用于安全管理网络连接的系统、方法和设备技术方案

本公开总体上涉及用于管理网络连接的方法、系统和装置。用于管理网络连接的系统包括存储组件、解码组件、规则管理器组件和通知组件。存储组件被配置为存储对于多个联网机器的预期连接列表，其中预期连接列表中的每个连接定义对于该连接的起点和终点。解码组件被配置为对来自多个联网机器的指示对于对应机器的一个或更多个连接的消息解码。规则管理器组件被配置为基于预期连接列表来识别在多个网络机器中的至少一个上的连接的意外存在或不存在。通知组件被配置为提供意外存在或不存在的通知或指示。

【技术实现步骤摘要】
【国外来华专利技术】用于安全管理网络连接的系统、方法和设备
本公开总体上涉及用于安全管理网络连接的方法、系统和装置。背景计算设备常常通过网络进行通信，例如局域网(LAN)、广域网(WAN)、互联网等。因为计算系统常常用于控制重要的操作系统、存储或访问机密数据或者执行其他重要或敏感的功能，所以计算机系统的安全性非常重要。在一些情况下，可以通过限制或控制特定计算系统被允许通信的设备或系统来提高安全性。附图简述参考以下附图描述了本公开的非限制性和非详尽的实现，其中，除非以其它方式说明，在所有各个附图中相似的参考数字指相似的部分。本公开的优点将关于下面的描述和随附的附图变得更好理解，其中：图1是示出根据一个实现的对于管理主机的示例操作环境的示意性框图；图2是示出根据一个实现的管理主机的示例组件的示意性框图；图3是示出根据一个实现的用于管理在端点处的通信配置的方法的示意性信号图；图4是示出根据一个实现的用于管理网络连接的方法的示意性流程图；以及图5是描绘与本文所教导的计算机过程的启用公开一致的示例计算设备或系统的框图。详细描述目前保护系统的方法集中于保护或配置通信的端点。例如，IP表(在LinuxTM中用于保护系统安全的核心工具)可以允许特定系统基于端口和互联网协议(IP)地址块来拒绝对系统的访问。AmazonWebServicesTM(AWS)通过指定来往于可包括多于一个机器或地址的其他安全组的被允许的连接来提供安全组。申请人已经认识到，当前的技术没有提供确认被允许的连接是完整和正确的有效方法。在软件产品中，需要在两台或更多台机器上的两个端点的专用服务之间可能存在内部连接。因为现有技术是在单个端点的基础上配置的，所以这种方法冒失配的配置的风险。例如，一台机器可能允许连接，而另一台不允许。Amazon提供了用于创建安全组的工具CloudFormationTM，但是它明确地需要单端方法。当需要两个安全组来进行通信时，管理员需要在模板中输入两个规则，如在http：//docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-security-group.html：找到的对AWSCloudFormationTM的下面的引用中所陈述的：如果你想要在那些安全组的入口和出口规则中交叉引用两个安全组，使用AWS::EC2::SecurityGroupEgress和AWS::EC2::SecurityGroupIngress资源来定义你的规则。不要使用在AWS::EC2::SecurityGroup中的所嵌入的入口和出口规则。如果你使用，则它引起AWSCloudFormation所不允许的循环依赖。基于上述限制，申请人开发了改进网络连接管理的系统、方法和设备。申请人认识到，在至少一个实施例中，从两个端点一起的视角管理网络通信许可而不是分开地管理端点导致更大的控制和效率。在一个实施例中，用于管理网络连接的系统可以存储对于多个被管理的机器、设备或计算系统的预期连接列表。例如，可以使用标记语言或数据序列化标准(例如YAML)来存储预期连接列表。YAML代表YAML不是标记语言，且目的在于是许多或所有编程语言的人类可读标准。在一个实施例中，在预期连接列表中的每个连接都被定义有起点、终点、IP协议和端口号或端口号的范围。如果端点映射到多台机器，则管理系统还可以包括检查和创建在两个端点处的必要许可的工具、验证这些连接的工具和/或指定映射的工具。这些工具中的一个或更多个可用于将远程机器上的连接信息聚集到单个机器(例如管理系统)以及将配置从单个机器推送到远程机器的能力。在一个实施例中，预期连接列表(例如描述连接的YAML文件)可以作为源代码工件来管理(使用任何数量的源代码版本控制系统)。然后，最新版本可用于对照在列表中定义的配置或连接来验证现有配置或连接。在一个实施例中，可以对照预期的配置检查在实时配置中所做的改变，并且如果配置不同步，则生成警报。在一个实施例中，用于管理网络连接的系统包括存储组件、解码组件、规则管理器组件和通知组件。存储组件被配置为存储对于多个联网机器的预期连接列表。预期连接列表中的每个连接定义对于该连接的起点和终点。解码组件被配置为对来自多个联网机器的指示对应机器的一个或更多个连接的消息解码。规则管理器组件被配置为基于预期连接列表来识别在多个联网机器中的至少一个上的连接的意外存在或不存在。通知组件被配置为提供意外存在或不存在的通知或指示。现在参考附图，图1示出了为管理主机102提供操作环境的示例系统100。系统100包括多个被管理的计算系统104和多个外部系统106。管理主机102和计算系统104可以包括计算设备，例如服务器、虚拟机或构成网络计算系统108的一部分的任何其他计算设备。网络计算系统108的管理主机102和计算系统104可以物理地位于同一数据中心或服务器农场内，或者可以彼此远离地定位，并且可以由管理主机102共同管理。外部系统106表示不由管理主机102管理的系统，并且可以包括位于同一数据中心内或远离管理主机102的计算系统。管理主机102、计算系统104和外部系统106中的每一个可以连接到允许它们彼此通信的一个或更多个网络或联网设备。例如，管理主机102、计算系统104和外部系统106可以通过因特网、通过专用网络或任何类型的网络彼此通信。内部或被管理的计算系统104的每一个可以例如在配置文件中为自己存储连接配置。连接配置可以存储在路由表、IP表、防火墙或任何其他格式或程序中。连接配置可以指示被允许与计算系统104通信的其他设备、地址或安全组。连接配置可以指定对于特定连接的通信方向(例如，入站或出站)、地址、端口号(或端口号的范围)、安全组标识符等。安全组标识符可以包括对应于多个机器或地址的名称、号码或其他标识符。例如，第一安全组110包括两个被管理的计算系统104，以及第二安全组112包括两个外部系统106。因此，在特定计算系统104的配置文件中的连接条目可以指示计算系统被允许与在第一安全组110或第二安全组112中的任何系统通信(入站或出站)，而无需明确地标识安全组中的机器。在一个实施例中，每个计算系统104仅为自己存储配置。管理主机102存储连接主文件，其包括对于所有被管理的计算系统104的主信息。例如，连接主文件可以包括对于在网络计算系统108中所有被管理的计算系统104的预期连接列表。因此，在一个实施例中，列表存储每个计算系统104的连接信息，使得用于计算系统104的所有配置存储在连接主文件中。可以基于任何文件格式(例如标记语言或数据序列化标准)来存储连接主文件。根据一个实施例，连接主文件包括YAML文件。利用由管理主机102存储的连接主文件，管理主机然后可以监控计算系统104的实际配置(例如，基于配置文件)。在一个实施例中，计算系统104的每一个可以周期性地或者响应于请求而向管理主机102发送它的配置文件。当管理主机102已经接收到配置文件时，管理主机102可以将配置文件与连接主文件进行比较以检测任何差异。在一个实施例中，差异可以包括在计算系统处的配置文件中的意外连接的存在。例如，在配置文件中的连接条目可能没本文档来自技高网...

【技术保护点】
1.一种用于管理网络连接的系统，所述系统包括：用于存储对于多个联网机器的预期连接列表的装置，其中在所述预期连接列表中的每个连接定义对于所述连接的起点和终点；用于从所述多个联网机器接收指示对于相应机器的一个或更多个连接的指示的装置；用于基于所述预期连接列表来识别在所述多个联网机器中的至少一个上的连接的意外存在或不存在的装置；以及用于提供所述意外存在或不存在的通知或指示的装置。

【技术特征摘要】
【国外来华专利技术】2016.03.24 US 15/079,8491.一种用于管理网络连接的系统，所述系统包括：用于存储对于多个联网机器的预期连接列表的装置，其中在所述预期连接列表中的每个连接定义对于所述连接的起点和终点；用于从所述多个联网机器接收指示对于相应机器的一个或更多个连接的指示的装置；用于基于所述预期连接列表来识别在所述多个联网机器中的至少一个上的连接的意外存在或不存在的装置；以及用于提供所述意外存在或不存在的通知或指示的装置。2.根据权利要求1所述的系统，其中，用于存储所述预期连接列表的装置包括用于基于数据序列化标准来存储所述列表的装置。3.根据权利要求1所述的系统，其中，用于存储所述预期连接列表的装置包括用于以YAML文件格式存储所述列表的装置。4.根据权利要求1所述的系统，其中，用于存储所述列表的装置包括用于所述预期连接列表的版本跟踪和控制的装置。5.根据权利要求1所述的系统，其中，每个连接还包括对于对应连接的协议、端口号或端口号范围中的一个或更多个。6.根据权利要求1所述的系统，其中，对于在所述预期连接列表中的连接的所述起点或所述终点中的一个或更多个包括组。7.根据权利要求1所述的系统，其中，用于接收所述指示的装置包括用于接收包括对于所述相应机器的当前连接或配置的连接中的一个或更多个的消息的装置。8.根据权利要求1所述的系统，其中，所述消息中的至少一个消息包括用于机器的路由表，其中所述预期连接列表包括主路由表。9.根据权利要求1所述的系统，其中，用于识别所述意外存在或不存在的装置包括用于在所述预期连接列表中存在匹配条目时确定对于对应机器的所述一个或更多个连接中的连接是预期的装置。10.根据权利要求1所述的系统，其中，用于识别所述意外存在或不存在的装置包括用于基于对应机器在所述预期连接列表中没有匹配条目来确定所述一个或更多个连接中的连接是意外的装置。11.根据权利要求1所述的系统，其中，用于识别所述意外存在或不存在的装置包括用于基于所述预期连接列表中的条目在对于对应机器的所述一个或更多个连接中没有匹配连接来确定连接意外地不存在的装置。12.根据权利要求1所述的系统，其中，用于提供所述通知的装置包括用于将警告保存到日志文件或用户界面的通知区域的装置。13.根据权利要求1所述的系统，其中，用于提供所述通知的装置包括用于在消息中向管理员提供所述通知的装置。14.根据权利要求1所述的系统，其中，用于提供所述通知的装置包括用于标记在所述预期连接列表中的条目以反映所述连接的意外存在或不存在的装置。15.根据权利要求1所述的系统，还包括用于确定所述预期连接列表和在所述多个机器上的实际连接或配置之间的差异的数量的装置。16.根据权利要求1所述的系统，还包括用于基于所述预期连接列表来修改所述多个机器上的连接配置的装置。17.一种用于管理网络连接的方法，所述方法包括：存储对于多个联网机器的预期连接列表，其中在所述预期连接列表中的每个连接定义对于所述连接的起点和终点；从所述多个联网机器接收指示对于相应机器的一个或更多个连接的指示；基于所述预期连接列表来识别在所述多个联网机器中的至少一个上的连接的意外存在或不存在；以及提供所述意外存在或不存在的通知或指示。18.根据权利要求17所述的方法，其中，所述预期连接列表包括基于数据序列化标准而存储的列表。19.根据权利要求17所述的方法，其中，所述预期连接列表包括以YAML文件格式存储的列表。20.根据权利要求17所述的方法，还包括提供所述预期连接列表的版本跟踪和控制。21.根据权利要求17所述的方法，其中，所述预期连接列表中的连接还包括对于对应连接的协议、端口号或端口号范围中的一个或更多个。22.根据权利要求17所述的方法，其中，对于所述预期连接列表中的连接的所述起点或所述终点中的一个或更多个包括组。23.根据权利要求17所述的方法，其中，所述消息包括对于所述对应机器的当前连接或配置的连接...

【专利技术属性】
技术研发人员：詹姆斯·卡尔文·阿姆斯特朗，乔纳森·克雷柏，
申请(专利权)人：斯诺弗雷克计算公司，
类型：发明
国别省市：美国,US