專利名稱:虛擬化系統(tǒng)中的安全強制的制作方法
技術領域:
本文所描述的實施方式總體上涉及虛擬機(VM)。
背景技術:
出于安全考慮��,増加了在允許客戶端(例如�����,用戶的計算機)訪問目標服務器提供的資源(例如�,下載/上傳數(shù)據(jù)的能力、訪問專用網(wǎng)絡的能力)之前采取的強制措施���。通常�����,位于客戶端與目標服務器之間的網(wǎng)絡內的強制裝置要求客戶端的管理員或用戶在客戶端上安裝代理器��,以收集關于客戶端的信息��,并將該信息從客戶端推送到策略引擎服務器�。策略引擎服務器基于收集的信息確定是否允許客戶端訪問目標服務器的資源���,并將該確定傳送給強制裝置��。這種方法的ー個問題在于�,客戶端的用戶通常能關閉本地安裝的代理器并試圖繞開安全措施。另ー個問題是在代理器與用戶想在客戶端上運行的其他軟件應用之間可能會出現(xiàn)兼容性問題(例如�,驅動器沖突)。因此�����,代理器可能會妨礙用戶的執(zhí)行訪問 目標服務器之外的操作的能力���。此外����,目標的代理器可能無法在其硬件和/或軟件配置與代理器不兼容的特定客戶端上運行�。另ー個發(fā)展趨勢是從中央處理器(CPU)的虛擬化轉向運行獨立虛擬系統(tǒng)。虛擬化的CPU可實現(xiàn)多個“虛擬機”�。虛擬機(VM)服務器可同時運行多個VM�����。虛擬機(VM)可運行針對使用VM的客戶端的單個客戶機操作系統(tǒng)(OS)�����。目前,為了允許客戶端經(jīng)由VM的客戶機OS訪問目標服務器的資源����,需要在每個客戶機OS上運行單獨的代理器。由此�,在與客戶端對應的客戶機OS中的每個上運行代理器時可能會出現(xiàn)與在每個單獨客戶端上運行代理器時出現(xiàn)的問題相似的問題。另外���,VM的管理員需要針對VM上的每個客戶機映像手動地預安裝和配置訪問目標服務器的資源所需的代理器����。策略服務器引擎會定期更新其對應代理器需要執(zhí)行的操作���,以提供訪問����。因此���,在管理員需要確定代理器是否進行了更新并且在毎次更新之后手動重新配置/更新VM的多個代理器時����,會進ー步消耗管理開銷。此外�,用戶可手動創(chuàng)建新的VM,但不能在VM上安裝代理器��。沒有代理器的新VM不能幫助訪問與代理器關聯(lián)的目標服務器����。
發(fā)明內容
根據(jù)ー個方面,ー種方法可包括計算機裝置接收來自客戶端裝置的實例(instance)請求�����;計算機裝置響應于實例請求而運行虛擬機(VM)服務器的第一客戶機操作系統(tǒng)(OS);計算機裝置的代理器捜索第一客戶機OS����,以獲得第一信息,并搜索VM服務器的一個或多個其他客戶機操作系統(tǒng)����,以獲得其他信息;計算機裝置基于第一信息確定是否符合第一標準�����;在符合第一標準時計算機裝置允許第一客戶機OS訪問目標服務器的資源����。根據(jù)另ー個方面,非暫時性計算機可讀介質可儲存使計算機執(zhí)行ー種方法的程序��。該方法可包括接收針對第一虛擬機(VM)服務器的客戶機操作系統(tǒng)(OS)的客戶機信息����;從第二 VM服務器的第二代理器接收針對第二 VM服務器的實例的應用信息;基于客戶機信息和應用信息來確定客戶機OS訪問第二 VM服務器的實例的訪問類型�;基于確定的訪問類型生成訪問控制信息;向執(zhí)行器(enforcer)提供訪問控制信息����。第一代理器可從客戶機OS收集客戶機信息,并從第一 VM服務器的一個或多個其他客戶機操作系統(tǒng)收集其他客戶機信息����。根據(jù)又一方面,系統(tǒng)可包括虛擬機(VM)服務器和策略引擎服務器����。VM服務器可包括兩個或多個客戶機操作系統(tǒng)和代理器。代理器可從兩個或多個客戶機操作系統(tǒng)收集信息��。策略引擎服務器可從代理器接收信息���;基于所述信息生成兩個或多個客戶機操作系統(tǒng)中的第一個客戶機OS的訪問控制信息����;基于訪問控制信息配置執(zhí)行器。訪問控制信息可指示是否允許第一客戶機OS訪問目標���。執(zhí)行器可允許或拒絕第一客戶機OS訪問目標�����。
結合在本說明中并構成本說明書的一部分的附圖示出了本文描述的ー個或多個實現(xiàn)方式���,附圖與這些描述一起解釋了這些實現(xiàn)方式。在附圖中
圖I是可實現(xiàn)本文所述的系統(tǒng)和/或方法的示例環(huán)境的示圖�;圖2是圖I的ー個或多個裝置的示例部件的示圖;圖3是概念地示出虛擬機(VM)服務器的示例部件的示圖���;圖4是概念地示出圖I的服務器的示例操作的示圖�;圖5是用于提供經(jīng)由VM訪問目標服務器的安全性的示例過程的流程圖�;以及圖6是用于提供訪問控制信息的示例過程的流程圖。
具體實施例方式下列詳細描述參照附圖���。不同附圖中的相同參考號可表示相同或相似元件��。虛擬機(VM)可包括像物理機ー樣執(zhí)行程序的機器的軟件實現(xiàn)方式�����。VM可包括兩種不同類型的虛擬機提供支持完整操作系統(tǒng)的運行的系統(tǒng)平臺的系統(tǒng)虛擬機����;以及被設計成運行單個程序的流程虛擬機���。提供VM虛擬化的軟件層稱為管理程序��。VM服務器可包括單個管理程序����。VM服務器的所有VM(以及客戶機OS)可使用管理程序的服務�����。管理程序�����,也稱為虛擬機監(jiān)控程序(VMM)����,可在硬件上或VM服務器的操作系統(tǒng)之上運行���。管理程序可控制VM的實例化。管理程序可允許作為VM的實例操作的多個客戶機操作系統(tǒng)(OS)同時在VM服務器上運行���。每個客戶機OS可對應于從VM服務器請求VM的實例的不同客戶端�。本文所述的實現(xiàn)方式可為虛擬化系統(tǒng)提供安全強制��。一組客戶端中的一個客戶端可連接到VM服務器上�����。VM服務器可將VM的實例分配給該客戶端��。VM可針對該客戶端運行客戶機操作系統(tǒng)(OS)��。VM服務器可將數(shù)據(jù)傳送給客戶端���,以顯示VM的客戶機OS的表示法(例如���,通過遠程桌面(RDT)顯示表示法)。VM服務器可針對VM服務器中的所有客戶機OS運行管理程序中的單個代理器��。該代理器可確定管理程序何時添加新VM/客戶機OS。該代理器可在搜索ー個或多個其他客戶機OS的同時搜索該客戶機OS����,以獲得該客戶機OS的客戶機信息。該客戶機信息可包括健康信息(例如�����,客戶機OS的補丁等級�����、客戶機OS是否開啟了防火墻�����、客戶機OS是否安裝了最新版本的特定防病毒軟件等)�、當前活動信息(例如����,客戶機OS的當前網(wǎng)絡連接)、身份信息(例如���,正在操作客戶端的用戶的標識符(例如���,姓名)和實現(xiàn)客戶端的裝置的標識符)�����、客戶機OS上正在運行的應用(多個應用)的信息等��。
代理器可將客戶機信息傳送給防火墻代理器或策略引擎���。在一個實現(xiàn)方式中,防火墻代理器可基于客戶機信息確定是否允許客戶機OS訪問目標服務器的ー個或多個資源���。此處����,訪問目標服務器的資源可指經(jīng)由目標服務器訪問獨立網(wǎng)絡或訪問由目標服務器主控的應用或網(wǎng)絡服務�。在另ー個實現(xiàn)方式中,策略引擎可通過評價客戶機信息來確定是否允許客戶機OS訪問目標服務器的ー個或多個資源�����。策略引擎可通過經(jīng)與訪問目標服務器相關聯(lián)的(安全)策略來運行客戶機信息���,從而進行評價(例如�����,如ー個策略所要求的���,確定用戶的標識符是否與被允許訪問目標服務器的人或裝置的標識符匹配)��。策略引擎可基于客戶機信息的評估生成訪問控制信息��。策略引擎可用訪問控制信息對執(zhí)行器進行配置���。執(zhí)行器可基于訪問控制信息允許或拒絕客戶機OS訪問目標服務器的ー個或多個資源�����。圖I是可實現(xiàn)本文所述的系統(tǒng)和/或方法的示例環(huán)境100的示意圖�����。環(huán)境100可包括以下元件中的ー個或多個客戶端裝置110-1���、110-2�、……、110-N(N彡I)(總稱為“客戶端裝置110”����,単獨稱為“ー個客戶端裝置110”)、網(wǎng)絡120��、VM服務器130�、網(wǎng)絡140、策略引擎服務器150����、執(zhí)行器160以及目標服務器170。實際上���,環(huán)境100可比圖I包括更多的元件�、更少的元件����、不同的元件、或以不同方式設置的元件�。此外,環(huán)境100的ー個或多個元件可執(zhí)行被描述為由環(huán)境100的一個或多個其他元件執(zhí)行的任務����。 客戶端裝置110可表示能從網(wǎng)絡120接收數(shù)據(jù)和/或向該網(wǎng)絡傳送數(shù)據(jù)的任何裝置��??蛻舳搜b置110可允許用戶提示客戶端裝置110接收/傳送數(shù)據(jù)�����。在一個實現(xiàn)方式中��,客戶端裝置110可采取計算機��、服務器����、智能手機、個人計算機��、膝上型電腦���、掌上電腦、便攜通信裝置(例如����,移動電話)接入點基站等的形式?����?蛻舳搜b置110可直接地,或通過(例如)路由器����、交換機、網(wǎng)橋����、防火墻、網(wǎng)關����、基站等間接地與網(wǎng)絡120連接?�?蛻舳搜b置110可經(jīng)由網(wǎng)絡120將請求傳送給VM服務器����,以獲得VM的實例?��?蛻舳搜b置110可經(jīng)由網(wǎng)絡120從VM服務器130接收數(shù)據(jù)����,以顯示針對VM的實例的客戶機OS的表示法或針對網(wǎng)絡應用的用戶界面。網(wǎng)絡120和網(wǎng)絡140可包括單個網(wǎng)絡�����、相同類型的多個網(wǎng)絡��,或不同類型的多個網(wǎng)絡��。例如�����,網(wǎng)絡120和/或網(wǎng)絡140中的每ー個可包括裝置之間的直接連接����,局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)����、城域網(wǎng)(MAN)�、無線網(wǎng)絡(例如,通用分組無線業(yè)務(GPRS)網(wǎng)絡)���、自組織網(wǎng)絡�����、公用電話交換網(wǎng)(PSTN)���、因特網(wǎng)子集����、任何其他網(wǎng)絡或它們的任何組合�����。VM服務器130可表示能實現(xiàn)VM的任何裝置�����。在一個實現(xiàn)方式中��,VM服務器130可采取計算機���、服務器�、多個服務器等中的ー個或多個的形式����。VM服務器130可運行ー個或多個不同VM�。VM服務器130可經(jīng)由網(wǎng)絡120從針對特定VM的客戶端裝置110接收請求���。VM服務器130可響應于每個請求運行特定VM的單獨客戶機OS�。VM服務器130可在VM的管理程序上運行單個代理器�,以從每個客戶機OS中捜索信息。在另ー個實現(xiàn)方式中����,VM服務器130可表示集群?����?稍诩旱拿總€節(jié)點上運行單個代理器����。VM服務器130可直接地或經(jīng)由網(wǎng)絡140將數(shù)據(jù)傳送給策略引擎服務器150、執(zhí)行器160和/或目標服務器170��,或從它們接收數(shù)據(jù)���。策略引擎服務器150可表示能確定是否允許VM服務器130的客戶機OS訪問目標服務器170的任何裝置���。策略引擎服務器150可采取硬件/軟件部件、計算機���、服務器��、多個服務器�����、路由器��、交換機�、防火墻����、網(wǎng)關等中的ー個或多個的形式。策略引擎服務器150可從VM服務器130 (直接或經(jīng)由網(wǎng)絡140)接收與VM服務器130的客戶機OS有關的客戶機信息�����。策略引擎服務器150可生成訪問控制信息并(直接或經(jīng)由網(wǎng)絡140)傳送給執(zhí)行器160�。在另ー個實現(xiàn)方式中,VM服務器130���、執(zhí)行器160或目標服務器170中的ー個可包括策略引擎服務器150�。執(zhí)行器160可表示能強制(允許或拒絕)VM服務器130的客戶機OS訪問目標服務器170和/或目標服務器170的資源的任何裝置。執(zhí)行器160可采取網(wǎng)絡部件���、路由器���、交換機、防火墻�、網(wǎng)關、硬件/軟件部件�、計算機、服務器���、多個服務器等形式���。執(zhí)行器160可從VM服務器130的客戶機OS接收面向目標服務器170的業(yè)務(或訪問目標服務器170的請求)。執(zhí)行器160可直接或經(jīng)由網(wǎng)絡140從策略引擎服務器150接收針對客戶機OS的訪問控制信息����。執(zhí)行器160可基于訪問控制信息允許客戶機OS訪問目標服務器170的ー個或多個資源。在另ー個實現(xiàn)方式中���,VM服務器130�����、網(wǎng)絡140���、策略引擎服務器150或目標服務器170中的ー個可包括執(zhí)行器160。目標服務器170可表示能接收和/或傳送數(shù)據(jù)的任何裝置���。目標服務器170可提供VM服務器130的客戶機OS可能請求訪問的ー個或多個資源�。目標服務器170可采取任何計算機的形式���,包括服務器(例如�,網(wǎng)絡服務器�����、文件服務器等)���。在另ー個實現(xiàn)方式中�, 目標服務器170可用作至提供一個或多個資源的単獨網(wǎng)絡(圖I中未顯示)的接入點(或一部分)��。目標服務器170可在允許客戶機OS使用與目標服務器170相關聯(lián)的資源之前直接或經(jīng)由網(wǎng)絡140從執(zhí)行器160接收許可�����。在另ー個實現(xiàn)方式中,目標服務器170還可用作VM服務器��。目標服務器170可運行多個VM��,以提供網(wǎng)絡服務和/或應用(例如��,PeopleSoft應用�、網(wǎng)絡服務、電子郵件服務等)��。目標服務器170還可如VM服務器130 —祥包括帶有針對VM的單個代理器的管理程序����。目標服務器170可針對網(wǎng)絡服務/應用的每個實例來創(chuàng)建/運行客戶機OS。單個代理器可收集關于特定客戶機OS的網(wǎng)絡服務/應用的應用信息�。目標服務器170的單個代理器可直接或經(jīng)由網(wǎng)絡140將應用信息傳送至VM服務器130的防火墻代理器或傳送至策略引擎服務器150。VM服務器130的防火墻代理器或策略引擎服務器150除客戶機信息之外還可使用應用信息來確定允許VM服務器130的客戶機OS訪問目標服務器170的訪問類型(如果有的話)���。在又一個實現(xiàn)方式中����,單個VM服務器可包括主控針對客戶端110的用戶的客戶機OS的VM服務器130和提供用戶訪問的應用/服務的單獨VM(例如����,目標服務器170的單獨VM或VM服務器130的單獨應用VM的單獨VM)�����。例如�,VM服務器130可包括針對客戶機OS的客戶端VM和應用VM��。單個VM服務器(例如����,VM服務器130)也可包括執(zhí)行器160和/或另ー個執(zhí)行器�,以強制(允許或拒絕)客戶端VM訪問應用VM。圖2是可與客戶端裝置110��、VM服務器130��、策略引擎服務器150�、執(zhí)行器160或目標服務器170中的一個或多個對應的裝置200的示例部件的示圖??蛻舳搜b置110、VM服務器130��、策略引擎服務器150�����、執(zhí)行器160和目標服務器170中的每ー個可包括一個或多個裝置200和/或裝置200的任何ー個或多個部件。如圖2所示���,裝置200可包括總線210�����、處理器220����、主存儲器230����、只讀存儲器(ROM) 240、存儲裝置250��、輸入裝置260��、輸出裝置270和通信接ロ 280��?����?偩€210可包括允許在裝置200的部件之間進行通信的路徑?��?偩€210可表示連接裝置200的不同部件的一個或多個專用總線�。例如��,一個專用總線可直接將處理器220連接到主存儲器230和/或R0M240��。處理器220可包括一個或多個處理器�����、微處理器或可解釋和執(zhí)行指令的其他類型的處理器��。主存儲器230可包括RAM或可存儲處理器220執(zhí)行的信息和指令的另ー種類型的動態(tài)存儲器��。ROM 240可包括ROM裝置或可存儲處理器220使用的靜態(tài)信息和/或指令的另ー種類型的靜態(tài)存儲器��。存儲裝置250可包括磁記錄介質和/或光記錄介質及其對應驅動器���,或可移動式存儲器,例如閃存�����。輸入裝置260可包括允許操作者向裝置200輸入信息的機構,例如���,鍵盤��、鼠標�、筆����、麥克風、聲音識別和/或生物計量機構�����、觸摸屏等�����。輸出裝置270可包括向操作者輸出信息的機構����,包括顯示器、打印機�����、揚聲器等。通信接ロ 280可包括使裝置200與其他裝置和/或系統(tǒng)能進行通信的任何類似收發(fā)器的機構�。例如,通信接ロ 280可包括用于經(jīng)由網(wǎng)絡與另ー個裝置或系統(tǒng)進行通信的機構��。如下面將具體描述的�,裝置200可執(zhí)行特定操作。裝置200可響應于處理器220執(zhí)行了包含在計算機可讀介質(諸如��,主存儲器230)中的軟件指令(例如���,(多個)計算 機程序)來執(zhí)行這些操作����。計算機可讀介質可被定義為非暫時性存儲裝置�����。存儲裝置可包括單個物理存儲裝置內的空間或跨多個物理存儲裝置擴展的空間��。軟件指令可從其他計算機可讀介質(例如存儲裝置250)或經(jīng)由通信接ロ 280從另ー個裝置被讀入存儲器230�。存儲器230中包含的軟件指令可使處理器220執(zhí)行本文所述的過程�����。或者����,硬接線電路可替代軟件指令或與軟件指令結合被用于執(zhí)行本文所述的過程。因此����,本文所述的實現(xiàn)方式并不限于硬件電路和軟件的任何特定組合。盡管圖2示出了裝置200的示例部件�����,而在其他實現(xiàn)方式中�,裝置200可包括比圖2所描述的更少的部件、不同的部件��、以不同方式設置的部件或附加的部件��?��?蛇x地���,或附加地,裝置200的一個或多個部件可執(zhí)行被描述為由裝置200的一個或多個其他部件執(zhí)行的一個或多個其他任務。圖3是概念地示出虛擬機(VM)服務器130的示例部件的示圖�����。如圖3所示,VM服
務器130可包括以下部件的ー個或多個VM 305-1,305-2, ......�����、305_N(總稱為“VM 130”�,
単獨稱為“ー個VM 130”和管理程序320。每個VM 305可分別運行單個客戶機操作系統(tǒng)
(OS)310-1,310-2,......�、310-N(總稱為“客戶機OS 310”,單獨稱為“ー個客戶機OS 310”)�。
實際上,VM服務器130可包括比圖3所示附加的部件����、更少的部件、不同的部件或以不同方式設置的部件���。如上所述��,管理程序320可用作允許VM 305虛擬化的軟件層。在一個實現(xiàn)方式中���,管理程序320可包括代理器330和防火墻代理器340�。在另ー個實現(xiàn)方式中,如下面參照圖4所述�����,管理程序320可以不包括防火墻代理器340�����。代理器330和防火墻代理器340可在管理程序320內部運行�����。管理程序320可管理代理器330和/或防火墻代理器340�。客戶機OS 310可使用管理程序320的服務�。管理程序320可實現(xiàn)客戶機OS 310可通過其在VM服務器130上運行的控制應用。管理程序320可從客戶端裝置110接收獲取VM 305的實例的請求�。該請求可包括關于客戶端裝置110的用戶的身份信息。管理程序320可獲取針對VM 305的一種客戶機OS的映像����,并將該映像的復制品實例化,以創(chuàng)建VM 305并針對客戶端裝置110在VM 305上運行客戶機OS 310���。每個客戶機OS 310可與ー個不同的客戶端裝置110對應���。
代理器330可在管理程序320內運行��。在一個實現(xiàn)方式中�,代理器330可用作訪問目標服務器170的所有客戶機OS 310的唯一代理器��。代理器330可確定管理程序330已添加了客戶機OS 310并對客戶機OS 310進行搜索���。代理器330響應于搜索客戶機OS310可接收關于客戶機OS 310的健康信息����,并確定與客戶機OS 310相關聯(lián)的用戶(或客戶端裝置110)的身份信息�����。代理器330可從接收了與客戶機OS 310相關聯(lián)的請求的管理程序320找到實際身份信息�����。代理器330可將健康信息和身份信息傳送給防火墻代理器340�����。在一個實現(xiàn)方式中,代理器330可定期檢查(重新捜索)是否需要為客戶機OS定期更新信息�����。在另ー個實現(xiàn)方式中���,管理程序320可在客戶機OS 310內發(fā)生特定受關注變化(例如,刪除了防病毒軟件)時通知代理器330�����。代理器330可響應于通知而重新捜索客戶機 OS 310��。防火墻代理器340也可在管理程序320內運行�����。防火墻代理器340可基于從代理器330接收的針對客戶機OS 310的健康信息和身份信息確定準許客戶機OS 310哪種訪問類型(如果有的話)�����。防火墻代理器340可基于該確定提供網(wǎng)絡業(yè)務的安全強制����。換句話說����,防火墻代理器340可允許或拒絕用戶從客戶機OS 310訪問目標服務器170的資源�。例如,防火墻代理器340可在健康信息滿足訪問合法文件的特定標準時(例如�����,安裝了特定版 本的防病毒軟件和/或啟動了特定防火墻)���,允許是合法部門中的用戶訪問存儲在目標服務器170上的合法文件�。在另ー個實現(xiàn)方式中���,代理器330可將針對客戶機OS 310的健康信息和身份信息傳送至處于管理程序320外部的策略引擎服務器150���。策略引擎服務器150可基于健康信息、身份信息和策略引擎服務器150找到策略來確定關于準許客戶機OS 310哪種訪問的指示�。策略引擎服務器150可將該指示傳送至處于管理程序320內部的防火墻代理器340。防火墻代理器340可基于該指示允許或拒絕用戶從客戶機OS 310訪問目標服務器170的資源�。防火墻代理器340可不訪問策略。圖4是概念地示出VM服務器130和目標服務器170的示例部件以及VM服務器130���、策略引擎服務器150�、執(zhí)行器160和目標服務器170的示例操作的示圖。如圖4所示����,VM服務器130可包括一個或多個客戶機OS,如上文參照圖3所述(圖4中未示出VM 305�����,但每ー個客戶機OS 310與ー個不同的VM 305對應)����。VM服務器130的管理程序320可不包括如圖3所示的防火墻代理器340���。在一個實現(xiàn)方式中����,代理器330可捜索客戶機OS 310�,以獲得健康信息和身份信息。代理器330在接收到健康信息和身份信息之后可將健康信息和身份信息作為客戶機信息440傳送給策略引擎服務器150�。策略引擎服務器150可基于客戶機信息440確定允許客戶機OS 310訪問目標服務器170的資源的訪問類型。在另ー個實現(xiàn)方式中�,如圖4所示,目標服務器170可為VM服務器�。如圖5所示����,目標服務器170可包括應用¥11(本文簡稱為“& ”)410-1���、410-2��、……��、410_M(總稱為“app410”�����,単獨稱為“ー個app 410”)的ー個或多個實例以及管理程序420�����。實際上�,目標服務器170可包括相比圖4所示的附加的部件�、更少的部件、不同的部件或以不同方式設置的部件�����。如下面進ー步描述的����,app 410可表示運行用于執(zhí)行應用的客戶機OS的VM�����。管理程序420可包括代理器430�����。app 410、管理程序420和代理器430可分別與上述的客戶機OS 310��、管理程序320和代理器330相似地進行操作�����。在一個實現(xiàn)方式中�,代理器430可用作目標服務器170的所有app 410的唯一代理器。app 410可提供(多個)特定應用或(多個)網(wǎng)絡服務�。代理器430可捜索app 410,以獲得每個app 410的信息�����。代理器430可將該信息作為應用信息445傳送至策略引擎服務器150����。策略引擎服務器150可基于客戶機信息440和應用信息445來確定允許客戶機OS 310訪問目標服務器170的資源(例如���,使用app 410)的訪問類型。策略引擎服務器150可基于管理員設置的提供給策略引擎服務器150的一系列策略/標準做出關于客戶機OS 310的訪問類型的確定���。策略引擎服務器150可基于該確定生成訪問控制信息450�。策略引擎服務器150可將訪問控制信息450傳送至執(zhí)行器160 (或者�,在另ー個實現(xiàn)方式中,策略引擎服務器150可基于訪問控制信息450配置執(zhí)行器160)����。用戶可使用客戶機OS 310訪問目標服務器170的資源(例如,訪問網(wǎng)絡或使用app410)���。執(zhí)行器160可基于訪問控制信息450確定是否允許或拒絕用戶從客戶機OS 310訪問資源��。 圖5是用于提供經(jīng)由VM服務器130訪問目標服務器170的安全強制的示例過程500的流程圖�����。在一個實現(xiàn)方式中����,VM服務器130可執(zhí)行過程500。在另ー個實現(xiàn)方式中�,可由與VM服務器130分離或結合的裝置執(zhí)行過程500中的全部或一部分。如圖5所示��,過程500可包括接收實例請求(框510)���。例如���,客戶端110的用戶可將客戶端裝置110連接至網(wǎng)絡120。用戶可使用客戶端裝置110以經(jīng)由網(wǎng)絡120連接至VM服務器130���。用戶可提示客戶端裝置110生成訪問VM服務器130上的VM 305的實例的實例請求?���?蛻舳搜b置110可將實例請求傳送給VM服務器130。VM服務器130可接收該實例請求���。在一個實現(xiàn)方式中�����,VM服務器130可要求用戶登錄���。VM服務器130可在登錄過程中接收/確定用戶的身份信息����。如下面進ー步描述的���,代理器330可在稍后的時間點找到該身份信息�?�?蛇\行客戶機OS 310 (框520)���。例如�����,VM服務器130 (例如���,具體地,管理程序320)可響應于實例請求為客戶端裝置110的用戶分配VM305的實例����。VM服務器130可獲取ー種客戶機OS 310的映像,以在VM305內運行。VM服務器130可將該映像的復制品實例化�,以創(chuàng)建與客戶端裝置110相關聯(lián)的客戶機OS 310。VM服務器130可運行客戶端裝置110的客戶機OS 310�����??蓚魉蚔M 305的表示法(框530)。例如����,客戶端裝置110可向客戶端裝置110的用戶提供至其他計算機/虛擬系統(tǒng)(例如,VM)的用戶界面(例如���,遠程桌面(RDT))����。VM服務器130可針對在VM 305實例中在VM服務器130上運行的客戶機OS 310來生成數(shù)據(jù)以提供表示法�,從而在用戶界面中進行顯示���。VM服務器130可將表示法的數(shù)據(jù)傳送至客戶端裝置110�����?��?蛻舳搜b置110的用戶界面可為用戶顯示客戶機OS 310的表示法���。該表示法可允許用戶使用用戶界面與客戶機OS 310進行交互/對其進行控制(例如,提示客戶機OS 310 (嘗試)訪問目標服務器170)���?�?蓪蛻魴COS 310進行搜索����,以獲得客戶機信息(框540)�。例如,VM服務器130的管理程序320可僅包括單個代理器�����,代理器330����,用于收集客戶機OS 310訪問目標服務器170所需的所有信息。代理器330可確定是否創(chuàng)建/激活了客戶機OS 310(8卩�����,添加到VM服務器130)。在確定創(chuàng)建了客戶機OS 310之后�,代理器330可搜索客戶機OS 310,以獲得健康信息���、當前活動信息和/或身份信息���。健康信息可包括與客戶機OS 310相關的各種因素的狀態(tài),包括����,例如,客戶機OS 310上安裝的防病毒軟件的類型和版本����、客戶機OS 310的安全設置、客戶機OS 310的補丁等級等���。捜索健康信息可包括掃描與客戶機OS 310相關聯(lián)的存儲器(例如��,物理存儲器(例如,RAM)����、非易失性存儲器(例如���,磁盤)等)、在客戶機OS 310上進行病毒掃描�、對與客戶機OS 310相關聯(lián)的防火墻進行測試等。當前活動信息可包括動態(tài)信息��,該動態(tài)信息包括客戶機OS 310的當前網(wǎng)絡連接(例如����,客戶機OS 310是否被連接至外部電子郵件服務等)。身份信息可包括與客戶機OS 310相關聯(lián)的客戶端110的用戶的身份��。身份信息可包括�����,例如�,用戶姓名、用戶對應的數(shù)字標識符���、涉及應提供給用戶的訪問類型的信息(例如��,用戶處于公司法律部門的信息)等�����。管理程序320可接收作為VM 305的實例請求的一部分的身份信息����,VM 305提示運行客戶機OS 310。代理器330可基于作為捜索客戶機OS310的結果而接收的信息��,從管理程序320找到身份信息�。健康信息、當前活動信息和/或身份信息可構成與客戶機OS 310相關聯(lián)的客戶機信息�����??蓚魉涂蛻魴C信息(框550)。例如����,代理器330在捜索并確定了客戶機信息之后可將客戶機信息傳送給防火墻代理器340 (或如本文所述的策略引擎服務器150)。在ー個 實現(xiàn)方式中�,代理器330在初次捜索并確定了客戶機信息之后可繼續(xù)定期捜索客戶機OS310 (框540)(例如,每隔30秒)�����,以獲得客戶機OS 310的客戶機信息的任何更新。另外地����,或可選地��,當客戶機OS 310內發(fā)生ー個或多個預定事件時(例如����,修改了存儲操作系統(tǒng)注冊表的存儲區(qū)域),代理器330可繼續(xù)搜索客戶機OS 310�。如有任何更新,代理器330可將更新的客戶機信息傳送給防火墻代理器340 (或如本文所述的策略引擎服務器150)���。在另一個實現(xiàn)方式中�����,代理器330可(例如�,從管理程序320)接收客戶機OS 310發(fā)生的受關注變化(就可能影響策略引擎服務器150存儲的ー個或多個策略(例如�����,刪除了防病毒軟件)而言�����,策略引擎服務器150感興趣的變化)的通知。代理器330可響應于通知而搜索客戶機OS 310��,以獲得更新的客戶機信息����。代理器330可將更新的客戶機信息傳送給防火墻代理器340 (或策略引擎服務器150)?�?纱_定允許的訪問類型���,并生成訪問控制信息(框560)�。例如�����,在一個實現(xiàn)方式中���,防火墻代理器340可從代理器330接收客戶機信息�����。防火墻代理器340可使用客戶機信息中的健康信息��、當前活動信息和/或身份信息以確定可允許提供給客戶機OS 310的訪問類型(例如����,客戶機OS 310可訪問的目標服務器170的何種資源)。為此����,防火墻代理器340可將健康信息�、當前活動信息和/或身份信息與針對ー個或多個資源指定的ー個或多個策略/標準進行比較。防火墻代理器340可基于比較結果生成針對客戶機OS 310的訪問控制信息���。在另ー個實現(xiàn)方式中�,策略引擎服務器150可從代理器330接收客戶機信息����。策略引擎服務器150可基于客戶機信息和策略引擎服務器150找到的ー個或多個策略/標準來生成訪問控制信息。策略引擎服務器150可將訪問控制信息傳送至防火墻代理器340�����。防火墻代理器340可從策略引擎服務器150接收訪問控制信息��。訪問控制信息可指定客戶機OS 310可訪問的目標服務器170的何種資源(如果有的話)。防火墻代理器340可存儲針對客戶機OS 310的訪問控制信息���?�?山邮赵L問請求(框570)���。例如,客戶端裝置110的用戶可使用客戶機OS 310嘗試訪問目標服務器170的資源�。該資源可包括,例如�����,至與目標服務器170相關聯(lián)的網(wǎng)絡(例如�����,內聯(lián)網(wǎng))的連接����、目標服務器170主控的網(wǎng)絡應用、目標服務器170 (作為文件服務器)上存儲的文件�����、用于將文件上傳到目標服務器170的存儲空間等?����?蛻魴COS 310可生成訪問目標服務器170的資源的訪問請求(或任何其他網(wǎng)絡業(yè)務)���。在一個實現(xiàn)方式中�����,該訪問請求可包括關于用戶想訪問的目標服務器170的資源的信息和用于識別客戶機OS310的信息??蛻魴COS 310可將訪問請求傳送至訪問目標服務器170。防火墻代理器340可接收該訪問請求(例如���,通過攔截)�。在另ー個實現(xiàn)方式中��,防火墻代理器340可在網(wǎng)絡業(yè)務流量開始時接收��,以確定是否允許訪問�����。可允許或拒絕訪問(框580)����。例如,防火墻代理器340可確定什么樣的客戶機OS310正在發(fā)出訪問請求�。防火墻代理器340可找到針對客戶機OS 310的訪問控制信息。防火墻代理器340可基于訪問控制信息確定是否允許客戶機OS 310采用訪問請求中請求的訪問類型�����。防火墻代理器340可在允許請求的訪問類型時使客戶機OS 310訪問目標服務器170的資源��。在防火墻代理器340允許訪問時�����,防火墻代理器340可轉發(fā)(允許)客戶機OS 310與目標服務器170之間的業(yè)務���。防火墻代理器340基于訪問控制信息在不允許客戶機OS 310請求的訪問類型時����,可拒絕客戶機OS 310訪問目標服務器170的資源�����。防火墻代理器340拒絕訪問時,防火墻代理器340可通知客戶機OS 310訪問被拒絕��。防火墻代理器340還可向客戶機OS 310傳送消息��,以解釋為什么拒絕訪問(例如��,客戶機OS 310沒有安 裝用于訪問目標服務器170的策略所要求的防病毒軟件的正確版本)����。在另ー個實現(xiàn)方式中,防火墻代理器340還可使客戶機OS 310改為連接到強制網(wǎng)絡門戶(captive portal)�。強制網(wǎng)絡門戶可允許客戶機OS 310的用戶針對防火墻代理器340采取補救措施,使客戶機OS 310采用訪問請求中請求的訪問類型����。在其他實現(xiàn)方式中�����,環(huán)境100除允許或拒絕客戶機OS 310訪問之外還可提供其他服務�,或者,提供其他服務而不允許或拒絕訪問客戶機0S310�����。例如,來自客戶機OS 310的客戶機信息可包括入侵檢測類型���。入侵檢測類型由干與客戶機OS 310相連接而可提供關于何種類型攻擊應被預期到的前后關系信息����。在另ー個示例中�,客戶機信息可包括服務質量(QoS)的類型?�?舍槍εc客戶機OS 310相關聯(lián)的業(yè)務提供QoS的類型�����。圖6是用于提供訪問控制信息的示例過程600的流程圖��。在一個實現(xiàn)方式中���,策略引擎服務器150可執(zhí)行過程600���。在另ー個實現(xiàn)方式中,可由與策略引擎服務器150分離的或與其結合的裝置來執(zhí)行過程600中的全部或一部分�����。過程500的框510-550可在過程600之前。如圖6所示�����,過程600可包括接收客戶機信息(框610)����。例如,代理器330可用作VM服務器130的管理程序320中的唯一代理器��,用于從可訪問目標服務器170的所有客戶機OS 310收集信息�。代理器330可搜索客戶機OS 310,以獲得每個客戶機OS 310對應的客戶機信息����。代理器330可將客戶機信息傳送給策略引擎服務器150。策略引擎服務器150可從代理器330接收客戶機信息�����?����?山邮諔眯畔?框620)����。例如,代理器430可用作目標服務器170的管理程序420中的唯一代理器����,用于從所有app 410收集信息。在一個實現(xiàn)方式中�,代理器430可搜索app 410,以獲得目標服務器170上運行的應用的應用信息��?����?蛻舳搜b置110的用戶可經(jīng)由客戶機OS 310訪問由app 410提供的資源����。代理器430可將應用信息傳送給策略引擎服務器150。策略引擎服務器150可從代理器430接收客戶機信息����。可確定允許的訪問類型��,并可生成訪問控制信息(框630)�����。例如,在一個實現(xiàn)方式中�,策略引擎服務器150可基于代理器330提供的客戶機信息來確定每個客戶機OS 310的允許訪問類型(例如,客戶機OS 310可訪問目標服務器170的何種資源)�����。換句話說���,策略引擎服務器150可確定客戶機OS 310可訪問目標服務器170的何種資源(如果有的話)��。為此���,策略引擎服務器150可參照由防火墻代理器340進行的框560來執(zhí)行與如上面所述相似的過程。在一個實現(xiàn)方式中���,策略引擎服務器150可基于代理器330提供的客戶機信息和代理器430提供的應用信息來確定針對每個客戶機OS 310的允許訪問類型(例如����,客戶機OS 310可訪問的目標服務器170的何種資源)����。為了使客戶機OS 310訪問目標服務器170的不同資源,策略引擎服務器150可存儲規(guī)定客戶機OS 310和/或與客戶機OS 310關聯(lián)的用戶需要符合何種標準的不同策略�。客戶機OS 310適用的策略/標準可根據(jù)應用信息而變化�。例如,基于web的電子郵件應用的應用信息可要求試圖訪問基于web的電子郵件應用的客戶機OS 310符合防火墻已啟動的標準��。在另ー個示例中�����,網(wǎng)絡服務的應用信息可要求訪問網(wǎng)絡服務的客戶機OS 310符合策略引擎服務器150存儲的����、已安裝特定防病毒軟件的策略/標準。策略引擎服務器150可通過確定客戶機信息和/或應用信息是否符合策 略來檢查客戶機OS 310是否可訪問目標服務器170的資源��。策略引擎服務器150可基于根據(jù)策略可訪問目標服務器170的何種資源來針對客戶機0S310生成訪問控制信息�����?����?山邮赵L問控制信息的請求(框640)。例如��,在一個實現(xiàn)方式中���,策略引擎服務器150生成訪問控制信息之后���,策略引擎服務器150可存儲訪問控制信息,并等待傳送訪問控制信息���,直到從執(zhí)行器160接收到請求��。執(zhí)行器160可在客戶機OS 310嘗試訪問目標服務器170的資源時從客戶機OS 310接收/攔截業(yè)務�����。執(zhí)行器160可確定執(zhí)行器160是否具有針對客戶機OS 310的訪問控制信息�����。如果沒有�����,執(zhí)行器160可生成請求����,以獲取針對客戶機OS 310的訪問控制信息。執(zhí)行器160可將獲取訪問控制信息請求傳送給策略引擎服務器150��。策略引擎服務器150可響應于該請求而將訪問控制信息傳送給執(zhí)行器160����。在另ー個實現(xiàn)方式中�,策略引擎服務器150在將訪問控制信息傳送給執(zhí)行器160之前可不等待接收訪問控制信息請求。在又一個實現(xiàn)方式中���,策略引擎服務器150可存儲客戶機信息和應用信息����,直到從執(zhí)行器160接收了請求�����。策略引擎服務器150可僅在接收到請求(框640)之后確定允許何種訪問類型�,并生成訪問控制信息(框630)?�?蓚魉驮L問控制信息��,或可對執(zhí)行器進行配置(框650)。例如�,在一個實現(xiàn)方式中,策略引擎服務器150響應于獲取訪問控制信息的請求可找到與客戶機OS 310(其與請求相關聯(lián))相關聯(lián)的訪問控制信息�����。策略引擎服務器150可將找到的訪問控制信息傳送給執(zhí)行器160�。在另ー個實現(xiàn)方式中,在策略引擎服務器150剛一生成針對客戶機OS 310的訪問控制信息之后��,策略引擎服務器150就可將訪問控制信息傳送給執(zhí)行器160��。執(zhí)行器160可從策略引擎服務器150接收訪問控制信息���。執(zhí)行器160可基于訪問控制信息確定是否允許客戶機OS 310訪問目標服務器170的資源�。在另ー個實現(xiàn)方式中��,策略引擎服務器150可基于訪問控制信息配置執(zhí)行器160����。策略引擎服務器150可在不從執(zhí)行器160接收訪問控制信息請求的情況下,或在接收之后��,對執(zhí)行器160進行配置�。為了配置執(zhí)行器160�,策略引擎服務器150可規(guī)定執(zhí)行器160何時(是否)應允許客戶機OS 310訪問目標服務器170的資源����。如果執(zhí)行器160允許訪問,則執(zhí)行器160可在客戶機OS 310與目標服務器170的資源之間傳送業(yè)務���。
在另ー個實現(xiàn)方式中���,執(zhí)行器160可提供協(xié)調強制(coordinated enforcement)�����。訪問控制信息可規(guī)定客戶機OS 310—次可訪問目標服務器170的何種資源�����。執(zhí)行器160可基于訪問控制信息在客戶機OS 310已訪問一個資源時拒絕其訪問另ー個資源��。例如��,客戶機OS 310可訪問提供合法文件的目標服務器170的資源�����。在客戶機OS 310正在訪問提供合法文件的資源的同時,執(zhí)行器160可拒絕客戶機OS 310訪問外部網(wǎng)絡資源(例如�����,以防止數(shù)據(jù)傳送到外部資源��、降低在訪問目標170的同時惡意改變代理器330的保密布置的風險等)����。實現(xiàn)方式的前述說明提供了圖解和描述,但并不意在窮舉或將本發(fā)明限于所公開的確定形式�。可借鑒上述教導或可從本發(fā)明的實踐獲得修改和變化��。例如���,盡管關于圖5和圖6已描述了一系列框����,但在其他實現(xiàn)方式中�,可改變對框的順序。在一個示例中�,可在為獲得客戶機信息而搜索客戶機OS(框540)之后傳送VM的表示法(框530)。在另ー個示例中�����,可在確定允許的訪問類型(框560)之前接收訪問請求(框570)。此外��,可并行執(zhí)行獨立框�����。
顯而易見的是�,上述示例方面可在附圖所示的實施方式中以軟件、固件和硬件的多種不同形式來實現(xiàn)��。用于實施這些方面的實際軟件代碼或專用控制硬件不應理解為限制�。因此�,對這些方面的操作和動作進行說明時沒有采用特定軟件代碼——應理解的是,軟件和控制硬件可設計為基于本文的說明來實現(xiàn)這些方面����。雖然權利要求中引用了且/或說明書中公開了特征的特定組合,這些組合并非意在限制本發(fā)明的公開����。實際上,這些特征中的許多可以權利要求中沒有明確引用和/或說明書中沒有明確公開的方式進行組合��。雖然下列每項從屬權利要求可直接僅從屬于另ー個權利要求,本發(fā)明的公開包括每個從屬權利要求與權利要求集內的每個其它權利要求組
ロ ο本申請中使用的元件�����、動作或指令不應理解為本發(fā)明是關鍵的或必不可少的�����,除非另有明確說明���。另外�,本文使用的冠詞“a”意在包括ー個或多個項目���。僅指代一個項目吋�,使用術語“ー個”或類似術語����。進一歩,短語“基于”用于表示“至少部分基干”��,除非另有明確表述��。
權利要求
1.ー種方法,包括 計算機裝置接收來自客戶端裝置的實例請求��;以及 所述計算機裝置響應于所述實例請求而運行虛擬機(VM)服務器的第一客戶機操作系統(tǒng)(OS)�; 所述計算機裝置的代理器捜索第一客戶機OS,以獲得第一信息�����,并搜索所述VM服務器的一個或多個其他客戶機操作系統(tǒng)���,以獲得其他信息�; 所述計算機裝置基于所述第一信息確定是否符合第一標準�����;以及 在符合所述第一標準時所述計算機裝置允許所述第一客戶機OS訪問目標服務器的資源�。
2.根據(jù)權利要求I所述的方法,其中�����,所述第一信息包括所述第一客戶機OS的健康信息��、所述第一客戶機OS的當前活動信息或與所述第一客戶機OS相關聯(lián)的用戶的身份信息中的至少ー個�����。
3.根據(jù)權利要求I所述的方法����,其中,捜索所述VM服務器的所述第一客戶機OS以獲得所述第一信息包括以下步驟中的至少ー個 掃描與所述第一客戶機OS相關聯(lián)的存儲器����, 在所述第一客戶機OS上進行病毒掃描,或 測試所述第一客戶機OS的防火墻���。
4.根據(jù)權利要求I所述的方法���, 其中,所述ー個或多個其他客戶機操作系統(tǒng)包括第二客戶機OS���, 其中�����,所述其他信息包括所述第二客戶機OS的第二信息�����,以及 其中��,所述方法進ー步包括 所述計算機裝置確定所述第二信息是否符合所述第一標準�;以及在所述第二信息符合所述第一標準時允許所述第二客戶機OS訪問所述目標服務器的資源。
5.根據(jù)權利要求I所述的方法����,其中,允許所述第一客戶機OS訪問所述目標服務器的資源包括 從所述第一客戶機OS接收業(yè)務����;以及 在符合所述第一標準時將所述業(yè)務傳送給所述目標服務器的資源,其中��,所述目標服務器的資源是專用網(wǎng)絡的接入點��。
6.根據(jù)權利要求I所述的方法��,其中���,基于所述第一信息確定是否符合所述第一標準的步驟包括 將所述第一信息傳送至策略引擎�����;以及 從所述策略引擎接收訪問控制信息,其中,所述訪問控制信息指示是否允許第一實例訪問所述目標服務器的資源�。
7.根據(jù)權利要求I所述的方法,進ー步包括 接收與在所述目標服務器上運行的應用有關的應用信息���,其中��,進ー步基于所述應用信息來確定是否符合所述第一標準���。
8.根據(jù)權利要求I所述的方法, 其中�����,所述代理器在所述VM服務器的管理程序內運行�,其中,所述方法進ー步包括 所述代理器接收所述第一客戶機OS內的特定變化的通知�����, 響應于所述通知����,捜索所述第一客戶機OS,以獲得更新的第一信息�,以及 所述計算機裝置基于所述更新的第一信息確定是否符合所述第一標準�。
9.ー種方法��,包括 計算機裝置從第一虛擬機(VM)服務器的第一代理器接收針對所述第一 VM服務器的客戶機操作系統(tǒng)(OS)的客戶機信息�����,其中�����,所述第一代理器收集來自所述客戶機OS的所述客戶機信息以及來自所述第一 VM服務器的一個或多個其他客戶機操作系統(tǒng)的其他客戶機信息��; 所述計算機裝置從第二 VM服務器的第二代理器接收針對所述第二 VM服務器的實例的應用信息; 所述計算機裝置基于所述客戶機信息和所述應用信息來確定允許所述客戶機OS訪問所述第二 VM服務器的實例的訪問類型���; 所述計算機裝置基于確定的所述訪問類型生成訪問控制信息�;以及 所述計算機裝置向執(zhí)行器提供所述訪問控制信息���。
10.根據(jù)權利要求9所述的方法��, 其中�����,所述第二代理器從所述第二 VM的實例收集所述應用信息���,并從所述第二 VM的一個或多個其他實例收集其他應用信息,以及 其中���,所述執(zhí)行器基于所述訪問控制信息允許或拒絕在所述客戶機OS與目標之間進行業(yè)務傳送����。
11.根據(jù)權利要求9所述的方法��,其中��,提供所述訪問控制信息包括 從所述執(zhí)行器接收所述訪問控制信息的請求�����,以及 響應于所述請求將所述訪問控制信息傳送至所述執(zhí)行器����。
12.根據(jù)權利要求11所述的方法,其中����,傳送所述訪問控制信息包括 在接收所述請求之前,儲存與客戶機OS的標識符相關聯(lián)的所述客戶機信息或所述訪問控制信息�, 在接收所示請求之后����,基于所述請求確定所述客戶機OS的標識符,其中���,所述請求包括所述標識符�, 響應于所述請求�����,基于所述標識符確定針對所述客戶機OS的所述訪問控制信息����,以及 將確定的所述訪問控制信息傳送至所述執(zhí)行器。
13.根據(jù)權利要求11所述的方法���,其中����,所述執(zhí)行器響應于從所述客戶機OS接收業(yè)務而傳送針對所述訪問控制信息的請求��。
14.根據(jù)權利要求9所述的方法��,其中����,所述客戶機信息包括以下內容的至少其中之 與所述客戶機OS相關聯(lián)的客戶端的身份信息��, 關于所述客戶機OS上安裝的防病毒軟件的防病毒信息��, 所述客戶機OS的安全設置,或 所述客戶機OS的補丁等級�����。
15.—種系統(tǒng),包括虛擬機(VM)服務器�����,包括 兩個或多個客戶機操作系統(tǒng)�,以及 所述VM的代理器,用于從所述兩個或多個客戶機操作系統(tǒng)收集信息���;以及 策略引擎服務器�,用干 從所述代理器接收所述信息�, 基于所述信息生成針對所述兩個或多個客戶機操作系統(tǒng)中的第一客戶機OS的訪問控制信息,其中���,所述訪問控制信息指示是否允許所述第一客戶機OS訪問目標�,以及 基于所述訪問控制信息配置執(zhí)行器,其中���,所述執(zhí)行器允許或拒絕所述第一客戶機OS訪問所述目標���。
16.根據(jù)權利要求15所述的系統(tǒng),其中����,所述VM服務器進一歩包括 管理程序,用干 從客戶端裝置接收實例請求�����, 響應于所述實例請求而生成所述第一客戶機OS���,以及 管理所述兩個或多個客戶機操作系統(tǒng)和所述代理器���。
17.根據(jù)權利要求15所述的系統(tǒng), 其中���,所述策略引擎服務器進ー步用于儲存ー個或多個策略��,以及 其中����,所述ー個或多個策略規(guī)定了訪問所述目標的要求。
18.根據(jù)權利要求17所述的系統(tǒng)�����, 其中�����,所述信息包括所述第一客戶機OS的健康信息���,以及 其中,生成所述訪問控制信息時���,所述策略引擎服務器用于 確定所述健康信息是否符合所述要求���,以及 在所述健康信息符合要求時,在所述訪問控制信息中指出允許所述第一客戶機OS訪問所述目標�。
19.根據(jù)權利要求15所述的系統(tǒng), 其中����,所述目標包括第二 VM服務器����,以及 其中���,所述第二 VM服務器包括 所述第二 VM的ー個或多個實例����,允許所述兩個或多個客戶機OS訪問應用或網(wǎng)絡服務���,以及 第二代理器���,用于從所述第二 VM中的一個或多個實例收集應用信息。
20.根據(jù)權利要求19所述的系統(tǒng)�, 其中,所述策略引擎服務器進ー步用于從所述第二代理器接收所述應用信息��,以及 其中�,進ー步基于所述應用信息生成所述訪問控制信息。
全文摘要
一種系統(tǒng)����,包括虛擬機(VM)服務器和策略引擎服務器��。VM服務器包括兩個或多個客戶機操作系統(tǒng)和代理器��。代理器被配置成從兩個或多個客戶機操作系統(tǒng)收集信息��。策略引擎服務器被配置成從代理器接收信息��;基于該信息生成針對兩個或多個客戶機操作系統(tǒng)中的第一個客戶機OS的訪問控制信息�����;基于該訪問控制信息配置執(zhí)行器�����。
文檔編號G06F21/20GK102682242SQ20111025894
公開日2012年9月19日 申請日期2011年9月2日 優(yōu)先權日2011年3月18日
發(fā)明者克里希納·納拉亞納斯瓦米, 史蒂文·馬爾姆斯科格, 羅格·A·希克林 申請人:叢林網(wǎng)絡公司