CN107430647B - 提供软件定义基础架构内的安全性的方法和系统 - Google Patents
提供软件定义基础架构内的安全性的方法和系统 Download PDFInfo
- Publication number
- CN107430647B CN107430647B CN201680017564.3A CN201680017564A CN107430647B CN 107430647 B CN107430647 B CN 107430647B CN 201680017564 A CN201680017564 A CN 201680017564A CN 107430647 B CN107430647 B CN 107430647B
- Authority
- CN
- China
- Prior art keywords
- security
- resources
- workload
- computer
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种方法和系统,包括:针对工作负载向安全容器分配资源(S402);确定用于工作负载的安全准则(S404);监视被分配给安全容器的资源和工作负载以识别安全事件(S406);根据安全准则管理一个或多个安全机制(S408)。
Description
背景技术
本发明一般地涉及软件定义环境(SDE)的领域,更具体地说,涉及SDE中的安全性。
企业越来越积极地将任务关键型应用和性能敏感型应用移植到共享基础架构和云上的重度虚拟化环境中。移动、社交和分析应用通常在共享基础架构和云上被直接开发和运行。目前的虚拟化和云解决方案只允许计算、存储以及网络资源在它们的容量方面的基本抽象。这种方法通常需要标准化底层系统架构以简化这些资源的抽象。此外,工作负载优化的系统方法依赖于工作负载(包括编译器)与底层系统架构的紧密集成。这种方法允许以牺牲所需的劳动密集型优化为代价,直接利用由每个微架构和系统级功能所提供的特殊功能。
在软件定义环境(SDE)中,可以在同一物理系统内创建许多虚拟“系统”,和/或可以将多个物理系统虚拟化成单个虚拟系统。逻辑资源与物理资源之间没有永久性关联(或绑定),因为软件定义的“系统”可以从头开始不断地被创建、持续地演化并且最终被破坏。
本文中称为“Pfister框架”的框架已经被用于描述给定应用的工作负载特征。Pfister框架考虑“线程争用”与“数据争用”。基于这一点,定义了四个工作负载类别:(i)混合工作负载更新共享数据或队列(如企业软件,也被称为应用和集成中间件);(ii)高度线程化的应用;(iii)具有分析功能的并行数据结构(例如用于在集群计算环境上存储和大规模处理数据集的框架);以及(iv)小型离散应用。
发明内容
根据本发明的第一方面,提供一种方法,包括:建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源;确定用于所述安全容器的一组安全准则;至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及响应于识别安全事件,调整一个或多个安全机制。所述监视和调整的步骤在所述软件定义环境中执行。
根据本发明的第二方面,提供一种计算机程序产品,其包括上面存储有程序指令的计算机可读存储介质,所述程序指令被编程为:建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源;确定用于所述安全容器的一组安全准则;至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及响应于识别安全事件,调整一个或多个安全机制。
根据本发明的第三方面,提供一种计算机系统,包括处理器集;以及计算机可读存储介质。所述处理器集被构造、定位、连接和/或编程以运行存储在所述计算机可读存储介质上的程序指令,并且所述程序指令包括被编程为执行以下操作的程序指令:建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源;确定用于所述安全容器的一组安全准则;至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及响应于识别安全事件,调整一个或多个安全机制。
附图说明
现在将仅借助示例参考附图来描述本发明的实施例,其中:
图1示出了在根据本发明的系统的第一实施例中使用的云计算节点;
图2示出了根据本发明的云计算环境的一个实施例(也被称为“第一实施例系统”);
图3示出了在第一实施例系统中使用的抽象模型层;
图4是示出至少部分地由第一实施例系统执行的第一实施例方法的流程图;
图5是第一实施例系统的机器逻辑(例如软件)部分的框图;
图6是根据本发明的系统的第二实施例的框图;以及
图7是第二实施例系统的机器逻辑(例如,软件)部分的框图。
具体实施方式
通过建立用于工作负载资源的自描述容器来提供软件定义环境的端到端安全性。在软件定义环境中开发、部署和运行安全策略的实施机制。本发明是系统、方法和/或计算机程序产品。计算机程序产品包括其上具有计算机可读程序指令的计算机可读存储介质(或媒体),所述计算机指令用于使处理器执行本发明的各个方面。
计算机可读存储介质是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是—但不限于—电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子的非穷举列表包括以下项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上记录有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
根据一些实施例,这里所描述的计算机可读程序指令从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以执行计算机可读程序指令,从而执行本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
根据本发明的一些实施例,这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而产生一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其它设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一件制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
根据本发明的一些实施例,也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,在一些实施例中,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源,例如可以是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征包括:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监视、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其它基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、策略和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图1,其中示出了云计算节点的一个例子的示意图。云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
云计算节点10具有计算机系统/服务器12,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器12一起操作的公知计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、微处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。根据本发明的一些实施例,计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。在一些实施例中,计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(未显示,通常称为“硬盘驱动器”)。通过进一步的举例,尽管未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。如下面进一步示出和描述的,在一些实施例中,存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据。操作系统、一个或者多个应用程序、其它程序模块以及程序数据中的每一个或其某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
根据本发明的一些实施例,计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。在一些实施例中,这种通信可以通过输入/输出(I/O)接口22进行。并且,在一些实施例中,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器12一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图2,其中示出了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。节点10之间可以相互通信。可以在诸如上述私有云、共同体云、公共云或混合云或者它们的组合之类的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务、平台即服务和/或软件即服务。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图3,其中示出了云计算环境50(图2)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机,例如
系统;基于RISC(精简指令集计算机)体系结构的服务器,例如IBM
系统;IBM
系统;IBM
系统;存储装置60a;网络和网络组件。软件组件的例子包括:网络应用服务器软件,例如IBM
应用服务器软件;数据库软件,例如IBM
数据库软件。(IBM,zSeries,pSeries,xSeries,BladeCenter,WebSphere以及DB2是国际商业机器公司在全世界各地的注册商标)。
虚拟层62提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,以及虚拟客户端。
在一个示例中,管理层64可以提供下述功能:资源供应功能:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,这些资源可以包括应用软件许可。安全功能(未示出):为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
工作负载层66提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学提供;数据分析处理;交易处理;以及功能性,其将在下述具体实施方式部分提及,并依据本发明进行详细讨论(请参见功能框66a)。
基于针对其在本发明的具体实施例中实现本文描述的程序的应用来识别所述程序。然而,应当理解,本文中的任何特定程序命名仅仅是为了方便而使用,因此本发明不应被限于仅在通过此类命名来识别和/或暗示的任何特定应用中使用。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离本发明的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
图4是示出根据本发明的方法的流程图400。图5示出了用于执行流程图400的至少一些方法步骤的程序500。现在将在下面的段落中全面参考图4(对于方法步骤框)和图5(对于软件框)来介绍此方法及其关联软件。如图5所示,存储程序500的一个示例性物理位置在存储框60a中(参见图3)。
处理在步骤S402开始,其中资源模块(“mod”)502将资源分配给要在软件定义环境内处理的工作负载(多个)的安全容器。安全容器是一种自描述容器。下面在本具体实施方式的进一步说明和/或实施例子段落中详细描述自描述容器的特征。安全容器由几个子容器组成,其中子容器表示工作负载、环境和/或基础架构的可分割部分。为了总结本讨论,示例性安全容器通过识别为完成指定的工作负载(多个)而选择的各种资源来提供细粒度的端到端安全性。这些资源在这里被称为驻留在安全容器“内部”的“内容”。资源包括:(i)计算抽象;(ii)存储抽象;(iii)网络抽象;和/或(iv)用户。以这种方式,整体端到端运行时环境由软件定义安全容器捕获。在该示例中,针对每个运行时环境建立安全容器,其中运行时环境包括对应于给定工作负载的抽象基础架构和用户(多个)。
处理继续到步骤S404,其中安全准则模块504确定用于指定工作负载的安全准则。每个安全容器都与一组安全准则相关联。例如,根据指定的工作负载和相应的安全容器确定策略规范、监视、以及实施。在本发明的一些实施例中,在安全准则中考虑服务水平协议。下面将关于(i)容器特定的策略规范;(ii)多方面完整性监视;以及(iii)细粒度隔离管理来详细介绍安全准则。
处理继续到步骤S406,其中监视模块506监视被分配给安全容器的资源和工作负载以识别安全事件。安全事件被预先确定和/或识别为自观察到的行为的偏离。安全智能基于各种技术,包括但不限于:(i)深度内省(deep introspection);(ii)基于条件的监视;(iii)指定用户的行为模型;(iv)指定过程的行为模型;(v)指定工作负载的行为模型;和/或(vi)指定基础架构的行为模型。在此步骤中,监视安全事件包括跟踪和/或报告已识别的安全事件。如下一步所讨论的,每个安全事件可提示唯一的响应动作。在该示例中,安全事件与(i)可靠性;(ii)可用性;(iii)适用性;(iv)弹性;和/或(v)易损性关联。
处理在步骤S408结束,其中安全机制模块508根据所识别的安全事件管理安全机制。安全机制包括但不限于:(i)隔离动作(例如隔绝);(ii)迁移动作(例如工作负载恢复);和/或(iii)主动监视动作。下面详细介绍安全机制。
本发明的一些实施例认识到关于现有技术状态的以下事实、潜在问题和/或潜在的改进方面:(i)由于软件定义环境(SDE)中的大量虚拟化,无法依赖机器和/或网络的身份;(ii)专用和/或虚拟设备(例如防火墙、加速器、DPI、IDS/IPS、DLP、负载平衡和网关)的使用降低了信息技术(IT)安全性中机器和/或网络身份的重要性;(iii)由于SDE的灵活性,快速完成搭建可编程的计算资源、存储资源和/或网络存储;(iv)由于SDE的灵活性,快速完成拆除可编程的计算资源、存储资源和/或网络存储;(v)SDE的快速搭建和拆除摆脱了安全策略与底层硬件和软件环境之间的长期关联;(vi)SDE环境被更好地实现,其中涉及用户、工作负载和/或软件定义基础架构(SDI)的安全策略被快速建立并不断演进;(vii)SDE的资源异质性增加,资源在功能方面被抽象;(viii)SDE的资源异质性增加,资源在容量方面被抽象;和/或(ix)跨多种类型资源的资源能力规范化可以掩盖资源的各种非功能方面的差异,例如对中断的脆弱性和安全风险。
SDE安全框架的一些实施例包括:(i)基于自描述、细粒度容器的安全模型,这些容器增强了人、过程和/或数据的上下文感知、基于策略的隔离和完整性的概念;(ii)容器特定的策略规范、针对普通工作负载的监视、实施和资源抽象;(iii)基于诸如深度内省、基于条件的监视、人员行为模型、过程、工作负载和基础架构之类的技术的安全监视智能;(iv)上下文和风险感知的主动协调机制,以便通过动态地插入和去除安全机制(例如响应于新漏洞的公开的虚拟补丁、网络安全重新配置)来优化安全性;和/或(v)在同一软件定义环境中开发、部署和操作安全监视、分析和协调的执行,从而利用相同的普通工作负载和资源抽象。
本发明的一些实施例维持SDE内元素的完整性和/或机密性。存在由本发明的各种实施例维护的各种类型的完整性,包括:(i)自下而上的基础架构完整性;(ii)基础架构访问完整性(诸如在途的数据);(iii)数据访问完整性(诸如静止的数据);(iv)人员完整性(例如,联合身份管理);和/或(v)工作负载完整性(静态和动态两者)。基础架构完整性确保基础架构堆栈未被篡改,其中包括硬件、系统管理程序、操作系统和/或云管理。访问完整性指例如由强制访问控制(MAC)和基于角色的访问控制(RBAC)提供的访问控制。法规遵从和数据加密也是访问控制的一部分。静态工作负载完整性与通过物理、虚拟、防火墙和密码隔离建立的安全组和/或安全区域相关联。动态工作负载完整性例如与中间箱(middlebox)插入相关联。
还存在在SDE中可用的各种类型的机密性,包括:(i)VM隔离(例如,通过不同的地址空间产生的隔离,通常共享同一系统管理程序);(ii)网络隔离(例如,通过不同VLAN产生的隔离);(iii)物理隔离(例如,通过气隙(例如区域和可用性区域)产生的隔离);和/或(iv)加密隔离(如在集成可信虚拟数据中心(iTVDc)中部署的那样)(例如,通过不同加密密钥创建的隔离)。
SDE的维护还包括提供定期的工作负载恢复。当攻击的可能性增加到一定水平时,就会出现工作负载恢复(通常是预先确定的周期性循环)。为了应对特定风险水平,从已知的干净源重构图像。
图6是示出安全系统600的各个部分的功能框图,包括:软件定义安全协调602;监视器模块(“mod”)604;致动/修复模块606;软件定义环境608;安全智能平台610;资源抽象620;计算资源(例如,Power VM、x86 KVM、高内存BW节点、高单线程性能节点、高线程计数节点、以及微服务器节点)622;计算抽象623、624、625、626;计算容器621;网络资源(例如RDMA、以太网)628;网络抽象629、630、631;网络容器627;存储资源(例如SSD、HDD、磁带、文件和块存储)632;存储抽象633、634、635、636;以及储存容器637。
在该示例中,用于计算622、存储632和网络628的资源抽象620均捕获功能和容量。此外,在抽象中捕获资源如何互连的拓扑。应当注意,功能和非功能性方面均被包括。这些方面包括:(i)可靠性;(ii)可用性;(iii)适用性;(iv)弹性;和/或(v)易损性。进一步地,工作负载抽象捕获以下项的相关性:(i)不同的工作负载组件;(ii)功能性要求;(iii)非功能性要求;以及(iv)上下文信息。功能和/或非功能性要求包括弹性、安全性和遵从性。
根据上下文感知策略,子容器621、627和637均是构成单个端到端容器(未示出)的自描述容器。软件定义环境608中的运行时间被视为许多自描述容器的集合,其中包括:虚拟机容器、裸金属容器和/或其它系统管理程序/操作系统特定容器。在该示例中,端到端容器包括三个资源抽象:计算621、网络627、以及存储637。以此方式,整体端到端运行时环境由容器捕获。或者,在端到端容器中考虑三个资源的一些子集。
每个“软件定义的”端到端容器具有相对于SDE的其余部分的隔离机制。软件定义计算子容器621例如通过系统管理程序被隔离(如果它是VM)。其它容器结构包括:(i)Java容器(通过隔绝存储空间被隔离);(ii)SOA容器;(iii)Oracle/Sun Solaris容器(通过Solaris OS顶部的区域被隔离);(iv)Google chrome/chromium环境内的容器;和(v)新出现的Docker容器。数据和软件定义存储区域中的隔离通过分区和加密实现。软件定义网络中的隔离通过例如OpenFlow环境中的“流”的单独定义而实现。(注意:术语“Java”、“Oracle”、“Sun”、“Solaris”、“Google”、“OpenFlow”和/或“Docker”可能在全球各个司法管辖区域受商标权的约束,在文本中,仅当这些商标权可能存在的情况下,针对被这些商标正确命名的产品或服务使用这些术语)。
自描述容器包括有关容器内的“内容”的元数据。元数据例如描述了容器内容、容器功能、与容器有关的安全性和/或与容器有关的合规性策略。端到端容器的自描述方面有助于容器的移植性。当容器被暂停、被恢复和/或不时迁移时,移植性变得重要。在该示例中,元数据本身的数据模型是自描述的,因此在任何位置,元数据都能被正确地理解和/或解释。
本发明的一些实施例通过以下项实现SDE内的语义互操作性:(i)共享公共本体注册表;和/或(ii)通过(a)手动关联,或(b)自动/自主学习,在运行时解析本体之间的映射。
图7是进一步示出SDE 608内的软件定义安全协调602和基于容器的工具的功能框图。安全协调602被进一步示出为包括:远场检测和预警引擎702;建模模块704;保证引擎706;以及协调引擎708。基于容器的工具包括:深度内省探测器710a、710b、710c;快速工作负载迁移模块712a、712b、712c;隔绝和隔离模块714a、714b、714c。
如图6和7所示,策略规范、策略监视、以及策略实施都是基于容器的。即,工作负载的合规性策略、基础架构和人员基于单个容器进行管理。在该示例中,这些策略的实施包括以下三个部分,每个部分与软件定义环境中的每一容器相关联:(i)容器特定的策略规范;(ii)通过监视器模块604实现的多方面完整性监视;(iii)通过致动/修复模块606实现的细粒度隔离管理。更具体地说,以自描述的方式为每个容器指定安全性和合规性策略(包括其语义和本体),以使得规范整体可以跨整个软件定义环境移植。每个容器的完整性在以下“多个方面”被不断地监视:工作负载、基础架构和人员。软件定义的“探测器”(示为深度内省探测器710a、710b和710c)被用于执行工作负载和软件定义基础架构组件的深度内省。最后,经由隔绝和隔离模块714a、714b和714c实现的细粒度隔离管理确保了包括计算、数据/存储和/或网络资源的每个容器的端到端隔离。
在该示例中,来自所监视结果的输出被馈入到预警和远场检测引擎702,下面将对此进行详细介绍。在一些实施例中,将这些结果不断地与策略规范进行比较以识别与策略规范的潜在偏差。保证引擎706的输出针对潜在的预防和/或生存措施提供持续、主动的协调。
在一些实施例中,预警和远场检测机制基于使用行为模型将数据拼接在一起,这些行为模型包括用于以下项的模型:(i)工作负载(多个);(ii)应用(多个);(iii)基础架构;和/或(iv)人。工作负载行为通过以下一个或多个指标而被捕获:(i)基础架构的时空占用(spatio-temporal footprint);(ii)资源使用的时间进展(作为时间级数);(iii)给定工作负载内各种组件的激活;和(iv)各种服务的调用。工作负载行为模型建立在SDE的上下文方面之上,这些方面包括:(i)应用拓扑;(ii)到数据源(多个)的连接性;和/或(iii)到数据宿(多个)的连接性。
基础架构行为通过软件定义系统产生的事件而被捕获。行为模型基于各种确定性模型或概率模型之一,其中包括:(i)有限状态机;(ii)petri网;和(iii)其它类型的表示。基础架构行为模型建立在SDE的上下文方面之上,这些方面包括:(i)物理拓扑;和/或(ii)软件定义基础架构到物理基础架构的映射。
人员(例如用户,系统管理员和网络防御者)行为包括行为的上下文方面,这些方面例如包括:(i)组织结构;(ii)社交网络(在组织内部和/或外部);(iii)个体角色(多种);和(iv)个体责任(多种)。人的行为模式通常是概率函数。在该示例中,构建入侵行为模型,以便在检测到入侵时帮助预测给定环境内入侵的未来进程。
本发明的一些实施例出于以下目的使用行为模型:(i)数据集成和联合;(ii)预测分析和基于条件的监视;和/或(iii)假设分析。行为模型具有以下用途:(i)将多通道原始事件数据(以及其它数据)拼接在一起,(ii)解决任何噪声、丢失数据或其它数据不确定性问题;和(iii)与“基于条件的监视”的总体领域相关的预测分析,其中预测给定工作负载、基础架构和/或人的未来行为并将这些行为与相应的实际事件进行比较。与使用简单阈值或其它更被动的常规技术相比,这在早得多的阶段提供预警。通过基于可控变量子集的断言值预测未来路径,使得假设分析成为可能。通过应用假设分析,将选择要执行的导致最佳估计结果的控制动作。
当确定在工作负载、基础架构和/或人员内观察到高风险行为或实际恶意行为时,本发明的一些实施例调用主动协调。协调引擎708(图7)的主动协调包括:(i)隔离动作;(ii)迁移动作;和/或(iii)主动监视动作。
SDE提供通过各种机制在多个粒度上隔绝(或隔离)个体环境的能力。应用于基础架构和工作负载的隔离机制包括:(i)多个堆栈层上由端到端容器提供的隔离机制;(ii)由软件定义网络提供的隔离机制;和(iii)由软件定义存储提供的隔离机制。这些隔离机制包括通过策略、不重叠的存储/存储地址空间(以及用于共享存储空间的写时复制)实现的隔离,以及通过在每个个体域内实施不同的加密密钥实现的隔离。应用于人的隔离机制包括用于各种类型内容资源的强制访问控制、基于角色的访问控制和/或权限管理机制。
当确定用于执行工作负载的当前环境出于任何原因而变得易受攻击时,在一些实施例中,工作负载被迁移。迁移通常需要在对输入/输出环境的剩余部分具有最小干扰的情况下,在新的物理位置处恢复(重建)应用环境。最后,SDE提供在基础架构内建立诱捕系统(honeypot)(因为诱捕系统与环境中其余部分的隔离好得多)。本发明的一些实施例动态地建立诱捕系统以诱导和捕获外部和内部侵入两者,从而改善对入侵行为的观察。
在下面的示例性用例中,安全策略和服务水平协议(SLA)由软件定义基础架构和可用的统一控制平面来驱动。继续参考图7,与工作负载对应的安全策略和SLA由远场检测和预警引擎702管理。在该示例中,检测和预警引擎处理以下任务,包括:(i)通知;(ii)SDE安全分析;(iii)工作负载安全简档监视;以及(iv)修复。检测和预警引擎与保证引擎706通信,其中根据工作负载定义(多个)来提供部署时安全性。此外,协调引擎708从保证引擎以及检测和预警引擎接收有关运行时安全配置的输入。工作负载安全策略和SLA例如包括:(i)关键文件完整性监视;(ii)关键文件修补;(iii)计算资源放置;(iv)计算资源凭据;(v)受管扫描;(vi)连接性;(vii)隔离;(viii)负载平衡;(ix)文件级机密性;以及(x)对象级机密性。
与软件定义基础架构对应的安全策略和SLA由监视器模块604和致动/修复模块606来处理,其中计算、存储和网络资源抽象通过用于物理硬件的仪表板或经由应用编程接口(API)而被管理。基础架构安全策略和SLA例如包括:(i)主机完整性;(ii)安全和可信的引导;(iii)硬件安全模块(HSM)的可用性;(iv)网络可用性;(v)网络机密性;(vi)网络位置;(vii)存储机密性;(viii)存储访问控制;(ix)存储加密;(x)安全存储删除;(xi)安全存储擦除;(xii)物理存储破坏;(xiii)控制平面完整性;以及(xiv)多租户。
在操作中,例如,按照下文的描述继续导致使用软件定义网络进行修补的异常业务和动作的检测。在定义了工作负载并识别了基础架构要求之后,在监视活动期间查询URL(统一资源定位器)黑名单。当检测到对恶意URL的网络访问时,致动和修复模块606执行操作以重新配置网络,同时有条件地阻止来自受影响的虚拟机的业务。
下面描述其它用例和示例响应。关键文件(例如Web服务器)的完整性破坏导致破坏检测以及随后的标记和/或阻止。跨多个服务器和/或工作负载的关键文件完整性破坏导致破坏检测以及随后的标记和/或阻止。复杂工作负载的异常(简档外(out of profile))通信模式的检测导致偏离行为模型中表示的“期望状态”。跨多个数据中心的工作负载部署导致资源模型表达信任假设和相应的要求。最后,本发明的一些实施例提供数据删除场景的可配置强度。
本发明的一些实施例包括以下特征、特性和/或优点中的一者或多者:(i)确保其中整个基础架构(计算、存储和网络)可编程的软件定义环境(SDE)内的应用、数据和/或基础架构的安全性;(ii)确保其中存储和/或网络的控制平面(多个)与数据平面(多个)分离的SDE内的应用、数据和/或基础架构的安全性;(iii)提供用于捕获事件来源(例如谁做了什么,在什么时候做的,对谁做的以及在什么情况下做的)的低开销方法;和/或(iv)提供用于识别快速变化的虚拟拓扑中的可疑事件的低开销方法。
本发明:不应被视为绝对地指示由“本发明”这一术语描述的主题被所提交的权利要求或被专利诉讼之后可能最终公告的权利要求所涵盖;而是,“本发明”这一术语被用于帮助读者总体上感觉此处公开的内容可能是新披露,如术语“本发明”的使用所指示的,这种理解是临时和暂时的,随着相关信息的披露和权利要求的可能修改,此理解可能随着专利诉讼的进行而发生变化。
实施例:参见上述“本发明”的定义—类似的注意事项适用于术语“实施例”。
和/或:包含性的或(inclusive or);例如A、B“和/或”C表示A或B或C中的至少一者为真且适用。
用户/订户:包括但不一定限于以下项:(i)单个人;(ii)具有充当用户或订户的足够智能的人造智能实体;和/或(iii)一组相关的用户或订户。
接收/提供/发送/输入/输出:除非另有明确规定,否则这些词语不应被视为暗示:(i)关于它们的对象和主体之间的关系的任何特定的直接度;和/或(ii)它们的客体和主体之间不存在介入的中间组件、动作和/或事物。
模块/子模块:可操作地工作以执行某类功能的任何硬件、固件和/或软件集,不考虑模块是否:(i)位于单个附近位置处;(ii)分布于广泛的区域;(iii)位于较大软件代码片段内单个附近位置处;(iv)位于单一软件代码片段中;(v)位于单个存储设备、存储器或介质中;(vi)进行机械连接;(vii)进行电连接;和/或(viii)在数据通信中连接。
计算机:具有显著数据处理和/或机器可读指令读取功能的任何设备,包括但不限于:桌面计算机、大型计算机、膝上型计算机、基于现场可编程门阵列(FPGA)的设备、智能电话、个人数字助理(PDA)、随身安装或插入式计算机、嵌入设备式计算机、基于专用集成电路(ASIC)的设备。
Claims (16)
1.一种用于提供软件定义基础架构内的安全性的方法,包括:
建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源,其中,所述一组资源是软件抽象,包括计算资源、存储资源、以及网络资源;
确定用于所述安全容器的一组安全准则;
至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及
