CN111164571A - 云系统中的基于安全处理的控制平面功能虚拟化 - Google Patents
云系统中的基于安全处理的控制平面功能虚拟化 Download PDFInfo
- Publication number
- CN111164571A CN111164571A CN201880064129.5A CN201880064129A CN111164571A CN 111164571 A CN111164571 A CN 111164571A CN 201880064129 A CN201880064129 A CN 201880064129A CN 111164571 A CN111164571 A CN 111164571A
- Authority
- CN
- China
- Prior art keywords
- control plane
- function
- secure
- secure enclave
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 title claims description 46
- 230000006870 function Effects 0.000 claims abstract description 90
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000003860 storage Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 15
- 230000026676 system process Effects 0.000 abstract description 4
- 239000008186 active pharmaceutical agent Substances 0.000 abstract 2
- 230000015654 memory Effects 0.000 description 43
- 238000007726 management method Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 13
- 230000002085 persistent effect Effects 0.000 description 13
- 238000005192 partition Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 238000013459 approach Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000006855 networking Effects 0.000 description 5
- 239000000344 soap Substances 0.000 description 4
- 238000012384 transportation and delivery Methods 0.000 description 4
- IAXXETNIOYFMLW-UHFFFAOYSA-N (4,7,7-trimethyl-3-bicyclo[2.2.1]heptanyl) 2-methylprop-2-enoate Chemical compound C1CC2(C)C(OC(=O)C(=C)C)CC1C2(C)C IAXXETNIOYFMLW-UHFFFAOYSA-N 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 239000004744 fabric Substances 0.000 description 3
- 239000002184 metal Substances 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
- H04L41/0897—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities by horizontal or vertical scaling of resources, or by migrating entities, e.g. virtual resources or entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
- H04W28/12—Flow control between communication endpoints using signalling between network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/508—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
- H04L41/5096—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Stored Programmes (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
基于安全处理器的区域用于保护云环境(诸如包括计算节点的超会聚云)中的一个或多个软件定义的控制功能或元素。一个或多个安全区域在环境内实例化。控制平面(诸如基于NFV的控制平面元件)被托管在安全区域内,所述安全区域本身被实例化在所述安全区域内可以被虚拟化或集成。控制平面具有相关联的数据平面,其元素跨计算节点中的一个或多个。一个或多个API提供控制平面与位于安全区域外部的不同数据平面元件之间的连通性。基于NFV的控制平面通过API向分布式数据平面提供配置信息(例如,路由表)。通过使用存储器内工作量保护安全地主控控制平面,该方法确保加载时的完整性,并且例如由特权攻击者或其他系统进程实时地保护控制平面免受危害。
Description
技术领域
本公开总体上涉及数据中心操作环境中的数据处理系统。
背景技术
众所周知的信息技术(IT)交付模型(delivery model)是云计算,通过该云计算,共享资源、软件和信息在互联网上被按需提供给计算机和其他设备。云计算显著地降低了IT成本和复杂性,同时改善了工作量优化和服务交付。云计算资源通常容纳在运行一个或多个网络应用的大型服务器群中,通常使用虚拟化架构,其中,应用在映射到数据中心设施中的物理服务器上的虚拟服务器或所谓的“虚拟机”(VM)内运行。虚拟机通常在管理程序之上运行,该管理程序是将物理资源分配给虚拟机的控制程序。
在云计算环境内,将多个IT组件(如服务器、存储设备等)分组成单个计算包以产生所谓的聚合式基础设施也是众所周知的。最近,这个概念被进一步扩展以提供超会聚(hyperconverged)基础设施(HCI),其是指其中虚拟化所有元件的完全软件定义的基础设施。这些超会聚解决方案通过具有虚拟化和自动化能力的现场基础设施来实现公共云状体验。它们提供了模块化、可扩展构建块中的可靠存储、快速网络、可扩展性和极强大计算的组合。当需要时,容易通过增加节点来生长集群。这种类型的商业上可获得的解决方案是由Nutanix支持的
Hyperconverged Systems,是将Nutanix企业云平台软件与IBM
系统相结合的超会聚基础设施(HCI)解决方案。集成解决方案的目标在于要求具有易于管理和简单规模的基础设施的事务和认知分析工作负载。
在当前超会聚云解决方案中,网络是软件定义的,采用不与专用硬件绑定而是充当冗余高度可用的虚拟化或容器化元素的网络功能虚拟化(NFV)控制平面功能的形式。这些可以由基本路由/交换机控制平面功能、负载平衡、防火墙和/或更复杂的更高层网络能力(诸如下一个代防火墙)组成。在操作中,它们例如通过一组公共API向高度分布式数据平面提供配置信息。然而,在当前系统中,这些关键功能不一定具有完整性或对特权攻击的抗性的任何特殊保证,因此使得特权系统级攻击者或受损过程能够例如通过攻击网络控制平面功能而导致系统范围的受损或中断。
仍然需要解决这个问题。
发明内容
基于安全处理器的区域用于保护云环境(如包括计算节点的超会聚云)中的一个或多个软件定义的控制功能或元素。一个或多个安全区域在环境内实例化。控制平面(诸如基于NFV的控制平面元件)被托管在安全区域内,所述安全区域本身被实例化在所述安全区域内可以被虚拟化或集成。控制平面具有相关联的数据平面,其元素跨计算节点中的一个或多个。一个或多个API提供控制平面与位于安全区域外部的不同数据平面元件之间的连通性。基于NFV的控制平面通过API向分布式数据平面提供配置信息(例如,路由表)。通过使用存储器内工作量保护来安全地托管控制平面,该方法在加载时确保完整性,并且例如由特权攻击者或可能是恶意的其他系统进程来实时地保护控制平面免受危害。
前述内容已经概述了所公开的主题的一些更相关的特征。这些特征应当被解释为仅仅是说明性的。通过以不同方式应用所公开的主题或通过修改如将描述的主题,可以获得许多其他有益的结果。
附图说明
为了更完整地理解该主题及其优点,现在参考结合附图进行的以下描述,在附图中:
图1描绘了可以实现说明性实施例的示范性方面的分布式数据处理环境的示范性框图;
图2是可以在其中实施说明性实施例的示例性方面的数据处理系统的示例性框图;
图3示出了其中可实现所公开的主题的示范性云计算架构;
图4示出了示范性的操作环境,其中基于网络的设备可以用于促进一个或多个基于云的产品的部署;
图5描绘了在其中实现本公开的技术的超会聚云基础设施;以及
图6描绘了代表性软件定义网络,其中使用基于安全处理器的区域方法来保护一个或多个控制平面功能。
具体实施方式
现在参考附图并且具体参见图1-2,提供了可以实现本公开的说明性实施例的数据处理环境的示范性图。应当理解,图1-2仅仅是示范性的,并且不旨在声明或暗示关于可实现所公开的主题的各方面或实施例的环境的任何限制。可以对所描绘的环境做出许多修改而不脱离所公开的主题的精神和范围。
客户端-服务器技术
现在参考附图,图1描绘了其中可以实现说明性实施例的各方面的示范性分布式数据处理系统的图形表示。分布式数据处理系统100可以包括其中可以实现说明性实施例的方面的计算机网络。分布式数据处理系统100包含至少一个网络102,该网络是用于在分布式数据处理系统100内连接在一起的不同设备和计算机之间提供通信链路的介质。网络102可包括诸如有线、无线通信链路或光纤电缆之类的连接。
在所描绘的示例中,服务器104和服务器106连同存储器108连接至网络102。此外,客户端110、112和114也连接到网络102。这些客户端110、112和114可以是例如个人计算机、网络计算机等。在所描绘的示例中,服务器104向客户端110、112和114提供数据,诸如引导文件、操作系统映像和应用。在所描绘的示例中,客户端110、112和114是服务器104的客户端。分布式数据处理系统100可以包括附加的服务器、客户端和未示出的其他设备。
在所描绘的示例中,分布式数据处理系统100是具有网络102的互联网,网络102表示使用传输控制协议/互联网协议(TCP/IP)协议套件来彼此通信的网络和网关的全球集合。在互联网的中心是主节点或主机计算机之间的高速数据通信线路的主干,其由数千个商用、政府、教育和路由数据和消息的其他计算机系统组成。当然,分布式数据处理系统100也可以被实现为包括许多不同类型的网络,例如内联网、局域网(LAN)、广域网(WAN)等。如上所述,图1旨在作为示例,而不是作为对所公开的主题的不同实施例的架构限制,因此,图1中所示的特定元件不应当被视为对其中可以实现本发明的说明性实施例的环境的限制。
现在参见图2,示出了其中可以实现说明性实施例的各方面的示范性数据处理系统的框图。数据处理系统200是计算机(诸如图1中的客户端110)的实例,实施本公开的说明性实施例的处理的计算机可用代码或指令可以位于该计算机中。
现在参见图2,示出了其中可以实现说明性实施例的数据处理系统的框图。数据处理系统200是计算机(诸如图1中的服务器104或客户端110)的示例,其中实现过程的计算机可用程序代码或指令可以被定位以用于说明性实施例。在这个说明性示例中,数据处理系统200包括通信结构202,其提供处理器单元204、存储器206、永久存储器208、通信单元210、输入/输出(I/O)单元212和显示器214之间的通信。
处理器单元204用于执行可以加载到存储器206中的软件的指令。处理器单元204可以是一个或多个处理器的集合或者可以是多处理器核,这取决于特定实现。进一步,处理器单元204可使用一个或多个异构处理器系统实现,其中主处理器与次级处理器一起存在于单个芯片上。作为另一说明性示例,处理器单元204可以是包含相同类型的多个处理器的对称多处理器(SMP)系统。
存储器206和永久存储器208是存储设备的示例。存储设备是能够临时地和/或永久地存储信息的任何硬件。在这些示例中,存储器206可以是例如随机存取存储器或任何其他合适的易失性或非易失性存储设备。永久存储器208可以根据特定实现方式采取不同形式。例如,持久存储装置208可以包含一个或多个组件或设备。例如,永久性存储器208可以是硬盘驱动器、闪存、可重写光盘、可重写磁带或上述的一些组合。永久存储器208所使用的介质也可以是可移除的。例如,可移除硬盘驱动器可以用于永久性存储器208。
在这些示例中,通信单元210提供与其他数据处理系统或设备的通信。在这些示例中,通信单元210是网络接口卡。通信单元210可通过使用物理和无线通信链路中的任一者或两者来提供通信。
输入/输出单元212允许与可以连接至数据处理系统200的其他设备输入和输出数据。例如,输入/输出单元212可以通过键盘和鼠标提供用于用户输入的连接。此外,输入/输出单元212可以向打印机发送输出。显示器214提供向用户显示信息的机制。
用于操作系统和应用或程序的指令位于永久性存储器208上。这些指令可被加载到存储器206中以供处理器单元204执行。不同实施例的过程可以由处理器单元204使用计算机实施的指令来执行,这些指令可以位于存储器(例如存储器206)中。这些指令被称为程序代码、计算机可用程序代码或计算机可读程序代码,其可由处理器单元204中的处理器读取和执行。不同实施例中的程序代码可以体现在不同的物理或有形的计算机可读介质上,例如存储器206或永久存储器208。
程序代码216以功能形式位于计算机可读介质218上,该计算机可读介质是可选择性移除的并且可以被加载到或转移到数据处理系统200上以用于由处理器单元204执行。在这些示例中,程序代码216和计算机可读介质218形成计算机程序产品220。在一个示例中,计算机可读介质218可以是有形形式,诸如例如被插入或放置到作为持久存储装置208的一部分的驱动器或其他设备中以便转移到存储设备(诸如作为持久存储装置208的一部分的硬盘驱动器)中的光盘或磁盘。在有形形式中,计算机可读介质218还可以采取永久存储器的形式,诸如连接到数据处理系统200的硬盘驱动器、拇指驱动器或闪存。计算机可读介质218的有形形式也被称为计算机可记录存储介质。在一些实例中,计算机可记录媒质218可能不是可移除的。
可替代地,程序代码216可以通过至通信单元210的通信链路和/或通过至输入/输出单元212的连接从计算机可读介质218传递至数据处理系统200。在说明性示例中,通信链路和/或连接可以是物理的或无线的。计算机可读媒质还可以采取非有形媒质的形式,诸如包含程序代码的通信链路或无线传输。为数据处理系统200示出的不同组件并不意味着对可以实施不同实施例的方式提供架构限制。不同的说明性实施例可以在包括除了或代替为数据处理系统200示出的那些组件的组件的数据处理系统中实施。图2中所示的其他部件可以与所示的说明性实例不同。作为一个实例,数据处理系统200中的存储装置是可以存储数据的任何硬件装置。存储器206、永久存储器208和计算机可读介质218是有形形式的存储设备的示例。
在另一个示例中,总线系统可以用于实现通信结构202并且可以包括一个或多个总线,如系统总线或输入/输出总线。当然,总线系统可以使用任何合适类型的架构来实现,该架构在附接到总线系统的不同组件或设备之间提供数据传输。另外,通信单元可包括用于发送和接收数据的一个或多个设备,诸如调制解调器或网络适配器。进一步,存储器可以例如是存储器206或诸如在可以存在于通信结构202中的接口和存储器控制器集线器中发现的高速缓存。
用于执行本发明的操作的计算机程序代码可以用一种或多种编程语言的任何组合来编写,包括面向对象的编程语言(如JavaTM、Smalltalk、C++、C#、Objective-C等)和常规过程编程语言。程序代码可以完全在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行、或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。
本领域普通技术人员将理解,图1-2中的硬件可以取决于实现方式而变化。除了图1-2中描绘的硬件之外或代替图1-2中描绘的硬件,可以使用其他内部硬件或外围设备,诸如闪存、等效非易失性存储器或光盘驱动器等。此外,在不脱离所公开的主题的精神和范围的情况下,说明性实施例的处理可应用于多处理器数据处理系统,而非前述SMP系统。
如将看到的,在此描述的技术可以在诸如图1中展示的标准客户端-服务器范例内结合操作,其中客户端机器与在一组一个或多个机器上执行的互联网可访问的基于网络的门户通信。终端用户操作能够访问门户并与门户交互的可连接互联网的设备(例如,台式计算机、笔记本计算机、支持互联网的移动设备等)。通常,每个客户端或服务器机器是如图2中所示的包括硬件和软件的数据处理系统,并且这些实体通过网络(诸如互联网、内联网、外联网、专用网络或任何其他通信介质或链路)彼此通信。数据处理系统通常包括一个或多个处理器、操作系统、一个或多个应用和一个或多个实用程序。数据处理系统上的应用提供对Web服务的本地支持,包括但不限于对HTTP、SOAP、XML、WSDL、UDDI和WSFL等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从负责开发和维护这些标准的万维网联盟(W3C)获得;关于HTTP和XML的进一步信息可从互联网工程任务组(IETF)获得。假定这些标准的熟悉性。
