CN109716729A - 动态的基于负载的自动缩放网络安全微服务架构 - Google Patents
动态的基于负载的自动缩放网络安全微服务架构 Download PDFInfo
- Publication number
- CN109716729A CN109716729A CN201680086793.0A CN201680086793A CN109716729A CN 109716729 A CN109716729 A CN 109716729A CN 201680086793 A CN201680086793 A CN 201680086793A CN 109716729 A CN109716729 A CN 109716729A
- Authority
- CN
- China
- Prior art keywords
- micro services
- hierarchical structure
- new
- services
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1031—Controlling of the operation of servers by a load balancer, e.g. adding or removing servers that serve requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
描述了用于监视数据中心的网络话务并且报告安全威胁的系统、方法和装置。例如,一个实施例放大安全系统中的微服务的层级结构。具体而言,实施例调用放大这种安全系统中的微服务的层级结构,创建第一层级结构的新的微服务,配置新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性;配置新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性;以及将第三级别的层级结构的微服务配置为将新的微服务包括在对第一层级结构的负载平衡决定中。
Description
技术领域
本文描述的实施例总体上涉及网络安全。具体而言,所描述的实施例总体上涉及动态的基于负载的自动缩放网络安全微服务架构。
背景技术
以现代数据中心为目标的网络安全威胁的广度和复杂度是广泛的并且不断增长。网络安全威胁的列表包括:蠕虫、欺骗、嗅探、劫持、特洛伊木马、拒绝服务攻击和网络钓鱼,仅举数例网络安全威胁。
依赖于贯穿数据中心部署网络安全设备的网络安全解决方案遭受许多缺点。提供监视高话务量将需要的许多此类设备可能是经济上或管理上不可行的。将设备的数量放大或缩小也可能是复杂的和耗时的。提供足够的网络端口密度以允许设备访问数据中心网络的各部分可能是不可行的。而保持设备更新至最新的威胁签名也可能是困难的。部署此类设备对于例如要保护云计算环境来说可能尤其困难。
附图说明
通过阅读以下说明书和所附权利要求书并参考以下附图,本文公开的实施例的各种优点对于本领域技术人员将变得显而易见,在附图中:
图1是示出用于加载来自存储器的网络安全系统微服务并且由处理器执行它们的计算机硬件的框图;
图2示出用于在数据中心内部署安全服务的方法的实施例;
图3示出包括用于托管物理服务器或物理安全设备的数据中心机架的数据中心的实施例;
图4示出虚拟安全设备的实施例;
图5示出包括用于托管物理服务器或虚拟安全设备的数据中心机架的数据中心的实施例;
图6示出数据中心放大以满足三倍放大要求的实施例;
图7示出根据本发明的实施例的满足三倍放大要求;
图8示出根据实施例的满足任意放大要求;
图9示出根据实施例的通过放大微服务来满足任意放大要求;
图10是示出在安全系统中放大微服务的层级结构的方法的流程图。
图11是示出在安全系统中缩小微服务的层级结构的方法的流程图。
图12是示出在安全系统中优化微服务的层级结构的方法的流程图。
图13是示出根据一个实施例的网络安全系统的另一框图;
图14是示出根据实施例的网络安全系统的另一框图;
图15示出根据一些实施例的用于支持微服务的多个不同数据库类型。
图16是示出根据实施例的从管理平面发送至网络安全系统的每一个微服务的控制分组的流程图;
图17是示出根据实施例的对威胁事件的网络安全系统响应的流程框图;
图18是示出根据实施例的接收安全策略、将它们转换为安全语言、将它们编译为二进制文件、并且将它们加载到微服务中的流程图;
图19是示出根据实施例的与第三方安全工具对接的网络安全系统的框图;
图20是示出根据实施例的将数据分组负载堆叠到微服务队列中的流程图;
图21是示出根据实施例的系统内数据通信的框图;
图22示出根据实施例的包括管理微服务和数据路径微服务的网络安全系统的框图;
图23是示出根据部署规范来安装和配置网络安全系统以为数据中心提供网络安全的过程的流程图;
图24是示出根据实施例的处理通过网络安全系统的数据流的过程的流程图;
图25是示出根据实施例的在运行时期间升级微服务安全策略而不使网络安全系统掉电的过程的流程图;
图26是示出根据实施例的根据负载条件动态地放大微服务而不使网络安全系统掉电的过程的流程图;以及
图27是示出根据实施例的与网络安全系统本地地或远程地交互的过程的流程图。
具体实施方式
在以下描述中,陈述了众多具体细节。然而,应当理解可在没有这些具体细节的情况下实践本公开的实施例。在其他实例中,没有详细示出电路、结构和技术,以避免模糊对本说明书的理解。
说明书中对“一个实施例”、“实施例”、“示例实施例”等等的引用表示所描述的实施例可包括特定特征、结构或特性,但是,每一个实施例不必包括该特定特征、结构或特性。此外,这些短语不一定指相同的实施例。进一步地,当结合实施例来描述特定特征、结构或特性时,应当认为的是,无论是否明确地描述,结合其他实施例来实现这种特征、结构或特性在本领域的技术人员的知识范围内。
本文详述了数据中心网络安全检测和保护的实施例,其允许配置、根据话务负载放大或缩小、容易的部署、和/或随着新的安全策略自动更新。
图2示出根据实施例的在数据中心内的安全服务的部署。数据中心包括所部署的安全设备,其将安全服务的层级结构提供给物理服务器。如所示,数据中心机架202包括物理安全设备204和三个物理服务器206、210和214,物理服务器包括虚拟应用服务器208、212和216,其中的每一个托管虚拟应用1至n。物理安全设备204提供服务218,包括但不限于,接口服务232、TCP/IP(L3-L4协议)服务230、SSL/TLS(加密/解密)服务228、DPI(深度分组检查)服务226、NOX(网络对象提取)服务224、DLP(数据泄漏保护)服务222、以及配置服务220。可以部署附加的服务,诸如电子邮件处理服务、入侵检测服务以及其他服务。
图3是包括数据中心机架的数据中心的实施例的另一示图。如所示,数据中心300包括可变数量的数据中心机架,但是仅示出两个:302和304。如所示,数据中心机架302包括物理安全设备306和分别标记为310、314和318的三个物理服务器A、B和C。同样,数据中心机架304包括物理安全设备308和标记为312、316和320的三个物理服务器X、Y和Z。
考虑到所执行的顺序分析和在较高级分析之前执行较低级分析的一般要求,可以将安全服务的连接性看作安全层级结构。该概念与网络交换机和其他装备在前进至更高级别(例如,IP)之前在OSI栈的一个级别(例如,以太网)执行处理的要求类似。作为示例,TCP/IP处理将重组由应用传输的流。NOX处理依赖于所重组的流的输出并且通常不对单独的分组进行操作。同样,在NOX处理之前必须对经加密的或经压缩的流分别解密或解压缩。可以对同一源数据执行的分析既不被要求同时发生也不被要求按任何特定顺序。
该安全层级结构的一般属性是层级结构的每个层接受来自较低层级结构级别的所服务的数据、处理所接受的数据、并且将经处理的数据提交给层级结构的较高级别。在一些实施例中,在层级结构的每个级别处,规则可以确定特定网络话务符合还是违反安全策略,并且规则可以通过将“接受”或“拒绝”响应返回至层级结构的较低级别来终止处理。可以配置此类规则并且还可以将其归组为策略。在一些情况下(诸如检测到未使用加密),可以跳过层级结构的一层并且可以将数据提供给层级结构中的较高级别。作为示例,可以将规则配置为不允许两个网络之间的经加密的话务。如果处理所重组的TCP/IP分组的结果指示存在经加密的有效负载,则“拒绝”消息将被传送至TCP/IP层,从而使得话务被停止。
图4示出根据实施例的在数据中心机架内的安全服务的部署。虚拟安全设备400的数据中心机架402包括所部署的安全设备,其将安全服务的层级结构提供给物理服务器。如所示,数据中心机架402包括物理服务器404,其提供虚拟安全设备1 406和虚拟应用服务器A 408。数据中心机架402还提供物理服务器B 410和物理服务器C414,物理服务器B 410提供虚拟应用服务器B 412,物理服务器C414提供虚拟应用服务器C416。物理服务器A 404提供安全设备服务418,包括但不限于,接口服务432、TCP/IP(L3-L4协议)服务430、SSL/TLS(加密/解密)服务428、DPI(深度分组检查)服务426、NOX(网络对象提取)服务424、DLP(数据泄漏保护)服务422、以及配置服务420。可以部署附加的服务,诸如电子邮件处理服务、入侵检测服务以及其他服务。
图5是包括用于托管物理服务器或虚拟安全设备的数据中心机架的数据中心的实施例。如所示,数据中心500包括多个数据中心机架502和512,其包括物理服务器504、508、510、514、518和520。物理服务器504和512示出为包括虚拟安全设备506和516。所部署的安全设备可以是物理设备,或者是部署在数据中心内的服务器上的虚拟设备。在任一情况下,在设备内执行的安全服务的层级结构在设备本身的范围内缩放。因此,对安全服务进行缩放以满足增加的要求(放大)意味着部署一个或多个附加的安全设备(专用于安全的附加的物理服务器,或包括虚拟安全设备的物理服务器)。这些多个设备在接口级别(路由或物理接口)进行负载平衡,意味着话务基于诸如IP地址范围之类的层2-4属性在设备之间被分割。由于每个设备具有配置接口,因此该多个设备的所有配置被同步并且保持一致。
通过添加附加的设备来缩放安全服务可能对数据中心管理产生问题。例如,复制整个设备而非仅复制需要附加性能的服务或层级结构级别浪费数据中心资源。
图6示出数据中心放大以满足三倍放大要求的实施例。如所示,已经将安全设备600提供为包括配置服务602、DLP服务604、NOX服务606、DPI服务608、SSL/TLS服务610、TCP/IP服务612和接口614。如所示,通过提供附加的安全设备616和附加的第二安全设备632来满足3倍放大要求,附加的安全设备616包括配置服务618、DLP服务620、NOX服务622、DPI服务624、SSL/TLS服务626、TCP/IP服务628和接口630,附加的第二安全设备632包括配置服务634、DLP服务636、NOX服务638、DPI服务640、SSL/TLS服务642、TCP/IP服务644和接口646。
不幸的是,图6所示的放大可能具有多个缺点。例如,资源可能被浪费,因为多个微服务620、622、626、628、636、638、642和644被提供但未被使用。因此,两个额外的DLP、NOX、SSL/TLS和TCP/IP服务的资源被配置为被使用,但是被浪费。此外,三个配置服务602、618和634必须同步和共享状态信息。此外,在接口级别执行根据图6的经放大的系统中的负载平衡。这是不期望的,因为在接口级别划分话务流以产生平衡的负载以用于安全服务通常是不可能的。作为示例,将话务流分成三份可能仍然导致特定的一份需要安全服务的特定层的显著更多处理。话务的每个部分需要的处理的量还可能持续地变化。
插入和移除物理设备通常是复杂的过程,从而使得该形式的缩放不适于快速变化的需求或变化的网络话务概况。维护所有设备配置的一致性对数据中心管理者施加附加的负担。确定如何为多个设备配置负载平衡可能是不可行的,因为安全服务的层级结构上的不同话务流的要求可能不可容易辨别。例如,在没有首先对经加密的话务流解密的情况下预测哪些流需要更多DLP服务是不可能的,而在解密发生之前作出负载平衡决定。
图7示出根据实施例的使用微服务来满足三倍放大要求。在该示例中,仅单个微服务(DPI)需要附加资源。如所示,通过利用可缩放的微服务架构700,包括DLP微服务704、NOX微服务706、DPI微服务708、SSL/TLS微服务710、TCP/IP微服务712和段微服务714,安全服务层级结构的每个层被独立地缩放和配置以使对下一层级结构级别的经处理的数据的供应负载平衡。如所示,配置微服务702和DLP微服务704已经被指派为分别作为物理服务器A720上的微服务1和2被执行。NOX微服务706已经被指派为作为物理服务器B 722上的微服务3被执行。DPI微服务708已经被放大3倍,并且在该实例中被指派为作为物理服务器B 722和物理服务器C 724上的微服务4-6被执行。可缩放安全架构的其余微服务被示出为在数据中心716中由数据中心机架718和726实现,数据中心机架726包括物理服务器X 728、物理服务器Y 730和物理服务器Z 732。配置微服务702创建配置背板和数据平面,其被部署为每个物理服务器上的用于接收安全服务的软件组件。该创建过程采取以下形式:配置路由规则、保留网络地址空间(诸如子网)、并且将虚拟环境配置为利用所保留的地址空间的部分作为网关以保护进入和离开服务器的网络通信的安全。因此,背板和数据平面均可以被视为由安全系统管理的虚拟网络。所有安全微服务然后可以利用这些网络来在它们自身之间传送分组、内容、状态和其他信息。背板和数据平面的属性被配置为拒绝来自安全系统外部的分组话务并且在微服务之间路由信息,不论物理服务器和虚拟环境配置如何。
图8示出根据实施例的满足任意放大要求。如所示,可缩放安全架构800包括配置微服务802、DLP微服务804(需要2倍放大)、NOX微服务806、DPI微服务808(需要3倍放大)、SSL/TLS微服务810、TCP/IP微服务812(需要3倍放大)、和段微服务814。如所示,配置微服务816提供从最低层级结构到最高层级结构的(818、820、822、824、826和828)11个微服务,并且将它们配置为经由背板彼此通信。
图9示出根据实施例的通过放大微服务来满足任意放大要求。如所示,可缩放安全架构900包括配置微服务902、DLP微服务904(需要2倍放大)、NOX微服务906、DPI微服务908(需要3倍放大)、SSL/TLS微服务910、TCP/IP微服务912(需要3倍放大)、和段微服务914。如所示,配置微服务916提供从最低层级结构到最高层级结构的(918、920、922、924、926和928)11个微服务,并且将它们配置为与数据平面930连接。
缩放不同安全服务的性能通常是不平衡的,即安全层级结构的不同级别的性能要求大多数情况下是不同的,并且一个级别的要求的增加很少伴随等效的性能增加要求。
图10是示出在安全系统中放大微服务的层级结构内的微服务的方法的流程图。典型地,该方法的实施例由在硬件处理器上的配置微服务的执行来执行。然而,其他微服务或行为者可以执行该方法的实施例的一个或多个方面。如所示,在检测到特定层级结构的现有微服务正在消耗太多资源或者正在以其他方式限制安全系统的性能后,配置微服务放大特定安全服务(层级结构)。检测的方法可以包括监视微服务的负载和等待时间统计信息、虚拟和物理服务器的性能特性或其他可用度量以及结合阈值来评估这些被监视的度量。在1004处,配置微服务随后对被配置为执行服务器上的特定层级结构的安全服务的新的微服务进行初始化。在1006处,配置微服务将数据平面配置为启用新的微服务与较高和较低层级结构级别的微服务之间的数据连接性。在1008处,配置微服务将较低层级结构级别的微服务配置为将新的微服务包括在它们的选择机制中以用于对它们的较高级别安全服务的负载平衡。
图11是示出在安全系统中缩小微服务的层级结构内的微服务的方法的流程图。典型地,该方法的实施例由在硬件处理器上的配置微服务的执行来执行。然而,其他微服务或行为者可以执行该方法的实施例的一个或多个方面。在1104处,配置微服务选择第一层级结构的第一特定安全服务(层级结构)进行缩小。在实施例中,在检测到特定层级结构的现有微服务未被完全利用或正在以其他方式浪费安全系统内的资源之际,配置微服务选择特定安全服务。在1106处,配置微服务将(相对于特定安全服务)第二较低层级结构级别的微服务配置为从它们的选择机制移除特定微服务以用于对它们的较高级别安全服务的负载平衡。在1108处,配置微服务将数据平面配置为禁用(或移除)特定微服务与较高和较低层级结构级别的微服务之间的数据连接性。在1110处,配置微服务终止(或结束)特定微服务。
图12是示出在安全系统中优化微服务的层级结构的方法的流程图。典型地,该方法的实施例经由在硬件处理器上的配置微服务的执行来执行。然而,其他微服务或行为者可以执行该方法的实施例的一个或多个方面。在1204处,选择第一层级结构的第一微服务。在实施例中,为了提高特定安全微服务的资源利用效率,配置检测在其上正在运行第一层级结构的第一所选择微服务的服务器(由于存储器、IO、盘或其他利用度量)不再适于支持微服务。在1206处,配置微服务将(相对于特定安全服务)较低层级结构级别的微服务配置为从它们的选择机制禁用特定微服务以用于对它们的较高级别安全服务的负载平衡。在1208处,配置微服务将微服务移动至另一服务器。在1210处,配置微服务修改数据平面配置以反映新的服务器。在1212处,配置微服务将较低层级结构级别的微服务配置为将经移动的微服务包括在它们的选择机制中以用于对它们的较高级别安全服务的负载平衡。过程在1214处结束。
网络安全系统
图1是示出使用微服务的可缩放微服务架构的组件的实施例的框图。网络安全系统微服务存储在存储器(例如,诸如随机存取存储器(RAM)的易失性存储器和/或诸如盘的非易失性存储器)中并且由一个或多个硬件处理器或处理器核执行。由用于执行特定安全服务的可执行指令组成的网络安全系统微服务基于跨可用物理服务器的配置来部署。典型地,每个微服务经由虚拟底盘106的背板接收配置和任务并且将状态、统计信息和其他信息返回至背板。微服务的共同属性是对存储器的分离和保护以免于其他微服务。以此方式,单独的微服务可以被移动至另一物理服务器或可以异常地终止而不影响其他微服务。
通过使用数据平面将由安全系统处理的数据从一个微服务转移至另一(较高层级结构)微服务。在一些实施例中,在这种转移期间,较低微服务(基于配置、当前统计信息和其他信息)针对要利用哪个较高层级结构微服务作出决定。这种决定可以构成负载平衡决定以确保较高层级结构微服务被高效地利用。在其他实施例中,要利用哪个微服务的决定由更中心的实体作出。
如所示,网络安全系统利用硬件处理器102(诸如中央处理单元(CPU)或其一个或多个核、图形处理单元(GPU)或其一个或多个核、或加速处理单元(APU)或其一个或多个核)来执行存储在存储器104(例如,诸如随机存取存储器(RAM)的易失性存储器和/或诸如盘的非易失性存储器)中的微服务。联网接口(例如,有线的或无线的结构或互连)128提供用于与数据中心通信的装置。网络安全系统可以使用微服务来检查话务、检测威胁、并且以其他方式保护数据中心,如下文进一步描述的。
现在更详细地讨论提供以上能力的网络安全系统的实施例。网络安全系统将安全性添加到数据中心或增强数据中心的安全性。在实施例中,以种子软件应用(例如,已下载的软件应用)的形式来实现网络安全系统。种子软件应用使数据中心中的主机上的网络安全系统的微服务实例化。如本文所使用的,微服务容器指代微服务运行的地方,最显著的是虚拟机。一旦被部署,网络安全系统就利用(如上文详述的)可用处理能力102、存储器104和网络连接128。在许多场景中,可以使用现有硬件和/或不必针对特定功能购买专用机架设备来添加/配置安全性。种子软件应用可以安装在各种各样的主机中的任一个上,不论它们是慢的或快的、低成本的或高成本的、通用的或定制的、地理上分散的、冗余方案的部分、或具有常规备份的系统的部分。
一旦被启动,如下文也进一步描述的,在一些实施例中,网络安全系统将利用物理网络接口128来探索数据中心以发现存在什么网络段、各种网络段的安全要求、以及什么主机和硬件资源是可用的、以及根据需要的附加配置信息。在实施例中,数据中心本身包括具有管理程序的若干机器或物理硬件,并且网络安全系统100提供微服务以与那些内部虚拟机或物理硬件中的一个或多个通信并且保护它们。在执行数据中心发现之后,在一些实施例中,网络安全系统将然后通过用户界面或通过与现有企业管理软件的连接来提供或建议要被选择的可用安全工具。在一个实施例中,一旦被配置,网络安全系统被“内联地”部署,从而基本上接收前往数据中心的所有分组,允许网络安全系统在可疑话务到达数据中心之前拦截和阻止它。利用对数据中心的理解,网络安全系统100部署微服务以检查数据中心各处的话务,而不仅在入口处。在一些实施例中,网络安全系统以“仅复制”配置被部署,其中网络安全系统监视话务、检测威胁、并且生成警告,但是在话务到达数据中心之前不拦截话务。
再次参考图1,尽管未示出,在一个实施例中,硬件处理器102包括一个或多个级别的高速缓存存储器。如所示,存储器104具有存储在其中的微服务108、110、112、114、116、118、120和122以及本身是微服务的虚拟底盘106。在实施例中,微服务的尺寸是小的,由相对少量的指令组成。在实施例中,微服务彼此独立。如所示,微服务108-122是从存储器加载并且由硬件处理器102执行的微服务。那些微服务包括数据路径安全微服务,例如TCP/IP、SSL、DPI或DPL检查微服务,如下文参考图14、17和19进一步描述的。微服务还可以包括管理微服务,例如下文参考图14、17和19进一步描述的用于管理微服务的底盘控制器、配置微服务、基础设施发现微服务、用于存储数据的数据库微服务、以及用于接收来自外部安全云的策略更新的策略更新微服务、以及用于接收来自各种源的策略数据并且用于产生将由微服务使用的二进制策略输出的编译器,仅举数例。
网络安全系统经由接口128接收去往/来自数据中心的话务。在一个实施例中,网络安全系统被内联地放置以检查话务,并且可能在威胁到达或离开数据中心之前拦截威胁。在替代实施例中,网络安全系统监视前往或离开数据中心的话务,在这种情况下网络安全系统检测威胁并且生成警告,但是不阻止数据。硬件处理器102然后对数据执行各种数据安全微服务。例如,如下文参考图14、17和19将进一步描述的,典型地话务首先传入并且通过段微服务、然后是TCP/IP检查微服务、然后是SSL微服务、然后是DPI微服务、然后是NOX微服务、并且然后是DLP微服务。然而,可以不启用这些服务中的一个或多个。在一些实施例中,段微服务驻留在网络段内并且充当数据分组的进入点并且将分组转发至适当的微服务以用于进一步分析。如本文所使用的数据路径微服务指代检查并分析网络话务的各种微服务,诸如TCP、TLS、DPI、NOX或DLP。TCP微服务例如指代能够处理任何层4-6网络分组的分组处置微服务并且包括防火墙的部分。TLS微服务例如指代传输层安全微服务,其解密/重新加密连接。DPI微服务例如指代深度分组检查微服务并且处置层7检查。NOX微服务例如指代网络对象提取器微服务并且结合DPI一起工作以组装来自各个分组的对象并且将它们传递至其他服务。DLP微服务例如指代数据丢失阻止微服务,其检测并阻止数据丢失。另一方面,控制路径微服务是在管理平面中实例化并且构成管理平面的各种微服务,诸如工厂、编译器、配置、基础设施发现、数据库、信使、定标器、和底盘控制器。在一个实施例中,由前述微服务检测到的威胁将被报告给底盘控制器微服务,底盘控制器微服务采取补救措施。
在实施例中,微服务108-122经由接口128从互联网加载。例如,在实施例中,从网站或在线存储站点下载微服务。在一些实施例中,微服务108-122被加载到存储器104中。在各实施例中,微服务被加载到非暂态计算机可读介质上并且从非暂态计算机可读介质接收,非暂态计算机可读介质诸如数字介质,包括另一盘驱动器、CD、CDROM、DVD、USB闪存驱动器、闪存、安全数字(SD)存储卡、存储卡,但不限于此。在一个实例中,从数字介质接收的微服务被存储到存储器104中。实施例不限于该上下文。在进一步的实施例中,数字介质是组成诸如处理器和存储器的硬件元件的组合的数据源。
在大部分实施例中,网络安全系统在数据中心计算机上运行。然而,在替代实施例中,网络安全系统在从低成本到高成本并且从低功率到高功率的范围的各种各样的替代计算平台中的任一个上安装并运行。在一些实施例中,网络安全系统在低成本的通用服务器计算机上安装并运行,或者在一些实施例中,在低成本的安装在机架上的服务器上安装并运行。如所示,硬件处理器102是单核处理器。在替代实施例中,硬件处理器102是多核处理器。在替代实施例中,硬件处理器102是大规模并行处理器。
在一些实施例中,虚拟底盘106和微服务108-122可以被托管在用于要被保护的数据中心的各种各样的硬件平台中的任一个上。下面的表1列出并描述多个示例性数据中心环境,其中的任一个托管虚拟底盘106和微服务108-122:
表1.用于托管虚拟底盘106的环境
在一些示例中,网络安全系统使用可用资源来放大以容纳更高话务或负载。在示例性实施例中,CPU 102和存储器104根据需要被动态地放大或缩小:如果放大则添加附加的CPU和存储器,而如果缩小则使一些CPU和/或存储器掉电。执行该放大以将附加的CPU和存储器分配给安全层级结构的需要它们的那些部分,同时不将附加的CPU和存储器分配给安全层级结构的可以利用其现有分配来容纳更高话务的那些部分。
图13是示出根据实施例的网络安全系统的部分的框图。如所示,网络安全系统包括虚拟底盘1301、管理平面1302、数据路径数据平面1304、和背板1306(未示出用于存储和执行该软件的底层硬件)。图13示出网络安全系统的逻辑系统架构,其中的组件中的每一个由与图1的网络安全系统类似的网络安全系统实现。
基于微服务的架构
基于微服务的架构允许将组件和网络安全工具(例如,IP处置、TCP处置、SSL解密、深度分组检查)实现为分开的微服务。通过将各个组件解耦合,它们中的每一个能够放大或缩小以满足其性能要求。此外,在实施例中,这些组件彼此独立地定位,甚至在分开的地理位置处也彼此独立地定位。
根据实施例,虚拟底盘1301中的微服务通过使用类似的HTTP方法(GET、POST、PUT、DELETE等等)交换HTTP请求来通信。在一些实施例中,虚拟底盘1301中的微服务使用背板微服务1306来通信:由源微服务将消息公布给背板1306,并且由目的地微服务从背板1306消耗消息。在一些实施例中,背板1306使用REST架构来支持虚拟底盘1301中的微服务之间的通信以及网络安全系统的微服务与企业软件1350之间的通信。在一些实施例中,利用REST软件(符合REST的软件)的通信交换根据结构的结构化数据,结构如HTTP、URI、JSON和XML,仅举数例。REST架构通过将统一资源指示符(URI)用作具有指示可变值的层级结构的多变量字段来允许开发、调试和操作中的灵活性。
如所示,网络安全系统包括虚拟底盘1301、管理平面1302、背板1306、和数据路径平面1308,其中的每一个是实现为虚拟机或容器并且部署在计算硬件上的微服务。根据实施例,主机装备有管理程序,管理程序是启动和破坏虚拟机的一个计算机软件、固件或硬件。在一些实施例中,主机提供微内核以及微内核指令。
管理平面1302包括微服务1308、1310、1312、1314、1316、1318、1320、1322和1324,各自被实现为部署在计算机系统上的虚拟机或容器。
如图13所示,管理平面1302利用工厂1310,其在实施例中包括基础设施发现微服务1312、定标器微服务1314、和底盘控制器微服务1316,其在一些实施例中指代有弹性地缩小或放大的微服务、策略微服务和资源组微服务的组合。如本文所使用的,策略定义如何缩放底盘,不论是缓慢的缩放还是激进的缩放,如下文所描述的。在一些实施例中,底盘控制器微服务1316在需要时产生新的微服务并且根据负载将它们放大或缩小,包括证明、底盘、注册、缩放和基础设施发现微服务。在一些实施例中,工厂1310包括根据工厂模型定义的微服务虚拟化环境。在结构级别上,根据实施例的工厂包括服务器和计算设备。在一些实施例中,工厂被设置在一个位置中。在其他实施例中,工厂跨各种位置分布。在另一些实施例中,工厂使来自第三方基础设施供应商的微服务虚拟化。在逻辑级别上,工厂是由一个或多个虚拟CPU、虚拟存储器和虚拟存储组成的虚拟化平台。工厂允许微服务被商品化,从而允许大数量和各种各样的微服务被提供并且与其他微服务可交换地操作,其他微服务包括来自第三方基础设施供应商的微服务。
在一个实施例中,基础设施发现微服务1312与要被保护的数据中心1342对接并且对其进行探索。如在一些实施例中所引用的,基础设施指代由诸如消费者的实体提供的以计算、存储和联网资源的形式的资源。在一些实施例中,基础设施链路连接工厂1310与基础设施以用于双向通信。在这种实施例中,基础设施发现微服务1312经由接口1326探索数据中心1342以确定存在什么网络段、各种网络段的安全要求、什么主机和硬件资源是可用的、和/或根据需要的附加配置信息。
在一个实施例中,定标器1314是接收来自微服务中的至少一个微服务的负载统计信息的微服务,微服务中的每一个监视其自己的负载统计信息并且将它们报告给定标器1314。由各个微服务监视的统计信息包括例如所处置的分组的数量、所处置的请求的数量、要处置的分组和/或请求的队列深度、以及其处理器和存储器利用率。定标器1314分析微服务的负载信息并且决定请求底盘控制器1316放大还是缩小某些微服务。在一个实施例中,定标器1314将从微服务接收的负载统计信息与放大阈值进行比较以确定是否建议底盘控制器1316使附加微服务起转。在一些实施例中,定标器1314将从微服务接收的负载统计信息与缩小阈值进行比较以确定是否建议底盘控制器1316关闭微服务的实例。
在实施例中,底盘控制器1316实例化并部署网络安全系统1300的所有微服务。在一些实施例中,例如在重启、上电期间或在电源故障之后,底盘控制器1316在被起转的第一微服务中,并且实例化并部署其余的微服务。在一些实施例中,当网络安全系统1300被重启或者以其他方式从灾难性的故障恢复时,即使底盘控制器1316不是第一个起转的微服务,第一个起转的微服务也会检查底盘控制器1316是否活动,并且如果不活动,则触发它以使其起转。在一个实施例中,检查底盘控制器1316是否活动通过对预定地址进行ping来完成。在替代实施例中,检查底盘控制器1316是否活动包括检查为底盘控制器1316和潜在地其他微服务维护状态的状态寄存器。在替代实施例中,底盘控制器1316将其状态广播给虚拟底盘1300中的微服务,从而使它们知道它是活动的。
在一个实施例中,配置微服务1308通过用户界面接收来自用户的配置信息。在替代实施例中,配置微服务1308经由接口1348与企业软件1350通信并且从其接收配置信息。在实施例中,配置微服务1308使用上文描述的REST架构与企业软件1350通信。在一些实施例中,配置微服务1308使用(例如,从基础设施发现微服务1312得知的)数据中心配置并且建议安全策略和工具让用户选择。
在一个实施例中,编译器微服务1324经由接口1346接收来自策略更新云1330的安全策略更新,在实施例中,策略更新云1330包括不断地标识潜在的安全威胁并且设计策略以用于对它们作出响应的一组网络安全专业人员。新设计的策略由编译器微服务1324接收、如果需要则被转换为由各种微服务理解的语言、并且被传达给微服务。
各种附加的管理微服务1318、1320和1322可用于被部署在网络安全系统中。如所示,管理平面1304包括九个微服务,但是微服务的数量不限于此;数量可以非限制地更高或更低。
数据路径平面1304包括实现段微服务1332(有时被简单地称为“前端”或“FE”)和数据安全微服务1334、1336和1338的微服务。如所示,数据路径平面1304经由双向接口1344与外部安全工具1340通信。数据安全微服务的各实施例可用于被部署,并且下文进一步描述其中的一些。如所示,数据路径平面1304包括四个微服务,但是微服务的数量不限于此。在一些实施例中,数据路径平面1304包含超过四个微服务,而在另一实施例中,数据路径平面1304包含少于四个微服务。
在一些实施例中,段微服务1332与数据中心1342交换数据。段微服务1332经由接口1328双向地操作以将从数据中心1342接收的分组转发至适当的数据路径微服务,并且将从数据路径微服务接收的返回分组转发至数据中心1342。在实施例中,提供由段微服务1332接收的话务的连接符合TCP/IP协议,其表征具有5-元组的连接,如本领域技术人员理解的那样。这种5元组通常由源IP地址和TCP端口、目的地IP地址和TCP端口以及接口组成。接口1328可以由名称、以太网MAC地址或其他方式指定。在实施例中,在将分组转发至数据路径微服务之前,段微服务1332将第六元组添加到分组。在一些实施例中,第六元组携带关于哪些数据路径微服务应当接收分组的路由信息。在实施例中,第六元组还携带用于唯一地标识特定连接的标识符。如果数据路径微服务检测到威胁或恶意软件,则其使用标识符和5-元组信息以请求段微服务停止该以太网连接。
背板1306包括通信微服务,其启用数据路径平面1304的数据路径微服务1332至1338之间的通信、管理平面1302的管理微服务与数据路径平面1304之间的通信、以及管理微服务1308至1324之间的间接通信。在一个实施例中,管理微服务1308至1324彼此不直接通信,以便当微服务中的一个或另一个失效时避免僵尸连接。相反,在一个实施例中,管理微服务依赖于背板1306作为中间人以在它们之间传达消息。
在一些实施例中,微服务1301至1338是单独的虚拟机或容器,各自在通用服务器硬件上运行。通过将设计分解为其组分微服务,网络安全系统1300具有根据需要放大这些功能中的任一个的能力。在一些实施例中,该放大能力能够采用附加的可用硬件。
如所示,构成网络安全系统1300的微服务1301至1338被共同归组为单个实体,标识为虚拟底盘1302。在一个实施例中,微服务1304至1332位于单个环境(数据中心、私有云或公共云)中。在一些实施例中,虚拟底盘1302和微服务1304至1332容纳在单个服务器、计算机、或安装在机架上的系统中。在一些实施例中,虚拟底盘1302和微服务1304至1330容纳在多个硬件环境中。在另一些实施例中,虚拟底盘1302和微服务1304至1332容纳在地理上不同的环境中。
在操作中,网络安全系统1300为数据中心1342提供网络安全。在第一实施例中,网络安全系统1300被部署在数据中心东/西部署中,其中其被部署在数据中心(具有虚拟化计算)中以在流程的源和目的地均位于数据中心内的情况下对话务进行检查并实施策略。在第二实施例中,网络安全系统被部署在数据中心北/南部署中,其中其被部署在数据中心中以在流程的源或目的地(但不是两者)位于数据中心外部的情况下对话务进行检查并实施策略。在第三实施例中,网络安全系统被部署在公共云部署中,其中其被部署在公共云中以对正在进入或正在离开该云中的特定租户的部分的话务进行检查并实施策略。在又一第四替代实施例中,网络安全系统根据这些替代方案中的一个或多个的组合被部署。
此外,在操作期间,在一个实施例中,根据资源消耗策略,微服务1302至1338中的任一个的放大和缩小功能独立于其他微服务被处置。具体而言,在一个实施例中,微服务中的每一个监视其正在处置的话务量,不论以其正在处置的数据分组的数量、其正在服务的请求的数量、其内部队列的深度的形式、或其他方式。在一个实施例中,微服务中的每一个将其负载统计信息转发给定标器1314,定标器1314将决定实例化新的微服务还是关闭旧的微服务。
在一个实施例中,底盘控制器1316管理微服务1302至1338。具体而言,在一个实施例中,底盘控制器1316接收来自定标器1314的建议,并且确定放大还是缩小各微服务。在一个实施例中,通过将底盘控制器1316管理为单个实体来简化管理微服务1302至1338,正如物理底盘那样。在一个实施例中,利用将被应用于一个或多个微服务1302至1338的一般的资源控制策略来编程底盘控制器1316。因此,在一个实施例中,即使设备变得非常大,或者即使其跨越多个环境,或者即使其跨越多个地理位置,也存在单个底盘控制器1316提供管理接口供网络管理员访问。
在一个实施例中,微服务1302至1338提供内置冗余,因为微服务的每个单独实例由该同一微服务的附加实例支持。如果单个实例将要失效,则其他微服务将继续操作,同时替代者被起转。提供给定微服务的更多实例以提供n+1冗余也是可能的。
在一个实施例中,完成添加安全控制微服务的新实例、用于现有微服务的新安全策略、或新类型的安全微服务而无需添加新硬件或改变现有硬件。具体而言,在这种实施例中,通过在托管虚拟底盘1316的微服务的计算机硬件上实例化现有微服务的另一实例来创建安全控制微服务的新实例。因此由底盘控制器1316部署新类型的微服务,而不影响网络安全系统1300的性能。
图14是示出根据实施例的网络安全系统的框图。如所示,网络安全系统包括管理平面1402、数据路径平面1404和背板1406。图14示出网络安全系统的逻辑系统架构,其组件中的每一个由计算硬件实现。
网络安全系统使用解构网络安全设备的基于微服务的架构,从而将其分解为一系列构造块,构造块各自被实现为微服务。
管理平面1402包括微服务1408、1410、1412、1414、1416、1418、1420、1422和1424,各自被实现为部署在计算机系统上的虚拟机或容器。
如图14所示,管理平面1402利用工厂1410,工厂1410包括基础设施发现微服务1412、定标器微服务1414和底盘控制器微服务1416。在一些实施例中,管理平面1402利用根据工厂模型定义的微服务虚拟化环境。在结构级别上,托管环境包括服务器和计算设备。在一些实施例中,托管环境位于一个位置中,而在其他实施例中,托管环境跨各种位置分布。在其他实施例中,托管环境包括第三方基础设施供应商。在逻辑级别上,托管环境被分成多个工厂。工厂是由一个或多个虚拟处理器、虚拟存储器和虚拟存储组成的虚拟化平台。工厂允许微服务被商品化,通过这样各种各样的微服务可以被提供并且与其他微服务可交换地操作,包括来自第三方基础设施供应商。
在若干实施例中,配置微服务1408、底盘控制器1416、定标器1414、编译器1424和基础设施发现微服务1412与参考图13所示出和讨论的它们的类似命名的、类似编号的对应的微服务类似地操作。
如所示,数据路径平面1404的段微服务1432经由接口1428耦合至数据中心。如所示,数据路径平面1404包括微服务1434、1436、1438、1440和1442,其检查话务的不同方面并且关注不同威胁,并且其经由接口1444与背板1406通信。由数据路径服务检测的特定威胁对于本领域技术人员是已知的,因此此处未提供详尽列表。下面的表2详述网络安全系统中的数据路径微服务关心的安全威胁的示例。为了防御这些和其他潜在威胁,将安全策略加载到图14微服务中的每一个中。下面例如参考图18示出对安全策略的接收、转换、编译、和分配。此外,工作以支持策略更新云1430的一组专业人员根据最近标识的威胁签名、可疑TCP/IP 5-元组、恶意软件和威胁行为来提供对安全策略的更新。在实施例中,经更新的安全策略被编译器1424自动加载、被转换为共同网络安全系统语言、被编译为二进制文件、并且被分配给微服务,如例如下文参考图18所示出和描述的。下面在图25中示出升级微服务的现有安全策略而不使系统掉电。
表2.网络安全系统1400关心的安全威胁
如图15进一步所示,数据库1418(图14)存储数据以供微服务使用。在一个实施例中,数据库1418根据需要保存最近被使用和更新的安全策略以由微服务读取。在一些实施例中,数据库1418为一个或多个微服务维护状态信息,以在需要时使该微服务能从故障恢复并且重新建立其状态。在一些实施例中,数据库1418包括可搜索的数据库以保存和允许对从网络话务提取的对象的搜索。在实施例中,数据库1418使数据库条目与流程标识符相关联以使与同一流程有关的数据关联在一起。如本文所使用的,术语“流上下文”指代用于唯一地标识流程而不管其中包含的特性的附加字段。在实施例中,从该附加字段导出策略。数据库1418包括密钥-值存储1508,其在一个实施例中是用于保存密钥-值对的高性能的小数据库以保存用于经认证的微服务的标识符并且检测冒名顶替者。
图15示出根据一些实施例的用于支持微服务的多个不同数据库类型。对在特定情况下使用的特定数据库类型的选择根据数据库的期望速度和功能来选择。如所示,数据库1500包括SQL数据库1502、NoSQL数据库1504、可搜索数据库1506、和密钥-值存储1508。在一些实施例中,SQL数据库1502、NoSQL数据库1504和可搜索数据库1506保存由各种网络安全微服务使用的文件、中间数据、所提取的对象、或部分提取的对象。数据库的数量和类型不限于此;不同的实施例使用更多或更少的数据库。不同的实施例使用不同类型的数据库。
在实施例中,SQL数据库1502实现关系数据库管理系统(RDBMS)。
NoSQL数据库1504根据其特定性能或易于使用的特性被选择。在实施例中,NoSQL数据库1504提供密钥-值存储,由此,记录通过微服务检取记录数据所使用的密钥来索引。在一些实施例中,NoSQL数据库1504允许原子操作,诸如使计数器增加。根据实施例,NoSQL数据库1504包括还包含用于跟踪生成计数(数据修改)的元数据的记录,该元数据是在读取操作期间返回给微服务的数字并且可以用于确保被写入的数据自从上一次读取以来未被修改。在一些实施例中,NoSQL数据库1504包括负载平衡功能以在多个数据库实例上扩散数据库请求。
在实施例中,可搜索数据库1506对所提取的网络文件进行字符识别,从而允许在可搜索数据库中搜索这些网络文件。在一些实施例中,可搜索数据库1506使网络数据可用于被基本上实时地观察和分析。在实施例中,可搜索数据库1506是可缩放的并且可以自动地实例化附加的数据库节点以容纳增加的话务负载。在一些实施例中,可搜索数据库1506横向地缩放以在附加的计算资源变得可用时利用它们。在实施例中,可搜索数据库1506通过重新组织和重新平衡一个或多个其余的可用节点间的数据来对其硬件节点中的一个或多个的故障作出反应。
密钥-值存储1508维护密钥-值对,该密钥-值对提供对用于认证微服务并且检测冒名顶替者的标识符的快速访问。
在实施例中,数据库1502-1508中的任何一个或多个包括冗余以支持容错。在一些实施例中,数据库1502-1508中的任何一个或多个允许动态放大或缩小以满足性能要求。在实施例中,数据库1502-1508中的任何一个或多个被省略或未被使用。在一些实施例中,代替使用数据库1502-1508中的一个或多个,诸如寄存器堆、闪存、静态或动态RAM的存储器用于存储此类数据。正如其他微服务,数据库1502-1508由微服务组成并且根据微服务架构来实现和部署。
再次参考图14,在一个实施例中,信使1420接收并存储消息,包括来自编译器1424和底盘控制器1416的策略更新。在一个实施例中,感兴趣的微服务订阅以接收来自信使1420的消息,包括策略更新。在一些实施例中,资源组是通过有时被称为将资源组绑定到策略的过程来订阅策略的来自基础设施的一组对象。在一些实施例中,微服务池是具有一组共同策略和配置的一组微服务。进而,信使1420将策略更新公布给订阅的微服务。在一个实施例中,信使1420以有规律的时间间隔将策略更新公布给订阅的微服务。在一些实施例中,当从编译器1424接收到新的或经更新的策略时,信使1420将策略公布给订阅的微服务。在一些实施例中,代替订阅来自信使1420的公布,对策略更新感兴趣的微服务轮询信使1420、编译器1424、或数据库1502-1508中的一个或多个以检测更新的存在。对策略更新感兴趣的微服务包括例如,诸如TCP/IP微服务1434的数据路径微服务,其对接收包括标识威胁的TCP/IP 5-元组的策略更新感兴趣。在一个实施例中,基础设施发现微服务1412经由接口1426进行对数据中心的发现。在一个实施例中,基础设施发现微服务1412接收来自信使1420的新的安全策略,安全策略太新了以致用户或企业软件还没有机会启用它们。因此,基础设施发现微服务1412使得配置微服务1408经由连接1448向用户或向企业软件建议新的安全策略。在实施例中,发现微服务使得配置微服务1408建议用户更新任何策略更新。
图16是示出根据实施例的从管理平面发送至网络安全系统的微服务中的一个或多个的控制分组的框图。如本文所使用的,取决于策略可以改变微服务个性。例如,DPI微服务可以变成用于威胁检测、URL分类、或应用标识等等的引擎。如本文所使用的,应用行为概况定义由应用展现的典型行为,并且用于得到异常。如上文所示出和描述的,在一些实施例中,网络安全系统与数据中心集成。在此,网络安全系统与数据中心中的若干虚拟环境集成。具体而言,NetX代理1612A由VMware ESX管理程序1614A管理,SDN代理1612B由OpenStack KVM 1614B管理,WFP代理1612C由微软Hyper-V 1614C管理,NAT 1612D由亚马逊EC-2 1614D管理,ACI代理1612E由思科ACI 1614E管理,并且网络代理1612F由裸金属1614F管理。所示出的网络安全系统包括两个虚拟底盘1608和1609。在实施例中,管理平面1602与虚拟底盘1608和1609并且与数据中心的虚拟环境1614A-1614F交换控制分组。
根据实施例,网络安全系统提供各自被定制为与现有的虚拟和物理系统交互的段微服务。在此,专门设计的段微服务1610A与VMWare ESX 1614A和NetX代理1612A交互,专门设计的段微服务1610B被设计为与SDN 1612B和KVM 1614B交互,专门设计的段微服务1610C被设计为与WFP 1612C和Hyper-V 1614C交互,专门设计的段微服务1610D被设计为与NAT1612D和亚马逊EC-2 1614D交互,专门设计的段微服务1610E被设计为与ACI 1612E和思科ACI 1614E交互,并且专门设计的段微服务1610F被设计为与在裸金属1614F上运行的网络代理1612F交互。在操作中,如果网络安全系统被内联地部署,则专门设计的段微服务1610A-1610F中的每一个被配置为拦截分组、将它们路由通过数据路径微服务、并且然后将它们转发给对应的数据中心环境。如果以“仅复制”配置部署,则网络安全系统监视话务并且如果检测到或怀疑任何威胁则生成警告。
如所示,管理平面1602与虚拟底盘1 1608、虚拟底盘2 1609中的微服务中的至少一个以及数据中心环境1610A-F、1612A-F和1614A-F中的至少一个传递控制。因此,如果在配置期间网络安全系统的管理平面1602被启用为这样做,则其将控制消息发送至任何数据中心环境,甚至是在对管理平面1602的部署之前就位的数据中心环境。在操作中,在一些实施例中,被段微服务1610A-F拦截的话务被转发给虚拟底盘1 1608或虚拟底盘2 1609中的数据安全微服务。如果虚拟底盘1 1608或虚拟底盘2 1609检测到威胁,则其通知相关的数据中心环境。在这种场景下,在一些实施例中,管理平面1602将“停止”消息发送至相关的数据中心环境。在替代实施例中,在这种场景下,管理平面1602指示管理程序1614A-1614F中的一个或多个重启或重新启动其相关联的微服务。
图17是示出根据实施例的对威胁事件的网络安全系统响应的流程框图。如所示,指示为数字‘1’的安全威胁被虚拟底盘2 1709中的微服务检测到。威胁经由指示为数字‘1’的箭头被转移至事件结果大数据库1718并且存储在其中。威胁然后经由利用标签‘2’指示的箭头被转移至管理平面1702。管理平面1702进而检查其安全策略并且确定对所检测的威胁的响应是否经由标记为‘4’的箭头调用通知编排器1720以关闭和重新启动网络安全系统的一个或多个微服务。编排器1720通过经由标记为‘5’的箭头调用对1710A-F、1712A-F和1714A-F中的一个或多个微服务的关闭和重新启动来作出响应。在一些实施例中,管理平面1702通过经由标记为‘3’的箭头关闭、重新启动或者以其他方式修改1710A-F、1712A-F和1714A-F中的至少一个微服务以及虚拟底盘1 1708和虚拟底盘2 1709的微服务来对所检测的威胁作出响应。
图18是示出根据实施例的接收安全策略、将它们转换为安全语言、将它们编译为二进制文件、并且将它们加载到微服务中的流程图。如所示,网络安全系统接收新的或经更新的安全策略,包括ACL 1802(访问控制列表,TCP/IP基于N-元组的签名)、URL 1804(统一资源定位符)、AppID的1806(应用ID的)、IP表示1808(互联网协议表示)、文件表示1810(文件表示)、利用签名1812、和策略1814A。在一些实施例中,网络安全系统1800提供转换器1814B-1814G,其被定制以接收和转换具有不同消息格式的消息。转换器1814B-G将传入签名转换为SL编译器1818理解的共同语言,SL编译器1818将签名编译为微服务1828-1838理解的二进制或其他表示。在一些实施例中,一旦被编译,新的或经更新的签名被放置在诸如信使1420(图14)的信使中以供感兴趣的微服务消耗。在一些实施例中,SL编译器1818绕过诸如信使1420(图14)的信使并且将新的或经更新的策略直接公布给感兴趣的微服务。在一些实施例中,一旦被编译,新的或经更新的签名被放置在诸如数据库1418(图14)的数据库中。
图19是示出根据实施例的与第三方安全工具对接的网络安全系统的框图。如所示,网络安全系统包括管理平面1902、背板1906和数据路径平面1904。如所示,管理平面1902利用工厂1910,工厂1910包括基础设施发现微服务1912、定标器微服务1914、底盘控制器微服务1916、和数据库1918。在一些实施例中,工厂1910包括根据工厂模型定义的微服务虚拟化环境,如上文所描述的。管理平面1902还包括配置微服务1908,其在一些实施例中与如参考图14所示出和描述的配置微服务1408类似地运行。如所示,管理平面1902和数据路径平面1904包括接口1926和1928以与数据中心通信。
如所示,数据路径平面1904包括段微服务1932、TCP/IP微服务1934、SSL微服务1936、DPI微服务1938、NOX微服务1940、和DLP微服务1942。因为上文参考图14描述了这些微服务,所以此处将不重复它们的描述。图19示出第三方威胁智能工具1944、沙盒1946、和动态威胁智能1948。在实施例中,当DPI微服务1938、NOX微服务1940或DLP微服务1942中的任一个遇到文件类型、文件内容、签名、TCP/IP 5-元组特性、可疑的二进制文件、或可疑的代码序列时(但是对于任何安全策略是未知的),第三方威胁智能工具1944经由电子通信链路被这些微服务联系。在此类情况下,数据路径平面1904将数据转发给第三方威胁智能工具1944以用于分析。
在实施例中,第三方智能工具1944提供通信链路并且定义API,数据路径平面1904使用该API来与其通信。在一些实施例中,第三方威胁智能工具1944将所转发的数据与其已知的与第三方威胁智能工具1944已知的威胁相匹配的行为的模式进行比较。在实施例中,第三方威胁智能工具1944与全局网络的网络安全工具和服务相关联,其定期地与全局网络的网络安全工具和服务交换第三方威胁的知识。在所示的实施例中,第三方威胁智能工具1944实例化四个虚拟机以操作四个操作系统,并且那些虚拟机由管理程序管理。
进而,如果第三方威胁智能工具1944检测到并解决威胁,则其通知动态威胁智能1948新的安全策略以覆盖该新的威胁。在一个实施例中,动态威胁智能1948由接收更新并将它们公布给安全微服务的人工操纵的或自动的安全办公组成。在实施例中,动态威胁智能1948然后将经更新的安全策略转发给SL编译器1950,SL编译器1950在实施例中将策略馈送转换为共同语言、将它们编译为二进制文件、并且使它们被分配给微服务,如参考图18所描述的。
在一些实施例中,当DPI微服务1938、NOX微服务1940或DLP微服务1942遇到文件类型、签名、TCP/IP 5-元组特性、二进制文件、或可疑的代码序列时(但是对于任何安全策略是未知的),沙盒1946被联系。在这种场景下,可疑但是未知的数据和分组被转发给沙盒1946,其中未被测试的代码、或来自未被验证的第三方、供应商、不受信任的用户和不受信任的URL的不受信任的程序被测试。从沙盒1946了解的任何事情被馈送给动态威胁智能1948,并且然后被馈送给SL编译器1950,SL编译器1950在实施例中将策略馈送转换为共同语言、将它们编译为二进制文件、并且使它们被分配给微服务,如参考图18所描述的。
图20是示出根据实施例的将数据分组负载堆叠到微服务队列中的流程图。一些实施例执行基于上下文的负载堆叠,其指代用于在微服务之间分配负载的方法。所示的是段微服务2032、TCP/IP微服务的两个实例2034A-B、和DPI微服务的四个实例2036A-D。关注DPI数据队列2040A-D,每个DPI微服务具有包括用于保存数据的四个“桶”或“槽”的队列。全部16个桶被标记为2010。在实施例中,传入数据分组2012被负载堆叠到第一可用微服务队列中。如本文所使用的,负载堆叠指代在将分组装载到第二队列中之前将第一队列装载至阈值水平。负载堆叠具有最小化所使用的微服务的数量的益处,使得未被使用的微服务被掉电以节约功率。负载堆叠还具有拥有可用于支持放大微服务的基本上空的队列的益处。在一些实施例中,四个传入分组通过被均匀地扩散至全部四个微服务队列而被平衡,这是使网络安全系统能将就较低性能的微服务的负载平衡方法。
图21是示出根据实施例的系统内数据通信的框图。如所示,数据中心已经被分割为四个虚拟网络接口卡2104A-D,包括各种微服务2102、2104A-D、2106、2108、2110、2112、2114、2116、2118、2120、2122、2124、2126和2128。在实施例中,实施例中的虚拟线卡之间的通信不是直接的;通信首先去往背板2102,并且然后去往目的地线卡。图21示出三条通信路径:使用2106作为中介从VM1 2102到段微服务2108、使用2106作为中介从段微服务2108到DPI 2118、以及使用2106作为中介从DPI 2118到VM3 2112。在其他实施例中,从一个管理微服务到另一个的任何通信使用该相同的两步过程,使用背板2106作为中介。
图22是示出根据实施例的选择要安装的微服务以用于为数据中心提供网络安全的过程的流程图。如所示,在开始之后,在2202处,虚拟机(VM)被从互联网或从计算机可读介质下载,然后被安装和启动。在2204处,诸如工厂1410(图14)的工厂被实例化,诸如管理平面1402(图14)的管理平面、诸如背板1406(图14)的背板、以及诸如数据库微服务1418(图14)的数据库微服务也被实例化。在2204之后,微服务作为池被联系,而非单独地被联系。接下来,在2206处,诸如发现微服务1422(图14)的发现微服务连接到诸如数据中心830(图8)的数据中心并且进行发现。在该状态下的发现由标识用于安全服务的部署的候选的网络和服务器以及映射那些元件之间的连接性组成。在2208处,通过使用用户界面或接收来自企业软件的REST指令,期望的微服务由诸如配置微服务1408(图14)的配置微服务选择。在2210处,所选择的段微服务和各种数据路径微服务被实例化。在2211处,策略被编译并分配给密钥/值存储数据库。在2212处,微服务被自动地实例化和缩放,并且策略从最新的源被检取,最新的源诸如安装图像、产品网站或应用商店或其他位置。尽管在图22中未示出,当2212被执行以利用微服务的安全策略来配置微服务时,网络安全系统还更新密钥-值存储1508(图15)以安全地存储用于经加密的通信的所有密钥并且提供对这些密钥的快速访问。在2213处,威胁策略被配置微服务编译并且被分配给所有微服务。最后,在2214处,正常检查操作开始并继续。
在一个实施例中,在完成安装、配置和运行网络安全系统微服务的过程之后,编译器微服务1418(图14)定期地检查策略更新云1430以获取经更新的策略或新的微服务(图14)。在一些实施例中,策略更新云1430(图14)将新的策略或新的微服务推送至编译器微服务1418(图14)。在任一情况下,网络安全系统更新其微服务,如下文参考图25所示出和描述的。
图23是示出根据部署规范来安装和配置网络安全系统以为数据中心提供网络安全的过程的实施例的流程图。如本文所使用的,部署规范定义用于实例化微服务的参数(位置、数据存储、网络、等等)。在2302处,虚拟机被下载、被部署在管理程序上、被启动、并且其用户界面被访问。在2304处,将数据中心的虚拟化环境的凭证提供给VM。在2306处,诸如基础设施发现服务1312(图13)的基础设施发现微服务探索数据中心:并且标识网络、主机、VM和数据存储。由发现微服务1312(图13)发现的概况允许配置微服务1314(图13)建议部署选项并且配置微服务。如本文所使用的,对微服务的配置定义一组可变数据,该组可变数据独立于策略而定义微服务行为。所建议的部署选项还包括任何可用的新的安全策略和可用的微服务类型。在2308处,创建微服务部署规范,包括指定在何处部署以及部署多少微服务。在实施例中,微服务部署规范被传达给用户界面或企业软件,用户界面或企业软件确认规范并且接受所建议的微服务升级。用户或企业软件控制部署规范,包括对在何处部署以及部署多少微服务实施限制。在2310处,安全组被创建并且与安全策略相关联。在2312处,微服务被自动缩放。然后微服务开始保护并导出安全结果。在2314处,结果被生成和提供,并且利用可定制的响应作出响应。
图24是示出根据实施例的处理通过网络安全系统的数据流的过程的流程图。在2402处,网络安全系统检测到数据中心中的VM从外部被关闭,然后被登录。在实施例中,通过使用社会工程,外部黑客找到登录数据中心的虚拟机管理器的方法。在2404处,检测SSH话务(即安全外壳命令得到对数据中心内部的资源的访问)。在2406处,对恶意二进制文件的下载或创建、或甚至创建要被编译为恶意二进制文件的源代码被检测。在2408处,使用二进制文件以对其他VM主机进行扫描的侦察(参见上面的表2)被检测。类似地,在2410处,寻找其他可用主机的主机扫描被检测。这种主机扫描对于网络安全系统是可见的,网络安全系统与数据中心集成,但是在数据中心外部是不可见的。在2412处,检测到攻击,攻击试图将恶意二进制文件横向地移动到其他可用的VM中。由于网络安全系统已经看见2408处的侦察,所以人(黑客)正在寻找另一可用的VM是已知的。在2414处,阻止攻击和相关联的横向移动,并且生成报告,因为其之前未被看见。此外,通过观察在VM之间反弹的未知的二进制文件,检测到零日攻击。如所示,在2402、2404、2406、2408、2410和2412处网络安全系统检测到可疑事件。然而,在一些实施例中,如果检测到那些事件的子集,则采取响应措施。这是零日攻击。
图25是示出根据实施例的在运行时期间升级微服务安全策略而不使网络安全系统掉电的过程的流程图。在2502处,编译器(示出为图19中的元件1950)检测并下载新的微服务。在2504处,发现微服务告诉编排器使其实例化。在2506处,将新的微服务安装到消费者的数据中心中。在2508处,安全策略被检取并应用于新的微服务,其然后准备好用于话务。在2510处,底盘控制器1416(图14)将前导微服务引导至新的微服务。例如,当安装新的TCP/IP微服务时,前导是段微服务。作为进一步的示例,如果安装新的SSL微服务,则前导是TCP/IP微服务。在2512处,底盘控制器告诉旧的微服务保存其状态并且告诉新的微服务捡起该状态。在2514处,前导微服务调节其负载堆叠算法以将分组转发给新的微服务。新的微服务继续接收话务,而旧的微服务接收的越来越少。结果,微服务被升级而不影响且甚至不牵涉其余的微服务。这还允许特定微服务被升级而不使系统掉电。
图26是示出根据实施例的根据负载条件动态地放大微服务而不使网络安全系统掉电的过程的流程图。在2602处,微服务监视其自己的负载并且将其报告给定标器微服务。在一个实施例中,微服务的负载反映从前导微服务接收的分组的数量。在一些实施例中,微服务的负载反映微服务内的数据队列的当前深度。在2604处,定标器微服务监视每个微服务的负载并且将其与阈值进行比较。在2606处,如果超过阈值,则定标器微服务1414(图14)为新的微服务标识最佳位置。在实施例中,为新的微服务标识最佳位置考虑其他相关或不相关的微服务上的负载、数据路径平面或作为整体的网络安全系统的吞吐量、分组行进通过数据路径平面的等待时间、以及特征或资源的可用性。当决定是否安装以及在何处安装新的微服务时,例如在框2208处(图22)在配置期间由用户或由企业软件提供的服务质量要求被考虑。在一个实施例中,定标器1414(图14)应用“缓慢的”策略,从而需要更多支持以实例化新的微服务。例如,在应用“缓慢的”策略时,在实例化新的微服务之前,定标器1414(图14)需要最小数量的高度负载的微服务、或最小持续时间的过载的状况、或潜在的瓶颈、或暗示对附加微服务的需要的其他证据。在一些实施例中,定标器1414(图14)应用“活跃的”策略,从而自由地实例化附加微服务并且利用朝向实例化附加微服务的倾向来分析微结构的负载统计信息。在2608处,如果定标器1414确定需要新的微服务实例,则其告诉基础设施发现微服务1412(图14)实例化新的微服务实例。在2610处,基础设施发现微服务1412(图14)通知虚拟化环境新的微服务。如本文所使用的,虚拟化环境在被保护的数据中心的消费者侧上管理对微服务的实例化和部署。在2612处,种子配置数据被准备好供新的微服务使用,使得新的微服务将知道使用什么数据总线和哪个数据库。在2614处,新的微服务出现并且利用种子数据来配置其本身。在2616处,控制被转移至图25的2508。
图27是示出根据实施例的与网络安全系统本地地或远程地交互的过程的流程图。如所示,过程2700尝试与网络安全系统对接的三种不同方法。在2702处,检查用户界面的存在,用户界面是消费者与其交互的本地UI。在2704处,用户将选择输入至UI,选择通过使用REST API被传达,并且传达到API网关并且随后到其他微服务。在2706处,与REST API交谈的OSS(操作支持系统)或BSS(业务支持系统)软件的存在被确定。在2708处,OSS/BSS软件使用REST通信来将期望的配置传递给REST API、然后API网关、然后其他微服务。在2710处,命令线接口(CLI)的存在被确定。在2712处,CLI命令被准备并且传递给REST API、然后API网关、然后其他微服务。
在上述说明书中,已经公开了具体的示例性实施例。然而,将明显的是,可以在不脱离于如所附权利要求中阐述的本发明的更宽的精神和范围的情况下对其做出各种修改和改变。因此,说明书和附图应被认为是说明性而非限制性意义。
虽然本文所公开的一些实施例在硬件执行单元以及逻辑电路的上下文中涉及数据处置和分配,但是其他实施例可以通过存储在非暂态机器可读有形介质上的数据或指令来实现,这些数据或指令当由机器执行时,使机器执行符合至少一个实施例的功能。在一个实施例中,在机器可执行指令中将与本公开的实施例相关联的功能具体化。指令可以用来使利用指令编程的通用或专用的处理器来执行至少一个实施例的步骤。本发明的实施例可以作为计算机程序产品或软件来提供,该计算机程序产品或软件可以包括在其上存储了指令的机器或计算机可读介质,所述指令可以用于编程计算机(或其他电子器件)以执行根据至少一个实施例的一个或多个操作。替代地,实施例的步骤可以由包含用于执行所述步骤的固定功能逻辑的特定硬件组件或者由经编程的计算机组件与固定功能硬件组件的任何组合来执行。
用于编程电路以执行至少一个实施例的指令可以存储在系统中的存储器内,诸如DRAM、高速缓存、闪存、或其他存储装置。此外,指令可以经由网络或借助于其他计算机可读介质被分配。因此,计算机可读介质可以包括用于存储或传输以机器(例如,计算机)可读的形式的信息的任何机制,但是不限于软盘、光盘、紧致盘只读存储器(CD-ROM)和磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁卡或光卡、闪存、或用于经由电、光、声、或其他形式的传播信号(例如,载波、红外信号、数字信号等)在互联网上传输信息的有形机器可读存储装置。因此,非暂态计算机可读介质包括适用于存储或传输以机器(例如,计算机)可读形式的电子指令或信息的任何类型的有形机器可读介质。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行以下操作中的一个或多个:创建第一层级结构的新的微服务,配置新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性,配置新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性,以及将第三较低级别层级结构的微服务配置为将新的微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,新的微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,新的和现有的微服务通过背板通信。在一些实施例中,新的微服务被配置为使用数据平面。在一些实施例中,在创建新的微服务之前,存在与新的微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括用于执行指令的硬件处理器和用于存储指令的存储器中的一个或多个,该指令当被硬件处理器执行时使方法被执行,该方法包括:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,禁用第一微服务与第二层级结构的微服务之间的数据平面连接性,以及终止第一微服务。在一些实施例中,第一微服务由现有的微服务终止。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务和现有的微服务通过背板通信。在一些实施例中,在对第一微服务的终止期间,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行以下操作中的一个或多个:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,将第一微服务移动至另一个服务器,配置对第一微服务的数据平面连接性以反映服务器的变化,以及将第二层级结构的微服务配置为将第一微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,第一微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务与第二较低级别层级结构的微服务通过背板通信。在一些实施例中,第一微服务被配置为使用数据平面。在一些实施例中,在将第一微服务移动至另一个服务器之前,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行以下操作中的一个或多个:创建第一层级结构的新的微服务,配置新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性,配置新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性,以及将第三级别的层级结构的微服务配置为将新的微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,新的微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,新的微服务和现有的微服务通过背板通信。在一些实施例中,新的微服务被配置为使用数据平面。在一些实施例中,在创建新的微服务之前,存在与新的微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行以下操作中的一个或多个:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,禁用第一微服务与第二层级结构的微服务之间的数据平面连接性,以及终止第一微服务。在一些实施例中,第一微服务由现有的微服务终止。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务和现有的微服务通过背板通信。在一些实施例中,在对第一微服务的终止期间,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行以下操作中的一个或多个:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,将第一微服务移动至另一个服务器,配置对第一微服务的数据平面连接性以反映服务器的变化,以及将第二层级结构的微服务配置为将第一微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,第一微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务与第二较低级别层级结构的微服务通过背板通信。在一些实施例中,第一微服务被配置为使用数据平面。在一些实施例中,在将第一微服务移动至另一个服务器之前,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括被管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行包含在非暂态计算机可读介质上的计算机可执行指令以使处理器执行以下操作中的一个或多个:创建第一层级结构的新的微服务,配置新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性,配置新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性,以及将第三级别的层级结构的微服务配置为将新的微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,新的微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,新的微服务和现有的微服务通过背板通信。在一些实施例中,新的微服务被配置为使用数据平面。在一些实施例中,在创建新的微服务之前,存在与新的微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括由处理器管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行包含在非暂态计算机可读介质上的计算机可执行指令以使处理器执行以下操作中的一个或多个:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,禁用第一微服务与第二层级结构的微服务之间的数据平面连接性,以及终止第一微服务。在一些实施例中,第一微服务由现有的微服务终止。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务和现有的微服务通过背板通信。在一些实施例中,在对第一微服务的终止期间,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括由处理器管理的网络。
在一些实施例中,描述了系统、装置、计算机实现的方法,其包括执行包含在非暂态计算机可读介质上的计算机可执行指令以使处理器执行以下操作中的一个或多个:选择第一层级结构的第一微服务,将第二较低级别层级结构的微服务配置为从对第一层级结构的负载平衡决定移除第一微服务,将第一微服务移动至另一个服务器,配置对第一微服务的数据平面连接性以反映服务器的变化,以及将第二层级结构的微服务配置为将第一微服务包括在对第一层级结构的负载平衡决定中。在一些实施例中,第一微服务由现有的微服务创建。在一些实施例中,现有的微服务是配置微服务。在一些实施例中,第一微服务与第二较低级别层级结构的微服务通过背板通信。在一些实施例中,第一微服务被配置为使用数据平面。在一些实施例中,在将第一微服务移动至另一个服务器之前,存在与第一微服务的层级结构级别相同的微服务。在一些实施例中,负载平衡决定利用来自比第一层级结构更高级别的层级结构的微服务的信息。在一些实施例中,数据平面连接性通过背板上的通信被配置。在一些实施例中,背板和数据平面包括由处理器管理的网络。
Claims (20)
1.一种计算机实现的方法,包括:
创建第一层级结构的新的微服务;
配置所述新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性;
配置所述新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性;以及
将所述第三较低级别层级结构的微服务配置为将所述新的微服务包括在对所述第一层级结构的负载平衡决定中。
2.如权利要求1所述的计算机实现的方法,其特征在于,所述新的微服务由现有的微服务创建。
3.如权利要求2所述的计算机实现的方法,其特征在于,所述现有的微服务是配置微服务。
4.如权利要求2所述的计算机实现的方法,其特征在于,所述新的微服务和所述现有的微服务通过背板通信。
5.如权利要求2所述的计算机实现的方法,其特征在于,所述新的微服务被配置为使用所述数据平面。
6.如权利要求5所述的计算机实现的方法,其特征在于,在创建所述新的微服务之前,存在与所述新的微服务的层级结构级别相同的微服务。
7.如权利要求1所述的计算机实现的方法,其特征在于,所述负载平衡决定利用来自比所述第一层级结构更高级别的层级结构的微服务的信息。
8.如权利要求1所述的计算机实现的方法,其特征在于,数据平面连接性通过背板上的通信被配置。
9.如权利要求1所述的计算机实现的方法,其特征在于,背板和数据平面包括被管理的网络。
10.一种存储指令的非暂态计算机可读介质,所述指令当被硬件处理器执行时使所述处理器执行方法,所述方法包括:
创建第一层级结构的新的微服务;
配置所述新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性;
配置所述新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性;以及
将所述第三较低级别层级结构的微服务配置为将所述新的微服务包括在对所述第一层级结构的负载平衡决定中。
11.如权利要求10所述的非暂态计算机可读介质,其特征在于,所述新的微服务由现有的微服务创建。
12.如权利要求11所述的非暂态计算机可读介质,其特征在于,所述现有的微服务是配置微服务。
13.如权利要求11所述的非暂态计算机可读介质,其特征在于,所述新的微服务和所述现有的微服务通过背板通信。
14.如权利要求11所述的非暂态计算机可读介质,其特征在于,所述新的微服务被配置为使用所述数据平面。
15.如权利要求14所述的非暂态计算机可读介质,其特征在于,在创建所述新的微服务之前,存在与所述新的微服务的层级结构级别相同的微服务。
16.如权利要求10所述的非暂态计算机可读介质,其特征在于,所述负载平衡决定利用来自比所述第一层级结构更高级别的层级结构的微服务的信息。
17.如权利要求10所述的非暂态计算机可读介质,其特征在于,数据平面连接性通过背板上的通信被配置。
18.一种装置,包括:
硬件处理器,用于执行指令;以及
与所述处理器耦合的存储器,所述存储器用于存储指令,所述指令当被所述处理器执行时使得:
创建第一层级结构的新的微服务;
配置所述新的微服务与第二较高级别层级结构的微服务之间的数据平面连接性;
配置所述新的微服务与第三较低级别层级结构的微服务之间的数据平面连接性;以及
将所述第三较低级别层级结构的微服务配置为将所述新的微服务包括在对所述第一层级结构的负载平衡决定中。
19.如权利要求18所述的装置,其特征在于,所述微服务通过虚拟背板通信。
20.如权利要求18所述的装置,其特征在于,所述负载平衡决定利用来自比所述第一层级结构更高级别的层级结构的微服务的信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/182,573 US9716617B1 (en) | 2016-06-14 | 2016-06-14 | Dynamic, load-based, auto-scaling network security microservices architecture |
| US15/182,573 | 2016-06-14 | ||
| PCT/US2016/058512 WO2017218029A1 (en) | 2016-06-14 | 2016-10-24 | Dynamic, load-based, auto-scaling network security microservices architecture |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109716729A true CN109716729A (zh) | 2019-05-03 |
| CN109716729B CN109716729B (zh) | 2021-10-01 |
Family
ID=57286819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680086793.0A Active CN109716729B (zh) | 2016-06-14 | 2016-10-24 | 动态的基于负载的自动缩放网络安全微服务方法及装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9716617B1 (zh) |
| EP (1) | EP3469781B1 (zh) |
| JP (1) | JP2019523949A (zh) |
| KR (1) | KR102569766B1 (zh) |
| CN (1) | CN109716729B (zh) |
| WO (1) | WO2017218029A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110244943A (zh) * | 2019-05-08 | 2019-09-17 | 武汉宏途科技有限公司 | 基于web和移动端的图形化业务设计方法、系统及软件存储器 |
| CN110474797A (zh) * | 2019-07-25 | 2019-11-19 | 北京旷视科技有限公司 | Api业务系统、主备切换的方法及装置 |
| CN111245925A (zh) * | 2020-01-09 | 2020-06-05 | 北京理工大学 | 一种用于现代分布式微服务架构的通信方法与系统 |
| CN111897641A (zh) * | 2020-08-03 | 2020-11-06 | 海信电子科技(武汉)有限公司 | 微服务监控调度方法及显示设备 |
| WO2021044296A1 (en) * | 2019-09-06 | 2021-03-11 | International Business Machines Corporation | Deploying microservices across a service infrastructure |
| CN113190327A (zh) * | 2021-04-30 | 2021-07-30 | 平安证券股份有限公司 | 微服务部署方法、装置、设备及存储介质 |
| CN115208748A (zh) * | 2021-04-13 | 2022-10-18 | 瞻博网络公司 | 用于网络设备配置会话管理的网络控制器水平缩放 |
| WO2023087679A1 (zh) * | 2021-11-22 | 2023-05-25 | 深圳前海微众银行股份有限公司 | 一种基于微服务的路由方法、装置、设备及存储介质 |
Families Citing this family (112)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
| US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