响应于识别安全事件,调整一个或多个安全机制;
其中:
所述安全容器包括多个构成端到端容器的子容器,分别代表所述计算资源、存储资源;和至少所述监视和调整的步骤被在所述软件定义环境中执行。
2.根据权利要求1所述的方法,其中所述一组安全准则包括在整个所述软件定义环境中可移植的容器特定的策略规范。
3.根据权利要求1所述的方法,其中所述监视的步骤包括以下项中的一者:深度内省;基于条件的监视;以及对所述一组资源内的资源应用行为模型。
4.根据权利要求3所述的方法,其中所述监视的步骤包括对工作负载行为应用行为模型,所述工作负载行为通过以下项中的一者来捕获:所述软件定义环境中的基础架构元件的一组时空占用;所述一组资源的使用的时间进展;激活所述工作负载内的一组组件;以及调用由所述工作负载执行的服务。
5.根据权利要求1所述的方法,其中所述调整一个或多个安全机制的步骤包括插入安全机制和移除安全机制中的一者。
6.根据权利要求1所述的方法,其中所述一个或多个安全机制包括隔离动作和迁移动作中的至少一者。
7.一种计算机可读存储介质,其存储有程序指令,所述程序指令被编程为:
建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源,其中,所述一组资源是软件抽象,包括计算资源、存储资源、以及网络资源;
确定用于所述安全容器的一组安全准则;
至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及
响应于识别安全事件,调整一个或多个安全机制,
其中,所述安全容器包括多个构成端到端容器的子容器,分别代表所述计算资源、存储资源;和至少所述监视和调整的步骤被在所述软件定义环境中执行。
8.根据权利要求7所述的计算机可读存储介质,其中所述一组安全准则包括在整个所述软件定义环境中可移植的容器特定的策略规范。
9.根据权利要求7所述的计算机可读存储介质,其中被编程为监视的程序指令被进一步编程为执行以下项中的一者:深度内省;基于条件的监视;以及对所述一组资源内的资源应用行为模型。
10.根据权利要求7所述的计算机可读存储介质,其中调整一个或多个安全机制包括插入安全机制和移除安全机制中的一者。
11.根据权利要求7所述的计算机可读存储介质,其中所述一个或多个安全机制包括隔离动作和迁移动作中的至少一者。
12.一种计算机系统,包括:
处理器集;以及
计算机可读存储介质;
其中:
所述处理器集被构造、定位、连接和/或编程以运行存储在所述计算机可读存储介质上的程序指令;以及
所述程序指令包括被编程为执行以下操作的程序指令:
建立安全容器,所述安全容器描述软件定义环境中的工作负载和对应于所述工作负载的一组资源,其中,所述一组资源是软件抽象,包括计算资源、存储资源、以及网络资源;
确定用于所述安全容器的一组安全准则;
至少部分地基于所述一组安全准则来监视所述工作负载和所述一组资源以识别安全事件;以及
响应于识别安全事件,调整一个或多个安全机制,
其中,所述安全容器包括多个构成端到端容器的子容器,分别代表所述计算资源、存储资源;和至少所述监视和调整的步骤被在所述软件定义环境中执行。
13.根据权利要求12所述的计算机系统,其中所述一组安全准则包括在整个所述软件定义环境中可移植的容器特定的策略规范。
14.根据权利要求12所述的计算机系统,其中被编程为监视的程序指令被进一步编程为执行以下项中的一者:深度内省;基于条件的监视;以及对所述一组资源内的资源应用行为模型。
15.根据权利要求12所述的计算机系统,其中调整一个或多个安全机制包括插入安全机制和移除安全机制中的一者。
16.根据权利要求12所述的计算机系统,其中所述一个或多个安全机制包括隔离动作和迁移动作中的至少一者。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/667,877 US9652612B2 (en) | 2015-03-25 | 2015-03-25 | Security within a software-defined infrastructure |
| US14/667,877 | 2015-03-25 | ||
| PCT/IB2016/051638 WO2016151503A1 (en) | 2015-03-25 | 2016-03-23 | Security within software-defined infrastructure |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107430647A CN107430647A (zh) | 2017-12-01 |
| CN107430647B true CN107430647B (zh) | 2021-01-01 |
Family
ID=56975627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680017564.3A Active CN107430647B (zh) | 2015-03-25 | 2016-03-23 | 提供软件定义基础架构内的安全性的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9652612B2 (zh) |
| JP (1) | JP6730997B2 (zh) |
| CN (1) | CN107430647B (zh) |
| DE (1) | DE112016000915T5 (zh) |
| GB (1) | GB201716654D0 (zh) |
| WO (1) | WO2016151503A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9652612B2 (en) | 2015-03-25 | 2017-05-16 | International Business Machines Corporation | Security within a software-defined infrastructure |
| US10567397B2 (en) | 2017-01-31 | 2020-02-18 | Hewlett Packard Enterprise Development Lp | Security-based container scheduling |
| CN106790291B (zh) * | 2017-03-09 | 2020-04-03 | 腾讯科技(深圳)有限公司 | 一种入侵检测提示方法及装置 |
| CN108733361B (zh) * | 2017-04-20 | 2022-03-04 | 北京京东尚科信息技术有限公司 | 一种实现并发容器的方法和装置 |
| US20180337942A1 (en) * | 2017-05-16 | 2018-11-22 | Ciena Corporation | Quorum systems and methods in software defined networking |
| US11620145B2 (en) | 2017-06-08 | 2023-04-04 | British Telecommunications Public Limited Company | Containerised programming |
| US11595408B2 (en) | 2017-06-08 | 2023-02-28 | British Telecommunications Public Limited Company | Denial of service mitigation |
