【技术实现步骤摘要】
【国外来华专利技术】云服务安全管理
本申请总体上涉及云服务安全管理。
技术介绍
本节说明了有用的背景信息,但不承认本文描述的任何技术代表本领域的状态。云计算是提供用于运行计算机服务的高性价比平台的技术。专用服务器需要量化(dimension)用于峰值需求的计算能力,使得在绝大部分时间服务器将以低工作负载运行。云计算在池化的计算机之间动态地共享和分发计算工作。云计算还能够在服务使用者附近呈现计算,从而减少由洲际通信而引起的延迟。云计算是一种高性价比技术,这得益于它对资源的动态或自适应共享,但遗憾的是,它也比专用服务器更难控制。只运行一种服务的专用服务器可以根据需要而容易地在服务级别和安全方面进行定制。完全相反,在云中运行的服务由位于一个或多个位置的许多不同的计算机执行并且这些系统的装备和配置可能差异很大。从使唯一可标识的硬件(该硬件支持敏感数据和代码的简易封装)转向虚拟化和/或可移动软件应用,已经出现了特殊的安全问题。虚拟化软件应用更容易复制/修改/移动,但它们必须依赖底层虚拟化系统(例如,底层管理程序和平台)的安全和隔离能力。再进一步,一些云横跨许多国家和大洲,使得实现不仅因为技术原因,也潜在地因为管理原因而不同,诸如合法拦截或隐私保护法规的强制性要求,这些法规可能强制执行特定的加密措施,这些措施在其它地方可能由于其计算成本而是不期望的。虽然在云中管理服务实现可能很具有挑战性,但是可以使用复数个云来实现单个服务和/或可以在单个云内的复数个管理域内实现单个服务。另一方面,一个云通常运行许多不同的服务,这些服务中的每个服务都可能因其需求而有很大差异,并且必须与其它服务隔离。这种隔 ...
【技术保护点】
1.一种方法,包括:在运行云服务的云计算机环境中管理所述云服务的安全,所述云计算机环境包括:第一计算机云实体,所述第一计算机云实体具有第一安全能力并且处于由第一安全管理服务点按照预定义的第一安全要求来协调的安全管理之下;以及第二计算机云实体,所述第二计算机云实体具有第二安全能力并且处于由第二安全管理服务点按照预定义的第二安全要求来协调的安全管理之下;所述云计算机环境中的所述云服务的所述安全的所述管理包括:在所述第一安全管理服务点与所述第二安全管理服务点之间建立信任关系;获取针对所述云服务的总体安全要求;以及基于针对所述云服务的所述总体安全要求、所述第一安全能力和所述第一安全要求,针对所述第一安全管理服务点,定义用于由所述第一计算机云实体来运行所述云服务的第一安全策略。
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:在运行云服务的云计算机环境中管理所述云服务的安全,所述云计算机环境包括:第一计算机云实体,所述第一计算机云实体具有第一安全能力并且处于由第一安全管理服务点按照预定义的第一安全要求来协调的安全管理之下;以及第二计算机云实体,所述第二计算机云实体具有第二安全能力并且处于由第二安全管理服务点按照预定义的第二安全要求来协调的安全管理之下;所述云计算机环境中的所述云服务的所述安全的所述管理包括:在所述第一安全管理服务点与所述第二安全管理服务点之间建立信任关系;获取针对所述云服务的总体安全要求;以及基于针对所述云服务的所述总体安全要求、所述第一安全能力和所述第一安全要求,针对所述第一安全管理服务点,定义用于由所述第一计算机云实体来运行所述云服务的第一安全策略。2.根据权利要求1所述的方法,还包括:基于针对所述云服务的所述总体安全要求、所述第二安全能力和所述第二安全要求,针对所述第二安全管理服务点,定义用于由所述第二计算机云实体来运行所述云服务的第二安全策略。3.根据权利要求1或2所述的方法,其中针对所述第一安全管理服务点的所述第一安全策略的所述定义包括:与所述第一安全管理服务点进行协商。4.根据权利要求3所述的方法,其中与所述第一安全管理服务点的所述协商包括:交换所提议的安全策略参数或所提议的安全策略参数集。5.根据权利要求3或4所述的方法,其中所述协商包括:在所述云服务的安全要求与可用于所述第一安全管理服务点的不同备选安全策略之间确定最佳匹配。6.根据前述权利要求中任一项所述的方法,其中所述第一计算机云实体和所述第二计算机云实体具有不同的类型。7.根据前述权利要求中任一项所述的方法,其中所述云计算环境包括租户所期望的安全功能性和直接的基础设施提供的对安全功能性的访问。8.根据前述权利要求中任一项所述的方法,其中针对所述第二安全管理服务点的所述第二安全策略的所述定义包括:与所述第二安全管理服务点进行协商。9.根据前述权利要求中任一项所述的方法,其中所述方法由自动云管理实体执行。10.根据权利要求9所述的方法,其中所述自动云管理实体包括所述第二安全管理服务点。11.根据前述权利要求中任一项所述的方法,其中所述第一计算机云实体和所述第二计算机云实体中的任何一个包括计算机云和计算机子云中的任何一个。12.根据前述权利要求中任一项所述的方法,其中所述第一计算机云实体和所述第二计算机云实体中的任何一个包括计算机云的由不同管理域所控制的不同部分。13.根据权利要求12所述的方法,其中所述不同部分包括虚拟化资源和可共享资源。14.根据前述权利要求中任一项所述的方法,其中在针对所述云服务定义所述第一安全策略时,所述第二安全管理服务点用作主控方并且所述第一安全管理服务点用作从属方。15.根据前述权利要求中任一项所述的方法,其中对于使用所述第一云实体和所述第二云实体运行的某个其他服务的安全管理,所述第一安全管理服务点和所述第二安全管理服务点的层次关系可以同时是不同的。16.根据前述权利要求中任一项所述的方法,其中针对所述云服务的所述安全要求的所述获取包括:从安全策略官方接收所述安全要求。17.根据权利要求16所述的方法,其中所述第二安全策略通过以下而被建立:将所述总体安全要求传播给所述第一安全管理服务点,并且使得所述第一安全管理服务点来针对所述第二安全管理服务点定义所述第二安全策略。18.根据前述权利要求中任一项所述的方法,其中一个安全管理服务点被设置作为主安全管理服务点,所述主安全管理服务点被配置为控制针对运行所述云服务的所述云计算机环境的其它安全管理服务点的安全策略的定义。19.根据前述权利要求中任一项所述的方法,其中针对运行所述云服务的所述云计算机环境的每个计算机云实体的所述安全管理服务点,安全策略自动地被定义。20.根据前述权利要求中任一项所述的方法,其中所述第一安全管理服务点和所述第二安全管理服务点使用安全管理域级安全策略中介器用于域级安全管理。21.根据权利要求20所述的方法,其中安全管理域级安全策略中介器维持针对所述安全管理域的安全要求和所分配的能力。22.根据前述权利要求中任一项所述的方法,其中所述安全管理服务点使用安全管理服务级安全策略中介器用于服务级安全管理。23.根据权利要求22所述的方法,其中所述服务级安全策略中介器维持用于所述安全管理域中运行的复数个云服务的相应安全策略。24.根据权利要求22或23所述的方法,其中所述安全管理服务点被配置为:在所述安全管理服务点的相应服务级安全策略中介器之间建立所述信任关系。25.根据权利要求22至24中任一项所述的方法,其中所述第一安全策略是针对所述第一安全管理服务点的所述服务级安全策略中介器而被定义的。26.根据权利要求22至25中任一项所述的方法,其中所述第二安全策略是针对所述第二安全管理服务点的所述服务级安全策略中介器而被定义的。27.根据前述权利要求中任一项所述的方法,还包括:协调对所述第一安全策略进行动态适配。28.根据权利要求27所述的方法,其中所述第一安全策略响应于所述第一安全要求的变化而被动态地适配。29.根据权利要求27所述的方法,其中所述第一安全策略响应于针对所述云服务的所述总体安全要求的变化而被动态地适配。30.根据权利要求27至29中任一项所述的方法,其中所述第一安全策略响应于所述云服务的变化而被动态地适配。31.根据权利要求27至30中任一项所述的方法,其中所述第一安全策略响应于安全事件或安全事故而被动态地适配。32.根据前述权利要求中任一项所述的方法,还包括:检测对改变所述第一安全策略的需要,并且响应地再次与所述第一安全管理服务点进行协商。33.根据前述权利要求中任一项所述的方法,其中所述第一安全策略和所述第二安全策略是在包括所述第一安全管理服务点和所述第二安全管理服务点的各方之间的协商中被定义的。34.根据前述权利要求中任一项所述的方法,其中计算机云实体中的安全管理由一个或多个安全管理实体来执...
【专利技术属性】
技术研发人员:M·舍费尔,I·亚当,S·玛希尤,平静,
申请(专利权)人:诺基亚技术有限公司,
类型:发明
国别省市:芬兰,FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。