云计算模型
云计算是用于实现对可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的方便、按需的网络访问的服务交付模型,该可配置计算资源能够以最小的管理努力或与服务的提供商的交互来快速供应和释放。该云模型可以包括至少五个特性、至少三个服务模型、以及至少四个部署模型,所有如在2009年10月7日Peter Mell和Tim Grance的“Draft NIST Working Definition of Cloud Computing”中更具体地描述和定义的。
具体地,以下是典型特征:
按需自助服务:云消费者可根据需要自动单方面地提供计算能力,诸如服务器时间和网络存储,而不需要与服务提供商进行人类交互。
广泛的网络接入:能力可通过网络获得并通过标准机制接入,所述标准机制促进由异构的薄或厚客户端平台(例如,移动电话、膝上型计算机和PDA)使用。
资源池:提供者的计算资源被池化以使用多租户模型为多个消费者服务,其中,根据需求动态地分配和重新分配不同的物理和虚拟资源。存在位置独立性的意义,因为消费者一般对所提供的资源的确切位置没有控制或知识,但可能在较高抽象级别指定位置(例如,国家、州或数据中心)。
快速弹性:在一些情况下,可以自动地快速和弹性地供应能力,以快速缩小和快速释放以快速放大。对消费者而言,可用于供应的能力通常看上去是无限的,并且可以在任何时间以任何数量购买。
测量的服务:云系统通过利用适合于服务类型(例如,存储、处理、带宽和活跃用户账户)的某个抽象级别的计量能力来自动控制和优化资源使用。资源使用可以被监测、控制和报告,为所利用的服务的提供商和消费者提供透明性。
这些服务模型典型地如下:
软件即服务(SaaS):提供给消费者的能力是使用在云基础设施上运行的供应商的应用。应用可通过诸如web浏览器(例如,基于web的电子邮件)的薄客户端接口从不同客户端设备访问。消费者不管理或控制底层云基础设施,包括网络、服务器、操作系统、存储、或者甚至单独的应用能力,可能的例外是有限的用户特定的应用配置设置。
平台即服务(PaaS):提供给消费者的能力是将消费者创建或获取的应用部署到云基础设施上,这些应用使用提供商所支持的编程语言和工具来创建。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础设施,但是对所部署的应用和可能的应用托管环境配置具有控制。
基础设施即服务(IaaS):提供给消费者的能力是提供处理、存储、网络和其他基本计算资源,其中消费者能够部署和运行任意软件,该软件可以包括操作系统和应用。消费者不管理或控制底层云基础设施,但是对操作系统、存储、部署的应用具有控制,并且可能对选择的联网组件(例如,主机防火墙)具有有限的控制。
部署模型典型地如下:
私有云:云基础设施仅针对组织进行操作。其可以由组织或第三方管理,并且可以存在于场所内或场所外。
社区云:云基础设施由若干组织共享并且支持具有共享关注点(例如,任务、安全要求、策略和合规性考虑)的特定社区。其可以由组织或第三方管理,并且可以存在于场所内或场所外。
公共云:使得云基础设施可用于普通公共或大型工业组,并且由销售云服务的组织拥有。
混合云:云基础架构是两个或更多个云(私有、社区或公共)的组合,该两个或更多个云保持唯一实体但通过标准化或专有技术被绑定在一起,该标准化或专有技术实现数据和应用可移植性(例如,云突发以用于云之间的负载平衡)。
云计算环境是面向服务的,专注于静止性、低耦合、模块化和语义互操作性。云计算中心是包括互连节点网络的基础设施。代表性云计算节点如以上图2中所示。具体地,在云计算节点中,存在计算机系统/服务器,该计算机系统/服务器可与许多其他通用或专用计算系统环境或配置一起操作。可适合于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子设备、网络PC、小型计算机系统、大型计算机系统和包括任何上述系统或设备的分布式云计算环境等。计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般上下文中描述。一般而言,程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机系统存储媒质中。
现在参见图3,通过附加背景,示出了由云计算环境提供的一组功能抽象层。应提前理解,图3中所示的组件、层和功能旨在仅是说明性的,并且本发明的实施例不限于此。如所描绘的,提供了以下层和对应功能:
硬件和软件层300包括硬件和软件组件。硬件组件的示例包括大型机,在一个示例中,
系统;基于RISC(精简指令集计算机)体系结构的服务器,在一个示例中是IBM
系统;IBM
系统;IBM
系统;存储设备;网络和网络组件。软件组件的示例包括网络应用服务器软件,在一个示例中,IBM
应用服务器软件;以及数据库软件,在一个示例中,
数据库软件。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere和DB2是在全世界许多司法管辖区注册的国际商业机器公司的商标)
虚拟化层302提供抽象层,从该抽象层可以提供虚拟实体的以下示例:虚拟服务器;虚拟存储;虚拟网络,包括虚拟专用网络;虚拟应用和操作系统;以及虚拟客户端。
在一个示例中,管理层304可以提供下面描述的功能。资源供应提供用于在云计算环境内执行任务的计算资源和其他资源的动态采购。计量和定价在云计算环境内利用资源时提供成本跟踪,并为这些资源的消耗计费或发票。在一个示例中,这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及对数据和其他资源的保护。用户门户为消费者和系统管理员提供对云计算环境的访问。服务级别管理提供云计算资源分配和管理,使得满足所需的服务级别。服务水平协议(SLA)计划和履行为云计算资源提供预安排和采购,根据SLA预期云计算资源的未来需求。
工作负载层306提供可以利用云计算环境的功能的示例。可从该层提供的工作负载和功能的示例包括:地图绘制和导航;软件开发和生命周期管理;虚拟教室教育递送;数据分析处理;事务处理;以及其他(例如,私有云中的企业专用功能)。
提前理解的是,虽然本公开包括关于云计算的详细描述,但是在此叙述的教导的实现方式不限于云计算环境。相反,本发明的实施例能够结合现在已知或以后开发的任何其他类型的计算环境来实现。
因此,代表性云计算环境具有一组高级功能组件,该组高级功能组件包括前端身份管理器、业务支持服务(BSS)功能组件、操作支持服务(OSS)功能组件和计算云组件。身份管理器负责与请求客户端对接以提供身份管理,并且该组件可以用一个或多个已知系统实现,诸如可从纽约阿蒙克的IBM公司获得的Tivoli联合身份管理器(TFIM)。在适当的情况下,TFIM可以用于向其他云组件提供联合单点登录(F-SSO)。业务支持服务组件提供某些管理功能,诸如计费支持。操作支持服务组件用于提供其他云组件(诸如虚拟机(VM)实例)的供应和管理。虚拟机是安装在软件上但模仿硬件机器的操作系统或应用环境。云组件表示主计算资源,其通常是用于执行可用于经由云访问的目标应用的多个虚拟机实例。一个或多个数据库用于存储目录、日志和其他工作数据。所有这些部件(包括前端身份管理器)位于云内,但这不是必需的。在备选实施例中,身份管理器可以在云外部操作。服务提供商还可以在云外部操作。
一些云基于非传统IP网络。由此,例如,云可基于具有使用MAC地址的散列的特殊单层IP路由的基于双层CLOS的网络。本文所描述的技术可以用于这样的非传统云中。
当今可用的大多数基于云的服务是通过裸金属或虚拟机(VM)来递送的,然而,还可以使用“容器”技术。裸金属环境(Bare metal environments)是其中从专用云基础设施和OS平台的基础安装、运行和传递应用的那些。这样的环境使用专用和特定的硬件和操作系统配置。相反,虚拟机是在主机系统内运行的完整客户机主机。当使用虚拟机时,应用程序在管理程序的控制下安装、封装和运行,所述管理程序虚拟化硬件环境。另一方面,容器提供操作环境,其中仅包括应用的基本部分(有时称为云服务)和其依赖性,并且可存在在诸如Linux的操作系统的单个实例内运行的多个容器。Docker是与所有运行实例(称为容器)共享单个Linux内核的虚拟化平台。单个Docker容器是轻量的,因为它在共享内核上运行,从而有效利用可用资源。容器被许多下一代云平台广泛地用作服务(PaaS)开发者。因此,例如但不限于,
是使用IBM Containers运行Docker容器的PaaS云平台。由于Docker容器运行在现有的操作系统和共享的二进制文件上,比VM更紧凑;因此,容器解决方案通常更快并且具有更少的存储器要求。
