本公开涉及工作负载安全环。
背景技术:
1、分布式计算网络(即,“云计算”)由于价格、可扩展性和灵活性而日益流行。这些计算网络同时管理数量惊人的不同工作负载。例如,一些工作负载可能是实验性的,其他工作负载可以处理用户数据,而其他工作负载可以处理任务关键型队列管理信息。每种不同的工作负载类型对安全性、可维护性和灵活性都有不同的要求。
技术实现思路
1、本公开的一个方面提供了一种用于工作负载安全环的计算机实现的方法,当该方法由数据处理硬件施行时,使数据处理硬件执行操作。操作包括接收多个工作负载。每个工作负载都与相应安全标准相关联并且被调度以在分布式计算系统上施行。分布式计算系统被划分为多个安全环,并且多个安全环中的每个安全环与分布式计算系统的计算设备的相应子集相关联,该分布式计算系统的计算设备的相应子集与关联于多个安全环中的每个其他安全环的分布式计算系统的计算设备的相应子集物理隔离。对于多个工作负载中的每个相应工作负载,方法包括使用相应安全标准来确定相应工作负载的安全级别,以及使用相应工作负载的安全级别来识别有资格施行相应工作负载的多个安全环中的一个或多个。方法还包括在一个或多个计算设备上施行相应工作负载,所述一个或多个计算设备选自与所识别的有资格施行相应工作负载的多个安全环中的一个或多个相关联的计算设备的相应子集中的一个。
2、本公开的实施方式可以包括以下可选特征中的一个或多个。在一些实施方式中,操作还包括,对于多个安全环中的每个安全环,确定与安全环相关联的计算设备的相应子集的资源利用率,并且使用所确定的资源利用率来调整与安全环相关联的计算设备的相应子集中的计算设备的数量。可选地,对于多个安全环中的每个安全环,安全环与相应安全要求相关联,并且与安全环相关联的计算设备的相应子集中的每个计算设备符合安全环的相应安全要求。
3、在一些示例中,多个安全环中的每个安全环的相应安全要求包括与多个安全环中的每个其他安全环的相应安全要求不同的物理安全级别。操作还可以包括,在接收多个工作负载之前,对于分布式计算系统的每个相应计算设备,获取表征相应计算设备的安全态势的一组参数,并且使用该一组参数将相应计算设备分配给多个安全环中的一个。
4、在一些实施方式中,用于多个工作负载中的每个相应工作负载的相应安全标准包括相应工作负载的敏感性。用于多个工作负载中的每个相应工作负载的相应安全标准可以包括相应工作负载的安全态势。在此实施方式中,安全态势可以包括对相应工作负载的审核。
5、可选地,多个安全环包括低安全环和高安全环。在一些示例中,所确定的相应工作负载的安全级别包括低安全级别、中安全级别或高安全级别中的一个。当所确定的相应工作负载的安全级别包括低安全级别时,只有低安全环可以有资格施行相应工作负载。当所确定的相应工作负载的安全级别包括高安全级别时,只有高安全环可以有资格施行相应工作负载。在一些示例中,当所确定的相应工作负载的安全级别包括中安全级别时,低安全环和高安全环都有资格施行相应工作负载。
6、本公开的另一方面提供了一种用于工作负载安全环的系统,其包括数据处理硬件和与数据处理硬件通信的存储器硬件。存储器硬件存储指令,当该指令在数据处理硬件上施行时,使数据处理硬件执行操作。操作包括接收多个工作负载。每个工作负载都与相应安全标准相关联并且被调度以在分布式计算系统上施行。分布式计算系统被划分为多个安全环,并且多个安全环中的每个安全环与分布式计算系统的计算设备的相应子集相关联,该分布式计算系统的计算设备的相应子集与关联于多个安全环中的每个其他安全环的分布式计算系统的计算设备的相应子集物理隔离。对于多个工作负载中的每个相应工作负载,方法包括使用相应安全标准来确定相应工作负载的安全级别,以及使用相应工作负载的安全级别来识别有资格施行相应工作负载的多个安全环中的一个或多个。方法还包括在一个或多个计算设备上施行相应工作负载,所述一个或多个计算设备选自与所识别的有资格施行相应工作负载的多个安全环中的一个或多个相关联的计算设备的相应子集中的一个。
7、这一方面可以包括以下可选特征中的一个或多个。在一些实施方式中,操作还包括,对于多个安全环中的每个安全环,确定与安全环相关联的计算设备的相应子集的资源利用率,并且使用所确定的资源利用率来调整与安全环相关联的计算设备的相应子集中的计算设备的数量。可选地,对于多个安全环中的每个安全环,安全环与相应安全要求相关联,并且与安全环相关联的计算设备的相应子集中的每个计算设备符合安全环的相应安全要求。
8、在一些示例中,多个安全环中的每个安全环的相应安全要求包括与多个安全环中的每个其他安全环的相应安全要求不同的物理安全级别。操作还可以包括,在接收多个工作负载之前,对于分布式计算系统的每个相应计算设备,获取表征相应计算设备的安全态势的一组参数,并且使用该一组参数将相应计算设备分配给多个安全环中的一个。
9、在一些实施方式中,多个工作负载中的每个相应工作负载的相应安全标准包括相应工作负载的敏感性。用于多个工作负载中的每个相应工作负载的相应安全标准可以包括相应工作负载的安全态势。在此实施方式中,安全态势可以包括对相应工作负载的审核。
10、可选地,多个安全环包括低安全环和高安全环。在一些示例中,所确定的相应工作负载的安全级别包括低安全级别、中安全级别或高安全级别中的一个。当所确定的相应工作负载的安全级别包括低安全级别时,只有低安全环可以有资格施行相应工作负载。当所确定的相应工作负载的安全级别包括高安全级别时,只有高安全环才可以有资格施行相应工作负载。在一些示例中,当所确定的相应工作负载的安全级别包括中安全级别时,低安全环和高安全环都有资格施行相应工作负载。
11、本公开的一个或多个实施方式的细节在附图和以下描述中阐述。其他方面、特征和优点将从描述和附图以及权利要求中显而易见。
1.一种计算机实现的方法(500),当所述方法由数据处理硬件(144)施行时使所述数据处理硬件(144)执行操作,所述操作包括:
2.根据权利要求1所述的方法,其中,对于所述多个安全环(160)中的每个安全环(160),所述操作还包括:
3.根据权利要求1或2所述的方法,其中,对于所述多个安全环(160)中的每个安全环(160):
4.根据权利要求3所述的方法,其中,所述多个安全环(160)中的每个安全环(160)的所述相应安全要求(310)包括与所述多个安全环(160)中的每个其他安全环(160)的相应安全要求(310)不同的物理安全级别。
5.根据权利要求1-4中任一项所述的方法,其中,所述操作还包括,在接收所述多个工作负载(102)之前,对于所述分布式计算系统(140)的每个相应计算设备(162):
6.根据权利要求1-5中任一项所述的方法,其中,用于所述多个工作负载(102)中的每个相应工作负载(102)的所述相应安全标准(104)包括所述相应工作负载(102)的敏感性。
7.根据权利要求1-6中任一项所述的方法,其中,用于所述多个工作负载(102)中的每个相应工作负载(102)的所述相应安全标准(104)包括所述相应工作负载(102)的安全态势。
8.根据权利要求5或7所述的方法,其中,所述安全态势包括对所述相应工作负载(102)的审核。
9.根据权利要求1-8中任一项所述的方法,其中,所述多个安全环(160)包括低安全环(160l)和高安全环(160h)。
10.根据权利要求1-9中任一项所述的方法,其中,所确定的所述相应工作负载(102)的安全级别(410)包括低安全级别(410l)、中安全级别(410m)或高安全级别(410h)中的一个。
11.根据权利要求10所述的方法,其中:
12.一种系统(100),包括:
13.根据权利要求12所述的系统,其中,对于所述多个安全环(160)中的每个安全环(160),所述操作还包括:
14.根据权利要求12或13所述的系统,其中,对于所述多个安全环(160)中的每个安全环(160):
15.根据权利要求14所述的系统,其中,所述多个安全环(160)中的每个安全环(160)的所述相应安全要求(310)包括与所述多个安全环(160)中的每个其他安全环(160)的相应安全要求(310)不同的物理安全级别。
16.根据权利要求12-15中任一项所述的系统,其中,所述操作还包括,在接收所述多个工作负载(102)之前,对于所述分布式计算系统(140)的每个相应计算设备(162):
17.根据权利要求12-16中任一项所述的系统,其中,用于所述多个工作负载(102)中的每个相应工作负载(102)的所述相应安全标准(104)包括所述相应工作负载(102)的敏感性。
18.根据权利要求12-17中任一项所述的系统,其中,用于所述多个工作负载(102)中的每个相应工作负载(102)的所述相应安全标准(104)包括所述相应工作负载(102)的安全态势。
19.根据权利要求16或18所述的系统,其中,所述安全态势包括对所述相应工作负载(102)的审核。
20.根据权利要求12-19中任一项所述的系统,其中,所述多个安全环(160)包括低安全环(160l)和高安全环(160h)。
21.根据权利要求12-20中任一项所述的系统,其中,所确定的所述相应工作负载(102)的安全级别(410)包括低安全级别(410l)、中安全级别(410m)或高安全级别(410h)中的一个。
22.根据权利要求21所述的系统,其中: