TW201703485A

TW201703485A - 編排實體與虛擬交換器以執行安全邊界之系統及方法

Info

Publication number: TW201703485A
Application number: TW105110187A
Authority: TW
Inventors: 馬克伍沃德; 崇耀謝
Original assignee: 法墨網路公司
Priority date: 2015-04-02
Filing date: 2016-03-30
Publication date: 2017-01-16
Also published as: WO2016160533A1; US20160294774A1; US9973472B2

Abstract

一些實施例包含包括以下步驟之方法：透過一交換器之一應用程式設計介面(API)將項目寫入於該交換器之一轉發表中，使得藉由該交換器將來自一第一主機且引導至一第二主機之第一資料封包轉發至一執行點；接收該等第一資料封包；使用該轉發表將該等第一資料封包轉發至該執行點；使用一低級規則集判定該等第一資料封包是否違反一高級安全策略；透過該API組態該轉發表，使得回應於判定該等第一資料封包並未違反該安全策略而藉由該交換器將第二資料封包轉發至該第二主機；透過該API組態該轉發表，使得回應於判定而藉由該交換器將該等第二資料封包丟棄或轉發至一安全功能。

Description

編排實體與虛擬交換器以執行安全邊界之系統及方法

本發明技術大體係關於電腦安全，且更明確言之但不以限制方式，係關於電腦網路安全。

一些實施例包含包括以下步驟之方法：藉由一策略引擎透過一交換器之一應用程式設計介面(API)將項目寫入於該交換器之一轉發表中，使得藉由該交換器將來自一第一主機且引導至一第二主機之第一資料封包轉發至一執行點；藉由該交換器接收該等第一資料封包；藉由該交換器使用該轉發表將該等第一資料封包轉發至該執行點；藉由該執行點使用一低級規則集判定該等第一資料封包是否違反一高級安全策略；藉由該執行點透過該API組態該轉發表，使得回應於判定該等第一資料封包並未違反該安全策略而藉由該交換器將第二資料封包轉發至該第二主機；藉由該執行點透過該API組態該轉發表，使得回應於判定該等第一資料封包違反該安全策略而藉由該交換器將該等第二資料封包丟棄或轉發至一安全功能；藉由該交換器接收第二資料封包；及藉由該交換器根據該組態選擇性丟棄或轉發該等第二資料封包。

各項實施例包含包括以下各者之系統：一資料網路；複數個主機，其通信耦合至該資料網路；一交換器，其通信耦合至該資料網路，包含一轉發表及一應用程式設計介面(API)；一執行點，其通信耦合至該資料網路；及一策略引擎，其通信耦合至該資料網路，其中該系統執行包括以下步驟之一方法：藉由該策略引擎透過該應用程式設計介面(API)將項目寫入於該交換器之該轉發表中，使得藉由該交換器將來自一第一主機且引導至一第二主機之第一資料封包轉發至該執行點；藉由該交換器接收該等第一資料封包；藉由該交換器使用該轉發表將該等第一資料封包轉發至該執行點；藉由該執行點使用一低級規則集判定該等第一資料封包是否違反一高級安全策略；藉由該執行點透過該API組態該轉發表，使得回應於判定該等第一資料封包並未違反該安全策略而藉由該交換器將第二資料封包轉發至該第二主機；藉由該執行點透過該API組態該轉發表，使得回應於判定該等第一資料封包違反該安全策略而藉由該交換器將該等第二資料封包丟棄或轉發至一安全功能；藉由該交換器接收第二資料封包；及藉由該交換器根據該組態選擇性丟棄或轉發該等第二資料封包。

100‧‧‧系統

110‧‧‧網路

125‧‧‧交換器

135‧‧‧應用程式設計介面

140‧‧‧資產

141‧‧‧資產

142‧‧‧資產

143‧‧‧資產/虛擬機器

144‧‧‧資產

145‧‧‧資產

150‧‧‧通信

160‧‧‧轉發表

170‧‧‧通道

180‧‧‧分佈式安全處理器/安全處理器

190‧‧‧策略引擎

200‧‧‧系統

225‧‧‧交換器

235‧‧‧應用程式設計介面(API)

240‧‧‧資產

241‧‧‧資產

242‧‧‧資產

243‧‧‧資產

244‧‧‧資產

245‧‧‧資產

260‧‧‧轉發表

270‧‧‧網狀結構

280‧‧‧執行點

400‧‧‧電腦系統

410‧‧‧處理器單元

420‧‧‧主記憶體

430‧‧‧大容量資料儲存器

440‧‧‧可攜式儲存裝置

450‧‧‧輸出裝置

460‧‧‧使用者輸入裝置

470‧‧‧圖形顯示系統

480‧‧‧周邊裝置

490‧‧‧匯流排

圖1係繪示根據一些實施例之一系統之一簡化方塊圖。

圖2係繪示根據一些實施例之另一系統之一簡化方塊圖。

圖3係根據各項實施例之本發明技術之一實例性方法之一簡化流程圖。

圖4繪示根據各項實施例之一實例性電腦系統。

根據本發明技術之一例示性系統在進行新連接時藉由將關於連接之決策推動至用於檢測之一較高層級及針對容許性評估該等新連接來進行操作。此等新連接係藉由各伺服器/機架中之交換器來實施。一交換器具有實施一規則之一轉發表。在一例示性系統中，之前未通信之節點之間的全部初始訊務在未首先轉發至分佈式安全處理器的情況下不通信。此係預設規則且提供基本安全層級，因為該分佈式安全處理器必須批准所有連接。

一例示性系統可使用在交換器中操作或與交換器相關聯之一執行點(EP)，該EP將通信發送至分佈式安全處理器。此通信可經由一穿隧系統，舉例而言，一虛擬可擴展區域網路(VXLAN)。該分佈式安全處理器檢查策略、驗證預期協定行為且在批准通信之後將第一若干封包轉發至預期接收端節點。接著，分佈式安全處理器程式化交換器以容許自第一埠至第二埠(亦被稱為或替代性地可為：一節點、一通信節點、一虛擬機器、一容器及一主機)之未來通信。此外，在此及所有其他實例中之發送端及接收端可在藉由相同交換器控制之相同伺服器上、在藉由相同交換器控制之不同伺服器上或可在藉由不同交換器控制之不同伺服器上。

在根據本發明技術之一例示性系統中，初始轉發表包含首先將全部通信發送至分佈式安全處理器之一預設路由規則，稍後重新寫入該預設路由規則以在不受分佈式安全處理器干預的情況下容許直接藉由交換器控制之通信。一封包標頭中之特定資訊將促進重新轉發至分佈式安全處理器。例如，若一傳輸控制協定(TCP)標頭包含與建立及/或拆除一連接有關之資訊，則諮詢分佈式安全處理器以檢視通信且需要分佈式安全處理器批准。例如，包含與建立或拆除連接有關之SYN、FIN及/或RST之一TCP標頭可需要分佈式安全處理器批准。可記錄分佈式安全處理器之動作以容許檢視及執行以及策略修訂。

圖1係繪示根據一實例性實施例之系統100之一方塊圖。系統100可為一雲端伺服器環境，其可為一公共雲端、私用雲端、一內部網路或任何其他適當網路。系統100包含一策略引擎190，其可使得一資訊技術(IT)或安全管理員能夠實施系統100中之安全策略。舉例而言，此等策略可包含阻止高價值資產與高風險資產通信或阻止生產機器與測試/開發機器通信。此等策略亦可包含故障轉移策略或任何其他適當阻止、限制或策略。

策略引擎190可與可操作以實施策略之分佈式安全處理器180雙邊通信。此外，策略引擎190可經由與交換器125相關聯之應用程式設計介面(API)135與交換器125雙邊通信以實施策略。API 135包含用於建置用於交換器125之軟體應用程式之一組常式、協定及/或工具。API 135可在一軟體組件之操作、輸入、輸出及基礎類型方面表現該軟體組件。替代性地或此外，API 135可為一軟體開發套件(SDK或「devkit」)，其包含容許產生用於交換器125之應用程式之一組軟體開發工具。分佈式安全處理器180可傳送電腦可執行指令至API 135。系統100可包含具有彼此類似或不同之一結構之許多資產140至145。資產140至145中之各者可經由網路110耦合至系統100中之資產140至145之其他資產中之一些或所有者。資產140至145中之至少一些亦可經由網路110耦合至網際網路、一內部網路或任何其他適當網路。

在一些實施例中，資產140至145係一虛擬機器(VM)、實體主機、工作負載、伺服器、基於雲端之虛擬機器、用戶端、執行目標及類似者中之至少一者。資產140至145中之各者係與交換器125通信耦合，該交換器125可操作以控制進出資產140至145及在資產140至145之間的通信。例如，資產140至145中之一或多者包含一VM。該等虛擬機器可作為一超管理器之部分操作。替代性地，可使用不同虛擬機器系統(舉例而言，容器)。

在操作中，策略引擎190與API 135通信以程式化交換器125之轉發表160。初始程式化係預設程式化且指示轉發先前未經分佈式安全處理器180批准之任何通信(其係初始預設情境中之所有通信)至分佈式安全處理器180。接著，資產140可嘗試藉由通信150通信至虛擬機器(VM)143。交換器125在容許通信之前檢查轉發表160，且因為此處不存在任何批准指示，所以交換器125經由通道170將封包轉發至分佈式安全處理器180。通道170可通過系統100之資料中心之一網狀結構且可為一VXLAN通信路徑。

在一些實施例中，策略引擎190與API 135通信以程式化交換器125之轉發表160。初始程式化係預設程式化且指示轉發需要藉由分佈式安全處理器180處理之通信(其係初始預設情境中之所有通信)至分佈式安全處理器180。接著，資產140可嘗試藉由通信150使用在應用至交換器125之安全策略內所定義之一協定通信至虛擬機器(VM)143。交換器125在容許通信之前檢查轉發表160，且因為此處不存在任何批准指示，所以交換器125經由通道170將封包轉發至分佈式安全處理器180。通道170可通過系統100之資料中心之一網狀結構且可為一VXLAN通信路徑。以此方式，可使一管理員「調諧」網路內之需要安全處理之訊務類型。

在各項實施例中，下一步驟係使分佈式安全處理器180對照藉由策略引擎190提供之策略而對通信以及發送端及接收端節點執行安全檢查。接下來步驟係若批准連接，則將通信轉發至VM 143及程式化交換器125之轉發表160中之一轉發項目以用於資產140與資產143之間的通信。以此方式，可在不需要分佈式安全處理器180幫助的情況下藉由交換器125處置資產140與資產143之間的後續通信，藉此最佳化通信及減少資源負載。然而，一些觸發事件將使轉發表回復至用於一特定路由指令或用於所有路由指令之一預設位置。觸發事件在本文中亦被稱為一條件且可關於一封包標頭及/或改變節點之間的一連接。

若分佈式安全處理器180對照策略而對初始通信以及發送端及接收端節點執行一安全檢查，且判定以任何方式阻止或懷疑該通信，則分佈式安全處理器180可重新引導該通信至一誘捕系統(honeypot)、重新引導該通信至一限定坑(tarpit)、丟棄封包及可在不寫入至轉發表160的情況下轉發該等封包，使得未來封包亦被路由至分佈式安全處理器180，藉此提供檢測、記錄及安全資訊至一IT管理員或安全專家。

在圖2中所繪示之一例示性系統中，可利用一實體可程式化交換器(舉例而言，用於低級封包轉發之一商業矽(或客製ASIC)網路連結交換器)。在此例示性實施例中，轉發表最初為空白的，且如在圖1中所繪示之先前描述之例示性實施例中，節點並不需要在相同交換器上。

圖2係繪示根據一實例性實施例之系統200之一方塊圖。系統200可為一雲端伺服器環境，其可為一公共雲端、私用雲端、一內部網路或任何其他適當網路。系統200包含策略引擎190，其可使得一IT或安全管理員能夠實施系統200中之安全策略。策略引擎190可與可操作以實施策略之分佈式安全處理器180雙邊通信。此外，策略引擎190可與一交換器225雙邊通信。

分佈式安全處理器180可傳送電腦可執行指令至API 235。系統200可包含具有彼此類似或不同之一結構之資產240至245。資產240至245中之至少一些可經由網路110耦合至系統200中之資產240至245之其他資產中之一些或所有者。資產240至245中之至少一些亦可經由網路110耦合至網際網路、一內部網路或任何其他適當網路。

資產240至245中之各者係通信耦合至交換器225，該交換器225可操作以控制進出工作負載240至245及在工作負載240至245之間的通信。例如，資產240至245中之至少一些可包含一或多個虛擬機器。該等虛擬機器可作為一超管理器之部分操作。替代性地，可使用不同虛擬機器系統(舉例而言，容器)。此外，資產240至245中之至少一者可包含誘捕系統及/或限定坑虛擬機器。一誘捕系統及一限定坑可如上文及本文中所描述般操作。

交換器225可包含應用程式設計介面(API)235以藉由程式化轉發表260來實施策略。API 235包含用於建置用於交換器225之軟體應用程式之一組常式、協定及/或工具。API 235可在一軟體組件之操作、輸入、輸出及基礎類型方面表現該軟體組件。替代性地或此外，API 235可為一軟體開發套件(SDK或「devkit」)，其包含容許產生用於交換器225之應用程式之一組軟體開發工具。交換器225亦可包含透過系統200之網狀結構與分佈式安全處理器180雙邊通信之執行點280。

在操作中，策略引擎190通信至交換器225以程式化交換器225之轉發表260。初始程式化係預設程式化且指示轉發先前未經分佈式安全處理器180批准之任何通信(其係初始預設情境中之所有通信)至分佈式安全處理器180。接著，資產140可嘗試藉由通信150通信至資產143。交換器225在容許通信之前檢查轉發表260，且因為此處不存在任何批准指示，所以交換器225經由一網狀結構270將封包轉發至執行點280。執行點280亦實質上存在於交換器225上。

在各項實施例中，下一步驟係使執行點280對照藉由分佈式安全處理器180及策略引擎190提供之策略而對通信及發送端及接收端節點執行安全檢查。接下來步驟係若批准連接，則將通信轉發至資產143及經由API 235程式化交換器225之轉發表260中之一轉發項目以用於資產140與資產143之間的通信。以此方式，可在不需要執行點280幫助的情況下藉由交換器225處置資產140與資產143之間的後續通信，藉此最佳化通信及減少資源負載。然而，一些觸發事件將使轉發表回復至用於一特定路由指令或用於所有路由指令之一預設位置。觸發事件在本文中亦被稱為一條件且可關於一封包標頭及/或改變節點之間的一連接。

若執行點280對照策略而對初始通信以及發送端及接收端節點執行安全檢查，且判定以任何方式阻止或懷疑該通信，或即使決策需要額外資源或一第二安全層級，則執行點280亦可經由網狀結構270重新引導該通信至分佈式安全處理器180以用於對資產140與資產143之間的通信之可接受性之一未來判定。

分佈式安全處理器180對照藉由策略引擎190提供之策略而對通信以及發送端及接收端節點執行此等第二、較高層級安全檢查。此外，安全處理器180可檢查通信以確保根據文件化標準建立協定會話。此有利地減小用於協定攻擊之孔隙且確保正確建置協定關係(例如，超出諸如在OSI層5至7之間的TCP)。若分佈式安全處理器180對照策略而對初始通信以及發送端及接收端節點執行安全檢查且判定是否以任何方式阻止或懷疑通信，則分佈式安全處理器180可重新引導該通信至一誘捕系統、重新引導該通信至一限定坑、可丟棄封包、可在不寫入至轉發表260的情況下轉發該等封包，使得未來封包亦被路由至分佈式安全處理器180，藉此提供檢測、記錄及安全資訊至一IT管理員或安全專家。

若分佈式安全處理器180對通信以及發送端及接收端節點執行此等第二、較高層級安全檢查且批准連接，則分佈式安全處理器180可直接將通信轉發至VM 143或藉由指示執行點280將通信轉發至VM 143來將該通信轉發至VM 143。此外，分佈式安全處理器180可引導執行點280經由API 235程式化交換器225之轉發表260中之轉發項目以用於資產140與資產143之間的通信。以此方式，可在不需要執行點280幫助的情況下藉由交換器225處置資產140與資產143之間的後續通信，藉此最佳化通信及減少資源負載。在又另一替代例中，分佈式安全處理器180可授權執行點280處置此類型之通信以用於新、未來連接或甚至不程式化用於此連接之轉發表260，使得以一中間安全層級監測新、未來通信。

如先前所論述，一些觸發事件將使轉發表回復至用於一特定路由指令或用於所有路由指令之一預設位置。觸發事件在本文中亦被稱為一條件且可關於一封包標頭及/或改變節點之間的一連接。

在本發明技術之例示性實施例中，初始化節點之間的通信係需要較高審查之一事件，且藉由使預設轉發表不包含項目來實施此策略。跨一網路之一通道或一網狀結構將通信直接轉發至一EP、直接轉發至一EPI或經由一EPI轉發至一EP。該EP及/或EPI檢查策略且可判定以容許通信，在此情況中可程式化一EPI且更新轉發表以實現節點之間的通信。除非滿足一觸發條件，否則將此策略應用於未來通信。系統100(圖1)之模型與系統200(圖2)之模型之間的區別在於可藉由一EPI在不涉及EP的情況下處置小變化(例如，旗標變化)，因此改良效率。在所有情況中，可跨網狀結構將記錄發送至EP及/或策略引擎及/或另一使用者介面或報告模組。

上文所描述之包含交換器125及交換器225之交換器可處於實體環境中。在替代例示性實施例中，交換器可為一虛擬交換器。

本發明之各項例示性實施例可實現一交換器上之表資源之管理以用於最佳化。例如，若一交換器在自由空間外運行，則可在轉發表中彙總連接或可將連接推動至其他資源以用於確認。

在一些實施例中，交換器225係一硬體交換器且資產240至245中之至少一者係一實體主機。在各項實施例中，交換器225係一虛擬交換器且資產240至245中之至少一者係一虛擬機器。

圖3係用於執行安全策略以用於在一交換式網路之節點之間通信之一例示性方法300之一流程圖。用虛線展示選用步驟。圖3之方法包含選用操作305，其指示接收自該交換式網路之一第一節點傳送至該交換式網路之一第二節點之封包。自操作305，方法繼續進行至操作310，其指示評估一策略以判定用於自該第一節點傳送至該第二節點之封包之一轉發決策。自操作310，方法繼續進行至操作315，其指示基於該轉發決策程式化一交換器之一可重新寫入之轉發表。自操作315，方法繼續進行至選用操作320，其指示將封包自第一節點轉發至第二節點。此步驟係選用的，此係因為可在一啟動或其他適當時間(例如，一策略更新)在不傳送封包的情況下起始先前非選用步驟310及315。自操作320，方法繼續進行至操作325，其指示使能夠在不評估策略以判定轉發決策的情況下將自第一節點傳送至第二節點之未來封包轉發至該第二節點。在方法之又進一步變動中，策略可阻止在第一節點與第二節點之間尋求之通信，在此情況中該通信可被丟棄、記錄、誘捕、限定或以上之全部。

圖4繪示可用於實施本發明之一些實施例之一例示性電腦系統400。圖4之該電腦系統400可在運算系統、網路、伺服器或其等之組合之類似者之脈絡中實施。圖4之該電腦系統400包含一或多個處理器單元410及主記憶體420。主記憶體420部分儲存用於藉由該(等)處理器單元410執行之指令及資料。在此實例中，主記憶體420在操作中時儲存可執行程式碼。圖4之電腦系統400進一步包含一大容量資料儲存器430、可攜式儲存裝置440、輸出裝置450、使用者輸入裝置460、一圖形顯示系統470及周邊裝置480。

圖4中所展示之組件係描繪為經由一單個匯流排490連接。該等組件可透過一或多個資料輸送構件連接。該(等)處理器單元410及該主記憶體420經由一本端微處理器匯流排連接，且該等大容量資料儲存器430、周邊裝置480、可攜式儲存裝置440及圖形顯示系統470經由一或多個輸入/輸出(I/O)匯流排連接。

可藉由一磁碟機、固態磁碟機或一光學磁碟機實施之大容量資料儲存器430係用於儲存供由該(等)處理器單元410使用之資料及指令之一非揮發性儲存裝置。大容量資料儲存器430儲存用於實施本發明之實施例之系統軟體以用於將該軟體載入至主記憶體420中。

可攜式儲存裝置440結合一可攜式非揮發性儲存媒體(諸如一快閃磁碟、軟磁碟、緊緻磁碟、數位視訊光碟或通用串列匯流排(USB)儲存裝置)操作以往返於圖4之電腦系統400輸入及輸出資料及程式碼。用於實施本發明之實施例之系統軟體係經由可攜式儲存裝置440儲存於此一可攜式媒體上且輸入至電腦系統400。

使用者輸入裝置460可提供一使用者介面之一部分。使用者輸入裝置460可包含一或多個麥克風、用於輸入文數及其他資訊之一文數鍵台(諸如一鍵盤)或一指向裝置(諸如一滑鼠、一軌跡球、觸控筆或游標方向鍵)。使用者輸入裝置460亦可包含一觸控螢幕。此外，如圖4中所展示之電腦系統400包含輸出裝置450。合適輸出裝置450包含揚聲器、印表機、網路介面及監測器。

圖形顯示系統470包含一液晶顯示器(LCD)或其他合適顯示裝置。圖形顯示系統470可經組態以接收文字及圖形資訊及處理該資訊以輸出至顯示裝置。

周邊裝置480可包含為電腦系統增加額外功能性之任何類型之電腦支援裝置。

圖4之電腦系統400中所提供之組件係通常在可適於與本發明之實施例一起使用且意欲表示此項技術中熟知之廣泛類別之此等電腦組件之電腦系統中存在之組件。因此，圖4之電腦系統400可為一個人電腦(PC)、手持式電腦系統、電話、行動電腦系統、工作站、平板電腦、平板手機、行動電話、伺服器、小型電腦、大型電腦、可佩戴或任何其他電腦系統。電腦亦可包含不同匯流排組態、網路連結平台、多處理器平台及類似者。可使用各種作業系統，包含UNIX、LINUX、WINDOWS、MAC OS、PALM OS、QNX ANDROID、IOS、CHROME、TIZEN及其他合適作業系統。

可在基於雲端之軟體中實施處理各項實施例。在一些實施例中，電腦系統400係實施為一基於雲端之運算環境，諸如在一運算雲端內操作之一虛擬機器。在其他實施例中，電腦系統400可自身包含一基於雲端之運算環境，其中該電腦系統400之功能性係以一分佈式方式執行。因此，電腦系統400在經組態為一運算雲端時可包含呈各種形式之複數個運算裝置，如將在下文更詳細描述。

一般而言，一基於雲端之運算環境係通常組合(諸如在網路伺服器內之)一大群組處理器之運算能力及/或組合一大群組電腦記憶體或儲存裝置之儲存能力之一資源。提供基於雲端之資源之系統可僅藉由其等擁有者利用或此等系統可為在運算基礎設施內部署應用程式以獲得大運算或儲存資源之益處之外部使用者所用。

例如，可藉由包含複數個運算裝置(諸如電腦系統400)之網路伺服器之一網路來形成雲端，其中各伺服器(或其等之至少複數個)提供處理器及/或儲存資源。此等伺服器可管理由多個使用者(例如，雲端資源客戶或其他使用者)提供之工作負載。通常，各使用者將即時、有時顯著改變之工作負載要求放置於雲端上。此等變動之本質及範圍通常取決於與使用者相關聯之業務之類型。

上文參考實例性實施例描述本發明技術。因此，對於該等實例性實施例之其他變動係意欲由本發明涵蓋。