图4展示了典型的IT基础设施,该IT基础设施支持基于VM的资源的虚拟化,并且其中,可以在一个实施例中实现本公开的下面描述的技术。出于解释的目的,提供共享(公共)资源的IT数据中心是“提供商”,并且使用这些共享资源来托管、存储和管理其数据和应用(以所有形式)的客户或公司是“订户”(或“客户”或“租户”)。在图4中,示例虚拟机托管环境(在本文中可替代地称为数据中心或“云”)如图所示。该环境包括典型地经由管理程序管理VLAN406连接到物理数据中心网络404的主机(HV)402(例如,服务器或类似的物理机计算设备)。尽管未明确描绘,但通常环境还包括负载平衡器、网络数据交换机(例如,架顶交换机)、防火墙等。如图4所示,物理服务器402各自适于使用虚拟化技术动态地提供一个或多个虚拟机(VM)408。这种技术是可商购的,例如从
或其他。服务器虚拟化是本领域熟知的技术。如所描绘的,多个VM可放置到单个主机中并共享主机的CPU、存储器和其他资源,从而增加组织的数据中心的利用。在该环境中,租户应用410被托管在网络设备412中,并且租户数据被存储在数据存储和数据库414中。应用和数据存储通常经由网络管理/存储VLAN416连接到物理数据中心网络404。虚拟机、应用和租户数据共同代表订户可访问的虚拟化资源管理域405。通过这个域,订户的员工可以访问和管理(使用不同基于角色的特权)他们已经由提供商分配并且由物理IT基础设施支持的虚拟化资源。基础设施的底部部分示出了提供商可访问的管理域415。该域包括提供商员工管理门户418、BSS/OSS管理功能420、不同身份和访问管理功能422、安全策略服务器424和管理功能426以管理服务器图像428。这些功能经由管理VLAN430连接至物理数据中心网络。提供者的员工具有专业特权(以及可能特定的客户端/网络),他们可以从这些特权访问他们用来管理IT数据中心基础设施(例如,硬件和软件安装、配置、监测、技术支持、计费等)的操作和业务支持服务(OSS/BSS)。
概括而言,云计算基础设施提供基于虚拟机或容器的托管环境,该托管环境包括经由网络和一个或多个管理服务器连接的主机(例如,服务器或类似的物理机计算设备)。典型地,物理服务器各自适于使用虚拟化技术(诸如VMware ESX/ESXi或Docker)动态地提供一个或多个虚拟机或容器。
在非限制性实现方式中,代表性平台技术是但不限于具有VMware vSphere 4.1更新1和5.0的IBM System
服务器。
在本领域中还已知的是,配置或供应如上所述的云架构以包括通常操作以收集(或以其他方式从其他数据源获得)关于可用云平台、拓扑和能力的信息的机制和系统。通常,云安全可用不同技术来实现和实施,这些技术包括但不限于虚拟周边网络(DMZ)、网络隔离、存储隔离、入侵预防系统(IPS)部署、安全信息和事件管理(SIEM)部署、反向代理、防火墙、SSL通信、具有现有SIEM的配置、多因素认证、基于风险的认证等。
可以使用平台即服务(PaaS)基础设施部署云应用包,如
云开放云管理平台(也称为
编排器)或
云计算环境还可以包括不同部署和管理工具。例如,IBM云包括具有OpenStack的
云管理器。云管理器是用于云终端用户的简化云管理的自助门户。具有OpenStack的云管理器使用户能够与集中于最终用户的视角而非IT或系统管理员视角的虚拟设备和工作负载一起工作。自助服务能力简化了执行许多常见公共或私有云操作的过程,诸如供应和解除供应服务器(被称为部署的过程)、撰写和克隆部署、拍摄部署快照、启动和关闭服务器、以及调整现有服务器的大小。
使用安全区域来保护使用中的数据
以下提供了本公开的主题的附加背景细节。
数字数据有时被表征为三个阶段中的一个:使用中的数据、运动中的数据、以及休息时的数据。使用中的数据是指计算机存储器中的数据。由于其性质,使用中的数据是越来越多地关注企业、政府机构和其他机构。具体地,使用中的数据(即,在存储器中)经常包含敏感数据,包括但不限于数字证书、加密密钥、知识产权(软件算法、设计数据)和个人可识别信息。因此,损害使用中的数据使得能够访问静止时加密的数据和运动中的数据。
使用中的数据通常经常以若干方式之一进行保护。在其未经授权的访问或盗窃的情况下防止数据可见性的加密常用于保护在运动中的数据和在休息时的数据,并且它日益被认为是用于保护在使用中的数据的优选方法。为此,已经提出或提供用于加密存储器的解决方案的多个项目。因此,例如,已知加密存储器使得只有用户程序可以访问该存储器;这是通过一个密钥来实现的,该密钥被放置在处理器侧的一个特殊的硬件位置中并且对于每个存储器读取或写入可以用来解密或加密数据。另一种保护使用中的数据的方法是基于CPU的密钥存储。在该方法中,操作系统内核补丁修改操作系统,使得CPU寄存器用于存储加密密钥,而不是将加密密钥保持在RAM中。具体地,密钥保持在CPU内部而不是RAM中,使得保护其余的数据加密密钥免受攻击,否则攻击可能损害存储器中的加密密钥。
另一种保护使用中的数据的方法是“区域”(“enclave”),该“区域”是存储器中的私有区域。区域数据在RAM中时被加密,但可作为CPU和CPU高速缓存内的明文使用。区域方法不同于简单的存储器加密,因为它使用特殊寄存器和电路,这些寄存器和电路位于存储器单元与处理器之间,并且保持对来自/去往存储器的数据进行解密/加密所必需的密钥,并且优选地没有其他地方(包括操作系统)存储密钥。特殊原子指令确保这些寄存器是存储密钥的唯一位置。该方法的可商购获得的示例包括英特尔软件防护扩展(SGX)、IBMPower9SMF和较早的IBMSecureBlue++架构。例如,SGX是允许用户级代码分配区域的一组指令,与正常进程存储器不同,所述区域还被保护免于在较高特权级运行的进程。在这种类型的典型解决方案中,“安全”处理器包括CPU核,其中,安全可执行文件和数据是清晰可见的,但仅当该核正在执行安全可执行文件时。在这样的执行之前,安全可执行代码和数据(统称为安全对象)以加密形式存储在相关联的外部存储器中,使得代码和数据对其他软件或其他这样的安全对象不可见。安全可执行代码和数据在它们从存储器传送到CPU核时也不可见。安全对象的加密密钥被生成或提供给管理模块,并且安全对象在该加密密钥下被加密。在运行时,各种控制技术用于使安全对象的敏感信息在从外部存储器到CPU的路径上以及从CPU到外部存储器的加密路径上被解密。该过程的进一步细节可以在例如美国专利号8,578,175和8,954,752中找到,其公开内容通过引用结合在此。
用于云系统的基于安全处理器的控制平面功能虚拟化
以上文作为背景,现在描述本公开的技术。
如将看到的,本文中的技术利用被称为软件定义网络(SDN)和网络功能虚拟化(NFV)的通信网络中的发展。SDN和NFV使用IT云架构来从软件拆分通信硬件,打破了传统网络设备架构模型,其中网络功能被实现为包括硬件和软件两者的设备,例如,来自一个供应商。利用SDN和NFV,代替单个网络设备,对交换硬件进行商品化,将网络软件分离、虚拟化部署在云中,从而降低成本,使网络功能更快捷、更容易部署、动态修改和扩展。
根据本发明,基于安全处理器的区域和相关联的存储器内保护用于保护云环境(如超会聚云)中的一个或多个软件定义的控制功能或元件。软件定义功能可以是各种类型,例如网络功能、存储功能、功率功能、编排功能等。
在目前描述的一个优选实施例中,该软件定义功能是一个网络功能,并且具体是一个控制平面。在路由中,控制平面用于确定网络拓扑,并且构建和维护路由表,该路由表定义如何路由分组。路由表通常包含目的地地址和与这些地址相关联的输出接口的列表。控制平面功能包括管理路由协议、定义不同服务质量(QoS)等。控制平面与数据(或转发)平面相区分,所述数据(或转发)平面通常是分布式的,并且用于根据由控制平面在路由表中提供的信息沿一条或多条路径将网络流量转发到目的地。在一些路由架构中,数据平面具有其自己的数据库,该数据库填充有由控制平面提供的路由表。数据平面具有用于接收和处理数据包的实际责任。
本文的方法是提供不绑定到专用硬件而是充当冗余的高度可用的虚拟化或容器化元素的网络功能虚拟化(NFV)控制平面功能。这些可以由基本路由/交换机控制平面功能、负载平衡、防火墙和/或更复杂的更高层网络能力(诸如下一代防火墙)组成。
图5描绘了基本实施场景。在该实施例中,云基础设施500是包括多个计算节点502的超会聚云。计算节点可在虚拟机、容器或甚至裸金属上实现,如先前所述。根据本公开,一个或多个安全区域504在环境内以已知方式被实例化。因此,并且如所描述的,可以使用基于安全处理器的存储器中数据使用安全机制来实现安全区域。如还描绘的,控制平面(诸如基于NFV的控制平面元件506)被托管在计算节点502a上实现的安全区域504内。在该实施例中,控制平面506被托管并且因此被隔离在安全区域内,该安全区域本身在VM或容器之一中被实例化。控制平面506具有与其相关联的数据平面508,其元件优选地跨计算节点中的一个或多个分布(作为分布式网络数据平面)。因此,并且如所描绘的,数据平面508具有在计算节点502a上支持的部分,该部分支持托管控制平面的虚拟化或容器化安全区域,以及在其他计算节点502b和502c上支持的其他部分。优选地,在计算节点502a上支持的数据平面的该部分不在主控控制平面的安全区域内执行。