| GB201915196D0 (en) | 2014-12-18 | 2019-12-04 | Sophos Ltd | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
| US11283697B1 (en) | 2015-03-24 | 2022-03-22 | Vmware, Inc. | Scalable real time metrics management |
| US20160359906A1 (en) * | 2015-06-02 | 2016-12-08 | Vmware, Inc. | Automatic security hardening of an entity |
| US9787641B2 (en) | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
| US10594562B1 (en) | 2015-08-25 | 2020-03-17 | Vmware, Inc. | Intelligent autoscale of services |
| US10212041B1 (en) * | 2016-03-04 | 2019-02-19 | Avi Networks | Traffic pattern detection and presentation in container-based cloud computing architecture |
| US10931548B1 (en) | 2016-03-28 | 2021-02-23 | Vmware, Inc. | Collecting health monitoring data pertaining to an application from a selected set of service engines |
| US10484331B1 (en) * | 2016-06-28 | 2019-11-19 | Amazon Technologies, Inc. | Security appliance provisioning |
| US10833969B2 (en) * | 2016-07-22 | 2020-11-10 | Intel Corporation | Methods and apparatus for composite node malleability for disaggregated architectures |
| US10313362B2 (en) | 2016-07-29 | 2019-06-04 | ShieldX Networks, Inc. | Systems and methods for real-time configurable load determination |
| US10142356B2 (en) | 2016-07-29 | 2018-11-27 | ShieldX Networks, Inc. | Channel data encapsulation system and method for use with client-server data channels |
| US10516672B2 (en) * | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| US10735394B2 (en) * | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
| US11349852B2 (en) * | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| US10178045B2 (en) * | 2016-09-07 | 2019-01-08 | Sap Se | Dynamic discovery and management of microservices for multi-cluster computing platforms |
| US10489275B2 (en) * | 2016-10-20 | 2019-11-26 | Cisco Technology, Inc. | Agentless distributed monitoring of microservices through a virtual switch |
| US10691795B2 (en) * | 2016-10-24 | 2020-06-23 | Certis Cisco Security Pte Ltd | Quantitative unified analytic neural networks |
| US11018970B2 (en) | 2016-10-31 | 2021-05-25 | Nicira, Inc. | Monitoring resource consumption for distributed services |
| US10298619B2 (en) * | 2016-12-16 | 2019-05-21 | Nicira, Inc. | Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications |
| US10567440B2 (en) | 2016-12-16 | 2020-02-18 | Nicira, Inc. | Providing application visibility for micro-segmentation of a network deployment |
| US11258681B2 (en) | 2016-12-16 | 2022-02-22 | Nicira, Inc. | Application assessment and visibility for micro-segmentation of a network deployment |
| US10223109B2 (en) * | 2016-12-22 | 2019-03-05 | Juniper Networks, Inc. | Automatic scaling of microservices applications |
| CN106533804A (zh) * | 2016-12-22 | 2017-03-22 | 成都西加云杉科技有限公司 | 一种网络运营支撑系统 |
| US10078552B2 (en) * | 2016-12-29 | 2018-09-18 | Western Digital Technologies, Inc. | Hierarchic storage policy for distributed object storage systems |
| US10013550B1 (en) * | 2016-12-30 | 2018-07-03 | ShieldX Networks, Inc. | Systems and methods for adding microservices into existing system environments |
| US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
| US10172043B2 (en) * | 2017-02-02 | 2019-01-01 | International Business Machines Corporation | Cognitive reliability engine for smooth handoff in phone-hosted microservices |
| US10411973B2 (en) * | 2017-03-20 | 2019-09-10 | Red Hat, Inc. | Automatic microservice problem detection in enterprise applications |
| US10659496B2 (en) * | 2017-03-28 | 2020-05-19 | ShieldX Networks, Inc. | Insertion and configuration of interface microservices based on security policy changes |
| US11171842B2 (en) * | 2019-09-05 | 2021-11-09 | Kong Inc. | Microservices application network control plane |
| US11582291B2 (en) | 2017-07-28 | 2023-02-14 | Kong Inc. | Auto-documentation for application program interfaces based on network requests and responses |
| US10769274B2 (en) | 2017-08-15 | 2020-09-08 | Sap Se | Security in microservice architectures |
| US10528450B2 (en) | 2017-08-15 | 2020-01-07 | Sap Se | Predicting defects in software systems hosted in cloud infrastructures |
| US10645153B2 (en) * | 2017-08-15 | 2020-05-05 | Sap Se | Modeling session states in microservices on cloud infrastructures |
| CN114884738A (zh) * | 2017-11-17 | 2022-08-09 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| US10742673B2 (en) | 2017-12-08 | 2020-08-11 | Nicira, Inc. | Tracking the dynamics of application-centric clusters in a virtualized datacenter |
| US10554675B2 (en) * | 2017-12-21 | 2020-02-04 | International Business Machines Corporation | Microservice integration fabrics network intrusion detection and prevention service capabilities |
| CN108418862B (zh) * | 2018-01-31 | 2021-01-22 | 金蝶软件(中国)有限公司 | 基于人工智能服务云平台的微服务管理方法和系统 |
| US20190268353A1 (en) * | 2018-02-23 | 2019-08-29 | ShieldX Networks, Inc. | Systems and methods for preventing malicious network traffic from accessing trusted network resources |
| US11296960B2 (en) | 2018-03-08 | 2022-04-05 | Nicira, Inc. | Monitoring distributed applications |
| US10911493B2 (en) * | 2018-03-14 | 2021-02-02 | ShieldX Networks, Inc. | Identifying communication paths between servers for securing network communications |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US20190303187A1 (en) * | 2018-03-29 | 2019-10-03 | The United States Of America As Represented By The Secretary Of The Navy | Methods, devices, and systems for distributing software to and deploying software in a target environment |
| US10855794B2 (en) | 2018-04-12 | 2020-12-01 | Pearson Management Services Limited | Systems and method for automated package-data asset generation |
| US11062315B2 (en) | 2018-04-25 | 2021-07-13 | At&T Intellectual Property I, L.P. | Fraud as a service |
| US10896084B2 (en) * | 2018-05-02 | 2021-01-19 | International Business Machines Corporation | Isolating service issues in a microservice architecture |
| US10999168B1 (en) | 2018-05-30 | 2021-05-04 | Vmware, Inc. | User defined custom metrics |
| US11216516B2 (en) * | 2018-06-08 | 2022-01-04 | At&T Intellectual Property I, L.P. | Method and system for scalable search using microservice and cloud based search with records indexes |
| CN108712309B (zh) * | 2018-06-11 | 2022-03-25 | 郑州云海信息技术有限公司 | 一种微服务架构下的微服务节点防护方法和系统 |
| US10764266B2 (en) | 2018-06-19 | 2020-09-01 | Cisco Technology, Inc. | Distributed authentication and authorization for rapid scaling of containerized services |
| WO2020015838A1 (en) * | 2018-07-20 | 2020-01-23 | Nokia Solutions And Networks Oy | Zero trust perimeterization for microservices |
| US10860339B2 (en) | 2018-08-03 | 2020-12-08 | Dell Products L.P. | Autonomous creation of new microservices and modification of existing microservices |
| US10673708B2 (en) | 2018-10-12 | 2020-06-02 | International Business Machines Corporation | Auto tuner for cloud micro services embeddings |
| US11140093B2 (en) | 2018-10-22 | 2021-10-05 | Microsoft Technology Licensing, Llc | Distributed database-driven resource management and locking in a cloud native mobile core network node architecture |
| US11044180B2 (en) | 2018-10-26 | 2021-06-22 | Vmware, Inc. | Collecting samples hierarchically in a datacenter |
| US11134059B2 (en) | 2018-12-04 | 2021-09-28 | Cisco Technology, Inc. | Micro-firewalls in a microservice mesh environment |
| US20200186433A1 (en) * | 2018-12-05 | 2020-06-11 | At&T Intellectual Property I, L.P. | Adaptive coordinator system |
| US11121943B2 (en) * | 2018-12-13 | 2021-09-14 | Sap Se | Amplifying scaling elasticity of microservice meshes |
| US10911332B2 (en) | 2018-12-17 | 2021-02-02 | Cisco Technology, Inc. | Time sensitive networking in a microservice environment |
| US11120148B2 (en) * | 2019-01-10 | 2021-09-14 | Fortinet, Inc. | Dynamically applying application security settings and policies based on workload properties |
| RU2724796C1 (ru) * | 2019-02-07 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ защиты автоматизированных систем при помощи шлюза |
| RU2746105C2 (ru) | 2019-02-07 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ конфигурирования шлюза для защиты автоматизированных систем |
| US11636198B1 (en) * | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
| EP3745761A1 (en) | 2019-05-28 | 2020-12-02 | Samsung Electronics Co., Ltd. | Virtualization of ran functions based on load of the base stations |
| US11582120B2 (en) | 2019-05-30 | 2023-02-14 | Vmware, Inc. | Partitioning health monitoring in a global server load balancing system |
| US11700233B2 (en) * | 2019-06-04 | 2023-07-11 | Arbor Networks, Inc. | Network monitoring with differentiated treatment of authenticated network traffic |
| US11240345B2 (en) | 2019-06-19 | 2022-02-01 | Hewlett Packard Enterprise Development Lp | Method for deploying an application workload on a cluster |
| US11057271B2 (en) * | 2019-06-20 | 2021-07-06 | Citrix Systems, Inc. | Systems and method updating ADC configuration with intended state using desired state API |
| US11436075B2 (en) | 2019-07-23 | 2022-09-06 | Vmware, Inc. | Offloading anomaly detection from server to host |
| US10911335B1 (en) | 2019-07-23 | 2021-02-02 | Vmware, Inc. | Anomaly detection on groups of flows |
| US11176157B2 (en) | 2019-07-23 | 2021-11-16 | Vmware, Inc. | Using keys to aggregate flows at appliance |
| US11398987B2 (en) | 2019-07-23 | 2022-07-26 | Vmware, Inc. | Host-based flow aggregation |
| US11340931B2 (en) | 2019-07-23 | 2022-05-24 | Vmware, Inc. | Recommendation generation based on selection of selectable elements of visual representation |
| US11188570B2 (en) | 2019-07-23 | 2021-11-30 | Vmware, Inc. | Using keys to aggregate flow attributes at host |
| US11140090B2 (en) | 2019-07-23 | 2021-10-05 | Vmware, Inc. | Analyzing flow group attributes using configuration tags |
| US11349876B2 (en) | 2019-07-23 | 2022-05-31 | Vmware, Inc. | Security policy recommendation generation |
| US11288256B2 (en) | 2019-07-23 | 2022-03-29 | Vmware, Inc. | Dynamically providing keys to host for flow aggregation |
| US11743135B2 (en) | 2019-07-23 | 2023-08-29 | Vmware, Inc. | Presenting data regarding grouped flows |
| US11405280B2 (en) | 2019-07-24 | 2022-08-02 | Cisco Technology, Inc. | AI-driven capacity forecasting and planning for microservices apps |
| US11595272B2 (en) | 2019-09-05 | 2023-02-28 | Kong Inc. | Microservices application network control plane |
| US11363441B2 (en) | 2019-09-24 | 2022-06-14 | At&T Intellectual Property I, L.P. | Facilitating mobility as a service in fifth generation (5G) or other advanced networks |
| US20210112081A1 (en) * | 2019-10-15 | 2021-04-15 | ShieldX Networks, Inc. | Resolving the disparate impact of security exploits to resources within a resource group |
| US11159990B2 (en) | 2019-10-29 | 2021-10-26 | At&T Intellectual Property I, L.P. | Microservices coordinator for 5G or other next generation network |
| US11599283B2 (en) | 2019-10-29 | 2023-03-07 | Western Digital Technologies, Inc. | Power reduction in distributed storage systems |
| US11038763B1 (en) | 2019-12-02 | 2021-06-15 | At&T Intellectual Property I, L.P. | Intelligent policy control engine for 5G or other next generation network |
| CN111225030B (zh) * | 2019-12-16 | 2023-01-10 | 航天信息股份有限公司 | 一种基于信任评估策略对微服务进行选择的方法及系统 |
| US11588854B2 (en) | 2019-12-19 | 2023-02-21 | Vmware, Inc. | User interface for defining security groups |
| US11321213B2 (en) | 2020-01-16 | 2022-05-03 | Vmware, Inc. | Correlation key used to correlate flow and con text data |
| WO2021171389A1 (ja) * | 2020-02-26 | 2021-09-02 | 日本電信電話株式会社 | サービス提供システム、サービス提供方法、マスターノード、および、プログラム |
| CN111464592B (zh) * | 2020-03-09 | 2023-07-25 | 平安科技(深圳)有限公司 | 基于微服务的负载均衡方法、装置、设备及存储介质 |
| CN111600930B (zh) * | 2020-04-09 | 2022-12-09 | 网宿科技股份有限公司 | 微服务请求的流量管理方法、装置、服务器及存储介质 |
| US11032160B1 (en) * | 2020-07-31 | 2021-06-08 | Boomi, Inc. | Serverless elastic scale API gateway management system and method of an API service control plane system |
| US11153227B1 (en) * | 2020-08-05 | 2021-10-19 | International Business Machines Corporation | Managing communication between microservices |
| CN114363233B (zh) * | 2020-10-12 | 2023-12-22 | 网联清算有限公司 | 一种分组路由方法、装置、电子设备及存储介质 |
| CN112799724B (zh) * | 2021-01-12 | 2023-11-28 | 许继集团有限公司 | 一种稳定控制装置策略表解析计算方法及装置 |
| US11223522B1 (en) * | 2021-01-15 | 2022-01-11 | Dell Products L.P. | Context-based intelligent re-initiation of microservices |
| US11785032B2 (en) | 2021-01-22 | 2023-10-10 | Vmware, Inc. | Security threat detection based on network flow analysis |
| US11526617B2 (en) | 2021-03-24 | 2022-12-13 | Bank Of America Corporation | Information security system for identifying security threats in deployed software package |
| US11811861B2 (en) | 2021-05-17 | 2023-11-07 | Vmware, Inc. | Dynamically updating load balancing criteria |
| US11799824B2 (en) | 2021-06-14 | 2023-10-24 | Vmware, Inc. | Method and apparatus for enhanced client persistence in multi-site GSLB deployments |
| US11693766B2 (en) * | 2021-06-15 | 2023-07-04 | International Business Machines Corporation | Resource allocation in microservice architectures |
| US11831667B2 (en) | 2021-07-09 | 2023-11-28 | Vmware, Inc. | Identification of time-ordered sets of connections to identify threats to a datacenter |
| US11792151B2 (en) | 2021-10-21 | 2023-10-17 | Vmware, Inc. | Detection of threats based on responses to name resolution requests |
| CN114296925A (zh) * | 2021-12-29 | 2022-04-08 | 武汉思普崚技术有限公司 | 一种基于微服务架构的文件类型识别系统及方法 |
| US11799887B2 (en) * | 2022-01-11 | 2023-10-24 | Expel, Inc. | Systems and methods for intelligently generating cybersecurity contextual intelligence and generating a cybersecurity intelligence interface |
| WO2023136755A1 (en) * | 2022-01-13 | 2023-07-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for tailored data monitoring of microservice executions in mobile edge clouds |
