在具有不同的应用命名的云域中执行策略的制作方法
本公开的实施例涉及在具有不同的应用命名的云域中执行策略。
背景技术:
企业正在将越来越多的应用从传统的旧有数据中心迁移到云计算环境,诸如公共云域(例如,亚马逊网络服务(aws)、微软azure、谷歌cloud等)、私有云域(例如,内联网、
技术实现要素:
根据一些实施方式,设备可以包括一个或多个存储器和一个或多个处理器,该一个或多个处理器用于接收指示将针对由多个云域托管的应用而被实施的策略的策略信息。一个或多个处理器可以从多个云域接收与该应用相关联的不同的应用资源标签和地址,并且可以将不同的应用资源标签映射到通用标识符。一个或多个处理器可以将策略与通用标识符和关联于该应用的地址相关联,并且可以基于将策略与通用标识符和关联于该应用的地址相关联,向多个云域提供策略以允许多个云域来实施策略。
根据一些实施方式,非瞬态计算机可读介质可以存储包括一个或多个指令的指令,当由一个或多个处理器执行时,一个或多个指令使一个或多个处理器接收指示将针对由第一云域和与第一云域分离的第二云域托管的应用而被实施的策略的信息。第三云域与第一云域和第二云域分离、与第一云域和第二云域相关联,并且不托管应用。一个或多个指令可以使一个或多个处理器从第一云域和第二云域接收与该应用相关联的不同的应用资源标签和地址,并且将不同的应用资源标签映射到通用标识符。一个或多个指令可以使一个或多个处理器将策略与通用标识符和关联于该应用的地址相关联,并基于将策略与通用标识符和关联于该应用的地址相关联,向第一云域和第二云域提供策略以允许第一云域和第二云域实施策略。一个或多个指令可以使一个或多个处理器基于第三云域不托管该应用,而防止将策略提供给第三云域。
根据一些实施方式,方法可以包括由设备接收指示将针对由私有云域和公共云域托管的应用而被实施的策略的信息,以及由设备并且从私有云域和公共云域接收与该应用相关联的不同应用资源标签和地址。方法可以包括由设备将不同的应用资源标签映射到通用标识符,以及由设备将策略与通用标识符和关联于该应用的地址相关联。方法可以包括由设备并且基于将策略与通用标识符和关联于该应用的地址相关联,将策略提供给私有云域和公共云域以允许私有云域和公共云域来实施与该应用相关联的策略。
附图说明
图1a-图1g是本文所描述的示例实施方式的概述的图;
图2是可以在其中实施本文所描述的系统和/或方法的示例环境的图;
图3是图2的一个或多个设备的示例组件的图;以及
图4是用于在具有不同应用命名的云域中执行策略的示例过程的流程图。
具体实施方式
以下对示例实施方式的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元件。
随着企业将数百、数千、数百万等的应用迁移到云域,企业或网络管理员越来越多地处理利用策略(例如,业务策略、安全策略、网络策略等)来管理被迁移到云域的应用的复杂性。例如,每个云域通常为提供应用并定义针对应用的策略的网络管理员定义独特的支持和要求。
不同的云域利用与如何分类和提供应用以及如何定义用于应用的策略相关联的不一致和不同的命名。因此,网络管理员面临管理不能跨不同的云域移植的各种不同的命名。这给网络管理员造成了混淆,并导致一个或多个云域中的应用和/或策略的重复、一个或多个云域中的应用和/或策略的遗漏等。这种布置还要求将应用从一个云域(例如,公共云域)手动迁移到另一云域(例如,私有云域)。
本文所描述的一些实施方式提供了策略执行器平台,其在具有不同应用命名的云域中执行策略。例如,策略执行器平台可以接收指示用于由多个云域托管的应用的策略的策略信息,并且可以从多个云域接收与该应用相关联的不同的应用资源标签和地址。策略执行器平台可以将不同的应用资源标签映射到通用标识符,并且可以将策略与通用标识符和关联于该应用的地址相关联。策略执行器平台可以基于将策略与通用标识符和关联于该应用的地址相关联,向多个云域提供策略以允许多个云域实施策略。
图1a-图1g是本文所描述的示例实施方式100的概述的图。如图1a中所示,用户设备可以与网络管理员和策略执行器平台相关联。如图1a中进一步所示的,网络管理员(例如,经由用户设备向网络管理员提供的用户界面)可以向用户设备提供与针对人力资源(hr)应用的策略相关联的策略信息。例如,如图1a中所示,策略可以指示“应当允许人力资源(hr)网络应用访问具有入侵防御系统(ips)扫描作为层7服务的hr数据库(db)应用”。在一些实施方式中,策略可以包括将被应用于应用的安全策略(例如,防火墙策略、入侵检测系统(ids)策略、ips策略等)、将被应用于应用的业务策略(例如,记录保留策略、数据访问策略等)、将被应用于应用的网络策略(例如,网络授权策略、入口策略、出口策略等)、将被应用于应用的策略的组合等。在一些实施方式中,策略可以包括一个或多个网络安全防火墙策略,其定义指示源应用和目的地应用之间的允许的通信的规则(例如,以提供业务解决方案)、用于通信的高级安全服务(例如,ips、ids等)等。
如图1a中进一步所示的,并且通过附图标记105所示,网络管理员可以使用户设备将策略信息提供给策略执行器平台,并且策略执行器平台可以从用户设备接收策略信息。在一些实施方式中,策略执行器平台可以从除用户设备之外的一个或多个源接收策略信息。例如,策略执行器平台可以从与其他网络管理员相关联的一个或多个其他用户设备、与其他应用相关联的其他人员等接收与其他应用相关联的策略信息。
如图1b中所示,策略执行器平台可以与不同类型的云域相关联,诸如第一云域(例如,云域1)、第二云域(例如,云域2)、和第三云域(例如,云域3)。在一些实施方式中,不同云域中的每个可以包括私有云域、公共云域、旧有的数据中心域等。如进一步所示的,第一云域可以包括用于标识应用的命名(例如,应用资源标签)和与该应用相关联的因特网协议(ip)地址。例如,对于hr应用,第一云域可以包括标识与hr应用相关联的类型(例如,网络应用)的应用资源标签(app类型)、标识hr网络应用的应用资源标签(app)、标识与hr应用相关联的另一类型(例如,数据库应用)的应用资源标签(app类型),以及标识hr数据库应用的应用资源标签(app)。第一云域可以包括与hr网络应用相关联的ip地址(例如,192.168.1.1)和与hr数据库应用相关联的ip地址(例如,192.168.2.1)。
如图1b中进一步所示的,第二云域可以包括用于标识应用的命名和与该应用相关联的ip地址。例如,对于信息技术(it)应用,第二云域可以包括标识与it应用相关联的类型(例如,网络应用)的应用资源标签(层)、标识it网络应用的应用资源标签(应用)、标识与it应用相关联的另一类型(例如,数据库应用)的应用资源标签(pci_db),以及标识it数据库应用的应用资源标签(应用)。第二云域可以包括与it网络应用相关联的ip地址(例如,192.101.10.1)和与it数据库应用相关联的ip地址(例如,192.101.10.2)。
如图1b中进一步所示的,第三云域可以包括用于标识应用的命名和与该应用相关联的ip地址。例如,对于hr应用,第三云域可以包括标识与hr应用相关联的类型(例如,网络应用)的应用资源标签(应用层)、标识hr网络应用的应用资源标签(应用)、标识与hr应用相关联的另一类型(例如,数据库(db)应用)的应用资源标签(应用层),以及标识hr数据库应用的应用资源标签(应用)。第三云域可以包括与hr网络应用相关联的ip地址(例如,192.152.10.1)和与hr数据库应用相关联的ip地址(例如,192.152.10.2)。
在一些实施方式中,不同的云域中的每个可以利用唯一的命名来描述相同的应用(例如,hr应用)。在一些实施方式中,不同云域中的每个云域可以利用除应用资源标签之外的命名,诸如元数据、数字标识符等。
如图1b中进一步所示的,并且通过附图标记110所示,第一云域可以将与第一云域相关联的应用资源标签和ip地址(例如,标识hr网络应用和hr数据库应用)提供给策略执行器平台,并且策略执行器平台可以接收与第一云域相关联的应用资源标签和ip地址。在一些实施方式中,策略执行器平台可以将与第一云域相关联的应用资源标签和ip地址存储在与策略执行器平台相关联的数据结构(例如,数据库、表、链接列表等)中。
如图1b中进一步所示的,并且通过附图标记115所示,第二云域可以将与第二云域相关联的应用资源标签和ip地址(例如,标识it网络应用和it数据库应用)提供给策略执行器平台,并且策略执行器平台可以接收与第二云域相关联的应用资源标签和ip地址。在一些实施方式中,策略执行器平台可以将与第二云域相关联的应用资源标签和ip地址存储在与策略执行器平台相关联的数据结构中。
如图1b中进一步所示的,并且通过附图标记120所示,第三云域可以将与第三云域相关联的应用资源标签和ip地址(例如,标识hr网络应用和hr数据库应用)提供给策略执行器平台,并且策略执行器平台可以接收与第三云域相关联的应用资源标签和ip地址。在一些实施方式中,策略执行器平台可以将与第三云域相关联的应用资源标签和ip地址存储在与策略执行器平台相关联的数据结构中。
在一些实施方式中,策略执行器平台可以动态地确定标识与不同云域相关联的资源(例如,租户、子网、虚拟网络、应用、应用资源标签、应用ip地址、虚拟机等)的信息,并可以将信息存储在数据结构中。
如图1c中所示,并且通过附图标记110、115、120和125所示,策略执行器平台可以将与hr应用相关联的不同的应用资源标签(例如,与第一云域和第三云域相关联的应用资源标签)映射到标识hr应用的通用标识符。在一些实施方式中,策略执行器平台可以不将与第二云域相关联的应用资源标签映射到通用标识符,因为与第二云域相关联的应用资源标签与it应用而非hr应用相关。
如图1c中进一步所示的,并且通过附图标记130所示,通用标识符可以包括用于标识hr应用的第一字段或标签(应用)以及用于标识与hr应用相关联的类型(例如,网络应用和数据库应用)的第二字段或标签(层)。在一些实施方式中,通用标识符可以为hr应用提供公共命名,该公共命名映射到由第一云域和第三云域利用的不同命名以标识hr应用。
在一些实施方式中,在将不同的应用资源标签映射到通用标识符之前,策略执行器平台可以利用自然语言处理技术、计算语言学技术、文本分析技术等来处理不同的应用资源标签以确定不同的应用资源标签中的哪些与hr应用相关并且将被映射到通用标识符。
在一些实施方式中,策略执行器平台可以应用自然语言处理来解释不同的应用资源标签并生成与不同的应用资源标签内的信息的潜在含义相关联的附加信息。自然语言处理涉及被执行(例如,通过计算机系统)来以有用的方式从人类语言分析、理解和推导含义的技术。自然语言处理不是将文本视为仅仅符号的序列,而是考虑语言的层次结构(例如,几个单词可以被视为短语、几个短语可以被视为句子,以及单词、短语和/或句子传达可以被解释的想法)。自然语言处理可以被应用来分析文本,这允许机器理解人类如何说话,从而实现真实世界的应用,诸如,自动文本概括、情感分析、主题提取、命名实体识别、词性标注、关系提取、词干等。
在一些实施方式中,策略执行器平台可以对不同的应用资源标签的利用计算语言学技术。计算语言学技术可以包括应用计算语言学来解释不同的应用资源标签并生成与不同的应用资源标签内的信息的潜在含义相关联的附加信息的技术。计算语言学包括用于从计算角度理解书面和口头语言,以及构建处理和产生语言的工件的技术。
在一些实施方式中,策略执行器平台可以对不同的应用资源标签利用文本分析技术。文本分析技术可以包括应用文本分析来解释不同的应用资源标签并生成与不同的应用资源标签内的信息的潜在含义相关联的附加信息的技术。文本分析可以包括解析文本以便从文本中提取事实,以及创建结构化的数据的集合。文本分析(例如,内容分析)可以包括系统地阅读或观察被分配指示存在有趣的、有意义的模式的标记的文本或工件,这允许对文本中的模式的比例以及模式之间的相关性进行统计估计。
在一些实施方式中,在将不同的应用资源标签映射到通用标识符之前,策略执行器平台可以利用一个或多个人工智能模型处理不同的应用资源标签,以确定不同的应用资源标签中的哪些与hr应用有关并且将被映射到通用标识符。在一些实施方式中,一个或多个人工智能模型可以包括支持向量机模型、人工神经网络模型、数据挖掘模型、模式发现模型等中的一个或多个。
支持向量机模型可以包括具有一个或多个相关联学习算法(其分析被用于分类和回归分析的数据)的监督学习模型。给定一组训练示例,每个训练示例被标记为属于两个类别中的一个或另一个,支持向量机模型的训练方法构建将新示例分配给一个类别或另一类别的模型。支持向量机模型是作为空间中的点被映射使得单独类别的示例被尽可能宽的明确间隙划分的示例的表示。然后将新示例映射到相同的空间中,并基于新示例落入的间隙的哪一侧来预测属于哪一个类别。
人工神经网络模型可以包括使用人工神经网络的模型(例如,以确定不同的应用资源标签种的哪些与hr应用相关)。人工神经网络利用被称为人工神经元的连接的单元或节点的集合。人工神经元之间的每个连接可以将信号从一个人工神经元传送到另一人工神经元。接收信号的人工神经元可以处理信号,并且然后向该人工神经元所连接的人工神经元提供信号。人工神经元和连接通常具有随着学习进行而调整的权重。权重可以增加或减少连接处的信号的强度。附加地,人工神经元可以具有阈值,使得人工神经元仅在聚合信号满足阈值时才发送信号。通常,人工神经元以层的形式被组织,并且不同的层可以在其输入上执行不同种类的变换。
数据挖掘模型可以包括执行异常检测(例如,异常值、改变和/或偏差检测,以标识需要进一步调查的感兴趣的异常数据记录或数据错误)、关联规则学习(例如,依赖性建模,以搜索变量之间的关系)、聚类(以发现相似数据中的组和/或结构,而不使用数据中的已知结构)、分类(以归纳已知结构以应用于新数据)、回归(以标识具有最少错误的建模数据的函数)、概括(以提供数据集的更紧凑的表示,包括可视化和报告生成)等的模型。
模式发现模型可以包括数据挖掘技术,诸如顺序模式挖掘。顺序模式挖掘是结构化数据挖掘的类型,其寻求标识其中值按顺序传递的数据示例之间的在统计上相关的模式。顺序模式挖掘可以被分类为字符串挖掘(例如,其基于字符串处理模型)和/或项目集挖掘(例如,其基于关联规则学习)。字符串挖掘处理针对序列中出现的项目的有限字母表,但其中序列本身可能很长。项目集挖掘处理发现频繁项目集以及频繁项目集出现的次序。
在一些实施方式中,策略执行器平台可以利用一个或多个人工智能模型,并且可以利用由人工智能模型中的一个确定的最佳结果。在一些实施方式中,策略执行器平台可以利用多个人工智能模型,并且可以聚合由多个人工智能模型确定的结果。
在一些实施方式中,策略执行器平台可以以上述方式映射标识与不同云域相关联的所有应用的信息(例如,应用资源标签和ip地址)和通用标识符。
在一些实施方式中,策略执行器平台可以使得网络管理员能够基于由网络管理员定义的信息来覆盖到通用标识符的映射。在这种实施方式中,策略执行器平台可以提供用户界面(例如,提供给用户设备),并且用户界面可以使网络管理员能够提供与将不同的应用资源标签映射到通用标识符相关联的信息。用户设备可以向策略执行器平台提供与将不同的应用资源标签映射到通用标识符相关联的信息,并且策略执行器平台可以接收与将不同的应用资源标签映射到通用标识符相关联的信息。策略执行器平台可以基于与将不同的应用资源标签映射到通用标识符相关联的信息而将不同的应用资源标签映射到通用标识符。
如图1d中所示,并且通过附图标记105、110、115、120、130和135所示,策略执行器平台可以将策略信息与通用标识符和与关联于hr应用的ip地址(例如,与第一云域和第三云域相关联的ip地址)相关联。在一些实施方式中,当将策略信息与通用标识符和关联于hr应用的ip地址相关联时,策略执行器平台可以创建策略对象,该策略对象包括与关联于hr应用的ip地址(例如,标识hr网络应用的ip地址)的源地址相关联的源动态地址组(dag)标识符、与关联于hr应用的ip地址(例如,标识hr数据库应用的ip地址)的目的地地址相关联的目的地dag标识符,以及指示基于策略信息执行的动作的信息。
例如,策略对象的源dag可以与分别标识第一云域和第三云域中的hr网络应用的ip地址(例如,192.168.1.1和192.152.10.1,如图1b中所示)相关联。在另一示例中,策略对象的目的地dag可以与分别标识第一云域和第三云域中的hr数据库应用的ip地址(例如,192.168.2.1和192.152.10.2,如图1b中所示)相关联。
在一些实施方式中,策略对象的动作可以包括将由第一云域和第三云域在hr应用上执行的动作。例如,该动作可以包括允许hr网络应用访问作为层7服务的具有ips扫描的hr数据库应用。在一些实施方式中,动作可以包括将被应用于应用的安全动作、将被应用于应用的业务动作、将被应用于应用的网络动作、将被应用于应用的动作的组合等。
如图1e中所示,并且通过附图标记110、115、120、130、140和145所示,策略执行器平台可以基于与hr应用相关联的通用标识符、dag(例如,在策略对象中被提供)和ip地址向第一云域提供策略信息(例如,策略对象)。在一些实施方式中,策略执行器平台可以将策略对象的源dag(例如,hr_web_dag)与标识第一云域中的hr网络应用的ip地址(例如,192.168.1.1)相关联,并且可以将策略对象的目的地dag(例如,hr_db_dag)与标识第一云域中的hr数据库应用的ip地址(例如,192.168.2.1)相关联。策略执行器平台可以基于源dag和目的地dag将策略动作(例如,“具有ips扫描的许可”)路由到第一云域,以允许第一云域实施用于hr应用的策略动作。例如,基于策略动作,第一云域可以允许hr网络应用访问作为层7服务的具有ips扫描的hr数据库应用。
在一些实施方式中,dag可以包括映射到公共属性集合的组合或公共自定义标签名称的ip地址列表,该公共属性集合的组合或公共自定义标签名称唯一地描述组中的成员并且由与服务器设备、应用、网络实体等相关联的ip地址标识。在一些实施方式中,dag可以被应用于任何的网络策略(例如,防火墙策略定义),并且ip地址成员可以在运行时动态被确定并被应用于策略,而不需要网络策略中的恒定配置改变。例如,hr_web_dag可以是针对匹配“应用=hr”和“层=网络”的所有应用的分类,并且形成hr_web_dag的ip地址是在运行时通过获悉云域中的改变而动态确定的,而不会导致改变成针对hr_web_dag定义的原始策略。
如图1e中进一步所示的,并且通过附图标记110、115、120、130、140和150所示,策略执行器平台可以基于与hr应用相关联的通用标识符、dag(例如,在策略对象中被提供)和ip地址而将策略信息(例如,策略对象)提供给第三云域。在一些实施方式中,策略执行器平台可以将策略对象的源dag(例如,hr_web_dag)与标识第三云域中的hr网络应用的ip地址(例如,192.152.10.1)相关联,并且可以将策略对象的目的地dag(例如,hr_db_dag)与标识第三云域中的hr数据库应用的ip地址(例如,192.152.10.2)相关联。策略执行器平台可以基于源dag和目的地dag将策略动作(例如,“ips扫描允许”)路由传送到第三云域,以允许第三云域实施用于hr应用的策略动作。例如,基于策略动作,第三云域可以允许hr网络应用访问作为层7服务的具有ips扫描的hr数据库应用。
在一些实施方式中,由于第二云域不包括hr应用,因此策略执行器平台可以基于与hr应用相关联的通用标识符、dag和ip地址而不(例如,可以防止)将策略信息(例如,策略对象)提供给第二云域。
在一些实施方式中,如果随后从云域(例如,第一云域)移除hr应用,则策略执行器平台可以基于与hr应用相关联的应用资源标签来确定第一云域不再包括hr应用。在这种实施方式中,策略执行器平台可以基于确定第一云域不包括hr应用,使策略信息(例如,策略对象)从第一云域被移除。
如图1f中所示,现在假设在一段时间之后,第二云域包括hr应用。例如,hr应用可以从第一云域被迁移到第二云域,可以被添加到第二云域而不从第一云域移除hr应用等。如图1f中进一步所示,对于hr应用,第二云域可以包括标识与hr应用相关联的类型(例如,网络应用)的应用资源标签(层)、标识hr网络应用的应用资源标签(应用)、标识与hr应用相关联的另一类型(例如,数据库应用)的应用资源标签(pci_db),以及标识hr数据库应用的应用资源标签(应用)。第二云域可以包括与hr网络应用相关联的ip地址(例如,192.101.10.3)和与hr数据库应用相关联的ip地址(例如,192.101.10.4)。
如图1f中进一步所示的,并且通过附图标记155所示,策略执行器平台可以从第二云域接收与hr应用相关联的新应用资源标签和新ip地址。在一些实施方式中,策略执行器平台可以基于与hr应用相关联的新应用资源标签和新ip地址动态地确定hr应用现在存在于第二云域中。在一些实施方式中,基于动态地确定hr应用现在存在于第二云域中,策略执行器平台可以将新应用资源标签映射到用于hr应用的通用标识符,如本文其他地方所描述的。在一些实施方式中,策略执行器平台可以将策略信息与通用标识符和关联于hr应用的新ip地址(例如,由第二云域提供的新ip地址)相关联,如本文其他地方所描述的。
如图1g中所示,并且通过附图标记140、155和160所示,策略执行器平台可以基于与hr应用相关联的通用标识符、dag(例如,在策略对象中被提供)和新ip地址,向第二云域提供策略信息(例如,策略对象)。在一些实施方式中,策略执行器平台可以将策略对象的源dag(例如,hr_web_dag)与标识第二云域中的hr网络应用的新ip地址(例如,192.101.10.3)相关联,并且可以将策略对象的目的地dag(例如,hr_db_dag)与标识第二云域中的hr数据库应用的新ip地址(例如,192.101.10.4)相关联。策略执行器平台可以基于源dag和目的地dag将策略动作(例如,“具有ips扫描的许可”)路由传送到第二云域,以允许第二云域实施用于hr应用的策略动作。例如,基于策略动作,第二云域可以允许hr网络应用访问作为层7服务的具有ips扫描的hr数据库应用。
以这种方式,用于在具有不同应用命名的云域中执行策略的过程的若干不同阶段是自动的,这可以消除人类主观性和过程中的浪费,并且可以提高过程的速度和效率并且节省计算资源(例如,处理器资源、存储器资源等)。此外,本文所描述的实施方式使用严格的计算机化的过程来执行之前未被执行的或之前使用主观的人类直觉或输入来执行的任务或角色。例如,目前还没有一种技术可以在具有不同应用命名的云域中执行策略。最后,将用于在具有不同的应用命名的云域中执行策略的过程自动化节省了计算资源(例如,处理器资源、存储器资源等),否则在尝试跨云域管理不同的应用命名时,这些计算资源将会被浪费。
此外,策略执行器平台可以处理数百、数千、数百万等的不同的应用、应用命名、应用地址等,并且因此,能够提供大数据解决方案以在具有不同的应用命名的云域执行策略。策略执行器平台可以使得网络管理员能够跨不同的云域将不同的应用命名同步到可以对其应用策略的通用标识符。策略执行器平台可以使得网络管理员能够针对各种应用创建、管理、监控他们的策略等。策略执行器平台可以为跨不同云域动态迁移的应用实现策略执行。
如上所述,仅作为示例提供图1a-图1g。其他示例是可能的,并且可以与关于图1a-图1g所描述的不同。
图2是示例环境200的图,其中可以实施本文所描述的系统和/或方法。如图2中所示,环境200可以包括用户设备210、策略执行器平台220、网络230和云域240。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合互连。
用户设备210包括能够接收、生成、存储、处理和/或提供诸如本文所描述的信息的信息的一个或多个设备。例如,用户设备210可以包括移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、台式计算机、手持式计算机、游戏设备、可穿戴通信设备(例如,智能手表、一副智能眼镜等)或类似类型的设备。在一些实施方式中,用户设备210可以从策略执行器平台220和/或云域240接收信息和/或向策略执行器平台220和/或云域240传送信息。
策略执行器平台220包括能够在具有不同应用命名的云域中执行策略的一个或多个设备。在一些实施方式中,策略执行器平台220可以被设计成是模块化的,以便某些软件组件可以根据特定需要被换入或换出。这样,可以容易地和/或快速地重新配置策略执行器平台220以用于不同的用途。在一些实施方式中,策略执行器平台220可以从一个或多个用户设备210和/或云域240接收信息和/或向一个或多个用户设备210和/或云域240传送信息。
在一些实施方式中,如所示的,可以在云计算环境222中托管策略执行器平台220。应当注意,虽然本文所描述的实施方式将策略执行器平台220描述为被托管在云计算环境222中,但是在一些实施方式中,策略执行器平台220可以不是基于云的(即,可以在云计算环境之外被实施,诸如在一个或多个服务器设备内)或者可以是部分基于云的。
云计算环境222包括托管策略执行器平台220的环境。云计算环境222可以提供计算、软件、数据访问、存储等服务,其不要求终端用户了解托管策略执行器平台220的(多个)系统和/或(多个)设备的物理位置和配置。如所示的,云计算环境222可以包括一组计算资源224(统称为“计算资源224”,以及单独地称为“计算资源224”)。
计算资源224包括一个或多个人计算机、工作站计算机、服务器设备或其他类型的计算和/或通信设备。在一些实施方式中,计算资源224可以托管策略执行器平台220。云资源可以包括在计算资源224中执行的计算实例、在计算资源224中被提供的存储设备、由计算资源224提供的数据传输设备等。在一些实施方式中,计算资源224可以经由有线连接、无线连接或有线和无线连接的组合与其他计算资源224通信。
如图2中进一步所示的,计算资源224包括一组云资源,诸如一个或多个应用(“app”)224-1、一个或多个虚拟机(“vm”)224-2、虚拟化存储(“vs”)224-3、一个或多个管理程序(“hyp”)224-4等。
应用224-1包括可以被提供给用户设备210或由用户设备210访问的一个或多个软件应用。应用224-1可以消除在用户设备210上安装和执行软件应用的需要。例如,应用224-1可以包括与策略执行器平台220相关联的软件和/或能够经由云计算环境222提供的任何其他软件。在一些实施方式中,一个应用224-1可以经由虚拟机224-2向/从一个或多个其他应用224-1发送/接收信息。
虚拟机224-2包括类似物理机的执行程序的机器(例如,计算机)的软件实施方式。虚拟机224-2可以是系统虚拟机或过程虚拟机,这取决于虚拟机224-2对任何真实机器的使用和对应程度。系统虚拟机可以提供支持完整操作系统(“os”)的执行的完整的系统平台。过程虚拟机可以执行单个程序,并且可以支持单个过程。在一些实施方式中,虚拟机224-2可以代表用户(例如,客户端设备210或策略执行器平台220的操作员)执行,并且可以管理云计算环境222的基础设施,诸如数据管理、同步或长持续时间数据传输。
虚拟化存储224-3包括在计算资源224的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实施方式中,在存储系统的上下文中,虚拟化的类型可以包括块虚拟化和文件虚拟化。块虚拟化可以指示来自物理存储的逻辑存储的抽象(或分离),使得可以在不考虑物理存储或异构结构的情况下访问存储系统。该分离可以允许存储系统的管理员在管理员如何管理终端用户的存储方面的灵活性。文件虚拟化可以消除在文件级访问的数据与文件被物理存储的位置之间的依赖性。这可以使得能够优化存储使用、服务器整合和/或非中断性文件迁移的性能。
管理程序224-4可以提供允许在主机计算机(诸如计算资源224)上并行执行多个操作系统(例如,“客户操作系统”)的硬件虚拟化技术。管理程序224-4可以向客户操作系统呈现虚拟操作平台,并且可以管理客户操作系统的执行。各种操作系统的多个实例可以共享虚拟化硬件资源。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括蜂窝网络(例如,第五代(5g)网络、长期演进(lte)网络、第三代(3g)网络、码分多址(cdma)网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如,公共交换电话网络(pstn))、专用网络、自组织网络、内联网、因特网、基于光纤的网络等、和/或这些或其他类型的网络的组合。
云域240包括类似于云计算环境222的一个或多个云计算环境。在一些实施方式中,云域240可以包括驻留在由私有实体管理的私有内联网或数据中心中,并受安全设备(例如,防火墙)保护的一个或多个私有云域(例如,内联网、企业云域等)。在一些实施方式中,云域240可以包括驻留在由公共实体(例如,云服务提供商)管理的公共数据中心中的一个或多个公共云域。在一些实施方式中,云域240可以包括驻留在由私有实体管理的数据中心中的一个或多个旧有的数据中心域。
作为示例提供图2中所示的设备和网络的数目和布置。实际上,可能存在与图2所示的那些相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或不同地布置的设备和/或网络。此外,图2所示的两个或多个设备可以在单个设备中被实施,或者图2所示的单个设备可以被实施成多个分布式的设备。附加地或备选地,环境200的一组设备(例如,一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
图3是设备300的示例组件的图。设备300可以对应于用户设备210、策略执行器平台220和/或计算资源224。在一些实施方式中,用户设备210、策略执行器平台220和/或计算资源224可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或硬件和软件的组合实施。处理器320是中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)、微处理器、微控制器、数字信号处理器(dsp)、现场可编程门阵列(fpga)、专用集成电路(asic)或另一类型的处理组件。在一些实现中,处理器320包括能够被编程以执行功能的一个或多个处理器。存储器330包括随机存取存储器(ram)、只读存储器(rom)、和/或存储用于由处理器320使用的信息和/或指令的另一类型的动态或静态存储设备(例如,闪速存储器、磁存储器和/或光存储器)。
存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁光盘、和/或固态硬盘)、压缩盘(cd)、数字通用盘(dvd)、软盘、盒式磁带、磁带,和/或另一类型的非瞬态计算机可读介质、连同对应的驱动器。
输入组件350包括允许设备300诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)来接收信息的组件。附加地或备选地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(gps)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括提供来自设备300的输出信息的组件(例如,显示器、扬声器和/或一个或多个发光二极管(led))。
通信接口370包括使得设备300能够诸如经由有线连接、无线连接或有线和无线连接的组合与其他设备通信的类似收发器的组件(例如,收发器和/或单独的接收器和发射器)。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光接口、同轴接口、红外接口,射频(rf)接口、通用串行总线(usb)接口、无线局域网接口、蜂窝网络接口等。
设备300可以执行本文所描述的一个或多个过程。基于处理器320执行由诸如存储器330和/或存储组件340等非瞬态计算机可读介质存储的软件指令,设备300可以执行这些过程。计算机可读介质在本公开中被定义为非瞬态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或者跨多个物理存储设备的存储器空间。
软件指令可以经由通信接口370从另一计算机可读介质或从另一设备被读取到存储器330和/或存储组件340中。当被执行时,被存储在存储器330和/或存储组件340中的软件指令可以使处理器320执行本文所描述的一个或多个过程。附加地或备选地,硬连线电路装置可以被用于代替或结合软件指令来执行本文所描述的一个或多个过程。因此,本文所描述的实施方式不限于硬件电路装置和软件的任何特定组合。
作为示例提供图3中所示的组件的数目和布置。实际上,设备300可以包括与图3中所示的组件相比更多的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地,设备300的一组组件(例如,一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
图4是用于在具有不同应用命名的云域中执行策略的示例过程400的流程图。在一些实施方式中,图4的一个或多个处理块可以由策略执行器平台(例如,策略执行器平台220)执行。在一些实施方式中,图4的一个或多个处理块可以由与策略执行器平台220分离或包括策略执行器平台220的另一设备或一组设备(诸如用户设备210)执行。
如图4中所示,过程400可以包括接收指示用于由多个云域托管的应用的策略的策略信息(框410)。例如,策略执行器平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收指示用于由多个云域托管的应用的策略的策略信息,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括从多个云域接收与该应用相关联的不同的应用资源标签和地址(框420)。例如,策略执行器平台(例如,使用计算资源224、处理器320、通信接口370等)可以从多个云域接收与该应用相关联的不同的应用资源标签和地址,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括将不同的应用资源标签映射到通用标识符(框430)。例如,策略执行器平台(例如,使用计算资源224、处理器320等)可以将不同的应用资源标签映射到通用标识符,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括将策略与通用标识符和关联于该应用的地址相关联(框440)。例如,策略执行器平台(例如,使用计算资源224、处理器320、存储器330、存储组件340等)可以将策略与通用标识符和关联于该应用的地址相关联,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括基于将策略与通用标识符和关联于该应用的地址相关联,向多个云域提供策略以用于实施(框450)。例如,策略执行器平台(例如,使用计算资源224、处理器320、通信接口370等)可以基于将策略与通用标识符和关联于该应用的地址相关联,向多个云域提供策略以用于实施(例如,以允许多个云域实施该策略),如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括从特定云域接收与该应用相关联的新应用资源标签和新地址(框460)。例如,策略执行器平台(例如,使用计算资源224、处理器320、通信接口370等)可以从特定云域接收与该应用相关联的新应用资源标签和新地址,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括将新应用资源标签映射到通用标识符,以及将策略与通用标识符和新地址相关联(框470)。例如,策略执行器平台(例如,使用计算资源224、处理器320、存储器330、存储组件340等)可以将新应用资源标签映射到通用标识符,并且可以将策略与通用标识符和新地址相关联,如上面结合图1a-图2所描述的。
如图4中进一步所示的,过程400可以包括基于将策略与通用标识符和新地址相关联,将策略提供给特定云域(框480)。例如,策略执行器平台(例如,使用计算资源224、处理器320、通信接口370等)可以基于将策略与通用标识符和新地址相关联,向特定云域提供策略,如上面结合图1a-图2所描述的。
过程400可以包括附加的实施方式,诸如下面描述的任何单个实施方式或实施方式的任何组合。
在一些实施方式中,策略执行器平台可以从不同于多个云域的云域接收与该应用相关联的新应用资源标签和新地址,可以将新应用资源标签映射到通用标识符,可以将策略与通用标识符和关联于该应用的新地址相关联,并且可以基于将策略与通用标识符和关联于该应用的新地址相关联,将策略提供给云域。在一些实施方式中,策略可以包括将由多个云域实施的安全策略。
在一些实施方式中,在将策略与通用标识符和关联于该应用的地址相关联时,策略执行器平台可以创建策略对象,策略对象包括与关联于该应用的地址的源地址相关联的源动态地址组(dag)标识符、与关联于该应用的地址的目的地地址相关联的目的地dag标识符,和指示基于策略执行的动作的信息。在一些实施方式中,策略执行器平台在向多个云域提供策略时可以向多个云域提供策略对象以允许多个云域执行动作。
在一些实施方式中,策略执行器平台可以从不同于多个云域的云域接收指示云域不包括该应用的信息,并且可以基于确定指示云域不包括该应用的信息,防止将策略提供给云域。在一些实施方式中,多个云域可以包括两个或多个公共云域、两个或多个私有云域,或者两个或多个旧有的数据中心域。
在一些实施方式中,可以将应用从多个云域中的第一云域迁移到多个云域中的第二云域。在这种实施方式中,策略执行器平台可以从第一云域接收指示另一应用与第一云域相关联的信息,并且可以基于指示其他应用与第一云域相关联的信息,向第一云域提供另一策略。在这种实施方式中,策略执行器平台可以从第二云域接收与该应用相关联的新应用资源标签和新地址,可以将新应用资源标签映射到通用标识符,可以将策略与通用标识符和关联于该应用的新地址相关联,并且可以基于将策略与通用标识符和关联于该应用的新地址相关联,向第二云域提供策略。
在一些实施方式中,策略执行器平台可以从第三云域并且在一段时间之后接收与该应用相关联的新应用资源标签和新地址,其中新应用资源标签和新地址指示该应用现在被托管在第三云域中。在这种实施方式中,策略执行器平台可以将新应用资源标签映射到通用标识符,可以将策略与通用标识符和关联于该应用的新地址相关联,并且可以基于将策略与通用标识符和关联于该应用的新地址相关联,向第三云域提供策略以允许第三云域实施策略。
在一些实施方式中,策略可以包括将针对应用实施的层7应用安全策略。在一些实施方式中,策略执行器平台在将策略与通用标识符和关联于该应用的地址相关联时可以创建策略对象,策略对象包括与关联于该应用的地址的源地址相关联的源动态地址组(dag)标识符、与关联于该应用的地址的目的地地址相关联的目的地dag标识符,和指示基于策略执行的动作的信息。在这种实施方式中,策略执行器平台在向第一云域和第二云域提供策略时可以将策略对象提供给第一云域和第二云域以允许第一云域和第二云域选择性地执行该动作。在一些实施方式中,第一云域、第二云域和第三云域中的每个包括公共云域、私有云域或旧有的数据中心域中的一个。
在一些实施方式中,可以将应用从第一云域迁移到与第一云域分离的第四云域。在这种实施方式中,策略执行器平台可以从第四云域接收与该应用相关联的新应用资源标签和新地址,可以将新应用资源标签映射到通用标识符,可以将策略与通用标识符和关联于该应用的新地址相关联,并且可以基于将策略与通用标识符和关联于该应用的新地址相关联,向第四云域提供策略。
在一些实施方式中,策略执行器平台可以提供用户界面以接收与将不同的应用资源标签映射到通用标识符相关联的信息,并且可以基于与将不同的应用资源标签映射到通用标识符相关联的信息,将不同的应用资源标签映射到通用标识符。
在一些实施方式中,策略执行器平台在将策略与通用标识符和关联于该应用的地址相关联时可以创建策略对象,策略对象包括与关联于该应用的地址的源地址相关联的源动态地址组(dag)标识符、与关联于该应用的地址的目的地地址相关联的目的地dag标识符,和指示基于策略执行的安全动作的信息。在这种实施方式中,策略执行器平台在向私有云域和公共云域提供策略时可以向私有云域和公共云域提供策略对象以允许私有云域和公共云域执行该安全动作。
在一些实施方式中,策略执行器平台可以基于与该应用相关联的不同的应用资源标签来确定私有云域或公共云域中的一个云域不再包括应用,并且可以基于确定私有云域或公共云域中的该一个云域不包括应用,使策略从私有云域或公共云域中的该一个移除。
在一些实施方式中,策略执行器平台可以从与私有云域和公共云域不同的云域接收与该应用相关联的新应用资源标签和新地址,可以将新应用资源标签映射到通用标识符,可以将策略与通用标识符和关联于该应用的新地址相关联,并且可以基于将策略与通用标识符和关联于该应用的新地址相关联,将策略提供给云域。在一些实施方式中,策略可以包括将针对私有云域和公共云域中的应用实施的安全策略。
尽管图4示出了过程400的示例框,但是在一些实施方式中,过程400可以包括与图4所示的框相比更多的框、更少的框、不同的框或不同布置的框。附加地或备选地,可以并行执行过程400的框中的两个或多个。
本文所描述的一些实施方式提供了在具有不同应用命名的云域中执行策略的策略执行器平台。例如,策略执行器平台可以接收指示用于由多个云域托管的应用的策略的策略信息,并且可以从多个云域接收与该应用相关联的不同的应用资源标签和地址。策略执行器平台可以将不同的应用资源标签映射到通用标识符,并且可以将策略与通用标识符和关联于该应用的地址相关联。策略执行器平台可以基于将策略与通用标识符和关联于该应用的地址相关联,向多个云域提供策略以允许多个云域实施策略。
以上公开提供了图示和描述,但并非旨在穷举或将实施方式限于所公开的精确形式。鉴于以上公开内容,修改和变化是可能的,或者可以从实现的实践中被获得。
如本文所使用的,术语“组件”旨在广义地被解释为硬件、固件或硬件和软件的组合。
本文已经描述了和/或在附图中示出了某些用户界面。用户界面可以包括图形用户界面、非图形用户界面、基于文本的用户界面等。用户界面可以提供用于显示的信息。在一些实施方式中,用户可以与信息交互,诸如通过经由提供用于显示的用户界面的设备的输入组件提供输入。在一些实施方式中,用户界面可以由设备和/或用户可配置(例如,用户可以改变用户界面的大小、经由用户界面提供的信息、经由用户界面提供的信息的位置等)。附加地或备选地,用户界面可以被预先配置成标准配置、基于显示用户界面的设备类型的特定配置,和/或基于与显示用户界面的设备相关联的能力和/或规格的一组配置。
明显的是,本文所描述的系统和/或方法可以以不同形式的硬件、固件或硬件和软件的组合来实施。被用于实施这些系统和/或方法的实际专用控制硬件或软件代码不是对实施方式的限制。因此,本文在没有参考特定的软件代码的情况下,描述了系统和/或方法的操作和行为,应当理解,可以将软件和硬件设计为基于本文的描述来实施系统和/或方法。
尽管特征的特定组合在权利要求中被陈述和/或在说明书中被公开,但是这些组合并不旨在限制可能的实施方式的公开。实际上,许多这些特征可以以未在权利要求中被具体陈述和/或在说明书中被公开的方式组合。尽管下面列出的每个从属权利要求可以直接仅依赖于一个权利要求,但是可能的实施方式的公开包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。
除非明确地如此描述,否则本文所使用的元件、动作或指令不应当被解释为关键或必要的。另外,如本文所使用的,冠词“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关项目和不相关项目的组合等),并且可以与“一个或多个”互换使用。在仅有一个项目的情况下,使用术语“一个”或类似的语言。另外,如本文所使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式的术语。另外,除非另有明确说明,否则短语“基于”旨在表示“至少部分地基于”。
- 还没有人留言评论。精彩留言会获得点赞!