CN117223250A - 基于云的外出过滤系统 - Google Patents
基于云的外出过滤系统 Download PDFInfo
- Publication number
- CN117223250A CN117223250A CN202280029066.6A CN202280029066A CN117223250A CN 117223250 A CN117223250 A CN 117223250A CN 202280029066 A CN202280029066 A CN 202280029066A CN 117223250 A CN117223250 A CN 117223250A
- Authority
- CN
- China
- Prior art keywords
- gateway
- filter
- filtering
- traffic data
- egress
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 118
- 238000004458 analytical method Methods 0.000 claims description 26
- 238000007726 management method Methods 0.000 claims description 15
- 238000012550 audit Methods 0.000 claims description 11
- 238000000034 method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 abstract description 8
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 23
- 238000005129 volume perturbation calorimetry Methods 0.000 description 23
- 230000006855 networking Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000027036 Hippa Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,计算平台的特征在于与一个或多个虚拟专用云网络通信的控制器,所述一个或多个虚拟专用云网络包括第一虚拟专用云网络(VPC)。所述虚拟专用云网络包括至少第一外出过滤网关,其被配置为过滤从第一网关接收的外出业务数据,并且根据第一过滤器规则集将经过滤的外出业务数据路由到公共网络。第一过滤器规则集被包括作为由控制器提供的第一安全性策略的一部分。
Description
相关申请的交叉引用
本申请要求保护于2021年8月18日提交的美国申请第17/405881号的优先权权益,该美国申请要求保护于2021年8月5日提交的美国临时专利申请第63/229919号、于2021年7月6日提交的临时申请第63/218869号和于2021年2月17日提交的临时申请第63/150,503号的优先权权益,其中两者的全部内容被通过引用并入本文。
技术领域
本公开的实施例涉及联网领域。更具体地,本公开的一个实施例涉及以集中或分散配置实现的基于云的过滤系统,用于过滤从虚拟专用云网络中的工作负载发起的出站网络业务。
背景技术
在过去的几年中,云计算提供了基础设施即服务(IaaS),其中资源被作为云计算平台(例如,公共云网络)的一部分提供,并且是作为服务对租户可访问的。这些服务之一允许租户运行驻留在云计算平台内的软件实例。软件功能性到云计算平台中的该迁移已经导致了不同公共云提供商更多地使用虚拟网络,诸如用于Web Services(AWS)或/>Cloud Services的被称为虚拟专用云(VPC)的虚拟专用云网络、用于Cloud Services的虚拟网络(VNET)等。
一般而言,虚拟专用云网络是按需的、可配置的共享资源池,其在云计算平台内分配,并且在使用云资源的不同组织或其他实体(下文中,“用户”)之间提供一定水平的隔离。使用部分地形成多云计算平台的公共云网络的基础设施,每个虚拟专用云网络可以作为“分支”虚拟专用云网络(例如,提供与诸如基于云的软件实例之类的云资源的进入/外出通信的第一多个虚拟网络组件)或者作为“中转”虚拟专用云网络(例如,支持与相同或不同公共云网络的消息路由的第二多个虚拟网络组件)来操作。
具有对基于互联网的服务的非受限访问的基于云的软件实例是有问题的,因为它们将网络暴露于攻击。因此,VPC和VNET的重要的安全性措施是通过区分合法请求和非法请求,来有效地控制朝向互联网的出站网络业务,即在网络上传输的、旨在用于随后在公共网络上的传输的消息(下文中,“外出业务”)。例如,合法请求可以包括访问软件更新或经由通过互联网对其他第三方或软件即服务(SaaS)服务的应用编程接口(API)调用来提供云实例访问。非法请求可以包括将特定类型的数据(例如密码、财务信息、机密公司文档等)通过互联网渗漏到恶意web服务器的请求。事实上,如支付卡行业数据安全性标准(PCIDSS)和健康保险便携性和责任法案(HIPAA)之类的许多合规性框架要求外出安全性控制。
常规地,对于利用数十或数百个虚拟专用云网络的系统来说,VPC和VNET的管理非常复杂。此外,按照VPC/VNET部署下一代防火墙解决方案来解决这些基于云的管理复杂性可能是成本过高的。
附图说明
本发明的实施例在附图的各图中通过示例的方式而非限制的方式图示,在各图中相同的附图标记指示相似的元件,并且其中:
图1是利用虚拟专用云网络(VPC)集群内限制特定类型的外出业务的过滤组件实现的计算平台的示例性实施例。
图2是根据分散外出过滤部署实现的图1的第一VPC集群的第一示例性实施例。
图3是根据如图2所示的分散外出过滤部署实现的多云计算平台的示例性实施例。
图4是根据集中外出过滤部署实现的图1的第一VPC集群的第二示例性实施例。
图5是根据如图4所示的集中外出过滤部署实现的多云计算平台的示例性实施例。
图6A是由部署在图1的控制器内的外出控制过滤器呈现的第一图形用户接口的示例性实施例。
图6B是由部署在图1的控制器内的外出控制过滤器呈现的第二图形用户接口的示例性实施例。
图7是用以呈现与外出过滤组件的操作相关联的数据分析的集中管理控制台的示例性实施例。
具体实施方式
可以根据如下所述的分散或集中外出过滤部署来实现的基于云的外出过滤系统的实施例被配置为限制来自虚拟联网基础设施的外出(互联网绑定)业务。基于云的外出过滤系统由控制器集中管理,并且由作为外出过滤网关操作的软件实例执行。本文中,外出过滤网关可以特征在于一个或多个外出过滤组件,诸如完全限定域名(FQDN)过滤组件。基于下述部署,基于云的外出过滤系统交付了从原生云服务或开源代理软件不可获得的企业级可见性、集中控制和多云可配置性。
本文中,基于云的外出过滤系统包括作为软件实例的外出控制过滤器,该软件实例在被执行时呈现用于生成一个或多个安全性策略(有时被称为“标签”)的接口。当操作性地耦合到作为虚拟联网基础设施的一部分而安装的一个或多个外出过滤网关时,安全性策略提供规则,所述规则当由与外出过滤网关相关联的逻辑执行时监视外出业务,以便通过阻止和/或重定向消息来防止向不被准许的目的地传输这样的消息。
在特定部署(例如,AWS部署)中,虚拟联网基础设施可以被称为虚拟专用云网络(VPC),而在其他部署(部署)中,虚拟联网基础设施可以被称为虚拟网络(VNet)。为了容易性和一致性,在本文中,我们应将所有类型的这些虚拟联网基础设施称为“虚拟专用云网络”或“VPC”。VPC可以被部署为计算平台的一部分,其中计算平台可以对应于单个云计算平台或支持多个公共云网络上的外出过滤的多云计算平台。
根据本公开的一个实施例,计算平台可以特征在于一个或多个VPC集群,其中每个VPC集群包括:(i)每个作为维护由网关集(即,一个或多个网关)可访问的云资源的VPC(下文中,“分支VPC”)操作的一个或多个基于云的虚拟联网基础设施,和/或(ii)作为支持来自/去往分支VPC或内部网络的消息的路由的VPC(下文中,“中转VPC”)操作的一个或多个基于云的虚拟联网基础设施。附加地,计算平台的特征在于共享服务联网基础设施,该共享服务联网基础设施可以包括用于更新策略的控制器,所述策略控制分支VPC和/或中转VPC内的网关的可操作性,以维护路由信息和/或外出过滤器规则,如下所述的那样。可替代地,控制器可以被放置在与共享服务VPC分离的另一VPC中。
更具体地,根据本公开的一个实施例,每个分支VPC包括网关(下文中,“分支网关”)集,其通信地耦合到具有一个特定子网络(子网)或多个特定子网的一个或多个云软件实例。这些云软件实例中的一些或全部可以包括可执行应用。附加地,每个中转VPC可以特征在于网关集,所述网关集被配置为控制分支VPC之间的消息的路由,并且实际上控制被部署在不同分支VPC中的云软件实例之间的消息的路由。除了通信地耦合到分支网关之外,中转网关还可以通信地耦合到被部署在内部网络(下文中,“内部网络设备”)内的一个或多个网络边缘设备(例如,虚拟或物理路由器等)。
外出过滤网关可以被部署来与(i)分支网关一起操作,并且提供分散(本地)外出过滤(参见图2-3),或者(ii)中转网关一起操作来提供集中外出过滤(参见图4-5)。外出过滤可以根据所选FQDN过滤方案来实施,该所选FQDN过滤方案提供关于除了超文本传输协议(HTTP)和HTTP安全(HTTPS)之外的许多传送协议的过滤,诸如例如文件传输协议(FTP)、安全文件传输协议(SFTP)和/或互联网控制消息协议(ICMP)。根据本公开的一个实施例,FQDN过滤方案可以通过利用一个或多个安全性策略(标签)配置外出过滤网关来完成。安全性策略中的每一个可以包括一个或多个过滤器规则,所述一个或多个过滤器规则针对未在安全性策略(白名单)中标识或在安全性策略(黑名单)中标识的目的地地址来监视外出业务,并且过滤外出业务数据以防止在互联网上的传输。
根据本公开的一个实施例,一个或多个安全性策略可以被“附接”到外出过滤网关,使得被包括在附接的安全性策略中的(一个或多个)过滤规则在被启用时被外出过滤网关遵循。类似地,安全性策略可以从外出过滤网关“拆卸”,使得与拆卸的安全性策略相关联的过滤器规则不再由外出过滤网关执行。安全性策略可以由网络管理员或者配置或重新配置外出过滤网关的任何用户来启用或禁用。
本文中,根据本公开的一个实施例,安全性策略可以包括形成白名单的一个或多个用户配置的过滤器规则,其中只有白名单中指定的(一个或多个)目的地被准许通过并且丢弃所有其他目的地。然而,在本公开的另一个实施例中,安全性策略可以包括如下的过滤器规则:所述过滤器规则形成(i)黑名单(即,仅名单中指定的(一个或多个)目的地被过滤,并且被防止在计算平台内的进一步传输,和/或(iii)白名单和黑名单的组合。白名单或黑名单中标识的每个目的地可以被指定为完全限定域名(FQDN)、互联网协议(IP)地址、IP地址范围、特定统一资源定位符(URL)、标示相关FQDN和/或URL的通配符等。
设想到,外出过滤网关可以包括许多功能增强。例如,外出过滤网关可以被配置有子网透传功能,其允许与VPC中的一个或多个所选子网相关联的消息规避形成安全性策略的所有过滤器规则中的一些。例如,一个子网可能被开发者(DEV子网)利用,并且如果被标识为子网规避,则来自与DEV子网相关联的网关的外出业务不经受特定FQDN过滤。另一增强可以包括审计日志记录,其利用与中央管理控制台相关联的逻辑来操作,以显示分析结果,所述分析结果包括被接受和被阻止的过滤结果,诸如在VPC或网关粒度上排名靠前的所接受的FQDN和排名靠前的所防止(所阻止)的FQDN。
控制器可以被配置为控制共享虚拟联网基础设施的可操作性,并且特别地,提供用于更新和维护(FQDN)过滤器规则和子网规避规则的集中策略管理,如下所述的那样。这样的更新和维护可以通过标记VPC并且将策略分配给那些标记来完成。更进一步地,控制器可以被配置为处置分支和/或中转网关的插入、朝向这些网关的业务的路由、以及涉及这些网关的所有高可用性机制。最后,控制器可以启用“发现”模式,即在其中控制器访问由与VPC相关联的外出过滤网关维护的审计日志以标识和聚合对实例和/或主机的尝试访问的操作模式。这些未被覆盖的访问可以帮助为VPC或VPC内的特定网关制定安全性策略。
I.术语
在下面的描述中,特定术语用于描述本发明的特征。在特定情形中,术语“逻辑”和“组件”中的每一个代表被配置为执行一个或多个功能的硬件、软件或其组合。作为硬件,逻辑(或组件)可以包括具有数据处理或存储功能性的电路。这样的电路的示例可以包括但不限于或不局限于处理器(例如,微处理器、一个或多个处理器内核、可编程门阵列、微控制器、专用集成电路等)、半导体存储器或组合逻辑。
可替代地,或者与上述硬件电路相组合,逻辑(或组件)可以是以一个或多个软件模块形式的软件。(一个或多个)软件模块可以被配置为作为虚拟硬件组件(例如,虚拟处理器)或包括一个或多个虚拟硬件组件的虚拟网络设备来操作。(一个或多个)软件模块可以包括但不限于或不局限于可执行应用、应用编程接口(API)、子例程、函数、过程、小应用程序、小服务程序、例程、源代码、共享库/动态加载库或者一个或多个指令。(一个或多个)软件模块可以被存储在任何类型的合适的非暂时性存储介质或暂时性存储介质中(例如,电、光、声或其他形式的传播信号,诸如载波、红外信号或数字信号)。非暂时性存储介质的示例可以包括但不限于或不局限于可编程电路;半导体存储器;非永久性存储装置,诸如易失性存储器(例如,任何类型的随机存取存储器“RAM”);永久性存储装置,诸如非易失性存储器(例如,只读存储器“ROM”)、电源支持的RAM、闪速存储器、相变存储器等)、固态驱动器、硬盘驱动器、光盘驱动器或便携式存储器设备。
控制器:控制器通过利用基于由每个网关所利用的路由表内的内容的访问和知识而获取的集中智能来管理单云或多云计算平台的可操作性。控制器维护对每个网关和/或每个VPC可以是唯一的针对外出过滤的安全性策略。与这些安全性策略中的每一个相关联的过滤器规则被维护,以对公共云网络的区内、公共云网络的不同区内或不同公共云网络内的原生云网络构造和网关这两者进行动态编程。
网关:该术语可以被解释为具有数据监视或数据路由功能性的虚拟或物理逻辑。作为说明性示例,第一类型的网关可以对应于虚拟逻辑,诸如数据路由软件组件,其被分配了与包括网关的VPC相关联的IP地址范围内的互联网协议(IP)地址,以处置VPC内和来自VPC的消息的路由。本文中,第一类型的网关可以基于其在公共云网络中的位置/可操作性而被不同地标识,尽管逻辑架构是相似的。例如,“分支”网关是支持云软件实例和“中转”网关之间的路由的网关,其中每个中转网关被配置为进一步帮助数据业务(例如,一个或多个消息)从一个分支网关到同一分支VPC内或不同分支VPC内的另一分支网关的传播。
第二类型的网关可以对应于用于基于以多个不同格式(例如,白名单、黑名单、IP地址等)表示的安全性策略来支持外出业务过滤的虚拟逻辑,以将VPC外出业务限制到已知的域名、已知的域路径或者甚至相关的域名/路径(例如,使用诸如“*”符号之类的通配符来标识在该符号之前和/或之后出现的所有分隔符)。与第一类型的网关相组合的(一个或多个)第二网关被部署在计算平台中,以控制数据业务至VPC中/从VPC的进入/外出。
可替代地,在一些实施例中,网关可以对应于物理逻辑,诸如通信地耦合到网络并被分配硬件(MAC)地址和IP地址的电子设备。
IPSec隧道:在诸如相邻VPC的相邻虚拟网络组件的网关之间建立的安全点对点通信链路。点对点通信链路通过被称为“互联网协议安全性”(IPSec)的安全网络协议套件来保护。
计算机化:该术语通常表示任何对应的操作都是由硬件与软件相组合来实施的。
消息:以规定格式并根据合适的传递协议传输的信息。因此,每个消息可以是以一个或多个分组、帧或具有规定格式的任何其他比特序列的形式。
最后,如本文中使用的术语“或”和“和/或”要被解释为包含性的,或者意味着任何一个或任何组合。作为示例,“A、B或C”或“A、B和/或C”意味着“以下各项中的任何一个:A;B;C;A和B;A和C;B和C;A、B和C”。只有当元件、功能、步骤或动作的组合以某种方式固有地相互排斥时,才将出现该定义的例外。
由于本发明容许许多不同形式的实施例,因此本公开旨在被认为是本发明原理的示例,并且不旨在将本发明限制于所示出和描述的特定实施例。
II.通用系统架构
现在参考图1,示出了计算平台100的示例性实施例。计算平台100被配置为提供例如第一虚拟专用云网络(VPC)集群110的资源115、第二VPC集群140的资源145和第三VPC集群170的资源175之间的连接性。本文中,根据本公开的一个实施例,如所示出的,VPC集群110/140/170可以被部署在相同的公共云网络180(例如,WEB SERVICES“AWS”)内。可替代地,设想到至少一个VPC集群110/140/170可以被部署在不同的公共云网络内,诸如第一VPC集群110可以被部署在AWS云网络内,而第二VPC集群140可以被部署在云网络内,并且第三公共云网络170可以部被署到/>云网络。
根据本公开的一个实施例,第一VPC集群110的资源115可以包括一个或多个分支VPC、一个或多个中转VPC以及一个或多个子网络(子网)以维护云软件实例。更具体地,如所示出的,(一个或多个)分支VPC可以特征在于至少第一分支VPC 120。第一分支VPC 120通信地耦合到至少第一中转VPC 130,该第一中转VPC 130包括(中转)网关132集。类似地,第一分支VPC 120的特征在于(分支)网关122集,(分支)网关122集中的每一个可以被配置为通信地耦合到(i)子网140内的一个或多个云软件(应用)实例142,以及(ii)作为第一中转VPC130的一部分部署的中转网关132集。
本文中,根据本公开的一个实施例,分支VPC中的每个,诸如例如第一分支VPC120,可以被配置有一个或多个外出过滤网关150。这(一个或多个)外出过滤网关150可以被配置为执行域名过滤,诸如FQDN过滤(下文中,“(一个或多个)FQDN网关150”)。本文中,FQDN网关150的可操作性与由控制器190内实现的外出控制逻辑192提供的安全性策略160一致。如所示出的,控制器190可以位于指定的VPC或共享服务VPC 195中。本文中,安全性策略160可以作为白名单来操作,该白名单根据由FQDN网关150对外出业务施加的限制来标识分支网关122中的每一个被准许经由互联网185访问哪些域。该标识可以针对特定域名(FQDN白名单和/或黑名单)、通过使用通配符参数的域名范围(例如,“*”,以捕捉已知/相关的域名和/或域路径)、特定IP地址和/或IP地址范围。
如图1中所示,在分散方案中,(一个或多个)FQDN网关150在第一中转VPC 130内实施外出过滤。虽然未示出,但是根据本公开的另一实施例,中转VPC中的至少一个(例如,诸如第一中转VPC 130)可以被配置有(一个或多个)FQDN网关150。对于该实现,外出过滤将在集中方案中实施。不管部署方案如何,FQDN网关150都可以被配置为在从第一VPC集群110传输之前过滤外出业务。该过滤允许限制外出业务内的内容,以确保符合工业、地区或政府法规(例如,PCI、HIPPA等)。
设想到,安全性策略160可以包括一个或多个子网透传规则162,其允许来源于或目的地为与该公共云网络相关的一个或多个所标识的子网的内容规避安全性策略160中阐述的FQDN过滤规则。例如,关于第一VPC集群110,来自与开发者(DEV)子网相关联的网关的外出业务数据在被标识为子网透传时,不像来自产品营销(PROD)子网的外出业务数据那样经受FQDN过滤。相比之下,关于第三VPC集群170,来自与PROD子网相关联的网关的外出业务数据在被标识为子网透传时,不像来自DEV子网的外出业务数据那样经受FQDN过滤。共享服务VPC 195内的控制器190负责创建、更新和维护包括子网透传规则162的安全性策略160。
进一步设想到,安全性策略160被配置为向部署有特定VPC(例如,分支VPC或中转VPC)的FQDN网关150内的逻辑发信号通知,以维护审计日志164。审计日志164构成来自第一VPC集群110、来自每个VPC(分支、中转)120/130和/或来自VPC集群110内的每个FQDN网关150的外出业务的聚合,即消息传输和/或尝试的消息传输。与外出业务相关联的分析结果被维护,诸如排名靠前的所接受FQDN和排名靠前的所阻止FQDN。
进一步设想到,网关中的每一个可以被置于发现模式,即其中该网关将开始收集所访问的FQDN数据的操作模式。例如,关于如所示出的FQDN网关150的分散过滤部署,分支网关122可以被置于发现模式,以收集分支网关122正在访问或试图访问的每个FQDN。类似地,对于集中过滤部署,中转网关132可以被置于发现模式,以开始收集中转网关132正在访问或试图访问的每个FQDN。
III.分散外出过滤服务
现在参考图2,示出了根据分散外出过滤部署实现的图1的第一VPC集群110的第一示例性实施例。本文中,外出过滤网关200/205(例如,FQDN网关150)集被部署在图1的分支VPC 120中的一个或多个(例如,分支VPC 210)中。如所示出的,第一外出过滤网关200/205集中的每一个负责在从分支VPC 210传输到互联网185或部署在中转VPC 130中的中转网关132集之前实施外出过滤。本文中,过滤由外出过滤网关200/205处置,而中转网关(GW)132支持不同分支VPC 210和215之间的通信,所述不同分支VPC 210和215可以驻留在同一公共云网络的同一区或不同区内,或者驻留在不同公共云网络内。
本文中,与中转VPC 130通信的分支网关122和外出过滤网关200/205的组合形成了如图3中所示的单云以及多云中转的基本构建块。本文中,由控制器190管理,与第一公共云网络300的分支VPC210相关联的外出过滤网关200/205对导向互联网185的外出业务数据施加过滤器准则。类似地,与第二公共云网络340的第二分支VPC 330相关联的外出过滤网关320和与第三公共云网络360的第三分支VPC350相关联的外出过滤网关325这两者均对导向互联网185的外出业务施加过滤器准则。这些分支VPC 210/330/350之间经由中转VPC130/370/380的通信允许为不同的VPC编程不同的过滤限制连同可见性和控制,以取决于过滤器规则将通信引导至不同的VPC(例如,管理员可以将客人和较低级别的员工导向更具限制性的FQDN过滤器规则,而较高级别的员工可以被导向另一个具有较少限制性的FQDN过滤器规则的公共云网络。
IV.集中外出过滤服务
现在参考图4,示出了根据集中外出过滤部署实现的图1的第一VPC集群110的第二示例性实施例。该集中外出过滤部署适用于(i)已经使用AWS中转网关400并且由于内部策略或政策而不愿意或不能够迁移到基于中转VPC的设计的组织,或者(ii)仅利用单个公共云网络(诸如例如AWS云网络)的组织。该逻辑架构由于其对于原生AWS中转网关服务的依赖性而不能跨多个云被重复,但是可以通过与AWS公共云网络的多个不同区相关联的耦合中转VPC跨这些不同区被重复。
本文中,控制器190为AWS中转网关400和连接的VPC(例如,分支VPC 120、中转VPC130)提供集中部署、管理和控制。VPC 120/130、AWS中转网关400和/或外出过滤网关410中所有必要的路由和安全性策略都由控制器190自动编程、管理和控制。中转网关132中的每一个是多用途服务节点,其可以执行各种功能性,诸如位于中转VPC130内的外出过滤网关((一个或多个)GW)410的高可用性和负载平衡。该部署还取决于吞吐量要求提供向上扩展和向外扩展功能性这两者。组织可以增加所利用的云软件实例的数量,或者直接从控制器增加外出过滤网关的数量。
参考图5,示出了根据图4的集中外出过滤部署实现的多云计算平台的示例性实施例。本文中,中转VPC 130和510的所有中转网关132和500中的一些被配置为与一个或多个外出过滤中转网关410和520通信。外出过滤中转网关410/520可以对应于FQDN网关实例。特别地,外出过滤中转网关410/520被配置为对外出业务、尤其是传输到互联网185的消息执行FQDN过滤。
作为说明性示例,中转VPC 130包括中转网关132,其中的每一个适配于接收来自分支VPC(例如,分支VPC 120)的外出业务。在接收到互联网绑定的业务时,中转网关132对外出业务数据执行散列操作以产生散列值。根据用于过滤外出业务数据的所选负载平衡方案,散列值可以用在选择外出过滤中转网关410中的至少一个中。例如,根据本公开的一个实施例,散列值可以用于生成从散列值的规定部分(例如,规定数量的比特,诸如半字节、字节、字等)内找到的一个或多个比特值中导出的选择值,以标识外出过滤中转网关410的所选网关530。可替代地,选择值可以从对散列值的模运算的结果中导出,或者从对散列值执行的逻辑运算中导出。
该部署取决于吞吐量要求提供了向上扩展和向外扩展功能性这两者。组织可以增加所利用的云软件实例的数量,或者直接从控制器190增加外出过滤网关的数量。
V.外出过滤服务的可视化
现在参考图6A,示出了由部署在图1的控制器190内的外出控制过滤器192呈现的第一图形用户接口600的示例性实施例。根据本公开的一个实施例,外出控制过滤器192包括软件实例,当所述软件实例被执行时,呈现用于生成安全性策略(标签)的第一接口600。为了生成标签,用户可以选择“+新的”显示元素610,并且在此之后,与标签相关联的条目615可用于用户输入。在此之后,用户可以录入标签的所选名称620,诸如例如“产品白名单”。因此,创建了“产品白名单”标签。
参考图6B,示出了由部署在图1的控制器190内的外出控制过滤器192呈现的第二图形用户接口630的示例性实施例。本文中,第二接口630包括(i)可以用于生成“产品白名单”标签650的第一显示元素集640,以及(i)可以用于保存或删除与标签650相关联的外出过滤规则670的第二显示元素集660。标签650的生成可以涉及如所示出的外出过滤规则670的添加。
本文中,如图6B中图示的,为了生成或扩充形成标签650的外出过滤规则670,用户可以选择“+新的”显示元素642,并且在此之后,创建条目672。在此之后,用户可以录入经过滤的目的地680,其中域名(FQDN)或IP地址可以被录入。为了效率,对于HTTP/HTTPS(TCP443),允许通配符“*”,如外出过滤规则674中所示的那样。条目672进一步允许协议类型682和端口号684的可编程性,以允许仅通过特定的传送协议和/或端口对域名进行所准许的访问。此外,动作类型686用于标识“产品白名单”标签650是否与白名单(基本策略)或黑名单的一部分(拒绝策略菜单选项)相关联。
如图6B中进一步示出的,“更新”显示元素644被配置为将外出过滤规则670保存在标签650中,并且如果网关被附接到标签650,则“更新”显示元素644的选择将规则670应用到网关。此外,“导出”显示元素646允许在每个标签的基础上将所配置的外出过滤规则下载到诸如文本文件格式的分离文档中,而“导入”显示元素648允许上传特定标签上的外部外出过滤规则。外部外出过滤规则可以作为在将网关置于发现模式之后从审计日志中生成的可下载文件的一部分、从不同标签导出的文件或文本文件来提供。
参考图7,示出了用以呈现与外出过滤组件的操作相关联的数据分析的集中管理控制台700的示例性实施例。在FQDN过滤被部署并且在操作中之后,控制器将开始收集所有分析结果以用于显示。因此,在选择可显示的元素时,聚合分析结果710以及基于网关的分析结果(未示出)被呈现。聚集分析结果710对应于来自与特定VPC(或多个VPC)相关联的所有网关的分析结果,所述分析结果被组合并呈现为整体表示,诸如一个或多个饼图720/725。相比之下,网关分析结果提供在每个网关的基础上的外出过滤分析结果的观点,这对于基于这些分析结果更新外出过滤规则是有用的。
如图7中进一步示出的,分析结果可以在第一饼图720和第二饼图725中表示,第一饼图720图示了正在被接受的FQDN的最高频率,第二饼图725图示了正在被防止中转(例如,阻止、重新路由等)的FQDN的最高频率。可以在单独网关的基础上提供相同的分析结果。时间范围显示元素730(诸如例如下拉菜单)允许选择时间范围,该时间范围可以回到所描述的日期范围、去年、特定日历季度、上个月、上个星期或者仅仅从今天发生的任何事情。
对于更详细的分析结果,管理控制台700将所接受的FQDN 740和/或所阻止的FQDN745图示为链接,当被选择时,所述链接向用户提供关于FQDN的更多信息(例如,所有权、服务器位置等)。此外,管理控制台700可以被配置为提供附加的搜索功能,以允许关于特定FQDN、特定源IP地址、开始时间和结束时间等的特定分析结果。
在不脱离本公开的精神的情况下,本发明的实施例可以以其他特定形式体现。所描述的实施例要在所有方面仅被认为是说明性的,而非限制性的。因此,实施例的范围由所附权利要求而非由前述描述来指示。在权利要求的等同物的含义和范围内的所有改变要被包含在它们的范围内。
权利要求书(按照条约第19条的修改)
1.一种计算平台,包括:
控制器;和
通信地耦合到所述控制器的第一虚拟专用云网络,所述第一虚拟专用云网络包括至少第一外出过滤网关,所述第一外出过滤网关被配置为过滤从第一网关接收的外出业务数据,并且根据作为由所述控制器提供的第一安全性策略的一部分而包括的规则集将经过滤的外出业务数据路由到公共网络,
其中所述规则集包括第一过滤器规则集和一个或多个子网规避规则,所述一个或多个子网规避规则准许与外出业务数据相关联的消息规避由第一外出过滤网关根据第一过滤器规则集执行的过滤操作。
2.根据权利要求1所述的计算平台,进一步包括被包括在所述第一虚拟专用云网络内的第一子网络,所述第一子网络包括一个或多个云软件实例,所述一个或多个云软件实例是由所述第一外出过滤网关过滤的业务数据的源,其中来自所述第一子网络的消息规避所述第一外出过滤网关进行的过滤操作。
3.根据权利要求1所述的计算平台,进一步包括:
通信地耦合到所述控制器的第二虚拟专用云网络,所述第二虚拟专用云网络包括至少第二外出过滤网关,所述第二外出过滤网关被配置为根据作为由所述控制器提供的第二安全性策略的一部分而包括的至少第二过滤器规则集来过滤从第二网关路由的消息,
其中所述第二过滤器规则集不同于所述第一过滤器规则集。
4.根据权利要求3所述的计算平台,所述计算平台作为多云计算平台操作,其中所述第一虚拟专用云网络被部署在第一公共云网络内,并且所述第二虚拟专用云网络被部署在不同于所述第一公共云网络的第二公共云网络内。
5.根据权利要求1所述的计算平台,其中所述第一虚拟专用云网络对应于中转虚拟专用云网络,并且所述第一网关对应于通信地耦合到包括所述第一外出过滤网关的多个外出过滤网关的第一中转网关。
6.根据权利要求2所述的计算平台,其中所述第一虚拟专用云网络对应于分支虚拟专用云网络,并且所述第一网关对应于被插入以与所述一个或多个云实例和包括所述第一外出过滤网关的多个外出过滤网关通信的第一分支网关。
7.根据权利要求1所述的计算平台,其中所述第一外出过滤网关通信地耦合到审计日志,以收集与已经被接受或被防止传输的外出业务数据相关联的信息。
8.根据权利要求7所述的计算平台,其中所述控制器被配置为对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
9.根据权利要求1所述的计算平台,其中所述外出过滤网关对应于根据所述第一过滤器规则集实施完全限定域名(FQDN)过滤的逻辑。
10.一种包括一个或多个外出过滤网关的非暂时性存储介质,所述一个或多个外出过滤网关是软件,所述软件在由控制器执行和可操作性控制时,执行操作,所述操作包括:
由所述一个或多个外出过滤网关中的第一外出过滤网关接收包括规则集的第一安全性策略,所述规则集包括第一过滤器规则集和一个或多个子网规避规则,所述一个或多个子网规避规则准许与外出业务数据相关联的消息规避由所述第一外出过滤网关根据所述第一过滤器规则集执行的过滤操作;
由所述第一外出过滤网关接收用于在公共网络上路由的外出业务数据;和
由第一外出过滤网关根据由控制器提供的第一安全性策略的第一过滤器规则集对所述外出业务数据实施完全限定域名(FQDN)过滤,所述外出业务数据是从第一网关接收的,以用于路由到公共网络。
11.根据权利要求10所述的非暂时性存储介质,其中所接收的外出业务数据源自被包括在第一虚拟专用云网络内的第一子网络,所述第一虚拟专用云网络包括一个或多个外出过滤网关,并且来自第一子网络的消息规避由第一外出过滤网关进行的过滤操作,所述第一子网络包括一个或多个云软件实例,所述一个或多个云软件实例是由第一外出过滤网关过滤的业务数据的源。
12.根据权利要求10所述的非暂时性存储介质,进一步包括:
利用与所述第一外出过滤网关相关联的审计日志来收集与所述外出业务数据相关联的信息,所述信息标识与具有可接受FQDN的第一外出业务数据集相关联的消息以及与具有被防止传输的FQDN的第二外出业务数据集相关联的消息。
13.根据权利要求12所述的非暂时性存储介质,进一步包括:
对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
14.一种计算机化方法,包括:
由控制器可操作性地控制的第一外出过滤网关接收包括规则集的第一安全性策略,所述规则集包括第一过滤器规则集和一个或多个子网规避规则,所述一个或多个子网规避规则准许与外出业务数据相关联的消息规避由第一外出过滤网关根据第一过滤器规则集执行的过滤操作;
由所述第一外出过滤网关接收用于在公共网络上路由的外出业务数据;和
由第一外出过滤网关根据由控制器提供的第一安全性策略的第一过滤器规则集来实施外出业务数据的过滤,所述外出业务数据是从第一网关接收的,以用于路由到公共网络。
15.根据权利要求14所述的计算机化方法,其中所述过滤是根据完全限定域名(FQDN)过滤实施的。
16.根据权利要求15所述的计算机化方法,进一步包括:
利用与所述第一外出过滤网关相关联的审计日志来收集与所述外出业务数据相关联的信息,所述信息标识与具有可接受FQDN的第一外出业务数据集相关联的消息以及与具有被防止传输的FQDN的第二外出业务数据集相关联的消息。
17.根据权利要求16所述的计算机化方法,进一步包括:
对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
Claims (17)
1.一种计算平台,包括:
控制器;和
通信地耦合到所述控制器的第一虚拟专用云网络,所述第一虚拟专用云网络包括至少第一外出过滤网关,所述第一外出过滤网关被配置为过滤从第一网关接收的外出业务数据,并且根据作为由所述控制器提供的第一安全性策略的一部分而包括的第一过滤器规则集将经过滤的外出业务数据路由到公共网络。
2.根据权利要求1所述的计算平台,进一步包括被包括在所述第一虚拟专用云网络内的第一子网络,所述第一子网络包括一个或多个云软件实例,所述一个或多个云软件实例是由所述第一外出过滤网关过滤的业务数据的源。
3.根据权利要求1所述的计算平台,进一步包括:
通信地耦合到所述控制器的第二虚拟专用云网络,所述第二虚拟专用云网络包括至少第二外出过滤网关,所述第二外出过滤网关被配置为根据作为由所述控制器提供的第二安全性策略的一部分而包括的第二过滤器规则集来过滤从第二网关路由的消息,
其中所述第二过滤器规则集不同于所述第一过滤器规则集。
4.根据权利要求3所述的计算平台,所述计算平台作为多云计算平台操作,其中所述第一虚拟专用云网络被部署在第一公共云网络内,并且所述第二虚拟专用云网络被部署在不同于所述第一公共云网络的第二公共云网络内。
5.根据权利要求1所述的计算平台,其中所述第一虚拟专用云网络对应于中转虚拟专用云网络,并且所述第一网关对应于通信地耦合到包括所述第一外出过滤网关的多个外出过滤网关的第一中转网关。
6.根据权利要求2所述的计算平台,其中所述第一虚拟专用云网络对应于分支虚拟专用云网络,并且所述第一网关对应于被插入以与所述一个或多个云实例和包括所述第一外出过滤网关的多个外出过滤网关通信的第一分支网关。
7.根据权利要求1所述的计算平台,其中所述第一外出过滤网关通信地耦合到审计日志,以收集与已经被接受或被防止传输的外出业务数据相关联的信息。
8.根据权利要求7所述的计算平台,其中所述控制器被配置为对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
9.根据权利要求1所述的计算平台,其中所述外出过滤网关对应于实施完全限定域名(FQDN)过滤的逻辑。
10.一种包括一个或多个外出过滤网关的非暂时性存储介质,所述一个或多个外出过滤网关是软件,所述软件在由控制器执行和可操作性控制时,执行操作,所述操作包括:
由所述一个或多个外出过滤网关中的第一外出过滤网关接收包括第一过滤器规则集的第一安全性策略;
由所述第一外出过滤网关接收用于在公共网络上路由的外出业务数据;和
由第一外出过滤网关根据由控制器提供的第一安全性策略的第一过滤器规则集对所述外出业务数据实施完全限定域名(FQDN)过滤,所述外出业务数据是从第一网关接收的,以用于路由到公共网络。
11.根据权利要求10所述的非暂时性存储介质,其中所接收的外出业务数据源自被包括在第一虚拟专用云网络内的第一子网络,所述第一虚拟专用云网络包括一个或多个外出过滤网关,所述第一子网络包括一个或多个云软件实例,所述一个或多个云软件实例是由第一外出过滤网关过滤的业务数据的源。
12.根据权利要求10所述的非暂时性存储介质,进一步包括:
利用与所述第一外出过滤网关相关联的审计日志来收集与所述外出业务数据相关联的信息,所述信息标识与具有可接受FQDN的第一外出业务数据集相关联的消息以及与具有被防止传输的FQDN的第二外出业务数据集相关联的消息。
13.根据权利要求12所述的非暂时性存储介质,进一步包括:
对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
14.一种计算机化方法,包括:
由控制器可操作性地控制的第一外出过滤网关接收包括第一过滤器规则集的第一安全性策略;
由所述第一外出过滤网关接收用于在公共网络上路由的外出业务数据;和
由第一外出过滤网关根据由控制器提供的第一安全性策略的第一过滤器规则集来实施外出业务数据的过滤,所述外出业务数据是从第一网关接收的,以用于路由到公共网络。
15.根据权利要求14所述的计算机化方法,其中所述过滤是根据完全限定域名(FQDN)过滤实施的。
16.根据权利要求15所述的计算机化方法,进一步包括:
利用与所述第一外出过滤网关相关联的审计日志来收集与所述外出业务数据相关联的信息,所述信息标识与具有可接受FQDN的第一外出业务数据集相关联的消息以及与具有被防止传输的FQDN的第二外出业务数据集相关联的消息。
17.根据权利要求16所述的计算机化方法,进一步包括:
对与外出业务数据相关联的信息实施分析,以生成分析结果以用于由管理控制台随后显示。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US63/150503 | 2021-02-17 | ||
US63/218869 | 2021-07-06 | ||
US63/229919 | 2021-08-05 | ||
US202117405881A | 2021-08-18 | 2021-08-18 | |
US17/405881 | 2021-08-18 | ||
PCT/US2022/016201 WO2022177830A1 (en) | 2021-02-17 | 2022-02-11 | Cloud-based egress filtering system |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117223250A true CN117223250A (zh) | 2023-12-12 |
Family
ID=89042972
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280029066.6A Pending CN117223250A (zh) | 2021-02-17 | 2022-02-11 | 基于云的外出过滤系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117223250A (zh) |
-
2022
- 2022-02-11 CN CN202280029066.6A patent/CN117223250A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11425097B2 (en) | Cloud-based virtual private access systems and methods for application access | |
US10554691B2 (en) | Security policy based on risk | |
US11023378B2 (en) | Distributed cloud-based dynamic name server surrogation systems and methods | |
EP3243304B1 (en) | Selective routing of network traffic for remote inspection in computer networks | |
EP1326393B1 (en) | Validation of the configuration of a Firewall | |
US8528092B2 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
US11888816B2 (en) | Localization at scale for a cloud-based security service | |
US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
US11582191B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
US10868792B2 (en) | Configuration of sub-interfaces to enable communication with external network devices | |
US10587521B2 (en) | Hierarchical orchestration of a computer network | |
US11271899B2 (en) | Implementing a multi-regional cloud based network using network address translation | |
US20210336932A1 (en) | Sub-clouds in a cloud-based system for private application access | |
US20210377223A1 (en) | Client to Client and Server to Client communication for private application access through a cloud-based system | |
EP3247082A1 (en) | Cloud-based virtual private access systems and methods | |
EP4295556A1 (en) | Multi-cloud network traffic filtering service | |
EP4295528A1 (en) | Cloud-based egress filtering system | |
CN117223250A (zh) | 基于云的外出过滤系统 | |
US11750568B1 (en) | Secure proxy service | |
US20240214349A1 (en) | Localization at scale for a cloud-based security service | |
CN117178537A (zh) | 多云网络业务过滤服务 | |
Kantola | 5G—TAKE5 Test Network and 5G@ II | |
WO2023154122A1 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
Blair et al. | Cisco Secure Firewall Services Module (FWSM) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |