本发明专利技术涉及在云环境中自动分发安全规则的非侵入性方法和设备。该方法包括:形成应用的在云环境中的复合应用模型,所述复合应用模型至少包括用于部署所述应用的各种服务器的类型;产生所述各种服务器在云环境中的拓扑模型;基于所述应用的应用上下文、所述复合应用模型和所述拓扑模型,自动生成各服务器的服务器侧防火墙要采用的安全规则;以及基于所述复合应用模型和拓扑模型,将所述安全规则分发到每个服务器侧防火墙。
【技术实现步骤摘要】
本专利技术一般地涉及网络安全领域。更具体地说,本专利技术涉及一种在云环境中自动分发(和更新)安全规则的非侵入性方法和设备。
技术介绍
随着计算机和互联网技术的发展,诸如互联网购物的Web应用已经普及,客户机侧脚本(如JavaScript)通常在这些应用中被用于改进用户体验。然而,伴随的安全问题却日益严重。目前,Web应用的安全性弱点的数量正在迅速增加。网络应用容易受到包括跨站脚本攻击(XSS)、跨站请求欺骗(CSRF)、SQL注入、LDAP注入、命令注入、PHP注入等的攻击。统计显示90%的站点容易受到网络应用攻击。例如,XSS攻击是网络应用攻击的典型例子。XSS攻击是指攻击者把恶意脚本嵌入在看似来自可信任源的链接中,从而当一用户点击该链接时,嵌入的恶意脚本被发送到该用户的客户机进行执行,例如来偷取该用户的敏感信息。当与异步的JavaScript和XML(AJAX) 一起使用时,XSS攻击能够在不对新网页进行刷新的情况下以受害人的名义进行恶意请求,这使得这种攻击更加的隐蔽和危险。上述的其它恶意攻击与XSS攻击基本类似,都是通过向Web应用服务器注 入恶意代码或脚本进行攻击,在此不进行详细描述。为了防止这种攻击,需要在Web应用服务器(例如WebSphere ApplicationServer, WAS)侧验证用户的输入(例如,HTTP请求)。作为应用于Web应用服务器侧的透明保护机制的Web应用防火墙(WAF-Web Application Firewall)被配置用来进行这种验证。该Web应用防火墙至少具有以下功能基于预定义的安全规则来验证用户的输入;对于违反安全规则的用户输入,采取适当的安全保护动作,例如,阻挡IP、拒绝请求、产生日志或重与有效负荷等。对于服务器-客户机模式,只需简单地对应用于Web应用服务器侧的Web应用防火墙设置安全规则。然而,在云环境中,由于多样的配置和部署,提供针对注入xss、SQL注入等的应用安全防护变得更加复杂。在云环境中,对于应用的部署,存在多样和动态的拓扑结构I)基于定义的复合应用模型,每个应用可被部署在多个服务器上;2)在构建时,对于一个应用的安全规则应该被应用于部署该应用的所有服务器。图1示出了在云环境中的应用被部署在多个服务器中的情况的例子。在现有技术中,在云环境中需要对部署了同一应用的每个服务器单独配置安全规贝U,这是非常麻烦且耗时的。
技术实现思路
基于上述技术问题,需要一种能够在云环境中简化管理者对各个服务器进行安全规则配置的有效方法和设备。本专利技术的方法和设备能够自动生成用于应用的安全规则并将其分发到部署该应用的多个服务器,从而满足多样的云环境中的复杂性要求。对于部署的应用,无须进行代码修改,从而对于已有的应用是透明的。本专利技术的方法和设备能够减轻针对多个服务器配置安全规则的负担。为了解决上述问题,根据本专利技术的一个实施例,提供了一种在云环境中自动分发安全规则的非侵入性方法,包括以下步骤形成应用的在云环境中的复合应用模型,所述复合应用模型至少包括用于部署所述应用的各种服务器的类型;产生所述各种服务器在云环境中的拓扑模型;基于所述应用的应用上下文、所述复合应用模型和所述拓扑模型,自动生成各服务器的服务器侧防火墙要采用的安全规则;以及基于所述复合应用模型和拓扑模型,将所述安全规则分发到每个服务器侧防火墙。根据本专利技术的另一个实施例,提供了一种在云环境中自动分发安全规则的非侵入性设备,包括复合应用模型形成装置,用于形成应用的在云环境中的复合应用模型,所述复合应用模型至少包括用于部署所述应用的各种服务器的类型;拓扑模型产生装置,用于产生所述各种服务器在云环境中的拓扑模型;安全规则生成装置,用于基于所述应用的应用上下文、所述复合应用模型和所述拓扑模型,自动生成各服务器的服务器侧防火墙要采用的安全规则;以及安全规则分发装置,用于基于所述复合应用模型和拓扑模型,将所述安全规则分发到每个服务器侧防火墙。此外,在另一个实施例中,基于从Web应用防火墙提供的反馈信息,能够对安全规则进行更新,并将更新的安全规则再次分发到所述多个服务器,从而适用于云环境中的多样和动态的拓扑结构。采用该技术方案,如果在运行时在一个服务器中发现了弱点,则可将防护该弱点的规则快速分发给部署了同一应用的所有服务器。附图说明以下通过结合附图阅读参考下述对说明性实施例的详细描述,将更好地理解本专利技术本身、实施方式、其它目的及其优点。在附图中图1示出了在云 环境中的应用被部署在多个服务器中的情况的例子;图2是示意性地示出应用、复合应用模型以及拓扑模型之间的映射关系的说明图;图3示意性地示出了应用服务器防火墙在系统中的位置;图4示出了一个HTTP请求的例子;图5是示出了根据本专利技术的一个实施例的方法流程500的流程图;图6示出了根据本专利技术的另一个实施例的方法流程600 ;以及图7是示出了根据本专利技术的一个实施例的在云环境中自动分发安全规则的非侵入性设备700的框图。图8表示根据本专利技术一实施例的云计算节点。图9表示根据本专利技术一实施例的云计算环境。图10表示根据本专利技术一实施例的抽象模型层。现在参照附图描述优选方法和系统,其中,在附图中相同的附图标号用来指相同的部件。在下面的描述中,为了解释的目的,阐述大量特定的细节,以便帮助完全了解系统及方法等。在其它的例子中,为了简化描述,以框图的形式示出常用的结构和装置。对于本领域技术人员来说,可以想到很多修改和其它实施例,同时拥有在说明书和附图中所教导的益处。因此,应该理解,本专利技术不局限于所公开的特定实施例,另外可选的实施例应当包含在本专利技术的范围和范例专利技术构思内。虽然本文采用了一些特定术语,但是仅仅为了一般的描述意义而非限制目的使用它们。具体实施例方式以下将参照附图对本专利技术的具体实施方式进行详细说明。在以下的说明中,首先,对本公开中使用的关键术语进行描述。下列讨论中,提供大量具体的细节以帮助彻底了解本专利技术。然而,很显然对于本领域技术人员来说,即使没有这些具体细节,并不影响对本专利技术的理解。并且应该认识到,使用如下的任何具体术语仅仅是为了方便描述,因此,本专利技术不应当局限于只用在这样的术语所表示和/或暗示的任何特定应用中。首先应当明白,尽管本公开包括关于云计算的详细描述,本公开所记载的技术方案的实现却不限于云计算环境。本专利技术的实施例能够结合现在已知的或以后开发的任何其它类型的计算环境而实现。云计算是一种服务交付模型,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源例如是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务,是以最小的管理成本或者最少的与服务提供者的交互就能快速提供和释放的资源。这种云模型可以包括至少五个特征,至少三个服务模型和至少四个部署模型。特征如下按需自助式服务云消费者能单方面自动地按需提供计算能力,诸如服务器时间和网络存储,而无需与服务提供者进行人工交互。 广泛的网络接入云计算能力可在网络上获取,并且是通过标准机制获取的,标准机制促进通过不同种类瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。资源池将提供者的计算资源归入资源池,通过多租户(munt1-tenant)模式服务于多重消费者,不同的实体资源本文档来自技高网...
【技术保护点】
一种在云环境中自动分发安全规则的非侵入性方法,包括以下步骤:形成应用的在云环境中的复合应用模型,所述复合应用模型至少包括用于部署所述应用的各种服务器的类型;产生所述各种服务器在云环境中的拓扑模型;基于所述应用的应用上下文、所述复合应用模型和所述拓扑模型,自动生成各服务器的服务器侧防火墙要采用的安全规则;以及基于所述复合应用模型和拓扑模型,将所述安全规则分发到每个服务器侧防火墙。
【技术特征摘要】
1.一种在云环境中自动分发安全规则的非侵入性方法,包括以下步骤 形成应用的在云环境中的复合应用模型,所述复合应用模型至少包括用于部署所述应用的各种服务器的类型; 产生所述各种服务器在云环境中的拓扑模型; 基于所述应用的应用上下文、所述复合应用模型和所述拓扑模型,自动生成各服务器的服务器侧防火墙要采用的安全规则;以及 基于所述复合应用模型和拓扑模型,将所述安全规则分发到每个服务器侧防火墙。2.根据权利要求1所述的方法,其中,所述应用的应用上下文包括在struts,xml或web. xml文件中。3.根据权利要求1所述的方法,其中,所述安全规则被所述服务器侧防火墙用来验证用户针对该服务器侧防火墙所保护的服务器的输入。4.根据权利要求1所述的方法,其中,自动生成各服务器的服务器侧防火墙要采用的安全规则还基于用户输入的安全级别。5.根据权利要求1所述的方法,还包括 从各服务器侧防火墙接收关于安全规则违反或异常的反馈信息; 基于所述反馈信息更新所述安全规则;以及 将更新的安全规则分发到每个服务器侧防火墙。6.根据权利要求5所述的方法,其中,更新所述安全规则是定期地执行的。7.根据权利要求5或6所述的方法,其中,基于所述反馈信息更新所述安全规则包括 基于所述反馈信息重新形成所述应用在云环境中的复合应用模型以及产生所述各种服务器在云环境中的拓扑模型;以及 基于所述反馈信息、所述应用的应用上下文、重新形成的复合应用模型和重新产生的拓扑模型,更新所述安全规则。8.根据权利要求1所述的方法,其中,所述拓扑模型至少包括各服务器的IP地址。9.根据权利要求1所述的方法,还包括针对所述应用设置缺省安全规则,并且 其中,自动生成各服务器的服务器侧防火墙要采用的安全规则包括对所述缺省安全规则进行修改。10.一种在云环境中自动分发安全规则的非侵入性设备,包括 复合应用模型形成装置,用于形成应用的在...
【专利技术属性】
技术研发人员:张煜,易立,高波,兰灵,史蒂文,梅杰森,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。