TWI540457B - 用於在雲端環境中自動派送安全規則之非侵入式方法及裝置 - Google Patents
用於在雲端環境中自動派送安全規則之非侵入式方法及裝置 Download PDFInfo
- Publication number
- TWI540457B TWI540457B TW101137370A TW101137370A TWI540457B TW I540457 B TWI540457 B TW I540457B TW 101137370 A TW101137370 A TW 101137370A TW 101137370 A TW101137370 A TW 101137370A TW I540457 B TWI540457 B TW I540457B
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- security rules
- server
- model
- security
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本發明大體上係關於網路安全領域。更具體而言,本發明係關於一種用於在雲端環境中自動派送(及更新)安全規則之非侵入式方法及裝置。
隨著電腦及網際網路技術之發展,網路應用程式(諸如,網際網路購物)變得風行。用戶端側指令碼(例如,JavaScript)大體上用於此等應用程式中以改良使用者之體驗。然而,伴隨的安全問題增加。目前,網路應用程式之安全漏洞之數目正快速增加。網路應用程式易受跨網站指令碼(XSS)、跨網站請求偽造(CSRF)、SQL注入、LDAP注入、命令注入、PHP注入等等之影響。統計展示90%之網站易受網路應用程式攻擊之影響。
舉例而言,XSS攻擊為網路應用程式攻擊之典型實例。XSS攻擊意謂:攻擊者將惡意指令碼嵌入於看似來自可信任來源之連結中,以便將嵌入之惡意指令碼發送至使用者之用戶端以用於在使用者點擊該連結時執行(例如,竊用使用者之敏感資訊)。當與非同步JavaScript及XML(AJAX)一起使用時,XSS攻擊能夠在不再新新網頁之情況下,以受害者之名義發送惡意請求,此舉使得此攻擊更隱蔽且更危險。上文所提及之其他惡意攻擊實質上類似於XSS在於:該等其他惡意攻擊將惡意代碼或指令碼注入至網路應用程式伺服器中以進行攻擊,此情況將不在此詳細描述。
為了防止此等攻擊,需要在網路應用程式伺服器(例如,WebSphere應用程式伺服器,WAS)側上驗證使用者輸入(例如,HTTP請求)。網路應用程式防火牆(WAF)經組態以執行該驗證,該網路應用程式防火牆(WAF)為應用於網路應用程式伺服器側上之透明保護機制。網路應用程式防火牆至少具有以下功能:基於預定義之安全規則而驗證使用者輸入;關於違反安全規則之使用者輸入,採取合適之安全保護行動(例如,封鎖IP、拒絕請求);產生日誌或重寫有效負載。
對於伺服器用戶端模式,僅針對應用於網路應用程式伺服器側上之網路應用程式防火牆設定安全規則。然而,在雲端環境中,由於多樣化組態及部署,因此提供針對XSS、SQL注入等之應用程式安全保護變得更複雜。在雲端環境中,對於應用程式之部署,存在多樣化及動態之拓撲:1)基於定義之複合應用程式模型(composition application model),每一應用程式可部署於複數個伺服器上;2)在建構時,應將用於應用程式之安全規則應用於部署有應用程式之所有伺服器。
圖1說明應用程式部署於雲端環境中之複數個伺服器中之實例。
在先前技術中,在雲端環境中,需要針對部署有相同應用程式之每一伺服器個別地組態安全規則,此舉非常麻煩
且耗時。
基於上述技術問題,需要一種能夠由一管理員在一雲端環境中簡化用於各別伺服器之安全規則之組態的有效方法及裝置。
根據本發明之一種方法及一裝置可自動產生用於一應用程式之安全規則,且將該等安全規則派送至部署有該應用程式之複數個伺服器,以便滿足多樣化雲端環境中之複雜性要求。對於該所部署之應用程式,不需要代碼修改,以使得代碼對於現有應用程式而言係透明的。根據本發明之該方法及該裝置可減少組態用於複數個伺服器之安全規則之負擔。
為了解決上述問題,根據本發明之一實施例,提供一種用於在雲端環境中自動派送安全規則之非侵入式方法,該方法包含以下步驟:在該雲端環境中形成一應用程式之一複合應用程式模型,該複合應用程式模型至少包括用於部署該應用程式之各種伺服器之類型;在該雲端環境中產生該等各種伺服器之一拓撲模型;基於該應用程式之應用程式內容(application context)、該複合應用程式模型及該拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則;及基於該複合應用程式模型及該拓撲模型,將該等安全規則派送至每一伺服器側防火牆。
根據本發明之另一實施例,提供一種用於在一雲端環境中自動派送安全規則之非侵入式裝置,該裝置包含:一複
合應用程式模型形成構件,其用於在該雲端環境中形成一應用程式之一複合應用程式模型,該複合應用程式模型至少包括用於部署該應用程式之各種伺服器之類型;一拓撲模型產生構件,其用於在該雲端環境中產生該等各種伺服器之一拓撲模型;一安全規則產生構件,其用於基於該應用程式之應用程式內容、該複合應用程式模型及該拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則;及一安全規則派送構件,其用於基於該複合應用程式模型及該拓撲模型,將該等安全規則派送至每一伺服器側防火牆。
另外,在另一實施例中,可基於自網路應用程式防火牆提供之回饋資訊而更新安全規則。將該等更新之安全規則再次派送至該複數個伺服器,以便適合於該雲端環境中之多樣化及動態之拓撲結構。藉由應用該技術解決方案,若在執行時間在一伺服器中發現漏洞,則將針對該漏洞之規則快速派送至部署有相同應用程式之所有伺服器。
現參閱圖式描述較佳方法及系統,其中相似參考數字在圖式中用以指示相似元件。在以下描述中,為了解釋之目的,闡述許多特定細節以便幫助完全理解系統及方法等。在其他實例中,為了簡化描述,以方塊圖之形式說明常用結構及器件。亦具有本說明書及圖式中所教示之益處的熟習此項技術者可設想許多修改及其他實施例。因此,應理解,本發明不限於所揭示之特定實施例,且額外可能之實
施例應含在本發明之範疇及例示性發明概念中。儘管本文中使用一些特定術語,但該等特定術語僅用於一般描述性意義而不用於限制目的。
藉由參閱圖式閱讀說明性實施例之以下詳細描述,將更好地理解本發明本身及本發明之較佳模式、其他目標及優點。
將在下文參閱圖式詳細解釋本發明之特定實施例。在以下解釋中,首先描述在本發明中所使用之重要術語。
在以下論述中,提供大量具體細節以幫助澈底理解本發明。然而,對於一般熟習此項技術者而言,以下情形為顯而易見的:即使沒有此等具體細節,對本發明之理解亦將不受影響。另外,應進一步瞭解,下文中所使用之任何特定術語僅為了便於描述,且因此本發明不應限於僅在藉由此等術語表示及/或隱含之任何特定應用中使用。
應預先理解,儘管本發明包括關於雲端計算之詳細描述,但本文中所敍述之教示之實施方案不限於雲端計算環境。更確切而言,本發明之實施例能夠結合現已知或即將開發之任何其他類型之計算環境來實施。
雲端計算為用於履行對可組態計算資源(例如,網路、網路頻寬、伺服器、處理、記憶體、儲存器、應用程式、虛擬機及服務)之共用集區之便利的隨選網路存取的服務遞送模型,該等可組態計算資源可在最小管理努力或與服務提供者之互動的情況下被快速佈建及釋放。此雲端模型可包括至少五個特性、至少三個服務模型及至少四個部署
模型。
特性如下:隨選自助服務:雲端消費者可在不需要與服務之提供者進行人工互動的情況下自動地按需要單方面地佈建計算能力(諸如,伺服器時間及網路儲存)。
廣泛網路存取:可經由網路得到能力,且經由標準機制存取該等能力,該等標準機制促進由異質精簡型用戶端平台或複雜型用戶端平台(例如,行動電話、膝上型電腦及PDA)所進行之使用。
資源蓄集:蓄集提供者之計算資源以使用多租戶模型為多個消費者服務,其中根據需求動態地指派及重新指派不同物理資源及虛擬資源。存在位置獨立性之意義,此情形在於:消費者大體上不具有對已提供資源之確切位置的控制或瞭解,但可能能夠指定在較高抽象層級(例如,國家、州或資料中心)處之位置。
快速彈性:可快速及彈性地佈建能力,在一些狀況下,可自動佈建能力以迅速擴展且可快速釋放能力以迅速縮減。就消費者而言,可用於佈建之能力常常看似為無限制的且可在任何時間以任何數量購買該等能力。
經量測之服務:雲端系統藉由在適合於服務類型(例如,儲存、處理、頻寬及有效使用者帳戶)之某抽象層級下充分利用計量能力而自動控制資源使用及使資源使用最佳化。可監視、控制及報告資源使用,從而向所利用服務之提供者與消費者兩者提供透明性。
服務模型如下:軟體即服務(Software as a Service,SaaS):提供給消費者之能力為使用在雲端基礎架構上執行之提供者的應用程式。可經由精簡型用戶端介面(諸如,網頁瀏覽器(例如,基於網路之電子郵件))自各種用戶端器件存取應用程式。消費者並不管理或控制包括網路、伺服器、作業系統、儲存器或甚至個別應用程式能力的底層雲端基礎架構,其中可能的例外為有限的使用者特定之應用程式組態設定。
平台即服務(Platform as a Service,PaaS):提供給消費者之能力為將消費者建立或獲取的使用由提供者支援之程式設計語言及工具建立之應用程式部署於雲端基礎架構上。消費者並不管理或控制包括網路、伺服器、作業系統或儲存器之底層雲端基礎架構,但具有對已部署應用程式及(可能地)應用程式主控環境組態之控制。
基礎架構即服務(Infrastructure as a Service,IaaS):提供給消費者之能力為佈建消費者能夠部署及執行任意軟體(軟體可包括作業系統及應用程式)的處理、儲存器、網路及其他基本計算資源。消費者並不管理或控制底層雲端基礎架構,但具有對作業系統、儲存器、所部署應用程式之控制,及(可能的)對所選擇的網路連接組件(例如,主機防火牆)之有限控制。
部署模型如下:私人雲端:單獨地針對一組織來操作該雲端基礎架構。該雲端基礎架構可由該組織或第三方來管理且可內部部署
(on-premises)或外部部署(off-premises)地存在。
社區雲端:該雲端基礎架構由若干組織共用且支援具有共同關注問題(例如,使命、安全性要求、策略及依從性考慮)之特定社區。該雲端基礎架構可由該等組織或第三方來管理且可內部部署或外部部署地存在。
公用雲端:使該雲端基礎架構對於一般公眾或大的工業團體可用,且由銷售雲端服務之組織擁有。
混合雲端:該雲端基礎架構為兩個或兩個以上雲端(私人、社區或公用)之組合,該等雲端仍為具唯一性之實體,但藉由啟用資料及應用程式可攜性之標準化或專屬技術(例如,用於雲端之間的負載平衡之雲端爆發)而結合在一起。
雲端計算環境為服務導向的,致力於無國界、低耦合、模組性及語意互通性。在雲端計算之核心處為包含互連節點之網路的基礎架構。
現參看圖8,展示雲端計算節點的實例之示意圖。雲端計算節點10僅為合適雲端計算節點之一實例,且不意欲暗示關於本文中所描述的本發明之實施例的使用或功能性的範疇之任何限制。無論如何,雲端計算節點10能夠得以實施及/或執行在上文中所闡述的功能性中之任一者。
在雲端計算節點10中,存在電腦系統/伺服器12,電腦系統/伺服器12可與眾多其他通用或專用計算系統環境或組態一起操作。可適合於與電腦系統/伺服器12一起使用之熟知計算系統、環境及/或組態之實例包括(但不限於)個
人電腦系統、伺服器電腦系統、精簡型用戶端、複雜型用戶端、手持型或膝上型器件、多處理器系統、基於微處理器之系統、機上盒、可程式化消費型電子裝置、網路PC、迷你電腦系統、大型電腦系統,及包括上述系統或器件中之任一者的分散式雲端計算環境,及其類似者。
可在正由電腦系統執行之電腦系統可執行指令(諸如,程式模組)之通用程式內容中描述電腦系統/伺服器12。大體言之,程式模組可包括執行特定任務或實施特定抽象資料類型之常式、程式、物件、組件、邏輯、資料結構等等。可在分散式雲端計算環境中實踐電腦系統/伺服器12,在分散式雲端計算環境中,藉由經由通信網路鏈接之遠端處理器件來執行任務。在分散式雲端計算環境中,程式模組可位於包括記憶體儲存器件之本端電腦系統儲存媒體與遠端電腦系統儲存媒體兩者中。
如圖8中所展示,展示雲端計算節點10中呈通用計算器件之形式之電腦系統/伺服器12。電腦系統/伺服器12之組件可包括(但不限於)一或多個處理器或處理單元16、系統記憶體28,及將包括系統記憶體28之各種系統組件耦接至處理器16的匯流排18。
匯流排18表示若干類型之匯流排結構中之任何一或多者,包括記憶體匯流排或記憶體控制器、周邊匯流排、加速圖形埠及使用多種匯流排架構中之任一者的處理器或區域匯流排。作為實例而非限制,此等架構包括工業標準架構(ISA)匯流排、微通道架構(MCA)匯流排、增強型
ISA(EISA)匯流排、視訊電子標準協會(VESA)區域匯流排及周邊元件互連(PCI)匯流排。
電腦系統/伺服器12通常包括多種電腦系統可讀媒體。此類媒體可為可藉由電腦系統/伺服器12存取之任何可用媒體,且其包括揮發性媒體與非揮發性媒體及可卸除式媒體與不可卸除式媒體。
系統記憶體28可包括呈揮發性記憶體形式之電腦系統可讀媒體(諸如,隨機存取記憶體(RAM)30及/或快取記憶體32)。電腦系統/伺服器12可進一步包括其他可卸除式/不可卸除式、揮發性/非揮發性電腦系統儲存媒體。僅作為實例,可提供儲存系統34以用於自不可卸除式、非揮發性磁性媒體(未圖示且通常稱為「硬碟」)讀取或寫入至不可卸除式、非揮發性磁性媒體。雖然未展示,但可提供用於自可卸除式、非揮發性磁碟(例如,「軟性磁碟」)讀取或寫入至可卸除式、非揮發性磁碟的磁碟機及用於自可卸除式、非揮發性光碟(諸如,CD-ROM、DVD-ROM或其他光學媒體)讀取或寫入至可卸除式、非揮發性光碟的光碟機。在此等例子中,各自可藉由一或多個資料媒體介面而連接至匯流排18。如下文將進一步描繪及描述,記憶體28可包括至少一程式產品,該至少一程式產品具有經組態以執行本發明的實施例之功能的程式模組集合(例如,至少一程式模組)。
作為實例而非限制,具有程式模組42之集合(至少一程式模組)的程式/公用程式40可儲存於記憶體28中,作業系
統、一或多個應用程式、其他程式模組及程式資料亦可儲存於記憶體28中。作業系統、一或多個應用程式、其他程式模組及程式資料中之每一者或其某一組合可包括網路連接環境之實施方案。程式模組42大體上執行如本文中所描述的本發明之實施例的功能及/或方法。
電腦系統/伺服器12亦可與以下各者通信:諸如鍵盤、指標器件、顯示器24等之一或多個外部器件14;使得使用者能夠與電腦系統/伺服器12互動的一或多個器件;及/或使得電腦系統/伺服器12能夠與一或多個其他計算器件通信的任何器件(例如,網路卡、數據機等)。此類通信可經由輸入/輸出(I/O)介面22發生。但電腦系統/伺服器12仍可經由網路配接器20與一或多個網路(諸如,區域網路(LAN)、通用廣域網路(WAN)及/或公眾網路(例如,網際網路))通信。如所描繪,網路配接器20經由匯流排18與電腦系統/伺服器12之其他組件通信。應理解,儘管未展示,但其他硬體及/或軟體組件可結合電腦系統/伺服器12使用。實例包括(但不限於):微碼、器件驅動程式、冗餘處理單元、外部磁碟機陣列、RAID系統、磁帶機,及資料存檔儲存系統等。
現參閱圖9,描繪說明性雲端計算環境50。如所展示,雲端計算環境50包含一或多個雲端計算節點10,雲端消費者所使用之本端計算器件(諸如,個人數位助理(PDA)或蜂巢式電話54A、桌上型電腦54B、膝上型電腦54C及/或汽車電腦系統54N)可與該一或多個雲端計算節點10通信。雲
端計算節點10可彼此通信。在一或多個網路(諸如,如上文所描述之私人雲端、社區雲端、公眾雲端或混合雲端或其組合)中,可將該等節點實體或虛擬地分群(未圖示)。此情形允許雲端計算環境50提供基礎架構即服務、平台即服務及/或軟體即服務,針對該等服務,雲端消費者不需要在本端計算器件上維護資源。應理解,圖9中所展示之計算器件54A至54N之類型意欲僅為說明性的且雲端計算節點10及雲端計算環境50可經由任何類型之網路及/或網路可定址連接(例如,使用網頁瀏覽器)與任何類型之電腦化器件通信。
現參閱圖10,展示由雲端計算環境50(圖9)提供之功能抽象層集合。應預先理解,圖10中所展示之組件、層及功能意欲僅為說明性的,且本發明之實施例並不限於此。如所描繪,提供以下層及對應功能:硬體及軟體層60包括硬體及軟體組件。硬體組件之實例包括:大型電腦(在一實例中為IBM® zSeries®系統);基於精簡指令集電腦(RISC)架構之伺服器(在一實例中為IBM pSeries®系統);IBM xSeries®系統;IBM BladeCenter®系統;儲存器件;網路及網路連接組件。軟體組件之實例包括:網路應用程式伺服器軟體(在一實例中為IBM WebSphere®應用程式伺服器軟體);及資料庫軟體(在一實例中為IBM DB2®資料庫軟體)。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere及DB2為國際商用機器公司在全球範圍的許多行政轄區中之註冊商標)。
虛擬化層62提供一抽象層,自該抽象層可提供虛擬實體
之以下實例:虛擬伺服器;虛擬儲存器;虛擬網路(包括虛擬專用網路);虛擬應用程式及作業系統;及虛擬用戶端。
在一實例中,管理層64可提供下文所描述之功能。資源佈建提供用以在雲端計算環境內執行任務之計算資源及其他資源的動態採購。計量及定價隨著在雲端計算環境內利用資源而提供成本追蹤,及記帳或為此等資源之消耗開發票。在一實例中,此等資源可包含應用軟體授權。安全性提供針對雲端消費者及任務之身分驗證,以及針對資料及其他資源之保護。使用者入口為消費者及系統管理者提供對雲端計算環境之存取。服務等級管理提供雲端計算資源分配及管理,使得滿足所需服務等級。服務等級協議(SLA)計劃及履行提供針對根據SLA預期未來要求之雲端計算資源的預先配置及其採購。
工作負載層66提供雲端計算環境可用於之功能性之實例。可自此層提供之工作負載及功能之實例包括:映射及導覽;軟體開發及生命週期管理;虛擬課堂教育遞送;資料分析處理;異動處理;及自動派送安全規則。
圖2為示意性地說明應用程式、複合應用程式模型及拓撲模型之間的映射關係之解釋性視圖。參閱圖2之左部,應用程式意謂部署於雲端環境中但對使用者而言看似為一個並且相同之應用程式的應用程式,諸如,銷售自動化(Sales Force Automation,SFA)、客戶關係管理(Customer Relationship Management,CRM)等。對於應用程式,可形
成不同複合應用程式模型。舉例而言,參閱圖2之中部,對於應用程式1,特別使用一網路應用程式伺服器(WAS)及一DB2伺服器作為複合應用程式模型;而對於應用程式2,特別使用兩個網路應用程式伺服器、一DB2伺服器及一LDAP伺服器作為複合應用程式模型。在複合應用程式模型中,將應用程式映射至不同網路應用程式伺服器。最後,參閱圖2之右部,基於所建立之複合應用程式模型,產生拓撲模型。拓撲模型提供自複合應用程式模型至複數個執行伺服器執行個體之映射。具體言之,拓撲模型可含有該複數個執行伺服器執行個體所位於的伺服器之IP位址及/或該等伺服器之間的連接關係。
接下來,將參閱圖3簡略描述應用程式伺服器防火牆如何利用安全規則驗證使用者輸入。圖3示意性地說明系統中的應用程式伺服器防火牆之位置。為了簡化解釋,圖3僅展示雲端環境中之一網路應用程式伺服器13。雲端環境中之其他網路應用程式伺服器具有類似連接關係。
參考數字11指示用戶端側上用於將使用者之HTTP請求發送至網路應用程式伺服器或自網路應用程式伺服器接收對應回應之用戶端瀏覽器。參考數字17指示一網路,網路應用程式伺服器經由該網路對使用者經由用戶端瀏覽器發送之請求作出回應。參考數字15指示網路應用程式伺服器側上之網路應用程式防火牆,該網路應用程式防火牆用於驗證伺服器側上的使用者之HTTP請求中之輸入值且用於為網路應用程式伺服器提供安全保護。雖然在圖3中分別
展示了網路應用程式防火牆15及網路應用程式伺服器13,但實際上,其在相同硬體伺服器中。
如圖3中所展示,使用者藉由用戶端側上之用戶端瀏覽器11經由網路17將具有輸入值之請求發送至網路應用程式伺服器13。為了避免指令碼攻擊,需要驗證使用者之輸入值以確保網路應用程式之安全性。正常使用者將不會在用戶端側上鍵入惡意值(諸如,邏輯代碼(例如,JavaScript邏輯)),但潛在之惡意使用者將注入惡意邏輯代碼至網路應用程式伺服器13中以試圖攻擊伺服器、竊用使用者之私人資訊等。當此等惡意代碼(諸如,JavaScript)藉由伺服器而發送至其他用戶端之瀏覽器時,此等惡意代碼將竊用用戶端中之敏感資訊。
因此,應藉由利用預定義之安全規則在伺服器側上組態網路應用程式防火牆15,且網路應用程式防火牆15基於此等安全規則而驗證使用者之輸入值。當網路應用程式防火牆15偵測到違反安全規則之使用者輸入值時,其針對使用者採取適當安全保護措施以消除潛在隱藏之危險。當網路應用程式防火牆15並未發現違反安全規則之使用者輸入值時,將使用者之請求轉發至網路應用程式伺服器13以用於處理。因此,網路應用程式防火牆15在此充當過濾器。
為了促進解釋安全規則,圖4說明HTTP請求之實例。HTTP請求包括方法「POST」、URL範本(template)、版本、標頭及本文(Body)。HTTP請求之標頭含有呈名稱-值對形式之參數,諸如,Host:9.186.54.51:8080及Content-
length:19等。
下文說明以JSON語法撰寫之簡單安全規則。
安全規則之功能為:當HTTP請求之標頭中的參數「Content-length」之值的字串之位元之數目多於100時,將請求記錄於日誌中。可以JSON或其他語法撰寫安全規則,或可在表格或簡單文字檔案中寫入安全規則,只要其可表達條件判斷及根據條件判斷採取之行動即可。舉例而言,可將另一安全規則記錄為表1:
安全規則指定「名稱」與「年齡」之欄位中准許之輸入值。舉例而言,「名稱」欄位中准許之輸入值藉由以下表2中之正規表達式「安全文字」定義;「年齡」欄位中准許
之輸入值藉由表示正整數之正規表達式定義。若「名稱」欄位或「年齡」欄位中之輸入值不遵守(違反)對應安全規則,則將拒絕HTTP請求。
正規表達式藉由使用「字串」描述特徵,接著檢查另一「字串」是否遵守特徵。表2列出正規表達式之若干實例。
如上文所描述,網路應用程式防火牆根據設定之安全規則驗證使用者之輸入值且採取對應行動。
參閱圖5,本發明提供用於在雲端環境中自動派送安全規則之非侵入式方法。該方法在雲端環境中之控制台(圖1中未展示)處執行。控制台用於雲端環境之集中控制。圖5為說明根據本發明之實施例之方法流程500的流程圖。方法流程500包含以下步驟:
步驟510:形成複合應用程式模型。
步驟520:產生拓撲模型。
步驟530:產生安全規則。
步驟540:派送安全規則。
下文詳細描述方法流程500中之每一步驟。
步驟510:形成複合應用程式模型
在步驟510中,形成雲端環境中之應用程式之複合應用程式模型,該複合應用程式模型至少包括部署有應用程式之各種伺服器之類型。
在建構時,在用於集中控制之控制台處,基於經組態以形成應用程式之各種伺服器而形成複合應用程式模型。對於圖2中所說明之應用程式2,複合應用程式模型可具有以下表3之形式。
在表3中,DB2為一種熟知資料庫。TDS(Tivoli目錄伺服器)為由IBM進行的對LDAP(輕型目錄存取協定,Lightweight Directory Access Protocol)之實施方案,且其可跨越平台安裝及組態。儘管複合應用程式模型之實例係以表格之形式給出,但本發明並不限於此。JSON檔案或其他檔案亦可用於描述複合應用程式模型。在表3中,「伺服器ID」欄及「伺服器名稱」欄為可選的。依據本發明,已知實施應用程式之所有組件之類型便足夠了。
步驟520:產生拓撲模型
在步驟520中,產生雲端環境中之各種伺服器之拓撲模型。
仍將圖2中所說明之應用程式2作為實例。在部署中,例如,將複合應用程式模型中之各別組件部署至真實伺服器,以便獲得各別伺服器之IP位址且將此等IP位址記錄於表4中。
如自表4中所見,即使伺服器WAS2及伺服器Mydb為兩個不同類型之伺服器,但在部署中,可藉由IP「9.186.110.43」將該兩個伺服器部署至相同伺服器。類似於複合應用程式模型,儘管拓撲模型之實例係以表格之形式給出,但本發明並不限於此。JSON檔案或其他檔案亦可用於描述拓撲模型。在表4中,拓撲模型至少包括各別伺服器之IP位址。
步驟530:產生安全規則
在步驟530中,基於應用程式之應用程式內容、複合應用程式模型及拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則。
在此,例如,應用程式之應用程式內容包括於struts.xml或web.xml檔案中。當然,應用程式內容亦可包括於使用者定義之檔案或其他資料結構中。下文為struts.xml檔案之片段。
片段中之前兩行指示:針對請求伺服器中之資源「file/*/shares」之HTTP請求,呼叫對應類別以處理使用者請求。
至於為安全規則所約束之目標的請求訊息,需要設定訊息之URI。基於應用程式之應用程式內容(諸如,上文所提及的部署於雲端平台中之應用程式之struts.xml檔案),可獲得訊息URI:file/{fileID}/shares。在此,僅給出一實例,且亦可自struts.xml檔案中之其他<action></action>片段提取訊息URI。
現已收集訊息URI、複合應用程式模型及拓撲模型。在下文中,藉由將圖2中所說明之應用程式2作為實例來描述如何基於所收集之資訊而產生安全規則。
根據複合應用程式模型,可自動辨識何種容器或伺服器用於雲端環境中。由於除網路應用程式伺服器之外,DB2及TDS亦包括於表3中之複合應用程式模型之「伺服器類型」欄中,故此情形意謂需要產生針對SQL注入及LDAP注入之安全規則,其中SQL注入以DB2伺服器為目標且LDAP注入以TDS伺服器為目標。舉例而言,可如下自動
產生以JSON語法撰寫之安全規則:
其中,針對SQL注入使用安全規則「SQL-I」以保護DB2伺服器免受指令碼攻擊;針對LDAP注入使用安全規則「LDAPINJECTION」以保護TDS伺服器免受指令碼攻擊。
接下來,根據自拓撲模型獲得之IP位址9.186.110.43及
9.186.110.2以及如上文所描述般獲得之訊息URI:file/{fileID}/shares,可判定為安全規則約束之目標之請求訊息URI及其與安全規則之繫結關係,如以下表5中所展示。
類似於上文所描述之複合應用程式模型及拓撲模型,儘管繫結關係之實例係以表格之形式給出,但本發明並不限於此。JSON檔案或其他檔案亦可用於描述繫結關係。
在此,解釋上文所描述之安全規則中之「安全級別」。嚴重性名稱-值對為可選的且為預定義的。亦可基於由使用者輸入之嚴重性而自動產生待由各別伺服器之伺服器側防火牆採用之安全規則。在一實施例中,嚴重性可為「高」、「中」及「低」。在其他實施例中,可能存在2個嚴重性或多於3個嚴重性。當使用者選擇嚴重性「低」時,僅繫結具有嚴重性「低」之安全規則;當使用者選擇嚴重性「中」時,僅繫結具有嚴重性「中」及「低」之安全規則;當使用者選擇嚴重性「高」時,繫結具有所有嚴重性之安全規則。因此,有可能根據不同使用者偏好產生安全規則及其繫結關係。
步驟540:派送安全規則
在步驟540中,基於複合應用程式模型及拓撲模型,將
安全規則派送至每一伺服器側防火牆。
首先,作出關於哪些伺服器為網路應用程式伺服器之判斷,此係因為以下之故:安全規則僅適用於保護網路應用程式伺服器之網路應用程式防火牆。接著,根據拓撲模型判定各別網路應用程式伺服器之IP位址。具體言之,將上文所描述之表3及表4作為實例,可自表3中之「類型」欄判定:WAS1及WAS2為網路應用程式伺服器,且可自表4判定:WAS1及WAS2之IP位址分別為9.186.110.43及9.186.110.2。根據此情況,將上文所描述的所產生之安全規則及其與訊息URI之繫結關係派送至所判定之IP位址。舉例而言,派送係將含有安全規則及其與訊息URI之繫結關係之檔案/訊息發送至對應IP位址或儲存於對應目錄中。由伺服器側防火牆使用安全規則以關於藉由伺服器側防火牆保護之伺服器驗證使用者輸入。
在此,應注意,因為網路應用程式伺服器及其網路應用程式防火牆大體上經部署至相同硬體伺服器,所以其共用相同IP位址。因此,可視為:若判定網路應用程式伺服器之IP位址,則亦判定網路應用程式伺服器之網路應用程式防火牆之IP位址。
圖6說明根據本發明之另一實施例之方法流程600。在方法流程600中,步驟610至步驟640類似於上文所描述之步驟510至步驟540,且在此不重複對彼等步驟之解釋。在步驟650中,自各別伺服器側防火牆接收關於安全規則違反或異常之回饋資訊。舉例而言,回饋資訊可包含熟習此項
技術者可設想之資訊,諸如,關於安全規則違反、新穎攻擊、伺服器故障等之日誌。
在步驟660中,基於回饋資訊而更新安全規則。基於回饋資訊而更新安全規則包含:基於回饋資訊,新近形成雲端環境中之應用程式之複合應用程式模型及產生雲端環境中之各種伺服器之拓撲模型;且基於回饋資訊、應用程式之應用程式內容、新近形成之複合應用程式模型及新近產生之拓撲模型,更新安全規則。
在此,為了促進解釋,將圖2中之應用程式2作為實例。假定回饋資訊展示伺服器「使用者註冊表」與網路斷開,則,以類似於圖5之描述之方式,新近形成複合應用程式模型(表6)及拓撲模型(表7),如下文所展示。
接著,基於上文而僅產生安全規則「SQL-I」,而不再產生安全規則「LDAPINJECTION」。此係因為TDS伺服器並不存在以致將不受LDAP注入之影響。因此,新繫結關係
變為:
在步驟670中,將更新之安全規則派送至每一伺服器側防火牆。在此,類似於步驟540,將更新之後的安全規則及其與訊息URI之繫結關係派送至所判定之IP位址。在上述實例中,僅將表8中之安全規則「SQL-I」及繫結關係派送至所判定之IP位址9.186.110.43及9.186.110.2。
接著,處理程序返回至步驟650,且重複步驟650至步驟670中之處理程序。以此方式,有可能使所產生之安全規則適應於雲端環境中之多樣化及動態之拓撲結構。
在一實施例中,回應於自任何伺服器接收到回饋資訊,更新安全規則。在另一實施例中,在接收到回饋資訊之後,並非立即更新安全規則而是週期性地更新安全規則以便避免安全規則之過於頻繁之更新。
在一實施例中,有可能針對雲端環境中之一或多個應用程式設定預設安全規則,且自動產生待由各別伺服器之伺服器側防火牆採用之安全規則的器件包含修改預設安全規則。舉例而言,有可能將如上文所描述之安全規則「Rule01」設定為圖2中所說明之應用程式1及應用程式2之預設安全規則。接著,關於應用程式2,根據圖5中所展
示之方法產生安全規則「SQL-I」及「LDAPINJECTION」。最後,將三個安全規則及其與訊息URI之繫結關係一起派送至每一伺服器側防火牆。藉由提供預設安全規則,有可能使得使用者能夠以自由方式設定所要特定安全規則。
圖7為說明根據本發明之實施例的用於在雲端環境中自動派送安全規則之非侵入式裝置700的方塊圖。
本發明之裝置700包含:複合應用程式模型形成構件710,其用於形成雲端環境中之應用程式之複合應用程式模型,該複合應用程式模型至少包括用於部署應用程式之各種伺服器之類型;拓撲模型產生構件720,其用於產生雲端環境中之各種伺服器之拓撲模型;安全規則產生構件730,其用於基於應用程式之應用程式內容、複合應用程式模型及拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則;及安全規則派送構件740,其用於基於複合應用程式模型及拓撲模型,將安全規則派送至每一伺服器側防火牆。
在一實施例中,本發明之裝置700進一步包含:接收構件,其用於自各別伺服器側防火牆接收關於安全規則違反或異常之回饋資訊;更新構件,其用於基於回饋資訊而更新安全規則;及重新派送器件,其用於將更新之安全規則派送至每一伺服器側防火牆。
在一實施例中,更新構件包含:重建構構件,其用於基於回饋資訊,新近形成雲端環境中之應用程式之複合應用程式模型及產生雲端環境中之各種伺服器之拓撲模型;及
第二更新構件,其用於基於回饋資訊、應用程式之應用程式內容、新近形成之複合應用程式模型及新近產生之拓撲模型,更新安全規則。
在一實施例中,本發明之裝置700進一步包含設定構件,其設定用於應用程式之預設安全規則,且其中安全規則產生構件包含修改預設安全規則之修改構件。
如熟習此項技術者將瞭解,本發明之態樣可體現為系統、方法或電腦程式產品。因此,本發明之態樣可採用完全硬體實施例、完全軟體實施例(包括韌體、常駐軟體、微碼等)或組合軟體與硬體態樣之實施例的形式,該等實施例在本文中皆可大體上被稱為「電路」、「模組」或「系統」。此外,本發明之態樣可採用體現於任何有形表達媒體中之電腦程式產品之形式,有形表達媒體具有體現於其中之電腦可用程式碼。
可利用一或多個電腦可用或電腦可讀媒體之任何組合。舉例而言,電腦可用或電腦可讀媒體可為(但不限於)電子、磁性、光學、電磁、紅外線或半導體系統、裝置、器件或傳播媒體。電腦可讀媒體之更多特定實例(非詳盡清單)將包括以下各者:具有一或多個電線之電連接、攜帶型電腦磁片、硬碟、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除可程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、攜帶型光碟唯讀記憶體(CD-ROM)、光學儲存器件、支援(例如)網際網路或企業內部網路之傳輸媒體,或磁性儲存器件。應注意,電腦可用或電腦可讀媒體甚至
可為列印有程式之紙或其他合適媒體,且此係因為可藉由電掃描紙或其他媒體而電子式地獲得程式,且接著適當地編譯、解譯或處理該等程式,並在必要時將該等程式儲存於電腦記憶體中。在此文件之程式內容中,電腦可用或電腦可讀儲存媒體可為含有、儲存、傳達、傳播或傳輸供指令執行系統、裝置或器件使用或結合指令執行系統、裝置或器件使用之程式之任何媒體。電腦可用媒體可包括體現有電腦可用程式碼之資料信號,該資料信號在基頻中傳播且作為載波之部分。可使用任何適當媒體(包括但不限於無線、有線線路、光纜、RF等等)來傳輸電腦可用程式碼。
可以一或多種程式設計語言之任何組合來撰寫用於執行本發明之態樣之操作的電腦程式碼,該一或多種程式設計語言包括諸如Java、Smalltalk、C++或其類似者之物件導向式程式設計語言及諸如「C」程式設計語言或類似程式設計語言之習知程序性程式設計語言。程式碼可完全在使用者電腦上執行、部分地在使用者電腦上執行、作為獨立套裝軟體而執行、部分地在使用者電腦上執行且部分地在遠端電腦上執行,或完全在遠端電腦或伺服器上執行。在完全在遠端電腦或伺服器上執行的情況下,遠端電腦可經由任何類型之網路(包括區域網路(LAN)或廣域網路(WAN))而連接至使用者電腦,或可連接至外部電腦(例如,使用網際網路服務提供者,經由網際網路)。
下文參考根據本發明之實施例之方法、裝置(系統)及電
腦程式產品的流程圖說明及/或方塊圖來描述本發明之態樣。應理解,可藉由電腦程式指令來實施該等流程圖說明及/或方塊圖之每一區塊及該等流程圖說明及/或方塊圖中之區塊的組合。可將此等電腦程式指令提供至通用電腦、專用電腦或其他可程式化資料處理裝置之處理器以產生機器,以使得經由電腦或其他可程式化資料處理裝置執行之指令建立用於實施流程圖說明及/或方塊圖之區塊中所指定之功能/動作的構件。
此等電腦程式指令亦可儲存於可引導電腦或其他可程式化資料處理裝置以特定方式起作用之電腦可讀媒體中,以使得儲存於電腦可讀媒體中之指令產生包括指導構件之製造物件,該指導構件實施流程圖說明及/或方塊圖之區塊中所指定之功能/動作。
亦可將電腦程式指令載入至電腦或其他可程式化資料處理裝置上,以使得在電腦或其他可程式化資料處理裝置上執行一系列操作步驟以產生電腦實施之處理程序,以使得在電腦或其他可程式化裝置上執行之指令提供用於實施流程圖說明及/或方塊圖之區塊中所指定之功能/動作的處理程序。
諸圖中之流程圖說明及方塊圖說明根據本發明之各種實施例的系統、方法及電腦程式產品之可能實施方案的架構、功能性及操作。就此而言,流程圖說明或方塊圖中之每一區塊可表示一模組、程式片段或程式碼之部分,其包含用於實施指定之邏輯功能的一或多個可執行指令。亦應
注意,在一些替代實施方案中,區塊中所註釋之功能可不以諸圖中所註釋之次序發生。舉例而言,取決於所涉及之功能性,連續展示之兩個區塊實際上可實質上同時執行,或該等區塊有時可以相反次序執行。亦應注意,可藉由執行指定之功能或動作的基於專用硬體之系統或專用硬體與電腦指令之組合來實施方塊圖及/或流程圖說明中之每一區塊及方塊圖及/或流程圖說明中之區塊的組合。
本文中使用之術語僅用於描述特定實施例之目的,且並不意欲限制本發明。如本文中所使用,除非程式內容另有清晰指示,否則單數形式「一」及「該」意欲亦包括複數形式。應進一步理解,術語「包含(comprises及/或comprising)」在用於本說明書中時指定所陳述之特徵、整體、步驟、操作、元件及/或組件之存在,但不排除一或多個其他特徵、整體、步驟、操作、元件、組件及/或其群組之存在或添加。
申請專利範圍中之所有構件或步驟加功能元件之對應結構、材料、動作及等效物意欲包括用於結合如特別主張之其他所主張元件執行功能的任何結構、材料或動作。已呈現本發明之描述以用於達成說明及描述之目的,但其並不意欲為詳盡的或限於呈所揭示之形式的本發明。在不脫離本發明之範疇及精神之情況下,許多修改及變化對於一般熟習此項技術者而言將顯而易見。選擇並描述了實施例以便最佳地解釋本發明之原理及實務應用,且使得一般熟習此項技術者能夠針對具有如適合於所預期特定用途的各種
修改之各種實施例而理解本發明。
10‧‧‧雲端計算節點
11‧‧‧用戶端瀏覽器
12‧‧‧電腦系統/伺服器
13‧‧‧網路應用程式伺服器
14‧‧‧外部器件
15‧‧‧網路應用程式防火牆
16‧‧‧處理單元/處理器
17‧‧‧網路
18‧‧‧匯流排
20‧‧‧網路配接器
22‧‧‧輸入/輸出(I/O)介面
24‧‧‧顯示器
28‧‧‧系統記憶體
30‧‧‧隨機存取記憶體(RAM)
32‧‧‧快取記憶體
34‧‧‧儲存系統
40‧‧‧程式/公用程式
42‧‧‧程式模組
50‧‧‧雲端計算環境
54A‧‧‧個人數位助理(PDA)/蜂巢式電話
54B‧‧‧桌上型電腦
54C‧‧‧膝上型電腦
54N‧‧‧汽車電腦系統
60‧‧‧硬體及軟體層
62‧‧‧虛擬化層
64‧‧‧管理層
66‧‧‧工作負載層
500‧‧‧方法流程
600‧‧‧方法流程
700‧‧‧非侵入式裝置
710‧‧‧複合應用程式模型形成構件
720‧‧‧拓撲模型產生構件
730‧‧‧安全規則產生構件
740‧‧‧安全規則派送構件
圖1說明應用程式部署於雲端環境中之複數個伺服器中之狀況的實例;圖2為示意性地說明應用程式、複合應用程式模型及拓撲模型之間的映射關係之解釋性視圖;圖3示意性地說明系統中之應用程式伺服器防火牆之位置;圖4說明HTTP請求之實例;圖5為說明根據本發明之實施例之方法流程500的流程圖;圖6說明根據本發明之另一實施例之方法流程600;圖7為說明根據本發明之實施例的用於在雲端環境中自動派送安全規則之非侵入式裝置700之方塊圖;圖8描繪根據本發明之實施例之雲端計算節點;圖9描繪根據本發明之實施例之雲端計算環境;及圖10描繪根據本發明之實施例之抽象模型層。
500‧‧‧方法流程
Claims (15)
- 一種用於在一雲端環境中自動派送安全規則之非侵入式方法,其包含以下步驟:形成該雲端環境中之一應用程式之一複合應用程式模型,該複合應用程式模型至少包括用於部署該應用程式之各種伺服器之類型;產生該雲端環境中之該等各種伺服器之一拓撲模型;基於該應用程式之應用程式內容、該複合應用程式模型及該拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則;及基於該複合應用程式模型及該拓撲模型,將該等安全規則派送至每一伺服器側防火牆。
- 如請求項1之方法,其中該應用程式之應用程式內容包括於檔案struts.xml或web.xml中。
- 如請求項1之方法,其中由該等伺服器側防火牆使用該等安全規則以關於由該等伺服器側防火牆保護之伺服器驗證使用者輸入;或其中該拓撲模型至少含有各別伺服器之IP位址。
- 如請求項1之方法,其中自動產生待由各別伺服器之該等伺服器側防火牆採用之安全規則亦係基於由一使用者輸入之嚴重性。
- 如請求項1之方法,其進一步包含:自各別伺服器側防火牆接收關於安全規則違反或異常 之回饋資訊;基於該回饋資訊而更新該等安全規則;及將更新之安全規則派送至每一伺服器側防火牆。
- 如請求項5之方法,其中週期性地執行該更新該等安全規則。
- 如請求項5或6之方法,其中基於該回饋資訊而更新該等安全規則包含:基於該回饋資訊,新近形成該雲端環境中之該應用程式之一複合應用程式模型及產生該雲端環境中之該等各種伺服器之一拓撲模型;及基於該回饋資訊、該應用程式之該應用程式內容、新近形成之複合應用程式模型及新近產生之拓撲模型,更新該等安全規則。
- 如請求項1之方法,其進一步包含設定用於該應用程式之預設安全規則,且其中自動產生待由各別伺服器之該等伺服器側防火牆採用之安全規則包含修改該等預設安全規則。
- 一種用於在一雲端環境中自動派送安全規則之非侵入式裝置,其包含:一複合應用程式模型形成構件,其用於形成該雲端環境中之一應用程式之一複合應用程式模型,該複合應用程式模型至少包括用於部署該應用程式之各種伺服器之類型;一拓撲模型產生構件,其用於產生該雲端環境中之該 等各種伺服器之一拓撲模型;一安全規則產生構件,其用於基於該應用程式之應用程式內容、該複合應用程式模型及該拓撲模型,自動產生待由各別伺服器之伺服器側防火牆採用之安全規則;及一安全規則派送構件,其用於基於該複合應用程式模型及該拓撲模型,將該等安全規則派送至每一伺服器側防火牆。
- 如請求項9之裝置,其中該應用程式之應用程式內容包括於檔案struts.xml或web.xml中。
- 如請求項9之裝置,其中該等安全規則係由該等伺服器側防火牆使用以關於由該等伺服器側防火牆保護之伺服器驗證使用者輸入;或其中自動產生待由各別伺服器之該等伺服器側防火牆採用之安全規則亦係基於由一使用者輸入之嚴重性;或其中該拓撲模型至少含有各別伺服器之IP位址。
- 如請求項9之裝置,其進一步包含:一接收構件,其用於自各別伺服器側防火牆接收關於安全規則違反或異常之回饋資訊;一更新構件,其用於基於該回饋資訊而更新該等安全規則;及一重新派送構件,其用於將更新之安全規則派送至每 一伺服器側防火牆。
- 如請求項12之裝置,其中該更新該等安全規則係週期性地執行。
- 如請求項12或13之裝置,其中該更新構件包含:一重建構構件,其用於基於該回饋資訊,新近形成該雲端環境中之該應用程式之一複合應用程式模型及產生該雲端環境中之該等各種伺服器之一拓撲模型;及一第二更新構件,其用於基於該回饋資訊、該應用程式之該應用程式內容、新近形成之複合應用程式模型及新近產生之拓撲模型,更新該等安全規則。
- 如請求項9之裝置,其進一步包含設定用於該應用程式之預設安全規則之一設定構件,且其中該安全規則產生構件包含修改該等預設安全規則之一修改構件。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110324588.2A CN103067344B (zh) | 2011-10-24 | 2011-10-24 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201337626A TW201337626A (zh) | 2013-09-16 |
| TWI540457B true TWI540457B (zh) | 2016-07-01 |
Family
ID=48109810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101137370A TWI540457B (zh) | 2011-10-24 | 2012-10-09 | 用於在雲端環境中自動派送安全規則之非侵入式方法及裝置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9444787B2 (zh) |
| CN (1) | CN103067344B (zh) |
| DE (1) | DE112012003977T8 (zh) |
| TW (1) | TWI540457B (zh) |
| WO (1) | WO2013060203A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015021554A1 (en) * | 2013-08-15 | 2015-02-19 | Immun.io Inc. | Method and system for protecting web applications against web attacks |
| US10063654B2 (en) | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US20170019313A1 (en) * | 2013-12-17 | 2017-01-19 | Hewlett Packard Enterprise Development Lp | A generic model to implement a cloud computing service |
| CN103731430A (zh) * | 2014-01-09 | 2014-04-16 | 北京哈工大计算机网络与信息安全技术研究中心 | 一种基于struts2架构文件上传安全控制方法 |
| CN103812693B (zh) * | 2014-01-23 | 2017-12-12 | 汉柏科技有限公司 | 一种基于不同类型服务的云计算防护处理方法及系统 |
| WO2015137975A1 (en) | 2014-03-14 | 2015-09-17 | Hewlett Packard Development Company, L.P. | Resource restriction |
| US10192066B2 (en) | 2014-03-14 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Semantic restriction |
| CN103916399B (zh) * | 2014-04-15 | 2018-09-25 | 浪潮电子信息产业股份有限公司 | 一种计算机信息安全防御系统 |
| CN105471821B (zh) * | 2014-08-29 | 2019-09-17 | 腾讯科技(深圳)有限公司 | 一种基于浏览器的信息处理方法及装置 |
| CN104158910B (zh) * | 2014-08-29 | 2017-12-15 | 金石易诚(北京)科技有限公司 | 一种云端Web应用自动化部署系统 |
| US9871822B2 (en) * | 2014-11-28 | 2018-01-16 | International Business Machines Corporation | Deployment using a context-based cloud security assurance system |
| US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN107430665B (zh) * | 2015-03-04 | 2021-08-10 | 日本电信电话株式会社 | 安全措施无效化防止装置、安全措施无效化防止方法和记录介质 |
| CN104796743B (zh) * | 2015-04-03 | 2020-04-24 | 腾讯科技(北京)有限公司 | 内容项显示系统、方法及设备 |
| CN105049440B (zh) * | 2015-08-06 | 2018-04-10 | 福建天晴数码有限公司 | 检测跨站脚本攻击注入的方法及系统 |
| US9900285B2 (en) | 2015-08-10 | 2018-02-20 | International Business Machines Corporation | Passport-controlled firewall |
| TWI569165B (zh) * | 2015-09-14 | 2017-02-01 | Chunghwa Telecom Co Ltd | The method of grouping external sites through proxy logs |
| CN106603473B (zh) * | 2015-10-19 | 2021-01-01 | 华为技术有限公司 | 网络安全信息的处理方法及网络安全信息的处理系统 |
| US10536478B2 (en) | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
| CN105791289A (zh) * | 2016-03-02 | 2016-07-20 | 夏杰 | 一种基于大数据计算的网络保护的方法及系统 |
| CN107205006A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种面向网站集约化建设的统一Web安全防护方法 |
| CN106341400B (zh) * | 2016-08-29 | 2019-06-18 | 联动优势科技有限公司 | 一种处理业务请求的方法及装置 |
| CN106603535B (zh) * | 2016-12-17 | 2019-08-20 | 苏州亿阳值通科技发展股份有限公司 | 基于SaaS平台的安全系统构架 |
| US20180307472A1 (en) * | 2017-04-20 | 2018-10-25 | Sap Se | Simultaneous deployment on cloud devices and on on-premise devices |
| CN111095900B (zh) * | 2017-09-05 | 2023-03-31 | 诺基亚通信公司 | 用于分布式云环境中sla管理的方法和装置 |
| JP6375047B1 (ja) * | 2017-12-05 | 2018-08-15 | 株式会社サイバーセキュリティクラウド | ファイアウォール装置 |
| US10645121B1 (en) * | 2017-12-11 | 2020-05-05 | Juniper Networks, Inc. | Network traffic management based on network entity attributes |
| CN108092979B (zh) * | 2017-12-20 | 2021-05-28 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN108540453B (zh) * | 2018-03-15 | 2021-06-18 | 新智数字科技有限公司 | 一种应用于PaaS的网络隔离方法、装置以及设备 |
| CN110505190A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 微分段的部署方法、安全设备、存储介质及装置 |
| CN109286617B (zh) * | 2018-09-13 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种数据处理方法及相关设备 |
| US11863574B2 (en) * | 2018-10-11 | 2024-01-02 | Nippon Telegraph And Telephone Corporation | Information processing apparatus, anomaly analysis method and program |
| CN109660548B (zh) * | 2018-12-28 | 2022-07-05 | 奇安信科技集团股份有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
| CN110941681B (zh) * | 2019-12-11 | 2021-02-23 | 南方电网数字电网研究院有限公司 | 电力系统的多租户数据处理系统、方法和装置 |
| CN111343016B (zh) * | 2020-02-21 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 云服务器集群管理方法和装置 |
| US11716311B2 (en) * | 2020-11-24 | 2023-08-01 | Google Llc | Inferring firewall rules from network traffic |
| TWI773200B (zh) * | 2021-03-18 | 2022-08-01 | 中華電信股份有限公司 | 容器服務基礎設施供裝管理系統、方法及電腦可讀媒介 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6119230A (en) | 1997-10-01 | 2000-09-12 | Novell, Inc. | Distributed dynamic security capabilities |
| US7673323B1 (en) | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US6950825B2 (en) | 2002-05-30 | 2005-09-27 | International Business Machines Corporation | Fine grained role-based access to system resources |
| US8418222B2 (en) | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
| US9069599B2 (en) * | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
| US8490150B2 (en) * | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US8640195B2 (en) * | 2009-09-30 | 2014-01-28 | International Business Machines Corporation | Method and system for automating security policy definition based on recorded transactions |
| CN201717894U (zh) * | 2010-04-30 | 2011-01-19 | 上海联启网络科技有限公司 | 模块式云计算智能建站系统 |
| CN102045353B (zh) * | 2010-12-13 | 2013-06-19 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
| CN102111420A (zh) * | 2011-03-16 | 2011-06-29 | 上海电机学院 | 基于动态云火墙联动的智能nips架构 |
-
2011
- 2011-10-24 CN CN201110324588.2A patent/CN103067344B/zh active Active
-
2012
- 2012-09-12 WO PCT/CN2012/081274 patent/WO2013060203A1/en active Application Filing
- 2012-09-12 US US14/353,053 patent/US9444787B2/en active Active
- 2012-09-12 DE DE112012003977.7T patent/DE112012003977T8/de not_active Expired - Fee Related
- 2012-10-09 TW TW101137370A patent/TWI540457B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| DE112012003977T8 (de) | 2014-10-30 |
| CN103067344B (zh) | 2016-03-30 |
| US9444787B2 (en) | 2016-09-13 |
| DE112012003977T5 (de) | 2014-09-11 |
| TW201337626A (zh) | 2013-09-16 |
| WO2013060203A1 (en) | 2013-05-02 |
| US20150033285A1 (en) | 2015-01-29 |
| CN103067344A (zh) | 2013-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI540457B (zh) | 用於在雲端環境中自動派送安全規則之非侵入式方法及裝置 | |
| US11265229B2 (en) | Compliance validation for services based on user selection | |
| US20190317757A1 (en) | Deployment of infrastructure in pipelines | |
| US9880838B2 (en) | Generating and managing applications using any number of different platforms | |
| CN105359486B (zh) | 使用代理安全访问资源 | |
| US10320776B2 (en) | Protection of application passwords using a secure proxy | |
| US9462013B1 (en) | Managing security breaches in a networked computing environment | |
| US11500988B2 (en) | Binding secure keys of secure guests to a hardware security module | |
| CN109074274A (zh) | 虚拟浏览器集成 | |
| US9720800B2 (en) | Auto-generating representational state transfer (REST) services for quality assurance | |
| US10762193B2 (en) | Dynamically generating and injecting trusted root certificates | |
| US11050573B2 (en) | Determining trustworthiness of a cryptographic certificate | |
| US20150199515A1 (en) | Evaluating application integrity | |
| US20160173454A1 (en) | Jurisdictional cloud data access | |
| US10846463B2 (en) | Document object model (DOM) element location platform | |
| US10565664B2 (en) | Controlling access to a vault server in a multitenant environment | |
| US9912703B1 (en) | Security compliance framework usage | |
| Demchenko et al. | Defining intercloud security framework and architecture components for multi-cloud data intensive applications | |
| US9843605B1 (en) | Security compliance framework deployment | |
| de Aguiar Monteiro et al. | A Survey on Microservice Security–Trends in Architecture Privacy and Standardization on Cloud Computing Environments | |
| CN202696659U (zh) | 一种云计算管理装置 | |
| Pachghare | Cloud computing | |
| Loizides | Development of a SaaS Inventory Management System | |
| Jena | Bottle-necks of cloud security-A survey | |
| CN103368997A (zh) | 一种新型云计算管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |