用于分割多云架构内的中转能力的系统和方法技术方案

在一个实施例中，一种计算平台以控制器

【技术实现步骤摘要】
【国外来华专利技术】用于分割多云架构内的中转能力的系统和方法
[0001]相关申请的交叉引用本申请要求
2021
年7月6日提交的第
17/368,685
号美国申请的优先权权益，该申请要求题为“Multi
‑
Cloud Transit Segmentation”并且在
2021
年2月
17
日提交的第
63/150,504
号美国临时专利申请的优先权权益，其全部内容通过引用并入本文
。


[0002]本公开的实施例涉及联网领域
。
更具体地，本公开的一个实施例涉及一种被适配成分割网络流量以便增强安全性的网络隔离架构
。

技术介绍

[0003]在过去几年中，云计算已经提供了基础设施即服务
(IaaS)
，其中资源作为云计算平台
(
例如，公共云网络
)
的一部分来提供，并且被使得作为服务可供租户访问
。
这些服务之一允许租户运行驻留在云计算平台内的软件组件
(
例如，诸如虚拟服务器之类的虚拟机实例
)。
软件功能性向云计算平台中的这种迁移已经导致了对虚拟网络的更多使用，该虚拟网络诸如用于不同公共云提供商的虚拟专用云网络，诸如
Web(AWS)、Azure Cloud Services、Cloud、Cloud
等
。
[0004]每个虚拟专用云网络是按需的
、
可配置的共享资源池，这些资源在云计算平台内被分配，并在使用云资源的不同组织或其他实体
(
下文中是“用户”)
之间提供一定水平的隔离
。
一个虚拟专用云网络用户与利用相同公共云网络基础设施的其他用户之间的隔离可以通过在每个用户的基础上分配专用互联网协议
(IP)
子网来实现
。
对于每个
IP
子网，公共云服务提供商提供处理和
/
或存储功能性
。
特别地，
AWS
提供
Elastic Compute Cloud(EC2)
服务，而提供不同类型的虚拟机
。
[0005]最近，为了增加系统吞吐量，上述虚拟专用云网络现在依赖于多个活动的对等通信链路
。
作为说明性示例，某些网关提供了至存储在虚拟专用云网络中的云软件实例的连接性
。
这些网关中的每一个被配置成支持至一对网关
(
下文中是“中转
(transit)
网关”)
的两个基于专用
IP
的通信链路，这对网关驻留在另一种类型的虚拟专用云网络
(
下文中是“中转
VPC”)
内
。
然而，在中转
VPC
提供了至位于不同公共云网络上的目的地
VPC
的连接性的情况下，这种网络架构现在受到高度的安全性关注，这是因为多云连接性增加了攻击者可以得到对虚拟专用云网络的访问的方式的数量
。
此外，当
AWS
公共云网络扩展到
AWS
基础设施之外时，显著地依赖于由
Transit Gateway
提供的安全性措施是不可能的
。
此外，不存在策略驱动的选项来创建由云提供商提供的安全性分割
。
附图说明
[0006]本专利技术的实施例在附图的各图中以示例的方式而非限制的方式被图示，在附图中，相同的附图标记指示相似的元件，并且在附图中：图1是利用安全域
(security domain)
实现的多云计算平台的示例性实施例，该安
全域将网关之间的通信限制到驻留在相同安全域内的那些
。
[0007]图2是利用第一安全域实现的图1的多云计算平台的说明性实施例，该第一安全域包括通过连接策略通信地耦合到驻留在第二安全域内的一个或多个网关的一个或多个网关
。
[0008]图3是包括安全域数据存储
(store)
和连接策略数据存储的图1‑2的中转虚拟网络组件
(VPC/Vnet)
内部署的中转网关的示例性实施例
。
[0009]图
4A
‑
4C
图示了用于对多云计算平台内的一个或多个安全域以及与这些安全域相关联的连接策略进行编程的图形用户接口
(GUI)
的示例性实施例
。
[0010]图
5A
‑
5B
图示了控制器为了创建指向安全域的构造以及与这些安全域相关联的连接策略所进行的操作的示例性实施例
。
[0011]图
6A
‑
6B
是驻留在图1‑2的多云计算平台的不同安全域中的两个分支
(spoke)
网关之间的准许和不准许的互操作性的示例性实施例
。
[0012]图7是用于建立多云中转分割架构的操作的示例性实施例
。
具体实施方式
[0013]用于建立在不同类型的公共云网络基础设施上实现的多云计算平台的系统和方法的实施例，该多云计算平台对数据流量进行分割以便增强跨多个公共云网络的安全性
。
本文中，该多云计算平台通过使用安全域和连接策略来实现网络隔离
。
每个安全域标识可以彼此通信的一组网关
。
这些网关可以部署在相同的虚拟网络组件内或者不同的虚拟网络组件内，其中这些虚拟网络组件可以驻留在公共云网络的相同区域内
、
相同公共云网络的不同区域内
、
或者不同的公共云网络内
。
作为说明性示例，第一组
(
例如一个或多个
)
网关可以在由
Web Services(AWS)
公共云网络提供的底层网络基础设施所支持的第一虚拟网络组件内操作，而第二组网关可以在由公共云网络或
Cloud
所支持的第二虚拟网络组件内操作
。
每个连接策略标识跨不同安全域的准许通信
。
[0014]本文中，为了清楚起见，每个虚拟网络组件
——
例如，有时被称为用于
AWS
部署的虚拟专用云网络
、
用于部署的虚拟网络
(VNet)、
或用于
Cloud
部署的虚拟云网络
(VCN)——
出于清楚目的将在本文中被统称为“虚拟专用云网络”或“VPC”。
因此，该多云计算平台可以以如下各项为特征：
(i)
第一多个虚拟网络组件，每个虚拟网络组件作为维护可由一组网关访问的云资源的虚拟专用云网络来操作
...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种计算平台，包括：控制器；以及多个分支虚拟专用云网络，包括
(i)
与第一安全区域相关联的第一分支虚拟专用云网络
、
以及
(ii)
与第二安全区域相关联的第二分支虚拟专用云网络，其中第一安全区域由控制器配置成准许第一分支虚拟专用云网络的分支网关彼此通信，同时阻止第一分支虚拟专用云网络的分支网关和与关联于第二安全区域的第二分支虚拟专用云网络相关联的分支网关之间的通信
。2.
根据权利要求1所述的计算平台，其中第一分支虚拟专用云网络和第二分支虚拟专用云网络被部署在单个公共云网络内
。3.
根据权利要求1所述的计算平台，其是多云计算平台，所述多云计算平台包括部署在第一公共云网络内的第一分支虚拟专用云网络和部署在不同于第一公共云网络的第二公共云网络内的第二分支虚拟专用云网络
。4.
根据权利要求1所述的计算平台，其中所述多个分支虚拟专用云网络进一步包括与第一安全区域相关联的第三分支虚拟专用云网络，使得与第三分支虚拟专用云网络相关联的网关通信地耦合到第一分支虚拟专用云网络的分支网关，并且被阻止与第二分支专用云网络的分支网关的通信
。5.
根据权利要求1所述的计算平台，其中控制器被配置有对一个或多个中转路由数据存储的访问权，所述中转路由数据存储包括建立第一安全域和第二安全域的内容
。6.
根据权利要求5所述的计算平台，其中控制器被配置成监测第一安全区域与第二安全区域之间的连接策略的存在，一旦检测到，所述连接策略就允许在第一安全区域中操作的第一分支虚拟专用云网络的分支网关与在第二安全区域内操作的第二分支虚拟专用云网络的分支网关之间的通信
。7.
根据权利要求6所述的计算平台，其中所述连接策略包括为了允许跨安全域连接性而实施的一个或多个规则
。8.
根据权利要求6所述的计算平台，进一步包括：一个或多个中转虚拟专用云网络，其中控制器被配置成复制不同的路由中转数据存储内维护的第一分支虚拟专用云网络的分支网关与第二分支虚拟专用云网络的分支网关之间的任何路由连接，所述不同的路由中转数据存储可由不同于所述一个或多个中转虚拟专用云网络的中转虚拟专用云网络来访问
。9.
根据权利要求1所述的计算平台，进一步包括：一个或多个中转虚拟专用云网络，其中所述一个或多个中转虚拟专用云网络中的中转虚拟专用云网络包括数据流量处理逻辑，所述数据流量处理逻辑在接收到传入消息时被配置成解析所述传入消息并对其进行分析以确定所述传入消息的目的地，在所述目的地以及所述传入消息的源两者都是第一安全区域的成员的情况下，向所述目的地提供与所述传入消息相关联的内容，以及在所述目的地是第二安全区域的成员
、
所述传入消息的源是第一安全区域的成员
、
并且连接策略在第一安全区域与第二安全区域之间被建立的情况下，向所述目的地提供与所
述传入消息相关联的内容
。10.
根据权利要求9所述的计算平台，在所述目的地是第二安全区域的成员
、
所述传入消息的源是第一安全区域的成员
、
并且没有连接策略在第一安全区域与第二安全区域之间被建立的情况下，丢弃所述传入消息，并且可选地向所述源或控制器报告错误消息
。11.
一种多云计算平台，包括：在第一公共云网络内操作的第一虚拟专用云网络；在不同于第一公共云网络的第二公共云网络内操作的第二虚拟专用云网络；以及与中转网关相关联的逻辑，其被配置成：
(i)
确定作为指向第二虚拟专用云网络的第二分支网关的内容的源来操作的第一虚拟专用云网络的第一分支网关
、
作为所述内容的目的地来操作的第二虚拟专用云网络的第二分支网关是否是第一安全域的成员，
(ii)
当第一虚拟专用云网络和第二虚拟专用云网络两者都是第一安全域的成员时，将所述内容从第一分支网关路由到第二分支网关，
(iii)
当第一虚拟专用云网络和第二虚拟专用云网络在不同的安全域中时，确定在第一安全域与第二安全域之间是否存在连接策略，以及
(iv)
当第一虚拟专用云网络和第二虚拟专用云网络在不同的安全域中并且在第一虚拟专用云网络与第二虚拟专用云网络之间...

【专利技术属性】
技术研发人员：X，
申请(专利权)人：艾维卓斯系统公司，
类型：发明
国别省市：