CN113472729A - 基于角色的访问控制策略自动生成 - Google Patents
基于角色的访问控制策略自动生成 Download PDFInfo
- Publication number
- CN113472729A CN113472729A CN202010528849.1A CN202010528849A CN113472729A CN 113472729 A CN113472729 A CN 113472729A CN 202010528849 A CN202010528849 A CN 202010528849A CN 113472729 A CN113472729 A CN 113472729A
- Authority
- CN
- China
- Prior art keywords
- network
- access control
- role
- functions
- perform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本公开涉及基于角色的访问控制策略自动生成。在一些实例中,计算机网络中的访问控制策略控制器可接收创建访问控制策略的请求,该访问控制策略允许角色执行计算机网络中的一个或多个功能。访问控制策略控制器可至少部分基于跟踪计算机网络中的一个或多个功能的执行,来确定对计算机网络中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。访问控制策略控制器可创建用于角色的访问控制策略,该访问控制策略允许角色对计算机网络中的一个或多个对象执行一个或多个操作。
Description
技术领域
本公开涉及计算机网络,并且更具体地,涉及用于计算机网络的访问控制策略。
背景技术
虚拟数字中心正成为现代信息技术(IT)基础设施的核心基础。具体地,现代数据中心已广泛利用了虚拟环境,其中,诸如虚拟机或虚拟容器的虚拟主机被部署在物理计算设备的底层计算平台上并在其上运行。具有大型数据中心的虚拟化可提供若干优势。一个优势是虚拟化可大大提高效率。因为随着每一物理CPU具有大量核的多核微处理器架构的出现,底层物理计算设备(即,服务器)变得越来越强大,所以虚拟化变得更加容易且更加高效。第二优势是虚拟化提供对该基础设施的重要控制。因为例如,在基于云的计算环境中,物理计算资源成为替代资源,所以计算基础设施的提供和管理变得更加容易。因此,除了虚拟化所提供的效率和更高的投资回报率(ROI)之外,企业IT员工还因数据中心中的虚拟化计算集群的管理优势而通常更喜欢虚拟化的计算集群。
例如,数据中心可物理上容纳所有基础设施设备,例如联网和存储系统、冗余电源和环境控制。在典型的数据中心中,存储系统和应用服务器的集群通过由一层或多层物理网络交换机和路由器提供的交换结构互连。更复杂的数据中心为遍布全球的基础设施提供位于各种物理主管设施中的用户支持设备。在数据中心的许多实例中,基础设施可包括物理设备的组合,这些物理设备链接至各种虚拟资源,例如虚拟服务器、代理和/或策略控制器,并与之通信。
发明内容
总体上,本公开描述了使计算机网络的控制器能够基于用户意图生成用于计算机网络的基于角色的访问控制(RBAC)策略的技术。用户,例如计算机网络的管理员,可指定一个或多个用户意图,其中,用户意图可以是计算机网络的最终功能的高级描述。控制器可确定计算机网络中被操作以执行一个或多个用户意图的对象,并且可确定为了执行一个或多个用户意图而对所识别的对象执行的特定操作。因此,控制器可确定用于角色的访问控制策略,该访问控制策略允许角色对所识别的对象执行特定操作。
计算机网络(例如,软件定义的网络)可以是一个复杂的环境,该环境包括彼此之间通信以及与外部设备通信的成百上千个物理和/或虚拟部件,例如应用程序、虚拟机、虚拟路由器、虚拟网络、子网、域、租户、资源等。因此,对于用户(例如,管理员)来说,手动确定用于角色的允许角色在计算机网络内执行一个或多个用户意图的适当访问控制策略是不可行的。例如,执行包括一个或多个用户意图的工作流可包括执行操作以监控并编排跨集群、域、租户、虚拟网络等的资源。此外,这些实体可跨越多个虚拟路由器、节点(例如,配置节点、控制节点等)、虚拟机等。因此,在一些实例中,执行包括一个或多个用户意图的工作流可包括访问跨网络的多个服务器的数百个不同对象并对其执行操作。因此,在某些情况下,用户可能无法手动确定用于角色的适当访问控制策略。
在一些实例中,如果用户尝试手动确定用于角色的执行一个或多个意图的访问策略,则用户在手动确定授予角色在计算机网络中执行一个或多个意图的能力的访问策略时,可能包含过度或欠包含。例如,如果用户确定执行用户意图包括对计算机网络中的对象执行操作,但不知道为了执行该用户意图而对对象执行的具体操作,则为了在计算机网络中执行用户意图,用户可能授予角色对不需要的对象执行操作的能力,这可能会导致如下安全问题:与角色相关的用户可能被允许执行除了执行用户意图所需的操作以外的操作。在其他实例中,为了执行用户意图,用户可能会错误地未授予角色执行可能需要被执行的一个或多个操作的能力,这可导致在用户授予权限的情况下,该角色也无法执行用户意图。
因此,本文描述的技术可提供引起至少一种实际应用的一个或多个技术优点。例如,通过识别被操作以执行一个或多个用户意图的对象,并且通过确定对所识别的对象执行的具体操作,计算机网络的控制器可能能够创建用于角色的执行一个或多个意图的访问策略,该访问策略使角色能够在防止角色对计算机网络中的不需要执行一个或多个用户意图的对象执行操作的同时,对计算机网络中的特定对象执行特定操作以执行一个或多个用户意图。因此,本文所描述的技术可在授予角色对对象执行操作以执行一个或多个意图的权限时,通过防止错误地或意外地授予角色对不需要执行一个或多个用户意图的对象执行操作的权限,提高了计算机网络的安全性。
在一个实例中,一种方法包括:接收创建访问控制策略的请求,该访问控制策略允许角色执行网络中的一个或多个功能。该方法进一步包括:至少部分基于跟踪网络中的一个或多个功能的执行,来确定对网络中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。该方法进一步包括:创建用于角色的访问控制策略,该访问控制策略允许角色对网络中的一个或多个对象执行一个或多个操作。
在另一实例中,一种设备包括存储器,该存储器被配置为存储一个或多个访问控制策略。该网络设备进一步包括处理电路,该处理电路可操作地耦接至存储器并且被配置为:接收创建访问控制策略的请求,该访问控制策略允许角色执行网络中的一个或多个功能;至少部分基于跟踪网络中的一个或多个功能的执行,来确定对网络中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作;以及创建用于角色的访问控制策略,该访问控制策略允许角色对网络中的一个或多个对象执行一个或多个操作。
在另一实例中,一种计算机可读介质包括指令,该指令在被执行时,使执行用于网络的访问控制策略控制器的处理电路:接收创建访问控制策略的请求,该访问控制策略允许角色执行网络中的一个或多个功能;至少部分基于跟踪网络中的一个或多个功能的执行,来确定对网络中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作;以及创建用于角色的访问控制策略,该访问控制策略允许角色对网络中的一个或多个对象执行一个或多个操作。
在下面的附图和说明书中阐述一个或多个实例的细节。根据说明书和附图以及权利要求书,其他特征、目的和优点将是显而易见的。
附图说明
图1是示出根据本文描述的技术的示例性计算机网络系统的框图。
图2是进一步详细示出图1的数据中心的示例性实施方式的框图。
图3是示出根据本公开的技术的访问控制策略控制器的示例性操作的流程图。
具体实施方式
图1是示出根据本文描述的技术的示例性计算机网络系统8的框图。图1的实例中的计算机网络系统8包括:数据中心10A-10X(统称为“数据中心10”),这些数据中心彼此互连并经由服务提供商网络7与和客户11相关联的客户网络互连。图1示出计算机网络系统8和数据中心10A的一个示例性实施方式,该数据中心主管一个或多个基于云的计算网络、计算域或项目(在本文中,统称为云计算集群)。基于云的计算集群可共存于共同的整体计算环境中,例如单个数据中心,或者跨环境分布,例如跨不同的数据中心。例如,基于云的计算集群可以是不同的云环境,例如OpenStack云环境、Kubernetes云环境或其他计算集群、域、网络等的各种组合。在其他情况下,计算机网络系统8和数据中心10A的其他实施方式可能是合适的。这些实施方式可包括图1的实例所包括的部件的子集和/或可包括图1未示出的其他部件。数据中心10B-10X可包括相同或相似的特征,并且可配置为执行与此处针对数据中心10A所描述的相同或相似功能。
在图1所示的实例中,数据中心10A为通过服务提供商网络7经由网关108耦接至数据中心10A的客户11提供应用程序和服务的操作环境。尽管结合图1的计算机网络系统8所描述的功能和操作可示出为跨图1中的多个设备分布,但是在其他实例中,归于图1中的一个或多个设备的特征和技术可通过这些设备中的一个或多个的本地部件在内部执行。类似地,这些设备中的一个或多个可包括某些部件,并且可执行在本文的说明书中可以以另外方式归于一个或多个其他设备的各种技术。此外,某些操作、技术、特征和/或功能可结合图1进行描述,或者以另外方式由特定部件、设备和/或模块执行。在其他实例中,这些操作、技术、特征和/或功能可由其他部件、设备或模块执行。因此,归于一个或多个部件、设备或模块的一些操作、技术、特征和/或功能也可归于其他部件、设备和/或模块,即使本文中没有以此方式进行具体描述。
数据中心10A主管(host)基础设施设备,例如联网和存储系统、冗余电源和环境控制。服务提供商网络7可耦接至由其他提供商管理的一个或多个网络,并且因此可形成大规模公共网络基础设施(例如,因特网)的一部分。在一些实例中,数据中心10A可表示许多地理分布的网络数据中心之一。如图1的实例所示,数据中心10A是为客户11提供网络服务的设施。客户11可以是诸如企业和政府或个人的集体性实体。例如,网络数据中心可主管用于多个企业和终端用户的网络服务。其他示例性服务可包括数据存储、虚拟专用网、交通工程、文件服务、数据挖掘、科学或超级计算等。在一些实例中,数据中心10A是单独的网络服务器、网络对等方(network peer)或其他。
在图1的实例中,数据中心10A包括一组存储系统和应用服务器,包括服务器12A至服务器12X(统称为“服务器12”),这些服务器通过由一层或多层物理网络交换机和路由器提供的高速交换结构20互连。服务器12用作数据中心的物理计算节点。例如,服务器12中的每一个可提供用于执行一个或多个应用工作负载37(在图1中表示为“WL”)的操作环境。如本文所描述的,术语“应用工作负载37”或“工作负载37”可互换地使用来指代应用工作负载37。工作负载37可在虚拟化环境(诸如虚拟机、容器或一些类型的虚拟化实例)上执行,或在一些情况下,可在裸金属服务器上执行,该裸金属服务器直接执行工作负载,而不是在虚拟化环境中间接执行工作负载。服务器12中的每一个可替代地被称为主机计算设备,或更简单地称为主机。服务器12可在用于运行一个或多个服务(诸如虚拟化网络功能(VNF))的一个或多个虚拟化实例(诸如,虚拟机、容器或其他虚拟运行环境)上,执行工作负载37中的一个或多个。服务器12中的一些或全部可以是裸金属服务器(BMS)。BMS可以是专用于特定客户或租户的物理服务器。
交换结构20可包括耦接至机箱交换机(chassis switch)18A-18M的分布层的架顶式(TOR)交换机16A-16N,并且数据中心10A可包括一个或多个非边缘交换机、路由器、集线器、网关、安全设备(诸如防火墙、入侵检测和/或防入侵设备)、服务器、计算机终端、膝上型计算机、打印机、数据库、无线移动设备(诸如蜂窝电话或个人数字助理)、无线接入点、桥接器、电缆调制解调器、应用加速器或其他网络设备。数据中心10A包括通过由一层或多层物理网络交换机和路由器提供的高速交换结构20互连的服务器12A-12X。交换结构20由耦接至机箱交换机18A-18M(统称为“机箱交换机18”)的分配层的一组互连的架顶式(TOR)交换机16A-16N(统称为“TOR交换机16”)提供。尽管未示出,但是数据中心10A也可包括例如,一个或多个非边缘交换机、路由器、集线器、网关、安全设备(诸如防火墙、入侵检测和/或防入侵设备)、服务器、计算机终端、膝上型计算机、打印机、数据库、无线移动设备(诸如蜂窝电话或个人数字助理)、无线接入点、桥接器、电缆调制解调器、应用加速器或其他网络设备。
在该实例中,TOR交换机16和机箱交换机18为服务器12提供到网关108和服务提供商网络7的冗余(多宿主)连接。机箱交换机18聚合业务流(traffic flow),并在TOR交换机16之间提供高速连接。TOR交换机16可以是提供层2(MAC)和/或层3(例如,IP)路由和/或交换功能的网络设备。TOR交换机16和机箱交换机18可各自包括一个或多个处理器和存储器,并且能够执行一个或多个软件处理。机箱交换机18耦接至网关108,该网关可执行层3路由以便通过服务提供商网络7在数据中心10A与客户11之间路由网络流量(networktraffic)。
交换结构20可执行层3路由,以便通过服务提供商网络7在数据中心10A与客户11之间路由网络流量。网关108用于在交换结构20与服务提供商网络7之间转发和接收数据包。数据中心10A包括叠加网络,该叠加网络将交换结构20从物理交换机18、16扩展到软件或“虚拟”交换机。例如,分别位于服务器12A-12X中的虚拟路由器30A-30X可通过与位于交换结构20内的一个或多个物理交换机通信耦接来扩展交换结构20。虚拟交换机可动态创建并管理可用于应用程序实例之间的通信的一个或多个虚拟网络。在一个实例中,虚拟路由器30A-30X将虚拟网络作为叠加网络执行,其提供了将应用程序的虚拟地址与应用程序在其上运行的服务器12A-12X中的一个的物理地址(例如,IP地址)解耦的能力。每个虚拟网络可使用其自身寻址和安全方案,并且可被视为与物理网络及其寻址方案正交。不同技术可用于通过物理网络在虚拟网络内以及跨虚拟网络传送数据包。
根据本公开的一个或多个实例,软件定义网络(“SDN”)控制器132提供逻辑上且在某些情况下物理上集中的控制器,以用于促进数据中心10A内的一个或多个虚拟网络的操作。在整个本公开中,术语SDN控制器和虚拟网络控制器(“VNC”)可互换使用。在一些实例中,SDN控制器132响应于经由API(诸如,北向API 131)从编排引擎130接收的配置输入而操作,该编排引擎转而响应于从操作用户界面设备129的管理员24接收的配置输入而操作。关于结合数据中心10A的其他设备或其他软件定义网络操作的SDN控制器132的其他信息,可在于2013年6月5日提交的、名为“PHYSICAL PATH DETERMINATION FOR VIRTUAL NETWORKPACKET FLOWS(用于虚拟网络数据包流的物理路径确定)”的国际申请PCT/US 2013/044378号,以及于2017年3月31日提交的、名为“SESSION-BASED TRAFFIC STATISTICS LOGGINGFOR VIRTUAL ROUTERS(用于虚拟路由器的基于会话的流量统计日记记录)”的美国专利申请序列号15/476,136中找到,其中,通过引证将这两个申请的全部内容结合在此,如同本文中完整阐述的。
例如,可在数据中心10中使用SDN平台以控制并管理网络行为。在某些情况下,SDN平台包括逻辑上集中且物理上分布的SDN控制器(例如,SDN控制器132)和以虚拟路由器的形式的分布式转发平面,该虚拟路由器将网络从数据中心交换结构中的物理路由器和交换机扩展到虚拟服务器所主管的虚拟叠加网络。
在一些实例中,SDN控制器132管理网络和联网服务,例如负载平衡、安全性,并且经由南向API将来自服务器12的资源分配至各种应用程序。即,南向API表示由SDN控制器132使用的一组通信协议,以使网络的实际状态等于编排引擎130指定的期望状态。这些通信协议中的一种可包括例如消息通信协议,诸如XMPP。例如,SDN控制器132通过在虚拟化环境中配置物理交换机(例如,TOR交换机16、机箱交换机18和交换结构20)、物理路由器、物理服务节点(例如防火墙和负载平衡器)以及虚拟服务(例如虚拟防火墙)来实现来自编排引擎130的高级请求。SDN控制器132在状态数据库内维护路由、联网和配置信息。SDN控制器132将路由信息和配置信息的适当子集从状态数据库通信至服务器12A-12X中的每一个上的虚拟路由器(VR)30A-30X或代理35A-35X(图1中的“AGENT”)。
如本文所述,服务器12中的每一个包括各自的转发部件39A-39X(下文中,“转发部件39”),该转发部件执行用于每个服务器12上执行的工作流(图1的“WF 37”)的数据转发和业务统计收集功能。在图1的实例中,每个转发部件被描述为包括执行数据包路由和叠加功能的虚拟路由器(图1中的“VR 30A-VR 30X”)以及与SDN控制器132通信并作为响应,配置虚拟路由器30的VR代理(图1中的“VA 35A-35X”)。VR代理35操作为用于相应服务器12的相应策略代理,并且可以可替代地被称为策略代理。可替代地,策略代理可对应于VR代理35的子部件或功能。
在该实例中,每个虚拟路由器30A-30X实现用于数据中心10内的对应虚拟网络的至少一个路由实例,并将数据包路由至在由服务器提供的操作环境内运行的适当虚拟机、容器或其他元件。由服务器12A的虚拟路由器例如,从底层物理网络结构接收的数据包可包括外部报头,以允许物理网络结构将有效载荷或“内部数据包”隧道传输至用于运行虚拟路由器的服务器12A的网络界面的物理网络地址。外部报头可不仅包括服务器的网络界面的物理网络地址,还可包括标识虚拟网络中的一个以及由虚拟路由器执行的对应路由实例的虚拟网络标识符,诸如VxLAN标签或多协议标签交换(MPLS)标签。内部数据包包括内部报头,该内部报头具有与用于由虚拟网络标识符标识的虚拟网络的虚拟网络寻址空间相符的目的地网络地址。
在图1的实例中,SDN控制器132学习路由和其他信息(例如配置),并将其分配至数据中心10中的所有计算节点。在计算节点内部运行的转发部件39的VR代理35在从SDN控制器132接收到路由信息时,通常利用转发信息对数据转发元件(虚拟路由器30)进行编程。SDN控制器132使用消息通信协议(例如,XMPP协议语义)而不是使用更重量级的协议(例如,像BGP的路由协议),来将路由和配置信息发送至VR代理35。在XMPP中,SDN控制器132和代理在同一信道上通信路由和配置。在从VR代理35接收路由时,SDN控制器132充当消息通信协议客户端,并且在该情况下,VR代理35充当消息通信协议服务器。相反,在SDN控制器向VR代理35发送路由时,SDN控制器132充当到VR代理35的消息通信协议服务器,VR代理35作为消息通信协议客户端。SDN控制器132可向VR代理35发送安全策略以供虚拟路由器30使用。
用户界面设备129可实现为任意合适的计算系统,例如由用户和/或由管理员24操作的移动或非移动计算设备。根据本发明的一个或多个方面,用户界面设备129可例如表示可由用户操作和/或可呈现用户界面的工作站、膝上型或笔记本计算机、台式计算机、平板计算机或任意其他计算设备。
在一些实例中,编排引擎130管理数据中心10A的功能,诸如计算、存储、联网和应用资源。例如,编排引擎130可在数据中心10A内或跨数据中心创建用于租户的虚拟网络。编排引擎130可将工作负载(WL)附加至租户的虚拟网络。编排引擎130可将租户的虚拟网络连接至外部网络,例如,互联网或VPN。编排引擎130可实现跨工作负载组或租户网络的边界的安全策略。编排引擎130可在租户的虚拟网络中,部署网络服务(例如,负载平衡器)。
在一些实例中,SDN控制器132管理网络和联网服务,例如负载平衡、安全性,并且经由南向API 133将来自服务器12的资源分配至各种应用程序。即,南向API 133表示由SDN控制器132使用的一组通信协议,以使网络的实际状态等于编排引擎130指定的期望状态。例如,SDN控制器132通过在VM中配置物理交换机(例如,TOR交换机16、机箱交换机18和交换结构20)、物理路由器、物理服务节点(例如防火墙和负载平衡器)以及虚拟服务(例如虚拟防火墙)来实现来自编排引擎130的高级请求。SDN控制器132在状态数据库内维护路由、联网和配置信息。
通常,任何两个网络设备(例如,交换结构20内的网络设备(未示出)之间或服务器12与客户11之间或服务器12之间)的业务可遍历使用许多不同路径的物理网络。例如,在两个网络设备之间,可以有若干条等价的不同路径。在一些情况下,属于从一个网络设备到另一个网络设备的网络业务的数据包可使用在每个网络交换节点处被称为多路径路由的路由策略,分布在各种可能的路径中。例如,互联网工程任务组(IETF)RFC 2992,“Analysisof an Equal-Cost Multi-Path Algorithm(等价多路径算法的分析)”描述了一种用于沿着等价的多条路径路由数据包的路由技术。RFC 2992的技术通过对数据包报头字段进行散列来分析涉及将流分配至仓(bin)的一个特定多路径路由策略,该路由策略在单个确定路径上发送来自特定业务流的所有数据包。
虚拟路由器(虚拟路由器30A至虚拟路由器30X,在图1中统称为“虚拟路由器30”)执行用于数据中心10A内的对应虚拟网络的多个路由实例,并且将数据包路由至在由服务器12提供的操作环境内执行的适当工作负载37。服务器12中的每一个可包括虚拟路由器。由服务器12A的虚拟路由器30A例如,从底层物理网络结构接收的数据包可包括外部报头,以允许物理网络结构将有效载荷或“内部数据包”隧道传输至用于服务器12A的网络界面的物理网络地址。外部报头可不仅包括服务器的网络界面的物理网络地址,还可包括标识虚拟网络中的一个以及由虚拟路由器执行的对应路由实例的虚拟网络标识符,诸如VxLAN标签或多协议标签交换(MPLS)标签。内部数据包包括内部报头,该内部报头具有与用于由虚拟网络标识符标识的虚拟网络的虚拟网络寻址空间相符的目的地网络地址。
数据中心10A可具有数千个机箱交换机18和TOR交换机16以及数百个服务器12。此外,数据中心10A中的服务器12可包括许多不同的对象,例如虚拟网络、域、子网、集群、租户、应用程序、资源、项目、服务(例如,互联网协议地址管理)等。图1所示的实例表示完全配置的数据中心10A。其他数据中心10B-10X可类似地配置,并且可包括相似数量的机箱交换机、TOR交换机、服务器和对象。在数据中心10A设备中可配置的其他配置对象可包括:访问控制列表、警报、IP别称、IP池别称、分析节点、API访问列表、BGP即服务(BGP-as-service)、BGP路由器、配置节点、配置根、客户附件、数据库节点、发现服务、发现服务分配(DSA)规则、浮动IP、浮动IP池、转发类别、服务质量参数、全球系统、全局虚拟路由器、IP实例、接口路由表、负载平衡器、逻辑接口、逻辑路由器、命名空间、IPAM、网络策略、物理相间、物理路由器、端口、项目、提供商附件、聚合路由、路由表、路由目标、路由实例、路由策略、安全组、服务应用程序或其集合、服务实例、域名服务(DNS)服务器和其他DNS参数、虚拟IP地址、虚拟机及其接口以及虚拟路由器。
基于角色的访问控制(RBAC)可以是一种用于限制并监控网络系统8内的用户访问的基于角色的技术。网络系统8(例如,经由访问控制策略控制器23)可配置有一个或多个角色,每个角色可被分配至一个或多个用户。分配至用户的角色可决定提供至用户的服务、用户被允许在网络系统8内访问的应用程序、用户在网络系统8内所具有的管理特权或其任意组合。每个角色可与访问控制策略相关联,该访问控制策略指定相关联角色执行网络系统8内的某些操作和/或访问某些对象的权限。例如,用于角色的访问控制策略可指定网络系统8内的、允许该角色对其执行一个或多个操作的一个或多个对象,并且也可针对在该策略中指定的一个或多个对象中的每一个,指定允许该角色对该对象执行的一个或多个操作。
在一些实例中,用于角色的访问控制策略可针对网络系统8中的一个或多个对象,指定该角色被允许对该对象执行的创建、读取、更新和删除(CRUD)操作中的一个或多个。在一些实例中,访问控制策略可充当白名单,因为访问控制策略可指定角色能够访问和/或执行的对象和/或操作,但可避免指定角色不能访问的对象和/或操作。例如,如果访问控制策略未指定网络系统8内的特定对象,则与访问控制策略关联的角色可能无法对该对象执行任何操作。在另一实例中,如果访问控制策略指定了该角色能够对网络系统8内的对象执行的一个或多个操作,但是未指定该角色能够对该对象执行的特定操作,则与访问控制策略关联的角色可能仅能够对该对象执行一个或多个指定操作,而可能无法对该对象执行该特定操作。
在一些实例中,管理员24可手动创建和/或修改用于角色的访问控制策略,以便指定网络系统8内的允许该角色访问的对象以及允许该角色对那些指定的对象所执行的操作。管理员24可与由用户界面设备129诸如,通过在用户界面设备129处提供用户输入而呈现的用户界面(诸如图形用户界面)交互,以指定用于角色的、在网络系统8内访问对象以及执行操作的权限。例如,管理员24可提供用户输入以在网络系统8中选择允许角色对其执行一个或多个操作的一个或多个对象,并且可针对由管理员24选择的对象中的每一个,提供输入以指定一个或多个操作,诸如CRUD操作中的一个或多个。
虽然手动创建用于通用高级别角色(诸如用于云管理员或租户管理员)的访问控制策略可能是相对容易且直接的,因为管理员24可能能够简单地指定允许用于云管理员的角色对例如网络系统8(在用于云管理员的角色的情况下)中的所有对象或特定租户(在租户管理员的情况下)执行所有CRUD操作,但是管理员24可能难以在网络系统8中以各个对象级别手动创建更精细的访问控制策略。
例如,由网络系统8执行的一些功能可包括对网络系统8内的数十、数百或数千个不同对象执行操作。因此,管理员24可能必须手动选择用于网络系统8内的数十个、数百个或数千个对象的访问控制策略,以便为执行这些功能的角色创建访问控制策略。此外,因为网络系统8的用户可将要由网络系统8执行的功能指定为作为对网络系统8的最终功能的高级描述的一个或多个用户意图,所以网络系统8的用户可能不能看到网络系统8为了执行这些一个或多个用户意图而执行的所有操作。因此,对于网络系统8的用户,通过手动设置跨网络系统8的数十个、数百个或数千个对象的许可操作来手动创建用于角色的、允许角色执行网络系统8内的一些功能的访问控制策略可能是不切实际的。
根据本公开的方面,网络系统8的部件(诸如访问控制策略控制器23)可创建访问控制策略,该访问控制策略允许角色访问对象并对网络系统8中的对象执行操作。访问控制策略控制器23可能能够创建用于角色的这样的访问控制策略:即,无需管理员24必须指定允许角色访问的确切对象以及允许角色对对象中的每一个执行的确切操作。而是,具有提升特权的用户(诸如网络系统8的或者网络系统8内的特定域、集群、租户等的管理员24)可向访问控制策略控制器23发送创建访问控制策略的请求,该访问控制策略允许角色执行网络系统8中的一个或多个功能。
在一些实例中,访问控制策略控制器23可以是网络系统8的分析引擎,可确定为了执行一个或多个功能而要对网络系统8中的一个或多个对象执行的一个或多个操作,并且可生成用于角色的访问控制策略,该访问控制策略允许相关联的角色对该一个或多个对象执行一个或多个操作。因此,访问控制策略控制器23可生成用于角色的访问控制策略,该访问控制策略指定允许该角色对网络系统8中的一个或多个对象执行的一个或多个操作。
在图1的实例中,管理员24可通过提供允许角色执行的一个或多个功能的指示,来请求由数据中心10A创建用于角色的、允许角色执行网络系统8中的一个或多个功能的访问控制策略。例如,管理员24可在用户界面设备129处提供用户输入以指定角色被允许执行的一个或多个功能。
在一些实例中,管理员24可经由用户界面设备129将一个或多个功能指定为一个或多个用户意图。用户意图可以是数据中心10A的配置状态或数据中心10A的最终功能的高级描述或抽象化,其不指定如何实现数据中心10A的配置状态和/或如何在网络系统8中实现特定最终功能的低级细节(例如,网络系统8中的在其上执行操作的特定对象以及要对对象执行的特定的一个或多个CRUD操作)。例如,管理员24可指定描述在两个或多个网络之间(例如,两个或多个数据中心10之间、服务提供商网络7与网络系统8内的另一网络之间、两个其他网络之间等)创建策略的用户意图。为了执行用户意图以在两个或多个网络之间创建策略,网络系统8(例如,数据中心10A和/或SDN控制器132)可创建两个或多个网络,创建用于两个或多个网络的一个或多个策略,并将策略附加至该两个或多个网络。例如,数据中心10A和/或SDN控制器132可对网络系统8内的多个不同对象创建和/或执行操作,例如对路由实例、访问控制列表、访问控制条目、虚拟路由和转发实例等中的每一个创建和/或执行一个或多个CRUD操作,以执行由管理员24指定的用户意图。
在另一实例中,如果用户意图描述了在数据中心10A内的两个存在点之间创建隧道,则数据中心10A可通过确定最终功能的实现细节(例如确定在两个存在点之间是使用单个隧道还是使用多个隧道、确定使用哪些特定的硬件表或软件特征等)来执行用户意图,并根据确定的数据中心10A的实现细节来实现最终功能(例如,通过用户意图描述的隧道)。管理员24可指定的用户意图的其他实例可包括可引起更多对象类型操纵(例如,用于执行服务链的用户意图)的更高级别的用例(use case),数据中心10A、SDN控制器132等可通过对诸如服务模板、服务实例、网络、网络策略、访问控制列表、访问控制条目、路由实例等的对象执行操作来执行该更高级别的用例。
在一些实例中,管理员24可通过经由用户界面设备129指定一个或多个工作流来指定一个或多个用户意图,其中,可使用一个或多个意图和/或一个或多个对象来创建工作流。工作流以及意图可分别与工作流标识符或用户意图标识符相关联,从而可将由管理员24指定的工作流和/或用户意图发送至例如SDN控制器132的API服务器,使得SDN控制器132可能能够将工作流标识符或用户意图标识符与被创建和/或操纵的对象相关联,以执行工作流或用户意图。
在一些实例中,管理员24还可指定与访问控制策略相关联的角色。通过指定与访问控制策略关联的角色,至少部分基于由管理员24指定的一个或多个功能生成的访问控制策略可定义允许分配至该角色的用户在数据中心10A中所执行的操作。
在一些实例中,管理员24还可指定与管理员24所指定的一个或多个功能相关联的时间段,以向数据中心10A指示将由该数据中心10A执行一个或多个功能的时间段。在一些实例中,管理员24可通过指定开始时间和结束时间来指定时间段,以指示一个或多个功能将要由数据中心10A在指定的开始时间与结束时间之间执行。
在一些实例中,管理员24还可指定要创建的访问控制策略的范围。该范围可指示网络系统8的访问控制策略所应用的部分。在一些实例中,管理员24可指定将访问控制策略应用于整个数据中心10A的全局范围。在一些实例中,管理员24还可指定与访问控制策略相关联的租户。在数据中心10A包括多租户系统的情况下,管理员24可从多租户系统中指定一租户,针对该租户,数据中心10A可基于由管理员24指定的一个或多个功能,创建访问控制策略以控制允许该角色对该租户中的一个或多个对象执行的一个或多个操作。在一些其他实例中,数据中心10A可指定项目级范围,以便将访问控制策略应用于数据中心10A内的特定项目。
在一些实例中,用户界面设备129可提供诸如图形用户界面的用户界面,该用户界面包括诸如输入字段、下拉字段等的各种用户界面控件,诸如管理员24的用户可经由用户输入与这些用户界面控件交互以提供上述信息,以便向访问控制策略控制器23发送创建访问控制策略的请求,该访问控制策略允许角色执行网络系统8中的一个或多个功能。例如,管理员24可经由用户界面设备129提供输入以指定角色、租户、数据中心10A要执行的一个或多个功能、开始时间、结束时间以及任何其他合适的信息。
在一些实例中,在管理员24提供用户输入以提供上述信息时,用户界面设备129可提供确认用户界面,该确认用户界面允许管理员24确认已输入的信息是正确的,并且允许管理员24在创建访问策略的请求被发送至访问控制策略控制器23之前,对该请求进行修改。响应于从管理员24接收到确认,用户界面设备129可发送创建访问控制策略控制器23的请求。
响应于接收到由数据中心10A执行一个或多个功能的指示,访问控制策略控制器23可将一个或多个功能转发至SDN控制器132。SDN控制器132可至少部分基于跟踪数据中心10A中的一个或多个功能的执行,来确定对数据中心10A中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。在一些实例中,SDN控制器132可指示数据中心10A的部件(诸如服务器12)执行由管理员24指定的功能,以便确定对数据中心10A中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。
在一些实例中,SDN控制器132和/或编排引擎130可例如从访问控制策略控制器23接收由管理员24指定的一个或多个功能,并且作为响应,SDN控制器132可确定用于执行一个或多个功能的一个或多个API调用。例如,这些API调用可包括一个或多个表述性状态转移(REST)API调用或者可由SDN控制器132的API服务器和/或数据中心10A的其他部件执行的任何其他合适的API调用。
为了执行API调用,SDN控制器132可用来控制数据中心10A的部件,例如网关108、机箱交换机18、TOR交换机16、服务器12、工作负载37、虚拟路由器30、代理35、转发部件39、虚拟机、容器、管理程序、策略、应用程序、服务等,以便执行API调用的功能。例如,响应于接收到用于数据中心10A的与远程数据中心(例如,数据中心10B)的网络设备进行通信的用户意图,SDN控制器132可制定并执行使网关108实现一个或多个通信协议(例如,多协议边界网关协议(MP-BGP)或互联网协议VPN(IP VPN))的一个或多个API调用,该通信协议用于数据中心10A的租户网络的路由和可达性信息与远程数据中心的网络设备的通信。在另一实例中,SDN控制器132可执行API调用,该API调用使服务器12A将业务隧道传输至网关设备108B,以与远程数据中心(例如,数据中心10B)的租户网络进行通信。
访问控制策略控制器23可至少部分基于跟踪网络系统8中的一个或多个功能的执行,来确定对网络系统8中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。在一些实例中,SDN控制器132可生成与由管理员24指定的一个或多个功能相关联的记录或日志,访问控制策略控制器23可使用该记录或日志来确定对网络系统8中的一个或多个对象执行的一个或多个操作。例如,对于由管理员24指定的每个功能,SDN控制器132可记录或录入(log)由管理员24指定的功能、在其上执行至少一个操作以执行该功能的每个对象以及对对象执行的以执行该功能的每个操作。
在一些实例中,对于由管理员24指定的一个或多个功能中的每一个,SDN控制器132可确定对其执行至少一个操作以执行该功能的每个对象以及对对象执行的以执行该功能的每个操作。例如,SDN控制器132可基于由管理员24指定的功能,制定一个或多个指令(例如API调用),该指令被发送至网关108、机箱交换机18、TOR交换机16、服务器12、工作负载37、虚拟路由器30、代理35、转发部件39、虚拟机、容器、管理程序、策略、应用程序、服务等。SDN控制器132可基于其制定并发送的一个或多个指令中的每一个,确定对数据中心10A中的一个或多个对象进行的一个或多个操作,并且SDN控制器132可记录或录入对数据中心10A中的一个或多个对象执行的一个或多个操作。例如,如果SDN控制器132制定一指令并将其发送至虚拟路由器以更新路由表,则SDN控制器132可确定该指令指示虚拟路由器更新(即,写入)流表。因此,在与由管理员24指定的一个或多个功能相关的记录或日志中,SDN控制器132可包括流表对象的指示以及相关联的更新操作。
在某些实例中,数据中心10A的各种部件(例如,网关108、机箱交换机18、TOR交换机16、服务器12、工作负载37、虚拟路由器30、代理35、转发部件39、虚拟机、应用程序、服务等)可向SDN控制器132发送由这些部件对数据中心10A的一个或多个对象执行的一个或多个操作的指示。例如,SDN控制器132可基于由管理员24所指定的功能,制定被发送至数据中心10A的一个或多个部件的一个或多个指令。数据中心10A的一个或多个部件可从SDN控制器132接收一个或多个指令,并且可基于该一个或多个指令,对一个或多个对象执行一个或多个操作。对一个或多个对象中的至少一个执行一个或多个指令中的至少一个的部件中的每一个可将其对一个或多个对象执行的一个或多个操作的指示发送至SDN控制器132。SDN控制器132可接收由数据中心10A的一个或多个部件对一个或多个对象执行的一个或多个操作的指示,并且可记录或录入对数据中心10A中的一个或多个对象执行的一个或多个操作。
在一些实例中,服务器12的一个或多个部件可跟踪服务器12对对象所执行的以执行从SDN控制器132接收的一个或多个指令的操作,并且可将服务器12对对象执行的操作的指示发送至SDN控制器132。例如,代理35、虚拟路由器30、工作负载37等中的一个或多个可跟踪对服务器12中的对象(诸如代理35、虚拟路由器30、工作负载37中的一个或多个)以及工作负载37内的对象或在工作负载内运行的对象(诸如,应用程序、服务、文件等)执行的操作,并且可将指示对服务器12中的对象执行的操作的事件52流传输至SDN控制器132。例如,响应于服务器12对对象执行操作,服务器12可创建指示该对象以及对该对象执行的CRUD操作(即,创建、读取、更新或删除操作)的事件,并且可将该事件发送至SDN控制器132。SDN控制器132的收集器38可从服务器12接收事件流,其中,每个事件指示一个对象以及对该对象执行的操作,并且可将接收到的事件记录在一个或多个日志中,从而跟踪数据中心10A中的一个或多个功能的执行。另外,SDN控制器132可为其接收的事件中的每个事件生成时间戳,并且可将时间戳与事件的关联存储在一个或多个日志中。
在一些实例中,因为服务器12可将许多不同种类的事件流传输至SDN控制器132,所以SDN控制器132可将从服务器12发送的事件限制为与确定访问控制策略有关的事件(例如,指示对对象执行的操作的事件)。例如,数据中心10A中的每个对象可包括数据中心10A当前是否处于创建访问控制策略的过程的指示或者可与该指示相关联。响应于至少部分基于数据中心10A当前是否处于创建访问控制策略的过程的指示,确定数据中心10A当前处于创建访问策略的过程,服务器12可仅流传输与确定访问控制策略有关的事件。
在一些实例中,该指示可以是位的形式,其中,每个对象与该位相关联。SDN控制器132可操作以开启与数据中心10A中的对象相关联的位,以指示数据中心10A当前处于创建访问控制策略的过程。响应于至少部分基于与数据中心10A中的对象相关联的位的设定,确定数据中心10A当前处于创建访问策略的过程,服务器12可仅流传输与确定访问控制策略有关的事件。
访问控制策略控制器23可至少部分基于对网络系统8中的一个或多个对象执行的一个或多个操作,来生成用于使角色执行网络系统8中的由管理员24指定的一个或多个功能的访问控制策略。在SDN控制器132通过生成与由管理员24指定的一个或多个功能相关联的记录或日志来跟踪由管理员24指定的一个或多个功能的执行的实例中,访问控制策略控制器23可至少部分基于与在通过SDN控制器132生成的记录或日志中记录的一个或多个对象相关联的一个或多个操作,来确定访问控制策略。
在一些实例中,访问控制策略控制器23可至少部分基于与在一个或多个日志中记录的事件中的每一个相关联的时间戳,来确定与由管理员24指定的一个或多个功能相关联的相关一个或多个日志或记录。当管理员24指定要为其创建访问控制策略的一个或多个功能时,管理员24可指定与该一个或多个功能相关联的开始时间和结束时间。数据中心10A可在与一个或多个功能相关联的开始时间与结束时间之间的时间段内执行一个或多个功能,并且可标记时间戳或者以另外方式将时间戳与在一个或多个功能的执行期间生成的事件中的每一个相关联。
一个或多个日志中的带有时间戳的事件的示例性集合可如下:
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessapplication-policy-set 1"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessproject 3"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 1"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessrouting-instance 1"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 3"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 2"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 3"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 2"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessvirtual-network 4"
time="2019-02-21T14:36:21-08:00"level=info msg="Object accessrouting-instance 4"
如在实例中可看到的,事件中的每一个可被标记有时间戳或者以另外方式与时间戳相关联(例如,“2019-02-21T14:36:21-0:80”)。与事件相关联的时间戳可包括日期(例如,年、月和日)和/或时间。此外,事件中的每一个可包括对其执行一个或多个操作的对象(例如,“virtual-network(虚拟网络)”)的指示。在一些实例中,日志还可指定对对象执行的特定操作,例如对特定对象执行的CRUD操作中的一个或多个。在以上实例中,每行末尾的数字可表示对对象执行的四个CRUD操作中的一个。例如,“Object access virtual-network 1(对象访问虚拟网络1)”可指示对对象“virtual-network(虚拟网络)”执行的创建操作,而“Object access virtual-network 3(对象访问虚拟网络3)”可指示对对象“virtual-network(虚拟网络)”执行的“更新”操作。以这种方式,一个或多个日志可针对每个事件存储对象的指示、对对象执行的操作的指示以及与对该对象的操作的执行相关联的时间戳的指示。
访问控制策略控制器23可至少部分基于与管理员24所指定的一个或多个功能相关联的一个或多个日志或记录,来确定访问控制策略允许相关联的角色对一个或多个对象所执行的一个或多个操作。访问控制策略控制器23可在访问控制策略中,包括与由管理员24所指定的一个或多个功能相关联的一个或多个日志或记录中指定的一个或多个对象中的每一个的指示。访问控制策略控制器23可针对与由管理员24指定的一个或多个功能相关联的一个或多个日志或记录中指定的一个或多个对象中的每一个,确定对该对象执行的一个或多个操作,并且在用于一个或多个对象中的每一个的访问控制策略中,可包括可对该对象执行的一个或多个操作的指示。因此,例如,如果一个或多个日志或记录指示对特定对象执行了创建和删除操作,则访问控制策略控制器23可在访问控制策略中包括该特定对象的指示,该指示与可对该对象执行创建操作和删除操作的指示相关联。
在一些实例中,访问控制策略控制器23可创建访问控制策略文件作为JavaScript对象表示(JSON)文档。例如,访问控制策略控制器23可例如通过使用以下示例性命令来创建访问控制策略文件:python rbac.py apisrv.log template.json developer。在该实例中,访问控制策略控制器23可基于日志文件“apisrv.log”创建用于“developer(开发人员)”角色的访问控制策略文件“template.json”,该访问控制策略文件指定对一个或多个对象执行的一个或多个操作。示例性访问控制策略文件的部分输出如下:
如从以上实例可看出的,访问控制策略文件可指定网络系统8的访问控制策略所应用于的一个或多个对象。对于每个指定的对象,访问控制策略文件可指定访问控制策略允许角色对该对象所执行的CRUD操作中的一个或多个。此外,对于每个指定的对象以及可对该对象执行的一个或多个CRUD操作,访问控制策略文件可指定允许角色对指定的对象执行指定的一个或多个CRUD操作。例如,对于网络系统8中的“域”对象,访问控制策略允许角色“开发人员”对“域”对象执行创建、读取和删除(“CRD”)操作。对于网络系统8中的“轨迹集群(contrail-cluster)”对象,访问控制策略允许角色“开发人员”对“轨迹集群”对象执行创建、读取和删除(“CRD”)操作。对于网络系统8中的“服务实例”对象,访问控制策略允许角色“开发人员”对“服务实例”对象执行创建和删除(“CD”)操作。
在一些实例中,访问控制策略控制器23可经由用户界面设备129输出由访问控制策略文件指定的访问控制策略以供诸如管理员24的用户查看,从而用户可确认访问控制策略是正确的和/或使得用户可通过经由用户界面设备129提供用户输入来更改访问控制策略文件。访问控制策略控制器23可在经由用户界面设备129从用户接收到对访问控制策略的确认时,基于访问控制策略文件生成用于角色的访问控制策略。
在一些实例中,访问控制策略控制器23可例如通过执行以下示例性命令,从所生成的访问控制策略文件中创建用于角色的访问控制策略:curl-vX POST http://10.0.0.1:8082/api-access-lists-d@api_access_list.json–header"Content-Type:application/json"。一旦访问控制策略控制器23创建用于角色的访问控制策略,访问控制策略控制器23就可存储该访问策略,使得访问策略可应用于被分配与该访问控制策略相关联的角色的用户,以限制该用户在网络系统8内的访问。例如,管理员24可与用户界面设备129交互以向用户分配角色,并且作为响应,访问控制策略控制器23可将与该角色相关联的访问控制策略应用于用户,以限制用户在网络系统8内的访问,以便对由与角色相关联的访问控制策略指定的一个或多个对象执行一个或多个操作。
图2是进一步详细示出图1的数据中心10A的示例性实施方式的框图。在图2的实例中,数据中心10A包括将交换结构14从物理交换机16、18扩展到软件或“虚拟”路由器30A-30X(再次,统称为“虚拟路由器30”)的互连。虚拟路由器30动态创建并管理可用于应用程序实例之间的通信的一个或多个虚拟网络34。在一个实例中,虚拟路由器30将虚拟网络作为叠加网络执行,这提供了将应用程序的虚拟地址与应用程序在其上运行的服务器12A-12X(“服务器12”)中的一个的物理地址(例如,IP地址)解耦的能力。每个虚拟网络可使用其自身寻址和安全方案,并且可被视为与物理网络及其寻址方案正交。
每个虚拟路由器30可在服务器12中的每一个的管理程序、主机操作系统或其他部件内运行。服务器12中的每一个可代表能够执行工作负载37的x86或其他通用或专用服务器。在图2的实例中,虚拟路由器30A在管理程序31(通常也称为虚拟机管理器(VMM))中运行,其提供允许多个操作系统同时在服务器12中的一个上运行的虚拟化平台。在图2的实例中,虚拟路由器30A管理虚拟网络34,虚拟网络中的每一个提供用于在由管理程序31提供的虚拟化平台上执行一个或多个工作负载(WL)37的网络环境。工作负载37中的每一个都与虚拟网络VN0-VN1中的一个相关联,并且可表示运行客户应用程序(例如Web服务器、数据库服务器、企业应用程序)或主管用于创建服务链的虚拟化服务的租户工作负载。在一些情况下,服务器12中的任何一个或多个或另一计算设备可直接主管客户应用程序,即,不作为虚拟机。在某些情况下,工作负载37中的一些可代表容器,即,虚拟化运行环境的另一种形式。即,虚拟机和容器都是用于执行工作负载的虚拟化执行环境的实例。
通常,工作负载37中的每个工作负载可以是任何类型的软件应用程序,并且可在虚拟化环境(例如,虚拟机或容器)上运行,该虚拟化环境被分配虚拟地址以供在对应的虚拟网络34内使用,其中,虚拟网络中的每一个可以是由虚拟路由器30A提供的不同虚拟子网。例如,虚拟化环境可例如被分配其自身虚拟层层三(L3)IP地址,以用于发送和接收通信,但是可能不知道虚拟化环境在其上执行的物理服务器12A的IP地址。以这种方式,“虚拟地址”是与用于底层物理计算机系统(例如,图1或图2的实例中的服务器12A)的逻辑地址不同的地址。
在一个实施方式中,服务器12中的每一个包括控制虚拟网络34的叠加并且协调服务器12内的数据包的路由的虚拟网络(VN)代理35A-35X(统称为“VN代理35”)中的对应一个。通常,每个VN代理35与SDN控制器132通信,其生成命令以控制数据包通过数据中心10A的路由。VN代理35可作为用于工作负载37与SDN控制器132之间的控制平面消息的代理。例如,WL 37可请求经由VN代理35A使用其虚拟地址发送消息,并且VN代理35A可转而发送该消息并请求针对发起第一消息的工作负载37的虚拟地址,接收对该消息的响应。在一些情况下,工作负载37可调用由VN代理35A的应用程序编程接口呈现的程序或函数调用,并且VN代理35A也可处理消息的封装,包括寻址。
在一个实例中,由虚拟网络域内的工作负载37执行的应用程序的实例生成或消耗的网络数据包(例如,层三(L3)IP数据包或层二(L2)以太网数据包)可被封装在通过物理网络传送的另一数据包(例如,另一个IP或以太网数据包)中。在虚拟网络中传送的数据包在本文中可被称为“内部数据包”,而物理网络数据包在本文中可被称为“外部数据包”或“隧道数据包”。虚拟网络数据包在物理网络数据包内的封装和/或解封装可在虚拟路由器30内,例如在服务器12中的每一个上运行的管理程序或主机操作系统内执行。作为另一实例,封装和解封装功能可在交换结构14的边缘处在第一跳TOR交换机16处执行,第一跳TOR交换机是从发起数据包的应用实例移除的一跳。该功能在本文中被称为隧道化,并且可在数据中心10A内用于创建一个或多个叠加网络。除了IPinIP,可使用的其他示例性隧道协议包括IP over GRE、VxLAN、MPLS over GRE、MPLS over UDP等。
如上所述,SDN控制器132提供逻辑上集中的控制器,以用于促进数据中心10A内的一个或多个虚拟网络的操作。SDN控制器132可例如维护路由信息库,例如,存储用于物理网络以及数据中心10A的一个或多个叠加网络的路由信息的一个或多个路由表。类似地,交换机16、18和虚拟路由器30维护路由信息,例如一个或多个路由和/或转发表。在一个示例性实施方式中,管理程序31的虚拟路由器30A实现用于虚拟网络34中的每一个的网络转发表(NFT)32。通常,每个NFT 32存储用于对应的虚拟网络34的转发信息,并且识别要在何处转发数据包以及是否将数据包封装在隧道协议中,例如具有可包括用于虚拟网络协议栈的不同层的一个或多个报头的隧道报头。
根据本公开的方面,访问控制策略控制器23被配置为接收创建访问控制策略的请求,该访问控制策略允许角色执行数据中心10A中的一个或多个功能,并且作为响应,生成允许角色执行数据中心10A中的一个或多个功能的访问控制策略。在一些实例中,SDN控制器132包括访问控制策略控制器23,其可生成允许角色执行数据中心10A中的一个或多个功能的访问控制策略。通常,诸如一个或多个服务器12的网络设备的处理电路可运行访问控制策略控制器23以执行贯穿本公开描述的访问控制策略控制器23的技术,并且访问控制策略控制器23可存储其生成至存储器的访问控制策略,该存储器可操作地耦接至访问控制策略控制器23在其上运行的处理电路。在一些实例中,SDN控制器132和访问控制策略控制器23可在相同的计算设备(例如,服务器12中的一个)上运行。在一些实例中,SDN控制器132和访问控制策略控制器23可在不同的计算设备上(例如,服务器12中的不同服务器或在网络系统8中的不同数据中心10中的不同服务器上)运行。
SDN控制器132可接收执行一个或多个功能的请求,并且作为响应,可制定用于服务器12的执行一个或多个功能的一个或多个指令。SDN控制器132可将制定的一个或多个指令发送至服务器12,并且服务器12可执行该一个或多个指令。例如,SDN控制器132可制定并执行一个或多个API调用,其使数据中心执行一个或多个功能。
SDN控制器132进一步被配置为至少部分基于跟踪数据中心10A中的一个或多个功能的执行,来确定对数据中心10A中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作。如上所述,SDN控制器132可制定用于服务器12的执行一个或多个功能的一个或多个指令,并且可将制定的一个或多个指令发送至服务器12,并且服务器12可执行一个或多个指令。当服务器12执行一个或多个指令,从而执行在创建用于角色的访问控制策略的请求中所指定的一个或多个功能时,访问控制策略控制器23可运行以跟踪服务器12对服务器12中的对象执行的操作。
在一些实例中,服务器12的一个或多个部件可跟踪服务器12对对象执行的以执行从SDN控制器132接收的一个或多个指令的操作,并且可将服务器12对对象执行的操作的指示发送至SDN控制器132。例如,代理35、虚拟路由器30、管理程序31、NFT 32、虚拟网络34、工作负载37等中的一个或多个可跟踪对服务器12中的对象(诸如虚拟路由器30、管理程序31、NFT 32、虚拟网络34、工作负载37)以及工作负载37内的对象(诸如,应用程序、服务、文件等)执行的操作,并且可将指示对服务器12中的对象执行的操作的事件52流传输至SDN控制器132的收集器38。例如,响应于服务器12对对象执行操作,服务器12可创建指示该对象以及对该对象执行的CRUD操作(即,创建、读取、更新或删除操作)的事件,并且可将该事件发送至SDN控制器132。SDN控制器132的收集器38可从服务器12接收事件52的流,其中,每个事件指示一个对象以及对该对象执行的操作,并且可运行以将接收到的事件52记录在一个或多个日志中。
在一些实例中,SDN控制器132可在执行由创建用于角色的访问控制策略的请求指定的一个或多个功能期间,维护从服务器12流传输的事件52的一个或多个日志。例如,对于收集器38从服务器12接收的事件52中的每个事件,其中,每个事件指定一个对象以及对该对象执行的操作(例如,CRUD操作中的一个),SDN控制器132可创建用于事件的日志条目,该日志条目指定由事件指定的操作、由事件指定的对象以及与事件关联的时间戳。在一些实例中,如果事件指示在执行由创建访问控制策略的请求所指定的用户意图期间,对对象执行的操作,则SDN控制器132还可在日志中包括用户意图的指示,例如与操作和对象关联的用户意图标识符。
访问控制策略控制器23被配置为创建用于角色的访问控制策略,该访问控制策略允许角色对数据中心10A中的一个或多个对象执行一个或多个操作。访问控制策略控制器23可基于由SDN控制器132维护的日志来创建访问控制策略。具体地,访问控制策略控制器23可创建用于角色的访问控制策略,该访问控制策略允许该角色对由如上所述的一个或多个日志指示的一个或多个对象执行一个或多个操作。例如,访问控制策略控制器23可创建访问策略,该访问策略指示已被访问的每个对象,并且针对每个对象,指示对该对象执行的一个或多个操作。
在一些实例中,访问控制策略控制器23可运行以至少部分基于与一个或多个日志相关联的时间戳和/或由一个或多个日志记录的事件,来确定与创建访问控制策略的请求相关联的对象的日志和/或表示。如上所述,当在执行由创建访问策略的请求所指定的一个或多个功能的过程中,SDN控制器132从服务器12接收事件时,SDN控制器132可将时间戳与事件相关联,并可将时间戳与事件的关联存储在一个或多个日志中。
创建访问策略的请求可例如,通过指定开始时间和结束时间来指定一时间段,并且访问控制策略控制器23可至少部分基于由创建访问策略的请求所指定的时间段以及与一个或多个日志相关联的时间戳和/或一个或多个日志中的事件,来确定与创建访问策略的请求相关联的一个或多个日志和/或一个或多个日志中的事件。例如,基于与一个或多个日志相关联的时间戳和/或一个或多个日志中的落在由创建访问策略的请求所指定的时间段内的事件,访问控制策略控制器23可运行以便基于相关联的时间戳来确定一个或多个日志和/或一个或多个日志中的与创建访问策略的请求相关联的一个或多个事件。因此,访问控制策略控制器23可至少部分基于一个或多个日志和/或一个或多个日志中的与该请求相关联的事件,来生成所请求的访问策略。
图3是示出根据本公开的技术的访问控制策略控制器的示例性操作的流程图。出于方便,相对于图1和图2描述图3。在图3的实例中,访问控制策略控制器23可接收创建访问控制策略的请求,该访问控制策略允许角色执行网络系统8中的一个或多个功能(302)。例如,访问控制策略控制器23可接收一个或多个用户意图的指示,该指示表示允许角色执行网络系统8中的一个或多个功能。
访问控制策略控制器23可至少部分基于跟踪网络系统8中的一个或多个功能的执行,来确定对网络系统8中的一个或多个对象执行的以执行一个或多个功能的一个或多个操作(304)。在一些实例中,为了至少部分基于跟踪网络中的一个或多个功能的执行来确定对网络中的一个或多个对象执行以执行一个或多个功能的一个或多个操作,访问控制策略控制器23可至少基于由于执行网络系统8中的一个或多个功能而生成的一个或多个日志来确定对网络系统8中的一个或多个对象执行的一个或多个操作。在一些实例中,一个或多个日志包括从网络系统8的一个或多个服务器12流传输的多个事件52的指示,并且多个事件52中的每一个指示对网络系统8的一个或多个服务器12中的对象执行的操作。
在一些实例中,多个事件52中的每一个与一个或多个日志中的时间戳相关联。在一些实例中,为了接收创建允许角色执行网络系统8中的一个或多个功能的访问控制策略的请求,访问控制策略控制器23可接收与网络系统8中的一个或多个功能的执行相关联的时间段的指示。在一些实例中,为了至少基于由于执行网络系统8中的一个或多个功能而生成的一个或多个日志,确定对网络系统8中的一个或多个对象执行的一个或多个操作,访问控制策略控制器23可至少部分基于与一个或多个事件相关联的一个或多个时间戳来确定一个或多个事件,该一个或多个时间戳指示该一个或多个事件是由于在该时间段内执行网络中的一个或多个功能而生成的。
访问控制策略控制器23可确定创建用于角色的访问控制策略,该访问控制策略允许角色对网络系统8中的一个或多个对象执行一个或多个操作(306)。在一些实例中,对一个或多个对象执行的一个或多个操作中的每一个包括创建、读取、更新以及删除(CRUD)操作中的一个或多个,并且为了生成用于角色的允许角色对网络系统8中的一个或多个对象执行一个或多个操作的访问控制策略,访问控制策略控制器23可生成用于该角色的访问控制策略,该访问控制策略包括一个或多个对象中的每一个的指示,并且针对一个或多个对象中的每个相应对象,包括允许角色针对相应对象执行的CRUD操作的一个或多个的指示。
本公开所描述的技术可至少部分以硬件、软件、固件或其任何组合实现。例如,可在一个或多个处理器内实现所描述的技术的各个方面,该一个或多个处理器包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任何其他等效的集成或者离散逻辑电路以及这些部件的任何组合。术语“处理器”或“处理电路”通常可指代上述任何逻辑电路、单独或与其它逻辑电路的组合或任何其它等效电路。包括硬件的控制单元也可执行本公开的一种或多种技术。
此硬件、软件和固件可在相同设备内或可在单独设备内实现以支持本公开中描述的各种操作和功能。另外,所描述的单元、模块或部件中的任何一个可一起或单独地实现为离散逻辑设备,而不是互操作逻辑设备。作为模块或单元的不同特征的描述旨在强调不同的功能方面,而并不一定意味着这种模块或单元必须由单独的硬件或软件部件实现。确切地说,与一个或多个模块或单元相关联的功能可由单独的硬件或软件部件执行或者集成在共同的或单独的硬件或软件部件内。
本公开中描述的技术也可体现或编码在计算机可读介质中,例如包括指令的计算机可读存储介质。嵌入或编码在计算机可读介质中的指令可使可编程处理器或其他处理器执行该方法,例如当执行指令时。计算机可读存储介质可包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、盒式磁带、磁性介质、光学介质或其他计算机可读介质。
Claims (20)
1.一种方法,包括:
利用控制器设备接收创建允许角色执行网络中的一个或多个功能的访问控制策略的请求;
利用所述控制器设备至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的一个或多个对象执行的以执行所述一个或多个功能的一个或多个操作;以及
利用所述控制器设备创建用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略。
2.根据权利要求1所述的方法,其中,至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的所述一个或多个对象执行的以执行所述一个或多个功能的所述一个或多个操作包括:
至少基于由于执行所述网络中的所述一个或多个功能而生成的一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作。
3.根据权利要求2所述的方法,其中,
所述一个或多个日志包括从所述网络的一个或多个服务器流传输的多个事件的指示,并且
所述多个事件中的每一个指示对所述网络的所述一个或多个服务器中的对象执行的操作。
4.根据权利要求3所述的方法,其中,
所述多个事件中的每一个与所述一个或多个日志中的时间戳相关联,
接收创建允许角色执行网络中的一个或多个功能的访问控制策略的请求包括接收与所述网络中的所述一个或多个功能的执行相关联的时间段的指示,并且
至少基于由于执行所述网络中的所述一个或多个功能而生成的所述一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作包括至少部分基于与所述一个或多个事件相关联的一个或多个时间戳来确定所述多个事件中的一个或多个事件,所述一个或多个时间戳指示所述一个或多个事件是由于在所述时间段内执行所述网络中的所述一个或多个功能而生成的。
5.根据权利要求1所述的方法,其中,对所述一个或多个对象执行的所述一个或多个操作中的每一个包括创建、读取、更新以及删除(CRUD)操作中的一个或多个。
6.根据权利要求5所述的方法,其中,创建用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略包括:
创建用于所述角色的所述访问控制策略,所述访问控制策略包括所述一个或多个对象中的每一个的指示,并且针对所述一个或多个对象中的每个相应对象,所述访问控制策略包括允许所述角色针对所述相应对象执行的所述CRUD操作中的一个或多个的指示。
7.根据权利要求1-6中任一项所述的方法,其中,接收创建允许角色执行网络中的一个或多个功能的访问控制策略的请求包括:
接收一个或多个用户意图的指示,所述指示表示允许所述角色在所述网络中执行的所述一个或多个功能。
8.一种设备,包括:
存储器,被配置为存储一个或多个访问控制策略;
处理电路,能够操作地耦接至所述存储器并且被配置为:
接收创建允许角色执行网络中的一个或多个功能的访问控制策略的请求;
至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的一个或多个对象执行的以执行所述一个或多个功能的一个或多个操作;以及
创建用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略。
9.根据权利要求8所述的设备,其中,为了至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的所述一个或多个对象执行的以执行所述一个或多个功能的所述一个或多个操作,所述处理电路被进一步配置为:
至少基于由于执行所述网络中的所述一个或多个功能而生成的一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作。
10.根据权利要求9所述的设备,其中,
所述一个或多个日志包括从所述网络的一个或多个服务器流传输的多个事件的指示,并且
所述多个事件中的每一个指示对所述网络的所述一个或多个服务器中的对象执行的操作。
11.根据权利要求10所述的设备,其中,
所述多个事件中的每一个与所述一个或多个日志中的时间戳相关联,
为了接收创建允许所述角色执行所述网络中的所述一个或多个功能的所述访问控制策略的所述请求,所述处理电路被进一步配置为接收与所述网络中的所述一个或多个功能的执行相关联的时间段的指示,并且
为了至少基于由于所述网络中的所述一个或多个功能的执行而生成的所述一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作,所述处理电路被进一步配置为至少部分基于与所述一个或多个事件相关联的一个或多个时间戳来确定所述多个事件中的一个或多个事件,所述一个或多个时间戳指示所述一个或多个事件是由于在所述时间段内执行所述网络中的所述一个或多个功能而生成的。
12.根据权利要求8所述的设备,其中,对所述一个或多个对象执行的所述一个或多个操作中的每一个包括创建、读取、更新以及删除(CRUD)操作中的一个或多个。
13.根据权利要求12所述的设备,其中,为了创建用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略,所述处理电路被进一步配置为:
创建用于所述角色的所述访问控制策略,所述访问控制策略包括所述一个或多个对象中的每一个的指示,并且针对所述一个或多个对象中的每个相应对象,所述访问控制策略包括允许所述角色针对所述相应对象执行的所述CRUD操作中的一个或多个的指示。
14.根据权利要求8-13中任一项所述的设备,其中,为了接收创建允许所述角色执行所述网络中的所述一个或多个功能的所述访问控制策略的所述请求,所述处理电路被进一步配置为:
接收一个或多个用户意图的指示,所述指示表示允许所述角色在所述网络中执行的所述一个或多个功能。
15.一种包括指令的计算机可读介质,所述指令在被执行时,使运行用于网络的访问控制策略控制器的处理电路:
接收创建允许角色执行所述网络中的一个或多个功能的访问控制策略的请求;
至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的一个或多个对象执行的以执行所述一个或多个功能的一个或多个操作;以及
创建用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略。
16.根据权利要求15所述的计算机可读介质,其中,在被执行时使所述处理电路至少部分基于跟踪所述网络中的所述一个或多个功能的执行,来确定对所述网络中的所述一个或多个对象执行的以执行所述一个或多个功能的所述一个或多个操作的所述指令进一步使所述处理电路:
至少基于由于执行所述网络中的所述一个或多个功能而生成的一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作。
17.根据权利要求16所述的计算机可读介质,其中,
所述一个或多个日志包括从所述网络的一个或多个服务器流传输的多个事件的指示,并且
所述多个事件中的每一个指示对所述网络的所述一个或多个服务器中的对象执行的操作。
18.根据权利要求17所述的计算机可读介质,其中,
所述多个事件中的每一个与所述一个或多个日志中的时间戳相关联,
在执行时使得所述处理电路接收创建允许所述角色执行所述网络中的所述一个或多个功能的所述访问控制策略的所述请求的所述指令进一步使得所述处理电路接收与所述网络中的所述一个或多个功能的执行相关联的时间段的指示,并且
在执行时使得所述处理电路至少基于由于执行所述网络中的所述一个或多个功能而生成的所述一个或多个日志,确定对所述网络中的所述一个或多个对象执行的所述一个或多个操作的所述指令进一步使得所述处理电路至少部分基于与所述一个或多个事件相关联的一个或多个时间戳来确定所述多个事件中的一个或多个事件,所述一个或多个时间戳指示所述一个或多个事件是由于在所述时间段内执行所述网络中的所述一个或多个功能而生成的。
19.根据权利要求15所述的计算机可读介质,其中,对所述一个或多个对象执行的所述一个或多个操作中的每一个包括创建、读取、更新以及删除(CRUD)操作中的一个或多个。
20.根据权利要求15-19中任一项所述的计算机可读介质,其中,在执行时使得所述处理电路生成用于所述角色的、允许所述角色对所述网络中的所述一个或多个对象执行所述一个或多个操作的所述访问控制策略的所述指令进一步使得所述处理电路:
产生用于所述角色的所述访问控制策略,所述访问控制策略包括所述一个或多个对象中的每一个的指示,并且针对所述一个或多个对象中的每个相应对象,所述访问控制策略包括允许所述角色针对所述相应对象执行的所述CRUD操作中的一个或多个的指示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310640113.7A CN116668122A (zh) | 2020-03-31 | 2020-06-11 | 基于角色的访问控制策略自动生成 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/836,410 | 2020-03-31 | ||
US16/836,410 US11595393B2 (en) | 2020-03-31 | 2020-03-31 | Role-based access control policy auto generation |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310640113.7A Division CN116668122A (zh) | 2020-03-31 | 2020-06-11 | 基于角色的访问控制策略自动生成 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113472729A true CN113472729A (zh) | 2021-10-01 |
CN113472729B CN113472729B (zh) | 2023-06-16 |
Family
ID=71096578
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010528849.1A Active CN113472729B (zh) | 2020-03-31 | 2020-06-11 | 基于角色的访问控制策略自动生成 |
CN202310640113.7A Pending CN116668122A (zh) | 2020-03-31 | 2020-06-11 | 基于角色的访问控制策略自动生成 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310640113.7A Pending CN116668122A (zh) | 2020-03-31 | 2020-06-11 | 基于角色的访问控制策略自动生成 |
Country Status (3)
Country | Link |
---|---|
US (2) | US11595393B2 (zh) |
EP (1) | EP3889772A1 (zh) |
CN (2) | CN113472729B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448659A (zh) * | 2021-12-16 | 2022-05-06 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11463448B2 (en) | 2020-03-13 | 2022-10-04 | Sap Se | Access control for object instances |
US11470071B2 (en) * | 2020-04-20 | 2022-10-11 | Vmware, Inc. | Authentication for logical overlay network traffic |
US11736525B1 (en) * | 2020-06-17 | 2023-08-22 | Amazon Technologies, Inc. | Generating access control policies using static analysis |
US11743180B2 (en) * | 2020-11-20 | 2023-08-29 | At&T Intellectual Property I, L.P. | System and method for routing traffic onto an MPLS network |
US11792718B2 (en) * | 2021-02-22 | 2023-10-17 | Hewlett Packard Enterprise Development Lp | Authentication chaining in micro branch deployment |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8161173B1 (en) * | 2005-03-30 | 2012-04-17 | Oracle America, Inc. | Role passing and persistence mechanism for a container |
US20130326579A1 (en) * | 2012-05-30 | 2013-12-05 | Rafae Bhatti | Healthcare privacy breach prevention through integrated audit and access control |
CN104580344A (zh) * | 2013-10-10 | 2015-04-29 | 国际商业机器公司 | 用于生成资源访问控制决策的方法和系统 |
US20160212169A1 (en) * | 2015-01-20 | 2016-07-21 | Cisco Technology, Inc. | Security policy unification across different security products |
CN108292346A (zh) * | 2015-11-25 | 2018-07-17 | 开利公司 | 从静态权限和访问事件中提取物理访问控制策略 |
CN110519224A (zh) * | 2019-07-15 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中智能生成网络防护策略的方法和设备 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2215804T3 (es) | 2001-04-03 | 2004-10-16 | Beta Systems Software Ag | Creacion automatica de roles para un sistema de control de acceso basado en roles. |
US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
US9064216B2 (en) | 2012-06-06 | 2015-06-23 | Juniper Networks, Inc. | Identifying likely faulty components in a distributed system |
US9154507B2 (en) * | 2012-10-15 | 2015-10-06 | International Business Machines Corporation | Automated role and entitlements mining using network observations |
US10122757B1 (en) | 2014-12-17 | 2018-11-06 | Amazon Technologies, Inc. | Self-learning access control policies |
RU2729885C2 (ru) | 2015-10-13 | 2020-08-13 | Шнейдер Электрик Эндюстри Сас | Программно-определяемая автоматизированная система и архитектура |
US10454934B2 (en) | 2016-04-08 | 2019-10-22 | Cloudknox Security Inc. | Activity based access control in heterogeneous environments |
US10291497B2 (en) | 2017-03-31 | 2019-05-14 | Juniper Networks, Inc. | Session-based traffic statistics logging for virtual routers |
US10419446B2 (en) | 2017-07-10 | 2019-09-17 | Cisco Technology, Inc. | End-to-end policy management for a chain of administrative domains |
US10999163B2 (en) | 2018-08-14 | 2021-05-04 | Juniper Networks, Inc. | Multi-cloud virtual computing environment provisioning using a high-level topology description |
US10728145B2 (en) | 2018-08-30 | 2020-07-28 | Juniper Networks, Inc. | Multiple virtual network interface support for virtual execution elements |
-
2020
- 2020-03-31 US US16/836,410 patent/US11595393B2/en active Active
- 2020-06-11 CN CN202010528849.1A patent/CN113472729B/zh active Active
- 2020-06-11 CN CN202310640113.7A patent/CN116668122A/zh active Pending
- 2020-06-15 EP EP20179991.3A patent/EP3889772A1/en active Pending
-
2023
- 2023-02-09 US US18/166,893 patent/US20230188526A1/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8161173B1 (en) * | 2005-03-30 | 2012-04-17 | Oracle America, Inc. | Role passing and persistence mechanism for a container |
US20130326579A1 (en) * | 2012-05-30 | 2013-12-05 | Rafae Bhatti | Healthcare privacy breach prevention through integrated audit and access control |
CN104580344A (zh) * | 2013-10-10 | 2015-04-29 | 国际商业机器公司 | 用于生成资源访问控制决策的方法和系统 |
US20160212169A1 (en) * | 2015-01-20 | 2016-07-21 | Cisco Technology, Inc. | Security policy unification across different security products |
CN108292346A (zh) * | 2015-11-25 | 2018-07-17 | 开利公司 | 从静态权限和访问事件中提取物理访问控制策略 |
CN110519224A (zh) * | 2019-07-15 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中智能生成网络防护策略的方法和设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448659A (zh) * | 2021-12-16 | 2022-05-06 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
CN114448659B (zh) * | 2021-12-16 | 2022-10-11 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
Also Published As
Publication number | Publication date |
---|---|
US20210306338A1 (en) | 2021-09-30 |
CN116668122A (zh) | 2023-08-29 |
EP3889772A1 (en) | 2021-10-06 |
US11595393B2 (en) | 2023-02-28 |
CN113472729B (zh) | 2023-06-16 |
US20230188526A1 (en) | 2023-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110971584B (zh) | 针对虚拟网络生成的基于意图的策略 | |
CN110830357B (zh) | 使用高级拓扑描述的多云虚拟计算环境供应 | |
CN109818918B (zh) | 基于软件定义网络加密策略的策略驱动的工作负载启动 | |
US20210344692A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
CN111355604B (zh) | 在软件定义网络上的用户定制和自动化操作的系统和方法 | |
US11646941B2 (en) | Multi-cluster configuration controller for software defined networks | |
US11102079B2 (en) | Cross-regional virtual network peering | |
CN113472729B (zh) | 基于角色的访问控制策略自动生成 | |
US10742690B2 (en) | Scalable policy management for virtual networks | |
CN110120934B (zh) | 应用防火墙策略的方法、软件定义网络控制器和介质 | |
JP5976942B2 (ja) | ポリシーベースのデータセンタネットワーク自動化を提供するシステムおよび方法 | |
AU2012340387B2 (en) | Network control system for configuring middleboxes | |
US10999195B1 (en) | Multicast VPN support in data centers using edge replication tree | |
CN112398676A (zh) | 多租户环境中服务接入端点的基于供应商无关简档的建模 | |
AU2017204765B2 (en) | Network control system for configuring middleboxes | |
US20220141080A1 (en) | Availability-enhancing gateways for network traffic in virtualized computing environments | |
US11146592B2 (en) | Enforcing universal security policies across data centers | |
CN115878259A (zh) | 保护容器编排平台的资源的实例免于无意删除 | |
CN115412492A (zh) | 由架顶式交换机针对裸金属服务器的策略实施 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |