用于端点安全与网络安全服务之间的协调的框架的制作方法
【技术领域】
[0001]本文档涉及虚拟机和安全服务。
【背景技术】
[0002]虚拟机是物理计算机系统的基于软件的抽象。一般而言,可以在物理计算机系统上执行的任何计算机程序都可以使用虚拟化软件在虚拟机中执行。虚拟化软件是逻辑上介入虚拟机和物理计算机系统之间并与虚拟机和物理计算机系统接合的软件。每个虚拟机被配置为执行在此被称为客户OS的操作系统以及应用程序。在此被称为主机的物理计算机系统可以执行一个或更多个虚拟机。
[0003]通过网络连接,虚拟机可以被本地或远程访问。例如,有可能使用远程桌面客户端来远程访问虚拟机。远程桌面客户端是与远程计算机系统交流用户接口信息的计算机程序。一般而言,用户接口信息包括从远程计算机系统接收并且显示在用户本地的计算机上的显示数据,并且向远程计算机系统发送由用户生成的键盘和鼠标输入。以这种方式,远离用户地执行的应用程序可以被用户访问并与用户交互。
[0004]另外,不管是在虚拟机上执行还是在主机上直接执行,应用程序和操作系统都仍然易受暗中进入计算机环境的诸如病毒或蠕虫之类的程序或代码的攻击。病毒常常自我复制,或者使它们被复制,由此消耗过量的计算机资源,并造成计算机操作的劣化或中断。“蠕虫”可以被定义为把它自己自动附到发出的电子邮件或其它网络消息的病毒。有些病毒擦除或破坏磁盘文件,或者要求硬盘全部重新格式化。病毒可能一进入计算机环境就立刻肆意破坏,或者可能处于休眠状态直到环境使它们的代码被主计算机执行。不管特定的病毒会造成什么样的潜在损坏,所有病毒一般都被认为是恶意的,都应当防止其感染系统,并且如果发现就应当除去。为此,术语“病毒”将指任何此类恶意代码。
[0005]病毒的威胁在联网的环境中尤为严重,在所述联网的环境中,网络上的计算机能够被黑客团伙创建的复杂性和严重性程度不同的病毒访问。这些病毒可以通过各种机制(例如,作为电子邮件的附件或者作为下载文件)或者通过监听网络端口的服务程序来暗中进入计算机环境。防病毒软件的各种示例包括针对恶意代码来扫描整个盘驱动器和存储器系统的系统扫描器,以及在被操作系统请求时对文件进行扫描的“按访问(on-access) ”扫描器。其它类型的防病毒软件也是可能的。
【发明内容】
[0006]—般而言,本文档中所描述的主题的一方面可以体现在以下技术中,该技术包括:分别根据各自的安全容器(security container)来操作一个或更多个虚拟机,其中各自的安全容器与各自的规则相关联,所述规则基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器(quarantine container)的传送;在所述虚拟机中的一个或更多个上操作一个或更多个端点安全服务,以识别与所述虚拟机中的一个或更多个虚拟机相关联的一个或更多个安全威胁;获得由所述一个或更多个安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机;至少基于所获得的标记当中的一个或更多个以及所述标准中的一个或更多个,来识别虚拟机中需要传送到隔离容器的一个虚拟机;以及,把识别出的虚拟机传送到隔离容器。该方面的其它实施例包括对应的系统、装置和被编码在非临时性机器可读存储介质上的计算机软件。
[0007]这些及其它方面可以可选地包括以下特征中的一个或更多个。安全服务可以包括防病毒扫描器、数据丢失防护(DLP)、文件完整性监视、木马(rootkit)检测器、漏洞管理、网络防火墙、web安全控制,以及入侵检测/防护系统。可以解决安全威胁,以除去使识别出的虚拟机从该识别出的虚拟机的各自的安全容器传送到隔离容器的标记;并且识别出的虚拟机可以从隔离容器传送到该识别出的虚拟机的各自的安全容器。可以提供用户接口来创建并配置一个或更多个各自的安全容器,其中用户接口被配置为针对一个或更多个各自的安全容器中的每一个创建一个或更多个基于标记的规则。每个标记可以包括虚拟机标识符、标记标签、以及标记值。各自的规则可以指定威胁级别阈值,并且其中识别虚拟机包括将标记值与该威胁级别阈值进行比较。一个或更多个端点安全服务可以包括被配置为根据已知的标记格式生成标记的防病毒扫描器、被配置为根据已知的标记格式生成标记的漏洞管理机制、或者被配置为根据已知的标记格式生成标记的数据丢失防护机制中的一个或更多个。操作一个或更多个虚拟机可以包括:响应于虚拟机登录事件来检测用户成员资格组;基于用户成员资格组来选择各自的安全容器;并且把与虚拟机登录事件相关联的虚拟机分派给选定的安全容器。一个或更多个各自的安全容器可以包括:与第一规则相关联的第一安全容器,所述第一规则基于一个或更多个第一标准来指定虚拟机从第一安全容器到第一隔离容器的传送;以及与第二规则相关联的第二安全容器,所述第二规则基于一个或更多个第二标准来指定虚拟机从第二安全容器到第二隔离容器的传送。实现方式可以包括操作标记通信层以接收来自一个或更多个安全服务的一个或更多个标记,该标记通信层对于一个或更多个端点安全服务是不可知的。实现方式可以包括根据隔离容器来操作网络防火墙,以限制识别出的虚拟机的网络连接性。
[0008]本文档中所描述的主题的特定实施例可被实施为实现以下优点中的一个或更多个。提供让安全服务标记虚拟机的框架可以使得被标记的虚拟机能够快速且自动地传送到诸如隔离容器之类的不同的、更严格的容器。一旦在虚拟机上检测到病毒,对于防止病毒对未受影响的系统的扩散或影响、防止敏感信息的泄漏或者这两者,最小化虚拟机在隔离容器之外所花的时间是有利的。
[0009]本文档中所描述的主题的一个或更多个实施例的细节在附图和以下说明书中得到阐述。通过阅读说明书、附图和权利要求,主题的其它特征、方面和优点将变得清楚。
【附图说明】
[0010]图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。
[0011]图2示出了被配置为执行虚拟机的系统的示例的体系架构。
[0012]图3示出了包括安全管理器的安全框架的示例的体系架构。
[0013]图4示出了安全过程的示例的流程图。
[0014]图5示出了安全过程的另一示例的流程图。
[0015]图6示出了安全过程的另一示例的流程图。
[0016]各种图中相同的附图标记和命名指示相同的要素。
【具体实施方式】
[0017]本文档描述在不同的端点安全服务(例如,防病毒软件)和网络安全服务(例如,网络防火墙)之间实现协同编排(synergistic orchestrat1n)的框架。这种框架可以使得能够在虚拟机环境内对安全策略的违背进行快速且自动的响应,同时使得客户能够选择端点和网络安全服务中的最佳种类,包括由不同供应商提供的那些服务。
[0018]图1示出了虚拟机被分派给安全容器以及虚拟机在安全容器之间传送的示例。诸如数据处理装置之类的物理机器可以根据分别分派的安全容器105a_c来执行虚拟机110a-do安全容器105a_c是可以指定诸如防火墙设置115a_c、用于一个或更多个安全服务的操作设置以及基于标记的规则120a_c之类的策略的虚拟机操作环境。在一些实现方式中,安全容器105a_c与各自的具有不同允许级别的网络连接性的防火墙设置115a_c相关联。在这个示例中,第一安全容器105a与指定完全网络访问的防火墙设置115a相关联,而第二安全容器105b与指定受限网络访问的防火墙设置115b相关联。例如,隔离容器105c可以与指定无网络访问的防火墙设置115c相关联。基于标记的规则120a-b可以基于一个或更多个标准(诸如基于由一个或更多个安全服务提供的安全标记的标准)来指定到隔离容器105c的传送130。安全标记可以表示由虚拟机110a-d的安全服务审查生成的安全决定。在有些情况下,规则120c可以指定一旦标记被安全服务清除就从隔离容器105c离开的传送130。
[0019]图2示出了被配置为执行虚拟机的系统201的示例的架构。在系统201中,物理机器230可以被配置为使用管理程序220来执行虚拟机llOa-e。计算机终端240a_b可以利用网络235来访问虚拟机llOa-e。在有些实现中,系统201可以被配置为经由计算机终端 240a_b 来提供虚拟桌面基础架构(virtual desktop infrastructure, VDI)。VDI 允许计算机管理员在虚拟基础架构上主持和管理用户桌面,例如,VDI给予每个用户用于桌面计算的独立虚拟机。在有些实现中,计算机终端240a-b被配置为通过使用远程桌面协议来向虚拟机110a-e提供物理前端。计算机终端240a-b的各种示例包括诸如PC、瘦客户端(thinclient)、零客户端之类的客户端访问设备。其它类型的终端也是可能的。
[0020]有些虚拟机110a-d可以分别被分派给安全容器105a_c中的一个,而被称为安全虚拟机的一个或更多个其它虚拟机IlOe可以被配置为向虚拟机110a-d提