JP5826298B2 - 仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術 - Google Patents

仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術 Download PDF

Info

Publication number
JP5826298B2
JP5826298B2 JP2013558144A JP2013558144A JP5826298B2 JP 5826298 B2 JP5826298 B2 JP 5826298B2 JP 2013558144 A JP2013558144 A JP 2013558144A JP 2013558144 A JP2013558144 A JP 2013558144A JP 5826298 B2 JP5826298 B2 JP 5826298B2
Authority
JP
Japan
Prior art keywords
network element
client network
security
virtual machine
guest virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013558144A
Other languages
English (en)
Other versions
JP2014519069A (ja
Inventor
マコークエンデイル・ブルース・イー
ソーベル・ウィリアム・イー
バーンズ・マシュー・アール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2014519069A publication Critical patent/JP2014519069A/ja
Application granted granted Critical
Publication of JP5826298B2 publication Critical patent/JP5826298B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/452Remote windowing, e.g. X-Window System, desktop virtualisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Description

本開示は、概して、仮想デスクトップインフラストラクチャにおける仮想マシン(virtual machine:VM)に関し、特に、仮想デスクトップインフラストラクチャ(virtual desktop infrastructure:VDI)においてチェックアウトした仮想マシン(VM)を保護する技術に関する。
仮想デスクトップインフラストラクチャ(VDI)は、データセンタにおいて仮想マシン(VM)として実行されるデスクトップイメージにリモートからアクセスすることに関与し得る。仮想マシン(VM)が仮想デスクトップインフラストラクチャ(VDI)に接続されると、セキュリティ仮想マシン(security virtual machine:SVM)は、複数の仮想マシン(VM)に対してセキュリティサービスを提供し得る。仮想デスクトップインフラストラクチャ(VDI)は、切断したユーザが仮想マシン(VM)を「チェックアウトする」(例えば、仮想マシン(VM)のホスティングをデータセンタからユーザデバイスに移す)ことを許可することにより、彼らが仮想マシン(VM)へのアクセスを継続することを可能にし得る。切断したユーザが仮想マシン(VM)をチェックアウトすると、チェックアウトされた仮想マシンは、エンドポイントセキュリティ機能に欠如し得る。
上記を考慮すれば、仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシン(VM)を保護するための現在の技術に関連する重大な問題及び欠点が存在し得ることが理解されるであろう。
仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシン(VM)を保護する技術を開示する。ある特定の例示的実施形態では、これらの技術は、サーバネットワーク要素によってホスティングされるゲスト仮想マシンをチェックアウトする要求を受信するステップであって、ゲスト仮想マシンのチェックアウトは、ゲスト仮想マシンのホスティングをサーバネットワーク要素からクライアントネットワーク要素へと移すことを含むステップを含む、チェックアウトしたゲスト仮想マシンを保護する方法として実現され得る。チェックアウトしたゲスト仮想マシンを保護するこの方法は、ゲスト仮想マシンを保護するために、ゲスト仮想マシン用にセキュリティモジュールを構成するステップ、及びゲスト仮想マシンがチェックアウトする際に、セキュリティモジュールをゲスト仮想マシンに提供するステップも含み得る。
この特定の例示的実施形態の他の態様によれば、この方法は、クライアントネットワーク要素に関連する情報を収集するために、プローブパケットをクライアントネットワーク要素に送信するステップを更に含み得る。
この特定の例示的実施形態の更なる態様によれば、クライアントネットワーク要素に関連する情報に少なくとも部分的に基づいて、ゲスト仮想マシン用のセキュリティモジュールが構成され得る。
この特定の例示的実施形態の追加の態様によれば、クライアントネットワーク要素に関連する情報は、仮想化プラットフォーム、ハイパーバイザ、セキュリティ情報、脆弱性、権利、ストレージ、CPU使用率、メモリ、及びネットワーク入出力(I/O)の内の少なくとも1つを含み得る。
この特定の例示的実施形態の更に別の態様によれば、クライアントネットワーク要素に関連するセキュリティ情報は、セキュリティアプリケーション、メーカー、バージョン、日付、歴史、ウイルス対策、スパム対策、マルウェア対策、及びインタフェースの内の少なくとも1つを含み得る。
この特定の例示的実施形態の他の態様によれば、この方法は、セキュリティアプリケーションがクライアントネットワーク要素に関連するか否かを判定するステップを更に含み得る。
この特定の例示的実施形態の更なる態様によれば、ゲスト仮想マシン用にセキュリティモジュールを構成するステップは、クライアントネットワーク要素とインタラクトするためのセキュリティモジュール用のインタフェースの構成を含み得る。
この特定の例示的実施形態の追加の態様によれば、セキュリティモジュール用のインタフェースは、クライアントネットワーク要素に関連するセキュリティアプリケーションとインタラクトするように構成され得る。
この特定の例示的実施形態の更に別の態様によれば、ゲスト仮想マシン用にセキュリティモジュールを構成するステップは、サーバネットワーク要素とインタラクトするためのセキュリティモジュール用のインタフェースの構成を含み得る。
この特定の例示的実施形態の他の態様によれば、ゲスト仮想マシン用にセキュリティモジュールを構成するステップは、セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つのフルバージョンの構成を含み得る。
この特定の例示的実施形態の更なる態様によれば、ゲスト仮想マシン用にセキュリティモジュールを構成するステップは、セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つの部分的バージョンの構成を含み得る。
この特定の例示的実施形態の追加の態様によれば、ゲスト仮想マシン用にセキュリティモジュールを構成するステップは、セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つのアップデートしたバージョンの構成を含み得る。
この特定の例示的実施形態の更に別の態様によれば、この方法は、クライアントネットワーク要素に関連する情報に少なくとも部分的に基づいて、クライアントネットワーク要素に関連する権利を判定するステップを更に含み得る。
この特定の例示的実施形態の他の態様によれば、この方法は、クライアントネットワーク要素が権利を持たないという判定に少なくとも部分的に基づいて、チェックアウトエラーメッセージを表示するステップを更に含み得る。
この特定の例示的実施形態の更なる態様によれば、上記のチェックアウトしたゲスト仮想マシンを保護する方法を行うためのコンピュータプロセスを実行するよう少なくとも1つのプロセッサに指示する、少なくとも1つのプロセッサが読み取れるように構成された命令から成るコンピュータプログラムを保存するための少なくとも1つの非一時的プロセッサ可読ストレージ媒体。
別の特定の例示的実施形態においては、ネットワークに通信的に接続された1つまたは複数のプロセッサを含む、チェックアウトしたゲスト仮想マシンを保護するシステムとして技術が実現されてもよく、1つまたは複数のプロセッサは、サーバネットワーク要素によってホスティングされるゲスト仮想マシンをチェックアウトする要求の受信であって、ゲスト仮想マシンのチェックアウトは、ゲスト仮想マシンのホスティングをサーバネットワーク要素からクライアントネットワーク要素へと移すことを含む、要求の受信を行うように構成され得る。1つまたは複数のプロセッサは、ゲスト仮想マシンを保護するための、ゲスト仮想マシン用のセキュリティモジュールの構成、及びゲスト仮想マシンがチェックアウトする際のゲスト仮想マシンへのセキュリティモジュールの提供も行うように構成され得る。
この特定の例示的実施形態の他の態様によれば、1つまたは複数のプロセッサは、クライアントネットワーク要素に関連する情報を収集するために、プローブパケットをクライアントネットワーク要素に送信するように更に構成され得る。
この特定の例示的実施形態の更なる態様によれば、クライアントネットワーク要素に関連する情報に少なくとも部分的に基づいて、セキュリティモジュールが構成され得る。
この特定の例示的実施形態の追加の態様によれば、1つまたは複数のプロセッサは、セキュリティアプリケーションがクライアントネットワーク要素に関連するか否かを判定するように更に構成され得る。
この特定の例示的実施形態の更なる態様によれば、1つまたは複数のプロセッサは、クライアントネットワーク要素に関連する情報に少なくとも部分的に基づいて、クライアントネットワーク要素に関連する権利を判定するように更に構成され得る。
これより、添付の図面に示されるような例示的実施形態に関連して、本開示をより詳細に記載する。本開示を例示的実施形態に関連して以下に記載するが、本開示がそれらに限定されないことを理解されたい。本明細書の教示を利用可能な当業者は、追加の実施例、変更例、及び実施形態、並びに、本明細書に記載の本開示の範囲内であり、それらに対して本開示が顕著な有用性を持ち得る他の使用分野を認識するであろう。
本開示のより完全な理解を促すために、同様の要素が同様の数字を用いて参照される添付の図面についてこれより言及する。これらの図面は、本開示を限定するものとして解釈されるべきではなく、例となることのみを意図したものである。
本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシン(VM)を保護するためのネットワークアーキテクチャ100を描写するブロック図を示す。 本開示の一実施形態による、コンピュータシステムのブロック図を描写する。 本開示の一実施形態による、セキュリティ仮想マシンを示す。 本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシンにセキュリティを提供するための方法を描写する。 本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)において仮想マシンにセキュリティを提供するための方法を描写する。
図1は、本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシン(VM)を保護するためのネットワークアーキテクチャ100を描写するブロック図を示す。図1は、描写されていない更なる要素を含み得るネットワークアーキテクチャ100の簡略図である。ネットワークアーキテクチャ100は、クライアントネットワーク要素110〜130及びサーバネットワーク要素140A及び140B(これらの1つまたは複数は、図2に示されるコンピュータシステム200を用いて実行され得る)を包含し得る。クライアントネットワーク要素110〜130は、ネットワーク150と通信的に接続され得る。サーバネットワーク要素140Aは、ネットワーク190及び150と通信的に接続され得る。サーバネットワーク要素140Bは、ストレージデバイス160A(1)〜(N)と通信的に接続され得る。サーバネットワーク要素140Bは、SAN(ストレージエリアネットワーク)ファブリック170と通信的に接続され得る。SANファブリック170は、サーバネットワーク要素140Bによる、及びネットワーク150を介したネットワーク要素110によるストレージデバイス180(1)〜(N)へのアクセスをサポートし得る。
以下の記載は、1つまたは複数のモジュールを含み得る仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシンを保護するためのシステム及び方法のネットワーク要素、コンピュータ、及び/またはコンポーネントを説明する。本明細書では、「モジュール」という用語は、コンピューティングソフトウェア、ファームウェア、ハードウェア、及び/またはそれらの様々な組み合わせを指すと理解することができる。しかしながら、モジュールは、ハードウェア、ファームウェア上で実行されない、またはプロセッサ可読及び記録可能ストレージ媒体上に記録されないソフトウェアとしては解釈されないものとする(即ち、モジュールは、正確な意味においてソフトウェアではない)。なお、これらのモジュールは例である。モジュールは、様々なアプリケーションをサポートするために、組み合わせる、統合する、分離させる、及び/または複製することができる。また、ある特定のモジュールにおいて行われるとして本明細書に記載された機能は、その特定のモジュールにおいて行われる機能の代わりに、またはそれに加えて、1つまたは複数の他のモジュールにおいて、及び/または1つまたは複数の他のデバイスによって行われてもよい。更に、モジュールは、複数のデバイス及び/または互いにローカルまたはリモートの他のコンポーネント全体で実行されてもよい。また、モジュールは、あるデバイスから移動させて別のデバイスに加える、及び/または両方のデバイスに包含されてもよい。
サーバネットワーク要素140A及び140Bは、SAN(ストレージエリアネットワーク)ファブリック170と通信的に接続され得る。SANファブリック170は、サーバネットワーク要素140A及び140Bによる、及びネットワーク150を介したクライアントネットワーク要素110〜130によるストレージデバイス180(1)〜(N)へのアクセスをサポートし得る。サーバネットワーク要素140Aは、ネットワーク190と通信的に接続され得る。一部の実施形態によれば、サーバネットワーク要素140Aは、プロキシサーバ、データセンタ、及び/または1つまたは複数の仮想マシン(VM)をホスティング可能な他のネットワークデバイスでもよい。サーバネットワーク要素140Aは、ネットワーク190と通信的に接続され得る。
サーバネットワーク要素140Aは、仮想化環境145をホスティングするためのプラットフォームを含み得る。例えば、サーバネットワーク要素140Aは、リモートデスクトッププロトコル(remote desktop protocol:RDP)を介して仮想化環境をホスティングするための仮想デスクトップインフラストラクチャ(VDI)プラットフォームを含み得る。仮想化環境145は、例えば、ゲスト仮想マシン156A〜C及びセキュリティ仮想マシン158等の1つまたは複数の仮想マシンをホスティング可能となり得る。例えば、セキュリティ仮想マシン158は、複数のゲスト仮想マシン156A〜Cに対してセキュリティサービスを提供することができる。複数のゲスト仮想マシン156に対してセキュリティサービスを提供するために、複数のセキュリティ仮想マシン158が実行され得ることを当業者は理解するであろう。
クライアントネットワーク要素110〜130は、サーバネットワーク要素140Aと通信的に接続され、ネットワーク150を介してゲスト仮想マシン156A〜Cにリモートに(例えば、リモートデスクトッププロトコル(RDP)を介して)アクセスすることができる。例えば、クライアントネットワーク要素110は、ゲスト仮想マシン156Aにリモートにアクセスし、クライアントネットワーク要素120は、ゲスト仮想マシン156Bにリモートにアクセスし、クライアントネットワーク要素130は、ゲスト仮想マシン156Cにリモートにアクセスし得る。サーバネットワーク要素140Aは、ゲスト仮想マシン156A〜Cのホスティングをクライアントネットワーク要素110〜130に移し、従って、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離された(例えば、「チェックアウトした」)後でも、ゲスト仮想マシン156A〜Cが動作を継続することが可能となり得る。
クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離された後に、ゲスト仮想マシン156A〜Cが動作を継続するためには、クライアントネットワーク要素110〜130の各々が、仮想化環境145A〜Cをホスティングするためのプラットフォームをそれぞれ含み得る。各仮想化環境145A〜Cは、例えば、ゲスト仮想マシン156A〜C等の1つまたは複数のチェックアウトしたゲスト仮想マシンをサポートすることが可能となり得る。一部の実施形態では、仮想化環境145A〜Cは、クライアントネットワーク要素110〜130によってホスティングされるハイパーバイザまたは仮想マシンマネージャ(VMM)でもよい。
仮想化は、異なる抽象化レベルで生じ得る。一部の実施形態によれば、ゲスト仮想マシン156A〜Cは、ハードウェアレベルで抽象化を行い、オペレーティングシステムの上に存在し得る(例えば、VMwareワークステーション及びMicrosoft Virtual PC/Server)。他の実施形態によれば、ゲスト仮想マシン156A〜Cは、ハードウェアレベルで抽象化を行い、オペレーティングシステムの上に存在しない場合がある(即ち、それらは、ベアメタル型の実行でもよい)。一部の実施形態によれば、ゲスト仮想マシン156A〜Cは、限定されることはないが、オペレーティングシステム(OS)レベル、OSシステムコールレベル、命令セットエミュレーション、アプリケーションバイナリインタフェースエミュレーション、ユーザレベルOSエミュレーション等を含む他のレベルでも抽象化することができる。
サーバネットワーク要素140Aから通信的に切り離された後の各クライアントネットワーク要素110〜130によってホスティングされる各ゲスト仮想マシン156A〜Cは、セキュリティモジュール158A〜Cの1つをそれぞれ含み得る。例えば、ゲスト仮想マシン156A〜Cのホスティングが、サーバネットワーク要素140Aからクライアントネットワーク要素110〜130に移されると、セキュリティモジュール158A〜Cが起動され、セキュリティサービスをゲスト仮想マシン156A〜Cに提供することができる。一部の実施形態によれば、ゲスト仮想マシン156A〜Cがクライアントネットワーク要素110〜130において仮想化環境145A〜Cによってホスティングされる際に、セキュリティモジュール158A〜Cは、ゲスト仮想マシン156A〜Cに対してセキュリティサービスを提供することができ得る。例えば、ゲスト仮想マシン156A〜Cに含まれるセキュリティモジュール158A〜Cは、サーバネットワーク要素140Aに位置するセキュリティ仮想マシン158に類似し得る。別の例では、セキュリティモジュール158A〜Cは、アプリケーションプログラミングインタフェース(application programming interface:API)またはゲスト仮想マシン156A〜Cにセキュリティサービスを提供するためにクライアントネットワーク要素110〜130にプレインストールされたセキュリティプログラムに対するインタフェースを含み得る。他の例では、セキュリティモジュール158A〜Cは、ゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、コンピュータウイルス、ワーム、侵入、データ漏洩、及び/またはマルウェアを防止、検出、及び/または除去するソフトウェア、コード、またはスクリプトを含み得る。一部の実施形態によれば、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aとの通信を再構築すると、セキュリティモジュール158A〜158Cを使用しなくてもよい(例えば、ゲスト仮想マシン156A〜Cのセキュリティサービスは、サーバネットワーク要素140Aのセキュリティ仮想マシン158を用いることによって提供されてもよい)。以下により詳細に説明するように、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離されると(例えば、「チェックアウトした」仮想マシン)、セキュリティモジュール158A〜Cは、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cに対してセキュリティサービスを提供することができる。
図2のコンピュータシステム200を参照すると、モデム247、ネットワークインタフェース248、または他の方法を用いて、クライアントネットワーク要素110〜130からネットワーク150への接続性を提供し得る。クライアントネットワーク要素110〜130は、例えば、ウェブブラウザまたは他のクライアントソフトウェアを用いて、サーバネットワーク要素140Aまたは140B上の情報にアクセスすることが可能である。このようなクライアントにより、クライアントネットワーク要素110〜130が、サーバネットワーク要素140Aまたは140B、またはストレージデバイス160A(1)〜(N)、160B(1)〜(N)、及び/または180(1)〜(N)の1つによってホスティングされるデータにアクセスすることが可能である。
ネットワーク150及び190は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、セルラーネットワーク、衛星ネットワーク、またはクライアントネットワーク要素110〜130、サーバネットワーク要素140A及び140B、及びネットワーク150及び190と通信的に接続された他のデバイス間の通信を許可する他のネットワークでもよい。ネットワーク150及び190は、スタンドアロン型ネットワークとして動作する、または互いに協働して動作する上述のネットワークタイプ例の内の1つまたは任意の数を更に含み得る。ネットワーク150及び190は、それらが通信的に接続される1つまたは複数のクライアントネットワーク要素110〜130またはサーバネットワーク要素140A及び140Bの1つまたは複数のプロトコルを利用し得る。ネットワーク150及び190は、他のプロトコルに変換する、または他のプロトコルからネットワークデバイスの1つまたは複数のプロトコルに変換することができる。ネットワーク150及び190はそれぞれ1つのネットワークとして描写されているが、1つまたは複数の実施形態によれば、ネットワーク150及び190はそれぞれ複数の相互接続されたネットワークを含み得ることを理解されたい。
ストレージデバイス160A(1)〜(N)、160B(1)〜(N)、及び/または180(1)〜(N)は、ネットワークアクセスが可能なストレージでもよく、サーバネットワーク要素140Aまたは140Bに対してローカル、リモート、またはそれらの組み合わせでもよい。ストレージデバイス160A(1)〜(N)、160B(1)〜(N)、及び/または180(1)〜(N)は、リダンダントアレイオブインエクスペンシブディスク(「redundant array of inexpensive disks:RAID」)、磁気テープ、ディスク、ストレージエリアネットワーク(「SAN」)、インターネットスモールコンピュータシステムインタフェース(「internet small computer systems interface:iSCSI」)SAN、ファイバチャネルSAN、共通インターネットファイルシステム(「CIFS」)、ネットワークアタッチドストレージ(「NAS」)、ネットワークファイルシステム(「NFS」)、光学ベースのストレージ、または他のコンピュータアクセス可能ストレージを利用し得る。バックアップまたはアーカイブ目的で、ストレージデバイス160A(1)〜(N)、160B(1)〜(N)、及び/または180(1)〜(N)を用いてもよい。
一部の実施形態によれば、クライアントネットワーク要素110〜130は、スマートフォン、PDA、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、別のコンピュータ、またはネットワーク150に対するワイヤレスまたは有線接続を介して接続された別のデバイスでもよい。クライアントネットワーク要素110〜130は、ユーザ入力、データベース、ファイル、ウェブサービス、及び/またはアプリケーションプログラミングインタフェースからデータを受信することができる。一部の実施形態では、クライアントネットワーク要素110〜130は、例えばスマートフォン等の移動クライアントでもよい。仮想化及び仮想環境間の遷移は、サーバ側のプラットフォームで生じてもよく、クライアントネットワーク要素110〜130は、現在の仮想環境に応じた表示のデータを受信することができる。
サーバネットワーク要素140A及び140Bは、アプリケーションサーバ、アーカイブプラットフォーム、仮想化環境プラットフォーム、バックアップサーバ、ネットワークストレージデバイス、メディアサーバ、メールサーバ、文書管理プラットフォーム、エンタープライズ検索サーバ、またはネットワーク150に通信的に接続された他のデバイスでもよい。サーバネットワーク要素140A及び140Bは、アプリケーションデータ、バックアップデータ、または他のデータを記憶するために、ストレージデバイス160A(1)〜(N)、160B(1)〜(N)、及び/または180(1)〜(N)の1つを利用し得る。サーバネットワーク要素140A及び140Bは、クライアントネットワーク要素110〜130と、バックアッププラットフォーム、バックアッププロセス、及び/またはストレージとの間で伝達されるデータを処理し得るアプリケーションサーバ等のホストでもよい。一部の実施形態によれば、サーバネットワーク要素140A及び140Bは、データのバックアップ及び/またはアーカイブを行うために使用されるプラットフォームでもよい。
一部の実施形態によれば、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aと通信的に接続されると、セキュリティ仮想マシン158は、ゲスト仮想マシン156A〜Cに対してセキュリティサービスを提供することができる。セキュリティ仮想マシン158は、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離された後、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン158A〜C(例えば、「チェックアウトした」)にセキュリティモジュール158A〜Cを提供することができる。例えば、セキュリティ仮想マシン158は、ゲスト仮想マシン158A〜Cの各々に対して同じセキュリティモジュール158A〜Cを提供することができる。セキュリティ仮想マシン158は、クライアントネットワーク要素110〜130へとチェックアウトした(例えば、クライアントネットワーク要素110〜130によってホスティングされる)際にゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、セキュリティモジュール158A〜Cがセキュリティ仮想マシン158と同様の機能性を持つように構成してもよい。
セキュリティ仮想マシン158は、少なくとも部分的にホスティングクライアントネットワーク要素110〜130に関連するパラメータに基づいて、異なるセキュリティモジュール158A〜Cを異なるゲスト仮想マシン156A〜Cに提供してもよい。例えば、セキュリティ仮想マシン158は、クライアントネットワーク要素110〜130に関連する1つまたは複数のパラメータを決定するために、クライアントネットワーク要素110〜130をプローブしてもよい。クライアントネットワーク要素110〜130に関連する1つまたは複数のパラメータは、仮想化プラットフォーム、ハイパーバイザ、セキュリティ、脆弱性、権利、ストレージ、CPU使用率、メモリ、ネットワーク入出力(I/O)及びクライアントネットワーク要素110〜130に関連する他のパラメータを含み得る。セキュリティ仮想マシン158は、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離された後にクライアントネットワーク要素110〜130によってホスティングされ得るゲスト仮想マシン156A〜Cに対して、構成されたセキュリティモジュール158A〜Cを提供することができる。
ある例示的実施形態では、セキュリティモジュール158A〜Cは、セキュリティ仮想マシン158とインタラクトするアプリケーションプログラミングインタフェース(API)または他のインタフェースを含み得る。セキュリティ仮想マシン158は、インタフェースを用いてセキュリティモジュール158A〜Cと通信することができる。例えば、セキュリティ仮想マシン158は、セキュリティモジュール158A〜Cに対して1つまたは複数の命令を伝えることができる。セキュリティ仮想マシン158は、セキュリティモジュール158A〜Cに対して起動命令を伝えることができる。セキュリティ仮想マシン158は、セキュリティモジュール158A〜Cに対して動作停止命令を伝えることができる。セキュリティ仮想マシン158は、セキュリティモジュール158A〜Cに対してアンインストール命令を伝えることができる。セキュリティ仮想マシン158は、インタフェースを用いて、セキュリティモジュール158A〜Cに対して1つまたは複数のアップデートを提供することができる。例えば、セキュリティ仮想マシン158は、アップデートしたウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/またはセキュリティモジュール158A〜Cに対する他のセキュリティソフトウェアを提供し得る。セキュリティ仮想マシン158は、定期的にセキュリティモジュール158A〜Cをアップデートすることができる。例えば、セキュリティ仮想マシン158は、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aと通信的に接続された際に、セキュリティモジュール158A〜Cをアップデートしてもよい。
セキュリティモジュール158A〜Cのインタフェースは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティプログラムとインタラクトすることができる。例えば、セキュリティモジュール158A〜Cのインタフェースは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティプログラムと通信してもよい。例えば、セキュリティモジュール158A〜Cは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションに対して1つまたは複数の命令を伝えることができる。セキュリティモジュール158A〜Cは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションに対して起動命令を伝えることができる。セキュリティモジュール158A〜Cは、ゲスト仮想マシン156A〜Cに対してセキュリティサービスを提供するために、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションを起動することができる。セキュリティモジュール158A〜Cは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションに対して動作停止命令を伝えることができる。
図2は、本開示の一実施形態によるコンピュータシステム200のブロック図を示す。コンピュータシステム200は、本開示による技術を実行するのに適している。コンピュータシステム200は、中央処理装置214、システムメモリ217(例えば、RAM(ランダムアクセスメモリ)、ROM(読み取り専用メモリ)、またはフラッシュRAM等)、入出力(I/O)制御装置218、音声出力インタフェース222を介したスピーカーシステム220等の外部オーディオ装置、ディスプレイアダプタ226を介した表示画面224等の外部装置、シリアルポート228及び230、キーボード232(キーボード制御装置233を介してインタフェースがとられる)、ストレージインタフェース234、フロッピーディスク238(「フロッピー」は登録商標。以下同じ)を収容するよう機能するフロッピーディスクドライブ237、ファイバチャネルネットワーク290と接続するよう機能するホストバスアダプタ(HBA)インタフェースカード235A、SCSIバス239と接続するよう機能するホストバスアダプタ(HBA)インタフェースカード235B、及び光ディスク242を収容するよう機能する光ディスクドライブ240等のコンピュータシステム200の主要サブシステムを相互接続し得るバス212を含み得る。マウス246(または他のポイント・アンド・クリック方式デバイス、シリアルポート228を介してバス212に接続される)、モデム247(シリアルポート230を介してバス212に接続される)、ネットワークインタフェース248(バス212に直接接続される)、パワーマネージャ250、及びバッテリ252も含まれ得る。
バス212は、中央処理装置214と、先述の通り、読み出し専用メモリ(ROM)またはフラッシュメモリ(どちらも不図示)、及びランダムアクセスメモリ(RAM)(不図示)を含み得るシステムメモリ217との間のデータ通信を可能にする。RAMは、オペレーティングシステム及びアプリケーションプログラムがロードされ得るメインメモリでもよい。ROMまたはフラッシュメモリは、その他のコードとして、周辺コンポーネントとのインタラクション等の基本ハードウェア動作を制御する基本入出力システム(Basic Input−Output system:BIOS)を含み得る。コンピュータシステム210と共に常駐するアプリケーションは、ハードディスクドライブ(例えば、固定ディスク244)、光学式ドライブ(例えば光学式ドライブ240)、フロッピーディスク装置237、または他のストレージ媒体等のコンピュータ可読媒体上に保存され、それを介してアクセスされ得る。例えば、セキュリティ仮想マシン158は、システムメモリ217内に常駐し得る。
ストレージインタフェース234は、コンピュータシステム210の他のストレージインタフェースと同様に、固定ディスクドライブ244等の情報の記憶及び/または読み出し用の標準コンピュータ可読媒体に接続可能である。固定ディスクドライブ244は、コンピュータシステム210の一部でもよく、あるいは、別個のもので、他のインタフェースシステムを介してアクセスされてもよい。モデム247は、電話リンクを介してリモートサーバへ、またはインターネットサービスプロバイダ(ISP)を介してインターネットへの直接接続を提供することができる。ネットワークインタフェース248は、POP(point of presence)を用いたインターネットへの直接ネットワークリンクを経由したリモートサーバへの直接接続を提供することができる。ネットワークインタフェース248は、デジタル携帯電話接続、セルラーデジタルパケットデータ(Cellular Digital Packet Data:CDPD)接続、またはデジタル衛星データ接続等を含むワイヤレス技術を用いたこのような接続を提供することができる。
多くの他のデバイスまたはサブシステム(不図示)を同様に接続してもよい(例えば、文書スキャナ、デジタルカメラ等)。反対に、図2に示すデバイスの全てが、本開示を実施するために存在する必要はない。デバイス及びサブシステムは、図2に示される方法とは異なる方法で相互接続されてもよい。本開示を実行するためのコードは、システムメモリ217、固定ディスク244、光ディスク242、またはフロッピーディスク238の1つまたは複数等のコンピュータ可読ストレージ媒体に保存されてもよい。本開示を実行するためのコードは、1つまたは複数のインタフェースを介して受信され、メモリに保存されてもよい。コンピュータシステム210に設けられるオペレーティングシステムは、MS−DOS(登録商標)、MS−WINDOWS(登録商標)、OS/2(登録商標)、OS X(登録商標)、UNIX(登録商標)、Linux(登録商標)、または別の公知のオペレーティングシステムでもよい。
パワーマネージャ250は、バッテリ252の電力レベルを監視することができる。パワーマネージャ250は、電力レベル、コンピュータシステム200のシャットダウンまでの残りの時間ウィンドウ、電力消費率、コンピュータシステムがコンセントに差し込まれているか(例えば交流電力)あるいはバッテリ電力であるかのインジケータ、及び他の電力関係情報の決定を可能にする1つまたは複数のAPI(アプリケーションプログラミングインタフェース)を提供することができる。一部の実施形態によれば、パワーマネージャ250のAPIは、リモートからアクセス可能(例えば、ネットワーク接続を用いてリモートバックアップ管理モジュールにアクセス可能)となり得る。一部の実施形態によれば、バッテリ252は、コンピュータシステム200に対してローカルまたはリモートに位置する無停電電源(Uninterruptable Power Supply:UPS)でもよい。このような実施形態では、パワーマネージャ250は、UPSの電力レベルに関する情報を提供することができる。
図3を参照すると、本開示の一実施形態によるセキュリティ仮想マシン310が示されている。図示されるように、セキュリティ仮想マシン310は、プローブモジュール312、インタフェースモジュール314、構成モジュール316、及び/またはアップデートモジュール320を含む1つまたは複数のコンポーネントを包含し得る。
プローブモジュール312は、クライアントネットワーク要素110〜130をプローブすることにより、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを得ることができる。例えば、プローブモジュール312は、クライアントネットワーク要素110〜130に対してプローブパケットを送信することができる。プローブパケットは、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを得ることができる。プローブパケットは、得られた情報及び/またはパラメータと共に、プローブモジュール312に戻され得る。プローブモジュール312は、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを抽出することができる。例えば、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータには、仮想化プラットフォーム、ハイパーバイザ、セキュリティ情報、脆弱性、権利、ストレージ、CPU使用率、メモリ、ネットワーク入出力(I/O)及びクライアントネットワーク要素110〜130に関連する他のパラメータが含まれ得る。
ある例示的実施形態では、クライアントネットワーク要素110〜130に関連するセキュリティ情報には、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションに関連する情報が含まれ得る。クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションに関連する情報には、セキュリティアプリケーション、メーカー、バージョン、日付、歴史、ウイルス対策、スパム対策、マルウェア対策、インタフェース、及び/またはセキュリティアプリケーションに関連する他の特徴が含まれ得る。別の例示的実施形態では、クライアントネットワーク要素110〜130に関連するセキュリティ情報は、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされていない可能性があることを示してもよい。クライアントネットワーク要素110〜130に関連するセキュリティ情報は、ゲスト仮想マシン156A〜Cに関連するセキュリティモジュール158A〜Cに関連する情報を含み得る。プローブモジュール312は、セキュリティ仮想マシン310の様々なモジュール(例えば、インタフェースモジュール314、構成モジュール316、権利モジュール318、及び/またはアップデートモジュール320)に対して、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを提供することができる。
インタフェースモジュール314は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cとインタラクトすることができる。例えば、インタフェースモジュール314は、1つまたは複数の命令をセキュリティモジュール158A〜Cに伝えることができる。インタフェースモジュール314は、セキュリティモジュール158A〜Cに対して起動命令を伝えることができる。インタフェースモジュール314は、セキュリティモジュール158A〜Cに対して動作停止命令を伝えることができる。インタフェースモジュール314は、セキュリティモジュール158A〜Cに対してアンインストール命令を伝えることができる。インタフェースモジュール314は、セキュリティモジュール158A〜Cに対して1つまたは複数のアップデートを提供することができる。
構成モジュール316は、セキュリティモジュール158A〜Cを構成するための1つまたは複数のプロセッサを含み得る。ゲスト仮想マシン156A〜Cがクライアントネットワーク要素110〜130へとチェックアウトすると(例えば、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離されると、クライアントネットワーク要素110〜130によってホスティングされる)、セキュリティモジュール158A〜Cが、ゲスト仮想マシン156A〜Cに提供され得る。構成モジュール316は、ゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cを構成するために、セキュリティ仮想マシン310の他のモジュールから情報を受信することができる。
構成モジュール316は、ゲスト仮想マシン156A〜Cをホスティングしようとしているクライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを受信することができる。構成モジュール316は、ゲスト仮想マシン156A〜Cをホスティングしようとしているクライアントネットワーク要素110〜130に関連する情報及び/またはパラメータに少なくとも部分的に基づいて、セキュリティモジュール158A〜Cを構成することができる。ある例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとのインタフェースを含むように、セキュリティモジュール158A〜Cを構成してもよい。セキュリティモジュール158A〜Cのインタフェースは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとインタラクトすることができる。例えば、セキュリティモジュール158A〜Cのインタフェースは、セキュリティサービスをゲスト仮想マシン156A〜Cに提供するために、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとインタラクトすることができる。
例えば、構成モジュール316は、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータに少なくとも部分的に基づいて、クライアントネットワーク要素110〜130が旧版のインストールされたセキュリティアプリケーションを持つ、あるいは、プレインストールされたセキュリティアプリケーションを持たない可能性があることを判定し得る。構成モジュール316は、クライアントネットワーク要素110〜130へとチェックアウトしたゲスト仮想マシン156A〜C(例えば、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離されると、クライアントネットワーク要素110〜130によってホスティングされる)にセキュリティサービスを提供するために、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを含むようにセキュリティモジュール158A〜Cを構成してもよい。ある例示的実施形態では、クライアントネットワーク要素110〜130がインストールされたセキュリティアプリケーションを持たない可能性がある場合に、構成モジュール316は、ゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアのフルバージョンを含むようにセキュリティモジュール158A〜Cを構成することができる。別の例示的実施形態では、クライアントネットワーク要素110〜130がプレインストールされた旧版のセキュリティアプリケーションを有し得る場合は、構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされた旧版のセキュリティアプリケーションと共に動作するように、ウイルス対策ソフトウェアマルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアの部分的バージョンを含むようにセキュリティモジュール158A〜Cを構成してもよい。他の例示的実施形態では、構成モジュール316は、全てのクライアントネットワーク要素110〜130に対して同じウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを持つようにセキュリティモジュール158A〜Cを構成してもよい。
権利モジュール318は、クライアントネットワーク要素110〜130に関連する権利を判定することができる。権利モジュール318は、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータに少なくとも部分的に基づいて、クライアントネットワーク要素110〜130に関連する権利を判定することができる。例えば、権利モジュール318は、クライアントネットワーク要素110〜130がゲスト仮想マシン156A〜Cをチェックアウトする権利を持つか否かを判定することができる。権利モジュール318は、クライアントネットワーク要素110〜130が、セキュリティモジュール158A〜Cのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを受信する権利を持つか否かも判定することができる。権利モジュール318は、クライアントネットワーク要素110〜130が、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアのフルバージョンまたは部分的バージョンを受信する権利を持つか否かを判定することができる。権利モジュール318は、クライアントネットワーク要素110〜130がセキュリティモジュール158A〜Cのアップデートを受信する権利を持つか否かを判定することができる。
アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートすることができる。例えば、アップデートモジュール320は、インタフェースモジュール314を介して、アップデートしたウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアをセキュリティモジュール158A〜Cに提供することができる。アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cを定期的にアップデートすることができる。例えば、アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想ネットワーク156A〜Cがサーバネットワーク要素140Aに通信的に接続される度にセキュリティモジュール158A〜Cをアップデートしてもよい。
図4を参照すると、本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)においてチェックアウトした仮想マシンにセキュリティを提供するための方法400が示されている。ブロック402において、方法400が開始され得る。
ブロック404において、1つまたは複数のクライアントネットワーク要素110〜130に関連するユーザが、チェックアウトプロセスを開始し得る。例えば、1つまたは複数のクライアントネットワーク要素110〜130は、ネットワーク150を介してサーバネットワーク要素140Aに通信的に接続され得る。1つまたは複数のクライアントネットワーク要素110〜130に関連するユーザは、サーバネットワーク要素140Aによってホスティングされる1つまたは複数のゲスト仮想マシン156A〜Cにリモートからアクセス(例えば、リモートデスクトッププロトコル(RDP)を介して)し得る。ユーザは、サーバネットワーク要素140Aからクライアントネットワーク要素110〜130を通信的に切り離すことは決めても、まだゲスト仮想マシン156A〜Cへのアクセスの継続を望む場合がある。ユーザは、ゲスト仮想マシン156A〜Cのホスティングをサーバネットワーク要素140Aからクライアントネットワーク要素110〜130に移すために(例えば、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜C)、チェックアウトプロセスを開始し得る。ユーザは、クライアントネットワーク要素110〜130がサーバネットワーク要素140Aから通信的に切り離された際にゲスト仮想マシン156A〜Cへのアクセスを継続するために、チェックアウトプロセスを開始する要求を送信し得る。
ブロック410において、構成モジュール316は、ゲスト仮想マシン156A〜Cのためにセキュリティモジュール158A〜Cを構成し得る。構成モジュール316は、クライアントネットワーク要素110〜130によってホスティングされる予定のゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを含むようにセキュリティモジュール158A〜Cを構成してもよい。ある例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130上でホスティングされるゲスト仮想マシン156A〜Cと通信するインタフェースを含むようにセキュリティモジュール158A〜Cを構成してもよい。セキュリティモジュール158A〜Cのインタフェースは、ゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、ゲスト仮想マシン156A〜Cと直接通信することができる。
ブロック406において、セキュリティ仮想マシン310は、クライアントネットワーク要素110〜130をプローブすることにより、クライアントネットワーク要素110〜130と関連する情報及び/またはパラメータを受信することができる。例えば、セキュリティ仮想マシン310のプローブモジュール312は、プローブパケットをクライアントネットワーク要素110〜130に送信することにより、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを得ることができる。ある例示的実施形態では、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータは、仮想化プラットフォーム、ハイパーバイザ、セキュリティ情報、脆弱性、権利、ストレージ、CPU使用率、メモリ、ネットワーク入出力(I/O)、及びクライアントネットワーク要素110〜130に関連する他のパラメータを含み得る。プローブモジュール312は、プローブパケットからクライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを抽出することができる。プローブモジュール312は、セキュリティ仮想マシン310の他のモジュールに対して、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータを提供することができる。
ブロック408では、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされているか否かを判定し得る。例えば、セキュリティ仮想マシン310の構成モジュール316は、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされているか否かを判定することができる。構成モジュール316は、クライアントネットワーク要素110〜130に関連する情報及び/またはパラメータに少なくとも部分的に基づいて、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされているか否かを判定することができる。
ある代替実施形態では、ブロック410において、構成モジュール316は、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされているか否かを判定することができ、構成モジュール316は、セキュリティモジュール158A〜Cを構成することができる。構成モジュール316は、クライアントネットワーク要素110〜130に関連するセキュリティ情報に少なくとも部分的に基づいて、セキュリティモジュール158A〜Cを構成することができる。ある例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとのインタフェースを含むようにセキュリティモジュール158A〜Cを構成することができる。セキュリティモジュール158A〜Cのインタフェースは、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとインタラクトすることができる。例えば、セキュリティモジュール158A〜Cのインタフェースは、セキュリティサービスをゲスト仮想マシン156A〜Cに提供するために、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとインタラクトすることができる。
別の例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130がクライアントネットワーク要素110〜130にインストールされた旧版のセキュリティアプリケーションを有する可能性があると判定し得る。構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされた旧版のセキュリティアプリケーションとインタラクトするようにセキュリティモジュール158A〜Cを構成することができる。別の例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130によってホスティングされる予定のゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、アップデートしたウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを含むようにセキュリティモジュール158A〜Cを構成してもよい。他の例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされたセキュリティアプリケーションとは無関係に、ウイルス対策ソフトウェアマルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを含むようにセキュリティモジュール158A〜Cを構成してもよい。
ブロック412において、構成モジュール316は、セキュリティアプリケーションがクライアントネットワーク要素110〜130にプレインストールされていないと判定することができ、権利モジュール318は、クライアントネットワーク要素110〜130がセキュリティモジュール158A〜Cを受信する権利を有するか否かを判定することができる。例えば、権利モジュール318は、クライアントネットワーク要素110〜130が、ウイルス対策ソフトウェアマルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/またはセキュリティモジュール158A〜Cの他のセキュリティソフトウェアを受信する権利を有するか否かを確認することができる。また、権利モジュール318は、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアを含むセキュリティモジュール158A〜Cをクライアントネットワーク要素110〜130が受信することを許可する権利を発行することができる。
クライアントネットワーク要素110〜130がセキュリティモジュール158A〜Cを受信する権利を有すると権利モジュール318が判定した場合には、方法400は、ブロック410に戻るように進み得る。他の実施形態では、ブロック410において、構成モジュール316は、ゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアのフルバージョンを含むようにセキュリティモジュール158A〜Cを構成してもよい。別の例示的実施形態では、構成モジュール316は、クライアントネットワーク要素110〜130にプレインストールされた旧版のセキュリティアプリケーションと共に動作するように、ウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアの部分的バージョンを含むようにセキュリティモジュール158A〜Cを構成してもよい。
ブロック414において、クライアントネットワーク要素110〜130がセキュリティモジュール158A〜Cを受信する権利を持たないと権利モジュール318が判定し、セキュリティ仮想マシン310が、クライアントネットワーク要素110〜130にエラーメッセージを提供し得る。例えば、構成モジュール316は、ゲスト仮想マシン156A〜Cのクライアントネットワーク要素110〜130によるホスティングが不可能であることをユーザに知らせるために、クライアントネットワーク要素110〜130に対するエラーメッセージを表示し得る。
ブロック416において、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cにセキュリティサービスを提供するために、セキュリティモジュール158A〜Cがゲスト仮想マシン156A〜Cに提供されてもよい。例えば、セキュリティモジュール158A〜Cは、ゲスト仮想マシン156A〜Cの一部として統合されてもよく、ゲスト仮想マシン156A〜Cのホスティングをサーバネットワーク要素140Aからクライアントネットワーク要素110〜130に移し得る。ゲスト仮想マシン156A〜Cのホスティングが、サーバネットワーク要素140Aからクライアントネットワーク要素110〜130に移されると、セキュリティサービスを提供するためにセキュリティモジュール158A〜Cが起動され得る。
ブロック418において、方法400が終了し得る。
図5を参照すると、本開示の一実施形態による、仮想デスクトップインフラストラクチャ(VDI)において仮想マシンにセキュリティを提供するための方法500が示されている。ブロック502において、方法500を開始し得る。
ブロック504において、1つまたは複数のクライアントネットワーク要素110〜130に関連するユーザがチェックインプロセスを開始し得る。例えば、1つまたは複数のクライアントネットワーク要素110〜130は、ネットワーク150を介してサーバネットワーク要素140Aと通信的に接続されていない場合がある。1つまたは複数のゲスト仮想マシン156A〜Cをホスティングし得るクライアントネットワーク要素110〜130に関連するユーザは、サーバネットワーク要素140Aとの通信リンクを構築し得る。ユーザは、サーバネットワーク要素140Aと通信リンクを再構築することを決定し、ゲスト仮想マシン156A〜Cのホスティングをクライアントネットワーク要素110〜130からサーバネットワーク要素140Aに戻し得る。ゲスト仮想マシン156A〜Cのホスティングをクライアントネットワーク要素110〜130からサーバネットワーク要素140Aに戻すために(例えば、サーバネットワーク要素140Aによってホスティングされるゲスト仮想マシン156A〜C)、ユーザは、チェックインプロセスを開始する要求を送信する。
ブロック506において、セキュリティ仮想マシン310は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cをサーバネットワーク要素140Aによってホスティングされるゲスト仮想マシン156A〜Cと同期させることができる。ある例示的実施形態では、セキュリティ仮想マシン310は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cと、サーバネットワーク要素140Aによってホスティングされるゲスト仮想マシン156A〜Cとの相違を判定することができる。セキュリティ仮想マシン310は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cと、サーバネットワーク要素140Aによってホスティングされるゲスト仮想マシン156A〜Cとの相違を用いて、サーバネットワーク要素140Aによってホスティングされるゲスト仮想マシン156A〜Cをアップデートすることができる。
ブロック508において、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートする必要があるか否かを決定し得る。例えば、インタフェースモジュール314は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cとインタラクトすることができる。インタフェースモジュール314は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cに関連する情報を収集することができる。インタフェースモジュール314は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cに関連する情報をアップデートモジュール320に提供することができる。アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートするか否かを決定し得る。
ブロック510において、アップデートモジュール320は、クライアントネットワーク要素110〜130のゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートすることを決定し得る。アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートすることができる。例えば、アップデートモジュール320は、インタフェースモジュール314を介して、アップデートしたウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、データ漏洩防止ソフトウェア、及び/または他のセキュリティソフトウェアをセキュリティモジュール158A〜Cに提供することができる。
ブロック512において、アップデートモジュール320は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cをアップデートしないことを決定し得る。セキュリティ仮想マシン310は、クライアントネットワーク要素110〜130によってホスティングされるゲスト仮想マシン156A〜Cのセキュリティモジュール158A〜Cの動作を停止させることができる。例えば、インタフェースモジュール314は、1つまたは複数の命令をセキュリティモジュール158A〜Cに伝えることができる。ある例示的実施形態では、インタフェースモジュール314は、動作停止命令をセキュリティモジュール158A〜Cに伝えることができる。別の例示的実施形態では、インタフェースモジュール314は、アンインストール命令をセキュリティモジュール158A〜Cに伝えることができる。
ブロック514において、方法500が終了し得る。
ここで、上記のような本開示に従った仮想環境に基づくウェブクライアント管理は通常、ある程度の入力データの処理及び出力データの生成に関与することに留意されたい。この入力データの処理及び出力データの生成は、ハードウェアまたはソフトウェアにおいて実行され得る。例えば、セキュリティ仮想マシン、あるいは上記のような本開示による仮想デスクトップインフラストラクチャにおけるチェックアウトした仮想マシンの保護に関連する機能を実行するための同様または関連の回路において、特定の電子コンポーネントを使用してもよい。代替的に、命令に従って動作する1つまたは複数のプロセッサが、上記のような本開示による仮想デスクトップインフラストラクチャにおけるチェックアウトした仮想マシンの保護に関連する機能を実行してもよい。その場合には、そのような命令が1つまたは複数のプロセッサ可読ストレージ媒体(例えば、磁気ディスクまたは他のストレージ媒体)に保存され得る、または1つまたは複数の搬送波において具体化された1つまたは複数の信号を介して1つまたは複数のプロセッサに送信され得ることも本開示の範囲内である。
本開示は、本明細書に記載の特定の実施形態によって範囲が限定されるものではない。実際には、本明細書に記載のものに加えて、本開示の他の様々な実施形態及び変更が、上記の記載及び添付の図面から当業者には明らかとなるであろう。従って、このような他の実施形態及び変更は、本開示の範囲内に入ることを意図したものである。更に、本明細書においては、特定の目的のための特定の環境における特定の実行という状況で本開示を説明したが、当業者であれば、その有用性がこれに限定されず、幾つもの目的のための幾つもの環境において、本開示が有益に実行され得ることを認識するであろう。従って、以下に記載の特許請求の範囲は、本明細書に記載の本開示の全容及び精神を考慮して解釈されるべきものである。

Claims (20)

  1. チェックアウトしたゲスト仮想マシンを保護する方法であって、
    サーバネットワーク要素によってホスティングされるゲスト仮想マシンをチェックアウトする要求を受信するステップであって、前記ゲスト仮想マシンのチェックアウトは、前記ゲスト仮想マシンのホスティングを前記サーバネットワーク要素からクライアントネットワーク要素へと移すことを含むステップと、
    前記ゲスト仮想マシンを保護するために、前記ゲスト仮想マシン用にセキュリティモジュールを構成するステップと、
    前記ゲスト仮想マシンがチェックアウトする際に、前記セキュリティモジュールを前記ゲスト仮想マシンに提供するステップと、
    を含む方法。
  2. 前記クライアントネットワーク要素に関連する情報を収集するために、プローブパケットを前記クライアントネットワーク要素に送信するステップを更に含む、請求項1に記載の方法。
  3. 前記クライアントネットワーク要素に関連する前記情報に少なくとも部分的に基づいて、前記ゲスト仮想マシン用の前記セキュリティモジュールを構成する、請求項2に記載の方法。
  4. 前記クライアントネットワーク要素に関連する前記情報は、仮想化プラットフォーム、ハイパーバイザ、セキュリティ情報、脆弱性、権利、ストレージ、CPU使用率、メモリ、及びネットワーク入出力(I/O)の内の少なくとも1つを含む、請求項2に記載の方法。
  5. 前記クライアントネットワーク要素に関連する前記セキュリティ情報は、セキュリティアプリケーション、メーカー、バージョン、日付、歴史、ウイルス対策、スパム対策、マルウェア対策、及びインタフェースの内の少なくとも1つを含む、請求項4に記載の方法。
  6. セキュリティアプリケーションが前記クライアントネットワーク要素に関連するか否かを判定するステップを更に含む、請求項1に記載の方法。
  7. 前記ゲスト仮想マシン用に前記セキュリティモジュールを構成するステップは、前記クライアントネットワーク要素とインタラクトするための前記セキュリティモジュール用のインタフェースの構成を含む、請求項1に記載の方法。
  8. 前記セキュリティモジュール用の前記インタフェースは、前記クライアントネットワーク要素に関連するセキュリティアプリケーションとインタラクトするように構成される、請求項7に記載の方法。
  9. 前記ゲスト仮想マシン用に前記セキュリティモジュールを構成するステップは、前記サーバネットワーク要素とインタラクトするための前記セキュリティモジュール用のインタフェースの構成を含む、請求項1に記載の方法。
  10. 前記ゲスト仮想マシン用に前記セキュリティモジュールを構成するステップは、前記セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つのフルバージョンの構成を含む、請求項1に記載の方法。
  11. 前記ゲスト仮想マシン用に前記セキュリティモジュールを構成するステップは、前記セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つの部分的バージョンの構成を含む、請求項1に記載の方法。
  12. 前記ゲスト仮想マシン用に前記セキュリティモジュールを構成するステップは、前記セキュリティモジュールのためのウイルス対策ソフトウェア、マルウェア対策ソフトウェア、ファイアウォールソフトウェア、侵入防止ソフトウェア、及びデータ漏洩防止ソフトウェアの内の少なくとも1つのアップデートしたバージョンの構成を含む、請求項1に記載の方法。
  13. 前記クライアントネットワーク要素に関連する前記情報に少なくとも部分的に基づいて、前記クライアントネットワーク要素に関連する権利を判定するステップを更に含む、請求項2に記載の方法。
  14. 前記クライアントネットワーク要素が権利を持たないという前記判定に少なくとも部分的に基づいて、チェックアウトエラーメッセージを表示するステップを更に含む、請求項13に記載の方法。
  15. 請求項1に記載の前記方法を行うためのコンピュータプロセスを実行するよう少なくとも1つのプロセッサに指示する、前記少なくとも1つのプロセッサが読み取れるように構成された命令から成るコンピュータプログラムを保存するための少なくとも1つの非一時的プロセッサ可読ストレージ媒体。
  16. チェックアウトしたゲスト仮想マシンを保護するシステムであって、
    ネットワークに通信的に接続された1つまたは複数のプロセッサを含み、前記1つまたは複数のプロセッサは、
    サーバネットワーク要素によってホスティングされるゲスト仮想マシンをチェックアウトする要求の受信であって、前記ゲスト仮想マシンのチェックアウトは、前記ゲスト仮想マシンのホスティングを前記サーバネットワーク要素からクライアントネットワーク要素へと移すことを含む、要求の受信と、
    前記ゲスト仮想マシンを保護するための、前記ゲスト仮想マシン用のセキュリティモジュールの構成と、
    前記ゲスト仮想マシンがチェックアウトする際の前記ゲスト仮想マシンへの前記セキュリティモジュールの提供と、
    を行うように構成された、システム。
  17. 前記1つまたは複数のプロセッサは、
    前記クライアントネットワーク要素に関連する情報を収集するために、プローブパケットを前記クライアントネットワーク要素に送信するように更に構成される、請求項16に記載のシステム。
  18. 前記クライアントネットワーク要素に関連する前記情報に少なくとも部分的に基づいて、前記セキュリティモジュールを構成する、請求項17に記載のシステム。
  19. 前記1つまたは複数のプロセッサは、
    セキュリティアプリケーションが前記クライアントネットワーク要素に関連するか否かを判定するように更に構成される、請求項16に記載のシステム。
  20. 前記1つまたは複数のプロセッサは、
    前記クライアントネットワーク要素に関連する前記情報に少なくとも部分的に基づいて、前記クライアントネットワーク要素に関連する権利を判定するように更に構成される、請求項17に記載のシステム。
JP2013558144A 2011-03-16 2012-03-14 仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術 Active JP5826298B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/049,480 US8566899B2 (en) 2011-03-16 2011-03-16 Techniques for securing a checked-out virtual machine in a virtual desktop infrastructure
US13/049,480 2011-03-16
PCT/US2012/029105 WO2012125747A2 (en) 2011-03-16 2012-03-14 Techniques for securing a checked-out virtual machine in a virtual desktop infrastructure

Publications (2)

Publication Number Publication Date
JP2014519069A JP2014519069A (ja) 2014-08-07
JP5826298B2 true JP5826298B2 (ja) 2015-12-02

Family

ID=46829545

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013558144A Active JP5826298B2 (ja) 2011-03-16 2012-03-14 仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術

Country Status (5)

Country Link
US (1) US8566899B2 (ja)
EP (1) EP2686804B1 (ja)
JP (1) JP5826298B2 (ja)
CN (1) CN103917982B (ja)
WO (1) WO2012125747A2 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9411655B2 (en) * 2011-12-30 2016-08-09 Dell Products, Lp System and method for detection and deployment of virtualization capable assets in a managed datacenter
US8732791B2 (en) 2012-06-20 2014-05-20 Sophos Limited Multi-part internal-external process system for providing virtualization security protection
US9977698B2 (en) * 2012-07-31 2018-05-22 V3 Systems Holdings, Inc. Virtual machine migration into the cloud
US9571507B2 (en) 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
US10866952B2 (en) 2013-03-04 2020-12-15 Fisher-Rosemount Systems, Inc. Source-independent queries in distributed industrial system
US10649424B2 (en) 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
US10909137B2 (en) 2014-10-06 2021-02-02 Fisher-Rosemount Systems, Inc. Streaming data for analytics in process control systems
US9558220B2 (en) 2013-03-04 2017-01-31 Fisher-Rosemount Systems, Inc. Big data in process control systems
US10671028B2 (en) 2013-03-15 2020-06-02 Fisher-Rosemount Systems, Inc. Method and apparatus for managing a work flow in a process plant
GB2514644B (en) * 2013-03-15 2020-12-23 Fisher Rosemount Systems Inc Method and apparatus for seamless state transfer between user interface devices in a mobile control room
US9626205B2 (en) * 2013-08-14 2017-04-18 Bank Of America Corporation Hypervisor driven embedded endpoint security monitoring
US10630643B2 (en) * 2015-12-19 2020-04-21 Bitdefender IPR Management Ltd. Dual memory introspection for securing multiple network endpoints
US10684840B1 (en) 2017-03-03 2020-06-16 Amazon Technologies, Inc. Software package installation and monitoring
US10466991B1 (en) * 2017-03-03 2019-11-05 Amazon Technologies, Inc. Computing instance software package installation
US11847242B2 (en) * 2020-05-28 2023-12-19 EMC IP Holding Company LLC DCF node configuration for device data

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607299B2 (en) * 2004-04-27 2013-12-10 Microsoft Corporation Method and system for enforcing a security policy via a security virtual machine
US8707383B2 (en) * 2006-08-16 2014-04-22 International Business Machines Corporation Computer workload management with security policy enforcement
US8234640B1 (en) 2006-10-17 2012-07-31 Manageiq, Inc. Compliance-based adaptations in managed virtual systems
US7996836B1 (en) * 2006-12-29 2011-08-09 Symantec Corporation Using a hypervisor to provide computer security
US8006079B2 (en) * 2008-02-22 2011-08-23 Netapp, Inc. System and method for fast restart of a guest operating system in a virtual machine environment
KR101178752B1 (ko) * 2008-02-26 2012-09-10 브이엠웨어, 인코포레이티드 서버-기반 데스크탑 가상 머신 아키텍처의 클라이언트 머신들로의 확장
US8281363B1 (en) * 2008-03-31 2012-10-02 Symantec Corporation Methods and systems for enforcing network access control in a virtual environment
US8332570B1 (en) * 2008-09-30 2012-12-11 Symantec Corporation Methods and systems for defragmenting virtual machine prefetch data on physical storage
US8566427B2 (en) * 2009-01-30 2013-10-22 Dell Products L.P. Desktop environment solutions methods and systems
CN101937357B (zh) * 2009-07-01 2013-11-06 华为技术有限公司 一种虚拟机迁移决策方法、装置及系统
US9477531B2 (en) * 2010-01-27 2016-10-25 Vmware, Inc. Accessing virtual disk content of a virtual machine without running a virtual desktop
US9274821B2 (en) * 2010-01-27 2016-03-01 Vmware, Inc. Independent access to virtual machine desktop content
US8392838B2 (en) * 2010-01-27 2013-03-05 Vmware, Inc. Accessing virtual disk content of a virtual machine using a control virtual machine
US9002972B2 (en) * 2010-01-29 2015-04-07 Symantec Corporation Systems and methods for sharing the results of computing operations among related computing systems
CN101867530B (zh) * 2010-05-31 2012-10-24 西安电子科技大学 基于虚拟机的物联网网关系统及数据交互方法
US8667489B2 (en) * 2010-06-29 2014-03-04 Symantec Corporation Systems and methods for sharing the results of analyses among virtual machines
US9015706B2 (en) * 2010-07-08 2015-04-21 Symantec Corporation Techniques for interaction with a guest virtual machine

Also Published As

Publication number Publication date
EP2686804A2 (en) 2014-01-22
US8566899B2 (en) 2013-10-22
WO2012125747A3 (en) 2014-05-01
WO2012125747A2 (en) 2012-09-20
US20120240181A1 (en) 2012-09-20
CN103917982A (zh) 2014-07-09
JP2014519069A (ja) 2014-08-07
CN103917982B (zh) 2016-09-28
EP2686804B1 (en) 2018-08-08
EP2686804A4 (en) 2015-04-01

Similar Documents

Publication Publication Date Title
JP5826298B2 (ja) 仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術
US9990220B2 (en) Hypervisor remedial action for a virtual machine in response to an error message from the virtual machine
JP5446167B2 (ja) ウイルス対策方法、コンピュータ、及びプログラム
US10402183B2 (en) Method and system for network-less guest OS and software provisioning
JP6059812B2 (ja) セキュリティ脆弱性を検出するための技術
JP5873489B2 (ja) ゲスト仮想機械とやり取りするための方法およびシステム
AU2013313167B2 (en) Techniques for recovering a virtual machine
US9465636B2 (en) Controlling virtual machine in cloud computing system
EP3314425A1 (en) Technologies for application migration using lightweight virtualization
US8909912B2 (en) Apparatus and method for configuring a target machine with captured operational state comprising a static machine profile and a dynamic machine state to continue operations of a source machine
Devi et al. Security in virtual machine live migration for KVM
JP2022536706A (ja) セキュリティが強化された自動的に配備される情報技術(it)システム及び方法
TW201439917A (zh) 針對虛擬資料中心之訪客的服務擴充
US20140244822A1 (en) Management apparatus and method of managing server node
US20160335005A1 (en) Systems and methods for performing operations on memory of a computing device
JP2014225302A (ja) ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ
EP3555787B1 (en) Safe mounting of external media
US10740021B1 (en) Systems and methods for recovery of computing environments via a replication solution
US20240012671A1 (en) Tracking and saving point-in-time hardening status of virtual machine
JP2013061994A (ja) ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ
US20230026015A1 (en) Migration of virtual computing storage resources using smart network interface controller acceleration
US20230229474A1 (en) Plug-in management in virtualized computing environment
Dinh Ngoc et al. HyperTP:: A unified approach for live hypervisor replacement in datacenters

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151013

R150 Certificate of patent or registration of utility model

Ref document number: 5826298

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250