CN111480326A - 分布式多层云环境中基于事件关联的安全管理的装置、系统和方法 - Google Patents
分布式多层云环境中基于事件关联的安全管理的装置、系统和方法 Download PDFInfo
- Publication number
- CN111480326A CN111480326A CN201780097010.3A CN201780097010A CN111480326A CN 111480326 A CN111480326 A CN 111480326A CN 201780097010 A CN201780097010 A CN 201780097010A CN 111480326 A CN111480326 A CN 111480326A
- Authority
- CN
- China
- Prior art keywords
- security
- tenants
- cloud
- service provider
- cloud service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了一种用于在分布式多层云环境中基于事件关联的安全管理的装置,其中,分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该装置至少被安装在第一层云服务提供商和第二层云服务提供商中的一个云服务提供商上,该装置包括:中央处理模块,被配置为:向多个租户提供关联即服务(CORRaaS),作为用于多个租户的切片的虚拟化安全设备或虚拟化安全功能,生成用于允许多个租户配置关联即服务(CORRaaS)的第二接口,以及关联和处理来自多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求不符合;第三接口,用于向多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据;以及第四接口,其朝向云服务提供商的云管理器,用于使云管理器缓解所检测或所预测的攻击或异常或与安全要求不符合。还提供了对应的用于在分布式多层云环境中基于事件关联的安全管理的系统和方法,以及计算机可读介质。
Description
技术领域
本公开的实施例一般涉及云环境中的安全管理,更具体地,涉及用于在分布式多层云环境中基于事件关联的安全管理的装置、系统和方法。
背景技术
软件即服务(SaaS)提供商基于协商的服务水平协议(SLA)合同来使用来自其他基础架构即服务(IaaS)提供商和平台即服务(PaaS)提供商的云和联网资源。甚至,对于(如4G和5G中的)电信服务提供商,可能只有一个基础架构提供商,其将若干个电信SaaS作为租户托管在为了隔离租户而划分的共享基础架构上,称为“云切片”。此外,5G电信服务提供商可提供完整的虚拟网络(“网络切片”),其可由如垂直行业(Verticals)的租户来操作。假定在大多数情况下,电信服务提供商将管理网络切片。
在共享基础架构上的独占拥有的虚拟机(VM)对于安全管理是具有挑战性的。云服务提供商(如IaaS/PaaS)管理来自共享基础架构的资源,还需要适应来自租户的变化的安全需求以及支持云计算的按使用付费业务模型。此外,云服务提供商必须确保符合SLA要求,例如,IaaS提供商必须保证来自每个租户的延迟相关的SLA。如入侵检测/预防的安全功能可能降低企业应用的端到端性能,防止对SLA的违反必须考虑来自安全功能的提供和配置的影响。
租户需要符合来自他们的应用的安全要求,并且他们依赖于服务提供商适当具有的安全机制,例如,他们必须信任云服务提供商以防止受到来自外部人员和内部人员(其他租户)的攻击。租户希望了解安全是如何工作的,并且他们的担忧与不符合法规和工业要求、事件响应的延迟等有关。因此,与安全有关的可见性和透明度将成为云服务的非常重要的特征,并且租户需要从云提供商购买附加服务以部署他们自己的网络安全防御机制。
未来的业务应用需要高性能和安全的网络,并且被部署在包括IaaS、PaaS和SaaS提供商的4G和5G架构模型上。现今,所提供的安全方案远离其中多个VM驻留在被部署在共享基础架构上的租户的网络切片中的分布式云环境中的集成。另外,SLA没有建立和强制执行来自租户的切片与提供商的云的事件之间的关联,而且在SLA中没有定义遥测数据的敏感性和隐私性。此外,现今的安全管理并没有考虑物理和虚拟化安全功能的提供和配置可能降低业务应用的性能。
虽然对云环境中的安性和安全管理进行了大量研究,但是云服务提供商和租户所使用的自动化安全管理考虑了多租户和服务分发,解决了符合SLA以及对抵御网络攻击的支持,而到目前为止没有发现性能降低的情况。
发明内容
因此,提供了用于在分布式多层云环境中基于事件关联的安全管理的装置、系统和方法,以及一种计算机可读介质。
在一个示例性实施例中,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的装置,其中,分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该装置至少被安装在第一层云服务提供商和第二层云服务提供商中的一个云服务提供商上,该装置包括:
中央处理模块,被配置为:向多个租户提供关联即服务(CORRaaS),作为用于多个租户的切片的虚拟化安全设备或虚拟化安全功能,生成用于允许多个租户配置关联即服务(CORRaaS)的第二接口,关联和处理来自多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
第三接口,用于向多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据;以及
第四接口,其朝向云服务提供商的云管理器,用于使云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
在另一个示例性实施例中,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的系统,其中,分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该系统包括:至少一个根据本公开的任何实施例的装置。
在另一个示例性实施例中,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的方法,其中,分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该方法至少在第一层云服务提供商和第二层云服务提供商中的一个云服务提供商上执行,该方法包括:
向多个租户提供关联即服务(CORRaaS),作为用于多个租户的切片的虚拟化安全设备或虚拟化安全功能,并允许多个租户配置关联即服务(CORRaaS);
关联和处理来自多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
分别向多个租户的安全管理系统和/或向云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据;以及
使云服务提供商的云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
在另一个示例性实施例中,提供了一种的计算机可读介质,其被编码有指令,这些指令在由一个或多个处理器执行时使得装置执行根据本公开的任何实施例的用于在分布式多层云环境中基于事件关联的安全管理的方法的步骤。
附图说明
因此,已经概括地描述了本公开,现在将参考并非是按比例绘制的附图,其中:
图1示出在其中可实现本公开的分布式多层云环境的示意图;
图2示出具有被安装在各种云服务提供商上的根据本公开的实施例的在多租户环境中针对事件关联的安全管理(SMEC)的实例的分布式多层云环境的示意图;
图3示出根据本公开的实施例的在多租户环境中针对事件关联的安全管理(SMEC)的模块化架构的示意图;
图4是根据本公开的实施例的基于SLA来部署和配置安全功能并处理安全事件的示意性时序图。
具体实施方式
现在将在下文中参考附图更全面地描述本公开的一些实施例,在附图中示出了本公开的一些但并非所有的实施例。实际上,本公开的各种实施例可采用许多不同的形式来体现,并且不应被解释为限于本文所阐述的实施例;相反,提供这些实施例是为了使本公开满足适用的法律要求。对于本领域技术人员显而易见的是,可以在没有这些具体细节的情况下或者具有等效配置的情况下来实践本公开的实施例。在其他实例中,以框图形式示出了公知的结构和设备,以避免不必要地模糊本公开的实施例。在本文中,相同的附图标记表示相同的元件。
参考图1,其示出了在其中可实现本公开的分布式多层云环境的示意图。
如图1所示,托管中央云的至少一个中央数据中心和托管边缘云的至少一个边缘数据中心通过骨干网相连,骨干网可以是软件定义的广域网(SD-WAN)。边缘数据中心和中央数据中心可各自包括物理资源层(例如,计算和存储资源)、虚拟化层、虚拟基础架构管理器(VIM)、数据中心软件定义的网络控制器(DC SDN-C)等。物理资源层和虚拟化层中的每一个都可包括入侵检测系统(IDS)。骨干网可包括各种联网设备,诸如网关、路由器、交换机等。为了云租户的利益,云和骨干网的资源例如以基础设施即服务(IaaS)或平台即服务(PaaS)的形式进行了划分。
IaaS或PaaS云的租户可以是电信服务提供商,其可以是向他们自己的租户提供SaaS云服务的SaaS(软件即服务)云服务提供商。例如,在图1中,示出了三个电信SaaS云服务提供商SaaS A、SaaS B和SaaS C。
电信SaaS云服务提供商的租户例如可以是垂直业务提供商,垂直业务提供商可以向终端消费者提供服务,例如,车辆制造商提供“堵塞警告后端”服务、“地图”服务等。电信SaaS云服务提供商可提供完整的虚拟网络(被称为网络切片)以由他们的租户(例如,垂直业务提供商)操作。例如,在图1中,每个电信SaaS被示出为向他的租户提供若干虚拟网络,切片A等;并且每个网络切片可包括切片SDN控制器、切片编排器和其他联网设备。
如图1所示,“中间人”可位于IaaS/PaaS云与电信SaaS云之间,用于编排包括服务水平协议(SLA)协商的资源,以实现异构云与多层云之间的协作。
如本领域技术人员可理解的,如图1所示的分布式多层云环境的部分可被用于4G或5G电信架构中,也可用于其他电信或计算机网络中。还应注意,如图1所示的分布式多层云环境仅仅是示例性的而非限于其中可实现本公开的环境,该环境可包括更多、更少或不同的组件和/或所示出的那些布置以外的布置。
本公开引入了可被称为“在多租户环境中针对事件关联的安全管理(SMEC)”的新的逻辑管理实体,其在分布式多租户(Telco和IT)云环境(IaaS、PaaS、SaaS以及5G云)中执行自动化安全管理任务。
SMEC的实例可被安装在各种云服务提供商上,并且可被云服务提供商和租户用于实现复杂的关联过程以用于检测网络攻击。在用于安全事件管理的整个过程中(从安全功能(SF)的部署和配置到事件响应处理),可确保符合租户的SLA。
参考图2,其示出了具有被安装在各种云服务提供商上的SMEC的实例的分布式多层云环境的示意图。
如图2所示,IaaS/PaaS云分别提供边缘云、软件定义的广域网(SD-WAN)和中央云的资源,并且租户是电信SaaS提供商。在一些情况下,可能在SaaS层上方存在上层,其可使用预定义的应用或虚拟网络(切片)向终端消费者提供服务。在图2中,示出了两个电信SaaS提供商A和B,其中电信SaaS提供商A向他的租户(诸如租户X,例如,工业4.0、垂直业务提供商)提供切片A1-An,电信SaaS提供商B向他的租户(诸如租户Y,例如,车辆、另一个垂直业务提供商)提供切片B1-Bn。
如图2所示,在本公开的实施例中,在分布式多层云环境的多层中提供了自动化SLA驱动的安全管理。具体地,SMEC的实例被分别安装在IaaS/PaaS云服务提供商、SD-WAN和电信SaaS提供商上。此外,云服务提供商的SMEC可与所有租户的SMEC实体进行交互。类似地,租户的SMEC可与所有其云提供商的SMEC实体进行交互。在本公开的实施例中,关联数据经由其SMEC在云服务提供商(IaaS/PaaS、SaaS)与租户(SaaS、垂直行业)之间传输,以实现考虑到私人/敏感信息的针对网络攻击的安全机制。数据基于SLA在两个方向上在不同层中在SMEC之间交换。
本公开的实施例的关键特征包括以下中的任何一个或多个:
1.基于SLA在异构云服务提供商之间进行自动化事件数据传输,即,警报数据从SMEC传输到其他关联系统,诸如租户的SMEC。
在所提出的实施例中,提出了一种避免集中式系统的关注,如连接性问题,单点故障,事件响应延迟等的多层方法。因此,跨多个层考虑了安全管理层次结构,包括垂直业务提供商,电信服务提供商、以及IaaS/PaaS云服务提供商。
此外,如IDS、异常检测系统等的安全功能可能遭受假警报,并且需要进一步的调查以便减少误报。另外,误报和重复警报以及原始数据的传输可导致性能问题。由此,提出了在分布式云环境的每一层中的SMEC具有事件关联和通知能力。每个云服务提供商(XaaS)具有它自己的SMEC实体。如果租户(如垂直业务提供商)是XaaS提供商,则它也可具有自己的安全管理实体(如SMEC)。因此,实现了根据租户的安全SLA的(实时)报告功能,例如以使能通知终端设备管理系统。
2.来自跨多租户的异构监视组件的安全事件的关联,例如,将来自租户的切片的数据与来自IaaS的事件和日志数据相关联,以便检测和响应事件和异常。
多个租户的安全和网络事件的关联可被用于过滤重复警报、检测分布式攻击、或减少误报(例如,由异常检测引起的)。例如,IaaS/SaaS提供商的SMEC可检测到多个租户的虚拟机(VM)遭受到DDoS攻击。基于从所有受损租户收集的事件/日志,SMEC可推断出它是由云网络配置的漏洞引起的,并且相应地进行补救。
在一些实施例中,事件关联可基于关联规则来执行。关联规则可在基于签名的规则、基于启发式的规则、基于异常的规则和基于贝叶斯推理的规则到检测零日攻击之间有所不同。在一些进一步的实施例中,关联规则可由用户预先配置,并且可在运行时进一步被重新配置。
3.收集来自多个云提供商的事件。
在一些实施例中,在以租户为中心的方法中,租户可收集来自多个云提供商的原始事件或关联事件,并且基于来自多个云的数据实时地推断出攻击。例如,租户的一个管理员从北京登录到部署在云A中的应用,而云B向租户报告了事件,即同一管理员刚刚从慕尼黑登录到部署在云B中的租户的另一个应用。基于来自云A和云B的两个事件,租户的SMEC可假设该管理员账户是可疑的。
4.使得云服务提供商能够提供安全功能即服务,可能地将其作为托管服务或单独的虚拟化监视和关联组件来提供。
例如,在5G电信网络中,云服务提供商将负责确保符合SLA要求。在这方面,任何一个IaaS/PaaS服务提供商都有责任保证用于所有租户的SaaS的SLA,以及SaaS提供商负责保证用于所有租户的所有网络切片的SLA。此外,云消费者并不管理或控制包括联网、服务器、计算、存储资源等的底层云基础架构。另外,在大多数情况下,电信SaaS提供商将管理网络切片。
因此,在本公开的实施例中,云服务提供商可提供安全功能即服务以在切片中提供/配置安全功能(CORR即服务、FW即服务、IDS即服务等)。
该服务使得能够监视私有云和公共云中预定义虚拟网络内的虚拟机(例如,VM的资源变化),并且使得能够关联所有的相关(事件和日志)数据以检测攻击和异常。虚拟化安全设备或虚拟安全功能可由作为“托管服务”或单独的FWaaS、IDSaaS和CORRaaS提供的云服务提供商进行全面管理。云服务提供商可使得自助服务接口能够分配和配置虚拟化安全设备以及用基于使用的计费模型而增强的功能。
5.在安全事件的情况下保证业务连续性的缓解策略。基于SLA,监视和事件响应处理以缓解攻击(例如,Dos/DDoS和针对性攻击)。
在一些实施例中,在SMEC通过关联安全事件和日志数据而检测到攻击和异常之后,它可自动启动该过程以缓解攻击或异常,例如,分别触发云管理器或SLA管理器以采取合适的动作,例如,缩放虚拟安全功能。
6.基于SLA要求的性能预测和保证:物理安全功能以及在SLA约束下的虚拟安全设备和功能的管理和配置。
5G通信技术将带来具有非常高的带宽和非常低的延迟要求的应用(例如,遥控机器人、联网汽车),而对服务水平协议(SLA)的违反可导致法律和财务问题。另一方面,安全是一个大问题,需要额外的资源以满足来自租户的严格安全要求。因此,云服务提供商需要在服务的建立期间在强性能(例如,延迟)要求下用于部署和配置安全功能(防火墙、入侵检测系统、入侵防御系统等)的机制。此外,云服务提供商需要动态添加/提供网络安全功能,并且因此在运行时自动调整服务的安全控制,而不会违反5G生态系统中来自IoT应用的性能要求。
在一些实施例中,SMEC允许云服务提供商预测来自安全功能(例如,IPS、CORRAaS)的部署和配置所需的性能(例如,延迟),以确保用于切片的租户(例如,作为网络切片的租户的垂直行业)的虚拟化资源,并执行资源优化以保证SLA要求(在针对云服务提供商所使用的资源以及切片的资源的安全功能的部署和运行时),例如在添加和配置安全组件之后,不允许降低性能和增加用于业务应用的响应时间。这与其中安全功能是在不影响性能管理的情况下单独管理,并且没有考虑到安全功能可能降低应用性能的事实的常规方法相反。
7.在服务的运行时自动缓解对安全SLA的违反。
云服务的按需部署肯定将适用于安全性,并且需要用于安全相关的功能的SLA定义。租户依赖于服务提供商适当具有的安全机制,例如,他们必须信任云服务提供商以防止受到外部人员和内部人员(其他租户)的攻击。因此,需要“安全SLA”以解决租户对他们的服务和数据的安全的担忧,例如,不符合行业和法规要求、对安全事件的响应时间的延迟。
此外,云服务提供商的自我修复对于支持5G中的各种设备和应用至关重要。自我修复意味着可在租户受到影响之前对安全SLA的违反被缓解。因此,云服务提供商需要针对安全SLA的自动执行机制和自动缓解对SLA的违反的策略。
在一些实施例中,SMEC监视所有租户的安全相关的SLA,这意味着SMEC监视与安全SLA相关的关键绩效指标(KPI)。
例如,SMEC预测到事件响应时间可能被延迟。为了解决可能的对安全SLA的违反的问题,需要部署和配置更多的安全功能(如关联SF)。同时,SMEC需要与云管理器交互,并且可能需要与SLA管理器进行交互,以获取更多资源或者甚至反映安全SLA更新。
对于另一个示例,事件响应处理功能被提供以基于关于安全的SLA来保证符合如欧盟的通用数据保护法规(GDPR)的法规。
应注意,虽然在上面描述了本公开的一些实施例的一些特征,但是本公开的具体实施例可以不必需包括所有这些特征,而是可以仅包括在上面描述的一个或若干特征。
参考图3,其示出了根据本公开的实施例的在多租户环境中针对事件关联的安全管理(SMEC)300的模块化架构的示意图。
如图3所示,为了执行其设想的管理任务,SMEC 300提供以下接口和模块:
1.朝向物理安全功能(PSF)、虚拟安全设备和功能(ISF和VSF),或者朝向PSF/ISF/VSF的安全元件管理器的接口301是必需的,因为PSF/ISF/VSF可由SMEC本身来管理或者经由(可能的第三方)安全元件管理器来间接管理。不同的安全提供商的多个安全元件管理器管理PSF/ISF/VSF是可能的。该接口用于PSF、ISF和VSF的配置和重新配置。此外,需要该接口以用于为了关联目的而收集事件。
2.接口302,其向租户提供监视和关联能力,而与云模型无关(防火墙、入侵检测和关联即服务)。该接口用于监视私有云和公共云中预定义虚拟网络内的虚拟机(例如,VM的资源变化),以及用于关联所有相关(事件和日志)数据以用于检测攻击、异常和与安全要求的不符合。虚拟安全设备和功能可由作为“托管服务”或单独的基于虚拟化的FWaaS、IDSaaS和CORRaaS提供的云服务提供商进行全面管理,例如,提供商可使得自助服务能够分配和配置用基于使用的计费模型而增强的资源。租户可选择他们自己的保护设置(规则集和检测阈值的配置),并且定义他们自己的缓解策略。
3.中央处理模块303,其用于执行SMEC的主要操作,诸如经由各种接口接收和发送相关数据、控制接口的操作、监视和关联安全事件和日志数据、确定和缓解攻击/异常等。
4.朝向SLA管理器的接口304用于获取性能相关的SLA,以用于SF的部署以及PSF和VSF的配置。此外,当SMEC被SLA管理器触发以重新配置PSF/VSFS以避免对SLA的违反时,在操作期间也需要该接口。性能预测和保证可以是基于模拟工具或算法,以评估安全功能的提供和配置对SLA的影响。另外,该接口用于传输所有用于服务的部署的安全SLA,并且用于将关于对安全相关的SLA的违反的信息传输到SLA管理器,以用于在运行时缓解对安全相关的SLA的违反。
5.朝向租户的安全管理系统的接口305使得能够根据租户的SLA来共享信息。例如,基于由云提供商的SMEC处理的隐私/敏感性的(已过滤)事件和日志数据使用IDMEF或另一个合适的格式被传输到租户的安全管理系统,如SMEC或ETSI NFV安全编排器。反之亦然,云服务提供商可获取关于租户的虚拟网络中的事件的信息,例如以防止受到恶意应用的影响。在SMEC位于它本身是其他云服务提供商的租户的云服务提供商内的情况下,接口305还可替代地或附加地包括朝向其他云服务提供商的接口,以用于向其他云服务提供商传输安全相关的数据和/或从其他云服务提供商接收安全相关的数据。
6.朝向云管理器(如ETSI NFV VIM或5G切片编排器)特别是到故障和性能管理的接口306,用于获取相关(事件和日志)数据以进行关联,例如以分析业务应用的性能降低。该接口还用于缓解对安全SLA的违反,例如,通过触发云管理器例如以增加安全服务/功能的资源或重新路由业务来缓解内部人员和外部人员的攻击。
7.用于人为干预的接口307,例如,到租户的REST API。例如,该接口可被管理员用于手动更新安全SLA。
应注意,虽然在上面示出和描述了根据本公开的一些实施例的SMEC的模块化架构,但是这种架构仅仅是示例性的而不限于本公开。在其他实施例中,SMEC可包括比所示出和描述的组件更多、更少或不同的组件,并且这些组件之间的包含、连接和功能关系可与所示出和描述的那些不同。
“在多租户环境中针对事件关联的安全管理”(SMEC)可被实现为根据所设想的任务和所定义的接口而构造的软件包。SMEC可被简易集成到分布式云环境的不同层中。SMEC可被实现为单独的逻辑管理实体以及集成在其他安全管理系统中的逻辑功能两者。
参考图4,其示出了根据本公开实施例的基于SLA的部署和配置安全功能以及处理安全事件的示意性时序图。
该过程的前提是租户和提供商具有适当的SLA,该SLA涵盖了安全相关的要求和非安全(诸如性能)相关的要求。
如图4所示,在步骤1处,租户SMEC基于来自提供商SMEC的对它的租户的管理或要求,请求安全(监视)服务。也就是说,根据法规或来自它自己的客户的安全要求,租户(例如,SaaS提供商)请求云提供商(例如,IaaS提供商)部署安全服务(例如,安全监视服务)以保护其在所提供的云中的应用/网络功能。该请求从租户的SMEC实体被发送到提供商的SMEC。
在步骤2,提供商SMEC基于SLA触发,部署/分配用于所需服务的安全功能(SF)。也就是说,基于租户的服务请求和SLA,提供商SMEC分配已存在的安全功能或者部署构成所需服务的新的安全功能。提供商SMEC应确认所分配的物理或虚拟功能,以满足在SLA中定义的安全功能(例如,IDS、关联等)和性能能力要求两者。
在步骤3,租户SMEC基于SLA,配置关于用于网络或云切片的安全服务的规则。也就是说,一旦针对租户创建了安全服务,提供商SMEC便通知租户SMEC。然后,租户SMEC可基于与切片用户商定的SLA要求,针对特定切片(例如,网络切片/虚拟网络)配置关于服务的安全规则(例如,监视规则、关联规则等)。
在步骤4,提供商SMEC来自被分配给多个租户的SF的安全事件。
在步骤5,提供商SMEC将事件和其他事件相关联以检测异常。也就是说,与从其他资源收集的信息一起,提供商SMEC关联和分析事件,以基于预定义的规则来检测异常、潜在的攻击、漏洞和/或与安全要求的不符合。
在步骤6,提供商SMEC缓解/补救在提供商侧的问题。也就是说,提供商SMEC触发(半)自动过程以缓解/补救在提供商侧的问题,例如,针对云中的所有服务部署和配置DDoS保护设备,更新管理程序的安全补丁等。
在步骤7,提供商SMEC基于SLA,向租户发送已过滤的安全事件报告。也就是说,为了对租户可见和透明,提供商SMEC基于SLA,过滤(去除不相关和敏感信息),并向租户发送原始/预处理/关联事件/警报。
在步骤8,租户SMEC收集来自安全服务的事件。也就是说,租户SMEC收集来自多个提供商所提供的安全服务的事件。
在步骤9,租户SMEC将所接收的事件与来自其他提供商的事件相关联以检测异常。也就是说,租户SMEC关联和分析来自多个服务提供商的安全服务和SMEC的事件,以检测租户服务/应用/云或网络切片上的异常/潜在攻击/漏洞。
在步骤10,租户SMEC缓解/补救在租户侧的问题。也就是说,租户SMEC触发(半)自动过程以缓解/补救服务/应用/网络切片的问题,例如,重新配置网络切片的FW规则。
此外,在一些实施例中,SMEC连续地维持安全和非安全SLA。也就是说,在运行时,SMEC可通过重新配置安全功能和安全相关的KPI来预测性能KPI的潜在降低,并提前进行自主响应。例如,由于高峰时间的业务负载增加,租户的事件响应时间可能会被影响。SMEC应基于负载趋势、阈值和之前学习的其他关联信息来预测该影响,以触发例如安全服务的缩放以缓解该影响。
应注意,虽然在上面已经描述了根据本公开的一些实施例的一些操作的步骤,但是以上描述仅仅是示例性的而不限于本公开。在本公开的其他实施例中,这些操作可具有比所示出和描述的步骤更多、更少或不同的步骤,并且这些步骤之间的顺序、包含、功能等关系可与所示出和描述的那些不同。
如本领域技术人员根据以上描述可理解的,在本公开的一个方面,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的装置,其中,分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该装置至少被安装在第一层云服务提供商和第二层云服务提供商中的一个云服务提供商上,该装置包括:
中央处理模块,被配置为:向多个租户提供关联即服务(CORRaaS),作为用于多个租户的切片的虚拟化安全设备或虚拟化安全功能,生成用于允许多个租户配置关联即服务(CORRaaS)的第二接口,以及关联和处理来自多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
第三接口,用于向多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据;以及
第四接口,其朝向云服务提供商的云管理器,用于使云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
在一些实施例中,中央处理模块进一步被配置为:向多个租户提供关联即服务(CORRaaS),作为托管服务。
在一些实施例中,云管理器是5G云管理器;
第四接口进一步用于从5G云管理器接收在多个租户的切片和/或云中、和/或在多个提供商的云中的事件和日志数据;以及
被配置用于关联和处理的中央处理模块进一步被配置为:关联和处理来自安全功能的安全事件以及来自5G云管理器的事件和日志数据,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
在一些实施例中,第三接口进一步用于从多个租户的安全管理系统、和/或从多个云服务提供商的安全管理系统接收已处理或原始事件数据或日志数据;以及
被配置用于关联和处理的中央处理模块进一步被配置为:关联和处理来自安全功能的安全事件、以及来自租户的安全管理系统和/或来自多个云服务提供商的安全管理系统的已处理或原始事件数据或日志数据,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
在一些实施例中,第二接口进一步用于允许多个租户通过定义用于多个租户的切片的关联规则和缓解策略来配置关联即服务,和/或通过在运行时更新用于多个租户的切片的关联规则和缓解策略来重新配置关联即服务。
在一些实施例中,被配置用于关联和处理的中央处理模块进一步被配置为执行以下中的至少一个以形成已处理安全事件数据:关联和组合相关的安全事件,减少误报和重复的安全事件,以及滤除租户和/或云服务提供商的隐私或敏感信息。
在一些实施例中,第四接口进一步用于使云管理器在服务的运行时调整多个租户的切片中的资源,以便缓解所检测的攻击或异常或与安全要求的不符合。
在一些实施例中,该装置还包括:第一接口,用于在多个租户的切片中配置安全功能,以及用于在服务的运行时在多个租户的切片中重新配置安全功能以缓解所检测的攻击或异常或与安全要求的不符合。
在一些进一步的实施例中,配置安全功能包括:配置关联规则和/或缓解策略,重新配置安全功能包括:重新配置关联规则和/或缓解策略。
在一些进一步的实施例中,中央处理模块进一步被配置为:
预测安全功能的部署和/或配置和/或重新配置对来自多个租户的性能要求的影响;以及
通过经由第一接口配置或重新配置安全功能和/或经由第二接口配置或重新配置关联即服务(CORRaaS)以避免不符合性能要求来保证来自多个租户的性能要求。
在一些进一步的实施例中,该装置还包括:第五接口,其朝向SLA管理器用于接收安全相关的服务水平协议(SLA);
中央处理模块进一步被配置为:
针对被提供给多个租户的服务,监视安全相关的服务水平协议的执行,
针对被提供给多个租户中的租户的服务,检测或预测可能的对安全相关的服务水平协议的违反,以及
通过经由第一接口启动安全功能的配置或重新配置和/或经由第二接口启动关联即服务(CORRaaS)的配置或重新配置,和/或通过经由第五接口向SLA管理器发送关于可能的对安全相关的服务水平协议的违反的信息,自动缓解可能的对安全相关的服务水平协议的违反。
在一些进一步的实施例中,第一接口进一步用于基于安全相关的服务水平协议来配置或重新配置安全功能;和/或
中央处理模块进一步被配置为:基于安全相关的服务水平协议来向多个租户提供关联即服务(CORRaaS);和/或
第三接口进一步用于基于安全相关的服务水平协议来向多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据。
在一些进一步的实施例中,第五接口进一步用于从SLA管理器接收性能相关的服务水平协议;以及
中央处理模块进一步被配置为:
预测安全功能的部署和/或重新部署和/或配置和/或重新配置对来自多个租户的性能要求的影响,以及
通过经由第一接口启动安全功能的配置或重新配置和/或经由第二接口启动关联即服务(CORRaaS)的配置或重新配置以避免可能的对服务水平协议的违反、和/或通过经由第五接口向SLA管理器发送关于可能的对服务水平协议的违反的信息,基于性能相关的服务水平协议而保证来自多个租户的性能要求。
在一些进一步的实施例中,第一接口进一步用于基于性能相关的服务水平协议来部署和配置安全功能;和/或
中央处理模块进一步被配置为:基于性能相关的服务水平协议来向多个租户提供关联即服务(CORRaaS)。
在一些实施例中,该装置还包括:第六接口,用于允许管理员部署和配置安全功能、和/或规定用于收集、关联、检测和/或缓解、和/或安全要求的规则和设置。
在一些实施例中,租户的安全管理系统是被安装在作为云服务提供商的租户上的该装置的实例。
在一些实施例中,第一层云服务提供商是IaaS/PaaS云服务提供商,第二层云服务提供商是SaaS云服务提供商,或者其中,第一层云服务提供商是作为IaaS/PaaS云服务提供商的租户并提供网络切片的SaaS云服务提供商,第二层云服务提供商是操作网络切片的垂直业务提供商。
应注意,虽然在上面已经描述了根据本公开的一些实施例的用于基于分布式多层云环境中的事件关联的安全管理的装置,但是以上描述仅仅是示例性的而不限于本公开。在本公开的其他实施例中,该装置可包括比所描述的组件更多、更少或不同的组件,并且这些组件之间的连接、包含、功能等关系可与所描述的那些不同。
如本领域技术人员可理解的,在本公开的另一方面,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的系统,其中分布式多层云环境包括至少一个第一层云服务提供商以及至少一个作为第一层云服务提供商的租户的第二层云服务提供商,该系统包括:至少一个根据本公开的任何一个实施例的用于在分布式分层云环境中基于事件关联的安全管理的装置。
如本领域技术人员可进一步理解的,在本公开的又一个方面,提供了一种用于在分布式多层云环境中基于事件关联的安全管理的方法,其中分布式多层云环境包括至少一个第一层云服务提供商以及作为第一层云服务提供商的租户的至少一个第二层云服务提供商,该方法至少在第一层云服务提供商和第二层云服务提供商中的一个云服务提供商上执行,该方法包括以下步骤:
向多个租户提供关联即服务(CORRaaS),作为用于多个租户的切片的虚拟化安全设备或虚拟化安全功能,并允许多个租户配置关联即服务(CORRaaS);
关联和处理来自多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
分别向多个租户的安全管理系统和/或向云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或原始数据;以及
使云服务提供商的云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
在一些实施例中,云管理器是5G云管理器,该方法还包括以下步骤:
从5G云管理器接收在多个租户的切片和/或云中、和/或在多个提供商的云中的事件和日志数据;以及
关联和处理包括:关联和处理来自安全功能的安全事件以及来自5G云管理器的事件和日志数据,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
在一些实施例中,该方法还包括:从多个租户的安全管理系统、和/或从多个云服务提供商的安全管理系统接收已处理或原始事件数据或日志数据;以及
关联和处理包括:关联和处理来自安全功能的安全事件、以及来自租户的安全管理系统和/或来自多个云服务提供商的安全管理系统的已处理或原始事件数据或日志数据,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
在一些实施例中,允许多个租户配置关联即服务(CORRaaS)包括:允许多个租户通过定义用于多个租户的切片的关联规则和缓解策略来配置关联即服务,和/或通过在运行时更新用于多个租户的切片的关联规则和缓解策略来重新配置关联即服务。
在一些实施例中,关联和处理包括以下中的至少一个以形成已处理安全事件数据:关联和组合相关的安全事件,减少误报和重复的安全事件,以及滤除租户和/或云服务提供商的隐私或敏感信息。
在一些实施例中,使云服务提供商的云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合包括:使云管理器在服务的运行时调整多个租户的切片中的资源,以便缓解所检测的攻击或异常或与安全要求的不符合。
在一些实施例中,该方法还包括以下步骤:在多个租户的切片中部署和配置安全功能;以及
在服务的运行时在多个租户的切片中重新配置安全功能以缓解所检测的攻击或异常或与安全要求的不符合。
在一些实施例中,配置安全功能包括:配置关联规则和/或缓解策略,以及
重新配置安全功能包括:重新配置关联规则和/或缓解策略。
在一些实施例中,该方法还包括以下步骤:
预测安全功能的部署和/或配置和/或重新配置对来自多个租户的性能要求的影响;以及
通过配置或重新配置安全功能和/或配置或重新配置关联即服务(CORRaaS)以避免不符合性能要求,保证来自多个租户的性能要求。
在一些实施例中,该方法还包括以下步骤:
从SLA管理器接收安全相关的服务水平协议;
针对被提供给多个租户的服务,监视安全相关的服务水平协议的执行;
针对被提供给多个租户中的租户的服务,检测或预测可能的对安全相关的服务水平协议的违反;以及
通过启动安全功能的配置或重新配置和/或关联即服务(CORRaaS)的配置或重新配置,和/或通过向SLA管理器发送关于可能的对安全相关的服务水平协议的违反的信息,自动缓解可能的对安全相关的服务水平协议的违反。
在一些实施例中,在多个租户的切片中部署或重新部署以及配置或重新配置安全功能是基于安全相关的服务水平协议来执行的;和/或
向多个租户提供关联即服务(CORRaaS)是基于安全相关的服务水平协议来执行的;和/或
向多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输已处理安全事件数据和/或日志数据和/或安全事件是基于安全相关的服务水平协议来执行的。
在一些实施例中,该方法还包括以下步骤:
从SLA管理器接收性能相关的服务水平协议;
预测安全功能的部署和/或重新部署和/或配置和/或重新配置对来自多个租户的性能要求的影响;以及
通过启动安全功能的配置或重新配置和/或关联即服务(CORRaaS)的配置或重新配置以避免可能的对服务水平协议的违反、和/或通过向SLA管理器发送关于可能的对服务水平协议的违反的信息,基于性能相关的服务水平协议而保证来自多个租户的性能要求。
在一些实施例中,该方法还包括以下步骤:允许管理员部署和配置安全功能、和/或规定用于收集、关联、检测和/或缓解、和/或安全要求的规则和设置。
在一些实施例中,该方法还由租户的安全管理系统来执行。
在一些实施例中,第一层云服务提供商是IaaS/PaaS云服务提供商,第二层云服务提供商是SaaS云服务提供商,或者其中,第一层云服务提供商是作为IaaS/PaaS云服务提供商的租户并提供网络切片的SaaS云服务提供商,第二层云服务提供商是操作网络切片的垂直业务提供商。
应注意,虽然在上面已经描述了根据本公开的一些实施例的用于基于分布式多层云环境中的事件关联的安全管理的方法,但是以上描述仅仅是示例性的而不限于本公开。在本公开的其他实施例中,那些操作可包括比所描述的操作更多、更少或不同的步骤,并且这些步骤之间的顺序、包含、功能等关系可与所示出和描述的那些不同。
如本领域技术人员可进一步理解的,在本公开的另一方面,提供了一种计算机可读介质,其被编码有指令,当这些指令在由一个或多个处理器执行时使得装置执行至少根据本公开的任何一个实施例的用于在分布式分层云环境中基于事件关联的安全管理的方法的步骤。
本公开的实施例提供了以下优点中的一个或多个:
提供了用于在分布式多层云环境中提供网络安全的分布式架构;
通过在提供商的云与租户的云之间共享安全信息,并关联安全事件和日志数据,改进了对攻击和异常的检测,实现了自动缓解,并且确保了业务连续性;
在共享和关联安全信息时,减少了冗余信息和假警报,滤除了隐私和敏感信息;
改进了与租户的安全有关的可见性和透明度;
使得租户能够从云服务提供商购买安全功能即服务;
考虑了安全功能的部署和操作对性能的影响,保证了符合SLA要求,并且自动缓解了对SLA的违反。
应理解,根据本公开的实施例的装置、系统和方法可在云计算环境中实现。如本领域中已知的,云计算是服务传送模型,用于实现对可配置计算资源(例如,网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机、以及服务)的共享池的方便、按需的网络访问,该资源可以以最少的管理工作量或与服务的提供商的交互来快速提供和发布。该云模型可包括至少五个特征、至少三个服务模型、以及至少四个部署模型。
特征如下:
按需自助服务:云消费者可根据需要自动地单方面提供计算能力,诸如服务器时间和网络存储,而无需与服务的提供商进行人工交互。
宽广的网络访问:能力可在网络上获得并通过标准机制进行访问,这些机制可促进异构的瘦客户端或胖客户端平台(例如,移动电话、便携式计算机、以及PDA)的使用。
资源池:提供商的计算资源使用多租户模型被池化以服务多个消费者,并根据需求动态分配和重新分配不同的物理和虚拟资源。具有位置独立方面的意义,即,消费者通常对所提供的资源的确切位置没有控制或不知道,但可能够规定更高抽象级别的位置(例如,国家、州、或数据中心)。
迅速弹性:在一些情况下,可自动迅速且弹性地提供能力,以快速向外扩展并迅速释放以快速向内收缩。对于消费者而言,可用于提供的能力通常似乎是无限的并且可随时购买任何数量。
所测量的服务:云系统通过在适合服务类型(例如,存储、处理、带宽、以及活动用户账户)的某抽象级别上利用计量能力来自动控制和优化资源使用。可监视、控制和报告资源使用,从而为所使用的服务的提供商和消费者提供透明度。
服务模型如下:
软件即服务(SaaS):被提供给消费者的能力是使用在云基础架构上运行的提供商的应用。这些应用可通过诸如网络浏览器(例如,基于网络的电子邮件)的瘦客户端接口从各种客户端设备访问。消费者不管理或控制包括网络、服务器、操作系统、存储、或者甚至单独的应用能力的底层云基础架构,但可能会限制用户特定的应用配置设置。
平台即服务(PaaS):被提供给消费者的能力将要部署到使用提供商所支持的编程语言和工具消费者创建的或者所获取的应用创建的云基础架构上。使用者不管理或控制包括网络、服务器、操作系统、或存储的底层云基础架构,但控制所部署的应用以及可能的应用托管环境配置。
基础设施即服务(IaaS):被提供给消费者的能力是在消费者能够部署和运行任意软件(其可包括操作系统和应用)的情况下提供处理、存储、网络、以及其他基本计算资源。消费者不管理或控制底层云基础架构,但控制操作系统、存储、所部署的应用,以及可能的对某些网络组件(例如,主机防火墙的有限控制或选择。
部署模型如下:
私有云:云基础架构仅针对组织而操作。它可由组织或第三方管理,并且可存在于本地或异地。
社区云:云基础设施由多个组织共享,并且支持具有共同关注(例如,任务、安全要求、策略、以及合规性考虑)的特定社区。它可由组织或第三方管理,并且可以存在于本地或异地。
公共云:云基础设施可用于公众或大型工业集团,并且由销售云服务的组织所拥有。
混合云:云基础架构包括保持唯一实体但通过标准化或专有技术绑定在一起的两个或更多个云(私有、社区、或公共),从而实现数据和应用的可移植性(例如,用于云之间的负载平衡的云爆发)。
云计算环境是面向服务的,侧重于无状态、低耦合、模块化、以及语义互操作性。云计算的核心是包括互连节点网络的基础架构。
在云计算节点中可具有计算机系统/服务器,其可与多个其他通用或专用计算系统环境或配置一起操作。可适合与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系统、瘦客户端、胖客户端、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机系统、大型计算机系统、以及包括上述任何系统或设备的分布式云计算环境等。
计算机系统/服务器可在由计算机系统执行的诸如程序模块的计算机系统可执行指令的一般上下文中描述。通常,程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器可在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备来执行。在分布式云计算环境中,程序模块可位于包括存储器存储设备的本地和远程计算机系统存储介质中。
在云计算节点中的计算机系统/服务器可以采用通用计算设备的形式。计算机系统/服务器的组件可包括但不限于一个或多个处理器或处理单元、系统存储器、以及将包括系统存储器的各种系统组件耦合到处理器的总线。
总线表示若干类型的总线结构中的任何一个或多个,包括使用各种总线架构中的任何一个的存储器总线或存储器控制器、外围总线、加速图形端口、以及处理器或本地总线。作为示例而非限制,这种架构包括行业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)本地总线、以及外围组件互连(PCI)总线。
计算机系统/服务器通常包括各种计算机系统可读介质。这种介质可以是计算机系统/服务器可访问的任何可用介质,它包括易失性和非易失性介质、可移动和不可移动介质。
系统存储器可包括采用易失性存储器形式的计算机系统可读介质,诸如随机存取存储器(RAM)和/或缓冲存储器。计算机系统/服务器还可以包括其他可移动/不可移动、易失性/非易失性计算机系统存储介质。仅作为示例,可以提供存储系统以用于读取和写入不可移动非易失性磁性介质(通常被称为“硬盘驱动器”)。可提供用于读取和写入可移动非易失性磁盘(例如,“软盘”)的磁盘驱动器,以及用于读取或写入可移动非易失性光盘(诸如CD-ROM、DVD-ROM或其他光学介质)的光盘驱动器。在这种情况下,每个存储器可通过一个或多个数据介质接口连接到总线。存储器可包括至少一个程序产品,其具有被配置为执行本公开的实施例的功能的一组(例如,至少一个)程序模块。
具有一组(至少一个)程序模块的程序/实用程序可作为示例而非限制地存储在存储器、以及操作系统、一个或多个应用程序、其他程序模块和程序数据中。操作系统、一个或多个应用程序、其他程序模块、程序数据或其中一些组合中的每一个可包括联网环境的实现。程序模块通常执行在本文中所描述的本公开的实施例的功能和/或方法。
计算机系统/服务器还可与一个或多个外部设备通信,诸如键盘、指示设备、显示器等;使得用户能够与计算机系统/服务器交互的一个或多个设备;和/或使得计算机系统/服务器能够与一个或多个其他计算设备通信的任何设备(例如,网卡、调制解调器等)。这种通信可经由输入/输出(I/O)接口发生。仍然,计算机系统/服务器可经由网络适配器与诸如局域网(LAN)、通用广域网(WAN)、和/或公共网络(例如,因特网)的一个或多个网络通信。网络适配器可经由总线与计算机系统/服务器的其他组件通信。应理解,其他硬件和/或软件组件可与计算机系统/服务器结合使用。示例包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动器阵列、RAID系统、磁带驱动器、以及数据档案存储系统等。
云计算环境可包括一个或多个云计算节点,云消费者使用的本地计算设备,诸如个人数字助理(PDA)或蜂窝电话、台式计算机、便携式计算机、和/或车辆计算机系统可与一个或多个云计算节点通信。节点可彼此通信。它们可物理地或虚拟地在一个或多个网络中被分组,诸如在上文中所描述的私有云、社区云、公共云、或混合云、或其中的组合。这允许云计算环境将基础设施、平台和/或软件作为服务提供,云消费者不需要为该服务而维护本地计算设备上的资源。应理解,计算设备的类型仅旨在说明,并且计算节点和云计算环境可通过任何类型的网络和/或网络可寻址连接(例如,使用网络浏览器)与任何类型的计算机化设备通信。
如本领域中已知的,云计算环境可提供一组功能抽象层。通常,可提供以下的层和对应的功能:
硬件和软件层包括硬件和软件组件。硬件组件的示例包括:大型机;基于RISC(精简指令集计算机)架构的服务器;服务器;刀片服务器;存储设备;以及网络和联网组件。在一些实施例中,软件组件包括网络应用服务器软件和数据库软件。
虚拟化层提供了抽象层,从抽象层可提供以下虚拟实体示例:虚拟服务器;虚拟存储设备;虚拟网络,包括虚拟专用网络;虚拟应用和操作系统;以及虚拟客户端。
在一个示例中,管理层可提供以下描述的功能。资源供应提供了计算资源和其他资源的动态采购,这些资源用于在云计算环境中执行任务。当在云计算环境中使用资源时,计量和定价提供了成本跟踪,并且为这些资源的消耗开具账单或发票。在一个示例中,这些资源可包括应用软件授权。安全性为云消费者和任务提供身份验证,并且为数据和其他资源提供保护。用户门户为消费者和系统管理员提供对云计算环境的访问。服务水平管理提供了云计算资源分配和管理,从而满足所需的服务水平。服务水平协议(SLA)规划和实现为根据SLA预期未来需求的云计算资源提供了预先安排及其采购。可理解,本公开的实施例可在管理层中实现。
工作负载层提供了可利用云计算环境的功能的示例。可从该层提供的工作负载和功能的示例可包括:映射和导航;软件开发和生命周期管理;虚拟课堂教学传送;数据分析处理;交易处理95;等等。
为了说明和描述的目的,已经提供了实施例的前述描述。这并非旨在穷举或限制本公开。特定实施例的单独元件或特征通常不限于该特定实施例,而是在适用的情况下是可互换的,并且即使未被具体示出或描述也可在所选择的实施例中使用。特定实施例的单独元件或特征也可以采用许多方式进行变化。这种变形不应被认为是背离本公开,并且所有这种修改旨在落入在本公开的范围内。
提供了前述示例性实施例,以使得本公开将是透彻的,并且将向本领域技术人员充分传达本公开的范围。阐述了许多特定细节,诸如特定组件、设备和方法的示例,以提供对本公开的实施例的透彻理解。对于本领域技术人员将显而易见的,不需要采用特定细节,示例性实施例可以采用许多不同的形式来体现,并且这些不同的形式不应当被解释为限制本公开的范围。在一些示例性实施例中,没有对公知的过程、公知的设备结构、以及公知的技术进行详细描述。
本文所使用的术语仅出于描述特定示例性实施例的目的而并非旨在进行限制。如本文所使用的,单数形式的“一”、“一个”和“该”也可旨在包括复数形式,除非上下文另外明确指出。术语“包括”、“包含”和“具有”是包含性的,因此表示存在所述的特征、整数、步骤、操作、元件、和/或组件,但并非排除一个或多个其他的特征、整数、步骤、操作、元件、组件、和/或其中的组的存在或添加。除非明确表示为顺序执行,否则本文描述的方法步骤、过程和操作不应被解释为必须以所讨论或示出的特定顺序来执行。还应理解,可采用附加或替代的步骤。
根据本公开的实施例,本文所使用的术语“数据”、“内容”、“信息”和类似术语可互换使用,以指代能够被发送、接收和/或存储的数据。因此,任何这种术语的使用不应被视为限制本公开的实施例的精神和范围。
虽然在本文中可使用术语第一、第二、第三等来描述各种元件、组件、接口、和/或层,但是这些元件、组件、接口、和/或层不应受这些术语的限制。这些术语仅可用于区分一个元件、组件、接口、或层与另一个元件、组件、接口、或层。除非上下文明确指出,否则本文中使用的诸如“第一”、“第二”和其他数字术语的术语并非暗示顺序或次序。因此,下面讨论的第一元件、组件、接口、或层可被称为第二元件、组件、接口、层,而不背离示例性实施例的教导。
受益于在前述说明和相关附图中给出的教导,本公开所属领域的技术人员将会想到本文中阐述的本公开的许多修改和其他实施例。因此,应当理解,本公开不限于所公开的特定实施例,并且修改和其他实施例旨在落入所附权利要求的范围内。此外,虽然前述说明和相关附图在元件和/或功能的某些示例性组合的上下文中描述了示例性实施例,但是应当理解,在不背离所附权利要求的范围的情况下,可通过替代实施例来提供元件和/或功能的不同组合。就此而言,例如,还可设想与上文明确描述的那些不同的元件和/或功能的组合,如可在所附权利要求的一部分中阐述的。虽然本文使用了特定术语,但它们仅在一般性和描述性的意义上使用,而并非出于限制的目的。
Claims (34)
1.一种用于在分布式多层云环境中基于事件关联的安全管理的装置,其中,所述分布式多层云环境包括至少一个第一层云服务提供商以及作为所述第一层云服务提供商的租户的至少一个第二层云服务提供商,所述装置至少被安装在所述第一层云服务提供商和所述第二层云服务提供商中的一个云服务提供商上,所述装置包括:
中央处理模块,被配置为:
向多个租户提供关联即服务(CORRaaS),作为用于所述多个租户的切片的虚拟化安全设备或虚拟化安全功能,
生成用于允许所述多个租户配置所述关联即服务(CORRaaS)的第二接口,以及
关联和处理来自所述多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
第三接口,用于向所述多个租户的安全管理系统和/或向多个云服务提供商的安全管理系统传输所述已处理安全事件数据和/或日志数据和/或原始数据;以及
第四接口,其朝向所述云服务提供商的云管理器,用于使所述云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
2.根据权利要求1所述的装置,其中,所述中央处理模块进一步被配置为:向所述多个租户提供关联即服务(CORRaaS),作为托管服务。
3.根据权利要求1所述的装置,其中,所述云管理器是5G云管理器;
其中,所述第四接口进一步用于从所述5G云管理器接收在所述多个租户的切片和/或云中、和/或在多个提供商的云中的事件和日志数据;以及
其中,被配置用于所述关联和处理的所述中央处理模块进一步被配置为:关联和处理来自所述安全功能的所述安全事件以及来自所述5G云管理器的所述事件和日志数据,以形成所述已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
4.根据前述权利要求中任一项所述的装置,其中,所述第三接口进一步用于从所述多个租户的安全管理系统、和/或从所述多个云服务提供商的安全管理系统接收已处理或原始事件数据或日志数据;以及
其中,被配置用于所述关联和处理的所述中央处理模块进一步被配置为:关联和处理来自所述安全功能的所述安全事件、以及来自所述租户的安全管理系统和/或来自所述多个云服务提供商的安全管理系统的所述已处理或原始事件数据或日志数据,以形成所述已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
5.根据前述权利要求中任一项所述的装置,其中,所述第二接口进一步用于允许所述多个租户通过定义用于所述多个租户的切片的关联规则和缓解策略来配置所述关联即服务,和/或通过在运行时更新用于所述多个租户的切片的关联规则和缓解策略来重新配置所述关联即服务。
6.根据前述权利要求中任一项所述的装置,其中,被配置用于所述关联和处理的所述中央处理模块进一步被配置为执行以下中的至少一个以形成所述已处理安全事件数据:关联和组合相关的安全事件,减少误报和重复的安全事件,以及滤除租户和/或云服务提供商的隐私或敏感信息。
7.根据前述权利要求中任一项所述的装置,其中,所述第四接口进一步用于使所述云管理器在服务的运行时调整所述多个租户的切片中的资源,以便缓解所检测的攻击或异常或与安全要求的不符合。
8.根据前述权利要求中任一项所述的装置,还包括:
第一接口,用于在所述多个租户的切片中配置所述安全功能,以及用于在服务的运行时在所述多个租户的切片中重新配置所述安全功能以缓解所检测的攻击或异常或与安全要求的不符合。
9.根据权利要求8所述的装置,其中,所述配置所述安全功能包括:配置关联规则和/或缓解策略;以及
其中,所述重新配置所述安全功能包括:重新配置关联规则和/或缓解策略。
10.根据权利要求8或9所述的装置,其中,所述中央处理模块进一步被配置为:
预测安全功能的部署和/或配置和/或重新配置对来自所述多个租户的性能要求的影响;以及
通过经由所述第一接口配置或重新配置所述安全功能和/或经由所述第二接口配置或重新配置所述关联即服务(CORRaaS)以避免不符合所述性能要求来保证来自所述多个租户的所述性能要求。
11.根据权利要求8-10中任一项所述的装置,还包括:
第五接口,其朝向SLA管理器,用于接收安全相关的服务水平协议(SLA);
其中,所述中央处理模块进一步被配置为:
针对被提供给所述多个租户的服务,监视所述安全相关的服务水平协议的执行,
针对被提供给所述多个租户中的租户的服务,检测或预测可能的对安全相关的服务水平协议的违反,以及
通过经由所述第一接口启动所述安全功能的配置或重新配置和/或经由所述第二接口启动所述关联即服务(CORRaaS)的配置或重新配置,和/或通过经由所述第五接口向所述SLA管理器发送关于所述可能的对安全相关的服务水平协议的违反的信息,自动缓解所述可能的对安全相关的服务水平协议的违反。
12.根据权利要求11所述的装置,其中,所述第一接口进一步用于基于所述安全相关的服务水平协议来配置或重新配置所述安全功能;和/或
其中,所述中央处理模块进一步被配置为:基于所述安全相关的服务水平协议来向所述多个租户提供关联即服务(CORRaaS);和/或
其中,所述第三接口进一步用于基于所述安全相关的服务水平协议来向所述多个租户的安全管理系统和/或向所述多个云服务提供商的安全管理系统传输所述已处理安全事件数据和/或日志数据和/或原始数据。
13.根据权利要求11所述的装置,其中,所述第五接口进一步用于从所述SLA管理器接收性能相关的服务水平协议;以及
其中,所述中央处理模块进一步被配置为:
预测安全功能的部署和/或重新部署和/或配置和/或重新配置对来自所述多个租户的性能要求的影响,以及
通过经由所述第一接口启动所述安全功能的配置或重新配置和/或经由所述第二接口启动所述关联即服务(CORRaaS)的配置或重新配置以避免可能的对服务水平协议的违反、和/或通过经由所述第五接口向所述SLA管理器发送关于可能的对服务水平协议的违反的信息,基于所述性能相关的服务水平协议而保证来自所述多个租户的所述性能要求。
14.根据权利要求13所述的装置,其中,所述第一接口进一步用于基于所述性能相关的服务水平协议来部署和配置所述安全功能;和/或
其中,所述中央处理模块进一步被配置为:基于所述性能相关的服务水平协议来向所述多个租户提供关联即服务(CORRaaS)。
15.根据前述权利要求中任一项所述的装置,还包括:
第六接口,用于允许管理员部署和配置所述安全功能、和/或规定用于收集、关联、检测和/或缓解、和/或安全要求的规则和设置。
16.根据前述权利要求中任一项所述的装置,其中,所述租户的安全管理系统是被安装在作为云服务提供商的所述租户上的所述装置的实例。
17.根据前述权利要求中任一项所述的装置,其中,所述第一层云服务提供商是IaaS/PaaS云服务提供商,所述第二层云服务提供商是SaaS云服务提供商,或者其中,所述第一层云服务提供商是作为IaaS/PaaS云服务提供商的租户并提供网络切片的SaaS云服务提供商,所述第二层云服务提供商是操作网络切片的垂直业务提供商。
18.一种用于在分布式多层云环境中基于事件关联的安全管理的系统,其中,所述分布式多层云环境包括至少一个第一层云服务提供商以及作为所述第一层云服务提供商的租户的至少一个第二层云服务提供商,所述系统包括:
至少一个根据权利要求1至17中任一项所述的装置。
19.一种用于在分布式多层云环境中基于事件关联的安全管理的方法,其中,所述分布式多层云环境包括至少一个第一层云服务提供商以及作为所述第一层云服务提供商的租户的至少一个第二层云服务提供商,所述方法至少在所述第一层云服务提供商和所述第二层云服务提供商中的一个云服务提供商上执行,所述方法包括:
向多个租户提供关联即服务(CORRaaS),作为用于所述多个租户的切片的虚拟化安全设备或虚拟化安全功能,并允许所述多个租户配置所述关联即服务(CORRaaS);
关联和处理来自所述多个租户的切片中的安全功能的安全事件,以形成已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合;
分别向所述多个租户的安全管理系统和/或向云服务提供商的安全管理系统传输所述已处理安全事件数据和/或日志数据和/或原始数据;以及
使所述云服务提供商的云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合。
20.根据权利要求19所述的方法,其中,所述云管理器是5G云管理器,所述方法还包括:
从所述5G云管理器接收在所述多个租户的切片和/或云中、和/或在多个提供商的云中的事件和日志数据;以及
其中,所述关联和处理包括:
关联和处理来自所述安全功能的所述安全事件以及来自所述5G云管理器的所述事件和日志数据,以形成所述已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
21.根据权利要求19-20中任一项所述的方法,还包括:
从所述多个租户的安全管理系统、和/或从所述多个云服务提供商的安全管理系统接收已处理或原始事件数据或日志数据;以及
其中,所述关联和处理包括:
关联和处理来自所述安全功能的所述安全事件、以及来自所述租户的安全管理系统和/或来自所述多个云服务提供商的安全管理系统的所述已处理或原始事件数据或日志数据,以形成所述已处理安全事件数据并检测或预测攻击或异常或与安全要求的不符合。
22.根据权利要求19-21中任一项所述的方法,其中,允许所述多个租户配置所述关联即服务(CORRaaS)包括:
允许所述多个租户通过定义用于所述多个租户的切片的关联规则和缓解策略来配置所述关联即服务、和/或通过在运行时更新用于所述多个租户的切片的关联规则和缓解策略来重新配置所述关联即服务。
23.根据权利要求19-22中任一项所述的方法,其中,所述关联和处理包括以下中的至少一个以形成所述已处理安全事件数据:
关联和组合相关的安全事件,减少误报和重复的安全事件,以及滤除租户和/或云服务提供商的隐私或敏感信息。
24.根据权利要求19-23中任一项所述的方法,其中,使所述云服务提供商的云管理器缓解所检测或所预测的攻击或异常或与安全要求的不符合包括:
使所述云管理器在服务的运行时调整所述多个租户的切片中的资源,以便缓解所检测的攻击或异常或与安全要求的不符合。
25.根据权利要求19-24中任一项所述的方法,还包括:
在所述多个租户的切片中部署和配置所述安全功能;以及
在服务的运行时在所述多个租户的切片中重新配置所述安全功能以缓解所检测的攻击或异常或与安全要求的不符合。
26.根据权利要求25所述的方法,其中,所述配置所述安全功能包括:配置关联规则和/或缓解策略;以及
其中,所述重新配置所述安全功能包括:重新配置关联规则和/或缓解策略。
27.根据权利要求25或26所述的方法,还包括:
预测安全功能的部署和/或配置和/或重新配置对来自所述多个租户的性能要求的影响;以及
通过配置或重新配置所述安全功能和/或配置或重新配置所述关联即服务(CORRaaS)以避免不符合性能要求,保证来自所述多个租户的所述性能要求。
28.根据权利要求25-27中任一项所述的方法,还包括:
从SLA管理器接收安全相关的服务水平协议;
针对被提供给所述多个租户的服务,监视所述安全相关的服务水平协议的执行;
针对被提供给所述多个租户中的租户的服务,检测或预测可能的对安全相关的服务水平协议的违反;以及
通过启动所述安全功能的配置或重新配置和/或所述关联即服务(CORRaaS)的配置或重新配置,和/或通过向所述SLA管理器发送关于所述可能的对安全相关的服务水平协议的违反的信息,自动缓解所述可能的对安全相关的服务水平协议的违反。
29.根据权利要求28所述的方法,其中,在所述多个租户的切片中部署或重新部署以及配置或重新配置所述安全功能是基于所述安全相关的服务水平协议来执行的;和/或
其中,向所述多个租户提供关联即服务(CORRaaS)是基于所述安全相关的服务水平协议来执行的;和/或
其中,向所述多个租户的安全管理系统和/或向所述多个云服务提供商的安全管理系统传输所述已处理安全事件数据和/或日志数据和/或所述安全事件是基于所述安全相关的服务水平协议来执行的。
30.根据权利要求28所述的方法,还包括:
从所述SLA管理器接收性能相关的服务水平协议;
预测安全功能的部署和/或重新部署和/或配置和/或重新配置对来自所述多个租户的性能要求的影响;以及
通过启动所述安全功能的配置或重新配置和/或所述关联即服务(CORRaaS)的配置或重新配置以避免可能的对服务水平协议的违反、和/或通过向所述SLA管理器发送关于可能的对服务水平协议的违反的信息,基于所述性能相关的服务水平协议而保证来自所述多个租户的所述性能要求。
31.根据权利要求19-30中任一项所述的方法,还包括:
允许管理员部署和配置所述安全功能、和/或规定用于收集、关联、检测和/或缓解、和/或安全要求的规则和设置。
32.根据权利要求19-31中任一项所述的方法,其中,所述方法还由所述租户的安全管理系统和/或所述云服务提供商的安全管理系统来执行。
33.根据权利要求19-32中任一项所述的方法,其中,所述第一层云服务提供商是IaaS/PaaS云服务提供商,所述第二层云服务提供商是SaaS云服务提供商,或者其中,所述第一层云服务提供商是作为IaaS/PaaS云服务提供商的租户并提供网络切片的SaaS云服务提供商,所述第二层云服务提供商是操作网络切片的垂直业务提供商。
34.一种计算机可读介质,其被编码有指令,所述指令在由一个或多个处理器执行时使得装置执行至少根据权利要求19-23中任一项所述的方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2017/111883 WO2019095374A1 (en) | 2017-11-20 | 2017-11-20 | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111480326A true CN111480326A (zh) | 2020-07-31 |
| CN111480326B CN111480326B (zh) | 2022-08-09 |
Family
ID=66539180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780097010.3A Active CN111480326B (zh) | 2017-11-20 | 2017-11-20 | 分布式多层云环境中基于事件关联的安全管理的装置、系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11368489B2 (zh) |
| EP (1) | EP3714583B1 (zh) |
| CN (1) | CN111480326B (zh) |
| WO (1) | WO2019095374A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422180A (zh) * | 2021-12-07 | 2022-04-29 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN116069584A (zh) * | 2021-10-29 | 2023-05-05 | 慧与发展有限责任合伙企业 | 将监控服务扩展到可信云运营商域中 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11490453B2 (en) * | 2019-05-16 | 2022-11-01 | Apple Inc. | Self-organizing device |
| US11088932B2 (en) | 2019-10-14 | 2021-08-10 | International Business Machines Corporation | Managing network system incidents |
| CN113825161B (zh) * | 2020-06-18 | 2023-08-04 | 中国移动通信集团浙江有限公司 | 基于深度自编码神经网络的5g切片异常检测方法及装置 |
| CN113965332B (zh) * | 2020-06-29 | 2023-08-08 | 中国联合网络通信集团有限公司 | 企业上云方法、设备、系统和存储介质 |
| CN112367311B (zh) * | 2020-10-30 | 2023-04-07 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及存储介质 |
| US20220294818A1 (en) * | 2021-03-11 | 2022-09-15 | Virtustream Ip Holding Company Llc | Management of multi-cloud workloads using relative risk ranking of cloud assets |
| US11539673B2 (en) * | 2021-05-05 | 2022-12-27 | Cisco Technology, Inc. | Predictive secure access service edge |
| WO2023280399A1 (en) * | 2021-07-07 | 2023-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Security service orchestration function interaction between telecommunications networks based on different deployment frameworks |
| EP4367860A1 (en) * | 2021-07-07 | 2024-05-15 | Telefonaktiebolaget LM Ericsson (publ) | Security service orchestration function in a service-based architecture |
| CN113676457B (zh) * | 2021-07-26 | 2022-04-01 | 北京东方通网信科技有限公司 | 一种基于状态机的流式多层安全检测方法及系统 |
| CN113422721B (zh) * | 2021-08-24 | 2021-11-09 | 之江实验室 | 一种拟态工业边缘计算网关的实现方法 |
| US11985069B2 (en) * | 2022-07-31 | 2024-05-14 | Cisco Technology, Inc. | Auto-detection of application failures for forecasting network path performance |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103118053A (zh) * | 2011-08-17 | 2013-05-22 | 国际商业机器公司 | 在网络计算环境中构建数据安全性的方法和系统 |
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| US20140019335A1 (en) * | 2012-07-12 | 2014-01-16 | Ca, Inc. | Systems and methods for self-service cloud-based arenas for information technology-driven situational management |
| US8689282B1 (en) * | 2011-12-23 | 2014-04-01 | Emc Corporation | Security policy enforcement framework for cloud-based information processing systems |
| US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
| CN106341386A (zh) * | 2015-07-07 | 2017-01-18 | 埃森哲环球服务有限公司 | 针对基于云的多层安全架构的威胁评估级确定及补救 |
| CN107004095A (zh) * | 2014-11-28 | 2017-08-01 | 国际商业机器公司 | 基于上下文的云安全保障系统 |
| US20170257432A1 (en) * | 2011-02-09 | 2017-09-07 | Cliqr Technologies Inc. | Apparatus, systems and methods for container based service deployment |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7278156B2 (en) | 2003-06-04 | 2007-10-02 | International Business Machines Corporation | System and method for enforcing security service level agreements |
| US10565065B2 (en) | 2009-04-28 | 2020-02-18 | Getac Technology Corporation | Data backup and transfer across multiple cloud computing providers |
| US9537650B2 (en) * | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
| US9128773B2 (en) | 2011-02-25 | 2015-09-08 | International Business Machines Corporation | Data processing environment event correlation |
| US20150067171A1 (en) | 2013-08-30 | 2015-03-05 | Verizon Patent And Licensing Inc. | Cloud service brokering systems and methods |
| US20160014159A1 (en) * | 2014-07-10 | 2016-01-14 | Sven Schrecker | Separated security management |
| US9887886B2 (en) | 2014-07-15 | 2018-02-06 | Sap Se | Forensic software investigation |
| US9419857B1 (en) | 2015-07-24 | 2016-08-16 | Accenture Global Services Limited | Cloud-based multi-layer security architecture with hub and spoke development environment |
| US10148624B2 (en) * | 2015-09-25 | 2018-12-04 | Mcafee, Llc | Secure service matching |
| US10685043B2 (en) | 2015-11-10 | 2020-06-16 | International Business Machines Corporation | Event analysis in network management event streams |
| CN105282178A (zh) | 2015-11-29 | 2016-01-27 | 国网江西省电力公司信息通信分公司 | 一种云计算安全技术平台 |
| US10985997B2 (en) * | 2016-05-06 | 2021-04-20 | Enterpriseweb Llc | Systems and methods for domain-driven design and execution of metamodels |
| US10218572B2 (en) * | 2017-06-19 | 2019-02-26 | Cisco Technology, Inc. | Multiprotocol border gateway protocol routing validation |
| US10411996B2 (en) * | 2017-06-19 | 2019-09-10 | Cisco Technology, Inc. | Validation of routing information in a network fabric |
| US10461421B1 (en) * | 2019-05-07 | 2019-10-29 | Bao Tran | Cellular system |
-
2017
- 2017-11-20 CN CN201780097010.3A patent/CN111480326B/zh active Active
- 2017-11-20 EP EP17932307.6A patent/EP3714583B1/en active Active
- 2017-11-20 WO PCT/CN2017/111883 patent/WO2019095374A1/en unknown
- 2017-11-20 US US16/764,871 patent/US11368489B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170257432A1 (en) * | 2011-02-09 | 2017-09-07 | Cliqr Technologies Inc. | Apparatus, systems and methods for container based service deployment |
| CN103118053A (zh) * | 2011-08-17 | 2013-05-22 | 国际商业机器公司 | 在网络计算环境中构建数据安全性的方法和系统 |
| US8689282B1 (en) * | 2011-12-23 | 2014-04-01 | Emc Corporation | Security policy enforcement framework for cloud-based information processing systems |
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| US20140019335A1 (en) * | 2012-07-12 | 2014-01-16 | Ca, Inc. | Systems and methods for self-service cloud-based arenas for information technology-driven situational management |
| US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
| CN107004095A (zh) * | 2014-11-28 | 2017-08-01 | 国际商业机器公司 | 基于上下文的云安全保障系统 |
| CN106341386A (zh) * | 2015-07-07 | 2017-01-18 | 埃森哲环球服务有限公司 | 针对基于云的多层安全架构的威胁评估级确定及补救 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN114640626B (zh) * | 2020-12-01 | 2023-07-18 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN116069584A (zh) * | 2021-10-29 | 2023-05-05 | 慧与发展有限责任合伙企业 | 将监控服务扩展到可信云运营商域中 |
| CN114422180A (zh) * | 2021-12-07 | 2022-04-29 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
| CN114422180B (zh) * | 2021-12-07 | 2024-05-28 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3714583B1 (en) | 2023-12-13 |
| CN111480326B (zh) | 2022-08-09 |
| WO2019095374A1 (en) | 2019-05-23 |
| US11368489B2 (en) | 2022-06-21 |
| EP3714583A1 (en) | 2020-09-30 |
| US20200344267A1 (en) | 2020-10-29 |
| WO2019095374A9 (en) | 2019-07-04 |
| EP3714583A4 (en) | 2021-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111480326B (zh) | 分布式多层云环境中基于事件关联的安全管理的装置、系统和方法 | |
| US20220053017A1 (en) | Modifying incident response time periods based on incident volume | |
| US11190544B2 (en) | Updating security controls or policies based on analysis of collected or created metadata | |
| AU2018204279B2 (en) | Systems and methods for network analysis and reporting | |
| US9935971B2 (en) | Mitigation of virtual machine security breaches | |
| US20220232026A1 (en) | Intrusion detection system enrichment based on system lifecycle | |
| US9912679B1 (en) | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network | |
| CN107430647B (zh) | 提供软件定义基础架构内的安全性的方法和系统 | |
| US11196636B2 (en) | Systems and methods for network data flow aggregation | |
| US10728251B2 (en) | Systems and methods for creating and modifying access control lists | |
| US9769174B2 (en) | Systems and methods for creating and modifying access control lists | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| WO2016160523A1 (en) | Conditional declarative policies | |
| EP3641221B1 (en) | Identifying computing devices in a managed network that are involved in blockchain-based mining | |
| CN105075212A (zh) | 用于数据中心安全的混合防火墙 | |
| WO2019025946A1 (en) | SYSTEM, METHOD AND COMPUTER PROGRAM PROVIDING SECURITY IN COMMUNICATION NETWORKS BASED ON VIRTUALIZATION OF NETWORK FUNCTIONS (NFV) AND IN SOFTWARE DEFINED NETWORKS (SDN) | |
| US11870815B2 (en) | Security of network traffic in a containerized computing environment | |
| Adam et al. | Framework for security event management in 5G | |
| CN114386944A (zh) | 一种分配云安全资源的系统 | |
| Wang et al. | Carrier-grade distributed cloud computing: Demands, challenges, designs, and future perspectives | |
| WO2023194701A1 (en) | Security of network traffic in a containerized computing environment | |
| KR20180071480A (ko) | 클라우드 컴퓨팅에서의 테넌트 별 보안 서비스를 위한 클라우드 데이터 센터 관제 시스템 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |