[发明专利]用于虚拟计算资源的部署前安全分析器服务

说明书

计算资源服务提供商的安全评估系统对诸如虚拟机实例和虚拟数据存储库实例之类的虚拟资源实例执行安全分析，以验证实例的相应配置是否满足某些不变的安全要求；在提供和部署实例之前执行这些分析。如果可以由资源的管理员选择的安全检查失败，则拒绝所请求的资源的部署。识别缺陷配置的通知可以被发送给管理用户。例如可以通过将执行检查所需要的信息存储在优化模板自身内，将用于启动虚拟资源实例的模板转换成用于执行部署前安全检查的优化模板。

相关申请的交叉引用

本申请要求于2018年3月6日提交的美国专利申请第15/913741号的优先权权益，其通过引用合并于此并且其全部内容被依赖。

背景技术

一般而言，计算设备利用通信网络或一系列通信网络来交换数据。公司和组织运营计算机网络，计算机网络将许多计算设备互连在一起以支持操作或向第三方提供服务。计算系统可以位于单个地理位置或位于多个不同的地理位置(例如，经由私有或公共通信网络互连)。具体地，数据中心或数据处理中心(在本文中通常被称为“数据中心”)可以包括多个互连的计算系统，以向数据中心的用户提供计算资源。数据中心可以是代表组织运营的私有数据中心，或者可以是代表公众或为公众利益运营的公共数据中心。

为了促进对数据中心资源的增加的利用，虚拟化技术可以允许单个物理计算设备托管一个或多个虚拟计算资源实例，例如对于数据中心用户而言作为独立计算设备出现并且运行的虚拟机。单个物理计算设备可以以动态方式创建、维护、删除或以其他方式管理虚拟资源。在一些情形下，各种虚拟机可以与操作系统或操作系统配置、虚拟化的硬件和联网资源以及软件应用的不同组合相关联，以使得物理计算设备能够提供不同的期望功能、或者更有效地提供类似的功能。

反过来，用户可以从数据中心请求计算机资源，包括单个计算设备或联网的计算设备的配置，并且用户可以被提供有不同数量的虚拟机资源。虚拟化还从虚拟机向上扩展；整个数据中心并且甚至多个数据中心可以实现具有不同容量的计算环境，例如虚拟私有网络和虚拟私有云。在硬件计算设备(诸如彼此连接以向计算资源服务提供商的用户提供虚拟计算资源和服务的服务器)的网络中，确保资源和数据的安全具有巨大的价值。可以基于许多不同的参数(例如用户凭证、资源属性、网络配置等)严格控制对资源的访问。在计算资源服务提供商的上下文中，可以使用安全策略来定义用户和资源的访问权限，所述安全策略指定是准予还是拒绝请求设备访问计算资源。网络配置还可以具有安全策略，和/或可以以其他方式具有参数，所述参数的值确定网络的安全。

访问权限可能随着时间而改变，通常需要改变受影响的安全策略。网络控制可能类似地改变。随着计算机系统或计算机网络中支持的用户数量和类型和/或可访问计算资源的数量和类型扩大，对安全策略进行管理以及验证适当地利用安全的网络配置和有效的安全策略使计算资源可用可能变得越来越困难。

附图说明

将参考附图描述各种技术，在附图中：

图1示出计算资源服务提供商的计算环境，在该计算环境中可以根据本公开来实现本系统和方法的各种实施例；

图2A至图2D示出根据本公开的示例计算环境，该示例计算环境实现在部署虚拟计算资源实例之前针对安全漏洞检查虚拟计算资源实例的示例方法的过程；

图3是用于提供并且部署虚拟计算资源的示例模板的图；

图4A是根据本公开的虚拟计算资源的部署前安全分析的示例方法的流程图；

图4B是结合图4A的方法来处理实例启动失败的示例方法的流程图；

图5A至图5B示出根据本公开的另一示例计算环境，该另一示例计算环境实现在部署虚拟计算资源实例之前针对安全漏洞检查虚拟计算资源实例的另一示例方法的过程；

图6是根据本公开的虚拟计算资源的部署前安全分析的另一示例方法的流程图；

图7是实现本公开的系统和方法的硬件计算设备的图；以及