专利名称:保护虚拟客机免于受感染主机的攻击的制作方法
保护虚拟客机免于受感染主机的攻击
背景技术:
虚拟化是使得能够通过将一个计算资源与其他计算资源隔离或解除耦合来更有 效且高效地利用信息技术(“IT”)基础结构的具有广泛影响的重要策略。这一策略可应用 于计算栈的所有层,从数据中心到桌面。并非像典型的静态计算环境那样将各层锁定在一 起——操作系统(“Os”)锁定到硬件、应用程序锁定到OS、以及用户界面锁定到本地计算 设备,虚拟化旨在放松这些部分对彼此的直接依赖。这样的数据中心-到-桌面虚拟化使得在无需获取新硬件并配置各组件的情况下 快速部署新能力成为可能。减少了测试需求和应用兼容性问题,简化了自动化过程,并且 更容易实现灾难恢复能力。在桌面上,虚拟化可帮助创建使消费者或企业员工能够访问他 们所需要的应用的基础结构,而不管他们位于何处。例如,使用虚拟化产品和技术来实现 客机,用户可以使用主机从实际上任何位置来访问他们的个性化桌面,他们的应用程序、数 据、设置、以及偏好全部都保持完好。提供本背景技术来介绍以下概述和详细描述的简要上下文。本背景技术不旨在帮 助确定所要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提 出的问题或缺点中的任一个或全部的实现。概述在虚拟化环境中,客机受该客机可在其上操作的不健康的受感染主机的攻击的 威胁是通过以下安排来解决的监视主机以确定它是否因顺从适用策略(如,更新到当 前最新安全补丁,运行反病毒程序,已被证明能运行客机,等等)并且不受可能破坏或损 害客机的安全性的恶意软件(即“malware”)的影响而健康。如果发现主机是不顺从 (non-compliant)的,则防止客机在该主机上引导或连接到网络,以确保整个虚拟化环境是 顺从的并且保护客机(包括它的数据和应用等)免受经由在不健康的主机上运行的恶意代 码针对它发起的攻击,或将客机从网络隔离直至可以补救不顺从性为止。在各说明性示例中,在客机上运行的客健康代理被配置成在客机的引导过程期间 与主机上的主健康代理进行通信,以检查主机与存储在客机上的或从顺从策略服务器接收 到的一个或多个顺从策略的顺从性。如果发现主机是不顺从的,则客机可以向用户显示出 错消息,以便可以补救主机的不顺从性,例如通过安装适当的补丁、缺失的反病毒应用或更 新等。如果主机已经是顺从的,或在补救之后变得顺从,则客机可以完成它的引导过程以实 现虚拟化环境,使得用户的桌面、应用、和数据变得可在客机上供使用。在虚拟化环境被初始化并且运作之后,还可以周期性地检查主机的顺从状态。例 如,如果客机尝试连接到诸如企业或公司网络等网络,则客健康代理可以向主健康代理请 求指示主机的当前健康状况的顺从性声明。在授予网络访问之前,顺从性声明可由客健康 代理转发到网络上的远程策略实施点以验证主机与该实施点所要求的一个或多个策略的 顺从性。如果顺从性声明指示出主机不遵从适用策略(这指示主机处于危险中,并且具有 高的受感染和/或受恶意软件损害的机会),则拒绝网络访问。可以向用户提供出错消息, 以便可以在再次尝试网络访问之前补救不顺从性。
在检查主机的健康的另一示例中,如果怀疑虚拟化环境的完整性受到损害,则客 健康代理可以向主健康代理请求顺从性声明以验证和/或确认与适用策略的继续顺从。例 如,可以在端点(即,安全网关设备)处接收在企业安全评估共享(“ESAS”)安全模型下的 安全评估,该端点被安排成监视网络中的安全相关信息。接收到的安全评估可以触发虚拟 环境受到损害的怀疑。顺从性声明可被用来确定是否发生了涉及主机的安全事故,以确认 或拒绝该怀疑,或触发对主机的附加分析。如果确认主机受到损害,则可以挂起客机上的操 作,拒绝网络连接请求等等,直至涉及主机的安全事故已被解决并补救为止。有利的是,本发明的用于保护客机免受主机上的恶意软件的攻击的安排使得能够 增强虚拟化环境中的安全性。尽管维持了对计算资源解除耦合的基本虚拟化原理,但对客 机和主机的安全分析被链在一起以检查并实施主机对适用策略的顺从性。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概 念。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确 定所要求保护的主题的范围。附图描述
图1示出可在主机上操作的虚拟化体系结构;图2示出客机可在具有到网络的连接的主机上操作的说明性虚拟化环境;图3示出可在客机和主机上操作的说明性组件;图4示出在客机引导时检查主机的健康状况的第一说明性使用场景的流程图;图5示出周期性地检查主机的健康状况的第二说明性使用场景的流程图;图6示出其中提供信道以使得能够在多个端点之间共享安全评估的说明性企业 安全评估共享(“ESAS”)安排;以及图7示出使用安全评估来触发对主机与适用策略的顺从性的检查的说明性场景。各附图中相同的附图标记指示相同的元素。详细描述虚拟化是在许多方面极大地改变当今计算的分裂技术。例如,虚拟化使得用户 (即,消费者或诸如企业员工等商业用户)能够避免在离开他们的台式PC(个人计算机)时 必须携带他们自己的膝上型计算机。相反,他们可以在诸如USB(通用串行总线)设备等便 携式存储设备上携带他们桌面的镜像,并在诸如家庭PC ;酒店自助服务终端、机场、图书馆 或网吧处的可公共访问的PC ;朋友的家庭计算机等任何主计算机上将该桌面作为虚拟客 机来运行。通过创建被称为分区的、主机的操作系统和一个或多个客机在其中执行的多个隔 离逻辑单元,可在诸如PC等主机100上设置虚拟化环境。如图1所示,虚拟化环境102通 常包括可被用来创建支持客机的一个或多个子分区1101. . . N的根分区106。在一些情况 下,子分区还可进一步产生它自己的子分区。根分区106包含主机的操作系统并且能够直 接访问该主机的硬件,包括中央处理器、存储器以及其他硬件资源。虚拟化软件层116被安排在各分区与主机上的硬件120之间。在该示例中,虚拟 化软件包括通过支持分区间通信的层116中的逻辑信道来向子分区110展示硬件120的虚 拟视图的管理程序。来自客机的对虚拟硬件的请求通过该逻辑信道被定向到父分区或根分 区。根分区随后将管理这些请求并通过该信道进行响应。整个请求和响应过程对在客机上运行的操作系统而言完全透明。尽管虚拟化执行得很好并且提供显著的灵活性和经济价值,但在主机感染了诸如 病毒、特洛伊木马、键击记录器等恶意软件时,存在可能的安全威胁。一旦在子分区110上 启动了客机,就可向主机上的恶意软件提供偷取或篡改该客机上的数据的机会。另外,如果 客机被用来访问诸如远程企业网络等网络,则恶意软件可以通过该客机来获得对网络上的 资源和数据的未经授权的访问。诸如NAP/NAC(网络访问保护/控制)等安全解决方案可用于通过验证客机与给 定顺从策略的顺从性来检查客机的健康状况。例如,该策略可以指定客机要使用最新安全 补丁来完全更新、运行具有最新当前签名的反病毒或反恶意软件软件程序、具有正确地配 置的软件防火墙等。然而,当前解决方案只对客机执行顺从性检查而忽略主机的健康状况。 因此,即使在发现客机完全顺从并且健康的情况下,当前解决方案也不能解决将客机暴露 给可能驻留在主机上的恶意软件的问题。图2示出可以实现本发明的用于保护客机免于受感染主机的攻击的安排的说明 性虚拟化环境200。虚拟客机205可在诸如PC等具有到诸如远程企业网络223( “企业内 网”)等网络的连接215的主机210上操作。网络连接215可以使用包括例如VPN(虚拟专用 网)、基于SSL (安全套接字层)的VPN、通过IPkc (因特网协议安全)的VPN等各种远程连 网协议之一来实现。或者,网络连接215可以使用全局SCM(安全内容管理)基础结构来实 现,例如在本申请的受让人所拥有的2008年6月四日提交的题为“Globally Distributed Infrastructure for Secure Content Management (用于安全内容管理的全局分布的基础 结构)”的美国专利申请第12/164,078号中描述的,该申请通过引用而整体结合于此。在企业内网223中,网络连接215的远程端点处是策略实施点226,连同顺从策略 服务器230,它们各自将在下文详细描述。企业资源和数据(在图2中由数据234统一标 识)可在企业内网223中获得,并且通常包括需要保护免受盗窃和恶意攻击的一些私有、敏 感和/或机密信息。企业内网223通常被安排成支持其他设备,如支持公司或企业的员工 的IT需求所需要的客户机计算机、工作站、膝上型计算机、移动设备等(未示出)。其他设 备可以在逻辑上与企业内网223部署在一起或在一些情况下部署在企业内网的远程。边缘防火墙239位于企业内网223中的周界处,它被配置成监视企业内网与诸如 因特网242等外部网络之间的通信。诸如电子邮件和web服务器和数据库等外部资源245 通常可通过因特网242来访问。用户可以通过将该用户的桌面镜像250从诸如所示的USB驱动器等便携式存储介 质253加载到主机210来创建虚拟化环境200。在一些情况下,便携式存储介质253还可包 括虚拟化软件116。在桌面镜像250被传送到子分区并且虚拟化软件可运作时,在主机210 上实例化客机205,并且客机205在主机上虚拟化用户的计算机,包括桌面、应用、数据、设 置以及偏好。注意,在客机205上虚拟化的对象(即,应用、数据等)的具体混合可以随实 现而变化,并且并非在每一实现中都需要虚拟化所有对象。主机210通常位于企业内网223的远程并且可包括可公共访问的PC,如自助服务 终端、图书馆等处的PC,或基于家庭的计算机,从安全保护观点来看基于家庭的计算机通常 不像它们的企业内网相对物那样被严密地控制或监视。结果,恶意软件(如附图标记252 所示)可以感染主机,这有可能损害客机205。
为了处理主机210上的恶意软件威胁,如图3所示,主健康代理305被配置成在主 机上运行,并检查主机与顺从策略308的顺从性。在一些实现中,当客机首次在子分区上启 动时,顺从策略308可以本地存储在客机205上,或在其他实现中,顺从策略308可以从顺 从策略服务器230(图幻中检索。顺从策略308通常将指定主机210的最小可接受健康条 件。这样的条件可以随实现变化,或由安全管理员来配置。例如,顺从策略308可以指定主 机210应打上最新安全更新补丁并且受反病毒产品或服务的保护。尽管在该示例中说明性 地使用了单个策略,但在一些应用中,可以利用多个顺从策略。主健康代理305和本地存储的顺从策略可被存储在便携式存储介质253(图2) 上,并且在启动期间分别被传送到主机和客机。在一些实现中,主健康代理305可被实现成 NAP客户端的一部分或可在主机210上运行或另外包括类似NAP功能的其他组件或代理的 一部分。主健康代理305可以检查指示主机的健康状况的各种因素,包括例如安全补丁 状态(其中术语“状态”指的是最后的补丁是什么以及它是在何时安装的)、反病毒和/或 反恶意软件软件的存在、病毒或恶意软件签名的更新状态、指示主机被证明能运行客机的 特定证书/文件/注册表键的存在(例如,主机是企业或企业内网的IT资产)、适当地配置 的软件防火墙的存在,等等。注意,在此列出的因素旨在是说明性的,并且还可以利用其他 因素,如满足具体实现的需求可能需要的那些因素。主健康代理305还被配置成与作为客机205的组件的对应的客健康代理312进行 通信。具体而言,在主健康代理305执行检查之后,主健康代理305可以生成指示主机的健 康状况的顺从性声明320。顺从性声明320可由主健康代理305例如响应于来自客健康代 理312的请求而发送到客健康代理。或者,主健康代理305可以在发生其他触发或条件时 或者在预定时间自己主动地发送顺从性声明320。主健康代理305可被配置成将顺从性声明320发送到顺从策略服务器230 (或策 略实施点226)而非客健康代理312。在这种情况下,顺从策略服务器230可以检查顺从性 声明320。如果发现主机210顺从适用策略,则顺从策略服务器230可以向主健康代理305 发行经签署的健康证书322。在主健康代理305从客健康代理312接收到请求时,它可以将 经签署的健康证书322发送到该客健康代理。客健康代理312可以在本地使用顺从性声明320 (或经签署的健康证书32 来确 定是否存在客机205可在其中操作的安全虚拟化环境。另外,在访问外部网络或企业内网 223(图幻时,客机205可以将顺从性声明320(或经签署的健康证书32 转发到策略实施 点226。这些使用中的每一个在下文图4和5中的流程图中示出的使用场景中被进一步示 出。这些流程图参考图2和3中示出并在所附文本中描述的元素。图4示出主健康代理305在客机205在主机210上的引导或初始化过程中的某一 点处检查该主机的健康状况的第一说明性使用场景400的流程图。例如,该检查可以在用 户尝试将桌面镜像250作为客机来在可位于诸如图书馆、自助服务终端或网吧等公共场所 的未知主机上启动的任何时间发生。在客机205开始引导过程(如附图标记410所示)时, 场景400开始,此时,客健康代理312启动015)。客健康代理312对主健康代理305作出检查主机210的健康状况的请求(420),以 便可以查明主机对策略308的顺从性。如上所述,所检查的具体因素以及策略308所施加的要求可以随实现变化。主健康代理305响应于该请求来执行健康检查(425)并将顺从性 声明320提供给客健康代理312 (430)。或者,如上所述,主健康代理305可以将顺从性声明 320提供给顺从策略服务器230并在确定主机顺从适用策略的情况下接收回经签署的健康 证书322。客健康代理312对照顺从策略308来比较从主健康代理305接收到的顺从性声明 320 (435)。如果确定主机210是顺从的(或如果经签署的健康证书322指示顺从性)(在 判定框410处),则允许客机205继续其引导过程直至其结束045)。这使得能够创建虚拟 化环境200,以便可以在客机205上提供用户的桌面、应用、设置、偏好、数据等中的一个或 多个(460)。如果主机上不存在客健康代理或顺从性声明320对照策略308的比较指示主机 210不遵从该策略,则可以经由在客机205上运行的用户界面来显示出错消息050)。该 出错消息可以给出主机210的不顺从性的细节的通知,使得用户可以尝试补救主机上的问 题。例如,如果主机210遗漏了关键安全补丁,则用户可以下载该补丁并安装它来使该主机 顺从策略308。一旦做了如此补救,客机205就可以继续引导过程055)以便为用户创建虚 拟化环境(460)。图5示出主健康代理305周期性地检查主机210的健康状况的第二说明性使用场 景500的流程图。在该示例中,在客机205尝试访问诸如企业内网223等外部网络时执行
该检查。在策略实施点2 通过网络连接215看到该尝试时,它将在允许完成到企业内网 223的连接之前请求产生顺从性声明(510)。作为响应,客健康代理312向主健康代理305 请求顺从性声明320(51 并且主健康代理执行主机210的健康检查以生成顺从性声明 (520)。或者,如上所述,主健康代理305可以将顺从性声明320提供给顺从策略服务器230 并在确定主机顺从适用策略的情况下接收回经签署的健康证书322。客健康代理312将顺从性声明320转发给策略实施点2 (525)。策略实施点2 对照适用顺从策略来比较该声明(530)。通常,适用策略将由顺从策略服务器230来提供。 另外,如上述在本地存储的策略308的情况下,在给定实现中,一个或多个策略可适用于主 机210。如果来自主健康代理305的顺从性声明指示主机210顺从适用策略(或如果经签 署的健康证书322指示顺从性)(在判定框535处),则策略实施点226向客机205授予对 企业内网223的访问(540)。如果主机上不存在客健康代理或顺从性声明320对照顺从策略服务器230所提 供的策略的比较指示主机210不遵从该策略,则策略实施点2 拒绝网络访问(545),并且 可以经由在客机205上运行的用户界面来显示出错消息(550)。该出错消息可以给出主机 210的不顺从性的细节的通知,使得用户可以尝试补救主机上的顺从性问题。例如,如果主 机210遗漏了在主机上运行的反病毒产品的恶意软件签名的最新更新,则用户可以下载该 签名更新并安装它来使该主机顺从适用策略。如果如此补救,则顺从实施点2 向客机205 授予网络访问( ,以使得该客机处的用户可以对数据存储234进行读写和/或访问基于 因特网的资源对5。在其他情况下,主健康代理305也可被用来检查主机210健康状况。例如,如果怀 疑虚拟化环境的完整性被损害,则客健康代理可以向主健康代理请求健康声明以验证和/或确认继续顺从适用策略。在一个说明性示例中,可以接收在ESAS安全模型下的安全评估 来触发这样的怀疑。图6示出其中提供信道605以使得能够在被称为端点610^.,的多个安全网关之 间共享安全评估的说明性ESAS安排600。用于企业网络安全的基于ESAS的安全模型在本 申请的受让人所拥有的2007年3月14日提交的题为“Enterprise Security Assessment faring(企业安全评估共享),,的美国专利申请第11/724,061号中描述,并且该申请通过 被引用而整体结合于此,它提供了对安全事故的增强检测并启用单个企业范围视图来使安 全管理员能够定义并实施清楚、简单以及统一的企业范围响应策略来对安全事故进行自动 响应。ESAS依赖于语义抽象,称为使得能够在企业安全环境中的各端点之间共享安全相 关信息的安全评估。在该示例中,企业安全环境可包括企业内网223(图2)以及它支持的 用户和机器(包括客机205和主机210),或涵盖使用例如全局SCM基础结构的分布式安排。安全评估被定义为端点将较宽泛的上下文含义向所收集的关于该环境中诸如计 算机、用户、服务、网站、数据或企业整体等感兴趣对象的信息(即,某些上下文中的数据) 的试验性指派。安全评估利用对于端点的简明词汇来声明环境中的对象落入诸如“已受损” 或“正被攻击”等某一评估类别以及所检测到的事故的严重性(例如,低、中、高、关键)。安全评估是试验性的,因为它遭受某种不确定性并且在有限时间段内有效。安全 评估的试验性特性反映在其两个分量中保真度字段,其表达端点对其上下文含义指派的 置信度水平,以及生存时间(“TTL”)字段,其反映端点对安全评估预期有效的时间段的估 计。由此,例如,安全评估可由端点用来根据该端点对一个或多个安全事故的现有理解来声 明某一机器已受损,严重性等级为关键、保真度为中且具有30分钟的TTL。在任何给定企业网络环境中,可以利用各种类型的安全评估。这些可包括例如评 估类别和对象类型的各种组合。ESAS通常提供多个优点。通过采用具有简明词汇的安全评估,显著地降低了企业 中的总体数据复杂性并且在各端点之间只共享有意义的信息。使用安全评估还消除了对在 中央存储位置收集大量原始数据的需求,并由此使得能够在非常经济的基础上构建高度可 缩放的企业安全解决方案。另外,可容易地用按需可扩展性来部署新端点。安全评估可以 在该新端点和现有端点之间共享而无需重新配置现有端点中的响应策略中的任一个。新端 点使用现有端点已经理解的语义抽象来担当新的安全评估源即可。利用安全评估还使得能 够使用非常紧凑且清楚的方法来建立企业范围安全策略,而无需理解每一个端点可在企业 中生成的所有可能的安全事件并然后试图描述对于每一个事件的响应动作。在ESAS安全模型下,企业网络用户服从管控IT资产在企业环境中的利用的安全 策略。具体而言,安全策略通常至少部分地由端点610来实施。安全策略通常对哪些用户 可以访问信息、什么类型的信息可被访问以及何时可被访问、准许和不准许的行为、审计企 业中的实践等等进行管控。端点610可包括例如对企业内的安全相关数据的不同部分进行监视、评估并采取 动作的安全产品。例如,如图6所示,企业内网223可以利用安全产品的组合,包括边缘防 火墙产品GlO1、一个或多个专用行业安全网关产品6102以及主安全产品610n。尽管在该 特定说明性示例中没有使用,但取决于特定实现的需求,也可使用其他类型的安全产品,包括例如业务安全网关、信息泄漏保护网关、包括web应用保护产品的网络侵入检测系统 (“NIDS”)产品、UTM(统一威胁管理)产品、SEM/SIM(安全事件管理/安全事故管理)产品、 NAP产品、以及可用的健康监视和配置管理产品(例如,微软Windows Software Update Services (软件更新服务))。边缘防火墙是被安排成保护企业内网223免遭基于因特网的威胁同时向用户 提供对应用和数据的远程访问的安全产品。边缘防火墙可具体化为例如,微软hternet Security and Acceleration (因特网安全和加速,“ISA”)服务器。行业安全产品保护 各种行业应用,包括例如企业内网223中使用的电子邮件应用,如微软Exchange ,以提供 反病毒和反垃圾邮件保护。主机安全产品的商用示例是微软公司的Threat Management Gateway ( “TMG”,威胁管理网关)产品,其为企业的台式计算机、膝上型计算机和服务器操 作系统提供统一的恶意软件保护。在大多数典型的ESAS实现中,还可以使用被称为ESAS中央服务器616的专用端 点。ESAS中央服务器616耦合到安全评估信道605,并通过订阅所有安全评估、记录安全评 估、并且还记录由端点610响应于环境中的安全事故而采取的本地动作来作为集中式审核 点来执行。该ESAS中央服务器616向管理员提供企业整体以及每一端点610的历史和当 前状态的综合视图。利用安全评估使得管理员能够紧凑且高效地配置对跨整个企业检测到 的事故的响应策略。安全评估用作用于定义企业范围安全响应策略的自然锚或起始点。由 此启用流水线化的且一致的管理界面来为跨整个企业的每一种类型的安全评估定义所需 响应。端点610还可具有将安全评估发布到在环境中操作的安全评估信道上以及订阅 由其他端点发布的可用安全评估的子集的功能。存在于环境中的活动的安全评估(即,具 有指示评估仍然有效的TTL的安全评估)用于提供安全上下文,该安全上下文给予这样的 端点610查看其自己的本地可用信息的新的方式。即,该安全上下文允许端点610将从各种不同源接收到的并且跨对象类型的安全 评估的证据进行组合或相关以显著提高其对潜在安全事故的检测的质量。端点610随后根 据一组响应策略来作出关于对于每一种类型的安全评估(无论是从另一端点接收到的还 是由该端点本身内部生成的)什么本地动作或响应是适当的决定。事故检测是高效且经济 的,因为安全上下文使得能够以安全评估的形式来对企业范围信息进行分布式处理,而没 有在整个企业中共享大量原始数据(其中大多数都由于缺乏任何上下文而是完全无关的) 的负担。端点610还被安排成在提示本地动作的安全评估到期时(即,在该安全评估超过 TTL字段中所指定的生存时间时)回退该本地动作。在该说明性示例中,客机205还被配置成通过安全评估信道605接收到的标识涉 及主机210的安全事故的安全评估的订户。因此,安全评估信道605可以例如通过VPN/SSL 连接或使用全局SCM访问来虚拟地并且在逻辑上扩展到客机。图7示出使用安全评估来触发对主机与适用策略的顺从性的检查的说明性场景 700。场景700可以分四个阶段来描述。如附图标记710所指示的,边缘防火墙610i首先 标识主机210可能已受损,例如这是因为该主机创建了太多的到因特网M2的连接而使得 对于该行为的最有可能的解释是安全性损害的存在。其次,如附图标记720所示,边缘防火墙GlO1通过安全评估信道605将具有高严重性和高保真度的、指示怀疑主机“已受损”的安全评估发送到订阅端点610。第三,由于客 机205是涉及其主机的安全评估的订户,所以它将通过安全评估信道605接收到安全评估 720。安全评估720引起对主机上的根分区包含出于恶意目的而作出连接的恶意软件的怀 疑。如果确认了这样的怀疑,则虚拟化环境是不健康的并且客机205可能处于危险中。因 此,接收到的安全评估720可被用来触发向客健康代理312请求主健康代理305执行主机 210的健康检查。主健康代理305将响应于该请求来执行该检查并将指示结果的顺从性声 明320提供给客健康代理312。如果顺从性声明320指示一问题,则可以通知用户以便可以 实现补救。另外,在一些实现中,接收安全评估720的订阅端点eiOu.j* ESAS中央服务器 616可被用来通过应用它们自己的相关规则和本地可用的数据来应用专用的安全专家经验 来触发动作。可对客机205执行端点610的动作以检查该客机是否受在主机上检测到的安 全事故的损害,补救任何损害,和/或将该客机从企业内网或其他IT对象隔离,直至验证了 它是健康的为止。端点610所采取的动作可另选地应用于主机210,而在一些实现中,客机 205和主机210都可以是这些动作的主体。通常,所采取的特定动作和它们应用到的IT对 象将由在企业内网或企业环境中配置和实现的响应策略来管控。如图7中的附图标记740笼统地示出的,端点610响应于接收到的安全评估所采 取的动作说明性地包括主安全端点610N执行按需反病毒扫描。另外,如图所示,行业安全端 点6102可以临时地挂起即时消息收发(“IM”)或电子邮件通信。ESAS中央服务器616引 发对安全分析员(例如,管理员)的警告并且还记录安全评估和所调用的所有动作。要强 调的是,这些动作旨在是说明性的并且其他端点所采取的其他动作可被用来满足给定实现 或使用场景的需求。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权 利要求书中定义的主题不必限于上述具体特征或动作。相反,上文所描述的具体特征和动 作是作为实现权利要求的示例形式来公开的。
权利要求
1.一种用于操作在主机(210)上操作的子分区(110)中创建的客机Q05)的方法,所 述方法包括以下步骤在所述主机Ο ο)的子分区(110)上启动所述客机O05)的引导过程;与所述主机O10)上的根分区(106)进行通信以确定所述主机(210)对顺从策略 (308)的顺从性;如果确定所述主机(210)顺从所述顺从策略(308),则完成所述客机(2冊)在所述子分 区(110)中的引导过程以创建虚拟化环境(100);以及如果确定所述主机(210)不顺从所述顺从策略(308),则终止所述客机(2冊)在所述子 分区(110)中的引导过程。
2.如权利要求1所述的方法,其特征在于,还包括使用能在所述客机上操作的客健康 代理来与所述根分区进行通信的步骤。
3.如权利要求2所述的方法,其特征在于,还包括使用能在所述主机的根分区上操作 的主健康代理来与所述客健康代理进行通信的步骤。
4.如权利要求3所述的方法,其特征在于,所述主健康代理被配置成检查指示所述主 机的健康状况的一个或多个因素。
5.如权利要求4所述的方法,其特征在于,所述一个或多个因素包括以下中的至少一 个安全补丁状态、反病毒软件的存在、反恶意软件的存在、病毒签名状态、恶意软件签名状 态、指示所述主机已被证明能运行所述客机的证书或文件注册表键的存在、防火墙的存在 或所述防火墙的配置状态。
6.如权利要求3所述的方法,其特征在于,还包括接收存储在计算机可读介质上的指 令的步骤,所述指令在由部署所述主机上的一个或多个处理器执行时实现所述主健康代理 或所述客健康代理。
7.如权利要求6所述的方法,其特征在于,所述计算机可读介质是还包括在所述虚拟 化环境中使用的桌面镜像的存储介质。
8.如权利要求7所述的方法,其特征在于,所述桌面镜像包括所述顺从策略、数据、用 户设置、用户偏好或应用中的一个或多个。
9.如权利要求1所述的方法,其特征在于,还包括以下步骤i)配置所述客机以耦合到 通信信道,用于安全评估的发布和订阅模型通过该通信信道来操作,每一安全评估被安排 成提供与联网环境中的对象有关的安全事故的上下文意义,所述通信信道在多个安全端点 之间共享,并且所述安全评估使用所述多个端点通常理解的分类法, )通过所述通信信道 接收描述所述主机上的、由安全端点检测到的可能安全事故的安全评估,以及iii)响应于 所接收到的安全评估,触发对所述主机上的组件执行所述主机的健康检查的请求。
10.如权利要求1所述的方法,其特征在于,还包括在确定所述主机不顺从时显示出错 消息的步骤,所述出错消息指示所述主机不顺从所述顺从策略并且提供可以执行对不顺从 性的补救的通知。
11.一种用于管理来自在主机Ο ο)上的子分区(110)上运行的客机(205)的网络访 问的方法,所述方法包括以下步骤从所述客机(20 接收对连接到网络(223)的请求;从所述客机(20 请求指示所述主机的健康状态的顺从性声明(320);对照指定所述主机O10)的最小健康条件的一个或多个顺从策略来比较所述顺从性 声明(320);如果所述顺从性声明(320)指示所述主机(210)顺从所述一个或多个顺从策略,则向 所述客机(20 授予对所述网络023)的访问;以及如果所述顺从性声明(320)指示所述主机O10)不顺从所述一个或多个顺从策略,则 拒绝连接到所述网络023)的请求。
12.如权利要求11所述的方法,其特征在于,还包括从顺从策略服务器接收所述一个 或多个顺从策略的步骤。
13.如权利要求11所述的方法,其特征在于,还包括在补救了所述主机对所述一个或 多个顺从策略的不顺从性的情况下向所述客机授予对所述网络的访问的步骤。
14.如权利要求13所述的方法,其特征在于,所述远程连接是由VPN、使用SSL的VPN、 通过IPkc的VPN、或全局SCM服务之一来实现的。
15.如权利要求11所述的方法,其特征在于,所述顺从性声明是由在所述主机的根分 区上运行的组件生成的,所述组件被安排成检查所述主机的健康状态并且将所述顺从性声 明返回所述客机,或被安排成检查所述主机的健康状态并将所述顺从性声明返回给顺从策 略服务器并且在确定所述主机顺从所述一个或多个顺从策略的情况下从所述顺从策略服 务器接收经签署的健康声明。
全文摘要
在一虚拟化环境(100)中,监视客机(205)可在其上操作的主机(210)以确定它是否因顺从适用策略(如更新到当前最新安全补丁、运行反病毒程序、已被证明能运行客机,等等)并且不受可能破坏或损害客机(205)的安全性的恶意软件(即,“malware”)(252)的影响而健康。如果发现主机(210)是不顺从(non-compliant)的,则防止客机(205)在该主机(210)上引导或连接到网络(223),以确保整个虚拟化环境(100)是顺从的并且保护客机(205)(包括它的数据和应用等)免受可经由在不健康主机(210)上运行的恶意代码来针对它发起的攻击或将客机从网络(223)隔离,直至非顺从性得到补救为止。
文档编号G06F21/20GK102132287SQ200980134101
公开日2011年7月20日 申请日期2009年7月31日 优先权日2008年8月28日
发明者J·尼斯塔德特, N·奈斯, N·本-由查那 申请人:微软公司