间接涉及组件以及直接涉及发送组件。在一种状况中,可禁止第一组件访问目标组件,而允许第二组件与目标组件进行交互。第一组件可尝试使用第二组件来访问第三组件。但是,由于组件之间的通信中使用的验证令牌以及通过这些令牌传递上下文,语义管线(或者任何适当策略注入器)能够按照有关方的完整链进行策略判定,如图20所示。因此,在上述状况中,禁止访问的策略能够对来自第二组件的通信来实施,以禁止第一组件所触发的通信。能够应用其他适当逻辑,以实施其他策略限制。
[0058]包括向目标组件传递通信的框S150用来完成通信。通过在传递通信之前经由语义管线传递通信,能够透明的实施策略、行为和记录。通信优选地在语义管线中逐渐处理了通信之后传递给目标组件,并且通信按照语义管线来传递。通信可传递给最初由始发组件所预计的组件。但是,语义管线备选地可改变目标组件的类型、版本、编号或配置。类似地,通信可由语义管线按照任何适当方式来修改。如上所述,向目标组件传递通信可包括向组件的第二语义管线来传递通信。在一个实现中,语义管线用于各组件,以及组件的入局和出局通信经过语义管线。相应地,通信可在完成传递给目标组件之前经过发送方的语义管线并且然后经过接收方的语义管线。另外,语义管线可确定应当阻塞或阻止通信。在这种情况下,通信没有传递给目标组件,其按照语义管线的处理结果。错误响应或其他适当响应可传送给发送方。
[0059]另外,语义管线能够使用传输层安全(TLS)来保护对数据库或者其他适当组件的通信,而无需客户端软件支持TLS。更一般来说,语义管线级能够包括升级到语义管线与目标组件之间的通信中的密码协议。语义管线级优选地应用语义认识,以便应用语义感知升级指令。组件间操作请求的内容能够在语义上更新,以调用或实现通过实际协议的升级安全性。例如,在MySQl通信握手期间,MYSQL通信的参数能够改变,并且安全特征能够在语义上接合到请求中,以升级通信。能够类似地使用SSL或者任何适当密码传输协议。优选地,通过将语义管线放置在与客户端软件相同的系统上,所有机器外数据库通信(例如PostgreSQL通信)获得TLS支持,作为中间组件升级,如图21所示。TLS支持优选地在无需客户端软件修改的情况下取得。因此,能够实施安全策略。此外,证书检验可在策略引擎的控制下执行,从而准许超出客户端应用可能支持的改进。
[0060]作为附加变化,统计和数据可从语义管线来导出。统计可基于API请求、HTTP请求或者基于任何适当提示周期地导出。统计还可在没有客户端请求的上下文的情况下采集,其用来准许消耗模式的跟踪,而无需客户端应用重启或重新配置。
[0061]在一种示范使用情况中,语义管线可为PostgreSQL管理服务与PostgreSQL数据库之间的通信来定义。PostgreSQL管理服务优选地被隔离并且给予关联语义管线的IP端口。PostgreSQL数据库的指令优选地传送给语义管线。第一级可以是数据库的连接凭证的内联改写。内联改写优选地是语义感知改写认证/授权凭证。来自始发组件的认证的存在能够被检测并且自动改变成在目标组件的语义管线所建立的凭证一凭证的第一集合能够在始发组件与语义管线之间使用以及凭证的第二集合能够在语义管线与目标组件之间使用。交换凭证或调用辅助凭证的动作能够对始发组件和目标组件是透明的。认证凭证的语义感知变化能够使得允许访问组件,而无需向组件暴露凭证。检验PostgreSQL管理服务所提供的凭证,以及如果有效,则采用平台为实际PostgreSQL数据库所生成的凭证来置换。作为第二级,异步记录过程能够记录前端、后端和总等待时间。另外,可记录同步钩子和级的等待时间。第三级可以是python脚本的授权钩子。python脚本可由实体配置成阻止来自PostgreSQL管理服务的DROP和INSERT命令。第四级可以是审计日志的异步钩子,使得能够跟踪PostgreSQL管理服务的所有动作。
[0062]优选实施例的系统和方法及其变化能够至少部分体现和/或实现为配置成接纳存储计算机可读指令的计算机可读介质的机器。指令优选地由优选地与PaaS基础设施所集成的计算机可执行组件来运行。计算机可读介质能够存储在任何适当计算机可读介质上,例如RAM、ROM、闪速存储器、EEPR0M、光学装置(CD或DVD)、硬盘驱动器、软盘驱动器或者任何适当装置。计算机可执行组件优选地是通用或专用处理器,但是任何适当专用硬件或硬件/固件组合装置作为替代或补充能够运行指令。
[0063]如本领域的技术人员通过前面的详细描述并且通过附图和权利要求书将会知道,能够对本发明的优选实施例进行修改和变更,而没有脱离以下权利要求书中限定的本发明的范围。
【主权项】
1.一种用于在具有多个主机的计算环境中实施策略的方法,包括: ?建立通过名称空间寻址语法所指定的策略更新; ?向与所引用组件名称空间关联的组件集合发布所述策略更新; ?在所述组件集合的主机认证所述策略更新; ?在所述主机本地检验所述组件的操作请求的策略顺应性,其中所述操作请求定向到至少第二组件; ?在通信信道流中应用检验所述操作请求的所述策略顺应性的结果,其包括在准许所述操作请求时通过所述通信信道将所述操作请求路由到所述第二组件,而在不准许所述操作请求时阻止所述操作请求。2.如权利要求1所述的方法,还包括在认证服务器以周期间隔向所述组件集合的所述主机发送心跳信号;并且其中 检验策略顺应性包括校验心跳信号,在策略心跳信号到期时向所述认证服务器请求第二策略更新,并且使用所述第二策略更新来检验所述操作请求的策略顺应性。3.如权利要求1所述的方法,还包括: ?在认证服务器密码签署令牌以描述所述策略更新的发送方,向所述组件集合的所述主机传递所述令牌;以及 ?其中认证所述策略更新包括对所述令牌解码,并且检验所述策略更新的所述发送方是所述认证服务器。4.如权利要求1所述的方法,其中,向与所述所引用组件名称空间关联的所述组件集合发布所述策略更新包括向分层地取决于所述所引用组件名称空间的一类组件发布所述更新。5.如权利要求1所述的方法,还包括隔离所述组件集合的组件;并且其中本地检验策略顺应性在发出所述操作请求的所述隔离组件的主机来运行。6.如权利要求1所述的方法,还包括: ?在所述主机密码签署验证令牌以描述所述操作请求的发送方,将所述令牌随所述操作请求传递给所述第二组件;以及 ?其中认证所述策略更新包括对所述验证令牌解码,并且检验所述操作请求的所述发送方。7.如权利要求1所述的方法,还包括记录操作请求。8.如权利要求7所述的方法,还包括记录具有所述验证令牌的信息的操作请求。9.如权利要求7所述的方法,还包括发送所述操作请求的通知通信。10.如权利要求1所述的方法,还包括: ?接收平台更新; ?在包括实施分级操作策略的分级管线中处理所述平台更新;以及 ?在在隔离容器中操作的至少一个分级组件中例示所述经处理的平台更新,并且其中所述至少一个组件的所述操作策略在所述隔离容器的所述主机处的所述策略注入器中本地建立。11.如权利要求1所述的方法,其中,策略从具有所述名称空间寻址语法中的不同策略设定特权的多个帐户来更新。12.如权利要求1所述的方法,其中,如果按照组件访问策略准许所述操作请求,则通过所述通信信道将所述操作请求路由到所述第二组件。13.如权利要求1所述的方法,其中,如果按照组件资源消耗策略准许所述操作请求,则通过所述通信信道将所述操作请求路由到所述第二组件。14.一种用于分布式计算环境中的组件策略实施的方法,包括: ?通过组件名称空间语法来建立分级和操作策略; ?接收平台更新; ?在包括实施分级操作策略的分级管线中处理所述平台更新; ?在在隔离容器中操作的至少一个分级组件中例示所述经处理的平台更新,并且其中所述至少一个组件的所述操作策略在所述隔离容器的所述主机处的所述策略注入器中本地建立;以及 ?通过通信信道策略注入器来路由所述至少一个组件的操作请求。15.如权利要求14所述的方法,其中,处理所述平台更新包括在封装内容策略级来处理所述平台更新,在应用相关性策略级中来处理所述平台更新,以及在测试策略级中处理所述平台更新。16.如权利要求15所述的方法,其中,在应用相关性策略级中处理所述平台更新包括更新所述至少一个分级平台与其相关的组件。17.如权利要求15所述的方法,其中,处理所述平台更新包括在包括请求批准以进行所述平台更新的处理的授权校验策略级中处理所述平台更新。18.一种用于分布式计算环境中的组件策略实施的系统,包括: ?认证服务器系统,配置成管理规范组件策略,并且在所引用的所述计算环境的组件保持已更新策略; ?策略接口,通过其更新策略; ?计算系统中的多个主机,其中主机运行组件集合,所述组件集合的各组件在隔离计算容器中是可操作的;以及 ?策略注入器,本地运行于各容器的所述主机上,并且配置成实施组件策略。19.如权利要求18所述的系统,还包括分布式公有密钥,以验证所述策略更新源自所述认证服务器系统。20.如权利要求19所述的系统,其中,所述认证服务器系统还配置成传送心跳信号,并且所述策略注入器配置成在所述策略不是当前时按照心跳信号来刷新所述策略。21.如权利要求18所述的系统,还包括与所述策略注入器接口集成的记录系统,以存储所述组件的操作请求。22.如权利要求18所述的系统,还包括当到达组件时响应部署策略规则的分级管线。
【专利摘要】用于在具有多个主机的计算环境中实施策略的系统和方法包括:建立通过名称空间寻址语法所指定的策略更新;向与所引用组件名称空间关联的组件集合发布策略更新;在组件集合的主机认证策略更新;在主机由主机本地检验定向到至少第二组件的操作请求的策略顺应性;在通信信道流中应用检验操作请求的策略顺应性的结果,其包括在准许操作请求时通过通信信道将操作请求路由到第二组件,而在不准许操作请求时阻止操作请求。
【IPC分类】H04L29/06
【公开号】CN105359482
【申请号】CN201480027524
【发明人】D.科利森, B.卡瑟曼, J.J.史密斯, K.克哈扎诺夫斯基, K.M.罗伯森
【申请人】阿普塞拉公司
【公开日】2016年2月24日
【申请日】2014年3月10日
【公告号】EP2973146A1, US20140280999, US20140282849, WO2014159270A1