公开了一种基于云的安全解决方案,该解决方案提供用于管理和强制执行与云中被管理的各种资源相关的安全策略的稳健且安全的框架。基于云的安全解决方案由云服务提供商基础设施中的安全区策略强制执行系统实现。系统接收对资源执行操作的请求并确定与该资源相关联的隔间。系统确定隔间与安全区相关联并确定适用于该资源的一组一个或多个安全区策略。系统然后基于所述一组一个或多个安全区策略确定对资源的操作不被准许,并且响应于确定对资源的操作不被准许,允许对资源执行操作。允许对资源执行操作。允许对资源执行操作。
【技术实现步骤摘要】
【国外来华专利技术】云基础设施系统中的安全区策略强制执行
[0001]相关申请的交叉引用
[0002]本申请要求2021年8月3日提交的标题为“Security Zone Policy Enforcement in a cloud infrastructure system”的美国非临时申请No.17/393,347的优先权。美国非临时申请No.17/393,347的内容出于所有目的通过引用整体并入本文。
[0003]本申请根据35U.S.C.119(e)要求2020年8月21日提交的标题为“Secure Resource Provisioning in a virtual computing environment”的美国临时申请No.63/068,943和2020年8月21日提交的标题为“Secure Resource Provisioning in a virtual computing environment using intention based security policies”的美国临时申请No.63/068,945的权益和优先权,其全部内容出于所有目的通过引用并入本文。
技术介绍
[0004]一般而言,基于云的应用(例如,企业公共云应用、第三方云应用等)的使用正在飙升,访问来自于各种设备(例如,桌面和移动设备)以及各种用户(例如,员工、合作伙伴、客户等)。对于向云过渡的公司和企业,云服务提供商必须能够为其用户提供稳健的安全解决方案。基于云的安全服务提供了允许公司和企业利用云计算的众多优势、同时保持安全并确保满足数据隐私和合规性要求的安全解决方案。由于基于云的服务和基于云的应用具有丰富的多样性和可访问性,因此需要由云提供商安全地管理的云资源的量持续快速增长。需要改进现有的用于安全地配置和管理云中资源的基于云的安全服务,以提供对云中资源的更加稳健、安全且可靠的访问。
技术实现思路
[0005]本公开一般而言涉及基于云的安全解决方案。更具体而言,但不作为限制,本公开描述了一种基于云的安全解决方案,其提供用于管理和强制执行与在云中管理的各种资源相关的安全策略的稳健且安全的框架。
[0006]在某些实施例中,公开了云服务提供商基础设施中的安全区(security zone)策略强制执行系统。安全区策略强制执行系统接收对资源执行操作的请求,并确定与该资源相关联的隔间(compartment)。系统确定隔间与安全区相关联并确定适用于该资源的一组一个或多个安全区策略。系统然后基于该组一个或多个安全区策略确定对资源的操作被准许,并且响应于确定对资源的操作被准许而允许对资源执行操作。
[0007]在某些示例中,系统确定与资源相关联的隔间的隔间标识符和适用于资源的一组一个或多个隔间策略。适用于资源的该组一个或多个隔间策略包括与隔间相关联的一个或多个隔间策略和与在层次上与隔间相关的一个或多个父隔间相关联的一个或多个隔间策略的联合(union)。
[0008]在某些示例中,系统基于所述一组一个或多个隔间策略确定对资源的操作被准许,并且响应于基于所述一组一个或多个隔间策略确定对资源的操作被准许,确定隔间与安全区相关联。
[0009]在某些示例中,系统包括基于所述一组一个或多个隔间策略确定对资源的操作不被准许,并且响应于该确定,不允许对资源执行操作。在某些示例中,系统包括基于所述一组安全区策略确定对资源的操作不被准许,并且响应于该确定,不允许对资源执行该操作。
[0010]在某些示例中,适用于资源的所述一组一个或多个安全区策略包括与安全区相关联的一个或多个安全区策略和与在层次上与安全区相关的一个或多个父安全区相关联的一个或多个安全区策略的联合。
[0011]在某些示例中,所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式。该组表达式中的每个表达式包括一组一个或多个条件,并且该组一个或多个条件中的每个条件指定关于要对资源执行的操作的限制。在某些示例中,限制指定要求对资源进行加密的准则、限制资源从资源所在的隔间移动的准则或禁止从公共互联网访问该资源的准则。在某些示例中,限制指定与和资源相关联的一个或多个次要资源相关的准则,其中该一个或多个次要资源影响资源的操作。在某些示例中,所述一组一个或多个安全区策略禁止要对资源执行的操作的特定配置。
[0012]在某些示例中,系统向用户发送指示已成功地对资源执行操作的结果。在某些示例中,结果指示没有成功地对资源执行操作。
[0013]在某些示例中,系统接收将隔间与安全区相关联的请求。隔间与一组一个或多个隔间策略相关联。响应于该请求,系统将隔间与安全区相关联。安全区与一组一个或多个安全区策略相关联。作为关联的结果,隔间与一组一个或多个安全区策略以及一组一个或多个隔间策略相关联。在某些示例中,系统接收将资源添加到隔间的请求,并且响应于该请求,至少部分地基于所述一组一个或多个隔间策略和所述一组一个或多个安全区策略来确定对资源的访问。在某些示例中,所述一组一个或多个安全区策略禁止要对资源执行的一组操作或禁止要对资源执行的操作的特定版本。
[0014]在某些实施例中,公开了云服务提供商基础设施(CSPI)中的集中式应用编程接口(API)请求处理系统。API请求处理系统接收标识要对CSPI中的资源执行的操作的API请求。系统根据API请求确定与资源相关联的隔间信息和上下文信息。响应于确定与资源相关联的隔间信息和上下文信息,系统确定资源驻留在与安全区相关联的隔间中。系统然后处理API请求并将API请求的处理结果发送到集中式API处理系统的用户。
[0015]在某些示例中,系统根据API请求确定主要资源。在某些示例中,主要资源是API请求中标识的资源。系统确定受API请求影响的次要资源。次要资源是与主要资源相关联的资源。在某些示例中,次要资源没有作为API请求的一部分被标识。
[0016]在某些示例中,隔间信息包括隔间标识符和与API请求中标识的主要资源相关联的一组一个或多个隔间策略。在某些示例中,上下文信息与受API请求影响的次要资源相关联。上下文信息可以包括与次要资源相关联的资源标识符、与次要资源相关联的隔间标识符或与次要资源相关联的资源状态。在某些示例中,上下文信息标识CSPI中被配置为执行API请求的下游服务。
[0017]在某些示例中,系统基于与资源相关联的隔间信息和上下文信息确定准许对API请求中标识的资源执行操作,并且响应于该确定,确定资源驻留在与安全区相关联的隔间中。在某些示例中,集中式API处理系统对API请求的处理包括将API请求和与资源相关联的隔间信息发送到安全区策略强制执行系统以供处理。该处理还包括由集中式API处理系统
从安全区策略强制执行系统接收对API请求的处理结果。在某些示例中,结果指示准许对资源执行该操作。在某些示例中,结果指示不准许对资源执行该操作。在某些示例中,集中式API处理系统将结果发送给用户。在某些示例中,处理API请求包括由安全区策略强制执行系统评估与隔间的安全区相关联的一组一本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:由云服务提供商基础设施中的安全区策略强制执行系统接收对资源执行操作的请求;由安全区策略强制执行系统确定与所述资源相关联的隔间;由安全区策略强制执行系统确定所述隔间与安全区相关联;由安全区策略强制执行系统确定适用于所述资源的一组一个或多个安全区策略;由安全区策略强制执行系统基于所述一组一个或多个安全区策略确定对所述资源的所述操作被准许;以及响应于确定对资所述源的所述操作被准许,由安全区策略强制执行系统允许对所述资源执行所述操作。2.如权利要求1所述的方法,其中确定与所述资源相关联的隔间包括确定与所述资源相关联的隔间的隔间标识符和适用于所述资源的一组一个或多个隔间策略。3.如权利要求2所述的方法,其中适用于所述资源的所述一组一个或多个隔间策略包括与所述隔间相关联的一个或多个隔间策略和与在层次上与该隔间相关的一个或多个父隔间相关联的一个或多个隔间策略的联合。4.如权利要求2所述的方法,还包括:基于所述一组一个或多个隔间策略确定对所述资源的所述操作被准许;以及响应于该确定,确定所述隔间与安全区相关联。5.如权利要求2所述的方法,还包括:基于所述一组一个或多个隔间策略确定对所述资源的所述操作不被准许;以及响应于基于所述一组一个或多个隔间策略确定对所述资源的所述操作不被准许,不允许对所述资源执行所述操作。6.如权利要求1所述的方法,还包括:基于所述一组一个或多个安全区策略确定对所述资源的所述操作不被准许;以及响应于该确定,不允许对所述资源执行所述操作。7.如权利要求1所述的方法,其中适用于所述资源的所述一组一个或多个安全区策略包括与安全区相关联的一个或多个安全区策略和与在层次上与所述安全区相关的一个或多个父安全区相关联的一个或多个安全区策略的联合。8.如权利要求1所述的方法,其中所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式,其中所述一组表达式中的每个表达式包括一组一个或多个条件,并且其中所述一组一个或多个条件中的每个条件指定关于要对所述资源执行的所述操作的限制。9.如权利要求8所述的方法,其中所述限制指定要求对所述资源进行加密的准则、限制所述资源从所述资源所在的隔间移动的准则或禁止从公共互联网访问所述资源的准则。10.如权利要求9所述的方法,其中所述限制指定与和所述资源相关联的一个或多个次要资源相关的准则,其中所述一个或多个次要资源影响所述资源的操作。11.如权利要求1所述的方法,其中所述一组一个或多个安全区策略禁止要对所述资源执行的所述操作的特定配置。12.如权利要求1所述的方...
【专利技术属性】
技术研发人员:I,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。