CN109218280A - 实施数据中心中的物理和虚拟应用组件的微分段策略 - Google Patents
实施数据中心中的物理和虚拟应用组件的微分段策略 Download PDFInfo
- Publication number
- CN109218280A CN109218280A CN201810553336.9A CN201810553336A CN109218280A CN 109218280 A CN109218280 A CN 109218280A CN 201810553336 A CN201810553336 A CN 201810553336A CN 109218280 A CN109218280 A CN 109218280A
- Authority
- CN
- China
- Prior art keywords
- strategy
- network
- virtual
- application
- physical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种设备可以接收与第一应用组和第二应用组相关联的策略信息。该设备可以接收与网络相关联的网络拓扑信息。该设备可以基于策略信息和网络拓扑信息来生成第一策略,并且基于策略信息和网络拓扑信息来生成第二策略。该设备可以向虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在第一应用组与第二应用组之间传送的网络业务相关联地实现第一策略。该设备可以向物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在第一应用组与第二应用组之间传送的网络业务相关联地实现第二策略。
Description
背景技术
微分段是指以与实施基于周界的安全控制相比更加细化的方式实施安全控制,诸如防火墙、入侵防御系统、访问控制列表等。在微分段场景中,管理程序、云平台等可以与作为虚拟机运行的应用组件相关联地实现安全控制。
发明内容
根据一些可能的实现,一种设备可以包括一个或多个处理器,一个或多个处理器用于:接收与第一应用组和第二应用组相关联的策略信息,第一应用组包括虚拟应用组件的第一集合,第一应用组包括物理应用组件的第一集合,第二应用组包括虚拟应用组件的第二集合,并且第二应用组包括物理应用组件的第二集合;接收与网络相关联的网络拓扑信息;基于策略信息和网络拓扑信息来生成要提供给网络的虚拟网络设备的第一策略,虚拟应用组件的第一集合中的虚拟应用组件连接到虚拟网络设备;基于策略信息和网络拓扑信息来生成要提供给网络的物理网络设备的第二策略,物理应用组件的第一集合中的物理应用组件连接到物理网络设备;向网络的虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在虚拟应用组件的第一集合中的虚拟应用组件与虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现第一策略;以及向物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在物理应用组件的第一集合中的物理应用组件与物理应用组件的第二集合中的另一物理应用组件之间传送的网络业务相关联地实现第二策略。
根据一些可能的实现,一种非暂态计算机可读介质可以存储一个或多个指令,这些指令在由一个或多个处理器执行时引起一个或多个处理器:接收与第一应用组和第二应用组相关联的策略信息;接收与网络相关联的网络拓扑信息;基于策略信息和网络拓扑信息来生成要提供给网络的虚拟网络设备的第一策略;基于策略信息和网络拓扑信息来生成要提供给网络的物理网络设备的第二策略,第一策略不同于第二策略;向虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在第一应用组与第二应用组之间传送的网络业务相关联地实现第一策略;以及向物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在第一应用组与第二应用组之间传送的网络业务相关联地实现第二策略。
根据一些可能的实现,一种方法可以包括:由设备接收与应用组的集合相关联的策略信息;由该设备接收与网络相关联的网络拓扑信息;由该设备基于策略信息和网络拓扑信息来生成要提供给网络的虚拟网络设备的集合的第一策略;由该设备基于策略信息和网络拓扑信息来生成要提供给网络的物理网络设备的集合的第二策略;由该设备向该虚拟网络设备的集合中的虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在该应用组的集合之间传送的网络业务相关联地实现第一策略;以及由该设备向该物理网络设备的集合中的物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在该应用组的集合之间传送的网络业务相关地实现第二策略,第二策略包括与该应用组的集合中的物理应用组件的集合相关联的规则的集合,并且第二策略不包括与该应用组的集合中的虚拟应用组件的集合相关联的规则的另一集合。
根据一些可能的实现,一种设备,包括:一个或多个处理器,用于:接收与第一应用组和第二应用组相关联的策略信息,所述第一应用组包括虚拟应用组件的第一集合,所述第一应用组包括物理应用组件的第一集合,所述第二应用组包括虚拟应用组件的第二集合,所述第二应用组包括物理应用组件的第二集合;接收与网络相关联的网络拓扑信息;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略,所述虚拟应用组件的第一集合中的虚拟应用组件被连接到所述虚拟网络设备;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略,所述物理应用组件的第一集合中的物理应用组件被连接到所述物理网络设备;向所述网络的所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述虚拟应用组件的第一集合中的所述虚拟应用组件与所述虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现所述第一策略;以及向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述物理应用组件的第一集合中的所述物理应用组件与所述物理应用组件的第二集合中的另一物理应用组件之间传送的网络业务相关联地实现所述第二策略。
根据一些可能的实现,所述一个或多个处理器还用于:使用所述网络拓扑信息来确定所述虚拟应用组件被连接到所述虚拟网络设备;以及其中所述一个或多个处理器在提供与所述第一策略相关联的所述信息时用于:基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息。
根据一些可能的实现,所述一个或多个处理器还用于:使用所述网络拓扑信息来确定所述物理应用组件被连接到所述物理网络设备;以及其中所述一个或多个处理器在提供与所述第二策略相关联的所述信息时用于:基于确定所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息。
根据一些可能的实现,所述一个或多个处理器还用于:生成包括所述虚拟应用组件的第一集合和所述虚拟应用组件的第二集合的逻辑组;以及其中所述一个或多个处理器在生成所述第一策略时用于:基于生成所述逻辑组来生成所述第一策略。
根据一些可能的实现,所述一个或多个处理器还用于:生成包括所述物理应用组件的第一集合和所述物理应用组件的第二集合的逻辑组;以及其中所述一个或多个处理器在生成所述第二策略时用于:基于生成所述逻辑组来生成所述第二策略。
根据一些可能的实现,所述一个或多个处理器还用于:使用所述网络拓扑信息来确定所述虚拟应用组件是虚拟设备;以及其中所述一个或多个处理器在生成所述第一策略时用于:基于确定所述虚拟应用组件是所述虚拟设备来生成所述第一策略。
根据一些可能的实现,所述一个或多个处理器还用于:确定所述虚拟应用组件没有被连接到所述虚拟网络设备;以及向所述虚拟网络设备提供去除与所述第一策略相关联的所述信息的指令。
根据一些可能的实现,一种存储指令的非暂态计算机可读介质,所述指令包括:一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时,引起所述一个或多个处理器:接收与第一应用组和第二应用组相关联的策略信息;接收与网络相关联的网络拓扑信息;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略,所述第一策略不同于所述第二策略;向所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第一策略;以及向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第二策略。
根据一些可能的实现,所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:使用所述网络拓扑信息来确定所述第一应用组的虚拟应用组件被连接到所述虚拟网络设备;以及其中引起所述一个或多个处理器提供与所述第一策略相关联的所述信息的所述一个或多个指令引起所述一个或多个处理器:基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息。