| CN114866614A (zh) * | 2022-05-05 | 2022-08-05 | 浙江工业大学 | 基于网络环境和服务器负载的服务自适应弹性调整的方法 |
| CN115208738B (zh) * | 2022-06-07 | 2023-06-27 | 珠海金智维信息科技有限公司 | 基于微服务架构的rpa升级系统、方法和装置 |
| CN115049269A (zh) * | 2022-06-20 | 2022-09-13 | 华润水泥技术研发有限公司 | 一种应用于建材行业的客户信用管理系统 |
| US20240121321A1 (en) * | 2022-10-05 | 2024-04-11 | Hong Kong Applied Science and Technology Research Institute Company Limited | Method and apparatus for removing stale context in service instances in providing microservices |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299437A1 (en) * | 2009-05-22 | 2010-11-25 | Comcast Interactive Media, Llc | Web Service System and Method |
| CN104025063A (zh) * | 2012-08-24 | 2014-09-03 | 英特尔公司 | 用于共享网络接口控制器的方法和装置 |
| CN105162884A (zh) * | 2015-09-25 | 2015-12-16 | 浪潮(北京)电子信息产业有限公司 | 一种基于微服务架构的云管理平台 |
| US20160094384A1 (en) * | 2014-09-30 | 2016-03-31 | Nicira, Inc. | Controller Driven Reconfiguration of a Multi-Layered Application or Service Model |
| CN105493046A (zh) * | 2013-09-28 | 2016-04-13 | 迈克菲股份有限公司 | 面向服务的架构 |
| CN105577780A (zh) * | 2015-12-21 | 2016-05-11 | 武汉理工大学 | 一种基于微服务的高校教学云平台 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9749428B2 (en) * | 2014-10-21 | 2017-08-29 | Twilio, Inc. | System and method for providing a network discovery service platform |
| US10230571B2 (en) * | 2014-10-30 | 2019-03-12 | Equinix, Inc. | Microservice-based application development framework |
| US9917746B2 (en) * | 2014-11-04 | 2018-03-13 | Futurewei Technologies, Inc. | Adaptive allocation of server resources |
| US9467476B1 (en) * | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| CN107667517B (zh) * | 2015-06-03 | 2021-03-19 | 瑞典爱立信有限公司 | 用于能够实现第二容器上的反向代理的在第一服务容器内的被植入代理器 |
| US10255413B2 (en) * | 2016-02-04 | 2019-04-09 | International Business Machines Corporation | Microservices inter-operational trust management |
-
2016
- 2016-06-14 US US15/182,573 patent/US9716617B1/en active Active
- 2016-06-27 US US15/194,561 patent/US10148504B2/en active Active
- 2016-10-24 JP JP2018566206A patent/JP2019523949A/ja active Pending
- 2016-10-24 EP EP16794811.6A patent/EP3469781B1/en active Active
- 2016-10-24 WO PCT/US2016/058512 patent/WO2017218029A1/en unknown
- 2016-10-24 CN CN201680086793.0A patent/CN109716729B/zh active Active
- 2016-10-24 KR KR1020197000805A patent/KR102569766B1/ko active IP Right Grant
-
2018
- 2018-10-30 US US16/174,884 patent/US10498601B2/en active Active
-
2019
- 2019-11-26 US US16/696,679 patent/US10958519B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299437A1 (en) * | 2009-05-22 | 2010-11-25 | Comcast Interactive Media, Llc | Web Service System and Method |
| CN104025063A (zh) * | 2012-08-24 | 2014-09-03 | 英特尔公司 | 用于共享网络接口控制器的方法和装置 |
| CN105493046A (zh) * | 2013-09-28 | 2016-04-13 | 迈克菲股份有限公司 | 面向服务的架构 |
| US20160094384A1 (en) * | 2014-09-30 | 2016-03-31 | Nicira, Inc. | Controller Driven Reconfiguration of a Multi-Layered Application or Service Model |
| CN105162884A (zh) * | 2015-09-25 | 2015-12-16 | 浪潮(北京)电子信息产业有限公司 | 一种基于微服务架构的云管理平台 |
| CN105577780A (zh) * | 2015-12-21 | 2016-05-11 | 武汉理工大学 | 一种基于微服务的高校教学云平台 |
Non-Patent Citations (1)
| Title |
|---|
| GIOVANNI TOFFETTI等: "An architecture for self-managing microservices", 《INTERNATIONAL WORKSHOP ON AUTOMATED INCIDENT MANAGEMENT IN CLOUD》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110244943B (zh) * | 2019-05-08 | 2022-11-15 | 武汉宏途科技有限公司 | 基于web和移动端的图形化业务设计方法、系统及软件存储器 |
| CN110244943A (zh) * | 2019-05-08 | 2019-09-17 | 武汉宏途科技有限公司 | 基于web和移动端的图形化业务设计方法、系统及软件存储器 |
| CN110474797A (zh) * | 2019-07-25 | 2019-11-19 | 北京旷视科技有限公司 | Api业务系统、主备切换的方法及装置 |
| US11556321B2 (en) | 2019-09-06 | 2023-01-17 | International Business Machines Corporation | Deploying microservices across a service infrastructure |
| WO2021044296A1 (en) * | 2019-09-06 | 2021-03-11 | International Business Machines Corporation | Deploying microservices across a service infrastructure |
| GB2603340A (en) * | 2019-09-06 | 2022-08-03 | Ibm | Deploying microservices across a service infrastructure |
| GB2603340B (en) * | 2019-09-06 | 2023-04-26 | Ibm | Deploying microservices across a service infrastructure |
| CN111245925A (zh) * | 2020-01-09 | 2020-06-05 | 北京理工大学 | 一种用于现代分布式微服务架构的通信方法与系统 |
| CN111897641A (zh) * | 2020-08-03 | 2020-11-06 | 海信电子科技(武汉)有限公司 | 微服务监控调度方法及显示设备 |
| CN111897641B (zh) * | 2020-08-03 | 2023-07-28 | 海信电子科技(武汉)有限公司 | 微服务监控调度方法及显示设备 |
| CN115208748A (zh) * | 2021-04-13 | 2022-10-18 | 瞻博网络公司 | 用于网络设备配置会话管理的网络控制器水平缩放 |
| CN113190327A (zh) * | 2021-04-30 | 2021-07-30 | 平安证券股份有限公司 | 微服务部署方法、装置、设备及存储介质 |
| CN113190327B (zh) * | 2021-04-30 | 2023-02-03 | 平安证券股份有限公司 | 微服务部署方法、装置、设备及存储介质 |
| WO2023087679A1 (zh) * | 2021-11-22 | 2023-05-25 | 深圳前海微众银行股份有限公司 | 一种基于微服务的路由方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3469781A1 (en) | 2019-04-17 |
| US20170359217A1 (en) | 2017-12-14 |
| WO2017218029A1 (en) | 2017-12-21 |
| US9716617B1 (en) | 2017-07-25 |
| CN109716729B (zh) | 2021-10-01 |
| US10148504B2 (en) | 2018-12-04 |
| KR20190018162A (ko) | 2019-02-21 |
| EP3469781B1 (en) | 2023-08-30 |
| JP2019523949A (ja) | 2019-08-29 |
| US20190140903A1 (en) | 2019-05-09 |
| US20200195503A1 (en) | 2020-06-18 |
| US10958519B2 (en) | 2021-03-23 |
| US10498601B2 (en) | 2019-12-03 |
| KR102569766B1 (ko) | 2023-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109716729A (zh) | 动态的基于负载的自动缩放网络安全微服务架构 | |
| US11736560B2 (en) | Distributed network services | |
| US11153184B2 (en) | Technologies for annotating process and user information for network flows | |
| US10009317B2 (en) | Security policy generation using container metadata | |
| US10264025B2 (en) | Security policy generation for virtualization, bare-metal server, and cloud computing environments | |
| US11265291B2 (en) | Malicious packet filtering by a hypervisor | |
| US20130074181A1 (en) | Auto Migration of Services Within a Virtual Data Center | |
| US11368479B2 (en) | Methods and apparatus to identify and report cloud-based security vulnerabilities | |
| US20180173549A1 (en) | Virtual network function performance monitoring | |
| CN111324891A (zh) | 用于容器文件完整性监视的系统和方法 | |
| CN109218280A (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
| WO2022271223A9 (en) | Dynamic microservices allocation mechanism | |
| CN103514044A (zh) | 一种动态行为分析系统的资源优化方法、装置和系统 | |
| US9110865B2 (en) | Virtual machine dynamic routing | |
| Do et al. | Towards remote deployment for intrusion detection system to iot edge devices | |
| US20220255958A1 (en) | Systems and methods for dynamic zone protection of networks | |
| CN115941365A (zh) | 终端网络安全的防护方法、一体机和服务器 | |
| CN115396376A (zh) | 负载均衡方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210506 Address after: California, USA Applicant after: Anti special network Co. Address before: California, USA Applicant before: SHIELDX NETWORKS, Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |