CN116648702A - 使用受信任的网络设备保护边缘站点的网络访问 - Google Patents

使用受信任的网络设备保护边缘站点的网络访问 Download PDF

Info

Publication number
CN116648702A
CN116648702A CN202180087114.2A CN202180087114A CN116648702A CN 116648702 A CN116648702 A CN 116648702A CN 202180087114 A CN202180087114 A CN 202180087114A CN 116648702 A CN116648702 A CN 116648702A
Authority
CN
China
Prior art keywords
computing
network
trusted
port
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180087114.2A
Other languages
English (en)
Inventor
袁利华
P·玛尼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN116648702A publication Critical patent/CN116648702A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

描述了用于在包括计算服务提供方和远程计算网络的计算环境中安全管理计算资源的技术。远程计算网络包括被配置为将计算服务提供方的计算资源扩展到计算服务提供方的远程用户的计算和网络设备。网络设备包括受信任的网络设备,其包括信任根。受信任的网络设备检测到新设备通信地耦合到受信任的网络设备上的端口。受信任的网络设备确定新设备未被授权访问远程计算网络处的计算资源。该端口在受信任的网络设备处被隔离。

Description

使用受信任的网络设备保护边缘站点的网络访问
背景技术
数据中心可以容纳计算机系统以及各种联网、存储和其他相关组件。例如,服务提供方可以使用数据中心来向企业和个人提供计算服务作为远程计算服务,或者提供“软件即服务”(例如,云计算)。服务提供方还可以利用边缘站点,该边缘站点可以包括地理上分布的一组服务器和其他设备,这些服务器和其他设备协同工作以向数据中心服务的终端用户提供高效的内容递送,目标是提供具有高可用性和延时改进的服务。
此类网络还必须为其用户提供安全性。例如,网络必须免受来自寻求对网络的未授权的访问的恶意方的持续威胁。然而,对策的实行通常是反应性的,其中网络管理员必须等待以标识最新的漏洞,然后才能部署对策。正确预测、标识和阻止新的威胁对于维护网络安全性至关重要。
关于这些考虑和其他考虑,提出了本文所做的公开。
发明内容
在各种实施例中,诸如云计算服务的计算服务的用户可以经由计算服务的计算和存储资源在远程位置(“边缘站点”)被提供这种服务的使用。用户可以继续从计算服务中受益,而服务的各方面被合并到边缘站点中。边缘站点使数据中心能够使用分布式架构将云服务扩展到本地部署,该架构启用本地和远程数据和控制管理的联合选项。
期望在边缘站点提供最高级别的计算可用性,同时提供性能、最小化成本并保持高级别的安全性。虽然数据中心通常具有许多安全特征来防止对其网络的未授权的访问,但边缘站点的规模通常要小得多,并且具有不同的安全级别。因此,对边缘机架具有物理访问权限的未授权人员可能能够访问边缘站点的联网硬件。虽然配置交换机的访问控制仅限于授权人员,但未授权的人员仍有可能将不受信任的设备插入未使用的端口,或从交换机端口拔下受信任的设备并在其位置插入不受信任的设备。这可能允许不受信任的设备具有对数据中心网络的关键网络基础设施的访问权。未授权的设备可能没有加入网络并与其他基础设施服务通信所需的证书,但未授权的设备可能会使网络暴露于其他类型的漏洞,例如嗅探和被动监控。
本公开为管理远程位置的边缘站点的云服务提供方提供了一种方式,以通过仅启用具有连接到它们的授权设备的远程边缘站点处的网络端口来实施网络访问控制。边缘站点处网络设备(例如架顶式(ToR)交换机)通常执行网络操作系统。在一个实施例中,网络设备可以被配置为建立信任根并执行在每个端口处实施访问控制的容器。可以通过使用诸如基于TPM的安全引导的平台完整性技术来经由网络操作系统创建信任根。一旦建立了信任根,受信任的网络设备就可以在远程边缘站点和服务提供方数据中心之间建立分布式信任链。
可以建立信任链以认证远程边缘站点处的附加设备,诸如远程边缘站点处的服务器,其可以被颁发链接回到受信任根的证书。受信任的网络设备可以禁用(并且扩展地,禁用网络访问)连接到未授权设备的端口。与依赖于主数据中心的集中式认证方案相比,这可以实现更精细的安全控制级别,因为受信任的网络设备可以关闭可疑端口。所公开的技术提供随着边缘站点的数量增长而保持认证方案的更可扩展的方式,通过将信任根扩展到可以经由信任链在其端口上验证计算节点的网络设备。
所描述的技术可以允许数据中心提供用于提供用户计算资源的本地化和分布式节点,同时保持对诸如处理器周期、存储器、网络带宽和功率的计算能力的安全使用。提供该发明内容是为了以简化形式介绍一组概念,这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在使用本发明内容来限制所要求保护的主题的范围。此外,所要求保护的主题不限于解决本公开的任何部分中所指出的任何或所有缺点的实现。
附图说明
参考附图描述了具体实施方式。在本文详述的描述中,参考形成其一部分的附图,并且这些附图以图解的方式示出了具体实施例或示例。本文中的附图不是按比例绘制的。在所有几个附图中,相同的数字表示相同的元素。
图1是示出根据本公开的示例架构的图示;
图2A是示出根据本公开的示例架构的图示;
图2B是示出根据本公开的示例架构的图示;
图3是示出根据本公开的数据中心的图示;
图4是根据本公开的数据中心和本地资源的图示;
图5是示出根据本公开的用于实现资源管理的架构的图示;
图6是根据本公开的用于实现资源管理的流程图;
图7是根据本公开的示例计算系统。
具体实施方式
在提供虚拟计算和存储服务的一些计算环境中,可以配置各种计算和网络服务,以使服务提供方能够将它们的足迹部署到更接近用户驻地的位置,从而将计算和网络服务的覆盖范围扩展到更接近用户驻地。例如,提供网络运营商服务的企业可能希望计算服务位于离其网络或客户更近的位置,或者制造商可能希望将计算资源部署在更靠近其设施的位置。虚拟计算资源的用户可以通过在离他们的驻地更近的资源上部署诸如虚拟机的资源来以多种方式受益。此外,计算和存储设备的本地化可以使一些用户能够更有效地符合数据驻留、合规性、延迟和其他要求,同时继续受益于利用远程和/或虚拟计算服务的许多优势,例如可扩展性和灵活性。服务提供方安全高效地管理端到端功能服务,可以在使用边缘站点时实现安全、无缝和一致的体验。
本文公开的各种实施例描述了用于管理远程位置的边缘站点的云服务提供方通过仅启用具有连接到它们的授权设备的远程边缘站点处的网络端口来实施网络访问控制的技术。边缘站点处的诸如架顶式(Tor)交换机的网络设备通常执行网络操作系统。网络操作系统的一个示例是SONiC。
在一个实施例中,网络设备可以被配置为建立或实现信任根以提供安全基础,在该安全基础上可以建立进一步的安全和信任。信任根可以在硬件、固件和/或软件组件中实现。在一个实施例中,信任根可以通过使用平台完整性技术来实现,例如在网络设备上基于受信任平台模块(TMP)的安全引导。这样的网络设备在本文可以被称为受信任的网络设备。
在一些实施例中,受信任的网络设备可以在受信任的网络设备的每个端口处执行实施访问控制的容器。一旦建立了信任根,受信任的网络设备可以进一步在远程边缘站点和服务提供方数据中心之间建立分布式信任链。在一个实施例中,可以建立信任链以认证远程边缘站点中的附加设备。例如,可以向远程边缘站点处的服务器颁发链接回受信任的网络设备处的受信任根的证书。
在一个实施例中,受信任的网络设备可以禁用(并且扩展地,禁用网络访问)连接到未授权设备的端口。例如,受信任的网络设备可以被配置为检测对受信任的网络设备上的端口的未授权的访问,例如当未授权的设备访问受信任的网络设备上的端口时。在检测到未授权的物理访问之后,受信任的网络设备可以禁用该端口或丢弃从该端口接收的所有通信。在一些实施例中,可以完全阻止来自已经遭受未授权访问的受信任的网络设备的通信。受信任的网络设备还可以被配置为在检测到未授权的物理访问之后导致记录所有通信。
通过向受信任的网络设备提供隔离每个端口的能力,与依赖于主数据中心处的集中式认证方案相比,可以启用更细粒度的安全控制级别。所公开的技术还提供随着边缘站点的数量增长而保持认证方案的更可扩展的方式,通过将信任根扩展到可以经由信任链在其端口上验证计算节点的受信任的网络设备。
在一些实施例中,受信任的网络设备的网络操作系统可以包括被配置为认证或验证其检测到的任何新设备的真实性的组件。例如,当受信任的网络设备标识新设备时,其身份,诸如其MAC或其他ID,可以对照授权设备列表来检查。
参考附图,其中相同的标号贯穿若干附图中表示相同的元素,将描述用于远程管理计算资源的各种技术的各方面。在下面的详细描述中,参考形成其一部分的附图,并且通过图解的方式示出了具体的配置或示例。虽然使用服务器和盘描述了许多示例,但是应当理解,在其他实施例中可以使用其他类型的计算节点和存储设备。
图1示出了根据一些实施例的数据中心的用户的一个示例。图1示出了被配置为经由用户计算机130向用户140提供计算资源的数据中心100和110。由数据中心100和110提供的计算资源可以在边缘节点120处被高速缓存或复制。数据中心100和110以及边缘节点120提供的计算资源可以包括各种类型的资源,诸如计算资源、数据存储资源、数据通信资源等。每种类型的计算资源可以是通用的,或者可以以多种特定配置可用。例如,计算资源可以作为虚拟机可用。虚拟机可以被配置为执行应用,包括Web服务器、应用服务器、媒体服务器、数据库服务器等。数据存储资源可以包括文件存储设备、块存储设备等。每种类型或配置的计算资源可以在不同的配置中可用,例如处理器的数量、存储器的大小和/或存储容量。在一些实施例中,可以将资源以称为实例的单位提供给客户端,例如虚拟机实例或存储实例。虚拟计算实例可以被称为虚拟机,并且例如可以包括具有指定计算能力(可以通过指示CPU的类型和数量、主存储器大小等来指定)和指定软件堆栈(例如,操作系统的特定版本,其可以在管理程序之上运行)的一个或多个服务器。
应当理解,尽管上面公开的实施例是在虚拟机的上下文中讨论的,但是可以利用本文公开的概念和技术来利用其他类型的实现。还应当理解,图1中所示的网络拓扑已被极大地简化,并且可以利用更多的网络和联网设备来互连本文公开的各种计算系统。这些网络拓扑和设备对于本领域技术人员来说应该是显而易见的。
图2A示出了其中可以实现本文描述的实施例的示例计算环境。图2A示出了被配置为向用户站点240处的用户提供计算资源的服务提供方200。用户站点240可以具有可以经由网络230访问由服务提供方200提供的服务的用户计算机。服务提供方200提供的计算资源可以包括各种类型的资源,诸如计算资源、数据存储资源、数据通信资源等。例如,计算资源可以作为虚拟机可用。虚拟机可以被配置为执行应用,包括Web服务器、应用服务器、媒体服务器、数据库服务器等。数据存储资源可以包括文件存储设备、块存储设备等。联网资源可以包括虚拟联网、软件负载均衡器等。
服务提供方200可以具有各种计算资源,包括服务器、路由器和可以使用例如虚拟机来提供可远程访问的计算和网络资源的其他设备。可以提供的其他资源包括数据存储资源。服务提供方200还可以执行管理和控制网络资源的分配的功能,例如网络管理器220。
例如,网络230可以是链接网络的公共可访问网络,并且可以由诸如互联网的各种实体操作。在其他实施例中,网络230可以是私有网络,例如公众完全或部分不可访问的专用网络。网络230可以提供对用户站点240处的计算机和其他设备的访问。
图2B示出了其中可以实现本文描述的实施例的示例计算环境。图2B示出了边缘站点250可以被实现为扩展服务提供方200的物理覆盖范围,以使用所提供的网络260向用户站点240处的用户提供本地化计算资源。边缘站点250提供的计算资源可以包括由服务提供方200提供的各种类型的资源中的一些或全部。边缘站点250处的资源可以在服务提供方200的控制之下。
图3示出了其中可以实现本文描述的实施例的示例计算环境。图3示出了数据中心300,其被配置为经由通信网络330,经由用户计算机303a、303b和303c(其可以以单数形式称为“计算机303”或以复数形式称为“计算机303”)向用户300a、300b或300c(其可以以单数形式称为“用户300”或以复数形式称为“多个用户300”)提供计算资源。数据中心300提供的计算资源可以包括各种类型的资源,诸如计算资源、数据存储资源、数据通信资源等。每种类型的计算资源可以是通用的,或者可以以多种特定配置可用。例如,计算资源可以作为虚拟机可用。虚拟机可以被配置为执行应用,包括Web服务器、应用服务器、媒体服务器、数据库服务器等。数据存储资源可以包括文件存储设备、块存储设备等。每种类型或配置的计算资源可以在不同的配置中可用,例如处理器的数量、存储器的大小和/或存储容量。在一些实施例中,资源可以以诸如虚拟机实例或存储实例的被称为实例的单位被提供给客户端。虚拟计算实例可以被称为虚拟机,并且可以例如包括具有指定的计算能力(其可以通过指示CPU的类型和数量、主存储器大小等来指定)和指定的软件堆栈(例如,操作系统的特定版本,其继而可以在管理程序之上运行)的一个或多个服务器。
数据中心300可以对应于图1的数据中心100和110或图2A和2B中的服务提供方200。数据中心300可以包括服务器336a、336b和336c(其可以以单数形式称为“服务器336”或复数称为“服务器336”),其可以是独立的或安装在服务器机架中,并且提供作为虚拟机338a和338b可用的计算资源(其可以以单数形式称为“虚拟机338”或以复数形式称为“虚拟机338”)。虚拟机338可以被配置为执行诸如Web服务器、应用服务器、媒体服务器、数据库服务器等的应用。可以提供的其他资源包括数据存储资源(图3中未示出),并且可以包括文件存储设备、块存储设备等。服务器336还可以执行管理和控制数据中心中的资源分配的功能,例如控制器335。控制器335可以是结构控制器或被配置为管理服务器336上的虚拟机的分配的另一类型的程序。
参考图3,通信网络330例如可以是链接网络的公共可访问网络,并且可以由诸如互联网的各种实体操作。在其他实施例中,通信网络330可以是私有网络,例如公众完全或部分不可访问的公司网络。
通信网络330可以提供对计算机303的访问。计算机303可以是由用户300使用的计算机。计算机303a、303b或303c可以是服务器、台式或膝上型个人计算机、平板计算机、智能手机、机顶盒或能够访问数据中心300的任何其他计算设备。用户计算机303a或303b可以直接连接到互联网(例如,经由线缆调制解调器)。用户计算机303c可以在数据中心300的内部,并且可以经由内部网络直接连接到数据中心300中的资源。虽然只示出了三个用户计算机303a、303b和303c,但是应当理解可以有多个用户计算机。
计算机303还可用于配置由数据中心300提供的计算资源的各方面。例如,数据中心300可以提供Web接口,通过该Web接口可以通过使用在用户计算机303上执行的Web浏览器应用程序来配置其操作的各方面。备选地,可以使用在用户计算机303上执行的独立应用程序来访问由数据中心300展示的用于执行配置操作的应用编程接口(API)。
服务器336可以被配置为提供上述计算资源。服务器336中的一个或多个可以被配置为执行管理器330a或330b(其可以以单数形式称为“管理器330”或以复数形式称为“管理器330”),其被配置为执行虚拟机。例如,管理器330可以是虚拟机监控器(VMM)、结构控制器或被配置为在服务器336上启用虚拟机338的执行的其他类型的程序。
应当理解,尽管以上公开的实施例是在虚拟机的上下文中讨论的,但是其他类型的实现可以与本文公开的概念和技术一起使用。
在图3所示的示例数据中心300中,网络设备333可用于互连服务器336a和336b。网络设备333可以包括一个或多个交换机、路由器或其他网络设备。网络设备333还可以连接到网关340,网关340连接到通信网络330。网络设备333可以例如通过基于这种通信的特性(例如,包括源和/或目的地地址、协议标识符等的报头信息)和/或私有网络的特性(例如,基于网络拓扑的路由等)适当地转发分组或其他数据通信来促进数据中心300中的网络内的通信。将理解,为了简单起见,在不示出某些常规细节的情况下图示了该示例的计算系统和其他设备的各个方面。在其他实施例中,附加计算系统和其他设备可以互连,并且可以以不同方式互连。
应当理解,图3中所示的网络拓扑已经大大简化,并且可以使用更多的网络和联网设备来互连本文公开的各种计算系统。这些网络拓扑和设备对于本领域技术人员来说应当是显而易见的。
还应当理解,图3中描述的数据中心300仅是说明性的,并且可以使用其他实现。此外,应当理解,本文公开的功能可以通过软件、硬件或软件和硬件的组合来实现。对于本领域的技术人员来说,其他实现方式应当是显而易见的。还应当理解,服务器、网关或其他计算设备可以包括能够交互并执行所描述类型的功能的硬件或软件的任意组合,包括但不限于,台式或其他计算机、数据库服务器、网络存储设备和其他网络设备、PDA、平板电脑、智能手机、互联网设备、基于电视的系统(例如,使用机顶盒和/或个人/数字视频记录仪)以及包括适当通信能力的各种其他消费者产品。此外,在一些实施例中,由所示模块提供的功能可以组合在更少的模块中或分布在附加模块中。类似地,在一些实施例中,可以不提供所示模块中的一些模块的功能和/或可以提供其他附加功能。
图4示出了根据本公开的示例计算环境,其示出了计算资源的安全性,该计算资源包括在地理上靠近用户300的本地设施的边缘站点420。在一个实施例中,一个或多个服务器436可以安装在边缘站点420处。在一个实施例中,服务器436实例化并运行虚拟机438。受信任的网络设备450可以对应于本文描述的受信任的网络设备。
在一些实施例中,用户300可以指定要为用户提供的虚拟网络的配置信息,该配置信息可选地包括各种类型的信息,诸如要分配给所提供的计算机网络的计算端点的网络地址、所提供的计算机网络的网络拓扑信息、所提供的计算机网络的网络访问约束。网络地址可以包括例如一个或多个网络地址范围,其可以对应于用于用户的私有计算机网络的虚拟或私有网络地址的子集。网络拓扑信息可以指示例如要被分组在一起的计算端点的子集,诸如通过将联网设备指定为所提供的计算机网络的一部分,或者通过以其他方式指示所提供的计算机网络的子网或所提供的计算机网络的其他分组。例如,对于所提供的计算机网络的计算端点中的每一个,网络访问约束信息可以指示哪些其他计算端点可以与计算节点端点相互通信,或者允许去往/来自计算端点的通信的类型。
边缘站点处的诸如受信任的架顶式(Tor)交换机的受信任网络设备可以执行被配置为建立信任根的网络操作系统,并执行在每个端口处实施访问控制的容器。可以通过使用诸如基于TPM的安全引导的平台完整性技术在网络操作系统中创建信任根。一旦建立了信任根,受信任的网络设备就可以在远程边缘站点和服务提供方数据中心之间建立分布式信任链。可以建立信任链以认证远程边缘站点中的附加设备,诸如远程边缘站点处的服务器,这些服务器被颁发了链接回受信任根的证书。受信任的网络设备可以禁用(并且扩展地,禁用网络访问)连接到未授权设备的端口。
参考图5,示出了根据本公开的用于在边缘站点处提供安全访问的一个示例架构。在一个实施例中,该架构可以包括边缘站点550,该边缘站点550可以包括一个或多个服务器560和受信任的网络设备570。受信任的网络设备570可以包括提供信任根580的组件。
网络管理器代理590可以作为在受信任的网络设备570上运行的服务来执行。网络管理器代理590可以被配置为从数据中心510处的网络管理器530接收对操作的请求。网络管理器代理590可以在边缘站点550处执行所请求的操作。在一个实施例中,响应于接收到来自网络管理器530的请求,网络管理器代理590可以配置其端口以排除附接有未授权设备的端口。当未授权设备被移除时,网络管理器代理590可以重新配置其端口以包括具有附接的未授权设备的端口。
安全协调器520可以位于数据中心/控制平面510中。安全协调器520可以被配置为接收边缘站点处的设备的安全信息。安全数据可用于确定新授权的设备是否应该访问数据中心510处的资源。网络管理器530可以是被配置为与边缘站点550处的网络管理器代理590通信的控制平面组件。当安全协调器520确定应该排除附接到受信任的网络设备570的设备时,安全协调器520可以将该信息传送给网络管理器530。受信任的网络设备570可以配置其端口以遵守经由网络管理器代理590从安全协调器520接收的指令。
现在转到图6,示出了根据本公开的用于安全管理计算环境中的计算资源的示例操作过程。在一个实施例中,计算环境包括计算服务提供方和边缘站点。边缘站点包括被配置为使计算服务提供方能够经由本地部署将云服务扩展到计算服务提供方的远程用户的计算和网络设备。网络设备至少包括受信任的网络设备,该受信任的网络设备包括信任根。
参考图6,操作601示出由受信任的网络设备经由受信任的网络设备上的受信任组件在边缘站点处建立信任根。
操作601之后可以是操作603。操作603示出基于受信任的网络设备在边缘站点处已被验证为信任根,建立从计算服务提供方到边缘站点的信任链。在一个实施例中,受信任的网络设备被计算服务提供方委托为边缘站点处的本地授权机构。
操作603之后可以是操作605。操作605示出由受信任的网络设备检测到新设备通信地耦合到受信任的网络设备上的端口。
操作605之后可以是操作607。操作607示出由受信任的网络设备确定新设备未被授权访问远程计算网络处的计算资源。
操作607之后可以是操作609。操作609示出隔离受信任的网络设备处的端口。
操作609之后可以是操作611。操作611示出向计算服务提供方发送新设备不是受信任设备的通知。
在一个实施例中,受信任的网络设备执行网络操作系统,该网络操作系统包括可操作为认证附接到受信任的网络设备上的端口的设备的组件。
在一个实施例中,信任根是受信任平台模块(TPM)。
在一个实施例中,受信任的网络设备执行被配置为在受信任的网络设备的端口处实施访问控制的容器。
在一个实施例中,受信任的网络设备被配置为验证颁发给远程计算网络处的新添加的设备的证书。
在一个实施例中,隔离受信任的网络设备处的端口包括禁用该端口。
在一个实施例中,隔离受信任的网络设备处的端口包括阻止来自新设备的通信。
在一个实施例中,网络操作系统是SONiC。
本文关于某些示例和实施例描述了本公开的各个方面,这些示例和实施例旨在示出但不限于本公开。应当理解,本文呈现的主题可以被实现为计算机进程、计算机控制的设备、计算系统、诸如计算机可读存储介质的制品、或者包括用于实现功能的硬件逻辑的组件,诸如现场可编程门阵列(FPGA)设备、大规模并行处理器阵列(MPPA)设备、图形处理单元(GPU)、专用集成电路(ASIC)、多处理器片上系统(MPSoC)等。
组件还可以包括利用设备来执行功能的其他方式,例如,a)其中至少一些任务在硬ASIC逻辑等中实现的情况;b)其中至少一些任务在软(可配置的)FPGA逻辑等中实现的情况;c)其中至少一些任务在FPGA软件处理器覆盖等上作为软件运行的情况;d)其中至少一些任务在硬ASIC处理器等上作为软件运行的情况,或其任意组合。组件可以表示硬件加速设备的同构集合,例如,FPGA设备。另一方面,组件可以表示不同类型的硬件加速设备的异构集合,包括具有不同的各自处理能力和架构的不同类型的FPGA设备、FPGA设备和其他类型的硬件加速设备的混合等。
图7示出了通用计算设备700。在所示的实施例中,计算设备700包括经由输入/输出(I/O)接口730耦合到系统存储器720的一个或多个处理器710a、710b和/或710n(本文可以单数称为“处理器710”或以复数形式称为“处理器710”)。计算设备700还包括耦合到I/O接口730的网络接口740。
在各种实施例中,计算设备700可以是包括一个处理器710的单处理器系统或包括若干处理器710(例如,两个、四个、八个或另一个适合数量)的多处理器系统。处理器710可以是能够执行指令的任何适合的处理器。例如,在各种实施例中,处理器710可以是实现各种指令集架构(ISA)中的任何一种的通用或嵌入式处理器,诸如x77、PowerPC、SPARC或MIPSISA或任何其他适合的ISA。在多处理器系统中,每个处理器710可以通常但不一定实现相同的ISA。
系统存储器720可以被配置为存储(多个)处理器710可访问的指令和数据。在各种实施例中,系统存储器720可以使用任何适合的存储器技术来实现,例如静态随机存取存储器(SRAM)、同步动态RAM(SDRAM)、非易失性/闪存型存储器或任何其他类型的存储器。在所示实施例中,实现一个或多个期望功能的程序指令和数据,诸如上述那些方法、技术和数据,被示为作为代码725和数据727存储在系统存储器720内。
在一个实施例中,I/O接口730可以被配置为协调处理器710、系统存储器720和设备中的任何外围设备(包括网络接口740或其他外围接口)之间的I/O业务。在一些实施例中,I/O接口730可以执行任何必要的协议、定时或其他数据变换,以将来自一个组件(例如,系统存储器720)的数据信号变换为适合于另一组件(例如,处理器710)使用的格式。在一些实施例中,I/O接口730可以包括对通过各种类型的外围设备总线附接的设备的支持,例如,外围组件互连(PCI)总线标准或通用串行总线(USB)标准的变体。在一些实施例中,I/O接口730的功能可以被分成两个或更多个单独的组件。此外,在一些实施例中,I/O接口730的一些或全部功能,例如到系统存储器720的接口,可以直接合并到处理器710中。
网络接口740可以被配置为允许在计算设备700和附接到一个或多个网络750的其他一个或多个设备770之间交换数据,例如图1至图5所示的其他计算机系统或设备。例如,在各种实施例中,网络接口740可以支持经由任何适合的有线或无线通用数据网络的通信,诸如以太网络类型。此外,网络接口740可以支持经由诸如模拟语音网络或数字光纤通信网络的电信/电话网络、经由诸如光纤通道SAN的存储区域网络或经由任何其他适合类型的网络和/或协议的通信。
在一些实施例中,系统存储器720可以是计算机可访问介质的一个实施例,其被配置为存储如上针对图1-8所描述的用于实现相应方法和装置的实施例的程序指令和数据。然而,在其他实施例中,可以在不同类型的计算机可访问介质上接收、发送或存储程序指令和/或数据。计算机可访问介质可以包括非瞬态存储介质或存储器介质,诸如磁或光介质,例如经由I/O接口730耦合到计算设备700的盘或DVD/CD。非瞬态计算机可访问存储介质还可以包括任何易失性或非易失性介质,诸如RAM(例如SDRAM、DDR SDRAM、RDRAM、SRAM等)、ROM等,其可以作为系统存储器720或另一类型的存储器包括在计算设备700的一些实施例中。此外,计算机可访问介质可以包括经由诸如网络和/或无线链路的通信介质传送的传输介质或诸如电、电磁或数字信号的信号,诸如可以经由网络接口740实现的。在各种实施例中,可以使用诸如图7中所示的那些多个计算设备的部分或全部来实现所描述的功能;例如,在各种不同设备和服务器上运行的软件组件可以协作来提供该功能。在一些实施例中,附加或者代替使用通用计算机系统来实现,可以使用存储设备、网络设备或专用计算机系统来实现所描述功能的部分。本文使用的术语“计算设备”至少指所有这些类型的设备,而不限于这些类型的设备。
各种存储设备及其相关联的计算机可读介质为本文描述的计算设备提供非易失性存储。本文讨论的计算机可读介质可以指大容量存储设备,诸如固态驱动器、硬盘或CD-ROM驱动器。然而,本领域技术人员应当理解,计算机可读介质可以是可由计算设备访问的任何可用计算机存储介质。
作为示例而非限制,计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。例如,计算机介质包括但不限于RAM、ROM、EPROM、EEPROM、闪存或其他固态存储器技术、CD-ROM、数字多功能盘(“DVD”)、HD-DVD、BLU-RAY或其他光存储、盒式磁带、磁带、磁盘存储或其他磁存储设备、或可用于存储所需信息并可由本文讨论的计算设备访问的任何其他介质。为了权利要求的目的,短语“计算机存储介质”、“计算机可读存储介质”及其变体不包括波、信号和/或其他瞬时的和/或无形通信介质本身。
对本文呈现的软件模块进行编码还可以变换本文呈现的计算机可读介质的物理结构。在本说明书的不同实现中,物理结构的具体变换可以取决于各种因素。这些因素的示例可以包括但不限于用于实现计算机可读介质的技术,无论计算机可读介质的特征是主要存储还是次要存储等。例如,如果计算机可读介质被实现为基于半导体的存储器,则可以通过变换半导体存储器的物理状态将本文公开的软件编码在计算机可读介质上。例如,软件可以变换构成半导体存储器的晶体管、电容器或其他分立电路元件的状态。该软件还可以变换这些组件的物理状态,以便在其上存储数据。
作为另一示例,本文公开的计算机可读介质可以使用磁或光技术来实现。在这样的实现中,当软件被编码在其中时,本文呈现的软件可以变换磁或光介质的物理状态。这些变换可以包括改变给定磁介质内的特定位置的磁特性。这些变换还可以包括改变给定光学介质内的特定位置的物理特征或特性,以改变那些位置的光学特性。在不偏离本说明书的范围和精神的情况下,物理介质的其他变换也是可能的,前述示例仅为便于该讨论而提供。
鉴于以上内容,应当理解,为了存储和执行本文呈现的软件组件和/或功能,在所公开的计算设备中发生许多类型的物理变换。还可以想到,所公开的计算设备可以不包括图7中所示的所有所示组件,可以包括图7中未明确示出的其他组件,或者可以使用与图7中所示完全不同的架构。
尽管已经用特定于结构特征和/或方法动作的语言描述了各种配置,但是应当理解,在所附代表中定义的主题不一定限于所描述的特定特征或动作。相反,公开了特定特征和动作作为实现所要求保护的主题的示例形式。
本文使用的条件性语言,例如,除其他外,“能”、“可能”、“可以”、“例如”等,通常旨在传达某些实施例包括某些特征、元件和/或步骤,而其他实施例不包括某些特征、元件和/或步骤,除非另外特别说明,或者在所使用的上下文中以其他方式理解。因此,这种条件语言通常并不旨在暗示一个或多个实施例以任何方式需要特征、元件和/或步骤,或者一个或多个实施例必须包括用于在有或没有作者输入或提示的情况下确定在任何特定实施例中是否包括或将执行这些特征、元件和/或步骤的逻辑。术语“包括”、“包含”、“具有”等是同义的,并且以开放式方式包括性地使用,并且不排除附加元件、特征、动作、操作等。此外,术语“或”的用法具有包含性(而不是排他性),因此当使用术语“或”连接元素列表时,术语“或”表示列表中的一个、一些或所有元素。
虽然已经描述了某些示例实施例,但是这些实施例仅作为示例来呈现,并且不旨在限制本文公开的发明的范围。因此,前述描述中的任何内容都不旨在暗示任何特定的特征、特性、步骤、模块或块是必需的或不可缺少的。实际上,本文描述的新颖方法和系统可以以各种其他形式实施;此外,在不偏离本文公开的发明的精神的情况下,可以对本文描述的方法和系统的形式进行各种省略、替换和改变。所附权利要求及其等同形式旨在涵盖属于本文公开的某些发明的范围和精神的形式或修改。
应当理解,说明书中提及的任何关于“第一”、“第二”等项目和/或抽象概念不是也不应当被解释为必然对应于权利要求中对“第一”、“第二”等要素的任何提及。具体地,在本发明内容和/或随后的具体实施方式中,诸如例如计算集群的各个计算设备和/或操作状态的项目和/或抽象概念可以通过数字标识来区分,而没有对应于权利要求的此类指定或甚至发明内容和/或具体实施方式的其他段落。例如,在本公开的段落内对计算集群的“第一操作状态”和“第二操作状态”的任何指定仅用于区分该特定段落内的计算集群的两个不同的操作状态--不是任何其他段落,尤其不是权利要求。
最后,虽然已经以特定于结构特征和/或方法动作的语言描述了各种技术,但应当理解,在所附代表中定义的主题不一定限于所描述的特定特征或动作。相反,公开了特定特征和动作作为实现所要求保护的主题的示例形式。

Claims (15)

1.一种用于在计算环境中安全管理计算资源的方法,所述计算环境包括计算服务提供方和边缘站点,所述边缘站点包括计算和网络设备,所述计算和网络设备被配置为使得所述计算服务提供方能够经由本地部署将云服务扩展到所述计算服务提供方的远程用户,所述网络设备至少包括受信任的网络设备,所述受信任的网络设备包括信任根,所述方法包括:
由所述受信任的网络设备经由所述受信任的网络设备上的受信任组件在所述边缘站点处建立信任根;
基于所述受信任的网络设备在所述边缘站点处已被验证为所述信任根,建立从所述计算服务提供方到所述边缘站点的信任链,其中所述受信任的网络设备被所述计算服务提供方委托为所述边缘站点处的本地授权机构;
由所述受信任的网络设备检测到新设备通信地耦合到所述受信任的网络设备上的端口;
由所述受信任的网络设备确定所述新设备未被授权访问所述远程计算网络处的计算资源;
隔离所述受信任的网络设备处的所述端口;以及
向所述计算服务提供方发送所述新设备不是受信任设备的通知。
2.根据权利要求1所述的方法,其中所述受信任的网络设备执行网络操作系统,所述网络操作系统包括可操作为认证附接到所述受信任的网络设备上的端口的设备的组件。
3.根据权利要求1所述的方法,其中所述信任根是受信任平台模块(TPM)。
4.根据权利要求1所述的方法,其中所述受信任的网络设备执行被配置为在所述受信任的网络设备的端口处实施访问控制的容器。
5.根据权利要求1所述的方法,其中所述受信任的网络设备被配置为验证颁发给所述远程计算网络处的新添加的设备的证书。
6.根据权利要求1所述的方法,其中隔离所述受信任的网络设备处的所述端口包括禁用所述端口。
7.根据权利要求1所述的方法,其中隔离所述受信任的网络设备处的所述端口包括阻止来自所述新设备的通信。
8.根据权利要求2所述的方法,其中所述网络操作系统是SONiC。
9.一种设备,所述设备通信地耦合到被配置为将计算服务提供方的计算资源扩展到所述计算服务提供方的远程用户的远程计算网络,所述设备包括:
一个或多个处理器;
受信任组件;以及
与所述一个或多个处理器通信的存储器,所述存储器具有存储在其上的计算机可读指令,所述计算机可读指令在由所述一个或多个处理器执行时,使所述设备执行操作,所述操作包括:
基于经由所述受信任组件建立信任根来建立从所述设备到所述计算服务提供方的信任链;
检测到新设备通信地耦合到所述设备上的端口;
确定所述新设备未被授权访问远程计算网络处的计算资源;
隔离所述设备处的所述端口;以及
向所述计算服务提供方发送所述新设备不是受信任设备的通知。
10.根据权利要求9所述的设备,其中:
所述设备执行网络操作系统,所述网络操作系统包括可操作为认证附接到所述设备上的端口的设备的组件;以及
所述信任根是受信任平台模块(TPM)。
11.根据权利要求9所述的设备,其中所述设备执行被配置为在所述设备的端口处实施访问控制的容器。
12.根据权利要求9所述的设备,其中所述设备被配置为验证颁发给所述远程计算网络处的新添加的设备的证书。
13.根据权利要求9所述的设备,其中隔离所述设备处的所述端口包括禁用所述端口。
14.根据权利要求9所述的设备,其中隔离所述设备处的所述端口包括阻止来自所述新设备的通信。
15.一种其上存储有计算机可执行指令的计算机可读存储介质,所述计算机可执行指令在由被配置为将计算服务提供方的计算资源扩展到所述计算服务提供方的远程用户的远程计算网络处的计算设备的一个或多个处理器执行时,使所述计算设备:
经由所述计算设备上的受信任组件建立信任根;
基于所述信任根,建立从所述远程计算网络到所述计算服务提供方的信任链;
检测到新设备通信地耦合到所述设备上的端口;
确定所述新设备未被授权访问远程计算网络处的计算资源;
隔离所述设备处的所述端口;以及
发送所述新设备不是受信任设备的通知。
CN202180087114.2A 2020-12-22 2021-11-01 使用受信任的网络设备保护边缘站点的网络访问 Pending CN116648702A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/131,703 US11582227B2 (en) 2020-12-22 2020-12-22 Securing network access at edge sites using trusted network devices
US17/131,703 2020-12-22
PCT/US2021/057488 WO2022139953A1 (en) 2020-12-22 2021-11-01 Securing network access at edge sites using trusted network devices

Publications (1)

Publication Number Publication Date
CN116648702A true CN116648702A (zh) 2023-08-25

Family

ID=78806659

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180087114.2A Pending CN116648702A (zh) 2020-12-22 2021-11-01 使用受信任的网络设备保护边缘站点的网络访问

Country Status (4)

Country Link
US (1) US11582227B2 (zh)
EP (1) EP4268416A1 (zh)
CN (1) CN116648702A (zh)
WO (1) WO2022139953A1 (zh)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370362B2 (en) 2005-03-03 2008-05-06 Cisco Technology, Inc. Method and apparatus for locating rogue access point switch ports in a wireless network
US8811153B1 (en) 2010-05-03 2014-08-19 Pluribus Networks Inc. Switch fabric for network devices
US8839363B2 (en) 2011-04-18 2014-09-16 Bank Of America Corporation Trusted hardware for attesting to authenticity in a cloud environment
EP2745473B1 (en) 2011-08-17 2018-09-19 Nicira, Inc. Hierarchical controller clusters for interconnecting different logical domains
US9531644B2 (en) 2011-12-21 2016-12-27 Juniper Networks, Inc. Methods and apparatus for a distributed fibre channel control plane
US9699001B2 (en) 2013-06-10 2017-07-04 Brocade Communications Systems, Inc. Scalable and segregated network virtualization
US9923815B2 (en) 2014-11-11 2018-03-20 Avago Technologies General Ip (Singapore) Pte. Ltd. Network based service function chaining on top of rack switches
US9652253B2 (en) 2015-09-16 2017-05-16 Dell Products L.P. Field replaceable unit authentication system
US10339317B2 (en) * 2015-12-18 2019-07-02 Intel Corporation Computing devices
US10182035B2 (en) 2016-06-29 2019-01-15 Nicira, Inc. Implementing logical network security on a hardware switch
US10587586B2 (en) 2017-01-10 2020-03-10 Mocana Corporation System and method for a multi system trust chain
GB2565270B (en) 2017-07-03 2022-08-31 Arm Ip Ltd Secure server and compute nodes
US11489827B2 (en) * 2018-10-08 2022-11-01 Oracle International Corporation Dedicated network authentication and allocation for dedicated virtual machine host clusters
US10862816B2 (en) * 2018-10-08 2020-12-08 Oracle International Corporation Cloud computing cluster isolation with authentication and automatic configuration deployment
GB2581402B (en) 2019-02-21 2021-02-24 Advanced Risc Mach Ltd Generating trust for devices

Also Published As

Publication number Publication date
US20220200986A1 (en) 2022-06-23
US11582227B2 (en) 2023-02-14
EP4268416A1 (en) 2023-11-01
WO2022139953A1 (en) 2022-06-30

Similar Documents

Publication Publication Date Title
EP3937424B1 (en) Blockchain data processing methods and apparatuses based on cloud computing
Alam et al. A survey of network virtualization techniques for Internet of Things using SDN and NFV
US10425411B2 (en) Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication
WO2020057163A1 (zh) Mec平台部署方法及装置
US20220078209A1 (en) Enhanced trusted application manager utilizing intelligence from a secure access server edge (sase)
US11507439B1 (en) Application programming interface as a service
EP3937458A1 (en) Blockchain integrated stations and automatic node adding methods and apparatuses
US11134067B1 (en) Token management in a managed directory service
US10230709B1 (en) Method, system, and apparatus for delegating control over the configuration of multi-tenant network devices
US20220116335A1 (en) End-to-end network slicing (ens) from ran to core network for next generation (ng) communications
Cui et al. IoT data management and lineage traceability: A blockchain-based solution
CN113039542A (zh) 云计算网络中的安全计数
Sharifi et al. Availability challenge of cloud system under DDOS attack
Kim et al. An architectural mechanism for resilient IoT services
CN111818081B (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
Alsaeed et al. A framework for blockchain and fogging-based efficient authentication in internet of things
Siagian et al. The design and implementation of a dashboard web-based video surveillance in openstack swift
US10542001B1 (en) Content item instance access control
US11582227B2 (en) Securing network access at edge sites using trusted network devices
US11803766B1 (en) Active scanning tool for identifying customer misconfigurations of virtual machine instances
US10824476B1 (en) Multi-homed computing instance processes
WO2012163587A1 (en) Distributed access control across the network firewalls
US20230388309A1 (en) Establishment of trust for disconnected edge-based deployments
US20230421550A1 (en) Configuration of multiple secrets
WO2018120182A1 (zh) 一种秘密信息的分发方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination