用于提供流動安全層的裝置和方法
【專利摘要】提供一種安全管理能力。安全管理能力能夠在存儲/應(yīng)用位置之間遷移各安全規(guī)則。遷移安全規(guī)則可包括選擇應(yīng)用安全規(guī)則的位置,將安全規(guī)則遷移到應(yīng)用安全規(guī)則的所選位置。可基于安全規(guī)則策略和/或安全規(guī)則位置選擇信息進行選擇應(yīng)用安全規(guī)則的位置。將安全規(guī)則從當前位置(例如,當前應(yīng)用安全規(guī)則的位置,管理系統(tǒng)等)遷移到應(yīng)用安全規(guī)則的所選位置。在該方式下,可提供流動的安全層。流動的安全層可優(yōu)化安全水平、性能、成本等中的一個或多個。
【專利說明】用于提供流動安全層的裝置和方法
【技術(shù)領(lǐng)域】
[0001]概括地,本發(fā)明涉及通信,并且更具體但非排他的,涉及提供通信安全。
【背景技術(shù)】
[0002]基于云的數(shù)據(jù)中心快速成為企業(yè)和個人用戶管理他們數(shù)據(jù)的選擇。盡管近年來基于云的數(shù)據(jù)中心已進行重新設(shè)計,以應(yīng)對在基于云的數(shù)據(jù)中心中管理的日益增長的數(shù)據(jù)量(例如,提供多路徑能力、更高帶寬、更高可擴展性,和能夠支持日益增加的用戶數(shù)量的其它特征),但在技術(shù)創(chuàng)新方面,為基于云的數(shù)據(jù)中心提供安全的許多安全服務(wù)滯后了。
【發(fā)明內(nèi)容】
[0003]現(xiàn)有技術(shù)中的各種缺陷會在用于安全管理的實施方式中解決。
[0004]在一個實施方式中,一種裝置:包括處理器和與處理器通信連接的存儲器,其中處理器被配置為根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略來選擇應(yīng)用安全規(guī)則的位置,并且發(fā)起將安全規(guī)則遷移到應(yīng)用安全規(guī)則的所選位置。
[0005]在一個實施方式中,一種計算機可讀存儲介質(zhì),存儲在由計算機執(zhí)行時促使計算機執(zhí)行以下方法的指令,其中方法包括根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略來選擇要應(yīng)用安全規(guī)則的位置,并且發(fā)起將安全規(guī)則遷移到應(yīng)用安全規(guī)則的所選位置。
[0006]在一個實施方式中,一種方法,包括根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略來選擇應(yīng)用安全規(guī)則的位置,發(fā)起安全規(guī)則到應(yīng)用安全規(guī)則的所選位置的遷移。
【專利附圖】
【附圖說明】
[0007]通過參考下面的詳細描述并結(jié)合附圖,可以容易地理解這里的教導(dǎo)。
[0008]圖1描述了配置為支持安全管理的一個示例性云系統(tǒng)的高級框圖;
[0009]圖2描述了用于根據(jù)安全規(guī)則策略選擇用于安全規(guī)則的位置的方法一個實施方式;以及
[0010]圖3描述了適用于執(zhí)行這里描述的功能的計算機的高級框圖。
[0011]為了便于理解,在可能的情況下使用了相同的標號,以指示各附圖共有的相同元素。
【具體實施方式】
[0012]概括地,這里描述和說明了安全管理能力,但各種其它能力也會在這里呈現(xiàn)。
[0013]在至少一些實施方式中,安全權(quán)利能力能夠在存儲/應(yīng)用安全規(guī)則的存儲/應(yīng)用位置之間遷移個別安全規(guī)則和/或安全規(guī)則組。存儲/應(yīng)用位置可位于數(shù)據(jù)中心內(nèi)部(可將其稱為數(shù)據(jù)中心位置),位于數(shù)據(jù)中心之間的通信網(wǎng)絡(luò)中(可將其稱為網(wǎng)絡(luò)位置等,以及其各種組合)。更一般地,可將存儲/應(yīng)用位置稱為位置。
[0014]在至少一些實施方式中,安全規(guī)則的遷移可包括選擇應(yīng)用安全規(guī)則的位置,將安全規(guī)則遷移至應(yīng)用安全規(guī)則的所選擇位置??苫诎踩?guī)則策略和/或安全規(guī)則位置選擇信息選擇應(yīng)用安全規(guī)則的位置。將安全規(guī)則從當前位置(例如,當前應(yīng)用安全規(guī)則的位置,管理系統(tǒng)等)遷移到應(yīng)用安全規(guī)則的所選擇位置。在這種方式下,可提供流動的安全層。流動的安全層可對安全水平、性能、成本等、以及其各種組合進行優(yōu)化。
[0015]在至少一些實施方式中,可將安全管理能力配置為能夠基于安全規(guī)則策略和/或各種類型的安全規(guī)則位置選擇信息遷移安全規(guī)則,從而在基于各種考慮(例如,客戶要求、數(shù)據(jù)中心狀態(tài)等)將特定規(guī)則放置在特定(和在至少一些情況下理想的)位置方面提供了顯著的靈活性。
[0016]在至少一些實施方式中,可將安全管理能力配置為能夠以能夠使云的用戶認識到數(shù)據(jù)中心網(wǎng)絡(luò)中各種增強的優(yōu)勢的方式(例如,使用多路徑能力、提供更高帶寬、提供更高可擴展性等)安全配置與云相關(guān)的通信,而不降低數(shù)據(jù)中心網(wǎng)絡(luò)的安全性。在至少一些實施方式中,安全管理能力避免了通過虛擬機的移動在虛擬機的粒度上管理安全模塊(例如,防火墻等)的需要(例如,每個虛擬機管理或負責(zé)檢測一組用戶規(guī)則(通常是全部相關(guān)用戶的規(guī)則)和/或請求全部用戶業(yè)務(wù)以遍歷管理和執(zhí)行全部用戶規(guī)則的虛擬機)。
[0017]在至少一些實施方式中,安全管理能力導(dǎo)致改善在數(shù)據(jù)中心中管理的應(yīng)用和服務(wù)(例如,改善的性能,諸如在獲得的帶寬和響應(yīng)延遲方面),以及改善數(shù)據(jù)中心的整體效率(例如,通過調(diào)整負載和優(yōu)化各安全檢查的位置)。
[0018]可以理解的是,盡管在管理應(yīng)用于云數(shù)據(jù)中心的通信的安全規(guī)則的上下文中進行基本的說明和描述,但安全管理能力的各功能可適用于管理可應(yīng)用于各種其它類型的通信的安全規(guī)則(例如,不同于那些與云數(shù)據(jù)中心相關(guān)聯(lián)的通信)。
[0019]圖1描述了配置為支持安全管理的示例性云系統(tǒng)的高級框圖。
[0020]云系統(tǒng)100包括第一數(shù)據(jù)中心I1a和第二數(shù)據(jù)中心I1b(統(tǒng)稱為數(shù)據(jù)中心110),通信網(wǎng)絡(luò)120,分布在云系統(tǒng)100的各單元上的多個安全模塊130,安全規(guī)則控制器140,包括安全規(guī)則152和安全規(guī)則策略154的安全規(guī)則數(shù)據(jù)庫。
[0021]第一數(shù)據(jù)中心I 1a包括多個主機11 Ia1-1 I Ian (統(tǒng)稱為主機111A)。主機111A1_111AN各自包括系統(tǒng)管理程序112A1-112AN(統(tǒng)稱為系統(tǒng)管理程序112a)。主機IIIa1-1IIan還各自包括多個虛擬機IHa1-1Han(統(tǒng)稱為多個虛擬機114a)。第一數(shù)據(jù)中心I1a還包括與每個主機111通信連接的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115a。
[0022]第二數(shù)據(jù)中心I 1b包括多個主機11 Ib1-1 I Ibn (統(tǒng)稱為主機111B)。主機111B1_111BN各自包括系統(tǒng)管理程序112B1-112BN(統(tǒng)稱為系統(tǒng)管理程序112b)。主機IIIb1-1IIbn還各自包括多個虛擬機114B1-114BN(統(tǒng)稱為多個虛擬機114b)。第二數(shù)據(jù)中心I1b還包括與每個主機111通信連接的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115b??蓪⒅鳈C111八和IIIb統(tǒng)稱為主機111。可將系統(tǒng)管理程序1124和112b統(tǒng)稱為系統(tǒng)管理程序112。
[0023]通信網(wǎng)絡(luò)120支持第一數(shù)據(jù)中心I1a和第二數(shù)據(jù)中心I1b之間的通信,以及安全規(guī)則控制器和數(shù)據(jù)中心I1之間的通信。通信網(wǎng)絡(luò)120包括多個網(wǎng)絡(luò)設(shè)備122^122?(統(tǒng)稱為網(wǎng)絡(luò)設(shè)備122)。通信網(wǎng)絡(luò)120可包括適于支持在數(shù)據(jù)中心11(^和110B2間通信和安全規(guī)則控制器140和數(shù)據(jù)中心110之間通信的任意類型的通信網(wǎng)絡(luò)。相似的,網(wǎng)絡(luò)設(shè)備122可包括適于支持在數(shù)據(jù)中心I1a和I1b之間通信和安全規(guī)則控制器140和數(shù)據(jù)中心110之間通信的任意類型的通信網(wǎng)絡(luò)(例如,路由器、交換機等)。
[0024]將安全模塊130配置為接收、存儲和應(yīng)用安全規(guī)則152。安全模塊130代表安全規(guī)貝U 152的潛在存儲/應(yīng)用位置,其中在該位置上可存儲并執(zhí)行安全規(guī)則130。如上面說明的,安全模塊130分布在云系統(tǒng)100的各單元中。在數(shù)據(jù)中心11(^中,系統(tǒng)管理程序11241-112_各自包括安全模塊130A1-130AN,數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115A包括安全模塊130sa(統(tǒng)稱為安全模塊130a)。在數(shù)據(jù)中心I1b中,系統(tǒng)管理程序112B1-112BN各自包括安全模塊130B1_130BN,數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115b包括安全模塊130SB(統(tǒng)稱為安全模塊130b)。網(wǎng)絡(luò)設(shè)備1221-122?各自包括安全模塊130N1-130NN (統(tǒng)稱為安全模塊130n)。將安全模塊130a、130b和130N統(tǒng)稱為安全模塊130。安全模塊130在云系統(tǒng)100各位置的可用性,在能夠在策略、條件等、以及其組合的基礎(chǔ)上智能放置安全規(guī)則方面提供顯著的靈活性。
[0025]將安全模塊130配置為各自將安全規(guī)則152應(yīng)用于在配置安全模塊130的單元上進行遍歷的通信。例如,主機11 Ia1-1 I Ian的安全模塊13(^-13(^可在發(fā)送給主機111A1_11 Ian的數(shù)據(jù)/從主機IIIa1-1IIan(和駐留在11 Ia1-1IIan上的虛擬機114A1_114AN)接收的數(shù)據(jù)上執(zhí)行安全規(guī)則152。相似的,例如,主機IIIb1-1IIbn的安全模塊130B1_130BN可在發(fā)送給的數(shù)據(jù)/從主機IIIb1-1IIbn(和駐留在IIIb1-1IIbn上的虛擬機114B1_114BN)接收的數(shù)據(jù)上執(zhí)行安全規(guī)則152。例如,安全模塊130SA可在發(fā)送給數(shù)據(jù)中心I1a的任意主機IIIa的數(shù)據(jù)/從數(shù)據(jù)中心I1a的任意主機IIIa接收的數(shù)據(jù)上執(zhí)行安全規(guī)則152 (例如,在數(shù)據(jù)中心I1a中的主機I IIa之間交換的數(shù)據(jù),在數(shù)據(jù)中心I1a的主機IIIa與位于數(shù)據(jù)中心I1a之外的任何其它設(shè)備之間交換的數(shù)據(jù)等,以及其各種組合)。相似的,例如,安全模塊130sb可在發(fā)送給數(shù)據(jù)中心I1b的任意主機IIIb的數(shù)據(jù)/從數(shù)據(jù)中心I1b的任意主機IIIb接收的數(shù)據(jù)上執(zhí)行安全規(guī)則152 (例如,在數(shù)據(jù)中心I 1b中的主機11 Ib之間交換的數(shù)據(jù),在數(shù)據(jù)中心I 1b中的主機IIIb與位于數(shù)據(jù)中心I1b之外的任何其它設(shè)備之間交換的數(shù)據(jù)等,以及其各種組合)。例如,網(wǎng)絡(luò)設(shè)備122fl22N的安全模塊130^-13(^可在遍歷網(wǎng)絡(luò)設(shè)備122「122Ν的數(shù)據(jù)(例如,發(fā)送給任一數(shù)據(jù)中心110的任意主機111/從任一數(shù)據(jù)中心110的任意主機111接收)上執(zhí)行安全規(guī)則152。
[0026]安全模塊130可包括配置為將安全規(guī)則152應(yīng)用于通信單元之間通信的任意合適類型的安全單元。例如,安全模塊130可包括防火墻、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、或配置為保持和執(zhí)行安全規(guī)則的任何其它類型的單元。
[0027]將安全規(guī)則控制器140配置為控制安全模塊130。將安全規(guī)則控制器140配置為控制安全規(guī)則152向安全模塊130的分配,從而能夠使安全規(guī)則控制器140控制在云系統(tǒng)100中應(yīng)用安全規(guī)則152的方式。安全規(guī)則控制器140與通信網(wǎng)絡(luò)120、以及第一數(shù)據(jù)中心HOa和第二數(shù)據(jù)中心I1b進行通信連接,以便提供這樣的功能。
[0028]安全規(guī)則控制器140包括或者已接入安全規(guī)則數(shù)據(jù)庫150,其中如上所述,安全規(guī)則數(shù)據(jù)庫150包括多個安全規(guī)則152和多個安全規(guī)則策略154。
[0029]安全規(guī)則數(shù)據(jù)庫150可包括用于一個或多個用戶的安全規(guī)則152和安全規(guī)則策略154。
[0030]安全規(guī)則152可包括由安全單元(例如,安全模塊130)應(yīng)用于通信單元(例如,VM114,主機111,網(wǎng)絡(luò)單元等)之間通信的任意類型的安全規(guī)則。例如,安全規(guī)則152可包括防火墻規(guī)則,例如用于在特定端口(例如,端口 80,端口 120等)阻塞業(yè)務(wù)的規(guī)則,用于僅允許來自特定端口(例如,端口 10,端口 50等)的業(yè)務(wù)的規(guī)則,用于限制從特定端口(例如,端口 20,端口 40等)輸出業(yè)務(wù)速率的規(guī)則等,以及其各種組合。例如,安全規(guī)則152可包括一個或多個入侵檢測規(guī)則(例如,如果通過連接接收的業(yè)務(wù)與執(zhí)行入侵檢測監(jiān)控的指定模式相匹配,則標記連接,等等)。例如,安全規(guī)則152可包括一個或多個入侵防御規(guī)則(例如,如果通過連接接收的業(yè)務(wù)與執(zhí)行入侵防御監(jiān)控的指定模式相匹配,則撤銷連接,等等)。安全規(guī)則152可包括適于在通信單元之間的安全通信中使用的任何其他合適類型的規(guī)則。
[0031]安全規(guī)則152可包括可應(yīng)用于通信單元之間通信的任意類型的安全規(guī)則,其中可包括從任意合適的源單元到任意合適的目的單元的通信。例如,安全規(guī)則152可應(yīng)用于源虛擬機和目的虛擬機之間的通信(例如,在相同的主機111中,與在同一數(shù)據(jù)中心110、在不同數(shù)據(jù)中心110中的不同主機111相關(guān)聯(lián),等)。例如,安全規(guī)則152可應(yīng)用于虛擬機和網(wǎng)絡(luò)設(shè)備(例如,負載均衡器或任意其它合適的網(wǎng)絡(luò)設(shè)備)之間的通信。例如安全規(guī)則152可應(yīng)用于多個源通信單元和單一目的通信單元之間的通信。例如,安全規(guī)則152可應(yīng)用于單一源通信單元和多個目的通信單元之間的通信。可以理解的是,其它變形(例如,在通信單元的數(shù)量和/或類型方面)是可行的。
[0032]安全規(guī)則152可以任何合適的方式進行組織。安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則152以每個用戶為基礎(chǔ)進行組織,以便能夠以每個用戶為基礎(chǔ)對安全規(guī)則152進行分配和應(yīng)用。安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則152可對用戶組進行組織(例如,安全規(guī)則152和/或安全策略154在多個用戶間分享)。安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則152可以任何其他合適的方式進行組織。
[0033]安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則策略154可包括可用于選擇定義相關(guān)安全規(guī)則策略154的安全規(guī)則152的位置的任何策略。安全規(guī)則策略154可基于諸如性能(例如,安全水平、延遲等)、成本等、以及其各種組合的考慮進行定義。安全規(guī)則策略154可基于諸如一個或多個用戶的需要和/或希望(例如,客戶專用策略參數(shù))的更多指定考慮進行定義。需要說明的是,安全規(guī)則策略154的特定實施例在下文中詳細描述。
[0034]安全規(guī)則策略154可以任何合適的方式進行組織。安全規(guī)則數(shù)據(jù)150的安全規(guī)則策略154可以每個用戶為基礎(chǔ)進行組織,以便能夠以每個用戶為基礎(chǔ)應(yīng)用安全規(guī)則策略154(還能夠使每個用戶定義自己的特定安全規(guī)則策略154以進行替換,或除使用可應(yīng)用于多個用戶的多個更普通的安全規(guī)則策略154之外)。安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則策略154可為用戶組進行組織(例如,安全規(guī)則策略154在多個用戶之間共享)。安全規(guī)則數(shù)據(jù)庫150的安全規(guī)則策略154可以任何其他合適的方式進行組織。
[0035]安全規(guī)則152和安全規(guī)則策略154可彼此以任何合適的粒度相關(guān)聯(lián)。一般的,每個安全規(guī)則152具有相關(guān)聯(lián)的一個或多個安全規(guī)則策略154,每個安全規(guī)則策略154還可應(yīng)用于一個或多個安全規(guī)則152。例如,安全規(guī)則152可具有相關(guān)聯(lián)的單一安全規(guī)則策略154 (例如,相同的安全規(guī)則策略154通常應(yīng)用于安全規(guī)則152),或者可具有相關(guān)聯(lián)的多個安全規(guī)則策略154(例如,在不同條件下,相關(guān)安全規(guī)則策略154中的不同策略可應(yīng)用于安全規(guī)則)。相似的,例如,與安全規(guī)則152相關(guān)聯(lián)的安全規(guī)則策略154可專用于安全規(guī)則152,或者可配置為用于多個安全規(guī)則152 (例如,同一用戶的不同安全規(guī)則152,相同或相似的安全規(guī)則152通過多個用戶,不同用戶的不同安全規(guī)則152等,以及其各種組合)。
[0036]安全規(guī)則控制器140被配置為選擇應(yīng)用安全規(guī)則152中的個別安全規(guī)則的位置,其可包括云系統(tǒng)100的任意安全模塊130。安全規(guī)則控制器140被配置為在各種條件下選擇用于安全規(guī)則152的位置。安全規(guī)則控制器140被控制為確定將安全規(guī)則152遷移到為安全規(guī)則152選擇的位置是否必要。安全規(guī)則控制器140被配置為控制將安全規(guī)則152中的個別規(guī)則遷移到應(yīng)用安全規(guī)則152中的個別規(guī)則的所選位置,其可包括將安全規(guī)則152從安全規(guī)則數(shù)據(jù)庫150遷移到安全模塊130和/或在安全模塊130之間遷移安全規(guī)則152。在這種方式下,安全規(guī)則控制器140被配置為提供流動的安全層,其中在流動的安全層中根據(jù)需要和/或期望安全規(guī)則152可通過云系統(tǒng)100進行遷移。由安全規(guī)則控制器140執(zhí)行的這些功能會在下面詳細描述。
