TW201521406A - 對於使用一基於標籤原則模型之一分散式網路管理系統中使用的存取控制規則之自動產生 - Google Patents

對於使用一基於標籤原則模型之一分散式網路管理系統中使用的存取控制規則之自動產生 Download PDF

Info

Publication number
TW201521406A
TW201521406A TW103138237A TW103138237A TW201521406A TW 201521406 A TW201521406 A TW 201521406A TW 103138237 A TW103138237 A TW 103138237A TW 103138237 A TW103138237 A TW 103138237A TW 201521406 A TW201521406 A TW 201521406A
Authority
TW
Taiwan
Prior art keywords
managed server
managed
server
communication
access control
Prior art date
Application number
TW103138237A
Other languages
English (en)
Other versions
TWI561040B (en
Inventor
Paul J Kirner
Matthew K Glenn
Mukesh Gupta
Roy N Nakashima
Thukalan Verghese
Original Assignee
Illumio Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Illumio Inc filed Critical Illumio Inc
Publication of TW201521406A publication Critical patent/TW201521406A/zh
Application granted granted Critical
Publication of TWI561040B publication Critical patent/TWI561040B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

判定授權一管理域內之複數個受管理伺服器之間的通信之一存取控制規則。獲得描述該複數個受管理伺服器之間的過去通信之通信資訊。藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一受管理伺服器子集。判定一群組層級標籤集合與該受管理伺服器子集相關聯。判定用於該受管理伺服器子集中之受管理伺服器之角色標籤。一受管理伺服器與一個角色標籤相關聯。基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則。儲存該存取控制規則作為一全管理域管理原則之部分。

Description

對於使用一基於標籤原則模型之一分散式網路管理系統中使用的存取控制規則之自動產生
本文中所闡述之標的物大體而言係關於管理一管理域之伺服器(實體或虛擬)之領域,且特定而言係關於根據遵循一基於邏輯多維度標籤之原則模型之一全管理域原則管理伺服器。
根據一原則管理一管理域之伺服器(實體或虛擬)。舉例而言,一安全性原則可能規定存取控制及/或安全連接性,而一資源使用原則可能規定管理域之計算資源(例如,磁碟及/或周邊裝置)之使用。習用原則參考實體裝置且以低階構造(諸如網際網路協定(IP)位址、IP位址範圍、子網路及網路介面)表達。此等低階構造使得難以用一抽象且自然方式寫入一精細粒度原則。
以上問題及其他問題藉由用於判定授權一管理域內之複數個受管理伺服器之間的通信之一存取控制規則之一方法、非暫時性電腦可讀儲存媒體及系統而解決。方法之一實施例包括:獲得描述該複數個受管理伺服器之間的過去通信之通信資訊。該方法進一步包括:藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受 管理伺服器識別一受管理伺服器子集。該方法進一步包括:判定一群組層級標籤集合與該受管理伺服器子集相關聯。該方法進一步包括:判定用於該受管理伺服器子集中之受管理伺服器之角色標籤,一受管理伺服器與一個角色標籤相關聯。該方法進一步包括:基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則。該方法進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
該媒體之一實施例儲存可由一或多個處理器執行以執行步驟之電腦程式模組。該等步驟包括:獲得描述該複數個受管理伺服器之間的過去通信之通信資訊。該等步驟進一步包括:藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一受管理伺服器子集。該等步驟進一步包括:判定一群組層級標籤集合與該受管理伺服器子集相關聯。該等步驟進一步包括:判定用於該受管理伺服器子集中之受管理伺服器之角色標籤,一受管理伺服器與一個角色標籤相關聯。該等步驟進一步包括:基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則。該等步驟進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
系統之一實施例包括一或多個處理器及儲存可由該一或多個處理器執行以執行步驟之電腦程式模組之一非暫時性電腦可讀儲存媒體。該等步驟包括:獲得描述該複數個受管理伺服器之間的過去通信之通信資訊。該等步驟進一步包括:藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一受管理伺服器子集。該等步驟進一步包括:判定一群組層級標籤集合與該受管 理伺服器子集相關聯。該等步驟進一步包括:判定用於該受管理伺服器子集中之受管理伺服器之角色標籤,一受管理伺服器與一個角色標籤相關聯。該等步驟進一步包括:基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則。該等步驟進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
上述及其他問題藉由處理來自實施一或多個存取控制規則之受管理伺服器之警示之一方法、非暫時性電腦可讀儲存媒體及系統來解決。方法之一實施例包括:自一第一受管理伺服器獲得一警示,該第一受管理伺服器經組態以回應於與一第二受管理伺服器之過去通信且回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而產生該警示。該方法進一步包括:獲得包含描述該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之通信資訊之脈絡資訊。該方法進一步包括:基於該通信資訊將該過去通信分類為合法或惡意。該方法進一步包括:回應於將該過去通信分類為合法,產生授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之一存取控制規則。該方法進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
該媒體之一實施例儲存可由一或多個處理器執行以執行步驟之電腦程式模組。該等步驟包括:自一第一受管理伺服器獲得一警示,該第一受管理伺服器經組態以回應於與一第二受管理伺服器之過去通信且回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而產生該警示。該等步驟進一步包括:獲得包含描述該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之通信資訊之脈絡資訊。該等 步驟進一步包括:基於該通信資訊將該過去通信分類為合法或惡意。該等步驟進一步包括:回應於將該過去通信分類為合法,產生授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之一存取控制規則。該等步驟進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
系統之一實施例包括一或多個處理器及儲存可由該一或多個處理器執行以執行步驟之電腦程式模組之一非暫時性電腦可讀儲存媒體。該等步驟包括:自一第一受管理伺服器獲得一警示,該第一受管理伺服器經組態以回應於與一第二受管理伺服器之過去通信且回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而產生該警示。該等步驟進一步包括:獲得包含描述該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之通信資訊之脈絡資訊。該等步驟進一步包括:基於該通信資訊將該過去通信分類為合法或惡意。該等步驟進一步包括:回應於將該過去通信分類為合法,產生授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之一存取控制規則。該等步驟進一步包括:儲存該存取控制規則作為一全管理域管理原則之部分。
100‧‧‧環境
110‧‧‧網路
120‧‧‧全域管理器
132‧‧‧管理模組
134‧‧‧管理模組組態/組態
136‧‧‧原則實施模組
150‧‧‧管理域
200‧‧‧電腦/電腦系統
202‧‧‧處理器
204‧‧‧晶片組
206‧‧‧記憶體
208‧‧‧儲存裝置
210‧‧‧鍵盤
212‧‧‧圖形配接器
214‧‧‧指標裝置
216‧‧‧網路配接器
218‧‧‧顯示裝置
220‧‧‧記憶體控制器集線器
222‧‧‧輸入/輸出(I/O)控制器集線器
300‧‧‧儲存庫
310‧‧‧處理伺服器
320‧‧‧狀態/管理域狀態
330‧‧‧全管理域管理原則/管理決策
335‧‧‧存取控制規則集合
340‧‧‧原則引擎模組
350‧‧‧相關規則模組
360‧‧‧功能層級指令產生模組
370‧‧‧執行者列舉模組
380‧‧‧相關執行者模組
385‧‧‧管理域狀態更新模組
390‧‧‧存取控制規則建立模組
400‧‧‧本端狀態儲存庫
410‧‧‧原則編譯模組
420‧‧‧本端狀態更新模組
430‧‧‧警示產生模組
910‧‧‧脈絡資訊收集模組
920‧‧‧受管理伺服器分組模組
930‧‧‧標籤引擎
940‧‧‧流程處理模組
950‧‧‧警示處理模組
960‧‧‧存取控制規則建立介面
圖1係圖解說明根據一項實施例之用於管理一管理域之伺服器(實體或虛擬)之一環境之一高階方塊圖。
圖2係圖解說明根據一項實施例之用作圖1中所圖解說明之實體中之一或多者之一電腦之一實例的一高階方塊圖。
圖3係圖解說明根據一項實施例之一全域管理器之一詳細視圖之一高階方塊圖。
圖4係圖解說明根據一項實施例之一受管理伺服器之一原則實施 模組之一詳細視圖的一高階方塊圖。
圖5係圖解說明根據一項實施例之產生用於一特定受管理伺服器之管理指令之一方法之一流程圖。
圖6係圖解說明根據一項實施例之產生用於一受管理伺服器之一管理模組之一組態之一方法的一流程圖。
圖7係圖解說明根據一項實施例之監視一受管理伺服器之本端狀態且將本端狀態資訊發送至一全域管理器之一方法之一流程圖。
圖8係圖解說明根據一項實施例之處理一管理域之電腦網路基礎設施之狀態之一改變之一方法的一流程圖。
圖9係圖解說明根據一項實施例之一全域管理器之一存取控制規則建立模組之一詳細視圖之一高階方塊圖。
圖10係圖解說明根據一項實施例之在複數個受管理伺服器之間產生一存取控制規則授權通信之一方法之一流程圖。
圖11係圖解說明根據一項實施例之處理來自實施一或多個存取控制規則之受管理伺服器之警示之一方法之一流程圖。
圖及以下說明僅藉由圖解說明方式闡述特定實施例。熟習此項技術者將自以下說明容易地認識到,可在不背離本文中所闡述之原理之情況下採用本文中所圖解說明之結構及方法之替代實施例。現在將參考數個實施例,在附圖中圖解說明該等實施例之實例。應注意,在任何可行之處,可在圖中使用類似或相同元件符號且其可指示類似或相同功能性。
圖1係圖解說明根據一項實施例之用於管理一管理域150之伺服器(實體或虛擬)130之一環境100之一高階方塊圖。管理域150可對應於一企業(諸如例如,一服務提供者、一公司、一大學或一政府機關)。環境100可由企業自身或由幫助企業管理其伺服器130之一第三 方(例如,一第二企業)維護。如所展示,環境100包含一網路110、一全域管理器120、多個受管理伺服器130及多個未受管理裝置140。多個受管理伺服器130及多個未受管理裝置140與管理域150相關聯。舉例而言,其由企業或由代表企業之一第三方(例如,一公共雲端服務提供者)操作。儘管為了清楚而在圖1中所繪示之實施例中展示一個全域管理器120、兩個受管理伺服器130及兩個未受管理裝置140,但其他實施例可具有不同數目個全域管理器120、受管理伺服器130及/或未受管理裝置140。
網路110表示全域管理器120、受管理伺服器130及未受管理裝置140之間的通信路徑。在一項實施例中,網路110使用標準通信技術及/或協定且可包含網際網路。在另一實施例中,網路110上之實體可使用定製及/或專用資料通信技術。
一受管理伺服器130係實施一全管理域管理原則330(圖3中所展示)之一機器(實體或虛擬)。在一項實施例中,根據作業系統層級虛擬化(其係其中一作業系統之核心達成多個經隔絕使用者空間執行個體而非僅一個執行個體之一伺服器虛擬化方法),一伺服器係一虛擬伺服器(有時稱為一容器、虛擬化引擎、虛擬私人伺服器或封止區(jail))之一使用者空間執行個體。若一受管理伺服器130係一實體機器,則受管理伺服器130係一電腦或一組電腦。若一受管理伺服器130係一虛擬機器,則受管理伺服器130在一電腦或一組電腦上執行。全管理域管理原則330規定是否及/或如何允許與管理域150相關聯之實體存取其他實體(或由其他實體存取)或者以其他方式取用(或提供)服務。舉例而言,全管理域管理原則330規定安全性或資源使用。一安全性原則可能規定存取控制、安全連接性、磁碟加密及/或對可執行處理程序之控制,而一資源使用原則可能規定管理域之計算資源(例如磁碟、周邊裝置及/或頻寬)之使用。
一受管理伺服器130包含一管理模組132、一管理模組組態134及一原則實施模組136。管理模組132實施全管理域管理原則330。舉例而言,在安全性之情形中,管理模組132可係一低階網路或安全引擎,諸如一作業系統層級防火牆、一網際網路協定安全(IPsec)引擎或一網路訊務篩選引擎(例如,基於Windows篩選平台(WFP)開發平台)。在資源使用之情形中,管理模組132可係一磁碟使用引擎或一周邊裝置使用引擎。
管理模組組態134影響管理模組132之操作。舉例而言,在安全性之情形中,管理模組組態134可係由一防火牆應用之存取控制規則、由一IPsec引擎(例如,體現為Linux作業系統中之iptables實體及ipset實體)應用之安全連接性原則或由一篩選引擎應用之篩選規則。在資源使用之情形中,管理模組組態134可係由一磁碟使用引擎應用之磁碟使用原則或由一周邊裝置使用引擎應用之周邊裝置使用原則。
原則實施模組136基於以下各項產生管理模組組態134:a)自全域管理器120接收之管理指令;及b)受管理伺服器130之狀態。部分地基於全管理域管理原則330產生管理指令。由原則實施模組136產生之管理模組組態134實施彼全管理域管理原則330(達到該原則關注受管理伺服器130之程度)。此兩步驟處理程序(產生管理指令及產生管理模組組態134)稱為「具現化」一管理原則。原則實施模組136亦監視受管理伺服器130之本端狀態且將本端狀態資訊發送至全域管理器120。
在一項實施例中,原則實施模組136係一較大專屬模組(未展示)之部分。該專屬模組載入至已具有一管理模組132及一管理模組組態134之一裝置上,藉此使該裝置(或虛擬裝置)自一未受管理裝置140轉變為一受管理伺服器130。下文參考圖4、圖6及圖7進一步闡述原則實施模組136。
一未受管理裝置140係不包含一原則實施模組136之一電腦(或一 組電腦)。一未受管理裝置140不實施全管理域管理原則330。然而,一受管理伺服器130與一未受管理裝置140之間的互動可經受全管理域管理原則330(如由受管理伺服器130實施)。一未受管理裝置140之一項實例係由一管理域150使用之一網路電路。一未受管理裝置140之另一實例係由一個人用於向管理域150鑑認自身之一裝置(例如,一筆記型電腦或桌上型電腦、一平板電腦或一行動電話)。
全域管理器120係產生用於受管理伺服器130之管理指令且將所產生管理指令發送至伺服器之一電腦(或一組電腦)。基於以下各項產生管理指令:a)管理域之電腦網路基礎設施之狀態320;及b)一全管理域管理原則330。管理域之電腦網路基礎設施之狀態320包含受管理伺服器130之描述及(視情況)未受管理裝置140之描述。全域管理器120亦處理自受管理伺服器130接收之本端狀態資訊。
全管理域管理原則330係基於一邏輯管理模型,該邏輯管理模型可基於管理伺服器130之高階特性(在本文中稱作「標籤」)而指代管理伺服器130。一標籤係包含一「維度」(一高階特性)及一「值」(彼高階特性之值)之一對。在此多維度空間中建構之一管理原則比根據一以單一特性網路/IP位址為基礎之原則模型建構之一管理原則更具有表現力。特定而言,使用「標籤」之較高階抽象表達管理原則使得人們能夠更好地理解、視覺化並修改管理原則。
邏輯管理模型(例如,可用維度之數目及類型及彼等維度之可能值)係可組態的。在一項實施例中,邏輯管理模型包含以下維度及值,如表1中所展示:
邏輯管理模型藉由規定描述群組中之所有受管理伺服器130之一或多個標籤(在本文中稱為一「標籤集合」)而使得多個受管理伺服器130能夠分組在一起。一標籤集合包含邏輯管理模型中之一維度之0值或1值。一標籤集合不必包含用於邏輯管理模型中之所有維度之標籤。以此方式,邏輯管理模型達成一管理域之受管理伺服器130之分段及分離以及受管理伺服器130之任意群組之建立。邏輯管理模型亦允許在多個重疊集合(亦即,受管理伺服器之多個重疊群組)中存在一單個受管理伺服器130。邏輯管理模型不將單個受管理伺服器130限於存在於一嵌套集合階層中。
舉例而言,在安全性之情形中,分段可與存取控制原則一起用來定義經受特定原則之受管理伺服器130之群組。類似地,分段可與安全連接性原則一起用來定義受管理伺服器130之群組及適用於群組內通信及群組間通信之原則。因此,受管理伺服器130之一第一群組(由一第一標籤集合規定)當中之通信可限制於一第一安全連接設定(例 如,不需要安全連接),且受管理伺服器之該第一群組與受管理伺服器之一第二群組(由一第二標籤集合規定)之間的通信可限制於一第二安全連接設定(例如,IPsec包裝安全有效負載(ESP)/鑑認標頭(AH)進階加密標準(AES)/安全雜湊演算法2(SHA-2))。
環境100中之每一受管理伺服器130實施全管理域管理原則330(達到該原則關注受管理伺服器130之程度)。因此,遍及管理域150以一分散式方式應用全管理域管理原則330且不存在阻塞點。此外,獨立於管理域之實體網路拓撲及網路定址方案以邏輯位準應用全管理域管理原則330。
下文參考圖3、圖5及圖8至圖11進一步闡述全域管理器120、管理域之電腦網路基礎設施之狀態320及全管理域管理原則330。
電腦
圖2係圖解說明根據一項實施例之用作圖1中所圖解說明之實體中之一或多者之一電腦200之一實例之一高階方塊圖。圖解說明耦合至一晶片組204之至少一個處理器202。晶片組204包含一記憶體控制器集線器220及一輸入/輸出(I/O)控制器集線器222。一記憶體206及一圖形配接器212耦合至記憶體控制器集線器220,且一顯示裝置218耦合至圖形配接器212。一儲存裝置208、鍵盤210、指標裝置214及網路配接器216耦合至I/O控制器集線器222。電腦200之其他實施例具有不同架構。舉例而言,在某些實施例中,記憶體206直接耦合至處理器202。
儲存裝置208包含一或多個非暫時性電腦可讀儲存媒體,諸如一硬碟機、光碟唯讀記憶體(CD-ROM)、DVD或一固態記憶體裝置。記憶體206保持由處理器202使用之指令及資料。指標裝置214結合鍵盤210用於將資料輸入至電腦系統200中。圖形配接器212將影像及其他資訊顯示於顯示裝置218上。在某些實施例中,顯示裝置218包含用於 接收使用者輸入及選擇之一觸控螢幕能力。網路配接器216將電腦系統200耦合至網路110。電腦200之某些實施例具有與圖2中所展示之彼等組件不同及/或除圖2中所展示之彼等組件外之組件。舉例而言,全域管理器120及/或受管理伺服器130可由多個刀鋒伺服器形成且缺少一顯示裝置、鍵盤及其他組件,而未受管理裝置140可係一筆記型電腦或桌上型電腦、一平板電腦或一行動電話。
電腦200經調適以執行用於提供本文中所闡述之功能性之電腦程式模組。如本文中所使用,術語「模組」係指電腦程式指令及/或用於提供所規定功能性之其他邏輯。因此,一模組可以硬體、韌體、及/或軟體實施。在一項實施例中,由可執行電腦程式指令形成之程式模組儲存於儲存裝置208上、載入至記憶體206中且由處理器202執行。
全域管理器
圖3係圖解說明根據一項實施例之一全域管理器120之一詳細視圖之一高階方塊圖。全域管理器120包含一儲存庫300及一處理伺服器310。儲存庫300係儲存管理域之電腦網路基礎設施之狀態320及全管理域管理決策330之一電腦(或一組電腦)。在一項實施例中,儲存庫300包含回應於請求而提供對管理域狀態320及管理決策330之處理伺服器310存取之一伺服器。
管理域狀態
管理域之電腦網路基礎設施之狀態320包含受管理伺服器130之描述及(視情況)未受管理裝置140之描述。一受管理伺服器130之一描述包含(舉例而言)一唯一識別符(UID)、一線上/離線指示符、一或多個經組態特性(選用)、網路公開資訊、服務資訊及描述受管理伺服器130之一或多個標籤(一標籤集合)。
UID唯一地識別受管理伺服器130。線上/離線指示符指示受管理 伺服器130是線上或是離線。一「經組態特性」儲存與受管理伺服器130相關聯之一值且可係任何類型之資訊(例如,哪一作業系統正在受管理伺服器上運行之一指示)。一經組態特性係連同一規則之條件部分(下文所闡述)一起使用。
網路公開資訊關注受管理伺服器之網路介面。在一項實施例中,針對受管理伺服器之網路介面中之每一者,網路公開資訊包含網路介面附接至其之一「可雙向到達網路(BRN)」之一識別符及用於在該BRN內操作之零或多個IP位址(及其子網路)。一BRN係在一組織內或跨越若干組織之一組子網路,其中該BRN內之任一節點可建立與該BRN中之任一其他節點之通信。舉例而言,一BRN中之所有節點具有唯一IP位址。換言之,一BRN不含有任何NAT。網路公開資訊(例如,一網路介面之BRN識別符)可連同一規則之條件部分一起使用。
在另一實施例中,網路公開資訊包含路由資訊及/或受管理伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)。全域管理器120可判定一管理伺服器130是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)。舉例而言,全域管理器120藉由比較以下各項而判定在全域管理器120與受管理伺服器130之間是否存在一NAT:(a)根據全域管理器與伺服器之間的TCP連接之伺服器之IP位址;與(b)根據自伺服器接收之本端狀態資訊之伺服器之IP位址。若(a)與(b)不同,則在全域管理器120與受管理伺服器130之間存在一NAT。若一NAT確實存在,則全域管理器120藉由執行資料中心偵測而判定NAT之類型(1:1或1:N)。舉例而言,全域管理器120藉由伺服器之資料中心之公共IP位址而識別該資料中心。(另一選擇係,受管理伺服器藉由查詢在伺服器外部但在資料中心內部之資訊而執行資料中心偵測。伺服器接著將彼資訊作為本端狀態之部分發送至全域管理 器)。組態資訊指示哪些類型之NAT由哪些資料中心使用。若無NAT資訊與一特定資料中心相關聯,則全域管理器120假定NAT類型係1:N。
服務資訊包含(舉例而言)處理程序資訊及/或封裝資訊。處理程序資訊包含(舉例而言)受管理伺服器130正運行之處理程序之名稱、彼等處理程序正在哪些網路埠及網路介面上接聽、哪些使用者起始了彼等處理程序、彼等處理程序之組態及彼等處理程序之命令列啟動參數(例如,彼等處理程序連結至的共用物件)。(彼等處理程序對應於提供一服務或使用一服務之受管理伺服器130)。封裝資訊包含(舉例而言)哪些封裝(可執行檔、庫或其他組件)安裝於受管理伺服器130上、彼等封裝之版本、彼等封裝之組態及彼等封裝之雜湊值。
一未受管理裝置140之一描述包含(舉例而言)網路公開資訊(例如,未受管理裝置之IP位址及未受管理裝置連接至其之BRN之一識別符)。一未受管理裝置140係一「未受管理裝置群組」(UDG)之部分。一UDG包含一或多個未受管理裝置140。舉例而言,「總部UDG」可能包含由一管理域之總部使用之初級電路及備份電路,其中每一電路與一IP位址相關聯。一UDG與一唯一識別符(UID)相關聯。關於一UDG之儲存於管理域狀態320中之資訊包含UDG之UID及關於UDG中之未受管理裝置140之資訊(例如,其網路公開資訊)。
受管理伺服器130及未受管理裝置140之描述可以各種方式(諸如藉由經由一圖形使用者介面(GUI)或一應用程式化介面(API)與全域管理器120互動)載入至管理域狀態320中。受管理伺服器130之描述亦可基於自受管理伺服器接收之本端狀態資訊載入至管理域狀態320中(下文所闡述)。
具體關於受管理伺服器之標籤(及經組態特性,若存在),可以甚至更多方式執行一維度之一值之指派(或重新指派)(或一經組態特性之 值之設定)。舉例而言,可使用一部署與組態工具執行指派/設定作為布建一受管理伺服器130之部分。可使用任一此類工具,包含現有第三方工具(例如,Puppet Labs之Puppet軟體、Opscode之Chef軟體或CFEngine AS之CFEngine軟體)及一管理域150可能具有之定製工具。
作為另一實例,可由計算標籤及/或經組態特性(「CC」)值之一「標籤/經組態特性引擎」(未展示)執行指派/設定。在一項實施例中,標籤/CC引擎基於標籤/CC指派規則而計算標籤/CC值。一標籤/CC指派規則係自管理域狀態320存取資料並指派(或建議指派)一標籤或一CC值之一功能。一標籤/CC指派規則可係預設定的或使用者可組態的。舉例而言,全域管理器120包含一預定義規則集合,但終端使用者可基於使用者之自身定製需要修改及/或刪除彼等規則並新增新規則。可在初始化處理程序期間針對一受管理伺服器130評估標籤/CC指派規則。接著,可針對任一維度/CC作出標籤/CC值建議,且終端使用者可接受或拒絕彼等建議。舉例而言,若一受管理伺服器130正執行Postgres資料庫或MySQL資料庫,則所建議標籤可係<Role,Database>。若一受管理伺服器正執行Linux作業系統,則作業系統CC之所建議值可係「Linux」。
在另一實施例中,標籤/CC引擎基於叢集分析計算標籤/CC值。舉例而言,標籤/CC引擎使用最小切割與K平均值演算法之一組合,其中經連接圖表之額外啟發法用以自動地識別高度連接之受管理伺服器130之一叢集。受管理伺服器130之叢集可能對應於管理域150中之一「應用程式」(參見表1)。終端使用者可選擇將應用程式維度(或任一其他維度)之一值應用於彼等受管理伺服器130全體。
全管理域管理原則
全管理域管理原則330包含一或多個規則。廣義地說,一「規則」規定一服務之一或多個提供者與彼服務之一或多個取用者之間的 一關係。
規則功能-該關係經受一「規則功能」,其係規則之實際效應。舉例而言,在安全性之情形中,規則功能可係存取控制、安全連接性、磁碟加密或對可執行處理程序之控制。具有一存取控制功能之一規則規定一取用者是否可使用一提供者之服務。在一項實施例中,存取控制功能使用一純「白名單」模型,此意指僅表達可允許關係且藉由預設阻絶所有其他關係。具有一安全連接性功能之一規則規定一取用者可經由何種安全通道(例如,使用點對點資料加密之經加密網路工作階段)使用一提供者之服務。舉例而言,具有一安全連接性功能之一規則可規定在提供者位於美國且取用者位於歐盟時必須將一提供者之服務之使用加密。具有一磁碟加密功能之一規則規定一提供者是否必須將其資料儲存於一經加密檔案系統上。具有一可執行處理程序控制功能之一規則規定是否允許執行一處理程序。
在資源使用之情形中,規則功能可係磁碟使用或周邊裝置使用。具有一磁碟使用功能之一規則規定一取用者可儲存於一提供者上之一資料量。注意,一規則亦可規定其他規則功能遠非僅存取控制、安全連接性、磁碟加密、對可執行處理程序之控制、磁碟使用及周邊裝置使用。舉例而言,一規則功能可規定將哪些開放系統互連(OSI)模型層-7服務應用於網路訊務、為了安全分析而收集之後設資料(metadata)之量或用於擷取一完整網路封包之觸發程序。管理原則模型支援可應用之任一數目個規則功能。
一規則功能可與規定關於規則之實際效應之細節之一或多個設定(在本文中稱為一「功能設定檔」)相關聯。舉例而言,與一安全連接性規則功能相關聯之設定可係用於將網路訊務加密之加密演算法之一清單。在一項實施例中,一規則功能與多個功能設定檔相關聯,且一功能設定檔包含一優先級。此優先級由功能層級指令產生模組360 使用,如下文所闡述。
服務-大體而言,一「服務」係在使用一特定網路協定之一特定網路埠上執行之一任意處理程序。管理原則330內之一規則之一服務由一埠/協定對及(視情況)額外資格(諸如處理程序資訊及/或封裝資訊(上文關於管理域狀態320內之一受管理伺服器130之一描述所闡述))規定。若一受管理伺服器130具有多個網路介面,則可將一服務公開於所有網路上或僅彼等網路之一子集上。終端使用者規定將該服務公開於哪些網路上。應注意,取決於規則功能,一服務可不使用任何網路資源。舉例而言,用於一可執行處理程序控制規則功能之一服務不使用一網路協定在一網路埠上執行。
提供者/取用者-服務之一或多個提供者及服務之一或多個取用者(亦即,使用者)係受管理伺服器130及/或未受管理裝置140。
在一項實施例中,在全管理域管理原則330內使用一資訊集合表示一規則,該資訊集合包含一規則功能部分、一服務部分、一被提供部分、一被使用部分及一選用規則條件部分。規則功能部分描述規則之實際效應且可與一或多個設定(功能設定檔)相關聯。服務部分描述規則適用於其之服務。若服務部分指示「全部」,則規則適用於所有服務。
被提供(PB)部分描述哪些受管理伺服器130及/或未受管理裝置140可提供服務(亦即,「提供者」係誰)。若PB部分指示「任一者」,則任一者(例如,任一受管理伺服器130或未受管理裝置140)可提供服務。若PB部分指示「任一受管理伺服器」,則任一受管理伺服器130可提供服務。(「任一受管理伺服器」等效於規定含有一萬用字元之一標籤集合,藉此匹配所有受管理伺服器130)。被使用(UB)部分描述哪些受管理伺服器130及/或未受管理裝置140可使用服務(亦即,「取用者」係誰)。類似於PB部分,UB部分亦可指示「任一者」 或「任一受管理伺服器」。
在PB部分及UB部分內,藉由使用一標籤集合(亦即,描述受管理伺服器之一或多個標籤)或一UID而規定一受管理伺服器130。使用標籤集合規定受管理伺服器130之能力起源於邏輯管理模型,邏輯管理模型基於其維度及值(標籤)而指代受管理伺服器。藉由使用一未受管理裝置群組(UDG)之一UID而規定一未受管理裝置140。若一規則規定一UDG,則該規則包含關於彼群組中之未受管理裝置140之額外資訊(例如,裝置之網路公開資訊)。一規則之PB部分及/或一規則之UB部分可包含多個項目,包含標籤集合(用以規定受管理伺服器130)、受管理伺服器UID及/或UDG UID。
規則條件部分(其係選用的)規定規則是否適用於一特定受管理伺服器130及/或彼受管理伺服器之一特定網路介面。規則條件部分係一布林(Boolean)表達式,該布林表達式包含一或多個經組態特性(「CC」;管理域狀態320中之一受管理伺服器之描述之部分)及/或網路公開資訊(例如,一網路介面之BRN識別符;其亦係管理域狀態320中之一受管理伺服器之描述之部分)。表達式之一CC部分規定規則是否適用於特定受管理伺服器,而表達式之一網路公開資訊部分規定規則是否適用於彼受管理伺服器之一特定網路介面。若針對一特定受管理伺服器之經組態特性(具體而言,針對彼受管理伺服器之經組態特性之值)及一特定網路介面之資訊表達式評估為「真」,則規則適用於彼受管理伺服器及彼受管理伺服器之相關網路介面。若表達式評估為「假」,則規則不適用於彼受管理伺服器及彼受管理伺服器之相關網路介面。舉例而言,若一經組態特性儲存哪一作業系統正在受管理伺服器上運行之一指示,則包含彼經組態特性之一規則條件部分可基於一特定受管理伺服器之作業系統控制規則是否適用於彼伺服器。
全管理域管理原則330內之規則係組織成若干規則清單。具體而 言,管理原則330包含一或多個規則清單,且一規則清單包含一或多個規則及(視情況)一或多個範疇。一「範疇」約束將一規則應用於何處(亦即,應用於哪些受管理伺服器130)。一範疇包含限制規則清單中之規則之應用之一被提供(PB)部分及一被使用(UB)部分。範疇之PB部分限制規則之PB部分,且範疇之UB部分限制規則之UB部分。一範疇之PB部分及UB部分可藉由使用一標籤集合而規定受管理伺服器130之一群組。若該標籤集合不含有用於一特定維度之一標籤,則不存在對受管理伺服器130之所得群組之彼維度之範疇限定。若一規則清單不包含任何範疇,則全域地應用其規則。
不同範疇可應用於一單個規則清單。舉例而言,一終端使用者可建置表達web服務層列(具有一<Role,Web>標籤之受管理伺服器130)如何自資料庫層列(具有一<Role,Database>標籤之受管理伺服器)取用服務、負載平衡層列如何自web服務層列取用服務,等等之一規則集。然後,若終端使用者想要將此規則清單應用於其生產環境(具有一<Environment,Production>標籤之受管理伺服器130)及其預備環境(具有一<Environment,Staging>標籤之受管理伺服器),則其不需要複製或重複該規則清單。替代地,其將多個範疇應用於一單個規則清單(其中PB部分及UB部分包含<Environment,Production>標籤之一第一範疇及其中PB部分及UB部分包含<Environment,Staging>標籤之一第二範疇)。範疇抽象自一可用性視角及一計算視角兩者製作規則清單量表。
既然已闡述全管理域管理原則330,則進行某些實例係有幫助的。考量具有一兩層列應用程式(其中一使用者裝置存取一web伺服器(第一層列)且該web伺服器存取一資料庫伺服器(第二層列))之一管理域150。在第一層列中,使用者裝置係取用者,且web伺服器係提供者。在第二層列中,web伺服器係取用者,且資料庫伺服器係提供 者。管理域150包含此應用程式之兩個執行個體:一個執行個體在一生產環境中且一個執行個體在一預備環境中。
web伺服器及資料庫伺服器係受管理伺服器130,且其描述(例如,標籤集合)存在於管理域狀態320中。舉例而言,其標籤集合係:
在生產中之web伺服器:<Role,Web>及<Environment,Production>
在生產中之資料庫伺服器:<Role,Database>及<Environment,Production>
在預備中之web伺服器:<Role,Web>及<Environment,Staging>
在預備中之資料庫伺服器:<Role,Database>及<Environment,Staging>
(應用程式維度、企業營運維度及位置維度不與此實例相關,因此省略其標籤)。
現在考量以下全管理域管理原則330,其係規定存取控制及安全連接性之一安全性原則:
規則清單#1
‧範疇
。<Environment,Production>
。<Environment,Staging>
‧規則
。#1
▪功能:存取控制
▪服務:Apache
▪PB:<Role,Web>
▪UB:任一者
。#2
▪功能:存取控制
▪服務:PostgreSQL
▪PB:<Role,Database>
▪UB:<Role,Web>
規則清單#2
‧範疇:無
‧規則
。#1
▪功能:安全連接性
▪服務:全部
▪PB:<Role,Database>
▪UB:任一受管理伺服器
注意,以上規則為了清楚而將服務簡單地稱為「Apache」及「PostgreSQL」。切記,一服務係一處理程序且由一埠/協定對及(視情況)額外資格(諸如處理程序資訊及/或封裝資訊(上文關於管理域狀態320內之一受管理伺服器130之一描述所闡述))規定。
規則清單#1/規則#1允許任一裝置(例如,一使用者裝置)連接至一web伺服器且使用Apache服務。具體而言,允許一連接由功能部分中之「存取控制」規定。「任一裝置」由UB部分中之「任一者」規定。「web伺服器」由PB部分中之「<Role,Web>」(包含僅一個標籤之一標籤集合)規定。Apache服務由服務部分中之「Apache」規定。
規則清單#1/規則#2允許一web伺服器連接至一資料庫伺服器上之PostgreSQL。具體而言,允許一連接由功能部分中之「存取控制」規定。「web伺服器」由UB部分中之「<Role,Web>」規定。「PostgreSQL」由服務部分中之「PostgreSQL」規定。「資料庫伺服器」由PB部分中之「<Role,Database>」(包含僅一個標籤之一標籤集合)規定。
規則清單#1亦防止環境間連接。舉例而言,若一web伺服器及一資料庫伺服器兩者在同一環境中(例如,兩者皆在生產環境中或兩者皆在預備環境中),則允許該web伺服器連接至該資料庫伺服器上之PostgreSQL。在生產環境中之兩個伺服器由範疇部分中之「<Environment,Production>」(包含僅一個標籤之一標籤集合)規定,而在預備環境中之兩個伺服器由範疇部分中之「<Environment,Staging>」(包含僅一個標籤之一標籤集合)規定。(由於此實例中之範疇未區分PB部分及UB部分,因此每一範疇之標籤集合適用於PB部分及UB部分兩者)。因此,若一web伺服器與一資料庫伺服器在不同環境中(例如,若web伺服器在預備環境中且資料庫伺服器在生產環境中),則不允許該web伺服器連接至該資料庫伺服器上之PostgreSQL。
規則清單#2陳述無論何時任一受管理伺服器連接至一資料庫伺服器,必須透過一經加密通道執行彼連接。具體而言,「資料庫伺服器」由PB部分中之「<Role,Database>」規定。「經加密通道」由功能部分中之「安全連接性」規定。「任一受管理伺服器」由UB部分中之「任一受管理伺服器」規定。「無論何時」由服務部分中之「全部」規定。
撇開以上實例,考量以下兩個受管理伺服器130:伺服器1係一web伺服器,其係生產之部分(app1之部分)且由加利福尼亞州之工程部擁有。其將標記為:
<Role,Web>
<Environment,Production>
<Application,app1>
<LB,Engineering>
<Location,US>
伺服器2係一資料庫伺服器,其係生產之部分(亦係app1之部 分),其亦由工程部(但在德國中)擁有。其將標記為:
<Role,Database Server>
<Environment,Production>
<Application,app1>
<LB,Engineering>
<Location,EU>
假定,一存取控制規則允許對為app1之部分之所有受管理伺服器130之全部存取。此規則將允許伺服器1與伺服器2彼此通信且將不允許在德國之為app2之部分之一受管理伺服器130與伺服器1或伺服器2通信。現在假定,一安全連接性規則規定必須將EU與US之間的所有網路訊務加密。規則功能係獨立地應用。換言之,安全連接性規則係獨立於存取控制規則應用之一單獨原則。因此,來自伺服器1至伺服器2之網路訊務將被允許(鑒於存取控制規則)且被加密(鑒於安全連接性規則)。
存取控制規則
返回圖3,全管理域管理原則330包含一存取控制規則集合335,該存取控制規則集合下文在標題為「存取控制規則」之章節中闡述。
處理伺服器
處理伺服器310產生用於受管理伺服器130之管理指令且將所產生管理指令發送至伺服器。處理伺服器310亦處理自受管理伺服器130接收之本端狀態資訊。處理伺服器310包含各種模組,諸如一原則引擎模組340、一相關規則模組350、一功能層級指令產生模組360、一執行者列舉模組370、一相關執行者模組380、一管理域狀態更新模組385及一存取控制規則建立模組390。在一項實施例中,處理伺服器310包含與儲存庫300通信且處理資料(例如,藉由執行原則引擎模組340、相關規則模組350、功能層級指令產生模組360、執行者列舉模 組370、相關執行者模組380、管理域狀態更新模組385及存取控制規則建立模組390)之一電腦(或一組電腦)。
相關規則模組350採取全管理域管理原則330及一特定受管理伺服器130之一指示(例如,彼伺服器之UID)作為輸入,產生與彼伺服器相關之規則之一集合且輸出該規則集合。此係相關規則模組350藉以審查管理原則330且提取僅用於給定受管理伺服器130之相關規則之一篩選處理程序。相關規則模組350藉由以下操作而執行篩選:反覆通過管理原則330中之所有規則清單,分析每一規則清單之範疇以判定該等範疇是否適用於此受管理伺服器130且(若該等範疇確實適用於此受管理伺服器130)分析每一規則清單之規則以判定彼等規則是否適用於此受管理伺服器130。一規則在以下情況下適用於一受管理伺服器130:a)該規則之PB部分及/或該規則之UB部分規定該受管理伺服器;且b)該規則之條件部分(若存在)針對彼受管理伺服器(具體而言,針對彼受管理伺服器之經組態特性之值及網路公開資訊)評估為「真」。最終結果(在本文中稱為一「管理原則視角」)係兩個規則集合之一收集:其中此受管理伺服器130提供一服務之規則及其中此受管理伺服器130取用一服務之規則。
功能層級指令產生模組360採取一規則集合(例如,由相關規則模組350產生之一管理原則視角)作為輸入、產生功能層級指令且輸出功能層級指令。功能層級指令稍後作為管理指令之部分發送至一受管理伺服器130。一功能層級指令類似於一規則之處在於每一者包含一規則功能部分、一服務部分、一PB部分及一UB部分。然而,雖然一規則可包含在其PB部分及/或UB部分內之多個項目(包含標籤集合、受管理伺服器UID及/或UDG UID),但一功能層級指令包含僅在其PB部分內之一個項目及僅在其UB部分內之一個項目。此外,雖然一規則可在其PB部分及/或UB部分內規定一受管理伺服器(包含其多個網路 介面),但一功能層級指令包含僅在其PB部分及UB部分內之一個網路介面。
功能層級指令產生模組360分析一規則且基於彼規則產生一或多個功能層級指令。若規則之PB部分包含多個項目,規則之UB部分包含多個項目,或由規則(在PB部分或UB部分中)指代之一受管理伺服器具有多個網路介面,則功能層級指令產生模組360產生多個功能層級指令(例如,一個功能層級指令用於一PB項目、一UB項目與一特定網路介面之每一可能組合)。
考量包含在其PB部分中之兩個項目(A及B)以及在其UB部分中之兩個項目(C及D)之一規則。功能層級指令產生模組360將產生具有以下PB部分及UB部分之四個功能層級指令:1)PB=A,UB=C;2)PB=A,UB=D;3)PB=B,UB=C;4)PB=B,UB=D。現在考量涵蓋在其PB部分或UB部分中之一受管理伺服器(例如,藉由規定一UID或一標籤集合)且彼受管理伺服器具有多個網路介面之一規則。功能層級指令產生模組360將產生多個功能層級指令(例如,一個功能層級指令用於受管理伺服器之每一網路介面)。
功能層級指令產生模組360分析規則、彼等規則內之功能及由彼等規則指代之功能設定檔。若一規則清單包含多個範疇,則功能層級指令產生模組360將彼等範疇多次反覆地應用於規則清單(藉此產生每一範疇之功能層級指令之一完整集合)。回想,一規則功能可與多個功能設定檔相關聯,且一功能設定檔可包含一優先級:功能層級指令產生模組360基於各種功能設定檔之優先級將規則排序以使得使用具有最高優先級之功能設定檔。功能層級指令產生模組360將經排序規則轉譯成受管理伺服器130執行之功能層級指令。功能層級指令指代適當受管理伺服器130及/或未受管理裝置140(例如,在輸入規則中指代之受管理伺服器130及/或未受管理裝置140),從而考量與規則相關 聯之服務之網路公開細節。
注意,功能層級指令產生模組360可產生用於一特定受管理伺服器130之被證明為針對彼伺服器不相關之一功能層級指令。舉例而言,彼受管理伺服器由一規則之被提供(PB)部分涵蓋,因此功能層級指令產生模組360產生一對應功能層級指令。然而,該規則亦包含規定受管理伺服器之本端狀態之一部分(例如,描述所提供服務之一服務部分)。由於全域管理器120不知曉受管理伺服器之本端狀態(例如,受管理伺服器是否實際上提供彼服務),因此所產生功能層級指令被發送至受管理伺服器。受管理伺服器檢查其本端狀態(例如,其是否提供彼服務)且相應地處理功能層級指令,如下文參考原則編譯模組410所闡釋。
執行者列舉模組370採取受管理伺服器130及未受管理裝置群組(UDG)之描述之一收集(例如,管理域之電腦網路基礎設施之狀態320)作為輸入,以一列舉形式產生伺服器及UDG之彼等描述之表示(稱為「執行者集合」)且輸出執行者集合。舉例而言,執行者列舉模組370在管理域狀態320內列舉受管理伺服器130及UDG以及可能標籤集合且給每一者指派一唯一識別符(UID)。接著,可連同規定使用受管理伺服器UID、UDG UID及/或標籤集合之執行者的規則及範疇之UB部分及PB部分一起使用此等執行者集合。
考量包含N個維度D i (i=1、...、N)之一集合且每一維度D i 包含可能值V j (j=1、...、M i )(其中萬用字元「*」係可能值中之一者)之一集合S i 之一邏輯管理模型。在一項實施例中,執行者列舉模組370列舉基於邏輯管理模型可能之所有標籤集合,其等於由S 1×S 2×...×S N 給出之笛卡爾(Cartesian)乘積。此集合之大小係M 1×M 2×...×M N 。列舉處理程序將受管理伺服器130之多維度標籤空間摺疊成一單個列舉形式。
在另一實施例中,執行者列舉模組370列舉僅基於管理域狀態320(例如,基於管理域150內之受管理伺服器之描述)可能之彼等標籤集合。舉例而言,考量包含2個維度(X及Y)且每一維度包含3個可能值(A、B及*)之一邏輯管理模型。具有標籤集合「<X=A>,<Y=B>」之一受管理伺服器可係4個可能標籤集合之一成員:1)「<X=A>,<Y=B>」;2)「<X=A>,<Y=*>」;3)「<X=*>,<Y=B>」;及4)「<X=*>,<Y=*>」。注意,受管理伺服器之標籤集合存在於二維空間(X及Y)中,而可能標籤集合2、3及4係受管理伺服器之標籤集合至子維度空間(標籤集合2係一維空間(X),標籤集合3係一維空間(Y),且標籤集合4係0維度空間)中之投影。因此,執行者列舉模組370列舉彼4個可能標籤集合。具有標籤集合「<X=A>,<Y=B>」之受管理伺服器無法成為標籤集合「<X=A>,<Y=A>」之一成員,因此執行者列舉模組370不列舉彼標籤集合。
在又一實施例中,執行者列舉模組370列舉僅全管理域管理原則330中(例如,規則及範疇之UB部分及PB部分中)所使用彼等標籤集合
一執行者集合包含一UID及零或多個執行者集合記錄。一執行者集合記錄包含一UID(一受管理伺服器UID或一UDG UID)、執行者之作業系統之一識別符及鑒於特定BRN之執行者(受管理伺服器130或未受管理裝置140)之IP位址。舉例而言,一執行者集合可能包含其IP位址對應於由<Role,Database>及<Environment,Production>之標籤集合涵蓋之所有受管理伺服器130之執行者集合記錄。作為另一實例,一執行者集合可能包含其IP位址對應於總部UDG中之所有未受管理裝置140之執行者集合記錄。一單個執行者(例如,受管理伺服器130或未受管理裝置140)可出現於多個執行者集合中。
執行者集合計算中之另一因素係具有多個網路介面之執行者加上包含網路拓撲,諸如網路位址轉譯(NAT)。因此,可存在<Role, Database>及<Environment,Production>之標籤集合之兩個執行者集合:具有彼等受管理伺服器130之網際網路對向IP位址(亦即,與一第一BRN相關聯)之一個執行者集合,及彼等相同受管理伺服器之具有彼等受管理伺服器之私人網路對向IP位址(亦即,與一第二BRN相關聯)之一不同執行者集合。
在一項實施例中,執行者列舉模組370亦可基於管理域之狀態320之改變更新執行者集合。舉例而言,執行者列舉模組370採取執行者集合(先前由執行者列舉模組輸出)及一受管理伺服器之描述(在管理域狀態320內)之一改變作為輸入,產生經更新執行者集合(其與所改變伺服器描述一致)且輸出經更新執行者集合。執行者列舉模組370取決於受管理伺服器之描述之改變之類型而以不同方式產生經更新執行者集合。
離線/線上改變-若描述改變指示伺服器自線上變為離線,則執行者列舉模組370藉由自伺服器係其一成員之所有輸入執行者集合移除伺服器之執行者集合記錄而產生經更新執行者集合。若描述改變指示伺服器自離線變為線上,則執行者列舉模組370藉由將伺服器之執行者集合記錄新增至任何相關輸入執行者集合而產生經更新執行者集合。(若必要,則執行者列舉模組370建立一新執行者集合且將伺服器之執行者集合記錄新增至彼新執行者集合)。
標籤集合改變-若描述改變指示伺服器之標籤集合改變,則執行者列舉模組370如一第一伺服器(具有舊標籤集合)正在離線且一第二伺服器(具有新標籤集合)正在上線一樣對待此情況。
網路公開資訊改變-若描述改變指示伺服器移除一網路介面,則執行者列舉模組370藉由自伺服器係其一成員之所有輸入執行者集合(與彼網路介面之BRN相關聯)移除伺服器之執行者集合記錄而產生經更新執行者集合。若描述改變指示伺服器新增一網路介面,則執行者 列舉模組370藉由將伺服器之執行者集合記錄新增至任何相關輸入執行者集合而產生經更新執行者集合(與彼網路介面之BRN相關聯)。(若必要,則執行者列舉模組370建立一新執行者集合(與彼網路介面之BRN相關聯)且將伺服器之執行者集合記錄新增至彼新執行者集合)。若描述改變指示伺服器改變了一網路介面之BRN,則執行者列舉模組370如移除一第一網路介面(具有舊BRN)且新增一第二網路介面(具有新BRN)一樣對待此情況。若描述改變指示伺服器改變了一網路介面之IP位址(而非BRN),則執行者列舉模組370藉由修改伺服器係其一成員之所有輸入執行者集合(與彼網路介面之BRN相關聯)中之伺服器之執行者集合記錄而產生經更新執行者集合。
相關執行者模組380採取一或多個執行者集合(例如,呈列舉形式之在管理域狀態320內之受管理伺服器130及UDG)及一規則集合(例如,一管理原則視角)作為輸入,判定哪些執行者集合與彼等規則相關且輸出僅彼等執行者集合。此係相關執行者模組380藉以審查執行者集合且提取僅給定規則集合之相關執行者集合之一篩選處理程序。相關執行者模組380藉由以下操作而執行篩選:反覆通過所有輸入執行者集合,分析輸入規則之PB部分及UB部分以判定一特定執行者集合是否由規則之PB部分或UB部分中之任一者指代。最終結果(在本文中稱為一「執行者視角」)係執行者集合之一收集。執行者視角稍後作為管理指令之部分發送至一受管理伺服器130。
在一項實施例中,相關執行者模組380使用輸入規則集合來產生一「執行者集合篩選程序」。執行者集合篩選程序自輸入執行者集合選擇僅與輸入規則相關之執行者集合。換言之,相關執行者模組380使用執行者集合篩選程序來將輸入執行者集合篩選成相關執行者集合。
原則引擎模組340產生用於受管理伺服器130之管理指令且將所 產生管理指令發送至伺服器。原則引擎模組340基於以下各項產生管理指令(使用相關規則模組350、功能層級指令產生模組360、執行者列舉模組370及相關執行者模組380):a)管理域之電腦網路基礎設施之狀態320;及b)全管理域管理原則330。
舉例而言,原則引擎模組340執行相關規則模組350,從而提供全管理域管理原則330及特定受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(一「管理原則視角」)。原則引擎模組340執行執行者列舉模組370,從而提供管理域狀態320作為輸入。執行者列舉模組370以一列舉形式(「執行者集合」)輸出管理域狀態320內之受管理伺服器130及未受管理裝置群組(UDG)之描述之一表示。原則引擎模組340執行功能層級指令產生模組360,從而提供管理原則視角(由相關規則模組350輸出)作為輸入。功能層級指令產生模組360輸出功能層級指令。原則引擎模組340執行相關執行者模組380,從而提供執行者集合(由列舉模組370輸出)及管理原則視角(由相關規則模組350輸出)作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等執行者集合(相關執行者集合)。原則引擎模組340將功能層級指令(由功能層級指令產生模組360輸出)及相關執行者集合(由相關執行者模組380輸出)發送至特定受管理伺服器130。
在一項實施例中,原則引擎模組340快取在以上處理程序期間產生之資訊。舉例而言,原則引擎模組340與特定受管理伺服器130相關聯地快取管理原則視角、功能層級指令、執行者集合篩選程序及/或相關執行者集合。作為另一實例,原則引擎模組340快取管理域之執行者集合(其並非一特定受管理伺服器130特有的)。
由於一管理域之執行者集合基於管理域狀態320,因此管理域狀態320之一改變可需要管理域之執行者集合之一改變。類似地,由於 一受管理伺服器之管理指令基於管理域狀態320及全管理域管理原則330,因此管理域狀態320之一改變及/或全管理域管理原則330之一改變可需要受管理伺服器之管理指令之一改變。在一項實施例中,原則引擎模組340可更新一管理域之執行者集合及/或更新一受管理伺服器之管理指令且接著將此等改變(若必要)分散至受管理伺服器130。上文所提及之經快取資訊幫助原則引擎模組340更高效地更新管理域之執行者集合及/或受管理伺服器之管理指令且使改變分散。
在一項實施例中,原則引擎模組340更新一管理域之執行者集合(基於管理域狀態320之一改變)且將改變分散至受管理伺服器130如下:原則引擎模組340執行執行者列舉模組370,從而提供經快取執行者集合(先前由執行者列舉模組輸出)及管理域狀態320之經改變部分(亦即,經改變伺服器描述)作為輸入。執行者列舉模組370輸出經更新執行者集合。在一項實施例中,原則引擎模組340接著將所有經更新執行者集合發送至管理域150內之所有受管理伺服器130。然而,彼實施例係無效率的,此乃因並非所有受管理伺服器皆受所有執行者集合之改變影響。
在另一實施例中,僅選定執行者集合被發送至選定伺服器。舉例而言,向一特定受管理伺服器發送僅a)先前發送至彼伺服器及b)已改變之彼等執行者集合。經快取相關執行者集合指示哪些執行者集合先前發送至彼伺服器(參見上文(a))。原則引擎模組340比較經快取執行者集合與經更新執行者集合以判定哪些執行者集合已改變(參見上文(b))。原則引擎模組340接著計算(a)與(b)之交集。彼交集中之執行者集合被發送至特定受管理伺服器。在一項實施例中,為獲得較大效率,以「差異」格式發送執行者集合,該差異格式描述經快取執行者集合與經更新執行者集合之間的差異。舉例而言,差異格式規定一執行者集合識別符、一執行者識別符(例如,一受管理伺服器UID或一 UDG UID)及是否應將彼執行者新增至執行者集合、自執行者集合移除彼執行者或在執行者集合內修改彼執行者之一指示。
在另一實施例中,維護並使用兩種表來改良效率。一第一表將一受管理伺服器130與彼受管理伺服器係其一成員之執行者集合相關聯。一第二表將一受管理伺服器130與和彼受管理伺服器相關(例如,如由相關執行者模組380判定)之執行者集合相關聯。在此等表中,一受管理伺服器130由(例如)彼受管理伺服器之UID表示,且一執行者集合由(例如)彼執行者集合之UID表示。原則引擎模組340使用管理域狀態320之經改變部分(亦即,經改變伺服器描述)來判定哪一受管理伺服器之描述被改變。原則引擎模組340使用第一表來判定彼受管理伺服器係哪些執行者集合之一成員。彼等執行者集合可能由於經改變伺服器描述而改變。因此,原則引擎模組340使用第二表來判定彼等執行者集合與哪些受管理伺服器相關。原則引擎模組340執行上文針對僅彼等受管理伺服器所闡述之交集計算。
在一項實施例中,原則引擎模組340更新一受管理伺服器之管理指令(基於管理域狀態320之一改變)且將經更新管理指令發送至受管理伺服器如下:原則引擎模組340執行相關規則模組350,從而提供全管理域管理原則330及受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(一「管理原則視角」)。原則引擎模組340比較剛剛輸出之管理原則視角與經快取管理原則視角以判定其是否不同。若剛剛輸出之管理原則視角與經快取管理原則視角相同,則原則引擎模組340不採取進一步動作。在此情況下,先前產生之受管理伺服器之管理指令(具體而言,功能層級指令及相關執行者集合)與管理域狀態320之改變一致且不必重新產生並重新發送至受管理伺服器。
若剛剛輸出之管理原則視角與經快取管理原則視角不同,則原 則引擎模組340判定應將哪些規則新增至經快取視角及應將哪些規則自經快取視角移除。原則引擎模組340執行功能層級指令產生模組360,從而提供待新增之規則及待移除之規則作為輸入。功能層級指令產生模組360輸出待新增之功能層級指令及待移除之功能層級指令(相對於經快取功能層級指令,其先前發送至受管理伺服器)。原則引擎模組340指示受管理伺服器視情況新增或移除各種功能層級指令。在一項實施例中,為獲得較大效率,以「差異」格式發送功能級指令,該差異格式描述經快取功能級指令與經更新功能級指令之間的差異。舉例而言,差異格式規定一功能層級指令識別符及應將彼功能層級指令新增至先前發送之功能層級指令還是自先前發送之功能層級指令移除彼功能層級指令之一指示。
原則引擎模組340亦執行執行者列舉模組370,從而提供經快取執行者集合及管理域狀態320之經改變部分(亦即,經改變伺服器描述)作為輸入。執行者列舉模組370輸出經更新執行者集合。原則引擎模組340執行相關執行者模組380,從而提供經更新執行者集合及剛剛輸出之管理原則視角作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等經更新執行者集合(「經更新相關執行者集合」)。
原則引擎模組340比較經更新相關執行者集合與經快取相關執行者集合以判定其是否不同。若經更新相關執行者集合與經快取相關執行者集合相同,則原則引擎模組340不將執行者集合發送至受管理伺服器。在此情況下,先前產生之相關執行者集合與管理域狀態320之改變一致且不必重新發送至受管理伺服器。若經更新相關執行者集合與經快取相關執行者集合不同,則原則引擎模組340判定應相對於經快取相關執行者集合新增、移除或修改哪些執行者集合。原則引擎模組340指示受管理伺服器視情況新增、移除或修改各種執行者集合。在一項實施例中,為獲得較大效率,以「差異」格式發送執行者集 合,該差異格式描述經快取相關執行者集合與經更新相關執行者集合之間的差異。舉例而言,差異格式規定一執行者集合識別符及是否應相對於先前發送之執行者集合新增、移除或修改彼執行者集合之一指示。
回想,原則引擎模組340可更新一受管理伺服器之管理指令(基於全管理域管理原則330之一改變)且將經更新管理指令發送至受管理伺服器。管理原則330之一改變係(舉例而言)一規則或一規則集合之新增、移除或修改。在一項實施例中,管理原則330之一改變藉由經由一GUI或API與全域管理器120之互動產生。在另一實施例中,管理原則330之一改變藉由全域管理器120內之一自動化處理程序(例如,回應於由該全域管理器偵測之一安全威脅)產生。原則引擎模組340更新受管理伺服器之管理指令且以一類似方式將經更新管理指令發送至受管理伺服器,而無論是否存在管理原則330之一改變或管理域狀態320之一改變。然而,存在數個差異。
在管理原則330之一改變之情形中,原則引擎模組340不必更新用於所有受管理伺服器130之管理指令。替代地,原則引擎模組340比較先前管理原則330與新管理原則330以判定應相對於先前管理原則330新增、移除或修改哪些規則。原則引擎模組340判定哪些受管理伺服器130受經改變規則影響(例如,哪些受管理伺服器由a)規則及/或範疇之PB部分及/或UB部分及b)規則之條件部分(若存在)涵蓋)。原則引擎模組340執行相關規則模組350,從而提供經改變規則(而非完全新管理原則330)及受管理伺服器130(針對僅受經改變規則影響之彼等伺服器)之UID作為輸入。
管理域狀態更新(ADSU)模組385接收管理域狀態320之改變且處理彼等改變。管理域狀態320之一改變係(舉例而言)一受管理伺服器130之一描述之新增、移除或修改(包含一受管理伺服器之標籤集合或 經組態特性之修改)或者一未受管理裝置或未受管理裝置群組之一描述之新增、移除或修改。在一項實施例中,管理域狀態320之一改變在自一特定受管理伺服器130接收之本端狀態資訊中起源。在另一實施例中,管理域狀態320之一改變藉由經由一GUI或API與全域管理器120之互動而產生。在另一實施例中,管理域狀態320之一改變藉由全域管理器120內之一自動化處理程序(例如,回應於由該全域管理器偵測之一安全威脅)產生。
舉例而言,ADSU模組385接收關於一特定未受管理裝置140之一改變。ADSU模組385將新資訊儲存於管理域狀態320中(例如,作為彼特定未受管理裝置係其一成員之一未受管理裝置群組之一部分)。ADSU模組385然後基於該未受管理裝置群組改變而更新該管理域之執行者集合。具體而言,ADSU模組385指示原則引擎模組340更新管理域之執行者集合。在一項實施例中,ADSU模組385在指示原則引擎模組340更新管理域之執行者集合之前等待一事件發生。此事件可係(舉例而言)接收到一使用者命令或發生一所規定維護窗口。
作為另一實例,ADSU模組385接收關於一特定受管理伺服器130之一改變。ADSU模組385將新資訊作為彼特定受管理伺服器130之描述之部分儲存於管理域狀態320中。ADSU模組385接著(視情況)分析彼受管理伺服器之描述以判定關於該伺服器之額外資訊且將彼資訊儲存於該描述中。ADSU模組385接著基於受管理伺服器之描述之一改變判定是否更新管理域之執行者集合及/或受管理伺服器之管理指令。若ADSU模組385判定更新管理域之執行者集合,則ADSU模組385指示原則引擎模組340更新管理域之執行者集合。在一項實施例中,ADSU模組385在指示原則引擎模組340更新管理域之執行者集合之前等待一事件發生。若ADSU模組385判定更新受管理伺服器之管理指令,則ADSU模組385指示原則引擎模組340更新受管理伺服器之 管理指令。在一項實施例中,ADSU模組385在指示原則引擎模組340更新受管理伺服器之管理指令之前等待一事件發生。前述事件可係(舉例而言)接收到一使用者命令或發生一所規定維護窗口。
ADSU模組385判定是否更新管理域之執行者集合及/或受管理伺服器之管理指令取決於受管理伺服器之描述之改變之類型。在一項實施例中,ADSU模組385作出此判定,如表2中所判定:
在一項實施例中,ADSU模組385藉由執行標籤/經組態特性引擎且提供伺服器之描述作為輸入而判定關於伺服器之額外資訊。標籤/CC引擎基於伺服器之描述及標籤/CC指派規則而計算伺服器之標籤/CC值。在另一實施例中,ADSU模組385判定伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT (1:1或1:N)後面)。
下文在標題為「存取控制規則」之章節中闡述存取控制規則建立模組390。
原則實施模組
圖4係圖解說明根據一項實施例之一受管理伺服器130之一原則實施模組136之一詳細視圖之一高階方塊圖。原則實施模組136包含一本端狀態儲存庫400、一原則編譯模組410、一本端狀態更新模組420及一警示產生模組430。本端狀態儲存庫400儲存關於受管理伺服器130之本端狀態之資訊。在一項實施例中,本端狀態儲存庫400儲存關於受管理伺服器之作業系統(OS)、網路公開及服務之資訊。OS資訊包含(舉例而言)哪一OS正在運行之一指示。上文參考管理域狀態320內之一受管理伺服器130之一描述而闡述了網路公開資訊及服務資訊。
原則編譯模組410採取一受管理伺服器130之管理指令及狀態作為輸入且產生一管理模組組態134。舉例而言,管理指令係自全域管理器120接收且包含功能層級指令(由功能層級指令產生模組360產生)及相關執行者集合(由相關執行者模組380輸出)。受管理伺服器130之狀態係自本端狀態儲存庫400擷取。在一項實施例中,原則編譯模組410之執行由以下操作觸發:a)受管理伺服器開啟電源或正在上線;b)受管理伺服器接收管理指令;及/或c)本端狀態儲存庫400之內容改變。
原則編譯模組410將功能層級指令及相關執行者集合映射至一管理模組組態134中。舉例而言,原則編譯模組410將一存取控制功能層級指令(其含有一埠及一執行者集合指代)映射至Linux作業系統中之一iptables條目及一ipset條目或Windows作業系統中之一Windows篩選平台(WFP)規則中。
在一受管理伺服器130處應用管理原則可受彼伺服器之本端狀態影響。在一項實施例中,原則編譯模組410評估與一所接收功能層級指令相關聯之一條件且基於彼評估之結果而產生管理模組組態134。舉例而言,原則編譯模組410評估指代受管理伺服器之對等體(亦即,關係中之其他執行者)之作業系統之一條件且基於彼評估之結果而選擇功能設定檔屬性,其中在管理模組組態134中表達選定功能設定檔屬性。
作為另一實例,回想,一受管理伺服器130可接收被證明為針對彼伺服器不相關之一功能層級指令。舉例而言,規則包含規定受管理伺服器之本端狀態之一部分(例如,描述所提供服務之一服務部分)。由於全域管理器120不知曉受管理伺服器之本端狀態(例如,受管理伺服器是否實際上提供彼服務),因此所產生功能層級指令被發送至受管理伺服器。原則編譯模組410檢查受管理伺服器之本端狀態(例如,判定受管理伺服器是否提供彼服務)。此判定相當於評估指代受管理伺服器之本端狀態之一條件。原則編譯模組410相應地處理功能層級指令。若原則編譯模組410判定條件評估為「真」(例如,受管理伺服器正提供彼服務),則原則編譯模組410將彼功能層級指令併入至管理模組組態134中。具體而言,原則編譯模組410僅在評估相關聯條件(其關注彼伺服器之本端狀態)之後將功能層級指令併入至管理模組組態134中。若條件之評估係假的,則原則編譯模組410不在管理模組組態134中表達功能層級指令。特定條件(例如,其本性及特定值)係可延伸的。在一項實施例中,條件與一「服務」之定義相關且包含處理程序資訊及/或封裝資訊(上文關於管理域狀態320內之一受管理伺服器130之一描述所闡述)。
舉例而言,考量允許存取僅在埠80上傳入(亦即,其中受管理伺服器130係「提供者」或端點)之Apache服務之一功能層級指令。受管 理伺服器130僅在評估相關聯條件之後在管理模組組態134中表達此功能層級指令以允許在埠80上存取,該相關聯條件關注正在埠80上接聽之應用程式(在彼伺服器上執行)是否實際上係Apache而非某一其他應用程式(惡意應用程式或其他)。受管理伺服器130僅在判定相關聯條件評估為「真」之後在管理模組組態134中表達此功能層級指令。若相關聯條件評估為「假」,則受管理伺服器130不在管理模組組態134中表達此功能層級指令。因此,網路訊務被阻絶。
在一項實施例中,一受管理伺服器130監視其傳出連接。受管理伺服器130比較傳出網路訊務與其內部處理程序表以判定彼表中之哪些處理程序正建立彼等傳出連接。受管理伺服器130可強制執行允許僅特定處理程序(鑒於上文提及為「處理程序資訊」之一需要集合)建立一傳出連接之一規則。
在一項實施例(未展示)中,原則編譯模組410位於全域管理器120處而非受管理伺服器130處。在彼實施例中,全域管理器120不將管理指令發送至受管理伺服器130。替代地,受管理伺服器130將其本端狀態發送至全域管理器120。在原則編譯模組410產生管理模組組態134(在全域管理器120處)之後,將管理模組組態134自全域管理器120發送至受管理伺服器130。
本端狀態更新(LSU)模組420監視受管理伺服器130之本端狀態且將本端狀態資訊發送至全域管理器120。在一項實施例中,LSU模組420判定受管理伺服器130之一初始本端狀態,將適當本端狀態資訊儲存於本端狀態儲存庫400中且將彼本端狀態資訊發送至全域管理器120。LSU模組420藉由檢視伺服器之作業系統(OS)及/或檔案系統之各個部分而判定受管理伺服器130之本端狀態。舉例而言,LSU模組420自OS之核心表(網路連線資訊)、OS之系統表(封裝資訊)及檔案系統(檔案及雜湊值)獲得服務資訊。LSU模組420自OS之核心及/或OS層級 資料結構獲得網路公開資訊。
在LSU模組420將初始本端狀態資訊發送至全域管理器120之後,LSU模組監視本端狀態之改變。LSU模組藉由(舉例而言)輪詢(例如,週期性地執行檢視)或接聽(例如,訂閱一事件串流)而監視改變。LSU模組420比較最新獲得之本端狀態資訊與已儲存於本端狀態儲存庫400中之資訊。若資訊匹配,則LSU模組420不採取進一步動作(直至再次獲得本端狀態資訊為止)。若其不同,則LSU模組420將最新獲得之資訊儲存於本端狀態儲存庫400中,執行原則編譯模組410以重新產生管理模組組態134(且相應地重新組態管理模組132)且通知全域管理器120該改變。在一項實施例中,LSU模組420將本端狀態資訊之改變以「差異」形式發送至全域管理器120,該差異形式描述先前儲存於本端狀態儲存庫400中(且因此先前發送至全域管理器120)之本端狀態資訊與最新所獲得之本端狀態資訊之間的差異。舉例而言,差異格式規定本端狀態資訊之一類型(例如,作業系統)及彼資訊類型之一新值。在另一實施例中,LSU模組420將本端狀態儲存庫400之完整內容發送至全域管理器120。
下文在標題為「存取控制規則」之章節中闡述警示產生模組430。
產生管理指令
圖5係圖解說明根據一項實施例之產生用於一特定受管理伺服器130之管理指令之一方法500之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。在一項實施例中,多次執行方法500(例如,針對一管理域150中之每一受管理伺服器130一次)。
當方法500開始時,管理域之電腦網路基礎設施之狀態320及一 全管理域管理原則330已儲存於全域管理器120之儲存庫300中。此時,方法500開始。
在步驟510中,存取管理域狀態320及全管理域管理原則330。舉例而言,原則引擎模組340將一請求發送至儲存庫300且作為回應接收管理域狀態320及全管理域管理原則330。
在步驟520中,判定一或多個相關規則。舉例而言,原則引擎模組340執行相關規則模組350,從而提供全管理域管理原則330及特定受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(管理原則視角)。
在步驟530中,列舉執行者。舉例而言,原則引擎模組340執行執行者列舉模組370,從而提供管理域狀態320作為輸入。執行者列舉模組370以一列舉形式產生管理域狀態320內之受管理伺服器130及未受管理裝置群組(UDG)之一表示(執行者集合)。
在步驟540中,產生一或多個功能層級指令。舉例而言,原則引擎模組340執行功能層級指令產生模組360,從而提供管理原則視角(在步驟520中產生)作為輸入。功能層級指令產生模組360產生功能層級指令。
在步驟550中,判定一或多個相關執行者。舉例而言,原則引擎模組340執行相關執行者模組380,從而提供執行者集合(在步驟530中產生)及管理原則視角(在步驟520中產生)作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等執行者集合(相關執行者集合)。
在步驟560中,將管理指令發送至特定受管理伺服器130。舉例而言,原則引擎模組340將功能層級指令(在步驟540中產生)及相關執行者集合(在步驟550中產生)發送至特定受管理伺服器130。
注意,步驟520及540關注產生用於一特定受管理伺服器130之管理原則視角(及所得功能層級指令),而步驟530及550關注產生用於彼 受管理伺服器之執行者視角。管理原則視角之產生及執行者視角之產生最小程度地取決於彼此,此乃因步驟520產生由步驟550使用之一規則集合。即便如此,使管理原則計算(亦即,步驟520及540)與執行者集合計算(亦即,步驟530及550)保持分離仍增強原則引擎模組340之可擴縮性。由於使管理原則計算與執行者集合計算保持大部分分離,因此其可並行執行(例如,甚至針對同一受管理伺服器130)。另外,用於不同受管理伺服器130之視角計算亦可並行執行。此外,若一執行者改變,則僅需要重新計算執行者集合。(不需要重新計算功能層級指令)。若一規則改變,則僅需要重新計算功能層級指令及相關執行者集合。(不需要重新列舉執行者)。
組態管理模組
圖6係圖解說明根據一項實施例之產生用於一受管理伺服器130之一管理模組132之一組態134之一方法600的一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法600開始時,關於受管理伺服器130之本端狀態之資訊已儲存於受管理伺服器130中之原則實施模組136之本端狀態儲存庫400中。此時,方法600開始。
在步驟610中,自全域管理器120接收管理指令。舉例而言,原則編譯模組410自全域管理器120接收功能層級指令及相關執行者集合。
在步驟620中,存取本端狀態。舉例而言,原則編譯模組410存取儲存於本端狀態儲存庫400中之關於受管理伺服器130之本端狀態之資訊。
在步驟630中,產生一管理模組組態134。舉例而言,原則編譯模組410採取管理指令(在步驟610中接收)及本端狀態(在步驟620中存 取)作為輸入且產生一管理模組組態134。
在步驟640中,組態一管理模組132。舉例而言,原則編譯模組410將管理模組132組態為根據管理模組組態134(在步驟630中產生)操作。
監視一受管理伺服器
圖7係圖解說明根據一項實施例之監視一受管理伺服器130之本端狀態且將本端狀態資訊發送至一全域管理器120之一方法700之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法700開始時,關於受管理伺服器130之本端狀態之資訊已儲存於受管理伺服器130之本端狀態儲存庫400中。此時,方法700開始。
在步驟710中,判定關於受管理伺服器130之當前本端狀態之資訊。舉例而言,LSU模組420藉由檢視受管理伺服器130之作業系統(OS)及/或檔案系統之各個部分而判定該伺服器之本端狀態。
在步驟720中,執行關於有關當前本端狀態之資訊是否不同於儲存於本端狀態儲存庫400中之資訊之一判定。舉例而言,LSU模組420執行此判定。若資訊並非不同,則方法進行至步驟730且結束。若資訊確實不同,則方法進行至步驟740。
在步驟740中,將不同資訊儲存於本端狀態儲存庫400中。舉例而言,LSU模組420執行此步驟。
在步驟750中,重新產生管理模組組態134(此乃因本端狀態儲存庫400之內容已改變)且相應地重新組態管理模組132。舉例而言,LSU模組420執行原則編譯模組410,此重新產生管理模組組態134。
在步驟760中,將不同資訊發送至全域管理器120。舉例而言, LSU模組420執行此步驟。
更新管理域狀態
圖8係圖解說明根據一項實施例之處理一管理域之電腦網路基礎設施之狀態320之一改變之一方法800的一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
在步驟810中,接收關於一特定受管理伺服器130之一改變。舉例而言,管理域狀態更新(ADSU)模組385自受管理伺服器130接收一線上/離線指示符、一作業系統指示符、網路公開資訊及/或服務資訊作為本端狀態資訊之部分。
在步驟820中,儲存所接收資訊。舉例而言,ADSU模組385將所接收線上/離線指示符、網路公開資訊及/或服務資訊儲存於管理域狀態320中(具體而言,在資訊所屬之受管理伺服器130之描述中)。
在步驟830中,分析伺服器描述以判定關於伺服器之額外資訊。舉例而言,ADSU模組385使用一標籤/經組態特性引擎來計算伺服器之標籤/CC值及/或判定伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)且將彼資訊儲存於伺服器描述中。步驟830係選用的。
在步驟840中,作出關於是否更新管理域之執行者集合之一判定。舉例而言,ADSU模組385基於受管理伺服器之描述之一改變而判定是否更新管理域之執行者集合。若作出更新管理域之執行者集合之一判定,則方法進行至步驟850。若作出不更新管理域之執行者集合之一判定,則方法進行至步驟860。
在步驟850中,更新管理域之執行者集合。舉例而言,ADSU模組385指示原則引擎模組340更新管理域之執行者集合且相應地通知受影響之受管理伺服器130。在一項實施例(未展示)中,ADSU模組385 在指示原則引擎模組340更新管理域之執行者集合之前等待一事件發生。
在步驟860中,作出關於是否更新受管理伺服器之管理指令之一判定。舉例而言,ADSU模組385基於受管理伺服器之描述之一改變而判定是否更新受管理伺服器之管理指令。若作出更新受管理伺服器之管理指令之一判定,則方法進行至步驟870。若作出不更新管理伺服器之管理指令之一判定,則方法進行至步驟880。
在步驟870中,更新受管理伺服器之管理指令。舉例而言,ADSU模組385指示原則引擎模組340更新受管理伺服器之管理指令。在一項實施例(未展示)中,ADSU模組385在指示原則引擎模組340更新受管理伺服器之管理指令之前等待一事件發生。
在步驟880中,方法結束。
存取控制規則
回想,全域管理器120之全管理域管理原則330包含一存取控制規則集合335。存取控制規則集合335含有一或多個存取控制規則,該等存取控制規則係具有一存取控制規則功能之規則。大體上,一存取控制規則授權一第一受管理伺服器130與一第二受管理伺服器130或一未受管理裝置140或在管理域150外部之一裝置之間的通信。在一項實施例中,一存取控制規則規定一取用者是否可使用一提供者之服務。此一存取控制規則規定一被提供(PB)部分、一被使用(UB)部分及一服務。在一項實施例中,存取控制規則用於一純「白名單」模型中,其中一取用者可僅在存取控制規則集合335包含具有匹配PB部分、UB部分及服務部分之一存取控制規則之情況下在一提供者上存取一服務。
一存取控制規則可藉由使用一萬用字元代替一或多個部分來僅部分地規定PB部分、UB部分及服務部分。舉例而言,若一存取控制規則具有規定一萬用字元之一UB部分,則任何受管理伺服器130、未 受管理裝置140,或在管理域150外部之其他裝置可存取服務。PB部分及UB部分可規定一或多個特定執行者(例如,使用受管理伺服器UID或UDG UID)、一或多個標籤集合,或其一組合。一實例性存取控制規則具有指示一特定受管理伺服器130之一PB部分及指示標籤集合<Role,Database Server>及<Environment,Production>之一UB部分。實例性存取控制規則允許具有一「資料庫伺服器」角色且歸屬於「生產」環境之受管理伺服器130存取特定受管理伺服器130處之服務。
回想,一受管理伺服器130之原則實施模組136包含一警示產生模組430。警示產生模組430監視受管理伺服器130與其他執行者(受管理伺服器130、未受管理裝置140,或在管理域150外部之裝置)之間的通信(亦稱作「網路訊務」)與含於管理模組組態134中之存取控制規則之遵從性。警示產生模組430回應於偵測到不遵從存取控制規則之一通信(稱作為一「未經授權通信」)而產生一警示且將該警示發送至全域管理器120,其中警示由存取控制規則建立模組390(具體而言,由警示處理模組950)處理。一未經授權通信包含一取用者使用由受管理伺服器130提供之一服務之一嘗試以及受管理伺服器130使用由另一執行者提供之一服務之一嘗試。舉例而言,將網路訊務發送至與一服務相關聯之一埠或自與一服務相關聯之一埠接收網路訊務之一嘗試可係一未經授權通信。在其中存取控制規則用作準許活動之一白名單之一實施例中,管理模組132允許匹配一存取控制規則之嘗試通信且拒絕不匹配一存取控制規則之嘗試通信。
當管理模組132拒絕或阻絶去往或來自受管理伺服器130之通信時,警示產生模組430產生一警示。警示描述對應於該通信之服務,服務之提供者及服務之取用者。警示可含有關於服務之相關服務資訊以及關於提供者及取用者之網路公開資訊。警示可含有描述通信之特性之通信資訊。通信資訊可包含嘗試通信之時間、持續時間、頻率、 協定類型、資料大小(例如,總大小、封包大小)或資料速率。舉例而言,通信資訊在存取一服務之一單一嘗試與存取服務之重複嘗試之間有差異。通信資訊亦可描述諸如源位址、目的地位址及路徑資訊(例如,路由未經授權通信之負載平衡器及NAT裝置)的通信之路由資訊。
存取控制規則建立模組
回想,全域管理器120之處理伺服器310包含一存取控制規則建立模組390。圖9係圖解說明根據一項實施例之全域管理器120之存取控制規則(ACR)建立模組390之一詳細視圖之一高階方塊圖。ACR建立模組390包含一脈絡資訊收集模組910、一受管理伺服器分組模組920、一標籤引擎930、一流程處理模組940、一警示處理模組950及一存取控制規則(ACR)建立介面960。
脈絡資訊收集模組910獲得描述管理域150中之執行者(受管理伺服器130或未受管理裝置140)及描述由管理域150中之執行者發送或接收之通信之脈絡資訊。脈絡資訊包含受管理伺服器資訊、未受管理裝置資訊、外部裝置資訊、通信資訊及管理域資訊。
受管理伺服器資訊描述一受管理伺服器130之特性。受管理伺服器資訊包含諸如處理程序資訊及封裝資訊之服務資訊,如上文關於管理域狀態320所闡述。受管理伺服器資訊可描述識別符(例如,UID、網際網路協定(IP)位址、媒體存取控制(MAC)位址、主機名稱)、硬體資源(例如,處理器類型、處理器通量、處理器負載、總記憶體、可用記憶體、網路介面裝置、儲存裝置類型)或受管理伺服器類型(例如,實體裝置、雲端提供虛擬裝置、虛擬機器、虛擬機器、Linux容器)。受管理伺服器資訊可描述軟體資源,諸如由處理程序資訊及封裝資訊所描述之作業系統及其他軟體。
一虛擬化或基於雲端之受管理伺服器130亦與環境資訊相關聯, 環境資訊描述受管理伺服器130之提供者(例如,一專屬資料中心、一第三方私用資料中心、一雲端提供者)以及用以與該提供者通信之通信協定(例如,囊封資訊、網路位址、網路位址轉譯)。關於一受管理伺服器130之受管理伺服器資訊儲存於受管理伺服器之本端狀態儲存庫400中且發送至全域管理器120以供用於由脈絡資訊收集模組910進行處理。為自一虛擬化或基於雲端受管理伺服器130擷取受管理伺服器資訊,脈絡資訊收集模組910可查詢雲端服務提供者或提供虛擬伺服器以發送受管理伺服器資訊或其他脈絡資訊之軟體。
未受管理裝置資訊描述未受管理裝置140之特性,諸如網路公開資訊,如上文關於管理域狀態320所闡述。未受管理裝置資訊可包含一未受管理裝置140之識別符(例如,UDG UID、IP位址、MAC位址、裝置名稱)、硬體資源、軟體資訊或網路連接性(例如,可用埠、埠與服務之間的映射)。一受管理伺服器130可收集關於與受管理伺服器130通信之未受管理裝置140之未受管理裝置資訊且將未受管理裝置資訊發送至全域管理器120以供用於由脈絡資訊收集模組910進行處理。另一選擇係或另外,全域管理器120查詢管理域150中之未受管理裝置140以收集未受管理裝置資訊。由於未受管理裝置140不包含報告未受管理裝置之本端狀態之一原則實施模組136,未受管理裝置資訊可係不完整或不如受管理伺服器資訊詳細。
外部裝置資訊描述與受管理伺服器130通信之在管理域150外部之裝置之特性。外部裝置資訊可包含一外部裝置之識別符(例如,IP位址、統一資源定位器(URL)、其他網址)、硬體資源、軟體資源或網路連接性。受管理伺服器130可收集外部裝置資訊且將資訊資訊發送至全域管理器120以供用於由脈絡資訊收集模組910進行處理,但大部分外部裝置資訊可對受管理伺服器130不可見。另外,外部裝置資訊描述外部裝置之信譽資訊,其指示外部裝置之可信度。在一項實施例 中,脈絡資訊收集模組910獲得匹配外部裝置之識別符之信譽資訊。使用該信譽資訊,脈絡資訊收集模組910將外部裝置分類為安全、惡意或中性。信譽資訊可係一個二進制指示符(例如,外部裝置之識別符是否在一黑名單上)或一得分(例如,與一識別符相關聯之危險之一相對評估)。
上文關於警示產生模組430描述通信資訊。一受管理伺服器130將描述由管理伺服器130發送或接收之通信之通信資訊發送至全域管理器120。在一項實施例中,一受管理伺服器130獨立於評估通信經授權或是未經授權而發送關於通信之通信資訊。當脈絡資訊收集模組910接收描述相同通信之重複通信資訊時,脈絡資訊收集模組910可合併或刪除重複通信資訊。舉例而言,脈絡資訊收集模組910刪除自兩個受管理伺服器130(一個提供一服務且一個取用服務)接收之通信資訊。
脈絡資訊收集模組910基於自受管理伺服器130接收之脈絡資訊而產生管理域資訊。管理域資訊經由管理域150或經由管理域150中之一執行者子集彙總脈絡資訊。管理域中之執行者子集可係藉由一標籤集合描述之受管理伺服器130。在一項實施例中,管理域資訊描述具有至少一個共同特性之通信。共同特性可係一特定埠、處理程序、協定或執行者(例如,一受管理伺服器130、一未受管理裝置140、一外部裝置)。舉例而言,脈絡資訊收集模組910產生指示具有與一特定服務相關聯之損毀二進制檔之受管理伺服器130之數目之管理域資訊。作為另一實例,脈絡資訊收集模組910產生指示由一特定執行者掃描之受管理伺服器130之一數目之管理域資訊。「掃描」係指將一請求(例如,探查)發送至一受管理伺服器130且使用該受管理伺服器之回應(或缺少其)來獲得或自動判定受管理伺服器130之組態及在受管理伺服器130上執行之程序。
在一項實施例中,脈絡資訊收集模組910產生指示管理域150內之異常活動之管理域資訊。脈絡資訊收集模組910識別與一特定執行者、一受管理伺服器130群組(例如,由一共同標籤集合表徵)、一共同服務或某些其他特性相關聯之脈絡資訊。脈絡資訊收集模組910使用一量(例如,通信量、損毀檔案之數目)來總結脈絡資訊且比較該量與一臨限量。臨限量可基於一預組態設定或可基於關於量之先前歷史定額而動態地判定。舉例而言,臨限量係高於該量之周移動平均值兩個標準差。回應於與臨限量之比較,脈絡資訊收集模組910判定所總結脈絡資訊是否異常。舉例而言,若一受管理伺服器130已存取之不與任何服務相關聯之埠之數目超過一臨限數目,則脈絡資訊收集模組910判定受管理伺服器130正嘗試存取異常數目個此類埠。
受管理伺服器分組模組920獲得描述管理域150中之執行者之間的通信之通信資訊。基於該通信資訊,受管理伺服器分組模組920將受管理伺服器130分組成若干應用程式群組。一應用程式群組係在該群組內具有顯著通信量(和與在該群組外部之執行者之通信量相比)之一受管理伺服器130子集。在一項實施例中,受管理伺服器分組模組920建構一圖表,其中節點表示管理域150之受管理伺服器130且其中邊緣表示受管理伺服器130之間的通信。邊緣具有指示節點之間的通信之存在/不存在之二進制值或具有量化通信量之非二進制值(例如,頻率、資料大小、持續時間)。舉例而言,連接兩個節點之一邊緣之值係對應於兩個節點之受管理伺服器130之間交換的日資料量。圖表可因忽視通信方向之邊緣而係非定向式,或圖表可因根據通信方向之經定向邊緣而係定向式。舉例而言,遠離一節點指向之一方向邊緣指示對應受管理伺服器130係一服務之一取用者,且朝向一節點指向之一方向邊緣指示一受管理伺服器130係一服務之提供者。受管理伺服器分組模組920將圖表分割成子圖表,每一圖表對應於一應用程式群 組。舉例而言,受管理伺服器分組模組920應用一深度優先搜尋、一k平均值叢集或一最小切割演算法來分割該圖表。換言之,受管理伺服器分組模組920基於由脈絡資訊收集模組910收集之通信資訊將受管理伺服器130分組成應用程式群組。
標籤引擎930獲得受管理伺服器資訊且至少部分地基於該受管理伺服器資訊而判定用於受管理伺服器130之標籤。標籤引擎930類似於標籤/CC引擎但不判定經組態特性。在一項實施例中,標籤引擎930判定一群組層級標籤集合(亦即,一或多個群組層級標籤)與一應用程式群組中之受管理伺服器130相關聯。在一項實施例中,群組層級標籤集合包含具有對應於受管理伺服器130之環境、應用及位置之維度之標籤。關於表1及全管理域管理原則330進一步闡述標籤。
標籤引擎930可基於與受管理伺服器130相關聯之網址(例如,一IP位址及/或一URL)之位置而判定一受管理伺服器之位置維度之值。標籤引擎930可基於使用脈絡資訊(及/或自脈絡資訊導出之資訊)之條件啟發而判定一受管理伺服器之標籤的值。一條件啟發可由一管理員建立或可係預組態。舉例而言,一條件啟發規定:若一受管理伺服器130係由一特定雲端服務提供者提供或定位於一特定資料中心中,則標籤引擎930判定關於受管理伺服器之環境維度之一特定值。作為另一實例,一條件啟發規定:若一受管理伺服器130含有一特定檔案或處理程序(或一特定檔案或處理程序組),則標籤引擎930判定用於受管理伺服器之應用程式維度之一特定值。標籤引擎930可請求一管理員指示一群組層級標籤集合或驗證一自動產生群組層級標籤集合。標籤引擎930回應於由管理員進行之一指示或校正而修改群組層級標籤集合。
除了可用於一應用程式群組之群組層級標籤集合外,標籤引擎930判定用於一應用程式群組內之個別受管理伺服器130之角色標籤 (亦即,具有一角色維度之標籤)。在一項實施例中,標籤引擎930基於硬體資源、服務資訊或其他受管理伺服器資訊而判定用於一受管理伺服器130之一角色標籤。舉例而言,標籤引擎930判定,若總可用記憶體超過一臨限值,則一受管理伺服器130係一資料庫。作為另一實例,標籤引擎930基於網路介面之數目而判定一受管理伺服器130係一負載平衡器。在一項實施例中,標籤引擎930自受管理伺服器資訊獲得關於在一受管理伺服器130上執行之處理程序之資訊且基於該等處理程序而判定角色維度之值。表3圖解說明處理程序與角色維度值之間的一實例性映射。
流程處理模組940獲得管理域150中之執行者之間的通信資訊且產生對應於通信資訊之存取控制規則。在一項實施例中,流程處理模組940識別未由一存取控制規則授權之通信且產生授權通信之一存取控制規則。為產生存取控制規則,流程處理模組940識別產生通信之服務,服務之提供者及服務之取用者。流程處理模組940產生具有指示所識別服務之一服務部分、指示所識別提供者之一PB部分及指示所識別取用者之一UB部分之一服務部分。在一項實施例中,流程處理模組940假定管理域150中不存在異常或惡意通信,且因此產生授權管理域150中存在之任何通信之存取控制規則。
在一項實施例中,流程處理模組940基於受管理伺服器130之群組層級標籤集合及角色標籤而產生存取控制規則。流程處理模組940判定一目標存取控制規則。舉例而言,目標存取控制規則係由一管理員透過一GUI(例如,藉由指示對應於由受管理伺服器分組模組920產生之圖表之一所顯示圖表之一特定邊緣)規定。所產生存取控制規則規定一服務,作為服務之一提供者之一第一受管理伺服器130,及作為服務之一取用者之一第二受管理伺服器130。流程處理模組940識別由標籤引擎930產生之第一及第二受管理伺服器130之角色標籤及群組層級標籤集合。流程處理模組940然後使用規定服務(對應於所顯示圖表之特定邊緣)產生應用於受管理伺服器130之其他取用者-提供者對之額外存取控制規則。係服務之提供者之所識別受管理伺服器130具有匹配第一受管理伺服器130之彼等群組層級標籤集合及角色標籤之群組層級標籤集合及角色標籤。係服務之取用者之所識別受管理伺服器130具有匹配第二受管理伺服器130之彼等群組層級標籤集合及角色標籤之群組層級標籤集合及角色標籤。另一選擇係或另外,為產生涵蓋受管理伺服器130之所識別取用者-提供者對之額外存取控制規則,流程處理模組940放寬目標存取控制規則以包含受管理伺服器130之經取用者-提供者對。舉例而言,在包含角色標籤及群組層級標籤集合之標籤集合方面而非在特定受管理伺服器130之識別符方面規定經放寬存取控制規則之PB部分及UB部分。
在一項實施例中,流程處理模組940產生控制一第一受管理伺服器130與另一執行者(例如,一未受管理裝置140、在管理域150外部之一外部裝置)之間的通信之一存取控制規則。流程處理模組940識別規定一服務、一第一受管理伺服器130及其他執行者之一現有存取控制規則。流程處理模組940識別具有類似於第一受管理伺服器130相似之標籤(包含角色標籤及群組層級標籤集合)之一第二受管理伺服器 130。第一及第二受管理伺服器130係特定服務之兩個取用者或特定服務之兩個提供者。流程處理模組940產生授權第二受管理伺服器130與其他執行者之間的服務相關通信之另一存取控制規則。另一選擇係或另外,為產生一額外存取控制規則,流程處理模組940藉由在第一受管理伺服器之標籤集合(包含角色標籤及群組層級標籤集合)方面而非在第一受管理伺服器130之一識別符方面規定存取控制規則之PB部分或UB部分來放寬現有存取控制規則。
在一項實施例中,流程處理模組940產生用以修改管理域150內之受管理伺服器130之伺服器狀態之規則。伺服器狀態判定管理模組132實施存取控制規則之程度。在一強制執行狀態中,管理模組132根據存取控制規則阻絶或終止未經授權之通信。舉例而言,在一純白名單原則中,管理模組132阻絶或終止不匹配至少一個存取控制規則之通信。伺服器狀態亦包含一建置狀態及一測試狀態,其中管理模組132准許通信,即使通信未由一存取控制規則授權。為起始一建置狀態或測試狀態,流程處理模組940產生具有規定萬用字元之PB、UB及服務部分之一非限制性存取控制規則。換言之,非限制性存取控制規則授權所有通信,此乃因不存在對存取控制規則對各種服務或執行者之適用性之限制。為自建置狀態或測試狀態過渡至強制執行狀態,流程處理模組940移除非限制性存取控制規則。
警示處理模組950獲得來自受管理伺服器130之警示,處理該等警示,且(若適當)基於該等所獲得警示而產生存取控制規則。在一項實施例中,警示處理模組950在受管理伺服器130處於一強制執行狀態或一測試狀態中時獲得來自受管理伺服器130之警示。當一受管理伺服器130處於一建置狀態中時,警示處理模組950指示受管理伺服器130不回應於偵測到未由一存取控制規則授權之通信而產生警示。當一受管理伺服器130處於一測試狀態中時,警示產生模組430產生指示 未經授權訊務之警示,即使管理模組132未強制執行存取控制規則以阻絕未經授權訊務。
在回應於一警示產生一存取控制規則之前,警示處理模組950使用與警示相關之所獲得脈絡資訊將觸發該警示之通信分類。脈絡資訊包含描述通信之通信資訊、關於發送或接收通信之任何受管理伺服器130之受管理伺服器資訊,或管理域資訊。若警示係回應於與一外部裝置之通信而產生,則脈絡資訊包含外部裝置資訊。若警示係回應於與一未受管理裝置140之通信而產生,則脈絡資訊包含未受管理裝置資訊。警示處理模組950基於所獲得脈絡資訊將觸發警示之通信分類為合法或惡意。舉例而言,若外部裝置資訊指示外部裝置係惡意,則通信經分類為惡意。
在一項實施例中,若管理域資訊指示起始通信之行動中與異常活動相關聯則警示處理模組950將通信分類為惡意。脈絡資訊收集模組910可產生總結與諸如一共同執行者、處理程序、埠或協定之一共同特性相關聯之警示之數目之管理域資訊。若與共同特性相關聯之警示之數目超過一臨限數目,則脈絡資訊收集模組910將通信分類為惡意。舉例而言,若回應於由一受管理伺服器130起始之訊務而產生之警示之數目超過一臨限數目,則由受管理伺服器130起始之通信經分類為惡意。
警示處理模組950可判定:所獲得管理域資訊指示一漸進式感染之存在。在一漸進式感染中,惡意軟體隨著時間跨越管理域150擴散。若管理域資訊指示來自一第一受管理伺服器130之警示之數目超過一臨限值,且若與第一受管理伺服器130通信之一第二受管理伺服器130開始產生警示,則警示處理模組950判定,警示與一漸進式感染相關聯。因此,警示處理模組950將觸發警示之該通信分類為惡意。
另一選擇係或另外,為根據脈絡資訊分類警示,警示處理模組 950回應於接收到警示而通知一管理員。通知管理員可包含:報告與觸發警示之通信相關之脈絡資訊。警示處理模組950可接收來自管理員之指示對應通信是合法或是惡意之一分類。
警示處理模組950根據對應通信之分類處理一警示。若對應通信經分類為惡意,則警示處理模組950不產生授權對應通信之一存取控制規則。在某些實施例中,警示處理模組950指示受管理伺服器130停止與起始觸發警示之通信之原始執行者之通信。換言之,將原始執行者隔離。警示處理模組950回應於將對應通信分類為惡意而通知一管理員關於該警示。另一選擇係或另外,警示處理模組950通知一管理員關於該警示而不管警示之分類如何。若對應通信經分類為合法,則警示處理模組950可指示流程處理模組940產生授權通信之一存取控制規則。在某些實施例中,警示處理模組950可在將存取控制規則新增至存取控制規則集合335之前自一管理員請求對存取控制規則之核准。
存取控制規則(ACR)建立介面960為一管理員提供用於檢閱脈絡資訊、應用程式群組、指派至受管理伺服器130之標籤集合(例如,包含角色標籤及/或群組層級標籤集合)及存取控制規則之一介面。ACR建立介面960可自一管理員接收一受管理伺服器130之一經校正應用程式群組。作為回應,受管理伺服器分組模組920更新受管理伺服器之應用程式群組以匹配經校正應用程式群組。另外,標籤引擎930更新受管理伺服器130之群組層級標籤集合以匹配新選擇應用程式群組之群組層級標籤集合。ACR建立介面960可接收用於一受管理伺服器130之經校正標籤集合,且標籤引擎930根據校正更新受管理伺服器之標籤集合。回應於管理員修改一應用程式之群組層級標籤集合,標籤引擎930修改應用程式群組中之其他受管理伺服器130之群組層級標籤集合以匹配經校正群組層級標籤集合。
ACR建立介面960可自一管理員接收一目標存取控制規則(例如,藉由管理員指示一所顯示圖表之一特定邊緣)。舉例而言,管理員之目標存取控制規則指示一服務、服務之提供者及服務之取用者。流程處理模組940根據管理員之指令產生一存取控制規則且可能基於服務及提供者及取用者之標籤集合而產生額外存取控制規則(或放寬所產生存取控制規則)。
ACR建立介面960可通知管理員關於由警示處理模組950獲得之警示。ACR建立介面960可接收觸發警示之通信之一分類,且流程處理模組940可根據分類產生一存取控制規則。在一項實施例中,ACR建立介面960向一管理員呈現由流程處理模組940自動產生之一存取控制規則。ACR建立介面960可接收管理員對自動產生之存取控制規則之核准、修改或拒絕。流程處理模組940回應於接收來自一管理員之核准或修改而將(可能經修改)自動產生存取控制規則新增至存取控制規則集合335。
產生存取控制規則
圖10係圖解說明根據一項實施例之產生授權複數個受管理伺服器130之間的通信之一存取控制規則之一方法1000之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
在步驟1010中,獲得描述複數個受管理伺服器130之間的過去通信之通信資訊。舉例而言,通信資訊描述在受管理伺服器130之每一對之間傳送之日資料量。步驟1010舉例而言由脈絡資訊收集模組910執行。
在步驟1020中,藉由基於所獲得通信資訊將複數個受管理伺服器130分組而自複數個受管理伺服器130識別一受管理伺服器130子 集。舉例而言,藉由將一k平均值叢集演算法應用於具有表示受管理伺服器130之節點及具有反映在受管理伺服器130之對之間傳送之日資料量之值之邊緣的一圖表來判定子集。步驟1020藉由(舉例而言)受管理伺服器分組模組920執行。
在步驟1030中,判定一群組層級標籤集合與受管理伺服器130子集相關聯。舉例而言,標籤集合包含一應用程式標籤(例如,<Application,Human Resources>)、一位置標籤(例如,<Location,North America>)及一環境標籤(例如,<Environment,Production>)。步驟1030藉由(舉例而言)標籤引擎930執行。
在步驟1040中,判定用於受管理伺服器子集中之受管理伺服器130之角色標籤。一受管理伺服器130與一個角色標籤相關聯。舉例而言,一第一受管理伺服器130與具有一「資料庫」值之一角色標籤相關聯,且一第二受管理伺服器130與基於在各別受管理伺服器130上執行之處理程序而具有一「Web伺服器」之一角色標籤相關聯。步驟1040藉由(舉例而言)標籤引擎930執行。
在步驟1050中,基於群組層級標籤集合及角色標籤而產生授權受管理伺服器130子集中之一第一受管理伺服器130與一第二受管理伺服器130之間的通信之一存取控制規則。第二伺服器130可係受管理伺服器130子集之部分或另一受管理伺服器130子集之部分。舉例而言,存取控制規則之PB部分指示第一受管理伺服器130係一「sshd」(ssh精靈)服務之提供者,且存取控制規則之UB部分指示第二受管理伺服器130係「sshd」服務之取用者。步驟1050藉由(舉例而言)流程處理模組940執行。
在步驟1060中,儲存存取控制規則作為存取控制規則集合335之部分。步驟1060藉由(舉例而言)流程處理模組940執行。
在步驟1070中,方法結束。稍後,原則引擎模組340處理全管理 域管理原則330之改變。處理導致將存取控制規則轉譯成用於一或多個相關受管理伺服器130之功能層級指令以實施存取控制規則且將功能層級指令發送至相關受管理伺服器130。
另一選擇係或另外,為產生存取控制規則,本文中所闡述之方法可用於促進具有不同規則功能之其他規則建立作為全管理域管理原則330之部分。某些規則規定一服務之提供者及一服務之一取用者兩者。一個此實例性規則具有欲與一服務之通信一起使用之協定、加密或通道之一安全連接性功能。針對此等規則,全域管理器120獲得一目標規則且識別描述提供者之一標籤集合(例如,包含一角色標籤及/或群組層級標籤)及描述取用者之一標籤集合。全域管理器120然後產生適用於具有匹配所識別標籤集合對之各別標籤集合對之提供者-取用者對之額外規則(或放寬現有規則)。額外(或經放寬)規則適用於與目標規則相同之服務且具有與其相同之功能設定檔(例如,加密協定、通信協定類型)。
某些規則規定僅服務之提供者或僅服務之取用者。規定一取用者或一提供者中之一者之實例性規則可具有調節所儲存資料加密、磁碟使用量、周邊裝置使用量或處理器使用量之規則功能。針對此等規則,全域管理器120獲得一目標規則且識別對應於提供者或取用者之一標籤集合。針對規定一提供者之規則,全域管理器120產生適用於具有匹配所識別標籤集合之標籤集合之服務之提供者之額外規則(或放寬現有規則)。針對規定一取用者之規則,全域管理器120產生適用於具有匹配所識別標籤集合之標籤集合之服務之取用者之額外規則(或放寬現有規則)。額外(或經放寬)規則適用於與目標規則相同之服務且具有與其相同之功能設定檔(例如,加密協定、資源使用限制)。
某些規則影響一受管理伺服器130而不論由受管理伺服器130提供或取用之服務如何。實例性規則調節可對一受管理伺服器130執行 哪些處理程序、一般磁碟加密設定或何時擷取一網路封包以供用於安全性分析。全域管理器120獲得一目標規則,自該目標規則識別一標籤集合,且產生(或放寬)適用於具有匹配所識別標籤集合之標籤集合之額外受管理伺服器130之規則。額外(或經放寬)規則具有與目標規則相同之功能設定檔。此處理程序類似於先前所闡述之處理程序,惟除所產生規則不規定一服務。
在某些實施例中,流程處理模組940基於不同於用於其他規則(例如,存取控制規則)之標籤之一種類標籤而產生規則。此等規則影響由一受管理伺服器130提供或使用之一服務且可基於用於受管理伺服器之一或多個替代或額外標籤而產生。標籤引擎930可判定多個處理程序特定角色標籤以適用於一受管理伺服器130之處理程序。在一項實施例中,流程處理模組940基於用於服務之提供者或取用者之替代角色標籤而產生規則。替代角色標籤係與由受管理伺服器130使用以提供或取用由規則規定之服務之一或多個處理程序相關聯之處理程序特定之角色標籤。
來自受管理伺服器之處理警示
圖11係圖解說明根據一項實施例之處理來自實施一或多個存取控制規則之受管理伺服器130之警示之一方法1100之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
在步驟1110中,自經組態以回應於與一第二受管理伺服器130之通信而產生警示之一第一受管理伺服器130獲得一警示。該警示係回應於第一受管理伺服器130判定由第一受管理伺服器實施之一或多個存取控制規則未授權第一受管理伺服器130與第二受管理伺服器130之間的通信而產生。
在步驟1120中,獲得與第一受管理伺服器130、第二受管理伺服器130及警示中之至少一者相關之脈絡資訊。舉例而言,脈絡資訊係指示在一第二受管理伺服器130處一第一受管理伺服器130已請求連接至的埠之數目之管理域資訊,其中第二受管理伺服器130不具有接聽該等埠之任何處理程序。作為另一實例,脈絡資訊係指示第一受管理伺服器130與第二受管理伺服器130之間的通信頻率之通信資訊。
在步驟1130中,對應於警示之通信經分類為合法或惡意。舉例而言,回應於管理域資訊中所識別之埠之數目超過埠之一臨限數目而將通信分類為惡意。作為另一實例,回應於通信頻率未超過與服務相關聯之一預期通信頻率之一臨限差而將通信分類為合法。
在步驟1140中,作出是否將通信分類為合法之一判定。若通信合法,則方法1100進行至步驟1150。若通信不合法,則方法1100進行至步驟1170。
在步驟1150中,產生准許第一受管理伺服器130與第二受管理伺服器130之間的通信之一存取控制規則。
在步驟1160中,儲存存取控制規則作為一存取控制規則集合335之部分。
在步驟1170中,通知一管理員關於警示。通知一管理員關於一警示可包含:若對應於警示之通信經分類為合法,則請求管理員核准經產生以授權該通信之一存取控制規則。通知管理員亦可包含:若通信經分類為惡意,則提示管理員隔離第一或第二受管理伺服器130。
在步驟1180中,方法結束。稍後,原則引擎模組340處理全管理域管理原則330之改變。處理導致將存取控制規則轉譯成用於一或多個相關受管理伺服器130之功能層級指令以實施存取控制規則且將功能層級指令發送至相關受管理伺服器130。
包含以上說明以圖解說明特定實施例之操作且不意欲限制本發 明之範疇。本發明之範疇僅由以下申請專利範圍限制。自以上論述,熟習相關技術者將顯而易見仍將由本發明之精神及範疇涵蓋之諸多變化形式。

Claims (22)

  1. 一種用於判定授權一管理域內之複數個受管理伺服器之間的通信之一存取控制規則之方法,該方法包括:獲得描述該複數個受管理伺服器之間的過去通信之通信資訊;藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一受管理伺服器子集;判定一群組層級標籤集合與該受管理伺服器子集相關聯;判定用於該受管理伺服器子集中之受管理伺服器之角色標籤,一受管理伺服器與一個角色標籤相關聯;基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則;及儲存該存取控制規則作為一全管理域管理原則之部分。
  2. 如請求項1之方法,其中獲得該通信資訊包括:識別由該第一受管理伺服器提供且由該第二受管理伺服器使用之一服務,且其中產生該存取控制規則包括:產生規定該服務之該存取控制規則,該存取控制規則包括規定該第一受管理伺服器之一被提供部分及規定該第二受管理伺服器之一被使用部分。
  3. 如請求項1之方法,其進一步包括:識別該第一受管理伺服器與一第三受管理伺服器之間的過去未經授權通信,該全管理域管理原則缺少描述該未經授權通信之一存取控制規則;基於描述該未經授權通信之資訊、與該第一受管理伺服器相 關聯之一或多個標籤及與該第三受管理伺服器相關聯之一或多個標籤而判定該未經授權通信應准許;及產生授權該先前未經授權通信之一第二存取控制規則。
  4. 如請求項1之方法,其進一步包括:識別類似於該第一受管理伺服器之一第三受管理伺服器,該第一受管理伺服器及該第三受管理伺服器與匹配角色標籤及匹配群組層級標籤集合相關聯;識別類似於該第二受管理伺服器之一第四受管理伺服器,該第二受管理伺服器及該第四受管理伺服器與匹配角色標籤及匹配群組層級標籤集合相關聯;及產生授權該第三受管理伺服器與該第四受管理伺服器之間的通信之一第二存取控制規則。
  5. 如請求項1之方法,其進一步包括:識別類似於該第一受管理伺服器之一第三受管理伺服器,該第一受管理伺服器及該第三受管理伺服器與匹配角色標籤及匹配群組層級標籤集合相關聯;識別類似於該第二受管理伺服器之一第四受管理伺服器,該第二受管理伺服器及該第四受管理伺服器與匹配角色標籤及匹配群組層級標籤集合相關聯;及放寬該存取控制規則以授權該第三受管理伺服器與該第四受管理伺服器之間的通信。
  6. 如請求項1之方法,其進一步包括:產生授權該第一受管理伺服器與在該管理域外部之一裝置之間的通信之一第二存取控制規則;識別類似於該第一受管理伺服器之一第三受管理伺服器,該第一受管理伺服器及該第三受管理伺服器與匹配角色標籤及匹 配群組層級標籤集合相關聯;及產生授權該第三受管理伺服器與在該管理域外部之該裝置之間的通信之一第三存取控制規則。
  7. 如請求項1之方法,其進一步包括:產生授權該第一受管理伺服器與在該管理域外部之一裝置之間的通信之一第二存取控制規則;識別類似於該第一受管理伺服器之一第三受管理伺服器,該第一受管理伺服器及該第三受管理伺服器與匹配角色標籤及匹配群組層級標籤集合相關聯;及放寬該第二存取控制規則以授權該第三受管理伺服器與在該管理域外部之該裝置之間的通信。
  8. 如請求項1之方法,其中該所獲得通信資訊描述先前在該複數個受管理伺服器之間傳送之資料之特性,且其中識別該受管理伺服器子集包括:藉由基於先前在該複數個受管理伺服器之間傳送之資料之該等特性將該複數個受管理伺服器分組而自該複數個受管理伺服器識別該受管理伺服器子集。
  9. 如請求項1之方法,其中該所獲得通信資訊描述由該受管理伺服器子集執行之處理程序,且其中判定該等角色標籤包括:基於由該受管理伺服器執行之一或多個處理程序而判定用於一受管理伺服器之一角色標籤。
  10. 如請求項1之方法,其中該所獲得通信資訊描述該受管理伺服器子集之硬體資源,且其中判定該等角色標籤包括:基於該受管理伺服器之硬體資源而判定用於一受管理伺服器之一角色標籤。
  11. 如請求項1之方法,其進一步包括: 請求一管理員驗證該所判定群組層級標籤集合及該等所判定角色標籤中之至少一者;及回應於來自該管理員之一校正而修改該群組層級標籤集合及該等角色標籤中之至少一者。
  12. 如請求項1之方法,其進一步包括:藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一第二受管理伺服器子集,該第二受管理伺服器子集包括該第二受管理伺服器。
  13. 一種處理來自實施一或多個存取控制規則之受管理伺服器之警示之方法,該方法包括:自一第一受管理伺服器獲得一警示,該第一受管理伺服器經組態以回應於與一第二受管理伺服器之過去通信且回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而產生該警示;獲得包含描述該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之通信資訊之脈絡資訊;基於該通信資訊而將該過去通信分類為合法或惡意;回應於將該過去通信分類為合法,產生授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之一存取控制規則;及儲存該存取控制規則作為一全管理域管理原則之部分。
  14. 如請求項13之方法,其進一步包括:回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而指示該第一受管理伺服器終止該過去通信。
  15. 如請求項13之方法,其進一步包括:回應於將該過去通信分類為惡意而指示該第一受管理伺服器停止與該第二受管理伺服器之所有通信。
  16. 如請求項13之方法,其進一步包括:指示該第一受管理伺服器准許該過去通信。
  17. 如請求項13之方法,其中獲得該脈絡資訊包括:判定回應於由該第二受管理伺服器起始之過去通信而產生警示之受管理伺服器之一數目,且其中分類該過去通信包括:回應於受管理伺服器之該數目超過受管理伺服器之一臨限數目而將該過去通信分類為惡意。
  18. 如請求項13之方法,其中獲得該脈絡資訊包括:識別該第二受管理伺服器已請求連接至的該第一受管理伺服器之一或多個埠,該第一受管理伺服器缺少接聽該等所識別埠之任何處理程序,且其中分類該過去通信包括:回應於該等所識別埠之一數目超過埠之一臨限數目而將該過去通信分類為惡意。
  19. 如請求項13之方法,其中獲得該脈絡資訊包括:在自該第一受管理伺服器獲得該警示之前識別由該第二受管理伺服器產生之一或多個警示,該所識別一或多個警示係回應於該第二受管理伺服器與至少一個額外受管理伺服器之間的過去通信而產生,且其中分類該過去通信包括:基於由該第二受管理伺服器產生之該一或多個警示而將該過去通信分類為惡意。
  20. 如請求項13之方法,其中產生該存取控制規則包括:請求一管理員核准該存取控制規則。
  21. 一種非暫時性電腦可讀儲存媒體,其儲存可由一或多個處理器 執行以執行用於判定授權一管理域內之複數個受管理伺服器之間的通信之一存取控制規則之步驟之電腦程式模組,該等步驟包括:獲得描述該複數個受管理伺服器之間的過去通信之通信資訊;藉由基於該所獲得通信資訊將該複數個受管理伺服器分組而自該複數個受管理伺服器識別一受管理伺服器子集;判定一群組層級標籤集合與該受管理伺服器子集相關聯;判定用於該受管理伺服器子集中之受管理伺服器之角色標籤,一受管理伺服器與一個角色標籤相關聯;基於該群組層級標籤集合及該等角色標籤,產生授權該受管理伺服器子集中之一第一受管理伺服器與一第二受管理伺服器之間的通信之一存取控制規則;及儲存該存取控制規則作為一全管理域管理原則之部分。
  22. 一種用於處理來自實施一或多個存取控制規則之受管理伺服器之警示之系統,該系統包括:一或多個處理器;及一非暫時性電腦可讀儲存媒體,其儲存可由一或多個處理器執行以實施包括以下各項之步驟之電腦程式模組:自一第一受管理伺服器獲得一警示,該第一受管理伺服器經組態以回應於與一第二受管理伺服器之過去通信且回應於該第一受管理伺服器判定該一或多個存取控制規則未授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信而產生該警示;獲得包含描述該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之通信資訊之脈絡資訊; 基於該通信資訊而將該過去通信分類為合法或惡意;回應於將該過去通信分類為合法,產生授權該第一受管理伺服器與該第二受管理伺服器之間的該過去通信之一存取控制規則;及儲存該存取控制規則作為一全管理域管理原則之部分。
TW103138237A 2013-11-04 2014-11-04 Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model TWI561040B (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201361899468P 2013-11-04 2013-11-04
US201462066835P 2014-10-21 2014-10-21

Publications (2)

Publication Number Publication Date
TW201521406A true TW201521406A (zh) 2015-06-01
TWI561040B TWI561040B (en) 2016-12-01

Family

ID=53005140

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103138237A TWI561040B (en) 2013-11-04 2014-11-04 Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model

Country Status (6)

Country Link
US (3) US9485279B2 (zh)
EP (1) EP3066815B1 (zh)
JP (2) JP6276417B2 (zh)
CN (1) CN105684391B (zh)
TW (1) TWI561040B (zh)
WO (1) WO2015066369A1 (zh)

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8831011B1 (en) * 2006-04-13 2014-09-09 Xceedium, Inc. Point to multi-point connections
US9497224B2 (en) 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
US9124640B2 (en) 2011-08-09 2015-09-01 CloudPassage, Inc. Systems and methods for implementing computer security
US8412945B2 (en) 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US9882919B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
KR20150140325A (ko) 2013-04-10 2015-12-15 일루미오, 아이엔씨. 로지컬 다차원 레벨 기반 정책 모델을 이용한 분산 네트워크 관리 시스템
US20160065575A1 (en) * 2013-04-28 2016-03-03 Zte Corporation Communication Managing Method and Communication System
US9088541B2 (en) 2013-05-31 2015-07-21 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration
US11196636B2 (en) 2013-06-14 2021-12-07 Catbird Networks, Inc. Systems and methods for network data flow aggregation
US9912549B2 (en) 2013-06-14 2018-03-06 Catbird Networks, Inc. Systems and methods for network analysis and reporting
US9769174B2 (en) 2013-06-14 2017-09-19 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
WO2015066208A1 (en) 2013-11-04 2015-05-07 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
WO2016036752A2 (en) 2014-09-05 2016-03-10 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
US9148408B1 (en) 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
CN106156604A (zh) * 2015-03-26 2016-11-23 中兴通讯股份有限公司 网页更新方法、系统及网页服务器
US10448244B2 (en) * 2015-04-28 2019-10-15 Fortinet, Inc. Deployment and configuration of access points
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US9736120B2 (en) 2015-10-16 2017-08-15 Cryptzone North America, Inc. Client network access provision by a network traffic manager
WO2017105452A1 (en) * 2015-12-17 2017-06-22 Hewlett Packard Enterprise Development Lp Reduced orthogonal network policy set selection
US10198595B2 (en) * 2015-12-22 2019-02-05 Walmart Apollo, Llc Data breach detection system
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10536338B2 (en) * 2016-07-07 2020-01-14 International Business Machines Corporation Networking connection resolution assistant
US10320617B2 (en) * 2016-09-12 2019-06-11 Illumio, Inc. Representation of servers in a distributed network information management system for efficient aggregation of information
US10205736B2 (en) 2017-02-27 2019-02-12 Catbird Networks, Inc. Behavioral baselining of network systems
CN107332851A (zh) * 2017-07-07 2017-11-07 深信服科技股份有限公司 一种虚拟环境中流量控制的配置方法及系统
CN107992741B (zh) * 2017-10-24 2020-08-28 阿里巴巴集团控股有限公司 一种模型训练方法、检测url的方法及装置
US10127833B1 (en) * 2017-11-10 2018-11-13 Sorenson Ip Holdings Llc Video relay service, communication system, and related methods for providing remote assistance to a sign language interpreter during a communication session
US11190544B2 (en) * 2017-12-11 2021-11-30 Catbird Networks, Inc. Updating security controls or policies based on analysis of collected or created metadata
US20190222610A1 (en) 2018-01-18 2019-07-18 Illumio, Inc. User-Based Visibility and Control of a Segmentation Policy
US11075936B2 (en) 2018-02-22 2021-07-27 Illumio, Inc. Generating vulnerability exposure scores in a segmented computing environment
US11075937B2 (en) 2018-02-22 2021-07-27 Illumio, Inc. Generating a segmentation policy based on vulnerabilities
US11271812B2 (en) 2018-06-29 2022-03-08 Forescout Technologies, Inc. Segmentation management including visualization, configuration, simulation, or a combination thereof
US11677627B2 (en) * 2018-06-29 2023-06-13 Forescout Technologies, Inc. Dynamic segmentation management
US10826942B2 (en) * 2018-08-10 2020-11-03 Servicenow, Inc. Creating security incident records using a remote network management platform
CN109413063B (zh) * 2018-10-23 2022-01-18 中国平安人寿保险股份有限公司 一种基于大数据的白名单更新方法、装置及电子设备
US10681056B1 (en) 2018-11-27 2020-06-09 Sailpoint Technologies, Inc. System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10341430B1 (en) * 2018-11-27 2019-07-02 Sailpoint Technologies, Inc. System and method for peer group detection, visualization and analysis in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10826828B2 (en) * 2018-11-28 2020-11-03 Nokia Technologies Oy Systems and methods for encoding and decoding IoT messages
CN111488179A (zh) * 2019-01-28 2020-08-04 上海哔哩哔哩科技有限公司 规则系统及其构建方法以及业务系统及其应用方法
US10523682B1 (en) 2019-02-26 2019-12-31 Sailpoint Technologies, Inc. System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems
US10554665B1 (en) 2019-02-28 2020-02-04 Sailpoint Technologies, Inc. System and method for role mining in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US20220237303A1 (en) * 2019-06-17 2022-07-28 Nec Corporation Attack graph processing device, method, and program
CN110647527B (zh) * 2019-08-30 2022-11-01 北京百度网讯科技有限公司 基于大数据的无效标签清除方法及装置、设备与可读介质
US11677637B2 (en) 2019-12-03 2023-06-13 Dell Products L.P. Contextual update compliance management
US11461677B2 (en) 2020-03-10 2022-10-04 Sailpoint Technologies, Inc. Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems
US10862928B1 (en) 2020-06-12 2020-12-08 Sailpoint Technologies, Inc. System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs
US10938828B1 (en) 2020-09-17 2021-03-02 Sailpoint Technologies, Inc. System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs
US11196775B1 (en) * 2020-11-23 2021-12-07 Sailpoint Technologies, Inc. System and method for predictive modeling for entitlement diffusion and role evolution in identity management artificial intelligence systems using network identity graphs
US11295241B1 (en) 2021-02-19 2022-04-05 Sailpoint Technologies, Inc. System and method for incremental training of machine learning models in artificial intelligence systems, including incremental training using analysis of network identity graphs
US12118110B2 (en) * 2021-04-02 2024-10-15 Strata Identity, Inc. Identity query language systems and methods
US11227055B1 (en) 2021-07-30 2022-01-18 Sailpoint Technologies, Inc. System and method for automated access request recommendations
US12081438B2 (en) * 2021-10-11 2024-09-03 Hewlett Packard Enterprise Development Lp Automatic policy engine selection

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US20100106655A1 (en) * 2001-07-26 2010-04-29 Bernd Schneider CPW method with application in a CPW enterprise architecture engine
US8090809B2 (en) * 2002-11-04 2012-01-03 Riverbed Technology, Inc. Role grouping
US7925666B1 (en) * 2005-10-06 2011-04-12 Hewlett-Packard Development Company, L.P. System and method for managing the application of access control lists on network devices
US7743167B2 (en) * 2005-11-23 2010-06-22 Oracle America, Inc. Method and system for servicing requests in a dynamic cluster
JP5418225B2 (ja) * 2007-07-10 2014-02-19 日本電気株式会社 通信管理システム、通信管理端末、通信管理方法、及び通信管理プログラム
US20090165078A1 (en) * 2007-12-20 2009-06-25 Motorola, Inc. Managing policy rules and associated policy components
JP5035182B2 (ja) * 2008-08-27 2012-09-26 富士通株式会社 アクセス制御システム、アクセス制御方法、アクセス制御プログラム、及びアクセス制御プログラムを記録した記録媒体
GB2507941B (en) * 2010-02-22 2018-10-31 Avaya Inc Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa
US8644468B2 (en) 2010-12-15 2014-02-04 International Business Machines Corporation Carrying out predictive analysis relating to nodes of a communication network
KR20150140325A (ko) 2013-04-10 2015-12-15 일루미오, 아이엔씨. 로지컬 다차원 레벨 기반 정책 모델을 이용한 분산 네트워크 관리 시스템
GB2520044A (en) * 2013-11-07 2015-05-13 Clearswift Ltd Policy enforcement

Also Published As

Publication number Publication date
CN105684391A (zh) 2016-06-15
EP3066815B1 (en) 2019-12-04
EP3066815A1 (en) 2016-09-14
WO2015066369A1 (en) 2015-05-07
TWI561040B (en) 2016-12-01
JP6276417B2 (ja) 2018-02-07
JP2018088686A (ja) 2018-06-07
EP3066815A4 (en) 2017-08-02
CN105684391B (zh) 2019-06-07
US9485279B2 (en) 2016-11-01
US20180167417A1 (en) 2018-06-14
US9923928B2 (en) 2018-03-20
US20150128211A1 (en) 2015-05-07
US20170026418A1 (en) 2017-01-26
US10212191B2 (en) 2019-02-19
JP6470433B2 (ja) 2019-02-13
JP2016540463A (ja) 2016-12-22

Similar Documents

Publication Publication Date Title
US10693718B2 (en) Updating management instructions for bound services in a distributed network management system
US10212191B2 (en) Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model
US11503042B2 (en) Distributed network security using a logical multi-dimensional label-based policy model
US10819590B2 (en) End-to-end policy enforcement in the presence of a traffic midpoint device
US10897403B2 (en) Distributed network management using a logical multi-dimensional label-based policy model
TWI526872B (zh) 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體