TW201531880A - 使用基於一邏輯多維度標籤之原則模型之分散式網路安全 - Google Patents

使用基於一邏輯多維度標籤之原則模型之分散式網路安全 Download PDF

Info

Publication number
TW201531880A
TW201531880A TW103132517A TW103132517A TW201531880A TW 201531880 A TW201531880 A TW 201531880A TW 103132517 A TW103132517 A TW 103132517A TW 103132517 A TW103132517 A TW 103132517A TW 201531880 A TW201531880 A TW 201531880A
Authority
TW
Taiwan
Prior art keywords
management
performers
managed server
managed
server
Prior art date
Application number
TW103132517A
Other languages
English (en)
Other versions
TWI526872B (zh
Inventor
Paul J Kirner
Daniel R Cook
Juraj G Fandli
Matthew K Glenn
Mukesh Gupta
Andrew S Rubin
Jerry B Scott
Thukalan Verghese
Original Assignee
Illumio Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/249,145 external-priority patent/US9942102B2/en
Priority claimed from US14/474,916 external-priority patent/US9882919B2/en
Application filed by Illumio Inc filed Critical Illumio Inc
Publication of TW201531880A publication Critical patent/TW201531880A/zh
Application granted granted Critical
Publication of TWI526872B publication Critical patent/TWI526872B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings

Abstract

一管理網域內之一受管理伺服器(MS)經隔離。該管理網域包含多個MS,該等MS使用管理指令來組態管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則。該經隔離MS與其他MS隔絕。修改該MS之一描述以指示該MS經隔離,藉此規定該經隔離MS之一描述。更新經快取執行者集合以指示該經隔離之MS之經改變狀態,藉此規定經更新執行者集合。作出關於哪些經更新執行者集合與一其他MS相關之一判定,藉此規定當前相關經更新執行者集合。作出關於該等當前相關經更新執行者集合是否不同於先前發送至該其他MS之執行者集合之一判定。回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。

Description

使用基於一邏輯多維度標籤之原則模型之分散式網路安全
本文中所闡述之標的物大體而言係關於管理一管理網域之伺服器(實體或虛擬)之領域,且特定而言係關於根據遵循一基於邏輯多維度標籤之原則模型之一全管理網域原則管理伺服器。
根據一原則管理一管理網域之伺服器(實體或虛擬)。舉例而言,一安全性原則可能規定存取控制及/或安全連接性,而一資源使用原則可能規定管理網域之計算資源(例如,磁碟及/或周邊裝置)之使用。習用原則參考實體裝置且以低階構造(諸如網際網路協定(IP)位址、IP位址範圍、子網路及網路介面)表達。此等低階構造使得難以用一抽象且自然方式書寫一精細粒度原則。
以上問題及其他問題藉由用於隔離一管理網域內之一受管理伺服器之一方法、非暫時性電腦可讀儲存媒體及系統而解決。該管理網域包含複數個受管理伺服器,該複數個受管理伺服器使用管理指令來組態管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則。該經隔離之受管理伺服器與該複數個受管理伺服器中之其他受管理伺服器隔絕。方法之一實施例包括:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定 該經隔離之受管理伺服器之一描述。方法進一步包括:更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合。方法進一步包括:判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合。方法進一步包括:判定該等當前相關經更新執行者集合是否不同於先前發送至該其他受管理伺服器之執行者集合。方法進一步包括:回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
該媒體之一實施例儲存可執行以執行若干步驟之電腦程式模組。該等步驟包括:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定該經隔離之受管理伺服器之一描述。該等步驟進一步包括:更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合。該等步驟進一步包括:判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合。該等步驟進一步包括:判定該等當前相關經更新執行者集合是否不同於先前發送至該其他受管理伺服器之執行者集合。該等步驟進一步包括:回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
該系統之一實施例包括儲存可執行以執行若干步驟之電腦程式模組之一非暫時性電腦可讀儲存媒體。該等步驟包括:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定該經隔離之受管理伺服器之一描述。該等步驟進一步包括:更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合。該等步驟進一步包括:判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合。該等步驟進一步包括:判定該等當前相關經更新執行者集合是否不同於先前 發送至該其他受管理伺服器之執行者集合。該等步驟進一步包括:回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
100‧‧‧環境
110‧‧‧網路
120‧‧‧全域管理器
132‧‧‧管理模組
134‧‧‧管理模組組態/組態
136‧‧‧原則實施模組
150‧‧‧管理網域
200‧‧‧電腦/電腦系統
202‧‧‧處理器
204‧‧‧晶片組
206‧‧‧記憶體
208‧‧‧儲存裝置
210‧‧‧鍵盤
212‧‧‧圖形配接器
214‧‧‧指標裝置
216‧‧‧網路配接器
218‧‧‧顯示裝置
220‧‧‧記憶體控制器集線器
222‧‧‧輸入/輸出控制器集線器
300‧‧‧儲存庫
310‧‧‧處理伺服器
320‧‧‧狀態/管理網域狀態
330‧‧‧全管理網域管理原則/管理原則
335‧‧‧全域安全性資料儲存庫
340‧‧‧原則引擎模組
350‧‧‧相關規則模組
360‧‧‧功能層級指令產生模組
370‧‧‧執行者列舉模組
380‧‧‧相關執行者模組
385‧‧‧管理網域狀態更新模組
390‧‧‧全域安全性模組
400‧‧‧本端狀態儲存庫
410‧‧‧原則編譯模組
420‧‧‧本端狀態更新模組
430‧‧‧本端安全性模組
圖1係圖解說明根據一項實施例之用於管理一管理網域之伺服器(實體或虛擬)之一環境之一高階方塊圖。
圖2係圖解說明根據一項實施例之用作圖1中所圖解說明之實體中之一或多者之一電腦之一實例的一高階方塊圖。
圖3係圖解說明根據一項實施例之一全域管理器之一詳細視圖之一高階方塊圖。
圖4係圖解說明根據一項實施例之一受管理伺服器之一原則實施模組之一詳細視圖的一高階方塊圖。
圖5係圖解說明根據一項實施例之產生用於一特定受管理伺服器之管理指令之一方法之一流程圖。
圖6係圖解說明根據一項實施例之產生用於一受管理伺服器之一管理模組之一組態之一方法的一流程圖。
圖7係圖解說明根據一項實施例之監視一受管理伺服器之本端狀態且將本端狀態資訊發送至一全域管理器之一方法之一流程圖。
圖8係圖解說明根據一項實施例之處理一管理網域之電腦網路基礎設施之狀態之一改變之一方法的一流程圖。
圖9係圖解說明根據一項實施例之偵測並報告一惡意處理程序之一方法之流程圖。
圖10係圖解說明根據一項實施例之隔離一管理網域內之一受管理伺服器之一方法之流程圖。
圖11係圖解說明根據一項實施例之處理一管理網域內之一群組未受管理裝置之一狀態之一改變之一方法之一流程圖。
圖及以下說明僅藉由圖解說明方式闡述特定實施例。熟習此項技術者將自以下說明容易地認識到,可在不背離本文中所闡述之原理之情況下採用本文中所圖解說明之結構及方法之替代實施例。現在將參考數個實施例,在附圖中圖解說明該等實施例之實例。應注意,在任何可行之處,可在圖中使用類似或相同元件符號且其可指示類似或相同功能性。
圖1係圖解說明根據一項實施例之用於管理一管理網域150之伺服器(實體或虛擬)130之一環境100之一高階方塊圖。管理網域150可對應於一企業(諸如例如,一服務提供者、一公司、一大學或一政府機關)。環境100可由企業自身或由幫助企業管理其伺服器130之一第三方(例如,一第二企業)維護。如所展示,環境100包含一網路110、一全域管理器120、多個受管理伺服器130及多個未受管理裝置140。 多個受管理伺服器130及多個未受管理裝置140與管理網域150相關聯。舉例而言,其由企業或由代表企業之一第三方(例如,一公共雲端服務提供者)操作。儘管為了清楚而在圖1中所繪示之實施例中展示一個全域管理器120、兩個受管理伺服器130及兩個未受管理裝置140,但其他實施例可具有不同數目個全域管理器120、受管理伺服器130及/或未受管理裝置140。
網路110表示全域管理器120、受管理伺服器130及未受管理裝置140之間的通信路徑。在一項實施例中,網路110使用標準通信技術及/或協定且可包含網際網路。在另一實施例中,網路110上之實體可使用定製及/或專用資料通信技術。
一受管理伺服器130係實施一全管理網域管理原則330(圖3中所展示)之一機器(實體或虛擬)。在一項實施例中,根據作業系統層級虛擬化(其係其中一作業系統之核心達成多個經隔絕使用者空間執行個 體而非僅一個執行個體之一伺服器虛擬化方法),一伺服器係一虛擬伺服器(有時稱為一容器、虛擬化引擎、虛擬私人伺服器或封止區(jail))之一使用者空間執行個體。若一受管理伺服器130係一實體機器,則受管理伺服器130係一電腦或一組電腦。若一受管理伺服器130係一虛擬機器,則受管理伺服器130在一電腦或一組電腦上執行。全管理網域管理原則330規定是否及/或如何允許與管理網域150相關聯之實體存取其他實體(或由其他實體存取)或者以其他方式取用(或提供)服務。舉例而言,全管理網域管理原則330規定安全性或資源使用。一安全性原則可能規定存取控制、安全連接性、磁碟加密及/或對可執行處理程序之控制,而一資源使用原則可能規定管理網域之計算資源(例如磁碟、周邊裝置及/或頻寬)之使用。
一受管理伺服器130包含一管理模組132、一管理模組組態134及一原則實施模組136。管理模組132實施全管理網域管理原則330。舉例而言,在安全性之情形中,管理模組132可係一低階網路或安全引擎,諸如一作業系統層級防火牆、一網際網路協定安全(IPsec)引擎或一網路訊務篩選引擎(例如,基於Windows篩選平臺(WFP)開發平臺)。在資源使用之情形中,管理模組132可係一磁碟使用引擎或一周邊裝置使用引擎。
管理模組組態134影響管理模組132之操作。舉例而言,在安全性之情形中,管理模組組態134可係由一防火牆應用之存取控制規則、由一IPsec引擎(例如,體現為Linux作業系統中之iptables實體及ipset實體)應用之安全連接性原則或由一篩選引擎應用之篩選規則。在資源使用之情形中,管理模組組態134可係由一磁碟使用引擎應用之磁碟使用原則或由一周邊裝置使用引擎應用之周邊裝置使用原則。
原則實施模組136基於以下各項產生管理模組組態134:a)自全域管理器120接收之管理指令;及b)受管理伺服器130之狀態。部分地基 於全管理網域管理原則330產生管理指令。由原則實施模組136產生之管理模組組態134實施彼全管理網域管理原則330(達到該原則關注受管理伺服器130之程度)。此兩步驟處理程序(產生管理指令及產生管理模組組態134)稱為「具現化」一管理原則。原則實施模組136亦監視受管理伺服器130之本端狀態且將本端狀態資訊發送至全域管理器120。
在一項實施例中,原則實施模組136係一較大專屬模組(未展示)之部分。該專屬模組載入至已具有一管理模組132及一管理模組組態134之一裝置上,藉此使該裝置自一未受管理裝置140轉變為一受管理伺服器130。下文參考圖4、圖6及圖7進一步闡述原則實施模組136。
一未受管理裝置140係不包含一原則實施模組136之一電腦(或一組電腦)。一未受管理裝置140不實施全管理網域管理原則330。然而,一受管理伺服器130與一未受管理裝置140之間的互動可經受全管理網域管理原則330(如由受管理伺服器130實施)。一未受管理裝置140之一項實例係由一管理網域150使用之一網路電路。一未受管理裝置140之另一實例係由一個人用於向管理網域150鑑認自身之一裝置(例如,一筆記型電腦或桌上型電腦、一平板電腦或一行動電話)。
全域管理器120係產生用於受管理伺服器130之管理指令且將所產生管理指令發送至伺服器之一電腦(或一組電腦)。基於以下各項產生管理指令:a)管理網域之電腦網路基礎設施之狀態320;及b)一全管理網域管理原則330。管理網域之電腦網路基礎設施之狀態320包含受管理伺服器130之描述及(視情況)未受管理裝置140之描述。全域管理器120亦處理自受管理伺服器130接收之本端狀態資訊。
全管理網域管理原則330係基於可基於管理伺服器130之高階特性而參考管理伺服器130之一邏輯管理模型,在本文中稱作「標籤」。一標籤係包含一「維度」(一高階特性)及一「值」(彼高階特性 之值)之一對。在此多維度空間中建構之一管理原則比根據一以單一特性網路/IP位址為基礎之原則模型建構之一管理原則更具有表現力。特定而言,使用「標籤」之較高階抽象表達管理原則使得人們能夠更好地理解、視覺化並修改管理原則。
邏輯管理模型(例如,可用維度之數目及類型及彼等維度之可能值)係可組態的。在一項實施例中,邏輯管理模型包含以下維度及值,如表1中所展示:
邏輯管理模型藉由規定描述群組中之所有受管理伺服器130之一或多個標籤(在本文中稱為一「標籤集合」)而使得多個受管理伺服器130能夠分群在一起。一標籤集合包含邏輯管理模型中之一維度之0值 或1值。一標籤集合不必包含用於邏輯管理模型中之所有維度之標籤。以此方式,邏輯管理模型達成一管理網域之受管理伺服器130之分段及分離以及受管理伺服器130之任意群組之創建。邏輯管理模型亦允許在多個重疊集合(亦即,受管理伺服器之多個重疊群組)中存在一單個受管理伺服器130。邏輯管理模型不將單個受管理伺服器130限於存在於一嵌套集合階層中。
舉例而言,在安全性之情形中,分段可與存取控制原則一起用來定義經受特定原則之受管理伺服器130之群組。類似地,分段可與安全連接性原則一起用來定義受管理伺服器130之群組及適用於群組內通信及群組間通信之原則。因此,受管理伺服器130之一第一群組(由一第一標籤集合規定)當中之通信可限制於一第一安全連接設定(例如,不需要安全連接),且受管理伺服器之該第一群組與受管理伺服器之一第二群組(由一第二標籤集合規定)之間的通信可限制於一第二安全連接設定(例如,IPsec包裝安全有效負載(ESP)/鑑認標頭(AH)進階加密標準(AES)/安全雜湊演算法2(SHA-2))。
環境100中之每一受管理伺服器130實施全管理網域管理原則330(達到該原則關注受管理伺服器130之程度)。因此,遍及管理網域150以一分散式方式應用全管理網域管理原則330且不存在阻塞點。此外,獨立於管理網域之實體網路拓撲及網路定址方案以邏輯位準應用全管理網域管理原則330。
下文參考圖3、圖5及圖8進一步闡述全域管理器120、管理網域之電腦網路基礎設施之狀態320及全管理網域管理原則330。
圖2係圖解說明根據一項實施例之用作圖1中所圖解說明之實體中之一或多者之一電腦200之一實例之一高階方塊圖。圖解說明耦合至一晶片組204之至少一個處理器202。晶片組204包含一記憶體控制器集線器220及一輸入/輸出(I/O)控制器集線器222。一記憶體206及一 圖形配接器212耦合至記憶體控制器集線器220,且一顯示裝置218耦合至圖形配接器212。一儲存裝置208、鍵盤210、指標裝置214及網路配接器216耦合至I/O控制器集線器222。電腦200之其他實施例具有不同架構。舉例而言,在某些實施例中,記憶體206直接耦合至處理器202。
儲存裝置208包含一或多個非暫時性電腦可讀儲存媒體,諸如一硬碟機、光碟唯讀記憶體(CD-ROM)、DVD或一固態記憶體裝置。記憶體206保持由處理器202使用之指令及資料。指標裝置214結合鍵盤210用於將資料輸入至電腦系統200中。圖形配接器212將影像及其他資訊顯示於顯示裝置218上。在某些實施例中,顯示裝置218包含用於接收使用者輸入及選擇之一觸控螢幕能力。網路配接器216將電腦系統200耦合至網路110。電腦200之某些實施例具有與圖2中所展示之彼等組件不同之組件及/或其他組件。舉例而言,全域管理器120及/或受管理伺服器130可由多個刀鋒伺服器形成且缺少一顯示裝置、鍵盤及其他組件,而未受管理裝置140可係一筆記型電腦或桌上型電腦、一平板電腦或一行動電話。
電腦200經調適以執行用於提供本文中所闡述之功能性之電腦程式模組。如本文中所使用,術語「模組」係指電腦程式指令及/或用於提供所規定功能性之其他邏輯。因此,一模組可以硬體、韌體、及/或軟體實施。在一項實施例中,由可執行電腦程式指令形成之程式模組儲存於儲存裝置208上、載入至記憶體206中且由處理器202執行。
圖3係圖解說明根據一項實施例之一全域管理器120之一詳細視圖之一高階方塊圖。全域管理器120包含一儲存庫300及一處理伺服器310。儲存庫300係儲存管理網域之電腦網路基礎設施之狀態320、全管理網域管理原則330及一全域安全性資料儲存庫335之一電腦(或一 組電腦)。在一項實施例中,儲存庫300包含回應於請求而提供對管理網域狀態320、管理原則330及全域安全性資料儲存庫335之處理伺服器310存取之一伺服器。
管理網域之電腦網路基礎設施之狀態320包含受管理伺服器130之描述及(視情況)未受管理裝置140之描述。一受管理伺服器130之一描述包含(舉例而言)一唯一識別符(UID)、一線上/離線指示符、一或多個經組態特性(選用)、網路公開資訊、服務資訊及描述受管理伺服器130之一或多個標籤(一標籤集合)。
UID唯一地識別受管理伺服器130。線上/離線指示符指示受管理伺服器130是線上還是離線。一「經組態特性」儲存與受管理伺服器130相關聯之一值且可係任何類型之資訊(例如,哪一作業系統正在受管理伺服器上運行之一指示)。一經組態特性係連同一規則之條件部分(下文所闡述)一起使用。
網路公開資訊關注受管理伺服器之網路介面。在一項實施例中,針對受管理伺服器之網路介面中之每一者,網路公開資訊包含網路介面附接至其之一「可雙向到達網路(BRN)」之一識別符及用於在該BRN內操作之零或多個IP位址(及其子網路)。一BRN係在一組織內或跨越若干組織之一組子網路,其中該BRN內之任一節點可建立與該BRN中之任一其他節點之通信。舉例而言,一BRN中之所有節點具有唯一IP位址。換言之,一BRN不含有任何NAT。網路公開資訊(例如,一網路介面之BRN識別符)可連同一規則之條件部分一起使用。
在另一實施例中,網路公開資訊包含路由資訊及/或受管理伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)。全域管理器120可判定管理伺服器130是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)。舉例而言,全域管理器120藉由 比較以下各項而判定在全域管理器120與受管理伺服器130與之間是否存在一NAT:(a)根據全域管理器與伺服器之間的TCP連接之伺服器之IP位址;與(b)根據自伺服器接收之本端狀態資訊之伺服器之IP位址。若(a)與(b)不同,則在全域管理器120與受管理伺服器130之間存在一NAT。若一NAT確實存在,則全域管理器120藉由執行資料中心偵測而判定NAT之類型(1:1或1:N)。舉例而言,全域管理器120藉由伺服器之資料中心之公共IP位址而識別該資料中心。(另一選擇係,受管理伺服器藉由查詢在伺服器外部但在資料中心內部之資訊而執行資料中心偵測。伺服器接著將彼資訊作為本端狀態之部分發送至全域管理器。)組態資訊指示哪些類型之NAT由哪些資料中心使用。若無NAT資訊與一特定資料中心相關聯,則全域管理器120假定NAT類型係1:N。
服務資訊包含(舉例而言)處理程序資訊及/或封裝資訊。處理程序資訊包含(舉例而言)受管理伺服器130正運行之處理程序之名稱、彼等處理程序正在哪些網路埠及網路介面上接聽、哪些使用者起始了彼等處理程序、彼等處理程序之組態及彼等處理程序之命令列啟動參數(例如,彼等處理程序連結至之共用物件)。(彼等處理程序對應於提供一服務或使用一服務之受管理伺服器130。)封裝資訊包含(舉例而言)哪些封裝(可執行檔、庫或其他組件)安裝於受管理伺服器130上、彼等封裝之版本、彼等封裝之組態及彼等封裝之雜湊值。
一未受管理裝置140之一描述包含(舉例而言)網路公開資訊(例如,未受管理裝置之IP位址及未受管理裝置連接至其之BRN之一識別符)。一未受管理裝置140係一「未受管理裝置群組」(UDG)之部分。一UDG包含一或多個未受管理裝置140。舉例而言,「總部UDG」可能包含由一管理網域之總部使用之初級電路及備份電路,其中每一電路與一IP位址相關聯。一UDG與一唯一識別符(UID)相關聯。關於一 UDG之儲存於管理網域狀態320中之資訊包含UDG之UID及關於UDG中之未受管理裝置140之資訊(例如,其網路公開資訊)。
受管理伺服器130及未受管理裝置140之描述可以各種方式(諸如藉由經由一圖形使用者介面(GUI)或一應用程式化介面(API)與全域管理器120互動)載入至管理網域狀態320中。受管理伺服器130之描述亦可基於自受管理伺服器接收之本端狀態資訊載入至管理網域狀態320中(下文所闡述)。
具體關於受管理伺服器之標籤(及經組態特性,若存在),可以甚至更多方式執行一維度之一值之指派(或重新指派)(或一經組態特性之值之設定)。舉例而言,可使用一部署與組態工具執行指派/設定作為布建一受管理伺服器130之部分。可使用任一此類工具,包含現貨第三方工具(例如,Puppet實驗室之Puppet軟體、Opscode公司之Chef軟體或CFEngine AS之CFEngine軟體)及一管理網域150可能具有之定製工具。
