在云环境中保护动态和短期虚拟机实例制造技术

本公开涉及保护云计算平台中的临时虚拟机实例免受安全风险。示例性方法通常包括监视云平台(120)以将临时虚拟机实例(130)分配给工作负载。安全系统(150)获得关于所述临时虚拟机实例的配置和部署在所述临时虚拟机实例上的应用程序的信息。基于所述临时虚拟机实例的配置和部署在所述临时虚拟机实例上的应用程序，所述安全系统生成用以应用于所述临时虚拟机实例的安全策略。

【技术实现步骤摘要】
【国外来华专利技术】在云环境中保护动态和短期虚拟机实例相关申请的交叉引用本申请要求2016年3月22日提交的印度临时专利申请号201641010042和2016年5月5日提交的美国专利申请No.15/147,217的权益，这两个申请均转让给本受让人，其内容均据此全文以引用方式并入。
技术介绍

本文提出的实施方案整体涉及计算机安全系统，并且更具体地讲，涉及在云环境中的临时虚拟机实例上自动部署计算机安全策略。相关领域的描述在云计算平台中，工作负载寿命周期可快速改变。工作负载可被配置用于特定操作，并且在有限的持续时间内可以是活动的，这取决于工作负载的情景。可在包括多个持久虚拟机(VM)的云计算平台上部署工作负载。随着工作负载的流量或处理需求增加，工作负载可使用附加临时资源。例如，可分配附加虚拟机(或云资源)以加速诸如分析数据处理(例如，日志扫描、模拟等)、测试例程和web爬行过程之类的过程，以生成互联网上的站点索引。可以响应于在云计算平台中执行的工作负载的变化来动态地分配虚拟机，这可允许云计算平台根据需要来增强分配给具有附加能力的工作负载的处理能力。在一些情况下，可基于供应(云计算平台上的多余资源或虚拟机)和需求，以及投标价格或工作负载所有者愿意在给定时间为附加资源支付的价格的实时变化来分配临时虚拟机实例。当特定时间点的现货价格或附加虚拟机实例的价格小于工作负载所有者的投标价格时，云系统可将附加临时虚拟机实例分配给工作负载。如果现货价格高于工作负载所有者的投标价格，则云系统可从工作负载中解除分配临时虚拟机实例(例如，在设定量的时间之后，这可允许工作负载在云系统从工作负载中解除分配临时虚拟机实例之前停止对临时虚拟机实例的操作)。在云环境中，临时虚拟机可在能够被分配给任何用户的公共实例组中分配。云服务可在需求激增时将公共组中的临时虚拟机实例动态分配给工作负载，并且随着对工作负载的需求减少而解除分配临时虚拟机实例。还可将临时虚拟机从可用实例组分配到虚拟私有云或专用虚拟网络中。在这些虚拟私有云中，可将临时虚拟机分配给限制对网络中的其他虚拟机的网络访问的子网，或者允许子网中的虚拟机访问外部网络上的数据的子网。当云系统将临时虚拟机实例分配给工作负载时，临时虚拟机实例通常会联机并且开始与被分配以处理工作负载的其他虚拟机实例进行交互。在这样的情况下，临时虚拟机实例可接收对数百或数千个其他虚拟机的访问。另外，临时虚拟机可不包括安全系统，这可使此类虚拟机暴露于最终可能攻击对等虚拟机上的其他工作负载的攻击。
技术实现思路
本公开的一个实施方案包括用于保护临时虚拟机实例免受安全风险的方法。该方法通常包括监视云平台以将临时虚拟机实例分配给工作负载。安全系统获得关于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序的信息。基于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序，安全系统生成用以应用于临时虚拟机实例的安全策略。另一个实施方案提供了具有指令的计算机可读存储介质，当在处理器上执行时，该计算机可读存储介质执行用于保护临时虚拟机实例免受安全风险的操作。该操作通常包括监视云平台以将临时虚拟机实例分配给工作负载。安全系统获得关于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序的信息。基于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序，安全系统生成用以应用于临时虚拟机实例的安全策略。本专利技术的又一个实施方案包括处理器和存储程序的存储器，当在处理器上执行时，该程序执行用于保护临时虚拟机实例免受安全风险的操作。该操作通常包括监视云平台以将临时虚拟机实例分配给工作负载。安全系统获得关于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序的信息。基于临时虚拟机实例的配置和部署在临时虚拟机实例上的应用程序，安全系统生成用以应用于临时虚拟机实例的安全策略。附图说明为了使人可详细地理解实施本公开的上述特征的方式，可通过参考实施方案来获得本公开的更具体描述(上文简要概述)，其中一些实施方案在附图中示出。然而，应当注意，附图仅示出了示例性实施方案，并且因此不被认为是限制其范围，可允许其他等效的实施方案。图1示出根据一个实施方案的联网计算环境的示例。图2示出根据一个实施方案的示例性虚拟机(VM)实例分析器。图3示出根据一个实施方案的用于监视临时虚拟机的云环境并且生成要应用于临时虚拟机的安全策略的示例性操作。图4示出根据一个实施方案的用于基于与部署在临时虚拟机上的应用程序相关联的信誉数据来修复临时虚拟机上的安全风险的示例性操作。图5示出根据一个实施方案的用于基于检测到异常网络活动来修复临时虚拟机上的安全风险的示例性操作。图6示出根据一个实施方案的用于确定用以应用于云计算环境中的临时虚拟机的安全策略的示例性计算系统。为了便于理解，在可能的情况下，使用相同的附图标记来指定附图中共有的相同元件。可以设想到，一个实施方案的元件和特征可被有利地结合在其他实施方案中而无需进一步叙述。具体实施方式本文提出的实施方案提供了用于为云计算平台中的临时虚拟机实例生成安全策略的技术。安全系统可使用关于临时虚拟机实例和部署在临时虚拟机实例上的应用程序的信息来生成要应用于临时虚拟机实例的推荐的安全策略。安全系统可在将临时虚拟机实例添加到工作负载时自动应用推荐的安全策略，或者在将安全策略应用于临时虚拟机实例之前提示系统管理员查看和修改推荐的安全策略。在一些情况下，安全系统可另外检查部署在临时虚拟机实例上的每个应用程序的信誉状态，并在临时虚拟机实例(以及作用于相同工作负载的其他虚拟机实例)上启动修复过程，以从虚拟机实例上执行的恶意程序修复云计算环境的安全风险。通过为临时虚拟机实例生成推荐的安全策略，安全系统可在将临时虚拟机添加到工作负载时施行并实现安全策略。这些安全策略可保护云计算平台中的其他虚拟机免受可能由于将未受保护的临时虚拟机实例引入计算环境中而引起的安全威胁。图1根据一个实施方案示出了示例性计算环境100。如图所示，计算环境通常包括云平台120、安全系统150、以及连接到网络110的数据存储装置160。云平台120通常提供一个或多个持久虚拟机(VM)实例125和多个临时VM实例130，它们可被供应给在云平台120上执行的各种工作负载。工作负载(诸如分析处理工作负载、软件测试工作负载、web爬行工作负载、模拟工作负载、或可在云平台120上执行的任何其他计算密集型作业)可在持久VM实例125的基本集合上执行，所述持久VM实例专用于特定的工作负载。可基于云平台120中的临时VM实例130的可用性以及与将临时VM实例130添加到工作负载相关联的价格，来将一个或多个临时VM实例130分配给工作负载。如图所示，每个临时VM实例130通常包括一个或多个VM应用程序132和安全代理134。部署在临时VM实例130上的VM应用程序可以是用户定义的，并且可包括例如数据库系统(例如，基于SQL的(关系)数据库系统或轻量级、非关系数据库系统)、数据处理软件、定制的客户特定程序(例如，专有遗传或财务建模应用程序)等。对于给定工作负载，系统管理员可定义被分配以处理工作负载的持久虚拟机的数量，以及系统管理员愿意为增强具有附加临时计算资源的持久虚拟机而支付的价格。当云平台120可用的临时虚拟机实例本文档来自技高网...

【技术保护点】
1.一种用于保护临时虚拟机实例免受安全风险的方法，包括：监视云平台以将临时虚拟机实例分配给工作负载；获得关于所述临时虚拟机实例的配置和部署在所述临时虚拟机实例上的应用程序的信息；以及基于所述临时虚拟机实例的所述配置和部署在所述临时虚拟机实例上的应用程序，生成用以应用于所述临时虚拟机实例的安全策略。

【技术特征摘要】
【国外来华专利技术】2016.03.22 IN 201641010042;2016.05.05 US 15/1472171.一种用于保护临时虚拟机实例免受安全风险的方法，包括：监视云平台以将临时虚拟机实例分配给工作负载；获得关于所述临时虚拟机实例的配置和部署在所述临时虚拟机实例上的应用程序的信息；以及基于所述临时虚拟机实例的所述配置和部署在所述临时虚拟机实例上的应用程序，生成用以应用于所述临时虚拟机实例的安全策略。2.根据权利要求1所述的方法，其中生成要应用于所述临时虚拟机实例的安全策略包括：在确定所述临时虚拟机实例被分配给公共虚拟机实例组后，阻止对等虚拟机实例与所述临时虚拟机实例进行通信。3.根据权利要求1所述的方法，其中生成要应用于所述临时虚拟机实例的安全策略包括：在确定所述临时虚拟机实例被分配给私有虚拟机实例组后，阻止所述私有组外部的虚拟机实例与所述临时虚拟机实例进行通信。4.根据权利要求1所述的方法，其中生成要应用于所述临时虚拟机实例的安全策略包括：查询应用程序库以获得关于部署在所述临时虚拟机实例上的所述应用程序的信息；以及基于关于部署在所述临时虚拟机实例上的所述应用程序的所述信息，在所述临时虚拟机实例上打开一个或多个网络端口。5.根据权利要求1所述的方法，还包括：从信誉服务请求关于部署在所述临时虚拟机实例上的所述应用程序的信誉数据；以及在基于所述信誉数据来确定至少第一应用程序呈现安全风险后，在所述临时虚拟机实例上启动一个或多个修复过程。6.根据权利要求1所述的方法，还包括：监视所述临时虚拟机实例上的网络活动；将所述受监视的网络活动与来自一个或多个对等虚拟机实例的网络活动进行比较；以及基于所述比较，检测指示所述云平台的安全风险的一个或多个网络流量异常。7.根据权利要求6所述的方法，还包括：在检测到指示所述云平台的安全风险的一个或多个流量异常后，隔离所述临时虚拟机实例。8.根据权利要求6所述的方法，还包括：在检测到指示所述云平台的安全风险的一个或多个流量异常后，终止所述临时虚拟机实例并且产生替换虚拟机实例。9.一种包括指令的计算机可读介质，当在处理器上执行时，所述计算机可读介质执行用于保护临时虚拟机实例免受安全风险的操作，所述操作包括：监视云平台以将临时虚拟机实例分配给工作负载；获得关于所述临时虚拟机实例的配置和部署在所述临时虚拟机实例上的应用程序的信息；以及基于所述临时虚拟机实例的所述配置和部署在所述临时虚拟机实例上的应用程序，生成用以应用于所述临时虚拟机实例的安全策略。10.根据权利要求9所述的计算机可读介质，其中生成要应用于所述临时虚拟机实例的安全策略包括：在确定所述临时虚拟机实例被分配给公共虚拟机实例组后，阻止对等虚拟机实例与所述临时虚拟机实例进行通信；以及在确定所述临时虚拟机实例被分配给私有虚拟机实例组后，阻止所述私有组外部的虚拟机实例与所述临时虚拟机实例进行通信。11.根据权利要求9所述的...

【专利技术属性】
技术研发人员：S·莫汉蒂，S·耶尔，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：美国,US