用于虚拟计算资源的部署前安全分析器服务制造技术

计算资源服务提供商的安全评估系统对诸如虚拟机实例和虚拟数据存储库实例之类的虚拟资源实例执行安全分析，以验证实例的相应配置是否满足某些不变的安全要求；在提供和部署实例之前执行这些分析。如果可以由资源的管理员选择的安全检查失败，则拒绝所请求的资源的部署。识别缺陷配置的通知可以被发送给管理用户。例如可以通过将执行检查所需要的信息存储在优化模板自身内，将用于启动虚拟资源实例的模板转换成用于执行部署前安全检查的优化模板。

【技术实现步骤摘要】
【国外来华专利技术】用于虚拟计算资源的部署前安全分析器服务相关申请的交叉引用本申请要求于2018年3月6日提交的美国专利申请第15/913741号的优先权权益，其通过引用合并于此并且其全部内容被依赖。
技术介绍
一般而言，计算设备利用通信网络或一系列通信网络来交换数据。公司和组织运营计算机网络，计算机网络将许多计算设备互连在一起以支持操作或向第三方提供服务。计算系统可以位于单个地理位置或位于多个不同的地理位置(例如，经由私有或公共通信网络互连)。具体地，数据中心或数据处理中心(在本文中通常被称为“数据中心”)可以包括多个互连的计算系统，以向数据中心的用户提供计算资源。数据中心可以是代表组织运营的私有数据中心，或者可以是代表公众或为公众利益运营的公共数据中心。为了促进对数据中心资源的增加的利用，虚拟化技术可以允许单个物理计算设备托管一个或多个虚拟计算资源实例，例如对于数据中心用户而言作为独立计算设备出现并且运行的虚拟机。单个物理计算设备可以以动态方式创建、维护、删除或以其他方式管理虚拟资源。在一些情形下，各种虚拟机可以与操作系统或操作系统配置、虚拟化的硬件和联网资源以及软件应用的不同组合相关联，以使得物理计算设备能够提供不同的期望功能、或者更有效地提供类似的功能。反过来，用户可以从数据中心请求计算机资源，包括单个计算设备或联网的计算设备的配置，并且用户可以被提供有不同数量的虚拟机资源。虚拟化还从虚拟机向上扩展；整个数据中心并且甚至多个数据中心可以实现具有不同容量的计算环境，例如虚拟私有网络和虚拟私有云。在硬件计算设备(诸如彼此连接以向计算资源服务提供商的用户提供虚拟计算资源和服务的服务器)的网络中，确保资源和数据的安全具有巨大的价值。可以基于许多不同的参数(例如用户凭证、资源属性、网络配置等)严格控制对资源的访问。在计算资源服务提供商的上下文中，可以使用安全策略来定义用户和资源的访问权限，所述安全策略指定是准予还是拒绝请求设备访问计算资源。网络配置还可以具有安全策略，和/或可以以其他方式具有参数，所述参数的值确定网络的安全。访问权限可能随着时间而改变，通常需要改变受影响的安全策略。网络控制可能类似地改变。随着计算机系统或计算机网络中支持的用户数量和类型和/或可访问计算资源的数量和类型扩大，对安全策略进行管理以及验证适当地利用安全的网络配置和有效的安全策略使计算资源可用可能变得越来越困难。附图说明将参考附图描述各种技术，在附图中：图1示出计算资源服务提供商的计算环境，在该计算环境中可以根据本公开来实现本系统和方法的各种实施例；图2A至图2D示出根据本公开的示例计算环境，该示例计算环境实现在部署虚拟计算资源实例之前针对安全漏洞检查虚拟计算资源实例的示例方法的过程；图3是用于提供并且部署虚拟计算资源的示例模板的图；图4A是根据本公开的虚拟计算资源的部署前安全分析的示例方法的流程图；图4B是结合图4A的方法来处理实例启动失败的示例方法的流程图；图5A至图5B示出根据本公开的另一示例计算环境，该另一示例计算环境实现在部署虚拟计算资源实例之前针对安全漏洞检查虚拟计算资源实例的另一示例方法的过程；图6是根据本公开的虚拟计算资源的部署前安全分析的另一示例方法的流程图；图7是实现本公开的系统和方法的硬件计算设备的图；以及图8是转换用于提供并且部署虚拟计算资源的模板的示例方法的图。具体实施方式在计算资源服务提供商的上下文中，客户端进行请求以使计算资源服务提供商的计算资源被分配给客户端使用。计算资源服务提供商的一个或多个服务接收请求并且向客户端分配物理计算资源，例如计算机处理器、存储器、存储驱动器、计算机网络接口和硬件计算设备的其他组件的使用。在一些计算系统中，计算系统的虚拟化层生成“虚拟”计算资源实例，所述“虚拟”计算资源实例表示对应物理计算资源的分配部分。因此，客户端可以操作和控制虚拟计算资源实例，包括但不限于：虚拟机实例，每个虚拟机实例模拟具有操作系统、处理能力、存储容量和网络连接的完整计算设备；用于执行特定处理的其他容器或虚拟机实例；虚拟网络接口，每个虚拟网络接口使得一个或多个虚拟机实例能够彼此隔离地使用底层网络接口控制器；虚拟数据存储库，虚拟数据存储库与硬驱动器或数据库相类似地运行；等等。计算资源服务提供商可以在客户端自己的虚拟计算环境中将虚拟计算资源提供给客户端，该客户端自己的虚拟计算环境可以与其他客户端的环境通信地隔离。计算资源服务提供商可以允许客户端配置其虚拟计算资源，以便虚拟计算资源可以接收来自最终用户的计算设备的连接；客户端的虚拟计算资源可以向最终用户提供软件应用、网络(Web)服务和其他计算服务。如下面进一步描述的，计算资源服务提供商的一个或多个服务可以负责分配虚拟计算资源、配置虚拟计算资源以及将虚拟计算资源部署到客户端的虚拟计算环境中。客户端可以创建定义虚拟计算资源的特定类别的配置模板。例如，“网络(web)服务器”配置模板可以包括具有默认值和/或可定制值的参数；虚拟机实例采用这些参数在客户端的虚拟计算环境中充当网络(web)服务器。客户端可以将指定虚拟机实例的类别的请求配置为“网络(web)服务器”，并且处理该请求的资源分配系统可以将网络(web)服务器配置模板解释为将新的虚拟机实例“加快旋转(spinup)”为具有相同参数的网络(web)服务器。通过在分配给环境的对应资源内创建实例，以及将实例连接到其他虚拟计算资源并且有时还连接到与最终用户设备进行接口连接的计算网络，将虚拟计算资源部署到客户端的虚拟计算环境中。在一个实现方式中，计算系统的虚拟化层(例如，包含一个或多个管理程序)在环境中生成一个或多个虚拟网络，以及新实例接收虚拟网络上的地址(例如，IPv4地址)并且然后可以与虚拟网络上的其他组件进行通信。物理或虚拟联网组件(例如网络接口、防火墙、负载均衡器等)可以参与虚拟网络，所述物理或虚拟联网组件实现通信协议、地址空间以及组件之间的连接和与外部通信网络(例如因特网和其他广域网)之间的连接。在各种实现方式中，客户端可以配置虚拟网络及其附属组件的各个方面。这些配置可能创建安全漏洞。例如，客户端可以将虚拟网络接口配置为用作具有最终用户设备可以连接到的公共可用IP地址的“端点”(例如，通过将IP地址键入到浏览器程序中)；该配置可能会使某些端口不期望地打开，以供正在寻找打开端口的最终用户设备访问。因此，应该针对安全问题检查虚拟网络的配置。附加地或替选地，客户端可以创建安全策略并且将该安全策略与例如特定的最终用户、最终用户组、特定的虚拟计算资源(例如，虚拟机实例)、虚拟计算资源的特定类型、虚拟计算资源的特定类别、计算网络、来自地理区域的流量等相关联。接收和评估由最终用户访问虚拟计算资源的请求的计算资源服务提供商和/或客户端的服务可以使用安全策略来确定是否向请求用户准予所请求的访问。在一个示例中，客户端可以通过在上述配置模板中指定安全策略来将安全策略应用于虚拟计算资源的类别；如果计算系统的各个组件被正确地配置，则应该利用附本文档来自技高网...

【技术保护点】
1.一种系统，所述系统包括一个或多个处理器和存储计算机可执行指令的存储器，所述计算机可执行指令在由所述一个或多个处理器执行时使所述系统在使虚拟计算资源实例被部署到虚拟计算环境中之前：/n识别第一虚拟资源定义，第一虚拟资源定义用于启动具有第一配置的虚拟计算资源实例；/n获得第一安全检查，第一安全检查包括第一配置的一个或多个安全要求；以及/n确定第一配置是否满足所述一个或多个安全要求。/n

【技术特征摘要】
【国外来华专利技术】20180306 US 15/913,7411.一种系统，所述系统包括一个或多个处理器和存储计算机可执行指令的存储器，所述计算机可执行指令在由所述一个或多个处理器执行时使所述系统在使虚拟计算资源实例被部署到虚拟计算环境中之前：
识别第一虚拟资源定义，第一虚拟资源定义用于启动具有第一配置的虚拟计算资源实例；
获得第一安全检查，第一安全检查包括第一配置的一个或多个安全要求；以及
确定第一配置是否满足所述一个或多个安全要求。


2.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：
识别指定第一虚拟资源定义和第一安全检查的第一模板；
从第一模板中获得第一配置参数集合和识别第一安全检查的信息；以及
根据第一配置参数集合生成第一配置。


3.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：
接收访问计算资源的请求；
确定所述请求识别具有第一资源类型并且与第一配置相关联的第一虚拟计算资源；
确定第一安全检查与第一资源类型相关联；
获得第二配置，第二配置被预定为指示使用第二配置创建的第一虚拟资源实例是否通过第一安全检查，第一虚拟资源实例具有第一资源类型；
在计算资源被部署为第一虚拟资源实例的一部分之前，根据访问计算资源的请求，将第一配置与第二配置进行比较，以确定第一配置通过第一安全检查。


4.根据权利要求3所述的系统，其中：
第一配置包括以第一安全策略编码的第一安全许可集合；
第二配置包括以第二安全策略编码的第二安全许可集合；以及
为了将第一配置与第二配置进行比较，执行所述指令使所述系统：
至少部分地基于第一安全许可集合来确定第一命题逻辑表达式；
至少部分地基于第二安全许可集合来确定第二命题逻辑表达式；以及
将第一命题逻辑表达式与第二命题逻辑表达式进行比较，以确定第一安全策略通过第一安全检查。


5.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：
确定第一请求识别具有第二资源类型并且与第三配置相关联的第二虚拟计算资源；
获得与第二资源类型相关联的第二安全检查；
获得第四配置，第四配置被预定为指示使用第四配置创建的虚拟资源实例是否通过第二安全检查，第二虚拟资源实例具有第二资源类型；
将第三配置与第四配置进行比较，以确定第三配置没有通过第二安全检查；以及
使根据第一请求的第一虚拟资源实例和第二虚拟资源实例的部署被拒绝。


6.根据权利要求1所述的系统，其中，执行所述指令还使所述系统在确定第一配置通过第一安全检查之后：
使用第一配置来配置第一虚拟资源实例；
将第一虚拟资源实例部署到虚拟计算环境中；
在部署之后获得与第一虚拟资源实例相关联的执行数据；以及
将执行数据与第二配置进行比较，以确定第一虚拟资源实例的配置通过第一安全检查。


7.根据权利要求1所述的系统，其中，所述一个或多个安全要求对应于虚拟计算资源实例的访问许可，并且执行所述指令还使所述系统：
模拟虚拟计算环境中的网络活动；
至少部分地基于第一配置，收集描述虚拟计算资源实例对网络活动的预期响应的信息；以及
确定所述信息是否指示第一配置满足所述一个或多个安全要求。


8.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：
接收部署虚拟计算资源实例的请求；
至少部分地基于请求来识别第一虚拟资源定义；
响应于确定第一配置满足所述一个或多个安全要求：
将虚拟计算资源实例配置为具有第一配置；以及
将虚拟计算资源实例部署到虚拟计算环境中；以及
在部署虚拟计算资源实例之后：
获得描述与虚拟计算资源实例相关联的网络活动的监视数据；以及
确定监视数据是否指示虚拟计算资源实例的所部署的配置满足所述一个或多个安全要求。


9.根据权利要求1所述的系统，其中，为了获得第一安全检查，执行所述指令使所述系统：
从通信地连接到所述一个或多个处理器的客户端计算设备接收配置虚拟计算资源实例的部署前安全分析的请求；
允许所述客户端计算设备访问用于配置部署前安全分析的应用编程接口API；以及
经由API从所述客户端计算设备接收执行第一安全检查的指示。


10.一种方法，包括：
由执行存储在存储器中的特定计算机可读程序指令的一个或多个处理器来识别第一模板，第一模板用于启...

【专利技术属性】
技术研发人员：N·朗格塔，P·V·博里格纳诺，C·道奇，C·瓦名，J·库克，R·维斯瓦纳坦，D·S·库克，S·卡尔严克里施南，
申请(专利权)人：亚马逊科技公司，
类型：发明
国别省市：美国;US