CN108141456A

CN108141456A - 混合云安全组

Info

Publication number: CN108141456A
Application number: CN201680059738.2A
Authority: CN
Inventors: 毛里西奥·阿雷格赛斯; 纳贾拉杰·巴格帕勒; 萨博阿曼尼亚·常德拉瑟卡兰
Original assignee: Cisco Technology Inc
Current assignee: Cisco Technology Inc
Priority date: 2015-10-13
Filing date: 2016-10-12
Publication date: 2018-06-08
Anticipated expiration: 2036-10-12
Also published as: US20200021594A1; WO2017066327A1; US20220360583A1; EP3363176B1; US11218483B2; US10462136B2; EP3890268A1; CN108141456B; US20170104755A1; EP3363176A1

Abstract

在一个实施例中，可以从混合云环境的第一云网络接收向混合云环境的第二云网络发送数据的请求，其中，该请求可以包括与该数据相关的安全配置文件。安全配置文件可被自动分析以确定与该数据相关的访问权限。至少部分地基于该访问权限，数据可被允许访问第二云网络。

Description

混合云安全组

技术领域

本技术涉及基于计算机的联网，并且更具体地，涉及混合云环境中的安全组。

背景技术

近来全行业向基于云的服务交付和数据消费的转变对服务提供商在路由和交付数据的同时保障存储在私有云数据库中的数据的安全性提出了新的挑战。例如，基于云的提供商可能会采用各种实时调整模式以基于不断变化的安全需求来有效地调整和分配网络资源。此外，由于混合云计算和存储环境的一些部分可以被公共论坛访问且混合云的其他部分可以被指定用于私人论坛，所以混合云计算和存储环境对网络安全性提出了额外的挑战。

混合云计算环境可能是对存储在混合云中的数据的未授权访问的目标，因为潜在安全威胁会试图攻破可能与混合云计算和存储环境相关联的漏洞。新兴的基于计算机的威胁加速对日益灵活且安全的网络运营的需求。随着数据、软件、服务、应用和数据库逐渐地与基于云的网络紧密相连，需要在基于云的计算环境(包括混合云计算和存储环境)中增加安全功能和灵活性。

附图说明

为了描述可以获得本公开上面列举的特征和其他优点的方式，将通过参考附图中示出的特定实施例来呈现对上面简要描述的原理的更为具体的描述。应当理解的是，这些附图仅仅示出了本公开的示例性实施例，并且因此不被视为是对本公开范围的限制，通过使用附图并用附加的特征和细节来描述和解释本文的原理，其中：

图1示出了示例混合云环境；

图2示出了在混合云环境中迁移虚拟机的示例；

图3示出了具有多个云网络的示例混合云环境；

图4示出了采用云安全组的示例混合云环境；

图5示出了采用云安全组的示例混合云环境；

图6示出了采用云安全组的示例混合云环境；

图7示出了采用云安全组的示例混合云环境；

图8示出了采用云安全组的示例混合云环境；

图9示出了本技术的示例过程；以及

图10示出了本技术的示例架构。

多于一个附图共有的组件或特征在每个附图中都以相同的附图标记指示。

具体实施方式

下面详细讨论本公开的各种实施例。虽然讨论了具体的实施方式，但应该理解的是，这仅仅是出于说明的目的而进行的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下可使用其他组件和配置。

概述

在一些实施例中，本技术可以从混合云环境的第一云网络接收向混合云环境的第二云网络发送数据的请求，其中，该请求可以包括与数据相关的安全配置文件。安全配置文件可被自动分析以确定与数据相关的访问权限。此外，至少部分地基于访问权限，数据可被允许访问第二云网络。

描述

通信网络可以包括共同允许单独的设备进行通信、共享数据和访问资源(例如，软件应用)的硬件、软件、协议、和传输组件的系统。更具体地，计算机网络可以是通过通信链路和网段互连的地理上分布的节点的集合，其中，通信链路和网段在诸如个人计算机和工作站之类的末端节点之间传输数据。许多类型的网络是可用的，其类型范围从局域网(LAN)和广域网(WAN)到覆盖和软件定义的网络(例如，虚拟可扩展局域网(VXLAN))以及虚拟网络(例如，虚拟局域网(VLAN))和虚拟专用网络(VPN)。

LAN—般通过位于同一总的物理位置(例如，建筑物或校园)中的专用私有通信链路来连接节点。另一方面，WAN可通过长距离通信链路(例如，是公共载波电话线、光路径、同步光网络(SONET)或同步数字体系(SDH)链路)连接地理上分散的节点。LAN和WAN可以包括层2(L2)和/或层3(L3)网络和设备。

互联网是连接全世界的不同网络的WAN的示例，其提供了各种网络上的节点之间的全球通信。这些节点通过根据预定义协议(例如，传输控制协议/互联网协议(TCP/IP))交换离散帧或数据分组来经由网络进行通信。在这种上下文中，协议可指定义节点如何彼此交互的一组规则。计算机网络还可通过中间网络节点(例如，路由器、交换机、集线器、或接入点)进一步互连)互连，这可以有效地扩展网络的大小或占用空间。

网络可以被分割成子网络以提供层级式、多级路由结构。例如，可以使用子网编址将网络划分为VLAN子网络以创建网段。这样，网络可以将各种IP地址组分配给特定的网段，并将网络划分为多个逻辑网络。在混合云环境中，不同的子网可以被分配给混合云环境的不同部分。例如，可以基于与一个或多个VLAN子网络相关联的安全许可，将该一个或多个VLAN子网分配给混合云环境的私有云网络和混合云环境的公共云网络。

其他网络(例如，虚拟网络(比如，VLAN))也是可用的。例如，一个或多个局域网可以进行逻辑分段以形成VLAN，并允许一组机器如同在同一物理网络中一样进行通信，而不管其实际物理位置。因此，位于不同物理局域网上的机器可如同位于同一物理局域网上一样进行通信。如本领域技术人员所理解的，网络和设备之间的互连也可以使用诸如VPN隧道之类的路由器和隧道来创建。在混合云计算环境中，这样的隧道可以在其任一端包括加密和/或防火墙，用以充当在私有数据中心(DC)/私有云网络和公共云网络(例如，由商业实体提供的云网络)之间发送的数据的网守。示例公共云网络是Microsoft云、AmazonWeb 云等。

各种网络可以包括用以支持数据通信、安全性和提供服务的各种硬件或软件设备或节点。例如，网络可以包括路由器、集线器、交换机、AP(访问接入点)、防火墙、中继器、入侵检测器、服务器、VM、负载平衡器、应用交付控制器(ADC)、以及其他硬件或软件设备。这些设备可以分布或部署在一个或多个物理、覆盖、或逻辑网络上。此外，设备可以作为可以使用层2(L2)和层3(L3)技术形成的集群来部署。集群可以为与特定设备或节点相关的流提供高可用性、冗余和负载平衡。流可以包含具有相同源和目的地信息的分组。因此，源自设备A到服务节点B的分组全部可以是相同流的一部分。

设备或节点以及集群可以在云部署中实现。可以在一个或多个网络中提供云部署，以使用共享资源来调配计算服务。云计算通常可以包括基于互联网的计算，其中，计算资源从可用的资源集合经由网络(例如，“云”)被动态地按需调配和分配给客户或用户计算机或其他设备。例如，云计算资源可以包括任何类型的资源(例如，计算、存储、网络设备、应用程序、虚拟机(VM)、服务等)。例如，资源可以包括服务设备(防火墙、深度分组检测器、流量监控器、负载平衡器等)、计算/处理设备(服务器、CPU、存储器、暴力处理能力)、存储设备(例如，网络附属存储、存储区域网络设备)等。此外，这些资源可以用于支持虚拟网络、虚拟机(VM)、数据库、应用程序(应用)等。另外，服务可以包括各种类型的服务，例如，监控服务、管理服务、通信服务、数据服务、带宽服务、路由服务、配置服务、无线服务、架构服务等。

云控制器和/或其他云设备可以被配置用于云管理。这些设备可以利用集中管理、第7层(L7)设备和应用程序可视性、实时基于Web的诊断、监控、报告、管理等进行预配置(即“开箱即用”)。这样，在一些实施例中，云可以提供集中管理、可视性、监控、诊断、报告、配置(例如，无线、网络、设备、或协议配置)、业务分配或再分配、备份、灾难恢复、控制、和任何其他服务。在某些情况下，这可以在没有特定设备或覆盖管理软件的高昂成本和复杂度的情况下完成。

本技术可以解决本领域对混合云计算和存储环境(“混合云”)中的提高的安全性的需求。混合云可以指由进行通信和/或共享数据的两个或更多个云网络组成的云网络架构。混合云可以是私有云和公有云之间的交互，其中，私有云以安全和可扩展的方式连接到公共云并利用公共云资源。混合云模型可以提供优于其他云模型的优势。例如，混合云模型允许企业保护其现有资产，保持对敏感数据和应用程序的控制，并维持对其网络、处理和存储资源的控制。此外，混合云可能允许企业按照他们对处理资源和存储的需求增加或减少而扩展其环境。这种向上或向下扩展可以在对现有物理网络资源(例如，现场物理服务器)影响最小或无影响的情况下发生。

尽管一些应用程序适用于传统的物理企业数据中心/专用网络，但是还是有一些应用程序的动态计算需求使其成为基于云的部署的理想选择。对于此类应用程序，目标是利用云计算的计算弹性和经济性，而不牺牲数据资产(例如，数据库、目录、存储库)在企业数据中心内的原位处所获得的安全性。要成为可行的混合云解决方案，数据应该保持安全性、应用程序不需要进行重新设计、并且云网络应很容易移动。

图1示出示意性地包括多个云网络或“云”的示例混合云计算和存储网络，其中，多个云网络或“云”包括私有云105(例如，企业数据中心)和可用于公共可访问的网络(例如，互联网(未示出))的公共云110。虽然当前术语是指包括私有云和公共云的混合云，但应该理解的是，本公开的许多方面可以在各种多云配置(例如，由第三方提供商托管的两个云或在不同地点的两个企业云)中被实践。私有数据中心/私有云105和公共云110可以经由私有云网关125和公共云网关135之间的通信链路170连接。可以使用预定义网络通信在混合云网络的设备之间交换数据分组和流量，如本领域技术人员将理解的那样。

如图1所示，每个云网络都可具有诸如私有云网关125和公共云网关135之类的云网关。每个云网络还可以包含至少一个虚拟机(VM)和/或嵌套的VM容器。例如，图1示出了私有云105中的VM1 150和VM2 152以及公共云110中的VM3 154。私有云网关125可以被配置为在私有云105中运行的基于VM的网关，其可以负责建立用于在私有云105和公共云110之间进行通信和数据传输的通信链路170。此外，公共云网关135可以被配置为在公共云110中运行的基于VM的网关，其可以负责建立用于在私有云105和公共云110之间进行通信和数据传输的通信链路170。

此外，与私有云网关125和公共云网关135相关联的安全组标签可以通过阻止数据到达混合云的未授权区域或阻止数据离开其所局限于的混合云来增强混合云网络安全性。在一些实施例中，私有云网关125可以通过利用例如与来自公共云110的子网VLAN相关联的安全组标签来筛选(screen)针对存储在私有云105中的数据去往公共云110的请求，所述来自公共云的子网VLAN被授权籍由与其相关联的访问权限接收来自私有云105的数据。这样例如在作出请求的来自公共云110的子网VLAN不具有对所请求的私有云105中的数据具有访问权限的安全标签的情况下可以通过拒绝针对私有云105中的数据的请求来阻止未授权数据离开私有云105。

类似地，在一些实施例中，公共云网关135可以通过利用与例如来自公共云110的子网VLAN相关联的安全组标签来筛选针对存储在公共云110中的数据去往私有云105的请求，所述来自公共云的子网VLAN被授权籍由与其相关联的访问权限接收来自私有云105的数据。这可以，例如在来自公共云110的子网VLAN不具有对所请求的私有云105中的数据具有访问权限的安全标签的情况下，通过不允许所请求的公共云110的数据离开公共云110来阻止未授权数据离开公共云110。

在一些实施例中，一个或多个防火墙可以与私有云网关125和公共云网关135结合使用，以便于筛选进入私有云105和公共云110及从中外出的请求。例如，私有云网关125和公共云网关135可以通过阻止未经授权的数据进入它们各自的云网络以及还阻止数据(若该数据因对计划目的地(例如，混合云环境的不同云网络)的访问权限不足而未被授权离开云网络)离开它们各自的云网络而进行互补。在一些实施例中，私有云网关125和公共云网关135可以仅阻止未经授权的数据进入它们的云网络。在其他实施例中，私有云网关125和公共云网关135可仅阻止未经授权的数据离开它们各自的云网络。

图1还示出了私有云105内的混合云管理器175，该混合云管理器可以是用于在混合云环境内自动调配资源的管理平面VM。具体而言，混合云管理器175可以是在私有云105或公共云110(未在其中示出)中操作的管理平台(其可以是VM)，并且可以一般负责提供混合云环境操作、在私有云网络和公共云网络接口之间进行转换、云资源的管理、例如通过私有虚拟化平台和公共云提供者API进行的云网关和云VM组件(例如，公共云110中的VM3154)的动态实例化。该混合云管理器还可以健康监控混合云环境的组件(例如，云网关、一个或多个私有应用VM、和通信链路170)，并且提供这些组件的高可用性。

图1还示出了虚拟管理员模块130(例如，思科系统公司的Nexus1000V交换机)、超管理器140(也被称为虚拟机管理器)以及一个或多个VM 150、152。私有云中的虚拟管理程序模块130 105可被用于在公共云110或私有云105(例如，VM1 150、VM2 152、和VM3 154)中创建VM。每个VM可以托管私有应用，甚至公共云110中的VM3 154可以托管私有应用，这样公共云110中的VM3 154的运行就如同它在私有云105内一样。超管理器140可以由虚拟管理员模块130进行配置并且可以为一个或多个VM提供操作系统。

图1还示出了通信链路170。通信链路170可以采用包括虚拟专用网络(VPN)或隧道类型的几种形式。具体而言，一些实施例可以利用开放VPN覆盖(overlay)或者基于IP安全(IPSec)VPN的L3网络扩展来提供通信链路170。虽然在云环境中提供了安全传输连接，但是VPN可能不会提供用于提供诸如在云端本地交换网络流量之类的功能、提供一致的企业网络策略、允许插入各种网络服务(例如，负载均衡器、防火墙等)、以及构建复杂的网络拓扑结构(例如，当前系统通过路由器和多个VLAN被连接)的基础设施(infrastructure)。尽管基于IPsec-VPN的技术可以为客户提供了数据中心之间的网络连接和相对复杂的网络拓扑，但它只能在网络层(示例性以及熟知的OSI模型的层3或“L3”)上扩展企业网络。这意味着在云数据中心(公共云110)处创建的覆盖网络可以是一组新的子网，其中公共云中的VM分配有新的网络标识(例如，IP和MAC地址)。因此，可以修改许多企业基础设施(例如，访问控制列表、防火墙策略、域名服务等)，以便使新连接的VM系统能够与其余企业系统一起工作。例如，IPSec VPN隧道可以防止企业级防火墙和企业数据中心(例如，私有云105)内深处的网络地址转换(NAT)设备被攻破。

诸如当前描述的技术的实施例之类的一些混合云技术可以利用安全传输层(例如，第4层或“L4”)隧道作为私有云105中的第一云网关125和公共云110中的第二云网关135之间的通信链路170，其中安全传输层隧道被配置为在私有云和公共云之间提供链路层170(例如，层2或“L2”)网络扩展。通过在公共云网络110上建立安全传输层(L4)隧道170(例如，传输层安全性(TLS)、数据报TLS(DTLS)、安全套接层(SSL)等)，本文的技术可以建立将云资源(公共云110)与私有云105(例如，企业网络骨干)互连的安全L2交换覆盖。换句话说，安全传输层隧道170可以提供私有云105和公共云110之间的链路层网络扩展。

如上所述，部署在私有云105处的云网关125可以使用L4安全隧道来连接到在公共云110处分配的云资源。由于传输层协议(例如，UDP/TCP)的性质以及传输层端口为防火墙中的HTTP/HTTPS而开，L4安全隧道非常适合与企业级防火墙和NAT设备一起使用。L2网络可以通过部署在公共云110处的云网关135扩展并连接到每个云VM(例如，VM1 150、VM2152、VM3 154)。利用L2网络覆盖，特定私有应用VM(例如，VM3 154)的所有实例可以无缝地迁移到在公共云中动态创建的覆盖网络，而不会对现有企业基础架构产生任何影响。

作为一般惯例，公共云服务提供商仅为每个云VM(例如，VM3 154)提供有限数量的网络附件和网络广播能力。这可以阻止企业客户将他们的多VLAN网络架构环境迁移到公有云数据中心。然而，在如本文所述的L4隧道之上构建L2网络覆盖降低了云VM的网络附件需求并且可以向云VM提供网络广播能力。本文的技术可以允许企业客户部署一致的企业范围的网络架构，即使在混合云网络环境中也是如此。

图2示出了如图1所示的被用于将VM从私有云105迁移到公共云110的混合云环境。在一些实施例中，私有云上的VM可能需要进行缩放以超过私有云的当前资源，或者私有云可能需要脱机一段时间。在一些实施例中，可能需要将私有云105上的应用迁移到公共云110或从公共云110迁移到私有云105(未示出)。图2示出了正被迁移到公共云110的私有云105上的VM1 150。迁移可以使用虚拟管理员模块130来进行管理以使VM1 150脱机，并且可以使用混合云管理器175来迁移VM1 150以将VM1150的磁盘映像复制到公共云110，并将其在公共云110中实例化。

图3示出了示例混合云环境。在图3中，公共云114可以例如运行VM4 156中的应用或服务。应用或服务可以由企业私有云105和合作伙伴私有云112共享。在一些实施例中，私有云114可以充当提供到企业和合作伙伴的有限访问的中介。应该理解的是，除了图3的示例性架构之外，还可以使用许多其他混合云网络架构。在一些实施例中，混合云网络可以包括一个或多个企业私有云、一个或多个物理企业服务器、一个或多个公共云、一个或多个物理公共网络服务器、或这些云和服务器的任何组合。另外，本技术的实施例可以提供数据、虚拟机等在混合云计算环境中的所有不同云网络(公共和私有)和物理服务器之间的安全迁移。例如，VM4156可以被迁移到企业私有云105和/或合作伙伴私有云112。类似地，一些实施例可以提供例如VM3到企业私有云105和/或公共云114的迁移。

图4示出了示例混合云环境。数据中心(DC)/私有云402可以经由安全通信链路418连接到提供商/公共云412。私有云402可以是指定用于特定企业的基于云的网络。私有云402可以包含在没有授权访问的情况下不打算在私有云402之外被共享的敏感数据。提供商云412可以是由诸如Oracle(甲骨文)、Amazon(亚马逊)、Microsoft(微软)之类的第三方商业供应商提供的公众可访问的基于云的网络。项目404表示许多子网、VLAN子网、虚拟机、或可被存储在数据中心/私有云402中的其他数据中的一者。类似地，项目414表示许多子网、VLAN子网、虚拟机、或可以是可被存储在提供商云412中的其他数据中的一者。项目406和项目416可以表示针对安全策略/混合云安全组的强制点，其可以规定来自私有云402和提供商/公共云412的数据/应用/VM的进入和退出。

例如，项目406和项目416可以是用于强制执行混合云安全组/安全策略的网关。混合云安全组可被自动应用于混合云网络中出现的数据/应用/虚拟机，以便根据授权的混合云访问位置对数据/应用/虚拟机进行分组。例如，由项目404表示的应用可被请求迁移到提供商云412。如果VM 404不具有退出私有云402以及进入提供者云412的适当的安全组标签，则网关406可以阻止VM 404离开私人云402。

如果VM 404确实具有退出私有云402以及进入提供商云412的适当的安全组标签，则网关406可以允许VM 404经由安全链路/隧道418离开私有云402。在一些实施例中，VM404还可以使其数据在提供商/公共云412中被复制和实例化。网关416可以充当网守，在一些实施例中，仅允许来自授权安全组的数据进入提供商/公共云412。安全链路418可以用密码术来保护，使得私有云402和公共云412之间的通信不可由外方检测到。此外，在一些实施例中，安全链路/安全隧道418可能不允许访问互联网或从互联网进行访问，以便通过仅经由安全链路418发送所有敏感数据/应用/VM来增强安全性。

混合云安全组可以由私有云402和/或公共云412的管理员进行人工配置。例如，私有云402的管理员可以配置本技术以自动基于例如原始IP地址、类型、作者、创建日期等将安全组标签应用于数据/应用/VM。在本技术的实施例被实例化时，将全部或部分数据/应用/VM可被分配给一个或多个云安全组。例如，某些数据/应用/VM可以被授权供仅私有云、仅公共云或私有云和公共云二者使用。这可以允许在保持安全性的同时在特定的云环境内数据移动的更大灵活性，因为所有具有云安全组标签的数据只应被准许于与其各自的(一个或多个)云安全组相关联的授权区域中。

图5示出了示例混合云环境。如图4所示，图5的示例实施例可以包括数据中心/私有云402、提供商/公共云412、以及安全链路/隧道418。图5示出了混合云安全组的示例应用，其中数据/应用/VM(未示出)请求从私有云402退出以便进入提供商/公共云412。如关于图4所讨论的，私有云网关406可以验证试图退出私有云402的任何数据、应用、VM等被授权离开私有云402。

例如，编程代码520可以向私有云网关406提供用于授权进入私有云402/从私有云退出的参数。应当理解的是，除了图2所示的编程代码520之外，编程代码520还可以以许多其他形式实现。此外，本技术的实施例可以利用一种或多种编程语言来确定用于不同混合云安全组的参数。在一些实施例中，编程代码520可以提供私有云402的进入参数和/或退出参数。图5示出了在一些实施例中：如果基于可由管理员定义的参数与数据相关联的混合云安全组标签没有授权从私有云402退出，则该数据可能不被允许离开私有云402。例如，如果来自私有云402的应用不是具有允许从私有云402退出的安全组标记的选定子网的一部分，则该应用将被拒绝从私有云402退出，如在私有云网关406处所示。

在其他实施例中，如果基于所允许的子网从私有云402请求的数据具有授权从私有云402退出的安全组标签，则所述数据可以经由安全隧道418被发送到提供商公共云412。一些实施例可以在提供商公共网关416处提供对所发送的数据的类似的筛选，以便确保该数据是用于访问提供商公共云412的授权安全组的一部分。应当理解的是，针对私有云402的数据的请求可以来自私人云402内、提供商公共云412内、或来自第三方/多方。

图6示出了示例混合云环境。如图4所示，图6可以包括数据中心/私有云402、提供商/公共云412、以及安全链路/隧道418。图6示出了混合云安全组的示例应用，其中数据/应用/VM(未示出)正请求从提供商公共云412退出以便进入私有云402。如图4所示，公共云网关416可以验证试图退出公共云412的任何数据、应用、VM等被授权离开公共云412。

例如，编程代码620可以向公共云网关416提供用于授权进入公共云412/从公共云退出的参数。应当理解的是，除了图4中所示的编程代码620之外，编程代码620还可以以许多其他形式来实现。此外，本技术的实施例可以利用一种或多种编程语言来确定用于不同混合云安全组的参数。在一些实施例中，编程代码620可以提供公共云412的进入参数和/或退出参数。图6示出了在一些实施例中：如果基于可由管理员定义的参数的与数据相关联的混合云安全组标签没有授权从公共云412退出，则该数据可能不被允许数据离开公共云412。例如，如果来自公共云412的应用不是具有允许从公共云412进入私有云402的安全组标签的扩展VLAN的一部分，则该应用将被拒绝从公共云412退出，如公共云网关416处所示。

在其他实施例中，如果基于所允许的扩展VLAN，从公共云412请求的数据具有授权从公共云412退出的安全组标签，则所述数据可以经由安全隧道418被发送到私有云402。一些实施例可以在私有网关406处提供对所发送数据的类似筛选，以便确保该数据是用于访问私有云402的授权安全组的一部分。应理解的是，针对提供商公共云412的数据的请求可以来自提供商公共云412内、私有云402内、或来自第三方/多方。

图7示出了示例混合云环境。如图4所示，图7的示例实施例可以包括数据中心/私有云402、提供商/公共云412、以及安全链路/隧道418。图7示出了混合云安全组的示例应用，其中混合云环境的实例(未示出)基于与该实例相关联的安全组被筛选以进行授权。例如，图7示出了实例702尝试访问提供商公共云412。实例702没有被授权进入提供商公共云412的安全组标签。因此，公共云网关416拒绝实例702的访问，这样实例702不被允许到达混合VM712,。另一方面，如果来自私有云402的实例具有被授权从私有云402退出并进入公共云412的安全组标签，则该实例可以经由安全隧道418被发送到提供商公共云412。

在一些实施例中，本技术可以利用提供商公共云的安全结构以增强安全性。例如，如果提供商公共云具有其自己的用于数据进入公共云(例如，亚马逊安全组)的安全参数/安全组，则本技术的实施例可以将这些安全参数用于替代或补充涉及与请求进入公共云的数据相关联的混合云安全组的安全参数。

例如，图8示出了利用提供商公共云412的安全参数/安全组设置的示例混合云环境。如图4所示，图8可以包括数据中心/私有云402、提供商/公共云412、安全链路/隧道418、以及网关406和416。图8示出了示例安全参数/安全组设置802。例如，安全组设置802可以由亚马逊提供，并且可以通过提供对实体请求访问提供商公共云412的附加安全性要求来补充私有云402安全组设置提供的安全性特征。应该理解的是，除了图8中示出的之外，还可以使用许多其他安全设置。

图9示出了本技术的示例过程900。过程900在902处开始，其中，从混合云环境的第一云网络接收请求以将数据发送到混合云环境的第二云网络。过程900在904处继续，其中，该请求的安全配置文件被自动分析以确定访问许可。示例过程900在906处结束，其中，至少部分地基于访问许可，数据被允许访问混合云环境的第二云网络。应该理解的是，本技术的实施例可以包括比过程900更少或更多的步骤。

图10示出了具有可用于执行本技术的实施例并生成和显示图形用户界面(GUI)的芯片组架构的示例计算机系统1050。计算机系统1050是可用于实现所公开的技术的实施例的计算机硬件、软件、和固件的示例。系统1050可以包括处理器1055，该处理器表示能够运行软件和/或固件并且利用被配置为执行所标识的计算的硬件的任何数目的物理和/或逻辑上不同的资源。处理器1055可以与芯片组1060进行通信，该芯片组可以控制到处理器1055的输入以及从处理器1055输出。在一些实施例中，芯片组1060将信息输出到输出1065(例如，显示器)并且可以读取信息并将其写入存储设备1070(例如，磁性介质和固态介质)。芯片组1060还可以从RAM1075读取数据并将数据写入其中。在一些实施例中，芯片组1060可以利用桥接器1080来与各种用户接口组件1085接口连接。这种用户接口组件1085可以包括键盘、麦克风、触控检测和处理电路、诸如鼠标之类的定点设备等。通常，到系统1050的输入可以来自机器生成和/或人工生成的各种来源中的任何一者或多者。

芯片组1060还可以与可具有不同物理接口的一个或多个通信接口1090接口连接。这种通信接口可以包括用于有线和无线局域网、用于宽带无线网络以及个人局域网的接口。用于生成、显示并使用本文公开的GUI的方法的一些应用可以包括接收通过物理接口接收的、或由系统本身通过处理器1055分析存储在存储装置1070或1075中的数据而生成的有序数据集。此外，系统可以通过用户接口组件1085从用户接收输入并执行适当的功能，例如，通过使用处理器1055解译这些输入而进行的浏览功能。

可以理解的是，示例系统1050可以具有多于一个处理器1055，或者可以是联网在一起以提供更强的处理和/或存储能力的计算设备组或集群的一部分。

为了解释清楚，在一些情况下，本技术可以被呈现为包括单独的功能块，其包括包含设备、设备组件、以软件或硬件和软件的组合体现的方法中的步骤或例程的功能块。

在一些实施例中，计算机可读存储设备、介质、和存储器可以包括包含比特流等的有线或无线信号。然而，当被提及时，非暂态计算机可读存储介质本身明确排除诸如能量、载波信号、电磁波、和信号之类的介质。

根据上述示例的方法可以使用存储的、或以其他方式从计算机可读介质获得的计算机可执行指令来实现。这样的指令可以例如包括使通用计算机、专用计算机、或专用处理设备执行某一功能或一组功能的指令和数据。所使用的计算机资源的部分可以通过网络来访问。计算机可运行指令可以例如是二进制的、中间格式指令(例如，汇编语言、固件、或源代码)。可以用于存储指令、所使用的信息、和/或在根据所描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网的存储设备等等。

实现根据这些公开的方法的设备可以包括硬件、固件、和/或软件，并且可以使用各种布置或规格。这种规格的典型示例包括膝上型计算机、智能电话、小型个人计算机、个人数字助理、机架式设备、独立设备等。本文描述的功能还可以体现在外围设备或插入卡中。举例来说，这样的功能还可以在不同芯片中的电路板上实现或者在单个设备中执行的不同过程中实现。

指令、用于传送这样的指令的介质、用于运行它们的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开中所描述的功能的装置。

尽管使用了各种示例和其他信息来解释在所附权利要求的范围内的各个方面，但是基于这些示例中的特定特征或布置，没有暗示对权利要求的限制，如普通技术人员将能够使用这些示例而推出的各种各样的实施方式。此外，尽管一些主题可能已经用特定于结构特征和/或方法步骤的示例的语言进行了描述，但是应当理解的是，所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如，这样的功能可以不同地分布或者在除了本文标识的组件之外的组件中执行。相反，所描述的特征和步骤作为所附权利要求范围内的系统和方法的组件的示例被公开。此外，叙述“一组中的至少一个”的权利要求语言指示该组中的一个成员或该组中的多个成员满足该权利要求。

本文公开的技术可以关于混合云环境中的网络资源和数据提供更高的安全性。本技术的实施例可以阻止危害性的和/或未授权的实体进入混合云网络环境，这可以实现更高效的网络路由和网络应用和系统的高可用性，继而又可以实现所需用来路由信号的更短的处理器周期，从而实现了用于实现本技术的一些实施例的网络处理器的更高的效率和更长的服务寿命。因此，本技术可以改进其实施方式中使用的相关硬件。

此外，虽然前面的描述是针对具体实施例的，但是显而易见的是，可以对所描述的实施例做出其他变型和修改，同时实现这些实施例的一些或全部优点。例如，明确预期到，本文描述的组件和/或元件可以被实现为存储在具有在计算机上运行的程序指令、硬件、固件或、其组合的有形(非暂态)计算机可读介质、设备、和存储器(例如，盘片/CD/RAM/EEPROM等)上的软件。此外，描述本文描述的各种功能和技术的方法可以使用存储的、或以其他方式从计算机可读介质获得的计算机可运行指令来实现。这样的指令可以包括例如使通用计算机、专用计算机、或专用处理设备执行某一功能或一组功能的指令和数据。所使用的计算机资源的部分可以通过网络来访问。计算机可运行指令可以例如是二进制的、中间格式指令(例如，汇编语言、固件、或源代码)。可以用于存储指令、所使用的信息、和/或在根据所描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网的存储设备等等。另外，实现根据这些公开的方法的设备可以包括硬件、固件、和/或软件，并且可以采取各种规格中的任何一者或多者。这种规格的典型示例包括膝上型计算机、智能电话、平板电脑、可穿戴设备、小型个人计算机、个人数字助理等。本文描述的功能还可以体现在外围设备或插入卡中。举例来说，这样的功能还可以在不同芯片中的电路板上实现或者在单个设备中执行的不同过程中实现。指令、用于传送这样的指令的介质、用于运行它们的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开中所描述的功能的装置。因此，该描述仅通过示例的方式进行，而不是另外地限制本文实施例的范围。因此，所附权利要求的目的是涵盖落入本文实施例的真实精神和范围内的所有这些变化和修改。

Claims

1.一种方法，包括：

从混合云环境的第一云网络接收向所述混合云环境的第二云网络发送数据的请求，所述请求包括与所述数据相关的安全配置文件；

自动分析所述安全配置文件以确定与所述数据相关的访问许可；以及

至少部分地基于访问权限，允许所述数据访问所述第二云网络。

2.如权利要求1所述的方法，还包括：

至少部分地基于所述访问许可，拒绝对不被准许访问所述第二云网络的数据进行访问。

3.如权利要求1所述的方法，还包括：

经由混合链路将所述数据发送到所述第二云网络，所述混合链路用于所述第一云网络与所述第二云网络之间的安全通信，其中，所述混合链路不允许到互联网的连接。

4.如权利要求1所述的方法，其中，所述安全配置文件被自动应用于在所述混合云环境中初始化的应用。

5.如权利要求1所述的方法，还包括：

接收针对所述混合云环境中的虚拟机的请求；

确定所述请求源自所述混合云环境的私有云网络的互联网协议(IP)地址；以及

提供所述混合云环境中的所述虚拟机。

6.如权利要求1所述的方法，还包括：

从所述混合云环境的公共云网络接收针对访问所述混合云环境的私有云网络的请求；

自动确定针对访问所述私有云网络的所述请求是来自具有在所述私有云网络中进行操作的访问许可的实体；以及

至少部分地基于所述访问权限，允许访问所述私有云网络。

7.如权利要求1所述的方法，还包括：

从所述混合云环境的私有云网络接收针对访问所述混合云环境的公共云网络的请求；

自动确定访问针对访问所述公共云网络的所述请求是来自具有在所述公共云网络中进行操作的访问权限的实体；以及

至少部分地基于所述访问权限，允许访问所述公共云网络。

8.一种网络设备，包括：

一个或多个服务器，该一个或多个服务器促成混合云环境的第一云网络；

一个或多个服务器，该一个或多个服务器促成所述混合云环境的第二云网络；

一个或多个处理器；以及

存储器，该存储器被配置为存储过程，所述过程在由所述一个或多个处理器运行时能操作以：

从所述混合云环境的所述第一云网络接收向所述混合云环境的所述第二云网络发送数据的请求，所述请求包括与所述数据相关的安全配置文件；

至少部分地基于所述访问权限，允许所述数据访问所述第二云网络。

9.如权利要求8所述的网络设备，所述过程还能操作以：

10.如权利要求8所述的网络设备，所述过程还能操作以：

经由混合链路将所述数据发送到所述第二云网络，所述混合链路用于所述第一云网络和所述第二云网络之间的安全通信，其中，所述混合链路不允许到互联网的连接。

11.如权利要求8所述的网络设备，所述过程还能操作以：

接收针对所述混合云环境中的虚拟机的请求；

提供所述混合云环境中的虚拟机。

12.如权利要求8所述的网络设备，所述过程还能操作以：

至少部分地基于所述访问权限，允许访问所述私有云网络。

13.如权利要求8所述的网络设备，所述过程还能操作以：

至少部分地基于所述访问权限，允许访问所述公共云网络。

14.一种其上编码有指令的非暂态计算机可读介质，这些指令在由处理器运行时能操作以执行如权利要求1至7中任一项所述的方法。