CN117099344A - 上下文感知安全访问服务边缘(sase)引擎 - Google Patents
上下文感知安全访问服务边缘(sase)引擎 Download PDFInfo
- Publication number
- CN117099344A CN117099344A CN202280026626.2A CN202280026626A CN117099344A CN 117099344 A CN117099344 A CN 117099344A CN 202280026626 A CN202280026626 A CN 202280026626A CN 117099344 A CN117099344 A CN 117099344A
- Authority
- CN
- China
- Prior art keywords
- endpoint
- security
- network
- endpoint device
- security profile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 117
- 230000006870 function Effects 0.000 claims description 31
- 238000011156 evaluation Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims 2
- 238000013507 mapping Methods 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000001152 differential interference contrast microscopy Methods 0.000 description 3
- 239000000758 substrate Substances 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001816 cooling Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
用于上下文感知安全访问服务边缘(SASE)引擎的技术,用于生成与访问网络的(一个或多个)端点设备相关联的(一个或多个)安全简档,并使用(一个或多个)安全简档来评估来自(一个或多个)端点设备的流量流。SASE引擎可以在计算资源网络的边缘设备上执行,并且可以被配置为维护包括端点安全简档映射的安全简档数据库。访问网络的(一个或多个)端点设备可以与SASE引擎共享端点、应用和/或用户特定信息,使得SASE引擎可以生成特定于端点、应用和/或用户的安全简档。此外,与访问网络的(一个或多个)端点设备相关联的企业网络可以向SASE引擎提供默认的SASE安全简档模板。此外,可以在SASE引擎和(一个或多个)端点设备之间建立反馈回路,使得SASE引擎具有自主和动态更新安全简档的能力。
Description
相关申请的交叉引用
本申请要求于2021年3月31日提交的第17/219,157号美国申请的优先权,其全部内容通过引用并入本文。
技术领域
本公开总体上涉及使用上下文感知(context-aware)安全访问服务边缘(secureaccess service edge,SASE)引擎来生成与端点设备相关联的安全简档,并且使用该安全简档来评估来自端点设备的流量流。
背景技术
服务提供商提供基于计算的服务或解决方案,以向用户提供对计算资源的访问,从而满足用户的计算资源需求,而无需投资和维护实现服务所需的计算基础设施。这些服务提供商常常维护数据中心的网络,这些数据中心容纳有服务器、路由器和其他向用户提供计算资源(例如,计算资源、网络资源、存储资源、数据库资源、应用资源等等)的设备。服务提供商所提供的解决方案可以包括广泛的服务,这些服务可以被微调以满足用户的需求。安全访问服务边缘(SASE)框架已被用于在网络边缘处提供安全即服务,并且简化了在边缘处向任何类型端点提供安全服务的方式。然而,针对每个用户的单一安全方法已不再足够,也无法提供支持此类解决方案的最佳安全能力。
附图说明
下面参考附图进行详细描述。在附图中,附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记来表示相似或相同的项。在附图中描绘的系统不是按比例绘制的,并且在附图中的组件可能被描绘成彼此未按比例绘制。
图1示出了计算资源网络的示例流的系统架构图,该计算资源网络利用在与网络相关联的网络边缘设备上执行的上下文感知SASE引擎,以基于从访问网络的端点设备接收的且特定于该端点设备的端点信息或从企业网络设备接收的默认安全简档来生成安全简档,并且使用这样的安全简档来评估来自相关联的端点设备的流量流。
图2示出了用于利用在与网络相关联的网络边缘设备上执行的上下文感知SASE引擎来基于从访问网络的端点设备接收的且特定于该端点设备的端点信息和/或从企业网络接收的安全功能的基本集合来生成安全简档的示例流程的系统架构图。
图3示出了用于确定规则集以启用特定于端点配置的SASE功能的反馈回路的示例流程图。
图4A和图4B共同示出了由SASE引擎使用从端点接收的端点信息生成的示例性端点特定SASE安全简档配置,以及由SASE引擎使用从企业网络接收的默认安全简档生成的示例性默认SASE安全简档配置。
图5A和图5B共同示出了没有版本感知的示例SASE安全简档配置和具有版本感知的示例SASE安全简档配置。
图6A-6C示出了示例性默认SASE安全简档配置、具有针对常见漏洞的动态调整的示例性SASE安全简档配置、以及具有针对受攻击影响的端点的动态调整的示例性SASE安全简档配置。
图7A和图7B共同示出了没有物联网感知的示例SASE安全简档配置和具有物联网感知的示例SASE安全简档配置。
图8示出了用于上下文感知SASE引擎的示例方法的流程图,该上下文感知SASE引擎在与网络相关联的网络边缘设备上执行,以基于从访问网络的端点设备接收的并且特定于该端点设备的端点信息来生成安全简档,并且使用该安全简档来评估来自该端点设备的流量流。
图9示出了用于上下文感知SASE引擎的示例方法的流程图,该上下文感知SASE引擎在与网络相关联的网络边缘设备上执行,以基于从与企业网络相关联的设备接收的默认安全简档来生成安全简档,并且使用该安全简档来评估来自访问网络的端点设备的流量流。
图10示出了用于上下文感知SASE引擎的示例方法的流程图,该上下文感知SASE引擎在与网络相关联的网络边缘设备上执行,以生成特定于访问网络的端点设备的安全简档,并且使用该安全简档来评估来自端点设备的流量流。
图11示出了计算系统图,该计算系统图示出了可用于实现本文公开的技术的各个方面的数据中心的配置。
图12是示出用于实现服务器设备的说明性计算机硬件架构的计算机架构图,该服务器设备可以用于实现本文呈现的各种技术的各个方面。
具体实施方式
概览
本发明的各方面在独立权利要求中阐述,优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。
本公开描述了一种用于上下文感知SASE引擎的方法,该上下文感知SASE引擎在与网络相关联的网络边缘设备上执行,以基于从访问网络的端点设备接收的且特定于该端点设备的端点信息或从企业网络设备接收的默认安全简档来生成安全简档,并且使用这样的安全简档来评估来自相关联的端点设备的流量流。该方法包括在网络的边缘网络设备上执行边缘安全组件。附加地或替代地,该方法包括从访问网络的端点设备接收端点信息。附加地或替代地,该方法包括生成与端点设备相关联的安全简档。附加地或者替代地,生成与端点设备相关联的安全简档可以至少部分地基于端点信息。附加地或者替代地,该方法包括使用安全简档评估来自端点设备的流量流。
另外或者替代地,该方法包括在网络的边缘网络设备上执行边缘安全组件。附加地或替代地,该方法包括从与网络相关联的企业设备接收默认安全简档。附加地或替代地,默认安全简档可以包括一组默认的安全功能。附加地或替代地,该方法包括生成与访问网络的端点设备相关联的安全简档。附加地或者替代地,生成与访问网络的端点设备相关联的安全简档可以至少部分地基于默认安全简档。附加地或者替代地,该方法包括使用安全简档评估来自端点设备的流量流。
另外或者替代地,该方法包括在网络的边缘网络设备上执行边缘安全组件。附加地或替代地,该方法包括生成与访问网络的端点设备相关联的安全简档。附加地或者替代地,该方法包括使用安全简档评估来自端点设备的流量流。
另外,本文描述的技术可以由具有存储计算机可执行指令的非暂时性计算机可读介质的系统和/或设备来执行,这些指令当由一个或多个处理器执行时,该非暂时性计算机可读介质执行上述方法。
示例实施例
服务提供商提供的解决方案的有用性导致云计算迅速增加,云计算提供了可以微调以满足用户需求的广泛服务。例如,安全访问服务边缘(SASE)作为在网络边缘提供安全即服务的框架,简化了向边缘任何类型的端点提供安全的方式。然而,每个用户单一的安全方法已经不够,并且不能提供特定于终端、在终端上执行的应用和/或占用终端的租户的最佳安全功能。因此,需要提供特定于租户、应用、端点和/或其任意组合的安全即服务。
本公开描述了用于服务提供商网络利用上下文感知SASE引擎的技术,所述上下文感知SASE引擎基于上下文自主地和动态地调整安全性。例如,在边缘加入计算资源网络的用户设备接收网络的标准安全能力。在用户设备的整个生命周期中,所提供的安全机制必须动态地和自主地改变,以适应其行为和持续的安全需求。因此,边缘不再简单地提供适合所有端点的单一安全方法(常常基于一组物理或集中式安全功能)。与计算资源网络相关联的上下文感知SASE引擎可以启用特定于端点或边缘中的用户的生命周期的租户和应用安全。例如,上下文感知SASE可以被配置成使得在边缘中使用用户设备的租户具有用于第一应用的第一安全简档和用于第二应用的第二安全简档。因此,在边缘中实现必要的灵活性,以自主和动态地、特定于租户和应用地按需提供安全性,同时还受到一组元数据信息以及端点和/或用户的生命周期的影响。
示例计算资源网络可以包括一个或多个网络组件,例如,一个或多个网络控制器、一个或多个网络主干交换机和/或一个或多个网络交换机,也被称为(一个或多个)节点。在一些示例中,上下文感知SASE引擎可以部署在计算资源网络中的各个位置,例如网络组件(即,(一个或多个)主干交换机、(一个或多个)叶交换机、(一个或多个)节点等)、与网络相关联的端点、和/或与网络相关联的(一个或多个)任何其他设备和/或(一个或多个)节点。附加地或替代地,SASE引擎可以被配置为在与计算资源网络相关联的网络组件的任何一个上执行的软件代理。例如,SASE引擎可以部署在计算资源网络的边缘节点。在一些示例中,边缘节点可以被配置成经由一个或多个网络与一个或多个企业网络通信。附加地或替代地,边缘节点可以被配置成执行和/或维护SASE引擎和/或安全简档数据存储。在一些示例中,安全简档数据存储可以包括端点表映射,其中,与边缘节点相关联的端点可以映射到相应的安全简档(即,企业默认安全简档和/或自定义端点安全简档)。
例如,如本文所述,以具有与计算资源网络通信的企业网络的企业为例。这种企业可以具有经由一个或多个端点访问计算资源网络的各种用户,例如用户设备。在这样的示例中,当新的端点经由计算资源网络的边缘节点连接到计算资源网络时,与边缘节点相关联的SASE引擎可以被配置为生成与端点相关联的安全简档。SASE引擎可以至少部分地基于从企业网络接收的数据、与计算资源网络相关联的默认安全简档、上下文端点信息和/或其任意组合来生成安全简档。附加地或者替代地,SASE引擎可以被配置为存储一个或多个安全简档和端点之间的映射。在一些示例中,SASE引擎可以被配置成至少部分地基于与端点相关联的安全简档来评估与端点相关联的流量流。此外,附加地可替换地,SASE引擎可以被配置为基于与端点相关联的各种安全简档来评估与端点相关联的流量流,使得SASE引擎可以被配置为基于与端点相关联的上下文数据、在端点上执行的应用、与端点相关联的租户和/或其任意组合,在与端点相关联的安全简档之间进行自主选择。
如前所述,SASE引擎可以以多种方式生成安全简档。在一些示例中,SASE引擎可以基于从与端点相关联的企业网络设备接收的默认安全简档来生成与端点相关联的安全简档。例如,在确定连接到计算资源网络的新端点时,SASE引擎可以从与端点相关联的企业网络的企业设备接收默认安全简档。在一些示例中,默认安全简档可以包括与特定边缘云和/或企业分支相关的一组基本信息。例如,企业网络可以被配置为与SASE引擎交换数据,并描述每个端点、应用和/或租户应该接收的标准安全功能,描述与端点相关联的流量模式,和/或告知SASE引擎120有关协商级别的信息。然后,SASE引擎可以利用默认安全简档和/或从企业网络接收的附加数据来生成端点的安全简档。SASE引擎还可以被配置为将安全简档存储在包括安全简档和端点之间的映射的数据库中。
附加地或者替代地,SASE引擎可以基于从端点接收的端点信息来生成与端点相关联的安全简档。例如,SASE引擎可以从端点接收端点信息。在一些示例中,端点信息可以包括特定于端点的安全简档、在端点上执行的应用和/或与端点相关联的租户和/或用户。附加地或者替代地,SASE引擎然后可以利用接收到的端点信息来生成与端点相关联并且特定于端点/应用/租户元组的端点特定安全简档。SASE引擎还可以被配置为将安全简档存储在包括安全简档和端点之间的映射的数据库中。
SASE引擎还可以在SASE引擎和访问网络的端点之间配置反馈回路。例如,SASE引擎可以从端点接收与端点相关联的SASE能力。SASE能力可以被配置为意图,使得端点可以通过向SASE引擎发送SASE能力来表达其对特定租户使用的特定应用的意图。一旦接收到,SASE引擎然后可以确保由端点表达的意图可以被转化为可操作的安全能力,并向端点提供反馈,指定SASE引擎可以提供的安全功能。响应于反馈,SASE引擎可以接收对所提议的安全功能的接受或拒绝。在一些示例中,当端点拒绝提议的安全功能时,端点可以随着拒绝向SASE引擎发送额外的SASE能力,并且SASE引擎可以重新考虑端点、应用和/或租户的意图。在一些示例中,当端点接受提议的安全功能时,SASE引擎可以生成与端点相关联的规则集和/或附加安全简档。例如,SASE引擎可以基于规则集和/或与端点相关联的先前存储的安全简档来生成附加的安全简档。附加地或者替代地,除了安全简档之外,在评估与端点相关联的流量流期间,可以实施规则集。
在一些示例中,端点、SASE引擎和/或企业网络可以利用反馈环路来维护相关联的端点、应用和/或用户的最高安全级别。例如,端点和/或企业网络设备可以被配置成将应用信息、安全漏洞信息和/或其他端点、应用和/或租户特定信息传送到SASE引擎。
在一些示例中,这样的应用信息可以包括应用已经更新到新版本的指示,并且因此,应用可以需要比由相关联的安全简档提供的安全功能更多和/或更少的安全功能。例如,SASE引擎可以存储与在端点上执行的应用的第一版本相关联的第一安全简档,以及与在端点上执行的应用的第二版本相关联的第二安全简档。当在端点上执行应用的第一版本时,SASE引擎可以使用第一安全简档来评估与端点相关联的流量流。附加地或者替代地,当在端点上执行应用的第二版本时,第二安全简档可以被SASE引擎采用来评估与端点相关联的流量流。附加地或者替代地,单个安全简档可以包括当在端点上执行应用的第一版本时要实施的一个或多个安全能力的指示,以及当在端点上执行应用的第二版本时要实施的一个或多个第二安全能力的指示。
附加地或替代地,SASE引擎可被配置为在与端点相关联的安全漏洞和/或新的公知安全漏洞(即,已被记录的漏洞)之后更新和/或生成用于端点的新安全简档。例如,SASE引擎可以生成安全简档来添加额外的安全功能,而不是等待应用和/或端点更新来缓解安全漏洞,这可能有助于规避漏洞和/或减少正在进行的攻击的影响。
附加地或者替代地,SASE引擎可以生成具有物联网(IoT)感知的安全简档。例如,一些端点可能经常在不同的边缘云访问网络,因此,端点可能正在向它转换到的每个单独的边缘云中的SASE引擎发送SASE简档,从而提供无缝和一致的安全能力。这样,SASE引擎可以被配置为包括端点所需的在SASE框架内提供的一组安全功能,使得该组安全功能满足由端点访问的各个边缘云的所有要求。
附加地或者替代地,SASE引擎可以支持由企业定义的服务水平协议(SLA)。在一些示例中,与企业相关联的端点可以连接到网络,例如公共网络,并且这种端点的租户可以将额外费用与公共网络内的特定流量和安全功能的处理相关联。例如,与第一用户相关联并具有与企业相关联的第一级SLA的第一端点可以从第一端点接收与流量流相关联的第一安全能力,并且与具有与企业相关联的第二级SLA的第二用户相关联的第二端点可以从第二端点接收与流量流相关联的第二安全能力。在一些示例中,第一安全能力可以比第二安全能力更有利(即,提供一个或多个附加的和/或更有效的安全能力)。
如前所述,SASE引擎可以基于与端点相关联的各种安全简档和/或规则集来评估与端点相关联的流量流。附加地或替代地,SASE引擎可以被配置成通过将与端点相关联的安全简档编译成可由网络的附加网络设备(例如,附加网络边缘设备、附加网络交换机、在附加网络设备上执行的计算资源等)执行的格式来生成格式化的安全简档。SASE引擎然后可以将格式化的安全简档发送到附加网络设备,其中与端点相关联的流量流可以由附加网络设备评估。SASE引擎可以通过评估相关设备上的流量流和/或通过评估附加相关网络设备上的流量流,将安全性作为服务交付给端点。
如本文所述,基于计算的解决方案通常可以包括由虚拟化技术实现的任何类型的资源,例如容器、虚拟机、虚拟存储等等。此外,尽管被描述为在数据中心和/或云计算网络中实现的技术,但是这些技术通常适用于由提供虚拟资源的任何实体管理的任何设备网络。在一些情况下,这些技术可以由调度器或编排器来执行,并且在其他示例中,可以在系统中使用各种组件来执行本文所描述的技术。这里用来执行技术的设备和组件是实施方式的问题,并且所描述的技术不限于任何特定的架构或实施方式。
本文描述的技术提供了关于提供特定于租户、应用、端点和/或其任意组合的安全即服务的各种改进和效率。例如,这里描述的技术可以接收特定于端点的端点信息和/或与企业相关联的默认安全简档,并使用接收到的数据生成一个或多个安全简档。通过直接从端点接收端点信息(即,正在端点上执行的应用、端点的特征和/或与端点相关联的租户信息),SASE引擎可以生成特定于租户、应用、端点和/或其任意组合的安全简档。此外,通过在SASE引擎和端点之间实现反馈回路,SASE引擎可以连续更新安全简档,或者以其他方式生成额外的安全简档以支持应用版本控制,添加额外的安全能力以处理众所周知的漏洞,支持端点对各种边缘云的访问,和/或规避针对指定端点的持续攻击。
下面将参照附图更全面地描述本公开的某些实施方式和实施例,在附图中示出了各个方面。然而,各个方面可以以许多不同的形式实现,而不应该被解释为限于本文所阐述的实施方式。如本文所述,本公开包括实施例的变体。相似的数字自始至终指的是相似的元素。
图1示出了计算资源网络102的示例流程的系统架构图100,以利用在与网络102相关联的网络边缘设备上执行的上下文感知SASE引擎,基于从访问网络102的端点设备接收的且特定于该端点设备的端点信息和/或从企业网络104设备接收的默认安全简档来生成安全简档,并使用这样的安全简档来评估来自相关联的端点设备的流量流。计算资源网络102可以包括一个或多个数据中心106,其包括各种网络组件,例如软件定义的网络(SDN)控制器108、主干网络交换机110和在物理服务器上操作的网络交换机112(也称为节点)。在一些示例中,一个或多个网络交换机112可以被配置为网络边缘节点114。
在一些示例中,(一个或多个)物理服务器116可以托管一个或多个虚拟机。每个虚拟机可以被配置为执行各种操作之一,并充当计算资源网络102的一个或多个虚拟组件,例如基于计算的资源118。在一些示例中,物理服务器116可以托管任意数量的虚拟机。在一些示例中,计算资源网络102中的(一个或多个)物理服务器116可以托管计算资源网络102的各种网络组件,例如(一个或多个)主干网络交换机110、网络节点112和/或网络边缘节点114。附加地或者替代地,在与网络边缘节点114相关联的物理服务器116上操作的一个或多个虚拟机可以执行SASE引擎120和/或安全简档数据库122,该安全简档数据库122可以包括端点简档映射表124。
计算资源网络102可以提供(一个或多个)物理服务器的计算系统资源的按需可用性,例如数据存储、计算能力(例如,CPU、GPU等)、网络、数据库等,而无需用户直接主动管理。在一些示例中,计算资源网络102可以由服务提供商管理和维护,使得用户不必为他们的计算资源需求投资和维护计算基础设施。通常,可以向用户提供对计算资源网络102中(一个或多个)物理服务器的计算资源的一部分的访问或分配使用。计算资源网络102可以基于对各个用户的需求,例如通过向上旋转资源或向下旋转资源来扩展。可以使用硬件虚拟化来分配计算资源网络102的部分,使得计算资源网络102的部分可以由用户来配置和管理(例如,安全配置、负载平衡配置等)。然而,计算资源网络102不需要由服务提供商管理,并且可以由任何实体管理,包括运行应用或服务的用户本身。
计算资源网络102可以包括计算机可读介质。如前所述,计算机可读介质可以包括设置在计算资源网络102的各个位置的一个或多个SASE引擎120。在一些示例中,SASE引擎120可以设置在与计算资源网络102相关联的网络设备中的至少一个上,例如网络控制器108、主干网络交换机110、网络节点112和/或网络边缘节点114、和/或与计算资源网络102相关联的端点126。
用户128可以访问计算资源网络102以直接与计算资源118交互。(一个或多个)用户128可以包括经由相应的用户设备126与计算资源网络102交互的个人用户、用户组、组织、企业或其他实体中的一个或多个。用户设备126可以是能够经由数据通信网络130连接到计算资源网络102的任何类型的计算设备,例如但不限于膝上型或台式计算机、平板计算设备、服务器计算机、电视或移动电话。
用户128可以经由(一个或多个)网络130提供用户输入132和/或端点信息以与计算资源网络102交互。例如,用户128可以经由一个或多个用户设备126利用由计算资源网络102提供的一个或多个用户界面。在一些示例中,(一个或多个)端点和/或(一个或多个)用户设备126可以向SASE引擎120报告端点信息和/或SASE安全简档。附加地或者替代地,用户128可以与相关联的端点设备126交互,以管理由计算资源网络102提供的基于计算的服务或资源118,或者以其他方式与之交互。
例如,以具有与本文所述的计算资源网络102通信的企业网络104的企业为例。这种企业可以具有经由一个或多个端点126访问计算资源网络102的各种用户128,例如用户设备126。在这样的示例中,当新的端点经由计算资源网络102的边缘节点114连接到计算资源网络102时,与边缘节点114相关联的SASE引擎120可以被配置为生成与端点126相关联的安全简档。SASE引擎120可以至少部分地基于从企业网络104接收的数据、与计算资源网络102相关联的默认安全简档、上下文端点信息和/或其任意组合来生成安全简档。附加地或替代地,SASE引擎120可以被配置为存储一个或多个安全简档和端点126之间的端点简档映射124。在一些示例中,SASE引擎120可以被配置为至少部分基于与端点126相关联的安全简档来评估与端点126相关联的流量流。附加地或替代地,SASE引擎120可以被配置为基于与端点126相关联的各种安全简档来评估与端点126相关联的流量流,使得SASE引擎120可以被配置为基于与端点126相关联的上下文数据、在端点126上执行的应用、与端点126相关联的租户和/或其任意组合,在与端点126相关联的安全简档之间进行自主选择。
在“1”处,与计算资源网络102相关联的网络设备可以执行上下文感知SASE引擎120。在一些示例中,SASE引擎120可以部署在计算资源网络102中的各个位置,例如网络组件(即,网络控制器108、(一个或多个)主干交换机110、(一个或多个)叶交换机112、(一个或多个)节点112等)、与网络102相关联的端点126、和/或与网络102相关联的任何其他(一个或多个)设备和/或(一个或多个)节点。附加地或者替代地,SASE引擎120可以被配置为在与计算资源网络102相关联的网络组件的任何一个上执行的软件代理。例如,SASE引擎120可以部署在计算资源网络102的边缘节点114。在一些示例中,边缘节点114可以被配置成经由一个或多个网络130与一个或多个企业网络104通信。附加地或替代地,边缘节点114可以被配置为执行和/或维护SASE引擎120和/或安全简档数据存储122。在一些示例中,安全简档数据存储122可以包括端点表映射124,其中与边缘节点114相关联的端点可以映射到相应的安全简档(即,企业默认安全简档和/或定制端点安全简档)。
在一些示例中,在“2A”处,SASE引擎120可以从相关联的企业网络104接收数据,该数据表示与企业的特定边缘云和/或分支相关的默认安全简档和/或基本信息集。例如,企业网络104可以被配置为与SASE引擎120交换数据,并描述每个端点126、应用和/或租户应该接收的标准安全功能,描述与端点126相关联的流量模式,和/或告知SASE引擎120有关协商级别的信息。
附加地或者替代地,在“2B”处,SASE引擎120可以基于从端点126(1)接收的端点信息来生成与端点126(1)相关联的安全简档。例如,SASE引擎120可以从端点126(1)接收表示端点信息的数据132(1)。在一些示例中,端点信息可以包括特定于端点126(1)、在端点126(1)上执行的应用和/或与端点126(1)相关联的租户和/或用户的安全简档。
在“3”处,SASE引擎120然后可以利用默认安全简档和/或从企业网络104接收的附加数据来为与企业相关联并访问网络102的端点126(2)生成安全简档。SASE引擎还可以被配置为将安全简档存储在安全简档数据库122中,该安全简档数据库122包括在安全简档和端点126(2)之间的端点简档映射124。附加地或者替代地,SASE引擎120然后可以利用接收到的端点信息来生成与端点126(1)相关联并且特定于端点/应用/租户元组的端点特定安全简档。SASE引擎120还可以被配置为将安全简档存储在安全简档数据库122中,该安全简档数据库122包括在安全简档和端点126(1)之间的端点简档映射124。
另外,在“3”处,SASE引擎120可以基于与端点126相关联的各种安全简档和/或规则集来评估与端点126相关联的流量流。例如,SASE引擎120可以基于从指示从端点126(1)接收并与端点126(1)相关联的端点信息的数据132(1)生成的端点特定安全简档来评估与端点1 126(1)相关联的流量流。附加地或者替代地,SASE引擎120可以基于与端点126(2)相关联的安全简档和基于从企业网络104接收的默认安全简档来评估与端点N 126(2)相关联的流量流。附加地或者替代地,SASE引擎120可以被配置为通过将与端点126相关联的安全简档编译成可由网络102的附加网络设备(例如,附加网络边缘设备114、附加网络交换机110、112、在附加网络设备116上执行的计算资源118等)执行的格式来生成格式化的安全简档。SASE引擎120然后可以将格式化的安全简档发送到附加网络设备,其中,可以由附加网络设备评估与端点126相关的流量流。SASE引擎120可以通过评估执行SASE引擎120的网络设备上的流量流和/或通过评估执行SASE引擎120的附加相关联的网络设备上的流量流,将安全性作为服务交付给端点126。
图2示出了用于利用上下文感知SASE引擎120的示例流程200的系统架构图,该上下文感知SASE引擎120在与计算资源网络102相关联的网络边缘设备114上执行,以基于从访问网络的端点设备126(1)接收的并且特定于该端点设备126的端点信息和/或从企业网络104接收的安全功能的基本集合来生成安全简档。
在一些示例中,如本文所述,企业可以具有与计算资源网络102通信的企业网络104。这种企业可以具有经由一个或多个端点126访问计算资源网络102的各种用户128,例如用户设备。在这样的示例中,当新的端点126(1)经由计算资源网络102的网络边缘设备114连接到计算资源网络102时,与边缘节点114相关联的SASE引擎120可以被配置为以多种方式生成与端点126(1)相关联的安全简档。在一些示例中,SASE引擎120可以至少部分地基于从企业网络104接收的数据、与计算资源网络102相关联的默认安全简档、上下文端点信息和/或其任意组合来生成安全简档。附加地或替代地,SASE引擎120可以管理安全简档数据库122,该安全简档数据库122被配置为存储一个或多个安全简档和端点126(1)之间的端点简档映射124。
在“1”处,访问计算资源网络102的端点126(1)可以向与正在执行SASE引擎120的计算资源网络102相关联的网络边缘设备114发送包括端点、应用和/或用户特定SASE安全简档数据的端点信息。SASE引擎120可以基于从端点126(1)接收的端点信息来生成与端点126(1)相关联的安全简档。如前所述,端点信息可以包括特定于端点126(1)、在端点126(1)上执行的应用和/或与端点126(1)相关联的租户和/或用户128(1)的安全简档。附加地或者替代地,SASE引擎120然后可以利用接收到的端点信息来生成与端点126(1)相关联并且特定于端点/应用/租户元组的端点特定安全简档。SASE引擎120还可以被配置为将安全简档存储在安全简档数据库122中,该安全简档数据库122包括在(一个或多个)各种端点126和相关联的安全简档之间的端点简档映射124。
附加地或者替代地,SASE引擎120可以被配置为至少部分地基于与端点126(1)相关联的安全简档来评估与端点126(1)相关联的流量流。附加地或替代地,SASE引擎120可以被配置为基于与端点126(1)相关联的各种安全简档来评估与端点126(1)相关联的流量流,使得SASE引擎120可以被配置为基于与端点126(1)相关联的上下文数据、在端点126(1)上执行的应用、与端点126(1)相关联的租户和/或其任意组合,在与端点126(1)相关联的安全简档之间进行自主选择。可以基于从端点126(1)和/或企业网络104接收的数据为端点126(1)生成此类安全简档。例如,可以在访问计算资源网络102的端点126(1)和网络边缘设备114之间和/或与企业网络104相关联的企业网络设备和网络边缘设备114之间实现反馈回路。
在一些示例中,反馈环路可由端点126(1)、SASE引擎120和/或企业网络104利用,以维护相关联的端点126(1)、应用和/或用户128(1)的最高安全级别。例如,与企业网络104相关联的端点126(1)和/或企业网络设备可以被配置成将应用信息、安全漏洞信息和/或其他端点、应用和/或租户特定信息传送到SASE引擎120。关于图4A-7B给出了各种SASE安全简档示例。
在“2”处,SASE引擎120可以从端点126(1)接收与端点相关联的SASE能力。SASE能力可以被配置为意图,使得端点126(1)可以通过向SASE引擎120发送SASE能力来表达其对特定租户使用的特定应用的意图。一旦接收到,SASE引擎120然后可以确保由端点126(1)表达的意图可以被转化为可操作的安全能力,并向端点126(1)提供反馈,指定SASE引擎120可以提供的安全功能。响应于反馈,SASE引擎120可以接收对所提议的安全功能的接受或拒绝。在一些示例中,当端点126(1)拒绝所提议的安全功能时,端点126(1)可以随着拒绝向SASE引擎120发送额外的SASE能力,并且SASE引擎120可以重新考虑端点126(1)、应用和/或租户的意图。附加地或者替代地,当端点126(1)接受提议的安全功能时,SASE引擎120可以生成与端点126(1)相关联的规则集和/或附加安全简档。例如,SASE引擎120可以基于规则集和/或与端点126(1)相关联的先前存储的安全简档来生成附加安全简档。附加地或者替代地,除了安全简档之外,在评估与端点126(1)相关联的流量流期间,可以实施规则集。
在“3”处,SASE引擎120可以基于从与端点126(1)相关联的企业网络104接收的默认安全简档来生成与端点126(1)相关联的安全简档。例如,在确定连接到计算资源网络102的新端点126(1)时,SASE引擎120可以从与端点126(1)相关联的企业网络104的企业设备接收默认安全简档。在一些示例中,默认安全简档可以包括与特定边缘云和/或企业分支相关的一组基本信息。例如,企业网络104可以被配置为与SASE引擎120交换数据,并描述每个端点126、应用和/或租户应该接收的标准安全功能,描述与端点126相关联的流量模式,和/或告知SASE引擎120有关协商级别的信息。SASE引擎120然后可以利用默认安全简档和/或从企业网络104接收的附加数据来为端点126(1)生成安全简档。SASE引擎120还可以被配置为将安全简档存储在安全简档数据库122中,该安全简档数据库122包括端点126(1)和一个或多个相关联的端点安全简档之间的端点简档映射124。
附加地或者替代地,企业网络104可以向网络边缘设备114发送数据,指示例如适用于与企业网络104相关联并访问计算资源网络102的所有端点126(一个或多个)的企业特定端点信息。SASE引擎120可以利用企业特定端点信息来更新或以其他方式生成相关联端点126的附加安全简档,并根据从企业网络104接收的企业特定端点信息来评估此类端点126的流量流。
图3示出了在计算资源网络102中实现的反馈回路的示例流程图300,该流程图用于确定规则集以启用特定于端点126和/或企业网络104配置的SASE能力。
在302,计算资源网络102可以确定端点是否与企业相关联。在一些示例中,如果端点与企业相关联,则流程可以继续到304。附加地或者替代地,如果端点不与企业相关联,则流程可以继续到306。在一些示例中,当端点126访问计算资源网络102时,可以交换数据以确定端点126是否与企业相关联。在一些示例中,如果端点126与企业相关联,则计算资源网络102可以利用特定于端点126的企业模板SASE简档来评估与端点126相关联的流量流。在一些示例中,企业模板SASE简档可以从被包括在与企业相关联的企业网络104中的设备接收。附加地或者替代地,如果端点126不与企业相关联,计算资源网络102可以利用标准SASE模板简档来评估与端点126相关联的流量流。
在304,计算资源网络102可以确定与企业相关联的策略是否定义了与端点126相关联的用户128是否能够更新SASE安全简档。在一些示例中,如果策略指示用户128能够更新与端点126相关联的SASE安全简档,则流程可以继续到306。附加地或者替代地,如果策略指示用户不能更新与端点126相关联的SASE安全简档,则流程可以继续到308。
在306,端点126可以更新SASE安全简档以考虑用户和/或租户特定的安全能力。例如,端点126向SASE引擎120发送端点信息,包括端点、应用和/或用户特定的SASE安全简档数据。如前所述,端点信息可以包括特定于端点126、在端点126上执行的应用和/或与端点126相关联的租户和/或用户128的安全简档。
在308,计算资源网络102可以确定SASE引擎120是否由企业控制。在一些示例中,如果SASE引擎120由企业控制,则流程可以继续到310,并且与企业相关联的SASE引擎120可以解释接收到的SASE简档,并确定哪些能力可用于端点126和/或可以提供给端点126。附加地或者替代地,如果SASE引擎不受企业控制,则流程可以继续到312,并且公共云中的SASE引擎120可以解释由端点126提供的SASE简档。
在310,SASE引擎120可以定义安全能力并将这种安全能力返回到端点126以供接受。在一些示例中,SASE引擎120可以基于从端点126接收的端点信息来生成与端点126相关联的安全简档。例如,SASE引擎120可以利用接收到的端点信息来生成与端点126相关联并且特定于端点/应用/租户元组的端点特定安全简档。
在312,验证与端点126相关联的服务水平协议(SLA),并相应地确定安全能力。例如,与端点相关联的SLA可以指示第一级SLA和/或第二级SLA(尽管可以考虑任意数量的级别,并且第一和第二级在这里作为示例讨论)。在一些示例中,第一级SLA可以与第一组安全能力相关联,并且第二级SLA可以与第二组安全能力相关联。在一些示例中,第一组安全能力可以比第二组安全能力更有利(即,提供更多的安全能力和/或更有效的安全能力变化)。附加地或者替代地,第一级SLA和/或第二级SLA可以与溢价相关联,使得例如,第一级SLA可以是付费(或溢价)级SLA,而第二级SLA可以是免费(或试用)级SLA。一旦确定了与端点126相关联的SLA,就可以将提议的安全能力从SASE引擎120发送到端点126。
在314,端点126可以验证从SASE引擎120接收的所提议的安全能力,并且可以向SASE引擎120发送指示端点126是接受还是拒绝所提议的安全能力的数据。在一些示例中,如果端点126接受提议的安全能力,则流程可以继续到316,并且端点126可以向SASE引擎120发送确认。附加地或者替代地,如果端点126拒绝从SASE引擎120接收的所提议的安全能力,则流程可以继续到318,并且端点126可以继续与SASE引擎120交换数据以进一步协商安全能力。
在316,当端点126接受所提议的安全功能时,SASE引擎120可以生成与端点126相关联的规则集和/或附加安全简档。例如,SASE引擎120可以基于规则集和/或与端点126相关联的先前存储的安全简档来生成附加的安全简档。附加地或者替代地,除了安全简档之外,在评估与端点126相关联的流量流期间,可以实施规则集。
在318,如前所述,端点可以继续与SASE引擎120交换数据以进一步协商安全能力。在一些示例中,SASE引擎120可以向SASE安全简档添加和/或移除一个或多个提议的安全能力,并且可以将改变的SASE安全简档返回到端点126。例如,端点126可以与拒绝一起发送数据,该数据指示可能被反对的一个或多个提议的安全能力和/或期望的一个或多个安全能力以及从待定的提议的安全能力中省略的一个或多个安全能力。该过程可以继续,直到SASE引擎120从端点126接收到关于所提议的安全能力的接受。
图4A和4B共同示出了由SASE引擎120使用从端点接收的端点信息生成的示例性端点特定SASE安全简档400配置,以及由SASE引擎120使用从企业网络104接收的默认安全简档生成的示例性默认SASE安全简档410配置。
在一些示例中,特定于端点的SASE安全简档400可以向端点126、应用和/或用户128提供向SASE引擎120表达意图的能力,并且可以指示与特定于端点126、在端点126上执行的应用和/或与端点126相关联的用户128的安全简档相关联的安全能力。
附加地或者替代地,默认SASE安全简档410可以指示与企业和/或与端点126相关联的边缘云所需的默认安全简档410相关联的安全能力和/或指定流量路由的基本集合。
图5A和5B共同示出了没有版本感知的示例SASE安全简档配置500和具有版本感知的示例SASE安全简档配置510。
在一些示例中,端点126、SASE引擎120和/或企业网络104可以利用反馈环路来维护相关联的端点126、应用和/或用户128的最高安全级别。例如,端点126和/或企业网络设备104可以被配置成将应用信息、安全漏洞信息和/或其他端点126、应用和/或租户特定信息传送到SASE引擎120。
在一些示例中,这样的应用信息可以包括应用已经更新到新版本的指示,并且因此,应用可以需要比由相关联的安全简档提供的安全功能更多和/或更少的安全功能。例如,具有版本感知510的安全简档可以包括端点和/或应用的版本512的一个或多个指示,并且可以相应地实现相关联的安全能力。例如,具有版本感知510的单个安全简档可以包括当在端点126上执行应用的第一版本时要实施的一个或多个安全能力的指示,以及当在端点126上执行应用的第二版本时要实施的一个或多个第二安全能力的指示。附加地或者替代地,可以实现一个或多个没有版本感知的安全简档500,以实施对应于各种应用版本的各种安全能力。
图6A-图6C示出了示例性默认SASE安全简档配置600、具有针对常见漏洞的动态调整的示例性SASE安全简档配置610、以及具有针对受攻击影响的端点的动态调整的示例性SASE安全简档配置620。
在一些示例中,默认SASE安全简档600可以指示与企业和/或与端点126相关联的边缘云所需的默认安全简档600相关联的安全能力和/或指定流量路由的基本集合。
附加地或者替代地,具有针对常见漏洞的动态调整的SASE安全简档配置610可以包括一个或多个默认SASE安全简档600能力。附加地或者替代地,具有针对常见漏洞的动态调整的SASE安全简档配置610可以包括常见漏洞612的一个或多个指示。公共漏洞612的每个指示可以包括一个或多个安全能力,这些安全能力可以通过对公共漏洞610的动态调整来帮助绕过由SASE安全简档配置所指示的公共漏洞612。可以使用通过本文讨论的反馈回路传输的数据来生成具有针对公共漏洞的动态调整的SASE安全简档配置610。
附加地或者替代地,具有针对受攻击620影响的端点的动态调整的SASE安全简档配置可以包括多个默认SASE安全简档600能力中的一个。附加地或者替代地,具有针对受攻击620影响的端点的动态调整的SASE安全简档配置可以包括端点特定攻击622的一个或多个指示。端点特定攻击622的每个指示可以减少由SASE安全简档配置指示的正在进行的端点特定攻击622的影响,并对受攻击620影响的端点进行动态调整。可以使用通过本文讨论的反馈回路传输的数据来生成具有针对受攻击620影响的端点的动态调整的SASE安全简档配置。
图7A和图7B共同示出了没有物联网感知700的示例SASE安全简档配置和具有物联网感知710的示例SASE安全简档配置。
在一些示例中,没有物联网感知的SASE安全简档配置700可以包括要针对端点126、应用和/或用户128实施的一组安全能力。在一些示例中,没有物联网感知的SASE安全简档配置700可以包括图1-图6C所述的SASE安全简档所包含的一个或多个安全能力。附加地或者替代地,没有物联网感知的SASE安全简档配置700可以实现相同的安全能力,而不考虑端点126访问的边缘云。
附加地或者替代地,具有物联网感知的SASE安全简档配置710可以包括要针对端点126、应用、用户128和/或由端点126访问的边缘云实施的一组安全能力。在一些示例中,具有物联网感知的SASE安全简档配置710可以包括图1-图6C所述的SASE安全简档所包含的一个或多个安全能力。附加地或者替代地,具有物联网感知的SASE安全简档配置710可以包括所需和/或可选安全能力712的指示。在一些示例中,具有物联网感知的SASE安全简档配置710可以实现所需的安全能力,而不考虑由端点126访问的边缘云和/或取决于由端点126访问的边缘云的可选安全能力。这确保了在边缘云之间的迁移和/或协商期间,始终实施必备的安全措施,并在适当的时候实施边缘云特定的安全措施。
图8、图9和图10示出了示例方法800、900和1000的流程图,并且示出了如图1和图2所描述的由计算资源网络102至少部分地执行的功能的各个方面。这里关于图8、9和10描述的逻辑操作可以被实现为:(1)在计算系统上运行的计算机实现的动作或程序模块的序列和/或(2)作为计算系统内互连的机器逻辑电路或电路模块。在一些示例中,(一个或多个)方法800、900和1000可以由包括一个或多个处理器和一个或多个存储计算机可执行指令的非暂时性计算机可读介质的系统来执行,这些指令当由一个或多个处理器执行时,使一个或多个处理器执行(一个或多个)方法800、900和1000。
本文所描述的各种组件的实施方式是取决于计算系统的性能和其他要求的选择问题。因此,本文描述的逻辑操作被不同地称为操作、结构设备、动作或模块。这些操作、结构器件、动作和模块可以在软件、固件、专用数字逻辑以及它们的任意组合中实现。还应该理解,可以执行比图8、图9和图10所示并本文描述的更多或更少的操作。这些操作也可以并行执行,或者以不同于本文所述的顺序执行。这些操作中的一些或全部也可以由那些特定标识的组件之外的组件来执行。尽管本公开中描述的技术是关于特定组件的,但是在其他示例中,这些技术可以由更少的组件、更多的组件、不同的组件或组件的任何配置来实现。
图8示出了用于上下文感知SASE引擎120的示例方法800的流程图,该上下文感知SASE引擎120在与计算资源网络102相关联的网络边缘设备114上执行,以基于从访问网络102的端点设备126接收的并且特定于该端点设备126的端点信息来生成安全简档,并且使用安全简档来评估来自端点设备126的流量流。
在802,方法800可以包括在网络的边缘网络设备上执行边缘安全组件。在一些示例中,边缘安全组件可以被配置为SASE引擎120,如关于图1-图7B所描述的。附加地或者替代地,边缘网络设备可以被配置为网络边缘节点114,如图1-图7B所述。附加地或者替代地,网络可以被配置为计算资源网络102和/或企业网络104,如图1-图7B所述。
在804,方法800可以包括从访问网络的端点设备接收端点信息。在一些示例中,端点设备可以被配置为(一个或多个)端点126,如图1-图7B所述。附加地或者替代地,端点信息可以包括关于图1-图7B描述的数据132。
在806,方法800可以包括至少部分地基于端点信息生成与端点设备相关联的安全简档。在一些示例中,生成安全简档可以包括本文参照图1-图7B描述的任何安全简档生成技术。附加地或替代地,安全简档可以被配置为但不限于如图4A-图7B所描述的示例性安全简档。
在808,方法800可以包括使用安全简档评估来自端点设备的流量流。在一些示例中,评估来自端点设备的流量流可以包括本文参照图1-图7B描述的任何评估技术。
附加地或者替代地,方法800可以包括从访问网络的端点设备接收意图。在一些示例中,意图可以指示与端点设备、与端点设备相关联的应用和/或与端点设备相关联的租户中的至少一个相关联的安全细节。附加地或者替代地,方法800可以包括识别与意图相关联的安全能力。附加地或替代地,将安全能力发送到端点设备。
附加地或者替代地,方法800可以包括从端点设备接收对安全能力的接受。附加地或替代地,方法800可以包括生成与端点设备相关联的规则集。在一些示例中,规则集可以被配置为启用端点设备的安全能力。附加地或者替代地,方法800可以包括使用规则集评估来自端点设备的流量流。
附加地或者替代地,方法800可以包括通过将安全简档编译成可由网络的附加边缘网络设备执行的格式来生成格式化的安全简档。附加地或替代地,方法800可以包括将格式化的安全简档发送到附加的边缘网络设备。附加地或替代地,方法800可以包括由附加边缘网络设备使用安全简档评估来自端点设备的流量流。
在一些示例中,使用安全简档评估来自端点设备的流量流可以包括通过边缘安全组件或边缘网络设备中的至少一个来评估流量流。
附加地或者替代地,方法800可以包括至少部分地基于评估来允许来自端点设备的流量流。附加地或者替代地,方法800可以包括至少部分地基于评估来拒绝来自端点设备的流量流。
在一些示例中,端点设备可以与与网络相关联的企业相关联。附加地或者替代地,方法800可以包括识别与端点设备相关联的第一服务水平协议。在一些示例中,第一服务水平协议可以指示与企业相关联的第一安全能力。附加地或替代地,方法800可以包括识别与与企业相关联的附加端点设备相关联的第二服务水平协议并访问网络。在一些示例中,第二服务级别协议可以指示与企业相关联的第二安全能力。附加地或者替代地,第一安全能力可以比第二安全能力更有利。附加地或者替代地,方法800可以包括至少部分地基于第一安全能力来评估来自端点设备的流量流。附加地或者替代地,方法800可以包括至少部分地基于第二安全能力来评估来自附加端点设备的附加流量流。
图9示出了用于上下文感知SASE引擎120的示例方法900的流程图,该上下文感知SASE引擎120在与计算资源网络102相关联的网络边缘设备114上执行,以基于从与企业网络104相关联的设备接收的默认安全简档来生成安全简档,并使用该安全简档来评估来自访问网络102的端点设备126的流量流。
在902,方法900可以包括在网络的边缘网络设备上执行边缘安全组件。在一些示例中,边缘安全组件可以被配置为SASE引擎120,如关于图1-图7B所描述的。附加地或者替代地,边缘网络设备可以被配置为网络边缘节点114,如图1-图7B所述。附加地或者替代地,网络可以被配置为计算资源网络102和/或企业网络104,如图1-7B所述。
在904,方法900可以包括从与网络相关联的企业设备接收默认安全简档。在一些示例中,默认安全简档可以包括一组默认的安全功能。在一些示例中,默认安全简档可以被配置为如图1-图7B所述的默认安全简档。附加地或者替代地,企业设备可以与企业网络104相关联,如关于图1-图7B所描述的。
在906,方法900可以包括至少部分地基于默认安全简档生成与访问网络的端点设备相关联的安全简档。在一些示例中,端点设备可以被配置为如图1-图7B所述的(一个或多个)端点设备。在一些示例中,生成安全简档可以包括本文参照图1-图7B描述的任何安全简档生成技术。附加地或替代地,安全简档可以被配置为但不限于如图4A-图7B所描述的示例性安全简档中的任何一个。
在908,方法900可以包括使用安全简档评估来自端点设备的流量流。在一些示例中,评估来自端点设备的流量流可以包括本文参照图1-7B描述的任何评估技术。
附加地或者替代地,方法900可以包括从端点设备接收端点信息。附加地或者替代地,方法900可以包括至少部分地基于端点信息生成与访问网络的端点设备相关联的附加安全简档。附加地或者替代地,方法900可以包括使用附加的安全简档来评估来自端点设备的流量流。
附加地或者替代地,方法900可以包括从访问网络的端点设备接收意图。在一些示例中,意图可以指示与端点设备、与端点设备相关联的应用程序或与端点设备相关联的租户中的至少一个相关联的安全细节。附加地或者替代地,方法900可以包括识别与意图相关联的安全能力。附加地或替代地,方法900可以包括向端点设备发送安全能力。附加地或替代地,方法900可以包括从端点设备接收对安全能力的接受。附加地或替代地,方法900可以包括生成与端点设备相关联的规则集。在一些示例中,规则集可以被配置为启用端点设备的安全能力。附加地或者替代地,方法900可以包括使用规则集评估来自端点设备的流量流。
附加地或者替代地,方法900可以包括至少部分地基于评估来允许来自端点设备的流量流。附加地或者替代地,方法900可以包括至少部分基于评估来拒绝来自端点设备的流量流。
附加地或者替代地,方法900可以包括通过将安全简档编译成可由网络的附加边缘网络设备执行的格式来生成格式化的安全简档。附加地或替代地,方法900可以包括将格式化的安全简档发送到附加的边缘网络设备。附加地或替代地,方法900可以包括由边缘网络设备、附加边缘网络设备和/或边缘安全组件中的至少一个使用安全简档来评估来自端点设备的流量流。
图10示出了用于上下文感知SASE引擎120的示例方法1000的流程图,该上下文感知SASE引擎120在与计算资源网络102相关联的网络边缘设备114上执行,以生成特定于访问网络102的端点设备126的安全简档,并使用该安全简档来评估来自端点设备126的流量流。
在1002,方法1000可以包括在网络的边缘网络设备上执行边缘安全组件。在一些示例中,边缘安全组件可以被配置为SASE引擎120,如关于图1-7B所描述的。附加地或者替代地,边缘网络设备可以被配置为网络边缘节点114,如图1-图7B所述。附加地或者替代地,网络可以被配置为计算资源网络102和/或企业网络104,如图1-图7B所述。
在1004,方法1000可以包括生成与访问网络的端点设备相关联的安全简档。在一些示例中,可以至少部分地基于从端点设备接收的端点信息来生成安全简档。附加地或替代地,可以至少部分地基于从与企业相关联的企业设备接收的默认安全简档来生成安全简档。在一些示例中,端点设备可以被配置为如图1-7B所述的端点设备。在一些示例中,生成安全简档可以包括本文参照图1-7B描述的任何安全简档生成技术。附加地或替代地,安全简档可以被配置为但不限于如图4A-7B所描述的示例性安全简档中的任何一个。
在1006,方法1000可以包括使用安全简档评估来自端点设备的流量流。在一些示例中,评估来自端点设备的流量流可以包括本文参照图1-7B描述的任何评估技术。
附加地或者替代地,方法1000可以包括从访问网络的端点设备接收端点信息。附加地或者替代地,方法1000可以包括至少部分基于端点信息生成与端点设备相关联的安全简档。
附加地或者替代地,方法1000可以包括从与网络相关联的企业设备接收默认安全简档,所述默认安全简档包括安全功能的默认集合。附加地或者替代地,方法1000可以包括至少部分基于默认安全简档来生成与端点设备相关联的安全简档。
附加地或者替代地,方法1000可以包括从访问网络的端点设备接收意图。在一些示例中,意图可以指示以下项:与端点设备中的至少一者相关联的安全细节、与端点设备相关联的应用、或与端点设备相关联的租户。附加地或者替代地,方法1000可以包括识别与意图相关联的安全能力。附加地或替代地,方法1000可以包括向端点设备发送安全能力。
附加地或者替代地,方法1000可以包括从端点设备接收对安全能力的接受。附加地或替代地,方法1000可以包括生成与端点设备相关联的规则集。在一些示例中,规则集可以被配置为启用端点设备的安全能力。附加地或者替代地,方法1000可以包括使用规则集评估来自端点设备的流量流。附加地或者替代地,方法1000可以包括通过将安全简档编译成可由网络的附加边缘网络设备执行的格式来生成格式化的安全简档。附加地或替代地,方法1000可以包括将格式化的安全简档发送到附加的边缘网络设备。附加地或替代地,方法1000可以包括由附加边缘网络设备使用安全简档评估来自端点设备的流量流。
在一些示例中,使用安全简档评估来自端点设备的流量流可以包括通过边缘安全组件或边缘网络设备中的至少一个来评估流量流。
附加地或者替代地,方法1000可以包括至少部分地基于评估来允许来自端点设备的流量流。附加地或者替代地,方法1000可以包括至少部分基于评估来拒绝来自端点设备的流量流。
图11是示出了数据中心1100的配置的计算系统图,该配置可用于实现本文公开的技术的各个方面。图11中所示的示例数据中心1100包括用于提供计算资源的若干服务器计算机1102A-1102E(在本文中可以被单数地称为“服务器计算机1102”或被复数地称为“服务器计算机1102”)。在一些示例中,服务器计算机1102可以包括或对应于本文参考图1所描述的服务器。
服务器计算机1102可以是为提供本文所描述的计算资源而适当配置的标准塔式、机架式或刀片服务器计算机。如上所述,由计算资源网络102提供的计算资源可以是数据处理资源,例如VM实例或硬件计算系统、数据库集群、计算集群、存储集群、数据存储资源、数据库资源、联网资源等。一些服务器1102中还可以被配置为执行资源管理器,该资源管理器能够实例化和/或管理计算资源。例如,在VM实例的情况下,资源管理器可以是虚拟机管理程序或被配置成能够在单个服务器计算机1102上执行多个VM实例的另一类型的程序。数据中心1100中的服务器计算机1102也可以被配置成提供网络服务和其他类型的服务。
在图11所示的示例数据中心1100中,还利用适当的LAN 1108来互连服务器计算机1102A-1102E。应当理解,本文描述的配置和网络拓扑已经被大大简化,并且可以利用更多的计算系统、软件组件、网络和联网设备来互连本文公开的各种计算系统并提供上述功能。还可以利用适当的负载平衡设备或其他类型的网络基础设施组件来平衡数据中心1100之间、每个数据中心1100中的每个服务器计算机1102A-1102E之间以及潜在地在每个服务器计算机1102中的计算资源之间的负载。应当理解,参考图11描述的数据中心1100的配置仅仅是说明性的,并且可以使用其他实施方式。
在一些示例中,服务器计算机1102可以各自执行跨服务器1102的集合或集群配置的一个或多个基于计算的解决方案112和/或SASE引擎120。每个服务器计算机1102上的基于计算的解决方案112可以支持单个应用或服务,或者多个应用或服务(对于一个或多个用户)。
在一些实例中,计算资源网络102可以永久地或按需地提供计算资源,如应用容器、VM实例和存储。在其他类型的功能中,由计算资源网络102提供的计算资源可以用于实现上述各种服务。由计算资源网络102提供的计算资源可以包括各种类型的计算资源,例如诸如应用容器和VM实例的数据处理资源、数据存储资源、网络资源、数据通信资源、网络服务等。
由计算资源网络102提供的每种类型的计算资源可以是通用的,或者可以在许多特定配置中可用。例如,数据处理资源可以以多种不同配置的形式用作物理计算机或VM实例。。VM实例可以被配置为执行应用,这些应用包括web服务器、应用服务器、媒体服务器、数据库服务器、上述网络服务中的一些或全部、和/或其他类型的程序。数据存储资源可以包括文件存储设备、块存储设备等。计算资源网络102还可以被配置为提供本文未具体提及的其他类型的计算资源。
在一个实施例中,由计算资源网络102提供的计算资源可以由一个或多个数据中心1100(在本文中可以被单数地称为“数据中心1100”或被复数地称为“数据中心1100”)启用。数据中心1100是用于容纳和操作计算机系统和相关组件的设施。数据中心1100通常包括冗余和备用电源、通信、冷却和安全系统。数据中心1100也可以位于地理上不同的位置。下面将参照图11描述可用于实现本文公开的技术的数据中心1100的一个说明性实施例。
图12示出了能够执行用于实现上述功能的程序组件的计算设备(或网络交换机)1102的示例计算机架构。图12所示的计算机架构示出了传统的服务器计算机、工作站、台式计算机、笔记本电脑、平板电脑、网络设备、电子阅读器、智能手机或其他计算设备,并且可以用于执行本文所呈现的任何软件组件。在一些示例中,计算设备1102可以对应于本文参照图1描述的物理服务器116。
计算设备1102包括基板1202,或“主板”,它是印刷电路板,许多组件或设备可以通过系统总线或其他电通信路径连接到该基板1202。在一个说明性配置中,一个或多个中央处理单元(“CPU”)1204结合芯片组1206一起操作。CPU 1204可以是标准的可编程处理器,它执行计算设备1102的操作所必需的算术和逻辑操作。
CPU 1204通过从一个离散的物理状态转变到下一个状态来执行操作,其中状态转变是通过对区分和改变这些状态的切换元件的操纵来实现的。切换元件一般包括维持两个二元状态之一的电子电路,例如触发器,以及基于一个或多个其他切换元件的状态的逻辑组合来提供输出状态的电子电路,例如逻辑门。这些基本的切换元件可以被组合以创建更复杂的逻辑电路,包括寄存器、加减器、算术逻辑单元、浮点单元,等。
芯片组1206在CPU 1204和基板1202上的其余组件和设备之间提供了接口。芯片组1206可以提供与RAM 1208的接口,该RAM被用作计算设备1102中的主存储器。芯片组1206可以进一步提供与计算机可读存储介质的接口,所述介质例如是只读存储器(read-onlymemory,“ROM”)1210或者非易失性RAM(non-volatile RAM,“NVRAM”),用于存储有助于启动计算设备1102和在各种组件和设备之间传送信息的基本例程。ROM 1210或NVRAM还可以存储根据本文描述的配置进行的计算设备1102的操作所必需的其他软件组件。
计算设备1102可以在联网环境中操作,使用通过网络(例如,网络1216)与远程计算设备和计算机系统的逻辑连接。芯片组1206可以包括用于通过NIC 1212(例如千兆以太网适配器)来提供网络连通性的功能。NIC 1212能够通过网络1226(或138)将计算设备1102连接到其它计算设备。应当理解,计算设备1102中可以存在多个NIC 1212,将计算机连接到其他类型的网络和远程计算机系统。
计算设备1102可以连接到为计算设备1102提供非易失性存储的存储设备1218。存储设备1218可以存储操作系统1220、程序1222和数据,这些在本文中已经被更详细地描述。存储设备1218可以通过与芯片组1206相连接的存储控制器1214来连接到计算设备1102。存储设备1218可以由一个或多个物理存储单元组成。存储控制器1214可以通过串行附接SCSI(serial attached SCSI,“SAS”)接口、串行先进技术附件(serial advanced technologyattachment,“SATA”)接口、光纤通道(fiber channel,“FC”)接口或者其他类型的用于在计算机和物理存储单元之间物理连接和传送数据的接口与物理存储单元相对接。
计算设备1102可以通过变换物理存储单元的物理状态以反映被存储的信息,从而在存储设备1218上存储数据。在本说明书的不同实施例中,物理状态的具体变换可以取决于各种因素。这种因素的示例可包括但不限于用于实现物理存储单元的技术、存储设备1218是被表征为主存储还是次存储,等等。
例如,计算设备1102可以通过如下方式来将信息存储到存储设备1218:通过存储控制器1214发出指令以更改磁盘驱动单元内的特定位置的磁特性、光学存储单元中的特定位置的反射或折射特性、或者固态存储单元中的特定电容器、晶体管或者其他分立组件的电特性。在不偏离本说明书的范围和精神的情况下,物理介质的其他变换是可能的,提供前述示例只是为了方便本说明书。计算设备1102还可以通过检测物理存储单元内的一个或多个特定位置的物理状态或者特性,进一步从存储设备1218读取信息。
除了上述的大容量存储设备1218以外,计算设备1102还可以访问其他计算机可读存储介质以存储和取回信息,例如程序模块、数据结构或者其他数据。本领域的技术人员应当明白,计算机可读存储介质是提供数据的非暂时性存储并且可以由计算设备1102访问的任何可用介质。在一些示例中,由环境100中的各种组件执行的操作可以由一个或多个类似于计算机700的一个或多个设备支持。换句话说,由计算资源网络102和/或其中包括的任何组件执行的一些或所有操作,可以由在基于云的布置中操作的一个或多个计算机设备1102执行。
作为示例,而不是限制,计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移除和不可移除的介质。计算机可读存储介质包括但不限于RAM、ROM、可擦除可编程ROM(erasable programmable ROM,“EPROM”)、电可擦除可编程ROM(electrically-erasable programmable ROM,“EEPROM”)、闪存或者其他固态存储器技术、致密盘ROM(compact disc ROM,“CD-ROM”)、数字多功能光盘(digital versatiledisk,“DVD”)、高清晰度DVD(high definition DVD,“HD-DVD”)、BLU-RAY或者其他光学存储、盒式磁带、磁带、磁盘存储或者其他磁性存储设备、或者任何其他可用于以非暂时性方式存储所需信息的介质。
如上所述,存储设备1218可以存储被利用来控制计算设备1102的操作的操作系统1220。根据一个实施例,该操作系统包括LINUX操作系统。根据另一实施例,该操作系统包括来自华盛顿州雷德蒙的MICROSOFT公司的SERVER操作系统。根据另外的实施例,该操作系统可以包括UNIX操作系统或者其变体之一。应当明白,也可以利用其他操作系统。存储设备1218可以存储由计算设备1102利用的其他系统或者应用程序和数据。
在一个实施例中,存储设备1218或者其他计算机可读存储介质被编码有计算机可执行指令,这些指令在被加载到计算设备1102中时,将计算机从通用计算系统变换为能够实现本文描述的实施例的专用计算机。如上所述,这些计算机可执行指令通过指定CPU1204如何在状态之间转变来变换计算设备1102。根据一个实施例,计算设备1102能够访问存储计算机可执行指令的计算机可读存储介质,这些指令在被计算设备1102执行时,执行上文关于图1至图10描述的各种过程。计算设备1102还可以包括计算机可读存储介质,该介质上存储有用于执行本文描述的任何其他由计算机实现的操作的指令。
计算设备1102还可包括一个或多个输入/输出控制器1216,用于接收和处理来自若干个输入设备的输入,例如键盘、鼠标、触摸板、触摸屏、电子手写笔、或者其他类型的输入设备。类似地,输入/输出控制器1216可以向显示器提供输出,例如计算机监视器、平板显示器、数字投影仪、打印机、或者其他类型的输出设备。将会明白,计算设备1102可能不包括图11中所示的所有组件,可包括图11中没有明确示出的其他组件,或者可能利用与图11中所示完全不同的架构。
服务器计算机1102可以支持虚拟化层1024,例如在服务器计算机1102上执行的一个或多个基于计算的解决方案112。在一些示例中,虚拟化层1024可以由虚拟机管理程序支持,该虚拟机管理程序提供在服务器计算机1102上运行的一个或多个虚拟机来执行本文所描述的功能。虚拟化层1024通常可以支持执行本文描述的技术的至少部分的虚拟资源。网络边缘交换机114可以支持在其上执行的SASE引擎120,SASE引擎120和/或网络边缘交换机114可以发送和接收各种数据并将其提供给组件。例如,SASE引擎120可以从端点126接收端点信息和/或从与端点126相关联的企业网络104接收默认安全简档。SASE引擎120可以基于接收到的数据生成端点特定安全简档,并且可以至少部分地基于与端点126相关联的一个或多个端点特定安全简档来评估与端点126相关联的(一个或多个)流量流。附加地或者替代地,可以在SASE引擎120、端点设备126和/或企业网络104之间交换数据,以实现反馈回路,从而确保根据需要应用必要的安全功能。
总之,描述了用于上下文感知安全访问服务边缘(SASE)引擎的技术,该引擎用于生成与访问网络的(一个或多个)端点设备相关联的(一个或多个)安全简档,并使用(一个或多个)安全简档来评估来自(一个或多个)端点设备的流量流。SASE引擎可以在计算资源网络的边缘设备上执行,并且可以被配置为维护包括端点安全简档映射的安全简档数据库。访问网络的(一个或多个)端点设备可以与SASE引擎共享端点、应用和/或用户特定信息,使得SASE引擎可以生成特定于端点、应用和/或用户的安全简档。此外,与访问网络的(一个或多个)端点设备相关联的企业网络可以向SASE引擎提供默认的SASE安全简档模板。进一步地,可以在SASE引擎和(一个或多个)端点设备之间建立反馈回路,使得SASE引擎具有自主和动态更新安全简档的能力。
虽然是针对具体示例来描述本发明的,但要理解,本发明的范围并不限于这些具体示例。由于为适应特定的操作要求和环境而进行的其他修改和变化对于本领域的技术人员而言是显而易见的,因此本发明不被认为限于为公开目的而选择的示例,并且覆盖了所有不构成偏离本发明的真正精神和范围的变化和修改。
虽然本申请描述了具有具体结构特征和/或方法动作的实施例,但要理解,权利要求书不一定限于所描述的具体特征或动作。更确切地说,具体特征和动作只是说明了属于本申请的权利要求的范围内的一些实施例。
Claims (25)
1.一种方法,包括:
在网络的网络设备上执行安全组件;
从访问所述网络的端点设备接收端点信息;
至少部分地基于所述端点信息生成与所述端点设备相关联的安全简档;以及
使用所述安全简档评估来自所述端点设备的流量流。
2.根据权利要求1所述的方法,还包括:
从所述端点设备接收访问所述网络的意图,所述意图指示以下项:与所述端点设备中的至少一者相关联的安全细节、与所述端点设备相关联的应用、或与所述端点设备相关联的租户;
识别与所述意图相关联的安全能力;以及
将所述安全能力发送到所述端点设备。
3.根据权利要求2所述的方法,还包括:
从所述端点设备接收对所述安全能力的接受;
生成与所述端点设备相关联的规则集,所述规则集被配置为针对所述端点设备启用所述安全能力;以及
使用所述规则集评估来自所述端点设备的所述流量。
4.根据权利要求1至3中任一项所述的方法,还包括:
通过将所述安全简档编译成可由所述网络的附加网络设备执行的格式来生成格式化的安全简档;
向所述附加网络设备发送所述格式化的安全简档;以及
由所述附加网络设备使用所述安全简档来评估来自所述端点设备的所述流量流。
5.根据权利要求1至4中任一项所述的方法,其中,使用所述安全简档评估来自所述端点设备的所述流量流包括:通过所述安全组件或所述网络设备中的至少一者来评估所述流量流。
6.根据权利要求1至5中任一项所述的方法,还包括:
至少部分地基于所述评估来允许来自所述端点设备的所述流量流;或
至少部分地基于所述评估来拒绝来自所述端点设备的所述流量流。
7.根据权利要求1至6中任一项所述的方法,其中,所述端点设备与与所述网络相关联的企业相关联,并且所述方法还包括:
识别与所述端点设备相关联的第一服务水平协议,所述第一服务水平协议指示与所述企业相关联的第一安全能力;
识别与与所述企业相关联的附加端点设备相关联的第二服务水平协议并访问所述网络,所述第二服务水平协议指示与所述企业相关联的第二安全能力,其中,所述第一安全能力比所述第二安全能力更有利;
至少部分地基于所述第一安全能力来评估来自所述端点设备的所述流量流;以及
至少部分地基于所述第二安全能力来评估来自所述附加端点设备的附加流量流。
8.一种方法,包括:
在网络的网络设备上执行安全组件;
从与所述网络相关联的企业设备接收默认安全简档,所述默认安全简档包括一组默认安全功能;
至少部分地基于所述默认安全简档生成与访问所述网络的端点设备相关联的安全简档;以及
使用所述安全简档评估来自所述端点设备的流量流。
9.根据权利要求8所述的方法,还包括:
从所述端点设备接收端点信息;
至少部分地基于所述端点信息生成与访问所述网络的所述端点设备相关联的附加安全简档;以及
使用所述附加安全简档评估来自所述端点设备的所述流量流。
10.根据权利要求8或9所述的方法,还包括:
从所述端点设备接收访问所述网络的意图,所述意图指示以下项:与所述端点设备中的至少一者相关联的安全细节、与所述端点设备相关联的应用、或与所述端点设备相关联的租户;
识别与所述意图相关联的安全能力;
将所述安全能力发送到所述端点设备;
从所述端点设备接收对所述安全能力的接受;
生成与所述端点设备相关联的规则集,所述规则集被配置为针对所述端点设备启用所述安全能力;以及
使用所述规则集评估来自所述端点设备的所述流量。
11.根据权利要求8至10中任一项所述的方法,还包括:
至少部分地基于所述评估来允许来自所述端点设备的所述流量流;或
至少部分地基于所述评估来拒绝来自所述端点设备的所述流量流。
12.根据权利要求8至11中任一项所述的方法,还包括:
通过将所述安全简档编译成可由所述网络的附加网络设备执行的格式来生成格式化的安全简档;
向所述附加网络设备发送所述格式化的安全简档;以及
使用所述安全简档通过以下项中的至少一项来评估来自所述端点设备的所述流量流:
所述网络设备;
所述附加网络设备;或
所述安全组件。
13.一种系统,包括:
一个或多个处理器;以及
存储计算机可执行指令的一个或多个计算机可读介质,所述指令当由所述一个或多个处理器执行时,使所述一个或多个处理器执行操作,所述操作包括:
在网络的网络设备上执行安全组件;
生成与访问所述网络的端点设备相关联的安全简档;以及
使用所述安全简档评估来自所述端点设备的流量流。
14.根据权利要求13所述的系统,所述操作还包括:
从访问所述网络的所述端点设备接收端点信息;以及
至少部分地基于所述端点信息生成与所述端点设备相关联的所述安全简档。
15.根据权利要求13或14所述的系统,所述操作还包括:
从与所述网络相关联的企业设备接收默认安全简档,所述默认安全简档包括一组默认安全功能;以及
至少部分地基于所述默认安全简档生成与访问所述网络的端点设备相关联的安全简档。
16.根据权利要求13至15中任一项所述的系统,所述操作还包括:
从所述端点设备接收访问所述网络的意图,所述意图指示以下项:与所述端点设备中的至少一者相关联的安全细节、与所述端点设备相关联的应用、或与所述端点设备相关联的租户;
识别与所述意图相关联的安全能力;以及
将所述安全能力发送到所述端点设备。
17.根据权利要求16所述的系统,所述操作还包括:
从所述端点设备接收对所述安全能力的接受;
生成与所述端点设备相关联的规则集,所述规则集被配置为针对所述端点设备启用所述安全能力;以及
使用所述规则集评估来自所述端点设备的所述流量。
18.根据权利要求13至17中任一项所述的系统,所述操作还包括:
通过将所述安全简档编译成可由所述网络的附加网络设备执行的格式来生成格式化的安全简档;
向所述附加网络设备发送所述格式化的安全简档;以及
由所述附加网络设备使用所述安全简档来评估来自所述端点设备的所述流量流。
19.根据权利要求13至18中任一项所述的系统,其中,使用所述安全简档评估来自所述端点设备的所述流量流包括:通过所述安全组件或所述网络设备中的至少一者来评估所述流量流。
20.根据权利要求13至19中任一项所述的系统,所述操作还包括:
至少部分地基于所述评估来允许来自所述端点设备的所述流量流;或
至少部分地基于所述评估来拒绝来自所述端点设备的所述流量流。
21.一种装置,包括:
用于在网络的网络设备上执行安全组件的模块;
用于从访问所述网络的端点设备接收端点信息的模块;
用于至少部分地基于所述端点信息生成与所述端点设备相关联的安全简档的模块;以及
用于使用所述安全简档评估来自所述端点设备的流量流的模块。
22.根据权利要求21所述的设备,还包括用于实现根据权利要求2至7中任一项所述的方法的模块。
23.一种装置,包括:
用于在网络的网络设备上执行安全组件的模块;
用于从与所述网络相关联的企业设备接收默认安全简档的模块,所述默认安全简档包括一组默认安全功能;
用于至少部分地基于所述默认安全简档生成与访问所述网络的端点设备相关联的安全简档的模块;以及
用于使用所述安全简档评估来自所述端点设备的流量流的模块。
24.根据权利要求23所述的装置,还包括用于实现根据权利要求9至12中任一项所述的方法的模块。
25.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令当由计算机执行时,使所述计算机执行根据权利要求1至12中任一项的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/219,157 US11979375B2 (en) | 2021-03-31 | 2021-03-31 | Context-aware secure access service edge (SASE) engine |
| US17/219,157 | 2021-03-31 | ||
| PCT/US2022/022563 WO2022212515A1 (en) | 2021-03-31 | 2022-03-30 | Context-aware secure access service edge (sase) engine |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117099344A true CN117099344A (zh) | 2023-11-21 |
Family
ID=81389010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280026626.2A Pending CN117099344A (zh) | 2021-03-31 | 2022-03-30 | 上下文感知安全访问服务边缘(sase)引擎 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11979375B2 (zh) |
| EP (1) | EP4315749A1 (zh) |
| CN (1) | CN117099344A (zh) |
| WO (1) | WO2022212515A1 (zh) |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US9942385B2 (en) | 2011-08-04 | 2018-04-10 | International Business Machines Corporation | System and method for preventing and/or limiting use of a mobile device |
| US9027076B2 (en) | 2012-03-23 | 2015-05-05 | Lockheed Martin Corporation | Method and apparatus for context aware mobile security |
| WO2015103338A1 (en) * | 2013-12-31 | 2015-07-09 | Lookout, Inc. | Cloud-based network security |
| US10171484B2 (en) | 2016-08-30 | 2019-01-01 | International Business Machines Corporation | Securing services in a networked computing environment |
| US10129269B1 (en) | 2017-05-15 | 2018-11-13 | Forcepoint, LLC | Managing blockchain access to user profile information |
| US20180351806A1 (en) | 2017-05-31 | 2018-12-06 | Cisco Technology, Inc. | Intent specification checks for inconsistencies |
| US20190215308A1 (en) * | 2018-01-05 | 2019-07-11 | FeyziLogic Co. | Selectively securing a premises network |
| US11831658B2 (en) | 2018-01-22 | 2023-11-28 | Nuix Limited | Endpoint security architecture with programmable logic engine |
| US11245702B2 (en) | 2019-05-08 | 2022-02-08 | Red Hat, Inc. | Security vulnerability assessment for users of a cloud computing environment |
-
2021
- 2021-03-31 US US17/219,157 patent/US11979375B2/en active Active
-
2022
- 2022-03-30 CN CN202280026626.2A patent/CN117099344A/zh active Pending
- 2022-03-30 WO PCT/US2022/022563 patent/WO2022212515A1/en active Application Filing
- 2022-03-30 EP EP22719404.0A patent/EP4315749A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022212515A1 (en) | 2022-10-06 |
| EP4315749A1 (en) | 2024-02-07 |
| US11979375B2 (en) | 2024-05-07 |
| US20220321534A1 (en) | 2022-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114788227B (zh) | 使用动态标记和清单的灵活策略语义扩展 | |
| US11469965B2 (en) | Determining formal models using weighting factors for computing elements in multi-domain environments | |
| US11843610B2 (en) | Providing multiple namespaces | |
| CN114174993A (zh) | 优化集群基础设施中的集群应用 | |
| US11784967B1 (en) | Monitoring internet protocol address utilization to apply unified network policy | |
| CN118176699A (zh) | 用于云原生工作负载的自动加密 | |
| US20240137320A1 (en) | Cloud-native workload optimization | |
| US20230104007A1 (en) | Policy-based failure handling for edge services | |
| US12079187B2 (en) | Selecting interfaces for device-group identifiers | |
| CN117099344A (zh) | 上下文感知安全访问服务边缘(sase)引擎 | |
| US11307889B2 (en) | Schedule virtual machines | |
| US20240146696A1 (en) | Manufacturer usage description (mud) extensions for secure access service edge (sase) services | |
| US11962429B1 (en) | Sharing transport interfaces between tenants on multi-tenant edge devices | |
| US11924036B1 (en) | Automatic SAAS optimization | |
| US20230155941A1 (en) | Adaptive cloud-native service chaining | |
| US11888752B2 (en) | Combining networking technologies to optimize wide area network traffic | |
| CN114982201B (zh) | 异构带宽管理的多播结构的自动配置和连接 | |
| US20240073248A1 (en) | Method for implementing cloud-based security protocols for a user device | |
| US20240073127A1 (en) | Data sovereignty and service insertion in multisite network fabric |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |