【技术实现步骤摘要】
【国外来华专利技术】用于虚拟计算资源的部署前安全分析器服务相关申请的交叉引用本申请要求于2018年3月6日提交的美国专利申请第15/913741号的优先权权益,其通过引用合并于此并且其全部内容被依赖。
技术介绍
一般而言,计算设备利用通信网络或一系列通信网络来交换数据。公司和组织运营计算机网络,计算机网络将许多计算设备互连在一起以支持操作或向第三方提供服务。计算系统可以位于单个地理位置或位于多个不同的地理位置(例如,经由私有或公共通信网络互连)。具体地,数据中心或数据处理中心(在本文中通常被称为“数据中心”)可以包括多个互连的计算系统,以向数据中心的用户提供计算资源。数据中心可以是代表组织运营的私有数据中心,或者可以是代表公众或为公众利益运营的公共数据中心。为了促进对数据中心资源的增加的利用,虚拟化技术可以允许单个物理计算设备托管一个或多个虚拟计算资源实例,例如对于数据中心用户而言作为独立计算设备出现并且运行的虚拟机。单个物理计算设备可以以动态方式创建、维护、删除或以其他方式管理虚拟资源。在一些情形下,各种虚拟机可以与操作系统或操作系统配置、虚拟化的硬件和联网资源以及软件应用的不同组合相关联,以使得物理计算设备能够提供不同的期望功能、或者更有效地提供类似的功能。反过来,用户可以从数据中心请求计算机资源,包括单个计算设备或联网的计算设备的配置,并且用户可以被提供有不同数量的虚拟机资源。虚拟化还从虚拟机向上扩展;整个数据中心并且甚至多个数据中心可以实现具有不同容量的计算环境,例如虚拟私有网络和虚拟私有云。在硬件计算设备(诸如彼此连接以向计 ...
【技术保护点】
1.一种系统,所述系统包括一个或多个处理器和存储计算机可执行指令的存储器,所述计算机可执行指令在由所述一个或多个处理器执行时使所述系统在使虚拟计算资源实例被部署到虚拟计算环境中之前:/n识别第一虚拟资源定义,第一虚拟资源定义用于启动具有第一配置的虚拟计算资源实例;/n获得第一安全检查,第一安全检查包括第一配置的一个或多个安全要求;以及/n确定第一配置是否满足所述一个或多个安全要求。/n
【技术特征摘要】
【国外来华专利技术】20180306 US 15/913,7411.一种系统,所述系统包括一个或多个处理器和存储计算机可执行指令的存储器,所述计算机可执行指令在由所述一个或多个处理器执行时使所述系统在使虚拟计算资源实例被部署到虚拟计算环境中之前:
识别第一虚拟资源定义,第一虚拟资源定义用于启动具有第一配置的虚拟计算资源实例;
获得第一安全检查,第一安全检查包括第一配置的一个或多个安全要求;以及
确定第一配置是否满足所述一个或多个安全要求。
2.根据权利要求1所述的系统,其中,执行所述指令还使所述系统:
识别指定第一虚拟资源定义和第一安全检查的第一模板;
从第一模板中获得第一配置参数集合和识别第一安全检查的信息;以及
根据第一配置参数集合生成第一配置。
3.根据权利要求1所述的系统,其中,执行所述指令还使所述系统:
接收访问计算资源的请求;
确定所述请求识别具有第一资源类型并且与第一配置相关联的第一虚拟计算资源;
确定第一安全检查与第一资源类型相关联;
获得第二配置,第二配置被预定为指示使用第二配置创建的第一虚拟资源实例是否通过第一安全检查,第一虚拟资源实例具有第一资源类型;
在计算资源被部署为第一虚拟资源实例的一部分之前,根据访问计算资源的请求,将第一配置与第二配置进行比较,以确定第一配置通过第一安全检查。
4.根据权利要求3所述的系统,其中:
第一配置包括以第一安全策略编码的第一安全许可集合;
第二配置包括以第二安全策略编码的第二安全许可集合;以及
为了将第一配置与第二配置进行比较,执行所述指令使所述系统:
至少部分地基于第一安全许可集合来确定第一命题逻辑表达式;
至少部分地基于第二安全许可集合来确定第二命题逻辑表达式;以及
将第一命题逻辑表达式与第二命题逻辑表达式进行比较,以确定第一安全策略通过第一安全检查。
5.根据权利要求1所述的系统,其中,执行所述指令还使所述系统:
确定第一请求识别具有第二资源类型并且与第三配置相关联的第二虚拟计算资源;
获得与第二资源类型相关联的第二安全检查;
获得第四配置,第四配置被预定为指示使用第四配置创建的虚拟资源实例是否通过第二安全检查,第二虚拟资源实例具有第二资源类型;
将第三配置与第四配置进行比较,以确定第三配置没有通过第二安全检查;以及
使根据第一请求的第一虚拟资源实例和第二虚拟资源实例的部署被拒绝。
6.根据权利要求1所述的系统,其中,执行所述指令还使所述系统在确定第一配置通过第一安全检查之后:
使用第一配置来配置第一虚拟资源实例;
将第一虚拟资源实例部署到虚拟计算环境中;
在部署之后获得与第一虚拟资源实例相关联的执行数据;以及
将执行数据与第二配置进行比较,以确定第一虚拟资源实例的配置通过第一安全检查。
7.根据权利要求1所述的系统,其中,所述一个或多个安全要求对应于虚拟计算资源实例的访问许可,并且执行所述指令还使所述系统:
模拟虚拟计算环境中的网络活动;
至少部分地基于第一配置,收集描述虚拟计算资源实例对网络活动的预期响应的信息;以及
确定所述信息是否指示第一配置满足所述一个或多个安全要求。
8.根据权利要求1所述的系统,其中,执行所述指令还使所述系统:
接收部署虚拟计算资源实例的请求;
至少部分地基于请求来识别第一虚拟资源定义;
响应于确定第一配置满足所述一个或多个安全要求:
将虚拟计算资源实例配置为具有第一配置;以及
将虚拟计算资源实例部署到虚拟计算环境中;以及
在部署虚拟计算资源实例之后:
获得描述与虚拟计算资源实例相关联的网络活动的监视数据;以及
确定监视数据是否指示虚拟计算资源实例的所部署的配置满足所述一个或多个安全要求。
9.根据权利要求1所述的系统,其中,为了获得第一安全检查,执行所述指令使所述系统:
从通信地连接到所述一个或多个处理器的客户端计算设备接收配置虚拟计算资源实例的部署前安全分析的请求;
允许所述客户端计算设备访问用于配置部署前安全分析的应用编程接口API;以及
经由API从所述客户端计算设备接收执行第一安全检查的指示。
10.一种方法,包括:
由执行存储在存储器中的特定计算机可读程序指令的一个或多个处理器来识别第一模板,第一模板用于启...
【专利技术属性】
技术研发人员:N·朗格塔,P·V·博里格纳诺,C·道奇,C·瓦名,J·库克,R·维斯瓦纳坦,D·S·库克,S·卡尔严克里施南,
申请(专利权)人:亚马逊科技公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。