更改应用安全性以支持即时访问的制作方法

网络攻击使公司和个人损失数十亿美元。2015年的一份报告估计，网络攻击每年使公司损失超过4000亿美元。除了财务成本之外，网络攻击可能导致其他损害，诸如对有价值的信息的破坏，对敏感信息发布等。在不具有有效的防御的情况下，成本和损害肯定会随着时间的推移而增加。网络攻击通常依赖于被称为“恶意软件(malware)”的恶意软件，该软件由作为攻击的目标的计算机安装和执行。执行的恶意软件组织攻击。例如，勒索软件攻击可以加密计算机上的所有数据，包括财务文档、家庭照片、电子邮件消息等的唯一副本。如果没有支付赎金，则数据可能会永远保持被加密。即使支付了赎金，攻击者可能也不会提供用以解密数据的密钥。由于网络攻击的高成本，公司和个人在开发和购买安全系统来作为对网络攻击的防御中花费了大量资源。这些安全系统包括防火墙系统、防病毒系统、认证系统、入侵防御系统、访问控制系统、应用阻止系统等。

恶意软件可以以各种方式被安装在计算机上。例如，勒索软件可以作为包含乱码内容和恶意宏的电子邮件附件到达。当用户打开该附件时，附件请求用户在内容显示为乱码时启用宏。当用户启用宏时，恶意宏安装并且执行勒索软件。作为另一示例，公司的员工可能在他们的计算机上安装未授权的应用。通常，公司的信息技术组仅分析和授权符合公司严格安全标准的那些应用。如果安装了未经授权的应用，则它可能会使公司网络上的所有计算机暴露于漏洞，这种漏洞会显著增加针对公司进行网络攻击的机会。

在云数据中心中，特别普遍的攻击类型是密码攻击。为了安装密码攻击，攻击者标识机器(例如，物理机或虚拟机)上的打开端口(openport)。通常需要用户名和密码的知识来获得对打开端口的访问。如果攻击者知道公司员工的姓名，则猜测用户名可能相对容易。如果攻击者知道组织的信息技术部门在指派用户名时使用的算法，则猜测尤其容易。例如，用户名可以与员工的电子邮件地址的本地部分相同。如果地址是“jsmith@acme.com”，则用户名是“jsmith”。攻击者可以使用各种类型的密码攻击，诸如暴力攻击或字典攻击。利用暴力攻击，攻击者从最常使用的密码(例如，“password123”)开始对密码空间进行系统的搜索。利用字典攻击，攻击者可以从单词字典中生成密码，诸如尝试所有短词和短词组合。因此，针对每个密码，攻击者可以循环用户名，利用该用户名尝试该密码，直到攻击者获得访问。

为了防御密码攻击，云数据中心可能具有管理门户，管理门户控制机器的端口的打开和关闭，以便端口仅针对授权访问打开。当用户(例如，员工或系统管理员)想要登录到计算机时，用户首先登录管理门户，这可能需要多因素认证技术，诸如需要密码和一次性代码的技术，该一次性代码被发送到用户的智能手机或由用户的智能手机使用同步软件令牌生成器来生成。多因素认证的使用被认为是增强的认证，而仅使用密码被认为是非增强的认证。一旦用户登录到管理门户，用户请求通常是关闭的某个机器的端口在访问时段(例如，一小时)内打开。管理门户可以引导机器的防火墙以针对访问时段打开端口，在访问时段之后防火墙关闭该端口。备选地，管理门户可以引导防火墙打开端口，并且然后在访问时段之后，引导防火墙关闭端口。在端口打开时，用户可以登录到计算机。由于端口通常是关闭的，并且可能在仅用户登录之前很短的时间内打开，因此机器的“攻击面(attacksurface)”是非常小的。仅针对授权访问以及仅针对访问时段的这种端口打开被称为即时(“jit”)访问时段的jit访问。

组织可以具有被连接到其网络的数千台服务器和数千台用户计算机(例如，台式机和笔记本计算机)。服务器可以各自是某个类型的服务器，诸如负载均衡服务器、防火墙服务器、数据库服务器、认证服务器、人员管理服务器、web服务器、文件系统服务器等。另外，用户计算机可以各自是某个类型，诸如管理计算机、技术支持计算机、开发者计算机、秘书性计算机等。每个服务器和用户计算机可以安装有支持计算机功能所需要的各种应用。由于服务器和用户计算机的各种类型，这种网络被称为“混合环境”。

确保每台计算机仅执行授权应用可能是一项艰巨的任务。如本文中使用的，术语“应用”指代可以被单独标识和执行的任何软件，诸如应用程序、小应用、动态链接库、操作系统软件、脚本、加载项、操作系统驱动程序等。为了帮助支持这项艰巨的任务，可以在每台计算机上安装安全工具，以帮助确保只允许在每台计算机上执行某些授权应用。安全工具可以允许管理员来针对每台计算机生成允许列表，该允许列表列出允许由该计算机执行的授权应用。当在计算机上执行的操作系统接收到执行应用的请求时，操作系统询问安全工具是否允许执行。如果应用位于允许列表中，则安全工具指示该执行是被允许的。否则，安全工具会指示执行将被阻止。

技术实现要素：

提供了用于允许对机器进行jit访问的方法和计算系统。在一些实施例中，更改应用安全性(“aas”)系统接收对允许对机器的jit访问的请求。aas系统引导机器的端口在jit访问时段将被打开。aas系统还引导机器在jit针对访问时段更改与被允许在机器上执行的应用相关的安全性，使得可以执行在jit访问时段期间所需要的应用。在jit访问时段期间，利用与应用相关的更改的安全性，机器可以经由端口被访问。在jit访问期之后，aas系统引导端口关闭并且引导安全性返回到其被更改之前的状态。

提供本“发明内容”是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中被进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

附图说明

图1图示了在一些实施例中的用户可以通过其请求jit访问的管理门户的显示页面。

图2是图示了一些实施例中的连接到数据中心的机器的客户端设备的框图。

图3是图示了一些实施例中的aas系统的方面的框图。

图4是图示了一些实施例中的在管理门户上被实现的aas系统的请求jit访问组件的处理的流程图。

图5是图示了一些实施例中的发起jit访问组件暂停aas系统的允许列表的处理的流程图。

图6是图示了一些实施例中的终止jit访问组件取消暂停aas系统的允许列表的处理的流程图。

图7是图示了一些实施例中的发起jit访问组件启用aas系统的任务允许列表的处理的流程图。

图8是图示了一些实施例中的终止jit访问组件停止aas系统的任务允许列表的处理的流程图。

图9是图示了一些实施例中的发起jit访问组件扩充aas系统的任务允许列表的处理的流程图。

具体实施方式

在一些实施例中，提供了更改应用安全性(“aas”)系统，该系统不仅通过打开端口而且还通过更改机器的应用安全性来允许对机器的jit访问，使得请求访问的用户可以利用更改的应用安全性来执行任务。aas系统有助于克服在针对jit访问打开端口时发生的问题。问题在于，如果机器具有应用的允许列表，则用于用户执行期望任务所需要执行的应用可能不在允许列表上。例如，系统管理员可以请求jit访问以对机器执行维护操作，诸如改变安全性参数，安装新程序或程序的新版本(例如，操作系统或管理程序)，安装新的设备驱动程序，等等。出于安全原因，支持维护操作所需要的应用通常不在允许列表上，因为非系统管理员的用户不应当仅具有对这些应用的访问。

在一些实施例中，可以是管理门户的组件的aas系统可以使用各种技术来更改机器的应用安全性以支持jit访问。例如，aas系统可以引导机器的安全工具暂停允许列表的实施，使得可以执行任何应用。作为另一示例，aas系统可以提示用户指明需要执行的应用。然后，aas系统可以指示机器的安全工具将允许列表替换为仅所指明应用的列表，或者将所指明应用添加到允许列表中。作为另一示例，机器可以具有禁止或阻止列表，而不是具有允许列表，指示机器可以执行除了阻止列表上的那些应用之外的任何应用。在这种情况下，aas系统可以引导从阻止列表中移除需要执行的应用。作为另一示例，机器的安全工具可以具有与不同权限(permission)相关联的多个允许列表。当jit访问被授予时，aas系统可以授予用户权限来访问包括所需要的应用的允许列表，例如通过将用户的名称添加到允许列表的授权用户列表中。一些安全工具可以具有应用的警报列表，使得在执行警报列表上的应用时，发送警报以通知系统管理员。aas系统可以暂停这种警报的发送，因为在jit访问时段期间，该应用的执行被授权。

图1图示了一些实施例中的用户可以通过其请求jit访问的管理门户的显示页面。显示页面100包括数据输入字段101-107。机器数据输入字段101和端口数据输入字段102用于输入将被打开的机器的机器标识符和端口号。jit访问时段数据输入字段103用于输入jit访问时段，例如，以分钟为单位。用户名数据输入字段104、密码数据输入字段105和令牌数据输入字段106用于输入多因素认证信息。暂停允许列表数据输入字段107是用于指明是否应当暂停应用的允许列表。显示页面还包括用于将输入的数据提交给管理门户的提交按钮108。在一些实施例中，显示页面可以包括用于输入需要被执行的应用的数据输入字段。此外，如果在jit访问期间允许列表总是被暂停，则显示页面将不包括暂停允许列表数据输入字段。在一些实施例中，aas系统可以维护任务与执行每个任务所需要的应用的映射。显示页面可以包括下拉列表以选择将在jit访问时段期间被执行的一个或多个任务。aas系统通过确保执行任务所需要的每个应用都位于允许列表中来更改安全性。

图2是图示一些实施例中的连接到数据中心的机器的客户端设备的框图。数据中心210经由通信信道240(例如，互联网)被连接到客户端设备220和可能的攻击者设备230。客户端设备被允许经由通信信道远程访问数据中心。数据中心包括经由数据中心网络213(例如，局域网)被连接的各种机器211和管理门户212。机器可以具有端口214，客户端设备通过端口214连接到机器。机器表示物理计算机或在物理计算机上执行的虚拟机。机器可以执行基于机器的功能而变化的各种应用。例如，员工通过机器登录以运行报告，该机器可以执行sql客户端应用，并且存储数据库的数据的机器可以执行sql服务器应用。作为另一示例，通过其来服务web页面的每个机器可以执行web服务器应用，并且该机器可以被连接到负载平衡机器，负载平衡机器通过执行负载平衡应用来执行针对web服务器机器的负载平衡。

图3是图示了一些实施例中的aas系统的方面的框图。该图图示了经由数据中心网络330被连接到数据中心的管理门户320的数据中心的机器310。该机器包括虚拟机311、应用锁定器组件312、管理门户客户端组件313、防火墙组件314和允许列表存储器315。虚拟机可以包括由虚拟机管理器(未示出)管理的操作系统、应用代码、数据存储装置等。应用锁定器组件是安全工具的示例，该安全工具确保虚拟机仅执行虚拟机的允许列表中的应用。管理门户客户端组件提供接口，管理门户可以通过该接口控制机器和虚拟机的各种安全方面的配置。防火墙组件控制端口的打开和关闭。应用锁定器组件、管理门户客户端组件和防火墙组件可以在每个虚拟机的上下文内单独地执行。管理门户包括：请求jit访问组件321、发起jit访问组件322、终止jit访问组件323、管理允许列表组件324、管理端口组件325、允许列表存储器326、以及任务/允许列表存储器327。当用户请求对机器的jit访问时，请求jit访问组件被调用。请求jit访问组件对用户进行认证，并且然后通过调用发起jit访问组件和终止jit访问组件来发起以及随后终止对该机器的jit访问。管理门户可以包括不同类型的发起jit访问组件和终止jit访问组件以用于处理对机器的安全性的不同类型的改变。例如，管理门户可以包括用以暂停允许列表，用以使用特定于任务的允许列表，用以利用附加应用扩充允许列表等的组件。调用管理允许列表组件来管理数据中心的允许列表。例如，管理允许列表组件可以具有应用程序编程接口，通过该接口可以将应用添加到允许列表中以及从允许列表中移除应用，可以暂停允许列表的实施，等等。管理端口组件可以具有应用程序编程接口，通过该接口可以打开和关闭机器的端口。允许列表存储器存储各种机器的允许列表。任务允许列表存储器针对管理员可以执行的每个任务存储执行该任务所需要的应用的允许列表。数据中心网络可以是连接数据中心的机器的局域网。

可以在其上实现aas系统的计算系统可以包括中央处理器、输入设备、输出设备(例如，显示设备和扬声器)、存储设备(例如，存储器和磁盘驱动器)、网络接口、图形处理单元、加速度计、蜂窝无线电链路接口、全球定位系统设备等。计算系统可以包括数据中心的服务器、大规模并行系统等。计算系统可以访问包括计算机可读存储介质和数据传输介质的计算机可读介质。计算机可读存储介质是有形存储装置，这意味着不包括瞬态传播信号。计算机可读存储介质的示例包括诸如主存储器、高速缓冲存储器和辅助存储器(例如，dvd)和其他存储器的存储器。计算机可读存储介质可以在其上记录或者可以被编码有实现aas系统的计算机可执行指令或逻辑。数据传输介质被用于经由有线或无线连接、经由瞬态传播信号或载波(例如，电磁)来传输数据。

aas系统可以在由一个或多个计算机、处理器或其他设备执行的计算机可执行指令(诸如程序模块和组件)的一般上下文中被描述。通常，程序模块或组件包括执行特定任务或实现特定数据类型的例程、程序、对象、数据结构等。通常，程序模块的功能可以根据需要在各种实施例中被组合或分布。aas系统的方面可以使用例如专用集成电路(asic)而在硬件中被实现。

图4是图示了一些实施例中的在管理门户上实现的aas系统的请求jit访问组件的处理的流程图。请求jit访问组件400被调用以请求对机器的jit访问，并且可以被传递对机器、端口和jit访问时段的指示。在框401中，组件对请求访问机器的用户执行多因素认证。在判定框402中，如果认证是成功的，则组件在框403处继续，否则该组件完成。在框403中，组件调用发起jit访问组件，发起jit访问组件传递对机器和端口的指示，并且jit访问将通过其而被发起。在框404中，组件可以启动计时器并且等待jit访问时段到期。在框405中，在jit访问时段期满之后，组件调用终止jit访问组件，终止jit访问组件传递对机器和端口的指示以终止jit访问。然后该组件完成。尽管框403-405的处理被示出为在请求jit访问时执行，但是可以在稍后的时间请求jit访问，这杯称为延迟请求。例如，当维护人员可以访问机器时，管理员可以提交在延迟时间(例如，午夜)开始的延迟请求。为了支持这种延迟请求，aas系统可以维护延迟请求的列表并且在延迟时间执行框403-405。

图5是图示了一些实施例中的发起jit访问组件暂停aas系统的允许列表的处理的流程图。调用发起jit访问组件500以通过暂停允许列表来经由端口发起对机器的jit访问。在框501中，组件暂停机器上的允许列表。例如，组件可以调用管理允许列表组件的接口，该接口可以配置机器以暂停允许列表。在判定框502中，如果将暂停警报，则组件在框503处继续，否则组件在框504处继续。在框503中，组件暂停警报并且在框504处继续。在框504中，组件打开机器上的端口。例如，组件可以调用管理端口组件的接口，该接口可以配置防火墙来打开端口。然后组件完成。

图6是图示了一些实施例中的终止jit访问组件取消暂停aas系统的允许列表的处理的流程图。终止jit访问组件600被调用以经由端口终止机器上的jit访问。在框601中，组件在机器上恢复允许列表。例如，组件可以调用管理允许列表组件的接口，该接口可以将配置机器以恢复允许列表。在框602中，组件启用警报。在框603中，组件关闭机器上的端口。例如，组件可以调用管理端口组件的接口，该接口可以配置防火墙以关闭端口。然后组件完成。

图7是图示了一些实施例中的发起jit访问组件启用aas系统的任务允许列表的处理的流程图。发起jit访问组件700被调用以经由端口发起对机器的jit访问以启用特定于任务的允许列表。在框701中，组件发送可用任务的列表以用于向用户显示。在框702中，组件接收对任务的选择。在框703中，组件从任务允许列表存储器中取回针对所选择的任务的任务允许列表。在框704中，组件将当前允许列表保存作为原始允许列表。在框705中，组件将任务允许列表设置作为当前允许列表。在判定框706中，如果警报将被暂停，则组件在框707处继续，否则组件在框708处继续。在框707中，组件暂停警报并且在框708处继续。在框708中，组件打开机器上的端口。然后该组件完成。

图8是图示了一些实施例中的终止jit访问组件禁用aas系统的任务允许列表的处理的流程图。调用终止jit访问组件800以经由端口终止机器上的jit访问并且停止任务允许列表。在框801中，组件将当前任务允许列表替换为所保存的原始允许列表。在框802中，组件启用警报。在框803中，组件关闭机器上的端口。然后组件完成。

图9是示出在一些实施例中发起jit访问组件增强aas系统的任务允许列表的处理的流程图。发起jit访问组件900被调用以经由端口发起对机器的jit访问以扩充允许列表。在框901中，组件发送可用应用的列表以用于向用户显示。在框902中，组件接收对应用的选择。在框903中，组件保存当前允许列表作为原始允许列表。在框904中，组件将应用添加到当前允许列表。在判定框905中，如果要暂停警报，则组件在框906处继续，否则组件在框907处继续。在框906中，组件暂停警报并且在框907处继续。在框907中，组件打开机器上的端口。然后该组件完成。

以下段落描述aas系统的方面的各种实施例。aas系统的实现可以采用实施例的任何组合。下面描述的处理可以由具有处理器的计算设备执行，该处理器执行被存储在计算机可读存储介质上的实现aas系统的计算机可执行指令。在一些实施例中，提供了由计算设备执行的用于允许对机器的访问的方法。该方法接收对允许对机器的访问的请求。该方法引导机器的端口以针对访问时段被打开。该方法还引导机器针对访问时段更改与被允许在机器上执行的应用相关的安全性。这允许，利用与应用相关的更改的安全性，机器在访问时段期间经由端口被访问。在一些实施例中，在访问时段之后，端口被关闭并且与应用相关的安全性不再被更改。在一些实施例中，机器是云数据中心内的计算设备。在一些实施例中，机器是云数据中心内的虚拟机。在一些实施例中，请求由云数据中心的管理门户接收。在一些实施例中，引导机器更改与应用相关的安全性是响应于对更改与应用相关的安全性的用户请求。在一些实施例中更改的安全性包括暂停被允许在机器上执行的应用的允许列表。在一些实施例中，更改的安全性包括暂停被禁止在机器上执行的应用的禁止列表。在一些实施例中，更改的安全性包括暂停在机器上执行应用时被发送的警报。在一些实施例中，更改的安全性基于的是在访问时段期间访问机器的用户的特权级别。在一些实施例中，该方法接收将在访问时段期间在机器上被执行的任务的指示。更改的安全性允许执行支持执行任务的应用。在一些实施例中，更改的安全性包括利用应用来扩充允许列表。

在一些实施例中，提供了用于允许在访问时段期间经由端口对机器的访问的计算系统。机器使用非增强认证被访问。该计算系统包括存储计算机可执行指令的一种或多种计算机可读存储介质，以及执行被存储在计算机可读存储介质中的计算机可执行指令的一个或多个处理器。指令控制计算系统执行用户的增强认证。指令控制计算系统从用户接收对允许在访问时段期间对机器的访问的请求。指令控制计算系统引导机器的端口以针对访问时段被打开，并且然后在访问时段之后关闭。指令控制计算系统引导机器针对访问时段更改与被允许在机器上执行的应用相关的安全性，并且然后在访问时段之后返回到未更改的安全性。在一些实施例中，指令还控制计算系统提示用户，与应用相关的安全性是否应当被改变。在一些实施例中，引导机器更改安全性的指令还控制计算系统引导机器暂停被允许在机器上执行的应用的允许列表。在一些实施例中，引导机器更改安全性的指令还控制计算系统引导机器将应用添加到被允许在机器上执行的应用的允许列表。在一些实施例中，引导机器更改安全性的指令还控制计算系统暂停被禁止在机器上执行的应用的禁止列表。在一些实施例中，引导机器更改安全性的指令还控制计算系统暂停警报，该警报是在警报列表上的应用在机器上被执行时被发送的。

在一些实施例中，一个或多个计算机可读存储介质存储计算机可执行指令。指令控制计算系统接收对允许在访问时段期间对机器的远程访问的请求。指令控制计算系统引导与被允许在机器上执行的应用相关的安全性在访问时间段的更改，并且然后在访问时段之后返回到未更改的安全性，使得机器在访问时段期间能够使用更改的安全性而被远程访问。在一些实施例中，指令还包括控制计算系统引导在访问时段的机器的端口的打开的指令，其中端口在访问时段之后关闭。在一些实施例中，允许机器执行某个应用，并且与应用相关的安全性的更改禁止某个应用在访问时段期间执行。

尽管用结构特征和/或动作专用的语言描述了本主题，但是应当理解，所附权利要求书中定义的主题不必限于上述具体特征或动作。而是，上述具体特征和动作被公开作为实现权利要求的示例形式。因此，除了所附权利要求之外，本发明不受限制。