CN118118200A - 基于对安全意图策略模型的改变高效更新设备级安全配置 - Google Patents
基于对安全意图策略模型的改变高效更新设备级安全配置 Download PDFInfo
- Publication number
- CN118118200A CN118118200A CN202310058663.8A CN202310058663A CN118118200A CN 118118200 A CN118118200 A CN 118118200A CN 202310058663 A CN202310058663 A CN 202310058663A CN 118118200 A CN118118200 A CN 118118200A
- Authority
- CN
- China
- Prior art keywords
- security
- policy model
- intent
- node
- level security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 70
- 230000015654 memory Effects 0.000 claims description 40
- 230000001186 cumulative effect Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 description 35
- 238000007726 management method Methods 0.000 description 34
- 238000004891 communication Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000013499 data model Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000533950 Leucojum Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开的实施例涉及基于对安全意图策略模型的改变高效更新设备级安全配置。一种系统可以标识与初始时间相关联的安全意图策略模型。该系统可以生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变。该系统可以确定系统要部署安全意图策略模型的更新版本到设备,并且可以由此确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间。该系统可以基于一个或多个差量快照和先前部署时间来生成累积差量快照,并且可以由此更新与设备相关联的低级别安全意图策略模型。该系统可以基于低级别安全意图策略模型来生成针对该设备的设备级安全配置信息。
Description
技术领域
本公开总体涉及网络技术,更具体地涉及基于对安全意图策略模型的改变的设备级安全配置的高效更新。
背景技术
网络设备通常包括用于本地或远程配置网络设备的机制,诸如管理接口。通过与管理接口交互,管理员可以执行配置任务,诸如配置网络设备的接口卡、调整用于网络设备的受支持的网络协议的参数、指定网络设备内的物理组件、修改由网络设备维护的路由信息、接入驻留在网络设备上的软件模块和其他资源、和/或其他配置任务。
网络设备可以由网络管理系统根据声明性网络操作模型(诸如基于意图的联网模型)来配置。网络管理系统允许管理员描述网络设备的一个或多个意图状态,诸如所意图的网络状态、执行状态、存储状态和/或另一状态。意图可以被分类为有状态意图和无状态意图。有状态意图(也称为“业务策略”)可以基于网络设备的当前状态来解决。无状态意图可以不管网络状态的当前状态而被解决。
意图可以在意图数据模型中表示,其可以使用统一图来被建模。例如,意图数据模型可以被表示为具有与边(例如,表示配置对象之间的关系)连接的顶点(例如,表示配置对象)的连通图。为了配置网络设备来执行意图,翻译程序将高级别配置信息(例如,包括根据意图数据模型的指令,可以表示为连通图)翻译为针对网络设备的低级别配置信息(例如,包括根据设备配置模型的指令)。
发明内容
本文描述的一些实现涉及一种方法。该方法可以包括由系统标识与初始时间相关联的安全意图策略模型。该方法可以包括由系统生成一个或多个差量(delta)快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变(incremental change)。该方法可以包括由系统确定该系统要部署安全意图策略模型的更新版本到设备。该方法可以包括由系统并且基于确定系统要部署安全意图策略模型的更新版本,确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间。该方法可以包括由系统并且基于一个或多个差量快照和先前部署时间,生成累积差量快照。该方法可以包括由系统并且基于累积差量快照更新与设备相关联的低级别安全意图策略模型。该方法可以包括由系统并且基于低级别安全意图策略模型生成针对该设备的设备级安全配置信息。
本文描述的一些实现涉及一种非暂态计算机可读介质,存储用于系统的指令集合。该指令集合在由系统的一个或多个处理器执行时可以使系统生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变。该指令集合在由系统的一个或多个处理器执行时可以使系统确定系统要部署安全意图策略模型的更新版本到设备。该指令集合在由系统的一个或多个处理器执行时可以使系统基于确定系统要将安全意图策略模型的更新版本部署到设备并且基于一个或多个差量快照,生成累积差量快照。该指令集合在由系统的一个或多个处理器执行时可以使系统基于累积差量快照更新与设备相关联的低级别安全意图策略模型。该指令集合在由系统的一个或多个处理器执行时可以使系统基于低级别安全意图策略模型生成针对设备的设备级安全配置信息。
本文描述的一些实现涉及一种系统。该系统可以包括一个或多个存储器和一个或多个处理器。一个或多个处理器可以被配置为生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变。一个或多个处理器可以被配置为确定系统要部署安全意图策略模型的更新版本到设备。一个或多个处理器可以被配置为基于确定系统要部署安全意图策略模型的更新版本并且基于一个或多个差量快照中的至少一些差量快照来更新与设备相关联的低水安全意图策略模型。一个或多个处理器可以被配置为基于低级别安全意图策略模型生成针对设备的设备级安全配置信息。
附图说明
图1A至1F是本文中描述的一个或多个示例实现的图解。
图2是可以在其中实现本文描述的系统和/或方法的示例环境的图解。
图3是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的设备的示例组件的图。
图4是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的设备的示例组件的图。
图5是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的示例过程的流程图。
具体实施方式
示例实现的以下具体实施方式参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
网络管理系统可以基于安全意图策略模型(例如,描述包括与安全对象相关联的规则的安全策略)来生成设备级配置信息并且将设备级配置信息提供给网络设备以使设备级配置信息被部署在网络设备上。然而,在很多情况下,在设备级配置信息被部署在网络设备上之后,对安全意图策略模型的改变被做出。因此,网络设备可能需要利用与对安全意图策略模型的改变对应的对设备级配置信息的改变来被更新。
基于更新的安全意图策略模型生成和部署不同的设备级配置信息利用网络管理系统和网络设备的计算资源(例如,处理资源、存储器资源、通信资源和/或功率资源等),否则这些资源可以用于执行其他任务。这会影响网络管理系统和网络设备的性能。在一些情况下,网络管理系统可以使用“快照”方法来跟踪对自安全意图策略模型的起始的时间以来的各种时间对安全意图策略模型的改变,使得网络管理系统然后可以生成和部署设备级配置信息补丁,该设备级配置信息补丁仅包括自起始的时间以来对安全意图策略模型的改变。然而,在不同时间点管理和存储对安全意图策略模型的所有改变需要另外使用计算资源(例如,处理资源、存储器资源、通信资源和/或功率资源等)。此外,在许多情况下,安全意图策略模型会不断更新,因此生成和部署包括自起始的时间以来的改变的设备级配置信息补丁经常引起计算资源的过度使用,诸如当被部署在网络设备上的设备级配置信息的当前版本只需要基于对安全意图策略模型的一些最近改变被更新时。
本文中描述的一些实现提供网络管理系统(NMS)。NMS标识安全意图策略模型。安全意图策略模型可以被表示为具有由多条边连接的多个节点的图。例如,安全意图策略模型可以包括与策略相关联的策略节点、与策略的一个或多个规则相关联的一个或多个规则节点、以及与策略的一个或多个规则相关联的一个或多个安全对象节点。每个节点包括指示例如与该节点相关联的版本指示和/或该节点的先前更新的时间的信息。另外或备选地,一个或多个安全对象节点中的每个安全对象节点包括指示连接到安全对象节点的规则节点的总数和/或与连接到安全对象节点的每个规则节点相关联的标识符的信息。
在一些实现中,NMS生成一个或多个差量快照,该一个或多个差量快照分别指示在与安全意图策略模型相关联的初始时间之后的时间对安全意图策略模型的一个或多个增量改变(例如,与一个或多个删除操作、一个或多个创建操作、和/或一个或多个更新操作)。即,一个或多个差量快照中的每个差量快照指示自与紧接在前的差量快照相关联的时间以来在特定时间对安全意图策略模型的改变。
在一些实现中,NMS确定NMS要将安全意图策略模型的更新版本部署到设备(例如,基于接收消息)。NMS因此确定NMS部署到设备的安全意图策略模型的先前版本和/或系统将安全意图策略模型的先前版本部署到设备的先前部署时间。相应地,NMS标识一个或多个差量快照中的以下一个或多个差量快照的集合:该一个或多个差量快照自安全意图策略模型的先前版本的部署以来和/或自先前部署时间以来被生成,并且基于一个或多个差量快照的集合生成累积差量快照。
在一些实现中,NMS维护与设备相关联的低级别安全意图策略模型。例如,低级别安全意图策略模型包括安全意图策略模型中所包括的一个或多个安全对象节点(例如,在先前部署时包括在安全意图策略模型的先前版本中)。NMS然后基于累积差量快照更新低级别安全意图策略模型。例如,NMS可以更新低级别安全意图策略模型以包括一个或多个安全对象节点,该一个或多个安全对象节点被包括在安全意图策略模型的当前版本中。因此,NMS由此生成并向设备提供设备级安全配置信息(例如,以使安全意图策略模型的更新版本被部署在网络设备上)。
以此方式,NMS使得能够高效地使用NMS和设备的计算资源(例如,处理资源、存储器资源、通信资源和/或功率资源等)。例如,通过使用差量快照跟踪在特定时间对安全意图策略模型的增量改变,NMS使用比在特定时间跟踪对安全意图策略的总改变的网络管理系统少的计算资源。此外,NMS可以更高效地生成并向设备提供设备级安全配置信息,以使安全意图策略模型的更新版本被部署在设备上。例如,更少的计算资源被使用,因为仅自上次的设备级安全配置信息的部署以来的改变被包括在设备级安全配置信息中,而不是初始部署之后的所有改变。这也使得能够在做出在设备上部署意图策略模型的更新版本的决定之后在设备上快速部署意图策略模型的更新版本(例如,实时或接近实时)。
图1A至1F是本文中描述的一个或多个示例实现100的图。如图1A至1F所示,(多个)示例实现100可以包括NMS和网络设备。下面结合图2至4更详细地描述NMS和网络设备。如图1A至1F所示,NMS可以包括安全意图策略模型管理模块、快照模块和供应(provisioning)模块。
如图1A通过附图标记102所示,NMS(例如,使用安全意图策略模型管理模块)可以标识安全意图策略模型。安全意图策略模型可以是基于图的策略模型,其中安全意图策略对象被表示为节点并且安全意图策略对象之间的关系被表示为边,或者可以是另一种类型的基于意图的模型。例如,如图1A所示,安全意图策略模型可以表示为具有由多条边连接的多个节点的图。多个节点可以包括与策略(例如,安全策略)相关联的策略节点。多个节点可以包括一个或多个规则节点(例如,其中每个规则节点与策略的规则相关联),该一个或多个规则节点经由多个边中的一个或多个“具有(has)”边连接到策略节点(例如,以指示策略包括一个或多个规则)。多个节点可以包括一个或多个安全对象节点(例如,其中每个安全对象节点与策略的安全对象相关联),该一个或多个安全对象节点经由多个边中的一个或多个“参考(reference)”边连接到一个或多个规则节点(例如,以指示一个或多个规则应用于一个或多个安全对象节点)。作为具体示例,如图1A所示,安全意图策略模型可以表示为包括以下的图:与策略A相关联的策略节点、与规则1相关联的第一规则节点和与规则2相关联的第二规则节点、以及与安全对象1相关联的第一安全对象节点、与安全对象2相关联的第二安全对象节点、以及与安全对象3相关联的第三安全对象节点。策略节点可以经由相应的具有边连接到第一规则节点和第二规则节点。第一规则节点可以经由相应的参考边连接到第一安全对象节点和第二对象节点,并且第二规则节点可以经由相应的参考边连接到第二安全对象节点和第三对象节点。
在一些实现中,安全意图策略模型的每个节点可以包括信息。该信息可以指示例如节点的名称、与节点相关联的标识符(例如,通用唯一标识符(UUID)或与节点相关联的另一标识符)、节点的类型(例如,指示节点是策略节点、规则节点、安全对象节点还是另一类型的节点)、与该节点相关联的版本指示、和/或该节点的先前更新的时间。另外或备选地,每个安全对象节点可以包括例如指示连接到安全对象节点的一个或多个规则节点的规则节点的总数的信息和/或与连接到安全对象节点的每个规则节点相关联的标识符。例如,第一安全对象节点(例如,与安全对象1相关联)可以包括指示第一安全对象节点与一个规则节点(第一规则节点(例如,与规则1相关联))相关联的信息;第二安全对象节点(例如,与安全对象2相关联)可以包括指示第二安全对象节点与两个规则节点(第一规则节点(例如,与规则1相关联)和第二规则节点(例如,与规则1相关联))相关联的信息;以及第三安全对象节点(例如,与安全对象3相关联)可以包括指示第三安全对象节点与一个规则节点(第二规则节点(例如,与规则2相关联))相关联的信息。
如图1B通过附图标记104所示,NMS(例如,使用快照模块)可以生成一个或多个差量快照。例如,NMS可以标识与安全意图策略模型相关联的初始时间,诸如NMS标识安全意图策略模型时的时间(例如,如本文关于图1A和附图标记102所描述的)。初始时间可以指示安全意图策略模型尚未改变时的时间(例如,当安全意图策略模型是“基本”安全意图策略模型时)。NMS然后可以生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变。例如,如图1B所示,NMS可以生成初始差量快照(D0),其指示从初始时间之后到第一时间T1对意图策略模型的一个或多个第一改变;可以生成第一差量快照(D1),其指示从第一时间T1到第二时间T2对意图策略模型的一个或多个改变;可以生成第二差量快照(D2),其指示从第二时间T2到第三时间T3对意图策略模型的一个或多个改变;等等。
如图1C通过附图标记106所示,NMS(例如,使用安全意图策略模型管理模块)可以接收消息。该消息可以指示NMS要将安全意图策略模型的更新版本部署到设备,诸如网络设备。例如,NMS可以从网络设备或另一设备(例如,与网络设备的管理员相关联的用户设备)接收消息。因此,NMS可以确定NMS要将安全意图策略模型的更新版本部署到设备。
如由附图标记108所示,NMS(例如,使用快照模块)可以确定(例如,基于消息和/或确定NMS要将安全意图策略模型的更新版本部署到设备)NMS部署到设备的安全意图策略模型的先前版本、和/或NMS将安全意图策略模型的先前版本部署到设备的先前部署时间。例如,NMS可以处理(例如,读取和/或解析)消息以标识设备。NMS可以基于所标识的设备在数据结构(例如,数据库、表格、文件或另一类型的数据结构)中搜索指示意图策略模型的先前版本和/或先前部署时间的条目。NMS可以处理(例如,读取和/或解析)该条目以确定意图策略模型的先前版本和/或先前部署时间。
如图1D通过附图标记110所示,NMS(例如,使用快照模块)可以生成累积差量快照(例如,基于一个或多个差量快照、安全意图策略模型的先前版本,和/或先前部署时间)。在一些实现中,NMS可以标识一个或多个差量快照中的一个或多个差量快照的集合,并且可以基于一个或多个差量快照的集合生成累积差量快照,该一个或多个差量快照的集合是自安全意图策略模型的先前版本被部署以来被生成的,诸如自先前部署时间以来。以这种方式,累积差量快照可以指示自安全意图策略模型的先前版本和/或先前部署时间以来对安全意图策略模型的一个或多个改变(例如,与比先前部署时间晚的时间相关联的一个或更多改变)。
在一些实现中,NMS(例如,使用安全意图策略模型管理模块)可以维护与设备相关联的低级别安全意图策略模型。低级别安全意图策略模型可以包括一个或多个安全对象节点。例如,低级别安全意图策略模型可以包括安全意图策略模型中所包括的一个或多个安全对象节点。也就是说,低级别安全意图策略模型可以包括一个或多个安全对象节点,该一个或多个安全对象节点被包括在安全意图策略模型的先前版本中(例如,在先前部署时间)。因此,低级别安全意图策略模型的每个安全对象节点可以包括指示例如以下的信息:安全对象节点的名称、与安全对象节点相关联的标识符、与安全对象节点相关联的版本指示、安全对象节点的先前更新的时间、与安全对象节点相关联的规则的总数、和/或与安全对象节点相关联的每个规则相关联的标识符。
如图1E通过附图标记112所示,NMS(例如,使用快照模块和/或安全意图策略模型管理模块)可以更新与设备相关联的低级别安全意图策略模型(例如,基于累积部署快照)。在一些实现中,NMS可以更新低级别安全意图策略模型以包括一个或多个安全对象节点,该一个或多个安全对象节点被包括在安全意图策略模型的当前版本中。
例如,为了更新低级别安全意图策略模型,NMS可以标识累积差量快照中的指示安全对象和规则(例如,与从安全意图策略模型中删除的安全对象相关联的规则)的删除操作。NMS因此可以更新被包括在低级别安全意图策略模型中的与安全对象相关联的安全对象节点中的信息,诸如通过移除与规则相关联的标识符、将与安全对象节点相关联的规则的总数减一、和/或更新安全对象节点的先前更新的时间(例如,到当前时间)。作为另一示例,NMS可以标识累积差量快照中的指示安全对象和规则(例如,与在安全意图策略模型中所创建的安全对象相关联的规则)的创建操作。NMS因此可以在低级别安全意图策略模型中生成与安全对象相关联的安全对象节点,并且更新安全对象中所包括的信息,诸如通过包括与规则相关联的标识符、将与安全对象相关联的规则的总数设置为一、和/或更新安全对象节点的先前更新的时间(例如,到当前时间)。在一个附加示例中,NMS可以标识累积差量快照中的指示安全对象和规则(例如,与在安全意图策略模型中更新的安全对象相关联的规则)的更新操作。NMS因此可以更新低级别安全意图策略模型中的被包括在与安全对象相关联的安全对象节点中的信息,诸如通过更新与规则相关联的标识符和/或更新安全对象节点的先前更新的时间(例如,到当前时间)。
如图1F通过附图标记114所示,NMS(例如,使用供应模块)可以为设备生成和提供设备级安全配置信息(例如,基于低级别安全意图策略模型,诸如在如本文关于图1E和附图标记112所描述的那样被更新之后)。例如,NMS可以标识低级别安全意图策略模型中的一个或多个安全对象节点,该一个或多个安全对象节点自先前部署时间以来已经被更新,并且可以基于该一个或多个安全对象节点生成针对网络设备的设备级安全配置信息(例如,基于与NMS可接入的网络设备的资源和能力相关的信息)。NMS可以向网络设备发送设备级安全配置信息。网络设备然后可以处理设备级安全配置信息以包括从先前部署时间起对安全意图策略模型的一个或多个改变。以此方式,提供设备级安全配置信息允许安全意图策略模型的更新版本被部署在网络设备上。
在一些实现中,诸如在更新低级别安全意图策略模型和/或生成和提供设备级安全配置信息之后,被包括在低级别安全意图策略模型中的安全对象节点中的信息可以指示与安全对象节点相关联的规则的数目为零(例如,基于被包括在累积部署快照中的一个或多个删除操作)。因此,NMS(例如,使用快照模块和/或安全意图策略模型管理模块)可以从低级别安全意图策略模型中移除安全对象节点。以此方式,NMS可以使低级别安全意图策略模型不包括安全意图策略模型的当前版本中所不包括的一个或多个安全对象节点,从而只包括安全意图策略模型的当前版本中所包括的一个或多个安全对象节点。
如上所述,图1A至1F仅作为一个或多个示例提供。其他示例可以不同于关于图1A至1F所描述的。
图2是本文中描述的系统和/或方法可以在其中实现的示例环境200的图。如图2所示,环境200可以包括网络管理系统201,其可以包括云计算系统202的一个或多个元素和/或可以在云计算系统202内执行。云计算系统202可以包括一个或多个元件203至212,如下文更详细描述的。如图2进一步所示,环境200可以包括网络220和/或网络设备230。环境200的设备和/或元素可以经由有线连接和/或无线连接互连。
云计算系统202可以包括计算硬件203、资源管理组件204、主机操作系统(OS)205和/或一个或多个虚拟计算系统206。云计算系统202可以在例如亚马逊Web服务平台、微软Azure平台或Snowflake平台上执行。资源管理组件204可以执行计算硬件203的虚拟化(例如,抽象)以创建一个或多个虚拟计算系统206。使用虚拟化,资源管理组件204使单个计算设备(例如,计算机或服务器)能够像多个计算设备一样操作,诸如通过从单个计算设备的计算硬件203创建多个隔离的虚拟计算系统206。以此方式,计算硬件203可以更高效地操作,与使用分开的计算设备相比具有更低的功耗、更高的可靠性、更高的可用性、更高的利用率、更大的灵活性和更低的成本。
计算硬件203可以包括来自一个或多个计算设备的硬件和对应资源。例如,计算硬件203可以包括来自单个计算设备(例如,单个服务器)或来自多个计算设备(例如,多个服务器)的硬件,诸如一个或多个数据中心中的多个计算设备。如图所示,计算硬件203可以包括一个或多个处理器207、一个或多个存储器208和/或一个或多个联网组件209。处理器、存储器和联网组件(例如,通信组件)的示例在本文别处描述。
资源管理组件204可以包括能够虚拟化计算硬件203以开始、停止和/或管理一个或多个虚拟计算系统206的虚拟化应用(例如,在硬件上执行,诸如计算硬件203)。例如,资源管理组件204可以包括管理程序(hypervisor)(例如,裸机或类型1管理程序、托管或类型2管理程序、或者另一类型的管理程序)或虚拟机监视器,诸如当虚拟计算系统206是虚拟机210时。另外或备选地,资源管理组件204可以包括容器管理器,诸如当虚拟计算系统206是容器211时。在一些实现中,资源管理组件204在主机操作系统205内执行和/或与主机操作系统205协作执行。
虚拟计算系统206可以包括虚拟环境,该虚拟环境使用计算硬件203实现本文描述的操作和/或过程的基于云的执行。如图所示,虚拟计算系统206可以包括虚拟机210、容器211、或者包括虚拟机和容器的混合环境212,以及其他示例。虚拟计算系统206可以使用文件系统执行一个或多个应用,该文件系统包括二进制文件、软件库和/或、在访客操作系统(例如,在虚拟计算系统206内)或主机操作系统205上执行应用所需的其他资源。
尽管网络管理系统201可以包括云计算系统202的一个或多个元件203-212,可以在云计算系统202内执行,和/或可以被托管在云计算系统202内,但是在一些实现中,网络管理系统201可以不是基于云的(例如,可以在云计算系统之外实现)或者可以是部分基于云的。例如,网络管理系统201可以包括不是云计算系统202的部分的一个或多个设备,诸如图3的设备300或图4的设备400,其可以包括独立服务器或另一种类型的计算设备。网络管理系统201可以执行在本文别处更详细描述的一个或多个操作和/或过程。
网络220可以包括一个或多个有线和/或无线网络。例如,网络220可以包括蜂窝网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、专用网络、因特网、和/或这些或另一类型的网络的组合。网络220使得环境200的设备之间能够通信。
网络设备230包括能够以本文描述的方式接收、处理、存储、路由和/或提供流量(例如,分组或其他信息或元数据)的一个或多个设备。例如,网络设备230可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供方路由器(例如,提供方边缘路由器或提供方核心路由器)、虚拟路由器或其他类型的路由器。另外,或者备选地,网络设备230可以包括网关、交换机、防火墙、集线器、网桥、反向代理、服务器(例如,代理服务器、云服务器或数据中心服务器)、负载平衡器、和/或类似设备。在一些实现中,网络设备230可以是在外壳(诸如机箱)内实现的物理设备。在一些实现中,网络设备230可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,一组网络设备230可以是一组数据中心节点,其用于通过网络220路由流量流。
图2所示的设备和网络的数目和布置是作为示例提供的。实际上,可能存在与图2中所示的那些相比的附加的设备和/或网络、较少的设备和/或网络、不同的设备和/或网络、或不同布置的设备和/或网络。此外,图2中所示的两个或更多个设备可以在单个设备内实现,或者图2中所示的单个设备可以实现为多个分布式设备。另外,或备选地,环境200的设备集合(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。
图3是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的设备300的示例组件的图。设备300可以对应于网络管理系统201、计算硬件203和/或网络设备230。在一些实现中,网络管理系统201、计算硬件203和/或网络设备230可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括总线310、处理器320、存储器330、输入组件340、输出组件350和/或通信组件360。
总线310可以包括一个或多个组件,该一个或多个组件使能在设备300的组件之间的有线和/或无线通信。总线310可以将图3的两个或更多个组件耦合在一起,诸如经由操作耦合、通信耦合、电子耦合和/或电耦合。例如,总线310可以包括电连接(例如,电线、迹线和/或引线)和/或无线总线。处理器320可以包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或另一类型的处理组件。处理器320可以以硬件、固件、或者硬件和软件的组合来实现。在一些实现中,处理器320可以包括一个或多个处理器,该一个或多个处理器能够被编程以执行本文别处描述的一个或多个操作或过程。
存储器330可以包括易失性和/或非易失性存储器。例如,存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或另一种类型的存储器(例如,闪存、磁存储器和/或光存储器)。存储器330可以包括内部存储器(例如,RAM、ROM或硬盘驱动器)和/或可移除存储器(例如,经由通用串行总线连接可移除)。存储器330可以是非暂态计算机可读介质。存储器330可以存储与设备300的操作相关的信息、一个或多个指令和/或软件(例如,一个或多个软件应用)。在一些实现中,存储器330可以包括一个或多个存储器,它们诸如经由总线310耦合(例如,通信耦合)到一个或多个处理器(例如,处理器320)。处理器320和存储器330之间的通信耦合可以使处理器320能够读取和/或处理存储在存储器330中的信息和/或将信息存储在存储器330中。
输入组件340可以使设备300能够接收输入,诸如用户输入和/或感测输入。例如,输入组件340可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位系统传感器、加速度计、陀螺仪和/或执行器。输出组件350可以使设备300能够提供输出,诸如经由显示器、扬声器和/或发光二极管。通信组件360可以使设备300能够经由有线连接和/或无线连接与其他设备通信。例如,通信组件360可以包括接收器、发射器、收发器、调制解调器、网络接口卡和/或天线。
设备300可以执行本文中描述的一个或多个操作或过程。例如,非暂态计算机可读介质(例如,存储器330)可以存储指令集合(例如,一个或多个指令或代码)以供处理器320执行。处理器320可以执行该指令集合以执行本文中描述的一个或多个操作或过程。在一些实现中,由一个或多个处理器320执行指令集合使一个或多个处理器320和/或设备300执行本文中描述的一个或多个操作或过程。在一些实现中,硬连线电路系统可以代替指令或与指令组合使用以执行本文中描述的一个或多个操作或过程。另外或备选地,处理器320可以被配置为执行本文中描述的一个或多个操作或过程。因此,本文中描述的实现不限于硬件电路系统和软件的任何特定组合。
图3中所示的组件的数目和布置是作为示例提供的。设备300可以包括与图3中所示的那些相比的附加的组件、较少的组件、不同的组件或不同布置的组件。另外,或备选地,设备300的组件集合(例如,一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。
图4是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的设备400的示例组件的图。设备400可以对应于网络管理系统201、计算硬件203和/或网络设备230。在一些实现中,网络管理系统201、计算硬件203和/或网络设备230可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示,设备400可以包括一个或多个输入组件410-1至410-B(B≥1)(以下统称为输入组件410,并且单独称为输入组件410)、交换组件420、一个或多个输出组件430-1至430-C(C≥1)(以下统称为输出组件430,并且单独称为输出组件430),以及控制器440。
输入组件410可以是用于物理链路的一个或多个附接点,并且可以是用于传入流量(诸如分组)的一个或多个入口点。输入组件410可以处理传入流量,诸如通过执行数据链路层封装或解封装。在一些实现中,输入组件410可以传输和/或接收分组。在一些实现中,输入组件410可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
交换组件420可以将输入组件410与输出组件430互连。在一些实现中,交换组件420可以经由一个或多个交叉开关、经由总线和/或利用共享存储器来实现。共享存储器可以充当临时缓冲器,以在分组最终被调度用于传送到输出组件430之前存储来自输入组件410的分组。在一些实现中,交换组件420可以使输入组件410、输出组件430和/或控制器440能够相互通信。
输出组件430可以存储分组并且可以调度分组用于在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装,和/或各种较高级别的协议。在一些实现中,输出组件430可以传输分组和/或接收分组。在一些实现中,输出组件430可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以由相同的组件集合实现(例如,并且输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括形式为例如CPU、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或另一种类型的处理器。处理器以硬件、固件、或者硬件和软件的组合来实现。在一些实现中,控制器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实现中,控制器440可以包括存储用于由控制器440使用的信息和/或指令的RAM、ROM和/或另一种类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等)。
在一些实现中,控制器440可以与连接到设备400的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息创建路由表,可以基于路由表创建转发表,并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表来执行针对传入和/或传出分组的路由查找。
控制器440可以执行本文中描述的一个或多个过程。控制器440可以响应于执行由非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或分布在多个物理存储设备上的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或从另一设备读入与控制器440相关联的存储器和/或存储组件。当被执行时,存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文中描述的一个或多个过程。另外或备选地,硬连线电路系统可以代替软件指令或与软件指令组合使用以执行本文描述的一个或多个过程。因此,本文中描述的实现不限于硬件电路系统和软件的任何特定组合。
图4中所示的组件的数目和布置是作为示例提供的。在实践中,设备400可以包括与图4中所示的那些相比的附加的组件、较少的组件、不同的组件或不同布置的组件。另外,或备选地,设备400的组件集合(例如,一个或多个组件)可以执行描述为由设备400的另一个组件集合执行的一个或多个功能。
图5是与基于对安全意图策略模型的改变的设备级安全配置的高效更新相关联的示例过程500的流程图。在一些实现中,图5的一个或多个过程框由系统(例如,网络管理系统201)执行。在一些实现中,图5的一个或多个过程框由与系统分开或包括系统的另一设备或一组设备执行,诸如网络设备(例如,网络设备230)。另外,或备选地,图5的一个或多个过程框可以由设备300的一个或多个组件执行,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;设备400的一个或多个组件,诸如输入组件410、交换组件420、输出组件430和/或控制器440;和/或另一设备的一个或多个组件。
如图5所示,过程500可以包括标识与初始时间相关联的安全意图策略模型(框510)。例如,系统可以标识与初始时间相关联的安全意图策略模型,如上所述。
如图5进一步所示,过程500可以包括生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变(框520)。例如,系统可以生成一个或多个差量快照,该一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变,如上所述。
如图5进一步所示,过程500可以包括确定系统要部署安全意图策略模型的更新版本到设备(框530)。例如,系统可以确定系统要将安全意图策略模型的更新版本部署到设备,如上所述。
如图5进一步所示,过程500可以包括基于确定系统要部署安全意图策略模型的更新版本而确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间(框540)。例如,系统可以基于确定系统要部署安全意图策略模型的更新版本而确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间,如上所述。
如图5进一步所示,过程500可以包括基于一个或多个差量快照和先前部署时间生成累积差量快照(框550)。例如,系统可以基于一个或多个差量快照和先前部署时间生成累积差量快照,如上所述。
如图5进一步所示,过程500可以包括基于累积差量快照更新与设备相关联的低级别安全意图策略模型(框560)。例如,系统可以基于累积差量快照来更新与设备相关联的低级别安全意图策略模型,如上所述。
如图5进一步所示,过程500可以包括基于低级别安全意图策略模型来生成针对设备的设备级安全配置信息(框570)。例如,系统可以基于低级别安全意图策略模型来生成针对设备的设备级安全配置信息,如上所述。
过程500可以包括附加的实现,诸如下文描述的和/或结合本文别处描述的一个或多个其他过程的任何单个实现或实现的任何组合。
在第一实现中,安全意图策略模型被表示为具有由多条边连接的多个节点的图,其中多个节点包括与策略相关联的策略节点,并且多个节点包括一个或多个规则节点,该一个或多个规则节点经由多条边中的一条或多条具有边连接到策略节点,其中每个规则节点与策略的规则相关联,并且多个节点包括一个或多个安全对象节点,该一个或多个安全对象节点经由多条边中的一条或多条参考边连接到一个或多个规则节点,其中每个安全对象节点与策略的安全对象相关联。
在第二实现中,单独或与第一实现组合,安全意图策略模型的多个节点中的每个节点包括指示以下至少一项的信息:节点的名称、与节点相关联的标识符、节点的类型、与节点关联的版本指示、或者节点的先前更新的时间。
在第三实现中,单独或与第一和第二实现中的一个或多个实现组合,一个或多个安全对象节点中的每个安全对象节点包括指示以下至少一项的信息:一个或多个规则节点中连接到安全对象节点的规则节点的总数,或者与连接到安全对象节点的每个规则节点相关联的标识符。
在第四实现中,单独或与第一至第三实现中的一个或多个实现组合,低级别安全意图策略模型包括一个或多个安全对象节点,其中每个安全对象节点包括指示以下至少一项的信息:安全对象节点的名称、安全对象节点的类型、与安全对象节点相关联的标识符、与安全对象节点相关联的版本指示、安全对象节点的先前更新的时间、与安全对象节点相关联的规则的总数、或者与安全对象节点相关联的每个规则相关联的标识符。
在第五实现中,单独或与第一至第四实现中的一个或多个实现组合,更新低级别安全意图策略模型包括标识累积差量快照中的指示安全对象和规则的删除操作,以及通过以下来更新低级别安全意图策略模型中的与安全对象相关联的安全对象节点中所包括的信息:移除与规则相关联的标识符、将与安全对象节点相关联的规则的总数减一、以及更新安全对象节点的先前更新的时间。
在第六实现中,单独或与第一至第五实现中的一个或多个实现组合,更新低级别安全意图策略模型包括标识累积差量快照中的指示安全对象和规则的创建操作,在低级别安全意图策略模型中生成与安全对象相关联的安全对象节点,以及通过以下来更新安全对象节点中所包括的信息:包括与规则相关联的标识符、将与安全对象节点相关联的规则的总数设置为一、以及更新安全对象节点的先前更新的时间。
在第七实现中,单独或与第一至第六实现中的一个或多个实现组合,更新低级别安全意图策略模型包括标识累积差量快照中的指示安全对象和规则的更新操作,以及通过以下来更新低级别安全意图策略模型中的与安全对象关联的安全对象节点中所包括的信息:更新与规则相关联的标识符,以及更新安全对象节点的先前更新的时间。
在第八实现中,单独或与第一至第七实现中的一个或多个组合,为设备生成设备级安全配置信息包括:表示低级别安全意图策略模型中的自先前部署时间以来已经被更新的一个或多个安全对象节点,以及基于一个或多个安全对象节点生成设备级供应配置信息。
在第九实现中,单独或与第一至第八实现中的一个或多个组合,过程500包括向设备提供设备级安全配置信息,其中提供设备级安全配置信息允许安全意图策略模型的更新版本被部署在设备上。
尽管图5示出了过程500的示例框,但在一些实现中,过程500包括与图5中描绘的那些相比的附加的框、更少的框、不同的框或不同布置的框。另外,或备选地,过程500的框中的两个或更多框可以并行执行。
前述公开提供了说明和描述,但并非旨在穷举或将实现限制为所公开的精确形式。可以根据上述公开进行修改和改变,或者可以从实现的实践中获取。
如本文所用,术语“组件”旨在被广泛地解释为硬件、固件或硬件和软件的组合。将明显的是,本文描述的系统和/或方法可以以不同形式的硬件、固件、和/或硬件和软件的组合来实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。因此,系统和/或方法的操作和行为在本文中被描述而不参考特定的软件代码—应当理解,软件和硬件可以用于基于本文的描述来实现系统和/或方法。
尽管特征的特定组合在权利要求中叙述和/或在说明书中公开,但是这些组合并不旨在限制各种实现的公开。事实上,这些特征中的许多可以以未在权利要求中具体叙述和/或在说明书中公开的方式组合。尽管下面列出的每个从属权利要求可能直接依赖于一个权利要求,但是各种实现的公开包括每个从属权利要求与权利要求集中的每个其他权利要求的组合。如本文所用,提及项目列表中的“至少一个”的短语是指那些项目的任何组合,包括单个成员。例如,“以下至少一项:a、b或c”旨在涵盖a、b、c、a-b、a-c、b-c和a-b-c,以及具有多个相同项目的任何组合。
除非明确如此描述,本文中使用的任何元素、动作或指令都不应被解释为关键或必要的。此外,如本文所用,冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所用,冠词“该(the)”旨在包括与冠词“该(the)”相关引用的一个或多个项目,并且可以与“该一个或多个”互换使用。此外,如本文所用,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、或者相关和不相关项目的组合),并且可以与“一个或多个”互换使用。在只有一个项目的情况下,使用短语“只有一个”或类似的语言。此外,如本文所用,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在为开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分基于”。此外,如本文所用,术语“或”在系列中使用时旨在包括在内并且可以与“和/或”互换使用,除非另有明确说明(例如,如果与“任一”或“仅其中之一”组合使用)。
示例1.一种方法,包括:由系统标识与初始时间相关联的安全意图策略模型;由系统生成一个或多个差量快照,一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变;由系统确定系统要部署安全意图策略模型的更新版本到设备;由系统基于确定系统要部署安全意图策略模型的更新版本,确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间;由系统基于一个或多个差量快照和先前部署时间,生成累积差量快照;由系统基于累积差量快照来更新与设备相关联的低级别安全意图策略模型;以及由系统基于低级别安全意图策略模型来生成针对设备的设备级安全配置信息。
示例2.示例1的方法,其中安全意图策略模型被表示为具有由多个边连接的多个节点的图,其中:多个节点包括与策略相关联的策略节点;以及多个节点包括一个或多个规则节点,一个或多个规则节点经由多个边中的一个或多个边连接到策略节点,其中每个规则节点与策略的规则相关联,并且多个节点包括一个或多个安全对象节点,一个或多个安全对象节点经由多个边中的一个或多个参考边连接到一个或多个规则节点,其中每个安全对象节点与策略的安全对象相关联。
示例3.示例2的方法,其中安全意图策略模型的多个节点中的每个节点包括指示以下至少一项的信息:节点的名称,与节点相关联的标识符,节点的类型,与节点相关联的版本指示,或者节点的先前更新的时间。
示例4.示例2的方法,其中一个或多个安全对象节点中的每个安全对象节点包括指示以下至少一项的信息:一个或多个规则节点中连接到安全对象节点的规则节点的总数,或者与连接到安全对象节点的每个规则节点相关联的标识符。
示例5.示例1的方法,其中低级别安全意图策略模型包括一个或多个安全对象节点,其中每个安全对象节点包括指示以下至少一项的信息:安全对象节点的名称,安全对象节点的类型,与安全对象节点相关联的标识符,与安全对象节点相关联的版本指示,安全对象节点的先前更新的时间,与安全对象节点相关联的规则的总数,或者与安全对象节点相关联的每个规则相关联的标识符。
示例6.示例1的方法,其中更新低级别安全意图策略模型包括:标识累积差量快照中的指示安全对象和规则的删除操作;以及通过以下来更新低级别安全意图策略模型中的与安全对象相关联的安全对象节点中所包括的信息:移除与规则相关联的标识符,将与安全对象节点相关联的规则的总数减一,以及更新安全对象节点的先前更新的时间。
示例7.示例1的方法,其中更新低级别安全意图策略模型包括:标识累积差量快照中的指示安全对象和规则的创建操作;在低级别安全意图策略模型中生成与安全对象相关联的安全对象节点;以及通过以下来更新安全对象节点中所包括的信息:包括与规则相关联的标识符,将与安全对象节点相关联的规则的总数设置为一,以及更新安全对象节点的先前更新的时间。
示例8.示例1的方法,其中更新低级别安全意图策略模型包括:标识累积差量快照中的指示安全对象和规则的更新操作;以及通过以下来更新低级别安全意图策略模型中的与安全对象相关联的安全对象节点中所包括的信息:更新与规则相关联的标识符,以及更新安全对象节点的先前更新的时间。
示例9.示例1的方法,其中生成针对设备的设备级安全配置信息包括:标识低级别安全意图策略模型中的自先前部署时间以来已经被更新的一个或多个安全对象节点;以及基于一个或多个安全对象节点来生成设备级供应配置信息。
示例10.示例1的方法,还包括:向设备提供设备级安全配置信息,其中提供设备级安全配置信息允许安全意图策略模型的更新版本被部署在设备上。
示例11.一种存储指令集合的非暂态计算机可读介质,指令集合包括:一个或多个指令,一个或多个指令当由系统的一个或多个处理器执行时使系统:生成一个或多个差量快照,一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变;确定系统要部署安全意图策略模型的更新版本到设备;基于确定系统要部署安全意图策略模型的更新版本到设备并且基于一个或多个差量快照,生成累积差量快照;基于累积差量快照来更新与设备相关联的低级别安全意图策略模型;以及基于低级别安全意图策略模型来生成针对设备的设备级安全配置信息。
示例12.示例11的非暂态计算机可读介质,其中使系统生成累积差量快照的一个或多个指令使系统:基于确定系统要部署安全意图策略模型的更新版本,确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间;标识一个或多个差量快照中的自先前部署时间以来被生成的一个或多个差量快照的集合;以及基于一个或多个差量快照的集合来生成累积差量快照。
示例13.示例11的非暂态计算机可读介质,其中使系统更新低级别安全意图策略模型的一个或多个指令使系统:标识累积差量快照中的指示安全对象和规则的删除操作;以及通过以下来更新低级别安全意图策略模型中的与安全对象相关联的安全对象节点中所包括的信息:移除与规则相关联的标识符,将与安全对象节点相关联的规则的总数减一,以及更新安全对象节点的先前更新的时间。
示例14.示例11的非暂态计算机可读介质,其中使系统更新低级别安全意图策略模型的一个或多个指令使系统:标识累积差量快照中的指示安全对象和规则的创建操作;在低级别安全意图策略模型中生成与安全对象相关联的安全对象节点;以及通过以下来更新安全对象中所包括的信息:包括与规则相关联的标识符,将与安全对象节点相关联的规则的总数设置为一,以及更新安全对象节点的先前更新的时间。
示例15.示例11的非暂态计算机可读介质,其中使系统更新低级别安全意图策略模型的一个或多个指令使系统:标识累积差量快照中的指示安全对象和规则的更新操作;以及通过以下来更新低级别安全意图策略模型中的与安全对象相关联的安全对象节点中所包括的信息:更新与规则相关联的标识符,以及更新安全对象节点的先前更新的时间。
示例16.示例11的非暂态计算机可读介质,其中使系统生成针对设备的设备级安全配置信息的一个或多个指令使系统:基于低级别安全意图策略模型中的一个或多个安全对象节点来生成设备级安全配置信息,一个或多个安全对象节点自安全意图策略模型的先前版本被部署到设备的先前部署时间以来已经被更新。
示例17.示例11的非暂态计算机可读介质,其中一个或多个指令还使系统:向设备提供设备级安全配置信息,其中提供设备级安全配置信息允许安全意图策略模型的更新版本被部署在设备上。
示例18.一种系统,包括:一个或多个存储器;以及一个或多个处理器:生成一个或多个差量快照,一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变;确定系统要部署安全意图策略模型的更新版本到设备;基于确定系统要部署安全意图策略模型的更新版本并且基于一个或多个差量快照中的至少一些差量快照,更新与设备相关联的低级别安全意图策略模型;以及基于低级别安全意图策略模型来生成针对设备的设备级安全配置信息。
示例19.示例18的系统,其中一个或多个处理器为更新低级别安全意图策略模型而:基于确定系统要部署安全意图策略模型的更新版本,确定系统将安全意图策略模型的先前版本部署到设备的先前部署时间;基于一个或多个差量快照和先前部署时间来生成累积差量快照;以及基于累积差量快照,更新与设备相关联的低级别安全意图策略模型。
示例20.示例18的系统,其中一个或多个处理器还:向设备提供设备级安全配置信息,其中提供设备级安全配置信息允许安全意图策略模型的更新版本被部署在设备上。
Claims (20)
1.一种方法,包括:
由系统标识与初始时间相关联的安全意图策略模型;
由所述系统生成一个或多个差量快照,所述一个或多个差量快照分别指示在所述初始时间之后的时间对所述安全意图策略模型的一个或多个增量改变;
由所述系统确定所述系统要部署所述安全意图策略模型的更新版本到设备;
由所述系统基于确定所述系统要部署所述安全意图策略模型的所述更新版本,确定所述系统将所述安全意图策略模型的先前版本部署到所述设备的先前部署时间;
由所述系统基于所述一个或多个差量快照和所述先前部署时间,生成累积差量快照;
由所述系统基于所述累积差量快照来更新与所述设备相关联的低级别安全意图策略模型;以及
由所述系统基于所述低级别安全意图策略模型来生成针对所述设备的设备级安全配置信息。
2.根据权利要求1所述的方法,其中所述安全意图策略模型被表示为具有由多个边连接的多个节点的图,其中:
所述多个节点包括与策略相关联的策略节点;以及
所述多个节点包括一个或多个规则节点,所述一个或多个规则节点经由所述多个边中的一个或多个边连接到所述策略节点,
其中每个规则节点与所述策略的规则相关联,并且
所述多个节点包括一个或多个安全对象节点,所述一个或多个安全对象节点经由所述多个边中的一个或多个参考边连接到所述一个或多个规则节点,
其中每个安全对象节点与所述策略的安全对象相关联。
3.根据权利要求2所述的方法,其中所述安全意图策略模型的所述多个节点中的每个节点包括指示以下至少一项的信息:
所述节点的名称,
与所述节点相关联的标识符,
所述节点的类型,
与所述节点相关联的版本指示,或者
所述节点的先前更新的时间。
4.根据权利要求2所述的方法,其中所述一个或多个安全对象节点中的每个安全对象节点包括指示以下至少一项的信息:
所述一个或多个规则节点中连接到所述安全对象节点的规则节点的总数,或者
与连接到所述安全对象节点的每个规则节点相关联的标识符。
5.根据权利要求1所述的方法,其中所述低级别安全意图策略模型包括一个或多个安全对象节点,
其中每个安全对象节点包括指示以下至少一项的信息:
所述安全对象节点的名称,
所述安全对象节点的类型,
与所述安全对象节点相关联的标识符,
与所述安全对象节点相关联的版本指示,
所述安全对象节点的先前更新的时间,
与所述安全对象节点相关联的规则的总数,或者
与所述安全对象节点相关联的每个规则相关联的标识符。
6.根据权利要求1所述的方法,其中更新所述低级别安全意图策略模型包括:
标识所述累积差量快照中的指示安全对象和规则的删除操作;以及
通过以下来更新所述低级别安全意图策略模型中的与所述安全对象相关联的安全对象节点中所包括的信息:
移除与所述规则相关联的标识符,
将与所述安全对象节点相关联的规则的总数减一,以及
更新所述安全对象节点的先前更新的时间。
7.根据权利要求1所述的方法,其中更新所述低级别安全意图策略模型包括:
标识所述累积差量快照中的指示安全对象和规则的创建操作;
在所述低级别安全意图策略模型中生成与所述安全对象相关联的安全对象节点;以及
通过以下来更新所述安全对象节点中所包括的信息:
包括与所述规则相关联的标识符,
将与所述安全对象节点相关联的规则的总数设置为一,以及
更新所述安全对象节点的先前更新的时间。
8.根据权利要求1所述的方法,其中更新所述低级别安全意图策略模型包括:
标识所述累积差量快照中的指示安全对象和规则的更新操作;以及
通过以下来更新所述低级别安全意图策略模型中的与所述安全对象相关联的安全对象节点中所包括的信息:
更新与所述规则相关联的标识符,以及
更新所述安全对象节点的先前更新的时间。
9.根据权利要求1所述的方法,其中生成针对所述设备的所述设备级安全配置信息包括:
标识所述低级别安全意图策略模型中的自所述先前部署时间以来已经被更新的一个或多个安全对象节点;以及
基于所述一个或多个安全对象节点来生成设备级供应配置信息。
10.根据权利要求1所述的方法,还包括:
向所述设备提供所述设备级安全配置信息,
其中提供所述设备级安全配置信息允许所述安全意图策略模型的所述更新版本被部署在所述设备上。
11.一种存储指令集合的非暂态计算机可读介质,所述指令集合包括:
一个或多个指令,所述一个或多个指令当由系统的一个或多个处理器执行时使所述系统:
生成一个或多个差量快照,所述一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变;
确定所述系统要部署所述安全意图策略模型的更新版本到设备;
基于确定所述系统要部署所述安全意图策略模型的所述更新版本到所述设备并且基于所述一个或多个差量快照,生成累积差量快照;
基于所述累积差量快照来更新与所述设备相关联的低级别安全意图策略模型;以及
基于所述低级别安全意图策略模型来生成针对所述设备的设备级安全配置信息。
12.根据权利要求11所述的非暂态计算机可读介质,其中使所述系统生成所述累积差量快照的所述一个或多个指令使所述系统:
基于确定所述系统要部署所述安全意图策略模型的所述更新版本,确定所述系统将所述安全意图策略模型的先前版本部署到所述设备的先前部署时间;
标识所述一个或多个差量快照中的自所述先前部署时间以来被生成的一个或多个差量快照的集合;以及
基于所述一个或多个差量快照的集合来生成所述累积差量快照。
13.根据权利要求11所述的非暂态计算机可读介质,其中使所述系统更新所述低级别安全意图策略模型的所述一个或多个指令使所述系统:
标识所述累积差量快照中的指示安全对象和规则的删除操作;以及
通过以下来更新所述低级别安全意图策略模型中的与所述安全对象相关联的安全对象节点中所包括的信息:
移除与所述规则相关联的标识符,
将与所述安全对象节点相关联的规则的总数减一,以及
更新所述安全对象节点的先前更新的时间。
14.根据权利要求11所述的非暂态计算机可读介质,其中使所述系统更新所述低级别安全意图策略模型的所述一个或多个指令使所述系统:
标识所述累积差量快照中的指示安全对象和规则的创建操作;
在所述低级别安全意图策略模型中生成与所述安全对象相关联的安全对象节点;以及
通过以下来更新所述安全对象中所包括的信息:
包括与所述规则相关联的标识符,
将与所述安全对象节点相关联的规则的总数设置为一,以及
更新所述安全对象节点的先前更新的时间。
15.根据权利要求11所述的非暂态计算机可读介质,其中使所述系统更新所述低级别安全意图策略模型的所述一个或多个指令使所述系统:
标识所述累积差量快照中的指示安全对象和规则的更新操作;以及
通过以下来更新所述低级别安全意图策略模型中的与所述安全对象相关联的安全对象节点中所包括的信息:
更新与所述规则相关联的标识符,以及
更新所述安全对象节点的先前更新的时间。
16.根据权利要求11所述的非暂态计算机可读介质,其中使所述系统生成针对所述设备的所述设备级安全配置信息的所述一个或多个指令使所述系统:
基于所述低级别安全意图策略模型中的一个或多个安全对象节点来生成所述设备级安全配置信息,所述一个或多个安全对象节点自所述安全意图策略模型的先前版本被部署到所述设备的先前部署时间以来已经被更新。
17.根据权利要求11所述的非暂态计算机可读介质,其中所述一个或多个指令还使所述系统:
向所述设备提供所述设备级安全配置信息,
其中提供所述设备级安全配置信息允许所述安全意图策略模型的所述更新版本被部署在所述设备上。
18.一种系统,包括:
一个或多个存储器;以及
一个或多个处理器:
生成一个或多个差量快照,所述一个或多个差量快照分别指示在初始时间之后的时间对安全意图策略模型的一个或多个增量改变;
确定所述系统要部署所述安全意图策略模型的更新版本到设备;
基于确定所述系统要部署所述安全意图策略模型的所述更新版本并且基于所述一个或多个差量快照中的至少一些差量快照,更新与所述设备相关联的低级别安全意图策略模型;以及
基于所述低级别安全意图策略模型来生成针对所述设备的设备级安全配置信息。
19.根据权利要求18所述的系统,其中所述一个或多个处理器为更新所述低级别安全意图策略模型而:
基于确定所述系统要部署所述安全意图策略模型的所述更新版本,确定所述系统将所述安全意图策略模型的先前版本部署到所述设备的先前部署时间;
基于所述一个或多个差量快照和所述先前部署时间来生成累积差量快照;以及
基于所述累积差量快照,更新与所述设备相关联的所述低级别安全意图策略模型。
20.根据权利要求18所述的系统,其中所述一个或多个处理器还:
向所述设备提供所述设备级安全配置信息,
其中提供所述设备级安全配置信息允许所述安全意图策略模型的所述更新版本被部署在所述设备上。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US18/070,948 US20240179183A1 (en) | 2022-11-29 | 2022-11-29 | Efficient updating of device-level security configuration based on changes to security intent policy model |
| US18/070,948 | 2022-11-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118118200A true CN118118200A (zh) | 2024-05-31 |
Family
ID=85122920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310058663.8A Pending CN118118200A (zh) | 2022-11-29 | 2023-01-16 | 基于对安全意图策略模型的改变高效更新设备级安全配置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240179183A1 (zh) |
| EP (1) | EP4380103A1 (zh) |
| CN (1) | CN118118200A (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10200248B1 (en) * | 2016-06-30 | 2019-02-05 | Juniper Networks, Inc. | Translating high-level configuration instructions to low-level device configuration |
| US10897396B2 (en) * | 2019-03-29 | 2021-01-19 | Juniper Networks, Inc. | Supporting concurrency for graph-based high level configuration models |
| US11363068B2 (en) * | 2019-11-04 | 2022-06-14 | ColorTokens, Inc. | Method and system for providing a complete traceability of changes incurred in a security policy |
-
2022
- 2022-11-29 US US18/070,948 patent/US20240179183A1/en active Pending
-
2023
- 2023-01-16 CN CN202310058663.8A patent/CN118118200A/zh active Pending
- 2023-01-26 EP EP23153546.9A patent/EP4380103A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4380103A1 (en) | 2024-06-05 |
| US20240179183A1 (en) | 2024-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9172657B2 (en) | Technique for resource creation in a cloud computing system | |
| US10545750B2 (en) | Distributed upgrade in virtualized computing environments | |
| EP3152866B1 (en) | Network-state management service | |
| CN107896191B (zh) | 一种基于容器的虚拟安全组件跨云系统及方法 | |
| US10904070B2 (en) | Techniques and interfaces for troubleshooting datacenter networks | |
| CN105531970A (zh) | 实时考量全局网络拥塞的工作负荷部署 | |
| US8346899B2 (en) | Method and system for NIC-centric hyper-channel distributed network management | |
| US20210365303A1 (en) | Cloud environment configuration based on task parallelization | |
| EP3039823A1 (en) | Automatically configuring virtual router | |
| US20210144067A1 (en) | Utilizing constraints to determine optimized network plans and to implement an optimized network plan | |
| CN111371608B (zh) | 一种部署sfc业务链的方法、装置和介质 | |
| US11695631B1 (en) | Generating candidate links and candidate paths before selecting links for an optimized optical network plan | |
| CN111752180A (zh) | 经由集中式控制器或网络设备控制网络中的路径 | |
| CN111124535B (zh) | 云主机qga的功能扩展方法、装置、设备及存储介质 | |
| US9996335B2 (en) | Concurrent deployment in a network environment | |
| EP4380103A1 (en) | Efficient updating of device-level security configuration based on changes to security intent policy model | |
| US20240176709A1 (en) | Using delta snapshots to facilitate intent policy model rollback and deployment | |
| EP4340312A1 (en) | Translation of a source intent policy model to a target intent policy model | |
| US20240097983A1 (en) | Translation of a source intent policy model to a target intent policy model | |
| CN117729118A (zh) | 源意图策略模型到目标意图策略模型的转换 | |
| US11570260B1 (en) | Data collection configuration file generation | |
| US11960943B2 (en) | Event log management | |
| EP4198726A1 (en) | Event log management | |
| CN114461399B (zh) | 资源的分配方法和装置、存储介质及电子装置 | |
| CN114430379B (zh) | 发现网络资源的方法、设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |