TW201642616A - 條件式宣告政策 - Google Patents

條件式宣告政策 Download PDF

Info

Publication number
TW201642616A
TW201642616A TW105109781A TW105109781A TW201642616A TW 201642616 A TW201642616 A TW 201642616A TW 105109781 A TW105109781 A TW 105109781A TW 105109781 A TW105109781 A TW 105109781A TW 201642616 A TW201642616 A TW 201642616A
Authority
TW
Taiwan
Prior art keywords
rule set
firewall rule
policy
workload
firewall
Prior art date
Application number
TW105109781A
Other languages
English (en)
Inventor
安東尼 培德拉
嘉吉 連
馬克 伍沃德
Original Assignee
法墨網路公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 法墨網路公司 filed Critical 法墨網路公司
Publication of TW201642616A publication Critical patent/TW201642616A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本文中提供用於產生一防火牆規則集之方法、系統及媒體。例示性方法可包含:接收與一電腦網路安全政策相關聯之一宣告政策;自至少一個外部記錄系統收集資訊;使用該宣告政策及資訊來產生一防火牆規則集,該防火牆規則集包含位址,至該等位址或來自該等位址之網路通信被進行以下各項:允許、拒絕、重定向或登錄,該防火牆規則集處於比該宣告政策低之一抽象層級;及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,該防火牆使用該防火牆規則集來選擇性地監管工作負載之間的網路通信。

Description

條件式宣告政策
本發明技術係關於電腦安全,且更具體而言,係關於電腦網路安全。
一硬體防火牆為一網路安全系統,其控制傳入及傳出網路訊務。一硬體防火牆大體上在一內部網路(假定為可信任及安全的)與假定為不可信任且不安全的另一網路(例如,網際網路)之間產生一屏障。
攻擊者破壞內部網路以偷竊關鍵資料。例如,攻擊者將低階設定檔資產作為攻擊目標以進入內部網路。在該內部網路內部及該硬體防火牆後面,利用東西向訊務流量,攻擊者跨越該內部網路橫向移動至關鍵企業資產。一旦到達該處,攻擊者將吸取寶貴的公司及客戶資料。
本發明技術之一些實施例包含用於產生一防火牆規則集之方法,其等可包含:接收與一電腦網路安全政策相關聯的一宣告政策;自至少一個外部記錄系統收集資訊;使用該宣告政策及資訊產生一防火牆規則集,該防火牆規則集包含位址,至該等位址或來自該等位址之網路通信被進行以下各項:允許、拒絕、重定向及/或登錄,該防火牆規則集處於比該宣告政策低的一抽象層級;及將該防火牆規則集 供應至一分佈式防火牆的複數個執行點,該防火牆使用該防火牆規則集選擇性地監管工作負載之間的網路通信。
本發明技術之各種實施例包含用於產生一防火牆規則集之系統,其等包括:一處理器;及一記憶體,其通信地耦合至該處理器,該記憶體儲存可藉由該處理器執行以執行一方法之指令,該方法包括:接收與一電腦網路安全政策相關聯的一宣告政策;自至少一個外部記錄系統收集資訊;使用該宣告政策及資訊產生一防火牆規則集,該防火牆規則集包含位址,至該等位址或來自該等位址之網路通信被進行以下各項:允許、拒絕、重定向及/或登錄,該防火牆規則集處於比該宣告政策低的一抽象層級;及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,該防火牆使用該防火牆規則集選擇性地監管工作負載之間的網路通信。
在一些實施例中,本發明技術包含非暫時電腦可讀儲存媒體,已在該非暫時電腦可讀儲存媒體上體現一程式,該程式可藉由一處理器執行以實施用於產生一防火牆規則集之一方法,該方法包括:接收與一電腦網路安全政策相關聯的一宣告政策;自至少一個外部記錄系統收集資訊;使用該宣告政策及資訊產生一防火牆規則集,該防火牆規則集包含位址,至該等位址或來自該等位址之網路通信被進行以下各項:允許、拒絕、重定向及/或登錄,該防火牆規則集處於比該宣告政策低的一抽象層級;及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,該防火牆使用該防火牆規則集選擇性地監管工作負載之間的網路通信。
100‧‧‧系統
110‧‧‧網路
120‧‧‧資料中心
130‧‧‧防火牆
140‧‧‧核心交換機/路由器/核心器件
1501至150x‧‧‧架頂式交換機
1601,1至1601,y‧‧‧實體主機
160x,1至160x,y‧‧‧實體主機
200‧‧‧(虛擬)環境
210‧‧‧超管理器/虛擬機監測器
220‧‧‧虛擬交換機
2301至230z‧‧‧分佈式防火牆執行點/虛擬防火牆執行點
2401至240z‧‧‧虛擬機
2501至250z‧‧‧作業系統
2601至260z‧‧‧應用程式
500‧‧‧例示性電腦系統/計算系統
510‧‧‧處理器單元
520‧‧‧主記憶體
530‧‧‧大量資料儲存裝置
540‧‧‧可攜式儲存器件
550‧‧‧輸出器件
560‧‧‧使用者輸入器件
570‧‧‧圖形顯示系統
580‧‧‧周邊器件
590‧‧‧匯流排
附圖(其中相似元件符號係指整個個別視圖中的相同或功能相似元件)與以下詳細描述一起併入且形成本說明書之部分,且用以進一步繪示包含所主張之本發明的概念之實施例,且解釋彼等實施例之各 種原理及優點。已在適當位置藉由圖式中的習知符號表示本文所揭示之方法及系統,其僅展示切合以理解本發明之實施例的彼等具體細節以便不使具有受益於本文描述之熟習一般技術者將易於明白的細節的本發明模糊。
圖1係根據一些實施例之一(實體)環境之一簡化方塊圖。
圖2係根據各種實施例之一(虛擬)環境之一簡化方塊圖。
圖3係根據一些實施例之一方法之簡化流程圖。
圖4係根據各種實施例之一方法之簡化流程圖。
圖5係根據各種實施例之一計算系統之一簡化方塊圖。
儘管此技術容許許多不同形式之實施例,但圖式中展示且本文將詳細描述若干特定實施例,其中吾人理解本發明被視為本技術之原理之一例證且不意欲將本技術限於所繪示之實施例。本文中使用之術語僅為描述特定實施例之目的且不意欲限制本技術。如本文所使用,除非內容脈絡另有明確指示,否則單數形式「一(a、an)」及「該(the)」意欲亦包含複數形式。應進一步瞭解,當在此說明書中使用時,術語「包括(comprises)」、「包括(comprising)」、「包含(includes)」及/或「包含(including)」指定所陳述之特徵、整數、步驟、操作、元件及/或組件之存在,但不排除一或多個其他特徵、整數、步驟、操作、元件、組件及/或其群組之存在或添加。應瞭解,本文中所提及的相同或類似元件及/或組件可在整個圖式中使用相同元件符號識別。應進一步瞭解,若干圖僅為本發明技術之示意性表示。如此一來,該等組件之一些組件可為了圖像簡明而已自其實際比例失真。
資訊技術(IT)組織面臨網路威脅及高級攻擊。防火牆為網路安全的一重要部分。防火牆使用一規則集控制傳入及傳出網路訊務。一規則(例如)允許連接至一特定(網際網路協定(IP))位址、若該連接安全則 允許連接至一特定(IP)位址(例如,使用網際網路協定安全(IPsec))、阻擋連接至一特定(IP)位址、自一個IP位址重定向一連接至另一IP位址、登錄通信至一特定IP位址及/或自該特定IP位址登錄通信及其類似者。依一較低抽象層級的防火牆規則指示特定(IP)位址及協定,允許及/或不允許連接至該特定(IP)位址及協定。
管理一防火牆規則集係一困難挑戰。一些IT安全組織具有專用於維護防火牆政策(例如,防火牆規則集)的大量工作人員(例如,許多員工)。一防火牆規則集可具有成千上萬或甚至數十萬規則。
本發明技術之一些實施例允許IT安全組織依一高抽象層級產生及維護一防火牆規則集。抽象為一種用於藉由建立一複雜性層級來管理複雜性的技術,在該複雜性層級上一IT安全員工與系統互動,抑制當前層級下方的較複雜細節。如下文所解釋,所要的網路行為可在一高層級描述(例如,一宣告敘述(諸如「阻擋高風險訊務達至高價值資產」))中指定且(動態地)編譯以產生一(低層級)防火牆規則集。例如,一防火牆規則集包含(IP)位址且象徵性地表示為:10.0.0.310.1.2.3,10.0.2.310.1.2.3等等。
圖1繪示根據一些實施例之一系統100。系統100包含網路110及資料中心120。資料中心120包含防火牆130、選用核心交換機/路由器(亦稱為一核心器件)140、架頂式(ToR)交換機1501至150x及實體主機1601,1至160x,y
網路110(亦稱為一電腦網路或資料網路)為允許電腦交換資料的一電信網路。例如,在網路110中,網路計算器件沿著資料連接(例如,網路鏈)將資料傳遞給彼此。資料以封包的形式傳送。使用電纜媒體或無線媒體建立節點之間的連接。例如,網路110包含一區域網路(LAN)、無線區域網路(WLAN)、廣域網路(WAN)、都會區域網路(MAN)及其類似者中之至少一者。在一些實施例中,網路110包含網 際網路。
資料中心120為用以容置電腦系統及相關組件的一設施。資料中心120(例如)包括用於雲端計算服務或針對一特定組織之益處而操作的計算資源。資料中心設備(例如)大體上安裝於機櫃中,該等機櫃通常放置於其之間形成通道(例如,走道)的單個列中。防火牆130藉由基於一規則集控制傳入及傳出網路訊務而在資料中心120與網路110之間產生一屏障。
選用核心交換機/路由器140為一高容量交換機/路由器,其充當至網路110之一閘道器,且在ToR交換機1501與150x之間及ToR交換機1501及150x與網路110之間提供通信。ToR交換機1501及150x將實體主機1601,1至1601,y與實體主機160x,1至160x,y(分別)連接在一起,且連接至網路110(視情況通過核心交換機/路由器140)。例如,ToR交換機1501至150x使用封包交換之一形式以轉送資料至(實體主機1601,1至1601,y之)一目的地實體主機,且(僅)傳輸一所接收訊息至該實體主機(該訊息意欲至該實體主機)。
實體主機1601,1至160x,y為計算器件,其等充當計算伺服器(諸如刀鋒型伺服器)。就圖5來進一步描述計算器件。
圖2描繪根據各種實施例之(虛擬)環境200。在一些實施例中,環境200係在實體主機1601,1至160x,y(圖1)中之至少一者中實施。環境200包含超管理器210及虛擬機(VM)2401至240z。超管理器210視情況包含虛擬交換機220,且包含分佈式防火牆執行點2301至230z。VM 2401至240z各自包含作業系統(OS)2501至250z及應用程式(APP)2601至260z中之一各別者。
超管理器(亦稱為一虛擬機監測器(VMM))210為在實體主機1601,1至160x,y中之至少一者上運行的軟體,且超管理器210運行VM 2401至240z。(實體主機1601,1至160x,y之)一實體主機(超管理器210在該實體 主機上運行一或多個虛擬機2401至240z)亦稱為一主機。各VM亦稱為一客戶機。
例如,超管理器210允許多個OS 2501至250z共用(實體主機1601,1至160x,y之)一單個實體主機。OS 2501至250z中之各者似乎具有主機之處理器、記憶體及其他獨佔資源。然而,超管理器210實際上控制主機之處理器及資源,繼而分配所需至各作業系統,且確保客戶OS(例如,虛擬機2401至240z)無法使彼此中斷。就圖4來進一步描述OS 2501至250z
VM 2401至240z亦包含應用程式2601至260z。應用程式2601至260z為經設計以為一特定目的實行操作之程式。應用程式2601至260z包含網頁應用程式(亦稱為網頁app)、網頁伺服器、異動處理、資料庫及其類似軟體中之至少一者。應用程式2601至260z使用OS 2501至250z中之一各別OS來運行。
超管理器210視情況包含虛擬交換機220。虛擬交換機220為用於將VM 2401至240z連接網路之一邏輯交換機晶元。例如,虛擬交換機220為在(實體主機1601,1至160x,y之)一實體主機上運行之一程式,其允許(VM 2401至240z之)一VM與另一VM通信。
超管理器210亦包含虛擬防火牆執行點2301至230z。虛擬防火牆(亦稱為分佈式防火牆)執行點2301至230z為針對VM 2401至240z提供網路訊務過濾及監測之一防火牆服務。虛擬防火牆執行點2301至230z使用一規則集來控制至及自(VM 2401至240z之)一VM的網路訊務。一規則(例如)允許連接至一特定(IP)位址、若該連接安全則允許連接至一特定(IP)位址(例如,使用IPsec)、拒絕連接至一特定(IP)位址、自個一IP位址重定向一連接至另一IP位址(例如,重定向一連接至一蜜罐(honeypot)或瀝青坑(tar pit))、登錄通信至一特定IP位址,及/或自該特定IP位址登錄通信及其類似者。各位址為虛擬、實體或兩者。連接 傳入至各別VM、自各別VM傳出,或兩者。在名稱為「System and Method for Threat-Driven Security Policy Controls」之相關美國專利申請案(美國專利申請案序列號第14/673,679號)(其特此以引用的方式併入以用於所有目的)中進一步描述重定向。
在一些實施例中,登錄包含與藉由實體及/或虛擬防火牆執行點採取之動作(諸如允許行為、拒絕行為及登錄行為)相關聯的後設資料。例如,對於一網域名稱系統(DNS)請求,登錄與該DNS請求相關聯的後設資料及所採取的動作(例如,允許/轉送行為、拒絕/阻擋行為、重定向行為及登錄行為)。與其他(應用程式層)協定(例如,動態主機組態協定(DHCP)、網域名稱系統(DNS)、檔案傳送協定(FTP)、超文字傳送協定(HTTP)、網際網路訊息存取協定(IMAP)、郵局協定(POP)、安全殼(SSH)、安全通訊端層(SSL)、傳送層安全性(TLS)及其類似者)相關聯的活動及其各別後設資料可被另外或替代地登錄。
圖3繪示根據一些實施例之一種用於自一高層級宣告敘述(或政策)產生一低層級防火牆規則集的方法300。在各種實施例中,方法300藉由一計算系統執行,如關於圖5所描述。在步驟310處,接收至少一個宣告政策。例如,該宣告政策經由一圖形使用者介面(GUI)、命令行介面(CLI)、應用程式設計介面(API)及其類似者中之至少一者自一IT安全員工接收。該IT安全員工可為一直屬雇員或負責安全之承包商(例如,租戶政策請求之一可信任第三方仲裁者、首席安全官、防火牆管理者等等),其瞭解用於實施宣告政策之管理風險及順從性委任。在一些實施例中,API為一表示狀態傳送(REST)API。在各種實施例中,所接收之宣告政策為政策之一集合(例如,允許與一非PCI資產通信的一PCI資產、允許與一PCI資產通信的一非PCI資產、一PCI資產(不允許使用該PCI資產自一網路(例如,網際網路)存取)及其類似者)。例如,所接收之宣告政策為以一vArmour OS(vAOS)宣告政 策表之形式。
在一些實施例中,一政策表包含一來源、一目的地及一動作。各來源及目的地可依一高層級描述。例如,各來源及目的地為以下各項中之至少一者:一PCI、非PCI、高價值、高風險、運行一特定OS、在一特定地理位置處、與敏感資料相關聯、具有一特定應用程式生命週期,及其類似工作負載。下文進一步描述工作負載。該動作(例如)為允許/轉送、拒絕/阻擋或重定向通信。在各種實施例中,一政策表(另外)包含應用程式後設資料且係用於依該應用程式層級執行安全政策的一下一代防火牆(NGFW)政策表。例如,包含針對varmour.com之一獲取請求的一HTTP封包合理地判定轉到varmour.com。
一宣告政策反映負責任的IT安全組織的一安全意圖。宣告政策可大致分成三個類型:順從性政策、安全政策及租戶政策。順從性政策反映自政府、行業及其類似者之要求。以非限制性實例的方式,一順從性政策為一支付卡行業資料安全標準(PCI DSS)要求,其不允許PCI順從性資產(例如,實體主機、VM或兩者)與非PCI資產通信。其他實例包含基於地理位置之政策(例如,不允許敏感資料在瑞士外部)及資料敏感度(例如,敏感隔離資訊(SCI)工作負載僅可藉由美國公民存取)。在一些實施例中,(例如,公民身份之)判定包含在編譯時間及動態重新編譯時間處的一外部記錄系統(例如,與人力資源(HR)系統相關聯)之存取。
PCI DSS為用於處理來自主要卡品牌(其等包含Visa、MasterCard、American Express、Discover及Japan Credit Bureau)之品牌信用卡之組織的一專屬資訊安全標準。該標準包含一(範疇中/範疇外)要求,該要求不允許儲存、處理及轉送信用卡資訊之資產與不儲存、處理及轉送信用卡資訊之資產通信(例如,以符號表示為:PCI 非PCI)。
在各種實施例中,在編譯時間處,針對一當前快照(其資產為PCI及非PCI)存取一外部記錄系統(例如,IT資產管理資料庫)。例如,一或多個屬性(諸如一標誌、標籤、識別符或其他後設資料)可與各資產相關聯,指代資產為一PCI或非PCI資產(例如,一資產針對PCI標誌為範疇中或範疇外)。一PCI及/或非PCI資產之位置經受改變。PCI資產可藉由在地理上彼此遠離之不同實體主機上運行的超管理器(其等在相同超管理器至不同超管理器之範圍中)管理。例如,當一整個虛擬機自一個實體主機移動至另一實體主機時(諸如在一資料中心針對災難復原而失效切換期間),發生改變。
安全政策不必要反映政府或行業委任要求,而是安全「最佳實踐」。以非限制性實例的方式,安全政策包含「不允許高風險資產與高價值資產通信」(例如,以符號表示為:高風險高價值)及「不允許產前資產與生產資產通信」(以符號表示為:產前生產)。資產包含一實體主機、VM或兩者。高風險資產之實例包含一測試開發系統、一安全妥協系統及其類似者。高價值資產之實例包含企業資源規劃(ERP)系統、銷售點(POS)系統及其類似者。在一些實施例中,高風險資產、高價值資產及其類似者藉由一或多個屬性指代。
在一些實施例中,宣告政策(替代地或另外)係指應用程式生命週期狀態。例如,應用程式生命週期狀態包含需求、設計、構造、測試、除錯、部署、維護及其類似者。在各種實施例中,生命週期狀態藉由一或多個屬性指代。生命週期狀態經受改變。例如,今天的測試系統為明天的生產系統。在各種實施例中,(例如,應用程式生命週期狀態之)判定包含編譯時間處的一外部記錄系統(例如,應用程式生命週期管理系統)之存取。
租戶政策反映自應用程式開發者存取特定服務之一請求。然而 安全政策及順從性風險政策大體上係負面的(例如,禁止通信),應用程式政策或租戶政策大體上係正面的(例如,請求特定通信),此係因為應用程式開發者通常依據藉由一應用程式使用之服務來考慮。以非限制性實例的方式,針對一新電子郵件伺服器,應用程式發開者請求對至少一DNS服務、簡易郵件傳送協定(SMTP)服務及輕量級目錄存取協定(LDAP)服務之存取。視情況提供網際網路訊息存取協定(IMAP)服務、郵局協定(POP)服務、訊息應用程式設計介面(MAPI)服務及安全通訊端層(SSL)服務中之至少一者。
在步驟320處,資訊(例如,屬性)自外部記錄系統收集。外部激勵系統包含一HR資料庫、改變管理資料庫、應用程式生命週期管理系統、IT資產管理資料庫、定制資料庫及其類似者中之一或多者。以非限制性實例的方式,外部記錄系統為以下各項中之至少一者:Microsoft Active Directory(AD)、ServiceNow、VMware vCenter、Apache CloudStack、OpenStack及其類似者。
在步驟330處,使用自外部記錄系統之資訊編譯宣告政策以產生一防火牆規則集。就圖4來進一步描述編譯。
在步驟340處,視情況(例如)針對存在(例如,為所定義之PCI資產之一群組)、一致性/衝突(例如,為定義為一PCI與非PCI資產兩者的一資產)、無關/冗餘/重疊(例如,不促成安全政策之規則)及其類似者中之至少一者檢查及校正(低層級)防火牆規則集。
在步驟350處,該防火牆規則集提供至一硬體防火牆及一分佈式防火牆執行點中之至少一者。例如,該防火牆規則集自動推出至一硬體防火牆及一分佈式防火牆執行點中之至少一者。在一些實施例中,該防火牆規則集提供至一執行點(EP)及/或執行點檢查器(EPi)。在名稱為「Methods and Systems for Orchestrating Physical and Virtual Switches to Enforce Security Boundaries」之相關美國專利申請案(美 國專利申請案序列號第14/677,827號)(其全部內容特此以引用的方式併入)中進一步描述EP及EPi。當編譯宣告政策時,判定該至少一個硬體防火牆及分佈式防火牆執行點(該防火牆規則集部署至該至少一個硬體防火牆及分佈式防火牆執行點),如就圖4所進一步描述。
方法300重複步驟310或步驟320。依此方式,動態地評估宣告政策以保持最新變化至實體主機及/或VM。在一些實施例中,方法300之動態重新編譯(亦稱為刷新)為手動及自動中之至少一者。例如,IT安全員工藉由提供標記(例如,點擊一GUI中所提供的一「確定」按鈕)觸發編譯及評估。當添加一新工作負載(例如,VM)時,一後續手動刷新可自(例如)該IT安全員工接收,此係因為當前工作負載及新工作負載之屬性改變。以另一非限制性實例的方式,在具有一預設值的一可組態時間間隔之後,自動發生刷新。另一實例為當發生潛在值之一改變(例如,其(若干)系統為高風險改變)時,自動或手動發生刷新。
圖4繪示根據一些實施例之一種用於編譯一宣告政策之方法330。以非限制性實例的方式,就安全政策「不允許高風險資產與高價值資產通信」(例如,以符號表示為:高風險高價值)來描述方法330。
在步驟400處,處理該宣告政策以產生至少一個編譯值。可在編譯時間處,評估及選擇性地應用該宣告政策。例如,總是應用/編譯一些宣告政策(諸如總是被遵循之順從性政策)。使用條件(例如,時間)及至少一個屬性選擇性地應用其他政策。例如,因為一宣告政策可在9:00AM與5:00PM之間生效,所以若編譯時間在9:00AM與5:00PM之間,則明確地應用/編譯該宣告政策,且否則不編譯或無論如何(例如,不關心)編譯該宣告政策。
以另一非限制性實例的方式,使用攻擊相關性(例如,使用工作 負載作業系統,(諸如)當達至一Linux主機時,不應用/編譯去往微軟視窗特定服務之通信)應用/編譯一宣告政策。另一非限制性實例為風險計分資產值(例如,一不同層級之安全被提供至一高價值資產(諸如與一非高價值資產(諸如一測試開發系統)相反之一高價值資產(諸如一核心順序處理系統))。
在一些實施例中,一宣告政策經標誌/標注,使得編譯器可判定在何種條件(若存在)下應用該宣告政策。可使用一可延伸標示語言(XML)式樣標誌系統,其包含用於工作負載名稱、時間、值及其類似者中之至少一者的標誌。
在一些實施例中,一編譯規則為存取屬性之一集合。例如,存取屬性包含來源IP位址、來源連接埠、目的地IP位址、目的地連接埠、目的地協定及動作(例如,允許/轉送、拒絕/阻擋、重定向等等)中之至少一者。一網際網路協定(IP)位址為指派至參與一電腦網路(其使用用於通信的網際網路協定)中之各器件(例如,實體主機、VM、印表機及其類似者)的數值標籤。一連接埠為充當一實體主機之作業系統及/或VM之作業系統中之一通信端點之一軟體構造。一連接埠大體上與一實體主機及/或VM之IP位址及通信之協定類型相關聯。
在步驟410處,接收一或多個工作負載。一工作負載為一VM之一執行個體。在一些實施例中,所接收的工作負載係自一外部記錄系統(諸如用於管理VM之一系統(例如,VMware vCenter、Apache CloudStack、OpenStack及其類似者))接收。
在步驟420處,收集工作負載屬性。在一些實施例中,工作負載屬性係自一外部記錄系統及網路行為(例如,一SMTP伺服器使用各種協定(諸如SMTP、IMAP、DNS及其類似者)通信)之分析中的至少一者收集。工作負載屬性係與一工作負載相關聯,且包含以下各項中之至少一者:應用程式名稱、應用程式風險、應用程式所有者、所產生之 時間、業務所有者、業務目的、資產值、PCI、非PCI、相關聯資料之相對機密性、器件構形及/或姿態(例如,OS版本、插線層級、系統類型等等)、網際網路協定(IP)位址、DNS名稱、順從性相關屬性(例如,針對1996年之健康保險可攜性及可歸責性法案(HIPAA)、2002年之聯邦資訊安全管理法案(FISMA)等等)及其類似者。應用程式風險為與工作負載相關聯的風險。例如,「高」風險工作負載包含遠端登入協定、FTP及其類似者。「低」風險工作負載包含安全殼(SSH)。在一些實施例中,應用程式風險為一數目範圍(諸如低風險為0,且高風險為5)。應用程式風險可為用以指代高至低(及低至高)應用程式風險之任何其他範圍(整數及/或分數)的數字。
在各種實施例中,一網路拓撲係自由一外部記錄系統及網路行為之分析中之至少一者提供的資訊判定。使用所判定網路拓撲,判定部署該防火牆規則集的至少一個適當硬體及/或分佈式防火牆執行點。
所產生之時間可為一日期(及時間)戳記,工作負載之一年齡(例如,一月大、一周大、昨天產生、今天產生等等)可自該日期(及時間)戳記判定。所有者可指代所有者之角色/責任;此為一雇員、IT管理者、開發者、無相關聯所有者及其類似者。
在一些實施例中,屬性為定性的(且隨後量化)。以實例的方式且無限制,資產值為「高」、「中」或「低」;PCI財產為PCI或非PCI;且生產狀態為產前或生產。
在步驟430處,使用工作負載屬性計算針對各工作負載之一工作負載得分。在一些實施例中,在一預定義範圍之數目內量化各工作負載屬性(例如,表達為一整數及/或分數),且可使用任何範圍之數目。評估工作負載屬性之值以判定與工作負載相關聯的一數值得分。例如,使用工作負載屬性值計算一總和、平均數、加權平均數及其類似 者以產生得分。得分值之範圍可為任何範圍之數目,例如,得分可在0至99之範圍中。
在步驟440處,將得分與一預定臨限值(亦稱為一極限)比較。儘管圖4中展示得分大於預定臨限值,但可使用其他比較(例如,大於或等於、等於、小於及小於或等於)。該預定臨限值為一數目,超過該數目工作負載視為高風險。該預定臨限值可為得分值之範圍中的任何數目(諸如0至99之一範圍中的75)。使用該比較,相關聯工作負載判定為高風險或非高風險(例如,低風險)。回應於一高風險判定,方法300繼續步驟450。回應於一非高風險判定,方法330視情況繼續步驟410,其中識別一不同工作負載。
在步驟450處,識別與工作負載相關聯的(IP)位址、連接埠數目及其類似者中之至少一者。
在步驟460處,使用(IP)位址、連接埠數目及其類似者中之所識別之至少一者及編譯規則產生一(低層級)防火牆規則集。例如,根據該編譯規則,一防火牆規則包含所識別之(IP)位址作為一來源IP位址及/或目的地IP位址、一來源連接埠、一目的地連接埠、一目的地協定及動作(例如,允許/轉送、拒絕/阻擋、重定向等等)。在一些實施例中,該防火牆規則允許連接至一特定(IP)位址、若該連接安全則允許連接至一特定(IP)位址(例如,使用IPsec)、拒絕連接至一特定(IP)位址、自一個IP位址重定向一連接至另一IP位址、登錄通信至一特定IP位址及/或自該特定IP位址登錄通信及其類似者。以另一非限制性實例的方式,該防火牆規則集象征性地表示為:10.0.0.310.1.2.3,10.0.2.310.1.2.3等等。
本發明之各種實施例提供以下益處:防止東西向橫向展開(例如,藉由控制資產之間的訊務)、達成雲端伺服器之更高利用(例如,不同租戶/VM可在相同實體主機及/或實體主機之機架中操作)、適應 於實體及虛擬資產分配(例如,透過動態重新編譯)的改變及授權IT安全工作人員使用意欲及所要的結果控制防火牆(例如,藉由自一高層級宣告政策產生低層級防火牆規則)。
根據一些實施例之宣告政策有利地不需要對執行點(例如,硬體及/或分佈式防火牆執行點)之界定。替代地,如關於圖4所描述判定-執行點-該防火牆規則集部署至該執行點。
圖5繪示可用以實施本發明之一些實施例的一例示性電腦系統500。圖5中之電腦系統500可在計算系統、網絡、伺服器或其組合之類似物之脈絡中實施。圖5中之電腦系統500包含一或多個處理器單元510及主記憶體520。主記憶體520部分地儲存用於藉由(若干)處理器單元510執行之指令及資料。在此實例中,當操作時,主記憶體520儲存可執行程式碼。圖5中之電腦系統500進一步包含一大量資料儲存裝置530、可攜式儲存器件540、輸出器件550、使用者輸入器件560、一圖形顯示系統570及(若干)周邊器件580。
圖5中所展示組件描繪為經由一單個匯流排590連接。該等組件可透過一或多個資料傳送構件連接。(若干)處理器單元510及主記憶體520經由一局部微處理器匯流排連接,且大量資料儲存裝置530、(若干)周邊器件580、可攜式儲存器件540及圖形顯示系統570經由一或多個輸入/輸出(I/O)匯流排連接。
大量資料儲存裝置530(其可使用一磁性磁碟機、固態磁碟機或一光碟機實施)為用於儲存藉由(若干)處理器單元510使用之資料及指令的一非揮發性儲存器件。大量資料儲存裝置530儲存系統軟體,該系統軟體用於出於將該軟體載入至主記憶體520中之目的而實施本發明之實施例。
可攜式儲存器件540結合一可攜式非揮發性儲存媒體(諸如一快閃驅動器、軟磁碟、光碟、數位視訊光碟或通用串列匯流排(USB)儲存 器件)操作以將資料及程式碼輸入至圖5中之電腦系統500及自圖5中之電腦系統500輸出資料及程式碼。用於實施本發明之實施例的系統軟體儲存在此一可攜式媒體上且經由可攜式儲存器件540輸入至電腦系統500。
使用者輸入器件560可提供一使用者介面之一部分。使用者輸入器件560可包含一或多個麥克風、一文數小鍵盤(諸如一鍵盤,其用於輸入文數及其他資訊)或一指向器件(諸如一滑鼠、一軌跡球、觸控筆或遊標方向鍵)。使用者輸入器件560亦可包含一觸摸螢幕。另外,如圖5中所展示之電腦系統500包含輸出器件550。適合輸出器件550包含擴音器、印表機、網路介面及監測器。
圖形顯示系統570包含一液晶顯示器(LCD)或其他適合顯示器件。圖形顯示系統570可組態以接收文字及圖形資訊且處理該資訊用於輸出至該顯示器件。
(若干)周邊器件580可包含任何類型之電腦支援器件以添加額外功能性至該電腦系統。
圖5中之電腦系統500中所提供的組件為通常存在於電腦系統中的彼等組件,其等可適合於與本發明之實施例一起使用且意欲表示所屬技術領域中已知之此等電腦組件之一廣泛種類。因此,圖5中之電腦系統500可為一個人電腦(PC)、手持式電腦系統、電話、行動電腦系統、工作站、平板電腦、平板手機、行動電話、伺服器、迷你電腦、主機電腦、可穿戴式或任何其他電腦系統。電腦亦可包含不同匯流排組態、網路平台、多處理器平台及其類似者。可使用各種作業系統,其等包含UNIX、LINUX、WINDOWS、MAC OS、PALM OS、QNX ANDROID、IOS、CHROME及其他適合作業系統。
上文描述之功能中之一些功能可由儲存在儲存媒體(例如,電腦可讀媒體)上的指令構成。該等指令可藉由處理器擷取及執行。儲存 媒體之一些實例為記憶體器件、磁帶、磁碟及其類似者。當藉由處理器執行時,該等指令經操作以引導處理器根據本技術操作。熟習此項技術者熟知指令、(若干)處理器及儲存媒體。
在一些實施例中,計算系統500可實施為一基於雲端之計算環境(諸如在一計算雲端內操作的一虛擬機)。在其他實施例中,計算系統500自身可包含一基於雲端之計算環境,其中計算系統500之功能性以一分佈式方式執行。因此,當組態為一計算雲端時,計算系統500可包含各種形式之複數個計算器件,如下文將更詳細描述。
一般而言,一基於雲端之計算環境為一資源,該資源通常組合處理器之一較大分組(諸如在網頁伺服器內)之計算能力及/或組合電腦記憶體及/或儲存器件之一較大分組之儲存能力。提供基於雲端之資源的系統可藉由其所有者專門利用或此等系統可被外部使用者(其在計算基礎設施內部署應用程式以獲得較大計算或儲存資源之益處)存取。
雲端藉由(例如)網頁伺服器(其包括複數個計算器件(諸如計算系統500))之一網路形成,其中各伺服器(或至少其複數個伺服器)提供處理器及/或儲存資源。此等伺服器管理藉由多個使用者(例如,雲端資源客戶或其他使用者)提供之工作負載。通常,各使用者將工作負載要求施加於即時變動(有時劇烈變動)之雲端。此等變動之本質及程度通常取決於與使用者相關聯的業務之類型。
值得注意的是適合於執行本文所描述之處理的任何硬體平台適合於與本技術一起使用。本文中使用之術語「電腦可讀儲存媒體(medium)」及「電腦可讀儲存媒體(media)」係指參與提供指令至一CPU以用於執行的任一或任何媒體。此等媒體可採取許多形式,其等包含但不限於非揮發性媒體、揮發性媒體及傳輸媒體。非揮發性媒體包含(例如)光碟、磁碟及固態磁碟(諸如一固定磁碟)。揮發性媒體包 含動態記憶體(諸如系統RAM)。傳輸媒體包含同軸纜線、銅線及光纖,尤其包含包括一匯流排之一項實施例之線。傳輸媒體亦可採取聲波或光波之形式,諸如在射頻(RF)及紅外線(IR)資料通信期間所產生之彼等聲波或光波。電腦可讀媒體之一般形式包含(例如)一軟磁碟、一軟性磁碟、一硬碟、磁帶、任何其他磁性媒體、一CD-ROM磁碟、數位視訊光碟(DVD)、任何其他光學媒體、具有記號或孔之圖案的任何其他實體媒體、一RAM、一PROM、一EPROM、一EEPROM、一FLASH記憶體、任何其他記憶體晶片或資料交換配接器、一載波或任何其他媒體(一電腦可自該媒體讀取)。
各種形式之電腦可讀媒體可涉及將一或多個指令之一或多個序列載運至一CPU以用於執行。一匯流排將資料載運至系統RAM,一CPU自該系統RAM擷取且執行該等指令。藉由系統RAM接收之指令可視情況在藉由一CPU執行之前或之後儲存在一固定磁碟上。
用於實行針對本範明之態樣之操作的電腦程式碼可以一或多個程式設計語言(其等包含一物件導向式程式設計語言(諸如JAVA、SMALLTALK、C++或其類似者)及習知程序性程式設計語言(諸如「C」程式設計語言或相似程式設計語言))之任何組合寫入。程式碼可全部在使用者之電腦上執行、部分在使用者之電腦上執行作為一獨立軟體封裝、部分在使用者之電腦上執行且部分在一遠端電腦上執行或全部在該遠端電腦或伺服器上執行。在後一情景中,該遠端電腦可透過任何類型之網路(其包含區域網路(LAN)或廣域網路(WAN))連接至使用者之電腦,或可連接至一外部電腦(例如,使用一網際網路服務提供者透過網際網路)。
下文之申請專利範圍中的所有方法或步驟及功能元件之對應結構、材料、動作及等效物意欲包含用於執行功能的任何結構、材料或動作與如所具體主張之其他所主張元件之組合。已出於繪示及描述之 目的呈現本發明之描述,但不意欲為窮舉性或將本發明限於所揭示之形式。熟習一般技術者將明白許多修改及變動而不會背離本發明之範疇及精神。選擇及描述例示性實施例以最佳解釋本發明技術之原理及其實際應用,且使其他一般技術者能夠理解本發明之各種實施例以及適合於特定預期用途之各種修改。
上文參考根據本發明之實施例之方法、裝置(系統)及電腦程式產品之流程圖繪示及/方塊圖描述本發明之態樣。應瞭解流程圖繪示及/或方塊圖之各區塊,及流程圖繪示及/或方塊圖中之區塊之組合可藉由電腦程式指令實施。此等電腦程式指令可提供至一通用電腦之一處理器、專用電腦或其他可程式化資料處理裝置以產生一機器,使得該等指令(其等經由電腦之處理器或其他可程式化資料處理裝置執行)產生用於實施流程圖及/或方塊圖區塊中所指定之功能/動作之方法。
此等電腦程式指令亦可儲存在一電腦可讀媒體中,該電腦可讀媒體可引導一電腦、其他可程式化資料處理裝置或其他器件以一特定方式作用,使得儲存在該電腦可讀媒體中之指令產生一製造物件,其包含指令,該等指令實施流程圖及/或方塊圖區塊中所指定之功能/動作。
該等電腦程式指令亦可載入至一電腦、其他可程式化資料處理裝置或其他器件上以引起一系列操作步驟在該電腦、其他可程式化裝置或其他器件上執行以產生一電腦實施程序,使得該等指令(其等在該電腦或其他可程式化裝置上執行)提供程序以用於實施流程圖及/或方塊圖區塊中所指定之功能/動作。
圖中之流程圖及方塊圖繪示根據本發明技術之各種實施例之系統、方法及電腦程式產品之可能實施方案之架構、功能性及操作。據此而言,流程圖或方塊圖中的各區塊可表示一模組、區段或程式碼之部分,其包括用於實施(若干)指定邏輯功能的一或多個可執行指令。 亦應注意,在一些替代實施方案中,區塊中所註釋之功能可脫離圖中所註釋之順序而發生。例如,依序展示的兩個區塊事實上可實質上同時執行,或該等區塊有時可以相反順序執行,取決於所涉及之功能性。亦應注意,方塊圖及/或流程圖繪示之各區塊及方塊圖及/或流程圖繪示中之區塊之組合可藉由基於專用硬體之系統(其等執行指定功能或動作)或專用硬體及電腦指令之組合實施。
已出於繪示及描述之目的呈現本發明技術之描述,但不意欲為窮舉性或將本發明限於所揭示之形式。熟習一般技術者將明白許多修改及變動而不會背離本發明之範疇及精神。選擇及描述例示性實施例以最佳解釋本發明技術之原理及其實際應用,且使其他一般技術者能夠理解本發明之各種實施例以及適合於特定預期用途之各種修改。
100‧‧‧系統
110‧‧‧網路
120‧‧‧資料中心
130‧‧‧防火牆
140‧‧‧核心交換機/路由器/核心器件
1501至150x‧‧‧架頂式交換機
1601,1至1601,y‧‧‧實體主機
160x,1至160x,y‧‧‧實體主機