在安全区域504中的控制平面506与位于安全区域外部的不同数据平面元素之间提供连接510。在优选实施例中,经由一个或多个应用编程接口(API)来提供连接510。优选地,至少一个此类API是外部化API,从而使得其他网络和安全功能可以部分地经由区域内保护的控制平面来管理或控制。在操作中,基于NFV的控制平面506通过这些接口将控制和配置信息(例如,(多个)路由表)提供给分布式数据平面。
虽然图5描绘了托管在虚拟机或容器内实例化的安全区域504内的控制平面元件(软件定义功能),但替代方法是使软件定义功能实例化为安全区域内的虚拟机或容器。
因此,根据本公开,使用存储器内工作负荷保护来安全地托管控制平面,以便既确保加载时的完整性又确保(控制平面的)实时不受损害,例如,由特权攻击者或可能是恶意的其他系统进程所危害。可以为控制平面功能提供这种保护的安全存储器技术的非限制性示例包括英特尔SGX和/或IBM Power9 SMF,如以上所指出的,所述IBM SGX和/或IBMPower9 SMF被设计成用于保护敏感工作负荷免受这类攻击。还如所指出的,在这种类型的安全处理器技术中提供的安全区域可以采用虚拟机或容器(诸如Docker容器)的形式。通过以此方式托管控制平面,存储器内保护被应用于针对超会聚软件定义网络(SDN)的一个或多个网络功能虚拟化(NFV)元件。受保护存储器区域还可以利用由可信计算基础功能(如英特尔TXT和功率安全引导)提供的加载时间密码完整性检查。在代表性但非限制性实施例中,以此方式保护的代表性NFV功能包括基本层2或3路由和/或交换、防火墙功能以及负载平衡。
优选地,安全区域采取具有有限设备树的容器或虚拟机的形式,以最小化内部攻击表面。为此,云计算环境包括客户端(租户)级分区。客户端分区是其中客户端/租户具有经由已知机制的唯一安全访问(例如,经由SSL用密码登录)的分区。此外,单独的存储器分区随后被建立为安全区域,并且控制平面(或其元素)被放置在该后一个分区内(或下载到该后一个分区)。一旦初始化(例如,经由安全引导过程),主控控制平面的分区优选地仅可经由客户端应用编程接口(API)访问客户端分区。换言之,优选地,命令和数据只能经由客户端API在客户端和控制平面之间交换。在该方法中,优选地,API操作在客户端分区和主存控制平面的分区均可访问的共享存储器区域中。
图6描绘了根据本公开的技术实现的基于VM的示例SDN。此示例使用IBM软件定义网络用于虚拟环境(SDN VE)(提供用于网络虚拟化的完整实现框架的网络覆盖解决方案)来实现。SDN VE是多管理程序、以服务器为中心的解决方案,其包括将虚拟网络覆盖到提供IP连接的任何物理网络上的多个组件。如所描绘的,SDNVE解决方案600由四个基本软件组件组成,所述组合工作以提供有效的基于主机的网络虚拟化。SDN VE虚拟交换机602是驻留在管理程序604中的软件。它充当每个虚拟网络的开始和结束点,并且示出了若干这样的网络601、603和605。SDN VE虚拟交换机在UDP叠加上提供二层和三层网络虚拟化,实现虚拟网络的数据路径。虚拟交换机还执行控制平面功能以支持虚拟机(VM)地址自动发现、VM迁移和网络策略配置。根据本公开,以先前描述的方式将这些控制平面功能中的一个或多个托管在安全区域内。连接服务606将VM地址分配给参与SDN VE虚拟网络的虚拟交换机。连接服务软件优选地被部署为虚拟设备集群。管理控制台608是用于配置SDN VE的集中控制点。它配置每个虚拟网络,控制策略,并向虚拟交换机分发策略。它还帮助管理员管理各个虚拟网络。优选地,管理控制台软件作为虚拟设备驻留在服务器上。最后,基于VLAN和IP的网关610使得SDN VE能够与SDN VE环境外部的网络和服务器建立互操作性。对于第2层网络,SDN VE提供基于VLAN的网关。对于第3层网络,软件提供基于IP的网关。
有两个(2)用于SDN、覆盖、和原生的架构模型。在叠加SDN中,SDN部署在现有IP网络之上。在Openflow SDN中,路由器装置被替换为二层数据转发交换机和例如使用OpenFlow通信协议访问二层交换机的网络控制软件。
同样如上所述,SDN可以使用Docker容器代替虚拟机方法来实现。
本公开的技术——其中,所述控制平面从所述数据平面拆分并且托管在安全区域中并且利用被创建以实现两者之间的受限通信的API——提供了显著优点。如已经描述的,本公开的方法对于一个或多个控制平面功能使用高级硬件引导的存储器中工作量保护来确保加载时的完整性以及确保免受特权攻击者或系统进程实时的危害。因而,系统级进程或管理程序或操作系统中的根用户不能读取和修改存储器的内容,从而保护关键控制平面元件。本公开的在安全处理器中的安全区域内保护控制平面的方法因此防止否则可能由于系统功能虚拟化的高级别而获得(例如,由攻击者)的任何系统范围的中断或危害事件。如所指出的,该方法便利地利用安全CPU技术,其保护控制平面元件和数据(例如,路由表)的机密性和完整性不仅免受物理攻击,而且免受系统的部分上的所有其他软件(包括特权软件)的影响,以及免受可能另外感染特权软件以获得根特权的恶意软件的影响。进一步地,由于NFV控制平面功能与分布式数据平面之间提供连通性所必需的API是外部化的,因此使得第三方联网供应商能够提供额外的增值网络和安全功能。在此描述的安全区域架构使得这些合作伙伴能够获得除了系统的本地服务之外的它们的增值服务的完整性的保证。
虽然在此的方法主要在NFV的背景下进行了描述,但这不是限制,因为使用安全区域来托管软件定义功能的方法可以扩展到其他控制功能,包括存储管理、功率管理、虚拟机和容器编制、及其组合。
更一般地,在所公开的主题的上下文内的计算设备各自是包括硬件和软件的数据处理系统,并且这些实体通过网络(如互联网、内联网、外联网、专用网络或任何其他通信介质或链路)彼此通信。数据处理系统上的应用提供对Web和其他已知服务和协议的本地支持,包括但不限于对HTTP、FTP、SMTP、SOAP、XML、WSDL、UDDI和WSFL等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从负责开发和维护这些标准的万维网联盟(W3C)获得;关于HTTP、FTP、SMTP和XML的进一步信息可从互联网工程任务组(IETF)获得。假定与这些已知标准和方案的熟悉性。
在此描述的技术可以在包括简单n层架构、web门户、联合系统等的不同数据中心架构中或与其结合来实现。本文还可以在松散耦合的服务器(包括基于“云”)环境中实践,无论是私人的、公共的、还是混合的。
还更一般地,在此描述的主题可以采取完全硬件实施例、完全软件实施例或包含硬件和软件元件两者的实施例的形式。在优选实施例中,可信平台模块功能在软件中实现,该软件包括但不限于固件、常驻软件、微代码等。此外,下载和删除接口和功能可以采取可从计算机可用或计算机可读媒质访问的计算机程序产品的形式,该计算机可用或计算机可读媒质提供程序代码以供计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合使用。出于本描述的目的,计算机可用或计算机可读介质可以是能够包含或存储程序以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的任何装置。该介质可以是电子、磁性、光学、电磁、红外或半导体系统(或装置或设备)。计算机可读媒质的实例包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前示例包括光盘-只读存储器(CD-ROM)、光盘-读/写(CD-R/W)和DVD。计算机可读介质是有形的、非暂态的物品。
计算机程序产品可以是具有用于实现所描述的功能中的一个或多个的程序指令(或程序代码)的产品。在通过网络从远程数据处理系统下载之后,这些指令或代码可存储在数据处理系统中的非暂时性计算机可读存储介质中。或者,这些指令或代码可存储在服务器数据处理系统中的计算机可读存储媒质中,并且适于通过网络下载到远程数据处理系统,以供在远程系统内的计算机可读存储媒质中使用。
在一个代表性实施例中,安全管理器实现在专用计算平台中,优选地在由一个或多个处理器执行的软件中。软件被维护在与一个或多个处理器相关联的一个或多个数据存储或存储器中,并且软件可以被实现为一个或多个计算机程序。该专用硬件和软件共同包括上述功能。
虽然上文描述了由本发明的某些实施例执行的操作的特定顺序,但应理解,这种顺序是示范性的,因为替代性实施例可以按不同顺序执行操作、组合某些操作、重叠某些操作等。在说明书中对给定实施例的引用指示所描述的实施例可以包括特定特征、结构或特性,但是每个实施例可以不一定包括该特定特征、结构或特性。
最后,尽管已经单独描述了该系统的给定部件,普通技术人员将理解,这些功能中的一些功能可以在给定指令、程序序列、代码部分等中组合或共享。
本文中的技术通常提供对技术或技术领域的上述改进,以及对工作负荷管理方案的特定技术改进,如以上所描述的。
已经描述了我们的发明,我们的权利要求如下。
Claims (24)
1.一种用于在基于安全处理器的云计算环境中保护信息的方法,包括:
实例化所述基于安全处理器的云计算环境内的安全区域;
在所述安全区域内主控软件定义功能的控制平面,从而使得保护所述控制平面免受在所述云计算环境内以高特权级别运行的一个或多个过程的影响,所述控制平面具有与其相关联的、位于所述安全区域外部的数据平面;
在所述安全区域内的所述控制平面与位于所述安全区域外部的所述数据平面之间提供连通性;以及
从所述安全区域内执行所述软件定义功能的所述控制平面。
2.如权利要求1所述的方法,其中,所述安全区域在以下各项之一内被实例化:虚拟机和容器。
3.如权利要求1所述的方法,其中,所述软件定义功能被实例化为所述安全区域内部的虚拟机或容器。
4.如权利要求1所述的方法,其特征在于,所述软件定义功能是虚拟函数,所述虚拟功能是网络功能、存储功能、功率功能和虚拟机和容器编排功能之一。
5.如权利要求4所述的方法,其中,所述网络功能是以下各项中的一项:路由器、交换机、防火墙和负载平衡器。
6.如权利要求1所述的方法,进一步包括在所述软件定义功能的所述控制平面的加载时间验证所述安全区域的完整性。
7.如权利要求1所述的方法,其中,经由外部化应用编程接口(API)来提供所述连接性。
8.如权利要求7所述的方法,其中,由所述软件定义功能的所述控制平面生成的控制数据包括经由所述API传递至所述数据平面以促进软件定义网络(SDN)中的安全网络功能虚拟化(NFV)的路由表。
9.一种在基于安全处理器的云计算环境中保护信息的装置,包括:
一个或多个硬件处理器;
计算机存储器,保持由所述硬件处理器执行的计算机程序指令,并且被配置为:
实例化所述基于安全处理器的云计算环境内的安全区域;
在所述安全区域内主控软件定义功能的控制平面,从而使得保护所述控制平面免受在所述云计算环境内以高特权级别运行的过程的影响,所述控制平面具有与其相关联的、位于所述安全区域外部的数据平面;
在所述安全区域内的所述控制平面与位于所述安全区域外部的所述数据平面之间提供连通性;以及
从所述安全区域内执行所述软件定义功能的所述控制平面。
10.如权利要求9所述的装置,其中,所述安全区域在以下各项之一内被实例化:虚拟机和容器。
11.如权利要求9所述的装置,其中,所述软件定义功能被实例化为所述安全区域内部的虚拟机或容器。
12.如权利要求9所述的装置,其中所述软件定义功能是作为网络功能、存储功能、功率功能以及虚拟机和容器编排功能之一的虚拟功能。
13.如权利要求12所述的装置,其中,所述网络功能是以下各项中的一项:路由器、交换机、防火墙和负载平衡器。
14.如权利要求9所述的装置,其中,所述计算机程序指令被进一步配置成用于在所述软件定义功能的所述控制平面的加载时间验证所述安全区域的完整性。
15.如权利要求9所述的装置,其中被配置为提供连接的计算机程序指令是一个或多个外部化应用编程接口(API)。
16.如权利要求15所述的装置,其中,由所述软件定义功能的所述控制平面生成的控制数据包括经由API传递至所述数据平面以促进软件定义网络(SDN)中的安全网络功能虚拟化(NFV)的路由表。
17.一种在非瞬态计算机可读介质中的计算机程序产品,用于在数据处理系统中使用以保护基于安全处理器的云计算环境中的信息,所述计算机程序产品保存计算机程序指令,所述计算机程序指令在所述数据处理系统中执行并且被配置为:
实例化所述基于安全处理器的云计算环境内的安全区域;
在所述安全区域内主控软件定义功能的控制平面,从而使得保护所述控制平面免受在所述云计算环境内以高特权级别运行的过程的影响,所述控制平面具有与其相关联的、位于所述安全区域外部的数据平面;
在所述安全区域内的所述控制平面与位于所述安全区域外部的所述数据平面之间提供连通性;以及
从所述安全区域内执行所述软件定义功能的所述控制平面。
18.如权利要求17所述的计算机程序产品,其中,所述安全区域在以下各项之一内被实例化:虚拟机和容器。
19.如权利要求17所述的计算机程序产品,其中,所述软件定义功能被实例化为所述安全区域内部的虚拟机或容器。
20.如权利要求17所述的计算机程序产品,其中该软件定义功能是作为网络功能、存储功能、功率功能以及虚拟机和容器编排功能之一的虚拟功能。
21.如权利要求20所述的计算机程序产品,其中,所述网络功能是以下各项中的一项:路由器、交换机、防火墙和负载平衡器。
22.如权利要求17所述的计算机程序产品,其中,所述计算机程序指令被进一步配置成用于在所述软件定义功能的所述控制平面的加载时间验证所述安全区域的完整性。
23.如权利要求17所述的计算机程序产品,其中被配置为提供连接的计算机程序指令是一个或多个外部化应用编程接口(API)。
24.如权利要求23所述的计算机程序产品,其中,由所述软件定义功能的所述控制平面生成的控制数据包括经由API传递至所述数据平面以促进软件定义网络(SDN)中的安全网络功能虚拟化(NFV)的路由表。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/793,432 US10872145B2 (en) | 2017-10-25 | 2017-10-25 | Secure processor-based control plane function virtualization in cloud systems |
| US15/793,432 | 2017-10-25 | ||
| PCT/EP2018/078626 WO2019081348A1 (en) | 2017-10-25 | 2018-10-18 | VIRTUALIZATION OF CONTROL PLANE FUNCTION BASED ON A SECURE PROCESSOR IN CLOUD SYSTEMS |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111164571A true CN111164571A (zh) | 2020-05-15 |
| CN111164571B CN111164571B (zh) | 2024-04-19 |
Family
ID=63965665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880064129.5A Active CN111164571B (zh) | 2017-10-25 | 2018-10-18 | 云系统中的基于安全处理的控制平面功能虚拟化 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10872145B2 (zh) |
| JP (1) | JP7110339B2 (zh) |
| CN (1) | CN111164571B (zh) |
| DE (1) | DE112018004210T5 (zh) |
| GB (1) | GB2581717A (zh) |
| WO (1) | WO2019081348A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612688A (zh) * | 2021-07-14 | 2021-11-05 | 曙光信息产业(北京)有限公司 | 分布式软件定义网络控制系统及其构建方法 |
| CN114035901A (zh) * | 2021-11-16 | 2022-02-11 | 湖北亿咖通科技有限公司 | 用于运行进程的容器的构建方法、装置和电子设备 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11126699B2 (en) * | 2018-02-07 | 2021-09-21 | Nec Corporation | Replica trusted execution environment: enabling seamless replication of trusted execution environment (TEE)-based enclaves in the cloud |
| US10949238B2 (en) * | 2018-12-05 | 2021-03-16 | Vmware, Inc. | Decoupling compute and storage resources in cloud-based HCI (hyper-converged infrastructure) |
| US20200401436A1 (en) * | 2019-06-18 | 2020-12-24 | Tmrw Foundation Ip & Holding S. À R.L. | System and method to operate 3d applications through positional virtualization technology |
| US11044080B2 (en) | 2019-06-24 | 2021-06-22 | International Business Machines Corporation | Cryptographic key orchestration between trusted containers in a multi-node cluster |
| US10917288B2 (en) * | 2019-06-25 | 2021-02-09 | Bank Of America Corporation | Adaptive edge-shift for enterprise contingency operations |
| JP7327057B2 (ja) * | 2019-09-30 | 2023-08-16 | 日本電気株式会社 | コンテナ制御装置、コンテナ制御方法、およびコンテナ制御プログラム |
| US11288018B2 (en) * | 2020-03-25 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for deploying a virtual distributed unit on a network device |
| US11057274B1 (en) * | 2020-04-09 | 2021-07-06 | Verizon Patent And Licensing Inc. | Systems and methods for validation of virtualized network functions |
| US11763015B2 (en) * | 2020-07-14 | 2023-09-19 | Sympatic, Inc. | Securely processing shareable data utilizing a vault proxy |
| CN114244724B (zh) * | 2021-11-24 | 2023-08-29 | 中盈优创资讯科技有限公司 | 一种城域网控制平面向容器化演进的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140317716A1 (en) * | 2013-04-18 | 2014-10-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
| WO2016000160A1 (en) * | 2014-06-30 | 2016-01-07 | Alcatel-Lucent Shanghai Bell Co., Ltd. | Security in software defined network |
| US20160117265A1 (en) * | 2014-10-28 | 2016-04-28 | Francis X. McKeen | Maintaining a secure processing environment across power cycles |
| US20170054696A1 (en) * | 2014-09-03 | 2017-02-23 | Amazon Technologies, Inc. | Securing service control on third party hardware |
| US20170214694A1 (en) * | 2014-08-22 | 2017-07-27 | Nokia Technologies Oy | A Security and Trust Framework for Virtualized Networks |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447872B2 (en) * | 2002-05-30 | 2008-11-04 | Cisco Technology, Inc. | Inter-chip processor control plane communication |
| US7224668B1 (en) * | 2002-11-27 | 2007-05-29 | Cisco Technology, Inc. | Control plane security and traffic flow management |
| US7606140B2 (en) * | 2003-08-28 | 2009-10-20 | Alcatel Lucent | Distributed and disjoint forwarding and routing system and method |
| US7990993B1 (en) * | 2008-02-20 | 2011-08-02 | Juniper Networks, Inc. | Platform-independent control plane and lower-level derivation of forwarding structures |
| US8954752B2 (en) | 2011-02-23 | 2015-02-10 | International Business Machines Corporation | Building and distributing secure object software |
| US8578175B2 (en) | 2011-02-23 | 2013-11-05 | International Business Machines Corporation | Secure object having protected region, integrity tree, and unprotected region |
| US8739177B2 (en) | 2010-06-21 | 2014-05-27 | Intel Corporation | Method for network interface sharing among multiple virtual machines |
| US8832465B2 (en) * | 2012-09-25 | 2014-09-09 | Apple Inc. | Security enclave processor for a system on a chip |
| US8438631B1 (en) | 2013-01-24 | 2013-05-07 | Sideband Networks, Inc. | Security enclave device to extend a virtual secure processing environment to a client device |
| US8448238B1 (en) | 2013-01-23 | 2013-05-21 | Sideband Networks, Inc. | Network security as a service using virtual secure channels |
| JP6214088B2 (ja) | 2013-11-25 | 2017-10-18 | 学校法人東京電機大学 | ネットワーク制御システム及び方法 |
| US9442752B1 (en) * | 2014-09-03 | 2016-09-13 | Amazon Technologies, Inc. | Virtual secure execution environments |
| EP3227779A1 (en) | 2014-12-04 | 2017-10-11 | Nokia Solutions And Networks Management International GmbH | Steering of virtualized resources |
| JP6569741B2 (ja) | 2015-05-11 | 2019-09-04 | 日本電気株式会社 | 通信装置、システム、方法、及びプログラム |
| US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| US9742790B2 (en) * | 2015-06-16 | 2017-08-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
| US10528721B2 (en) * | 2016-10-20 | 2020-01-07 | Intel Corporation | Trusted packet processing for multi-domain separatization and security |
| US10277535B2 (en) * | 2017-03-31 | 2019-04-30 | Hewlett Packard Enterprise Development Lp | Network switch systems including logical switches |
-
2017
- 2017-10-25 US US15/793,432 patent/US10872145B2/en active Active
-
2018
- 2018-10-18 CN CN201880064129.5A patent/CN111164571B/zh active Active
- 2018-10-18 DE DE112018004210.3T patent/DE112018004210T5/de active Pending
- 2018-10-18 JP JP2020522703A patent/JP7110339B2/ja active Active
- 2018-10-18 GB GB2006882.1A patent/GB2581717A/en not_active Withdrawn
- 2018-10-18 WO PCT/EP2018/078626 patent/WO2019081348A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140317716A1 (en) * | 2013-04-18 | 2014-10-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
| WO2016000160A1 (en) * | 2014-06-30 | 2016-01-07 | Alcatel-Lucent Shanghai Bell Co., Ltd. | Security in software defined network |
| US20170214694A1 (en) * | 2014-08-22 | 2017-07-27 | Nokia Technologies Oy | A Security and Trust Framework for Virtualized Networks |
| US20170054696A1 (en) * | 2014-09-03 | 2017-02-23 | Amazon Technologies, Inc. | Securing service control on third party hardware |
| US20160117265A1 (en) * | 2014-10-28 | 2016-04-28 | Francis X. McKeen | Maintaining a secure processing environment across power cycles |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612688A (zh) * | 2021-07-14 | 2021-11-05 | 曙光信息产业(北京)有限公司 | 分布式软件定义网络控制系统及其构建方法 |
| CN114035901A (zh) * | 2021-11-16 | 2022-02-11 | 湖北亿咖通科技有限公司 | 用于运行进程的容器的构建方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7110339B2 (ja) | 2022-08-01 |
| GB202006882D0 (en) | 2020-06-24 |
| US20190121960A1 (en) | 2019-04-25 |
| CN111164571B (zh) | 2024-04-19 |
| GB2581717A (en) | 2020-08-26 |
| DE112018004210T5 (de) | 2020-04-30 |
| WO2019081348A1 (en) | 2019-05-02 |
| JP2021500669A (ja) | 2021-01-07 |
| US10872145B2 (en) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111164571B (zh) | 云系统中的基于安全处理的控制平面功能虚拟化 | |
| US10680946B2 (en) | Adding multi-tenant awareness to a network packet processing device on a software defined network (SDN) | |
| Casalicchio et al. | The state‐of‐the‐art in container technologies: Application, orchestration and security | |
| US11044236B2 (en) | Protecting sensitive information in single sign-on (SSO) to the cloud | |
| US10970402B2 (en) | Distributed learning preserving model security | |
| Padhy et al. | Cloud computing: security issues and research challenges | |
| US9578063B1 (en) | Application self-service for assured log management in cloud environments | |
| US9917818B2 (en) | Multi-tenant secure separation of data in a cloud-based application | |
| US10938787B2 (en) | Cloud services management system and method | |
| US9426155B2 (en) | Extending infrastructure security to services in a cloud computing environment | |
| Aiash et al. | Secure live virtual machines migration: issues and solutions | |
| EP2378455A2 (en) | Protected application stack and method and system of utilizing | |
| Kim et al. | CF-CloudOrch: container fog node-based cloud orchestration for IoT networks | |
| Shtern et al. | An architecture for overlaying private clouds on public providers | |
| Manohar | A survey of virtualization techniques in cloud computing | |
| Annapureddy | Security challenges in hybrid cloud infrastructures | |
| Yao et al. | CryptVMI: A flexible and encrypted virtual machine introspection system in the cloud | |
| Upadhyay et al. | Secure live migration of VM's in Cloud Computing: A survey | |
| Syed et al. | Towards secure instance migration in the cloud | |
| US11385946B2 (en) | Real-time file system event mapping to cloud events | |
| Rathod et al. | Secure live vm migration in cloud computing: A survey | |
| Vijaya Bharati et al. | Data storage security in cloud using a functional encryption algorithm | |
| Simec et al. | NFV And Network Security With Ansible | |
| Londhe et al. | Imperial Analysis of Threats and Vulnerabilities in Cloud Computing. | |
| Yeluri et al. | Network security in the cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |