[发明专利]用于利用虚拟机包裹应用来防止数据丢失的系统和方法

说明书

技术领域

本公开概括来说涉及安全性的领域，更具体而言涉及在虚拟环境中防止数据丢失。

背景技术

网络安全性的领域在当今的社会中已变得越来越重要了。尤其，有效地保护计算机、系统和存在于这样的计算机和系统上的数据的能力对于组件制造商、系统设计者和网络运营者成为了严重障碍。由于持续发展的安全性威胁，使得此障碍更加困难了。虚拟化是一种软件技术，其允许一完整的操作系统在隔离的虚拟环境(通常称为虚拟机)上运行，在该处平台的物理特性和行为被再现。虚拟化还可支持在虚拟机内执行单个应用。虚拟机可代表配备有虚拟硬件(处理器、存储器、盘、网络接口等等)的隔离虚拟环境(位于主机操作系统(OS)上面或者仅仅在硬件上运行)。通常，虚拟机由虚拟化产品来管理。虚拟机监视器(VMM)通常是管理来自访客OS的硬件请求(例如，模拟来自真实硬件的应答)的虚拟化软件层。超级监督者(hypervisor)通常是允许多个操作系统同时在主机计算机上运行的计算机软件/硬件平台虚拟化软件。应用代表了虚拟环境中的独特挑战，因为它们可很容易被操纵以便感染给定的计算机系统。安全性专业人员和网络管理员应当考虑这些问题以便保护计算机和系统抵御新兴的安全性威胁。

附图说明

为了提供对本公开及其特征和优点的更完整理解，参考以下结合附图来理解的描述，附图中相似的标号表示相似的部件，其中：

图1是根据一个实施例的用于利用虚拟机包裹应用(virtual machinewrapped application)来防止数据丢失的系统的简化框图；

图2是用于利用虚拟机包裹应用来防止数据丢失的系统的示例性实施例的简化框图；

图3是示出根据一个实施例的与该系统相关联的一系列示例性步骤的简化流程图；并且

图4是示出根据另一实施例的与该系统相关联的一系列示例性步骤的简化流程图。

具体实施方式

概述

一个示例性实现方式中的方法包括选择至少一个标准以用于控制从虚拟机内的数据传送。至少一个应用被包括在该虚拟机内并且虚拟机包括策略模块。所选标准对应于与该策略模块相关联的至少一个策略。该方法还包括评估该策略的所选标准以许可对于从该虚拟机内传送数据的尝试。在更具体的实施例中，该策略包括多个所选标准，其中包括许可传送数据到第一其他应用的第一所选标准和禁止传送数据到第二其他应用的第二所选标准。在其他更具体的实施例中，如果多个用户之一的客户端设备正从受保护的网络环境内请求访问该应用，则所选标准许可传送数据到该客户端设备。在另一更具体的实施例中，该方法包括通过管理模块更新该策略模块以修改所选标准。

示例件实施例

图1是用于利用虚拟机包裹应用在虚拟环境中保护数据抵御意外和故意的泄漏的系统10的简化框图。系统10可包括多个虚拟机12、14、24和26，以及操作系统30。系统10还可包括虚拟机监视器16，该虚拟机监视器16包括存储器元件18、策略管理模块20和处理器22。存储器元件18可包含主镜像38，该主镜像38带有与在系统10内使用的软件的最新近版本相对应的存储条目。虚拟机12、14、24和26中的每一个分别包括相关联的防火墙策略模块34a、34b、34c和34d。图1中未示出的有采取存储器管理单元(MMU)、对称多重处理(SMP)元件、物理存储器、以太网、小型计算机系统接口(SCSI)/集成驱动电子电路(IED)元件等等的形式的可适当地耦合到操作系统30和虚拟机监视器16(例如在其逻辑表示下提供)的另外硬件。

在示例性实施例中，系统10把每个应用或应用的套件包裹在虚拟机内以便保护与该应用相关联的数据抵御意外和故意的泄漏。为了例示系统10的技术，理解在给定网络内发生的活动是重要的。以下基本信息可被视为一个基础，基于该基础可以适当地说明本公开。这种信息只是出于说明目的而真诚提供的，因此不应以任何方式被解释为限制本公开的宽广范围及其可能应用。