采用安全即服务的web缓存制造技术

本公开涉及采用安全即服务的web缓存。在一个实现方式中，将部署在企业场所中的web缓存和基于云的SecaaS相组合，以使得类似的基于身份的策略被实施在SecaaS和从web缓存递送的内容二者上。使用SecaaS在网络外部并且在网络内部针对web缓存的内容的基于身份的策略实现方式提供了一致的基于身份的安全，同时仍然高性能地将内容提供给最终用户。由SecaaS检查和/或修改的内容可以被缓存在企业场所中，以使得对来自原始服务器的内容的请求减少。流内容的本地缓存可以降低延时同时基于身份的策略的本地实现方式继续适当地限制流式传输内容。基于身份的策略的本地实现方式可以降低SecaaS上的负载。对于web内容，不使用由服务提供商提供的内容递送网络而使用企业内的缓存服务器。

【技术实现步骤摘要】
采用安全即服务的web缓存
本公开总体涉及计算机网络领域，更具体地涉及采用基于云的安全即服务(security as a service)的 web 缓存。
技术介绍
企业网络可以缓存web内容。web缓存通过缓存受欢迎的内容增强了内容的端到端传输。需求量最大的内容缓存在网络内的服务器上以将这些内容高可靠性且高性能地供应给终端用户。企业部署web内容的缓存来降低带宽需求、降低服务器负载、并且改善对存储在缓存中的内容的客户端响应时间。 作为安全措施，内容被过滤。企业部署执行应用协议检测/解密、深度分组检查、启发式方法和/或网络内的其他功能以检测恶意软件、利用脚本、防止数据泄漏或以其他方式保护网络的安全装置。可能将这些基于网络的安全处理应用到缓存的内容。另一种用于企业网络的安全是基于云的“安全即服务”(SecaaS)。SecaaS提供可扩展的安全。使用SecaaS，企业受益于市场主导的web安全，在节省带宽、资金和资源的同时快速且容易地保护网络免受基于web的威胁。然而，SecaaS被提供于网络外部，因此可能无法实现针对网络内缓存的内容的基于身份的安全策略。
技术实现思路
本公开一方面提供了一种方法，包括:在网络的云连接器设备处拦截来自用户的对内容的请求；当内容未被缓存在网络中时:将该请求重定向至基于云的安全即服务服务器；从基于云的安全即服务服务器接收内容；将该内容路由至缓存服务器；以及在云连接器处从基于云的安全即服务服务器接收针对该内容的基于身份的安全策略；当内容被缓存在网络中时:确定请求是否满足基于身份的安全策略；当请求满足基于身份的安全策略时，将请求发送至缓存服务器；以及当请求不满足所述基于身份的安全策略时，拒绝该请求。 本公开另一方面提供了一种编码在一个或多个非暂态计算机可读介质中的逻辑，该逻辑包括用于运行的代码并且当这些代码由处理器运行时可操作以执行以下操作:在网络内从网络外部的安全即服务服务器接收基于身份的安全信息；从识别出的来源接收对缓存在网络内的内容的请求；采用基于身份的安全信息核实识别出的来源被允许访问缓存在网络内的内容；以及将内容提供给识别出的来源。 本公开另一方面提供了一种装置，包括:连接至网络的客户端设备，该客户端设备被配置来请求内容；以及网络的网关设备，该网关设备被配置来响应于请求，根据基于云的安全即服务的基于身份的安全策略，约束对网络内缓存的内容的供应。 本公开还提供了一种方法，包括:在安全服务处理器处从企业网络中的主机接收对内容的请求?’从web服务器请求内容；响应于请求，从web服务器接收内容；由安全服务处理器过滤从web服务器接收到的内容；调整内容的新鲜度设置，该新鲜度设置与缓存相对应；以及将具有调整的新鲜度设置的内容传送至企业网络作为对请求的响应。 【附图说明】 为提供对本公开以及其特征和优点更加完整的理解，结合附图，参照以下说明，其中，相同的参考序号表不相同的部分，其中: 图1是用于采用安全即服务的web缓存的示例网络的简化框图； 图2是用于获得安全信息的方法的一个实施例的流程图； 图3是从云连接器的角度的、用于采用安全即服务的web缓存的方法的一个实施例的流程图； 图4是采用安全即服务的web缓存的示例的通信示意图； 图5是从安全即服务服务器的角度的、用于采用安全即服务的web缓存的方法的一个实施例的流程图； 图6是根据一个实施例，用于采用安全即服务的web缓存的网络设备的框图。 【具体实施方式】 缓存的内容由SecaaS过滤。然而，请求者的身份可能改变，因此，对缓存的内容来说，基于身份的安全是在安全方面的缺口。当缓存中内容不可用时，云连接器能够从web缓存获取或将流量重定向至SecaaS。为安全，云连接器将HTTP流量重定向至SecaaS。它还收集用户身份，以便SecaaS能够在云上提供基于身份的安全。这隐含着云连接器不知道云上的策略。另一方面，随着web缓存的出现，从web缓存而不是从内容服务器获得缓存的内容。不将流量重定向至SecaaS。 将web缓存和SecaaS组合起来，以使得在SecaaS和从web缓存递送来的内容二者上实施类似的基于身份的策略。在使用SecaaS的企业网络外且在用于web缓存的内容的网络内的基于身份的策略实现方式在高性能地将内容提供给终端用户的同时还提供了一致的基于身份的安全。可以将由SecaaS检查的和/或修改的内容缓存在企业场所中，以使得对来自源服务器的内容的请求减少，从而释放互联网带宽并降低访问时间。对流内容的本地缓存可以降低延时，同时基于身份的策略的本地实现方式适当地持续限制内容的递送。基于身份的策略的本地实现可以降低SecaaS上的负载。虽然⑶N(内容递送网络)是由互联网服务提供商(ISP)提供的，但是这对于附连到企业网络的最终用户将不是高效的，因为内容请求将由云连接器重定向至基于云的SecaaS。因此，企业将要在企业本身中部署web缓存。 在一方面，提供了一种方法。在网络的云连接器设备处拦截来自用户的对内容的请求。当该内容没被缓存在该网络中时，该请求由云连接器重定向至基于云的安全即服务，从基于云的安全即服务接收该内容，并且该内容由云连接器路由至缓存服务器。当该内容被缓存在该网络中时，处理器确定该请求是否满足基于身份的安全策略。当该请求满足基于身份的安全策略时，将该请求发送至缓存服务器，而当该请求不满足基于身份的安全策略时,拒绝该请求。 在另一方面，将逻辑编码到一个或多个非暂态的计算机可读介质中。该逻辑包括用于运行并且当由处理器运行可操作以执行各种操作的代码。基于身份的安全信息从网络外的基于云的安全即服务接收到该网络内。从识别的来源接收对缓存在网络内的内容的请求。基于身份的安全信息被用来核实该识别的来源被允许访问缓存在该网络内的内容。将该内容提供给该识别的来源。 还有在另一个方面，客户端设备连接到企业网络。该客户端设备被配置来请求内容。该网络的网关设备被配置来响应于该请求，基于从基于云的安全即服务接收到的基于身份的安全策略，约束对该网络内缓存的内容的供应。 在其他方面，基于云的安全即服务接收来自企业网络的对内容的请求。从web服务器请求该内容。响应于该请求，从web服务器接收该内容。基于云的安全即服务过滤从web服务器接收到的内容，并且调整该内容的新鲜度设置。新鲜度设置与缓存相对应。作为对该请求的响应，将具有调整的新鲜度设置的内容传送至企业网络。 将网络内的web缓存和SecaaS结合以在能将内容高性能地提供给最终用户的同时还提供安全。一套机制确保这两种方案按照要求工作。为提供一致的安全，云连接器实现基于身份的安全策略。缓存的内容已经由SecaaS过滤。甚至对从web缓存检索到的内容，企业可以实施身份策略。SecaaS通过提供可以是由云连接器使用的白名单或黑名单的优化的URL列表来优化web缓存方案。 图1显示了用于采用基于云的安全即服务的web缓存的示例网络10。网络10或其一部分是用于采用安全即服务的web缓存的装置。对于非缓存的内容，基于身份的策略由SecaaS来实现，并且，对于缓存的内容，基于身份的策略在企业网络12中实现。旨在将相本文档来自技高网...

【技术保护点】
一种方法，包括：在网络的云连接器设备处拦截来自用户的对内容的请求；当所述内容未被缓存在所述网络中时：将所述请求重定向至基于云的安全即服务服务器；从所述基于云的安全即服务服务器接收所述内容；将所述内容路由至缓存服务器；以及在云连接器处从所述基于云的安全即服务服务器接收针对所述内容的基于身份的安全策略；当所述内容被缓存在所述网络中时：确定所述请求是否满足基于身份的安全策略；当所述请求满足所述基于身份的安全策略时，将所述请求发送至缓存服务器；以及当所述请求不满足所述基于身份的安全策略时，拒绝所述请求。

【技术特征摘要】
2013.07.22 US 13/947,4981.一种方法，包括: 在网络的云连接器设备处拦截来自用户的对内容的请求； 当所述内容未被缓存在所述网络中时: 将所述请求重定向至基于云的安全即服务服务器； 从所述基于云的安全即服务服务器接收所述内容； 将所述内容路由至缓存服务器；以及 在云连接器处从所述基于云的安全即服务服务器接收针对所述内容的基于身份的安全策略； 当所述内容被缓存在所述网络中时: 确定所述请求是否满足基于身份的安全策略； 当所述请求满足所述基于身份的安全策略时，将所述请求发送至缓存服务器；以及 当所述请求不满足所述基于身份的安全策略时，拒绝所述请求。2.如权利要求1所述的方法，其中，拦截包括:拦截在所述云连接器设备处接收到的、包括所述请求在内的所有请求，并且其中，包括被路由到所述缓存服务器的所述内容在内的所有缓存的内容在进行缓存之前由基于云的安全即服务服务器进行过滤。3.如权利要求1所述的方法，其中，在网络的云连接器设备处进行拦截包括:采用在企业网络的边界路由器处的透明代理进行拦截。4.如权利要求1所述的方法，还包括:存储可缓存的目标统一资源定位符列表，并且确定所述内容是否是从所述可缓存的目标统一资源定位符缓存来的。5.如权利要求1所述的方法，其中，重定向包括:重定向至所述网络外部的安全即服务服务器。6.如权利要求1所述的方法，其中，接收所述内容包括:在由基于云的安全即服务服务器对所述内容进行过滤之后接收所述内容。7.如权利要求1所述的方法，其中，路由所述内容包括:将所述内容路由至缓存服务器以进行缓存，并且由所述缓存服务器以所述内容对来自客户端而不是所述缓存服务器的请求做出响应。8.如权利要求1所述的方法，还包括:通知安全即服务服务器在所述网络中进行web缓存，其中，接收所述内容包括:接收与由内容服务器所提供的内容相比具有更改的缓存头部的内容。9.如权利要求8所述的方法，其中，接收所述具有更改的缓存头部的内容包括:接收具有不缓存指示的内容。10.如权利要求1所述的方法，其中，确定所述请求是否满足所述基于身份的安全策略包括:由用户、用户群组、设备群组、安全许可、来源的位置或他们的组合确定所述请求的来源的身份。11.如权利要求1所述的方法，还包括:从基于云的安全即服务服务器接收基于身份的安全策略，其中，确定所述请求是否满足所述基于身份的安全策略包括:采用与在所述安全即服务服务器处进行确定所采用的相同策略在所述云连接器设备处针对所述缓存的内容进行确定。12.如权利要求1所述的方法，其中，确定所述请求是否满足基于身份的安全策略包括:确定对于所述内容的所述请求的来源的身份是否在白名单或黑名单中。13.如权利要求12所述的方...

【专利技术属性】
技术研发人员：瑞迪·蒂鲁玛勒什沃尔，帕蒂尔·普拉尚斯，内什·拉梅什，温·丹尼尔，怀尔德·克里斯多夫，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US