多云网络业务过滤服务制造技术

在一个实施例中，计算平台的特征在于控制器和第一虚拟专用云网络，第一虚拟专用云网络通信地耦合到控制器

【技术实现步骤摘要】
【国外来华专利技术】多云网络业务过滤服务
[0001]相关申请的交叉引用
[0002]本申请要求保护于
2021
年8月
10
日提交的美国申请第
17/397,990
号的优先权权益，该美国申请要求保护于
2021
年2月
17
日提交的美国临时专利申请第
63/150,503
号以及于
2021
年7月6日提交的美国临时专利申请第
63/218,869
号的优先权权益，上述申请的全部内容通过引用并入本文
。


[0003]本公开的实施例涉及联网领域
。
更具体地，本公开的一个实施例涉及多云网络业务过滤服务
。

技术介绍

[0004]在过去的几年中，云计算提供了基础设施即服务
(IaaS)
，其中资源被作为云计算平台
(
例如，公共云网络
)
的一部分提供，并且是作为服务对租户可访问的
。
这些服务之一允许租户运行驻留在云计算平台内的软件实例
。
软件功能性到云计算平台中的该迁移导致了虚拟网络的更多用途，所述虚拟网络诸如用于不同公共云提供商的虚拟专用云网络，诸如
Web Services(AWS)、Cloud Services、Cloud Services、Cloud Services
等
。
[0005]一般而言，虚拟专用云网络是按需的
、r/>可配置的共享资源池，其在云计算平台内分配，并且在使用云资源的不同组织或其他实体
(
下文中，“用户”)
之间提供一定水平的隔离
。
使用多云计算平台的公共云网络的基础设施，每个虚拟专用云网络可以作为“分支”虚拟专用网络
(
例如，提供与诸如基于云的软件实例之类的云资源的进入
/
外出通信的第一多个虚拟网络组件
)
或者作为“中转”虚拟专用网络
(
例如，支持与相同或不同公共云网络的消息路由的第二多个虚拟网络组件
)
来操作
。
[0006]具有对基于互联网的服务的非受限访问的基于云的软件实例是有问题的，因为它使网络暴露于攻击
。
原生云构造
、
诸如网络地址转换
(NAT)
网关的互联网例如基于互联网协议
(IP)
地址而不是域来执行过滤
。
如果部署完全限定域名
(Fully Qualified Domain Name
，
FQDN)
过滤，则它可以减轻成功攻击的概率，只要基于云的软件实例可能限于与仅特定已知的基于互联网的服务进行通信
。
然而，通信的该“白名单”过滤在没有提供可见性的集中过滤策略方案的情况下很可能经受失败和规避，并且是在规避条件下可修改的
。
附图说明
[0007]本专利技术的实施例在附图的各图中通过示例的方式而非限制的方式图示，在各图中相同的附图标记指示相似的元件，并且其中：
[0008]图1是利用限制特定类型的外出数据业务的不同过滤组件实现的多云计算平台的示例性实施例
。
[0009]图2是由作为图1的多云计算平台的一部分操作的外出过滤组件实施的操作的示
例性实施例
。
[0010]图
3A
是支持图1的多云计算平台的本地外出过滤组件的第一示例性实施例
。
[0011]图
3B
是配置有
FQDN
过滤逻辑以限制对特定资源的网络访问的分支网关的详细实施例
。
[0012]图4是支持图1的多云计算平台的本地外出过滤组件的第二示例性实施例
。
[0013]图5是具有图4的本地外出过滤组件的多云计算平台部署的示例性实施例
。
[0014]图6是支持图1的多云计算平台的集中外出过滤组件的第一示例性实施例
。
[0015]图7是支持图1的多云计算平台的集中外出过滤组件的第二示例性实施例
。
具体实施方式
[0016]一种用于建立多云网络业务过滤服务的系统和方法的实施例，该多云网络业务过滤服务被配置为使用域过滤方案
、
诸如完全限定域名
(FQDN)
过滤，在来自虚拟联网基础设施的互联网绑定业务上交付集中控制
。
网络业务过滤服务满足用于限制到互联网的出站业务的组织和法规合规性举措，诸如例如支付卡行业
(PCI)、
健康保险便携性和责任法案
(HIPAA)
，同时消除了使用不断改变的
IP
地址列表在软件实例水平上手动创建过滤规则的复杂性
。
此外，该网络业务过滤服务交付了从原生云服务或开源代理软件不可获得的企业级可见性
、
集中控制和多云可选性
。
[0017]如下所述，网络业务过滤服务被实现为一个或多个网关内的逻辑，所述一个或多个网关部分地形成多云计算平台内的虚拟联网基础设施
。
特别地，在特定部署
(
例如，
AWS
部署
)
中，虚拟联网基础设施被称为虚拟专用云网络
(VPC)
，而在其他部署
(
部署
)
中，虚拟联网基础设施被称为虚拟网络
(VNet)。
为了容易和一致性，在本文中，我们应当将所有类型的这些虚拟联网基础设施称为“虚拟专用云网络”或“VPC”。
[0018]根据本公开的一个实施例，多云计算平台可以特征在于
(i)
第一多个基于云的虚拟联网基础设施，每个作为虚拟专用云网络
(VPC)
操作，所述虚拟专用云网络
(VPC)
维护由网关集
(
下文中，“分支
VPC”)
可访问的云资源，和
/
或
(ii)
第二多个基于云的虚拟联网基础设施，作为支持来自
/
去往分支
VPC
或内部网络
(on
‑
premises network)(
下文中，“中转
VPC”)
的消息的路由的
VPC
操作
。
附加地，多云计算平台的特征在于共享服务联网基础设施，其包括用于更新和维护分支
VPC
和
/
或中转
VPC
的数据存储以维护路由信息和
/
或外出过滤规则的控制器，如下面所述的那样
。
多云计算平台可以被实现为单个公共云网络的一部分或者多个公共云网络的本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种计算平台，包括：控制器；和通信地耦合到所述控制器的第一虚拟专用云网络，所述第一虚拟专用云网络包括至少第一网关，所述第一网关包括外出过滤逻辑，所述外出过滤逻辑被配置为
(i)
根据由所述第一网关维护的第一过滤规则集过滤从所述第一网关路由的消息，以及
(ii)
根据所述第一过滤规则集规避对导向或源自一个或多个子网络的消息的过滤
。2.
根据权利要求1所述的计算平台，其中所述一个或多个子网络包括第一子网络，所述第一子网络包括一个或多个云软件实例
。3.
根据权利要求1所述的计算平台，进一步包括：通信地耦合到所述控制器的第二虚拟专用云网络，所述第二虚拟专用云网络包括至少第二网关，所述第二网关包括外出过滤逻辑，所述外出过滤逻辑被配置为
(i)
根据由所述第二网关维护的第二过滤规则集过滤从所述第二网关路由的消息，以及
(ii)
根据所述第二过滤规则集规避对导向或源自一个或多个所选子网络的消息的过滤
。4.
根据权利要求3所述的计算平台，其中所述第一过滤规则集不同于所述第二过滤规则集
。5.
根据权利要求3所述的计算平台，所述计算平台作为多云计算平台操作，所述多云计算平台包括被部署在第一公共云网络内的第一虚拟专用云网络和被部署在不同于第一公共云网络的第二公共云网络内的第二虚拟专用云网络
。6.
根据权利要求1所述的计算平台，其中所述控制器被配置为对一个或多个路由数据存储的访问权，所述路由数据存储包括由所述外出过滤逻辑使用的所述第一过滤规则集
。7.
根据权利要求3所述的计算平台，其中所述第一虚拟专用云网络对应于中转虚拟专用云网络，并且至少所述第一网关包括对应于所述第一网关的第一中转网关和对应于第三网关的第二中转网关，所述第三网关包括外出过滤逻辑，所述外出过滤逻辑被配置为
(i)
根据第一过滤规则集过滤从第三网关路由的消息，以及
(ii)
根据第一过滤规则集规避对导向或源自一个或多个所选子网络的消息的过滤
。8.
根据权利要求7所述的计算平台，其中所述第二虚拟专用云网络对应于分支虚拟专用云网络，并且至少所述第二网关包括对应于所述第二网关的第一分支网关和对应于第四网关的第二分支网关，所述第四网关包括外出过滤逻辑，所述外出过滤逻辑被配置为
(i)
根据第二过滤规则集过滤从第四网关路由的消息，以及
(ii)
根据第二过滤规则集规避对导向或源自一个或多个所选子网络的消息的过滤
。9.
根据权利要求3所述的计算平台，其中所述第一虚拟专用云网络对应于中转虚拟专用云网络，并且所述第二虚拟专用云网络对应于分支虚拟专用云网络，以提供从一个或多个所选子网络的第一子...

【专利技术属性】
技术研发人员：X，
申请(专利权)人：艾维卓斯系统公司，
类型：发明
国别省市：