作為另一實例,可由計算標籤及/或經組態特性(「CC」)值之一「標籤/經組態特性引擎」(未展示)執行指派/設定。在一項實施例中,標籤/CC引擎基於標籤/CC指派規則計算標籤/CC值。一標籤/CC指派規則係自管理網域狀態320存取資料並指派(或建議指派)一標籤或一CC值之一功能。一標籤/CC指派規則可係預設定的或使用者可組態的。舉例而言,全域管理器120包含一預定義規則集合,但終端使用者可基於使用者之自身定製需要修改及/或刪除彼等規則並新增新規則。可在初始化處理程序期間針對一受管理伺服器130評估標籤/CC指派規則。接著,可針對任一維度/CC作出標籤/CC值建議,且終端使用者可接受或拒絕彼等建議。舉例而言,若一受管理伺服器130正執行Postgres資料庫或MySQL資料庫,則所建議標籤可係<Role,Database>。若一受管理伺服器正執行Linux作業系統,則作業系統CC 之所建議值可係「Linux」。
在另一實施例中,標籤/CC引擎基於叢集分析計算標籤/CC值。舉例而言,標籤/CC引擎使用最小切割與K平均值演算法之一組合,其中經連接圖形之額外啟發法用以自動地識別高度連接之受管理伺服器130之一叢集。受管理伺服器130之叢集可能對應於管理網域150中之一「應用程式」(參見表1)。終端使用者可選擇將應用程式維度(或任一其他維度)之一值應用於彼等受管理伺服器130全體。
全管理網域管理原則330包含一或多個規則。廣義地說,一「規則」規定一服務之一或多個提供者與彼服務之一或多個取用者之間的一關係。
規則功能一該關係經受一「規則功能」,其係規則之實際效應。舉例而言,在安全性之情形中,規則功能可係存取控制、安全連接性、磁碟加密或對可執行處理程序之控制。具有一存取控制功能之一規則規定一取用者是否可使用一提供者之服務。在一項實施例中,存取控制功能使用一純「白清單」模型,此意指僅表達可允許關係且藉由預設阻擋所有其他關係。具有一安全連接性功能之一規則規定一取用者可經由何種安全通道(例如,使用點對點資料加密之經加密網路工作階段)使用一提供者之服務。舉例而言,具有一安全連接性功能之一規則可規定在提供者位於美國且取用者位於歐盟時必須將一提供者之服務之使用加密。具有一磁碟加密功能之一規則規定一提供者是否必須將其資料儲存於一經加密檔案系統上。具有一可執行處理程序控制功能之一規則規定是否允許執行一處理程序。
在資源使用之情形中,規則功能可係磁碟使用或周邊裝置使用。具有一磁碟使用功能之一規則規定一取用者可儲存於一提供者上之一資料量。注意,一規則亦可規定其他規則功能遠非僅存取控制、安全連接性、磁碟加密、對可執行處理程序之控制、磁碟使用及周邊 裝置使用。舉例而言,一規則功能可規定將哪些開放系統互連(OSI)模型層7服務應用於網路訊務、為了安全分析而收集之後設資料(metadata)之量或用於擷取一完整網路封包之觸發程序。管理原則模型支援可應用之任一數目個規則功能。
一規則功能可與規定關於規則之實際效應之細節之一或多個設定(在本文中稱為一「功能設定檔」)相關聯。舉例而言,與一安全連接性規則功能相關聯之設定可係用於將網路訊務加密之加密演算法之一清單。在一項實施例中,一規則功能與多個功能設定檔相關聯,且一功能設定檔包含一優先級。此優先級由功能層級指令產生模組360使用,如下文所闡述。
服務一大體而言,一「服務」係在使用一特定網路協定之一特定網路埠上執行之一任意處理程序。管理原則330內之一規則之一服務由一埠/協定對及(視情況)額外資格(諸如處理程序資訊及/或封裝資訊(上文關於管理網域狀態320內之一受管理伺服器130之一描述所闡述))規定。若一受管理伺服器130具有多個網路介面,則可將一服務公開於所有網路上或僅彼等網路之一子集上。終端使用者規定將該服務公開於哪些網路上。應注意,取決於規則功能,一服務可不使用任何網路資源。舉例而言,用於一可執行處理程序控制規則功能之一服務不使用一網路協定在一網路埠上執行。
提供者/取用者一服務之一或多個提供者及服務之一或多個取用者(亦即,使用者)係受管理伺服器130及/或未受管理裝置140。
在一項實施例中,在全管理網域管理原則330內使用一資訊集合表示一規則,該資訊集合包含一規則功能部分、一服務部分、一被提供部分、一被使用部分及一選用規則條件部分。規則功能部分描述規則之實際效應且可與一或多個設定(功能設定檔)相關聯。服務部分描述規則適用於其之服務。若服務部分指示「全部」,則規則適用於所 有服務。
被提供(PB)部分描述哪些受管理伺服器130及/或未受管理裝置140可提供服務(亦即,「提供者」係誰)。若PB部分指示「任一者」,則任一者(例如,任一受管理伺服器130或未受管理裝置140)可提供服務。若PB部分指示「任一受管理伺服器」,則任一受管理伺服器130可提供服務。(「任一受管理伺服器」等效於規定含有一萬用字元之一標籤集合,藉此匹配所有受管理伺服器130。)被使用(UB)部分描述哪些受管理伺服器130及/或未受管理裝置140可使用服務(亦即,「取用者」係誰)。類似於PB部分,UB部分亦可指示「任一者」或「任一受管理伺服器」。
在PB部分及UB部分內,藉由使用一標籤集合(亦即,描述受管理伺服器之一或多個標籤)或一UID而規定一受管理伺服器130。使用標籤集合規定受管理伺服器130之能力起源於邏輯管理模型,邏輯管理模型基於其維度及值(標籤)參考受管理伺服器。藉由使用一未受管理裝置群組(UDG)之一UID而規定一未受管理裝置140。若一規則規定一UDG,則該規則包含關於彼群組中之未受管理裝置140之額外資訊(例如,裝置之網路公開資訊)。一規則之PB部分及/或一規則之UB部分可包含多個項目,包含標籤集合(用以規定受管理伺服器130)、受管理伺服器UID及/或UDG UID。
規則條件部分(其係選用的)規定規則是否適用於一特定受管理伺服器130及/或彼受管理伺服器之一特定網路介面。規則條件部分係一布林(Boolean)表達式,該布林表達式包含一或多個經組態特性(「CC」;管理網域狀態320中之一受管理伺服器之描述之部分)及/或網路公開資訊(例如,一網路介面之BRN識別符;其亦係管理網域狀態320中之一受管理伺服器之描述之部分)。表達式之一CC部分規定規則是否適用於特定受管理伺服器,而表達式之一網路公開資訊部分 規定規則是否適用於彼受管理伺服器之一特定網路介面。若針對一特定受管理伺服器之經組態特性(具體而言,針對彼受管理伺服器之經組態特性之值)及一特定網路介面之資訊表達式評估為「真」,則規則適用於彼受管理伺服器及彼受管理伺服器之相關網路介面。若表達式評估為「假」,則規則不適用於彼受管理伺服器及彼受管理伺服器之相關網路介面。舉例而言,若一經組態特性儲存哪一作業系統正在受管理伺服器上運行之一指示,則包含彼經組態特性之一規則條件部分可基於一特定受管理伺服器之作業系統控制規則是否適用於彼伺服器。
全管理網域管理原則330內之規則係組織成若干規則清單。具體而言,管理原則330包含一或多個規則清單,且一規則清單包含一或多個規則及(視情況)一或多個範疇。一「範疇」約束將一規則應用於何處(亦即,應用於哪些受管理伺服器130)。一範疇包含限制規則清單中之規則之應用之一被提供(PB)部分及一被使用(UB)部分。範疇之PB部分限制規則之PB部分,且範疇之UB部分限制規則之UB部分。一範疇之PB部分及UB部分可藉由使用一標籤集合而規定受管理伺服器130之一群組。若該標籤集合不含有用於一特定維度之一標籤,則不存在對受管理伺服器130之所得群組之彼維度之範疇限定。若一規則清單不包含任何範疇,則全域地應用其規則。
不同範疇可應用於一單個規則清單。舉例而言,一終端使用者可建置表達web服務層列(具有一<Role,Web>標籤之受管理伺服器130)如何自資料庫層列(具有一<Role,Database>標籤之受管理伺服器)取用服務、負載平衡層列如何自web服務層列取用服務,等等之一規則集。然後,若終端使用者想要將此規則清單應用於其生產環境(具有一<Environment,Production>標籤之受管理伺服器130)及其預備環境(具有一<Environment,Staging>標籤之受管理伺服器),則其不需要 複製或重複該規則清單。替代地,其將多個範疇應用於一單個規則清單(其中PB部分及UB部分包含<Environment,Production>標籤之一第一範疇及其中PB部分及UB部分包含<Environment,Staging>標籤之一第二範疇)。範疇抽象自一可用性視角及一計算視角兩者製作規則清單量表。
既然已闡述全管理網域管理原則330,則進行某些實例係有幫助的。考量具有一兩層列應用程式(其中一使用者裝置存取一web伺服器(第一層列)且該web伺服器存取一資料庫伺服器(第二層列))之一管理網域150。在第一層列中,使用者裝置係取用者,且web伺服器係提供者。在第二層列中,web伺服器係取用者,且資料庫伺服器係提供者。管理網域150包含此應用程式之兩個執行個體:一個執行個體在一生產環境中且一個執行個體在一預備環境中。
web伺服器及資料庫伺服器係受管理伺服器130,且其描述(例如,標籤集合)存在於管理網域狀態320中。舉例而言,其標籤集合係:
在生產中之web伺服器:<Role,Web>及<Environment,Production>
在生產中之資料庫伺服器:<Role,Database>及<Environment,Production>
在預備中之web伺服器:<Role,Web>及<Environment,Staging>
在預備中之資料庫伺服器:<Role,Database>及<Environment,Staging>
(應用程式維度、企業營運維度及位置維度不與此實例相關,因此省略其標籤。)
現在考量以下全管理網域管理原則330,其係規定存取控制及安全連接性之一安全性原則:
規則清單#1
●範疇
○<Environment,Production>
○<Environment,Staging>
●規則
○#1
■功能:存取控制
■服務:Apache
■PB:<Role,Web>
■UB:任一者
○#2
■功能:存取控制
■服務:PostgreSQL
■PB:<Role,Database>
■UB:<Role,Web>
規則清單#2
●範疇:無
●規則
○#1
■功能:安全連接性
■服務:全部
■PB:<Role,Database>
■UB:任一受管理伺服器
注意,以上規則為了清楚而將服務簡單地稱為「Apache」及「PostgreSQL」。切記,一服務係一處理程序且由一埠/協定對及(視情況)額外資格(諸如處理程序資訊及/或封裝資訊(上文關於管理網域 狀態320內之一受管理伺服器130之一描述所闡述))規定。
規則清單#1/規則#1允許任一裝置(例如,一使用者裝置)連接至一web伺服器且使用Apache服務。具體而言,允許一連接由功能部分中之「存取控制」規定。「任一裝置」由UB部分中之「任一者」規定。「web伺服器」由PB部分中之「<Role,Web>」(包含僅一個標籤之一標籤集合)規定。Apache服務由服務部分中之「Apache」規定。
規則清單#1/規則#2允許一web伺服器連接至一資料庫伺服器上之PostgreSQL。具體而言,允許一連接由功能部分中之「存取控制」規定。「web伺服器」由UB部分中之「<Role,Web>」規定。「PostgreSQL」由服務部分中之「PostgreSQL」規定。「資料庫伺服器」由PB部分中之「<Role,Database>」(包含僅一個標籤之一標籤集合)規定。
規則清單#1亦防止環境間連接。舉例而言,若一web伺服器及一資料庫伺服器兩者在同一環境中(例如,兩者皆在生產環境中或兩者皆在預備環境中),則允許該web伺服器連接至該資料庫伺服器上之PostgreSQL。在生產環境中之兩個伺服器由範疇部分中之「<Environment,Production>」(包含僅一個標籤之一標籤集合)規定,而在預備環境中之兩個伺服器由範疇部分中之「<Environment,Staging>」(包含僅一個標籤之一標籤集合)規定。(由於此實例中之範疇並不區分PB部分及UB部分,因此每一範疇之標籤集適用於PB部分及UB部分兩者。)因此,若一web伺服器與一資料庫伺服器在不同環境中(例如,若web伺服器在預備環境中且資料庫伺服器在生產環境中),則不允許該web伺服器連接至該資料庫伺服器上之PostgreSQL。
規則清單#2陳述無論何時任一受管理伺服器連接至一資料庫伺服器,必須透過一經加密通道執行彼連接。具體而言,「資料庫伺服器」由PB部分中之「<Role,Database>」規定。「經加密通道」由功 能部分中之「安全連接性」規定。「任一受管理伺服器」由UB部分中之「任一受管理伺服器」規定。「無論何時」由服務部分中之「全部」規定。
撇開以上實例,考量以下兩個受管理伺服器130:伺服器1係一web伺服器,其係生產之部分(app1之部分)且由加利福尼亞州之工程擁有。其將標記為:
<Role,Web>
<Environment,Production>
<Application,app1>
<LB,Engineering>
<Location,US>
伺服器2係一資料庫伺服器,其係生產之部分(亦係app1之部分),其亦由工程(但在德國中)擁有。其將標記為:
<Role,Database Server>
<Environment,Production>
<Application,app1>
<LB,Engineering>
<Location,EU>
假定,一存取控制規則允許對為app1之部分之所有受管理伺服器130之全部存取。此規則將允許伺服器1與伺服器2彼此通信且將不允許在德國之為app2之部分之一受管理伺服器130與伺服器1或伺服器2通信。現在假定,一安全連接性規則規定必須將EU與US之間的所有網路訊務加密。規則功能係獨立地應用。換言之,安全連接性規則係獨立於存取控制規則應用之一單獨原則。因此,來自伺服器1至伺服器2之網路訊務將被允許(鑒於存取控制規則)且被加密(鑒於安全連接性規則)。
返回圖3,下文在標題為「額外安全性態樣」之章節中闡述全域安全性資料儲存庫335。
處理伺服器310產生用於受管理伺服器130之管理指令且將所產生管理指令發送至伺服器。處理伺服器310亦處理自受管理伺服器130接收之本端狀態資訊。處理伺服器310包含各種模組,諸如一原則引擎模組340、一相關規則模組350、一功能層級指令產生模組360、一執行者列舉模組370、一相關執行者模組380、一管理網域狀態更新模組385及一全域安全性模組390。在一項實施例中,處理伺服器310包含與儲存庫300通信且處理資料(例如,藉由執行原則引擎模組340、相關規則模組350、功能層級指令產生模組360、執行者列舉模組370、相關執行者模組380、管理網域狀態更新模組385及全域安全性模組390)之一電腦(或一組電腦)。
相關規則模組350採取全管理網域管理原則330作為輸入,且一特定受管理伺服器130之一指示(例如,彼伺服器之UID)產生與彼伺服器相關之規則之一集合且輸出該規則集合。此係相關規則模組350藉以審查管理原則330且提取僅用於給定受管理伺服器130之相關規則之一篩選處理程序。相關規則模組350藉由以下操作而執行篩選:反覆通過管理原則330中之所有規則清單,分析每一規則清單之範疇以判定該等範疇是否適用於此受管理伺服器130且(若該等範疇確實適用於此受管理伺服器130)分析每一規則清單之規則以判定彼等規則是否適用於此受管理伺服器130。一規則在以下情況下適用於一受管理伺服器130:a)該規則之PB部分及/或該規則之UB部分規定該受管理伺服器;且b)該規則之條件部分(若存在)針對彼受管理伺服器(具體而言,針對彼受管理伺服器之經組態特性之值及網路公開資訊)評估為「真」。最終結果(在本文中稱為一「管理原則視角」)係兩個規則集合之一收集:其中此受管理伺服器130提供一服務之規則及其中此受 管理伺服器130取用一服務之規則。
功能層級指令產生模組360採取一規則集合(例如,由相關規則模組350產生之一管理原則視角)作為輸入、產生功能層級指令且輸出功能層級指令。功能層級指令稍後作為管理指令之部分發送至一受管理伺服器130。一功能層級指令類似於一規則之處在於每一者包含一規則功能部分、一服務部分、一PB部分及一UB部分。然而,雖然一規則可包含在其PB部分及/或UB部分內之多個項目(包含標籤集合、受管理伺服器UID及/或UDG UID),但一功能層級指令包含僅在其PB部分內之一個項目及僅在其UB部分內之一個項目。此外,雖然一規則可在其PB部分及/或UB部分內規定一受管理伺服器(包含其多個網路介面),但一功能層級指令包含僅在其PB部分及UB部分內之一個網路介面。
功能層級指令產生模組360分析一規則且基於彼規則產生一或多個功能層級指令。若規則之PB部分包含多個項目,規則之UB部分包含多個項目,或由規則(在PB部分或UB部分中)參考之一受管理伺服器具有多個網路介面,則功能層級指令產生模組360產生多個功能層級指令(例如,一個功能層級指令用於一PB項目、一UB項目與一特定網路介面之每一可能組合)。
考量包含在其PB部分中之兩個項目(A及B)以及在其UB部分中之兩個項目(C及D)之一規則。功能層級指令產生模組360將產生具有以下PB部分及UB部分之四個功能層級指令:1)PB=A,UB=C;2)PB=A,UB=D;3)PB=B,UB=C;4)PB=B,UB=D。現在考量涵蓋在其PB部分或UB部分中之一受管理伺服器(例如,藉由規定一UID或一標籤集合)且彼受管理伺服器具有多個網路介面之一規則。功能層級指令產生模組360將產生多個功能層級指令(例如,一個功能層級指令用於受管理伺服器之每一網路介面)。
功能層級指令產生模組360分析規則、彼等規則內之功能及由彼等規則參考之功能設定檔。若一規則清單包含多個範疇,則功能層級指令產生模組360將彼等範疇多次反覆地應用於規則清單(藉此產生每一範疇之功能層級指令之一完整集合)。回想,一規則功能可與多個功能設定檔相關聯,且一功能設定檔可包含一優先級。功能層級指令產生模組360基於各種功能設定檔之優先級將規則排序以使得使用具有最高優先級之功能設定檔。功能層級指令產生模組360將經排序規則轉譯成受管理伺服器130執行之功能層級指令。功能層級指令參考適當受管理伺服器130及/或未受管理裝置140(例如,在輸入規則中參考之受管理伺服器130及/或未受管理裝置140),從而考量與規則相關聯之服務之網路公開細節。
注意,功能層級指令產生模組360可產生用於一特定受管理伺服器130之被證明為針對彼伺服器不相關之一功能層級指令。舉例而言,彼受管理伺服器由一規則之被提供(PB)部分涵蓋,因此功能層級指令產生模組360產生一對應功能層級指令。然而,該規則亦包含規定受管理伺服器之本端狀態之一部分(例如,描述所提供服務之一服務部分)。由於全域管理器120不知曉受管理伺服器之本端狀態(例如,受管理伺服器是否實際上提供彼服務),因此所產生功能層級指令被發送至受管理伺服器。受管理伺服器檢查其本端狀態(例如,其是否提供彼服務)且相應地處理功能層級指令,如下文參考原則編譯模組410所解釋。
執行者列舉模組370採取受管理伺服器130及未受管理裝置群組(UDG)之描述之一收集(例如,管理網域之電腦網路基礎設施之狀態320)作為輸入,以一列舉形式產生伺服器及UDG之彼等描述之表示(稱為「執行者集合」)且輸出執行者集合。舉例而言,執行者列舉模組370在管理網域狀態320內列舉受管理伺服器130及UDG以及可能標 籤集合且給每一者指派一唯一識別符(UID)。接著,可連同規定使用受管理伺服器UID、UDG UID及/或標籤集合之執行者的規則及範疇之UB部分及PB部分一起使用此等執行者集合。
考量包含N個維度D i (i=1、…、N)之一集合且每一維度D i 包含可能值V j (j=1、…、M i )(其中萬用字元「*」係可能值中之一者)之一集合S i 之一邏輯管理模型。在一項實施例中,執行者列舉模組370列舉基於邏輯管理模型可能之所有標籤集合,其等於由S 1×S 2×...×S N 給出之笛卡爾(Cartesian)乘積。此集合之大小係M 1×M 2×...×M N 。列舉處理程序將受管理伺服器130之多維度標籤空間摺疊成一單個列舉形式。
在另一實施例中,執行者列舉模組370列舉僅基於管理網域狀態320(例如,基於管理網域150內之受管理伺服器之描述)可能之彼等標籤集合。舉例而言,考量包含2個維度(X及Y)且每一維度包含3個可能值(A、B及*)之一邏輯管理模型。具有標籤集合「<X=A>,<Y=B>」之一受管理伺服器可係4個可能標籤集合之一成員:1)「<X=A>,<Y=B>」;2)「<X=A>,<Y=*>」;3)「<X=*>,<Y=B>」;及4)「<X=*>,<Y=*>」。注意,受管理伺服器之標籤集合存在於二維空間(X及Y)中,而可能標籤集合2、3及4係受管理伺服器之標籤集合至子維度空間(標籤集合2係一維空間(X),標籤集合3係一維空間(Y),且標籤集合4係0維度空間)中之投影。因此,執行者列舉模組370列舉彼4個可能標籤集合。具有標籤集合「<X=A>,<Y=B>」之受管理伺服器無法成為標籤集合「<X=A>,<Y=A>」之一成員,因此執行者列舉模組370不列舉彼標籤集合。
在又一實施例中,執行者列舉模組370列舉僅全管理網域管理原則330中(例如,規則及範疇之UB部分及PB部分中)所使用彼等標籤集
一執行者集合包含一UID及零或多個執行者集合記錄。一執行者 集合記錄包含一UID(一受管理伺服器UID或一UDG UID)、執行者之作業系統之一識別符及鑒於特定BRN之執行者(受管理伺服器130或未受管理裝置140)之IP位址。舉例而言,一執行者集合可能包含其IP位址對應於由<Role,Database>及<Environment,Production>之標籤集合涵蓋之所有受管理伺服器130之執行者集合記錄。作為另一實例,一執行者集合可能包含其IP位址對應於總部UDG中之所有未受管理裝置140之執行者集合記錄。一單個執行者(例如,受管理伺服器130或未受管理裝置140)可出現於多個執行者集合中。
執行者集合計算中之另一因素係具有多個網路介面之執行者加上包含網路拓撲,諸如網路位址轉譯(NAT)。因此,可存在<Role,Database>及<Environment,Production>之標籤集合之兩個執行者集合:具有彼等受管理伺服器130之網際網路對向IP位址(亦即,與一第一BRN相關聯)之一個執行者集合,及彼等相同受管理伺服器之具有彼等受管理伺服器之私入網路對向IP位址(亦即,與一第二BRN相關聯)之一不同執行者集合。
在一項實施例中,執行者列舉模組370亦可基於管理網域之狀態320之改變更新執行者集合。舉例而言,執行者列舉模組370採取執行者集合(先前由執行者列舉模組輸出)及一受管理伺服器之描述(在管理網域狀態320內)之一改變作為輸入,產生經更新執行者集合(其與所改變伺服器描述一致)且輸出經更新執行者集合。執行者列舉模組370取決於受管理伺服器之描述之改變之類型而以不同方式產生經更新執行者集合。
離線/線上改變一若描述改變指示伺服器自線上變為離線,則執行者列舉模組370藉由自伺服器係其一成員之所有輸入執行者集合移除伺服器之執行者集合記錄而產生經更新執行者集合。若描述改變指示伺服器自離線變為線上,則執行者列舉模組370藉由將伺服器之執 行者集合記錄新增至任何相關輸入執行者集合而產生經更新執行者集合。(若必要,則執行者列舉模組370創建一新執行者集合且將伺服器之執行者集合記錄新增至彼新執行者集合。)
標籤集合改變一若描述改變指示伺服器之標籤集合改變,則執行者列舉模組370如一第一伺服器(具有舊標籤集合)正在離線且一第二伺服器(具有新標籤集合)正在上線一樣對待此情況。
網路公開資訊改變一若描述改變指示自一網路介面移除伺服器,則執行者列舉模組370藉由自伺服器係其一成員之所有輸入執行者集合(與彼網路介面之BRN相關聯)移除伺服器之執行者集合記錄而產生經更新執行者集合。若描述改變指示給一網路介面新增伺服器,則執行者列舉模組370藉由將伺服器之執行者集合記錄新增至任何相關輸入執行者集合(與彼網路介面之BRN相關聯)而產生經更新執行者集合。(若必要,則執行者列舉模組370創建一新執行者集合(與彼網路介面之BRN相關聯)且將伺服器之執行者集合記錄新增至彼新執行者集合。)若描述改變指示伺服器改變了一網路介面之BRN,則執行者列舉模組370如移除一第一網路介面(具有舊BRN)且新增一第二網路介面(具有新BRN)一樣對待此情況。若描述改變指示伺服器改變了一網路介面之IP位址(而非BRN),則執行者列舉模組370藉由修改伺服器係其一成員之所有輸入執行者集合(與彼網路介面之BRN相關聯)中之伺服器之執行者集合記錄而產生經更新執行者集合。
相關執行者模組380採取一或多個執行者集合(例如,呈列舉形式之在管理網域狀態320內之受管理伺服器130及UDG)及一規則集合(例如,一管理原則視角)作為輸入,判定哪些執行者集合與彼等規則相關且輸出僅彼等執行者集合。此係相關執行者模組380藉以審查執行者集合且提取僅給定規則集合之相關執行者集合之一篩選處理程序。相關執行者模組380藉由以下操作而執行篩選:反覆通過所有輸入執 行者集合,分析輸入規則之PB部分及UB部分以判定一特定執行者集合是否由規則之PB部分或UB部分中之任一者參考。最終結果(在本文中稱為一「執行者視角」)係執行者集合之一收集。執行者視角稍後作為管理指令之部分發送至一受管理伺服器130。
在一項實施例中,相關執行者模組380使用輸入規則集合來產生一「執行者集合篩選程序」。執行者集合篩選程序自輸入執行者集合選擇僅與輸入規則相關之執行者集合。換言之,相關執行者模組380使用執行者集合篩選程序來將輸入執行者集合篩選成相關執行者集合。
原則引擎模組340產生用於受管理伺服器130之管理指令且將所產生管理指令發送至伺服器。原則引擎模組340基於以下各項產生管理指令(使用相關規則模組350、功能層級指令產生模組360、執行者列舉模組370及相關執行者模組380):a)管理網域之電腦網路基礎設施之狀態320;及b)全管理網域管理原則330。
舉例而言,原則引擎模組340執行相關規則模組350,從而提供全管理網域管理原則330及特定受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(一「管理原則視角」)。原則引擎模組340執行執行者列舉模組370,從而提供管理網域狀態320作為輸入。執行者列舉模組370以一列舉形式(「執行者集合」)輸出管理網域狀態320內之受管理伺服器130及未受管理裝置群組(UDG)之描述之一表示。原則引擎模組340執行功能層級指令產生模組360,從而提供管理原則視角(由相關規則模組350輸出)作為輸入。功能層級指令產生模組360輸出功能層級指令。原則引擎模組340執行相關執行者模組380,從而提供執行者集合(由列舉模組370輸出)及管理原則視角(由相關規則模組350輸出)作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等執行者集合(「相關執行者集 合」)。原則引擎模組340將功能層級指令(由功能層級指令產生模組360輸出)及相關執行者集合(由相關執行者模組380輸出)發送至特定受管理伺服器130。
在一項實施例中,原則引擎模組340快取在以上處理程序期間產生之資訊。舉例而言,原則引擎模組340與特定受管理伺服器130相關聯地快取管理原則視角、功能層級指令、執行者集合篩選程序及/或相關執行者集合。作為另一實例,原則引擎模組340快取管理網域之執行者集合(其並非一特定受管理伺服器130特有的)。
由於一管理網域之執行者集合基於管理網域狀態320,因此管理網域狀態320之一改變可需要管理網域之執行者集合之一改變。類似地,由於一受管理伺服器之管理指令基於管理網域狀態320及全管理網域管理原則330,因此管理網域狀態320之一改變及/或全管理網域管理原則330之一改變可需要受管理伺服器之管理指令之一改變。在一項實施例中,原則引擎模組340可更新一管理網域之執行者集合及/或更新一受管理伺服器之管理指令且接著將此等改變(若必要)分散至受管理伺服器130。上文所提及之經快取資訊幫助原則引擎模組340更高效地更新管理網域之執行者集合及/或受管理伺服器之管理指令且使改變分散。
在一項實施例中,原則引擎模組340更新一管理網域之執行者集合(基於管理網域狀態320之一改變)且將改變分散至受管理伺服器130如下:原則引擎模組340執行執行者列舉模組370,從而提供經快取執行者集合(先前由執行者列舉模組輸出)及管理網域狀態320之經改變部分(亦即,經改變伺服器描述)作為輸入。執行者列舉模組370輸出經更新執行者集合。在一項實施例中,原則引擎模組340接著將所有經更新執行者集合發送至管理網域150內之所有受管理伺服器130。然而,彼實施例係無效率的,此乃因並非所有受管理伺服器皆受所有執 行者集合之改變影響。
在另一實施例中,僅選定執行者集合被發送至選定伺服器。舉例而言,向一特定受管理伺服器發送僅a)先前發送至彼伺服器及b)已改變之彼等執行者集合。經快取相關執行者集合指示哪些執行者集合先前發送至彼伺服器(參見上文(a))。原則引擎模組340比較經快取執行者集合與經更新執行者集合以判定哪些執行者集合已改變(參見上文(b))。原則引擎模組340接著計算(a)與(b)之交集。彼交集中之執行者集合被發送至特定受管理伺服器。在一項實施例中,為獲得較大效率,以「差異」格式發送執行者集合,該差異格式描述經快取執行者集合與經更新執行者集合之間的差異。舉例而言,差異格式規定一執行者集合識別符、一執行者識別符(例如,一受管理伺服器UID或一UDG UID)及是否應將彼執行者新增至執行者集合、自執行者集合移除彼執行者或在執行者集合內修改彼執行者之一指示。
在另一實施例中,維護並使用兩種表來改良效率。一第一表將一受管理伺服器130與彼受管理伺服器係其一成員之執行者集合相關聯。一第二表將一受管理伺服器130與和彼受管理伺服器相關(例如,如由相關執行者模組380判定)之執行者集合相關聯。在此等表中,一受管理伺服器130由(例如)彼受管理伺服器之UID表示,且一執行者集合由(例如)彼執行者集合之UID表示。原則引擎模組340使用管理網域狀態320之經改變部分(亦即,經改變伺服器描述)來判定哪一受管理伺服器之描述被改變。原則引擎模組340使用第一表來判定彼受管理伺服器係哪些執行者集合之一成員。彼等執行者集合可能由於經改變伺服器描述而改變。因此,原則引擎模組340使用第二表來判定彼等執行者集合與哪些受管理伺服器相關。原則引擎模組340執行上文針對僅彼等受管理伺服器所闡述之交集計算。
在一項實施例中,原則引擎模組340更新一受管理伺服器之管理 指令(基於管理網域狀態320之一改變)且將經更新管理指令發送至受管理伺服器如下:原則引擎模組340執行相關規則模組350,從而提供全管理網域管理原則330及受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(一「管理原則視角」)。原則引擎模組340比較剛剛輸出之管理原則視角與經快取管理原則視角以判定其是否不同。若剛剛輸出之管理原則視角與經快取管理原則視角相同,則原則引擎模組340不採取進一步動作。在此情況下,先前產生之受管理伺服器之管理指令(具體而言,功能層級指令及相關執行者集合)與管理網域狀態320之改變一致且不必重新產生並重新發送至受管理伺服器。
若剛剛輸出之管理原則視角與經快取管理原則視角不同,則原則引擎模組340判定應將哪些規則新增至經快取視角及應將哪些規則自經快取視角移除。原則引擎模組340執行功能層級指令產生模組360,從而提供待新增之規則及待移除之規則作為輸入。功能層級指令產生模組360輸出待新增之功能層級指令及待移除之功能層級指令(相對於經快取功能層級指令,其先前發送至受管理伺服器)。原則引擎模組340指示受管理伺服器視情況新增或移除各種功能層級指令。在一項實施例中,為獲得較大效率,以「差異」格式發送功能級指令,該差異格式描述經快取功能級指令與經更新功能級指令之間的差異。舉例而言,差異格式規定一功能層級指令識別符及應將彼功能層級指令新增至先前發送之功能層級指令還是自先前發送之功能層級指令移除彼功能層級指令之一指示。
原則引擎模組340亦執行執行者列舉模組370,從而提供經快取執行者集合及管理網域狀態320之經改變部分(亦即,經改變伺服器描述)作為輸入。執行者列舉模組370輸出經更新執行者集合。原則引擎模組340執行相關執行者模組380,從而提供經更新執行者集合及剛剛 輸出之管理原則視角作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等經更新執行者集合(「經更新相關執行者集合」)。
原則引擎模組340比較經更新相關執行者集合與經快取相關執行者集合以判定其是否不同。若經更新相關執行者集合與經快取相關執行者集合相同,則原則引擎模組340不將執行者集合發送至受管理伺服器。在此情況下,先前產生之相關執行者集合與管理網域狀態320之改變一致且不必重新發送至受管理伺服器。若經更新相關執行者集合與經快取相關執行者集合不同,則原則引擎模組340判定應相對於經快取相關執行者集合新增、移除或修改哪些執行者集合。原則引擎模組340指示受管理伺服器視情況新增、移除或修改各種執行者集合。在一項實施例中,為獲得較大效率,以「差異」格式發送執行者集合,該差異格式描述經快取相關執行者集合與經更新相關執行者集合之間的差異。舉例而言,差異格式規定一執行者集合識別符及是否應相對於先前發送之執行者集合新增、移除或修改彼執行者集合之一指示。
回想,原則引擎模組340可更新一受管理伺服器之管理指令(基於全管理網域管理原則330之一改變)且將經更新管理指令發送至受管理伺服器。管理原則330之一改變係(舉例而言)一規則或一規則集合之新增、移除或修改。在一項實施例中,管理原則330之一改變藉由經由一GUI或API與全域管理器120之互動產生。在另一實施例中,管理原則330之一改變藉由全域管理器120內之一自動化處理程序(例如,回應於由該全域管理器偵測之一安全威脅)產生。原則引擎模組340更新受管理伺服器之管理指令且以一類似方式將經更新管理指令發送至受管理伺服器,而無論是否存在管理原則330之一改變或管理網域狀態320之一改變。然而,存在數個差異。
在管理原則330之一改變之情形中,原則引擎模組340不必更新 用於所有受管理伺服器130之管理指令。替代地,原則引擎模組340比較先前管理原則330與新管理原則330以判定應相對於先前管理原則330新增、移除或修改哪些規則。原則引擎模組340判定哪些受管理伺服器130受經改變規則影響(例如,哪些受管理伺服器由a)規則及/或範疇之PB部分及/或UB部分及b)規則之條件部分(若存在)涵蓋)。原則引擎模組340執行相關規則模組350,從而提供經改變規則(而非完全新管理原則330)及受管理伺服器130(針對僅受經改變規則影響之彼等伺服器)之UID作為輸入。
管理網域狀態更新(ADSU)模組385接收管理網域狀態320之改變且處理彼等改變。管理網域狀態320之一改變係(舉例而言)一受管理伺服器130之一描述之新增、移除或修改(包含一受管理伺服器之標籤集合或經組態特性之修改)或者一未受管理裝置或未受管理裝置群組之一描述之新增、移除或修改。在一項實施例中,管理網域狀態320之一改變在自一特定受管理伺服器130接收之本端狀態資訊中起源。在另一實施例中,管理網域狀態320之一改變藉由經由一GUI或API與全域管理器120之互動而產生。在另一實施例中,管理網域狀態320之一改變藉由全域管理器120內之一自動化處理程序(例如,回應於由該全域管理器偵測之一安全威脅)產生。
舉例而言,ADSU模組385接收關於一特定未受管理裝置140之一改變。ADSU模組385將新資訊儲存於管理網域狀態320中(例如,作為彼特定未受管理裝置係其一成員之一未受管理裝置群組之一部分)。ADSU模組385然後基於該未受管理裝置群組改變而更新該管理網域之執行者集合。具體而言,ADSU模組385指示原則引擎模組340更新管理網域之執行者集合。在一項實施例中,ADSU模組385在指示原則引擎模組340更新管理網域之執行者集合之前等待一事件發生。此事件可係(舉例而言)接收到一使用者命令或發生一所規定維護窗口。
作為另一實例,ADSU模組385接收關於一特定受管理伺服器130之一改變。ADSU模組385將新資訊作為彼特定受管理伺服器130之描述之部分儲存於管理網域狀態320中。ADSU模組385接著(視情況)分析彼受管理伺服器之描述以判定關於該伺服器之額外資訊且將彼資訊儲存於該描述中。ADSU模組385接著基於受管理伺服器之描述之一改變判定是否更新管理網域之執行者集合及/或受管理伺服器之管理指令。若ADSU模組385判定更新管理網域之執行者集合,則ADSU模組385指示原則引擎模組340更新管理網域之執行者集合。在一項實施例中,ADSU模組385在指示原則引擎模組340更新管理網域之執行者集合之前等待一事件發生。若ADSU模組385判定更新受管理伺服器之管理指令,則ADSU模組385指示原則引擎模組340更新受管理伺服器之管理指令。在一項實施例中,ADSU模組385在指示原則引擎模組340更新受管理伺服器之管理指令之前等待一事件發生。前述事件可係(舉例而言)接收到一使用者命令或發生一所規定維護窗口。
ADSU模組385判定是否更新管理網域之執行者集合及/或受管理伺服器之管理指令取決於受管理伺服器之描述之改變之類型。在一項實施例中,ADSU模組385作出此判定,如表2中所判定:
在一項實施例中,ADSU模組385藉由執行標籤/經組態特性引擎且提供伺服器之描述作為輸入而判定關於伺服器之額外資訊。標籤/CC引擎基於伺服器之描述及標籤/CC指派規則而計算伺服器之標籤/CC值。在另一實施例中,ADSU模組385判定伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)。
下文在標題為「額外安全性態樣」之章節中闡述全域安全性模組390。
圖4係圖解說明根據一項實施例之一受管理伺服器130之一原則實施模組136之一詳細視圖之一高階方塊圖。原則實施模組136包含一本端狀態儲存庫400、一原則編譯模組410、一本端狀態更新模組420及一本端安全性模組430。本端狀態儲存庫400儲存關於受管理伺服器130之本端狀態之資訊。在一項實施例中,本端狀態儲存庫400儲存關於受管理伺服器之作業系統(OS)、網路公開及服務之資訊。OS資訊包含(舉例而言)哪一OS正在運行之一指示。上文參考管理網域狀態320內之一受管理伺服器130之一描述而闡述了網路公開資訊及服務資訊。
原則編譯模組410採取一受管理伺服器130之管理指令及狀態作為輸入且產生一管理模組組態134。舉例而言,管理指令係自全域管 理器120接收且包含功能層級指令(由功能層級指令產生模組360產生)及相關執行者集合(由相關執行者模組380輸出)。受管理伺服器130之狀態係自本端狀態儲存庫400擷取。在一項實施例中,原則編譯模組410之執行由以下操作觸發:a)受管理伺服器開啟電源或正在上線;b)受管理伺服器接收管理指令;及/或c)本端狀態儲存庫400之內容改變。
原則編譯模組410將功能層級指令及相關執行者集合映射至一管理模組組態134中。舉例而言,原則編譯模組410將一存取控制功能層級指令(其含有一埠及一執行者集合參考)映射至Linux作業系統中之一iptables條目及一ipset條目或Windows作業系統中之一Windows篩選平臺(WFP)規則中。
在一受管理伺服器130處應用管理原則可受彼伺服器之本端狀態影響。在一項實施例中,原則編譯模組410評估與一所接收功能層級指令相關聯之一條件且基於彼評估之結果而產生管理模組組態134。舉例而言,原則編譯模組410評估參考受管理伺服器之對等體(亦即,關係中之其他執行者)之作業系統之一條件且基於彼評估之結果而選擇功能設定檔屬性,其中在管理模組組態134中表達選定功能設定檔屬性。
作為另一實例,回想,一受管理伺服器130可接收被證明為針對彼伺服器不相關之一功能層級指令。舉例而言,規則包含規定受管理伺服器之本端狀態之一部分(例如,描述所提供服務之一服務部分)。由於全域管理器120不知曉受管理伺服器之本端狀態(例如,受管理伺服器是否實際上提供彼服務),因此所產生功能層級指令被發送至受管理伺服器。原則編譯模組410檢查受管理伺服器之本端狀態(例如,判定受管理伺服器是否提供彼服務)。此判定相當於評估參考受管理伺服器之本端狀態之一條件。原則編譯模組410相應地處理功能層級 指令。若原則編譯模組410判定條件評估為「真」(例如,受管理伺服器正提供彼服務),則原則編譯模組410將彼功能層級指令併入至管理模組組態134中。具體而言,原則編譯模組410僅在評估相關聯條件(其關注彼伺服器之本端狀態)之後將功能層級指令併入至管理模組組態134中。若條件之評估係假的,則原則編譯模組410不在管理模組組態134中表達功能層級指令。特定條件(例如,其本性及特定值)係可延伸的。在一項實施例中,條件與一「服務」之定義相關且包含處理程序資訊及/或封裝資訊(上文關於管理網域狀態320內之一受管理伺服器130之一描述所闡述)。
舉例而言,考量允許存取僅在埠80上傳入(亦即,其中受管理伺服器130係「提供者」或端點)之Apache服務之一功能層級指令。受管理伺服器130僅在評估相關聯條件之後在管理模組組態134中表達此功能層級指令以允許在埠80上存取,該相關聯條件關注正在埠80上接聽之應用程式(在彼伺服器上執行)是否實際上係Apache而非某一其他應用程式(惡意應用程式或其他)。受管理伺服器130僅在判定相關聯條件評估為「真」之後在管理模組組態134中表達此功能層級指令。若相關聯條件評估為「假」,則受管理伺服器130不在管理模組組態134中表達此功能層級指令。因此,網路訊務被阻擋。
在一項實施例中,一受管理伺服器130監視其傳出連接。受管理伺服器130比較傳出網路訊務與其內部處理程序表以判定彼表中之哪些處理程序正建立彼等傳出連接。受管理伺服器130可強迫實施允許僅特定處理程序(鑒於上文提及為「處理程序資訊」之一需要集合)建立一傳出連接之一規則。
在一項實施例(未展示)中,原則編譯模組410位於全域管理器120處而非受管理伺服器130處。在彼實施例中,全域管理器120不將管理指令發送至受管理伺服器130。替代地,受管理伺服器130將其本端狀 態發送至全域管理器120。在原則編譯模組410產生管理模組組態134(在全域管理器120處)之後,將管理模組組態134自全域管理器120發送至受管理伺服器130。
本端狀態更新(LSU)模組420監視受管理伺服器130之本端狀態且將本端狀態資訊發送至全域管理器120。在一項實施例中,LSU模組420判定受管理伺服器130之一初始本端狀態,將適當本端狀態資訊儲存於本端狀態儲存庫400中且將彼本端狀態資訊發送至全域管理器120。LSU模組420藉由檢視伺服器之作業系統(OS)及/或檔案系統之各個部分而判定受管理伺服器130之本端狀態。舉例而言,LSU模組420自OS之核心表(網路連線資訊)、OS之系統表(封裝資訊)及檔案系統(檔案及雜湊值)獲得服務資訊。LSU模組420自OS之核心及/或OS層級資料結構獲得網路公開資訊。
在LSU模組420將初始本端狀態資訊發送至全域管理器120之後,LSU模組監視本端狀態之改變。LSU模組藉由(舉例而言)輪詢(例如,週期性地執行檢視)或接聽(例如,訂閱一事件串流)而監視改變。LSU模組420比較最新獲得之本端狀態資訊與已儲存於本端狀態儲存庫400中之資訊。若資訊匹配,則LSU模組420不採取進一步動作(直至再次獲得本端狀態資訊為止)。若其不同,則LSU模組420將最新獲得之資訊儲存於本端狀態儲存庫400中,執行原則編譯模組410以重新產生管理模組組態134(且相應地重新組態管理模組132)且通知全域管理器120該改變。在一項實施例中,LSU模組420將本端狀態資訊之改變以「差異」形式發送至全域管理器120,該差異形式描述先前儲存於本端狀態儲存庫400中(且因此先前發送至全域管理器120)之本端狀態資訊與最新所獲得之本端狀態資訊之間的差異。舉例而言,差異格式規定本端狀態資訊之一類型(例如,作業系統)及彼資訊類型之一新值。在另一實施例中,LSU模組420將本端狀態儲存庫400之完整內容發送 至全域管理器120。
下文在標題為「額外安全性態樣」之章節中闡述本端安全性模組430。
圖5係圖解說明根據一項實施例之產生用於一特定受管理伺服器130之管理指令之一方法500之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。在一項實施例中,多次執行方法500(例如,針對一管理網域150中之每一受管理伺服器130一次)。
當方法500開始時,管理網域之電腦網路基礎設施之狀態320及一全管理網域管理原則330已儲存於全域管理器120之儲存庫300中。此時,方法500開始。
在步驟510中,存取管理網域狀態320及全管理網域管理原則330。舉例而言,原則引擎模組340將一請求發送至儲存庫300且作為回應接收管理網域狀態320及全管理網域管理原則330。
在步驟520中,判定一或多個相關規則。舉例而言,原則引擎模組340執行相關規則模組350,從而提供全管理網域管理原則330及特定受管理伺服器130之UID作為輸入。相關規則模組350輸出與彼伺服器相關之規則之一集合(管理原則視角)。
在步驟530中,列舉執行者。舉例而言,原則引擎模組340執行執行者列舉模組370,從而提供管理網域狀態320作為輸入。執行者列舉模組370以一列舉形式產生管理網域狀態320內之受管理伺服器130及未受管理裝置群組(UDG)之一表示(執行者集合)。
在步驟540中,產生一或多個功能層級指令。舉例而言,原則引擎模組340執行功能層級指令產生模組360,從而提供管理原則視角(在步驟520中產生)作為輸入。功能層級指令產生模組360產生功能層 級指令。
在步驟550中,判定一或多個相關執行者。舉例而言,原則引擎模組340執行相關執行者模組380,從而提供執行者集合(在步驟530中產生)及管理原則視角(在步驟520中產生)作為輸入。相關執行者模組380輸出僅與彼等規則相關之彼等執行者集合(相關執行者集合)。
在步驟560中,將管理指令發送至特定受管理伺服器130。舉例而言,原則引擎模組340將功能層級指令(在步驟540中產生)及相關執行者集合(在步驟550中產生)發送至特定受管理伺服器130。
注意,步驟520及540關注產生用於一特定受管理伺服器130之管理原則視角(及所得功能層級指令),而步驟530及550關注產生用於彼受管理伺服器之執行者視角。管理原則視角之產生及執行者視角之產生最小程度地取決於彼此,此乃因步驟520產生由步驟550使用之一規則集合。即便如此,使管理原則計算(亦即,步驟520及540)與執行者集合計算(亦即,步驟530及550)保持分離仍增強原則引擎模組340之可擴縮性。由於使管理原則計算與執行者集合計算保持大部分分離,因此其可並行執行(例如,甚至針對同一受管理伺服器130)。另外,用於不同受管理伺服器130之視角計算亦可並行執行。此外,若一執行者改變,則僅需要重新計算執行者集合。(不需要重新計算功能層級指令。)若一規則改變,則僅需要重新計算功能層級指令及相關執行者集合。(不需要重新列舉執行者。)
圖6係圖解說明根據一項實施例之產生用於一受管理伺服器130之一管理模組132之一組態134之一方法600的一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法600開始時,關於受管理伺服器130之本端狀態之資訊已儲存於受管理伺服器130中之原則實施模組136之本端狀態儲存庫400 中。此時,方法600開始。
在步驟610中,自全域管理器120接收管理指令。舉例而言,原則編譯模組410自全域管理器120接收功能層級指令及相關執行者集合。
在步驟620中,存取本端狀態。舉例而言,原則編譯模組410存取儲存於本端狀態儲存庫400中之關於受管理伺服器130之本端狀態之資訊。
在步驟630中,產生一管理模組組態134。舉例而言,原則編譯模組410採取管理指令(在步驟610中接收)及本端狀態(在步驟620中存取)作為輸入且產生一管理模組組態134。
在步驟640中,組態一管理模組132。舉例而言,原則編譯模組410將管理模組132組態為根據管理模組組態134(在步驟630中產生)操作。
圖7係圖解說明根據一項實施例之監視一受管理伺服器130之本端狀態且將本端狀態資訊發送至一全域管理器120之一方法700之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法700開始時,關於受管理伺服器130之本端狀態之資訊已儲存於受管理伺服器130之本端狀態儲存庫400中。此時,方法700開始。
在步驟710中,判定關於受管理伺服器130之當前本端狀態之資訊。舉例而言,LSU模組420藉由檢視受管理伺服器130之作業系統(OS)及/或檔案系統之各個部分而判定該伺服器之本端狀態。
在步驟720中,執行關於有關當前本端狀態之資訊是否不同於儲存於本端狀態儲存庫400中之資訊之一判定。舉例而言,LSU模組420 執行此判定。若資訊並非不同,則方法進行至步驟730且結束。若資訊確實不同,則方法進行至步驟740。
在步驟740中,將不同資訊儲存於本端狀態儲存庫400中。舉例而言,LSU模組420執行此步驟。
在步驟750中,重新產生管理模組組態134(此乃因本端狀態儲存庫400之內容已改變)且相應地重新組態管理模組132。舉例而言,LSU模組420執行原則編譯模組410,此重新產生管理模組組態134。
在步驟760中,將不同資訊發送至全域管理器120。舉例而言,LSU模組420執行此步驟。
圖8係圖解說明根據一項實施例之處理一管理網域之電腦網路基礎設施之狀態320之一改變之一方法800的一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
在步驟810中,接收關於一特定受管理伺服器130之一改變。舉例而言,管理網域狀態更新(ADSU)模組385自受管理伺服器130接收一線上/離線指示符、一作業系統指示符、網路公開資訊及/或服務資訊作為本端狀態資訊之部分。
在步驟820中,儲存所接收資訊。舉例而言,ADSU模組385將所接收線上/離線指示符、網路公開資訊及/或服務資訊儲存於管理網域狀態320中(具體而言,在資訊所屬之受管理伺服器130之描述中)。
在步驟830中,分析伺服器描述以判定關於伺服器之額外資訊。舉例而言,ADSU模組385使用一標籤/經組態特性引擎來計算伺服器之標籤/CC值及/或判定伺服器是否在一網路位址轉譯器(NAT)後面(及若其在一NAT後面,則其在何種類型之NAT(1:1或1:N)後面)且將彼資訊儲存於伺服器描述中。步驟830係選用的。
在步驟840中,作出關於是否更新管理網域之執行者集合之一判 定。舉例而言,ADSU模組385基於受管理伺服器之描述之一改變而判定是否更新管理網域之執行者集合。若作出更新管理網域之執行者集合之一判定,則方法進行至步驟850。若作出不更新管理網域之執行者集合之一判定,則方法進行至步驟860。
在步驟850中,更新管理網域之執行者集合。舉例而言,ADSU模組385指示原則引擎模組340更新管理網域之執行者集合且相應地通知受影響之受管理伺服器130。在一項實施例(未展示)中,ADSU模組385在指示原則引擎模組340更新管理網域之執行者集合之前等待一事件發生。
在步驟860中,作出關於是否更新受管理伺服器之管理指令之一判定。舉例而言,ADSU模組385基於受管理伺服器之描述之一改變而判定是否更新受管理伺服器之管理指令。若作出更新受管理伺服器之管理指令之一判定,則方法進行至步驟870。若作出不更新管理伺服器之管理指令之一判定,則方法進行至步驟880。
在步驟870中,更新受管理伺服器之管理指令。舉例而言,ADSU模組385指示原則引擎模組340更新受管理伺服器之管理指令。在一項實施例(未展示)中,ADSU模組385在指示原則引擎模組340更新受管理伺服器之管理指令之前等待一事件發生。
在步驟880中,方法結束。
額外安全性態樣
回想,一受管理伺服器130之原則實施模組136包含一本端安全性模組430。本端安全性模組430自受管理伺服器130收集安全性相關資訊(「安全性後設資料」)且將所收集資訊發送至全域管理器120。本端安全性模組430使得受管理伺服器130能夠充當管理網域150中之分散式偵測節點或探查節點(probe)。在一項實施例中,本端安全性模組430收集並發送以下安全性相關資訊中之任何或全部資訊:
a)對一惡意處理程序及/或一惡意動作之識別-本端安全性模組430偵測在受管理伺服器130上運行之「惡意處理程序」。一惡意處理程序係指執行(嘗試執行)一不恰當行動(惡意動作)(諸如違背由管理模組組態134實施之管理原則)之一處理程序。舉例而言,若管理原則包含規定可允許網路連接之一存取控制規則,則嘗試連接(例如,起始一網路連接)至未經列舉為可允許之一裝置將係一惡意動作。具體而言,若存取控制規則表明在提供者係一資料庫伺服器且取用者係一web伺服器之情況下允許一連接,則一資料庫伺服器嘗試充當一取用者而一web伺服器充當一提供者將係一惡意動作。在一項實施例中,本端安全性模組430存取描述允許動作之管理原則之指令。與彼原則之任何不一致構成一惡意動作。
回想,處理程序資訊包含(舉例而言)受管理伺服器130正運行之處理程序之名稱、彼等處理程序正在哪些網路埠及網路介面上接聽、哪些使用者起始了彼等處理程序、彼等處理程序之組態、彼等處理程序之命令列啟動引數及彼等處理程序之相依性。一惡意動作可關注任何類型之處理資訊。舉例而言,在「錯誤」網路埠或網路介面(例如,為被所允許之管理原則規定之一網路埠或網路介面)上接聽可係一惡意動作。作為另一實例,在(若干)「錯誤」使用者(例如,未被所允許管理原則規定之一使用者)之內容脈絡下執行可係一任意動作。作為另一實例,載入異常或未經授權共用物件可係一惡意動作。
在一項實施例中,若本端安全性模組430偵測一惡意處理程序/動作,則本端安全性模組發送關於該惡意動作(例如,由惡意處理程序執行)之全域管理器120資訊、關於惡意處理程序自身之資訊(例如,處理程序資訊)及/或關於由惡意處理程序執行之額外動作(諸如所請求之網域名稱系統(DNS)查找及嘗試及/或所作出之網路連接)之資訊。關於惡意動作之資訊包含(舉例而言)惡意動作之一類型(例如,在錯誤 網路埠或介面上接聽或在錯誤使用者之內容脈絡下執行)、基於其類型之惡意動作之細節(例如,接聽之錯誤網路埠或介面或在其內容脈絡下執行處理程序之錯誤使用者),及/或指示惡意動作何時發生之一時間戳記。關於一NDS查找之資訊包含(舉例而言)發送至DNS以查找之資訊。關於一網路連接之資訊包含(舉例而言)目的地裝置之一IP位址及/或一埠數目。惡意處理程序/動作資訊可用於識別「不良」受管理伺服器130,其中若一受管理伺服器執行(或嘗試執行)違背由管理模組組態134實施之管理原則之一動作則該受管理伺服器係「不良」。
圖9係圖解說明根據一項實施例之偵測及報告一惡意處理程序之一方法900之一流程圖。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法900開始時,一受管理伺服器130內之一管理模組132已根據一管理模組組態134經組態。受管理伺服器130使用自一全域管理器120接收之管理指令來組態管理模組132。經組態管理模組132實施一全管理網域管理原則330。此時,方法900開始。
在步驟910中,自在受管理伺服器130上執行之一處理程序接收執行一動作之一請求。舉例而言,本端安全性模組430接收該請求。
在步驟920中,根據受管理伺服器130內之經組態管理模組132作出一判定:動作係不恰當的。舉例而言,本端安全性模組430將該請求發送至管理模組132,該管理模組132然後分析該請求以判定該請求是否遵守全管理網域管理原則330。本端安全性模組430自管理模組132接收指示該請求不遵守全管理網域管理原則330之一回應。基於該所接收回應,本端安全性模組430判定動作係不恰當的。
在步驟930中,將關於不恰當動作或關於該處理程序之資訊發送 至全域管理器。舉例而言,本端安全性模組430發送關於不恰當動作之全域管理資訊(例如,不恰當動作之一類型、基於不恰當動作之類的不恰當動作之細節,或指示不恰當動作何時發生之一時間戳記)或關於請求執行動作之處理程序之資訊(例如,處理程序之明顯、處理程序正在其上接聽之一網路埠、處理程序正在其上接聽之一網路介面、起始處理程序之一使用者、處理程序之一組態、處理程序之一命令列啟動引數,或處理程序之一相依性)。
b)作業系統層級竄改之識別-本端安全性模組430偵測作業系統層級竄改(例如,對管理模組組態134之一修改)。
c)日誌-本端安全性模組430自受管理伺服器130獲得日誌且將日誌發送至全域管理器120。日誌包含(舉例而言)防火牆日誌(例如,基於web之L7規則及由一web應用程式防火牆(WAF)引擎報告之基於簽章之攻擊),入侵偵測系統(IDS)日誌(例如,來自一IDS引擎之基於傳統L7簽章之入侵偵測事件),及鑑認日誌(例如,安全殼(SSH)鑑認日誌)。在一項實施例中,此等日誌經正規化成一標準格式以使得其較容易分析。正規化可在受管理伺服器130及/或在全域管理器120處執行。
d)一經偵測入侵之識別-本端安全性模組430使用各種技術偵測入侵。舉例而言,本端安全性模組430結合iptable使用某些基本入侵簽章。作為另一實例,本端安全性模組430追蹤與IP位址相關聯之某些活動且比較所追蹤活動之量與某些臨限值(例如,以偵測SSH蠻力攻擊)。
e)對一「不良執行者」之識別-本端安全組模型430比較習知「不良執行者」(例如,其IP位址與低信譽及/或安全性威脅相關聯之裝置)與由受管理伺服器130阻擋之IP位址。在一不良執行者通常係一未受管理裝置140時,一不良執行者將係一受管理伺服器130。在一項 實施例中,將對不良執行者之識別以一日誌串流形式提供至全域管理器120。
在一項實施例中,本端安全性模組430亦執行其自有安全性功能。舉例而言,本端安全性模組430偵測受管理伺服器130上之一處理程序何時形成一新傳出連接。本端安全性模組430存取一習知不良執行者(未受管理裝置140及/或受管理伺服器130)之一清單且判定傳出連接之目的地裝置是否在清單上。若目的地裝置在清單上,則本端安全性模組430阻擋傳出連接以便防止侵出(extrusion)。在另一實施例中,本端安全性模組430使用本端攻擊臨限值及啟發來本端地應用阻擋原則
回想,全域管理器120之儲存庫300包含一全域安全性資料儲存庫335。全域安全性資料儲存庫335儲存安全性相關資訊(「安全性後設資料」)。此資訊包含(舉例而言)惡意處理程序及/或惡意動作、作業系統層級竄改、日誌、所偵測入侵及不良執行者。
回想,全域管理器120之處理伺服器310包含一全域安全性模組390。全域安全性模組390自受管理伺服器130接收安全性相關資訊(「安全性後設資料」)且將彼資訊儲存於全域安全性資料儲存庫335中。舉例而言,此資訊包含惡意處理程序及/或惡意動作、作業系統層級竄改、日誌、所偵測入侵及不良執行者。
全域安全性模組390亦分析儲存於全域安全性資料儲存庫335中之資訊且視情況基於分析之結果來修改管理網域狀態320及/或全管理網域管理原則330。對儲存於全域安全性資料儲存庫335中之資訊之分析偵測攻擊及/或漏洞。全域安全性模組390可在一單個受管理伺服器130上以及跨越管理網域150整體地偵測一攻擊或一漏洞。
對管理網域狀態320及/或管理原則330之修改執行全域強制。回想管理網域狀態320包含受管理伺服器130之描述及(視情況)未受管理 裝置140之描述。在一項實施例中,管理網域320儲存關於受管理伺服器130之原則違規之資訊。舉例而言,全域安全性模組390針對一特定受管理伺服器130分析儲存於全域安全性資料儲存庫335中之惡意處理程序/動作資訊。全域安全性模組390然後將彼受管理伺服器之一原則違規特定經組態特性設定成一特定值,諸如所執行或嘗試之違規之一數目(1、2、3等)。在另一實施例中,管理網域狀態320儲存關於竄改受管理伺服器130之資訊。舉例而言,全域安全性模組390針對一特定受管理伺服器130分析儲存於全域安全性資料儲存庫335中之作業系統層級竄改資訊。全域安全性模組390然後將彼受管理伺服器之一竄改特定經組態特性設定成一特定值,諸如指示竄改之存在/不存在之布林值。
在另一實施例中,管理網域狀態320儲存關於一或多個未受管理裝置群組(UDG)之資訊。一第一UDG之成員係習知攻擊者或不良執行者(例如,造成安全性威脅之未受管理裝置140)。全域安全性模組390藉由視需要新增或移除攻擊者/不良執行者來維護此不良執行者UDG。舉例而言,全域安全性模組390使用儲存於全域安全性資料儲存庫335中之日誌資訊、所偵測入侵資訊及/或不良執行者資訊來識別一「不良」未受管理裝置140。若全域安全性模組390識別一特定攻擊者或不良執行者,則全域安全性模組將彼執行者新增至不良執行者UDG。在一項實施例中,不良執行者UDG用於識別其網路連接(去往或來自一受管理伺服器130)應被阻擋之未受管理裝置140,如下文所闡述。在另一實施例中,不良執行者UDG用於全管理網域管理原則330(例如,在一規則之所提供或使用部分)。
其他UDG之成員習知為「風險」且具有相關聯「風險得分」。舉例而言,一第一風險UDG之成員具有風險得分「1」,一第二風險UDG之成員具有風險得分「2」等。全域安全性模組390藉由視情況新 增或移除未受管理裝置140來維護風險UDG。舉例而言,全域安全性模組390使用儲存於全域安全性資料儲存庫335中之日誌資訊、所偵測入侵資訊及/或不良執行者資訊來識別一風險未受管理裝置140及彼裝置之風險得分。若全域安全性模組390識別一特定風險性未受管理裝置140,則全域安全性模組將彼未受管理裝置新增至適當風險UDG(基於未受管理裝置之風險得分)。在一項實施例中,一風險UDG用於調校、調諧、精進或改良本端安全性模組430之操作,如下文所闡述。在另一實施例中,一風險UDG用於全關了網域管理原則330(例如,在一規則之所提供或所使用部分)。
管理網域狀態更新模組385接收管理網域狀態320之改變且相應地處理該等改變,如上文所闡釋。此使得對一個受管理伺服器130上之一攻擊之偵測能夠作為一動態強制原則分散至其他受管理伺服器以使得其受保護。換言之,存在其中受管理伺服器130將安全性相關資訊發送至全域管理器120且全域管理器120基於安全性相關資訊產生管理指令且將該等指令發送至受管理伺服器130之一回饋迴路。
特定而言,經更新相關執行者集合(例如,與經改變UDG或經改變受管理伺服器相關聯之執行者集合)可發送至各種受管理伺服器130。在一項實施例中,經更新相關執行者集合之接收致使彼等受管理伺服器重新組態其管理模組132。舉例而言,經重新組態管理模組132可停止允許去往及/或來自係第一UDG之成員之未受管理裝置140之通信(藉此阻擋所有此等通信)。在另一實施例中,經更新相關執行者集合之接收致使彼等受管理伺服器中之本端安全性模組430以不同方式操作。舉例而言,本端安全性模組430可修改或調諧其分析以使得基於一未受管理裝置140之風險得分來以不同方式分析彼資料。若裝置之風險得分較高,則報告關於一特定未受管理裝置140之安全性資訊之臨限值可係較低的。作為另一實例,本端安全性模組430可基 於一經更新不良執行者UDG而阻擋不同傳出連接。
應注意,一攻擊可係分散式的以使得任何一個單個受管理伺服器130可不會知曉其正受攻擊。由於受管理伺服器130將安全性相關資訊發送至全域管理器120,因此全域安全性模組390可跨越管理網域150偵測網域之任何一個部分中之任何單個探查節點可不會在隔絕中經歷之攻擊型樣。當一全網域攻擊由全域安全性模組390偵測時,全域安全性模組可依循如上文所闡述之相同機制(亦即,修改管理網域狀態320)以將動態強制原則分散至其他受管理伺服器130以使得其受保護。
由於全域安全性模組390得以存取基於應用程式之異常及基於網路之異常兩者,因此其對儲存於全域安全性資料儲存庫335中之資訊之分析更準確。全域安全性模組390亦可更快速動作且採取強制動作(例如,修改管理網域狀態320)之前不需要等待較長時間週期。此外,全域安全性模組390可識別專屬一特定管理網域150之一攻擊。彼攻擊可係以僅彼網域為目標,且攻擊可係在其他網際網路規模安全性系統上為「雜訊中」。此外,由於受管理伺服器130(具體而言,其原則實施模組136)在管理網域150中之佈置,因此全域安全性模組390亦能夠自網域內自內部捕捉內部威脅,或另一選擇係,已使其穿過網域之周邊防禦且現在試圖在網域內側向移動之僵屍網路。
在一項實施例中,全域安全性模組390亦執行以下功能中之一或多者:
a)對儲存於全域安全性資料儲存庫335中之資訊之統計分析-全域安全性模組390分析儲存於全域安全性資料儲存庫335中之資訊以判定不同類別中之前「N」項。舉例而言,類別可係正通信之頂端個別節點,正通信之頂端節點對、由受管理伺服器130阻擋之頂端IP位址及具有高風險得分之由受管理伺服器允許之頂端IP位址。統計資料可 在多個層級上計算,諸如按照受管理器伺服器、按照資料中心、按照業務單位及按照管理網域150。
b)對「不良執行者」之識別-全域安全性模組390使用活動之經組態臨限值來識別不良執行者。
在一項實施例中,全域安全性模組390可擴展及/或安全性分析功能可經實施以基於不同威脅及攻擊類型提供全域警示及動態強制兩者。
現在已闡述全域安全性模組390,其有助於完成一實施例。環境100(尤其全域管理器120及受管理伺服器130)使得一受管理伺服器能夠進入「隔離模式」。隔離模式使一特定受管理伺服器130與其他受管理伺服器隔絕。舉例而言,一受感染或不良行為之受管理伺服器130與「良好」受管理伺服器之其餘部分隔離。
當一受管理伺服器130處於隔離時,其他受管理伺服器(具體而言,其管理模組132)阻擋起源於經隔離伺服器之傳入網路訊務。另外,安裝於經隔離伺服器上之管理模組132使其自身進入其中(藉由預設)阻擋傳出網路訊務且僅允許管理傳入網路訊務之一可組態自隔離模式。若經隔離伺服器已具有根權限且攻擊者足夠聰明,則可規避自隔離模式。然而,在較不複雜病毒之大量情形中(且在其中一受感染系統尚未具有一惡意有效負載且正執行偵察之情形中),自隔離模式有助於提供一額外保護層。甚至在一極其高階威脅之情形中,其他受管理伺服器130提供與經隔離伺服器之隔絕。
在一項實施例中,如下實施隔離模式:首先,全域安全性模組390判定以隔離一特定受管理伺服器130。舉例而言,全域安全性模組390判定一網路攻擊起源於特定受管理伺服器130或特定受管理伺服器130具有一漏洞。此判定可係基於(舉例而言)由全域管理器120執行之一動作(例如,對儲存於全域安全性資料儲存庫335中之資訊之分析)及/ 或由全域管理器自一外部源(例如,一受管理伺服器130、一第三方漏洞掃描器或一使用者命令)接收之一通知。自一受管理伺服器130接收之已通知可關注(舉例而言)一惡意處理程序/動作或作業系統層級竄改。自一漏洞掃描器接收之一通知可關注(舉例而言)具有漏洞之裝置。自一使用者命令接收之已通知可關注(舉例而言)由一人員使用任何可能構件識別之一不良執行者。
然後全域安全性模組390修改管理網域狀態320以指示特定受管理伺服器130經隔離。舉例而言,全域安全性模組390將特定受管理伺服器130新增至一特定隔離執行者集合(在本文中稱作執行者集合Q或「ASQ」)。管理網域狀態320儲存關於其成員經隔離之執行者集合Q之資訊。全域安全性模組390藉由視需要新增或移除受管理伺服器130來維護執行者集合Q。
在另一實例中,全域安全性模組390將一隔離特定經組態特性(在本文中稱作「CCQ」)設定成一特定值,諸如一威脅等級(1、2、3等)。CCQ可用於有條件地定義執行者集合Q,其中執行者集合Q之每一成員具有大於零之一CCQ值(「CCQ>0」)。CCQ亦可用於有條件地定義多個隔離執行者集合(例如,針對每一威脅等級之一個隔離執行者集合,其中彼執行者集合之每一成員具有相同CCQ值)。CCQ亦可結合一規則之條件部分(一布林表達式)用於規定規則是否適用於一特定受管理伺服器130。舉例而言,「CCQ=0」之一條件部分不包含所有經隔離伺服器,無論其威脅等級如何。此條件部分可與一白名單模型規則以防止經隔離伺服器充當提供者或取用者。
一隔離執行者集合(無論經有條件地定義或是藉由明確地指派成員)可用於全管理網域管理原則330在一規則之所使用(UB)部分或提供(PB)部分。具體而言,一隔離執行者集合可作為一集合差計算(例如,共同集合成員之減法)之一部分使用。舉例而言,UB部分「*- <quarantine actor-set>」規定惟除隔離執行者集合之成員外之任何者可使用一服務,其中通配字「*」表示任何者,減法字元「-」表示「惟除」,且「<quarantine actor-set>」表示任何類型之隔離執行者集合(其成員可係(舉例而言)所有經隔離之受管理伺服器或僅具有特定CCQ值(例如,CCQ>2或CCQ<5)受管理伺服器)。一隔離執行者集合亦可用於肯定地指示一提供者或取用者。舉例而言,PB部分「<quarantine actor-set>」規定隔離執行者集合之成員提供一服務,諸如允許來自係一管理安全性回應小組之部分之裝置之連接。
應注意,在一規則之條件部分中使用CCQ可在邏輯上等於在一規則之UB部分或PB部分中之一集合差計算中使用一隔離執行者集合。舉例而言,具有<UB=Web,PB=Database,Condition=「CCQ=0」>之一第一規則在邏輯上等效於具有<UB=Web-ASQ,PB=Database-ASQ>之一第二規則,其中CCQ有條件地定義ASQ(CCQ>0)。
管理網域狀態更新模組385接收管理網域狀態320之此改變且相應地處理該改變,如上文所闡釋。特定而言,將經更新管理指令(例如,相關執行者集合及/或功能層級指令)發送至受管理伺服器130。接收經更新管理指令致使彼等受管理伺服器(具體而言,其原則編譯模組410)以產生新管理模組組態134且相應地重新組態其管理模組132。新管理模組組態134係基於經更新管理指令產生。
針對一經隔離之受管理伺服器130,所接收之經更新管理指令致使彼伺服器進入自隔離模式。舉例而言,若功能層級指令依循一白名單類型模組(例如,提供伺服器可做什麼之一詳盡清單),則經更新功能層級指令可係先前所接收功能層級指令之一子集。因此,將不允許經隔離之受管理伺服器130執行如在其未經隔離時其所執行任務一樣多之任務。
針對一未經隔離之受管理伺服器130,所接收之經更新管理指令 (具體而言,任何隔離執行者集合及/或隔離功能層級指令)致使彼伺服器隔絕經隔離伺服器。(應注意,若隔離功能層級指令先前已發送且尚未改變,則彼等指令不需要再次自全域管理器120發送至受管理伺服器130。)特定而言,原則編譯模組410將隔離功能層級指令應用於隔離執行者集合之成員且不將標準功能層級指令應用於彼等成員。管理模組132之重新組態致使管理模組阻擋來自隔離執行者集合(亦即,經隔離之受管理伺服器130)之傳入訊務。
此時,「不隔離」一經隔離之受管理伺服器130(亦即,將伺服器自隔離模式釋放)可係適當的。舉例而言,若經隔離之受管理伺服器130已製作安全(例如,藉由移除惡意軟體或漏洞),則不隔離彼伺服器可係適當的。一旦受管理伺服器130未經隔離,其即將不再與其他受管理伺服器隔絕且將自自隔離模式釋放。
在一項實施例中,如下實施將一經隔離之受管理伺服器130自隔離模式釋放:首先,全域安全性模組390判定將一特定受管理伺服器130自隔離釋放。舉例而言,全域安全性模組390判定受管理伺服器130不再造成一安全性威脅。此判定可基於(舉例而言)由全域管理器120執行之一動作(例如,對儲存於全域安全性資料儲存庫335中之資訊之分析)及/或由全域管理器自一外部源(例如,一第三方漏洞掃描器或一使用者命令)接收之一通知。
自一漏洞掃描器接收之一通知可關注(舉例而言)具有漏洞之裝置。在一項實施例中,漏洞通知列舉先前具有漏洞但不再具有漏洞之裝置。在另一實施例中,漏洞通知列舉當前具有漏洞之裝置。在彼實施例中,全域安全性模組390可比較一最新漏洞通知與一舊漏洞通知以判定哪些裝置先前具有漏洞但不再具有。自一使用者名單接收之一通知可關注(舉例而言)由一人員識別為不再造成一安全性威脅之一受管理伺服器130。
然後,全域安全性模組390修改管理網域狀態320以指示特定受管理伺服器130自隔離釋放。舉例而言,全域安全性模組390將特定受管理伺服器130自一特定隔離執行者集合移除。在另一實例中,全域安全性模組390將一隔離特定經組態特性設定成一特定值,諸如一威脅等級(例如,針對無威脅為0)。
管理網域狀態更新模組385接收管理網域狀態320之此改變且相應地處理該改變,如上文所闡釋。特定而言,將經更新管理指令(例如,相關執行者集合及/或功能層級指令)發送至受管理伺服器130。接收經更新管理指令致使彼等受管理伺服器(具體而言,其原則編譯模組410)以產生新管理模組組態134且相應地重新組態其管理模組132。新管理模組組態134係基於經更新管理指令產生。
針對一受管理伺服器130自隔離釋放,所接收之經更新管理指令致使彼伺服器退出自隔離模式。舉例而言,若功能層級指令依循一白清單類型模型(例如,提供伺服器可做什麼之一詳盡清單),則經更新功能層級指令可係先前所接收功能層級指令之一子集。因此,將允許未經隔離之受管理伺服器130執行比在其經隔離時其所執行任務多之任務。
針對一不同受管理伺服器130,所接收之經更新管理指令(具體而言,任何隔離執行者集合及/或隔離功能層級指令)致使彼伺服器停止隔絕新未經隔離伺服器。特定而言,原則編譯模組410將隔離功能層級指令應用於隔離執行者集合之成員(其不再包含新未經隔離伺服器)且不將標準功能層級指令應用於彼等成員。管理模組132之重新組態致使管理模組阻擋來自隔離執行者集合之傳入訊務。
圖10係圖解說明根據一項實施例之隔離一管理網域150內之一受管理伺服器130之一方法1000之一流程圖。管理網域150包含複數個受管理伺服器130,該複數個受管理器伺服器使用管理指令來組態管理 模組132以使得經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則,以使得經隔離之受管理伺服器與複數個受管理伺服器中之其他受管理伺服器隔絕。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法1000開始時,一受管理伺服器130(將經隔離之受管理伺服器)之描述已儲存於一全域管理器120之一管理網域狀態320中。此外,已在全域管理器120中快取管理網域之執行者集合。最終,已與另一受管理伺服器130(不同於經隔離之受管理伺服器)相關聯地快取一管理原則視角及相關執行者集合。此時,方法1000開始。
在步驟1010中,修改受管理伺服器130之描述以指示受管理伺服器經隔離。舉例而言,全域安全性模組390藉由將受管理伺服器130之一隔離特定經組態特性設定成一特定值來修改管理網域狀態320,藉此規定經隔離之受管理伺服器之一描述。
在步驟1020中,經快取執行者集合經更新以指示經隔離之受管理伺服器之經改變狀態。舉例而言,全域安全性模組390使用執行者列舉模組370來更新管理網域之經快取執行者集合,藉此規定經更新執行者集合。
在步驟1030中,作出關於哪些經更新執行者集合與其他受管理伺服器130相關之一判定。舉例而言,全域安全性模組390使用相關執行者模組380來判定哪些經更新執行者集合與其他受管理伺服器130相關,藉此規定當前相關經更新執行者集合。
在步驟1040中,作出關於當前相關經更新執行者集合是否不同於先前發送至其他受管理伺服器130之執行者集合之一判定。舉例而言,全域安全性模組390比較當前相關經更新執行者集合與先前發送至其他受管理伺服器130之執行者集合(其係與其他受管理伺服器相關 聯地快取為「相關執行者集合」)。回應於判定當前相關經更新執行者集合並非不同於(例如,相同於)先前發送之執行者集合,方法1000繼續進行至步驟1050。回應於判定當前相關經更新執行者集合確實不同於先前發送之執行者集合,方法1000繼續進行至步驟1060。
在步驟1050中,不採取進一步動作。舉例而言,全域安全性模組390不採取進一步動作。
在步驟1060中,判定應相對於先前發送之執行者集合新增、移除或修改之一經更新執行者集合。舉例而言,全域安全性模組390比較當前相關經更新執行者集合與先前發送至其他受管理伺服器130之執行者集合。
在步驟1070中,將經更新執行者集合及用以新增、移除或修改該等經更新執行者集合之一指令發送至其他受管理伺服器。舉例而言,全域安全性模組390將經更新執行者集合及指令發送至其他受管理伺服器。
圖11係圖解說明根據一項實施例之處理一管理網域150內之一未受管理裝置140群組之一狀態之一改變之一方法1100之一流程圖。管理網域150包含複數個受管理伺服器130,該複數個受管理伺服器使用管理指令來組態管理模組132以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則。其他實施例可以不同次序執行步驟且可包含不同及/或額外步驟。另外,步驟中之某些或所有步驟可由除圖1中所展示之彼等實體之外的實體執行。
當方法1100開始時,已將一未受管理裝置群組(其狀態改變之未受管理裝置群組)之一描述儲存於一全域管理器120之一管理網域狀態320中。此外,已在全域管理器120中快取管理網域之執行者集合。最終,已與一受管理伺服器130相關聯地快取一管理原則視角及相關執行者集合。此時,方法1100開始。
在步驟1110中,修改未受管理裝置群組之描述以將一未受管理裝置新增至未受管理裝置群組。舉例而言,全域安全性模組390藉由將一未受管理裝置新增至未受管理裝置群組來修改管理網域狀態320。
在步驟1120中,經快取執行者集合經更新以指示未受管理裝置群組之經改變狀態。舉例而言,全域安全性模組390使用執行者列舉模組370來更新管理網域之經快取執行者集合,藉此規定經更新執行者集合。
在步驟1130中,作出關於哪些經更新執行者集合與受管理伺服器130相關之一判定。舉例而言,全域安全性模組390使用相關執行者模組380來判定哪些經更新執行者集合與受管理伺服器130相關,藉此規定當前相關經更新執行者集合。
在步驟1140中,作出關於當前相關經更新執行者集合是否不同於先前發送至受管理伺服器130之執行者集合之一判定。舉例而言,全域安全性模組390比較當前相關經更新執行者集合與先前發送至受管理伺服器130之執行者集合(該等執行者集合與受管理伺服器相關聯地快取為「相關執行者集合」)。回應於判定當前相關經更新執行者集合並非不同於(例如,相同於)回應於判定當前相關經更新執行者集合並非不同於(例如,相同於)先前發送之執行者集合,方法1100繼續進行至步驟1150。回應於判定當前相關經更新執行者集合確實不同於先前發送之執行者集合,方法1100繼續進行至步驟1160。
在步驟1150中,不採取進一步動作。舉例而言,全域安全性模組390不採取進一步動作。
在步驟1160中,判定應相對於先前發送之執行者集合新增、移除或修改之一經更新執行者集合。舉例而言,全域安全性模組390比較當前相關經更新執行者集合與先前發送至受管理伺服器130之執行 者集合。
在步驟1170中,將經更新執行者集合及用以新增、移除或修改該等經更新執行者集合之一指令發送至受管理伺服器。舉例而言,全域安全性模組390將經更新執行者集合及指令發送至受管理伺服器。
包含以上說明以圖解說明特定實施例之操作且不意欲限制本發明之範疇。本發明之範疇僅由以下申請專利範圍限制。自以上論述,熟習相關技術者將顯而易見仍將由本發明之精神及範疇涵蓋之諸多變化形式。
100‧‧‧環境
110‧‧‧網路
120‧‧‧全域管理器
132‧‧‧管理模組
134‧‧‧管理模組組態/組態
136‧‧‧原則實施模組
150‧‧‧管理網域

Claims (29)

  1. 一種偵測並報告一惡意處理程序之方法,該方法包括:自在一受管理伺服器上執行之一處理程序接收執行一動作之一請求;根據該受管理伺服器內之一管理模組判定該動作係不恰當的,其中該管理模組由該受管理伺服器組態以使用自一全域管理器接收之管理指令實施一全管理網域管理原則;及將關於該不恰當動作之資訊或關於該處理程序之資訊發送至該全域管理器。
  2. 如請求項1之方法,其中關於該不恰當動作之資訊包括該不恰當動作之一類型、基於該不恰當動作之類型的該不恰當動作之細節,或指示該不恰當動作何時發生之一時間戳記。
  3. 如請求項1之方法,其中關於該處理程序之資訊包括該處理程序之一名稱、該處理程序正在其上接聽之一網路埠、該處理程序正在其上接聽之一網路介面、起始該處理程序之一使用者、該處理程序之一組態、該處理程序之一命令列啟動引數,或該處理程序之一相依性。
  4. 如請求項1之方法,其進一步包括:判定該處理程序請求一網域名稱系統(DNS)查找;及將關於該DNS查找之資訊發送至該全域管理器。
  5. 如請求項1之方法,其進一步包括:判定該處理程序嘗試進行一網路連接;及將關於該網路連接之資訊發送至該全域管理器。
  6. 如請求項1之方法,其中發送至該全域管理器之該資訊由該全域管理器用於判定該受管理伺服器是否應經隔離。
  7. 如請求項1之方法,其中該動作包括:起始一網路連接。
  8. 如請求項1之方法,其中該動作包括:在一網路埠上接聽或在一網路介面上接聽。
  9. 如請求項1之方法,其中該動作包括:在一使用者之一內容脈絡下執行。
  10. 如請求項1之方法,其中該動作包括:載入一共用物件。
  11. 一種隔離一管理網域內之一受管理伺服器之方法,其中該管理網域包含複數個受管理伺服器,該複數個受管理伺服器使用管理指令來組態管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則,以使得該經隔離之受管理伺服器與該複數個受管理伺服器中之其他受管理伺服器隔絕,該方法包括:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定該經隔離之受管理伺服器之一描述;更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合;判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合;判定該等當前相關經更新執行者集合是否不同於先前發送至該其他受管理伺服器之執行者集合;及回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
  12. 如請求項11之方法,其中修改該經隔離之受管理伺服器之第一描述以指示該經隔離之受管理伺服器經隔離包括:設定該經隔離之受管理伺服器之一隔離特定經組態特性的一值。
  13. 如請求項11之方法,其進一步包括:判定以隔離該受管理伺服 器。
  14. 如請求項13之方法,其中判定以隔離該受管理伺服器包括:判定一網路攻擊起源於該受管理伺服器或判定該受管理伺服器具有一漏洞。
  15. 如請求項11之方法,其進一步包括:回應於判定該等當前相關經更新執行者集合不同於該等先前發送之執行者集合:判定應相對於該等先前發送之執行者集合新增、移除或修改之一經更新執行者集合;及將該經更新執行者集合及用以新增、移除或修改該經更新執行者集合之一指令發送至該其他受管理伺服器。
  16. 如請求項15之方法,其中發送該經更新執行者集合及該指令致使該其他受管理伺服器阻擋起源於該經隔離之受管理伺服器之傳入網路訊務。
  17. 如請求項11之方法,其進一步包括,在更新該等經快取執行者集合之前:基於該經隔離之受管理伺服器之該描述,判定關於該經隔離之受管理伺服器之額外資訊;及修改該經隔離之受管理伺服器之該描述以指示該額外資訊。
  18. 如請求項11之方法,其進一步包括:基於該經隔離之受管理伺服器之該描述,判定在該規則集合內之哪些規則當前與該經隔離之受管理伺服器相關,藉此規定當前相關規則;判定該等當前相關規則是否不同於先前相關規則,其中該等先前相關規則係基於該受管理伺服器之未經修改描述而判定;及回應於判定該等當前相關規則相同於該等先前相關規則,不採取進一步動作。
  19. 如請求項18之方法,其進一步包括:回應於判定該等當前相關規則不同於該等先前相關規則:判定應相對於該等先前相關規則新增、移除或修改之一規則;基於該經判定規則產生一功能層級指令;及將該功能層級指令及用以新增、移除或修改該功能層級指令之一指令發送至該經隔離之受管理伺服器。
  20. 如請求項19之方法,其中發送該功能層級指令及用以新增、移除或修改之該指令致使該經隔離之受管理伺服器阻擋傳出網路訊務。
  21. 如請求項19之方法,其中發送該功能層級指令及用以新增、移除或修改之該指令致使該經隔離之受管理伺服器僅允許管理傳入網路訊務。
  22. 如請求項11之方法,其進一步包括:判定哪些經更新執行者集合與該經隔離之受管理伺服器相關,藉此規定第二當前相關經更新執行者集合;判定該等第二當前相關經更新執行者集合是否不同於先前發送至該經隔離之受管理伺服器之第二執行者集合;及回應於判定該等第二當前相關經更新執行者集合相同於該等先前發送之第二執行者集合,不採取進一步動作。
  23. 一種處理一管理網域內之一未受管理裝置群組之一狀態之一改變之方法,其中該管理網域包含複數個受管理伺服器,該複數個受管理伺服器使用管理指令來組態管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則,該方法包括:修改該未受管理裝置群組之一描述以將一未受管理裝置新增 至該未受管理裝置群組;更新經快取執行者集合以指示該未受管理裝置群組之經改變狀態,藉此規定經更新執行者集合;判定哪些經更新執行者集合與一受管理伺服器相關,藉此規定當前相關經更新執行者集合;判定該等當前相關經更新執行者集合是否不同於先前發送至該受管理伺服器之執行者集合;及回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
  24. 如請求項23之方法,其進一步包括:判定以將該未受管理裝置新增至該未受管理裝置群組。
  25. 如請求項23之方法,其中判定以將該未受管理裝置新增至該未受管理裝置群組包括:判定該未受管理裝置造成一安全性威脅。
  26. 如請求項23之方法,其進一步包括:回應於判定該等當前相關經更新執行者集合不同於該等先前發送之執行者集合:判定應相對於該等先前發送之執行者集合新增、移除或修改之一經更新執行者集合;及將該經更新執行者集合及用以新增、移除或修改該經更新執行者集合之一指令發送至該受管理伺服器。
  27. 如請求項23之方法,其中發送該經更新執行者集合及該指令致使該受管理伺服器阻擋起源於該未受管理裝置之傳入網路訊務或阻擋送往該未受管理裝置之傳出網路訊務。
  28. 一種用於隔離一管理網域內之一受管理伺服器之儲存電腦程式模組之非暫時性電腦可讀儲存媒體,其中該管理網域包含複數個受管理伺服器,該複數個受管理伺服器使用管理指令來組態 管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則,以使得該經隔離之受管理伺服器與該複數個受管理伺服器中之其他受管理伺服器隔絕,該等電腦程式模組可執行以執行包括以下操作之步驟:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定該經隔離之受管理伺服器之一描述;更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合;判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合;判定該等當前相關經更新執行者集合是否不同於先前發送至該其他受管理伺服器之執行者集合;及回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作。
  29. 一種用於隔離一管理網域內之一受管理伺服器之系統,其中該管理網域包含複數個受管理伺服器,該複數個受管理伺服器使用管理指令來組態管理模組以使得該等經組態管理模組實施包括一或多個規則之一集合之一全管理網域管理原則,以使得該經隔離之受管理伺服器與該複數個受管理伺服器中之其他受管理伺服器隔絕,該系統包括:一非暫時性電腦可讀儲存媒體,其儲存可執行以執行包括以下操作之步驟之電腦程式模組:修改該受管理伺服器之一描述以指示該受管理伺服器經隔離,藉此規定該經隔離之受管理伺服器之一描述;更新經快取執行者集合以指示該經隔離之受管理伺服器之經改變狀態,藉此規定經更新執行者集合; 判定哪些經更新執行者集合與一其他受管理伺服器相關,藉此規定當前相關經更新執行者集合;判定該等當前相關經更新執行者集合是否不同於先前發送至該其他受管理伺服器之執行者集合;及回應於判定該等當前相關經更新執行者集合相同於該等先前發送之執行者集合,不採取進一步動作;及一電腦處理器,其用於執行該等電腦程式模組。
TW103132517A 2013-11-04 2014-09-19 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體 TWI526872B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361899468P 2013-11-04 2013-11-04
US14/249,145 US9942102B2 (en) 2013-04-10 2014-04-09 Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model
US14/249,128 US9882783B2 (en) 2013-04-10 2014-04-09 Distributed network management using a logical multi-dimensional label-based policy model
US14/474,916 US9882919B2 (en) 2013-04-10 2014-09-02 Distributed network security using a logical multi-dimensional label-based policy model
PCT/US2014/054505 WO2015076904A2 (en) 2013-11-04 2014-09-08 Distributed network security using a logical multi-dimensional label-based policy model

Publications (2)

Publication Number Publication Date
TW201531880A true TW201531880A (zh) 2015-08-16
TWI526872B TWI526872B (zh) 2016-03-21

Family

ID=53180366

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103132517A TWI526872B (zh) 2013-11-04 2014-09-19 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體

Country Status (5)

Country Link
EP (1) EP3066581B1 (zh)
JP (1) JP6491221B2 (zh)
CN (1) CN105683943B (zh)
TW (1) TWI526872B (zh)
WO (1) WO2015076904A2 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10608945B2 (en) 2016-02-27 2020-03-31 Illumio, Inc. Creating rules for labeled servers in a distributed network management system
TWI630488B (zh) * 2017-08-04 2018-07-21 中華電信股份有限公司 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統
US20210021471A1 (en) * 2019-07-15 2021-01-21 Microsoft Technology Licensing, Llc Techniques for managing virtual networks

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
AU3390500A (en) * 1999-03-03 2000-09-21 Ultradns, Inc. Scalable and efficient domain name resolution
AU2002320191A1 (en) * 2001-06-27 2003-03-03 Arbor Networks Method and system for monitoring control signal traffic over a computer network
EP1745631A1 (en) * 2004-05-12 2007-01-24 Alcatel Automated containment of network intruder
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US20080184277A1 (en) * 2007-01-26 2008-07-31 Microsoft Corporation Systems management policy validation, distribution and enactment
US8925101B2 (en) * 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8813227B2 (en) * 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9215237B2 (en) * 2011-05-23 2015-12-15 Nec Corporation Communication system, control device, communication method, and program

Also Published As

Publication number Publication date
CN105683943A (zh) 2016-06-15
EP3066581A2 (en) 2016-09-14
WO2015076904A2 (en) 2015-05-28
EP3066581B1 (en) 2019-06-26
JP6491221B2 (ja) 2019-03-27
EP3066581A4 (en) 2017-08-23
TWI526872B (zh) 2016-03-21
CN105683943B (zh) 2019-08-23
WO2015076904A3 (en) 2015-08-20
JP2017502620A (ja) 2017-01-19

Similar Documents

Publication Publication Date Title
US11503042B2 (en) Distributed network security using a logical multi-dimensional label-based policy model
US10212191B2 (en) Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model
US10819590B2 (en) End-to-end policy enforcement in the presence of a traffic midpoint device
US10277460B2 (en) Updating management instructions for bound services in a distributed network management system
TWI530890B (zh) 使用以邏輯多維度標籤為基礎之原則模型的分散式網路管理
TWI670606B (zh) 修復基於網路子圖偵測之不應有訊務型樣之方法、處理網路流量查詢之方法、電腦可讀非暫時性儲存媒體及電腦系統
TWI526872B (zh) 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體