| GB2563385A (en) * | 2017-06-08 | 2018-12-19 | British Telecomm | Containerised programming |
| US10439987B2 (en) | 2017-06-12 | 2019-10-08 | Ca, Inc. | Systems and methods for securing network traffic flow in a multi-service containerized application |
| US10521612B2 (en) | 2017-06-21 | 2019-12-31 | Ca, Inc. | Hybrid on-premises/software-as-service applications |
| US10484410B2 (en) | 2017-07-19 | 2019-11-19 | Cisco Technology, Inc. | Anomaly detection for micro-service communications |
| US11509634B2 (en) | 2017-10-27 | 2022-11-22 | Brightplan Llc | Secure messaging systems and methods |
| US10360633B2 (en) | 2017-10-27 | 2019-07-23 | Brightplan Llc | Secure messaging systems, methods, and automation |
| US10630650B2 (en) * | 2017-10-27 | 2020-04-21 | Brightplan Llc | Secure messaging systems and methods |
| US20210320938A1 (en) * | 2017-11-08 | 2021-10-14 | Csp, Inc. | Network security enforcement device |
| US10601679B2 (en) * | 2017-12-26 | 2020-03-24 | International Business Machines Corporation | Data-centric predictive container migration based on cognitive modelling |
| US10631168B2 (en) * | 2018-03-28 | 2020-04-21 | International Business Machines Corporation | Advanced persistent threat (APT) detection in a mobile device |
| CA3096872A1 (en) * | 2018-04-11 | 2019-10-17 | Cornell University | Method and system for improving software container performance and isolation |
| US11354338B2 (en) | 2018-07-31 | 2022-06-07 | International Business Machines Corporation | Cognitive classification of workload behaviors in multi-tenant cloud computing environments |
| US11042646B2 (en) * | 2018-08-13 | 2021-06-22 | International Business Machines Corporation | Selecting data storage based on data and storage classifications |
| US11128665B1 (en) * | 2018-09-06 | 2021-09-21 | NortonLifeLock Inc. | Systems and methods for providing secure access to vulnerable networked devices |
| US10885200B2 (en) | 2018-11-15 | 2021-01-05 | International Business Machines Corporation | Detecting security risks related to a software component |
| US11106378B2 (en) * | 2018-11-21 | 2021-08-31 | At&T Intellectual Property I, L.P. | Record information management based on self describing attributes |
| US11237859B2 (en) | 2018-11-28 | 2022-02-01 | Red Hat Israel, Ltd. | Securing virtual machines in computer systems |
| US11632400B2 (en) | 2019-03-11 | 2023-04-18 | Hewlett-Packard Development Company, L.P. | Network device compliance |
| US11175939B2 (en) | 2019-05-09 | 2021-11-16 | International Business Machines Corporation | Dynamically changing containerized workload isolation in response to detection of a triggering factor |
| US11042366B2 (en) | 2019-05-14 | 2021-06-22 | International Business Machines Corporation | Managing software programs |
| US11252170B2 (en) | 2019-08-07 | 2022-02-15 | Cisco Technology, Inc. | Service plane optimizations with learning-enabled flow identification |
| US11297090B2 (en) | 2019-09-11 | 2022-04-05 | International Business Machines Corporation | Security evaluation for computing workload relocation |
| WO2021062242A1 (en) | 2019-09-27 | 2021-04-01 | Intel Corporation | Software defined silicon implementation and management |
| DE112020004561T5 (de) | 2019-09-27 | 2022-10-13 | Intel Corporation | Systeme, Verfahren und Einrichtungen für softwaredefinierte Siliziumsicherheit |
| US11349663B2 (en) * | 2019-10-30 | 2022-05-31 | International Business Machines Corporation | Secure workload configuration |
| US11977612B2 (en) | 2020-07-07 | 2024-05-07 | Intel Corporation | Software defined silicon guardianship |
| US20220070225A1 (en) * | 2020-09-03 | 2022-03-03 | Vmware, Inc. | Method for deploying workloads according to a declarative policy to maintain a secure computing infrastructure |
| US11573770B2 (en) | 2021-05-05 | 2023-02-07 | International Business Machines Corporation | Container file creation based on classified non-functional requirements |
| US11593247B2 (en) | 2021-06-03 | 2023-02-28 | Red Hat, Inc. | System performance evaluation and enhancement in a software-defined system |
| US11553005B1 (en) | 2021-06-18 | 2023-01-10 | Kyndryl, Inc. | Provenance based identification of policy deviations in cloud computing environments |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103210395A (zh) * | 2010-07-08 | 2013-07-17 | 赛门铁克公司 | 与客户端虚拟机交互的技术 |
| CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6986061B1 (en) | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
| US6851113B2 (en) | 2001-06-29 | 2005-02-01 | International Business Machines Corporation | Secure shell protocol access control |
| US20050114672A1 (en) * | 2003-11-20 | 2005-05-26 | Encryptx Corporation | Data rights management of digital information in a portable software permission wrapper |
| US8261345B2 (en) | 2006-10-23 | 2012-09-04 | Endeavors Technologies, Inc. | Rule-based application access management |
| US8255915B1 (en) * | 2006-10-31 | 2012-08-28 | Hewlett-Packard Development Company, L.P. | Workload management for computer system with container hierarchy and workload-group policies |
| KR20100106999A (ko) | 2007-12-07 | 2010-10-04 | 폰타나 테크놀로지 | 입자 제거 세정 방법 및 조성물 |
| US20100058486A1 (en) * | 2008-08-28 | 2010-03-04 | International Business Machines Corporation | Method for secure access to and secure data transfer from a virtual sensitive compartmented information facility (scif) |
| US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
| US8943313B2 (en) | 2011-07-19 | 2015-01-27 | Elwha Llc | Fine-grained security in federated data sets |
| US8869235B2 (en) | 2011-10-11 | 2014-10-21 | Citrix Systems, Inc. | Secure mobile browser for protecting enterprise data |
| WO2014025584A1 (en) | 2012-08-07 | 2014-02-13 | Advanced Micro Devices, Inc. | System and method for tuning a cloud computing system |
| US10122596B2 (en) | 2012-09-07 | 2018-11-06 | Oracle International Corporation | System and method for providing a service management engine for use with a cloud computing environment |
| US9021037B2 (en) | 2012-12-06 | 2015-04-28 | Airwatch Llc | Systems and methods for controlling email access |
| US9165150B2 (en) * | 2013-02-19 | 2015-10-20 | Symantec Corporation | Application and device control in a virtualized environment |
| US9405551B2 (en) * | 2013-03-12 | 2016-08-02 | Intel Corporation | Creating an isolated execution environment in a co-designed processor |
| US9596793B2 (en) | 2013-04-17 | 2017-03-14 | Arris Enterprises, Inc. | Radio frequency shield with partitioned enclosure |
| US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
| WO2015070376A1 (zh) * | 2013-11-12 | 2015-05-21 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| US9705923B2 (en) * | 2014-09-02 | 2017-07-11 | Symantec Corporation | Method and apparatus for automating security provisioning of workloads |
