DE112021006422T5 - Deperimeterisierter zugriffssteuerdienst - Google Patents

Deperimeterisierter zugriffssteuerdienst Download PDF

Info

Publication number
DE112021006422T5
DE112021006422T5 DE112021006422.3T DE112021006422T DE112021006422T5 DE 112021006422 T5 DE112021006422 T5 DE 112021006422T5 DE 112021006422 T DE112021006422 T DE 112021006422T DE 112021006422 T5 DE112021006422 T5 DE 112021006422T5
Authority
DE
Germany
Prior art keywords
service
request
session
agent
spa
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021006422.3T
Other languages
English (en)
Inventor
Maciej Broda
Eric Jason Brandwine
Matthew Schwartz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amazon Technologies Inc
Original Assignee
Amazon Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amazon Technologies Inc filed Critical Amazon Technologies Inc
Publication of DE112021006422T5 publication Critical patent/DE112021006422T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Techniken zur deperimeterisierten Zugriffssteuerung werden beschrieben. Ein Verfahren zur deperimeterisierten Zugriffssteuerung kann das Empfangen durch einen Controller eines deperimeterisierten Zugriffssteuerdienstes einer Single Packet Authorization (SPA)-Anforderung für ein Sitzungsticket von einem Agenten auf einer elektronischen Vorrichtung umfassen, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet, das Autorisieren der SPA-Anforderung, das Bereitstellen eines Sitzungstickets an den Agenten basierend auf der Anforderung, das Empfangen, durch ein Gateway des deperimeterisierten Zugangskontrolldienstes, eine Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket beinhaltet, das Validieren des Sitzungstickets und das Bereitstellen von Sitzungsparametern an den Agenten, die verwendet werden, um die Sitzung zwischen der elektronischen Vorrichtung und dem Dienst zu initiieren, beinhaltet.

Description

  • STAND DER TECHNIK
  • Virtuelle private Netzwerke (VPNs) werden häufig dazu verwendet, Benutzern Zugriff auf das Netzwerk ihrer Organisation zu ermöglichen, wenn sie sich außerhalb des Standorts aufhalten. Der VPN-Zugriff weist jedoch mehrere Mängel auf, die sich auf die Skalierbarkeit, Leistung und Netzwerksicherheit auswirken. Beispielsweise tunneln VPNs den gesamten Client-Verkehr durch das Unternehmen, einschließlich starker, aber sicherer, in das Betriebssystem integrierter Dienste, was die Skalierbarkeit verringert und nicht viel Sicherheit bringt. Zusätzlich bieten VPNs vollen Zugriff auf das Unternehmensnetzwerk, einschließlich Netzwerkkonnektivität zu potenziell anfälligen Diensten, auf die der Benutzer nicht zuzugreifen braucht, die aber attraktive Ziele für einen Angreifer bieten. Darüber hinaus bieten VPNs keine Flexibilität bei der Wahrung der Leistung und des Datenschutzes von Benutzer-Apps, die nicht durch das Unternehmensnetzwerk getunnelt werden müssen. VPNs maskieren auch Echtzeitdienste, wie Sprach- und Videokommunikation, innerhalb des Tunnels und verhindern eine Ende-zu-Ende-Priorisierung von Quality of Service (QoS). Alternativ verursacht das direkte Exponieren von Diensten mit dem Internet eine andere Reihe von Problemen. Beispielsweise wird der Dienst-Stapel dem Scannen durch zufällige Parteien und dem Fingerprinting des Dienstes exponiert, um anfällige Komponenten zu identifizieren. Da Service-Ports außerdem immer offen sind, ist es außerdem für die Angreifer viel einfacher, einen erfolgreichen DDoS-Angriff abzuzielen und auszuführen. Das Volumen des illegalen Verkehrs, das von den direkt exponierten Diensten verarbeitet wird, erzeugt Rauschen, das die Aktionen findiger und entschlossener Gegner verbirgt, die aktiv daran arbeiten, die offene Angriffsfläche von Organisationen zu durchdringen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Verschiedene Ausführungsformen gemäß der vorliegenden Offenbarung werden unter Bezugnahme auf die Zeichnungen beschrieben, in welchen:
    • 1 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht.
    • 2 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht.
    • 3 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung mit einer Täuschungsumgebung gemäß einigen Ausführungsformen veranschaulicht.
    • 4 ist ein Diagramm, das ein Datenflussdiagramm einer deperimeterisierten Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht.
    • 5 ist ein Flussdiagramm, das Operationen eines Verfahrens zur deperimeterisierten Zugriffssteuerung gemäß einigen Ausführungsformen darstellt.
    • 6 eine beispielhafte Anbieternetzwerkumgebung gemäß einigen Ausführungsformen veranschaulicht.
    • 7 ein Blockdiagramm eines beispielhaften Anbieternetzwerks ist, das gemäß einigen Ausführungsformen einen Speicherdienst und einen Hardwarevirtualisierungsdienst für Kunden bereitstellt.
    • 8 ist ein Blockdiagramm, das ein beispielhaftes Computersystem veranschaulicht, das in einigen Ausführungsformen verwendet werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die vorliegende Offenbarung betrifft Verfahren, Vorrichtungen, Systeme und nichtflüchtige computerlesbare Speichermedien für deperimeterisierte Zugriffssteuerung. Da die Zahlen der mobilen Mitarbeiter zunimmt und die Lieferketten immer komplexer werden, mit einer großen Anzahl von Vertrags- und Partnermitarbeitern, die auf die Informationsinfrastruktur von Organisationen zugreifen, werden skalierbare und sichere Mittel zum Verbinden dieser Benutzer mit den zentralen IT-Diensten des Unternehmens immer wichtiger. Gemäß einigen Ausführungsformen ermöglicht es ein deperimeterisierter Zugriffssteuerdienst einem Unternehmen, für autorisierte Benutzer außerhalb des Unternehmensperimeters, eingeschränkte Dienste zu exponieren, während die Dienste für nicht autorisierte Verbindungen unsichtbar und vor ihnen geschützt bleiben. Auf diese Weise können Unternehmen ihre IT-Architektur und Operationen vereinfachen, indem sie ihre internen Netzwerkdienste exponieren, um direkten Zugriff aus dem Internet zu ermöglichen. Ausführungsformen behandeln die Probleme des direkten Exponieren von Diensten mit dem Internet unter Verwendung einer Client-Autorisierungsschicht, die Single Packet Authorization (SPA) nutzt. SPA ermöglicht es einer autorisierten Client-Vorrichtung, direkt auf den Dienst zuzugreifen, während der Netzwerkverkehr von nicht autorisierten Quellen ignoriert wird. In einigen Ausführungsformen kann der Dienst konfiguriert werden, um einen sicheren Tunnel zwischen der Client-Vorrichtung und einem Gateway zu erstellen, das eine Sitzungsverschlüsselung bereitstellt. A. Unter Verwendung von SPA, kann ein einzelnes Paket einen Benutzer gegenüber einem System authentifizieren. Darüber hinaus ist sie ein Protokoll, das es einer entfernten Benutzervorrichtung gestattet, sich sicher auf einem geschlossenen System (z. B. einem System mit eingeschränkten oder keinen offenen Diensten) zu authentifizieren und Änderungen an dem geschlossenen System vorzunehmen oder Anwendungen darauf auszuführen.
  • Ausführungsformen verwenden einen leichtgewichtigen SPA-Agenten, der für die Vorrichtung eines Benutzers bereitgestellt wird, um die Vorrichtung des Benutzers zu authentifizieren und Kommunikation mit den Diensten des Unternehmens zu erleichtern. Während der Registrierung werden dem SPA-Agenten eindeutige kryptografische Anmeldeinformationen bereitgestellt, die er einem SPA-Controllerdienst in einer einfachen Anforderung präsentiert. In einigen Ausführungsformen ist die Anforderung eine unidirektionale Kommunikation, wie ein einzelnes UDP-Paket. Auf diese Weise kann der deperimeterisierte Zugangskontrolldienst für nicht autorisierte Akteure unsichtbar bleiben. Alternativ kann SPA in einigen Ausführungsformen als Teil des TLS-Handshakes durchgeführt werden. In derartigen Ausführungsformen ist die Anforderung immer noch unidirektional, und das Implementieren von SPA als Teil des TLS-Handshakes verhindert effektiv das Fingerprinting des Servers und/oder der Dienste, jedoch ermöglicht dies seine Entdeckung durch den TCP-3-Wege-Handshake. Der SPA-Controller authentifiziert den Client und gestattet bei Erfolg den Zugriff auf Unternehmensdienste, die von der Richtlinie zugelassen und von der Client-Sicherheitshaltung und dem Kontext informiert werden. Die Haltungs- und/oder Kontextinformationen können von dem SPA-Agenten von der elektronischen Vorrichtung erhalten werden. Die Haltungs- und/oder Kontextinformationen können den physischen Ort der Vorrichtung (z. B. kann auf die Dienste nur zugegriffen werden, wenn sich die Benutzervorrichtung an einem oder mehreren bestimmten physischen Orten befindet), verbundene drahtlose Vorrichtungen (z. B. bestimmen, ob andere Vorrichtungen der Benutzervorrichtung über Bluetooth oder andere drahtlose Verbindungen sind, bestimmen, ob drahtlose Verbindungen aktiviert sind usw.), Vorrichtungs-/Benutzer-Biometrie usw. beinhalten. Beispielsweise könnte es einem Benutzer, der auf Dienste des Unternehmens von einem Wi-Fi-Hotspot mit einer anfälligen Vorrichtung (z. B. ungepatchte, oder anderweitig mangelhafte aktuelle Software) zugreift, gestattet werden, auf das IT-Support-Helpdesk und grundlegende Informationen zur Fehlerbehebung zuzugreifen. Sobald die Vorrichtung aktualisiert wurde und nicht mehr anfällig ist und/oder sich nicht mehr von einem unsicheren Ort aus verbindet, würde der Vorrichtung Zugriff auf sensiblere Informationen gestattet. Ausführungsformen stellen zusätzlich zusätzlichen Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen) bereit. Nur verifizierte Benutzer können mit dem System kommunizieren, wodurch es für Port-Scans unsichtbar bleibt und keine zusätzlichen Ressourcen benötigt, um Angriffsverkehr abzuwehren. Dementsprechend stellen Ausführungsformen sicheren und skalierbaren Zugriff auf Unternehmens dienste bereit, die die oben beschriebenen Mängel früherer Techniken überwinden.
  • 1 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht. Wie in 1 gezeigt, kann ein Anbieternetzwerk 100 eine Vielzahl von Diensten 112-116 beinhalten. Diese Dienste können verschiedene Dienste beinhalten, die ein Unternehmen seinen Benutzern, Mitarbeitern, Kunden, Auftragnehmern usw. bereitstellt. Diese Dienste werden im offenen Internet gehostet. Daher ist für das Zugreifen auf diese Dienste kein VPN erforderlich. Stattdessen kann das Anbieternetzwerk 100 autorisierten Benutzern oder anderen Entitäten Zugriff auf diese Dienste bereitstellen und diese Dienste vor nicht autorisierten Entitäten verbergen. Ausführungsformen werden in Bezug auf das Implementieren des deperimeterisierten Zugriffssteuerdienstes 102 in einer Provider-Netzwerkumgebung beschrieben. In einigen Ausführungsformen können die beschriebenen Techniken jedoch ganz oder teilweise in anderen Computing-Umgebungen implementiert werden, um die Sicherheitskomplexität zu reduzieren, während Dienste, Rechensysteme usw. vor unbefugtem Zugriff geschützt werden. Beispielsweise können die hierin beschriebenen SPA-Techniken von einem drahtlosen Zugangspunkt implementiert werden. Mesh-Zugangspunkte können die SPA-Techniken, die hierin beschrieben sind, in einem stark überlasteten Wi-Fi-Bereich implementieren, um nicht autorisierte Pakete zu ignorieren, wodurch DDoS auf dem HF-Spektrum, das von den Zugriffspunkten verwendet wird, verhindert wird.
  • Ein Anbieternetzwerk 100 (oder „Cloud“-Anbieternetzwerk) stellt Benutzern die Möglichkeit bereit, eine oder mehrere einer Vielzahl von Arten von computerbezogenen Ressourcen zu nutzen, wie etwa Rechenressourcen (z. B. Ausführen virtueller Maschinen-Instanzen (VM-Instanzen) und/oder Container, Ausführen von Batch-Jobs, Ausführen von Code ohne Bereitstellungsserver), Daten-/Speicherressourcen (z. B. Objektspeicher, Speicher auf Blockebene, Datenarchivspeicher, Datenbanken und Datenbanktabellen usw.), netzwerkbezogene Ressourcen (z. B. Konfigurieren virtueller Netzwerke, die Gruppen von Rechenressourcen, Content Delivery Networks (CDNs), Domain Name Service (DNS) beinhalten), Anwendungsressourcen (z. B. Datenbanken, Anwendungserstellungs-/-bereitstellungsdienste), Zugriffsrichtlinien oder -rollen, Identitätsrichtlinien oder -rollen, Maschinenbilder, Router und andere Datenverarbeitungsressourcen, usw. Diese und andere Rechenressourcen können als Dienste bereitgestellt werden, wie als ein Hardware-Virtualisierungsdienst, der Recheninstanzen ausführen kann, ein Speicherdienst, der Datenobjekte speichern kann usw. Die Benutzer (oder „Kunden“) der Anbieternetzwerke 100 können ein oder mehrere Benutzerkonten verwenden, die mit einem Kundenkonto assoziiert sind, obwohl diese Begriffe je nach Verwendungskontext einigermaßen austauschbar verwendet werden können. Benutzer können mit einem Anbieternetzwerk 100 über ein oder mehrere Zwischennetzwerke 106 (z. B. das Internet) über eine oder mehrere Schnittstelle(n) interagieren, wie durch Verwendung von Anwendungsprogrammierschnittstellen-Aufrufen (API-Aufrufen), über eine Konsole, die als eine Website oder Anwendung implementiert ist usw. Eine API betrifft eine Schnittstelle und/oder ein Kommunikationsprotokoll zwischen einem Client und einem Serverbetrachtet derart, dass, falls der Client eine Anforderung in einem vordefinierten Format stellt, der Client eine Antwort in einem spezifischen Format erhalten oder eine definierte Aktion initiieren sollte. Im Kontext des Cloud-Provider-Netzwerks stellen APIs ein Gateway für Kunden zum Zugriff auf die Cloud-Infrastruktur bereit, indem sie es Kunden erlauben, Daten von dem Cloud-Provider-Netzwerk zu erhalten oder Aktionen innerhalb des Cloud-Provider-Netzwerks zu veranlassen, wodurch die Entwicklung von Anwendungen ermöglicht wird, die mit Ressourcen und Diensten interagieren, die in dem Cloud-Provider-Netzwerk gehostet werden. APIs können es auch verschiedenen Diensten des Cloud-Anbieternetzwerks ermöglichen, Daten untereinander auszutauschen. Die Schnittstelle(n) kann/können Teil einer Steuerebene des Anbieternetzwerks 100 sein oder als Front-End für diese dienen, das „Back-End“-Dienste umfasst, die die Dienste unterstützen und ermöglichen, die den Kunden direkter angeboten werden können.
  • Beispielsweise betrifft ein Cloud-Provider-Netzwerk (oder einfach nur „Cloud“) typischerweise einen großen Pool zugänglicher virtualisierter Computerressourcen (z. B. Rechen-, Speicher- und Netzwerkressourcen, Anwendungen und Dienste). Eine Cloud kann bequemen On-Demand-Netzwerkzugriff auf einen gemeinsam genutzten Pool konfigurierbarer Computerressourcen bereitstellen, die programmgesteuert bereitgestellt und als Reaktion auf Kundenbefehle freigegeben werden können. Diese Ressourcen können dynamisch bereitgestellt und neu konfiguriert werden, um sich an variable Last anzupassen. Cloud-Computing kann daher sowohl als die Anwendungen, die als Dienste über ein öffentlich zugängliches Netzwerk (z. B. das Internet, ein Mobilfunknetz) bereitgestellt werden, als auch als Hardware und Software in Cloud-Anbieter-Rechenzentren, die diese Dienste bereitstellen, betrachtet werden.
  • Ein Cloud-Anbieter-Netzwerk kann als eine Anzahl von Regionen gebildet werden, wobei eine Region ein geografisches Gebiet ist, in dem der Cloud-Anbieter Rechenzentren gruppiert. Jede Region beinhaltet mehrere (z. B. zwei oder mehr) Verfügbarkeitszonen (AZs), die über ein privates Hochgeschwindigkeitsnetz, beispielsweise eine Glasfaserkommunikationsverbindung, miteinander verbunden sind. Eine AZ (auch als Verfügbarkeitsdomäne oder einfach als eine „Zone“ bekannt) stellt eine isolierte Fehlerdomäne bereit, die eine oder mehrere Rechenzentrumeinrichtungen mit separater Stromversorgung, separatem Networking und separater Kühlung von denjenigen in einer anderen AZ beinhaltet. Ein Rechenzentrum verweist auf ein physisches Gebäude oder Gehäuse, das Server des Cloud-Provider-Netzwerks beherbergt und mit Strom und Kühlung versorgt. Bevorzugt sind AZs innerhalb einer Region weit genug voneinander entfernt positioniert, damit eine Naturkatastrophe (oder ein anderes ausfallverursachendes Ereignis) nicht mehr als eine AZ gleichzeitig beeinträchtigen oder offline nehmen sollte.
  • Kunden können sich über ein öffentlich zugängliches Netz (z. B. das Internet, ein Mobilfunknetz), z. B. über ein Transit Center (TC), mit der AZ des Cloud-Anbieter-Netzes verbinden. TCs sind die primären Backbone-Orte, die Kunden mit dem Cloud-Anbieter-Netzwerk verbinden, und können sich gemeinsam bei anderen Netzwerkanbietereinrichtungen (z. B. Internetdienstanbietern (ISPs), Telekommunikationsanbietern) befinden und sicher (z. B. über ein VPN oder eine direkte Verbindung) mit den AZs verbunden sein. Jede Region kann aus Redundanzgründen zwei oder mehr TCs betreiben. Regionen sind mit einem globalen Netzwerk verbunden, das eine private Netzwerkinfrastruktur (z. B. von dem Cloud-Anbieter kontrollierte Glasfaserverbindungen) beinhaltet, die jede Region mit mindestens einer anderen Region verbindet. Das Netzwerk des Cloud-Anbieters kann Inhalt von Points of Presence (oder „POPs“) außerhalb dieser Regionen über Edge-Orte und regionale Edge-Cache-Server bereitstellen, die aber mit diesen vernetzt sind. Diese Aufgliederung und geografische Verteilung der Rechenhardware ermöglicht es dem Cloud-Anbieter-Netzwerk, Kunden auf globaler Ebene einen Ressourcenzugriff mit geringer Latenz und einem hohen Maß an Fehlertoleranz und Stabilität bereitzustellen.
  • Um diese und andere Rechenressourcendienste bereitzustellen, stützen sich Anbieternetzwerke 100 oft auf Virtualisierungstechniken. Beispielsweise können Virtualisierungstechnologien verwendet werden, um Benutzern die Fähigkeit bereitzustellen, Rechenressourcen zu steuern oder zu nutzen (z. B. eine „Recheninstanz“, wie eine VM, die ein Gastbetriebssystem (O/S) verwendet, das unter Verwendung eines Hypervisors arbeitet, der möglicherweise ferner auf einem zugrundeliegenden Host-O/S arbeitet oder nicht, ein Container, der in einer VM arbeitet oder nicht, eine Recheninstanz, die auf „Bare-Metal“-Hardware ohne einen zugrunde liegenden Hypervisor ausgeführt werden kann), wobei eine oder mehrere Rechenressourcen unter Verwendung einer einzigen elektronischen Vorrichtung implementiert werden können. Somit kann ein Benutzer eine Rechenressource (die z. B. von einem Hardware-Virtualisierungsdienst bereitgestellt wird) nutzen, die von dem Anbieternetzwerk gehostet wird, um eine Vielfalt von Rechenaufgaben durchzuführen. Zusätzlich oder alternativ kann ein Benutzer eine Rechenressource indirekt nutzen, indem er Code unterbreitet, der von dem Anbieternetzwerk ausgeführt werden soll (z. B. über einen On-Demand-Code-Ausführungsdienst), der wiederum eine oder mehrere Rechenressourcen nutzt, um den Code auszuführen, in der Regel, ohne dass der Benutzer über die zugrundeliegende(n) Recheninstanz(en) irgendeine Kontrolle besitzt oder Kenntnis davon hat.
  • In einigen Ausführungsformen kann ein Benutzer den SPA-Agenten 108 installieren, um Kommunikation von der elektronischen Vorrichtung 104 des Benutzers zu einem oder mehreren Diensten des Anbieternetzwerks 100 zu erleichtern. Der SPA-Agent kann dann einen Unternehmensendpunkt erreichen (z. B. eine URL oder einen anderen Endpunkt, der von dem Anbieternetzwerk 100 oder einem anderen Ort im Internet, einem Unternehmensintranet oder einem anderen Netzwerk exponiert wird). Der Benutzer stellt dann seine Berechtigung(en) bereit (z. B. Benutzername und Passwort, biometrische Daten und/oder andere identifizierende Informationen), und das Unternehmen konfiguriert den SPA-Agenten 108, um auf bestimmte Dienste zuzugreifen. In einigen Ausführungsformen beinhaltet das Konfigurieren des SPA-Agenten 108 das Bereitstellen eines Berechtigungsnachweises für den SPA-Agenten 108 durch das Unternehmen, der verwendet wird, um SPA durch den deperimeterisierten Zugriffssteuerdienst 102 durchzuführen.
  • Eine Anwendung 110 auf der elektronischen Vorrichtung 104 (z. B. eine Benutzervorrichtung, eine Vorrichtung für das Internet der Dinge (IoT) oder eine andere Computervorrichtung) kann über den leichtgewichtigen SPA-Agenten 108 auf die Dienste, die von dem Anbieternetzwerk 100 bereitgestellt werden, zugreifen. Beispielsweise kann die Anwendung versuchen, eine Sitzung mit einem Dienst zu initiieren (z. B. E-Mails überprüfen, ein Dokument anfordern usw.). In einigen Ausführungsformen kann dies als Reaktion auf Benutzereingabe durchgeführt werden (wenn z. B. ein Benutzer auf die Anwendung auf seiner Benutzervorrichtung zugreift) oder kann keine Benutzerbeteiligung beinhalten. Wenn die elektronische Vorrichtung beispielsweise eine IoT-Vorrichtung ist, kann die Anwendung, die auf der IoT-Vorrichtung läuft, versuchen, sich automatisch mit einem Dienst zu verbinden, um Sensordaten, die von einem oder mehreren Sensoren der IoT-Vorrichtung gesammelt werden, weiterzuleiten. Bei Ziffer 1 kann der SPA-Agent Verkehr von der elektronischen Vorrichtung 104 abfangen, einschließlich von Verkehr von der Anwendung 110. Der SPA-Agent bestimmt bei Ziffer 2, ob dieser Verkehr mit einem der Dienste assoziiert ist, dessen Zugriff von dem deperimeterisierten Zugriffssteuerdienst 102 verwaltet wird. Falls der Verkehr mit keinem der Dienste assoziiert ist, wird der Verkehr zu seinem Zielort weitergeleitet. Falls der Verkehr mit einem der Dienste assoziiert ist, wird er von dem SPA-Agenten 108 angehalten, bis die Benutzervorrichtung unter Verwendung von SPA autorisiert wurde, falls sie noch nicht autorisiert wurde. In einigen Ausführungsformen wird der SPA-Agent 108 mit eindeutigen kryptografischen Berechtigungsnachweisen bereitgestellt, die er dem deperimeterisierten Zugriffssteuerdienst 102 in einer leichtgewichtigen Anforderung bei Ziffer 3 präsentiert. Beispielsweise stellt der SPA-Agent Zugriff-Berechtigungsnachweise und Haltungsdaten an einen SPA-Controller des deperimeterisierten Zugriffssteuerdienstes 102 unter Verwendung einer Autorisierungsnutzlast bereit. In einigen Ausführungsformen beinhaltet die Autorisierungsnutzlast ein unidirektionales UDP-Paket (oder ein anderes einzelnes Paket). Alternativ kann in einigen Ausführungsformen ein TLS-Handshake (z. B. mehrere Pakete, die an einem TCP-3-Wege-Handshake beteiligt sind) dem unidirektionalen Paket als Teil der Autorisierungsnutzlast vorausgehen.
  • Der deperimeterisierte Zugriffssteuerdienst 102 authentifiziert die elektronische Vorrichtung 104 (z. B. die anfordernde Client-Vorrichtung) und ermöglicht bei Erfolg den Zugriff auf Unternehmensdienste, die von der Richtlinie zugelassen und von der Client-Sicherheitshaltung und dem Kontext bei Ziffer 4 informiert werden. In verschiedenen Ausführungsformen, kann eine Richtlinie Zeiteinschränkungen, Ursprungsnetzwerk-/IP-Einschränkungen, bestimmte autorisierte Dienste usw. identifizieren. Beispielsweise kann einem Benutzer, der von einem WiFi-Hotspot mit einer nicht gepatchten Vorrichtung auf die Unternehmensdienste zugreift, der Zugriff auf eine begrenzte Anzahl von Diensten, wie das IT-Support-Helpdesk und grundlegende Informationen zur Fehlerbehebung, gestattet werden, es kann jedoch der Zugriff auf vertraulichere Informationen gestattet werden, sobald sie sich an einem sicheren Ort befinden und alle kritischen Patches angewendet. Andere Haltungsansprüche, die eventuell vor dem Gestatten des Zugriffs verifiziert werden, können unter anderem den physischen Ort der Vorrichtung (z. B. kann auf die Dienste nur zugegriffen werden, wenn sich die Benutzervorrichtung an einem oder mehreren bestimmten physischen Orten befindet), verbundene drahtlose Vorrichtung (z. B. bestimmen, ob andere Vorrichtungen über Bluetooth oder andere drahtlose Verbindungen der Benutzervorrichtung verbunden sind, bestimmen, ob drahtlose Verbindungen aktiviert sind usw.), Vorrichtungs-/Benutzerbiometrie usw. beinhalten. In einigen Ausführungsformen kann der deperimeterisierte Zugriffssteuerdienst 102 ein Sitzungsticket an den SPA-Agenten 108 basierend auf der Authentifizierung und Sicherheitsrichtlinie, die mit dem Benutzer assoziiert ist, zurückgeben. Das Sitzungsticket kann angeben, auf welche Dienste der Benutzer zugreifen darf. In einigen Ausführungsformen bestätigt der deperimeterisierte Zugriffssteuerdienst 102 die SPA-Anforderung nur, wenn sie richtig authentifiziert ist; andernfalls wird die Anforderung stillschweigend verworfen.
  • Bei Ziffer 5 kann der SPA-Agent versuchen, sich unter Verwendung des Sitzungstickets mit einem angeforderten Dienst zu verbinden. Der deperimeterisierte Zugriffssteuerdienst 102 kann dann das Ticket validieren und Sitzungsparameter bereitstellen, die es dem SPA-Agenten 108 ermöglichen, eine Verbindung zu dem angeforderten Dienst zu öffnen. Beispielsweise kann bei Ziffer 6 eine Verbindung zu dem angeforderten Dienst geöffnet werden, wie etwa dem Dienst A 112 oder einem der anderen Dienste (z. B. Dienst B 114 bis Dienst N 116). Sobald die Verbindung geöffnet ist, wird der Verkehr, der zuvor von dem SPA-Agenten 108 angehalten wurde, durch die offene Verbindung zu dem Dienst geleitet. In einigen Ausführungsformen wird der Verkehr ignoriert, falls das Sitzungsticket keinen Zugriff auf den angeforderten Dienst bereitstellt. Falls in einigen Ausführungsformen kein Sitzungsticket in der Anforderung enthalten ist, kann der deperimeterisierte Zugriffssteuerdienst 102 den Verkehr vollständig ignorieren oder den Verkehr bei Ziffer 7 zu einer Täuschungsumgebung 110 umlenken.
  • 2 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht. Wie in 2 gezeigt, fängt in einigen Ausführungsformen der SPA-Agent 108 bei Ziffer 1 Verkehr von der elektronischen Vorrichtung 104 ab, wie etwa Verkehr von der Anwendung 110. Der SPA-Agent 108 kann bei Ziffer 2 basierend auf Merkmalen des Verkehrs (z. B. Zieladresse usw.) bestimmen, ob der Verkehr eine Anforderung an einen Dienst ist, der von einem deperimeterisierten Zugriffssteuerdienst 102 verwaltet wird. Falls in einigen Ausführungsformen der angeforderte Dienst von dem deperimeterisierten Zugriffssteuerdienst 102 verwaltet wird, kann der SPA-Agent auch bestimmen, ob er ein Sitzungsticket hat, das mit diesem Dienst assoziiert ist. Falls dies der Fall ist, kann er sich über das Gateway 202 mit dem Dienst verbinden. Falls er jedoch kein Sitzungsticket hat, kann er bei Ziffer 3 eine Anforderung für ein Sitzungsticket an den SPA-Controller 200 senden. Die Anforderung kann einen Berechtigungsnachweis beinhalten, der dem SPA-Agenten 108 beim Setup bereitgestellt wurde. Der SPA-Controller 200 validiert den Berechtigungsnachweis bei Ziffer 4 und bestimmt dann bei Ziffer 5 einen Benutzer, der mit der Vorrichtung assoziiert ist, unter Verwendung einer Vorrichtung-zu-Benutzer-Abbildung 204. Die Vorrichtung-zu-Benutzer-Abbildung 204 kann eine Kennung, die mit der elektronischen Vorrichtung 104 assoziiert ist, identifizieren, die als Teil des bei Ziffer 3 bereitgestellten Berechtigungsnachweises enthalten sein kann, zu einem Benutzer (z. B. einem Unternehmensangestellten, Auftragnehmer oder einer anderen dazu befugten Person, die befugt ist, auf einen oder mehrere Dienste eines Unternehmens zuzugreifen, abbilden.
  • Bei Ziffer 6 kann der SPA-Controller 200 dann eine Sicherheitsrichtlinie 206, die mit dem Benutzer assoziiert ist, nachsehen. Die Sicherheitsrichtlinie 206 kann die Dienste definieren, auf die der Benutzer zugreifen kann, sowie Ansprüche an die Haltung der Benutzervorrichtung, die erfüllt werden müssen, um auf einige oder alle dieser Dienste zuzugreifen. Beispielsweise können die Haltungsansprüche der Benutzervorrichtung die Art des Netzwerks (z. B. öffentlich oder privat), über das die Benutzervorrichtung auf die Dienste zugreift, den aktuellen Stand der Software auf der Benutzervorrichtung (z. B. das Betriebssystem und/oder die Client-Anwendung auf dem neuesten Stand mit den neuesten Sicherheitspatches) usw. beinhalten. Der SPA-Controller stellt dann ein Sitzungsticket für den SPA-Agenten 108 bereit, das die Dienste angibt, auf die der Benutzer zugreifen kann. In einigen Ausführungsformen kann die Richtlinie, die mit dem Benutzer assoziiert ist, seinen Zugriff auf Dienste einschränken. Falls dem Benutzer beispielsweise kürzlich gekündigt wurde, kann sein Zugriff auf Dienste deaktiviert oder auf einen oder mehrere Dienste reduziert werden, über die er seine elektronische(n) Vorrichtung(en) zurückgeben kann. Auf diese Weise können die Dienste, auf die der Benutzer zugreifen kann, dynamisch aktualisiert werden, obwohl die dem SPA-Agenten bereitgestellten Berechtigungseinformationen noch gültig sind. Zusätzlich kann die Richtlinie in einigen Ausführungsformen abhängig von der Art der elektronischen Vorrichtung, die der Benutzer verwendet, einen unterschiedlichen Zugriff ermöglichen. Beispielsweise kann die persönliche Vorrichtung des Benutzers Zugriff auf einen ersten Satz von Diensten haben, während seine von dem Unternehmen ausgegebene Vorrichtung Zugriff auf einen zweiten Satz von Diensten basierend auf Vorrichtungseigenschaften (z. B. Vorrichtungsverschlüsselung, Vorrichtungssicherheit usw.) hat.
  • Bei Ziffer 7 öffnet der SPA-Agent 108 dann eine Verbindung zu dem angeforderten Dienst, indem er ein Paket zusammen mit dem Sitzungsticket an das Gateway sendet. In einigen Ausführungsformen können unterschiedliche Dienste mit unterschiedlichen Gateways assoziiert sein. Zusätzlich oder alternativ können mehrere Dienste mit demselben Gateway assoziiert sein. Bei Ziffer 8 validiert das SPA-Gateway das Ticket. Falls die Sitzung legitim ist, verhandelt das SPA-Gateway 202 optional ein Sitzungsport-Umschreibungspaar für den SPA-Agenten 108 und sich selbst und erstellt eine oder mehrere sitzungsspezifische Regeln zwischen dem SPA-Agenten 108 und dem Dienst 112 bei Ziffer 9. Der SPA-Agent 108 kann dann den Verkehr, der ursprünglich angehalten wurde, während die Verbindung hergestellt wurde, über die neu hergestellte Verbindung an den Dienst weitergeben.
  • In einigen Ausführungsformen kann der deperimeterisierte Zugriffssteuerdienst 102 mehrere Gateways implementieren und auf denselben Dienst oder einen unterschiedlichen Dienst zugreifen. In einigen Ausführungsformen können die unterschiedlichen Gateways unterschiedliche Kommunikationsprotokolle unterstützen. Bei dem Versuch, eine Verbindung zu einem gegebenen Dienst herzustellen, kann der SPA-Agent über Gateways ausweichen. Falls beispielsweise bei Ziffer 7 der SPA-Agent nicht in der Lage ist, sich unter Verwendung eines UDP-Pakets mit dem SPA-Gateway 202 zu verbinden, kann der SPA-Agent 108 dann auf das SPA-Gateway 208 ausweichen und bei Ziffer 10 versuchen, sich über TCP zu verbinden. Ein TLS-Handshake wird mit dem SPA-Gateway 208 bei Ziffer 11 versucht. Falls der SPA-Agent während des TLS-Handshakes authentifiziert wird, können die Sitzungsparameter dem SPA-Agenten bereitgestellt werden, um bei Ziffer 12 eine Verbindung zu dem Dienst zu öffnen. Falls der SPA-Agent nicht erfolgreich authentifiziert wird, kann der Verkehr verworfen werden. Auf diese Weise ist die Kommunikation immer noch unidirektional (z. B. wird keine Antwort an den SPA-Agenten zurückgegeben). Dies legt jedoch das SPA-Gateway 208 als vorhanden und über TCP kommunizierend offen. Daher ist es möglicherweise für einige Angriffe anfälliger. Durch das Trennen des SPA-Gateways 202 werden alle Dienste, auf die das SPA-Gateway 202 zugreifen kann, vor einem Angriff auf das SPA-Gateway 208 geschützt.
  • 3 ist ein Diagramm, das eine Umgebung für deperimeterisierte Zugriffssteuerung mit einer Täuschungsumgebung gemäß einigen Ausführungsformen veranschaulicht. Wie in 1 gezeigt, kann in einigen Ausführungsformen bei Ziffer 1 eine böswillige Quelle 300 versuchen, sich mit dem SPA-Controller 200 zu verbinden, um ein Ticket für den Zugriff auf Dienste zu erhalten, die von dem Anbieternetzwerk 100 bereitgestellt werden. Der SPA-Controller kann bestimmen, dass er eine ungültige Anforderung erhalten hat (z. B. weil der Client nicht bereitgestellt wird oder nicht die richtigen Autorisierungsnachweise verwendet), und dem Client (z. B. der böswilligen Quelle 300) ein Ticket bereitstellen, das bei Ziffer 2 eine Umleitung in die Täuschungsumgebung an dem SPA-Gateway 202 auslöst. Falls zusätzlich oder alternativ in einigen Ausführungsformen eine böswillige Quelle 300 versucht, direkt auf einen Dienst zuzugreifen, ohne zuerst von dem SPA-Controller 200 authentifiziert zu werden, kann das SPA-Gateway 202 bei Ziffer 2 zu einer Täuschungsumgebung 110 umlenken oder den Verkehr ignorieren. Herkömmliche Täuschungsumgebungen weisen ihre eigene IP-Adresse, die von dem Zieldienst getrennt ist, auf. Unter Verwendung von SPA, weisen jedoch die Täuschungsumgebung 110 und der Zieldienst (z. B. Dienst A 112) beide dieselbe IP-Adresse auf. Als solches bestimmt der deperimeterisierte Zugriffssteuerdienst 102, ob an der IP-Adresse empfangener Verkehr an den Zieldienst oder die Täuschungsumgebung 110 geroutet wird.
  • Wie besprochen, wird bei Ziffer 2 Verkehr von einer böswilligen Quelle empfangen, die nicht richtig authentifiziert wurde. Das SPA-Gateway 202 validiert, ob die Vorrichtungs-Benutzerrichtlinie für diese Sitzung gestartet ist. Falls dies nicht der Fall ist oder das SPA-Gateway unangekündigten Verkehr an einem Dienstport empfängt, hat es die Option, die Sitzung in die Täuschungsumgebung 110 basierend auf seiner Richtlinienkonfiguration und jeder implementierten proaktiven Blockierung zu lenken. In einigen Ausführungsformen kann das SPA-Gateway 202 auswählen, den Verkehr fallen zu lassen oder den Verkehr zu der Täuschungsumgebung 110 zu routen. Durch das Fallenlassen des Verkehrs werden die mit DDoS-Angriffen assoziierten Risiken reduziert, da jeglicher nicht autorisierter Verkehr einfach ignoriert wird. Alternativ kann der von einer böswilligen Quelle empfangene Verkehr an die Täuschungsumgebung bei Ziffer 3 umgeleitet werden, während scheinbar auf dieselbe IP-Adresse zugegriffen wird. Auf diese Weise trennt der deperimeterisierte Zugriffssteuerdienst 102 die autorisierten Benutzer von nicht autorisierten Benutzern, während der Dienst dem Internet oder einem anderen öffentlichen Netzwerk ausgesetzt ist und ohne einen VPN-Dienst.
  • Organisierte Gegner zielen pragmatisch auf Systeme ab, die es ihnen ermöglichen, ihren Gewinn zu maximieren. Das Erschweren der anfänglichen Aufklärung (z. B. durch Ignorieren des Verkehrs oder Routen des Verkehrs in eine Täuschungsumgebung) macht das Ziel wahrscheinlich in einem frühen Stadium der Kill-Chain viel weniger attraktiv. Zusätzlich stellt die Täuschungsfähigkeit ein verbessertes Situationsbewusstsein durch eine Früherfassungsfähigkeit für Gegner bereit, die nach Zielen suchen oder vielleicht aktiv einzudringen versuchen. Sie gestattet eine automatisierte Abbildung gegnerischer Infrastruktur und etwas Einblick in die gegnerischen Taktiken, Techniken und Vorgehensweisen (TTPs). Zusätzlich kann in einigen Ausführungsformen, während sich die böswillige Quelle in der Täuschungsumgebung 110 befindet, ein Fingerabdruck erstellt werden und/oder Zuweisungsdaten können gesammelt werden. Beispielsweise können Web-Hooks verwendet werden, um Client-Browserdaten zu sammeln oder angeforderte Daten mit Web-Bugs (z. B. Anforderung eines Dokuments) zu ändern. Dies gestattet gebundene Reaktionen für das Threat Actor Profiling (TAP).TAP ist ein Kosteneffekt-Frühwarnsystem, das das Verhalten und die Eingaben eines Akteurs modelliert, um eine Cyber-Persona zu erstellen.
  • In einigen Ausführungsformen kann die Täuschungsumgebung 110 Informationen über Akteure, Taktiken, Techniken und Vorgehensweisen sammeln, die dem Verteidigungsanalysedienst 302 bereitgestellt werden können. Der Verteidigungsanalysedienst 302 kann diese Informationen von mehreren Kundenanwendungen sammeln, die in dem Anbieternetzwerk 100 gehostet werden, und verwendet diese Informationen, um den Schutz für mehrere Kunden zu verbessern. Beispielsweise kann bei Ziffer 5 das SPA-Gateway 202 basierend auf den Informationen aktualisiert werden. Dies kann die Identifizierung bestimmter Akteure (z. B. anhand der IP-Adresse, des Fingerabdrucks usw.) beinhalten, deren Verkehr immer ignoriert werden sollte. Beispielsweise kann der Verteidigungsanalysedienst 302 die gesammelten Informationen (z. B. durch automatisierte Regeln und/oder explizite Analystenaktionen) verwenden, um eine Bedrohungsliste und/oder Schutzregeln zu generieren, die auf das Gateway zurück angewendet werden. Auf diese Weise kann das Gateway schnelle, ressourcenarme Entscheidungen über bekannten bösartigen Verkehr treffen, während gleichzeitig eine weitere Untersuchung neuer/unbekannter Bedrohungen ermöglicht wird. In einigen Ausführungsformen können zusätzlich zum Aktualisieren des SPA-Gateways 202 basierend auf den gesammelten Informationen optional andere Dienste 304 des Anbieternetzwerks 100 und/oder des Kundennetzwerks/der Kundennetzwerke 306 ähnlich aktualisiert werden. Beispielsweise kann/können der Dienst/die Dienste 304 einen DDoS-Dienst, einen Firewall-Dienst oder einen anderen Verteidigungsdienst beinhalten, der von dem Anbieternetzwerk 100 angeboten wird. Der Dienst bzw. die Dienste 304 können ihre eigenen Verteidigungen (z. B. über Bedrohungsauflisten, Schutzregeln usw.) unter Verwendung der Informationen, die von dem Verteidigungsanalysedienst 302 basierend auf der Täuschungsumgebung 110 gesammelt werden, aktualisieren. Zusätzlich oder alternativ kann das Anbieternetzwerk 100 die gesammelten Informationen verwenden, um die Netzwerk- oder Anwendungshaltung zu ändern (z. B. Routen zu aktualisieren, Protokollierungsebenen zu erhöhen usw.) und/oder die Täuschungsumgebung mit zusätzlichen Stimuli zu aktualisieren, um zusätzliche Informationen zu sammeln. Gleichermaßen kann ein Kundennetzwerk ein Verteidigungssystem 308 enthalten, wie beispielsweise eine Firewall oder ein anderes System, das auf ähnliche Weise basierend auf den gesammelten Informationen aktualisiert werden kann. In ähnlicher Weise kann ein Kundennetzwerk 306 auch sein Netzwerkverwaltungssystem 310 auf der Grundlage der gesammelten Informationen aktualisieren (z. B. Routen aktualisieren, Protokollierungsebenen erhöhen usw.).
  • 4 ist ein Diagramm, das ein Datenflussdiagramm einer deperimeterisierten Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht. Bei Ziffer 1 versucht eine Anwendung, sich mit einem Dienst in dem Anbieternetzwerk 100 (wie z. B. mit dem Dienst A 112) zu verbinden. Die Anforderung wird von dem SPA-Agenten 108 abgefangen, der auf der Vorrichtung des Benutzers ausgeführt wird, der den Sitzungszustand anhält, während die Authentifizierung durchgeführt wird. Beispielsweise sendet der SPA-Agent 108 bei Ziffer 2 eine SPA-Anforderung an den SPA-Controller 200. Wie besprochen, kann die Anforderung ein einzelnes Paket (z. B. ein UDP-Paket oder ein anderes Paket) beinhalten, das Client-Anmeldeinformationen (z. B. eine Vorrichtungskennung oder andere sichere Berechtigungsnachweise, die bereitgestellt wurden, als der SPA-Agent auf der Vorrichtung des Benutzers eingerichtet wurde) bei dem Server authentifiziert.
  • Der SPA-Controller 108 empfängt die Anforderung und führt eine von mehreren Aktionen durch. Beispielsweise kann der SPA-Controller 108 die Anforderung validieren und bei Ziffer 3 eine SPA-Reaktion, die ein Dienstticket beinhaltet, zurücksenden. Wie besprochen, kann der SPA-Controller 108 bestimmen, dass es sich um eine ungültige Anforderung handelt (z. B. weil der Client nicht bereitgestellt wurde, nicht die richtigen Autorisierungsnachweise verwendet usw.) und dem Client ein Ticket bereitstellen, das eine Umleitung in die Täuschungsumgebung an dem SPA-Gateway 202 auslöst. Alternativ kann der SPA-Controller 108 bestimmen, dass es sich um eine ungültige Anforderung wie oben handelt, und sie stillschweigend ignorieren.
  • Unter der Annahme, dass dem Client ein gültiges Ticket ausgestellt wurde, kann er bei Ziffer 4 das Ticket verwenden, um eine TLS-geschützte Sitzung mit dem SPA-Controller 200 zu initiieren, um seine Haltungsinformationen zu übermitteln und eine Richtlinie zusammen mit einem Verzeichnis gestatteter Dienste, deren Erreichen ihm gestattet ist, abzurufen. An diesem Punkt ist die Benutzervorrichtung über den SPA-Agenten 108 bereit, Dienstanforderungen zu initiieren. Der SPA-Agent 108 in der Benutzervorrichtung identifiziert Verkehr, der zu Diensten initiiert wird, die mit dem deperimeterisierten Zugriffssteuerdienst 102 geschützt sind. Wenn ein derartiger Dienst angefordert wird, wird bei Ziffer 5 eine SPA-Sitzungsanforderung an das SPA-Gateway 202 zusammen mit dem Dienstticket, das von dem SPA-Controller 200 erhalten wurde, gesendet. Das SPA-Gateway 202 validiert, dass die Vorrichtungs-/Benutzerrichtlinie für diese Sitzung gestattet ist. Falls die Sitzung, wie besprochen, nicht gestattet wird, weil sie nicht validiert werden kann oder das SPA-Gateway unangekündigten Verkehr an einem Dienstport empfängt, hat es die Möglichkeit, die Sitzung in eine Täuschungsumgebung, basierend auf seiner Richtlinienkonfiguration und jeder proaktiven Blockierung, die implementiert wurde, zu lenken. Alternativ kann das SPA-Gateway einfach jeden Verkehr, der nicht validiert werden kann, ignorieren. Falls die Sitzung erfolgreich validiert wird, verhandelt das SPA-Gateway optional ein Sitzungsport-Umschreibungspaar für den SPA-Agenten und sich selbst und richtet eine sitzungsspezifische Regel zwischen dem SPA-Client und dem Dienst ein. Diese Sitzungsparameter können in einer SPA-Reaktion bei Ziffer 6 bereitgestellt werden. Der SPA-Agent 108 kann dann unter Verwendung dieser Sitzungsparameter mit dem angeforderten Dienst bei Ziffer 7 einen Sitzungstunnel aufbauen und den bei Ziffer 1 empfangenen Verkehr, der zuvor von dem SPA-Agenten angehalten wurde, bereitstellen .
  • 5 ist ein Flussdiagramm, das Operationen 500 eines Verfahrens zur deperimeterisierten Zugriffssteuerung gemäß einigen Ausführungsformen veranschaulicht. Einige oder alle der Operationen (oder anderen Prozesse, die hierin beschrieben sind, oder Variationen und/oder Kombinationen davon) werden unter der Steuerung von einem oder mehreren Computersystemen durchgeführt, die mit ausführbaren Anweisungen konfiguriert sind, und können als Code (z.B. ausführbare Anweisungen, ein oder mehrere Computerprogramme oder eine oder mehrere Anwendungen), die zusammen einen oder mehrere Prozessoren ausführen, von Hardware oder Kombinationen davon implementiert werden. Der Code kann auf einem computerlesbaren Speichermedium gespeichert werden, beispielsweise in der Form eines Computerprogramms, das Anweisungen umfasst, die von einem oder mehreren Prozessoren ausführbar sind. Das computerlesbare Speichermedium ist nichtflüchtig. In einigen Ausführungsformen werden eine oder mehrere (oder alle) der Operationen 500 von dem SPA-Agenten 108 und/oder dem deperimeterisierten Zugriffssteuerdienst 102 der anderen Figuren durchgeführt.
  • Die Operationen 500 beinhalten bei Block 502 das Empfangen einer Single-Packet-Authorization-Anforderung (SPA-Anforderung) für ein Sitzungsticket von einem Agenten auf einer elektronischen Vorrichtung von einem Controller eines deperimeterisierten Zugriffssteuerdienstes, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet. In einigen Ausführungsformen ist der Agent auf der Client-Vorrichtung dazu konfiguriert, Verkehr von einer Anwendung auf der Client-Vorrichtung durch einen Agenten auf der Client-Vorrichtung, der mit dem Dienst assoziiert ist, abzufangen, zu bestimmen, dass der Dienst mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und zu bestimmen, dass der Agent kein Sitzungsticket für den Dienst hat. In einigen Ausführungsformen ist der Agent ferner dazu konfiguriert, Haltungsinformationen für die elektronische Vorrichtung zu erhalten, wobei die Haltungsinformationen eines oder mehrere eine Ära Software-Version, die mit einem Client-Vorrichtung assoziiert ist, Netzwerksicherheitsinformationen, die mit der Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten, und Haltungsinformationen an den Controller bereitzustellen. In einigen Ausführungsformen hält der Agent den Verkehr an und stellt den Verkehr zu dem Dienst bereit, sobald die Sitzung initiiert wurde. In einigen Ausführungsformen beinhaltet die SPA-Anforderung eine Autorisierungsnutzlast und einen Berechtigungsnachweis, der zuvor dem Agenten bereitgestellt wurde. In einigen Ausführungsformen ist die SPA-Anforderung unidirektional.
  • Die Operationen 500 beinhalten ferner bei Block 504 das Autorisieren der SPA-Anforderung. Beispielsweise kann der Controller die Berechtigungsnachweise autorisieren, die in der SPA-Anforderung beinhaltet sind. Der Controller kann eine oder mehrere Richtlinien identifizieren, die mit der Client-Vorrichtung, für die die Berechtigung bereitgestellt wurde, assoziiert sind. Diese Richtlinien können die Dienste definieren, auf die der mit der Vorrichtung assoziierte Benutzer zugreifen kann, und eine oder mehrere Bedingungen, unter denen auf die Dienste zugegriffen werden kann. Beispielsweise kann die Vorrichtung abhängig von der Haltung der Vorrichtung Zugriff auf unterschiedliche Dienste haben. Beispielsweise kann eine Vorrichtung, die mit einem öffentlichen Netzwerk verbunden ist oder der aktuelle Software-Sicherheitsakutalisierungen (z. B. Patches) mangeln, Zugriff auf eine begrenzte Anzahl von Diensten haben, während eine aktualisierte Vorrichtung, die mit einem privaten Netzwerk verbunden ist, Zugriff auf mehr Dienste haben kann. In einigen Ausführungsformen beinhaltet das Autorisieren der SPA-Anforderung ferner das Abbilden eines Benutzers auf die elektronische Vorrichtung, das Bestimmen einer Richtlinie, die mit dem Benutzer assoziiert ist, und das Generieren des Sitzungstickets basierend auf der Richtlinie.
  • Die Operationen 500 beinhalten ferner bei Block 506 das Bereitstellen eines Sitzungstickets für den Agenten basierend auf der Anforderung. In einigen Ausführungsformen kann das Sitzungsticket auf einer oder mehreren Richtlinien basieren, die mit dem Benutzer oder der Client-Vorrichtung und der Haltung der Client-Vorrichtung assoziiert sind. Das Sitzungsticket kann die Dienste identifizieren, auf die der Benutzer oder die Vorrichtung zugreifen darf. In einigen Ausführungsformen kann das Sitzungsticket eine oder mehrere Einschränkungen, wie ein Zeitlimit zum Zugreifen auf die Dienste, beinhalten. In verschiedenen Ausführungsformen kann der Controller die Vorrichtung überwachen und das Sitzungsticket ändern oder widerrufen, falls sich beispielsweise die Sicherheitshaltung der Vorrichtung ändert.
  • Die Operationen 500 beinhalten ferner bei Block 508 das Empfangen einer Anforderung zum Initiieren einer Sitzung mit einem Dienst durch ein Gateway des deperimeterisierten Zugriffssteuerdienstes, wobei die Anforderung das Sitzungsticket beinhaltet. Die Operationen 500 beinhalten ferner bei Block 510 das Validieren des Sitzungstickets. Beispielsweise kann das Gateway bestätigen, dass das Sitzungsticket gültig ist (nicht abgelaufen, mit der anfordernden Vorrichtung assoziiert, von einem autorisierten Controller ausgestellt usw.), und dass es Zugriff auf den angeforderten Dienst gewährt.
  • Die Operationen 500 beinhalten ferner bei Block 512 das Bereitstellen von Sitzungsparametern für den Agenten, die verwendet werden sollen, um die Sitzung zwischen der Client-Vorrichtung und dem Dienst zu initiieren. In einigen Ausführungsformen ist der Agent auf der Client-Vorrichtung, sobald die Sitzung initiiert wurde, ferner dazu konfiguriert, den Verkehr für den Dienst bereitzustellen, sobald die Sitzung initiiert wurde.
  • In einigen Ausführungsformen beinhalten die Operationen ferner das Bereitstellen eines Berechtigungsnachweises für den Agenten, der die Client-Vorrichtung identifiziert. Beispielsweise kann der Agent während des Setup von einem Benutzer auf die Client-Vorrichtung heruntergeladen werden, die sich dann mit dem Unternehmen verbinden kann, um dem Agenten die Berechtigungsnachweise bereitzustellen.
  • Falls in einigen Ausführungsformen die Anforderung von dem deperimeterisierten Zugriffssteuerdienst empfangen wird, der nicht autorisiert ist, kann der deperimeterisierte Zugriffssteuerdienst den Verkehr fallen lassen oder ihn zu einer Täuschungsumgebung umlenken. Beispielsweise beinhalten die Operationen in einigen Ausführungsformen ferner das Empfangen einer zweiten Anforderung zum Initiieren einer Sitzung mit einem Dienst durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, wobei die Anforderung das Sitzungsticket nicht beinhaltet, und das Ignorieren der zweiten Anforderung. Alternativ beinhalten die Operationen in einigen Ausführungsformen ferner das Empfangen einer zweiten Anforderung zum Initiieren einer Sitzung mit einem Dienst durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, wobei die Anforderung das Sitzungsticket nicht beinhaltet, und das Routen der zweiten Anforderung zu einer Täuschungsumgebung, die dieselbe IP-Adresse wie der Dienst aufweist. In einigen Ausführungsformen umfassen die Operationen ferner das Identifizieren eines böswilligen Akteurs basierend auf einer oder mehreren Aktionen, die in der Täuschungsumgebung durchgeführt werden, und das Aktualisieren des Gateways, um eine oder mehrere Abwehrmaßnahmen bei zukünftigem Verkehr, der von dem böswilligen Akteur empfangen wird, durchzuführen.
  • In einigen Ausführungsformen beinhalten die Operationen das Abfangen durch einen einzigen Packet-Authorization-Agenten (SPA-Agenten) auf einer Client-Vorrichtung von Verkehr, der für einen Dienst eines Anbieternetzwerks bestimmt ist, von einer Anwendung auf der Client-Vorrichtung, das Bestimmen, dass der Dienst mit einem deperimeterisierten Zugriff assoziiert ist, das Senden einer SPA-Anforderung an einen Controller des deperimeterisierten Zugriffssteuerdienstes, wobei die SPA-Anforderung einen Vorrichtungsberechtigung beinhaltet, das Erhalten eines Sitzungstickets von dem deperimeterisierten Zugriffssteuerdienst, das Senden des Sitzungstickets basierend auf einer Richtlinie, die mit der Client-Vorrichtung assoziiert ist, einer Anforderung an ein Gateway des deperimeterisierten Zugriffssteuerdienstes, um eine Sitzung mit dem Dienst zu initiieren, das Empfangen von Sitzungsparametern von dem Gateway, das Initiieren einer Sitzung mit dem Dienst unter Verwendung der Sitzungsparameter und das Bereitstellen des Verkehrs, der für den Dienst bestimmt ist, über die Sitzung.
  • In einigen Ausführungsformen validiert das Gateway das Sitzungsticket und bestimmt, dass das Sitzungsticket mit dem Dienst assoziiert ist. In einigen Ausführungsformen basiert das Sitzungsticket ferner auf Haltungsinformationen, wobei die Haltungsinformationen eine oder mehrere Softwareversionen beinhalten, die mit der Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, die mit drahtlosen Vorrichtungen verbunden ist, oder Benutzerbiometrie.
  • 6 veranschaulicht eine beispielhafte Anbieternetzwerkumgebung (oder ein v„Dienstanbietersystem") gemäß einigen Ausführungsformen. Ein Anbieternetzwerk 600 kann Ressourcenvirtualisierung an Kunden über einen oder mehrere Virtualisierungsdienste 610 bereitstellen, die es Kunden erlauben, Instanzen 612 virtualisierter Ressourcen zu kaufen, zu mieten oder anderweitig zu erhalten, einschließlich, aber nicht beschränkt auf Rechen- und Speicherressourcen, die auf Vorrichtungenn innerhalb des Anbieternetzwerks oder Netzwerken in einem oder mehreren Rechenzentren implementiert werden. Die Ressourceninstanzen 612 können mit lokalen Internetprotokoll-Adressen 616 (IP-Adressen) assoziiert sein; die lokalen IP-Adressen sind die internen Netzwerkadressen der Ressourceninstanzen 612 in dem Anbieternetzwerk 600. In einigen Ausführungsformen kann das Anbieternetzwerk 600 auch öffentliche IP-Adressen 614 und/oder öffentliche IP-Adressbereiche (z. B. Internet Protocol Version 4 (IPv4)- oder Internet Protocol Version 6 (IPv6)-Adressen) bereitstellen, die Kunden von dem Anbieter 600 erhalten können.
  • Herkömmlicherweise kann das Anbieternetzwerk 600 es über die Virtualisierungsdienste 610 einem Kunden des Dienstanbieters (z. B. einem Kunden, der ein oder mehrere Kundennetzwerke 650A - 650C betreibt, die eine oder mehrere Kundenvorrichtungen 652 beinhalten) gestatten, sich dynamisch mit mindestens einigen öffentlichen IP-Adressen 614 zu assoziieren, die dem Kunden zugewiesen oder zugeordnet werden, mit bestimmten Ressourceninstanzen 612, die dem Kunden zugewiesen werden. Das Anbieternetzwerk 600 kann es dem Kunden auch erlauben, eine öffentliche IP-Adresse 614, die zuvor auf eine virtualisierte Rechenressourceninstanz, die dem Kunden zugeordnet wurde, abgebildet war, auf eine andere virtualisierte Computerressourceninstanz 612, die ebenfalls dem Kunden zugeordnet ist, abzubilden. Unter Verwendung der von dem Dienstanbieter bereitgestellten virtualisierten Datenverarbeitungsressourceninstanzen 612 und öffentlichen IP-Adressen 614, kann ein Kunde des Dienstanbieters, wie etwa der Betreiber des/der Kundennetzwerks(e) 650A-650C, beispielsweise kundenspezifische Anwendungen implementieren und die Kundenanwendungen auf einem Zwischennetzwerk 640, wie dem Internet, präsentieren. Andere Netzwerkentitäten 620 auf dem Zwischennetzwerk 640 können dann Verkehr zu einer öffentlichen Ziel-IP-Adresse 614 generieren, die von dem/den Kundennetzwerk(en) 650A-650C veröffentlicht wird; der Verkehr wird zu dem Rechenzentrum des Dienstanbieters geroutet und in dem Rechenzentrum über ein Netzwerksubstrat zu der lokalen IP-Adresse 616 der virtualisierten Datenverarbeitungsressourceninstanz 612 geroutet, die derzeit auf der öffentlichen IP-Zieladresse 614 abgebildet ist. In ähnlicher Weise kann Antwortverkehr von der virtualisierten Rechenressourceninstanz 612 über das Netzwerksubstrat zurück auf das Zwischennetzwerk 640 zu der Quellenentität 620 geroutet werden.
  • Lokale IP-Adressen, wie hierin verwendet, betreffend die internen oder „privaten“ Netzwerkadressen, beispielsweise von Ressourceninstanzen in einem Anbieternetzwerk. Lokale IP-Adressen können sich innerhalb von Adressblöcken befinden, die von Internet-Engineering-Task-Force (IETF) Request for Comments (RFC) 1918 reserviert sind, und/oder ein Adressformat aufweisen, das von IETF RFC 4193 spezifiziert wird, und können innerhalb des Anbieternetzwerks änderbar sein. Netzwerkverkehr, der von außerhalb des Anbieternetzwerks stammt, wird nicht direkt an lokale IP-Adressen geroutet; stattdessen verwendet der Verkehr öffentliche IP-Adressen, die auf die lokalen IP-Adressen der Ressourceninstanzen abgebildet sind. Das Anbieternetzwerk kann Netzwerkvorrichtungen oder -geräte, die eine Netzwerkadressübersetzung (NAT) oder eine ähnliche Funktionalität bereitstellen, beinhalten, um die Abbildung von öffentlichen IP-Adressen auf lokale IP-Adressen und umgekehrt durchzuführen.
  • Öffentliche IP-Adressen sind über das Internet veränderbare Netzwerkadressen, die Ressourceninstanzen entweder von dem Dienstanbieter oder von dem Kunden zugewiesen werden. An eine öffentliche IP-Adresse gerouteter Verkehr wird beispielsweise über 1:1-NAT übersetzt und an die jeweilige lokale IP-Adresse einer Ressourceninstanz weitergeleitet.
  • Einige öffentliche IP-Adressen können von der Netzwerkinfrastruktur des Anbieters bestimmten Ressourceninstanzen zugewiesen werden; diese öffentlichen IP-Adressen können als öffentliche Standard-IP-Adressen oder einfach als Standard-IP-Adressen bezeichnet werden. In einigen Ausführungsformen ist die Abbildung einer Standard-IP-Adresse auf eine lokale IP-Adresse einer Ressourceninstanz die Standard-Startkonfiguration für alle Ressourceninstanztypen.
  • Mindestens einige öffentliche IP-Adressen können Kunden des Anbieternetzwerks 600 zugeordnet oder von diesen erhalten werden; ein Kunde kann dann seine zugeordneten öffentlichen IP-Adressen bestimmten Ressourceninstanzen, die dem Kunden zugeordnet sind, zuweisen. Diese öffentlichen IP-Adressen können als öffentliche IP-Adresse des Kunden oder einfach als IP-Adressen des Kunden bezeichnet werden. Anstatt von dem Anbieternetzwerk 600 zu Ressourceninstanzen zugewiesen zu werden, wie in dem Fall der Standard-IP-Adressen, können Kunden-IP-Adressen Ressourceninstanzen von den Kunden zugewiesen werden, beispielsweise über eine von dem Dienstanbieter bereitgestellte API. Im Gegensatz zu Standard-IP-Adressen werden Kunden-IP-Adressen Kundenkonten zugeordnet und können von den jeweiligen Kunden nach Bedarf oder Wunsch auf andere Ressourceninstanzen neu abgebildet werden. Eine Kunden-IP-Adresse ist mit einem Kundenkonto assoziiert, nicht mit einer bestimmten Ressourceninstanz, und der Kunde steuert diese IP-Adresse, bis der Kunde entscheidet, sie freizugeben. Anders als herkömmliche statische IP-Adressen, erlauben es Kunden-IP-Adressen dem Kunden, Ausfälle von Ressourceninstanzen oder Verfügbarkeitszonen zu maskieren, indem die öffentlichen IP-Adressen des Kunden auf eine beliebige Ressourceninstanz, die mit dem Konto des Kunden assoziiert ist, neue abgebildet werden. Die Kunden-IP-Adressen ermöglichen es beispielsweise einem Kunden, Probleme mit den Ressourceninstanzen oder der Software des Kunden zu umgehen, indem Kunden-IP-Adressen auf Ersatzressourceninstanzen neu abgebildet werden.
  • 7 ist ein Blockdiagramm eines beispielhaften Anbieternetzwerks, das Kunden gemäß einigen Ausführungsformen einen Speicherdienst und einen Hardwarevirtualisierungsdienst bereitstellt. Der Hardwarevirtualisierungsdienst 720 stellt Kunden mehrere Rechenressourcen 724 (z. B. Recheninstanzen 725, wie VMs) bereit. Die Rechenressourcen 724 können beispielsweise an Kunden des Anbieternetzwerks 700 (z. B. an einen Kunden, der das Kundennetzwerk 750 implementiert) vermietet oder geleast werden. Jede Rechenressource 724 kann mit einer oder mehreren lokalen IP-Adressen versehen sein. Das Anbieternetzwerk 700 kann dazu konfiguriert sein, Pakete von den lokalen IP-Adressen der Rechenressourcen 724 zu öffentlichen Internetzielen und von öffentlichen Internetquellen zu den lokalen IP-Adressen der Rechenressourcen 724 zu routen.
  • Das Anbieternetzwerk 700 kann einem Kundennetzwerk 750, das beispielsweise über das lokale Netzwerk 756 mit dem Zwischennetzwerk 740 gekoppelt ist, die Fähigkeit bereitstellen, virtuelle Rechensysteme 792 über den Hardwarevirtualisierungsdienst 720, der mit dem Zwischennetzwerk 740 und dem Anbieternetzwerk 700 gekoppelt ist, zu implementieren. In einigen Ausführungsformen kann der Hardwarevirtualisierungsdienst 720 eine oder mehrere APIs 702 bereitstellen, beispielsweise eine Webdienstschnittstelle, über die ein Kundennetzwerk 750 auf Funktionen zugreifen kann, die von dem Hardwarevirtualisierungsdienst 720 bereitgestellt werden, beispielsweise über eine Konsole 794 (z. B. eine webbasierte Anwendung, eigenständige Anwendung, mobile Anwendung usw.). In einigen Ausführungsformen kann in dem Anbieternetzwerk 700 jedes virtuelle Rechensystem 792 in dem Kundennetzwerk 750 einer Rechenressource 724 entsprechen, die an das Kundennetzwerk 750 geleast, vermietet oder anderweitig bereitgestellt wird.
  • Von einer Instanz eines virtuellen Rechensystems 792 und/oder einer anderen Kundenvorrichtung 790 (z. B. über die Konsole 794), kann der Kunde auf die Funktion des Speicherdienstes 710 zugreifen, beispielsweise über eine oder mehrere APIs 702, um auf Daten von Speicherressourcen 718A-718N eines virtuellen Datenspeichers 716 (z. B. ein Ordner oder „Bucket“, ein virtualisierter Raum, eine Datenbank usw.), die von dem Anbieternetzwerk 700 bereitgestellt werden, zuzugreifen und dort zu speichern. In einigen Ausführungsformen kann ein virtualisiertes Datenspeicher-Gateway (nicht gezeigt) in dem Kundennetzwerk 750 bereitgestellt werden, das mindestens einige Daten lokal zwischenspeichern kann, beispielsweise häufig aufgerufene oder kritische Daten, und das mit dem Speicherungsdienst 710 über einen oder mehrere Kommunikationskanäle kommunizieren kann, um neu oder modifizierte Daten aus einem lokalen Cache derart hochzuladen, dass der primäre Datenspeicher (der virtualisierte Datenspeicher 716) beibehalten wird. In einigen Ausführungsformen kann ein Benutzer über ein virtuelles Rechensystem 792 und/oder eine andere Kundenvorrichtung 790 virtuelle Datenspeichervolumen 716 über den Speicherungsdienst 710, der als ein Speichervirtualisierungsdienst fungiert, montieren und darauf zugreifen, und diese Volumen können dem Benutzer als lokale (virtualisierte) Speicherung 798 erscheinen.
  • Obwohl es in 7 nicht gezeigt ist, kann auf den/die Virtualisierungsdienst(e) auch von Ressourceninstanzen innerhalb des Anbieternetzwerks 700 über API(s) 702 zugegriffen werden. Beispielsweise kann ein Kunde, ein Appliance-Dienstanbieter oder eine andere Entität von innerhalb eines jeweiligen virtuellen Netzwerks in dem Anbieternetzwerk 700 über eine API 702 auf einen Virtualisierungsdienst zugreifen, um die Zuordnung einer oder mehrerer Ressourceninstanzen innerhalb des virtuellen Netzwerks oder innerhalb eines anderen virtuellen Netzwerks anzufordern.
  • Veranschaulichende Systeme
  • In einigen Ausführungsformen kann ein System, das einen Teil oder alle der hierin beschriebenen Techniken implementiert, ein Mehrzweck-Computersystem beinhalten, das ein oder mehrere computerzugängliche Medien beinhaltet oder dazu konfiguriert ist, darauf zuzugreifen, wie etwa auf das in 8 veranschaulichte Computersystem 800. In der veranschaulichten Ausführungsform beinhaltet das Computersystem 800 einen oder mehrere Prozessoren 810, die über eine Eingabe/Ausgabe-Schnittstelle (E/A-Schnittstelle) 830 mit einem Systemspeicher 820 gekoppelt sind. Das Computersystem 800 beinhaltet ferner eine Netzwerkschnittstelle 840, die mit der E/A-Schnittstelle 830 gekoppelt ist. Während 8 das Computersystem 800 als eine einzelne Rechenvorrichtung zeigt, kann in verschiedenen Ausführungsformen ein Computersystem 800 eine Rechenvorrichtung oder eine beliebige Anzahl von Rechenvorrichtungen beinhalten, die dazu konfiguriert sind, als ein einziges Computersystem 800 zusammenzuarbeiten.
  • In verschiedenen Ausführungsformen kann das Computersystem 800 ein Einprozessorsystem sein, das einen Prozessor 810 beinhaltet, oder ein Mehrprozessorsystem, das mehrere Prozessoren 810 beinhaltet (z. B. zwei, vier, acht oder eine andere geeignete Anzahl). Die Prozessoren 810 können beliebige geeignete Prozessoren sein, die in der Lage sind, Anweisungen auszuführen. Beispielsweise können die Prozessoren 810 in verschiedenen Ausführungsformen Allzweck- oder eingebettete Prozessoren sein, die eine beliebige einer Vielfalt von Anweisungssatzarchitekturen (ISAs) implementieren, wie die x86-, ARM-, PowerPC-, SPARC- oder MIPS-ISAs, oder beliebige andere geeignete ISAs. In Mehrprozessorsystemen kann jeder der Prozessoren 810 gemeinsam, aber nicht notwendigerweise, dieselbe ISA implementieren.
  • Der Systemspeicher 820 kann Anweisungen und Daten speichern, auf die der/die Prozessor(en) 810 zugreifen können. In verschiedenen Ausführungsformen kann der Systemspeicher 820 unter Verwendung einer beliebigen geeigneten Speichertechnologie, wie Direktzugriffsspeicher (RAM), statischer RAM (SRAM), synchroner dynamischer RAM (SDRAM), nichtflüchtiger/Flash-Typ-Speicher oder irgendeiner anderen Art von Speicher, implementiert werden. In der veranschaulichten Ausführungsform werden Programmanweisungen und Daten, die eine oder mehrere gewünschte Funktionen implementieren, wie diejenigen Verfahren, Techniken und Daten, die oben beschrieben sind, als innerhalb des Systemspeichers 820 als deperimeterisierter Zugriffssteuerdienstcode 825 (z. B. durchführbar, um vollständig oder zum Teil den deperimeterisierten Zugriffssteuerdienst 102 zu implementieren) und Daten 826 gespeichert gezeigt.
  • In einer Ausführungsform kann die E/A-Schnittstelle 830 dazu konfiguriert sein, den E/A-Verkehr zwischen dem Prozessor 810, dem Systemspeicher 820 und beliebigen Peripherievorrichtungen in der Vorrichtung, einschließlich der Netzwerkschnittstelle 840 oder anderer Peripherieschnittstellen, zu koordinieren. In einigen Ausführungsformen kann die E/A-Schnittstelle 830 alle erforderlichen Protokoll-, Timing- oder andere Datentransformationen durchführen, um Datensignale von einer Komponente (z. B. dem Systemspeicher 820) in ein Format umzuwandeln, das zur Verwendung durch eine andere Komponente (z. B. den Prozessor 810) geeignet ist. In einigen Ausführungsformen kann die E/A-Schnittstelle 830 Unterstützung für Vorrichtungen beinhalten, die über verschiedene Arten von Peripheriebussen angeschlossen sind, wie beispielsweise eine Variante des Peripheral-Component-Interconnect-Busstandards (PCI-Busstandards) oder des Universal Serial Bus-Standards (USB-Standards). In einigen Ausführungsformen kann die Funktion der E/A-Schnittstelle 830 in zwei oder mehr getrennte Komponenten, wie eine Nordbrücke und eine Südbrücke, aufgeteilt sein. Außerdem können in einigen Ausführungsformen einige oder alle Funktionen der E/A-Schnittstelle 830, wie beispielsweise eine Schnittstelle zu dem Systemspeicher 820, direkt in den Prozessor 810 integriert werden.
  • Die Netzwerkschnittstelle 840 kann dazu konfiguriert sein zu gestatten, dass Daten zwischen dem Computersystem 800 und anderen Vorrichtungen 860, die an ein Netzwerk oder Netzwerke 850 angeschlossen sind, wie etwa andere Computersysteme oder Vorrichtungen, wie beispielsweise in 1 veranschaulicht, ausgetauscht werden. In verschiedenen Ausführungsformen kann die Netzwerkschnittstelle 840 die Kommunikation über beliebige geeignete drahtgebundene oder drahtlose allgemeine Datennetzwerke, wie Arten von Ethernet-Netzwerken, unterstützen. Zusätzlich kann die Netzwerkschnittstelle 840 die Kommunikation über Telekommunikations-/Telefonienetzwerke, wie analoge Sprachnetzwerke oder digitale Faserkommunikationsnetzwerke, über Speicherbereichsnetzwerke (SANs), wie Fibre Channel SANs, oder über E/A jeden anderen geeigneten Netzwerktyp und/oder Protokoll, unterstützen.
  • In einigen Ausführungsformen beinhaltet ein Computersystem 800 eine oder mehrere Auslagerungskarten 870A oder 870B (einschließlich eines oder mehrerer Prozessoren 875 und möglicherweise einschließlich der einen oder mehreren Netzwerkschnittstellen 840), die unter Verwendung einer E/A-Schnittstelle 830 (z. B. ein Bus, der eine Version des Peripheral-Component-Interconnect-Express-Standards (PCI-E-Standards) oder eine andere Verbindung, wie eine QuickPath-Verbindung (QPI) oder eine UltraPath-Verbindung (UPI) implementiert), verbunden sind. Beispielsweise kann das Computersystem 800 in einigen Ausführungsformen als eine elektronische Host-Vorrichtung fungieren (z. B. als Teil eines Hardware-Virtualisierungsdienstes arbeiten), die Rechenressourcen wie Recheninstanzen hostet, und die eine oder mehreren Auslagerungskarten 870A oder 870B führen einen Virtualisierungsmanager aus, der Recheninstanzen verwalten kann, die auf der elektronischen Host-Vorrichtung ausgeführt werden. Als ein Beispiel kann/können in einigen Ausführungsformen die Auslagerungskarte(n) 870A oder 870B Recheninstanzverwaltungsoperationen durchführen, wie etwa das Anhalten und/oder Aufheben des Anhaltens von Recheninstanzen, das Starten und/oder Beenden von Recheninstanzen, das Durchführen von Speicherübertragungs-/Kopieroperationen usw. Diese Verwaltungsoperationen können in einigen Ausführungsformen von der/den Auslagerungskarte(n) 870A oder 870B in Koordination mit einem Hypervisor (z. B. auf Anforderung von einem Hypervisor), der von den anderen Prozessoren 810A-810N des Rechensystems 800 ausgeführt wird, durchgeführt werden. In einigen Ausführungsformen kann der von der/den Auslagerungskarte(n) 870A oder 870B implementierte Virtualisierungsverwalter jedoch Anforderungen von anderen Entitäten aufnehmen (z. B. von Recheninstanzen selbst), und kann keinen separaten Hypervisor koordinieren (oder bedienen).
  • In einigen Ausführungsformen kann der Systemspeicher 820 eine Ausführungsform eines computerzugänglichen Mediums sein, das zum Speichern von Programmanweisungen und Daten, wie oben beschrieben, konfiguriert ist. In anderen Ausführungsformen können jedoch Programmanweisungen und/oder Daten auf anderen Arten von computerzugänglichen Medien empfangen, gesendet oder gespeichert werden. Allgemein gesagt kann ein computerzugängliches Medium nichtflüchtige Speichermedien oder Speichermedien, wie magnetische oder optische Medien, beinhaltm, z. B. eine Platte oder DVD/CD, die über die E/A-Schnittstelle 830 mit dem Computersystem 800 gekoppelt sind. Ein nichtflüchtiges computerzugängliches Speichermedium kann auch beliebige flüchtige oder nichtflüchtige Medien, wie RAM (z. B. SDRAM, Double Data Rate (DDR) SDRAM, SRAM usw.), Nur-Lese-Speicher (ROM) usw., beinhalten, die in einigen Ausführungsformen des Computersystems 800 als Systemspeicher 820 oder eine andere Art von Speicher enthalten sein können. Ferner kann ein computerzugängliches Medium Übertragungsmedien oder -signale, wie elektrische, elektromagnetische oder digitale Signale beinhalten, die über ein Kommunikationsmedium, wie ein Netzwerk und/oder eine drahtlose Verbindung, wie sie über die Netzwerkschnittstelle 840 implementiert werden kann, übermittelt werden.
  • Die verschiedenen Ausführungsformen, die hierin besprochen oder vorgeschlagen werden, können in einer breiten Vielfalt von Betriebsumgebungen implementiert werden, die in einigen Fällen einen oder mehrere Benutzercomputer, Rechenvorrichtungen oder Verarbeitungsvorrichtungen beinhalten können, die dazu verwendet werden können, eine einer beliebigen Anzahl von Anwendungen zu betreiben. Benutzer- oder Client-Vorrichtungen können eine beliebige Anzahl persönlicher Allzweckcomputer beinhalten, wie etwa Desktop-, Laptop- oder Tablet-Computer, auf denen ein standardmäßiges Betriebssystem ausgeführt wird, sowie Mobilfunk-, drahtlose und handgehaltene Vorrichtungen, auf denen mobile Software ausgeführt wird, und die dazu in der Lage sind, eine Anzahl von Networking- und Messaging-Protokollen zu unterstützen. Ein derartiges System kann auch eine Anzahl von Workstations beinhalten, auf denen ein beliebiges einer Vielfalt handelsüblicher Betriebssysteme und sonstiger bekannter Anwendungen für Zwecke, wie etwa Entwicklung und Datenbankverwaltung, ausgeführt wird. Diese Vorrichtungen können auch andere elektronische Vorrichtungen beinhalten, wie etwa Dummy Terminals, Thin Clients, Spielesysteme und andere Vorrichtungen, die dazu in der Lage sind, über ein Netzwerk zu kommunizieren.
  • Die meisten Ausführungsformen setzen mindestens ein Netzwerk ein, das Fachleuten bekannt wäre, zum Unterstützen von Kommunikationen unter Verwendung einer Vielzahl von weithin verfügbaren Protokollen, wie etwa Transmission Control Protocol/Internet Protocol (TCP/IP), File Transfer Protocol (FTP).), Universal Plug and Play (UPnP), Network File System (NFS), Common Internet File System (CIFS), Extensible Messaging and Presence Protocol (XMPP), AppleTalk usw. Das/die Netzwerk(e) kann/können beispielsweise ein lokales Netzwerk (LAN), ein Weitverkehrsnetzwerk (WAN), ein virtuelles privates Netzwerk (VPN), das Internet, ein Intranet, ein Extranet, ein öffentliches Telefonnetz (PSTN), ein Infrarotnetzwerk, ein drahtloses Netzwerk, und jede Kombination davon beinhalten.
  • In Ausführungsformen, die einen Web-Server einsetzen, kann der Web-Server jede einer Vielzahl von Server-oder Mid-Tier-Anwendungen ausführen, einschließlich HTTP-Server, File-Transfer-Protocol-Server (FTP-Server), Common Gateway Interface-Server (CGI-Server), Datenserver, Java-Server, Business-Anwendungsserver usw. Der bzw. die Server kann bzw. können zudem dazu in der Lage sein, Programme oder Skripte als Reaktion auf Anforderungen von Benutzervorrichtungen auszuführen, wie etwa durch Ausführen von einer oder mehreren Webanwendungen, die als ein oder mehrere Skripte oder Programme implementiert sein können, die in einer beliebigen Programmiersprache geschrieben sind, wie etwa Java®, C, C# oder C++ oder einer beliebigen Skriptsprache, wie etwa Ruby, PHP, Perl, Python oder TCL sowie Kombinationen davon. Der/die Server kann/können auch Datenbankserver beinhalten, einschließlich, aber nicht beschränkt auf diejenigen, die im Handel von Oracle®, Microsoft®, Sybase®, IBM® usw. erhältlich sind. Die Datenbankserver können relational oder nicht relational sein (z. B. „NoSQL“), verteilt oder nicht verteilt usw.
  • Umgebungen können hierin eine Vielfalt von Datenspeichern und anderem Speicher und anderen Speicherungsmedien, wie vorstehend erörtert, beinhalten. Diese können an einer Vielfalt von Orten liegen, wie etwa auf einem Speichermedium, das zu einem oder mehreren der Computer lokal (und/oder darin angeordnet) ist oder von beliebigen oder allen der Computer über das Netzwerk hinweg entfernt ist. In einem besonderen Satz von Ausführungsformen können sich die Informationen in einem Storage-Area-Netzwerk (SAN) befinden, das dem Fachmann bekannt ist. Auf ähnliche Art können beliebige erforderliche Dateien zum Durchführen der Funktionen, die den Computern, Servern oder anderen Netzwerkvorrichtungen zugewiesen sind, gegebenenfalls lokal und/oder entfernt gespeichert werden. Wenn ein System computergestützte Vorrichtungen beinhaltet, kann jede derartige Vorrichtung Hardwareelemte beinhalten, die über einen Bus elektrisch gekoppelt sein können, wobei die Elemente beispielsweise mindestens eine Zentraleinheit (CPU), mindestens eine Eingabevorrichtung (z. B. eine Maus, eine Tastatur, einen Controller, einen Touchscreen oder ein Tastenfeld) und mindestens eine Ausgabevorrichtung (z. B. eine Anzeigevorrichtung, einen Drucker oder einen Lautsprecher) beinhalten. Ein derartiges System kann auch eine oder mehrere Speichervorrichtungen beinhalten, wie etwa Plattenlaufwerke, optische Speichervorrichtungen und Solid-State-Speichervorrichtungen, wie etwa Direktzugriffsspeicher (RAM) oder Festwertspeicher (ROM), sowie entfernbare Medienvorrichtungen, Speicherkarten, Flash-Karten usw.
  • Derartige Vorrichtungen können, wie oben beschrieben, auch eine computerlesbare Speichermedien-Lesevorrichtung, eine Kommunikationsvorrichtung (z. B. ein Modem, eine Netzwerkkarte (drahtlos oder drahtgebunden), eine Infrarot-Kommunikationsvorrichtung usw.) und Arbeitsspeicher beinhalten. Die computerlesbare Speichermedien-Lesevorrichtung kann mit einem computerlesbaren Speichermedium, das entfernte, lokale, feststehende und/oder entfernbare Speichervorrichtungen sowie Speichermedien für vorübergehendes und/oder dauerhaftes Enthalten, Speichern, Übertragen und Abrufen von computerlesbaren Information darstellt, verbunden sein oder dazu ausgelegt sein, dieses aufzunehmen. Das System und die verschiedenen Vorrichtungen beinhalten außerdem in der Regel eine Anzahl von Softwareanwendungen, Modulen, Diensten oder anderen Elementen, die innerhalb mindestens einer Arbeitsspeichervorrichtung, einschließlich eines Betriebssystems und von Anwendungsprogrammen, wie etwa einer Kundenanwendung oder eines Webbrowsers, liegen. Es versteht sich, dass alternative Ausführungsformen zahlreiche Abwandlungen von der vorstehend beschriebenen aufweisen können. Beispielsweise kann benutzerdefinierte Hardware auch verwendet werden, und/oder spezielle Elemente können in Hardware, Software (einschließlich portabler Software wie etwa Applets) oder beiden umgesetzt sein. Ferner kann eine Verbindung zu anderen Rechenvorrichtungen, wie etwa Netzwerk-Eingabe/AusgabeVorrichtungen, implementiert sein.
  • Speichermedien und computerlesbare Medien, die Code oder Teile von Code enthalten, können beliebige zweckmäßige Medien beinhalten, die auf dem Fachgebiet bekannt sind oder verwendet werden, einschließlich Speichermedien und Kommunikationsmedien, wie etwa unter anderem flüchtige und nichtflüchtige, entfernbare und nicht entfernbare Medien, die in einem beliebigen Verfahren oder einer beliebigen Technik zur Speicherung und/oder Übertragung von Informationen implementiert sind, wie etwa computerlesbaren Anweisungen, Datenstrukturen, Programmmodule oder andere Daten, darunter RAM, ROM, elektrisch löschbarer programmierbarer Festwertspeicher (EEPROM), Flash-Speicher oder eine andere Speichertechnik, Compact-Disc-Festwertspeicher (CD-ROM), Digital Versatile Disk (DVD) oder ein anderer optischer Speicher, Magnetkassetten, ein Magnetband, ein Magnetplattenspeicher oder andere Magnetspeichervorrichtungen oder ein beliebiges anderes Medium, das dazu verwendet werden kann, die gewünschten Information zu speichern, und auf das von einer Systemvorrichtung zugegriffen werden kann. Basierend auf der Offenbarung und den hierin bereitgestellten Lehren, versteht ein Durchschnittsfachmann, dass andere Möglichkeiten und/oder Verfahren vorhanden sind, um die verschiedenen Ausführungsformen zu implementieren.
  • In der vorstehenden Beschreibung werden verschiedene Ausführungsformen beschrieben. Zu Zwecken der Erläuterung, werden spezifische Konfigurationen und Einzelheiten dargelegt, um ein umfassendes Verständnis der Ausführungsformen bereitzustellen. Für den Fachmann ist jedoch auch ersichtlich, dass die Ausführungsformen ohne die spezifischen Einzelheiten umgesetzt werden können. Ferner können hinlänglich bekannte Merkmale weggelassen oder vereinfacht werden, damit die beschriebene Ausführungsform nicht unklar wird.
  • Text in Klammern und Blöcke mit gestrichelten Umrandungen (z. B. große Striche, kleine Striche, Punkt-Strich und Punkte) werden hierin verwendet, um optionale Operationen zu veranschaulichen, die einigen Ausführungsformen zusätzliche Merkmale hinzufügen. Eine solche Notation sollte jedoch nicht so verstanden werden, dass dies die einzigen Optionen oder optionalen Operationen sind und/oder dass Blöcke mit durchgezogenen Rändern in bestimmten Ausführungsformen nicht optional sind.
  • Bezugszeichen mit Suffixbuchstaben (z. B. 718A-718N) können verwendet werden, um anzugeben, dass es in verschiedenen Ausführungsformen eine oder mehrere Instanzen der referenzierten Entität geben kann, und wenn es mehrere Instanzen gibt, muss jede nicht identisch sein, sondern kann stattdessen einige allgemeine Züge teilen oder sich auf gemeinsame Weise verhalten. Ferner sollen die verwendeten Suffixe nicht implizieren, dass eine bestimmte Menge der Entität existiert, sofern nicht ausdrücklich etwas Anderes angegeben ist. Somit können zwei Entitäten, die die gleichen oder unterschiedliche Suffixbuchstaben verwenden, in verschiedenen Ausführungsformen die gleiche Anzahl von Instanzen aufweisen oder nicht.
  • Bezugnahmen auf „eine Ausführungsform“, „ein Ausführungsbeispiel“ usw. geben an, dass die beschriebene Ausführungsform ein(e) bestimmte(s) Merkmal, Struktur oder Eigenschaft beinhalten kann, jede Ausführungsform diese(s) bestimmte Merkmal, Struktur oder Eigenschaft nicht notwendigerweise beinhalten muss. Darüber verweisen derartige Formulierungen nicht unbedingt auf ein und dieselbe Ausführungsform. Ferner sei darauf hingewiesen, dass, wenn ein bestimmtes Merkmal, eine bestimmte Struktur oder Eigenschaft in Verbindung mit einer Ausführungsform beschrieben wird, es im Bereich des Fachwissens des Fachmanns liegt, ein derartiges Merkmal, eine derartige Struktur oder Eigenschaft in Verbindung mit anderen Ausführungsformen hervorzubringen, ob dies nun ausdrücklich beschrieben ist oder nicht.
  • Darüber hinaus soll in den verschiedenen oben beschriebenen Ausführungsformen, sofern nicht ausdrücklich anders angegeben, eine disjunktive Sprache, wie der Ausdruck „mindestens eines von A, B oder C“ dahingehend verstanden werden, dass sie entweder A, B oder C oder eine beliebige Kombination bedeuten davon (z. B. A, B und/oder C). somit bezweckt eine derartige disjunktive Sprache nicht, dass eine gegebene Ausführungsform mindestens eines von A, mindestens eines von B oder mindestens eines von C erfordert, um jeweils vorhanden zu sein, noch sollte es so verstanden werden.
  • Sofern nicht ausdrücklich anders angegeben, sollten Artikel wie „ein“ oder „eine“ im Allgemeinen dahingehend ausgelegt werden, dass sie einen oder mehrere beschriebene Artikel beinhalten. Dementsprechend bezwecken Ausdrücke, wie „eine Vorrichtung, die dazu konfiguriert ist“, eine oder mehrere erwähnte Vorrichtungen zu beinhalten. Eine derartige eine oder mehrere der erwähnten Vorrichtungen können auch kollektiv dazu konfiguriert sein, die erwähnten Vorträge auszuführen. Beispielsweise kann „ein Prozessor, der dazu konfiguriert ist, die Vorträge A, B und C auszuführen“, einen ersten Prozessor beinhalten, der dazu konfiguriert ist, den Vortrag A auszuführen, der in Verbindung mit einem zweiten Prozessor arbeitet, der dazu konfiguriert ist, die Vorträge B und C auszuführen.
  • Zusätzlich können Ausführungsformen der offenbarten Technologien angesichts der folgenden Klauseln beschrieben werden:
    1. 1. Computerimplementiertes Verfahren, umfassend:
      • Abfangen durch einen Single-Packet-Authorization(SPA)-Agenten auf einer Client-Vorrichtung von Verkehr, der für einen Dienst eines Anbieternetzwerks bestimmt ist, von einer Anwendung auf der Client-Vorrichtung;
      • Bestimmen, dass der Dienst mit einem deperimeterisierten Zugriffssteuerdienst assoziiert ist;
      • Senden einer SPA-Anforderung an einen Controller des deperimeterisierten Zugriffssteuerdienstes, wobei die SPA-Anforderung einen Vorrichtungsberechtigungsnachweis beinhaltet;
      • Erhalten eines Sitzungstickets von dem deperimeterisierten Zugriffssteuerdienst, wobei das Sitzungsticket auf einer Richtlinie basiert, die mit der Client-Vorrichtung assoziiert ist;
      • Senden einer Anforderung an ein Gateway des deperimeterisierten Zugriffssteuerdienstes, um eine Sitzung mit dem Dienst zu initiieren;
      • Empfangen von Sitzungsparametern von dem Gateway; Initiieren einer Sitzung mit dem Dienst unter Verwendung der Sitzungsparameter; und Bereitstellen des Verkehrs, der für den Dienst bestimmt ist, über die Sitzung.
    2. 2. Computerimplementiertes Verfahren nach Klausel 1, wobei das Gateway das Sitzungsticket validiert und bestimmt, dass das Sitzungsticket mit dem Dienst assoziiert ist.
    3. 3. Computerimplementiertes Verfahren einer der Klauseln 1-2, wobei das Sitzungsticket ferner auf Haltungsinformationen basiert, wobei die Haltungsinformationen eine oder mehrere Softwareversionen, die mit der Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten.
    4. 4. Computerimplementiertes Verfahren, umfassend:
      • Empfangen durch einen Controller eines deperimeterisierten Zugriffssteuerdienstes einer Single-Packet-Authorization-Anforderung (SPA-Anforderung) für ein Sitzungsticket von einem Agenten auf einer elektronischen Vorrichtung, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet;
      • Autorisieren der SPA-Anforderung;
      • Bereitstellen eines Sitzungstickets an den Agenten basierend auf der Anforderung;
      • Empfangen durch ein Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket beinhaltet;
      • Validieren des Sitzungstickets; und
      • Bereitstellen von Sitzungsparametern an den Agenten, die verwendet werden sollen, um die Sitzung zwischen der elektronischen Vorrichtung und dem Dienst zu initiieren.
    5. 5. Computerimplementiertes Verfahren nach Klausel 4, wobei der Agent auf der elektronischen Vorrichtung ferner dazu konfiguriert ist:
      • Haltungsinformationen für die elektronische Vorrichtung zu erhalten, wobei die Haltungsinformationen eine oder mehrere Softwareversionen, die mit einem Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit dem Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten; und
      • Haltungsinformationen an den Controller bereitzustellen.
    6. 6. Computerimplementiertes Verfahren nach einer der Klauseln 4-5, wobei der Agent auf der elektronischen Vorrichtung ferner dazu konfiguriert ist:
      • den Verkehr anzuhalten; und
      • den Verkehr dem Dienst bereitzustellen, sobald die Sitzung initiiert wurde.
    7. 7. Computerimplementiertes Verfahren nach einer der Klauseln 4-6, wobei das Autorisieren der SPA-Anforderung ferner Folgendes umfasst:
      • Abbilden eines Benutzers zu der elektronischen Vorrichtung;
      • Bestimmen einer Richtlinie, die mit dem Benutzer assoziiert ist; und
      • Generieren des Sitzungstickets basierend auf der Richtlinie.
    8. 8. Computerimplementiertes Verfahren nach einer der Klauseln 4-7, wobei die SPA-Anforderung eine Autorisierungsnutzlast und einen Berechtigungsnachweis, der dem Agenten zuvor bereitgestellt wird, beinhaltet.
    9. 9. Computerimplementierte Verfahren nach einer der Klauseln 4-8, wobei die SPA-Anforderung unidirektional ist.
    10. 10. Computerimplementiertes Verfahren nach einer der Klauseln 4-9, ferner umfassend:
      • Empfangen durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und
      • Ignorieren der zweiten Anforderung.
    11. 11. Computerimplementiertes Verfahren nach einer der Klauseln 4-10, ferner umfassend:
      • Empfangen durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und
      • Routen der zweiten Anforderung an eine Täuschungsumgebung, die dieselbe IP-Adresse wie der Dienst aufweist.
    12. 12. Computerimplementiertes Verfahren nach Klausel 11, ferner umfassend:
      • Identifizieren eines böswilligen Akteurs basierend auf einer oder mehreren Aktionen, die in der Täuschungsumgebung durchgeführt werden; und
      • Aktualisieren des Gateways, um eine oder mehrere Abwehrreaktionen auf zukünftigem Verkehr, der von dem böswilligen Akteur empfangen wird, durchzuführen.
    13. 13. System, umfassend:
      • eine erste oder mehrerer elektronischer Vorrichtungen zum Umsetzen eines Dienstes in einem Multi-Tenant-Anbietemetzwerk; und
      • eine zweite oder mehrerer elektronischer Vorrichtungen zum Implementieren eines deperimeterisierten Zugriffssteuerdienstes in dem Multi-Tenant-Provider-Anbieternetzwerk, wobei der deperimeterisierte Zugriffssteuerdienst Anweisungen beinhaltet, die bei Ausführung den deperimeterisierten Zugriffssteuerdienst dazu veranlassen:
        • durch einen Controller des deperimeterisierten Zugriffssteuerdienstes eine Single-Packet-Authorization-Anforderung (SPA-Anforderung) für ein Sitzungsticket von einem Agenten zu empfangen, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet.
        • Autorisieren der SPA-Anforderung;
        • Bereitstellen eines Sitzungstickets an den Agenten basierend auf der Anforderung;
        • Empfangen durch ein Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket beinhaltet;
        • Validieren des Sitzungstickets; und
        • Bereitstellen von Sitzungsparametern an den Agenten, die verwendet werden sollen, um die Sitzung zwischen der Client Vorrichtung und dem Dienst zu initiieren.
    14. 14. System nach Klausel 13, wobei der Agent auf der Client-Vorrichtung ferner dazu konfiguriert ist:
      • Haltungsinformationen für die elektronische Vorrichtung zu erhalten, wobei die Haltungsinformationen eine oder mehrere Softwareversionen, die mit einem Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit dem Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten; und
      • Haltungsinformationen an den Controller bereitzustellen.
    15. 15. System nach einer der Klauseln 13-14, wobei der Agent auf der Client-Vorrichtung ferner dazu konfiguriert ist:
      • den Verkehr anzuhalten; und
      • den Verkehr dem Dienst bereitzustellen, sobald die Sitzung initiiert ist.
    16. 16. System nach einer der Klauseln 13-15, wobei zum Autorisieren der SPA-Anforderung die Anweisungen bei Ausführung den deperimeterisierten Zugriffssteuerdienst ferner veranlassen :
      • einen Benutzer zu der elektronischen Vorrichtung abzubilden;
      • eine Richtlinie, die mit dem Benutzer assoziiert ist, zu bestimmen; und
      • das Sitzungsticket basierend auf der Richtlinie zu generieren.
    17. 17. System nach einer der Klauseln 14-16, wobei die SPA-Anforderung eine Autorisierungsnutzlast und einen Berechtigungsnachweis, der zuvor dem Agenten bereitgestellt wurde, beinhaltet.
    18. 18. System nach einer der Klauseln 13-17, wobei die SPA-Anforderung unidirektional ist.
    19. 19. System nach einer der Klauseln 13-18, wobei die Anweisungen, wenn sie ausgeführt werden, ferner den deperimeterisierten Zugriffssteuerdienst dazu veranlassen:
      • durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, eine zweite Anforderung zum Initiieren einer Sitzung mit einem Dienst zu empfangen, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und
      • die zweite Anforderung zu ignorieren.
    20. 20. System nach einer der Klauseln 13-19, wobei die Anweisungen, wenn sie ausgeführt werden, ferner den deperimeterisierten Zugriffssteuerdienst dazu veranlassen:
      • durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, eine zweite Anforderung zum Initiieren einer Sitzung mit einem Dienst zu empfangen, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und
      • die zweite Anforderung an eine Täuschungsumgebung mit derselben IP-Adresse wie der Dienst zu routen.
  • Die Beschreibung und die Zeichnungen sind dementsprechend in einem veranschaulichenden und nicht einschränkenden Sinne zu verstehen. Es ist jedoch ersichtlich, dass verschiedene Modifikationen und Änderungen daran vorgenommen werden können, ohne vom weiteren Geist und Schutzumfang der Offenbarung, wie in den Patentansprüchen dargelegt, abzuweichen.

Claims (15)

  1. Computerimplementiertes Verfahren, umfassend: Empfangen durch einen Controller eines deperimeterisierten Zugriffssteuerdienstes einer Single-Packet-Authorization-Anforderung (SPA-Anforderung) für ein Sitzungsticket von einem Agenten auf einer elektronischen Vorrichtung, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet; Autorisieren der SPA-Anforderung; Bereitstellen eines Sitzungstickets an den Agenten basierend auf der Anforderung; Empfangen durch ein Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket beinhaltet; Validieren des Sitzungstickets; und Bereitstellen von Sitzungsparametern an den Agenten, die verwendet werden sollen, um die Sitzung zwischen der elektronischen Vorrichtung und dem Dienst zu initiieren.
  2. Computerimplementiertes Verfahren nach Anspruch 1, wobei der Agent auf der elektronischen Vorrichtung ferner dazu konfiguriert ist: Haltungsinformationen für die elektronische Vorrichtung zu erhalten, wobei die Haltungsinformationen eine oder mehrere Softwareversionen, die mit einem Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit der Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten; und Haltungsinformationen an den Controller bereitzustellen.
  3. Computerimplementiertes Verfahren nach einem der Ansprüche 1-2, wobei der Agent auf der elektronischen Vorrichtung ferner dazu konfiguriert ist: den Verkehr anzuhalten; und den Verkehr dem Dienst bereitzustellen, sobald die Sitzung initiiert ist.
  4. Computerimplementiertes Verfahren nach einem der Ansprüche 1-3, wobei das Autorisieren der SPA-Anforderung ferner Folgendes umfasst: Abbilden eines Benutzers zu der elektronischen Vorrichtung; Bestimmen einer Richtlinie, die mit dem Benutzer assoziiert ist; und Generieren des Sitzungstickets basierend auf der Richtlinie.
  5. Computerimplementiertes Verfahren nach einem der Ansprüche 1-4, wobei die SPA-Anforderung eine Autorisierungsnutzlast und einen Berechtigungsnachweis, der dem Agenten zuvor bereitgestellt wird, beinhaltet.
  6. Computerimplementiertes Verfahren nach einem der Ansprüche 1-5, wobei die SPA-Anforderung unidirektional ist.
  7. Computerimplementiertes Verfahren nach einem der Ansprüche 1-6, das ferner Folgendes umfasst: Empfangen durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und Ignorieren der zweiten Anforderung.
  8. Computerimplementiertes Verfahren nach einem der Ansprüche 1-7, das ferner Folgendes umfasst: Empfangen durch das Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket nicht beinhaltet; und Routen der zweiten Anforderung an eine Täuschungsumgebung, die dieselbe IP-Adresse wie der Dienst aufweist.
  9. Computerimplementiertes Verfahren nach Anspruch 8, das ferner Folgendes umfasst: Identifizieren eines böswilligen Akteurs basierend auf einer oder mehreren Aktionen, die in der Täuschungsumgebung durchgeführt werden; und Aktualisieren des Gateways, um eine oder mehrere Abwehrreaktionen auf zukünftigem Verkehr, der von dem böswilligen Akteur empfangen wird, durchzuführen.
  10. System, umfassend: eine erste oder mehrere elektronische Vorrichtungen zum Umsetzen eines Dienstes in einem Multi-Tenant-Anbietemetzwerk; und eine zweite oder mehrere elektronische Vorrichtungen zum Implementieren eines deperimeterisierten Zugriffssteuerdienstes in dem Multi-Tenant-Provider-Anbieternetzwerk, wobei der deperimeterisierte Zugriffssteuerdienst Anweisungen beinhaltet, die bei Ausführung den deperimeterisierten Zugriffssteuerdienst dazu veranlassen: durch einen Controller des deperimeterisierten Zugriffssteuerdienstes eine Single-Packet-Authorization-Anforderung (SPA-Anforderung) für ein Sitzungsticket von einem Agenten zu empfangen, wobei der Agent die Anforderung für das Sitzungsticket als Reaktion auf das Abfangen von Verkehr, der für einen Dienst bestimmt ist, der mit dem deperimeterisierten Zugriffssteuerdienst assoziiert ist, und das Feststellen, dass der Agent kein Sitzungsticket für den Dienst hat, sendet. Autorisieren der SPA-Anforderung; Bereitstellen eines Sitzungstickets an den Agenten basierend auf der Anforderung; Empfangen durch ein Gateway des deperimeterisierten Zugriffssteuerdienstes, einer Anforderung zum Initiieren einer Sitzung mit einem Dienst, wobei die Anforderung das Sitzungsticket beinhaltet; Validieren des Sitzungstickets; und Bereitstellen von Sitzungsparametern an den Agenten, die verwendet werden sollen, um die Sitzung zwischen der Client Vorrichtung und dem Dienst zu initiieren.
  11. System nach Anspruch 10, wobei der Agent auf der Client-Vorrichtung ferner dazu konfiguriert ist: Haltungsinformationen für die elektronische Vorrichtung zu erhalten, wobei die Haltungsinformationen eine oder mehrere Softwareversionen, die mit einem Client-Vorrichtung assoziiert sind, Netzwerksicherheitsinformationen, die mit der Client-Vorrichtung assoziiert sind, den physischen Ort der Vorrichtung, verbundene drahtlose Vorrichtungen oder Benutzerbiometrie beinhalten; und Haltungsinformationen an den Controller bereitzustellen.
  12. System nach Anspruch 10-11, wobei der Agent auf der Client-Vorrichtung ferner dazu konfiguriert ist: den Verkehr anzuhalten; und den Verkehr dem Dienst bereitzustellen, sobald die Sitzung initiiert ist.
  13. System nach einem der Ansprüche 10-12, wobei zum Autorisieren der SPA-Anforderung die Anweisungen bei Ausführung den deperimeterisierten Zugriffssteuerdienst weiter veranlassen: einen Benutzer zu der elektronischen Vorrichtung abzubilden; eine Richtlinie, die mit dem Benutzer assoziiert ist, zu bestimmen; und das Sitzungsticket basierend auf der Richtlinie zu generieren.
  14. System nach einem der Ansprüche 10-13, wobei die SPA-Anforderung eine Autorisierungsnutzlast und einen Berechtigungsnachweis, der zuvor dem Agenten bereitgestellt wird, beinhaltet.
  15. System nach einem der Ansprüche 10-14, wobei die SPA-Anforderung unidirektional ist.
DE112021006422.3T 2020-12-11 2021-12-09 Deperimeterisierter zugriffssteuerdienst Pending DE112021006422T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/119,640 2020-12-11
US17/119,640 US11652822B2 (en) 2020-12-11 2020-12-11 Deperimeterized access control service
PCT/US2021/062695 WO2022125828A1 (en) 2020-12-11 2021-12-09 Deperimeterized access control service

Publications (1)

Publication Number Publication Date
DE112021006422T5 true DE112021006422T5 (de) 2023-10-05

Family

ID=79259321

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021006422.3T Pending DE112021006422T5 (de) 2020-12-11 2021-12-09 Deperimeterisierter zugriffssteuerdienst

Country Status (4)

Country Link
US (1) US11652822B2 (de)
CN (1) CN116530073B (de)
DE (1) DE112021006422T5 (de)
WO (1) WO2022125828A1 (de)

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070067638A1 (en) * 2005-09-22 2007-03-22 Roland Haibl Method of Session Consolidation
US8832855B1 (en) * 2010-09-07 2014-09-09 Symantec Corporation System for the distribution and deployment of applications with provisions for security and policy conformance
EP2495658A1 (de) 2011-03-02 2012-09-05 Accenture Global Services Limited Computernetzwerk, Computersystem, computerimplementiertes Verfahren und Computerprogrammprodukt zur Verwaltung von Sitzungstoken
US8843999B1 (en) 2012-04-18 2014-09-23 Google Inc. VOIP identification systems and methods
US10230770B2 (en) * 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
EP3227821A1 (de) * 2014-11-21 2017-10-11 Interdigital Patent Holdings, Inc. Verwendung von informationen zur sicherheitslage zur bestimmung des zugriffs auf dienste
US20210105275A1 (en) * 2016-03-28 2021-04-08 Zscaler, Inc. Adaptive multipath tunneling in cloud-based systems
US20210367944A1 (en) * 2016-03-28 2021-11-25 Zscaler, Inc. REST API provided by a local agent to detect network path of a request
US11533307B2 (en) * 2016-03-28 2022-12-20 Zscaler, Inc. Enforcing security policies on mobile devices in a hybrid architecture
US10075424B2 (en) 2016-03-28 2018-09-11 Airwatch Llc Application authentication wrapper
US10320748B2 (en) * 2017-02-23 2019-06-11 At&T Intellectual Property I, L.P. Single packet authorization in a cloud computing environment
EP3603028B1 (de) * 2017-03-28 2023-05-24 NetApp, Inc. Verfahren und systeme zur bereitstellung von wake-on-demand-zugriff auf sitzungsserver
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
US11233821B2 (en) * 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10609154B2 (en) * 2018-03-30 2020-03-31 Ofinno, Llc Data transmission over user plane for cellular IoT
US11245682B2 (en) * 2018-10-18 2022-02-08 Oracle International Corporation Adaptive authorization using access token
US10992670B1 (en) * 2018-11-12 2021-04-27 Amazon Technologies, Inc. Authenticating identities for establishing secure network tunnels
US11429802B2 (en) * 2019-09-12 2022-08-30 MobileIron, Inc. Obtaining device posture of a third party managed device
US11381557B2 (en) * 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11271777B2 (en) * 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) * 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11539695B2 (en) * 2019-11-26 2022-12-27 Twingate, Inc. Secure controlled access to protected resources
US11190493B2 (en) * 2019-12-16 2021-11-30 Vmware, Inc. Concealing internal applications that are accessed over a network
US11924248B2 (en) * 2020-07-08 2024-03-05 Nokia Solutions And Networks Oy Secure communications using secure sessions
US11558184B2 (en) * 2020-08-09 2023-01-17 Perimeter 81 Ltd Unification of data flows over network links with different internet protocol (IP) addresses

Also Published As

Publication number Publication date
CN116530073B (zh) 2024-03-01
US11652822B2 (en) 2023-05-16
CN116530073A (zh) 2023-08-01
US20220191209A1 (en) 2022-06-16
WO2022125828A1 (en) 2022-06-16

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
US20190356634A1 (en) Cloud-based virtual private access systems and methods
US20210336934A1 (en) Cloud-based web application and API protection
US20200314121A1 (en) Cloud-based web content processing system providing client threat isolation and data integrity
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
US8549613B2 (en) Reverse VPN over SSH
US10911407B1 (en) Localization at scale for a cloud-based security service
EP3788755B1 (de) Zugriff auf cloud-ressourcen unter verwendung privater netzwerkadressen
EP4018617B1 (de) Verwaltung von berechtigungen für ressourcen auf cloud-basis mit sitzungsspezifischen attributen
US20170169225A1 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable in a plurality of languages
US11368448B2 (en) Passwordless privilege access
US20200106699A1 (en) Systems and methods for multilink wan connectivity for saas applications
US11855993B2 (en) Data shield system with multi-factor authentication
US20230019448A1 (en) Predefined signatures for inspecting private application access
US20220045984A1 (en) Implementing a multi-regional cloud based network using network address translation
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
CA2912774C (en) Providing single sign-on for wireless devices
DE112021004945T5 (de) Techniken der kompositionellen verifikation für rollenerreichbarkeitsanalysen in identitätssystemen
US11463426B1 (en) Vaultless authentication
US11063959B2 (en) Secure and seamless remote access to enterprise applications with zero user intervention
DE112021006422T5 (de) Deperimeterisierter zugriffssteuerdienst
US20230015603A1 (en) Maintaining dependencies in a set of rules for security scanning
US11736516B2 (en) SSL/TLS spoofing using tags
US12010099B1 (en) Identity-based distributed cloud firewall for access and network segmentation
US20230231884A1 (en) Browser fingerprinting and control for session protection and private application protection