文档中的一个或更多个脚本)的文件的一部分中、存储在专用于所讨论的程序的单个文件中或者存储在多个协调的文件(例如,存储一个或更多个模块、子程序或代码部分的文件)中。计算机程序可以被部署成在一个计算机上或者在位于一个地点的多个计算机上或者在跨多个地点分布并且通过通信网络互连的多个计算机上执行。
本文档中所描述的过程和逻辑流可以由执行一个或更多个计算机程序的一个或更多个可执行处理器执行,以便通过对输入数据进行操作并且生成输出来执行动作。过程和逻辑流还可以由专用逻辑电路系统执行,并且装置也可以被实现为专用逻辑电路系统,专用逻辑电路例如是FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
举例来说,适于执行计算机程序的处理器包括通用和专用微处理器这两者,以及任何种类的数字计算机的任意一个或更多个处理器。一般而言,处理器将从只读存储器或随机存取存储器或者这二者接收指令和数据。计算机的基本元素是用于根据指令执行动作的处理器以及用于存储指令和数据的一个或更多个存储器设备。一般而言,计算机还将包括用于存储数据的一个或更多个大型存储设备(例如,磁、磁光盘或光盘),或者被操作性地耦接为从一个或更多个大型存储设备接收数据或向其发送数据。但是,计算机不一定具有这种设备。而且,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器、或者便携式存储设备(例如,通用串行总线(USB)闪存驱动器),等等。适于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,举例来说,包括:半导体存储器设备,例如EPROM、EEPROM和闪存存储器设备;磁盘,例如内部硬盘或可移动盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可以由专用逻辑电路系统补充,或者被并入到专用逻辑电路中。
为了提供与用户的交互,本文档中所描述的主题的实施例可以在具有用于向用户显示信息的显示设备以及键盘和定点设备的计算机上实现,其中显示设备例如是CRT(阴极射线管)或LCD(液晶显示器)监视器,定点设备例如是让用户可以向计算机提供输入的鼠标或轨迹球。其它类型的设备也可以用来提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任何形式接收,包括声学、语音或触觉输入。此外,计算机可以通过向用户所使用的设备发送文档以及从该设备接收文档来与用户交互;例如,通过响应于从用户的客户端设备上的web浏览器接收的请求而向该web浏览器发送网页。
本文档中所描述的主题的实施例可以在包括后端组件(例如,作为数据服务器)或包括中间件组件(例如,应用服务器)或包括前端组件(例如,具有用户通过其与本文档中所描述的主题的实现进行交互的图形用户接口或web浏览器的客户端计算机)或者一个或更多个这种后端、中间件或前端组件的任意组合的计算系统中实现。系统的组件可以通过数字数据通信的任何形式或介质互连,例如,通过通信网络。通信网络的示例包括局域网(“LAN”)、广域网(“WAN”)、互联网络(例如,因特网)、和端对端网络(例如,自组织端对端网络)。
计算系统可以包括客户端和服务器。客户端和服务器一般彼此远离并且典型地通过通信网络进行交互。客户端和服务器的关系的发生借助于依靠在各自的计算机上运行并且彼此具有客户端-服务器关系的计算机程序。在有些实施例中,(例如,为了向与客户端设备交互的用户显示数据并且从其接收用户输入)服务器向客户端设备发送数据(例如,HTML页面)。在客户端设备生成的数据(例如,用户交互的结果)可以在服务器处从客户端设备接收。
虽然本文档包含许多具体的实现细节,但是这些不应当被认为是对任何发明或可能被要求保护的范围的限制,而应当作为针对特定发明的特定实施例的特征的描述。在单独实施例的背景下本文档中所描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的背景下描述的各种特征也可以在多个实施例中单独地实现或者以任意合适的子组合实现。而且,虽然在上面可能将特征描述为以某种组合起作用并且甚至初始就是这样要求保护的,但是来自要求保护的组合的一个或更多个特征在有些情况下可以从组合中除去,并且要求保护的组合可以针对子组合或子组合的变型。
类似地,虽然在附图中以特定的次序描绘了操作,但是这不应当被理解为为了取得期望的结果,要求这种操作以所示出的特定次序或者以顺序次序执行,或者所有例示的操作都要执行。在某些情况下,多任务和并行处理可能是有利的。而且,上述实施例中的各种系统组件的分离不应当被理解为在所有实施例中都需要这种分离,并且应当理解的是,所描述的程序组件和系统一般可以一起集成在单个软件产品中或者封装到多个软件产品中。
因而,已经描述了主题的特定实施例。其它实施例在以下权利要求的范围内。在有些情况下,权利要求中所记载的动作可以按不同的次序执行并且仍然取得期望的结果。此外,附图中所描绘的过程不一定要求所示出的特定次序或顺序次序来取得期望的结果。在某些实现中,多任务和并行处理可能是有利的。
Claims (14)
1.一种用于把虚拟机分派给安全容器的计算机实现的方法,包括:
通过用户接口接收数据,以便(1)创建具有第一组网络连接性设置的安全容器,所述第一组网络连接性设置将被应用于分派给该安全容器的虚拟机VM,并(2)使基于标记的规则与该安全容器相关联;
把在主机上运行的VM分派给所述安全容器,使得所述第一组网络连接性设置被应用于该VM;
基于VM到安全容器的分派,对所述VM运行安全服务,以识别与该VM相关联的安全威胁并将标记分派给该VM;
基于所述标记,处理基于标记的规则以把所述VM重新分派给隔离容器,从而在解决所述安全威胁以前在所述主机上使被应用于所述VM的所述第一组网络连接性设置改变为将被应用于所述VM的与该隔离容器相关联的第二组网络连接性设置;以及
在解决所述安全威胁后,从所述VM除去所述标记并把所述VM分派回给所述安全容器,使得在所述主机上所述第一组网络连接性设置重新被应用于所述VM。
2.如权利要求1所述的方法,与特定的容器相关联的特定的一组网络连接性设置包括指定被分派给该特定的容器的VM的网络连接性的允许级别的网络防火墙设置。
3.如权利要求1所述的方法,其中所述基于标记的规则指定威胁级别阈值。
4.如权利要求1所述的方法,其中把VM分派给安全容器包括:
响应于该VM的登录事件,检测用户成员组;
基于用户成员组,选择所述安全容器;以及
把VM分派给所选择的安全容器。
5.如权利要求1所述的方法,其中所述隔离容器是多个隔离容器中的一个隔离容器,所述安全容器是第一安全容器,所述VM是第一VM,所述标记是第一标记,所述基于标记的规则是第一基于标记的规则,并且所述安全威胁是第一安全威胁,所述方法还包括:
把在所述主机上运行的第二VM分派给第二安全容器,所述第二安全容器具有将被应用于分派给所述第二安全容器的VM的第三组网络连接性设置,使得所述第三组网络连接性设置被应用于第二VM;
基于第二VM到第二安全容器的分派,运行安全服务,以识别与第二VM相关联的第二安全威胁并将第二标记分派给第二VM,其中第二安全容器与第二基于标记的规则相关联;以及
基于第二标记,处理第二基于标记的规则以把第二VM从第二安全容器重新分派给所述多个隔离容器中的第二隔离容器,从而在解决第二安全威胁以前使所述第三组网络连接性设置改变为将被应用于第二VM的与第二隔离容器相关联的第四组网络连接性设置。
6.一种用于把虚拟机分派给安全容器的系统,该系统包括:
数据处理装置,被配置为执行以下操作:
通过用户接口接收数据,以便(1)创建具有第一组网络连接性设置的安全容器,所述第一组网络连接性设置将被应用于分派给该安全容器的虚拟机VM,并(2)使基于标记的规则与该安全容器相关联;
把在主机上运行的VM分派给所述安全容器,使得所述第一组网络连接性设置被应用于该VM;
基于VM到安全容器的分派,对所述VM运行安全服务,以识别与该VM相关联的安全威胁并将标记分派给该VM;
基于所述标记,处理所述基于标记的规则以把所述VM重新分派给隔离容器,从而在解决所述安全威胁以前在所述主机上使被应用于所述VM的所述第一组网络连接性设置改变为将被应用于所述VM的与该隔离容器相关联的第二组网络连接性设置;以及
在解决所述安全威胁后,从所述VM除去所述标记并把所述VM分派回给所述安全容器,使得在所述主机上所述第一组网络连接性设置重新被应用于所述VM。
7.如权利要求6所述的系统,其中与特定的容器相关联的特定的一组网络连接性设置包括指定被分派给该特定的容器的VM的网络连接性的允许级别的网络防火墙设置。
8.如权利要求6所述的系统,其中所述基于标记的规则指定威胁级别阈值。
9.如权利要求6所述的系统,其中把VM分派给安全容器包括:
响应于该VM的登录事件,检测用户成员组;
基于用户成员组,选择所述安全容器;以及
把VM分派给所选择的安全容器。
10.如权利要求6所述的系统,其中所述隔离容器是多个隔离容器中的一个隔离容器,所述安全容器是第一安全容器,所述VM是第一VM,所述标记是第一标记,所述基于标记的规则是第一基于标记的规则,并且所述安全威胁是第一安全威胁,其中所述操作还包括:
把在所述主机上运行的第二VM分派给第二安全容器,所述第二安全容器具有将被应用于分派给所述第二安全容器的VM的第三组网络连接性设置,使得所述第三组网络连接性设置被应用于该第二VM;
基于第二VM到第二安全容器的分派,运行安全服务,以识别与第二VM相关联的第二安全威胁并将第二标记分派给第二VM,其中第二安全容器与第二基于标记的规则相关联;以及
基于第二标记,处理第二基于标记的规则以把第二VM从第二安全容器重新分派给所述多个隔离容器中的第二隔离容器,从而在解决第二安全威胁以前使所述第三组网络连接性设置改变为将被应用于第二VM的与该第二隔离容器相关联的第四组网络连接性设置。
11.一种用于把虚拟机分派给安全容器的装置,该装置包括:
用于通过用户接口接收数据以便(1)创建具有第一组网络连接性设置的安全容器并(2)使基于标记的规则与该安全容器相关联的单元,所述第一组网络连接性设置将被应用于分派给该安全容器的虚拟机VM;
用于把在主机上运行的虚拟机VM分派给所述安全容器以使得所述第一组网络连接性设置被应用于该VM的单元;
用于基于VM到安全容器的分派来对所述VM运行安全服务的单元,所述安全服务用于识别与该VM相关联的安全威胁并将标记分派给该VM;
用于基于所述标记来处理所述基于标记的规则,以把所述VM重新分派给隔离容器,从而在解决所述安全威胁以前在所述主机上使被应用于所述VM的所述第一组网络连接性设置改变为将被应用于所述VM的与该隔离容器相关联的第二组网络连接性设置的单元;以及
用于在解决所述安全威胁后,从所述VM除去所述标记并把所述VM分派回给所述安全容器以在所述主机上使得所述第一组网络连接性设置重新被应用于所述VM的单元。
12.如权利要求11所述的装置,还包括使特定的一组网络连接性设置与特定的容器相关联的单元,所述特定的一组网络连接性设置包括指定被分派给该特定的容器的VM的网络连接性的允许级别的网络防火墙设置。
13.如权利要求11所述的装置,其中所述基于标记的规则指定威胁级别阈值。
14.如权利要求11所述的装置,其中用于把VM分派给安全容器的单元包括:
用于响应于该VM的登录事件,检测用户成员组的单元;
用于基于用户成员组,选择所述安全容器的单元;以及
用于把VM分派给所选择的安全容器的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910246222.4A CN110084039B (zh) | 2013-04-19 | 2014-04-11 | 用于端点安全与网络安全服务之间的协调的框架 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/866,869 | 2013-04-19 | ||
| US13/866,869 US10075470B2 (en) | 2013-04-19 | 2013-04-19 | Framework for coordination between endpoint security and network security services |
| PCT/US2014/033884 WO2014172206A1 (en) | 2013-04-19 | 2014-04-11 | A framework for coordination between endpoint security and network security services |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910246222.4A Division CN110084039B (zh) | 2013-04-19 | 2014-04-11 | 用于端点安全与网络安全服务之间的协调的框架 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105324778A CN105324778A (zh) | 2016-02-10 |
| CN105324778B true CN105324778B (zh) | 2019-04-16 |
Family
ID=50771618
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910246222.4A Active CN110084039B (zh) | 2013-04-19 | 2014-04-11 | 用于端点安全与网络安全服务之间的协调的框架 |
| CN201480034454.9A Active CN105324778B (zh) | 2013-04-19 | 2014-04-11 | 用于把虚拟机分派给安全容器的方法、系统和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910246222.4A Active CN110084039B (zh) | 2013-04-19 | 2014-04-11 | 用于端点安全与网络安全服务之间的协调的框架 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US10075470B2 (zh) |
| EP (2) | EP2984600B1 (zh) |
| JP (1) | JP6342478B2 (zh) |
| CN (2) | CN110084039B (zh) |
| AU (1) | AU2014254277B2 (zh) |
| WO (1) | WO2014172206A1 (zh) |
Families Citing this family (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
| US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
| US9088541B2 (en) | 2013-05-31 | 2015-07-21 | Catbird Networks, Inc. | Systems and methods for dynamic network security control and configuration |
| US9769174B2 (en) * | 2013-06-14 | 2017-09-19 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| US11196636B2 (en) | 2013-06-14 | 2021-12-07 | Catbird Networks, Inc. | Systems and methods for network data flow aggregation |
| US9912549B2 (en) | 2013-06-14 | 2018-03-06 | Catbird Networks, Inc. | Systems and methods for network analysis and reporting |
| US20150052614A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
| US9705923B2 (en) * | 2014-09-02 | 2017-07-11 | Symantec Corporation | Method and apparatus for automating security provisioning of workloads |
| RU2679179C1 (ru) * | 2014-09-05 | 2019-02-06 | Кэтбёрд Нэтворкс, Инк. | Системы и способы для создания и модификации списков управления доступом |
| US10225137B2 (en) | 2014-09-30 | 2019-03-05 | Nicira, Inc. | Service node selection by an inline service switch |
| US10257095B2 (en) | 2014-09-30 | 2019-04-09 | Nicira, Inc. | Dynamically adjusting load balancing |
| US9935827B2 (en) | 2014-09-30 | 2018-04-03 | Nicira, Inc. | Method and apparatus for distributing load among a plurality of service nodes |
| US9652612B2 (en) * | 2015-03-25 | 2017-05-16 | International Business Machines Corporation | Security within a software-defined infrastructure |
| US10609091B2 (en) | 2015-04-03 | 2020-03-31 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
| CN105530293B (zh) * | 2015-12-02 | 2019-07-02 | 深信服科技股份有限公司 | 应用发布方法和装置 |
| US10511483B2 (en) * | 2016-05-23 | 2019-12-17 | Extreme Networks, Inc. | Securely onboarding virtual machines using a centralized policy server |
| US10460113B2 (en) * | 2016-08-16 | 2019-10-29 | International Business Machines Corporation | Security fix of a container in a virtual machine environment |
| US10397136B2 (en) | 2016-08-27 | 2019-08-27 | Nicira, Inc. | Managed forwarding element executing in separate namespace of public cloud data compute node than workload application |
| US10333959B2 (en) | 2016-08-31 | 2019-06-25 | Nicira, Inc. | Use of public cloud inventory tags to configure data compute node for logical network |
| AU2016429414B2 (en) * | 2016-11-10 | 2020-07-09 | Brickell Cryptology Llc | Balancing public and personal security needs |
| US11398906B2 (en) | 2016-11-10 | 2022-07-26 | Brickell Cryptology Llc | Confirming receipt of audit records for audited use of a cryptographic key |
| US11405201B2 (en) | 2016-11-10 | 2022-08-02 | Brickell Cryptology Llc | Secure transfer of protected application storage keys with change of trusted computing base |
| US10855465B2 (en) | 2016-11-10 | 2020-12-01 | Ernest Brickell | Audited use of a cryptographic key |
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
| US10205736B2 (en) | 2017-02-27 | 2019-02-12 | Catbird Networks, Inc. | Behavioral baselining of network systems |
| US11005890B2 (en) | 2017-03-30 | 2021-05-11 | Mcafee, Llc | Secure software defined storage |
| US10652245B2 (en) | 2017-05-04 | 2020-05-12 | Ernest Brickell | External accessibility for network devices |
| US11429410B2 (en) * | 2017-05-09 | 2022-08-30 | Vmware, Inc. | Tag based firewall implementation in software defined networks |
| US10885189B2 (en) * | 2017-05-22 | 2021-01-05 | Microsoft Technology Licensing, Llc | Isolated container event monitoring |
| US10491516B2 (en) | 2017-08-24 | 2019-11-26 | Nicira, Inc. | Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| US10567482B2 (en) | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| US11265291B2 (en) | 2017-08-25 | 2022-03-01 | Red Hat, Inc. | Malicious packet filtering by a hypervisor |
| WO2019046071A1 (en) | 2017-08-27 | 2019-03-07 | Nicira, Inc. | EXECUTING AN ONLINE SERVICE IN A PUBLIC CLOUD |
| US10616099B2 (en) | 2017-08-28 | 2020-04-07 | Red Hat, Inc. | Hypervisor support for network functions virtualization |
| US10797966B2 (en) | 2017-10-29 | 2020-10-06 | Nicira, Inc. | Service operation chaining |
| US11012420B2 (en) | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
| US10862753B2 (en) | 2017-12-04 | 2020-12-08 | Nicira, Inc. | High availability for stateful services in public cloud logical networks |
| US10601705B2 (en) | 2017-12-04 | 2020-03-24 | Nicira, Inc. | Failover of centralized routers in public cloud logical networks |
| US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
| US10659252B2 (en) | 2018-01-26 | 2020-05-19 | Nicira, Inc | Specifying and utilizing paths through a network |
| US10742678B2 (en) * | 2018-02-08 | 2020-08-11 | Cisco Technology, Inc. | Vulnerability analysis and segmentation of bring-your-own IoT devices |
| EP3776304A1 (en) * | 2018-03-26 | 2021-02-17 | Virsec Systems, Inc. | Trusted execution security policy platform |
| US10728174B2 (en) | 2018-03-27 | 2020-07-28 | Nicira, Inc. | Incorporating layer 2 service between two interfaces of gateway device |
| US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
| US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
| US11030057B2 (en) * | 2018-07-06 | 2021-06-08 | EMC IP Holding Company LLC | System and method for critical virtual machine protection |
| US10635825B2 (en) | 2018-07-11 | 2020-04-28 | International Business Machines Corporation | Data privacy awareness in workload provisioning |
| US10491466B1 (en) | 2018-08-24 | 2019-11-26 | Vmware, Inc. | Intelligent use of peering in public cloud |
| US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
| US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
| US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
| US10944673B2 (en) | 2018-09-02 | 2021-03-09 | Vmware, Inc. | Redirection of data messages at logical network gateway |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| JP7103214B2 (ja) * | 2018-12-28 | 2022-07-20 | オムロン株式会社 | サポート装置および支援プログラム |
| US10929171B2 (en) | 2019-02-22 | 2021-02-23 | Vmware, Inc. | Distributed forwarding for performing service chain operations |
| US11709716B2 (en) | 2019-08-26 | 2023-07-25 | Red Hat, Inc. | Hardware offload support for an operating system offload interface using operation code verification |
| CN110601949B (zh) * | 2019-09-10 | 2021-05-04 | 中国人民解放军国防科技大学 | 一种多虚拟设备容器组网方法 |
| JP7327057B2 (ja) * | 2019-09-30 | 2023-08-16 | 日本電気株式会社 | コンテナ制御装置、コンテナ制御方法、およびコンテナ制御プログラム |
| US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
| US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
| US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
| US11847478B2 (en) * | 2020-01-17 | 2023-12-19 | Vmware, Inc. | Real-time feedback associated with configuring virtual infrastructure objects using tags |
| US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
| US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
| US11809576B2 (en) | 2020-01-30 | 2023-11-07 | Red Hat, Inc. | Establishing secure remote access to debug logs |
| US11588693B2 (en) * | 2020-02-26 | 2023-02-21 | Red Hat, Inc. | Migrating networking configurations |
| US11743172B2 (en) | 2020-04-06 | 2023-08-29 | Vmware, Inc. | Using multiple transport mechanisms to provide services at the edge of a network |
| US11822641B2 (en) | 2020-04-29 | 2023-11-21 | Red Hat, Inc. | Establishing controlled remote access to debug logs |
| CN112148489A (zh) * | 2020-09-22 | 2020-12-29 | 网易(杭州)网络有限公司 | 游戏资源调度方法、装置、设备及存储介质 |
| US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11700274B1 (en) * | 2021-02-04 | 2023-07-11 | Cisco Technology, Inc. | Systems and methods for protecting pod deployment |
| US11997170B2 (en) * | 2021-07-21 | 2024-05-28 | VMware LLC | Automated migration of monolithic applications to container platforms |
| US11949696B2 (en) | 2021-12-17 | 2024-04-02 | Bank Of America Corporation | Data security system with dynamic intervention response |
| US20230237166A1 (en) * | 2022-01-26 | 2023-07-27 | Dell Products L.P. | Maintaining security during lockbox migration |
| US20230336554A1 (en) * | 2022-04-13 | 2023-10-19 | Wiz, Inc. | Techniques for analyzing external exposure in cloud environments |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880828A (zh) * | 2012-09-07 | 2013-01-16 | 普华基础软件股份有限公司 | 一种针对虚拟化支撑环境的入侵检测与恢复系统 |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| JP2001282737A (ja) | 2000-03-28 | 2001-10-12 | Mitsubishi Electric Corp | 業務負荷分散システム |
| WO2002103960A2 (en) * | 2001-06-14 | 2002-12-27 | Okena, Inc. | Stateful distributed event processing and adaptive security |
| US20030229794A1 (en) * | 2002-06-07 | 2003-12-11 | Sutton James A. | System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container |
| US7363528B2 (en) | 2003-08-25 | 2008-04-22 | Lucent Technologies Inc. | Brink of failure and breach of security detection and recovery system |
| US7424709B2 (en) | 2003-09-15 | 2008-09-09 | Intel Corporation | Use of multiple virtual machine monitors to handle privileged events |
| EP1745631A1 (en) * | 2004-05-12 | 2007-01-24 | Alcatel | Automated containment of network intruder |
| GB2419703A (en) | 2004-10-29 | 2006-05-03 | Hewlett Packard Development Co | Isolated virtual overlay infrastructures each having an interface to control interaction with others |
| US9160755B2 (en) * | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| CN101326771B (zh) | 2005-12-13 | 2010-09-15 | 国际商业机器公司 | 操作虚拟网络的方法和设备以及数据网络系统 |
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US20070266433A1 (en) | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
| US7801128B2 (en) | 2006-03-31 | 2010-09-21 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US9280662B2 (en) * | 2006-04-21 | 2016-03-08 | Hewlett Packard Enterprise Development Lp | Automatic isolation of misbehaving processes on a computer system |
| US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
| US20080189769A1 (en) | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| US8910275B2 (en) | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
| US8185953B2 (en) | 2007-03-08 | 2012-05-22 | Extrahop Networks, Inc. | Detecting anomalous network application behavior |
| EP1975830A1 (en) | 2007-03-30 | 2008-10-01 | British Telecommunications Public Limited Company | Distributed computer system |
| US8151262B2 (en) | 2007-03-30 | 2012-04-03 | Lenovo (Singapore) Pte. Ltd. | System and method for reporting the trusted state of a virtual machine |
| US8875272B2 (en) | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
| US8412809B2 (en) | 2007-10-24 | 2013-04-02 | International Business Machines Corporation | Method, apparatus and computer program product implementing multi-tenancy for network monitoring tools using virtualization technology |
| US8127291B2 (en) | 2007-11-02 | 2012-02-28 | Dell Products, L.P. | Virtual machine manager for managing multiple virtual machine configurations in the scalable enterprise |
| US8848544B2 (en) | 2007-11-08 | 2014-09-30 | Cisco Technology, Inc. | Event correlation using network data flow simulation over unmanaged network segments |
| US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
| US8429739B2 (en) | 2008-03-31 | 2013-04-23 | Amazon Technologies, Inc. | Authorizing communications between computing nodes |
| US8473594B2 (en) | 2008-05-02 | 2013-06-25 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8839431B2 (en) * | 2008-05-12 | 2014-09-16 | Enpulz, L.L.C. | Network browser based virus detection |
| US8255806B2 (en) * | 2008-09-15 | 2012-08-28 | Vmware, Inc. | Unified secure virtual machine player and remote desktop client |
| JP5191849B2 (ja) | 2008-09-19 | 2013-05-08 | 株式会社日立システムズ | 仮想マシンセキュリティ管理システム及び仮想マシンセキュリティ管理方法 |
| KR101197182B1 (ko) * | 2008-12-23 | 2012-11-02 | 한국전자통신연구원 | 컴퓨터 시스템에서의 해킹 방지 장치 및 방법 |
| US9594582B2 (en) * | 2009-01-05 | 2017-03-14 | International Business Machines Corporation | Detection and management of dynamic migration of virtual environments |
| US8370835B2 (en) | 2009-03-12 | 2013-02-05 | Arend Erich Dittmer | Method for dynamically generating a configuration for a virtual machine with a virtual hard disk in an external storage device |
| US7975165B2 (en) | 2009-06-25 | 2011-07-05 | Vmware, Inc. | Management of information technology risk using virtual infrastructures |
| US8352941B1 (en) | 2009-06-29 | 2013-01-08 | Emc Corporation | Scalable and secure high-level storage access for cloud computing platforms |
| US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US20110078497A1 (en) * | 2009-09-30 | 2011-03-31 | Lyne James I G | Automated recovery from a security event |
| US9094210B2 (en) | 2009-10-26 | 2015-07-28 | Citrix Systems, Inc. | Systems and methods to secure a virtual appliance |
| US8621460B2 (en) | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
| US9389895B2 (en) | 2009-12-17 | 2016-07-12 | Microsoft Technology Licensing, Llc | Virtual storage target offload techniques |
| US20110238402A1 (en) * | 2010-03-23 | 2011-09-29 | Fujitsu Limited | System and methods for remote maintenance in an electronic network with multiple clients |
| US20110258701A1 (en) * | 2010-04-14 | 2011-10-20 | Raytheon Company | Protecting A Virtualization System Against Computer Attacks |
| US20120047580A1 (en) * | 2010-08-18 | 2012-02-23 | Smith Ned M | Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner |
| JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
| US9311126B2 (en) * | 2011-07-27 | 2016-04-12 | Mcafee, Inc. | System and method for virtual partition monitoring |
| US20130074181A1 (en) * | 2011-09-19 | 2013-03-21 | Cisco Technology, Inc. | Auto Migration of Services Within a Virtual Data Center |
| EP2864876B1 (en) | 2012-06-26 | 2017-10-04 | Lynuxworks, Inc. | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features |
| US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
-
2013
- 2013-04-19 US US13/866,869 patent/US10075470B2/en active Active
-
2014
- 2014-04-11 EP EP14725858.6A patent/EP2984600B1/en active Active
- 2014-04-11 WO PCT/US2014/033884 patent/WO2014172206A1/en active Application Filing
- 2014-04-11 JP JP2016508982A patent/JP6342478B2/ja active Active
- 2014-04-11 CN CN201910246222.4A patent/CN110084039B/zh active Active
- 2014-04-11 AU AU2014254277A patent/AU2014254277B2/en active Active
- 2014-04-11 EP EP19184011.5A patent/EP3567504B1/en active Active
- 2014-04-11 CN CN201480034454.9A patent/CN105324778B/zh active Active
-
2018
- 2018-08-26 US US16/112,732 patent/US10511636B2/en active Active
-
2019
- 2019-11-14 US US16/684,400 patent/US11196773B2/en active Active
-
2021
- 2021-12-04 US US17/542,411 patent/US11736530B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880828A (zh) * | 2012-09-07 | 2013-01-16 | 普华基础软件股份有限公司 | 一种针对虚拟化支撑环境的入侵检测与恢复系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016515746A (ja) | 2016-05-30 |
| US20200092336A1 (en) | 2020-03-19 |
| JP6342478B2 (ja) | 2018-06-13 |
| CN105324778A (zh) | 2016-02-10 |
| EP2984600B1 (en) | 2019-07-24 |
| US10511636B2 (en) | 2019-12-17 |
| EP2984600A1 (en) | 2016-02-17 |
| AU2014254277B2 (en) | 2017-06-01 |
| US10075470B2 (en) | 2018-09-11 |
| WO2014172206A1 (en) | 2014-10-23 |
| US11736530B2 (en) | 2023-08-22 |
| US20220094717A1 (en) | 2022-03-24 |
| CN110084039B (zh) | 2023-05-02 |
| CN110084039A (zh) | 2019-08-02 |
| EP3567504A1 (en) | 2019-11-13 |
| US20190014154A1 (en) | 2019-01-10 |
| US11196773B2 (en) | 2021-12-07 |
| EP3567504B1 (en) | 2021-01-20 |
| US20140317677A1 (en) | 2014-10-23 |
| AU2014254277A1 (en) | 2015-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105324778B (zh) | 用于把虚拟机分派给安全容器的方法、系统和装置 | |
| US9621595B2 (en) | Conditional declarative policies | |
| US9749351B2 (en) | Systems and methods for dynamic network security control and configuration | |
| US8990948B2 (en) | Systems and methods for orchestrating runtime operational integrity | |
| US20190182294A1 (en) | Updating security controls or policies based on analysis of collected or created metadata | |
| US8850512B2 (en) | Security assessment of virtual machine environments | |
| CN106605397A (zh) | 安全编排框架 | |
| CN107005544A (zh) | 用于网络分析和报告的系统和方法 | |
| Spring | Monitoring cloud computing by layer, part 2 | |
| CN109997143A (zh) | 敏感数据的安全共享 | |
| US10685115B1 (en) | Method and system for implementing cloud native application threat detection | |
| Mao et al. | A non-intrusive runtime enforcement on behaviors of open supervisory control and data acquisition systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |