基于硬件的虚拟化安全隔离制造技术

在计算设备上运行的主机操作系统监测所述计算设备的网络通信，以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较，以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时，所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器，所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。

Hardware-based virtualization security isolation

The host operating system running on the computing device monitors the network communication of the computing device to identify the network resources requested by the computing device. The host operating system compares the requested network resources with security policies to determine whether the requested network resources are trusted. When untrusted network resources are identified, the host operating system uses the techniques discussed herein to access untrusted network resources in containers isolated from the host operating system kernel. By restricting access to untrusted network resources to isolated containers, the host operating system is protected from even kernel-level attacks or infections that may be caused by untrusted network resources.

【技术实现步骤摘要】
【国外来华专利技术】基于硬件的虚拟化安全隔离
技术介绍
当用户浏览互联网到不受信任的网站或当他们下载或打开不受信任的网络资源(如应用和文档)时，通常会发生计算设备感染。这些感染允许攻击者窃取用户的凭证，甚至可以控制计算设备，将其改用于攻击者自己的目的。虽然用于抵抗这些内核级攻击的一种解决方案是关闭对计算设备的网络访问，但这严重限制了许多现代计算设备的功能。另外，在工作场所环境中，禁用网络访问会妨碍雇员的工作效率和工作满意度。作为妥协，许多雇主通过防止雇员访问不受信任的网络资源来实现有限的网络访问。然而，这种有限的网络访问导致雇主的管理成本增加，这是因为雇主必须不断更新定义哪些网络资源是不受信任的策略。这可能导致用户和雇主二者都对计算设备的使用感到沮丧。
技术实现思路
提供本
技术实现思路
以便以简化的形式对下面在具体实施方式中进一步描述的构思的选择进行介绍。本
技术实现思路
并不旨在标识要求保护的主题的关键特征或重要特征，也不旨在用于限制要求保护的主题的范围。根据一个或多个方面，应用在主机操作系统中运行。响应于检测到所述应用正在尝试访问网络资源，所述主机操作系统确定所述网络资源是受信任的网络资源还是不受信任的网络资源。响应于确定所述网络资源是不受信任的网络资源，所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行容器内的所述应用的版本的容器。然后所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。根据一个或多个方面，检测到主机操作系统的启动。响应于检测到所述主机操作系统的启动，确定所述主机操作系统是否包括容器基础映像(baseimage)。如本文所讨论的，容器基础映像指的是所述主机操作系统的版本、补丁级别和配置的接近副本。响应于确定所述主机操作系统不包括容器基础映像，创建容器基础映像。在创建了容器基础映像之后，检测到用户登录到所述主机操作系统。响应于检测到所述用户登录到所述主机操作系统，激活与所述容器基础映像相对应的容器，并且暂停所激活的容器。响应于检测到对不受信任的网络资源的访问，恢复被暂停的容器并允许所恢复的容器访问不受信任的网络资源。根据一个或多个方面，网络应用在设备的主机操作系统上运行。如本文中所讨论的，网络应用被配置为：访问远离运行所述主机操作系统的设备存储的一个或多个网络资源。响应于检测到所述网络应用正在访问网络资源，通过将所述网络资源与从远离所述设备的管理和监测服务接收的策略进行比较来确定所述网络资源是不受信任的资源。响应于确定所述网络资源是不受信任的网络资源，所述主机操作系统激活被配置为运行所述网络应用的版本并与所述主机操作系统相隔离的容器。在所述容器被激活之后，所述主机操作系统允许在所述容器中运行的所述网络应用的所述版本访问所述不受信任的网络资源。所述主机操作系统允许在所述容器中运行的所述网络应用的所述版本访问另外的不受信任的网络资源，以及防止在所述容器中运行的所述网络应用的所述版本访问受信任的网络资源。附图说明参考附图描述了具体实施方式。在附图中，附图标记的最左边的数字标识该附图标记首次出现的附图。相同的附图标记在描述和附图中的不同实例中的使用可以指示相似或相同的项目。附图中表示的实体可以指示一个或多个实体，因此可以在讨论中对单个或多个形式的实体进行互换地引用。图1根据一个或多个实施例示出了实现基于硬件的虚拟化安全隔离的示例系统。图2根据一个或多个实施例示出了用于基于硬件的虚拟化安全隔离的示例系统架构。图3是根据一个或多个实施例示出用于实现基于硬件的虚拟化安全隔离的示例过程的流程图。图4是根据一个或多个实施例示出用于激活用于基于硬件的虚拟化安全隔离的容器的示例过程的流程图。图5是根据一个或多个实施例示出用于管理用于基于硬件的虚拟化安全隔离的容器的示例过程的流程图。图6是根据一个或多个实施例示出用于实现基于硬件的虚拟化安全隔离的示例过程的流程图。图7示出了包括表示可以实现本文中描述的各种技术的一个或多个系统和/或设备的示例计算设备的示例系统。具体实施方式本文中讨论了基于硬件的虚拟化安全隔离。在计算设备上运行的操作系统(在本文中也被称为在主机设备上运行的主机操作系统)使用容器进行硬件资源划分。与许多基于虚拟机或沙盒方法相反，使用容器结合本文描述的基于硬件的虚拟化安全隔离技术通过将网络浏览器、相关应用以及操作系统组件(如内核、文件系统和网络)与不受信任的网络资源隔离来保护计算设备免受攻击。通过一个或多个操作系统过滤器和策略管理器来实施和监测对不受信任的网络资源的隔离。以这种方式，当主机设备请求访问不受信任的网络资源时，主机设备包含提供与主机操作系统的完全内核隔离的一个或多个容器内的不受信任的网络资源。如本文所讨论的，网络资源指的是主机设备可以经由网络访问的位置(例如，设备的位置或数据驻留的位置)，以及由这些位置中的一个或多个位置提供的数据、可执行文件或网络连接中的一者或多者。例如，网络资源可以是文件、应用、电子邮件、文档、统一资源定位符(URL)、互联网协议(IP)地址、传输控制协议(TCP)端口、域名系统(DNS)名称、数据存储、硬件设备或者它们的组合。受信任的网络资源指的是信任其不具有恶意软件或被恶意用户使用，并且由主机设备的一个或多个策略识别的网络资源。不受信任的网络资源指的是不受信任的网络资源(例如，可能具有恶意软件或被恶意用户使用)。为了保护主机设备免受恶意攻击，使用策略来定义受信任的网络资源的枚举列表。在企业的多个用户被连接并共享对公共企业数据和/或网络的访问的企业环境中，该策略可以由企业的管理员定义，以确保各个用户以及企业的共享数据和网络仍然受到保护。当主机设备的用户请求访问网络资源时，将所请求的网络资源与策略进行比较，以确定所请求的网络资源是否是受信任的网络资源。如果策略指示所请求的网络资源是受信任的网络资源，则本文中描述的基于硬件的虚拟化安全隔离技术允许受信任的网络资源被主机操作系统访问。通过限制主机设备的一个或多个网络通信对不受信任的网络资源的访问，可以进一步利用该策略来隔离实现本文中描述的虚拟化安全隔离技术的计算设备的网络接口。例如，如果主机设备支持无线局域网(WLAN)通信、移动宽带通信、拨号连接、虚拟专用网络(VPN)连接以及直接连接(如串行布线、直接布线或红外链路)，则与不受信任的网络资源有关的网络通信可以限于WLAN通信。当所请求的网络资源未被策略定义为受信任的网络资源时，所请求的网络资源被确定为是不受信任的。响应于确定网络资源是不受信任的，本文中描述的基于硬件的虚拟化安全隔离技术激活与主机操作系统相隔离的容器。然后从容器访问不受信任的网络资源，以便隔离与不受信任的网络资源相关联的任何危险活动。由于隔离，由不受信任的网络资源导致的任何恶意内容或攻击都将无法冲破容器来感染主机操作系统。本文中描述的基于硬件的虚拟化安全隔离技术还被配置为：监测容器内的活动以确保容器不能访问任何受信任的网络资源。因此，通过激活容器以访问不受信任的网络资源，本文描述的基于硬件的虚拟化安全隔离技术创建操作系统或包含的运行时环境的两个或更多个分开的实例，每个实例都具有网络连接。通过监测在这些包含的运行时环境内执行的数据和操作，本文描述的基于硬件的虚拟化安全隔离技术被配置为：防止任何本文档来自技高网...

【技术保护点】
1.一种方法，包括：在主机操作系统中运行应用；检测所述应用对网络资源的访问；确定所述网络资源是受信任的网络资源还是不受信任的网络资源；以及响应于确定所述网络资源是不受信任的网络资源：由所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行所述应用的版本的容器；以及由所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。

【技术特征摘要】
【国外来华专利技术】2016.06.02 US 15/171,9171.一种方法，包括：在主机操作系统中运行应用；检测所述应用对网络资源的访问；确定所述网络资源是受信任的网络资源还是不受信任的网络资源；以及响应于确定所述网络资源是不受信任的网络资源：由所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行所述应用的版本的容器；以及由所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。2.根据权利要求1所述的方法，还包括：允许在所述容器中运行的所述应用的所述版本访问一个或多个另外的不受信任的网络资源，以及防止在所述容器中运行的所述应用访问受信任的网络资源。3.根据权利要求1或2所述的方法，还包括：检测所述主机操作系统对文件或应用的访问，以及响应于确定所述文件或所述应用是不受信任的网络资源，允许在所述容器内打开所述文件或所述应用。4.根据权利要求1至3中的任意一项权利要求所述的方法，其中，所述容器包括所述主机操作系统的实例、以及与所述主机操作系统的内核分开且隔离的内核。5.根据权利要求1至4中的任意一项权利要求所述的方法，还包括：接收至少包括受信任的网络资源的枚举列表的至少一个策略，其中，确定所述网络资源是受信任的网络资源还是不受信任的网络资源包括：将所述网络资源与所述受信任的网络资源的枚举列表进行比较，所述受信任的网络资源的枚举列表是基于以下各项中的一项或多项识别的：所述网络资源的文件类型、与所述网络资源相关联的网络位置、或者正在尝试访问所述网络资源的应用类型。6.根据权利要求1至5中的任意一项权利要求所述的方法，其中，所述容器是针对登录到所述主机操作系统的用户激活的，所述方法还包括：确定不同的用户登录到所述主机操作系统，以及针对所述不同的用户激活与所述主机操作系统和所述容器相隔离的不同容器。7.根据权利要求1至6中的任意一项权利要求所述的方法，还包括：确定对所述网络资源的所述访问是通过不受信任的网络接口请求的，以及响应于确定对所述网络资源的所述访问是通过不受信任的网络接口请求的：将所述主机操作系统中的所述应用的网络通信限制为虚拟专用网络(VPN)接口；允许在所述容器中运行的所述应用的所述版本通过所述不受信任的网络接口执行网络通信；以及向所述容器的网络栈指示所述容器的网络通信被隔离到所述不受信任的网络接口。8.根据权利要求1至7中的任意一项权利要求所述的方法，还包括：由所述主机操作系统拦截对用户凭证的网络代理提示的响应，以及将一个或多个用户凭证插入到对所...

【专利技术属性】
技术研发人员：N·N·帕伊，C·G·杰弗里斯，G·维斯瓦纳坦，B·M·舒尔茨，F·J·史密斯，L·鲁瑟，M·B·埃伯索尔，G·迪亚兹奎利亚尔，I·D·帕绍夫，P·R·加德奥苏尔，H·R·普拉帕卡，V·M·拉奥，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US