[0037]安全規(guī)則控制器140被配置為選擇應(yīng)用安全規(guī)則152的位置。一般的,存在與選擇安全規(guī)則140的位置相關(guān)聯(lián)的各種折衷。安全規(guī)則控制器140可配置為評估這樣的折衷,以便確定應(yīng)用安全規(guī)則152的位置。安全規(guī)則控制器140可基于策略(例如,安全規(guī)則策略154)、安全規(guī)則位置選擇信息(例如,來自一個或多個系統(tǒng)管理程序112的統(tǒng)計,來自一個或多個數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115的統(tǒng)計,來自一個或多個網(wǎng)絡(luò)設(shè)備122的統(tǒng)計等)等、以及其各種組合來評估這樣的折衷。一般的,通過考慮一個實施例可更好地理解對這樣折衷的評估。在該實施例中,假設(shè)第一虛擬機(例如,主機IIIai的一個虛擬機114A1)正在給第二虛擬機(例如,主機Illra的一個虛擬機114bn)發(fā)送數(shù)據(jù),安全規(guī)則152被定義為檢測由第一虛擬機發(fā)送的數(shù)據(jù)是否被允許進入第二虛擬機。在給實施例中,為了檢測由虛擬機IIIai發(fā)送的數(shù)據(jù)是否被允許進入虛擬機IIIbn,安全規(guī)則可被放置在主機IIIai的系統(tǒng)管理程序112A1中,主機11 Ibn的系統(tǒng)管理程序112BN中,或者在中間路徑上的某處(例如,數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115A,虛擬機IIIai和虛擬機Illra之間路徑上的一個網(wǎng)絡(luò)設(shè)備122,或數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115B)。如上所述,安全規(guī)則152的這些潛在位置的每一個都有各種正面和反面的爭論,并且安全規(guī)則控制器140被配置為評估各種正面和反面的爭論,以便選擇安全規(guī)則152的位置。例如,將安全規(guī)則152放置相對靠近數(shù)據(jù)源(例如,在系統(tǒng)管理程序112A1的安全模塊130A1)是有優(yōu)勢的,這是由于它防止過度的業(yè)務(wù)進入網(wǎng)絡(luò)(例如,數(shù)據(jù)中心網(wǎng)絡(luò)和/或通信網(wǎng)絡(luò)120),還導(dǎo)致需要被分發(fā)、存儲和應(yīng)用的安全規(guī)則152的拷貝數(shù)量的增加,從而可以有大量的數(shù)據(jù)源將數(shù)據(jù)發(fā)送給虛擬機11 Ibn (從而增加與應(yīng)用安全規(guī)則152的應(yīng)用相關(guān)聯(lián)的CPU和存儲器成本)。相反,例如,將安全規(guī)則152放置相對靠近數(shù)據(jù)目的地(例如,在系統(tǒng)管理程序112bn的安全模塊130bn)是有優(yōu)勢的,這是由于它減少了需要分發(fā)、存儲和應(yīng)用的安全規(guī)則152的拷貝數(shù)量(從而減少了與應(yīng)用安全規(guī)則152的應(yīng)用相關(guān)聯(lián)的CPU和存儲器成本),還導(dǎo)致網(wǎng)絡(luò)中過量業(yè)務(wù)的增加(例如,數(shù)據(jù)中心網(wǎng)絡(luò)和/或通信網(wǎng)絡(luò)120),這是由于全部數(shù)據(jù)不得不從數(shù)據(jù)源移動到靠近數(shù)據(jù)目的地的位置(例如,即使當一些這樣的數(shù)據(jù)甚至不被允許進入虛擬機114bn)。因此,另一個選項是將安全規(guī)則152放置在網(wǎng)絡(luò)中,其中在網(wǎng)絡(luò)中業(yè)務(wù)從幾個源到幾個目的地集合(例如,數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115A,虛擬機IIIai和虛擬機IIIbn之間路徑上的一個網(wǎng)絡(luò)設(shè)備122,或數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115B),這從而在將安全規(guī)則152放置在靠近源或目的地的優(yōu)點和缺點之間提供了一種平衡;然而,這涉及給安全規(guī)則控制器140增加額外的計算開銷,這是由于其要求安全規(guī)則控制器140跟蹤虛擬機114的拓撲,以及數(shù)據(jù)源和數(shù)據(jù)目的地的位置。同樣,基于各種因素(例如,策略、用戶偏好、數(shù)據(jù)中心條件、網(wǎng)絡(luò)條件等),安全規(guī)則控制器140必須評估安全規(guī)則152的可能位置,并為安全規(guī)則152選擇合適的位置。安全規(guī)則控制器140為安全規(guī)則152選擇位置的方式會在下面詳細描述。
[0038]安全規(guī)則控制器140被配置為基于與安全規(guī)則152相關(guān)聯(lián)的安全規(guī)則策略154選擇應(yīng)用安全規(guī)則152的位置。與安全規(guī)則152相關(guān)聯(lián)的安全規(guī)則策略154可指定由安全規(guī)則控制器140考慮的安全規(guī)則位置選擇信息的類型,以便選擇安全規(guī)則152,同時安全規(guī)則位置選擇信息由安全規(guī)則控制器140分析以選擇安全規(guī)則152的位置。換句話說,可基于與安全規(guī)則152相關(guān)聯(lián)的相關(guān)安全規(guī)則位置選擇信息限定安全規(guī)則152的安全規(guī)則策略154。安全規(guī)則控制器140可被配置為當安全規(guī)則策略154被滿足或當安全規(guī)則策略154被違反時發(fā)起安全規(guī)則152的遷移(例如,基于定義安全規(guī)則策略154的方式)。
[0039]如上所述,安全規(guī)則控制器140被配置為基于與安全規(guī)則152相關(guān)聯(lián)的安全規(guī)則策略154選擇應(yīng)用安全規(guī)則152的位置。安全規(guī)則策略154的規(guī)則如下,盡管可以理解的是,各種其它類型的安全規(guī)則策略154可被安全規(guī)則控制器140定義和利用以控制安全規(guī)則152的位置。
[0040]在一個實施例中,安全規(guī)則152的安全規(guī)則策略154被配置為支持或?qū)崿F(xiàn)減少(并且,在至少一些情況下,最小化)由應(yīng)用安全規(guī)則152所引入的延遲的目標。在一個這樣的實施方式中,可通過安全規(guī)則152選擇位于或靠近應(yīng)用安全規(guī)則152的通信源的位置、或者選擇位于或靠近應(yīng)用安全規(guī)則152的通信的目的地的位置來實現(xiàn)。在單一數(shù)據(jù)中心110進行通信的情況下,例如,安全規(guī)則152可放置在與作為通信源的虛擬機114相關(guān)聯(lián)的系統(tǒng)管理程序112中的安全模塊130,或者可放置在與作為通信目的地的虛擬機114相關(guān)聯(lián)的系統(tǒng)管理程序112中的安全模塊130(例如,相對于放置在與數(shù)據(jù)中心110的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115相關(guān)聯(lián)的安全模塊130)。在源數(shù)據(jù)中心110和目的數(shù)據(jù)中心110之間進行通信的情況下,例如,安全規(guī)則152可放置在與作為通信源的虛擬機114相關(guān)聯(lián)的系統(tǒng)管理程序112中的安全模塊130,也可放置在與作為通信目的地的虛擬機114相關(guān)聯(lián)的系統(tǒng)管理程序112中的安全模塊130(例如,相對于放置在數(shù)據(jù)中心110中形成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的安全模塊,或放置在通信網(wǎng)絡(luò)120的網(wǎng)絡(luò)設(shè)備的安全模塊)。如果放置安全規(guī)則152的虛擬機114從當前位置移動到新位置,安全規(guī)則控制器140會發(fā)起將安全規(guī)則152遷移到相對靠近虛擬機114新位置的位置,從而,仍可保持有虛擬機114進行通信的相對低水平的延遲。需要說明的是,這種類型的用戶偏好在固定安全位置的數(shù)據(jù)中心會非常難以實現(xiàn)。
[0041]在一個實施方式中,安全規(guī)則152的安全規(guī)則策略154被配置為支持或?qū)崿F(xiàn)減少(至少在一些情況下,最小化)應(yīng)用安全規(guī)則152所引入的延遲的目標,其中安全規(guī)則與處理密集型安全機制(例如,入侵檢測規(guī)則,入侵防御規(guī)則,和處理數(shù)據(jù)分組的其它相對重量級的系統(tǒng)和機制)相關(guān)聯(lián)。在這種情況下,如果安全規(guī)則152被放置在系統(tǒng)管理程序112中,并且與檢測通信分組的處理密集型安全機制相關(guān),則基于安全規(guī)則152從系統(tǒng)管理程序112檢測分組的開銷相對較高,可導(dǎo)致增加通信和系統(tǒng)100的延遲。在一個實施方式中,響應(yīng)于安全規(guī)則152與檢測通信分組的處理密集型安全機制相關(guān)聯(lián)的檢測,安全規(guī)則控制器140可被配置為發(fā)起將正在發(fā)送的虛擬機114的上行數(shù)據(jù)流分配給新虛擬機(為了簡明起見將其刪除),并發(fā)起將安全規(guī)則152遷移到與新虛擬機114相關(guān)聯(lián)的安全模塊130 (從而可結(jié)合新虛擬機114執(zhí)行安全規(guī)則152的重量級分組處理),從而,與正在發(fā)送的虛擬機114相關(guān)聯(lián)的系統(tǒng)管理程序112不再是個瓶頸。在這種方式下,將處理密集型安全規(guī)則152轉(zhuǎn)移到專用的虛擬機114,能夠?qū)⒀舆t保持在相對低的水平。
[0042]在一個實施方式中,安全規(guī)則152的安全規(guī)則策略154可被配置為通過提高應(yīng)用安全規(guī)則152的資料處理中心的整體效率,支持或?qū)崿F(xiàn)減少(至少在部分情況下,最小化)應(yīng)用安全規(guī)則152的整體成本的目標。在一個實施方式中,安全規(guī)則控制器140被配置為通過分析和平衡兩種類型的資源:在通信網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本和在檢測安全規(guī)則152中使用的資源(例如,CPU、存儲器等),以提高應(yīng)用安全規(guī)則152的資料處理中心的整體效率。在與通信相關(guān)聯(lián)的安全規(guī)則152在單一數(shù)據(jù)中心110中的情況下,在通信網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本包括在單一數(shù)據(jù)中心110的數(shù)據(jù)中心網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本。在安全規(guī)則152與單一數(shù)據(jù)中心110的通信(在單一數(shù)據(jù)中心110內(nèi)部或外部)相關(guān)聯(lián)的情況下,在通信網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本包括在單一數(shù)據(jù)中心110的數(shù)據(jù)中心網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本,以及在支持在單一數(shù)據(jù)中心110外部進行通信的通信網(wǎng)絡(luò)(例如,在用于支持業(yè)務(wù)的通信網(wǎng)絡(luò)120的一部分上)上發(fā)送業(yè)務(wù)的成本。在安全規(guī)則152與多個數(shù)據(jù)中心110之間的通信相關(guān)聯(lián)的情況下,在通信網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本包括在各數(shù)據(jù)中心110的數(shù)據(jù)中心網(wǎng)絡(luò)上發(fā)送業(yè)務(wù)的成本,以及在支持在單一數(shù)據(jù)中心110外部進行通信的通信網(wǎng)絡(luò)(例如,用于支持業(yè)務(wù)的通信網(wǎng)絡(luò)120的一部分)上發(fā)送業(yè)務(wù)的成本。在一個實施方式中,通過在可利用的安全模塊130之間平衡安全規(guī)則152 —其中安全模塊130可包括靠近通信源的安全模塊130,靠近通信目的地的安全模塊130,和/或直接位于源和目的地的網(wǎng)絡(luò)設(shè)備上的安全模塊130 -可減小(在至少一些情況下,最小化)應(yīng)用安全規(guī)則152的整體成本。在一個實施方式中,該確定安全規(guī)則152位置以降低安全規(guī)則152的整體成本的分析可通過使用諸如可用于確定數(shù)據(jù)中心中虛擬機位置的優(yōu)化技術(shù)來執(zhí)行。
[0043]在一個實施例中,安全規(guī)則152的安全規(guī)則策略154被配置為通過提高應(yīng)用安全規(guī)則152的資料處理中心的整體效率,并至少保持性能的門限水平,支持或?qū)崿F(xiàn)減小(至少在一些情況下,最小化)應(yīng)用安全規(guī)則152的整體成本的目標。在一個實施方式中,安全規(guī)則控制器140被配置為通過解決之前實施方式討論的問題,同時還解釋通過將安全規(guī)則152維持在限定的最大延遲之下所引入的延遲的附加約束,以實現(xiàn)該目標。需要說明的是,盡管基本的描述相對于特定類型的性能測量(也就是,延遲),但安全規(guī)則控制器140可被配置為通過解決之前實施方式討論的問題,同時還解釋其它類型的性能測量(例如,一個或多個其它類型的性能類型以進行替換,或除延遲測量之外),以實現(xiàn)該目標。
[0044]需要說明的是,盡管這里主要說明和描述的更一般的為安全規(guī)則策略154,在一個實施方式中,安全規(guī)則策略154必須為由用戶定義的用戶策略和/或代表用戶,以便實現(xiàn)(或至少嘗試實現(xiàn))用戶的特定目標。需要說明的是,這對于任意數(shù)量的安全規(guī)則策略154可以是真是的。
[0045]如上所述,安全規(guī)則控制器140被配置為基于安全規(guī)則位置選擇信息選擇應(yīng)用安全規(guī)則152的位置。安全規(guī)則位置選擇信息的實施例如下,盡管可以理解的是,各種其他類型的安全規(guī)則位置選擇信息可由控制安全規(guī)則152位置的安全規(guī)則控制器140獲得和利用。
[0046]在一個實施方式中,安全規(guī)則位置選擇信息可包括一個或多個數(shù)據(jù)中心狀態(tài)信息(例如,安全規(guī)則152意在應(yīng)用于在數(shù)據(jù)中心110外部遍歷的通信,其中通信由位于數(shù)據(jù)中心110外部的通信網(wǎng)絡(luò)支持),用戶偏好信息等,以及其各種組合。
[0047]數(shù)據(jù)中心110的數(shù)據(jù)中心狀態(tài)信息可包括與數(shù)據(jù)中心110的系統(tǒng)管理程序112相關(guān)聯(lián)的狀態(tài)信息(例如,負載統(tǒng)計),與支持數(shù)據(jù)中心110之間通信的網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的狀態(tài)信息(例如,數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)擁塞信息),與主機111相關(guān)聯(lián)的狀態(tài)信息,與主機111的虛擬機114相關(guān)聯(lián)的狀態(tài)信息等,以及其各種組合。對于安全規(guī)則152與單一數(shù)據(jù)中心110的通信相關(guān)聯(lián)的情況(例如,位于數(shù)據(jù)中心110中的虛擬機114之間的數(shù)據(jù)中心內(nèi)通信,在數(shù)據(jù)中心110外部傳播但不與任何其他數(shù)據(jù)中心110相關(guān)聯(lián)的通信等),數(shù)據(jù)中心狀態(tài)信息可包括與單一數(shù)據(jù)中心110相關(guān)聯(lián)的狀態(tài)信息。對于安全規(guī)則152與多個數(shù)據(jù)中心110之間通信相關(guān)聯(lián)的情況(例如,位于不同數(shù)據(jù)中心110中虛擬機114之間的數(shù)據(jù)中心內(nèi)通信),數(shù)據(jù)中心狀態(tài)信息可包括與一個或多個相關(guān)數(shù)據(jù)中心110相關(guān)聯(lián)的狀態(tài)信息(例如,僅管理作為應(yīng)用安全規(guī)則152的通信源的主機111的源數(shù)據(jù)中心110,僅管理作為應(yīng)用安全規(guī)則152的通信目的地的主機111的目的地數(shù)據(jù)中心110,源和目的地數(shù)據(jù)中心110
坐^
寸/ ο
[0048]用戶偏好信息可包括由涉及應(yīng)用安全規(guī)則152的用戶指定的任意類型的偏好。用戶偏好信息可被指定為安全規(guī)則152的各安全規(guī)則,被指定為安全規(guī)則152的集合等,以及其各種組合。用戶偏好信息可通過使用一個或多個安全規(guī)則策略154進行指定或表示(例如,這樣的安全規(guī)則策略154可被指定為安全規(guī)則152的各安全規(guī)則,被指定為安全規(guī)則152的集合等,以及其各種組合)。
[0049]安全規(guī)則控制器140可被配置為在任意合適的時間為安全規(guī)則152選擇位置(例如,周期性的,響應(yīng)于條件或事件的指示等,以及其各種組合)。在一個實施方式中,當檢測到安全規(guī)則控制器140為指定的安全規(guī)則152選擇位置的指示時,安全規(guī)則控制器140訪問安全規(guī)則策略或與安全規(guī)則相關(guān)聯(lián)的策略154,訪問相關(guān)的安全規(guī)則位置選擇信息,并為安全規(guī)則152選擇位置。在一個實施方式中,當接收到為指定安全規(guī)則152選擇位置相關(guān)的安全規(guī)則位置選擇信息時,安全規(guī)則控制器140根據(jù)與指定安全規(guī)則相關(guān)聯(lián)的安全規(guī)則策略154,處理相關(guān)的安全規(guī)則位置選擇信息,以便選擇安全規(guī)則152的位置。在這樣的實施方式中,需要說明的是,安全規(guī)則控制器140可為多個安全規(guī)則152連續(xù)的和/或同時的執(zhí)行這樣的功能(例如,指示為多個安全規(guī)則152執(zhí)行的位置選擇,確定接收的安全規(guī)則位置選擇信息與多個安全規(guī)則152相關(guān)等,以及其各種組合)。
[0050]安全規(guī)則控制器140被配置為確定將安全規(guī)則152遷移到安全規(guī)則152的所選位置是否為必要的,至少是由于安全規(guī)則152的位置選擇可導(dǎo)致選擇應(yīng)用安全規(guī)則152的當前位置(也就是,在安全規(guī)則控制器140不需要遷移安全規(guī)則152的情況下),選擇應(yīng)用安全規(guī)則152的信息位置(也就是,在安全規(guī)則控制器140發(fā)起將安全規(guī)則152從當前位置遷移到新位置的情況下)。因此,安全規(guī)則控制器140可被配置為將安全規(guī)則152的所選位置與安全規(guī)則152的當前位置進行比較,以便確定是否需要發(fā)起將安全規(guī)則152遷移到安全規(guī)則152的所選位置。
[0051]安全規(guī)則控制器140被配置為控制將安全規(guī)則152遷移到由安全規(guī)則控制器140為安全規(guī)則152選擇的位置。安全規(guī)則控制器140可以任何合適的方式控制安全規(guī)則152的遷移。在將安全規(guī)則152從安全規(guī)則數(shù)據(jù)庫150遷移到安全模塊130的情況下,安全規(guī)則控制器140可檢索規(guī)則數(shù)據(jù)庫,并將安全規(guī)則152發(fā)送給安全模塊130。在將安全規(guī)則152從第一安全模塊130 (當前的安全模塊130)遷移到第二安全模塊130 (所選擇的安全模塊13)的情況下,安全規(guī)則控制器140可檢索(I)將指示當前的安全模塊130將安全規(guī)則152發(fā)送給所選安全模塊130的消息發(fā)送給當前的安全模塊130,或者(2)將指示當前的安全模塊130刪除安全規(guī)則152的消息發(fā)送給當前的安全模塊130,從安全規(guī)則數(shù)據(jù)庫150檢索安全規(guī)則152,將安全規(guī)則152發(fā)送給所選安全模塊130。在一個實施方式中,對于云系統(tǒng)100中安全規(guī)則152的至少部分遷移,安全規(guī)則152的遷移可通過使用路由器的一個或多個ACL功能,開放流使能交換的流控制功能等,以及其各種組合來執(zhí)行。
[0052]在這種方式下,安全規(guī)則控制器140能夠?qū)踩?guī)則152分發(fā)給云系統(tǒng)100的安全模塊130,在云系統(tǒng)的安全模塊130之間遷移安全規(guī)則152。安全規(guī)則控制器152能夠基于一個或多個策略、數(shù)據(jù)中心動態(tài)、網(wǎng)絡(luò)動態(tài)等,以及其各種組合,在安全模塊130之間遷移安全規(guī)則152。安全模塊130被配置為各自應(yīng)用安全規(guī)則152以進行遍歷放置安全模塊130的單元的通信。由安全模塊130應(yīng)用安全規(guī)則152的方式是本領(lǐng)域技術(shù)人員所了解的。在這種方式下,規(guī)定在云系統(tǒng)100中使用流動的安全層,以便提高云系統(tǒng)100的安全性。
[0053]需要說明的是,盡管將每個數(shù)據(jù)中心110說明和描述為具有特定數(shù)量和安排的主機111、系統(tǒng)管理程序112、數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115和安全模塊116,但數(shù)據(jù)中心110中的任一個或全部可使用任意其它合適數(shù)量和/或配置的主機111、系統(tǒng)管理程序112、數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備115和/或安全模塊116來實現(xiàn)。需要說明的是,盡管將每個數(shù)據(jù)中心110說明和描述為僅具有在各數(shù)據(jù)中心110中進行網(wǎng)絡(luò)傳輸?shù)膯我粩?shù)據(jù)中心網(wǎng)絡(luò)設(shè)備,但每個數(shù)據(jù)中心110可使用任意合適類型的數(shù)據(jù)中心網(wǎng)絡(luò),包括任意合適數(shù)量和安排的網(wǎng)絡(luò)設(shè)備(例如,架頂交換機、集群器、路由器等,以及其各種組合),也就是,數(shù)據(jù)中心I1a和I1b的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備1154和115b可代表支持在數(shù)據(jù)中心I1a和I1b之間通信、以及與數(shù)據(jù)中心I1a和I1b往返通信的數(shù)據(jù)中心通信網(wǎng)絡(luò)。
[0054]圖2描述了用于基于安全規(guī)則策略選擇安全規(guī)則的位置方法的一個實施方式。
[0055]需要說明的是,可周期性調(diào)用圖2的方法200,以響應(yīng)于一個或多個條件的檢測,響應(yīng)于接收為選擇安全規(guī)則的位置所進行的評估的信息等,以及其各種組合。
[0056]需要說明的是,盡管基本的說明和描述是按順序執(zhí)行,但方法200的步驟可同時和/或與圖2所呈現(xiàn)的不同順序來執(zhí)行。通過結(jié)合圖1可更好地理解方法200的操作。
[0057]在步驟210,方法200開始。
[0058]在步驟220,基于與安全規(guī)則相關(guān)聯(lián)的安全規(guī)則策略選擇安全規(guī)則的位置。
[0059]在步驟230,作出是否將安全規(guī)則遷移到所選位置的確定。這可以是關(guān)于所選位置與保持安全規(guī)則的當前位置是否相同的確定。這可包括成本/效益分析,以確定遷移安全規(guī)則的效益是否超過移動安全規(guī)則的成本。如果確定不將安全規(guī)則遷移到所選位置(例如,所選位置與保持安全規(guī)則的當前位置相同),方法200進行到步驟250,其中方法200結(jié)束。如果確定將安全規(guī)則遷移到所選位置,則方法200進行到步驟240。
[0060]在步驟240,發(fā)起將安全規(guī)則遷移到所選位置。從步驟240,方法200進行到步驟250。
[0061]步驟250,方法200結(jié)束。
[0062]圖3描述了適用于執(zhí)行這里所描述功能的計算機的高級框圖。
[0063]計算機300可包括處理器單元302 (例如,中央處理單元(CPU)和/或其它合適的處理器)和存儲器304 (例如,隨機訪問存儲器(RAM),只讀存儲器(ROM)等)。計算機300可包括協(xié)同操作模塊/處理305和/或各種輸入/輸出設(shè)備306 (例如,用戶輸入設(shè)備(例如鍵盤、輸入板、鼠標等),用戶輸出設(shè)備(例如顯示器,揚聲器等),輸入端口,輸出端口,接收器,發(fā)射器,存儲設(shè)備(例如,磁帶驅(qū)動器,軟盤驅(qū)動器,硬盤驅(qū)動器,致密盤驅(qū)動器等))。協(xié)同操作處理305可裝載到存儲器304中,并由處理器302執(zhí)行以實現(xiàn)這里描述的功能,從而,協(xié)同操作處理305 (包括相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu))可存儲在計算機可讀存儲介質(zhì)中,例如RAM存儲器,磁或光驅(qū)動器或磁盤等。
[0064]可以了解的是,圖3中描述的計算機300提供了適于實現(xiàn)這里描述的功能單元和/或這里描述的部分功能單元的通用架構(gòu)和功能。例如,計算機300提供適于實現(xiàn)一個或多個主機111、系統(tǒng)管理程序112、交換機115、網(wǎng)絡(luò)設(shè)備122、安全模塊130、安全規(guī)則控制器140、安全規(guī)則數(shù)據(jù)庫150等中的一個或多個的通用架構(gòu)和功能。
[0065]可以理解的是,這里說明和描述的功能可在軟件中實現(xiàn)(例如,通過一個或多個處理器上的軟件實現(xiàn),在通用計算機上執(zhí)行(例如,通過一個或多個處理器執(zhí)行)以實現(xiàn)專用計算機等),和/或在硬件中實現(xiàn)(例如,使用通用計算機、一個或多個專用集成電路(ASIC),和/或任意其它硬件等效物)。
[0066]可以理解的是,這里描述為軟件方法的一些步驟可在硬件中實現(xiàn),例如,與處理器協(xié)同操作以執(zhí)行各種方法步驟的電路。這里描述的部分功能/單元可實現(xiàn)為計算機程序產(chǎn)品,其中計算機指令在由計算機執(zhí)行時,調(diào)整計算機的操作,從而調(diào)用或提供這里描述的方法和/或技術(shù)。用于調(diào)用本發(fā)明方法的指令可存儲在固定的或移動的介質(zhì)中,通過數(shù)據(jù)流在廣播中或其它信號承載介質(zhì)中傳輸,和/或存儲在存儲器中,其中計算設(shè)備根據(jù)該指令進行操作。
[0067]各實施方式的各方面在權(quán)利要求中限定。各實施方式的這些或其它方面在下面編號的權(quán)利要求中進行限定。
[0068]1.一種裝置,包括:
[0069]處理器和與處理器通信地連接的存儲器,處理器被配置為:
[0070]根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略,選擇安全規(guī)則所應(yīng)用的位置;以及
[0071]發(fā)起將安全規(guī)則遷移到安全規(guī)則所應(yīng)用的所選位置。
[0072]2.根據(jù)條款I(lǐng)所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略基于與安全規(guī)則的應(yīng)用相關(guān)聯(lián)的延遲。
[0073]3.根據(jù)條款I(lǐng)所述的裝置,其中當安全規(guī)則與入侵檢測系統(tǒng)(IDS)或入侵防御系統(tǒng)(IPS)相關(guān)聯(lián)時,與安全規(guī)則相關(guān)聯(lián)的策略基于與安全規(guī)則的應(yīng)用相關(guān)聯(lián)的延遲。
[0074]4.根據(jù)條款I(lǐng)所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略基于與傳輸應(yīng)用安全規(guī)則的數(shù)據(jù)相關(guān)聯(lián)的成本,和用于安全規(guī)則的應(yīng)用的處理資源的量。
[0075]5.根據(jù)條款I(lǐng)所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略進一步基于當應(yīng)用安全規(guī)則時所提供的性能的最低水平。
[0076]6.根據(jù)條款I(lǐng)所述的裝置,其中將處理器配置為基于與一個或多個系統(tǒng)管理程序相關(guān)聯(lián)的系統(tǒng)管理程序狀態(tài)信息、網(wǎng)絡(luò)擁塞信息和用戶偏好信息中的至少一個,為安全規(guī)則選擇位置。
[0077]7.根據(jù)條款I(lǐng)所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略僅專用于安全規(guī)則。
