[发明专利]基于上下文的云安全保障系统

说明书

云基础架构被增强以提供基于上下文的安全保障服务从而使能安全的应用部署。服务检查网络和云拓扑以标识潜在的安全能力和需求。优选地，这些选项随后以表示安全保障级别的易于理解、预先配置的模板向用户进行显现。当模板(例如，表示预先配置的保障级别)被用户所选择时，系统随后应用具体能力和控制以将用户所选择的一般规范(例如，“高安全”)转换为针对安全资源的具体集合的粒度要求。优选地，这些安全资源的标识基于系统配置、管理以及与预先配置的模板相关联的信息。

技术领域

本发明一般涉及在“云”计算环境中部署应用。

背景技术

一种新兴的信息技术(IT)递送模型是云计算，共享资源、软件和信息通过云计算经互联网按需要被提供至计算机和其他设备。云计算能够明显降低IT成本和复杂度，同时改善工作负载优化和服务递送。利用该方法，应用实例能够被托管并且使得其从基于互联网的资源可用，该资源可经HTTP通过常规网页浏览器进行访问。示例应用可能是能够提供一般消息功能集合的应用，诸如电子邮件、日历、联系人管理和即时通讯。用户随后将通过互联网直接访问服务。使用该服务，企业将会将其电子邮件、日历和/或合作基础架构置入云中，并且终端用户将使用适当客户端来访问他的/她的电子邮件，或者执行日历操作。

云计算资源通常被容纳在运行一个或多个网络应用的大型服务器场中，其通常使用虚拟化架构，其中应用在被映射到数据中心设施中的物理服务器上的虚拟服务器或所谓的“虚拟机”(VM)中运行。虚拟机通常在超监督者(hypervisor)顶端运行，超监督者是向虚拟机分配物理资源的控制程序。

提供基于装置或基于平台的解决方案以促进基于云的提供的快速采用和部署是本领域已知的。通常，基于云的提供被部署为云应用包。一种可以被用于该目的的这样的装置是Workload Deployer(工作负载部署器)，其基于IBM7199/9005产品族。通常，该装置直接位于许多组织使用的业务工作负载和底层云基础架构以及平台组件之间。备选地，云应用包可以使用平台即服务(PAS)基础架构(诸如Orchestrator开放式云管理平台)而被部署。这种类型的管理平台通常包括若干层(包括用于提供、配置和管理存储、计算和网络资源的基础架构服务层、平台服务层以及用以提供业务过程管理的编制服务层)。平台服务层包括虚拟机镜像生命周期管理能力以及模式服务，其中“模式”为业务服务提供部署和管理指令。模式优选地是供应和管理针对具体应用(或应用类型)工作负载的各种资源(例如，计算、网络、存储、操作系统、中间件等)所需的基础架构配置的基于可扩展标示语言(XML)的定义。

随着安全软件的部署变得越来越复杂，应用开发方被进一步从安全环境的内部工作中移除。因此，安全操作经常被留给安全专家。然而，迁移至虚拟化和私有云授予了应用开发方越来越多的操作能力。应用开发方然后发现他们自身处于困难的位置。特别地，当将应用投入生产时，开发方可能并没有必要的背景和上下文来适当地评估他的/她的应用的安全影响和需求。如今，应用开发方经常与安全专家一起工作以设计用于安全应用部署的策略。然而，安全专家可能遇到来自其他方向的相同问题。由于应用和中间件变得越来越复杂和虚拟化，安全专家可能无法完全理解应用以适当评估其安全影响和要求。

因此，需要弥合应用开发方和安全专家之间的这个知识差距，并且促进新的基于云的应用的无缝且可靠的部署。

发明内容