上下文感知安全访问服务边缘（制造技术

用于上下文感知安全访问服务边缘

【技术实现步骤摘要】
【国外来华专利技术】上下文感知安全访问服务边缘(SASE)引擎
相关申请的交叉引用本申请要求于
2021
年3月
31
日提交的第
17/219,157
号美国申请的优先权，其全部内容通过引用并入本文
。


本公开总体上涉及使用上下文感知
(context
‑
aware)
安全访问服务边缘
(secure access service edge
，
SASE)
引擎来生成与端点设备相关联的安全简档，并且使用该安全简档来评估来自端点设备的流量流
。

技术介绍

服务提供商提供基于计算的服务或解决方案，以向用户提供对计算资源的访问，从而满足用户的计算资源需求，而无需投资和维护实现服务所需的计算基础设施
。
这些服务提供商常常维护数据中心的网络，这些数据中心容纳有服务器
、
路由器和其他向用户提供计算资源
(
例如，计算资源
、
网络资源
、
存储资源
、
数据库资源
、
应用资源等等
)
的设备
。
服务提供商所提供的解决方案可以包括广泛的服务，这些服务可以被微调以满足用户的需求
。
安全访问服务边缘
(SASE)
框架已被用于在网络边缘处提供安全即服务，并且简化了在边缘处向任何类型端点提供安全服务的方式
。
然而，针对每个用户的单一安全方法已不再足够，也无法提供支持此类解决方案的最佳安全能力
。
附图说明
下面参考附图进行详细描述
。
在附图中，附图标记的最左边的
(
一个或多个
)
数字表示附图标记首次出现的附图
。
在不同附图中使用相同的附图标记来表示相似或相同的项
。
在附图中描绘的系统不是按比例绘制的，并且在附图中的组件可能被描绘成彼此未按比例绘制
。
图1示出了计算资源网络的示例流的系统架构图，该计算资源网络利用在与网络相关联的网络边缘设备上执行的上下文感知
SASE
引擎，以基于从访问网络的端点设备接收的且特定于该端点设备的端点信息或从企业网络设备接收的默认安全简档来生成安全简档，并且使用这样的安全简档来评估来自相关联的端点设备的流量流
。
图2示出了用于利用在与网络相关联的网络边缘设备上执行的上下文感知
SASE
引擎来基于从访问网络的端点设备接收的且特定于该端点设备的端点信息和
/
或从企业网络接收的安全功能的基本集合来生成安全简档的示例流程的系统架构图
。
图3示出了用于确定规则集以启用特定于端点配置的
SASE
功能的反馈回路的示例流程图
。
图
4A
和图
4B
共同示出了由
SASE
引擎使用从端点接收的端点信息生成的示例性端点特定
SASE
安全简档配置，以及由
SASE
引擎使用从企业网络接收的默认安全简档生成的示例性默认
SASE
安全简档配置
。
图
5A
和图
5B
共同示出了没有版本感知的示例
SASE
安全简档配置和具有版本感知的示例
SASE
安全简档配置
。
图
6A
‑
6C
示出了示例性默认
SASE
安全简档配置
、
具有针对常见漏洞的动态调整的示例性
SASE
安全简档配置
、
以及具有针对受攻击影响的端点的动态调整的示例性
SASE
安全简档配置
。
图
7A
和图
7B
共同示出了没有物联网感知的示例
SASE
安全简档配置和具有物联网感知的示例
SASE
安全简档配置
。
图8示出了用于上下文感知
SASE
引擎的示例方法的流程图，该上下文感知
SASE
引擎在与网络相关联的网络边缘设备上执行，以基于从访问网络的端点设备接收的并且特定于该端点设备的端点信息来生成安全简档，并且使用该安全简档来评估来自该端点设备的流量流
。
图9示出了用于上下文感知
SASE
引擎的示例方法的流程图，该上下文感知
SASE
引擎在与网络相关联的网络边缘设备上执行，以基于从与企业网络相关联的设备接收的默认安全简档来生成安全简档，并且使用该安全简档来评估来自访问网络的端点设备的流量流
。
图
10
示出了用于上下文感知
SASE
引擎的示例方法的流程图，该上下文感知
SASE
引擎在与网络相关联的网络边缘设备上执行，以生成特定于访问网络的端点设备的安全简档，并且使用该安全简档来评估来自端点设备的流量流
。
图
11
示出了计算系统图，该计算系统图示出了可用于实现本文公开的技术的各个方面的数据中心的配置
。
图
12
是示出用于实现服务器设备的说明性计算机硬件架构的计算机架构图，该服务器设备可以用于实现本文呈现的各种技术的各个方面
。
具体实施方式
概览本专利技术的各方面在独立权利要求中阐述，优选特征在从属权利要求中阐述
。
一个方面的特征可以单独地或与其他方面结合地应用于每个方面
。
本公开描述了一种用于上下文感知
SASE
引擎的方法，该上下文感知
SASE
引擎在与网络相关联的网络边缘设备上执行，以基于从访问网络的端点设备接收的且特定于该端点设备的端点信息或从企业网络设备接收的默认安全简档来生成安全简档，并且使用这样的安全简档来评估来自相关联的端点设备的流量流
。
该方法包括在网络的边缘网络设备上执行边缘安全组件
。
附加地或替代地，该方法包括从访问网络的端点设备接收端点信息
。
附加地或替代地，该方法包括生成与端点设备相关联的安全简档
。
附加地或者替代地，生成与端点设备相关联的安全简档可以至少部分地基于端点信息
。
附加地或者替代地，该方法包括使用安全简档评估来自端点设备的流量流
。
另外或者替代地，该方法包括在网络的边缘网络设备上执行边缘安全组件
。
附加地或替代地，该方法包括从与网络相关联的企业设备接收默认安全简档
。
附加地或替代地，默认安全简档可以包括一组默认的安全功本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种方法，包括：在网络的网络设备上执行安全组件；从访问所述网络的端点设备接收端点信息；至少部分地基于所述端点信息生成与所述端点设备相关联的安全简档；以及使用所述安全简档评估来自所述端点设备的流量流
。2.
根据权利要求1所述的方法，还包括：从所述端点设备接收访问所述网络的意图，所述意图指示以下项：与所述端点设备中的至少一者相关联的安全细节
、
与所述端点设备相关联的应用
、
或与所述端点设备相关联的租户；识别与所述意图相关联的安全能力；以及将所述安全能力发送到所述端点设备
。3.
根据权利要求2所述的方法，还包括：从所述端点设备接收对所述安全能力的接受；生成与所述端点设备相关联的规则集，所述规则集被配置为针对所述端点设备启用所述安全能力；以及使用所述规则集评估来自所述端点设备的所述流量
。4.
根据权利要求1至3中任一项所述的方法，还包括：通过将所述安全简档编译成可由所述网络的附加网络设备执行的格式来生成格式化的安全简档；向所述附加网络设备发送所述格式化的安全简档；以及由所述附加网络设备使用所述安全简档来评估来自所述端点设备的所述流量流
。5.
根据权利要求1至4中任一项所述的方法，其中，使用所述安全简档评估来自所述端点设备的所述流量流包括：通过所述安全组件或所述网络设备中的至少一者来评估所述流量流
。6.
根据权利要求1至5中任一项所述的方法，还包括：至少部分地基于所述评估来允许来自所述端点设备的所述流量流；或至少部分地基于所述评估来拒绝来自所述端点设备的所述流量流
。7.
根据权利要求1至6中任一项所述的方法，其中，所述端点设备与与所述网络相关联的企业相关联，并且所述方法还包括：识别与所述端点设备相关联的第一服务水平协议，所述第一服务水平协议指示与所述企业相关联的第一安全能力；识别与与所述企业相关联的附加端点设备相关联的第二服务水平协议并访问所述网络，所述第二服务水平协议指示与所述企业相关联的第二安全能力，其中，所述第一安全能力比所述第二安全能力更有利；至少部分地基于所述第一安全能力来评估来自所述端点设备的所述流量流；以及至少部分地基于所述第二安全能力来评估来自所述附加端点设备的附加流量流
。8.
一种方法，包括：在网络的网络设备上执行安全组件；从与所述网络相关联的企业设备接收默认安全简档，所述默认安全简档包括一组默认
安全功能；至少部分地基于所述默认安全简档生成与访问所述网络的端点设备相关联的安全简档；以及使用所述安全简档评估来自所述端点设备的流量流
。9.
根据权利要求8所述的方法，还包括：从所述端点设备接收端点信息；至少部分地基于所述端点信息生成与访问所述网络的所述端点设备相关联的附加安全简档；以及使用所述附加安全简档评估来自所述端点设备的所述流量流
。10.
根据权利要求8或9所述的方法，还包括：从所述端点设备接收访问所述网络的意图，所述意图指示以下项：与所述端点设备中的至少一者相关联的安全细节
、
与所述端点设备相关联的应用
、
或与所述端点设备相关联的租户；识别与所述意图相关联的安全能力；将所述安全能力发送到所述端点设备；从所述端点设备接收对所述安全能力的接受；生成与所述端点设备相关联的规则集，所述规则集被配置为针对所述端点设备启用所述安全能力；以及使用所述规则集评估来自所述端点设备的所述流量
。11.
根据权利要求8至
10
中任一项所述的方法，还包括：至少部分地基于所述评估来允许来自所述端点设备的所述流量流；或至少部分地基于所述评估来拒绝来自所述端点设备的所述流量流
。12.
根据权利要求8至
11
中任一项所述的方法，还包括：通过将所述安全简档编译成可由所述网络的附加网络设备执行的格式来生成格式化的安全简档；向所述附加网络设备发送所述格式化的安全简档；以及使用所述安全简档通过以下项中的至少一项来评估来自所述端点设备的所述流量流：所述网络设备；所述附加网络设备...

【专利技术属性】
技术研发人员：塞巴斯蒂安，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：