[0078]8.根據(jù)條款I(lǐng)所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略與至少一個其它安全規(guī)則相關(guān)聯(lián)。
[0079]9.根據(jù)條款I(lǐng)所述的裝置,其中將安全規(guī)則存儲在當前位置,其中為了發(fā)起將安全規(guī)則遷移到所選位置,處理器被配置為:
[0080]發(fā)起將安全規(guī)則從當前位置遷移到所選位置。
[0081]10.根據(jù)條款9所述的裝置,其中當前位置包括系統(tǒng)管理程序、網(wǎng)絡(luò)設(shè)備或控制器中的一個。
[0082]11.根據(jù)條款9所述的裝置,其中所選位置包括系統(tǒng)管理程序或網(wǎng)絡(luò)設(shè)備中的一個。
[0083]12.根據(jù)條款I(lǐng)所述的裝置,其中將處理器配置為:
[0084]在發(fā)起將安全規(guī)則遷移到所選位置前,確定是否發(fā)起將安全規(guī)則遷移到所選位置。
[0085]13.根據(jù)條款I(lǐng)所述的裝置,其中將安全規(guī)則配置為向第一通信單元和第二通信單元之間的通信提供安全。
[0086]14.根據(jù)條款13所述的裝置,其中第一通信單元是虛擬機,其中第二通信單元是虛擬機或網(wǎng)絡(luò)設(shè)備。
[0087]15.根據(jù)條款I(lǐng)所述的裝置,其中將安全規(guī)則配置為在第一虛擬機和第二虛擬機之間提供通信安全。
[0088]16.根據(jù)條款15所述的裝置,其中第一和第二虛擬機位于單一的資料處理中心中。
[0089]17.根據(jù)條款16所述的裝置,其中所選位置包括代管第一虛擬機的主機的系統(tǒng)管理程序,數(shù)據(jù)中心的數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,或代管第二虛擬機的主機的系統(tǒng)管理程序。
[0090]18.根據(jù)條款15所述的裝置,其中第一虛擬機位于第一數(shù)據(jù)中心中,并且第二虛擬機位于第二數(shù)據(jù)中心中。
[0091]19.根據(jù)條款18所述的裝置,其中所選位置包括代管第一虛擬機的主機的系統(tǒng)管理程序,第一數(shù)據(jù)中心的數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,支持在第一數(shù)據(jù)中心和第二數(shù)據(jù)中心之間進行通信的通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,第二數(shù)據(jù)中心的數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,代管第二虛擬機的主機的系統(tǒng)管理程序。
[0092]20.—種方法,包括:
[0093]使用至少一個處理器,用于:
[0094]根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略,選擇要應(yīng)用安全規(guī)則的位置;以及
[0095]發(fā)起將安全規(guī)則遷移到要應(yīng)用安全規(guī)則的所選位置。
[0096]21.一種存儲指令的計算機可讀存儲介質(zhì),其中指令在被計算機執(zhí)行時,促使計算機執(zhí)行下列方法,包括:
[0097]根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略選擇應(yīng)用安全規(guī)則的位置;以及
[0098]發(fā)起將安全規(guī)則遷移到應(yīng)用安全規(guī)則的所選位置。
[0099]盡管這里結(jié)合本發(fā)明的教導(dǎo)詳細說明和描述了各種實施方式,但本領(lǐng)域技術(shù)人員可容易地設(shè)計出仍結(jié)合這些教導(dǎo)的許多其它變化的實施方式。
【權(quán)利要求】
1.一種裝置,包括: 處理器和與處理器通信連接的存儲器,處理器被配置為: 根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略,選擇要應(yīng)用安全規(guī)則的位置;以及 發(fā)起安全規(guī)則到要應(yīng)用安全規(guī)則的所選擇位置的遷移。
2.根據(jù)權(quán)利要求1所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略基于與安全規(guī)則的應(yīng)用相關(guān)聯(lián)的延遲。
3.根據(jù)權(quán)利要求1所述的裝置,其中當安全規(guī)則與入侵檢測系統(tǒng)(IDS)或入侵防御系統(tǒng)(IPS)相關(guān)聯(lián)時,與安全規(guī)則相關(guān)聯(lián)的策略基于與安全規(guī)則的應(yīng)用相關(guān)聯(lián)的延遲。
4.根據(jù)權(quán)利要求1所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略基于與要應(yīng)用安全規(guī)則的傳輸數(shù)據(jù)相關(guān)聯(lián)的成本,和用于安全規(guī)則的應(yīng)用的處理資源的量。
5.根據(jù)權(quán)利要求1所述的裝置,其中與安全規(guī)則相關(guān)聯(lián)的策略進一步基于當應(yīng)用安全規(guī)則時所提供的性能的最低水平。
6.根據(jù)權(quán)利要求1所述的裝置,其中將處理器配置為基于與一個或多個系統(tǒng)管理程序相關(guān)聯(lián)的系統(tǒng)管理程序狀態(tài)信息、網(wǎng)絡(luò)擁塞信息和用戶偏好信息中的至少一個,為安全規(guī)則選擇位置。
7.根據(jù)權(quán)利要求1所述的裝置,其中將安全規(guī)則配置為向第一通信單元和第二通信單元之間的通信提供安全保護。
8.根據(jù)權(quán)利要求1所述的裝置,其中將安全規(guī)則配置為向第一虛擬機和第二虛擬機之間的通信提供安全保護,其中第一虛擬機位于第一數(shù)據(jù)中心中,其中第二虛擬機位于第一數(shù)據(jù)中心或第二數(shù)據(jù)中心中。
9.一種方法,包括: 使用至少一個處理器,用于: 根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略,選擇要應(yīng)用安全規(guī)則的位置;以及 發(fā)起安全規(guī)則到要應(yīng)用安全規(guī)則的所選擇位置的遷移。
10.一種存儲指令的計算機可讀存儲介質(zhì),其中指令在被計算機執(zhí)行時,促使計算機執(zhí)行下列方法,包括: 根據(jù)與安全規(guī)則相關(guān)聯(lián)的策略,選擇要應(yīng)用安全規(guī)則的位置;以及 發(fā)起安全規(guī)則到應(yīng)用安全規(guī)則的所選擇位置的遷移。
【文檔編號】H04L29/06GK104322029SQ201380023854
【公開日】2015年1月28日 申請日期:2013年3月28日 優(yōu)先權(quán)日:2012年5月11日
【發(fā)明者】K·P·普塔斯瓦米納加, F·郝, A·馬丁 申請人:阿爾卡特朗訊公司