可通过名称空间以扩展方式全局部署的上下文感知VPN头端制造技术

本技术涉及一种用于实现具有上下文感知的基于可扩展名称空间的VPN头端的系统和方法，以促进在云内有针对性且精细地配置安全服务。可扩展性方面涉及创建或分配一个或多个名称空间，作为到云的入站VPN连接的直接终止点。在发现与将新客户业务/连接部署到云上相关联的上下文信息(元数据)时，动态地创建名称空间。该信息将被附加到名称空间以实现上下文感知，使得可以以服务可发现的方式将客户业务附加到上游服务中。以此方式，在部署时，上游服务将自动地了解新客户业务，并可以以隔离方式实现安全实施。所公开的技术还涉及在云环境上将客户业务元数据动态传播到其他数据中心。

【技术实现步骤摘要】
【国外来华专利技术】可通过名称空间以扩展方式全局部署的上下文感知VPN头端相关申请的交叉引用本申请要求于2018年5月7日提交的美国专利申请No.15/973,404的优先权，其内容通过引用以其整体合并于此。
本技术涉及云网络环境中的安全数据传输。更具体地，它涉及具有上游安全实施能力的可扩展虚拟专用网(VPN)头端(headend)部署。
技术介绍
在基于云的安全平台(例如，思科安全保护伞(Ciscoumbrella))中，通常通过分层的防御性和攻击性安全技术来保护客户数据业务。总体目标是保护通过任何协议和在任何端口上生成的业务。这种方法通常被称为“所有端口，所有协议”安全。当前，基于云的安全平台(例如，思科安全保护伞)使用基于DNS的安全措施来阻止威胁。部署在企业客户网络上的虚拟装置(例如，VMware)将互联网业务定向到云系统中的解析器。解析器将使得请求路由到危险域以进行更深入的URL和文件检查，而不是代理所有的web业务。如果解析器评估并确定解析出的IP地址属于危险域，则该IP地址被阻止，并且客户被替代地定向到登陆页面，该登陆页面基本上是阻止页面。这是许多传统的基于云的安全平台中提供的安全级别。DNS级安全实现方式主要被认为是外挂式安全而不是核心级安全。默认情况下，其他安全实现方式(例如，安全web网关)被配置为扫描和过滤到达端口80和443的web访问请求。这些技术无法充分响应某些(希望保护从他们的企业边缘设备扩展出的所有端口和协议的)网络客户端的安全问题。此外，例如由思科安全保护伞部署的传统安全检查方案可以将所有互联网绑定的业务发送到中心办公室/总部以进行进一步的安全检查，并且随后从总部回传业务。对于许多偏好直接云访问的客户端而言，这可能并不适用，所述直接云访问源自他们的企业或分支机构(branchoffice)边缘路由器并直接通向云。附图说明为了描述其中可以获得本公开的上述以及其他优点和特征的方式，将通过参考在附图中示出的其特定实施例来对以上简要描述的原理进行更具体的描述。应当理解，这些附图仅描绘了本公开的示例性实施例，并且因此不应被认为是对其范围的限制，通过使用附图，以另外的特征和细节来描述和解释本文的原理，其中：图1示出了根据本技术的一个实施例的具有改进的可扩展性和多租户的示例性的基于名称空间(namespace，NS)的VPN头端实现方式。图2示出了根据本技术的一个实施例的名称空间的垂直和水平扩展，以及在云网络环境上对附加到其的客户上下文信息的动态创建和全局传播。图3示出了根据本技术的一个实施例的用于配置基于名称空间的VPN头端的基本操作流程，该VPN头端能够以服务可发现的方式附加到上游服务。具体实施方式本公开另外的特征和优点将在下面的描述中被阐述，并且从描述中将部分地显而易见，或者可以通过实践本文公开的原理来获知。本公开的特征和优点可以通过所附权利要求中特别指出的手段和组合来实现和获得。本公开的这些和其他特征将根据以下描述和所附权利要求变得更加显而易见，或者可以通过实践本文阐述的原理来获知。概述在独立权利要求中阐述了本专利技术的各方面，并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独应用于每个方面或者与其他方面组合。公开了实现具有改进的网络灵活性的可扩展上下文感知的VPN头端的系统、方法和设备。该技术的各方面涉及将与一个或多个网络业务流相关联的一个或多个元数据块附加到一个或多个网络名称空间的步骤。可以在云网络中的主机设备上配置网络名称空间。随后，将传输网络业务流的一个或多个VPN隧道直接终止于具有附加到其中的相应元数据的特定名称空间。这实现了上下文感知，并使得能够基于从附加的元数据块作出的标识来提供特定上游云服务。根据本技术的实施例，当与客户业务相关联的元数据在云环境上可用或被传送到头端主机时，名称空间可以由主机设备进行动态地配置。示例实施例公开了用于具有客户上下文感知的基于可扩展名称空间的VPN头端部署的系统、方法和非暂态计算机可读存储介质，以促进上游云服务对安全策略的精细应用。下面详细讨论本公开的各种实施例。虽然讨论了特定实现方式，但是应该理解，这仅是出于说明的目的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以使用其他组件和配置。本技术解决的一个问题是，随着更多客户的加入，IPsec头端实例数量的按比例增加。本技术解决的另一问题是在IPsec网关后面提供适合于特定业务流的服务和安全策略实现方式(即，服务发现的配置)。可用技术不能充分地解决这些问题，因为它们要么涉及通过使用诸如Docker之类的容器技术的应用虚拟化，要么涉及使用诸如VM虚拟化之类的重型(heavyweight)技术来进行扩展。容器在某种程度上类似于VM，因为它们是一种虚拟化技术，具有它们自己的CPU、存储器和资源，就像虚拟机一样。区别在于更轻巧，因为它们共享主机操作系统的内核并且不需要访客操作系统。所提出的专利技术的一个实施例利用与特定上下文信息配对的网络名称空间来实现如下的VPN头端：其具有增加的容量和可扩展性，以及精细且有针对性的上游安全实施能力。Linux网络名称空间在网络层提供虚拟化，该网络层包括媒体访问层，该媒体访问层提供了精细控制Linux名称空间的创建和扩展的能力。根据本技术的一些实施例，利用该属性允许了对关于可以如何将上下文绑定到特定客户但是仍然跨主机和数据中心地扩展它的精细控制。根据一些实施例，前述方法与基于Linux的IPsec实现方式(例如，StrongSwan(向服务器和客户端提供加密和认证的完整IPsec解决方案))的能力结合使用，以在名称空间内作为隔离的进程实例运行，从而除了以动态且按需的方式在IPsec网关后面提供服务发现的安全配置之外，还提供具有增强的可扩展性和多租户的VPN头端部署。例如，在非名称空间方法中，支持在多个全局位置和若干分支机构部署中存在的客户要么需要特别配置的硬件平台或VM，要么需要增强可用的硬件/VM。大规模且按需地实现此目标可能导致配置延迟，并且可能难以管理。根据本技术的一些实施例，上述场景可以通过以下操作来以更快的周转速度被处理：在地理定位的数据中心中的虚拟化(VM)或非虚拟化(裸机服务器)环境中部署捆绑到可用Linux主机的基于上下文的名称空间并且使上下文可被上游服务发现。以此方式，在部署时，上游服务自动地获知网络和用户级别处的新客户业务和保留的身份，并且开始应用适当类型和级别的安全策略。由于该绑定的名称空间上下文是可扩展的，因此可以选择根据需要以及在需要的地方部署该上下文的许多实例，而不必修改配置。例如，在诸如思科安全保护伞云之类的基于云的安全平台的情况下，客户可以在具有网络(分支)级别和用户(端点IP)级别策略实施两者的所有位置中瞬时获得思科安全保护伞安全。在一些实施例中，与新客户业务相关联的网络级别和用户级别信息可以分别通过在IPsecVPN内部携带的保留的网络掩码和端点IP地址而变得可用。图本文档来自技高网...

【技术保护点】
1.一种非暂态计算机可读介质，包括存储在其上的计算机可执行指令，这些指令在被执行时能够使得计算机执行以下操作：/n将与一个或多个网络业务流相关联的一个或多个元数据块附加到一个或多个网络名称空间，所述一个或多个网络名称空间被配置在云网络中的主机设备上；/n将传输所述一个或多个网络业务流的一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上；/n基于从所附加的元数据块作出的标识来提供特定上游云服务，该特定上游云服务与一个或多个数据业务流中的每个数据业务流相关。/n

【技术特征摘要】
【国外来华专利技术】20180507 US 15/973,4041.一种非暂态计算机可读介质，包括存储在其上的计算机可执行指令，这些指令在被执行时能够使得计算机执行以下操作：
将与一个或多个网络业务流相关联的一个或多个元数据块附加到一个或多个网络名称空间，所述一个或多个网络名称空间被配置在云网络中的主机设备上；
将传输所述一个或多个网络业务流的一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上；
基于从所附加的元数据块作出的标识来提供特定上游云服务，该特定上游云服务与一个或多个数据业务流中的每个数据业务流相关。


2.根据权利要求1所述的非暂态计算机可读介质，其中，在所述一个或多个元数据块被使得能够用于所述主机设备时，所述一个或多个网络名称空间被所述主机设备动态地配置。


3.根据权利要求2所述的非暂态计算机可读介质，其中，所述一个或多个元数据块通过所述云网络上的一个或多个数据库而被使得能够用于所述主机设备，所述一个或多个数据库被配置为与所述主机设备进行通信。


4.根据权利要求2或3所述的非暂态计算机可读介质，其中，所述元数据块还被所述主机设备传播到一个或多个主机设备，该一个或多个主机设备位于所述云网络的不同区域处。


5.根据权利要求4所述的非暂态计算机可读介质，其中，编排机制被用在所述主机中以动态地配置和传播所述一个或多个元数据块中的每个元数据块，所述一个或多个元数据块被附加到所述一个或多个网络名称空间中的每个网络名称空间。


6.根据权利要求1至5中任一项所述的非暂态计算机可读介质，其中，所述主机设备是云数据中心内的VPN头端设备，所述VPN头端设备位于所述云网络的边缘处。


7.根据权利要求1至6中任一项所述的非暂态计算机可读介质，其中，将所述一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上是通过以下操作来实现的：在所述一个或多个网络名称空间中的每个网络名称空间内部部署IPSec服务。


8.根据权利要求1至7中任一项所述的非暂态计算机可读介质，其中，所述元数据块包括客户端企业和分支机构网关IP地址。


9.根据权利要求8所述的非暂态计算机可读介质，其中，所述元数据块还包括认证机制。


10.根据权利要求1至9中任一项所述的非暂态计算机可读介质，其中，提供与所述一个或多个网络业务中的每个网络业务相关的特定上游云服务是通过能够使所述计算机进行以下操作的指令来实现的：针对所述一个或多个网络名称空间中的每个网络名称空间部署上游连接性服务端点，并使该上游连接性服务端点对于上游服务是服务能发现的。


11.一种方法，包括：
将与一个或多个数据业务流相对应的一个或多个元数据附加到一个或多个网络名称空间，所述一个或多个网络名称空间被配置在云网络内的主机设备上；
将封装所述一个或多个数据业务流的一个或多个VPN隧道直接终止到所述一个或多个...

【专利技术属性】
技术研发人员：阿拉文思·库马尔·拉马钱德兰，乌曼纳特·索米·塞卡兰，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US