供端点安全服务、网络安全服务或者这两者。例如,安全虚拟机IlOe可以执行端点安全服务,诸如针对诸如病毒之类的安全威胁来对其它虚拟机110a-d进行扫描的防病毒扫描器。在有些实现中,例如,防病毒扫描器可以与在虚拟机110a-d上运行的瘦代理(thin agent)交互,以执行对虚拟机的内存、持久性储存器和网络通信的扫描。在其它实现中,安全虚拟机IlOa上的防病毒扫描器可以自主地扫描其它虚拟机110a-d。在其它实现中,管理程序220可以执行一个或更多个网络安全服务,诸如操作网络防火墙。
[0021]图3示出了包括安全管理器310的安全框架的示例的架构。虚拟基础结构可以部署包括端点安全服务305a-b和网络安全服务305c-d的安全服务305a_d。端点安全服务305a-b的各种示例包括防病毒扫描器、数据丢失防护(DLP)、文件完整性监视、木马检测器和漏洞管理。其它类型的示例也是可能的。网络安全服务305c-d的各种示例包括网络防火墙、web安全控制和入侵检测/防护系统。其它类型的示例也是可能的。
[0022]安全管理器310可以基于安全容器与安全服务305a_d交互。安全管理器310可以提供用于创建和配置安全容器的用户接口。安全容器可以指定要在分派给该容器的虚拟机上执行的一个或更多个安全服务。一个或更多个规则可以与每个安全容器相关联。这种规则可以存储在安全容器规范数据库320中。在有些实现中,规则可以基于安全扫描的结果来指定动作(例如,移到隔离容器)。另外,针对服务305a_d中的一个或更多个的配置信息可以存储在安全容器规范数据库320中。配置信息可以针对每个安全服务来指定,并且可以包括诸如安全服务名称、对应于安全服务的可执行文件的位置或者安全设置之类的参数。其它类型的参数也是可能的。例如,用于防病毒安全服务的配置信息可以包括扫描频率和扫描类型。在有些实现中,安全管理器310可以基于由安全容器指定的配置信息来操作安全服务305a-d。安全管理器310可以把虚拟机分派给安全容器;这种分派被存储在虚拟机安全容器分派数据库325中。
[0023]安全服务305a_d中的一个或更多个可以基于安全扫描的结果、安全事件或者这两者来把标记分派给虚拟机。安全管理器310可以提供标记通信层,以从安全服务305a-d中的一个或更多个接收标记并且把标记分配给诸如虚拟机标记检查器330之类的组件。在有些实现中,标记信息可以包括虚拟机标识符、标记名称和标记值。其它类型的标记信息也是可能的。在有些实现中,可以使用可扩展标记语言(XML)将标记传送到标记通信层。虚拟机标记检查器330可以访问由安全服务305a-d生成的标记并且把它们与由安全容器的规则指定的一个或更多个标准进行比较。基于满足该一个或更多个标准,可以自动执行与该规则相关联的动作。
[0024]图4示出了如由一个或更多个数据处理装置实施的安全过程的示例的流程图。在405,该过程在虚拟机(VM)上部署安全服务。在有些实现中,部署安全服务可以包括安装诸如防病毒扫描器之类的安全软件。在410,该过程注册安全服务。注册安全服务可以包括配置安全管理器以操作安全服务。注册安全服务可以包括配置安全管理器配置以识别由安全服务生成的标记。
[0025]在415,该过程提供用户接口(UI),以创建并配置安全容器和用于容器的基于标记的规则。提供UI可以包括显示图形用户接口(⑶I)。提供UI可以包括提供命令行接口(CLI) ο在有些实现中,UI可以被设计成针对不同的安全容器而指定不同的服务配置选项。例如,一个安全容器可以具有按小时的防病毒扫描需求,而另一个安全容器可以具有按天或按周的防病毒扫描需求。
[0026]在420,该过程把VM分派给安全容器中的一个或更多个。在有些实现中,UI还可以提供用于把虚拟机分派给安全容器的界面。在有些实现中,VM到安全容器的分派是响应于登录事件而动态执行的。例如,分派可以基于与登录事件相关联的用户的用户身份或用户组身份。
[0027]在425,该过程经由安全容器来应用安全服务。经由安全容器应用安全服务可以包括基于安全容器的需求来访问和使用一个或更多个服务配置选项。在430,该过程在VM上操作安全服务,以检测安全威胁。在有些实现中,安全管理器可以使安全服务根据安全容器的需求以周期性的时间间隔执行虚拟机的扫描。在435,该过程基于各自检测到的安全威胁来选择性地把标记分派给VM0例如,安全服务可以基于检测到诸如病毒或造成漏洞的配置错误之类的威胁来输出标记。标记的各种示例包括基于文本的标签,诸如“virus, threat=detected”、“malware, threat = high” 或“dip.v1lat1n = HIPAA,,。其它类型的标签也是可能的,例如标记可以以二进制格式而不是文本格式表示。在有些实现中,标记可以包括行业标准漏洞得分,诸如通用漏洞评分系统(CVSS)得分,例如“CVSS = 9.7”。在440,该过程基于所分派的标记和基于标记的规则来选择性地改变VM的安全容器分派。例如,安全容器可以指定=CVSS得分为7或以上的任何分派的VM都传送到阻止网络访问的隔离容器。
[0028]图5示出了如可以由一个或更多个数据处理装置实施的安全过程的另一示例的流程图。在505,该过程创建具有如下规则的一个或更多个安全容器:所述规则基于一个或更多个标准来指定到隔离容器的传送。标准的各种示例包括威胁级别阈值标准、漏洞标准、文件完整性标准、木马检测标准。其它类型的标准也是可能的。例如,一个规则可以指定威胁级别阈值标准,如果该标准被满足或超过,则会触发传送。例如,另一个规则可以指定木马检测标准,如果该标准被满足,例如检测到木马,则会触发传送。操作一个或更多个虚拟机可以包括:响应于虚拟机登录事件来检测用户成员资格组、基于用户成员资格组来选择安全容器、以及把与虚拟机登录事件相关联的虚拟机分派给选定的安全容器。
[0029]在510,该过程根据一个或更多个安全容器来操作一个或更多个虚拟机。在515,该过程在虚拟机上操作一个或更多个端点安全服务,以识别一个或更多个安全威胁并且把一个或更多个标记分派给一个或更多个虚拟机中的一个或更多个。操作一个或更多个端点安全服务可以包括使服务把标记发送到标记通信层。
[0030]在520,该过程操作标记通信层以接收来自一个或更多个端点安全服务的一个或更多个标记,所述标记通信层对于一个或更多个端点安全服务是不可知的或者独立的。这种不可知的标记通信层可以使得来自相同或不同供应商的安全服务能够访问标记通信层并且使得能够经由安全管理器进行服务间的协调。另外,标记通信层可以采用已知的标记格式,使得端点安全服务根据该已知的标记格式提供标记。在有些实现中,操作标记通信层包括接收包含虚拟机标识符、标记标签和标记值的标记。在有些实现中,操作标记通信层包括从安全服务接收包含标记的数据包。操作标记通信层可以包括存储由端点安全服务产生的标记。在有些实现中,标记通信层基于发布/订阅模型,在所述发布/订阅模型中安全服务把标记发布到中间件引擎并且标记检查器向中间件引擎订阅以接收标记。
[0031]在525,该过程在使用一个或更多个标记和一个或更多个标准的规则下识别需要传送到隔离容器的虚拟机。识别需要传送的虚拟机可以包括从标记数据库检索标记。识别需要传送的虚拟机可以包括经由标记通信层检索存储在一个或更多个存储器位置中的标记数据。识别需要传送的虚拟机可以包括比较被访问的虚拟机标记与相应安全容器的一个或更多个规则。该过程可以包括把识别出的虚拟机传送到隔离容器。传送识别出的虚拟机可以包括更新安全容器分派数据条目。传送识别出的虚拟机可以包括把虚拟机标识符添加到被分派给安全容器的虚拟机的列表。在530,该过程根据隔离容器来操作网络防火墙,以限制识别出的虚拟机的网络连接性。
[0032]图6示出了安全过程的另一示例的流程图。在605,该过程访问由用于分派给第一安全容器的虚拟机的端点安全服务生成的标记。在610,该过程基于标记来确定第一安全容器是否需要将虚拟机传送到第二安全容器。如果不需要传送,则在630,该过程继续根据第一安全容器操作虚拟机。如果需要传送,则在615,该过程把虚拟机传送到第二安全容器。在620,该过程根据第二安全容器操作虚拟机。在625,该过程解决安全威胁,以除去标记并且传送回第一安全容器。解决安全威胁可以包括除去受病毒感染的文件、应用软件更新、或者终止易受攻击的进程/软件。解决安全威胁可以包括重新执行安全服务以及基于安全服务的决定来确定是否除去标记。在630,该过程根据第一安全容器操作虚拟机。
[0033]本文所描述的安全过程中的一个或更多个可以在以下示例中采用。在典型的医院数据中心中,管理员可以通过安全管理器来部署诸如防病毒产品、DLP产品、漏洞管理产品之类的端点安全解决方案、以及诸如防火墙产品、web安全控制产品之类的网络安全服务。管理员可以使用安全管理器的⑶I来创建用于不同医院员工的用户成员资格组,诸如医生用户组和护士用户组。另外,管理员可以使用GU