| US9652612B2 (en) | 2015-03-25 | 2017-05-16 | International Business Machines Corporation | Security within a software-defined infrastructure |
-
2015
- 2015-03-25 US US14/667,877 patent/US9652612B2/en active Active
-
2016
- 2016-03-23 CN CN201680017564.3A patent/CN107430647B/zh active Active
- 2016-03-23 JP JP2017549186A patent/JP6730997B2/ja active Active
- 2016-03-23 WO PCT/IB2016/051638 patent/WO2016151503A1/en active Application Filing
- 2016-03-23 DE DE112016000915.1T patent/DE112016000915T5/de active Pending
-
2017
- 2017-03-30 US US15/474,207 patent/US10043007B2/en active Active
- 2017-10-11 GB GBGB1716654.7A patent/GB201716654D0/en not_active Ceased
-
2018
- 2018-06-22 US US16/015,766 patent/US10546121B2/en not_active Expired - Fee Related
- 2018-06-22 US US16/015,619 patent/US10534911B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103210395A (zh) * | 2010-07-08 | 2013-07-17 | 赛门铁克公司 | 与客户端虚拟机交互的技术 |
| CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10546121B2 (en) | 2020-01-28 |
| JP2018509717A (ja) | 2018-04-05 |
| JP6730997B2 (ja) | 2020-07-29 |
| US10043007B2 (en) | 2018-08-07 |
| WO2016151503A1 (en) | 2016-09-29 |
| GB201716654D0 (en) | 2017-11-22 |
| US20160283713A1 (en) | 2016-09-29 |
| US20170206352A1 (en) | 2017-07-20 |
| CN107430647A (zh) | 2017-12-01 |
| US20180300479A1 (en) | 2018-10-18 |
| US10534911B2 (en) | 2020-01-14 |
| US20180300478A1 (en) | 2018-10-18 |
| US9652612B2 (en) | 2017-05-16 |
| DE112016000915T5 (de) | 2017-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107430647B (zh) | 提供软件定义基础架构内的安全性的方法和系统 | |
| US11652852B2 (en) | Intrusion detection and mitigation in data processing | |
| US10673885B2 (en) | User state tracking and anomaly detection in software-as-a-service environments | |
| JP6712213B2 (ja) | クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス | |
| US9935971B2 (en) | Mitigation of virtual machine security breaches | |
| US10664592B2 (en) | Method and system to securely run applications using containers | |
| US10841328B2 (en) | Intelligent container resource placement based on container image vulnerability assessment | |
| CN114341850B (zh) | 保护Kubernetes中的工作负载 | |
| US10769277B2 (en) | Malicious application detection and prevention system for stream computing applications deployed in cloud computing environments | |
| US20160350542A1 (en) | Security with respect to managing a shared pool of configurable computing resources | |
| US20170279890A1 (en) | Distribution of data in cloud storage based on policies maintained in metadata | |
| US20180176253A1 (en) | Placement of operators and encryption of communication based on risk in a computer system node | |
| US10740457B2 (en) | System for preventing malicious operator placement in streaming applications | |
| US9843605B1 (en) | Security compliance framework deployment | |
| US11016874B2 (en) | Updating taint tags based on runtime behavior profiles | |
| US20220382859A1 (en) | Reasoning based workflow management | |
| Jena | Bottle-necks of cloud security-A survey | |
| Hashmi et al. | A SURVEY ON SECURITY PATTERNS AND ISSUES IN CLOUD COMPUTING ENVIRONMENT | |
| Arora | Study of securing in cloud, virtual and big data infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |