CN111919418B - 按需安全策略提供 - Google Patents
按需安全策略提供 Download PDFInfo
- Publication number
- CN111919418B CN111919418B CN201980019962.2A CN201980019962A CN111919418B CN 111919418 B CN111919418 B CN 111919418B CN 201980019962 A CN201980019962 A CN 201980019962A CN 111919418 B CN111919418 B CN 111919418B
- Authority
- CN
- China
- Prior art keywords
- epg
- network
- pod
- security policies
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000004891 communication Methods 0.000 claims abstract description 20
- 230000033001 locomotion Effects 0.000 claims abstract description 11
- 239000004744 fabric Substances 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 28
- 230000006870 function Effects 0.000 description 12
- 101000805613 Homo sapiens Vacuole membrane protein 1 Proteins 0.000 description 11
- 102100038001 Vacuole membrane protein 1 Human genes 0.000 description 11
- 238000007726 management method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 101100057159 Caenorhabditis elegans atg-13 gene Proteins 0.000 description 3
- 101100428614 Caenorhabditis elegans epg-3 gene Proteins 0.000 description 3
- 101100225553 Caenorhabditis elegans epg-4 gene Proteins 0.000 description 3
- 101150113802 EPG5 gene Proteins 0.000 description 3
- 102100027270 Etoposide-induced protein 2.4 homolog Human genes 0.000 description 3
- 101001057564 Homo sapiens Etoposide-induced protein 2.4 homolog Proteins 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- 101100279860 Caenorhabditis elegans epg-2 gene Proteins 0.000 description 2
- 102100030281 Ectopic P granules protein 5 homolog Human genes 0.000 description 2
- 101000938359 Homo sapiens Ectopic P granules protein 5 homolog Proteins 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 101100172504 Caenorhabditis elegans epg-6 gene Proteins 0.000 description 1
- 101100016034 Nicotiana tabacum APIC gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
- H04L41/0897—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities by horizontal or vertical scaling of resources, or by migrating entities, e.g. virtual resources or entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于使用白名单和黑名单规则进行按需安全提供的系统、方法和计算机可读介质。包括多个网荚的网络中的系统可以在第一网荚中针对第一端点组(EPG)配置安全策略,该安全策略包括黑名单和白名单规则,该黑名单和白名单规则定义用于第一EPG与网络中的第二网荚中的第二EPG之间的通信的流量安全实施规则。该系统可以基于每个策略的相应特性,将相应隐式优先级分配给一个或多个安全策略,其中,与较不具体的策略相比,更具体的策略被分配更高的优先级。该系统可以通过在第二网荚中针对第一EPG动态提供安全策略并从第一网荚中移除安全策略,来对检测到的与第一EPG相关联的虚拟机到网络中的第二网荚的移动做出响应。
Description
相关申请的交叉引用
本申请要求于2018年6月21日递交的美国申请No.16/014,644的优先权,其进而要求于2018年3月20日递交的美国临时专利申请62/645,429的权益,其全部内容通过引用合并于此。
技术领域
本技术涉及网络配置和安全策略提供。
背景技术
计算机网络正变得越来越复杂,经常涉及网络各层的低级和高级配置。例如,计算机网络通常包括许多接入策略、转发策略、路由策略、安全策略、服务质量(QoS)策略等,它们共同定义了网络的整体行为和操作。网络运营商具有广泛的配置选项,用于根据用户的需求定制网络。虽然可用的不同配置选项为网络运营商提供了一些灵活性和对网络的控制,但它们也增加了网络的复杂性。在许多情况下,配置过程可能变得非常复杂,并且配置策略可能难以管理,特别是在可能实现更大量的配置策略和策略修改的较大网络中。毫不奇怪,网络配置过程越来越容易出错。此外,在复杂的网络中排除错误和管理策略可能极其困难。
附图说明
为了描述能够获得本公开的上述和其他优点和特征的方式,将通过参考在附图中示出的本公开的具体实施例来对以上简要描述的原理进行更具体的描述。应当理解,这些附图仅描绘了本公开的示例性实施例,因此不应被认为是对其范围的限制,通过使用附图,以附加的特征和细节来描述和说明本文的原理,其中:
图1示出了示例网络环境;
图2示出了在图1的示例网络环境中按需提供白名单和黑名单规则的示例场景;
图3示出了用于按需提供的示例方法;
图4示出了用于按需提供的另一示例方法;
图5示出了用于定制规则优先级的示例方法;
图6示出了示例网络设备;以及
图7示出了示例计算设备。
具体实施方式
下文详细讨论了本公开的各种实施例。虽然讨论了具体实现方式,但是应当理解,这样做仅仅是为了说明的目的。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以使用其他组件和配置。因此,下面的描述和附图是说明性的,而不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而,在某些情况下,没有描述公知的或常规的细节,以避免使描述不清楚。对本公开中的一个实施例或实施例的引用可以是对同一实施例或任何实施例的引用;并且,这样的引用意味着至少一个实施例。
在一个实施例中,在一些示例中包括在合同内的安全策略包括黑名单和白名单规则,该黑名单和白名单规则定义用于网络中的网荚(pod)内的端点组(EPG)之间的通信的流量安全实施,这些安全策略可以各自被分配与每个相应策略的特性相对应的优先级等级。当检测到与EPG相关联的虚拟机(VM)从一个网荚移动到另一网荚时,可以在另一网荚中自动提供安全策略。
在一些实施例中,在一些示例中,当在迁移的VM移动到另一网荚之后没有与第一EPG相关联的其他VM保留在第一网荚上时,基于网络模式的安全策略也可以从第一网荚自动移除。在一些实施例中,优先级等级也可以被覆盖,并且此外,网络可以是软件定义网络(SDN),并且网荚可以是SDN中的网络结构段的一部分。在一些实施例中,合同还包括EPG和相关联的上下文、主题、过滤器、源、目的地等的定义。
对“一个实施例”或“实施例”的引用意味着结合该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中的各个地方出现的短语“在一个实施例中”不一定都是指同一实施例,也不是指与其他实施例相互排斥的单独的或可替换的实施例。此外,描述了可由一些实施例展示而不是由其他实施例展示的各种特征。
在本说明书中使用的术语通常具有其在本领域中、在本公开的上下文中以及在使用每个术语的特定上下文中的普通含义。可替换的语言和同义词可用于本文所讨论的任何一个或多个术语,并且不应对本文是否阐述或讨论术语赋予特殊意义。在某些情况下,提供了某些术语的同义词。列举一个或多个同义词并不排除使用其他同义词。本说明书中任何地方的示例(包括本文所讨论的任何术语的示例)的使用仅是说明性的,并且不旨在进一步限制本公开或任何示例术语的范围和含义。同样,本公开不限于本说明书中给出的各种实施例。
在不旨在限制本公开的范围的情况下,下面给出了根据本公开的实施例的仪器、装置、方法及其相关结果的示例。注意,为了方便读者,可以在示例中使用标题或副标题,这决不应当限制本公开的范围。除非另有定义,否则本文使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。如有冲突,以本文档(包括定义)为准。
本公开的附加特征和优点将在下面的描述中阐述,并且部分地将从描述中显而易见,或者可以通过实践本文公开的原理来获知。本公开的特征和优点可以通过所附权利要求中特别指出的手段和组合来实现和获得。本公开的这些和其他特征将从下面的描述和所附权利要求书中变得更加显而易见,或者可以通过实践本文所阐述的原理而获知。
概述
诸如应用中心基础设施(ACI)网络之类的软件定义网络(SDN)可以从一个或多个集中式网络元件(例如,ACI网络中的应用策略基础设施控制器(APIC)或其他SDN网络中的网络管理器)进行管理和配置。网络运营商可以定义各种配置、对象、规则等,对于SDN网络,其可以由一个或多个集中式网络元件来实现。由网络运营商提供的配置信息能够反映网络运营商对SDN网络的意图,即,网络运营商打算如何使SDN网络及其组件运行。这样的用户意图可以被编程地封装在存储在集中式网络元件处的逻辑模型中。配置可以基于为特定SDN网络解决方案定义的对象和策略范围(例如,端点、租户、端点组、网络或上下文、应用配置文件、服务、域、策略等)。
SDN网络配置可以包括由网络运营商实现的规则和策略的组合,以保护网络并控制对网络资源的访问以及管理网络流量。规则和策略可以包括访问控制列表(ACL)、防火墙规则、流量策略等。在一些情况下,网络可以具有成千上万的ACL和/或防火墙规则,这些ACL和/或防火墙规则由网络运营商手动配置或预先提供。ACL和防火墙规则可以在黑名单模型或白名单模型中实现,该黑名单模型允许所有流量,除非拒绝规则另有规定,该白名单模型仅允许由允许规则特别允许的流量。基于黑名单的拒绝规则具体定义了网络中不允许的流量,而基于白名单的允许规则具体定义了网络中允许的流量。
在一些配置中,网络运营商可以提供基于黑名单的拒绝规则和基于白名单的允许规则的混合,以获得更大的粒度和控制。当在网络中指定基于黑名单的拒绝规则和基于白名单的允许规则两者时,网络运营商可以定义规则的优先级,这可以规定处理规则的顺序,并确定如何处理重叠或冲突的规则。不同类型的规则和优先级的组合可能导致显著的操作和管理复杂性。因此,在一些情况下,当应用被停用时,网络运营商可能无法及时移除不需要的规则或ACL,并且在其他情况下,网络运营商可能由于关于移除这样的规则对网络的潜在影响的不确定性而另外保留这样的不需要的规则或ACL。但是,这种对不需要的规则或ACL以及相关优先级的管理不当可能会导致安全违规和漏洞。
考虑到网络面临的安全威胁量不断增加,以及网络安全漏洞的潜在危害和成本,许多SDN网络解决方案遵循基于白名单模型的零信任安全方法,其中不允许实体之间的流量,除非有明确的允许规则允许实体之间的这种流量。虽然这种白名单模型通常比可替换的黑名单模型更安全,但是白名单安全方法在某些部署中可能导致规则爆炸,特别是在企业有要求,并且只知道哪些不允许或列入黑名单,而不知道哪些需要允许的情况下。
此外,ACL提供通常是静态的,并且由于VM移动性,SDN解决方案缺乏足够的支持和灵活性来处理移动工作负载。本文所述的方法提供了具有黑名单和白名单规则以及隐式优先级管理的灵活的、按需/动态安全提供模型。这些方法可以利用任何SDN解决方案(例如,ACI数据中心和任何云解决方案)来实现。
本文公开了用于使用黑名单规则和白名单规则以及隐式优先级管理的网络中的灵活的、按需/动态安全提供模型的系统、方法和计算机可读介质。在一些示例中,包括多个网荚的网络中的系统可以在第一网荚中针对第一端点组(EPG)配置一个或多个安全策略,一个或多个安全策略包括黑名单和白名单规则,该黑名单和白名单规则定义用于第一EPG与网络中的一个或多个第二网荚中的一个或多个第二EPG之间的通信的流量安全实施规则。该系统可以基于每个策略的相应特性,将相应隐式优先级分配给一个或多个安全策略,其中,与较不具体的策略相比,更具体的策略被分配更高的优先级。该系统可以检测与第一EPG相关联的虚拟机在网络中从第一网荚到来自一个或多个第二网荚的第二网荚的移动,响应于该移动,在第二网荚中针对第一EPG动态提供一个或多个安全策略和/或从第一网荚中移除一个或多个安全策略中的至少一个。
示例实施例的描述
所公开的技术解决了本领域中对灵活的、按需安全提供模型的需要。本技术涉及用于使用白名单和黑名单规则以及隐式优先级管理的灵活、按需/动态安全提供模型的系统、方法和计算机可读介质。本技术将在下面的公开中描述如下。讨论从介绍性地讨论具有黑名单规则和白名单规则以及优先级管理的按需安全提供开始。对示例网络环境、按需安全提供方法和工作负载移动性的讨论,如接下来的图1-5所示。讨论以如图6和图7所示的示例网络和计算设备的描述结束,包括适合于托管软件和执行计算操作的示例硬件组件。
现在,本公开转向对网络安全模型和提供方法的讨论。
以应用中心基础设施(“ACI”)安全策略模型,特别对于软件定义的网络(“SDN”),可以定义各种构造,包括端点组(“EPG”)和合同。EPG是具有公共策略的端点(例如,虚拟机(“VM”)、容器、服务器、设备等)的集合。共享EPG内的端点之间的通信被认为是可信的,并且可以被默认允许。在一些示例中,安全实施可以仅应用于EPG之间的流量。因此,EPG充当ACI网络的安全实施域。
合同是指定在ACI网络内的EPG之间发生通信的方式的策略规则,并且可以被安装到例如网荚内的交换机。合同可以包括白名单安全模型(例如,常规合同)和/或黑名单模型(例如,禁忌合同),该白名单安全模型详细说明了EPG的许可通信,该黑名单模型详细说明了EPG的禁止通信。例如,具有白名单安全模型的合同可以包括允许EPG 1从EPG 2接收通信的规则,同时,合同的黑名单模型可以禁止从EPG 3到EPG 1的通信。实际上,合同提供了用于使网络运营商能够指定EPG安全规则的抽象。
此外,合同可以符合提供商-消费者模型,因此也可以指定提供商(例如,EPG或端口等)和消费者(例如,另一EPG或端口等)。提供商可以表示正在提供服务的EPG,诸如超文本传输协议(“HTTP”)服务器(例如,传输控制协议(“TCP”)端口80)。消费者可以表示正在消费诸如域名服务(“DNS”)之类的服务的EPG。在一个示例中,合同可以包括本身包括条目的过滤器。条目可以等同于例如应用于交换机的访问控制列表(“ACL”)中的行。下面是说明性示例。
提供商P1可以提供HTTP服务,因此P1可以使套接字(socket)在等待连接的TCP端口80上保持打开。此外,例如,对于HTTP服务可以有三个不同的消费者:C1、C2和C3。为了允许C1、C2和C3与P1通信(例如,连接到P1的IP和TCP端口80),通常必须有明确的许可(例如,访问控制列表(“ACL”)等),例如:
规则1(R1):C1→P1 TCP目的地端口80,允许,优先级高;
规则2(R2):C2→P1 TCP目的地端口80,允许,优先级高;
规则3(R3):C3→P1 TCP目的地端口80,允许,优先级高。
另一提供商P2可以提供DNS服务(例如,用户数据报协议(“UDP”)端口53),针对该服务,合同定义任何消费者都可以到达P2。为此,ACL需要包括如下规则,例如:
规则4(R4):任意(*)→P2 UDP目的地端口53,允许,优先级中等。
在网络设备(例如,交换机)中,这些规则被安装在硬件(例如,网络设备上的三重内容可寻址存储器(“TCAM”))中。在TCAM中,最具体的规则(例如,R1、R2和R3)可以被安装在TCAM中的较高位置(例如,在较高的地址空间中)。因此,ACI网络和/或网络设备可以隐含地将“高”优先级分配给更具体的规则(反映TCAM中更高的安装位置)。相比之下,可以在TCAM中的高优先级规则之下安装较不具体的规则(例如,R4)。实际上,这种构造使得能够从TCAM的顶部向下到TCAM的底部顺序地检查规则,在TCAM的底部中可以安装最不具体的规则(例如,默认规则)。
当除了上述白名单规则之外还实现黑名单规则时,黑名单规则在规则优先级方面遵循与白名单规则相同的模型。规则之间的冲突可以如下解决,而不考虑所涉及的配置:大多数具体规则胜出,并且当存在平局时,拒绝规则胜过允许规则。然而,在需要更允许的ACI的情况下,可以配置允许规则以在平局的情况下胜出拒绝规则。
下面的表1提供了用于确定虚拟路由和转发实例(VRF)的配置的特异性级别的示例方案:
表1
在表1中,情况1是最具体的规则,因此被分配最高优先级(并且例如安装在TCAM的顶部),而情况5是最不具体的规则,因此被分配最低优先级(并且例如安装在TCAM的底部)。这允许基于特性为每个和每一规则向TCAM分配和/或安装隐式优先级。实际上,用户(例如,系统管理员或其他IT专业人员等)可以提供具有所需特性的规则,而无需同时直接向该规则分配优先级等级。
下面是具有简化优先级管理的黑名单规则的示例使用情形:
用于任何到任何EPG之间的流量的DENY SSH和Telnet。
这将转换为规则:any(*)→any(*),过滤器SSH和TELNET DENY,默认优先级低。在一些示例中,如本领域普通技术人员将理解的,解析器或其他过程可以翻译规则。
因为该规则不如表1的情况1-4具体,所以该规则可以是示例表1中的类型5(例如,情况5)。因此,该规则将被分配(例如,隐含地)低优先级并被安装到TCAM的底部。
然而,在一些情况下,网络运营商可能希望该较不具体的黑名单规则具有更高的优先级,因此其被执行/强制执行超过其他规则。例如,网络运营商可能希望为该规则分配最高优先级。因此,本文的安全模型可以允许网络运营商将默认的隐式优先级覆盖为任何其他优先级,例如高、中等或低。此覆盖特征可以通过覆盖配置元件(如拨盘或旋钮)启用。在一些情况下,可以仅为拒绝规则或黑名单规则提供这样的覆盖特征。该方法可以提供用于定义允许规则的白名单模型,其还能够定义被分配了隐式优先级的拒绝规则,该拒绝规则具有覆盖默认优先级并定义自定义优先级的选项。
因此,网络运营商可以具有灵活性,以覆盖某些规则的优先级,而其他规则的优先级保持不变。例如,拒绝或黑名单规则的优先级可以被覆盖,而允许或白名单规则优先级保持固定,从而在添加黑名单规则时提供了操作简便性。
图1示出了用于使用具有隐式优先级管理的白名单和黑名单规则按需安全提供的示例网络环境100。网络环境100可以包括表示网络环境100的物理层或基础设施(例如,底层)的结构。该结构可以被分割为网荚A(110)和网荚B(112),其包括互连的各自的主干102(例如,主干路由器或交换机)和叶104(例如,叶路由器或交换机),用于在网络环境100的结构中路由或交换流量。在图1的示例中,网荚A(110)包括分别托管EPG 1、EPG 2和EPG 3的VM1、VM 2和VM 3。网荚B(112)包括分别托管EPG 4、EPG 5和EPG 6的VM 4、VM 5和VM 6。
主干102可以互连网荚110、112中的叶104,并且叶104可以将结构连接到网络环境100的覆盖或逻辑部分,其可以包括托管诸如VM(虚拟机)108之类的端点、服务和/或应用的服务器106。因此,结构中的网络连接可以从主干102流到叶104,反之亦然。叶104和主干102之间的互连可以是冗余的(例如,多个互连)以避免路由中的故障。在一些配置中,叶104和主干102可以完全连接,使得任何给定叶被连接到主干102中的每一个,并且任何给定主干被连接到叶104中的每一个。叶104可以是例如架顶式(“TOR”)交换机、聚合交换机、网关、入口和/或出口交换机、提供商边缘设备和/或任何其他类型的路由或交换设备。
叶104可以负责路由和/或桥接租户或客户分组,并应用网络策略或规则。网络策略和规则可以由一个或多个控制器114(例如,思科应用策略基础设施控制器或APIC)驱动,和/或由一个或多个设备(例如,叶104)实现或执行。叶104可以将诸如服务器106和VM 108之类的元件连接到结构。这样的元件可以驻留在一个或多个逻辑或虚拟层或网络(例如,覆盖网络)中。在一些情况下,叶104可以对去往和来自这样的元件(例如,服务器106或VM108)的分组进行封装和解封装,以便使得能够在整个网络环境100和结构中进行通信。叶104还可以向任何其他设备、服务、租户或工作负载提供对结构的访问。在一些情况下,连接到叶104的服务器106可以类似地对去往和来自叶104的分组进行封装和解封装。例如,服务器106可以包括一个或多个虚拟交换机或路由器或隧道端点,用于在由服务器106托管或连接到服务器106的覆盖层或逻辑层与由结构表示并经由叶104访问的底层之间隧道传送分组。
由服务器106或VM 108托管的示例应用可以包括软件应用、服务、容器、设备、功能、服务链等。例如,应用可以包括防火墙、数据库、内容分发网络(“CDN”)服务器、IDS/IPS、深度分组检测服务、消息路由器、虚拟交换机、web服务器等。应用可以由多个端点(例如,服务器106、VM 108等)分布、链接或托管,或者可以完全从单个端点运行或执行。
VM 108可以是在服务器106上托管的虚拟机。VM 108可以包括在相应服务器上的客户操作系统上运行的工作负载。管理程序可以提供创建、管理和/或运行VM 108的软件层、固件和/或硬件层。管理程序可以允许VM 108共享服务器106上的硬件资源,并且服务器106上的硬件资源表现为多个独立的硬件平台。此外,服务器106上的管理程序可以托管一个或多个VM 108。
在一些情况下,一个或多个服务器106和/或VM 108可以表示或驻留在租户或客户空间中。租户空间可以包括工作负载、服务、应用、设备、网络和/或与一个或多个客户端或订户相关联的资源。因此,可以基于具体的租户策略、空间、协议、配置、规则等来路由网络环境100中的流量。此外,寻址可以在一个或多个租户之间变化。在一些配置中,租户空间可以被划分为逻辑段和/或网络,并且与同其他租户相关联的逻辑段和/或网络分离。租户之间的寻址、策略、安全和配置信息可以由控制器114、服务器106、叶104等来管理。
网络环境100中的配置可以在逻辑级、硬件级(例如,物理级)和/或两者上实现。例如,可以通过SDN框架(例如,应用中心基础设施(ACI)或虚拟机NSX)基于端点或资源属性(例如,端点类型和/或应用组或配置文件)在逻辑级和/或硬件级上实现配置。为了说明,一个或多个管理员可以通过控制器114在逻辑级(例如,应用或软件级)上定义配置,控制器114可以通过网络环境100实现或传播这样的配置。例如,可以在控制器114上定义诸如合同或ACL规则之类的规则,并将其传播到叶104,叶104然后在硬件(例如,TCAM)上存储或呈现合同或ACL规则。
这样的配置可以定义规则、策略、优先级、协议、属性、对象等,用于在网络环境100中路由和/或分类流量。例如,这样的配置可以定义用于基于端点组(EPG)、安全组(SG)、VM类型、桥接域(BD)、虚拟路由和转发实例(VRF)、租户、优先级、防火墙规则、过滤器等来分类和处理流量的属性和对象。下面进一步描述其他示例网络对象和配置。流量策略和规则可以基于流量的标签、属性或其他特性(例如,与流量相关联的协议、与流量相关联的EPG、与流量相关联的SG、与流量相关联的网络地址信息等)来实施。这样的策略和规则可以由网络环境100中的一个或多个元件(例如,叶104、服务器106、控制器114等)来实施。
在一些配置中,基于ACI的SDN解决方案可以通过可扩展的分布式实施来提供应用中心或基于策略的模型。ACI支持在声明性配置模型下针对网络、服务器、服务、安全性、要求等集成物理和虚拟环境。例如,ACI框架实现如前所述的EPG,其可以包括共享公共配置要求(例如,安全性、QoS、服务等)的端点或应用的集合。端点可以是虚拟/逻辑或物理设备,例如连接到网络环境100的VM 108、容器、主机或服务器(例如,106)。可以以合同的形式在EPG之间而不是直接在端点之间应用安全策略和配置。叶104可以将进入的流量分类到不同的EPG中。该分类可以基于例如诸如VLAN ID之类的网段标识符、VXLAN网络标识符(VNID)、NVGRE虚拟子网标识符(VSID)、媒体访问控制(MAC)地址、互联网协议(IP)地址等。
可以通过网络环境100中的合同为EPG定义策略或规则。在一些情况下,策略或规则可以在网荚级上定义,其中网荚A(110)具有相应的策略或规则集合,而网荚B(112)也具有相应的策略或规则集合。
为了说明,假设EPG 5提供DNS和NTP服务,对于这些服务,EPG 3具有白名单合同(WC 1),该合同使得EPG 3能够与EPG 5通信以进行这些服务。类似地,假设允许EPG 3与EPG4通信,但从EPG 3到EPG 4的安全外壳(SSH)和Telnet流量通过配置的黑名单合同(BC 1)被拒绝。该示例配置将导致在网荚A(110)上的叶104(机架顶部(TOR))的TCAM上安装以下安全规则。
网荚A规则:
规则1(R1):EPG3→EPG5,过滤器DNS和NTP,允许,优先级高;
规则2(R2):EPG3→EPG4,过滤器SSH和TELNET,拒绝,优先级高;
规则3(R3):EPG3→EPG4,过滤器任意,允许,优先级中等;
规则4(R4):任意→任意过滤器*,拒绝,优先级低。
如上所示,R4是安装在底部的安全规则硬件表(例如,TCAM)中的默认低优先级拒绝所有规则。这确保了如果没有较高优先级规则应用于分组,则分组必须与此规则匹配并被丢弃。R1是为EPG 3和EPG 5之间的白名单合同WC 1安装的允许高优先级规则。相比之下,R2是为EPG 3和EPG 4之间的黑名单合同BC1安装的拒绝高优先级规则,以及R3是为同一合同BC1安装的中等优先级允许规则。
利用工作负载移动性(例如,VM移动性),当端点被迁移时,ACI网络可以确保安全策略与端点一起传播,并且无论相关联的EPG被动态地部署在哪里,在所连接的叶(例如,ToR交换机)上按需提供相关的安全策略。在应用中可以实现相同的方法,相关的安全策略自动从叶或TOR中去除,从而保证安全状态。
图2示出了基于图1中描述的部署示例的示例按需提供场景200,包括上面所示的网荚A(110)规则。示例按需提供场景200示出了VM 3从网荚A(110)移动(202)到网荚B(112)。
当属于EPG 3的VM 3从网荚A(110)移动到网荚B(112)时,针对网荚A(110)中的EPG3定义的规则(即,R1、R2、R3)将在网荚B(112)中被动态地重新提供,并从网荚A(110)中去除,如下所述。
网荚A规则:
规则1(R1):EPG3→EPG5,过滤器DNS和NTP,允许,优先级高(不再需要,因此将被删除);
规则2(R2):EPG3→EPG4,过滤器SSH和TELNET,拒绝,优先级高(不再需要,因此将被删除);
规则3(R3):EPG3→EPG4,过滤器任意,允许,优先级中等(不再需要,因此将被删除);
规则4(R4):任意→任意过滤器*,拒绝,优先级低。
网荚B规则:
规则5(R5):EPG3→EPG5,过滤器DNS和NTP,允许,优先级高;
规则6(R6):EPG3→EPG4,过滤器SSH和TELNET,拒绝,优先级高;
规则7(R7):EPG3→EPG4,过滤器任意,允许,优先级中等;
规则8(R8):任意→任意过滤器*,拒绝,优先级低。
注意,在TCAM中,较高优先级规则安装在TCAM的顶部,而中等优先级规则安装在TCAM的中部,以及低优先级规则位于TCAM的底部。因此,即使在这种按需动态提供的情况下,也总是保证规则的安全状态。
如上所示,本文的方法提供了白名单和黑名单规则两者的按需提供以及在应用撤销时的及时自动移除。网络运营商不需要为规则提供优先级,从而简化了操作并降低了错误配置的风险。然而,提供了添加的配置选项(例如,旋钮)以允许网络提供商覆盖黑名单拒绝规则的默认隐含优先级,增加了操作的简单性。安全审计可以在单个地方完成,例如控制器114,将白名单和黑名单合同两者都考虑在内。这样,网络运营商可以获得具有白名单和黑名单规则两者的按需/动态安全提供的全部好处。
本公开现在转向图3,图3示出了用于在网络环境(例如,网络环境100)中配置和管理策略和策略优先级的示例方法。虽然用特定顺序的框或步骤示出了示例方法,但是本领域的普通技术人员将理解,图3和其中所示的框可以以任何顺序执行,并且可以包括比所示更少或更多的框。
图3中所示的每个框表示一个或多个步骤、过程、方法或方法中的例程。为了清楚和解释的目的,参考如图1所示的控制器114和网络环境100来描述图3中的框。
在步骤302中,网络环境100中的控制器114可以在第一网荚(例如,网荚A)中针对第一端点组(EPG)(例如,EPG 3)配置一个或多个安全策略(例如,R1、R2、R3、R4)。一个或多个安全策略可以包括黑名单和白名单规则,该黑名单和白名单规则定义用于第一EPG与网络环境100中的一个或多个第二网荚(例如,网荚B)中的一个或多个第二EPG之间的通信的流量安全实施规则。
在步骤304中,控制器114可以基于每个策略的各自的特性将相应的隐式优先级分配给一个或多个安全策略(例如,表1)。例如,与较不具体的策略相比,可以为更具体的策略分配更高的优先级。在一些示例中,交换机(例如,叶104)可以代替控制器114或与控制器114一起分配各自的隐式优先级。
在步骤306中,控制器114、或在一些示例中叶104可以检测与第一EPG相关联的虚拟机(例如,VM 3)在网络环境100中从第一网荚到来自一个或多个第二网荚的第二网荚的移动。在步骤308中,控制器114可以响应于该移动,在第二网荚中针对第一EPG动态提供一个或多个安全策略和/或移除来自第一网荚的一个或多个安全策略中的至少一个。
在一些示例中,当VM在网荚或EPG之间移动时,可以触发在第二网荚中针对第一EPG的一个或多个策略的提供。触发可以经由例如监控服务等发生。类似地,在一些示例中,VM的移动可以经由监控服务和处理等来触发规则的删除。
图4示出了用于在网络内的资源(例如,虚拟机)迁移期间自动维护安全策略的另一示例方法。应当理解,尽管讨论了虚拟机,但是具有由ACL管理的安全策略或规则/策略抽象(例如,合同、安全组等)的任何资源可以根据所示出的方法来管理。此外,尽管以特定顺序的框或步骤示出了示例方法,但是本领域的普通技术人员将理解,图4和其中所示的框可以以各种顺序执行,并且具有比所示更少或更多的框。
在步骤402中,VM从第一EPG迁移到第二EPG。如以上参考图1所讨论的,网荚(例如,网荚A 110,网荚B 112等)可以包括叶104,该叶104可以为托管各种VM 108的链接服务器106提供交换支持(例如,用作网络交换机),VM 108中的每一个可以是一个或多个EPG的成员。在这样的示例中,迁移的VM可以迁移到另一网荚(例如,从网荚A 110到网荚B 112),以便加入第二EPG。可替换地,迁移的VM可以迁移到相同的网荚内的第二EPG,但是由与第一EPG不同的叶104控制和/或在不同的服务器106上。
在步骤404中,可以识别用于第一EPG并且与迁移的VM相关的规则。在一些示例中,该识别可以通过在例如控制第一EPG的叶104中的TCAM中迭代来完成。如上所述,TCAM可以根据优先级等级来存储规则,默认情况下,该优先级等级可以基于规则特性来自动分配。因此,可以从顶部开始检查TCAM,并向下迭代到较低的存储器地址,以便首先检查最具体的规则(例如,最狭义地针对特定EPG或VM进行定制),并且最后检查较不具体的规则(例如,可能连接到多个EPG或VM)。在其他示例中,可以使用各种规则探索方案,例如,在没有输入限制的情况下,用于TCAM的不同部分的可并行化检查过程等。
然而,在步骤406中,可以处理所识别的规则以确定其是否与第一EPG中的任何其他VM相关,以及如果其与任何其他VM不相关(例如,它是孤立的),则它可以从例如它所位于的TCAM中被移除或清除。例如,如以上参考图2所讨论的,规则可以被识别为与第一EPG相关,该第一EPG可以不包括除了迁移的VM之外的其他VM。在这种情况下,可以清除孤立规则,因为第一EPG现在将是空的,因此没有必要在TCAM中维护它,因为它将不再被调用,否则将减慢需要审查TCAM中的每个和每一规则的交换操作,或者可能占用了原本可用于可执行规则的TCAM。
此外,在步骤408中,可以检查第二EPG位置是否存在所识别的规则。如果第二EPG位置不存在该规则,则可以添加该规则以确保VM的平滑迁移并避免由迁移造成的安全问题。从图4中可以看出,步骤404-408可以根据需要重复多次以清除和/或安装规则。这样,VM或其他资源可以从一个EPG迁移到另一EPG,而技术人员不必手动清除孤立规则或安装新规则。
图5示出了用于将优先级等级重新分配给规则的示例方法。如上所述,在一些示例中,可以基于规则的特性来向规则分配隐式优先级等级。作为规则优先级的结果,可以在网络设备的硬件(例如,TCAM)中安装更高或更低的规则,因此当处理例如EPG之间的通信时,可以分别较早或较晚地进行检查。在某些情况下,运营商等可能希望改变规则的优先级等级。例如,运营商可能希望将较不具体的规则安装到TCAM的顶部,因此可能增加规则的优先级等级。虽然在本公开中使用了三个优先级等级(例如,高、中等和低),但是本领域的普通技术人员将理解,可以使用任何数量的分级优先级等级,并且可以以各种方式定义优先级等级的顺序。
在任何情况下,在步骤502中,可以接收第一规则的优先级分配,并且可以将与第一规则相关联的优先级更新为所接收的优先级。在一些示例中,可以经由图形用户界面(GUI)、命令行界面(CLI)等来接收优先级分配。在其他示例中,可以经由例如来自另一系统的API端点来接收优先级分配,该另一系统例如是自动优先级分配系统等,但没有输入限制。此外,规则的优先级值可以保存在例如存储在例如主干102、叶104或服务器106上的合同或类似数据对象中。
在步骤504中,可以进行比较以确定新分配的优先级是高于还是低于先前的优先级。可以在新的优先级等级与例如表示最近优先级分配的缓冲器或存储值之间进行比较。例如,虽然新分配的优先级可以高于或低于先前的优先级,但是在一些情况下,优先级可以相同,在这种情况下,可以跳过步骤506(下面讨论),因为规则将被存储在TCAM的正确部分中。
在步骤506中,如果新的优先级高于旧的优先级,则规则可以与硬件(例如,TCAM)中高于它的规则交换存储器位置。可替代地,如果新的优先级低于旧的优先级,则规则可以与硬件中的下面的规则交换存储器位置。从图5可以看出,可以重复该步骤,直到规则已经被放置到硬件(例如,TCAM)的适当部分中。例如,最初位于TCAM的中等优先级部分的中间的中等优先级规则可以被分配新的高优先级。结果,该规则将继续与TCAM中高于它的规则交换,直到它低于具有中等优先级的另一规则,在这种情况下,它将停止在存储器中重新定位。
响应于在硬件(例如,TCAM)中实现适当的位置,可以在步骤508中完成规则的优先级重新分配。在一些示例中,这可以生成警报等以通知运营商,或提供给次级系统,优先级重新分配已经完成。在其他示例中,这可以导致生成报告输出等(例如,作为日志文件)。实际上,运营商可以将优先级等级重新分配给规则,而无需与TCAM等进行手动交互。
本公开现在转向图6和7,图6和7示出了示例网络和计算设备,例如交换机、路由器、负载平衡器、客户端计算机等。在一些示例中,合同可以存储在网荚内(例如,在ACI等内)的交换机或叶上。
图6示出了适于执行交换、路由、保证和其他联网操作的示例网络设备600。网络设备600包括中央处理单元(CPU)604、接口602和连接610(例如,PCI总线)。当在适当的软件或固件的控制下动作时,CPU 604负责执行分组管理、错误检测和/或路由功能。CPU 604优选地在包括操作系统和任何适当的应用软件的软件的控制下完成所有这些功能。CPU 604可以包括一个或多个处理器608,诸如来自微处理器的INTEL X86家族的处理器。在一些情况下,处理器608可以是专门设计的用于控制网络设备600的操作的硬件。在一些情况下,存储器606(例如,非易失性RAM、ROM、TCAM等)也形成CPU 604的一部分。然而,存在可以将存储器耦合到系统的许多不同的方式。在一些情况下,网络设备600可以包括与CPU 604分离的存储器和/或存储硬件,例如TCAM。这样的存储器和/或存储硬件可以经由例如连接610与网络设备600及其组件耦合。
接口602通常被提供为模块化接口卡(有时称为“线卡”)。通常,它们控制网络上数据分组的发送和接收,并且有时支持与网络设备600一起使用的其他外围设备。可以提供的接口为以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外,可以提供各种非常高速的接口,例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、WiFi接口、3G/4G/5G蜂窝接口、CAN总线、LoRA等。通常,这些接口可以包括适于与适当介质通信的端口。在某些情况下,它们还可以包括独立的处理器,并且在某些情况下,包括易失性RAM。独立处理器可以控制诸如分组交换、媒体控制、信号处理、密码处理和管理之类的通信密集任务。通过为通信密集任务提供单独的处理器,这些接口允许主微处理器604有效地执行路由计算、网络诊断、安全功能等。
虽然图6所示的系统是本公开的一个特定网络设备,但是它决不是可以在其上实现本文的概念的唯一网络设备架构。例如,可以使用具有处理通信以及路由计算等的单个处理器的结构。此外,其它类型的接口和介质也可以与网络设备600一起使用。
无论网络设备的配置如何,它可以采用一个或多个存储器或存储器模块(包括存储器606),这些存储器或存储器模块被配置为存储用于通用网络操作的程序指令和用于本文所述的漫游、路由优化和路由功能的机制。程序指令可以控制例如操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动性绑定、注册和关联表等之类的表。存储器606还可以保存各种软件容器和虚拟化执行环境和数据。
网络设备600还可以包括专用集成电路(ASIC),其可以被配置为执行路由、交换和/或其他操作。例如,ASIC可以经由连接610与网络设备600中的其他组件通信,以交换数据和信号,并协调网络设备600的各种类型的操作,例如路由、交换和/或数据存储操作。
图7示出了计算系统架构700,其包括使用诸如总线之类的连接705彼此电通信的组件。系统700包括处理单元(CPU或处理器)710和系统连接705,该系统连接705将包括诸如只读存储器(ROM)720和随机存取存储器(RAM)725之类的系统存储器715的各种系统组件耦合到处理器710。系统700可以包括高速存储器的缓存,其与处理器710直接连接、紧邻处理器710或集成为处理器710的一部分。系统700可以将数据从存储器715和/或存储设备730复制到缓存712,以供处理器710快速访问。这样,缓存可以提供性能提升,这避免了处理器710在等待数据时的延迟。这些和其他模块可以控制或被配置为控制处理器710执行各种动作。其他系统存储器715也可供使用。存储器715可以包括具有不同性能特性的多个不同类型的存储器。处理器710可以包括任何通用处理器和硬件或软件服务,例如存储在存储设备730中的服务1 732、服务2 734和服务3 736,其被配置为控制处理器710以及专用处理器,其中软件指令被并入实际的处理器设计中。处理器710可以是完全独立的计算系统,包含多个核心或处理器、总线、存储器控制器、缓存等。多核心处理器可以是对称或不对称的。
为了使用户能够与计算设备700交互,输入设备745可以表示任何数量的输入机制,诸如用于语音的麦克风、用于手势或图形输入的触敏屏、键盘、鼠标、运动输入、语音等。输出设备735也可以是本领域技术人员已知的多个输出机制中的一个或多个。在一些实例中,多模式系统可以使用户能够提供多种类型的输入以与计算设备700通信。通信接口740通常可以支配和管理用户输入和系统输出。对在任何特定硬件布置上的操作没有限制,因此,当改进的硬件或固件布置被开发出来时,这里的基本特征可以容易地被替换为改进的硬件或固件布置。
存储设备730是非易失性存储器并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如磁带盒、闪存卡、固态存储设备、数字多功能盘、盒式磁带、随机存取存储器(RAM)725、只读存储器(ROM)720及其混合。
存储设备730可以包括用于控制处理器710的服务732、734、736。其他硬件或软件模块也是可以考虑的。存储设备730可以连接到系统连接705。在一个方面,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件,该软件组件与必要的硬件组件(例如,处理器710、连接705、输出设备735等)相结合以执行该功能。
为了解释清楚,在一些实例中,本技术可以被呈现为包括单独的功能块,该单独的功能块包括含有设备、设备组件、以软件或硬件和软件的组合实现的方法中的步骤或例程的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可以包括含有比特流等的线缆或无线信号。然而,当提及时,非暂态计算机可读存储介质明确排除诸如能量、载波信号、电磁波和信号本身之类的介质。
根据上述示例的方法可以使用计算机可执行指令来实现,该计算机可执行指令存储在计算机可读介质中或者可从计算机可读介质中获得。这样的指令可以包括例如使得或以其他方式配置通用计算机、专用计算机或专用处理设备以执行特定功能或功能组的指令和数据。所使用的计算机资源的部分可以通过网络访问。计算机可执行指令可以是例如二进制、诸如汇编语言之类的中间格式指令、固件或源代码。可以用于存储指令、所使用的信息和/或在根据所描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、具有非易失性存储器的通用串行总线(“USB”)设备、网络存储设备等。
实现根据这些公开的方法的设备可以包括硬件、固件和/或软件,并且可以采用多种形式因子中的任何一种。这种形式因子的典型示例包括膝上型计算机、智能电话、小形式因子个人计算机、个人数字助理、机架安装设备、独立设备等。本文描述的功能也可以在外围设备或内插卡中实现。作为进一步的示例,这样的功能也可以在不同芯片中的电路板上或在单个设备中执行的不同处理中实现。
指令、用于传送这些指令的介质、用于执行这些指令的计算资源以及用于支持这些计算资源的其他结构是用于提供这些公开中所描述的功能的装置。
尽管使用各种示例和其他信息来解释所附权利要求的范围内的方面,但不应基于此类示例中的特定特征或布置来暗示对权利要求书的限制,因为本领域的普通技术人员将能够使用这些示例来导出各种各样的实现方式。此外,尽管可能已经以结构特征和/或方法步骤的示例专用的语言描述了一些主题,但是应当理解,所附权利要求中定义的主题不必限于这些所描述的特征或动作。例如,这样的功能可以不同地分布或在不同于本文所标识的组件的组件中执行。相反,所描述的特征和步骤是作为所附权利要求的范围内的系统的组件和方法的示例而公开的。
叙述“…中的至少一个”的权利要求语言指一组中的至少一个,并指示该组中的一个成员或该组中的多个成员满足权利要求。例如,叙述“A和B中的至少一个”的权利要求语言表示A、B或A和B。
Claims (20)
1.一种方法,包括:
在包括多个网荚的网络中,在第一网荚中针对第一端点组(EPG)配置一个或多个安全策略,所述一个或多个安全策略包括黑名单规则和白名单规则,所述黑名单规则和所述白名单规则定义用于所述第一EPG与所述网络中的一个或多个第二网荚中的一个或多个第二EPG之间的通信的流量安全实施规则;
基于每个策略的相应特性,将相应优先级分配给所述一个或多个安全策略,其中,与较不具体的策略相比,更具体的策略被分配更高的优先级;
检测与所述第一EPG相关联的虚拟机从所述第一网荚到来自所述一个或多个第二网荚的第二网荚上的目标节点的移动;以及
当与所述第一EPG相关联的虚拟机是所述第二网荚上要与所述第一EPG相关联的第一个虚拟机时,在所述目标节点或所述第二网荚中的至少一者中针对所述第一EPG自动提供所述一个或多个安全策略。
2.根据权利要求1所述的方法,还包括:
当与所述第一EPG相关联的虚拟机是所述第一网荚上与所述第一EPG相关联的最后虚拟机时,从所述第一网荚中自动移除所述一个或多个安全策略中的至少一个。
3.根据权利要求1至2中任一项所述的方法,还包括:
经由所述网络上的控制器呈现配置元件,所述配置元件提供用于手动覆盖与所述一个或多个安全策略相关联的相应隐式优先级的选项。
4.根据权利要求1至2中任一项所述的方法,其中,所述一个或多个安全策略包括所述第一EPG与所述一个或多个第二EPG之间的合同。
5.根据权利要求4所述的方法,其中,所述合同定义针对相关联的流量的相应EPG,以及相应上下文、相应主题、相应过滤器、相应源或相应目的地中的至少一个。
6.根据权利要求1至2中任一项所述的方法,其中,所述一个或多个安全策略基于所述网络的模式,所述模式包括分层管理信息树。
7.根据权利要求1至2中任一项所述的方法,其中,所述网络包括软件定义的网络,并且所述多个网荚包括所述软件定义的网络中的多个网络结构段。
8.一种系统,包括一个或多个处理器,所述一个或多个处理器被配置为:
在包括多个网荚的网络中,在第一网荚中针对第一端点组(EPG)配置一个或多个安全策略,所述一个或多个安全策略包括黑名单规则和白名单规则,所述黑名单规则和所述白名单规则定义用于所述第一EPG与所述网络中的一个或多个第二网荚中的一个或多个第二EPG之间的通信的流量安全实施规则;
基于每个策略的相应特性,将相应优先级分配给所述一个或多个安全策略,其中,与较不具体的策略相比,更具体的策略被分配更高的优先级;
检测与所述第一EPG相关联的虚拟机在所述网络中从所述第一网荚到来自所述一个或多个第二网荚的第二网荚的移动;以及
响应于所述移动,在所述第二网荚中针对所述第一EPG动态提供所述一个或多个安全策略。
9.根据权利要求8所述的系统,其中,所述一个或多个安全策略包括所述第一EPG与所述一个或多个第二EPG之间的合同。
10.根据权利要求9所述的系统,其中,所述合同定义针对相关联的流量的相应EPG,以及相应上下文、相应主题、相应过滤器、相应源或相应目的地中的至少一个。
11.根据权利要求8至10中任一项所述的系统,所述一个或多个处理器被配置为:
呈现配置元件,所述配置元件提供用于手动覆盖与所述一个或多个安全策略相关联的相应隐式优先级的选项。
12.根据权利要求8至10中任一项所述的系统,其中,所述网络包括软件定义的网络,并且其中,所述多个网荚包括所述软件定义的网络中的多个网络结构段。
13.根据权利要求8至10中任一项所述的系统,其中,所述一个或多个安全策略基于所述网络的模式,所述模式包括分层管理信息树。
14.一种或多种计算机可读介质,所述计算机可读介质存储计算机可执行指令,所述计算机可执行指令在被执行时使得一个或多个计算设备执行以下操作:
在包括多个网荚的网络中,在第一网荚中针对第一端点组(EPG)配置一个或多个安全策略,所述一个或多个安全策略包括黑名单规则和白名单规则,所述黑名单规则和所述白名单规则定义用于所述第一EPG与所述网络中的一个或多个第二网荚中的一个或多个第二EPG之间的通信的流量安全实施规则;
基于每个策略的相应特性,将相应优先级分配给所述一个或多个安全策略,其中,与较不具体的策略相比,更具体的策略被分配更高的优先级;
检测与所述第一EPG相关联的虚拟机从所述第一网荚到来自所述一个或多个第二网荚的第二网荚上的目标节点的移动;以及
当与所述第一EPG相关联的虚拟机是所述第二网荚上要与所述第一EPG相关联的第一个虚拟机时,在所述目标节点或所述第二网荚中的至少一者中针对所述第一EPG自动提供所述一个或多个安全策略。
15.根据权利要求14所述的计算机可读介质,其中,所述指令在被执行时还使得所述一个或多个计算设备执行以下操作:
当与所述第一EPG相关联的虚拟机是所述第一网荚上与所述第一EPG相关联的最后虚拟机时,从所述第一网荚自动移除所述一个或多个安全策略中的至少一个。
16.根据权利要求14至15中任一项所述的计算机可读介质,其中,所述指令在被执行时还使得所述一个或多个计算设备执行以下操作:
经由所述网络上的控制器呈现配置元件,所述配置元件提供用于手动覆盖与所述一个或多个安全策略相关联的相应隐式优先级的选项。
17.根据权利要求14至15中任一项所述的计算机可读介质,其中,所述一个或多个安全策略包括所述第一EPG与所述一个或多个第二EPG之间的合同。
18.根据权利要求17所述的计算机可读介质,其中,所述合同定义针对相关联的流量的相应EPG,以及相应上下文、相应主题、相应过滤器、相应源或相应目的地中的至少一个。
19.根据权利要求14至15中任一项所述的计算机可读介质,其中,所述一个或多个安全策略基于所述网络的模式,所述模式包括分层管理信息树。
20.根据权利要求14至15中任一项所述的计算机可读介质,其中,所述网络包括软件定义的网络,并且所述多个网荚包括所述软件定义的网络中的多个网络结构段。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862645429P | 2018-03-20 | 2018-03-20 | |
| US62/645,429 | 2018-03-20 | ||
| US16/014,644 US10917436B2 (en) | 2018-03-20 | 2018-06-21 | On-demand security policy provisioning |
| US16/014,644 | 2018-06-21 | ||
| PCT/US2019/023021 WO2019183132A1 (en) | 2018-03-20 | 2019-03-19 | On-demand security policy provisioning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111919418A CN111919418A (zh) | 2020-11-10 |
| CN111919418B true CN111919418B (zh) | 2023-09-22 |
Family
ID=67983260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980019962.2A Active CN111919418B (zh) | 2018-03-20 | 2019-03-19 | 按需安全策略提供 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US10917436B2 (zh) |
| EP (1) | EP3769471A1 (zh) |
| CN (1) | CN111919418B (zh) |
| WO (1) | WO2019183132A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10917436B2 (en) * | 2018-03-20 | 2021-02-09 | Cisco Technology, Inc. | On-demand security policy provisioning |
| US11483313B2 (en) * | 2018-06-28 | 2022-10-25 | Intel Corporation | Technologies for updating an access control list table without causing disruption |
| US11522836B2 (en) * | 2020-02-25 | 2022-12-06 | Uatc, Llc | Deterministic container-based network configurations for autonomous vehicles |
| US11088916B1 (en) | 2020-04-06 | 2021-08-10 | Vmware, Inc. | Parsing logical network definition for different sites |
| US11882000B2 (en) | 2020-04-06 | 2024-01-23 | VMware LLC | Network management system for federated multi-site logical network |
| US11870679B2 (en) | 2020-04-06 | 2024-01-09 | VMware LLC | Primary datacenter for logical router |
| US11777793B2 (en) | 2020-04-06 | 2023-10-03 | Vmware, Inc. | Location criteria for security groups |
| US11343227B2 (en) * | 2020-09-28 | 2022-05-24 | Vmware, Inc. | Application deployment in multi-site virtualization infrastructure |
| US20220321604A1 (en) * | 2021-03-30 | 2022-10-06 | Juniper Networks, Inc. | Intent-based enterprise security using dynamic learning of network segment prefixes |
| US11799785B2 (en) | 2021-04-09 | 2023-10-24 | Microsoft Technology Licensing, Llc | Hardware-based packet flow processing |
| CN117203615A (zh) | 2021-04-09 | 2023-12-08 | 微软技术许可有限责任公司 | 经由分发扩展主机策略 |
| US11652749B2 (en) | 2021-04-09 | 2023-05-16 | Microsoft Technology Licensing, Llc | High availability for hardware-based packet flow processing |
| CN113438208B (zh) * | 2021-06-03 | 2022-08-26 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
| CN113645118B (zh) * | 2021-07-09 | 2023-01-24 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识流量缓存处理方法 |
| CN113873041B (zh) * | 2021-09-30 | 2024-03-01 | 迈普通信技术股份有限公司 | 报文传输方法、装置、网络设备及计算机可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107637018A (zh) * | 2015-06-16 | 2018-01-26 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8280944B2 (en) * | 2005-10-20 | 2012-10-02 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for managing a distributed application running in a plurality of digital processing devices |
| US8135990B2 (en) * | 2006-08-11 | 2012-03-13 | Opnet Technologies, Inc. | Multi-variate network survivability analysis |
| US8392997B2 (en) * | 2007-03-12 | 2013-03-05 | University Of Southern California | Value-adaptive security threat modeling and vulnerability ranking |
| US8146147B2 (en) * | 2008-03-27 | 2012-03-27 | Juniper Networks, Inc. | Combined firewalls |
| US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
| US8385202B2 (en) * | 2008-08-27 | 2013-02-26 | Cisco Technology, Inc. | Virtual switch quality of service for virtual machines |
| US10133485B2 (en) * | 2009-11-30 | 2018-11-20 | Red Hat, Inc. | Integrating storage resources from storage area network in machine provisioning platform |
| US8429255B1 (en) | 2010-01-27 | 2013-04-23 | Juniper Networks, Inc. | Determining reorder commands for remote reordering of policy rules |
| US8813209B2 (en) | 2010-06-03 | 2014-08-19 | International Business Machines Corporation | Automating network reconfiguration during migrations |
| US8838735B2 (en) * | 2011-06-28 | 2014-09-16 | At&T Intellectual Property I, L.P. | Methods, systems, and products for address translation in residential networks |
| US8924548B2 (en) * | 2011-08-16 | 2014-12-30 | Panduit Corp. | Integrated asset tracking, task manager, and virtual container for data center management |
| US9052940B2 (en) * | 2012-03-01 | 2015-06-09 | International Business Machines Corporation | System for customized virtual machine for a target hypervisor by copying image file from a library, and increase file and partition size prior to booting |
| US9319286B2 (en) * | 2012-03-30 | 2016-04-19 | Cognizant Business Services Limited | Apparatus and methods for managing applications in multi-cloud environments |
| CN102739645B (zh) | 2012-04-23 | 2016-03-16 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| US10348767B1 (en) * | 2013-02-26 | 2019-07-09 | Zentera Systems, Inc. | Cloud over IP session layer network |
| US9912683B2 (en) * | 2013-04-10 | 2018-03-06 | The United States Of America As Represented By The Secretary Of The Army | Method and apparatus for determining a criticality surface of assets to enhance cyber defense |
| CN104426680B (zh) * | 2013-09-03 | 2018-03-16 | 华为技术有限公司 | 数据传输方法、装置和系统 |
| US20150207664A1 (en) * | 2014-01-22 | 2015-07-23 | International Business Machines Corporation | Network control software notification with denial of service protection |
| WO2016072996A1 (en) * | 2014-11-06 | 2016-05-12 | Hewlett Packard Enterprise Development Lp | Network policy graphs |
| US10250641B2 (en) | 2015-01-27 | 2019-04-02 | Sri International | Natural language dialog-based security help agent for network administrator |
| US10505891B2 (en) * | 2015-04-02 | 2019-12-10 | Nicira, Inc. | Security policy selection for machines with dynamic addresses |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10579403B2 (en) * | 2015-06-29 | 2020-03-03 | Vmware, Inc. | Policy based provisioning of containers |
| US9787641B2 (en) | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
| WO2017014770A1 (en) * | 2015-07-22 | 2017-01-26 | Hewlett Packard Enterprise Development Lp | Adding metadata associated with a composite network policy |
| US10498765B2 (en) | 2016-06-01 | 2019-12-03 | At&T Intellectual Property I, L.P. | Virtual infrastructure perimeter regulator |
| US10768920B2 (en) * | 2016-06-15 | 2020-09-08 | Microsoft Technology Licensing, Llc | Update coordination in a multi-tenant cloud computing environment |
| US10938787B2 (en) * | 2017-12-01 | 2021-03-02 | Kohl's, Inc. | Cloud services management system and method |
| US10917436B2 (en) * | 2018-03-20 | 2021-02-09 | Cisco Technology, Inc. | On-demand security policy provisioning |
| US10848390B2 (en) * | 2018-04-16 | 2020-11-24 | Cisco Technology, Inc. | Prioritized rule set identification and on-demand constrained deployment in constrained network devices |
-
2018
- 2018-06-21 US US16/014,644 patent/US10917436B2/en active Active
-
2019
- 2019-03-19 EP EP19715623.5A patent/EP3769471A1/en active Pending
- 2019-03-19 WO PCT/US2019/023021 patent/WO2019183132A1/en unknown
- 2019-03-19 CN CN201980019962.2A patent/CN111919418B/zh active Active
-
2021
- 2021-01-11 US US17/146,204 patent/US11533340B2/en active Active
-
2022
- 2022-11-22 US US18/058,113 patent/US11863591B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107637018A (zh) * | 2015-06-16 | 2018-01-26 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
Non-Patent Citations (1)
| Title |
|---|
| SADRI SAHBA 等.Towards Migrating Security Policies of Virtual Machines in Software Defined Networks.PROCEEDINGS OF THE 2015 1ST IEEE CONFERENCE ON NETWORK SOFTWARIZATION (NETSOFT), IEEE.2015,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3769471A1 (en) | 2021-01-27 |
| WO2019183132A1 (en) | 2019-09-26 |
| US20230096045A1 (en) | 2023-03-30 |
| CN111919418A (zh) | 2020-11-10 |
| US11863591B2 (en) | 2024-01-02 |
| US20210136124A1 (en) | 2021-05-06 |
| US10917436B2 (en) | 2021-02-09 |
| US20190297114A1 (en) | 2019-09-26 |
| US11533340B2 (en) | 2022-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111919418B (zh) | 按需安全策略提供 | |
| US11625154B2 (en) | Stage upgrade of image versions on devices in a cluster | |
| US20210344692A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
| US11968198B2 (en) | Distributed authentication and authorization for rapid scaling of containerized services | |
| US11323487B1 (en) | Scalable policy management for virtual networks | |
| EP3342100B1 (en) | Distributing remote device management attributes to service nodes for service rule processing | |
| EP2847969B1 (en) | Method and apparatus for supporting access control lists in a multi-tenant environment | |
| US11153145B2 (en) | System and method of a centralized gateway that coordinates between multiple external controllers without explicit awareness | |
| US20190158505A1 (en) | Data packet forwarding unit in software defined networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |