使用基于逻辑多维标签的策略模型的分布式网络安全的制作方法【
技术领域:
】[0001]这里描述的主题内容总体上涉及管理管理域的服务器(物理或者虚拟)的领域,并且特别地涉及根据与基于逻辑多维标签的策略模型相符的管理域范围策略来管理服务器。【
背景技术:
】[0002]根据策略管理管理域的服务器(物理或者虚拟)。例如,安全策略可以指定访问控制和/或安全连通,而资源使用策略可以指定对管理域的计算资源(例如,磁盘和/或外设)的使用。常规策略引用物理设备并且在低级构造(比如网际协议(IP)地址、IP地址范围、子网和网络接口)方面被表达。这些低级构造使得难以用抽象和自然方式编写细粒度策略。【
发明内容】[0003]以上和其它问题由一种用于在管理域内隔绝被管理的服务器的方法、非瞬态计算机可读存储介质和系统解决。管理域包括多个被管理的服务器,这些服务器使用管理指令以配置管理模块,从而使得配置的管理模块实施包括一个或者多个规则的集合的管理域范围管理策略。从多个被管理的服务器中的其它被管理的服务器隔离隔绝的被管理的服务器。该方法的一个实施例包括修改对被管理的服务器的描述以指不被管理的服务器被隔绝,由此指定对隔绝的被管理的服务器的描述。该方法还包括更新高速缓存的动作者集合以指示隔绝的被管理的服务器的改变的状态,由此指定更新的动作者集合。该方法还包括确定哪些更新的动作者集合与其它被管理的服务器相关,由此指定当前相关的更新的动作者集合。该方法还包括确定当前相关的更新的动作者集合是否与向其它被管理的服务器先前发送的动作者集合不同。该方法还包括响应于确定当前相关的更新的动作者集合与先前发送的动作者集合相同,不采取进一步动作。[0004]该介质的一个实施例存储可执行以执行步骤的计算机程序模块。步骤包括修改对被管理的服务器的描述以指示被管理的服务器被隔绝,由此指定对隔绝的被管理的服务器的描述。步骤还包括更新高速缓存的动作者集合以指示隔绝的被管理的服务器的改变的状态,由此指定更新的动作者集合。步骤还包括确定哪些更新的动作者集合与其它被管理的服务器相关,由此指定当前相关的更新的动作者集合。步骤还包括确定当前相关的更新的动作者集合是否与向其它被管理的服务器先前发送的动作者集合不同。步骤还包括响应于确定当前相关的更新的动作者集合与先前发送的动作者集合相同,不采取进一步动作。[0005]该系统的一个实施例包括非瞬态计算机可读存储介质,该非瞬态计算机可读存储介质存储可执行以执行步骤的计算机程序模块。步骤包括修改对被管理的服务器的描述以指示被管理的服务器被隔绝,由此指定对隔绝的被管理的服务器的描述。步骤还包括更新高速缓存的动作者集合以指示隔绝的被管理的服务器的改变的状态,由此指定更新的动作者集合。步骤还包括确定哪些更新的动作者集合与其它被管理的服务器相关,由此指定当前相关的更新的动作者集合。步骤还包括确定当前相关的更新的动作者集合是否与向其它被管理的服务器先前发送的动作者集合不同。步骤还包括响应于确定当前相关的更新的动作者集合与先前发送的动作者集合相同,不采取进一步动作。【附图说明】[0006]图1是图示了根据一个实施例的用于管理管理域的服务器(物理或者虚拟)的环境的高级框图。[0007]图2是图示了根据一个实施例的用于用作图1中所图示的实体中的一个或者多个实体的计算机的示例的高级框图。[0008]图3是图示了根据一个实施例的全局管理器的具体视图的高级框图。[0009]图4是图示了根据一个实施例的被管理的服务器的策略实施模块的具体视图的高级框图。[0010]图5是图示了根据一个实施例的生成用于特定被管理的服务器的管理指令的方法的流程图。[0011]图6是图示了根据一个实施例的生成用于被管理的服务器的管理模块的配置的方法的流程图。[0012]图7是图示了根据一个实施例的监视被管理的服务器的逻辑状态并且向全局管理器发送本地状态信息的方法的流程图。[0013]图8是图示了根据一个实施例的处理对管理域的计算机网络基础结构的状态的改变的方法的流程图。[0014]图9是图示了根据一个实施例的检测和报告反常(rogue)过程的方法的流程图。[0015]图10是图示了根据一个实施例的在管理域内隔绝被管理的服务器的方法的流程图[0016]图11是图示了根据一个实施例的处理对在管理域内的一组未管理的设备的状态的改变的方法的流程图。【具体实施方式】[0017]附图和以下描述仅通过例示描述某些实施例。本领域技术人员将从以下描述容易地认识到可以运用这里例示的结构和方法的备选实施例而未脱离这里描述的原理。现在将参照若干实施例,在附图中图示了这些实施例的示例。注意,只要可实践,相似或者相同标号就可以在附图中被使用并且可以指示相似或者相同功能。[0018]图1是图示了根据一个实施例的用于管理管理域150的服务器(物理或者虚拟)130的环境100的高级框图。管理域150可以对应于企业,如例如服务提供者、公司、大学或者政府机关。环境100可以由企业本身或者由帮助企业管理它的服务器130的第三方(例如,第二企业)维护。如图所示,环境100包括网络110、全局管理器120、多个被管理的服务器130和多个未管理的设备140。多个被管理的服务器130和多个未管理的设备140与管理域150关联。例如,它们由企业或者由第三方(例如,公共云服务提供者)代表企业操作。尽管为了清楚而在图1中描绘的实施例中示出了一个全局管理器120、两个被管理的服务器130和两个未管理的设备140,但是其它实施例可以具有不同数目的全局管理器120、被管理的服务器130和/或未管理的设备140。[0019]网络110代表在全局管理器120、被管理的服务器130和未管理的设备140之间的通信路径。在一个实施例中,网络110使用标准通信技术和/或协议并且可以包括因特网。在另一实施例中,网络110上的实体可以使用定制和/或专用数据通信技术。[0020]被管理的服务器130是实施管理域范围管理策略330(图3中所示)的机器(物理或者虚拟)。在一个实施例中,服务器是根据操作系统级虚拟化的虚拟服务器(有时被称为容器、虚拟化引擎、虚拟专有服务器或者jail)的用户空间实例,该操作系统级虚拟化是服务器虚拟化方法,其中操作系统的内核启用多个隔离的用户空间实例而不是仅一个实例。如果被管理的服务器130是物理机器,则被管理的服务器130是计算机或者计算机集合。如果被管理的服务器130是虚拟机,则被管理的服务器130在计算机或者计算机集合上执行。管理域范围管理策略330指定与管理域150关联的实体是否和/或如何被允许访问其它实体(或者由其它实体访问)或者以别的方式消费(或者提供)服务。例如,管理域范围管理策略330指定安全或者资源使用。安全策略可以指定访问控制、安全连通、磁盘加密和/或对可执行过程的控制,而资源使用策略可以指定对管理域的计算资源(例如,磁盘、外设和/或带宽)的使用。[0021]被管理的服务器130包括管理模块132、管理模块配置134和策略实施模块136。管理模块132实施管理域范围管理策略330。例如,在安全的情况下,管理模块132可以是低级网络或者安全引擎,比如操作系统级防火墙、网际协议安全(IPsec)引擎或者网络流量过滤引擎(例如,基于Windows过滤平台(WFP)开发平台)。在资源使用的情况下,管理模块132可以是磁盘使用引擎或者外设使用引擎。[0022]管理模块配置134影响管理模块132的操作。例如,在安全的情况下,管理模块配置134可以是由防火墙应用的访问控制规则、由IPsec引擎应用的安全连通策略(例如,在Linux操作系统中体现为iptables条目和ipset条目)或者由过滤引擎应用的过滤规则。在资源使用的情况下,管理模块配置134可以是由磁盘使用引擎应用的磁盘使用策略或者由外设使用引擎应用的外设使用策略。[0023]策略实施模块136基于a)从全局管理器120接收的管理指令和b)被管理的服务器130的状态来生成管理模块配置134。管理指令部分地基于管理域范围管理策略330被生成。由策略实施模块136生成的管理模块配置134实施该管理域范围管理策略330(在策略涉及被管理的服务器130的程度上)。这一两步骤过程(生成管理指令和生成管理模块配置134)被称为对管理策略"实例化"。策略实施模块136也监视被管理的服务器130的本地状态并且向全局管理器120发送本地状态信息。[0024]在一个实施例中,策略实施模块136是更大专有模块(未示出)的部分。专有模块被加载到已经具有管理模块132和管理模块配置134的设备上,由此将设备从未管理的设备140变换成被管理的服务器130。以下参照图4、图6和图7进一步描述策略实施模块136。[0025]未管理的设备140是不包括策略实施模块136的计算机(或者计算机集合)。未管理的设备140不实施管理域范围管理策略330。然而,在被管理的服务器130与未管理的设备140之间的交互可能受制于管理域范围管理策略330(如由被管理的服务器130实施的)。未管理的设备140的一个示例是由管理域150使用的网络电路。未管理的设备140的另一示例是由人用来向管理域150认证其自身的设备(例如,笔记本或者台式计算机、平板计算机或者移动电话)。[0026]全局管理器120是生成用于被管理的服务器130的管理指令并且向服务器发送生成的管理指令的计算机或者(或者计算机集合)。管理指令基于a)管理域的计算机网络基础结构320的状态和b)管理域范围管理策略330被生成。管理域的计算机网络基础结构320的状态包括对被管理的服务器130的描述和(可选地)对未管理的设备140的描述。全局管理器120也处理从被管理的服务器130接收的本地状态信息。[0027]管理域范围管理策略330基于逻辑管理模型,该逻辑管理模型可以基于被管理的服务器130的高级特性(这里被称为"标签")来引用被管理的服务器。标签是包括"维度"(高级特性)和"值"(该高级特性的值)的对。在这一多维空间中构造的管理策略比根据基于单特性网络/IP地址的策略模型构造的管理策略更昂贵。具体而言,使用对"标签"的更高级抽象化来表达管理策略使人们能够更好地理解、可视化和修改管理策略。[0028]逻辑管理模型(例如,可用维度的数目和类型以及那些维度的可能的值)可配置。在一个实施例中,逻辑管理模型包括如表1中所示的以下维度和值:[0030]表1-逻辑管理模型的示例[0031]逻辑管理模型使多个被管理的服务器130能够通过指定一个或者多个标签(这里称为"标签集合")而被分组在一起,该一个或者多个标签描述该组中的所有被管理的服务器130。标签集合包括用于逻辑管理模型中的维度的零个值或者一个值。标签集合无需包括用于逻辑管理模型中的所有维度的标签。以这一方式,逻辑管理模型实现对管理域的被管理的服务器130的分割和分离以及对被管理的服务器130的任意分组的创建。逻辑管理模型也允许单个被管理的服务器130存在于多个重叠集合(即,被管理的服务器的多个重叠组)中。逻辑管理模型未将单个被管理的服务器130限制于存在于嵌套集合的分级中。[0032]例如,在安全的情况下,分割可以与访问控制策略一起用来定义受制于特定策略的多组被管理的服务器130。相似地,分割可以与安全连通策略一起用来限定多组被管理的服务器130以及适用于组内通信和组间通信的策略。因此,在第一组被管理的服务器130(由第一标签集合指定)之中的通信可以受限于第一安全连接设置(例如,无需安全连接),并且在第一组被管理的服务器与第二组被管理的服务器(由第二标签集合指定)之间的通信可以受限于第二安全连接设置(例如,IPsec封装安全净荷(ESP)/认证报头(AH)高级加密标准(AES)/安全哈希算法-2(SHA-2))。[0033]在环境100中的每个被管理的服务器130实施管理域范围管理策略330(在策略涉及被管理的服务器130的程度上)。作为结果,管理域范围管理策略330以分布式方式贯穿管理域150被应用,并且没有扼流点。也在逻辑级、与管理域的物理网络拓扑和网络寻址方案独立地应用管理域范围管理策略330。[0034]以下参照图3、图5和图8进一步描述全局管理器120、管理域的计算机网络基础结构320的状态和管理域范围管理策略330。[0035]图2是图示了根据一个实施例的用于用作图1中所图示的实体中的一个或者多个实体的计算机200的示例的高级框图。图示了耦合到芯片集204的至少一个处理器202。芯片集204包括存储器控制器集线器220和输入/输出(I/O)控制器集线器222。存储器206和图形适配器212耦合到存储器控制器集线器220,并且显示设备218耦合到图形适配器212。存储设备208、键盘210、指点设备214和网络适配器216耦合到I/O控制器集线器222。计算机200的其它实施例具有不同架构。例如,存储器206在一些实施例中直接地耦合到处理器202。[0036]存储设备208包括一个或者多个非瞬态计算机可读存储介质,比如硬驱动、紧致盘只读存储器(CD-ROM)、DVD或者固态存储器设备。存储器206保持由处理器202使用的指令和数据。指点设备214与键盘210组合用来向计算机系统200中输入数据。图形适配器212在显示设备218上显示图像和其它信息。在一些实施例中,显示设备218包括用于接收用户输入和选择的触屏能力。网络适配器216将计算机系统200耦合到网络110。计算机200的一些实施例具有与图2中所示部件不同的部件和/或除了图2中所示部件之外的部件。例如,全局管理器120和/或被管理的服务器130可以由多个刀片服务器形成并且没有显示设备、键盘和其它部件,而未管理的设备140可以是笔记本或者台式计算机、平板计算机或者移动电话。[0037]计算机200适于执行用于提供这里描述的功能的计算机程序模块。如这里所用,术语"模块"是指用来提供指定的功能的计算机程序指令和/或其它逻辑。因此,可以在硬件、固件和/或软件中实施模块。在一个实施例中,由可执行计算机程序指令形成的程序模块被存储在存储设备208上、加载到存储器206中并且由处理器202执行。[0038]图3是图示了根据一个实施例的全局管理器120的具体视图的高级框图。全局管理器120包括贮存库300和处理服务器310。贮存库300是存储管理域的计算机网络基础结构320的状态、管理域范围管理策略330和全局安全数据贮存库335的计算机(或者计算机集合)。在一个实施例中,贮存库300包括响应于请求而向处理服务器310提供对管理域状态320、管理策略330和全局安全数据贮存库335的访问的服务器。[0039]管理域的计算机网络基础结构320的状态包括对被管理的服务器130的描述和(可选地)对未管理的设备140的描述。对被管理的服务器130的描述例如包括唯一标识符(UID)、在线/离线指示符、一个或者多个配置的特性(可选)、网络暴露信息、服务信息和描述被管理的服务器130的一个或者多个标签(标签集合)。[0040]UID唯一地标识被管理的服务器130。在线/离线指示符指示被管理的服务器130是在线还是离线。"配置的特性"存储与被管理的服务器130关联的值并且可以是任何类型的信息(例如,对哪个操作系统在被管理的服务器上运行的指示)。配置的特性与规则的条件部分(以下描述)结合被使用。[0041]网络暴露信息涉及被管理的服务器的网络接口。在一个实施例中,网络暴露信息对于被管理的服务器的网络接口中的每个网络接口包括网络接口附着到的"双向可达网络(BRN)"的标识符和用于在BRN内操作的零个或者更多个IP地址(及其子网)ARN是在组织内或者跨组织的子网集合,在BRN内的任何节点可以在这些子网中与BRN中的任何其它节点建立通信。例如,BRN中的所有节点具有唯一IP地址。换而言之,BRN节点不包含任何NAT。网络曝光信息(例如,网络接口的BRN标识符)可以与规则的条件部分结合被使用。[0042]在另一实施例中,网络曝光信息包括路由信息和被管理的服务器是否在网络地址翻译器(NAT)后面(以及如果它在NAT后面,则什么类型的NAT-一1:1或者I:N)。全局管理器120可以确定被管理的服务器130是否在网络地址翻译器(NAT)后面(以及如果它在NAT后面,则什么类型的NAT--1:1或者1:N)。例如,全局管理器120通过比较(a)服务器的根据在全局管理器与服务器之间的TCP连接的IP地址和(b)服务器的根据从服务器接收的本地状态信息的IP地址来确定NAT是否存在于全局管理器120与被管理的服务器130之间。如果(a)和(b)不同,则NAT存在于全局管理器120与被管理的服务器130之间。如果NAT确实存在,则全局管理器120通过执行数据中心检测来确定NAT的类型(I:1或者I:N)。例如,全局管理器120用服务器的数据中心的公用IP地址来标识该数据中心。(备选地,被管理的服务器通过查询在服务器外部、但是在数据中心内的信息来执行数据中心检测。服务器然后向全局管理器发送该信息作为本地状态的部分。)配置信息指示哪些类型的NAT由哪些数据中心使用。如果没有NAT信息与特定数据中心关联,则全局管理器120假设NAT类型是I:N。[0043]服务信息例如包括过程信息和/或封装信息。过程信息例如包括被管理的服务器130运行的过程的名称、那些过程在哪些网络端口和网络接口上监听、哪些用户发起那些过程、那些过程的配置、那些过程的命令行起动变元和那些过程的依赖性(例如,那些过程链接到的共享对象)。(那些过程对应于提供服务或者使用服务的被管理的服务器130。)封装信息例如包括哪些封装(可执行文件、库或者其它部件)被安装在被管理的服务器130上、那些封装的版本、那些封装的配置和那些封装的哈希值。[0044]对未管理的设备140的描述例如包括网络曝光信息(例如,未管理的设备的IP地址和未管理的设备连接到的BRN的标识符)。未管理的设备140是"未管理的设备组(UDG)"的部分。UDG包括一个或者多个未管理的设备140。例如,"总部UDG"可以包括由管理域的总部使用的主要电路和备用电路,其中每个电路与IP地址关联。UDG与唯一标识符(UID)关联。在管理域状态320中存储的关于UDG的信息包括UDG的UID和关于UDG中的未管理的设备140的信息(例如,它们的网络曝光信息)。[0045]对被管理的服务器130和未管理的设备140的描述可以按照各种方式被加载到管理域状态320中,比如通过经由图形用户接口(GUI)或者应用编程接口(API)与全局管理器120交互。对被管理的服务器130的描述也可以基于从被管理的服务器接收的本地状态信息而被加当前第1页1 2 3 4 5 6