Claims (20)

  1. 一種用於產生一防火牆規則集的電腦實施方法,其包括:接收與一電腦網路安全政策相關聯之一宣告政策,該宣告政策包含至少一個預定種類及與該預定種類相關聯的動作,該預定種類指示複數個工作負載,該動作為轉送、阻擋、重定向及登錄中之至少一者;自至少一個外部記錄系統收集資訊,該資訊與該至少一個種類相關聯;使用該宣告政策及該資訊來產生一防火牆規則集,該防火牆規則集包含工作負載位址,至該等工作負載位址或來自該等工作負載位址之網路通信被進行以下各項中之至少一者:轉送、阻擋、重定向及登錄,該防火牆規則集係處於比該宣告政策低之一抽象層級;及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,各執行點使用該防火牆規則集來監管各別工作負載之間的網路通信。
  2. 如請求項1之電腦實施方法,其中透過一圖形使用者介面、一命令行介面及一應用程式設計介面中之至少一者來接收該宣告政策。
  3. 如請求項2之電腦實施方法,其中以一表狀形式接收該宣告政策。
  4. 如請求項1之電腦實施方法,其中該宣告政策為不允許與高價值資產通信的高風險資產。
  5. 如請求項4之電腦實施方法,其中該資訊包含一電腦網路中之資產,及一風險層級,以及與各資產相關聯之一值。
  6. 如請求項1之電腦實施方法,其中該提供包含發送一更新至至少一個超管理器,該更新包含該防火牆規則集。
  7. 如請求項1之電腦實施方法,其中該產生包括:接收與該宣告政策相關聯之一工作負載;使用該資訊來判定與該工作負載相關聯的屬性;使用該等屬性來計算一得分;比較該得分與一預定臨限值;回應於該比較而識別與該工作負載相關聯的位址;及使用與該工作負載相關聯的該等位址來產生該防火牆規則集。
  8. 如請求項7之電腦實施方法,其中使用該等屬性之一總和來進一步計算該得分。
  9. 如請求項1之電腦實施方法,進一步包括:針對該等位址之間之一衝突及重疊中之至少一者來檢查該防火牆規則集;及回應於找到該衝突及重疊中之至少一者而校正該防火牆規則集。
  10. 如請求項1之電腦實施方法,進一步包括:回應於自一使用者之一輸入、自另一外部記錄系統之一輸入及經過之一預定時間量中之至少一者,而自至少一個外部記錄系統重新收集資訊;使用該宣告政策及該重新收集之資訊來重新產生該防火牆規則集,該防火牆規則集包含不允許至或來自其之網路通信的位址。
  11. 一種用於產生一防火牆規則集之系統,其包括:一處理器;及 一記憶體,其經通信地耦合至該處理器,該記憶體儲存可藉由該處理器執行以執行一方法之指令,該方法包括:接收與一電腦網路安全政策相關聯之一宣告政策,該宣告政策包含至少一個預定種類及與該預定種類相關聯的動作,該預定種類指示複數個工作負載,該動作為轉送、阻擋、重定向及登錄中之至少一者,自至少一個外部記錄系統收集資訊,該資訊係與該至少一個種類相關聯,使用該宣告政策及該資訊來產生一防火牆規則集,該防火牆規則集包含工作負載位址,至該等工作負載位址或來自該等工作負載位址之網路通信被進行以下各項中之至少一者:轉送、阻擋、重定向及登錄,該防火牆規則集係處於比該宣告政策低之一抽象層級,及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,各執行點使用該防火牆規則集來監管各別工作負載之間的網路通信。
  12. 如請求項11之系統,其中透過一圖形使用者介面、一命令行介面及一應用程式設計介面中之至少一者來接收該宣告政策。
  13. 如請求項12之系統,其中以一表狀形式接收該宣告政策。
  14. 如請求項11之系統,其中該宣告政策為不允許與高價值資產通信的高風險資產。
  15. 如請求項14之系統,其中該資訊包含一電腦網路中之資產,及一風險層級,以及與各資產相關聯之一值。
  16. 如請求項11之系統,其中該提供包含發送一更新至至少一個超管理器,該更新包含該防火牆規則集。
  17. 如請求項11之系統,其中該產生包括: 接收與該宣告政策相關聯之一工作負載;使用該資訊來判定與該工作負載相關聯的屬性;使用該等屬性來計算一得分;比較該得分與一預定臨限值;回應於該比較而識別與該工作負載相關聯的位址;及使用該等位址來產生該防火牆規則集。
  18. 如請求項17之系統,其中使用該等屬性之一總和來進一步計算該得分。
  19. 如請求項11之系統,進一步包括:回應於自一使用者之一輸入、自另一外部記錄系統之一輸入及經過之一預定時間量中之至少一者,而自至少一個外部記錄系統重新收集資訊;使用該宣告政策及該重新收集之資訊來重新產生該防火牆規則集,該防火牆規則集包含不允許至或來自其之網路通信的位址。
  20. 一種非暫時電腦可讀儲存媒體,其上經體現有一程式,該程式可藉由一處理器執行以實施用於產生一防火牆規則集之一方法,該方法包括:接收與一電腦網路安全政策相關聯之一宣告政策,該宣告政策包含至少一個預定種類及與該預定種類相關聯的動作,該預定種類指示複數個工作負載,該動作為轉送、阻擋、重定向及登錄中之至少一者;自至少一個外部記錄系統收集資訊,將評估該資訊,且將工作負載與該至少一個種類相關聯;使用該宣告政策及該資訊來產生一防火牆規則集,該防火牆規則集包含工作負載位址,至該等工作負載位址或來自該等工 作負載位址之網路通信被進行以下各項中之至少一者:轉送、阻擋、重定向及登錄,該防火牆規則集係處於比該宣告政策低之一抽象層級;及將該防火牆規則集供應至一分佈式防火牆的複數個執行點,各執行點使用該防火牆規則集來監管各別工作負載之間的網路通信。
TW105109781A 2015-03-30 2016-03-28 條件式宣告政策 TW201642616A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US14/673,640 US9380027B1 (en) 2015-03-30 2015-03-30 Conditional declarative policies

Publications (1)

Publication Number Publication Date
TW201642616A true TW201642616A (zh) 2016-12-01

Family

ID=56136532

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105109781A TW201642616A (zh) 2015-03-30 2016-03-28 條件式宣告政策

Country Status (3)

Country Link
US (3) US9380027B1 (zh)
TW (1) TW201642616A (zh)
WO (1) WO2016160523A1 (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609083B2 (en) 2011-02-10 2017-03-28 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9621595B2 (en) 2015-03-30 2017-04-11 Varmour Networks, Inc. Conditional declarative policies
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10009317B2 (en) 2016-03-24 2018-06-26 Varmour Networks, Inc. Security policy generation using container metadata
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9560081B1 (en) * 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9692727B2 (en) * 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10021117B2 (en) * 2016-01-04 2018-07-10 Bank Of America Corporation Systems and apparatus for analyzing secure network electronic communication and endpoints
US11038845B2 (en) 2016-02-23 2021-06-15 Nicira, Inc. Firewall in a virtualized computing environment using physical network interface controller (PNIC) level firewall rules
US10873566B2 (en) * 2016-02-23 2020-12-22 Nicira, Inc. Distributed firewall in a virtualized computing environment
US9787639B1 (en) * 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10523512B2 (en) * 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10778645B2 (en) * 2017-06-27 2020-09-15 Microsoft Technology Licensing, Llc Firewall configuration manager
CN108494766A (zh) * 2018-03-21 2018-09-04 北京知道创宇信息技术有限公司 Waf规则管理方法及waf群组
US10848552B2 (en) * 2018-03-29 2020-11-24 Hewlett Packard Enterprise Development Lp Determining whether to perform address translation to forward a service request or deny a service request based on blocked service attributes in an IP table in a container-based computing cluster management system
US11128530B2 (en) 2018-03-29 2021-09-21 Hewlett Packard Enterprise Development Lp Container cluster management
US10942788B2 (en) 2018-06-15 2021-03-09 Vmware, Inc. Policy constraint framework for an sddc
US10812337B2 (en) 2018-06-15 2020-10-20 Vmware, Inc. Hierarchical API for a SDDC
US11086700B2 (en) 2018-08-24 2021-08-10 Vmware, Inc. Template driven approach to deploy a multi-segmented application in an SDDC
US10628144B2 (en) 2018-08-24 2020-04-21 Vmware, Inc. Hierarchical API for defining a multi-segmented application in an SDDC
US10999251B2 (en) * 2018-09-28 2021-05-04 Juniper Networks, Inc. Intent-based policy generation for virtual networks
US11606301B2 (en) 2019-04-23 2023-03-14 Hewlett Packard Enterprise Development Lp Verifying intents in stateful networks using atomic address objects
US11184325B2 (en) * 2019-06-04 2021-11-23 Cisco Technology, Inc. Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
CN115380514B (zh) 2020-04-01 2024-03-01 威睿有限责任公司 为异构计算元件自动部署网络元件
US11803408B2 (en) 2020-07-29 2023-10-31 Vmware, Inc. Distributed network plugin agents for container networking
US11863352B2 (en) 2020-07-30 2024-01-02 Vmware, Inc. Hierarchical networking for nested container clusters
US11165649B1 (en) * 2020-09-21 2021-11-02 Cradlepoint, Inc. Filter-based composition of networking device configuration
US11829793B2 (en) 2020-09-28 2023-11-28 Vmware, Inc. Unified management of virtual machines and bare metal computers
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11848829B2 (en) * 2020-11-06 2023-12-19 Salesforce, Inc. Modifying a data center based on cloud computing platform using declarative language and compiler
US11601399B2 (en) 2021-01-20 2023-03-07 Bank Of America Corporation System and method for detecting forbidden network accesses based on zone connectivity mapping
US11606254B2 (en) 2021-06-11 2023-03-14 Vmware, Inc. Automatic configuring of VLAN and overlay logical switches for container secondary interfaces
US20230104568A1 (en) 2021-10-04 2023-04-06 Juniper Networks, Inc. Cloud native software-defined network architecture for multiple clusters
US20230231741A1 (en) 2022-01-14 2023-07-20 Vmware, Inc. Per-namespace ip address management method for container networks
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11848910B1 (en) 2022-11-11 2023-12-19 Vmware, Inc. Assigning stateful pods fixed IP addresses depending on unique pod identity
US11831511B1 (en) 2023-01-17 2023-11-28 Vmware, Inc. Enforcing network policies in heterogeneous systems

Family Cites Families (228)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147993A (en) 1997-10-14 2000-11-14 Cisco Technology, Inc. Method and apparatus for implementing forwarding decision shortcuts at a network switch
US6484261B1 (en) 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6779118B1 (en) 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
US6253321B1 (en) 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6765864B1 (en) 1999-06-29 2004-07-20 Cisco Technology, Inc. Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US6578076B1 (en) 1999-10-18 2003-06-10 Intel Corporation Policy-based network management system using dynamic policy generation
US20020031103A1 (en) 2000-05-02 2002-03-14 Globalstar L.P. User terminal employing quality of service path determination and bandwidth saving mode for a satellite ISP system using non-geosynchronous orbit satellites
US20070192863A1 (en) 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7096260B1 (en) 2000-09-29 2006-08-22 Cisco Technology, Inc. Marking network data packets with differentiated services codepoints based on network load
US20020066034A1 (en) 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
WO2002098100A1 (en) 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US6992985B1 (en) 2001-06-29 2006-01-31 Nokia Inc. Method and system for auto discovery of IP-based network elements
US7028179B2 (en) 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US7546629B2 (en) 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7904454B2 (en) 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7165100B2 (en) 2001-07-24 2007-01-16 At&T Corp. Method and apparatus for packet analysis in a network
US7058712B1 (en) 2002-06-04 2006-06-06 Rockwell Automation Technologies, Inc. System and methodology providing flexible and distributed processing in an industrial controller environment
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7849495B1 (en) 2002-08-22 2010-12-07 Cisco Technology, Inc. Method and apparatus for passing security configuration information between a client and a security policy server
US7467408B1 (en) 2002-09-09 2008-12-16 Cisco Technology, Inc. Method and apparatus for capturing and filtering datagrams for network security monitoring
US7313098B2 (en) 2002-09-30 2007-12-25 Avaya Technology Corp. Communication system endpoint device with integrated call synthesis capability
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US20050033989A1 (en) 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7035257B2 (en) 2002-11-14 2006-04-25 Digi International, Inc. System and method to discover and configure remotely located network devices
US7397794B1 (en) 2002-11-21 2008-07-08 Juniper Networks, Inc. Systems and methods for implementing virtual switch planes in a physical switch fabric
US7516476B1 (en) 2003-03-24 2009-04-07 Cisco Technology, Inc. Methods and apparatus for automated creation of security policy
WO2004107130A2 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7203944B1 (en) 2003-07-09 2007-04-10 Veritas Operating Corporation Migrating virtual machines among computer systems to balance load caused by virtual machines
US7254713B2 (en) 2003-09-11 2007-08-07 Alcatel DOS attack mitigation using upstream router suggested remedies
WO2005032042A1 (en) 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US20050114829A1 (en) 2003-10-30 2005-05-26 Microsoft Corporation Facilitating the process of designing and developing a project
US7725937B1 (en) 2004-02-09 2010-05-25 Symantec Corporation Capturing a security breach
US7373524B2 (en) 2004-02-24 2008-05-13 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user behavior for a server application
US20050190758A1 (en) 2004-03-01 2005-09-01 Cisco Technology, Inc. Security groups for VLANs
US7586922B2 (en) 2004-03-12 2009-09-08 Telefonaktiebolaget Lm Ericsson (Publ) Providing higher layer packet/frame boundary information in GRE frames
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US20050246241A1 (en) 2004-04-30 2005-11-03 Rightnow Technologies, Inc. Method and system for monitoring successful use of application software
US7620986B1 (en) 2004-06-14 2009-11-17 Xangati, Inc. Defenses against software attacks in distributed computing environments
JP4379223B2 (ja) 2004-06-18 2009-12-09 日本電気株式会社 動作モデル作成システム、動作モデル作成方法および動作モデル作成プログラム
JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8677496B2 (en) 2004-07-15 2014-03-18 AlgoSec Systems Ltd. Method and apparatus for automatic risk assessment of a firewall configuration
US20060037077A1 (en) 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
US7475424B2 (en) 2004-09-02 2009-01-06 International Business Machines Corporation System and method for on-demand dynamic control of security policies/rules by a client computing device
US7519079B2 (en) 2004-09-08 2009-04-14 Telefonaktiebolaget L M Ericsson (Publ) Generic routing encapsulation over point-to-point protocol
GB2418326B (en) 2004-09-17 2007-04-11 Hewlett Packard Development Co Network vitrualization
US8032937B2 (en) 2004-10-26 2011-10-04 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
NZ560377A (en) 2005-02-04 2009-08-28 Bp Australia Pty Ltd System and method for evaluating initiatives adapted to deliver value to a customer
US8056124B2 (en) * 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
US7961739B2 (en) 2005-07-21 2011-06-14 Genband Us Llc Systems and methods for voice over multiprotocol label switching
US9467462B2 (en) 2005-09-15 2016-10-11 Hewlett Packard Enterprise Development Lp Traffic anomaly analysis for the detection of aberrant network code
JP4482816B2 (ja) 2005-09-27 2010-06-16 日本電気株式会社 ポリシ処理装置、方法、及び、プログラム
US7996255B1 (en) 2005-09-29 2011-08-09 The Mathworks, Inc. System and method for providing sales leads based on-demand software trial usage
US8104033B2 (en) 2005-09-30 2012-01-24 Computer Associates Think, Inc. Managing virtual machines based on business priorty
US8499330B1 (en) 2005-11-15 2013-07-30 At&T Intellectual Property Ii, L.P. Enterprise desktop security management and compliance verification system and method
US20070168971A1 (en) 2005-11-22 2007-07-19 Epiphany, Inc. Multi-tiered model-based application testing
US7694181B2 (en) 2005-12-12 2010-04-06 Archivas, Inc. Automated software testing framework
US9015299B1 (en) 2006-01-20 2015-04-21 Cisco Technology, Inc. Link grouping for route optimization
US20070174429A1 (en) 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US8613088B2 (en) 2006-02-03 2013-12-17 Cisco Technology, Inc. Methods and systems to detect an evasion attack
CA2644386A1 (en) 2006-03-03 2007-09-07 Art Of Defence Gmbh Distributed web application firewall
CN101444119A (zh) 2006-03-27 2009-05-27 意大利电信股份公司 在移动通信设备上实施安全策略的系统
US7801128B2 (en) 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US8316439B2 (en) 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
US7743414B2 (en) 2006-05-26 2010-06-22 Novell, Inc. System and method for executing a permissions recorder analyzer
US7774837B2 (en) 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US20080016339A1 (en) 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US7742414B1 (en) 2006-06-30 2010-06-22 Sprint Communications Company L.P. Lightweight indexing for fast retrieval of data from a flow-level compressed packet trace
US20080083011A1 (en) 2006-09-29 2008-04-03 Mcalister Donald Protocol/API between a key server (KAP) and an enforcement point (PEP)
US8510834B2 (en) 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US20080155239A1 (en) 2006-10-10 2008-06-26 Honeywell International Inc. Automata based storage and execution of application logic in smart card like devices
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8381209B2 (en) 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
WO2008093320A1 (en) 2007-01-31 2008-08-07 Tufin Software Technologies Ltd. System and method for auditing a security policy
US20080229382A1 (en) 2007-03-14 2008-09-18 Motorola, Inc. Mobile access terminal security function
US20080239961A1 (en) 2007-03-30 2008-10-02 Microsoft Corporation Packet routing based on application source
US8341739B2 (en) 2007-05-24 2012-12-25 Foundry Networks, Llc Managing network security
US20080301770A1 (en) 2007-05-31 2008-12-04 Kinder Nathan G Identity based virtual machine selector
US7720995B2 (en) 2007-06-08 2010-05-18 Cisco Technology, Inc. Conditional BGP advertising for dynamic group VPN (DGVPN) clients
US9009829B2 (en) 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
GB2453518A (en) 2007-08-31 2009-04-15 Vodafone Plc Telecommunications device security
US9043861B2 (en) 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US8798056B2 (en) 2007-09-24 2014-08-05 Intel Corporation Method and system for virtual port communications
US8730946B2 (en) 2007-10-18 2014-05-20 Redshift Internetworking, Inc. System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints
US20090165078A1 (en) 2007-12-20 2009-06-25 Motorola, Inc. Managing policy rules and associated policy components
US9143566B2 (en) 2008-01-16 2015-09-22 Netapp, Inc. Non-disruptive storage caching using spliced cache appliances with packet inspection intelligence
US8254381B2 (en) 2008-01-28 2012-08-28 Microsoft Corporation Message processing engine with a virtual network interface
US8146147B2 (en) 2008-03-27 2012-03-27 Juniper Networks, Inc. Combined firewalls
WO2010082916A1 (en) 2008-04-28 2010-07-22 Xg Technology, Inc. Header compression mechanism for transmitting rtp packets over wireless links
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US9361089B2 (en) 2008-07-22 2016-06-07 International Business Machines Corporation Secure patch updates of a virtual machine image in a virtualization data processing system
US8307422B2 (en) 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall
US8112304B2 (en) * 2008-08-15 2012-02-07 Raytheon Company Method of risk management across a mission support network
US9715401B2 (en) 2008-09-15 2017-07-25 International Business Machines Corporation Securing live migration of a virtual machine from a secure virtualized computing environment, over an unsecured network, to a different virtualized computing environment
US8353021B1 (en) * 2008-09-30 2013-01-08 Symantec Corporation Determining firewall rules for an application on a client based on firewall rules and reputations of other clients
US8689289B2 (en) 2008-10-02 2014-04-01 Microsoft Corporation Global object access auditing
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US8677473B2 (en) 2008-11-18 2014-03-18 International Business Machines Corporation Network intrusion protection
CN101442494B (zh) 2008-12-16 2011-06-22 中兴通讯股份有限公司 一种实现快速重路由的方法
US8565118B2 (en) 2008-12-30 2013-10-22 Juniper Networks, Inc. Methods and apparatus for distributed dynamic network provisioning
US8612592B2 (en) 2009-01-23 2013-12-17 Cisco Technology, Inc. Protected device initiated pinhole creation to allow access to the protected device in response to a domain name system (DNS) query
US20100192225A1 (en) 2009-01-28 2010-07-29 Juniper Networks, Inc. Efficient application identification with network devices
US7974279B2 (en) 2009-01-29 2011-07-05 Nokia Corporation Multipath data communication
KR101542392B1 (ko) 2009-02-16 2015-08-12 엘지전자 주식회사 이동 단말기 및 이것의 핸드오버 방법
US20100228962A1 (en) 2009-03-09 2010-09-09 Microsoft Corporation Offloading cryptographic protection processing
US8321862B2 (en) 2009-03-20 2012-11-27 Oracle America, Inc. System for migrating a virtual machine and resource usage data to a chosen target host based on a migration policy
US8676989B2 (en) 2009-04-23 2014-03-18 Opendns, Inc. Robust domain name resolution
US8914878B2 (en) 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
WO2010127365A1 (en) 2009-05-01 2010-11-04 Citrix Systems, Inc. Systems and methods for establishing a cloud bridge between virtual storage resources
US8429647B2 (en) 2009-05-06 2013-04-23 Vmware, Inc. Virtual machine migration across network by publishing routes to the associated virtual networks via virtual router after the start of migration of the virtual machine
US8468113B2 (en) 2009-05-18 2013-06-18 Tufin Software Technologies Ltd. Method and system for management of security rule set
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8494000B1 (en) 2009-07-10 2013-07-23 Netscout Systems, Inc. Intelligent slicing of monitored network packets for storing
WO2011012165A1 (en) 2009-07-30 2011-02-03 Telefonaktiebolaget Lm Ericsson (Publ) Packet classification method and apparatus
US8661434B1 (en) 2009-08-05 2014-02-25 Trend Micro Incorporated Migration of computer security modules in a virtual machine environment
GB2473675B (en) 2009-09-22 2011-12-28 Virtensys Ltd Switching method
US8490150B2 (en) 2009-09-23 2013-07-16 Ca, Inc. System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems
US8532108B2 (en) 2009-09-30 2013-09-10 Alcatel Lucent Layer 2 seamless site extension of enterprises in cloud computing
CN102713839B (zh) 2009-10-08 2015-11-25 爱迪德技术有限公司 用于动态函数调用系统中的积极自我修改的系统和方法
US8254261B2 (en) 2009-10-16 2012-08-28 Oracle America, Inc. Method and system for intra-host communication
US8369333B2 (en) 2009-10-21 2013-02-05 Alcatel Lucent Method and apparatus for transparent cloud computing with a virtualized network infrastructure
US8800025B2 (en) 2009-11-10 2014-08-05 Hei Tao Fung Integrated virtual desktop and security management system
WO2011061804A1 (ja) 2009-11-19 2011-05-26 株式会社日立製作所 コンピュータシステム、管理システム及び記録媒体
US8352953B2 (en) 2009-12-03 2013-01-08 International Business Machines Corporation Dynamically provisioning virtual machines
US8726334B2 (en) 2009-12-09 2014-05-13 Microsoft Corporation Model based systems management in virtualized and non-virtualized environments
US9122685B2 (en) 2009-12-15 2015-09-01 International Business Machines Corporation Operating cloud computing and cloud computing information system
US8528091B2 (en) 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US9274821B2 (en) 2010-01-27 2016-03-01 Vmware, Inc. Independent access to virtual machine desktop content
US8938782B2 (en) 2010-03-15 2015-01-20 Symantec Corporation Systems and methods for providing network access control in virtual environments
US8259571B1 (en) 2010-03-26 2012-09-04 Zscaler, Inc. Handling overlapping IP addresses in multi-tenant architecture
JP5190084B2 (ja) 2010-03-30 2013-04-24 株式会社日立製作所 仮想マシンのマイグレーション方法およびシステム
US8868032B2 (en) 2010-04-23 2014-10-21 Tekelec, Inc. Methods, systems, and computer readable media for automatic, recurrent enforcement of a policy rule
EP2582099B1 (en) 2010-06-09 2021-03-17 Nec Corporation Communication system, logic channel control device, communication method and program
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US8296459B1 (en) 2010-06-30 2012-10-23 Amazon Technologies, Inc. Custom routing decisions
KR101464900B1 (ko) 2010-09-09 2014-11-24 닛본 덴끼 가부시끼가이샤 네트워크 시스템 및 네트워크 관리 방법
US8869307B2 (en) 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
US8730963B1 (en) 2010-11-19 2014-05-20 Extreme Networks, Inc. Methods, systems, and computer readable media for improved multi-switch link aggregation group (MLAG) convergence
US8620851B2 (en) 2010-11-23 2013-12-31 Novell, Inc. System and method for determining fuzzy cause and effect relationships in an intelligent workload management system
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US8612744B2 (en) 2011-02-10 2013-12-17 Varmour Networks, Inc. Distributed firewall architecture using virtual machines
US9460289B2 (en) 2011-02-18 2016-10-04 Trend Micro Incorporated Securing a virtual environment
WO2012137646A1 (ja) 2011-04-04 2012-10-11 日本電気株式会社 ネットワークシステム、スイッチ、及び接続端末検知方法
EP2705459B1 (en) 2011-04-30 2020-08-05 VMWare, Inc. Dynamic management of groups for entitlement and provisioning of computer resources
US8972984B2 (en) 2011-05-20 2015-03-03 Citrix Systems, Inc. Methods and systems for virtualizing audio hardware for one or more virtual machines
US20120311575A1 (en) 2011-06-02 2012-12-06 Fujitsu Limited System and method for enforcing policies for virtual machines
US20120324567A1 (en) 2011-06-17 2012-12-20 General Instrument Corporation Method and Apparatus for Home Network Discovery
US8516241B2 (en) 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
US8935457B2 (en) 2011-07-29 2015-01-13 International Business Machines Corporation Network filtering in a virtualized environment
US8798055B1 (en) 2011-08-11 2014-08-05 Juniper Networks, Inc. Forming a multi-device layer 2 switched fabric using internet protocol (IP)-routed / switched networks
US8875293B2 (en) 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US20130086399A1 (en) 2011-09-30 2013-04-04 Cisco Technology, Inc. Method, system and apparatus for network power management
US8694786B2 (en) 2011-10-04 2014-04-08 International Business Machines Corporation Virtual machine images encryption using trusted computing group sealing
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8813169B2 (en) 2011-11-03 2014-08-19 Varmour Networks, Inc. Virtual security boundary for physical or virtual network devices
US8739281B2 (en) 2011-12-06 2014-05-27 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
US8977735B2 (en) 2011-12-12 2015-03-10 Rackspace Us, Inc. Providing a database as a service in a multi-tenant environment
GB2515193A (en) 2011-12-13 2014-12-17 Pneuron Corp Pneuron distributed analytics
US20130198805A1 (en) 2012-01-24 2013-08-01 Matthew Strebe Methods and apparatus for managing network traffic
US8990371B2 (en) 2012-01-31 2015-03-24 International Business Machines Corporation Interconnecting data centers for migration of virtual machines
US9122507B2 (en) 2012-02-18 2015-09-01 Cisco Technology, Inc. VM migration based on matching the root bridge of the virtual network of the origination host and the destination host
US9060017B2 (en) 2012-02-21 2015-06-16 Logos Technologies Llc System for detecting, analyzing, and controlling infiltration of computer and network systems
US20130223226A1 (en) 2012-02-29 2013-08-29 Dell Products, Lp System and Method for Providing a Split Data Plane in a Flow-Based Switching Device
US9294302B2 (en) 2012-03-22 2016-03-22 Varmour Networks, Inc. Non-fragmented IP packet tunneling in a network
US9116736B2 (en) 2012-04-02 2015-08-25 Cisco Technology, Inc. Virtualized movement of enhanced network services associated with a virtual machine
US9258275B2 (en) 2012-04-11 2016-02-09 Varmour Networks, Inc. System and method for dynamic security insertion in network virtualization
US20160323245A1 (en) 2012-04-11 2016-11-03 Varmour Networks, Inc. Security session forwarding following virtual machine migration
US10333827B2 (en) 2012-04-11 2019-06-25 Varmour Networks, Inc. Adaptive session forwarding following virtual machine migration detection
US8955093B2 (en) 2012-04-11 2015-02-10 Varmour Networks, Inc. Cooperative network security inspection
US8726393B2 (en) 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer
CN102739645B (zh) 2012-04-23 2016-03-16 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
US9027077B1 (en) 2012-04-30 2015-05-05 Palo Alto Networks, Inc. Deploying policy configuration across multiple security devices through hierarchical configuration templates
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US8949931B2 (en) 2012-05-02 2015-02-03 Cisco Technology, Inc. System and method for monitoring application security in a network environment
JP5974665B2 (ja) 2012-06-22 2016-08-23 富士通株式会社 情報処理システム、中継装置、情報処理装置および情報処理方法
US9230096B2 (en) 2012-07-02 2016-01-05 Symantec Corporation System and method for data loss prevention in a virtualized environment
US20140096229A1 (en) 2012-09-28 2014-04-03 Juniper Networks, Inc. Virtual honeypot
US20140108558A1 (en) 2012-10-12 2014-04-17 Citrix Systems, Inc. Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices
US9071637B2 (en) 2012-11-14 2015-06-30 Click Security, Inc. Automated security analytics platform
US9036639B2 (en) 2012-11-29 2015-05-19 Futurewei Technologies, Inc. System and method for VXLAN inter-domain communications
KR101327317B1 (ko) 2012-11-30 2013-11-20 (주)소만사 Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
US10263916B2 (en) 2012-12-03 2019-04-16 Hewlett Packard Enterprise Development Lp System and method for message handling in a network device
US8813236B1 (en) 2013-01-07 2014-08-19 Narus, Inc. Detecting malicious endpoints using network connectivity and flow information
US9060025B2 (en) 2013-02-05 2015-06-16 Fortinet, Inc. Cloud-based security policy configuration
US10713356B2 (en) 2013-03-04 2020-07-14 Crowdstrike, Inc. Deception-based responses to security attacks
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9374278B2 (en) 2013-03-15 2016-06-21 NETBRAIN Technologies, Inc Graphic user interface based network management system to define and execute troubleshooting procedure
US9448826B2 (en) 2013-03-15 2016-09-20 Symantec Corporation Enforcing policy-based compliance of virtual machine image configurations
US9787686B2 (en) 2013-04-12 2017-10-10 Airwatch Llc On-demand security policy activation
US9647922B2 (en) 2013-05-15 2017-05-09 Salesforce, Inc. Computer implemented methods and apparatus for trials onboarding
RU2568295C2 (ru) 2013-08-07 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
US9491189B2 (en) 2013-08-26 2016-11-08 Guardicore Ltd. Revival and redirection of blocked connections for intention inspection in computer networks
US9292684B2 (en) 2013-09-06 2016-03-22 Michael Guidry Systems and methods for security in computer systems
US10341296B2 (en) 2013-09-13 2019-07-02 Vmware, Inc. Firewall configured with dynamic collaboration from network services in a virtual network environment
US9538423B2 (en) 2013-11-01 2017-01-03 Cisco Technology, Inc. Routing packet traffic using hierarchical forwarding groups
US9407602B2 (en) 2013-11-07 2016-08-02 Attivo Networks, Inc. Methods and apparatus for redirecting attacks on a network
US9825908B2 (en) 2013-12-11 2017-11-21 At&T Intellectual Property I, L.P. System and method to monitor and manage imperfect or compromised software
US9210183B2 (en) 2013-12-19 2015-12-08 Microsoft Technology Licensing, Llc Detecting anomalous activity from accounts of an online service
US9563771B2 (en) 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
US20170134422A1 (en) 2014-02-11 2017-05-11 Varmour Networks, Inc. Deception Techniques Using Policy
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US20180191779A1 (en) 2016-12-29 2018-07-05 Varmour Networks, Inc. Flexible Deception Architecture
US20170374032A1 (en) 2016-06-24 2017-12-28 Varmour Networks, Inc. Autonomic Protection of Critical Network Applications Using Deception Techniques
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
JP6252254B2 (ja) 2014-02-28 2017-12-27 富士通株式会社 監視プログラム、監視方法および監視装置
US9516054B2 (en) 2014-04-14 2016-12-06 Trap Data Security Ltd. System and method for cyber threats detection
US9894100B2 (en) 2014-12-30 2018-02-13 Fortinet, Inc. Dynamically optimized security policy management
US9961105B2 (en) 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US9934406B2 (en) 2015-01-08 2018-04-03 Microsoft Technology Licensing, Llc Protecting private information in input understanding system
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10104107B2 (en) 2015-05-11 2018-10-16 Qualcomm Incorporated Methods and systems for behavior-specific actuation for real-time whitelisting
US9582268B2 (en) 2015-05-27 2017-02-28 Runnable Inc. Automatic communications graphing for a source application
US9787641B2 (en) 2015-06-30 2017-10-10 Nicira, Inc. Firewall rule management
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10171507B2 (en) 2016-05-19 2019-01-01 Cisco Technology, Inc. Microsegmentation in heterogeneous software defined networking environments
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609083B2 (en) 2011-02-10 2017-03-28 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10333986B2 (en) 2015-03-30 2019-06-25 Varmour Networks, Inc. Conditional declarative policies
US9621595B2 (en) 2015-03-30 2017-04-11 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US10382467B2 (en) 2016-01-29 2019-08-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US10009317B2 (en) 2016-03-24 2018-06-26 Varmour Networks, Inc. Security policy generation using container metadata
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Also Published As

Publication number Publication date
US9621595B2 (en) 2017-04-11
US20170208100A1 (en) 2017-07-20
US20170063795A1 (en) 2017-03-02
WO2016160523A1 (en) 2016-10-06
US9380027B1 (en) 2016-06-28
US10333986B2 (en) 2019-06-25

Similar Documents

Publication Publication Date Title
US10333986B2 (en) Conditional declarative policies
US10503911B2 (en) Automatic generation of data-centric attack graphs
US9762599B2 (en) Multi-node affinity-based examination for computer network security remediation
CN107085524B (zh) 用于云环境中的保证的日志管理的方法和装置
US10382467B2 (en) Recursive multi-layer examination for computer network security remediation
US10009381B2 (en) System and method for threat-driven security policy controls
US10264025B2 (en) Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10673885B2 (en) User state tracking and anomaly detection in software-as-a-service environments
US9294442B1 (en) System and method for threat-driven security policy controls
US10979452B2 (en) Blockchain-based malware containment in a network resource
US9129086B2 (en) Providing security services within a cloud computing environment
US20170374032A1 (en) Autonomic Protection of Critical Network Applications Using Deception Techniques
KR20180095798A (ko) 애플리케이션들의 보안 및 위험 평가 및 테스팅을 위한 시스템들 및 방법들
US11637866B2 (en) System and method for the secure evaluation of cyber detection products
JP7377058B2 (ja) ファイアウォールを通したコンプライアンス違反のサーバに向かう通信/そのようなサーバからの通信を一時停止する、コンピュータによって実施される方法、コンピュータ・システム、およびコンピュータ・プログラム
US9559920B1 (en) Management of decommissioned server assets in a shared data environment
US11777978B2 (en) Methods and systems for accurately assessing application access risk
US11494488B2 (en) Security incident and event management use case selection
US11425139B2 (en) Enforcing label-based rules on a per-user basis in a distributed network management system
US10601959B2 (en) System and method for managing virtual environments in an infrastructure
US20240080357A1 (en) System and method for proactive blocking of remote display protocol connection requests from suspicious users and devices
US20230325478A1 (en) Instrumenting applications to prevent abuse by privileged users