本發(fā)明一般涉及在“云”計算環(huán)境中部署應用。

背景技術(shù)：

一種新興的信息技術(shù)(it)遞送模型是云計算，共享資源、軟件和信息通過云計算經(jīng)互聯(lián)網(wǎng)按需要被提供至計算機和其他設備。云計算能夠明顯降低it成本和復雜度，同時改善工作負載優(yōu)化和服務遞送。利用該方法，應用實例能夠被托管并且使得其從基于互聯(lián)網(wǎng)的資源可用，該資源可經(jīng)http通過常規(guī)網(wǎng)頁瀏覽器進行訪問。示例應用可能是能夠提供一般消息功能集合的應用，諸如電子郵件、日歷、聯(lián)系人管理和即時通訊。用戶隨后將通過互聯(lián)網(wǎng)直接訪問服務。使用該服務，企業(yè)將會將其電子郵件、日歷和/或合作基礎架構(gòu)置入云中，并且終端用戶將使用適當客戶端來訪問他的/她的電子郵件，或者執(zhí)行日歷操作。

云計算資源通常被容納在運行一個或多個網(wǎng)絡應用的大型服務器場中，其通常使用虛擬化架構(gòu)，其中應用在被映射到數(shù)據(jù)中心設施中的物理服務器上的虛擬服務器或所謂的“虛擬機”(vm)中運行。虛擬機通常在超監(jiān)督者(hypervisor)頂端運行，超監(jiān)督者是向虛擬機分配物理資源的控制程序。

提供基于裝置或基于平臺的解決方案以促進基于云的提供的快速采用和部署是本領域已知的。通常，基于云的提供被部署為云應用包。一種可以被用于該目的的這樣的裝置是workloaddeployer(工作負載部署器)，其基于ibm7199/9005產(chǎn)品族。通常，該裝置直接位于許多組織使用的業(yè)務工作負載和底層云基礎架構(gòu)以及平臺組件之間。備選地，云應用包可以使用平臺即服務(pas)基礎架構(gòu)(諸如orchestrator開放式云管理平臺)而被部署。這種類型的管理平臺通常包括若干層(包括用于提供、配置和管理存儲、計算和網(wǎng)絡資源的基礎架構(gòu)服務層、平臺服務層以及用以提供業(yè)務過程管理的編制服務層)。平臺服務層包括虛擬機鏡像生命周期管理能力以及模式服務，其中“模式”為業(yè)務服務提供部署和管理指令。模式優(yōu)選地是供應和管理針對具體應用(或應用類型)工作負載的各種資源(例如，計算、網(wǎng)絡、存儲、操作系統(tǒng)、中間件等)所需的基礎架構(gòu)配置的基于可擴展標示語言(xml)的定義。

隨著安全軟件的部署變得越來越復雜，應用開發(fā)方被進一步從安全環(huán)境的內(nèi)部工作中移除。因此，安全操作經(jīng)常被留給安全專家。然而，遷移至虛擬化和私有云授予了應用開發(fā)方越來越多的操作能力。應用開發(fā)方然后發(fā)現(xiàn)他們自身處于困難的位置。特別地，當將應用投入生產(chǎn)時，開發(fā)方可能并沒有必要的背景和上下文來適當?shù)卦u估他的/她的應用的安全影響和需求。如今，應用開發(fā)方經(jīng)常與安全專家一起工作以設計用于安全應用部署的策略。然而，安全專家可能遇到來自其他方向的相同問題。由于應用和中間件變得越來越復雜和虛擬化，安全專家可能無法完全理解應用以適當評估其安全影響和要求。

因此，需要彌合應用開發(fā)方和安全專家之間的這個知識差距，并且促進新的基于云的應用的無縫且可靠的部署。

技術(shù)實現(xiàn)要素：

根據(jù)本公開，云基礎架構(gòu)被增強以提供“基于上下文的安全保障”服務從而使得例如能夠由應用開發(fā)方進行安全應用部署，而并不需要這樣的個體擁有深入的安全技能或者對他們的應用可以在其上執(zhí)行的底層安全機制的詳細理解。通常，保障服務關聯(lián)于包括應用部署機制的云應用平臺操作。服務檢查網(wǎng)絡和云拓撲以標識潛在的安全能力和需求(例如，虛擬化虛擬周邊網(wǎng)絡(dmz)、入侵防止系統(tǒng)(ips)、資源隔離等)。優(yōu)選地，這些選項隨后以表示安全保障級別的易于理解、預先配置的模板向用戶顯現(xiàn)。當模板(例如，表示預先配置的保障級別)被用戶所選擇時，系統(tǒng)隨后應用具體能力和控制以將用戶所選擇的一般規(guī)定(例如，“高安全”)轉(zhuǎn)換為針對安全資源的具體集合的粒度要求。優(yōu)選地，這些安全資源的標識基于系統(tǒng)配置、管理以及與預先配置的模板相關聯(lián)的信息。通常，(關于由用戶所選擇的特定解決方案)所實施的安全資源按照保障級別而增加。

因此，基于所選擇的(多個)模板，并且優(yōu)選地在應用部署期間，安全配置變化集合被應用于現(xiàn)有的應用執(zhí)行環(huán)境以生成“基于上下文的”安全云應用“區(qū)域”。一旦云應用區(qū)域被定義，應用部署完成，并且該區(qū)域為應用提供主動保護。應用區(qū)域主動保護是如以上所提到的特定于安全上下文的，但是該方法不要求部署應用的個體詳細了解底層安全基礎架構(gòu)。

以上已經(jīng)對本公開主題的一些更為相關的特征進行了概述。這些特征應當被理解為僅是說明性的。能夠通過以不同方式對所公開的主題加以應用或者通過對將要描述的發(fā)明進行修改而獲得許多其它的有益結(jié)果。

附圖說明

現(xiàn)在將參考附圖僅以示例的方式對本發(fā)明的(多個)實施例進行描述，其中：

圖1描繪了可以在其中實施說明性實施例的示例性方面的分布式數(shù)據(jù)處理環(huán)境的示例性框圖；

圖2是可以在其中實施說明性實施例的示例性方面的數(shù)據(jù)處理系統(tǒng)的示例性框圖；

圖3圖示了可以在其中實施所公開主題的示例性云計算架構(gòu)；

圖4圖示了基于網(wǎng)絡的裝置可以在其中被用來促進一個或多個基于云的提供的部署的示例性操作環(huán)境；

圖5圖示了基于網(wǎng)絡的裝置的代表性功能組件；

圖6圖示了本公開的安全保障服務的基礎操作組件的框圖；

圖7圖示了安全保障服務的安全管理界面組件的代表性顯示頁面；

圖8圖示了根據(jù)本公開安全保障服務可以如何關聯(lián)于云應用平臺被使用以促進基于上下文的安全云應用區(qū)域的創(chuàng)建。

具體實施方式

現(xiàn)在參考附圖特別是圖1-2，其提供了可以在其中實施本公開的說明性實施例的數(shù)據(jù)處理環(huán)境的示例性示圖。應當理解，圖1-2僅是示例性的而并非旨在明示或暗示關于可以在其中實施所公開主題的方面或?qū)嵤├娜魏蜗拗啤？梢詫λ枥L的實施例進行許多修改而并不超出本發(fā)明的精神和范圍。

客戶端-服務器技術(shù)

現(xiàn)在參考附圖，圖1描繪了可以在其中實施說明性實施例的(多個)方面的示例性分布式數(shù)據(jù)處理系統(tǒng)的圖形表示。分布式數(shù)據(jù)處理系統(tǒng)100可以包括可以在其中實施說明性實施例的(多個)方面的計算機網(wǎng)絡。分布式數(shù)據(jù)處理系統(tǒng)100包含至少一個網(wǎng)絡102，其是用以在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)被連接在一起的各種設備和計算機之間提供通信鏈接的介質(zhì)。網(wǎng)絡102可以包括連接，諸如有線、無線通信鏈接或者光纖線纜。

在所描繪的示例中，服務器104和服務器106連同存儲單元108被連接至網(wǎng)絡102。此外，客戶端110、112和114也被連接至網(wǎng)絡102。例如，這些客戶端110、112和114可以是個人計算機、網(wǎng)絡計算機等。在所描繪的示例中，服務器104向客戶端110、112和114提供諸如引導文件、操作系統(tǒng)鏡像和應用的數(shù)據(jù)。在所描繪的示例中客戶端110、112和114是服務器104的客戶端。分布式數(shù)據(jù)處理系統(tǒng)100可以包括未示出的附加服務器、客戶端和其它設備。

在所描繪的示例中，分布式數(shù)據(jù)處理系統(tǒng)100是互聯(lián)網(wǎng)，其以網(wǎng)絡102表示使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(tcp/ip)協(xié)議套件互相通信的全世界網(wǎng)絡和網(wǎng)關集合?；ヂ?lián)網(wǎng)的核心是主要節(jié)點或主機計算機之間的高速數(shù)據(jù)通信線路的主干網(wǎng)，其由數(shù)千個路由數(shù)據(jù)和消息的商業(yè)、政府、教育和其它計算機系統(tǒng)所構(gòu)成。當然，分布式數(shù)據(jù)處理系統(tǒng)100也可以被實施以包括多種不同類型的網(wǎng)絡，作為示例諸如企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)(lan)、廣域網(wǎng)(wan)等。如上所述，圖1旨在作為示例而并非針對所公開主題的不同實施例的架構(gòu)性限制，因此圖1中所示出的特定元素不應當被理解為是關于可以在其中實施本發(fā)明的說明性實施例的環(huán)境的限制。

現(xiàn)在參考圖2，其示出了可以在其中實施說明性實施例的(多個)方面的示例性數(shù)據(jù)處理系統(tǒng)的框圖。數(shù)據(jù)處理系統(tǒng)200是計算機(諸如圖1中的客戶端110)的示例，實施本公開的說明性實施例的過程的計算機可用代碼或指令可以位于數(shù)據(jù)處理系統(tǒng)200中。

現(xiàn)在參考圖2，示出了可以在其中實施說明性實施例的數(shù)據(jù)處理系統(tǒng)的框圖。數(shù)據(jù)處理系統(tǒng)200是計算機(諸如圖1中的服務器104或客戶端110)的示例，實施說明性實施例的過程的計算機可用程序代碼或指令可以位于數(shù)據(jù)處理系統(tǒng)200中。在該說明性示例中，數(shù)據(jù)處理系統(tǒng)20包括通信構(gòu)架202，其提供處理器單元204、存儲器206、持久性存儲208、通信單元210、輸入/輸出(i/o)單元212和顯示器214之間的通信。

處理器單元204用來執(zhí)行可以被加載到存儲器206中的軟件的指令。根據(jù)特定實施方式，處理器單元204可以是一個或多個處理器的集合或者可以是多個處理器核心。此外，處理器單元204可以使用一個或多個異構(gòu)處理器系統(tǒng)來實施，其中主處理器和輔處理器一起出現(xiàn)在單個芯片上。作為另一個說明性示例，處理器單元204可以是包含多個相同類型的處理器的對稱多處理器(smp)系統(tǒng)。

存儲器206和持久性存儲208是存儲設備的示例。存儲設備是能夠以臨時的基礎和/或持久的基礎來存儲信息的任何硬件。在這些示例中，存儲器206例如可以是隨機存取存儲器或者任何其它適當?shù)囊资曰蚍且资源鎯υO備。持久性存儲208可以根據(jù)特定實施方式而采用各種形式。例如，持久性存儲208可以包含一個或多個組件或設備。例如，持久性存儲208可以是硬盤驅(qū)動器、閃速存儲器、可重寫光盤、可重寫磁帶或者以上的一些組合。持久性存儲208所使用的介質(zhì)還可以是可移動的。例如，可移動硬盤驅(qū)動器可以用于持久性存儲208。

在這些示例中，通信單元210提供與其它數(shù)據(jù)處理系統(tǒng)或設備的通信。在這些示例中，通信單元210是網(wǎng)絡接口卡。通信單元210可以通過使用物理和無線通信鏈接之一或二者來提供通信。

輸入/輸出單元212允許利用可以被連接至數(shù)據(jù)處理系統(tǒng)200的其它設備來輸入和輸出數(shù)據(jù)。例如，輸入/輸出單元212可以提供用于通過鍵盤和鼠標的用戶輸入的連接。此外，輸入/輸出單元212可以向打印機發(fā)送輸出。顯示器214提供向用戶顯示信息的機制。

用于操作系統(tǒng)以及應用或程序的指令位于持久性存儲208上。這些指令可以被加載到存儲器206中以由處理器單元204執(zhí)行。不同實施例的過程可以由處理器單元204使用計算機實施的指令來執(zhí)行，指令可以位于諸如存儲器206的存儲器中。這些指令被稱作可以由處理器單元204中的處理器讀取并執(zhí)行的程序代碼、計算機可用程序代碼或計算機可讀程序代碼。不同實施例中的程序代碼可以在諸如存儲器206或持久性存儲208的不同物理或有形計算機可讀介質(zhì)上被具化。

程序代碼216以功能形式位于計算機可讀介質(zhì)218上，其選擇性地是可移動的并且可以被加載或傳輸?shù)綌?shù)據(jù)處理系統(tǒng)200以由處理器單元204執(zhí)行。程序代碼216和計算機可讀介質(zhì)218在這些示例中形成計算機程序產(chǎn)品220。在一個示例中，計算機可讀介質(zhì)218可以為有形形式，作為示例諸如被插入或置入到作為持久性存儲208的部分的驅(qū)動器或其它設備之中以便傳輸?shù)酱鎯υO備(諸如作為持久性存儲208的部分的硬盤驅(qū)動器)的光盤或磁盤。以有形形式，計算機可讀介質(zhì)218也可以采用持久性存儲的形式(諸如被連接至數(shù)據(jù)處理系統(tǒng)200的硬盤驅(qū)動器、拇指驅(qū)動器或閃速存儲器)。有形形式的計算機可讀介質(zhì)218也被稱作計算機可記錄存儲介質(zhì)。在一些實例中，計算機可讀介質(zhì)218可以不是可移動的。

備選地，程序代碼216可以通過到通信單元210的通信鏈接和/或通過到輸入/輸出單元212的連接從計算機可讀介質(zhì)218被傳輸至數(shù)據(jù)處理系統(tǒng)200。在說明性示例中通信鏈接和/或連接可以是物理或無線的。計算機可讀介質(zhì)還可以采用非有形介質(zhì)的形式，諸如包含程序代碼的通信鏈接或無線傳輸。針對數(shù)據(jù)處理系統(tǒng)200所圖示的不同組件并非旨在對可以實施不同實施例的方式提供架構(gòu)性限制。不同說明性實施例可以在包括針對數(shù)據(jù)處理系統(tǒng)200所圖示的那些附加的或者作為其替代的組件的數(shù)據(jù)處理系統(tǒng)中實施。圖2所示的其它組件可以不同于所示出的說明性示例。作為一個示例，數(shù)據(jù)處理系統(tǒng)200中的存儲設備是可以存儲數(shù)據(jù)的任何硬件裝置。存儲器206、持久性存儲208和計算機可讀介質(zhì)218是有形形式的存儲設備的示例。

在另一個示例中，可以使用總線系統(tǒng)來實施通信構(gòu)架202，總線系統(tǒng)可以由一個或多個總線(諸如系統(tǒng)總線或輸入/輸出總線)組成。當然，總線系統(tǒng)可以使用提供在附接至總線系統(tǒng)的不同組件或設備之間的數(shù)據(jù)傳輸?shù)娜魏芜m當類型的架構(gòu)而被實施。此外，通信單元可以包括一個或多個用來傳送和接收數(shù)據(jù)的設備，諸如調(diào)制解調(diào)器或網(wǎng)絡適配器。而且，存儲器例如可以是存儲器206或者諸如在接口中發(fā)現(xiàn)的高速緩存以及可以出現(xiàn)在通信構(gòu)架202中的存儲控制器集線器。

用于執(zhí)行本發(fā)明的操作的計算機程序代碼可以以一種或多種編程語言(包括諸如java^tm、smalltalk、c++、c#、objective-c等的面向?qū)ο缶幊陶Z言以及傳統(tǒng)的過程編程語言)的任何組合來編寫。程序代碼可以作為獨立軟件包整體在用戶計算機上執(zhí)行、部分在用戶計算機上執(zhí)行、部分在用戶計算機上部分在遠程計算機上執(zhí)行或者整體在遠程計算機或服務器上執(zhí)行。在后者的場景中，遠程計算機可以通過任何類型的網(wǎng)絡(包括局域網(wǎng)(lan)或廣域網(wǎng)(wan)，或者可以被形成的到外部計算機的連接(例如，使用互聯(lián)網(wǎng)服務提供方以通過互聯(lián)網(wǎng)))被連接至用戶計算機。

本領域技術(shù)人員將會意識到，圖1-2中的硬件可以根據(jù)實施方式而更改。其它內(nèi)部硬件或外部設備(諸如閃存、等同的非易失性存儲器或光盤驅(qū)動器等)可以被用作為圖1-2中所描繪的硬件的附加或替代。而且，說明性實施例的過程可以被應用于不同于之前所提到的smp系統(tǒng)的多處理器數(shù)據(jù)處理系統(tǒng)，而并不超出所公開主題的精神和范圍。

如將會看到的，本文所描述的技術(shù)可以結(jié)合諸如圖1所示的標準客戶端-服務器范例進行操作，在該范例中客戶端與在一個或多個機器集合上執(zhí)行的互聯(lián)網(wǎng)可訪問的基于網(wǎng)絡的門戶通信。終端用戶操作能夠訪問門戶并與之交互的互聯(lián)網(wǎng)可連接設備(例如，臺式計算機、筆記本計算機、支持互聯(lián)網(wǎng)的移動設備等)。通常，每個客戶端或服務器機器是諸如圖2所示的包括硬件和軟件的數(shù)據(jù)處理系統(tǒng)，并且這些實體通過諸如互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、外部網(wǎng)、私有網(wǎng)絡或者任何其它通信介質(zhì)或鏈接的網(wǎng)絡相互通信。數(shù)據(jù)處理系統(tǒng)通常包括一個或多個處理器、操作系統(tǒng)、一個或多個應用以及一個或多個實用程序。數(shù)據(jù)處理系統(tǒng)上的應用為網(wǎng)絡服務提供本地支持，其包括但不限于對超文本傳輸協(xié)議(http)、文件傳輸協(xié)議(ftp)、簡單郵件傳輸協(xié)議(smtp)、簡單對象訪問協(xié)議(soap)、可擴展標記語言(xml)、網(wǎng)絡服務描述語言(wsdl)、統(tǒng)一描述、發(fā)現(xiàn)和集成(uddi)以及網(wǎng)絡服務流程語言(wsfl)等的支持。關于soap、wsdl、uddi和wsfl的信息可從萬維網(wǎng)聯(lián)盟(w3c)獲取，其負責開發(fā)和維護這些標準；關于http和xml的另外信息可從互聯(lián)網(wǎng)工程任務組(ietf)所獲取。假定對這些標準是熟悉的。

云計算模型

云計算是一種服務交付模式，用于對共享的可配置計算資源池進行方便、按需的網(wǎng)絡訪問。可配置計算資源是能夠以最小的管理成本或與服務提供者進行最少的交互就能快速部署和釋放的資源，例如可以是網(wǎng)絡、網(wǎng)絡帶寬、服務器、處理、內(nèi)存、存儲、應用、虛擬機和服務。這種云模式可以包括至少五個特征、至少三個服務模型和至少四個部署模型，所有這些都在petermell和timgrance在2009年10月7日所著的“draftnistworkingdefinitionofcloudcomputing”中具有更為特別的描述和定義。

特別的，以下典型特征包括：

按需自助式服務：云的消費者在無需與服務提供者進行人為交互的情況下能夠單方面自動地按需部署諸如服務器時間和網(wǎng)絡存儲等的計算能力。

廣泛的網(wǎng)絡接入：計算能力可以通過標準機制在網(wǎng)絡上獲取，這種標準機制促進了通過不同種類的瘦客戶機平臺或厚客戶機平臺(例如移動電話、膝上型電腦、個人數(shù)字助理pda)對云的使用。

資源池：提供者的計算資源被歸入資源池并通過多租戶(multi-tenant)模式服務于多重消費者，其中按需將不同的實體資源和虛擬資源動態(tài)地分配和再分配。一般情況下，消費者不能控制或甚至并不知曉所提供的資源的確切位置，但可以在較高抽象程度上指定位置(例如國家、州或數(shù)據(jù)中心)，因此具有位置無關性。迅速彈性：能夠迅速、有彈性地(有時是自動地)部署計算能力，以實現(xiàn)快速擴展，并且能迅速釋放來快速縮小。在消費者看來，用于部署的可用計算能力往往顯得是無限的，并能在任意時候都能獲取任意數(shù)量的計算能力。

可測量的服務：云系統(tǒng)通過利用適于服務類型(例如存儲、處理、帶寬和活躍用戶帳號)的某種抽象程度的計量能力，自動地控制和優(yōu)化資源效用?？梢员O(jiān)測、控制和報告資源使用情況，為服務提供者和消費者雙方提供透明度。

典型的，服務模型如下：

軟件即服務(saas)：向消費者提供的能力是使用提供者在云基礎架構(gòu)上運行的應用。可以通過諸如網(wǎng)絡瀏覽器的瘦客戶機接口(例如基于網(wǎng)絡的電子郵件)從各種客戶機設備訪問應用。除了有限的特定于用戶的應用配置設置外，消費者既不管理也不控制包括網(wǎng)絡、服務器、操作系統(tǒng)、存儲、乃至單個應用能力等的底層云基礎架構(gòu)。平臺即服務(paas)：向消費者提供的能力是在云基礎架構(gòu)上部署消費者創(chuàng)建或獲得的應用，這些應用利用提供者支持的程序設計語言和工具創(chuàng)建。消費者既不管理也不控制包括網(wǎng)絡、服務器、操作系統(tǒng)或存儲的底層云基礎架構(gòu)，但對其部署的應用具有控制權(quán)，對應用托管環(huán)境配置可能也具有控制權(quán)。

基礎架構(gòu)即服務(iaas)：向消費者提供的能力是消費者能夠在其中部署并運行包括操作系統(tǒng)和應用的任意軟件的處理、存儲、網(wǎng)絡和其他基礎計算資源。消費者既不管理也不控制底層的云基礎架構(gòu)，但是對操作系統(tǒng)、存儲和其部署的應用具有控制權(quán)，對選擇的網(wǎng)絡組件(例如主機防火墻)可能具有有限的控制權(quán)。

典型的，部署模型如下：

私有云：云基礎架構(gòu)單獨為某個組織運行。云基礎架構(gòu)可以由該組織或第三方管理并且可以存在于該組織內(nèi)部或外部。

共同體云：云基礎架構(gòu)被若干組織共享并支持有共同利害關系(例如任務使命、安全要求、政策和合規(guī)考慮)的特定共同體。共同體云可以由共同體內(nèi)的多個組織或第三方管理并且可以存在于該共同體內(nèi)部或外部。

混合云：云基礎架構(gòu)由兩個或更多部署模型的云(私有云、共同體云或公共云)組成，這些云依然是獨特的實體，但是通過使數(shù)據(jù)和應用能夠移植的標準化技術(shù)或私有技術(shù)(例如用于云之間的負載平衡的云突發(fā)流量分擔技術(shù))綁定在一起。

云計算環(huán)境是面向服務的，特點集中在無狀態(tài)性、低耦合性、模塊性和語意的互操作性。云計算的核心是包含互連節(jié)點網(wǎng)絡的基礎架構(gòu)。代表性的云計算節(jié)點如以上圖2中所示。特別地，在云計算節(jié)點中具有計算機系統(tǒng)/服務器，其可與眾多其它通用或?qū)Ｓ糜嬎阆到y(tǒng)環(huán)境或配置一起操作。眾所周知，適于與計算機系統(tǒng)/服務器一起操作的計算系統(tǒng)、環(huán)境和/或配置的例子包括但不限于：個人計算機系統(tǒng)、服務器計算機系統(tǒng)、瘦客戶機、厚客戶機、手持或膝上設備、基于微處理器的系統(tǒng)、機頂盒、可編程消費電子產(chǎn)品、網(wǎng)絡個人電腦、小型計算機系統(tǒng)﹑大型計算機系統(tǒng)和包括上述任意系統(tǒng)的分布式云計算技術(shù)環(huán)境，等等。計算機系統(tǒng)/服務器可以在由計算機系統(tǒng)執(zhí)行的計算機系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述。通常，程序模塊可以包括執(zhí)行特定的任務或者實現(xiàn)特定的抽象數(shù)據(jù)類型的例程、程序、目標程序、組件、邏輯、數(shù)據(jù)結(jié)構(gòu)等。計算機系統(tǒng)/服務器可以在通過通信網(wǎng)絡鏈接的遠程處理設備執(zhí)行任務的分布式云計算環(huán)境中實施。在分布式云計算環(huán)境中，程序模塊可以位于包括存儲設備的本地或遠程計算系統(tǒng)存儲介質(zhì)上。

現(xiàn)在參考圖3，利用附加背景示出了云計算環(huán)境所提供的功能抽象層集合。首先應當理解，圖3所示的組件、層以及功能都僅僅是示意性的，本發(fā)明的實施例不限于此。如圖3所示，提供下列層和對應功能：

硬件和軟件層300包括硬件和軟件組件。硬件組件的例子包括：主機，例如系統(tǒng)；基于risc(精簡指令集計算機)體系結(jié)構(gòu)的服務器，例如ibm系統(tǒng)；ibm系統(tǒng)；ibm系統(tǒng)；存儲設備；網(wǎng)絡和網(wǎng)絡組件。軟件組件的例子包括：網(wǎng)絡應用服務器軟件，例如ibm應用服務器軟件；數(shù)據(jù)庫軟件，例如ibm數(shù)據(jù)庫軟件。(ibm,zseries,pseries,xseries,bladecenter,websphere以及db2是國際商業(yè)機器公司在全世界各地的注冊商標)。

虛擬層302提供一個抽象層，該層可以提供下列虛擬實體的例子：虛擬服務器、虛擬存儲、虛擬網(wǎng)絡(包括虛擬私有網(wǎng)絡)、虛擬應用和操作系統(tǒng)，以及虛擬客戶端。

在一個示例中，管理層304可以提供下述功能：資源供應功能：提供用于在云計算環(huán)境中執(zhí)行任務的計算資源和其它資源的動態(tài)獲??；計量和定價功能：在云計算環(huán)境內(nèi)對資源的使用進行成本跟蹤，并為此提供帳單和發(fā)票。在一個例子中，該資源可以包括應用軟件許可。安全功能：為云的消費者和任務提供身份認證，為數(shù)據(jù)和其它資源提供保護。用戶門戶功能：為消費者和系統(tǒng)管理員提供對云計算環(huán)境的訪問。服務水平管理功能：提供云計算資源的分配和管理，以滿足必需的服務水平。服務水平協(xié)議(sla)計劃和履行功能：為根據(jù)sla預測的對云計算資源未來要求提供預先安排和供應。

工作負載層306提供云計算環(huán)境可能實現(xiàn)的功能的示例。在該層中，可提供的工作負載或功能的示例包括：地圖繪制與導航；軟件開發(fā)及生命周期管理；虛擬教室的教學提供；數(shù)據(jù)分析處理；交易處理；以及其它(例如私有云中的企業(yè)特定功能)。

首先應當理解，盡管本公開包括了對于云計算的詳細描述，但是本文所敘述的教導的實施方式并不局限于云計算環(huán)境。相反，本發(fā)明的實施例能夠結(jié)合現(xiàn)在已知或后續(xù)開發(fā)的任何其它類型的計算環(huán)境來實施。

因此，代表性的云計算環(huán)境具有高級別功能組件集合，其包括前端身份管理器、業(yè)務支持服務(bss)功能組件、操作支持服務(oss)功能組件和計算云組件。身份管理器負責與進行請求的客戶端接合以提供身份管理，并且該組件可以利用一個或多個已知系統(tǒng)(諸如可從紐約armonk的ibm公司獲取的tivolifederatedidentitymanager(tfim))來實施。在適當環(huán)境中，tfim可以被用來向其它云組件提供聯(lián)合單點登陸(f-sso)。業(yè)務支持服務組件提供某些管理功能，諸如賬單支持。操作支持服務組件被用來提供諸如虛擬機(vm)實例的其它云組件的供應和管理。云組件表示主要計算資源，其通常為用于執(zhí)行對于經(jīng)由云的訪問可用的目標應用的虛擬機實例。一個或多個數(shù)據(jù)庫被用于存儲目錄、日志和其它工作數(shù)據(jù)。所有這些組件(包括前端身份管理器)位于云“內(nèi)”，但是這并非要求。在備選實施例中，身份管理器可在云外部被操作。服務提供方也可以在云外部被操作。

一些云基于非傳統(tǒng)ip網(wǎng)絡。因此，例如云可以基于兩層的基于clos的網(wǎng)絡，其具有使用mac地址的散列值的特殊單層ip路由。本文所描述的技術(shù)可以用于這樣的非傳統(tǒng)云。

在非限制性實施方式中，代表性的平臺技術(shù)是但不限于具有vmwarevsphere4.1更新1和5.0的ibm的system服務器。

代表性的云應用包括ibm的meetings、ibm的smartcloudforsocialbusiness等。

云部署技術(shù)

提供基于裝置的解決方案以促進基礎架構(gòu)即服務和平臺即服務供應的快速采用和部署是已知的。如上所述，一種這樣的裝置是ibmworkloaddeployer(iwd)，并且該裝置也被用來管理共享多租戶環(huán)境，在共享多租戶環(huán)境中隔離和安全極其重要。該物理裝置(有時在本文被稱作盒子)的安全性質(zhì)通常由自行無效的開關所提供，其在裝置蓋子被移除的情況下被觸發(fā)。這種物理安全使得裝置能夠充當證書的安全庫，其能夠貫穿其整個生命周期而被捆綁到虛擬鏡像(在存儲中、被分配、在云中運行或者從云中被移除)。ibmworkloaddeployer還包含存儲驅(qū)動器，其使得鏡像定制的存儲流線化。它還充當用于預先加載的和經(jīng)定制的中間件虛擬鏡像和模式的專用存儲。裝置還包括先進的壓縮和存儲技術(shù)，其使得大量這些虛擬鏡像(每一個虛擬鏡像的大小可設定)能夠被存儲。

在操作中，裝置能夠供應標準的且定制的中間件虛擬鏡像和模式，其能夠在私有的或預置的云計算環(huán)境內(nèi)被安全部署和管理。這些虛擬鏡像能夠幫助組織輕易且快速地開發(fā)、測試和部署業(yè)務應用，從而終止了經(jīng)常與創(chuàng)建這些復雜環(huán)境相關聯(lián)的人工、重復且易于出錯的過程。在完成時，資源被自動返回至共享資源池以供未來使用，并且出于內(nèi)部背后計費的目的而被進行記錄。裝置還管理個體用戶和群組對資源的訪問，這為it管理員提供了以精細粒度級別優(yōu)化效率所需的控制。

通常，裝置包括硬件和固件加密支持以對硬盤驅(qū)動器上的所有數(shù)據(jù)進行加密。該數(shù)據(jù)包括但不限于事件日志數(shù)據(jù)。包括管理用戶在內(nèi)的用戶都無法訪問物理盤上的任何數(shù)據(jù)。特別地，操作系統(tǒng)(例如，linux)鎖閉根帳戶且不提供命令窗口，并且用戶不具有文件系統(tǒng)訪問。在管理員執(zhí)行裝置備份時，備份鏡像被加密以保護數(shù)據(jù)的機密性。因此在恢復經(jīng)加密的鏡像時，需要解密密鑰以對備份鏡像進行解密以使得數(shù)據(jù)能夠被恢復至裝置。

參考圖4，代表性的操作系統(tǒng)包括物理裝置400，其與云402接合。裝置可以使用諸如以上關于圖2所描述的數(shù)據(jù)處理系統(tǒng)來實施。優(yōu)選地，裝置400包括基于web2.0的用戶界面(ui)、命令行界面(cli)和基于rest的應用編程接口(api)。裝置提供管理功能，其使能基于云的解決方案的快速部署。為此，裝置提供了用于以下的存儲：(i)用于管理用戶和群組對資源的訪問的數(shù)據(jù)404，(ii)預先加載和/或可定制的中間件虛擬鏡像406，以及(iii)可配置模式和腳本包408。模式是包括特定解決方案的物理和虛擬資產(chǎn)的邏輯描述形式。如以下將更詳細描述的，模式優(yōu)選地根據(jù)云應用程序的拓撲結(jié)構(gòu)和業(yè)務流程規(guī)范(tosca)規(guī)范進行構(gòu)造。管理功能和接口提供了基于模板構(gòu)建的方法，其允許快速創(chuàng)建和修改原本復雜的硬件和軟件組件集合。特別地，模式的使用允許組織一次性地構(gòu)建個體元素或集成解決方案，并且隨后按需分配最終產(chǎn)品。通常，存在兩種類型的模式：虛擬系統(tǒng)模式提供了這兩種類型的最大靈活性和定制選項。其由操作系統(tǒng)以及潛在地附加的軟件解決方案(諸如應用服務器)所構(gòu)成。虛擬應用模式被優(yōu)化并且通常出于支持單個工作負載的目的而被構(gòu)建。

還如圖4中所看到的，中間件應用在其上運行的預置或私有云環(huán)境402通常構(gòu)成被分配給該裝置的超監(jiān)督者、網(wǎng)絡基礎架構(gòu)和存儲設備。代表性的環(huán)境可以按照以上關于圖3所描述的方式來實施。

圖5圖示了裝置能夠如何被用來構(gòu)建定制私有云。在步驟1，標識用于云的硬件、超監(jiān)督者和網(wǎng)絡。在步驟2，用戶選擇并定制虛擬鏡像。在步驟3，用戶按照需要添加一個或多個腳本包以定制所部署的中間件環(huán)境。在步驟4，預先安裝或定制的模式被用來描述所要部署的中間件拓撲。模式例如能夠使用拖放接口而從虛擬鏡像被構(gòu)建。在步驟5，虛擬系統(tǒng)被部署至云。

本文對ibmworkloaddeployer的引用是示例性的，并不應當被理解為對所公開的技術(shù)進行限制，上述技術(shù)可以在具有一般特性以及已經(jīng)描述的操作功能的任何裝置(或者更一般地，機器)上實施。針對iwd的具體應用應當被理解為包括以上所標識的產(chǎn)品，以及實施以上所提到的功能的其它技術(shù)。

作為附加的背景，云應用程序的拓撲結(jié)構(gòu)和業(yè)務流程規(guī)范(tosca)是為了增強云應用和服務的便攜性所設計的規(guī)范。其使能獨立于創(chuàng)建服務的供應方以及任何特定的云提供方或托管技術(shù)而對應用和基礎架構(gòu)云服務、服務各部分之間的關系以及這些服務的操作行為(例如，部署、修補、關閉)的可協(xié)作的描述。除其它益處之外，tosca使能便攜部署到任何兼容的云，并且促進現(xiàn)有應用到云的平滑遷移。使用tosca，云應用能夠在來自多個供應商的產(chǎn)品和云平臺間無縫地建模、分享、部署和管理。

tosca文檔是描述要被部署至云的應用組件以及它們的相互關系的描述符。在描述符中，每個應用組件通常由標識符唯一標識，標識符由組件的名稱、版本、架構(gòu)以及供應商所組成。標識符被用作關于信息數(shù)據(jù)庫的搜索關鍵詞；如以下將會描述的，一種這樣的數(shù)據(jù)庫是針對該具體應用組件的已知缺陷和/或漏洞的數(shù)據(jù)庫。

提供實施兼容tosca的解決方案的云管理平臺是已知的。作為一個示例，云管理平臺是orchestrator開放云管理平臺，其對諸如openstack和oslc(生命周期協(xié)作的開放服務)的附加標準技術(shù)進行了權(quán)衡。這種類型的管理平臺通常包括三個主要功能層：基礎架構(gòu)服務層，其優(yōu)選地基于openstack，用于供應、配置和管理存儲、計算和網(wǎng)絡資源；平臺服務層，其包括虛擬機鏡像生命周期管理能力和模式服務；以及編制服務層。如上所述，“模式”為業(yè)務服務提供部署和管理指令。模式優(yōu)選地是供應和管理具體應用(或應用類型)工作負載的各種資源(例如，計算、網(wǎng)絡、存儲、os、中間件等)所需的基礎架構(gòu)配置的基于xml的定義。編制服務層提供了業(yè)務過程管理的解決方案。

當然，以上所描述的云管理環(huán)境并非旨在作為限制，因為本文的技術(shù)可以在其它(開放、封閉或混合)環(huán)境中實施，和/或使用其它部署技術(shù)(無論是開放或?qū)Ｓ械倪€是混合的)來實施。

基于上下文的云安全保障服務

利用以上內(nèi)容作為背景技術(shù)，現(xiàn)在對本公開的主題進行描述。主題有時在本文被稱作“基于上下文的云安全保障服務”或“安全保障服務或系統(tǒng)”，或者作為簡寫僅“服務”或“系統(tǒng)”。并非作為限制，主題可以在如已經(jīng)描述的云部署平臺系統(tǒng)或裝置(圖4)內(nèi)實施或者與之相關聯(lián)地實施，或者使用任何其它類型的部署系統(tǒng)、產(chǎn)品、設備、程序或過程來實施?？梢员焕脕韺嵤┌踩Ｕ戏盏拇硇缘脑颇苡闷脚_包括但不限于smartcloudorchestrator，其如以上所提到的是為了運行應用而專門設計并調(diào)諧的平臺系統(tǒng)，并且支持模式的使用以快速部署到其云環(huán)境之中。對該商業(yè)系統(tǒng)的引用并非旨在作為限制，因為本公開的安全保障服務可以與任何云基礎架構(gòu)進行協(xié)作。

本文的技術(shù)可以被實施為管理解決方案、服務、產(chǎn)品、裝置、設備、過程、程序、執(zhí)行線程等。通常，該技術(shù)在軟件中被實施為關聯(lián)于在一個或多個數(shù)據(jù)源(諸如問題數(shù)據(jù)庫)中所存儲的數(shù)據(jù)而在硬件處理元件中執(zhí)行的一個或多個計算機程序。所描述的處理步驟的一些或全部可以是自動的并且關聯(lián)于其它系統(tǒng)而自主操作。自動化可以是完全或部分的，并且操作(整體或部分)可以是同步或異步的、基于需求的或者為其它方式。

以下是云安全保障服務的高級別描述。通常，服務一般操作以收集(或者以其它方式從其它數(shù)據(jù)源獲取)有關可用云平臺、拓撲和能力的信息。服務還標識可設置的安全能力。這些安全能力包括但不限于虛擬周邊網(wǎng)絡(dmz)、網(wǎng)絡分隔、存儲隔離、入侵防止系統(tǒng)(ips)部署、安全信息和事件管理(siem)部署、反向代理、防火墻、加密套接字協(xié)議層(ssl)通信、現(xiàn)有siem的配置、多因數(shù)認證、基于風險的認證等。優(yōu)選地，服務將可用能力簡化(或抽象)為針對環(huán)境的現(xiàn)有拓撲的易于理解的安全保障類別。

保障服務(在應用部署期間)將多個類別作為“模板”展現(xiàn)給用戶。優(yōu)選地，服務被部署有默認模板集合。優(yōu)選地，模板定義了特定安全保障級別的要求，例如，“中度安全”模板可能包括以下經(jīng)指定的要求：“ssl、siem、ips、磁盤加密、多因素認證、無資源分隔和隔離”。(服務的)安全管理員后來可能改變默認模板集合(通過添加不同模板)，或者可能更改現(xiàn)有模板的配置以添加或移除要求。然而，優(yōu)選地，安全保障服務不需要解釋模板的具體要求；相反，如以下將更為詳細描述的，安全保障服務對特定部署形式的“上下文”進行解釋以作出關于哪些安全資源(和/或它們的特定設置)滿足模板的要求的確定。在該方法中，模板(例如，由安全專家)被加載到保障服務，并且旨在對于系統(tǒng)是高度指導性的。在使用中，模板優(yōu)選地以諸如“高安全”、“中安全”或“低安全”的簡化名稱(或標識符、描述符等)被展現(xiàn)給終端用戶。優(yōu)選地，這些術(shù)語被(差不多逐字地)呈現(xiàn)給終端用戶。并不要求終端用戶理解作為該模板所表示的安全保障級別底層的資源(或者它們的操作特性)。然而，系統(tǒng)理解這些細節(jié)并且操作以應用具體能力和控制而將用戶所選擇的規(guī)范(例如，“高安全”)轉(zhuǎn)換為粒度要求。該有意簡單的終端用戶術(shù)語可能以按鈕或其它控件的形式被展現(xiàn)給終端用戶，并且如所提到的，呈現(xiàn)給終端用戶的術(shù)語形式并非旨在描述預期提供安全保障級別的特定底層要求或資源。相反，終端用戶僅需要了解他或她想要為部署的應用實施什么總體保障級別。

基于所指定的要求，模板具有與之相關聯(lián)的一個或多個安全配置更改的給定集合。如將要描述的，終端用戶(通常是應用開發(fā)方)選擇他或她想要服務配置/供應應用所依照的這樣的安全模板中的一個或多個。服務可以在該方面向用戶提供推薦?；谟脩暨x擇，服務隨后解釋所請求的一個或多個安全保障模板，并且作為響應，服務生成一個或多個安全配置更改(通常是對現(xiàn)有安全基礎架構(gòu)的安全設置的更改/更新)的具體列表?？蛇x地，服務還向(多個)安全管理員生成具有被用于應用的能力的注釋。在應用部署期間，服務優(yōu)選地使用基于rest的(或等同形式)接口對現(xiàn)有(經(jīng)配置的)安全產(chǎn)品應用安全更改；并且除此之外，如為了滿足(多個)模板所規(guī)定的安全保障級別所必要的，服務還可以部署新的安全軟件實例(作為可適用的并且如果許可可用)。此外，同樣如為了滿足所選擇的安全保障級別所必要的，服務還可以根據(jù)應用需要優(yōu)選地使用現(xiàn)有的云設施來供應硬件和網(wǎng)絡環(huán)境。以這種方式，安全保障服務針對被部署的應用創(chuàng)建特定于上下文的安全云應用區(qū)域。優(yōu)選地，應用部署平臺在安全配置更新完成時被收回；平臺隨后完成部署。新部署的且安全的應用隨后被激活(可能由服務直接激活)。

如所描述的，本文所描述的保障服務優(yōu)選地以基于上下文的方式進行操作，其將要在其中部署應用的“上下文”納入考慮之中。代表性的“上下文”信息包括但不限于目標平臺的性質(zhì)、工作負載預期在其中被執(zhí)行的環(huán)境的性質(zhì)、針對工作負載的任何兼容或其它管理要求的性質(zhì)、任何公司安全要求(由管理員所配置)、將要或可能影響安全資源如何與應用交互的所部署應用(軟件、配置、拓撲等)的上下文等。因此，例如，如果工作負載被部署在云(其是公共的)上，則服務可能考慮公共云的要求(諸如針對所有流量的ssl通信)，即使這樣的要求在私有云中并不必須被實施。作為另一個示例，如果工作負載在測試或開發(fā)環(huán)境中運行，則服務可以僅供應圍繞數(shù)據(jù)的最小控制，因為(該上下文中的)應用將不會處理真實(實況)的消費者數(shù)據(jù)。作為又另一個示例，如果工作負載需要兼容外部控制器接口(pci)，則服務可以供應僅處于某些網(wǎng)絡上而并不允許(或以其它方式阻止)工作負載移動至非安全的網(wǎng)絡或虛擬局域網(wǎng)(vlan)的工作負載。顯然，以上僅是代表性示例。優(yōu)選地，安全上下文信息被安全保障服務直接收集，或者使這樣的信息對于來自具有該信息(或訪問那樣的信息)的其它經(jīng)連接的數(shù)據(jù)源的安全保障服務是可用的。

圖6圖示了根據(jù)一個實施例的本公開的云安全云保障服務600的基礎組件。附圖標記601圖示了云平臺以及在云平臺上運行的系統(tǒng)(即，消費者工作負載)。云平臺及其相關聯(lián)的消費者工作負載被保障服務所保護，保障服務提供管理被(多個)應用部署到該平臺所影響的所有(或者所定義的一些)安全資源的集中的或聯(lián)合的服務。這些資源可以非常多變，并且除其它之外包括反向代理、http服務器、授權(quán)更新、新標識添加、vpn供應、與siem解決方案的日志整合、dmz、針對開放端口的防火墻配置等等。如將要描述的，優(yōu)選地，服務調(diào)用遠程接口(例如，基于rest的接口)以更新針對安全資源的配置。哪些安全資源被更新以及如何更新的確定取決于如所描述的基于模板的方法。在云平臺上執(zhí)行的各種工作負載603通常由(多個)云平臺消費者提前建立。云平臺由諸如ibmpure^tm、網(wǎng)絡服務、的圖標所表示，它們僅是代表性的。

云安全保障服務600包括上下文監(jiān)測器組件(或“上下文監(jiān)測器”)605，其操作以向云平臺查詢可用的能力，并且在保障服務數(shù)據(jù)庫607中將它們編入目錄。在操作中，上下文監(jiān)測器605使用云提供的應用編程接口(api)查詢云平臺601以確定可用的資源，因為云平臺通常以這種方式展現(xiàn)該信息。上下文監(jiān)測器隨后將可用軟件映射至安全能力。產(chǎn)品至能力的映射可以由云平臺直接提供，或者該知識可以被嵌入到保障服務數(shù)據(jù)庫607中。因此，例如，云平臺可以包括供ibmqradar，其提供了siem能力。保障服務包括配置信息，其指定了哪些安全保障級別要求哪些特定能力。因此，例如，“高”或“中”的保障級別可以要求siem解決方案，而“低”級別則并不要求。如以上所提到的，針對特定安全保障級別的(多個)要求優(yōu)選地(由安全專家)提前被鏈接至預定義模板。如所描述的以及在該特定示例場景中，當終端用戶挑選特定的安全解決方案(例如，“高”)時，安全保障級別對云平臺進行權(quán)衡以安裝產(chǎn)品(或者在已經(jīng)安裝的情況下調(diào)整其安全設置)以滿足該安全級別的siem要求。

為此，服務600提供了安全保障模板602。如上所述，優(yōu)選地，模板602的默認集合由服務所提供，并且每個模板定義特定安全保障級別的要求。通常，模板將具有不同類型或類別。如所解釋的，模板(對于系統(tǒng))是高度指導性的，其中其包括安全保障級別的經(jīng)定義的要求集合。因此，“中度”安全級別可以在定義了諸如“ssl、siem、ips、磁盤加密”等的要求的模板中被指定。優(yōu)選地以及如以上所描述的，服務并不需要解釋這些要求；相反，服務解釋特定部署形式的“上下文”(如上下文監(jiān)測器組件所指定或確認的)以作出有關哪些安全資源(或者它們的設置)滿足這些要求的確定。優(yōu)選地，(多個)模板被預先配置。模板602的集合可以被增加以附加模板，或者特定模板的要求可以按照需要被調(diào)整。

優(yōu)選地，并如本文所使用的，安全保障模板602是提供易于理解的安全類別或簡檔以及它們的相關聯(lián)安全級別(諸如“高/中/低內(nèi)部網(wǎng)絡安全”以及“高/度/低內(nèi)部防火墻安全”等)的服務內(nèi)的模塊。服務600還包括保障配置代理器604，其標識經(jīng)選擇的模板的安全目標，并且操作以優(yōu)選地基于系統(tǒng)配置和可用資源的上下文而將對模板的選擇轉(zhuǎn)換為詳細配置步驟。轉(zhuǎn)換操作在下文被更詳細地描述。此外，服務優(yōu)選地包括(或者具有與之相關聯(lián))安全管理接口608(例如，云工具作業(yè)ui，諸如ibmsmartcloudorchestrator)，其是被用來添加或移除安全模板、提供被管理的安全資源的人工配置、和/或(在允許的情況下)覆蓋終端用戶所選擇的安全模板的配置點。安全保障服務還包括云安全過程工作流程610，其是調(diào)用適當(例如，基于rest)接口以按照配置代理器604的指示應用改變到底層安全基礎架構(gòu)(安全資源)的模塊。提供管理接口的保障模式模塊612是特定于云的服務，其協(xié)調(diào)應用部署和供應安全保障服務600。通常，保障模式模塊612包括云應用平臺的管理接口組件，雖然并非要求如此。保障模式模塊612基于被部署的應用而向保障服務查詢可用保障模板602。

在圖6中，位于左上方的應用所有者/管理員表示(多個)應用部署方；這些是僅需要使用易于理解的安全保障級別模板(按照類別/安全級別)的個體。位于左下方的云團隊或其它管理員則表示創(chuàng)建模板或者被提供以添加新的模板和/或修改預先配置的模板中的特定要求的能力的個體。云團隊或其它管理員通過管理接口與系統(tǒng)或服務交互。每個以上所描述的組件通常被實施為軟件，即被實施為在一個或多個硬件處理器中執(zhí)行的計算機程序指令的集合。組件被示為是不同的，但是并非要求如此，因為組件也可以整體或部分地相互集成。組件的一個或多個可以在專用位置執(zhí)行，或者遠離彼此執(zhí)行。組件的一個或多個可以具有共同執(zhí)行以提供功能的(多個)子組件。并不要求安全保障服務的特定功能由如以上所提到的特定組件執(zhí)行，因為本文的功能(或者其任何方面)可以在其它系統(tǒng)中實施。

安全保障服務可以由云服務提供方所實施，其操作用于私有云、公共云或混合云的基礎架構(gòu)。安全保障系統(tǒng)部署并管理安全基礎架構(gòu)。優(yōu)選地，并如以上所描述的，保障系統(tǒng)通過管理接口與云的安全管理員(等)交互，并且通過云工具作業(yè)ui與應用所有者交互。優(yōu)選地，應用所有者主要與云工具作業(yè)ui(參見圖7，其僅是代表性的)交互以定義高級別安全要求并且部署應用。圖7代表編輯器，其是基于網(wǎng)絡的，但是編輯器(或者促進模板以所描述方式呈現(xiàn)和管理的等同應用)的特定實施方式可以是任何類型。

使用云工具作業(yè)ui(或者其等同)，用戶還可以查詢云應用環(huán)境(例如，請求有關被部署的應用的細節(jié))，并且作為響應接收有關在云應用環(huán)境中可用的一個或多個可用安全能力(例如，適用于被部署的應用的特定安全資源)的信息。這些能力例如可以包括可用硬件、可用軟件、現(xiàn)有許可和可用許可。

因此，如已經(jīng)描述的，不同類型的用戶可以以不同方式與服務交互。在一個實施例中，第一類型的用戶(例如，應用所有者)通過查看模板以及與之交互而利用服務工作，而第二類型的用戶(例如，安全管理員)則通過查看一個或多個安全管理視圖(例如具有與第一類型的用戶的模板選擇相關聯(lián)的安全更改)和與之交互而利用服務工作。安全管理視圖使得系統(tǒng)能夠接收來自安全管理員的輸入，其可以觸發(fā)有關云應用環(huán)境中的一個或多個安全能力的配置的一個或多個安全管理動作的實施。這樣的輸入例如可以包括批準未決的安全配置更改的輸入、覆蓋第一用戶對模板的選擇的輸入、或者覆蓋與模板相關聯(lián)的安全能力的選擇的輸入、或者當具有與其相關聯(lián)的最低安全保障級別的模板尚未被第一用戶選擇時禁止將應用部署到云應用環(huán)境之中的輸入等。安全管理視圖還可以提供一個或多個附加管理功能，例如：配置新模板或修改現(xiàn)有模板、使用安全分析來基于企業(yè)安全政策管理應用程序部署、定義針對云應用環(huán)境的安全要求、審計在云應用環(huán)境中可用安全能力等。在一個實施例中，在安全管理視圖中所接收的輸入啟動云應用環(huán)境的安全掃描，然后可以向管理員呈現(xiàn)安全掃描的結(jié)果(例如，任何安全能力差距分析)。作為另一種使用情形，還可以使用輸入將經(jīng)升級的模板追溯地應用于已經(jīng)在云應用環(huán)境中被部署的現(xiàn)有應用。

在一個特定(但非限制性的)實施場景中，企業(yè)具有由云應用平臺管理的相關聯(lián)的私有云(在云服務內(nèi)實施)。平臺隨后可以被增加以與本公開的安全保障服務協(xié)同操作(或?qū)嶋H包括安全保障服務)。

更一般地，安全保障服務可以由企業(yè)以獨立方式來實施。其可以作為云服務或其它服務提供方所提供的經(jīng)管理的服務而獲得。

如所描述的，服務優(yōu)選地通過使終端用戶提供安全級別的一般規(guī)范(例如，“高網(wǎng)絡安全”)來操作，服務然后(在解釋應用要求和可用資源之后)使用該一般規(guī)范以為應用生成安全優(yōu)化部署。通常，如上所述，應用被部署到現(xiàn)有環(huán)境中，并且安全保障服務操作以定義和/或裁剪(應用將被部署的)現(xiàn)有環(huán)境所需的安全配置更改。應用的安全優(yōu)化部署有時在本文被稱為基于安全上下文的“云應用區(qū)域”。

如所描述的，如本文所使用的“安全級別”有時被稱為“安全保障級別”。如上所述，與安全專家可能已知或可用的更精細粒度的具體說明相比，這些級別被展現(xiàn)為易于理解或“粗糙”粒度的描述符(“高”或“低”)。術(shù)語“粗糙”或“精細”是相對的短語，但是安全保障級別的“粗糙”指定的概念是僅提供可能不知道或不能夠弄清(或關心)特定“粗糙”安全保障級別的底層明確安全要求的用戶所能夠獲得的基礎信息的級別。在這種情況下，用戶(應用所有者)只要知道他或她(針對特定分類)所期望的安全級別是“高”或“低”或一些其他這樣的分類(不管如何描述)就足夠了。因此，術(shù)語“高”(關于特定的粗糙安全保障級別)可以備選地由數(shù)值、一些其它標識符或名稱進行指定。然而，如所解釋的，這些術(shù)語旨在被差不多逐字地呈現(xiàn)給終端用戶。系統(tǒng)隨后應用具體的能力和控制以將用戶所選擇的安全解決方案轉(zhuǎn)換為底層安全資源的粒度要求。指定解決方案的優(yōu)選方式是通過按鈕或其它一般的顯示制品。

在代表性的實施例中，服務展現(xiàn)、提供安全模板集合或者與其交互操作，安全模板可以根據(jù)類型進行分類。這些模板由圖6所示的保障模板模塊所提供。因此，例如，服務可以展現(xiàn)具有以下類別的安全模板：“內(nèi)部網(wǎng)絡安全”、“應用安全”、“數(shù)據(jù)安全”和“入侵者保護”。這些僅僅是代表性的。隨后可以根據(jù)定義的安全級別(例如“低”或“高”)來標識特定模板類別。服務可以僅提供“低”或“高”模板，或者可以提供另外的級別(例如，低、中和高，或者另外更為具體的級別等)。因此，被部署的特定企業(yè)應用可以具有與其相關聯(lián)的一個或多個這樣的安全模板，每個模板定義一個類別以及所指定的安全級別。因此，例如，所部署的特定應用可以具有以下規(guī)范：內(nèi)部網(wǎng)絡安全(低)、應用安全(高)、數(shù)據(jù)安全(高)和入侵者保護(高)。可以使用基于網(wǎng)絡或其他配置接口來指定與被部署的特定應用相關聯(lián)的一個或多個安全模板。該接口可以與諸如工作負載部署器虛擬應用生成器(workloaddeployervirtualapplicationbuilder)的常規(guī)工作負載部署工具相關聯(lián)。圖7圖示了用于此目的的代表性用戶界面，其可以包括安全管理界面的部分(參見圖6)。如上所述，該界面提供了添加或移除安全模板、提供被管理的安全資源的手動配置、或者(如果已配置)覆蓋由終端用戶選擇的安全模板的配置點。在備選實施例中，類別和安全級別被自動地或以編程方式定義，或者這樣的信息可以從另一個來源所公布的這種數(shù)據(jù)的庫集獲得。

如已經(jīng)描述的，模板定義了提供具體“安全保障”級別的要求集合，隨后保障級別關于一個或多個安全資源被實現(xiàn)或?qū)嵤?。安全資源可以是安全基礎架構(gòu)內(nèi)的系統(tǒng)、設備、裝置、程序、過程或者其它計算實體。優(yōu)選地，安全保障服務解釋部署的上下文以作出有關需要什么安全資源(以及其中的什么設置)來滿足特定模板的要求的確定。因此以及至少部分地基于特定部署上下文，安全模板具有與之相關聯(lián)的針對上下文實施該類別(以及處于所指定的級別)的一個或多個安全配置(安全資源設置)。優(yōu)選地，如上所述，這些安全配置由安全保障配置代理器組件(參見圖6)所標識，其采用所選擇模板的總體安全目標(作為輸入)，并且基于系統(tǒng)配置和可用安全資源的上下文(如上下文監(jiān)測器所提供)將該選擇轉(zhuǎn)換成詳細的配置步驟(或更改)。

因此，例如，如果應用類別是“內(nèi)部網(wǎng)絡安全”并且安全級別為比如說“低”，則代理器確定實施該模板所必需的詳細安全步驟可能包括：(i)基于應用端點在前端代理服務器和后端web應用服務器之間創(chuàng)建“連結(jié)”，(ii)對該連結(jié)使用基礎認證，并且在應用服務器中針對單次簽入登錄(sso)配置信任關聯(lián)攔截器(tai)，(iii)啟用限制性防火墻并且打開到應用端點的端口。作為另一個示例，如果應用類別是“應用程序安全”而安全級別為比如說“高”，則實施該模板所必需的詳細安全步驟可能包括：(i)針對端點運行安全分析工具(例如appscan)，并且在標識出任何危險缺陷的情況下中止部署，(ii)指示云應用平臺供應vpn以在云中托管應用程序，(iii)為應用所定義的經(jīng)授權(quán)的角色配置訪問管理器政策，以及(iv)在專用于應用的云中創(chuàng)建附加的基于軟件的dmz。作為又另一個示例，如果應用程序類別是“數(shù)據(jù)安全”并且安全級別為比如說“低”，則實施該模板所必需的詳細安全步驟可能包括(i)更新應用服務器以使用到數(shù)據(jù)庫等的ssl連接。作為又另一個示例，如果應用類別是“入侵者保護”，并且安全級別為“高”，則實施該模板所必需的詳細的安全步驟可能包括：(i)配置安全智能平臺(例如，qradar)日志源，(ii)更新用于應用的siem過濾器，以及(iii)更新用于應用的ips規(guī)則。當然，這些只是安全配置更改的代表性(非限制性)示例。安全保障服務所實施的特定更改將取決于實施方式和可用資源(產(chǎn)品、系統(tǒng)、配置等)。

因此，根據(jù)本公開，當云提供方部署應用(或啟動部署)時，其向安全保障服務通知一個或多個經(jīng)選擇的(或以其它方式所定義或規(guī)定的)安全模板。優(yōu)選地，云提供方還發(fā)送應用的保障服務細節(jié)。安全保障服務將被選擇的模板作為指導，并且代理器組件隨后對現(xiàn)有環(huán)境所需的詳細安全配置更改進行裁剪以在已被指定的經(jīng)選擇的安全約束以及可用資源(由上下文監(jiān)測器所確定的)的上下文內(nèi)支持該應用。如果需要，這些安全配置更改可以在實施之前被呈現(xiàn)給安全管理員以驗證。在驗證時(如果該可選操作被實施)，安全保障服務優(yōu)選地調(diào)用遠程接口進行軟件配置。此外，如果有必要，服務與云提供方通信以獲取關于在部署應用時可能需要解決的(云提供方的)任何先決條件的信息。這些先決條件例如可以包括創(chuàng)建vpn或者提供方所特有的其它安全要求。

模板還可以包括其它信息，諸如與特定安全能力相關聯(lián)的成本信息。模板中的成本信息可以被導出為與云應用環(huán)境中的一個或多個安全配置更改的集合相關聯(lián)的一個或多個成本的估計。成本信息也可以例如基于云應用環(huán)境中的安全能力的更改成本或者作為其它所變化條件的結(jié)果而不時地進行調(diào)整。當系統(tǒng)展現(xiàn)這樣的成本信息時，優(yōu)選地，由(例如，由一個或多個用戶)對模板的選擇所產(chǎn)生的成本信息可以被收集并且在編輯器(或一些其它應用)中的適當顯示視圖中被呈現(xiàn)給經(jīng)允許的個體。

系統(tǒng)(例如，ui編輯器)還可以提供接收設置一個或多個安全更改的安全成本的信息的能力?；谠撔畔?，可以對展現(xiàn)給用戶的模板集合進行調(diào)整。

以下僅用于說明目的而提供對代表性使用情形的描述。該示例場景的細節(jié)并非旨在是限制性的，并且所有產(chǎn)品和服務都僅用于討論的目的。如圖8所示，企業(yè)(acme銀行)具有在私有云環(huán)境中實施的生產(chǎn)區(qū)800。該私有云可以經(jīng)由位于一對防火墻804和806之間的dmz802而從互聯(lián)網(wǎng)進行訪問。根據(jù)本公開，安全區(qū)808托管安全保障服務810。如所示出的，假設該企業(yè)還具有已經(jīng)部署的安全軟件綜合套件。例如，該套件包括用于訪問管理的ibm安全問管理器(isam)812、用于身份管理的ibm安全身份管理器(isim)814、ibm安全網(wǎng)絡網(wǎng)關設備(用于安全代理的dmz)816、用于用戶存儲的ibmdb2數(shù)據(jù)庫818、ibmpureapplication上托管的ibmqradarsiem820、標準化云應用平臺822、ibmsecurityappscan824以及dmz802中的網(wǎng)絡ips826。jane828是acme的應用開發(fā)方/管理員，其職責在于部署pocketbooktm應用830。為此，jane使用云應用平臺工具構(gòu)建了包含適當企業(yè)節(jié)點(例如，用于各種組件或應用實例的redhat企業(yè)節(jié)點(rhel)(諸如(在該示例情形中)用于websphere應用服務器(was)實例的節(jié)點832，用于ibmhttp服務器(ihs)實例的節(jié)點834、以及用于ibmdb2實例的節(jié)點836等))的虛擬系統(tǒng)。虛擬系統(tǒng)優(yōu)選地涵蓋了針對acme私有云中的應用功能和可擴展性(針對新應用)的碎片需求。然而，在該示例場景中，假設jane創(chuàng)建的云模式并未覆蓋或以其它方式表明保護是面向外部的網(wǎng)絡應用所需要的安全碎片。因此，將需要本公開的安全保障服務。

如同樣在圖8中所能夠看到的，john838是acme的安全架構(gòu)師，其職責在于公司生產(chǎn)系統(tǒng)的安全。為了協(xié)助系統(tǒng)范圍的配置，john部署了本公開的安全保障服務810(例如參見圖6)，并且特別地，他配置管理云中的所有基于軟件的安全相關資源的服務，以及與現(xiàn)有部署((在該示例場景中)諸如isam、isim、web安全網(wǎng)關、qradar、appscan和ips)的集成。當jane828使用云模式編輯器(由pureapplication系統(tǒng)822所提供)以準備用于部署的pocketbook應用830時，假設她不熟悉安全部署的內(nèi)部工作從而無法對那些安全拼圖的碎片進行正確配置。然而，jane知曉(或要求)應用針對與互聯(lián)網(wǎng)的任何通信需要是高度安全的，但是關于來自內(nèi)部網(wǎng)絡的請求方面則可能不那么安全。使用本公開的技術(shù)，jane選擇為該新部署的應用創(chuàng)建安全云應用區(qū)域所需(或所期望)的一個或多個安全模板。如上所述，安全保障服務可能與其它云部署工具作業(yè)進行整合，而使得在部署期間，jane能夠從其它部署模塊旁邊的一個或多個易于理解的安全保障模板中進行選擇(例如參見圖7)。在該示例中，假設jane已經(jīng)選擇了圖7所示已經(jīng)上文所描述的四個模板。如以上所解釋的，安全保障服務在定制現(xiàn)有環(huán)境(圖8)所需的詳細安全配置更改時采用所選擇的模板作為指導。隨后利用其基于上下文的安全保障將應用部署在所配置的云應用區(qū)域之內(nèi)。

圖8圖示了詳細的操作步驟。在步驟(1)jane使用應用服務器接口創(chuàng)建用于部署pocketbook應用830的模式。在步驟(2)，云應用平臺向安全保障服務810查詢可用保障模板的列表。該查詢包括有關經(jīng)部署的應用的信息(例如，“具有單一上下文根的j2ee應用程序，構(gòu)建于websphere應用服務器(was)上并使用db2”)。給定該規(guī)范，安全保障服務810在步驟(3)繼續(xù)提供“內(nèi)部網(wǎng)絡安全”、“應用安全”、“數(shù)據(jù)安全”和“入侵者保護”以及針對其中每一個的“高”或“低”的安全級別選項(參見圖7)。安全保障服務所返回的(多個)類型(及其級別)可能會根據(jù)所指定的應用、可用資源等而變化。在步驟(4)，云應用平臺在配置器(例如，ibmworkloaddeployer模式構(gòu)建器)中顯示簡單的安全模板以用于簡單的用戶選擇。在步驟(5)，jane選擇四個模板，這例如基于她的以下一般感覺：內(nèi)部網(wǎng)絡是安全的，而頻繁的攻擊和高級持續(xù)威脅(apt)可能來自外部網(wǎng)絡。在步驟(6)，優(yōu)選地在應用部署時，云應用平臺將經(jīng)選擇的安全模板優(yōu)選地與被部署的應用的細節(jié)一起傳送到云服務。在步驟(7)，安全保障服務生成配置步驟的列表，并將該列表呈現(xiàn)給john以進行確認。向john(與jane相對的，或者其他人)呈現(xiàn)該列表并不是一項要求，但是其可能是典型使用情形。在步驟(8)，安全保障服務遠程地應用配置更改以為所要部署的應用創(chuàng)建特定于上下文的安全云應用區(qū)域。在步驟(9)，當區(qū)域創(chuàng)建完成時，安全保障服務通知云應用平臺(例如，通過回呼)配置設置完成，并且云應用平臺可以繼續(xù)部署過程。部署由云應用平臺以通常方式完成。

并非旨在作為限制，在該特定示例情形(涉及pocketbook應用)中，安全保障服務應用了多種配置更改，并且這些在上文被詳細描述。因此，例如，在子步驟(8.1)，服務在web安全網(wǎng)關816中為新的應用端點創(chuàng)建webseal連結(jié)。在子步驟(8.2)，服務配置該連結(jié)和was實例832以使用針對內(nèi)部通信的基礎認證。在子步驟(8.3)，服務在新部署的rhel實例上啟用防火墻，這僅打開所需的端點端口。在子步驟(8.4)中，服務針對新部署的應用運行appscan824(如果需要在沙箱中)，并且報告回用戶或安全管理員。在子步驟(8.5)，服務為新部署供應vpn，例如通過pureapplication系統(tǒng)822。在子步驟(8.6)，服務為經(jīng)授權(quán)的用戶更新訪問管理器812以使用新應用。在子步驟(8.7)，服務更新db2818和836以使用來自was的ssl連接。在子步驟(8.8)中，服務配置來自db2、rhel實例、webseal和was的qradar820日志源。在步驟(8.9)，服務針對新應用更新qradar規(guī)則。在步驟(8.10)，系統(tǒng)針對新應用更新ips826規(guī)則以完成特定于上下文的云應用安全區(qū)域的配置。

如圖8所示的特定配置形式以及配置更改和步驟的順序僅是示例性的。如本領域技術(shù)人員將會意識到的，如果選擇了不同的安全模板，和/或如果有不同資源可用，則各種配置更改的性質(zhì)和序列當然將會相應地變化。

下文對本公開的安全保障服務的代表性的或另外的能力進行描述?？梢园凑掌谕峁┻@些附加能力中的一個或多個。

云安全保障服務可以分析現(xiàn)有的安全環(huán)境以標識用于經(jīng)定制的配置步驟的交互，例如，服務可以確定虛擬專用網(wǎng)(vpn)在特定配置中可能并不是必需的，因為該網(wǎng)絡已被一些其它設備、網(wǎng)絡或機制所隔離。

安全保障服務可以操作以基于其它部署來更新配置。因此，例如，如果網(wǎng)絡安全網(wǎng)關被部署并已經(jīng)針對其它應用使用了證書，則安全保障服務可以識別該情況并且僅對新部署的應用進行升級以同樣使用證書。

優(yōu)選地，系統(tǒng)中(例如，在模式編輯器中)可用的安全模板可以包括連線和交互邏輯。在終端用戶的所見即所得類型的編輯器的上下文中，連線是指連接兩個要素(例如，通過在它們之間繪制一條線)，并且是終端用戶在他或她的應用上添加安全功能的方式。如圖7中所看到的，pocketbook應用連線到數(shù)據(jù)庫。優(yōu)選地，在編輯器中顯示的安全框具有一些相關聯(lián)的元數(shù)據(jù)(可能是隱藏的)，其可以被用于確定多個框如何交互。作為一個簡單示例，如果已經(jīng)選擇了高級別的“入侵者保護”模板，則元數(shù)據(jù)可以禁止這種類型的較低級別的模板被應用。作為另一個更為復雜的示例，安全管理員可能已經(jīng)設置了網(wǎng)絡必須至少與其所托管的應用一樣安全的政策；那么，如果用戶選擇了高級別的數(shù)據(jù)安全，則可以將內(nèi)部網(wǎng)絡安全自動升級(例如，在模式編輯器中)為高級別?；蛘撸诤笠环N情況下，系統(tǒng)可以禁止用戶嘗試將“高應用安全”框與“低應用安全”框連線在一起。概言之，根據(jù)元數(shù)據(jù)，可以允許或不允許用戶對元件進行連線的嘗試。

因此在編輯器的典型使用情形中，第一模板已經(jīng)被選擇。響應于用戶選擇第二模板以及將第二模板連線至第一模板的指令，關于一個或兩個模板可應用的安全限制然后被被實施。

優(yōu)選地，安全管理員直接與安全保障服務交互以向現(xiàn)有的部署應用模板，例如，以針對可能經(jīng)被攻擊的應用升級安全設置。

優(yōu)選地，服務使安全管理員能夠覆蓋特定分類。作為非限制性示例，即使是關于原本“低級別”的安全類別，高安全的銀行網(wǎng)絡也可以需要更高級別的控制。

優(yōu)選地，安全保障服務記錄配置設置，并且可以在從系統(tǒng)移除應用時移除安全配置步驟。這種安全“移除”功能優(yōu)選地還與其它系統(tǒng)交互，例如，如果其它應用的安全已經(jīng)僅針對經(jīng)移除的應用進行了升級，則可選地對它們的安全級別進行降級。

優(yōu)選地，安全管理員被提供更改服務中可用的安全模板的能力，以及更改在某種環(huán)境中哪些模板必須被使用的規(guī)則的能力。

優(yōu)選地，安全保障服務與一個或多個云平臺交互以管理虛擬化的資源。因此，例如，安全保障服務可以查詢企業(yè)中的現(xiàn)有軟件目錄以確定所安裝的安全軟件以及它們的位置和可用資源。服務還可以嘗試在網(wǎng)絡中自動發(fā)現(xiàn)軟件，或者可以查詢具體的安全解決方案(諸如日志管理器)以發(fā)現(xiàn)系統(tǒng)中所安裝的其它軟件。

優(yōu)選地，如果所關心的是來自高級別安全選項的資源消耗，則安全保障服務可以估計所選擇的(多個)安全模板的總體成本并且將該信息呈現(xiàn)給應用部署方以供批準?；蛘撸踩珜＜铱梢赃x擇性地配置特定類型的應用所允許和要求的“最大”和“最小”總體安全級別。

優(yōu)選地，安全管理員能夠使用安全保障服務以防止應用在最小安全級別尚未被選擇的情況下被部署。

優(yōu)選地，安全保障服務能夠挖掘應用部署和通常選擇的安全級別之間的模式以為被部署的新應用自動建議安全級別。

優(yōu)選地，安全保障服務能夠在應用部署期間與安全分析系統(tǒng)或服務(例如，rationalappscan)交互或協(xié)同操作以測定被部署的應用的整體安全級別并且確定其在企業(yè)安全政策內(nèi)是否適合。

服務優(yōu)選地還人工或自動地(例如，通過自動更新工具)提供安全保障模板的“補丁”以基于經(jīng)選擇模板改善安全推薦，并且向現(xiàn)有應用追溯地應用新的安全配置。

優(yōu)選地，服務能夠接收描述常見易損性或攻擊模式文件(流入，apt模式)的報告或其它輸出，并且確定這樣的攻擊是否利用現(xiàn)有安全配置而被防止。在可能暴露于攻擊的情況下，服務隨后生成并可選地應用配置更改以保護該環(huán)境。

如上文所提到的，優(yōu)選地，安全保障服務結(jié)合或關聯(lián)于現(xiàn)有的云應用平臺基礎架構(gòu)進行操作，云應用平臺基礎架構(gòu)包括但并不限于具有工作負載部署功能的云應用平臺。以這種方式，安全保障服務跨云基礎架構(gòu)補充或工作以促進基于安全上下文的應用部署。

在圖8的示例場景中，安全模板及其相關聯(lián)的安全配置更改在應用部署過程期間被實施。在該示例中，應用部署被啟動，隨后安全配置更改被執(zhí)行，此后預期進行該應用部署過程的其余部分。雖然這是一種典型的操作場景，但是安全配置更改可以與實際部署自身正交地實施。因此，例如，安全配置更改可以在啟動實際應用部署之前的離線處理中被實施。在備選中，應用部署可以被啟動并完成，并且隨后是安全保障服務的單獨執(zhí)行線程。因此，可以在實際應用部署之前、期間或之后來創(chuàng)建給定的基于上下文的云應用安全區(qū)域。

針對(如特定安全模板所標識的)一個或多個安全資源實施安全配置更改所需的工具作業(yè)可以由模板直接或間接地指定或控制。

如上所述，經(jīng)允許的管理員可以具有直接更新模板的能力。更常見的，可能期望定義與模板分離的安全政策。例如，“低”數(shù)據(jù)安全模板可能只需要ssl，但是管理員可能已經(jīng)將保障服務(作為政策)配置為無論所選擇模板如何針對所有部署都要求比如說磁盤加密。功能上，這相當于如所描述的管理員更新模板。因此，在備選實施例中，這樣的管理員更改被存儲為與模板分離的政策。隨后，為了確定如何創(chuàng)建安全區(qū)域，系統(tǒng)檢查可用軟件和模板要求的引用以及管理員設置。這樣的政策可以是系統(tǒng)范圍的，或者它們被限定到某些領域，例如在某個云上運行的所有工作負載、或者建立在某些軟件上的所有工作負載等。

上述主題提供許多優(yōu)點。特別地，本公開的以上描述和所說明的技術(shù)提供了一種跨系統(tǒng)的、基于模板的方法以使用應用的分類和部署技術(shù)來安全地將應用供應到環(huán)境中，利用該應用和部署拓撲所必需和/或合適的安全設置更新所有或相關的安全基礎架構(gòu)(例如，防火墻、事件記錄器、目錄、反向代理等)。這種基于模板的方法優(yōu)選地依賴于抽象的或“廣義的”類別，服務以“遮蓋之下”的必要配置更改的形式自動提供高級配置。

本文的方法提供集中的或聯(lián)合的安全保障服務，其管理并供應應用安全所需的硬件、軟件、網(wǎng)絡和云資源。所描述的技術(shù)利用抽象的保障安全模板來增強應用開發(fā)。模板優(yōu)選地是基于上下文的，其源于有關可用資源和所期望安全目標的信息?？梢曰诃h(huán)境中的安全軟件的可用性和/或與應用和中間件的屬性相結(jié)合而容易地定制安全模板的列表。服務還對抽象的經(jīng)合并的模板進行解釋以生成具體的配置步驟。服務分析現(xiàn)有的安全和云環(huán)境以標識針對所定制的配置步驟的交互。服務為新部署的應用生成端到端的軟件定義的安全環(huán)境。如果服務被新應用的安全要求所影響，則升級其它應用的安全。服務使得能夠自動創(chuàng)建應用安全要求所需的安全解決方案，諸如創(chuàng)建vpn或dmz，或者增加防火墻。所描述的方法使得能夠?qū)Π踩珜＜覍⒗斫獾奈礇Q安全配置更改的列表進行精選，并且還提供對這樣的更改的可選的確認和批準。模板方法還易于與諸如應用模式工具的其它云部署工具進行集成。

保障服務可以利用所要部署的應用的細節(jié)進行查詢，從而確定適用于應用的可用安全措施。保障服務優(yōu)選地被集中管理以提供更高或更低級別的安全保障。方法使得安全環(huán)境可以在應用取消部署時被解配置。當更高安全級別的應用被解配置時，服務還可以允許降低針對受影響應用的安全級別。服務還支持相關保障模板的實時交互管理以提供用戶界面(ui)能力，諸如連線的或互斥的模板(例如，添加ssl可能會影響用于不同保障級別的密鑰長度)。服務提供自動發(fā)現(xiàn)或者與軟件庫集成以標識可用的安全軟件和經(jīng)許可的資源以選擇可用的保障模板。優(yōu)選地，服務提供管理能力以基于逐個應用來覆蓋經(jīng)應用的安全模板。方法使得能夠估計安全配置更改的系統(tǒng)范圍內(nèi)的成本，以及以易于理解的格式向用戶呈現(xiàn)這些成本。服務還使得模板能夠圍繞安全設置的成本被設置，例如，將最大級別設置為安全環(huán)境成本，在這種情況下，最終用戶只能選擇安全保障能力的子集。方法使得用戶能夠建立集中式安全策略從而防止尚未選擇最低安全級別的安全模板時的應用部署。

服務提供能夠被用來建議安全模板的分析，例如基于過往所使用的模板。在應用部署期間使用安全分析提供了確定應用安全部署是否符合企業(yè)的安全政策的有用方式。

服務還提供經(jīng)升級的安全模板到現(xiàn)有應用的追溯適用。服務還使得能夠與執(zhí)行安全掃描或輸出安全智能報告的系統(tǒng)進行集成，從而促進對系統(tǒng)保護差距的標識，并且建議以及可選地自動應用缺失的配置或產(chǎn)品。

如所描述的，本文的方法可以被人工實施，或者整體或部分地以自動方式來實施。

雖然已經(jīng)描述了優(yōu)選的操作環(huán)境和使用情形(云部署裝置或平臺)，但是本文的技術(shù)可以在其中期望部署應用或其它服務同時實施給定安全上下文的任何其它操作環(huán)境中使用。

如已經(jīng)描述的，以上所描述的功能可以被實施為單獨的方法，例如由一個或多個硬件處理器執(zhí)行的一個或多個基于軟件的功能，或者其可被用作經(jīng)管理的服務(包括如經(jīng)由soap/xml接口的網(wǎng)絡服務)。本文所描述的特定硬件和軟件實施方式的細節(jié)僅是出于說明的目的而并非旨在限制所描述主題的范圍。

更一般地，所公開主題的上下文中的計算設備均為包括硬件和軟件的數(shù)據(jù)處理系統(tǒng)(諸如圖2中所示)，并且這些實體通過網(wǎng)絡(諸如互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、外部網(wǎng)、私有網(wǎng)絡，或者任何其它通信介質(zhì)或鏈接)互相通信。數(shù)據(jù)處理系統(tǒng)上的應用提供對網(wǎng)絡和其它已知服務和協(xié)議的本地支持，其包括但不限于對超文本傳輸協(xié)議(http)、文件傳輸協(xié)議(ftp)、簡單郵件傳輸協(xié)議(smtp)、簡單對象訪問協(xié)議(soap)、可擴展標記語言(xml)、網(wǎng)絡服務描述語言(wsdl)、統(tǒng)一描述、發(fā)現(xiàn)和集成(uddi)以及網(wǎng)絡服務流程語言(wsfl)等的支持。關于soap、wsdl、uddi和wsfl的信息可從萬維網(wǎng)聯(lián)盟(w3c)獲取，其負責開發(fā)和維護這些標準；關于http和xml的另外信息可從互聯(lián)網(wǎng)工程任務組(ietf)獲取。假定對這些標準是熟悉的。

除了基于云的環(huán)境之外，本文所描述的方案可以在各種服務器側(cè)的架構(gòu)(包括簡單的n層架構(gòu)、網(wǎng)絡門戶、聯(lián)合系統(tǒng)等)中或者與之相結(jié)合進行實施。

更一般地，本文所描述的主題可以采用完全硬件實施例、完全軟件實施例或者包含硬件和軟件元件的實施例的形式。在優(yōu)選實施例中，安全保障服務(或者其任意組件)在軟件中實施，軟件包括但并限于固件、駐留軟件、微代碼等。此外，下載和刪除接口和功能能夠采取可從計算機可用或計算機可讀介質(zhì)訪問的計算機程序產(chǎn)品的形式，該計算機可用或計算機可讀介質(zhì)提供程序代碼以由計算機或任何指令執(zhí)行系統(tǒng)使用或者結(jié)合其使用。出于該描述的目的，計算機可用或計算機可讀介質(zhì)可以為能夠包含或存儲程序以由指令執(zhí)行系統(tǒng)、裝置或設備使用或者結(jié)合其使用的任何裝置。介質(zhì)可以為電子、磁、光、電磁、紅外或半導體系統(tǒng)(或者裝置或設備)。計算機可讀介質(zhì)的示例包括半導體或固態(tài)存儲器、磁帶、可移動計算機軟盤、隨機存取存儲器(ram)、只讀存儲器(rom)、硬磁盤和光盤。光盤的當前示例包括緊致盤-只讀存儲器(cd-rom)、緊致盤-讀/寫(cd-r/w)和數(shù)字化視頻光盤(dvd)。計算機可讀介質(zhì)是有形的非瞬時介質(zhì)。

計算機程序產(chǎn)品可以是具有程序指令(或程序代碼)以實施所描述的功能中的一個或多個的產(chǎn)品。那些指令或代碼可以在通過網(wǎng)絡從遠程數(shù)據(jù)處理系統(tǒng)被下載之后被存儲在數(shù)據(jù)處理系統(tǒng)的計算機可讀存儲介質(zhì)中?；蛘?，那些指令或代碼可以被存儲在服務器數(shù)據(jù)處理系統(tǒng)的計算機可讀存儲介質(zhì)中并且適于通過網(wǎng)絡被下載到遠程數(shù)據(jù)處理系統(tǒng)中以在遠程系統(tǒng)內(nèi)的計算機可讀存儲介質(zhì)中使用。

在代表性實施例中，技術(shù)在專用計算平臺中被實施，優(yōu)選地在由一個或多個處理器執(zhí)行的軟件中實施。軟件被保持在與一個或多個處理器相關聯(lián)的一個或多個數(shù)據(jù)存儲或存儲器中，并且軟件可以被實施為一個或多個計算機程序。共同地，專用硬件和軟件包括以上所描述的功能。

在如上所述的優(yōu)選實施例中，本文所提供的功能被實施為對現(xiàn)有云計算部署管理解決方案的附屬或擴展。

雖然以上描述了由本發(fā)明的某些實施例所執(zhí)行的特定順序的操作，但是應當理解，這樣的順序是示例性的，比如備選實施例可以以不同順序來執(zhí)行操作、組合某些操作、重復某些操作等。說明書中對給定實施例的引用表示所描述的實施例可以包括特定特征、結(jié)構(gòu)或特性，但是每個實施例都可以并非必需包括特定特征、結(jié)構(gòu)或特性。

最后，雖然已經(jīng)單獨地對系統(tǒng)的給定組件進行了描述，但是本領域技術(shù)人員將會意識到，一些功能可以在給定指令、程序序列、代碼部分等中組合或共享。

本文的技術(shù)提供了對技術(shù)或技術(shù)領域(即管理云部署的計算實體)的改進，以及對應用部署機制自身的功能的改進(即基于具有用于安全配置工具作業(yè)更改的相關聯(lián)指令的易于理解的模板而通過將其常規(guī)功能擴展為安全上下文感知的)。

如本文所使用的特定術(shù)語“模板”并不應當被認為局限于任何特定的格式或結(jié)構(gòu)，因為該概念旨在指代包括所標識的信息類型(與特定安全保障級別相關聯(lián)的預先配置的安全要求)的任何構(gòu)建(無論結(jié)構(gòu)或形式)，其優(yōu)選地利用易于理解的引用(例如，“高安全”)所指定，并且其適于由服務/系統(tǒng)(通常連同系統(tǒng)配置等)轉(zhuǎn)換為實施所指定的安全級別所必需的粒度要求。根據(jù)實施方式，“模板”可以包括具有這些屬性和特性的配置數(shù)據(jù)集合。

已經(jīng)描述了我們的發(fā)明，我們所請求保護的內(nèi)容如下。