用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法技术方案

一种用于限制虚拟专用云网络之间的通信的计算机化方法包括创建多个安全域

【技术实现步骤摘要】
【国外来华专利技术】用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法
[0001]相关申请的交叉引用本申请要求
2021
年7月6日提交的第
17/368,689
号美国申请的优先权权益，该申请要求题为“Multi
‑
Cloud Transit Segmentation”并且在
2021
年2月
17
日提交的第
63/150,504
号美国临时专利申请的优先权权益，其全部内容通过引用并入本文
。


[0002]本公开的实施例涉及联网领域
。
更具体地，本公开的一个实施例涉及通过所建立的安全域来限制不同虚拟专用云网络之间的访问
。

技术介绍

[0003]在过去几年中，云计算已经提供了基础设施即服务
(IaaS)
，其中资源作为云计算平台
(
例如，公共云网络
)
的一部分来提供，并且被使得作为服务可供租户访问
。
这些服务之一允许租户运行驻留在云计算平台内的软件组件
(
例如，诸如虚拟服务器之类的虚拟机实例
)。
软件功能性向云计算平台中的这种迁移已经导致了对虚拟网络的更多使用，该虚拟网络诸如用于不同公共云提供商的虚拟专用云网络，诸如
Web(AWS)、Azure Cloud Services、Cloud、Cloud
等
。
[0004]每个虚拟专用云网络是按需的/>、
可配置的共享资源池，这些资源在云计算平台内被分配，并在使用云资源的不同组织或其他实体
(
下文中是“用户”)
之间提供一定水平的隔离
。
一个虚拟专用云网络用户与利用相同公共云网络基础设施的其他用户之间的隔离可以通过在每个用户的基础上分配专用互联网协议
(IP)
子网来实现
。
对于每个
IP
子网，公共云服务提供商提供处理和
/
或存储功能性
。
特别地，
AWS
提供
Elastic Compute Cloud(EC2)
服务，而提供不同类型的虚拟机
。
[0005]最近，为了增加系统吞吐量，上述虚拟专用云网络现在依赖于多个活动的对等通信链路
。
作为说明性示例，某些网关提供了至存储在虚拟专用云网络中的云软件实例的连接性
。
这些网关中的每一个被配置成支持至一对网关
(
下文中是“中转
(transit)
网关”)
的两个基于专用
IP
的通信链路，这对网关驻留在另一种类型的虚拟专用云网络
(
下文中是“中转
VPC”)
内
。
然而，在中转
VPC
提供了至位于不同公共云网络上的目的地
VPC
的连接性的情况下，这种网络架构现在受到高度的安全性关注，这是因为多云连接性增加了攻击者可以得到对虚拟专用云网络的访问的方式的数量
。
此外，当
AWS
公共云网络扩展到
AWS
基础设施之外时，显著地依赖于由
Transit Gateway
提供的安全性措施是不可能的
。
此外，不存在策略驱动的选项来创建由云提供商提供的安全性分割
。
附图说明
[0006]本专利技术的实施例在附图的各图中以示例的方式而非限制的方式被图示，在附图中，相同的附图标记指示相似的元件，并且在附图中：
图1是利用安全域
(security domain)
实现的多云计算平台的示例性实施例，该安全域将网关之间的通信限制到驻留在相同安全域内的那些
。
[0007]图2是利用第一安全域实现的图1的多云计算平台的说明性实施例，该第一安全域包括通过连接策略通信地耦合到驻留在第二安全域内的一个或多个网关的一个或多个网关
。
[0008]图3是包括安全域数据存储
(store)
和连接策略数据存储的图1‑2的中转虚拟网络组件
(VPC/Vnet)
内部署的中转网关的示例性实施例
。
[0009]图
4A
‑
4C
图示了用于对多云计算平台内的一个或多个安全域以及与这些安全域相关联的连接策略进行编程的图形用户接口
(GUI)
的示例性实施例
。
[0010]图
5A
‑
5B
图示了控制器为了创建指向安全域的构造以及与这些安全域相关联的连接策略所进行的操作的示例性实施例
。
[0011]图
6A
‑
6B
是驻留在图1‑2的多云计算平台的不同安全域中的两个分支
(spoke)
网关之间的准许和不准许的互操作性的示例性实施例
。
[0012]图7是用于建立多云中转分割架构的操作的示例性实施例
。
具体实施方式
[0013]用于建立在不同类型的公共云网络基础设施上实现的多云计算平台的系统和方法的实施例，该多云计算平台通过不同的安全区域来限制虚拟专用云网络之间的数据流量
。
本文中，该多云计算平台通过使用安全域和连接策略来实现网络隔离
。
每个安全域标识可以彼此通信的一组网关
。
这些网关可以部署在相同的虚拟网络组件内或者不同的虚拟网络组件内，其中这些虚拟网络组件可以驻留在公共云网络的相同区域内
、
相同公共云网络的不同区域内
、
或者不同的公共云网络内
。
作为说明性示例，第一组
(
例如一个或多个
)
网关可以在由
Web Services(AWS)
公共云网络提供的底层网络基础设施所支持的第一虚拟网络组件内操作，而第二组网关可以在由公共云网络或
Cloud
所支持的第二虚拟网络组件内操作
。
每个连接策略标识跨不同安全域的准许通信
。
[0014]本文中，为了清楚起见，每个虚拟网络组件
——
例如，有时被称为用于
AWS
部署的虚拟专用云网络
、
用于部署的虚拟网络
(VNet)、
或用于
Cloud
部署的虚拟云网络
(VCN)——
出于清楚目的将在本文中被统称为“虚拟专用云网络”或“VPC”。
因此，该多云计算平台可以以如下各项为特征：
(i)
第一多个虚拟网络组件，每个虚拟网络组件作为维护可由一组网关访问的云资源的虚拟专用云本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种用于限制虚拟专用云网络之间的通信的计算机化方法，包括：创建多个安全域，所述多个安全域中的每一个标识与一个或多个虚拟专用云网络相关联的网关；根据所述多个安全域中的每一个生成中转路由数据存储；确定在所述多个安全域中的至少第一安全域和第二安全域之间是否存在连接策略；以及响应于确定在第一安全域和第二安全域之间不存在连接策略，阻止与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信
。2.
根据权利要求1所述的计算机化方法，进一步包括：响应于确定在第一安全域和第二安全域之间存在连接策略，允许与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信
。3.
根据权利要求2所述的计算机化方法，进一步包括：更新每个中转路由数据存储内的路由信息，以包括与关联于第一安全域的网关和关联于第二安全域的网关之间的路由相关联的路由信息
。4.
根据权利要求1所述的计算机化方法，进一步包括：监测对向所述多个安全域的安全域添加的改变，以生成与所添加的安全域相关联的中转路由数据存储，所述中转路由数据存储作为路由表来操作，以标识可从与所添加的安全域相关联的网关获得以及可到达与所添加的安全域相关联的网关的通信
。5.
根据权利要求1所述的计算机化方法，进一步包括：响应于期望在与第一安全域相关联的网关和与第二安全域相关联的网关之间进行通信，生成允许它们之间的通信的连接策略
。6.
根据权利要求5所述的计算机化方法，其中所述连接策略的生成包括生成图形用户接口
(GUI)
，所述图形用户接口包括标识所述多个安全域的第一图形元素
、
以及第二图形元素，在选择了第一安全域和第二安全域并且激活了第二图形元素时，第二图形元素生成使得与第一安全区域相关联的网关能够跟与第二安全区域相关联的网关通信的连接策略
。7.
根据权利要求2所述的计算机化方法，其中所述连接策略对应于为了允许跨安全域连接性而实施的一个或多个规则
。8.
一种用于限制虚拟专用云网络之间的通信的多云计算平台，包括：处理器；以及软件，在由所述处理器执行时，所述软件被配置成：
(i)
创建多个安全域，所述多个安全域中的每一个标识...

【专利技术属性】
技术研发人员：X，
申请(专利权)人：艾维卓斯系统公司，
类型：发明
国别省市：