本发明专利技术涉及用于端点安全与网络安全服务之间的协调的框架。一种技术包括分别根据各自的安全容器操作一个或更多个虚拟机,其中各自的安全容器与基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器传送的各自的规则相关联。在一个或更多个虚拟机上操作一个或更多个安全服务,以识别与一个或更多个虚拟机相关联的一个或更多个安全威胁。获得由端点安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机。并且至少基于所获得的标记当中的一个或更多个以及一个或更多个标准来将虚拟机之一识别为需要传送到隔离容器。
Framework for coordination between endpoint security and network security services
【技术实现步骤摘要】
用于端点安全与网络安全服务之间的协调的框架本申请是申请号为201480034454.9、申请日为2014年4月11日、专利技术名称为“用于端点安全与网络安全服务之间的协调的框架”的专利技术专利申请的分案申请。
本文档涉及虚拟机和安全服务。
技术介绍
虚拟机是物理计算机系统的基于软件的抽象。一般而言,可以在物理计算机系统上执行的任何计算机程序都可以使用虚拟化软件在虚拟机中执行。虚拟化软件是逻辑上介入虚拟机和物理计算机系统之间并与虚拟机和物理计算机系统接合的软件。每个虚拟机被配置为执行在此被称为客户OS的操作系统以及应用程序。在此被称为主机的物理计算机系统可以执行一个或更多个虚拟机。通过网络连接,虚拟机可以被本地或远程访问。例如,有可能使用远程桌面客户端来远程访问虚拟机。远程桌面客户端是与远程计算机系统交流用户接口信息的计算机程序。一般而言,用户接口信息包括从远程计算机系统接收并且显示在用户本地的计算机上的显示数据,并且向远程计算机系统发送由用户生成的键盘和鼠标输入。以这种方式,远离用户地执行的应用程序可以被用户访问并与用户交互。另外,不管是在虚拟机上执行还是在主机上直接执行,应用程序和操作系统都仍然易受暗中进入计算机环境的诸如病毒或蠕虫之类的程序或代码的攻击。病毒常常自我复制,或者使它们被复制,由此消耗过量的计算机资源,并造成计算机操作的劣化或中断。“蠕虫”可以被定义为把它自己自动附到发出的电子邮件或其它网络消息的病毒。有些病毒擦除或破坏磁盘文件,或者要求硬盘全部重新格式化。病毒可能一进入计算机环境就立刻肆意破坏,或者可能处于休眠状态直到环境使它们的代码被主计算机执行。不管特定的病毒会造成什么样的潜在损坏,所有病毒一般都被认为是恶意的,都应当防止其感染系统,并且如果发现就应当除去。为此,术语“病毒”将指任何此类恶意代码。病毒的威胁在联网的环境中尤为严重,在所述联网的环境中,网络上的计算机能够被黑客团伙创建的复杂性和严重性程度不同的病毒访问。这些病毒可以通过各种机制(例如,作为电子邮件的附件或者作为下载文件)或者通过监听网络端口的服务程序来暗中进入计算机环境。防病毒软件的各种示例包括针对恶意代码来扫描整个盘驱动器和存储器系统的系统扫描器,以及在被操作系统请求时对文件进行扫描的“按访问(on-access)”扫描器。其它类型的防病毒软件也是可能的。
技术实现思路
一般而言,本文档中所描述的主题的一方面可以体现在以下技术中,该技术包括:分别根据各自的安全容器(securitycontainer)来操作一个或更多个虚拟机,其中各自的安全容器与各自的规则相关联,所述规则基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器(quarantinecontainer)的传送;在所述虚拟机中的一个或更多个上操作一个或更多个端点安全服务,以识别与所述虚拟机中的一个或更多个虚拟机相关联的一个或更多个安全威胁;获得由所述一个或更多个安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机;至少基于所获得的标记当中的一个或更多个以及所述标准中的一个或更多个,来识别虚拟机中需要传送到隔离容器的一个虚拟机;以及,把识别出的虚拟机传送到隔离容器。该方面的其它实施例包括对应的系统、装置和被编码在非临时性机器可读存储介质上的计算机软件。这些及其它方面可以可选地包括以下特征中的一个或更多个。安全服务可以包括防病毒扫描器、数据丢失防护(DLP)、文件完整性监视、木马(rootkit)检测器、漏洞管理、网络防火墙、web安全控制,以及入侵检测/防护系统。可以解决安全威胁,以除去使识别出的虚拟机从该识别出的虚拟机的各自的安全容器传送到隔离容器的标记;并且识别出的虚拟机可以从隔离容器传送到该识别出的虚拟机的各自的安全容器。可以提供用户接口来创建并配置一个或更多个各自的安全容器,其中用户接口被配置为针对一个或更多个各自的安全容器中的每一个创建一个或更多个基于标记的规则。每个标记可以包括虚拟机标识符、标记标签、以及标记值。各自的规则可以指定威胁级别阈值,并且其中识别虚拟机包括将标记值与该威胁级别阈值进行比较。一个或更多个端点安全服务可以包括被配置为根据已知的标记格式生成标记的防病毒扫描器、被配置为根据已知的标记格式生成标记的漏洞管理机制、或者被配置为根据已知的标记格式生成标记的数据丢失防护机制中的一个或更多个。操作一个或更多个虚拟机可以包括:响应于虚拟机登录事件来检测用户成员资格组;基于用户成员资格组来选择各自的安全容器;并且把与虚拟机登录事件相关联的虚拟机分派给选定的安全容器。一个或更多个各自的安全容器可以包括:与第一规则相关联的第一安全容器,所述第一规则基于一个或更多个第一标准来指定虚拟机从第一安全容器到第一隔离容器的传送;以及与第二规则相关联的第二安全容器,所述第二规则基于一个或更多个第二标准来指定虚拟机从第二安全容器到第二隔离容器的传送。实现方式可以包括操作标记通信层以接收来自一个或更多个安全服务的一个或更多个标记,该标记通信层对于一个或更多个端点安全服务是不可知的。实现方式可以包括根据隔离容器来操作网络防火墙,以限制识别出的虚拟机的网络连接性。本文档中所描述的主题的特定实施例可被实施为实现以下优点中的一个或更多个。提供让安全服务标记虚拟机的框架可以使得被标记的虚拟机能够快速且自动地传送到诸如隔离容器之类的不同的、更严格的容器。一旦在虚拟机上检测到病毒,对于防止病毒对未受影响的系统的扩散或影响、防止敏感信息的泄漏或者这两者,最小化虚拟机在隔离容器之外所花的时间是有利的。本文档中所描述的主题的一个或更多个实施例的细节在附图和以下说明书中得到阐述。通过阅读说明书、附图和权利要求,主题的其它特征、方面和优点将变得清楚。附图说明图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。图2示出了被配置为执行虚拟机的系统的示例的体系架构。图3示出了包括安全管理器的安全框架的示例的体系架构。图4示出了安全过程的示例的流程图。图5示出了安全过程的另一示例的流程图。图6示出了安全过程的另一示例的流程图。各种图中相同的附图标记和命名指示相同的要素。具体实施方式本文档描述在不同的端点安全服务(例如,防病毒软件)和网络安全服务(例如,网络防火墙)之间实现协同编排(synergisticorchestration)的框架。这种框架可以使得能够在虚拟机环境内对安全策略的违背进行快速且自动的响应,同时使得客户能够选择端点和网络安全服务中的最佳种类,包括由不同供应商提供的那些服务。图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。诸如数据处理装置之类的物理机器可以根据分别分派的安全容器105a-c来执行虚拟机110a-d。安全容器105a-c是可以指定诸如防火墙设置115a-c、用于一个或更多个安全服务的操作设置以及基于标记的规则120a-c之类的策略的虚拟机操作环境。在一些实现方式中,安全容器105a-c与各自的具有不同允许级别的网络连接性的防火墙设置115a-c相关联。在这个示例中,第一安全容器105a与指定完全网络访问的防火墙设置115a相关联,而第二安全容器105b与指定受限网络访问的防火墙设置115b相本文档来自技高网...
【技术保护点】
1.一种方法,包括:把在主机上运行的VM分派给第一安全容器,使得在所述主机上与第一安全容器相关联的第一组网络连接性设置被应用于该VM;基于所述VM到第一安全容器的分派,对所述VM运行安全服务,该安全服务识别与该VM相关联的安全状况;基于所述安全状况的识别,将所述VM重新分派给第二安全容器,使得在所述主机上与第二安全容器相关联的第二组网络连接性设置被应用于该VM;以及在解决所述安全状况后,将所述VM分派回给第一安全容器,使得在所述主机上所述第一组网络连接性设置重新被应用于该VM。
【技术特征摘要】
2013.04.19 US 13/866,8691.一种方法,包括:把在主机上运行的VM分派给第一安全容器,使得在所述主机上与第一安全容器相关联的第一组网络连接性设置被应用于该VM;基于所述VM到第一安全容器的分派,对所述VM运行安全服务,该安全服务识别与该VM相关联的安全状况;基于所述安全状况的识别,将所述VM重新分派给第二安全容器,使得在所述主机上与第二安全容器相关联的第二组网络连接性设置被应用于该VM;以及在解决所述安全状况后,将所述VM分派回给第一安全容器,使得在所述主机上所述第一组网络连接性设置重新被应用于该VM。2.如权利要求1所述的方法,还包括在将所述VM分派给第一安全容器之前,接收数据以创建第一安全容器并使所述安全服务与该安全容器相关联。3.如权利要求1所述的方法,其中,将所述VM分派给第一安全容器包括:响应于所述VM的登录事件,检测用户成员组;以及基于用户成员组,选择第一安全容器。4.如权利要求1所述的方法,其中:对所述VM运行安全服务包括对所述VM扫描病毒;识别与所述VM相关联的安全状况包括识别该VM上的病毒;并且将所述VM重新分派给第二安全容器包括将所述VM重新分派给隔离容器直至病毒已被去除。5.如权利要求4所述的方法,其中,所述第二组网络连接性设置包括限制与所述隔离容器相关联的任何VM的网络连接性的网络防火墙设置。6.如权利要求4所述的方法,其中,所述第二组网络连接性设置包括不允许对于与所述隔离容器相关联的任何VM的网络访问的网络防火墙设置。7.如权利要求1所述的方法,其中:基于所述安全威胁的识别,所述安全服务使所述VM与标记相关联;并且重新分派所述VM包括基于所述VM与所述标记的关联,将所述VM重新分派给第二安全容器。8.如权利要求7所述的方法,其中,将所述VM分派回给第一安全容器包括:在解决所述安全状况后,移除所述VM与所述标记的关联;以及基于所述标记的移除,将所述VM分派回给第一安全容器。9.如权利要求1所述的方法,其中,所述分派、重新分派、分派回由安全管理器执行,该安全管理器指定安全容器、使VM与标记相关联、并且指定用于基于VM与标记的关联而在安全容器之间移动VM的基于标记的规则。10.一种存储程序以供至少一个处理单元执行的机器可读介质,所述程序包括用于以下操作的指令集合:把在主机上运行的VM分派给第一安全容器,使得在所述主机上与第一安全容器相关联的第一组网络连接性设置被应用于该VM;基于所述VM到第一安全容器的...
【专利技术属性】
技术研发人员:S·M·韦德亚,A·费罗泽,A·森谷普塔,J·C·维塞,
申请(专利权)人:NICIRA股份有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。