根据一些可能的实现,所述一个或多个指令在由所述一个或多个处理器执行时还引起所述一个或多个处理器:使用所述网络拓扑信息来确定所述第一应用组的物理应用组件被连接到所述物理网络设备;以及其中引起所述一个或多个处理器提供与所述第二策略相关联的所述信息的所述一个或多个指令引起所述一个或多个处理器:基于确定所述第一应用组的所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息。
根据一些可能的实现,所述第二策略包括要与在所述第一应用组的物理应用组件的第一集合与所述第二应用组的物理应用组件的第二集合之间传送的网络业务相关联地实现的规则的集合。
根据一些可能的实现,所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:生成包括所述第一应用组的虚拟应用组件的第一集合和所述第二应用组的虚拟应用组件的第二集合的第一逻辑组;生成包括所述第一应用组的物理应用组件的第一集合和所述第二应用组的物理应用组件的第二集合的第二逻辑组;以及其中引起所述一个或多个处理器生成所述第一策略的所述一个或多个指令引起所述一个或多个处理器:在生成所述第一逻辑组和所述第二逻辑组之后生成所述第一策略,所述第一策略包括与所述第一逻辑组和所述第二逻辑组相关联的规则的集合。
根据一些可能的实现,所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:生成包括所述第一应用组的虚拟应用组件的第一集合和所述第二应用组的虚拟应用组件的第二集合的第一逻辑组;生成包括所述第一应用组的物理应用组件的第一集合和所述第二应用组的物理应用组件的第二集合的第二逻辑组;以及其中引起所述一个或多个处理器生成所述第二策略的所述一个或多个指令引起所述一个或多个处理器:在生成所述第一逻辑组和所述第二逻辑组之后生成所述第二策略,所述第二策略包括与所述第二逻辑组相关联的规则的第一集合,以及所述第二策略不包括与所述第一逻辑组相关联的规则的第二集合。
根据一些可能的实现,所述虚拟网络设备与云平台相关联,并且所述物理网络设备与数据中心相关联。
根据一些可能的实现,一种方法,包括:由设备接收与应用组的集合相关联的策略信息;由所述设备接收与网络相关联的网络拓扑信息;由所述设备基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的集合的第一策略;由所述设备基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的集合的第二策略;由所述设备向所述虚拟网络设备的集合中的虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述应用组的集合之间传送的网络业务相关联地实现所述第一策略;以及由所述设备向所述物理网络设备的集合中的物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述应用组的集合之间传送的网络业务相关联地实现所述第二策略,所述第二策略包括与所述应用组的集合的物理应用组件的集合相关联的规则的集合,以及所述第二策略不包括与所述应用组的集合的虚拟应用组件的集合相关联的规则的另一集合。
根据一些可能的实现,还包括:确定所述虚拟应用组件的集合中的虚拟应用组件被连接到所述虚拟网络设备;以及其中提供与所述第一策略相关联的所述信息包括:基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息。
根据一些可能的实现,还包括:确定所述物理应用组件的集合中的物理应用组件被连接到所述物理网络设备;以及其中提供与所述第二策略相关联的所述信息包括:基于确定所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息。
根据一些可能的实现,还包括:生成与所述应用组的集合相关联的逻辑组的集合;以及其中生成所述第一策略包括:基于所述逻辑组的集合来生成所述第一策略。
根据一些可能的实现,所述第一策略包括规则的第一集合,并且其中所述第二策略包括所述规则的第一集合的子集。
根据一些可能的实现,所述第一策略包括与所述应用组的集合的所述虚拟应用组件的集合相关联的所述规则的集合。
附图说明
图1A至1D是本文中描述的示例实现的概览的图;
图2是其中可以实现本文中描述的系统和/或方法的示例环境的图;
图3是图2的一个或多个设备的示例组件的图;以及
图4是用于针对物理和虚拟应用组件实施微分段策略的示例过程的流程图。
具体实施方式
示例实现的以下详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元素。
在面向周界的安全部署中,数据中心可以在数据中心的周界实现安全控制(例如,防火墙、入侵防御系统等)以处理入口和出口网络业务以标识安全风险(例如,恶意软件、病毒、特洛伊木马、间谍软件、勒索软件等)。但是,数据中心的内部应用之间的横向攻击可能导致整个数据中心在面向周界的安全部署中很脆弱。例如,整个数据中心在内部应用受到危害的情况下可能很脆弱。另外,策略和相关规则集合可能在面向周界的安全部署中变得广泛,从而增加了网络运营商的策略管理难度,增加了网络设备计算资源的消耗,增加了网络资源消耗,等等。
与虚拟化计算环境相关联,通过实现与面向周界的安全部署更接近数据中心应用的安全控制,微分段减轻了这些安全问题中的一些。例如,微分段允许应用(例如,web应用、电子邮件应用、游戏应用、社交媒体应用等)的个体应用组件(例如,web服务器、应用服务器、数据库服务器等)实现相应的安全周界。例如,计算设备的管理程序内核可以对作为虚拟机(例如,虚拟化服务器、云平台等)运行的虚拟化应用组件实现安全控制。
在一些情况下,传统应用、面向性能的应用(例如,数据库)等可以作为连接到数据中心网络设备(例如,路由器、交换机、网关等)的物理端口的裸机应用来运行。虽然管理程序实现的安全控制可以允许微分段并且提高数据中心应用的安全性,但是物理应用组件(例如,裸机应用)对在整个数据中心内部传输的安全风险仍然可能很脆弱。例如,在物理应用组件之间传送的网络业务可能不会通过管理程序实现的安全控制。这样,在其中数据中心包括虚拟应用组件和物理应用组件两者的情况下,微分段的功效可能会受到危害。
本文中描述的一些实现为在虚拟应用组件之间传送的网络业务以及在物理应用组件之间传送的网络业务提供微分段策略的实施。本文中描述的一些实现提供安全平台,安全平台可以接收与应用组(例如,应用组件的集合)相关联的策略信息,并且接收标识相应应用组件是虚拟还是物理应用组件和/或相应应用组件是连接到虚拟网络设备还是物理网络设备的网络拓扑信息。另外,本文中描述的一些实现允许安全平台生成要提供给虚拟网络设备或物理网络设备的定制策略,使得虚拟网络设备和物理网络设备可以与在应用组的应用组件与其他应用组的应用组件之间传送的网络业务相关联地实现定制策略。
以这种方式,所描述的一些实现允许与在应用组的虚拟应用组件之间传送的网络业务相关联地实现策略,并且允许与在应用组的物理应用组件之间传送的网络业务相关联地实现策略。另外,如本文中其他地方所述,与其中物理网络设备将存储与策略相关联的规则的整个集合的情况相比,本文中描述的一些实现允许物理网络设备存储减少数目的规则。以这种方式,本文中描述的一些实现节省了物理网络设备的处理器和/或存储器资源,提高了数据中心的安全性,提高了数据中心的资源利用率,允许微分段而不需要网络重新设计,等等。
图1A至1D是本文中描述的示例实现100的概览的图。如图1A和附图标记110所示,安全平台可以接收与第一应用组和第二应用组相关联的策略信息。应用组可以包括执行与应用相关功能的应用组件的集合。例如,如图所示,财务应用组(Fin_Application)可以包括web服务器(Fin_Web)、应用服务器(Fin_App)和数据库服务器(Fin_DB)。另外,如图所示,信息技术(IT)应用(IT_Application)可以包括web服务器(IT_Web)、应用服务器(IT_App)和数据库服务器(IT_DB)。例如,假定应用组件位于相同数据中心内,并且网络运营商希望实施限制应用进行通信的策略。
策略信息可以指代将被应用于在财务应用和IT应用的应用组件之间传送的网络业务的规则的集合。例如,如图所示,网络运营商可以与用户设备交互以配置标识在IT应用和财务应用的应用组件之间传送的网络业务将被阻止的策略。
策略信息可以标识相应应用组的应用组件的相应集合。例如,策略信息可以包括标识应用组件的相应集合的网络地址的集合。如图所示,安全平台可以使用策略信息来标识应用组件。以这种方式,安全平台可以基于策略信息和网络拓扑信息来生成定制策略,如下所述。
如图1B和附图标记120所示,安全平台可以接收网络拓扑信息。例如,安全平台可以从元件管理系统、数据中心管理系统、配置文件等接收网络拓扑信息。网络拓扑信息可以包括标识数据中心中的设备(例如,应用组件、网络设备等)、设备之间的连接、设备的位置、设备的网络地址等的信息。
如图所示,IT应用的web服务器和应用服务器可以连接到虚拟网络设备(例如,由计算机设备的管理程序实现的虚拟网络设备)。在这种情况下,IT应用的web服务器和应用服务器可以是虚拟应用组件(例如,虚拟机)。类似地,财务应用的web服务器和应用服务器可以是连接到虚拟网络设备的虚拟应用组件。如进一步所示,IT应用的数据库服务器和财务应用的数据库服务器可以是连接到物理网络设备的物理应用组件(例如,在裸机服务器上运行的应用)。
如图所示,安全平台可以使用网络拓扑信息将应用组件分组为逻辑组。例如,逻辑组可以指代具有特定类型(例如,虚拟或物理)的应用组件的集合。如图所示,虚拟逻辑组可以分别包括IT应用和财务应用的web服务器和应用服务器。另外,如图所示,物理逻辑组可以分别包括IT应用和财务应用的数据库服务器。通过将应用组件分组为逻辑组,安全平台可以生成定制策略以提供给虚拟网络设备和物理网络设备,如下所述。
如图1C和附图标记130所示,安全平台可以使用策略信息和网络拓扑信息来生成第一策略。例如,第一策略可以包括要由虚拟网络设备与在IT应用和财务应用的应用组件之间(例如,在虚拟应用组件之间,和/或在虚拟应用组件和物理应用组件之间)传送的网络业务相关联地实现的规则的集合。
如图所示,第一策略可以包括如下规则,该规则标识如果网络业务的源是与IT应用相关联的web服务器、与IT应用相关联的应用服务器或者与IT应用相关联的数据库服务器,则虚拟网络设备将拒绝将网络业务提供给与财务应用相关联的web服务器和/或与财务应用相关联的应用服务器。第一策略可以包括关于IT应用向财务应用提供的网络业务的类似的规则。换言之,安全平台可以生成与虚拟应用组件到虚拟应用组件网络业务、虚拟应用组件到物理应用组件网络业务和/或物理应用组件到虚拟应用组件网络业务相对应的策略的第一集合。虽然示出了特定规则,但是应当理解,其他实现包括其他规则和/或规则的其他排列。
如附图标记140所示,安全平台可以将与第一策略相关联的信息提供给连接到财务应用的web服务器和应用服务器(例如,财务应用的虚拟应用组件)的虚拟网络设备。以这种方式,虚拟网络设备可以与在财务应用和IT应用的虚拟应用组件之间和/或在财务应用和IT应用的虚拟应用组件和物理应用组件之间传送的网络业务相关联地实现与第一策略相关联的规则。
虽然未示出,但是安全平台可以生成另一策略并且将另一策略提供给连接到IT应用的web服务器和应用服务器的虚拟网络设备。以这种方式,虚拟网络设备可以实现与图1A所示的策略相一致的规则(例如,财务应用和IT应用被禁止通信的规则)。但是,在IT应用的数据库服务器与财务应用的数据库服务器之间传送的网络业务可能无法通过任一虚拟网络设备。从而,安全平台可以为物理网络设备生成定制策略,如下所述。
如图1D和附图标记150所示,安全平台可以使用策略信息和网络拓扑信息来生成第二策略。例如,第二策略可以包括要由物理网络设备与在IT应用和财务应用的物理应用组件之间传送的网络业务相关联地实现的规则的集合。
如图所示,第二策略可以包括如下规则,该规则标识如果网络业务的源与财务应用的数据库服务器相关联,并且网络业务的目的地与IT应用的数据库服务器相关联,则物理网络设备将拒绝网络业务。
如图1D和附图标记160进一步所示,安全平台可以将与第二策略相关联的信息提供给连接到与财务应用相关联的数据库服务器的物理网络设备。以这种方式,与其中物理网络设备存储关于在虚拟应用组件之间传送的网络业务的附加规则的情况相比,物理网络设备可以存储与减少数目的规则相关联的信息。换言之,物理网络设备可以存储适用于可能在IT应用和财务应用的物理应用组件之间传送的网络业务的规则。
虽然未示出,但是安全平台可以生成另一策略,并且将与该另一策略相关联的信息提供给连接到IT应用的数据库服务器的物理网络设备。从而,图1D所示的每个网络设备可以实现相应的策略,其总体上实施图1A所示的策略。
以这种方式,本文中描述的一些实现提供了安全平台,其可以接收与应用组的集合相关联的策略信息,并且使用策略信息为虚拟网络设备和物理网络设备生成定制策略。另外,安全平台可以标识连接到该应用组的集合的应用组件的特定虚拟网络设备和/或物理网络设备,并且将定制策略提供给特定网络设备(例如,代替数据中心的所有网络设备)。
以这种方式,安全平台可以生成定制策略,使得物理网络设备可以存储关于在物理应用组件之间传送的网络业务的规则,而不是存储关于在物理应用组件和虚拟应用组件之间传送的网络业务的规则。另外,以这种方式,特定网络设备可以存储适用于连接到特定网络设备的应用组件的规则(例如,而不存储可能不适用的规则)。
以这种方式,本文中描述的一些实现节省了网络设备处理器和/或存储器资源,并且节省了网络资源。另外,以这种方式,本文中描述的一些实现允许微分段与虚拟和物理应用组件相关联地实现。另外,以这种方式,本文中描述的一些实现允许实施微分段策略,而不需要大量的网络重新设计、网络业务的重新定向等。
如上所述,图1A至1D仅作为示例提供。其他示例是可能的并且可能不同于关于图1A至1D所描述的示例。
图2是其中可以实现本文中描述的系统和/或方法的示例环境200的图。如图2所示,环境200可以包括安全平台210、用户设备220、被监测网络230、虚拟网络设备的集合240(统称为“虚拟网络设备240”,并且单独称为“虚拟网络设备240”)、物理网络设备的集合250(统称为“物理网络设备250”,并且单独称为“物理网络设备250”)、虚拟应用组件的集合260(统称为“虚拟应用组件260”,并且单独称为“虚拟应用组件260”)、物理应用组件的集合270(统称为“物理应用组件270”,并且单独称为“物理应用组件270”)和网络280。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合进行互连。
安全平台210包括能够使用策略信息和网络拓扑信息来生成策略的一个或多个设备。在一些实现中,安全平台210可以被设计为模块化的,使得某些软件组件可以根据特定需要被交换进出。这样,安全平台210可以容易地和/或快速地重新配置用于不同的用途。
在一些实现中,如图所示,安全平台210可以被托管在云计算环境212中。值得注意的是,虽然本文中描述的实现将安全平台210描述为托管在云计算环境212中,但是在一些实现中,安全平台210可以不是基于云的(即,可以在云计算环境外部实现),或者可以是部分基于云的。
云计算环境212包括托管安全平台210的环境。云计算环境212可以提供不需要最终用户(例如,用户设备220)知道托管安全平台210的一个或多个系统和/或一个或多个设备的物理位置和配置的计算、软件、数据访问、存储等服务。如图所示,云计算环境212可以包括一组计算资源214(统称为“计算资源214”,并且单独称为“计算资源214”)。
计算资源214包括一个或多个个人计算机、工作站计算机、服务器设备或其他类型的计算和/或通信设备。在一些实现中,计算资源214可以托管安全平台210。云资源可以包括在计算资源214中执行的计算实例、在计算资源214中提供的存储设备、由计算资源214提供的数据传送设备等。在一些实现中,资源214可以经由有线连接、无线连接或有线和无线连接的组合与其他计算资源214通信。
如图2进一步所示,计算资源214包括一组云资源,诸如一个或多个应用(“APP”)214-1、一个或多个虚拟机(“VM”)214-2、虚拟化存储装置(“VS”)214-3、一个或多个管理程序(“HYP”)214-4等。
应用214-1包括可以被提供给用户设备220或被用户设备220访问的一个或多个软件应用。应用214-1可以消除在用户设备220上安装和执行软件应用的需要。例如,应用214-1可以包括与安全平台210相关联的软件和/或能够经由云计算环境212提供的任何其他软件。在一些实现中,一个应用214-1可以经由虚拟机214-2向/从一个或多个其他应用214-1发送/接收信息。
虚拟机214-2包括像物理机器一样执行程序的机器(例如,计算机)的软件实现。虚拟机214-2可以是系统虚拟机或进程虚拟机,这取决于虚拟机214-2与任何真实机器的使用和对应程度。系统虚拟机可以提供支持完整操作系统(“OS”)的执行的完整系统平台。进程虚拟机可以执行单个程序,并且可以支持单个进程。在一些实现中,虚拟机214-2可以代表用户(例如,用户设备220)执行,并且可以管理云计算环境212的基础设施,诸如数据管理、同步或长持续时间数据传送。
虚拟化存储装置214-3包括在计算资源214的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实现中,在存储系统的上下文中,虚拟化的类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指逻辑存储与物理存储的抽象(或分离),使得可以访问存储系统而不考虑物理存储或异构结构。分离可以允许存储系统的管理员在管理管理员如何管理最终用户的存储方面的灵活性。文件虚拟化可以消除在文件级别访问的数据与物理地存储文件的位置之间的依赖关系。这可以支持存储使用的优化、服务器整合和/或无中断文件迁移的性能。
管理程序214-4可以提供允许多个操作系统(例如,“客户操作系统”)在诸如计算资源214等主计算机上并行执行的硬件虚拟化技术。管理程序214-4可以向客户操作系统呈现虚拟操作平台,并且可以管理客户操作系统的执行。各种操作系统的多个实例可以共享虚拟化硬件资源。
用户设备220包括能够接收、生成、存储、处理和/或提供与策略相关联的信息的一个或多个设备。例如,用户设备220可以包括诸如移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机或类似类型的设备等设备。
被监测网络230包括一个或多个有线和/或无线网络。例如,被监测网络230可以包括局域网(LAN)、虚拟LAN(VLAN)、虚拟可扩展LAN(VXLAN)、广域网(WAN)、城域网(MAN)、数据中心、专用网络、自组织网络、内联网、因特网、基于光纤的网络、云计算网络、分支网络、企业网络等、和/或这些或其他类型的网络的组合。
虚拟网络设备240包括能够处理和传送网络业务的一个或多个设备。例如,虚拟网络设备240可以包括路由器、网关、交换机、防火墙、集线器、网桥、反向代理、服务器、安全设备、入侵检测设备、负载平衡器或类似类型的设备。在一些实现中,虚拟网络设备240可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
物理网络设备250包括能够处理和传送网络业务的一个或多个设备。例如,物理网络设备250可以包括路由器、网关、交换机、防火墙、集线器、网桥、反向代理、服务器、安全设备、入侵检测设备、负载平衡器、线路卡(例如,在基于机箱的系统中)或类似类型的设备。在一些实现中,物理网络设备250可以是在壳体(例如,机箱)内实现的物理设备。
虚拟应用组件260包括能够接收、生成、存储、处理和/或提供与应用相关联的网络业务的一个或多个设备。例如,虚拟应用组件260可以包括服务器设备(例如,主机服务器、web服务器、应用服务器、数据库服务器等)、数据中心设备或类似设备。在一些实现中,虚拟应用组件260可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
物理应用组件270包括能够接收、生成、存储、处理和/或提供与应用相关联的网络业务的一个或多个设备。例如,物理应用组件270可以包括服务器设备(例如,主机服务器、web服务器、应用服务器、数据库服务器等)、数据中心设备、端点设备、用户设备或者类似的设备。在一些实现中,物理应用组件270可以是物理设备,诸如裸机服务器、单租户物理服务器等。
网络280包括一个或多个有线和/或无线网络。例如,网络280可以包括蜂窝网络(例如,第五代(5G)网络、长期演进(LTE)网络、第三代(3G)网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网(PSTN))、专用网络、自组织网络、内联网、因特网、基于光纤的网络、云计算网络、以太网虚拟专用网络(EVPN)等、和/或这些或其他类型的网络的组合。
图2所示的设备和网络的数目和布置作为示例提供。实际上,可以存在与图2所示的那些相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同布置的设备和/或网络。此外,图2所示的两个或更多个设备可以在单个设备内实现,或者
图2所示的单个设备可以实现为多个分布式设备。另外地或替代地,环境200的设备的集合(例如,一个或多个设备)可以执行被描述为由环境200的设备的另一集合执行的一个或多个功能。
图3是设备300的示例组件的图。设备300可以对应于安全平台210、用户设备220、虚拟网络设备240、物理网络设备250、虚拟应用组件260和/或物理应用组件270。在一些实现中,安全平台210、用户设备220、虚拟网络设备240、物理网络设备250、虚拟应用组件260和/或物理应用组件270可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或硬件和软件的组合来实现。处理器320采取以下的形式:中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或另一类型的处理组件。在一些实现中,处理器320包括能够被编程为执行功能的一个或多个处理器。存储器330包括存储随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设备(例如,闪存、磁存储器和/或光存储器),其存储用于由处理器320使用的信息和/或指令。
存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁光盘、和/或固态盘)、光盘(CD)、数字多功能盘(DVD)、软盘、盒式磁带、磁带和/或另一类型的非暂态计算机可读介质以及对应的驱动器。
输入组件350包括允许设备300接收信息的组件,诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。另外地或替代地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括提供来自设备300的输出信息的组件(例如,显示器、扬声器和/或一个或多个发光二极管(LED))。
通信接口370包括使得设备300能够诸如经由有线连接、无线连接或有线和无线连接的组合与其他设备通信的类似收发器的组件(例如,收发器和/或单独的接收器和发射器)。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备300可以执行本文中描述的一个或多个过程。设备300可以基于处理器320执行由诸如存储器330和/或存储组件340等非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或跨多个物理存储设备分布的存储器空间。
软件指令可以经由通信接口370从另一计算机可读介质或从另一设备读取到存储器330和/或存储组件340中。当被执行时,存储在存储器330和/或存储组件340中的软件指令可以引起处理器320执行本文中描述的一个或多个过程。另外地或替代地,可以使用硬连线电路来代替软件指令或与软件指令相结合来执行本文中描述的一个或多个过程。因此,本文中描述的实现不限于硬件电路和软件的任何特定组合。
图3所示的组件的数目和布置作为示例提供。实际上,设备300可以包括与图3所示的那些相比不同的组件、更少的组件、不同的组件或不同的布置的组件。另外地或替代地,设备300的组件的集合(例如,一个或多个组件)可以执行被描述为由设备300的组件的另一集合执行的一个或多个功能。
图4是用于对物理和虚拟应用组件实施微分段策略的示例过程400的流程图。在一些实现中,图4的一个或多个过程框可以由安全平台210执行。在一些实现中,图4的一个或多个过程框可以由与安全平台210分开或包括安全平台210的另一设备或设备组执行,诸如用户设备220、虚拟网络设备240、物理网络设备250、虚拟应用组件260和/或物理应用组件270。
如图4所示,过程400可以包括接收与第一应用组和第二应用组相关联的策略信息(框410)。例如,安全平台210可以从用户设备220接收标识要与可能在第一应用组与第二应用组之间传送的网络业务相关联地实现的策略的策略信息。
在一些实现中,策略信息可以是指将被应用于在应用组的应用组件(例如,虚拟应用组件260和/或物理应用组件270)之间传送的网络业务的规则的集合。例如,规则可以标识要与网络业务相关联地执行的动作,诸如许可、过滤、拒绝、记录、隔离、重定向、速率限制、优先化等。在一些实现中,该规则的集合可以由防火墙、访问控制设备、入侵防御系统等实现。
在一些实现中,应用组可以是指提供应用功能的应用组件的集合。例如,n层(例如,其中n≥1)应用架构可以包括提供与应用相关联的功能的n个应用组件。作为特定示例,web应用可以包括三层应用架构,其中第一类型的应用组件(例如,web服务器)、第二类型的应用组件(例如,应用服务器)和第三类型的应用组件(例如,数据库服务器)进行通信以执行功能。在一些实现中,不同类型的应用组件和/或相同类型的不同的应用组件可以是虚拟应用组件260或物理应用组件270。
在一些实现中,被监测网络230可以包括第一应用组的应用组件和第二应用组的应用组件。替代地,第一应用组的应用组件可以与不同的被监测网络230相关联,并且第二应用组的应用组件可以与不同的被监测网络230相关联。替代地,与第二应用组的应用组件相比,第一应用组的应用组件可以与不同的被监测网络230相关联。
在一些实现中,策略信息可以标识第一应用组和第二应用组。例如,策略信息可以包括应用组标识符的集合等。另外地或替代地,策略信息可以标识和/或用于标识第一应用组和第二应用组的应用组件。例如,策略信息可以包括和/或标识网络地址(例如,因特网协议(IP)地址、媒体访问控制(MAC)地址、端口标识符等)、设备标识符、应用组件标识符、网络业务签名等。
在一些实现中,策略信息可以标识要与在第一应用组和第二应用组的应用组件之间传送的网络业务相关联地执行的规则的集合。例如,用户设备220(例如,其可以已经从网络运营商接收到输入)可以将策略信息提供给安全平台210,以允许安全平台210生成要由被监测网络230的虚拟网络设备240和/或物理网络设备250应用的策略。在一些实现中,安全平台210可以基于来自用户设备220的输入,基于时间帧,基于接收配置文件,基于连接到被监测网络230,基于被通电等,来接收策略信息。
以这种方式,安全平台210可以接收策略信息,并且使用策略信息为虚拟网络设备240和/或物理网络设备250生成定制策略,如本文中其他地方所述。
如图4进一步所示,过程400可以包括接收网络拓扑信息(框420)。例如,安全平台210可以接收与被监测网络230、被监测网络的集合230等相关联的网络拓扑信息。
在一些实现中,安全平台210可以基于被放置为与被监测网络230通信,基于被通电,基于被激活以为被监测网络230提供安全服务,基于配置,基于从用户设备220接收的文件的集合等,来接收网络拓扑信息。
在一些实现中,安全平台210可以从具有对网络拓扑的访问的被监测网络230的元件管理系统(EMS)接收网络拓扑信息。另外地或替代地,安全平台210可以使用网络访问控制(NAC)协议来接收或检索网络拓扑信息。例如,安全平台210可以实现NAC协议以在连接到被监测网络230之后接收网络拓扑信息。
在一些实现中,网络拓扑信息可以包括数据的集合、文件的集合、消息的集合、图像的集合等,包括与网络(例如,被监测网络230)和网络中的设备(例如,虚拟网络设备240、物理网络设备250、虚拟应用组件260和/或物理应用组件270)相关联的信息。
在一些实现中,网络拓扑信息可以包括如下信息,该信息标识被监测网络230中的设备、被监测网络230中的设备之间的通信链路(例如,指示设备之间的邻居关系)、被监测网络230中的设备的物理位置(例如,地理位置、站点位置、机架和/机箱位置等)、被监测网络230的设备之间的通信链路的端口和/或插座信息、与被监测网络230相关联的路径等。
在一些实现中,网络拓扑信息可以包括如下信息,该信息标识被监测网络230中的设备的数目、被监测网络230中的设备的类型(例如,网络设备的类型、应用组件的类型等)、被监测网络230中的设备的通信协议、设备的能力(例如,设备的安全能力、由设备提供的服务等)、被监测网络230中的设备的资源利用率、当前部署到被监测网络230中的设备的策略、设备是虚拟还是物理的、设备是否属于应用组、到外部网络的连接等。
在一些实现中,安全平台210可以使用网络拓扑信息来标识被监测网络230中的第一应用组和/或第二应用组的虚拟应用组件260和/或物理应用组件270。另外地或替代地,安全平台210可以使用网络拓扑信息来标识被监测网络230中的虚拟网络设备240和/或物理网络设备250。以这种方式,安全平台210可以使用策略信息和网络拓扑信息为虚拟网络设备240和/或物理网络设备250生成定制策略,如下所述。
如图4进一步所示,过程400可以包括基于策略信息和网络拓扑信息来生成要提供给虚拟网络设备的第一策略(框430)。例如,安全平台210可以生成要提供给虚拟网络设备的集合240的第一策略,该第一策略允许该虚拟网络设备的集合240与在第一应用组和第二应用组之间传送的网络业务相关联地实现第一策略。
在一些实现中,第一策略可以是指要提供给虚拟网络设备240的规则的集合,该规则的集合允许虚拟网络设备240与在虚拟应用组件260之间和/或在第一应用组和第二应用组的虚拟应用组件260和物理应用组件270之间传送的网络业务相关联地实现第一策略。
例如,第一策略可以包括要与在第一应用组的虚拟应用组件260与第二应用组的虚拟应用组件260之间传送的网络业务相关联地实现的规则。另外地或替代地,第一策略可以包括要与在虚拟应用组件260(例如,第一应用组或第二应用组的)与物理应用组件270(例如,第一应用组或第二应用组的)之间传送的网络业务相关联地实现的规则。换言之,第一策略可以包括要应用于至少包括虚拟应用组件260作为网络业务的源或目的地的网络业务的规则。
在一些实现中,安全平台210可以使用与框410相关联地接收到的策略信息,来标识第一策略要被应用于第一应用组和第二应用组。在一些实现中,安全平台210可以在标识出第一策略要被应用于第一应用组和第二应用组之后,标识第一应用组的应用组件的集合(例如,虚拟应用组件260和/或物理应用组件270)和第二应用组的应用组件的集合。
在一些实现中,安全平台210可以使用网络拓扑信息来标识与第一应用组和第二应用组相关联的逻辑组的集合。在一些实现中,逻辑组可以包括具有相同类型(例如,虚拟或物理)的应用组件的集合。例如,安全平台210可以标识第一应用组和/或第二应用组的虚拟应用组件的集合260,并且将该虚拟应用组件的集合260分组为虚拟逻辑组。另外地或替代地,安全平台可以标识第一应用组和/或第二应用组的物理应用组件的集合270,并且将该物理应用组件的集合270分组为物理逻辑组。
换言之,虚拟逻辑组可以包括和/或标识第一应用组的所有虚拟应用组件260和第二应用组的所有虚拟应用组件260。另外,物理逻辑组可以包括和/或标识第一应用组的所有物理应用组件270和第二应用组的所有物理应用组件270。
在一些实现中,安全平台210可以生成第一策略以包括要与在虚拟逻辑组的应用组件(例如,虚拟应用组件260到虚拟应用组件260)之间以及在虚拟逻辑组和物理逻辑组的应用组件(例如,虚拟应用组件260到物理应用组件270,反之亦然)之间传送的网络业务相关联地实现的规则的集合。
以这种方式,并且如本文中其他地方所述,安全平台210可以向特定虚拟网络设备240提供与第一策略相关联的信息,以允许特定虚拟网络设备240实现第一策略。
如图4进一步所示,过程400可以包括基于策略信息和网络拓扑信息来生成要提供给物理网络设备的第二策略(框440)。例如,安全平台210可以生成要提供给物理网络设备的集合250的第二策略,该第二策略允许该物理网络设备的集合250与在第一应用组和第二应用组之间传送的网络业务相关联地实现第二策略。
在一些实现中,第二策略可以是指要被提供给物理网络设备250的规则的集合,该规则的集合允许物理网络设备250与在第一应用组的物理应用组件270与第二应用组的物理应用组件270之间传送的网络业务相关联地实现第二策略。
在一些实现中,安全平台210可以生成第二策略以包括要与在物理逻辑组的应用组件之间传送的网络业务相关联地实现的规则的集合。在一些实现中,第二策略可以不包括要与和虚拟逻辑组相关联的网络业务相关联地实现的规则的集合。以这种方式,安全平台210可以减少提供给物理网络设备250的规则的数目,由此允许物理网络设备250存储规则的子集。以这种方式,本文中描述的一些实现节省了物理网络设备250的处理器和/或存储器资源和/或节省了网络资源。
以这种方式,并且如本文中其他地方所述,安全平台210可以向特定物理网络设备250提供与第二策略相关联的信息,以允许特定物理网络设备250实现第二策略。
如图4进一步所示,过程400可以包括向虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在第一应用组和第二应用组的虚拟应用组件和/或物理组件之间传送的网络业务相关联地实现第一策略(框450)。例如,安全平台210可以将与第一策略相关联的信息提供给虚拟逻辑组的应用组件连接到的虚拟网络设备的集合240。
在一些实现中,安全平台210可以使用网络拓扑信息来标识要被提供与第一策略相关联的信息的虚拟网络设备的集合240。例如,安全平台210可以标识连接到虚拟逻辑组的虚拟应用组件260的虚拟网络设备240,并且可以将与第一策略相关联的信息提供给虚拟网络设备240。
在一些实现中,安全平台210可以将与第一策略相关联的信息提供给连接到虚拟逻辑组的至少一个虚拟应用组件260的每个虚拟网络设备240。替代地,安全平台210可以将与第一策略相关联的信息提供给虚拟网络设备的子集240,同时仍然允许与第一策略相关联的规则与在第一应用组和第二应用组的虚拟逻辑组和/或第一应用组和第二应用组的虚拟逻辑组和物理逻辑组之间传送的网络业务相关联地实现,如下所述。
在一些实现中,安全平台210可以使用网络拓扑信息来标识要被提供与第一策略相关联的信息的特定虚拟网络设备240,使得可能在第一应用组与第二应用组之间与虚拟逻辑组相关联地传送的所有潜在网络业务将由至少一个特定虚拟网络设备240处理。以这种方式,通过减少要存储第一策略信息的虚拟网络设备240的数目,本文中描述的一些实现改善了与数据中心相关联的资源利用率和/或节省了云计算环境资源。
在一些实现中,安全平台210可以基于生成第一策略信息,基于时间帧(例如,周期性地),基于虚拟网络设备240正在创建,基于虚拟网络设备240连接到被监测网络230等,来提供第一策略信息。
在一些实现中,安全平台210可以向虚拟网络设备240提供去除与第一策略相关联的信息的指令。例如,安全平台210可以接收标识虚拟应用组件260不再连接到特定虚拟网络设备240的信息,并且可以向特定虚拟网络设备240提供去除与第一策略相关联的所存储的信息的指令。
在一些实现中,安全平台210可以使用网络拓扑信息来确定第一应用组的应用组件和第二应用组的应用组件与不同的被监测网络230相关联。另外,基于确定应用组件与不同的被监测网络230相关联,安全平台210可以向虚拟网络设备的集合240提供去除第一策略信息的指令。另外,安全平台210可以向另一网络设备(例如,与被监测网络230的周界或非军事区(DMZ)相关联)提供信息,该信息允许另一网络设备实现基于与框410相关联地接收的策略信息的策略。
以这种方式,本文中描述的一些实现通过减少存储策略信息的网络设备的数目来提高数据中心资源利用率。此外,以这种方式,与策略信息相关联的规则仍然可以被应用于在第一应用组和第二应用组之间传送的网络业务,因为网络业务可以通过与被监测网络的周界或DMZ相关联的网络设备230。
在一些实现中,安全平台210可以向特定虚拟网络设备240提供针对特定虚拟网络设备240定制的策略。例如,安全平台210可以使用网络拓扑信息来标识连接到特定虚拟网络设备240的虚拟应用组件的集合260。另外,安全平台210可以使用策略信息来生成针对连接到特定虚拟网络设备240的该虚拟应用组件的集合260定制的规则的集合。以这种方式,与其中虚拟网络设备240存储与规则的整个集合相关联的信息(例如,适用于没有连接到虚拟网络设备240的虚拟应用组件260)的情况相比,虚拟网络设备240可以存储减少量的信息。以这种方式,本文中描述的一些实现节省了虚拟网络设备240的处理器和/或存储器资源。
在一些实现中,该虚拟网络设备的集合240可以接收与第一策略相关联的信息,并且可以与在第一应用组和第二应用组之间传送的网络业务相关联地实现与第一策略相关联的规则。以这种方式,微分段可以由虚拟网络设备240来实现。
如图4进一步所示,过程400可以包括向物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在第一应用组的物理应用组件和第二应用组的物理组件之间传送的网络业务相关联地实现第二策略(框460)。例如,安全平台210可以将与第二策略相关联的信息提供给物理逻辑组的应用组件连接到的物理网络设备的集合250。
在一些实现中,安全平台210可以使用网络拓扑信息来标识要被提供与第二策略相关联的信息的物理网络设备的集合250。例如,安全平台210可以标识连接到物理逻辑组的物理应用组件270的物理网络设备250,并且可以将与第二策略相关联的信息提供给物理网络设备250。
在一些实现中,安全平台210可以将与第二策略相关联的信息提供给连接到物理逻辑组的至少一个物理应用组件270的每个物理网络设备250。替代地,并且以与上面结合框450描述的类似的方式,安全平台210可以将与第二策略相关联的信息提供给物理网络设备的子集250,同时仍然允许实施该策略。
在一些实现中,并且以与以上结合框450描述的类似的方式,安全平台210可以为特定物理网络设备250生成定制策略(例如,基于连接到特定物理网络设备250的物理应用组件的特定集合270)。
在一些实现中,物理网络设备250可以接收与第二策略相关联的信息,并且可以存储该信息,以允许与第二策略相关联的规则与在物理逻辑组的应用组件之间传送的网络业务相关联地被实现。例如,物理网络设备250可以存储标识要应用于物理逻辑组的应用组件的规则的访问控制列表条目。
通过存储与第二策略相关联(例如,与物理逻辑组而不是虚拟逻辑组相关联)的信息,物理网络设备250可以节省处理器和/或存储器资源。以这种方式,本文中描述的一些实现通过减少由物理网络设备250存储的信息量来改善数据中心资源利用率,并且防止通信问题(例如,吞吐量减少、分组丢失、高等待时间等)。
以这种方式,本文中描述的一些实现允许安全平台210基于策略信息来生成定制策略,并且将定制策略提供给虚拟网络设备240和物理网络设备250。虚拟网络设备240和物理网络设备250可以实现定制策略以在数据中心中实现微分段。
尽管图4示出了过程400的示例框,但是在一些实现中,过程400可以包括与图4所描绘的那些相比的附加的框、较少的框、不同的框或不同布置的框。另外地或替代地,过程400的两个或更多个框可以并行执行。
本文中描述的一些实现提供了允许在数据中心中并且与虚拟应用组件通信和物理应用组件通信相关联地实现微分段的安全平台。本文中描述的一些实现改善了数据中心安全性,提高了数据中心资源利用率,节省了网络资源,节省了网络设备处理器和/或存储器资源,等等。
前面的公开内容提供了说明和描述,但是并非旨在穷尽或将实现限于所公开的精确形式。鉴于上述公开内容,修改和变化是可能的,或者可以从实现的实践中获取。
如本文中使用的,术语组件旨在被广义地解释为硬件、固件和/或硬件和软件的组合。
本文中已经描述和/或在附图中示出了某些用户界面。用户界面可以包括图形用户界面、非图形用户界面、基于文本的用户界面等。用户界面可以提供用于显示的信息。在一些实现中,用户可以与信息交互,诸如通过经由提供用户界面用于显示的设备的输入组件来提供输入。在一些实现中,用户界面可以由设备和/或用户可配置(例如,用户可以改变用户界面的大小、经由用户界面提供的信息、经由用户界面提供的信息的位置等)。另外地或替代地,用户界面可以被预先配置为标准配置、基于显示用户界面的设备类型的特定配置、和/或基于与显示用户界面的设备相关联的能力和/或规格的配置的集合。
显而易见的是,本文中描述的系统和/或方法可以以不同形式的硬件、固件或硬件和软件的组合来实现。用于实现这些系统和/或方法的实际的专用控制硬件或软件代码不是对实现的限制。因此,本文中描述了系统和/或方法的操作和行为,而没有参考具体的软件代码,应当理解,软件和硬件可以被设计为基于本文中的描述来实现这些系统和/或方法。
尽管特征的特定组合在权利要求中记载和/或在说明书中公开,但是这些组合不意图限制可能实现的公开内容。实际上,这些特征中的很多特征可以以未在权利要求中具体记载和/或在说明书中公开的方式组合。尽管下面列出的每个从属权利要求可以仅直接依赖于一项权利要求,但是可能的实现的公开内容包括每个从属权利要求与权利要求组中的每个其他权利要求的组合。
除非明确地如此描述,否则本文中使用的任何元素、动作或指令都不应当被解释为是关键或必要的。而且,如本文中使用的,冠词“一(a)”和“一个(an)”旨在包括一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关项目和不相关项目的组合等),并且可以与“一个或多个”可互换地使用。在意图只有一个项目的情况下,使用术语“一个(one)”或类似的语言。而且,如本文中使用的,术语“具有(has)”、“有(have)”、“拥有(having)”等意图是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分基于”。
Claims (20)
1.一种设备,包括:
用于接收与第一应用组和第二应用组相关联的策略信息的装置,
所述第一应用组包括虚拟应用组件的第一集合,
所述第一应用组包括物理应用组件的第一集合,
所述第二应用组包括虚拟应用组件的第二集合,
所述第二应用组包括物理应用组件的第二集合;
用于接收与网络相关联的网络拓扑信息的装置;
用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略的装置,
所述虚拟应用组件的第一集合中的虚拟应用组件被连接到所述虚拟网络设备;
用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略的装置,
所述物理应用组件的第一集合中的物理应用组件被连接到所述物理网络设备;
用于向所述网络的所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述虚拟应用组件的第一集合中的所述虚拟应用组件与所述虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现所述第一策略的装置;以及
用于向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述物理应用组件的第一集合中的所述物理应用组件与所述物理应用组件的第二集合中的另一物理应用组件之间传送的网络业务相关联地实现所述第二策略的装置。
2.根据权利要求1所述的设备,还包括:
用于使用所述网络拓扑信息来确定所述虚拟应用组件被连接到所述虚拟网络设备的装置;以及
其中用于提供与所述第一策略相关联的所述信息的所述装置包括:
用于基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息的装置。
3.根据权利要求1所述的设备,还包括:
用于使用所述网络拓扑信息来确定所述物理应用组件被连接到所述物理网络设备的装置;以及
其中用于提供与所述第二策略相关联的所述信息的所述装置包括:
用于基于确定所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息的装置。
4.根据权利要求1所述的设备,还包括:
用于生成包括所述虚拟应用组件的第一集合和所述虚拟应用组件的第二集合的逻辑组的装置;以及
其中用于生成所述第一策略的所述装置包括:
用于基于生成所述逻辑组来生成所述第一策略的装置。
5.根据权利要求1所述的设备,还包括:
用于生成包括所述物理应用组件的第一集合和所述物理应用组件的第二集合的逻辑组的装置;以及
其中用于生成所述第二策略的所述装置包括:
用于基于生成所述逻辑组来生成所述第二策略的装置。
6.根据权利要求1所述的设备,还包括:
用于使用所述网络拓扑信息来确定所述虚拟应用组件是虚拟设备的装置;以及
其中用于生成所述第一策略的所述装置包括:
用于基于确定所述虚拟应用组件是所述虚拟设备来生成所述第一策略的装置。
7.根据权利要求1所述的设备,还包括:
用于确定所述虚拟应用组件没有被连接到所述虚拟网络设备的装置;以及
用于向所述虚拟网络设备提供去除与所述第一策略相关联的所述信息的指令的装置。
8.一种存储指令的非暂态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时,引起所述一个或多个处理器:
接收与第一应用组和第二应用组相关联的策略信息;
接收与网络相关联的网络拓扑信息;
基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略;
基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略,
所述第一策略不同于所述第二策略;
向所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第一策略;以及
向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第二策略。
9.根据权利要求8所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:
使用所述网络拓扑信息来确定所述第一应用组的虚拟应用组件被连接到所述虚拟网络设备;以及
其中引起所述一个或多个处理器提供与所述第一策略相关联的所述信息的所述一个或多个指令引起所述一个或多个处理器:
基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息。
10.根据权利要求8所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还引起所述一个或多个处理器:
使用所述网络拓扑信息来确定所述第一应用组的物理应用组件被连接到所述物理网络设备;以及
其中引起所述一个或多个处理器提供与所述第二策略相关联的所述信息的所述一个或多个指令引起所述一个或多个处理器:
基于确定所述第一应用组的所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息。
11.根据权利要求8所述的非暂态计算机可读介质,其中所述第二策略包括要与在所述第一应用组的物理应用组件的第一集合与所述第二应用组的物理应用组件的第二集合之间传送的网络业务相关联地实现的规则的集合。
12.根据权利要求8所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:
生成包括所述第一应用组的虚拟应用组件的第一集合和所述第二应用组的虚拟应用组件的第二集合的第一逻辑组;
生成包括所述第一应用组的物理应用组件的第一集合和所述第二应用组的物理应用组件的第二集合的第二逻辑组;以及
其中引起所述一个或多个处理器生成所述第一策略的所述一个或多个指令引起所述一个或多个处理器:
在生成所述第一逻辑组和所述第二逻辑组之后生成所述第一策略,
所述第一策略包括与所述第一逻辑组和所述第二逻辑组相关联的规则的集合。
13.根据权利要求8所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:
生成包括所述第一应用组的虚拟应用组件的第一集合和所述第二应用组的虚拟应用组件的第二集合的第一逻辑组;
生成包括所述第一应用组的物理应用组件的第一集合和所述第二应用组的物理应用组件的第二集合的第二逻辑组;以及
其中引起所述一个或多个处理器生成所述第二策略的所述一个或多个指令引起所述一个或多个处理器:
在生成所述第一逻辑组和所述第二逻辑组之后生成所述第二策略,
所述第二策略包括与所述第二逻辑组相关联的规则的第一集合,以及
所述第二策略不包括与所述第一逻辑组相关联的规则的第二集合。
14.根据权利要求8所述的非暂态计算机可读介质,其中所述虚拟网络设备与云平台相关联,并且所述物理网络设备与数据中心相关联。
15.一种方法,包括:
由设备接收与应用组的集合相关联的策略信息;
由所述设备接收与网络相关联的网络拓扑信息;
由所述设备基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的集合的第一策略;
由所述设备基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的集合的第二策略;
由所述设备向所述虚拟网络设备的集合中的虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述应用组的集合之间传送的网络业务相关联地实现所述第一策略;以及由所述设备向所述物理网络设备的集合中的物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述应用组的集合之间传送的网络业务相关联地实现所述第二策略,
所述第二策略包括与所述应用组的集合的物理应用组件的集合相关联的规则的集合,以及
所述第二策略不包括与所述应用组的集合的虚拟应用组件的集合相关联的规则的另一集合。
16.根据权利要求15所述的方法,还包括:
确定所述虚拟应用组件的集合中的虚拟应用组件被连接到所述虚拟网络设备;以及
其中提供与所述第一策略相关联的所述信息包括:
基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息。
17.根据权利要求15所述的方法,还包括:
确定所述物理应用组件的集合中的物理应用组件被连接到所述物理网络设备;以及
其中提供与所述第二策略相关联的所述信息包括:
基于确定所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息。
18.根据权利要求15所述的方法,还包括:
生成与所述应用组的集合相关联的逻辑组的集合;以及
其中生成所述第一策略包括:
基于所述逻辑组的集合来生成所述第一策略。
19.根据权利要求15所述的方法,其中所述第一策略包括规则的第一集合,并且其中所述第二策略包括所述规则的第一集合的子集。
20.根据权利要求15所述的方法,其中所述第一策略包括与所述应用组的集合的所述虚拟应用组件的集合相关联的所述规则的集合。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/639,366 | 2017-06-30 | ||
| US15/639,366 US10547644B2 (en) | 2017-06-30 | 2017-06-30 | Enforcing micro-segmentation policies for physical and virtual application components in data centers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218280A true CN109218280A (zh) | 2019-01-15 |
| CN109218280B CN109218280B (zh) | 2021-07-23 |
Family
ID=62495589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810553336.9A Active CN109218280B (zh) | 2017-06-30 | 2018-05-31 | 实施数据中心中的物理和虚拟应用组件的微分段策略 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10547644B2 (zh) |
| EP (1) | EP3422662B1 (zh) |
| CN (1) | CN109218280B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438208A (zh) * | 2021-06-03 | 2021-09-24 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
| CN113452663A (zh) * | 2020-03-25 | 2021-09-28 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10547644B2 (en) | 2017-06-30 | 2020-01-28 | Juniper Networks, Inc. | Enforcing micro-segmentation policies for physical and virtual application components in data centers |
| US20210326196A1 (en) * | 2018-08-10 | 2021-10-21 | Rimo Capital Ltd. | A remediation system to prevent incompatible program module installation in an information processing system |
| US11895092B2 (en) * | 2019-03-04 | 2024-02-06 | Appgate Cybersecurity, Inc. | Network access controller operation |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
| CN103684916A (zh) * | 2013-12-13 | 2014-03-26 | 国家计算机网络与信息安全管理中心 | 一种云计算下智能监控分析方法及系统 |
| CN104660610A (zh) * | 2015-03-13 | 2015-05-27 | 华存数据信息技术有限公司 | 一种基于云计算环境下的智能安全防护系统及其防护方法 |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| US9560081B1 (en) * | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6539483B1 (en) * | 2000-01-12 | 2003-03-25 | International Business Machines Corporation | System and method for generation VPN network policies |
| US8336094B2 (en) * | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
| US9438560B2 (en) | 2014-12-31 | 2016-09-06 | Symantec Corporation | Systems and methods for automatically applying firewall policies within data center applications |
| US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US10171507B2 (en) * | 2016-05-19 | 2019-01-01 | Cisco Technology, Inc. | Microsegmentation in heterogeneous software defined networking environments |
| US10375121B2 (en) * | 2016-06-23 | 2019-08-06 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
| US10567440B2 (en) * | 2016-12-16 | 2020-02-18 | Nicira, Inc. | Providing application visibility for micro-segmentation of a network deployment |
| US10547644B2 (en) | 2017-06-30 | 2020-01-28 | Juniper Networks, Inc. | Enforcing micro-segmentation policies for physical and virtual application components in data centers |
-
2017
- 2017-06-30 US US15/639,366 patent/US10547644B2/en active Active
-
2018
- 2018-05-30 EP EP18175060.5A patent/EP3422662B1/en active Active
- 2018-05-31 CN CN201810553336.9A patent/CN109218280B/zh active Active
-
2019
- 2019-12-31 US US16/731,167 patent/US11457043B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
| CN103684916A (zh) * | 2013-12-13 | 2014-03-26 | 国家计算机网络与信息安全管理中心 | 一种云计算下智能监控分析方法及系统 |
| CN104660610A (zh) * | 2015-03-13 | 2015-05-27 | 华存数据信息技术有限公司 | 一种基于云计算环境下的智能安全防护系统及其防护方法 |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| US9560081B1 (en) * | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452663A (zh) * | 2020-03-25 | 2021-09-28 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
| CN113452663B (zh) * | 2020-03-25 | 2023-08-25 | 瞻博网络公司 | 基于应用特征的网络业务控制 |
| CN113438208A (zh) * | 2021-06-03 | 2021-09-24 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3422662A1 (en) | 2019-01-02 |
| US11457043B2 (en) | 2022-09-27 |
| US10547644B2 (en) | 2020-01-28 |
| US20200137123A1 (en) | 2020-04-30 |
| EP3422662B1 (en) | 2020-07-15 |
| US20190007456A1 (en) | 2019-01-03 |
| CN109218280B (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6471233B2 (ja) | ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法 | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| US10333986B2 (en) | Conditional declarative policies | |
| US10264025B2 (en) | Security policy generation for virtualization, bare-metal server, and cloud computing environments | |
| US10009317B2 (en) | Security policy generation using container metadata | |
| CN109218280A (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| US9912613B2 (en) | Dynamic service orchestration within PaaS platforms | |
| US9680852B1 (en) | Recursive multi-layer examination for computer network security remediation | |
| US10979452B2 (en) | Blockchain-based malware containment in a network resource | |
| US20160294875A1 (en) | System and method for threat-driven security policy controls | |
| US9407664B1 (en) | Systems and methods for enforcing enterprise data access control policies in cloud computing environments | |
| US10979453B2 (en) | Cyber-deception using network port projection | |
| US10050999B1 (en) | Security threat based auto scaling | |
| US10341198B2 (en) | Configuring a back-end container and a corresponding front-end proxy container on a network device | |
| CN109417576A (zh) | 用于为云应用提供合规要求的传输的系统和方法 | |
| US11032318B2 (en) | Network monitoring based on distribution of false account credentials | |
| US10212602B2 (en) | Systems and methods for determining security reputations of wireless network access points | |
| US10771482B1 (en) | Systems and methods for detecting geolocation-aware malware | |
| US9444798B1 (en) | Transferring data | |
| US12095802B1 (en) | Scan engine autoscaling using cluster-based prediction models | |
| US20220382859A1 (en) | Reasoning based workflow management | |
| US11895129B2 (en) | Detecting and blocking a malicious file early in transit on a network | |
| US11374959B2 (en) | Identifying and circumventing security scanners |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |