云基础设施系统中的安全区策略强制执行的制作方法

背景技术：

1、一般而言，基于云的应用(例如，企业公共云应用、第三方云应用等)的使用正在飙升，访问来自于各种设备(例如，桌面和移动设备)以及各种用户(例如，员工、合作伙伴、客户等)。对于向云过渡的公司和企业，云服务提供商必须能够为其用户提供稳健的安全解决方案。基于云的安全服务提供了允许公司和企业利用云计算的众多优势、同时保持安全并确保满足数据隐私和合规性要求的安全解决方案。由于基于云的服务和基于云的应用具有丰富的多样性和可访问性，因此需要由云提供商安全地管理的云资源的量持续快速增长。需要改进现有的用于安全地配置和管理云中资源的基于云的安全服务，以提供对云中资源的更加稳健、安全且可靠的访问。

技术实现思路

1、本公开一般而言涉及基于云的安全解决方案。更具体而言，但不作为限制，本公开描述了一种基于云的安全解决方案，其提供用于管理和强制执行与在云中管理的各种资源相关的安全策略的稳健且安全的框架。

2、在某些实施例中，公开了云服务提供商基础设施中的安全区(security zone)策略强制执行系统。安全区策略强制执行系统接收对资源执行操作的请求，并确定与该资源相关联的隔间(compartment)。系统确定隔间与安全区相关联并确定适用于该资源的一组一个或多个安全区策略。系统然后基于该组一个或多个安全区策略确定对资源的操作被准许，并且响应于确定对资源的操作被准许而允许对资源执行操作。

3、在某些示例中，系统确定与资源相关联的隔间的隔间标识符和适用于资源的一组一个或多个隔间策略。适用于资源的该组一个或多个隔间策略包括与隔间相关联的一个或多个隔间策略和与在层次上与隔间相关的一个或多个父隔间相关联的一个或多个隔间策略的联合(union)。

4、在某些示例中，系统基于所述一组一个或多个隔间策略确定对资源的操作被准许，并且响应于基于所述一组一个或多个隔间策略确定对资源的操作被准许，确定隔间与安全区相关联。

5、在某些示例中，系统包括基于所述一组一个或多个隔间策略确定对资源的操作不被准许，并且响应于该确定，不允许对资源执行操作。在某些示例中，系统包括基于所述一组安全区策略确定对资源的操作不被准许，并且响应于该确定，不允许对资源执行该操作。

6、在某些示例中，适用于资源的所述一组一个或多个安全区策略包括与安全区相关联的一个或多个安全区策略和与在层次上与安全区相关的一个或多个父安全区相关联的一个或多个安全区策略的联合。

7、在某些示例中，所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式。该组表达式中的每个表达式包括一组一个或多个条件，并且该组一个或多个条件中的每个条件指定关于要对资源执行的操作的限制。在某些示例中，限制指定要求对资源进行加密的准则、限制资源从资源所在的隔间移动的准则或禁止从公共互联网访问该资源的准则。在某些示例中，限制指定与和资源相关联的一个或多个次要资源相关的准则，其中该一个或多个次要资源影响资源的操作。在某些示例中，所述一组一个或多个安全区策略禁止要对资源执行的操作的特定配置。

8、在某些示例中，系统向用户发送指示已成功地对资源执行操作的结果。在某些示例中，结果指示没有成功地对资源执行操作。

9、在某些示例中，系统接收将隔间与安全区相关联的请求。隔间与一组一个或多个隔间策略相关联。响应于该请求，系统将隔间与安全区相关联。安全区与一组一个或多个安全区策略相关联。作为关联的结果，隔间与一组一个或多个安全区策略以及一组一个或多个隔间策略相关联。在某些示例中，系统接收将资源添加到隔间的请求，并且响应于该请求，至少部分地基于所述一组一个或多个隔间策略和所述一组一个或多个安全区策略来确定对资源的访问。在某些示例中，所述一组一个或多个安全区策略禁止要对资源执行的一组操作或禁止要对资源执行的操作的特定版本。

10、在某些实施例中，公开了云服务提供商基础设施(cspi)中的集中式应用编程接口(api)请求处理系统。api请求处理系统接收标识要对cspi中的资源执行的操作的api请求。系统根据api请求确定与资源相关联的隔间信息和上下文信息。响应于确定与资源相关联的隔间信息和上下文信息，系统确定资源驻留在与安全区相关联的隔间中。系统然后处理api请求并将api请求的处理结果发送到集中式api处理系统的用户。

11、在某些示例中，系统根据api请求确定主要资源。在某些示例中，主要资源是api请求中标识的资源。系统确定受api请求影响的次要资源。次要资源是与主要资源相关联的资源。在某些示例中，次要资源没有作为api请求的一部分被标识。

12、在某些示例中，隔间信息包括隔间标识符和与api请求中标识的主要资源相关联的一组一个或多个隔间策略。在某些示例中，上下文信息与受api请求影响的次要资源相关联。上下文信息可以包括与次要资源相关联的资源标识符、与次要资源相关联的隔间标识符或与次要资源相关联的资源状态。在某些示例中，上下文信息标识cspi中被配置为执行api请求的下游服务。

13、在某些示例中，系统基于与资源相关联的隔间信息和上下文信息确定准许对api请求中标识的资源执行操作，并且响应于该确定，确定资源驻留在与安全区相关联的隔间中。在某些示例中，集中式api处理系统对api请求的处理包括将api请求和与资源相关联的隔间信息发送到安全区策略强制执行系统以供处理。该处理还包括由集中式api处理系统从安全区策略强制执行系统接收对api请求的处理结果。在某些示例中，结果指示准许对资源执行该操作。在某些示例中，结果指示不准许对资源执行该操作。在某些示例中，集中式api处理系统将结果发送给用户。在某些示例中，处理api请求包括由安全区策略强制执行系统评估与隔间的安全区相关联的一组一个或多个安全区策略。

14、在某些示例中，在确定与资源相关联的隔间信息和上下文信息之前，系统确定用户被授权对api请求中标识的资源执行操作。在某些示例中，与资源相关联的隔间信息和上下文信息被存储在与api请求相关联的安全区规范中。

15、本文描述了各种实施例，包括方法、系统、存储可由一个或多个处理器执行的程序、代码或指令等的非暂态计算机可读存储介质。提及这些说明性实施例不是为了限制或定义本公开，而是为了提供示例以帮助理解本公开。在详细描述中讨论了附加的实施例，并且在那里提供了进一步的描述。

技术特征：

1.一种方法，包括：

2.如权利要求1所述的方法，其中确定与所述资源相关联的隔间包括确定与所述资源相关联的隔间的隔间标识符和适用于所述资源的一组一个或多个隔间策略。

3.如权利要求2所述的方法，其中适用于所述资源的所述一组一个或多个隔间策略包括与所述隔间相关联的一个或多个隔间策略和与在层次上与该隔间相关的一个或多个父隔间相关联的一个或多个隔间策略的联合。

4.如权利要求2所述的方法，还包括：

5.如权利要求2所述的方法，还包括：

6.如权利要求1所述的方法，还包括：

7.如权利要求1所述的方法，其中适用于所述资源的所述一组一个或多个安全区策略包括与安全区相关联的一个或多个安全区策略和与在层次上与所述安全区相关的一个或多个父安全区相关联的一个或多个安全区策略的联合。

8.如权利要求1所述的方法，其中所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式，其中所述一组表达式中的每个表达式包括一组一个或多个条件，并且其中所述一组一个或多个条件中的每个条件指定关于要对所述资源执行的所述操作的限制。

9.如权利要求8所述的方法，其中所述限制指定要求对所述资源进行加密的准则、限制所述资源从所述资源所在的隔间移动的准则或禁止从公共互联网访问所述资源的准则。

10.如权利要求9所述的方法，其中所述限制指定与和所述资源相关联的一个或多个次要资源相关的准则，其中所述一个或多个次要资源影响所述资源的操作。

11.如权利要求1所述的方法，其中所述一组一个或多个安全区策略禁止要对所述资源执行的所述操作的特定配置。

12.如权利要求1所述的方法，还包括由安全区策略强制执行系统向用户传输指示对所述资源成功执行了所述操作的结果。

13.如权利要求1所述的方法，还包括由安全区策略强制执行系统向用户传输指示未成功地对所述资源执行所述操作的结果。

14.一种云服务提供商基础设施中的安全区策略强制执行系统，包括：

15.如权利要求14所述的系统，还包括用于确定与所述资源相关联的隔间的隔间标识符和适用于所述资源的一组一个或多个隔间策略的指令。

16.如权利要求1所述的系统，其中所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式，其中所述一组表达式中的每个表达式包括一组一个或多个条件，并且其中所述一组一个或多个条件中的每个条件指定关于要对所述资源执行的所述操作的限制。

17.一种具有存储在其上的程序代码的非暂态计算机可读介质，所述程序代码可由一个或多个处理设备执行以执行操作，所述操作包括：

18.如权利要求17所述的非暂态计算机可读介质，还包括：

19.如权利要求18所述的非暂态计算机可读介质，其中所述一组一个或多个安全区策略禁止要对所述资源执行的一组操作或禁止要对所述资源执行的操作的特定版本。

20.如权利要求18所述的非暂态计算机可读介质，其中所述一组一个或多个安全区策略中的安全区策略被表示为一组一个或多个表达式，其中所述一组表达式中的每个表达式包括一组一个或多个条件，并且其中所述一组一个或多个条件中的每个条件指定关于要对所述资源执行的操作的限制。

技术总结
公开了一种基于云的安全解决方案，该解决方案提供用于管理和强制执行与云中被管理的各种资源相关的安全策略的稳健且安全的框架。基于云的安全解决方案由云服务提供商基础设施中的安全区策略强制执行系统实现。系统接收对资源执行操作的请求并确定与该资源相关联的隔间。系统确定隔间与安全区相关联并确定适用于该资源的一组一个或多个安全区策略。系统然后基于所述一组一个或多个安全区策略确定对资源的操作不被准许，并且响应于确定对资源的操作不被准许，允许对资源执行操作。

技术研发人员：I·多左瑞茨,T·阿尔瑞赫姆,J·童,L·库珀曼,N·R·波特兰普里,B·G·钱德朗,B·普拉蒂,N·格拉斯,G·纳嘎拉加,J·J·纳达尔
受保护的技术使用者：甲骨文国际公司
技术研发日：
技术公布日：2024/1/11