在此所公开的示例性实施例涉及基于安全问题禁用和启用节点。集群的多个节点被监控。确定了节点中的一个节点包括安全问题。节点被禁用。另一节点被启用以替代禁用的节点。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】
技术介绍
安全信息和事件管理(SIEM)技术提供了对由网络硬件和应用产生的安全警报的实时分析。SIEM技术可以检测对于计算网络的可能的威胁。这些可能的威胁可以从对安全事件的分析而确定。【附图说明】以下详细说明参考附图,其中:图1是根据一个示例的能够基于确定的安全问题选择性地禁用集群的节点并且启用对集群的替代节点的计算系统的方框图;图2是根据一个示例的能够因安全问题而使得集群的节点被禁用并且使得另一节点被加载以替代被禁用的节点的装置的方框图;图3是根据一个示例的基于确定安全问题存在而使得集群的节点被禁用并且启用替代节点的方法的流程图;图4是根据一个示例的用于识别与安全问题相关联的集群的节点的方法的流程图;以及图5是根据一个示例的安全管理器的方框图。【具体实施方式】安全信息/事件管理(S頂或SIEM)系统通常关心从网络和联网装置采集反映了网络活跃性和/或装置的运行的数据并且分析数据以增强安全性。例如,可以分析数据以识别对网络或联网装置的攻击并且确定哪个用户或机器负责。如果攻击正在进行,可以执行对策以阻碍攻击或者减缓由攻击引起的损害。可以采集的数据可以来源于由联网装置产生的消息(例如事件、警报、警告等)或者日志文件中的条目。示例性的联网装置包括防火墙、入侵检测系统、服务器等。在一个示例中,每个消息或日志文件(“事件”)可以存储以便未来使用。存储的事件可以以各种方式组织。在互联网和/或其他网络上存在许多基于互联网协议(IP)地址的装置。这些装置中的许多装置可以具有执行的恶意代码。应该针对任何恶意行为而细察从任意潜在的恶意装置至企业的流量。此外,来自这些装置的攻击模式的种类以及这些装置可以利用的漏洞可以在大范围上改变。SIEM技术可以识别大范围的风险和/或利用(exploit)。云计算是对来自远程位置并且在网络之上可访问的计算资源的使用。同样,用户可以购买和/或另外使用资源本身而不是每个硬件部件以及相关联的平台软件。同样,用户可以购买需要的资源。云系统可以使用联网计算机的集群而实施。云计算中心应该是安全的。然而,可能难以确定哪些机器具有安全问题。因此,在此公开的各个实施例涉及通过监控与应用和其上运行各个应用的机器相关的安全事件来保护云应用。在一个示例中,应用是除了用于操作节点的程序之外的可以由节点执行的程序。应用可以包括可以在互联网之上提供向其他装置提供的服务。监控安全事件可以用于通过主动地对受损机器采取动作并不允许由攻击者进一步访问机器来防止云中的数据的受损。其也可以用于非云环境,其中备用机器在环境中的一个或多个机器受损的情况下可用于热部署。此外,采用在此描述的方案,应用的可用性不用受干扰,因为可以在明显检测到安全问题之后重复利用受损的机器。此外,环境中的新机器可以被产生以平衡受到使得受损节点不可用的影响的负载。可以增强安全管理器以理解使用虚拟机(节点)的集群来负载平衡和/或缩放的各种应用的云部署。如果节点的安全性受损,可以停用该节点并启用新节点。在一些示例中,新节点可以具有新的互联网协议地址并且可以免受感染。额外地或备选地,安全管理器可以使得隔离感染节点并且监控活跃性以理解安全问题的影响。在影响研究之后可以停用节点。图1是根据一个示例的能够基于所确定的安全问题选择性地禁用集群的节点并启用对集群的替代节点的计算系统的方框图。系统100可以包括经由通信网络106与集群104通信的安全管理器102。集群可以包括节点108a — 108η、集群管理器110、负载平衡器112及其组合等。此外,通信网络106可以包括一个或多个路由器114,网络交换机等。在某些示例中,安全管理器102、节点108a - 108η、集群管理器110和/或负载平衡器112可以是计算装置,诸如服务器、客户端计算机、台式计算机、移动计算机、工作站等。在其他实施例中,装置可以包括专用机器。在一些示例中,可以经由处理元件、存储器、指令和/或其他部件实施一个或多个装置。集群104可以包括一起工作的疏松连接或紧密连接的计算装置(节点108)。集群的部件可以通过诸如快速局域网(LAN)的网络连接。在一些示例中,每个节点108可以执行其自身的操作系统的实例。可以使用集群中间件来管理集群104的活动,中间件可以被视作位于节点上并且允许用户将集群作为大型粘性计算单元处理的软件层。在一些示例中,集群104可以是高可用性的。同样,集群104可以支持可以以最小停机时间被使用的服务器应用。高可用性集群允许停用发生故障的计算装置上的应用并且在另一计算装置上重启应用。作为过程的一部分,集群软件可以在开始停用其上的应用之前配置新节点。安全管理器102可以监控节点。此外,安全管理器102可以基于分析数据而确定节点108中的一个是否具有安全问题。监控节点108可以包括监控来自各个节点的日志,监控来自入侵防止系统(IPS)的活动,监控来自路由器114的活动等。此外,在一些示例中,节点108可以包括代理器,其可以用于向安全管理器102提供日志信息和/或其他信息。在一个示例中,安全管理器102可以是SIEM。在一些示例中,安全问题是基于分析对节点108可能受损的确定。安全管理器102可以关联从这些来源和/或其他来源收集到的信息并且分析该信息以确定节点108中的一个或多个是否具有安全问题。例如,安全管理器102可以将节点108处的活动(例如网络流量)与已知的模式进行比较或基于一个或多个规则对活动进行标记。此外,节点的IP地址可以基于分析而被标记为可疑。在一个示例中,如果可疑活动发生在与节点相关联的网络流量上,则节点可以视作受损。可以由安全管理器102追踪每个节点108。在一些示例中,关于节点108的信息、节点108的IP地址、节点108的日志、运行在节点108上的应用、运行在节点108上的服务等可以由安全管理器102保持。在一些情形中,REST脚本可以询问单个机器什么服务与机器相关联。此外,可以通过询问可以保持对与每个节点相关联的应用/服务的追踪的机器或集群管理器110来实时地确定关于节点108的信息。在一个示例中,可以保持表格或数据库以保持对与集群104的各个节点相关联的应用/服务的追踪。此外,可以由安全管理器102监控节点的多个集群。此外,安全管理器102的代理可以在各个节点上被实施以向安全管理器102提供关于节点的信息。当安全管理器102确定节点108a具有安全问题时,安全管理器102可以使得节点108a被禁用。在一个示例中,可以通过阻断从至少一个实体至节点108a的通信访问而禁用节点。在一些示例中,实体可以是可尝试攻击节点108a的装置116。安全管理器102可以知晓与集群104的各个节点108相关联的网络配置。同样,安全管理器102可以访问关于与节点108a相关联的路由器114的一个或多个端口的信息。安全管理器102可以通过将消息发送至在节点108a的路径中的路由器114来阻断至节点108a的通信访问而使得节点108a被禁用。在一些情形中,阻断来自除了安全管理器102之外装置的通信。同样,安全管理器可以采集来自节点108a的信息而节点108a通过阻断至外部装置和/或集群104的其他装置的通信访问而被禁用。安全管理器102可以分析信息以确定与节点1本文档来自技高网...
【技术保护点】
一种计算系统,包括:集群的多个节点;安全管理器,用于监控所述节点,其中所述安全管理器进一步用于确定所述节点中的一个节点包括安全问题,其中所述安全管理器使得所述一个节点被禁用,并且其中使得另一节点被启用以替代所述集群中的所述一个节点。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:阿努拉克·辛格拉,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。