[发明专利]用于虚拟计算资源的部署前安全分析器服务

权利要求书

1.一种系统，所述系统包括一个或多个处理器和存储计算机可执行指令的存储器，所述计算机可执行指令在由所述一个或多个处理器执行时使所述系统在使虚拟计算资源实例被部署到虚拟计算环境中之前：

识别第一虚拟资源定义，第一虚拟资源定义用于启动具有第一配置的虚拟计算资源实例；

获得第一安全检查，第一安全检查包括第一配置的一个或多个安全要求；以及

确定第一配置是否满足所述一个或多个安全要求。

2.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：

识别指定第一虚拟资源定义和第一安全检查的第一模板；

从第一模板中获得第一配置参数集合和识别第一安全检查的信息；以及

根据第一配置参数集合生成第一配置。

3.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：

接收访问计算资源的请求；

确定所述请求识别具有第一资源类型并且与第一配置相关联的第一虚拟计算资源；

确定第一安全检查与第一资源类型相关联；

获得第二配置，第二配置被预定为指示使用第二配置创建的第一虚拟资源实例是否通过第一安全检查，第一虚拟资源实例具有第一资源类型；

在计算资源被部署为第一虚拟资源实例的一部分之前，根据访问计算资源的请求，将第一配置与第二配置进行比较，以确定第一配置通过第一安全检查。

4.根据权利要求3所述的系统，其中：

第一配置包括以第一安全策略编码的第一安全许可集合；

第二配置包括以第二安全策略编码的第二安全许可集合；以及

为了将第一配置与第二配置进行比较，执行所述指令使所述系统：

至少部分地基于第一安全许可集合来确定第一命题逻辑表达式；

至少部分地基于第二安全许可集合来确定第二命题逻辑表达式；以及

将第一命题逻辑表达式与第二命题逻辑表达式进行比较，以确定第一安全策略通过第一安全检查。

5.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：

确定第一请求识别具有第二资源类型并且与第三配置相关联的第二虚拟计算资源；

获得与第二资源类型相关联的第二安全检查；

获得第四配置，第四配置被预定为指示使用第四配置创建的虚拟资源实例是否通过第二安全检查，第二虚拟资源实例具有第二资源类型；

将第三配置与第四配置进行比较，以确定第三配置没有通过第二安全检查；以及

使根据第一请求的第一虚拟资源实例和第二虚拟资源实例的部署被拒绝。

6.根据权利要求1所述的系统，其中，执行所述指令还使所述系统在确定第一配置通过第一安全检查之后：

使用第一配置来配置第一虚拟资源实例；

将第一虚拟资源实例部署到虚拟计算环境中；

在部署之后获得与第一虚拟资源实例相关联的执行数据；以及

将执行数据与第二配置进行比较，以确定第一虚拟资源实例的配置通过第一安全检查。

7.根据权利要求1所述的系统，其中，所述一个或多个安全要求对应于虚拟计算资源实例的访问许可，并且执行所述指令还使所述系统：

模拟虚拟计算环境中的网络活动；

至少部分地基于第一配置，收集描述虚拟计算资源实例对网络活动的预期响应的信息；以及

确定所述信息是否指示第一配置满足所述一个或多个安全要求。

8.根据权利要求1所述的系统，其中，执行所述指令还使所述系统：

接收部署虚拟计算资源实例的请求；

至少部分地基于请求来识别第一虚拟资源定义；

响应于确定第一配置满足所述一个或多个安全要求：

将虚拟计算资源实例配置为具有第一配置；以及

将虚拟计算资源实例部署到虚拟计算环境中；以及

在部署虚拟计算资源实例之后：

获得描述与虚拟计算资源实例相关联的网络活动的监视数据；以及

确定监视数据是否指示虚拟计算资源实例的所部署的配置满足所述一个或多个安全要求。