专利名称:用于利用虚拟机包裹应用来防止数据丢失的系统和方法
技术领域:
本公开概括来说涉及安全性的领域,更具体而言涉及在虚拟环境中防止数据丢失。
背景技术:
网络安全性的领域在当今的社会中已变得越来越重要了。尤其,有效地保护计算机、系统和存在于这样的计算机和系统上的数据的能力对于组件制造商、系统设计者和网络运营者成为了严重障碍。由于持续发展的安全性威胁,使得此障碍更加困难了。虚拟化是一种软件技术,其允许一完整的操作系统在隔离的虚拟环境(通常称为虚拟机)上运行,在该处平台的物理特性和行为被再现。虚拟化还可支持在虚拟机内执行单个应用。虚拟机 可代表配备有虚拟硬件(处理器、存储器、盘、网络接口等等)的隔离虚拟环境(位于主机操作系统(OS)上面或者仅仅在硬件上运行)。通常,虚拟机由虚拟化产品来管理。虚拟机监视器(VMM)通常是管理来自访客OS的硬件请求(例如,模拟来自真实硬件的应答)的虚拟化软件层。超级监督者(hypervisor)通常是允许多个操作系统同时在主机计算机上运行的计算机软件/硬件平台虚拟化软件。应用代表了虚拟环境中的独特挑战,因为它们可很容易被操纵以便感染给定的计算机系统。安全性专业人员和网络管理员应当考虑这些问题以便保护计算机和系统抵御新兴的安全性威胁。
为了提供对本公开及其特征和优点的更完整理解,参考以下结合附图来理解的描述,附图中相似的标号表示相似的部件,其中图I是根据一个实施例的用于利用虚拟机包裹应用(virtual machinewrappedapplication)来防止数据丢失的系统的简化框图;图2是用于利用虚拟机包裹应用来防止数据丢失的系统的示例性实施例的简化框图;图3是示出根据一个实施例的与该系统相关联的一系列示例性步骤的简化流程图;并且图4是示出根据另一实施例的与该系统相关联的一系列示例性步骤的简化流程图。
具体实施例方式概沭一个示例性实现方式中的方法包括选择至少一个标准以用于控制从虚拟机内的数据传送。至少一个应用被包括在该虚拟机内并且虚拟机包括策略模块。所选标准对应于与该策略模块相关联的至少一个策略。该方法还包括评估该策略的所选标准以许可对于从该虚拟机内传送数据的尝试。在更具体的实施例中,该策略包括多个所选标准,其中包括许可传送数据到第一其他应用的第一所选标准和禁止传送数据到第二其他应用的第二所选标准。在其他更具体的实施例中,如果多个用户之一的客户端设备正从受保护的网络环境内请求访问该应用,则所选标准许可传送数据到该客户端设备。在另一更具体的实施例中,该方法包括通过管理模块更新该策略模块以修改所选标准。示例件实施例图I是用于利用虚拟机包裹应用在虚拟环境中保护数据抵御意外和故意的泄漏的系统10的简化框图。系统10可包括多个虚拟机12、14、24和26,以及操作系统30。系统10还可包括虚拟机监视器16,该虚拟机监视器16包括存储器元件18、策略管理模块20和处理器22。存储器元件18可包含主镜像38,该主镜像38带有与在系统10内使用的软件的最新近版本相对应的存储条目。虚拟机12、14、24和26中的每一个分别包括相关联的防火墙策略模块34a、34b、34c和34d。图I中未示出的有采取存储器管理单元(MMU)、对称 多重处理(SMP)元件、物理存储器、以太网、小型计算机系统接口(SCSI)/集成驱动电子电路(IED)元件等等的形式的可适当地耦合到操作系统30和虚拟机监视器16(例如在其逻辑表示下提供)的另外硬件。在示例性实施例中,系统10把每个应用或应用的套件包裹在虚拟机内以便保护与该应用相关联的数据抵御意外和故意的泄漏。为了例示系统10的技术,理解在给定网络内发生的活动是重要的。以下基本信息可被视为一个基础,基于该基础可以适当地说明本公开。这种信息只是出于说明目的而真诚提供的,因此不应以任何方式被解释为限制本公开的宽广范围及其可能应用。包括局域网(LAN)、广域网(WAN)、校园区域网(CAN)、内联网和外联网等等的典型网络环境被企业、学校和其他组织用于将多个个人计算机或客户端设备连同允许客户端设备访问与该组织的功能有关的共享数据和应用的服务器链接在一起。此外,这些网络经常被配置为提供从网络中的客户端设备到因特网的因特网连接,以使能访问万维网以及可能的其他网络。这些组织维护的数据通常包括各种类型和程度的机密数据,其中诸如工资记录和法律文档之类的数据经常要求很高程度的保护,而诸如客户销售之类的数据可要求较低程度的保护。网络管理员通常配置其网络以允许特定的人(或者人的群组)访问特定的应用,这取决于与这些应用相关联的机密数据的类型和程度。例如,在人力资源部门内工作的人将可能拥有对与人力资源部门相关联的数据和应用的访问权限,而没有对与法律部门相关联的数据和应用的访问权限。此类安全性通常是在操作系统级应用的。单是操作系统级的安全性是有缺陷的,因为其依赖于个体适当地控制数据和应用以避免机密数据的意外和故意误用。当多个应用在操作系统上运行时,可利用操作系统剪贴板、文件系统等等(例如,利用拷贝和粘贴功能、保存、移动、发送到、导入和导出型功能等等)在这些应用之间共享数据。从而,访问法律部门数据的授权用户可能错误地(或者故意地)与另一用户共享机密的法律文件或数据,而该另一用户未被授权访问这样的信息。这例如可通过在法律应用和另一应用之间使用拷贝和粘贴功能以把机密数据存储在组织中的未授权用户能够访问的不受保护的存储器空间中来实现。在另一示例中,用户可从法律应用向未授权用户用电子邮件发送一消息,该消息包含被拷贝到该消息中或作为附件包括的机密数据。此外,临时文件也可有泄漏机密数据的危险,因为它们通常在操作系统内是可用的。如果一应用在所有临时文件被删除之前终止,则这些剩余的临时文件可被精明的用户或者被恶意的第三方软件所访问。临时文件可包含来自被授权用户运行的应用的机密数据,或者下载的其他信息,例如用户的银行账户的详情。这种临时文件有暴露的危险,因为它们经常未被保护。当授权用户从未受保护或不那么安全的环境访问其组织的网络时,也可发生数据泄漏问题。例如,用户经常把其膝上型计算机带回家或者以其他方式带到公司环境之外并且远程地登录到其组织的网络。这种网络通常具有防火墙,防火墙是被配置为控制发送到/发送自该网络的计算机流量的一个或一组设备。 信。即使有了适当的防火墙保护,在例如授权用户从不那么安全的(远程)位置访问网络并且开始取回机密数据的情况下,数据泄漏也可发生。机密数据可从受防火墙保护的网络行经诸如电话线、线缆调制解调器、光缆、卫星、微波、路由器、网关、交换机等等之类的各种通信路径和联网设备去到用户的计算机。此外,用户的计算机在远程访问组织的网络时可不再被防火墙保护,从而将用户的计算机暴露于各种形式的恶意软件,这可将机密数据置于危险之中。如图I概略示出的用于防止数据丢失的系统可解决这些问题中的许多。根据一个示例性实现方式,提供了一种应用以将网络中使用的每个应用或应用套件封装或包裹在虚拟机内。去往和来自每个虚拟机的访问可受相关联的防火墙(即安全性)策略或任何其他适当的安全性保护措施的控制。可能由相关联的防火墙策略定义的机密数据可被包含在虚拟机包裹应用内,以使得拷贝和粘贴缓冲器和临时文件将不能通过虚拟机下层的操作系统来访问。此外,虚拟机包裹在操作系统上面提供了额外的一层安全性,这可防止对存储机密数据的存储器的直接访问。可评估相关联的防火墙策略来判定虚拟机包裹应用是否被允许共享数据(例如,利用拷贝和粘贴缓冲器、保存、移动、发送到和导入/导出型功能、电子邮件等等)。例如,第一虚拟机包裹应用可被允许与第二虚拟机包裹应用共享机密数据,但不被允许与第三虚拟机包裹应用和可能不具有虚拟机包裹的第四应用共享机密数据。从而,系统10可在每个应用或应用套件周围提供聚焦的、特定的安全性,以控制由用户和其他虚拟机进行的访问。这种系统可允许在主操作系统上运行或在诸如末端用户的客户端设备之类的特定设备的操作系统上运行的任何应用被包裹在虚拟机内。另外,系统10可自动生成并维护或者网络管理员可配置并维护表示软件的特定版本(例如最新近版本)的主镜像38,从而使得每个虚拟机包裹应用可根据需要被更新。一般地,虚拟机可被实现为运行完整的操作系统及其相关联的应用(系统虚拟机),或者运行单个应用或应用套件(进程虚拟机)。虚拟机可实现为类型1,即在主机操作系统下面、直接在硬件上运行,或者实现为类型2,即在主机操作系统上面运行。系统虚拟机和进程虚拟机都可具有某种类型的虚拟化软件,该虚拟化软件管理虚拟机和任何访客操作系统。如本说明书中这里所使用的,术语“虚拟机监视器”意欲包括超级监督者,或者其他能够操作以管理一个或多个虚拟机并且允许期望的策略管理的其他软件或对象,如下所详述。注意,在计算中,与仅包含数据的文件不同,可执行(文件)可使得计算机根据编码的指令来执行所指示的任务。包含对于解释器或虚拟机的指令的文件可被认为是“可执行文件”或“二进制文件”,与程序源代码形成对比。(如本说明书中这里所使用的)更一般的术语“对象”意欲包括被试图调用、发起或以其他方式执行的任何这种可执行文件、二进制文件、内核模块等等。转到图I的基础设施,虚拟机监视器16可被实现为管理多个应用,这多个应用各自由虚拟机12、14、24和26单独包裹。在一种示例性实现方式中,虚拟机监视器16可被认为是在主操作系统30上面运行的虚拟化软件,并且多个虚拟机12、14、24和26也在现有操作系统30上面运行。然而,基于特定的环境或者根据特定的用户需求,虚拟机监视器16可被实现为超级监督者以仅仅在硬件上运行,并且每个虚拟机12、14、24和26运行其自己的操作系统。虚拟机监视器16可以是服务器、防火墙的一部分或者更一般地说是计算机的一部分。此外,以下内容是在本公开的宽广教导内的包括策略管理模块20和主镜像38的虚拟机监视器16可位于网络的中央库(例如IT总部)中,供网络管理员直接访问以配置和维护系统。在图I中所示的一个示例性实施例中,有包裹在虚拟机12中的人力资源应用28、包裹在虚拟机14中的客户销售应用32、包括在虚拟机24中的具有多个应用的应用套件40以及包裹在虚拟机26中的Adobe 应用44。应用套件40例如可包括诸如]Vlicrosoft Word> Excel .和PowerPoint 之类的捆绑的软件应用。
在此示例性实施例中,诸如网络管理员之类的具有适当权力的用户被提供以用于管理虚拟机12、14、24和26和相关联的防火墙策略模块34a、34b、34c和34d的完整设置的接口。此管理可包括虚拟机监视器和虚拟机的配置、虚拟机的创建、删除、修改、关闭、更新和启动,等等。该接口可允许网络管理员最初配置和维护包括与网络内的应用的特定版本相对应的条目的主镜像38。或者,系统10可自动生成和更新主镜像38。通过策略管理模块20,网络管理员可为要通过各个防火墙策略模块34a、34b、34c和34d应用到每个虚拟机
12、14、24和26的策略选择期望的特定标准。可依据例如以下因素来调整这些策略以为数据符合特定的期望安全性通过虚拟机包裹应用可访问的数据的机密性、试图访问数据的特定用户、特定的职位、特定的部门类型、特定的信息时间戳、数据访问请求发源的特定位置、数据访问请求发源的特定日和特定的当日时间、特别配置的许可,等等。一旦虚拟机12、14,24和26被配置以相关联的防火墙策略模块34a、34b、34c和34d,这些虚拟机就可被部署到授权用户可以访问的目标计算机,例如末端用户的客户端设备、服务器或者任何其他被配置为容宿虚拟机包裹应用的设备。策略管理模块20还被配置为允许网络管理员根据需要维护虚拟机12、14、24和26以及更新或改变防火墙策略模块34a、34b、34c和34d上的安全性策略。与系统10相关联的第一级安全性可涉及认证。认证判定用户是否被授权访问网络并且判定在网络内用户被允许访问哪些特定应用或数据。虽然认证通常是在操作系统级应用的,但认证过程的至少一部分也可通过防火墙策略模块34a、34b、34c和34d来应用。一旦授权用户被准予访问虚拟机12、14、24或26内的应用,相关联的防火墙策略模块34a、34b、34c或34d就可限制该用户在该应用内能够做什么。在一个示例性实施例中,可以向用于人力资源虚拟机12的防火墙策略模块34a应用策略,防止授权用户把诸如员工薪酬数据之类的机密数据从人力资源虚拟机12传送(例如拷贝、粘贴、移动、发送、导出、用电子邮件发送等等)到另一应用或用户,例如应用套件虚拟机24。或者,如果用户具有更高批准级别的授权,则策略可被调整以允许带有数据跟踪的数据传送。在此情形中,当用户被允许从人力资源应用虚拟机12传送机密数据到另一应用或用户时,所传送的机密数据可被记录在存储器元件中存储的数据日志中。如本说明书中这里所使用的,术语“传送”意欲涵盖与拷贝、剪切、粘贴、保存、移动、发送、导入、导出、用电子邮件发送或以其他方式操作数据相关联的任何操作。在防火墙策略模块34a、34b、34c和34d内可使用的另一种形式的策略包括与用户从其请求访问特定应用的环境有关的策略。例如,如果用户在其物理上位于网络的安全环境内时从客户端设备(例如膝上型计算机等等)请求访问人力资源虚拟机12,则防火墙策略模块34a可执行检查以判定用户是否在安全环境内并且相应地允许访问。然而,如果用户在办公室外,例如在通勤列车上,并且因此在网络的安全环境之外,那么因为人力资源虚拟机12内的信息的机密性,防火墙策略模块34a的策略可被配置为禁止用户访问虚拟机12内的人力资源应用。从而,当用户在不那么安全的环境中时,协议可防止用户可能泄漏数据。本公开的范围意图涵盖特定的组织为了控制从其网络内的其一个或多个应用的数据泄漏而所想要的任何类型或组合的防火墙策略。这种策略包括但不限于限制特定应用之间的数据移动的策略、依据用户的环境限制应用访问的策略、依据请求访问的当日时间或特定日限制应用访问的策略、以及限制从特定应用到特定个体或个体群组的数据移动的策略。
转到图2,图2是示出根据本公开的利用虚拟机包裹应用的数据丢失防止系统50的一种实现方式的简化框图。在此示例性实现方式中,诸如公司或其他企业实体之类的组织的网络设有机器60,机器60逻辑地连接到可以是组织的网络基础设施的一部分的邮件服务器56、中央知识产权存储库54以及中央人力资源系统52。应当注意,术语“机器”可与术语“计算机”互换。机器60包括共同操作环境72 (例如操作系统)中的应用。这些应用包括邮件客户端64,该邮件客户端64连接到邮件服务器56,用于发送和接收不与在虚拟环境内保护的数据或应用相关联或链接的电子邮件通信。机器60还包括虚拟机66,用于访问中央知识产权存储库54。虚拟机66包括防火墙策略模块68和邮件客户端70,用于从虚拟机66发送和接收电子邮件。安全邮件代理58把虚拟机66中的邮件客户端70连接到网络上的邮件服务器56。机器60还可配置有USB驱动器62。在图2中所示的实现方式中,机器60可由作为组织的研究负责人的用户操作。系统50可要求认证用户被授权使用机器60来访问网络内的各种资源。这种认证可由操作系统执行,其中唯一的用户ID和口令被确证。一旦用户被适当地认证,他/她就可被允许访问组织内的某些资源。例如,作为研究负责人,用户可被允许访问中央知识产权存储库54,但不被允许中央人力资源系统52,如图2中将机器60连接到中央人力资源系统52的虚线所例示的。在替换实施例中,用户可被允许仅针对特定的机密数据访问中央人力资源系统52,所述特定的机密数据例如是与向该用户负责的研究部门中的员工相对应的数据。允许或阻止对特定资源或应用的访问可通过操作系统使用上述认证机制来实现。然而,配置系统以在特定的虚拟机包裹应用的相关联的防火墙策略模块内执行对访问该虚拟机包裹应用的认证,是在本公开的宽广教导内的。具体而言,可以向防火墙策略模块应用具有所选标准的策略,该所选标准被评估以判定用户是否被允许访问特定的虚拟机包裹应用。如果被授权,则用户可通过虚拟机66访问中央知识产权存储库54。与虚拟机66相关联的防火墙策略模块68可被配置有具有所选标准的策略以控制从中央知识产权存储库54的数据传送。例如,所选标准可允许用户访问中央知识产权存储库54内的机密数据,但不允许数据被拷贝和粘贴、移动、导出、以电子邮件发送或以其他方式传送到另一应用。在用户被给予对中央人力资源系统52的有限访问权限的上述替换实施例中,与防火墙策略模块68相关联的策略中的所选标准可以只允许与特定员工有关的机密数据被该用户访问。所选标准可允许或不允许用户将可访问的数据传送到其他应用。如这里前文所述,所选标准可被配置为允许到某些应用的数据传送并且禁止到其他应用的数据传送,这是在本公开的宽广教导内的。在图2中所示的特定的示例性实现方式中,用户被允许从虚拟机66内访问电子邮件。在此情形中,从虚拟机66发送的任何电子邮件在被发送到邮件服务器56之前被传送到安全邮件代理58。在安全邮件代理58中,电子邮件被就该特定应用所保护的任何机密数据加以审查。从而,防火墙策略模块68的所选标准可被应用到该电子邮件的内容、附件和路由。保持一日志以用于记录与被允许从安全邮件代理58发送的数据相对应的条目,从而允许组织跟踪在组织中的应用和用户之间共享的特定数据,这也是在本公开的宽广教导内的。最后,USB驱动器62是机器60的共同操作环境72可访问的,其中防火墙策略模块68可包括具有防止虚拟机66与USB端口通信的所选标准的策略。这防止了用户把受保护的 数据拷贝到USB驱动器62上的闪存盘,而且其还保护了虚拟机包裹应用以免与通过USB驱动器62引入到机器60的任何软件应用通信。利用相关联的防火墙策略模块对个体应用的这种虚拟化对于保护数据抵御通过USB驱动器62引入到机器60的受感染软件尤其有用。虚拟机66的用户因此可被限制到虚拟机包裹应用内的特定任务以便降低弄乱或危害机密数据的能力。转到图3,图3是示出与数据丢失防止系统的一种实现方式相关联的数个示例性步骤的简化流程图100。该流程可开始于步骤110,在该步骤中接收对访问受限数据的请求。在步骤120,应答关于是否允许对访问受限数据的请求的查询。如果不授权对访问受限数据的请求,则流程移动到步骤122,在该步骤中拒绝请求。如果授权对访问受限数据的请求,则流程移动到步骤124,在该步骤中进行关于中央库是否可用于主镜像检查的查询。如果中央库不可用,则流程移动到步骤126,在该步骤中访问将依据策略的标准,其中标准是网络管理员预先选择的。例如,如果数据是高度机密的,则所选标准可要求虚拟机被禁止操作,直到中央库可用于主镜像检查为止。然而,如果数据具有较低程度的机密性,那么即使中央库没有检查主镜像,所选标准也可允许虚拟机访问。如果在步骤124中中央库可用于主镜像检查,则流程移动到步骤130,在该步骤中进行关于客户端是否具有经认可的(即新近版本的)虚拟机的查询。此检查是通过搜索主镜像38以判定包括但不限于应用、虚拟机和防火墙策略模块在内的软件是否是新近的来执行的。如果客户端没有经认可的虚拟机,则流程转到步骤140,在该步骤中虚拟机被下载或更新以包含正确的软件并且流程转回到步骤130中的查询。如果在步骤130中查询到客户端有经认可的虚拟机,则流程转到步骤150以允许访问虚拟机。在步骤124处中央库不可用于主镜像检查、但所选标准却允许访问受限数据的情形中,那么下次中央库在对访问受限数据的请求期间可用于主镜像检查时,虚拟机包裹应用如果不是新近的则将在步骤140被更新。根据本公开中的教导,如上所详述的,依据与虚拟机相关联的特定防火墙策略模块的策略中的所选标准可在虚拟机内限制用户传送数据的能力。可在各种位置(例如中央库或IT总部)提供用于配置和维护虚拟机包裹应用和相关联的防火墙策略模块的软件。在其他实施例中,可从web服务器接收或下载此软件(例如,在为单独的网络、设备、虚拟机、服务器等等购买个体末端用户许可证的情境中),以便提供这个利用虚拟机包裹应用来防止数据丢失的系统。一旦最初已配置了虚拟机包裹应用和相关联的防火墙策略模块,则也可在各种位置(例如在防火墙策略模块34a、34b、34c和34d内)提供用于控制从网络中的虚拟机包裹应用内的数据传送的软件。在一种示例性实现方式中,此软件存在于试图要保护以抵御安全性攻击(或者要保护以抵御对数据的不想要的或未经授权的操纵)的计算机中。在更详细的配置中,此软件具体存在于虚拟机的安全性层中并且提供了虚拟机与下层的操作系统之间以及虚拟机与系统内的其他虚拟机之间的接口,这些其他虚拟机也可包括图I所示的组件(或以其他方式与这些组件相接口)。在其他示例中,数据丢失防止软件可涉及专有元件(例如作为网络安全性认证方案的一部分),该专有元件可在这些标识出的元件中(或在其附近)提供,或者在任何其他设备、服务器、网络用具、控制台、防火墙、交换机、信息技术(IT)设备等等中提供,或者作为补充方案(例如结合防火墙)提供,或者配设在网络中的某个地方。如本说明书中这里
使用的,术语“计算机”意欲涵盖可操作来在安全性环境中影响或处理电子信息的这些可能的元件(VMM、超级监督者、Xen设备、虚拟机或其他设备、网络用具、路由器、交换机、网关、处理器、服务器、负载均衡器、防火墙或任何其他适当的设备、机器、组件、元件或对象)。此夕卜,此计算机可包括促进其操作的任何适当的硬件、软件、组件、模块、接口或对象。这可包括允许对数据的有效保护的适当算法和通信协议。此外,可按任何适当的方式来整合数据丢失防止系统。根据类似的设计替换,图I和2的任何图示的模块和组件可按各种可能的配置组合,所有这些配置都显然在本说明书的宽广范围内。在某些示例性实现方式中,这里概述的数据丢失防止系统可以通过编码在一个或多个有形介质中的逻辑(例如,在专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要被处理器或其他类似的机器执行的软件(可能包括目标代码和源代码)等等)来实现。在这些实例之中的一些中,存储器元件(如图I所示的)可存储用于这里描述的操作的数据。这包括该存储器元件能够存储可被执行来实现本说明书中描述的活动的软件、逻辑、代码或处理器指令。处理器可执行与实现这里在本说明书中详述的操作的数据相关联的任何类型的指令。在一个示例中,处理器(如图I所示)可以将一个元素或物品(例如,数据)从一个状态或事物变换到另一状态或事物。在另一示例中,可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现这里概述的活动,并且这里标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM (EEPROM))或包括数字逻辑、软件、代码、电子指令或其任何适当组合的ASIC。任何这些元件(例如计算机、服务器、网络用具、防火墙、虚拟机监视器、任何其他类型的虚拟元件等等)都可包括用于存储在实现这里概述的数据丢失防止系统操作时使用的信息的存储器元件。此外,这些设备中的每一个可包括能够执行软件或算法以执行如本说明书中所述的数据丢失防止活动的处理器。这些设备还可基于特定的需求在适当时在任何适当的存储器元件(随机访问存储器(RAM)、ROM、EPROM、EEPROM、ASIC等等)、软件、硬件或者任何其他适当的组件、设备、元件或对象中保存信息。这里论述的任何存储器项目(例如,数据日志、主镜像等等)都应当被解释为涵盖在宽泛术语“存储器元件”内。类似地,本说明书中描述的任何可能的处理元件、模块和机器都应当被解释为涵盖在宽泛术语“处理器”内。计算机、网络用具、虚拟元件等等中的每一个也可包括用于在安全环境中接收、传送和/或以其他方式传输数据或信息的适当接口。图4是示出与其中应用是浏览器的数据丢失防止系统的另一实现方式相关联的数个示例性步骤的简化流程图200。在此特定示例中,在线机构要求试图访问该在线机构的用户使用由虚拟机包裹的浏览器。流程可开始于步骤210,在该步骤中用户联络在线机构,例如在线银行。在步骤220,进行关于该用户是否在使用虚拟机浏览器的查询。如果正在使用虚拟机浏览器,则流程转到步骤240。然而,如果判定用户没有在使用虚拟机浏览器,则流程转到步骤230,在该步骤中虚拟机浏览器被下载到用户,然后流程转到240。在步骤240中,进行查询以判定虚拟机浏览器是否是新近的。如果其是新近的,则流程转到步骤260。然而,如果虚拟机浏览器不是新近的,则流程转到步骤250,在该步骤中虚拟机浏览器被更新或下载以最新近的组件。然后流程转到步骤260。在步骤260中,执行自完好性检查并且如果用户没有通过,则该会话结束。然而,如果在步骤260中用户通过了自完好性检查,那么流程转到步骤270,并且用户被允许通过经更新的虚拟机包裹浏览器连接到该在线银行。注意,对于这里提供的示例,可以按两个、三个、四个或更多个网络元件来描述交互。然而,仅仅是为了清晰和示例的目的才这样做的。在某些情况下,通过仅提及有限数目 的组件或网络元件来描述给定的一组流程的一个或多个功能,可能会容易。应当明白,图I和2的系统(及其教导)很容易缩放。系统10可容适很大数目的组件,以及更复杂或精致的布置和配置。从而,所提供的示例不应当限制系统10的范围或禁止可能将系统10的宽泛教导应用到许多其他体系结构。也重要的是要注意,参考前述附图描述的步骤只例示了可被系统10执行或在系统10内执行的可能场景中的一些。这些步骤中的一些在适当时可被删除或去除,或者这些步骤可以被相当大幅地修改或改变,而不脱离本公开的范围。此外,这些操作的定时可以被相当大幅地更改,而仍实现本公开中教导的结果。前述的操作流程是为了示例和论述的目的而提供的。系统10提供了很大的灵活性,因为可以提供任何适当的布置、时间顺序、配置和定时机制,而不脱离所论述的构思的教导。
权利要求
1.一种方法,包括 选择至少一个标准以用于控制从虚拟机内的数据传送,其中至少一个应用被包括在所述虚拟机内,并且所述虚拟机包括策略模块,并且所选标准对应于与所述策略模块相关联的至少一个策略;以及 评估所述策略的所选标准以许可对于从所述虚拟机内传送所述数据的尝试。
2.如权利要求I所述的方法,还包括 通过管理模块更新所述策略模块以修改所述所选标准。
3.如权利要求I所述的方法,还包括 维护与所述应用的新近版本相对应的主镜像; 将所述应用与所述主镜像相比较以判定所述应用是否是新近的;以及 如果判定不是新近的则更新所述应用。
4.如权利要求I所述的方法,其中,所述应用是应用套件的一部分。
5.如权利要求I所述的方法,其中,所述策略包括多个所选标准,其中有许可对于传送所述数据到第一其他应用的尝试的第一所选标准和禁止对于传送所述数据到第二其他应用的尝试的第二所选标准。
6.如权利要求I所述的方法,其中,如果多个用户之一的客户端设备正从受保护的网络环境内请求访问所述应用,则所述所选标准许可传送所述数据到所述客户端设备,并且如果所述客户端设备正从未受保护的网络环境请求访问所述应用,则所述所选标准禁止传送所述数据到所述客户端设备。
7.如权利要求I所述的方法,还包括 创建日志以用于记录与从所述虚拟机传送的数据相对应的条目。
8.如权利要求I所述的方法,还包括 如果所述策略的所选标准禁止传送所述数据,则创建受保护缓冲器以用于在所述虚拟机内操纵所述数据,其中所述受保护缓冲器不能被所述虚拟机外的应用访问。
9.如权利要求I所述的方法,还包括 访问所述虚拟机内的邮件客户端; 从所述虚拟机内的邮件客户端发送电子邮件消息到安全邮件代理; 评估所述电子邮件消息的预期接收者是否被授权接收来自所述虚拟机内的所述应用的数据;以及 如果所述预期接收者未被授权接收该数据,则从所述电子邮件消息中提取与所述应用相关联的任何数据。
10.一种编码在一个或多个有形介质中的逻辑,该逻辑包括供执行的代码并且在被处理器执行时可操作来执行包括以下操作在内的操作 选择至少一个标准以用于控制从虚拟机内的数据传送,其中至少一个应用被包括在所述虚拟机内,并且所述虚拟机包括策略模块,并且所选标准对应于与所述策略模块相关联的至少一个策略;以及 评估所述策略的所选标准以许可对于从所述虚拟机内传送所述数据的尝试。
11.如权利要求10所述的逻辑,所述处理器可操作来执行还包括以下操作在内的操作通过管理模块更新所述策略模块以修改所述所选标准。
12.如权利要求10所述的逻辑,所述处理器可操作来执行还包括以下操作在内的操作 维护与所述应用的新近版本相对应的主镜像; 将所述应用与所述主镜像相比较以判定所述应用是否是新近的;以及 如果判定不是新近的则更新所述应用。
13.如权利要求10所述的逻辑,其中,所述策略包括多个所选标准,其中有许可对于传送所述数据到第一其他应用的尝试的第一所选标准和禁止对于传送所述数据到第二其他应用的尝试的第二所选标准。
14.如权利要求10所述的逻辑,其中,如果多个用户之一的客户端设备正从受保护的网络环境内请求访问所述应用,则所述所选标准许可传送所述数据到所述客户端设备,并且如果所述客户端设备正从未受保护的网络环境请求访问所述应用,则所述所选标准禁止传送所述数据到所述客户端设备。
15.如权利要求10所述的逻辑,所述处理器可操作来执行还包括以下操作在内的操作 如果所述策略的所选标准禁止传送所述数据,则创建受保护缓冲器以用于在所述虚拟机内操纵所述数据,其中所述受保护缓冲器不能被所述虚拟机外的应用访问。
16.一种装置,包括 在系统中可操作的至少一个应用;以及 可操作来执行与所述应用相关联的指令的处理器,所述指令包括 选择至少一个标准以用于控制从虚拟机内的数据传送,其中所述一个应用被包括在所述虚拟机内,并且所述虚拟机包括策略模块,并且所选标准对应于与所述策略模块相关联的至少一个策略;以及 评估所述策略的所选标准以许可对于从所述虚拟机内传送所述数据的尝试。
17.如权利要求16所述的装置,其中,所述策略包括多个所选标准,其中有许可对于传送所述数据到第一其他应用的尝试的第一所选标准和禁止对于传送所述数据到第二其他应用的尝试的第二所选标准。
18.如权利要求16所述的装置,其中,如果多个用户之一的客户端设备正从受保护的网络环境内请求访问所述应用,则所述所选标准许可传送所述数据到所述客户端设备,并且如果所述客户端设备正从未受保护的网络环境请求访问所述应用,则所述所选标准禁止传送所述数据到所述客户端设备。
19.如权利要求16所述的装置,其中,所述处理器可操作来执行还包括以下指令在内的指令 如果所述策略的所选标准禁止传送所述数据,则创建受保护缓冲器以用于在所述虚拟机内操纵所述数据,其中所述受保护缓冲器不能被所述虚拟机外的应用访问。
20.如权利要求16所述的装置,其中,所述处理器可操作来执行还包括以下指令在内的指令 访问所述虚拟机内的邮件客户端; 从所述虚拟机内的邮件客户端发送电子邮件消息到安全邮件代理;评估所述电子邮件消息的预期接收者是否被授权接收来自所述虚拟机内的所述应用的数据;以及 如果所述预期接收者未被授权接收该数据,则从所述电子邮件消息中提取与所述应用相关联的任何数据。
全文摘要
一个示例性实现方式中的方法包括选择至少一个标准以用于控制从虚拟机内的数据传送。至少一个应用被包括在该虚拟机内,该虚拟机包括策略模块。所选标准对应于与该策略模块相关联的至少一个策略。该方法还包括评估该策略的所选标准以许可对于从该虚拟机内传送数据的尝试。在更具体的实施例中,该策略可包括多个所选标准,其中有许可传送数据到第一应用的第一所选标准和禁止传送数据到第二应用的第二所选标准。在另一具体实施例中,该方法可包括通过管理模块更新该策略模块以修改所选标准。
文档编号G06F21/24GK102741853SQ201080051085
公开日2012年10月17日 申请日期2010年11月4日 优先权日2009年11月10日
发明者李·科德尔·劳森·塔尔布坦, 索纳丽·阿伽沃尔 申请人:麦克菲公司