[发明专利]按需安全策略提供

说明书

提供了用于使用白名单和黑名单规则进行按需安全提供的系统、方法和计算机可读介质。包括多个网荚的网络中的系统可以在第一网荚中针对第一端点组(EPG)配置安全策略，该安全策略包括黑名单和白名单规则，该黑名单和白名单规则定义用于第一EPG与网络中的第二网荚中的第二EPG之间的通信的流量安全实施规则。该系统可以基于每个策略的相应特性，将相应隐式优先级分配给一个或多个安全策略，其中，与较不具体的策略相比，更具体的策略被分配更高的优先级。该系统可以通过在第二网荚中针对第一EPG动态提供安全策略并从第一网荚中移除安全策略，来对检测到的与第一EPG相关联的虚拟机到网络中的第二网荚的移动做出响应。

相关申请的交叉引用

本申请要求于2018年6月21日递交的美国申请No.16/014,644的优先权，其进而要求于2018年3月20日递交的美国临时专利申请62/645,429的权益，其全部内容通过引用合并于此。

技术领域

本技术涉及网络配置和安全策略提供。

背景技术

计算机网络正变得越来越复杂，经常涉及网络各层的低级和高级配置。例如，计算机网络通常包括许多接入策略、转发策略、路由策略、安全策略、服务质量(QoS)策略等，它们共同定义了网络的整体行为和操作。网络运营商具有广泛的配置选项，用于根据用户的需求定制网络。虽然可用的不同配置选项为网络运营商提供了一些灵活性和对网络的控制，但它们也增加了网络的复杂性。在许多情况下，配置过程可能变得非常复杂，并且配置策略可能难以管理，特别是在可能实现更大量的配置策略和策略修改的较大网络中。毫不奇怪，网络配置过程越来越容易出错。此外，在复杂的网络中排除错误和管理策略可能极其困难。

附图说明

为了描述能够获得本公开的上述和其他优点和特征的方式，将通过参考在附图中示出的本公开的具体实施例来对以上简要描述的原理进行更具体的描述。应当理解，这些附图仅描绘了本公开的示例性实施例，因此不应被认为是对其范围的限制，通过使用附图，以附加的特征和细节来描述和说明本文的原理，其中：

图1示出了示例网络环境；

图2示出了在图1的示例网络环境中按需提供白名单和黑名单规则的示例场景；

图3示出了用于按需提供的示例方法；

图4示出了用于按需提供的另一示例方法；

图5示出了用于定制规则优先级的示例方法；

图6示出了示例网络设备；以及

图7示出了示例计算设备。

具体实施方式

下文详细讨论了本公开的各种实施例。虽然讨论了具体实现方式，但是应当理解，这样做仅仅是为了说明的目的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以使用其他组件和配置。因此，下面的描述和附图是说明性的，而不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而，在某些情况下，没有描述公知的或常规的细节，以避免使描述不清楚。对本公开中的一个实施例或实施例的引用可以是对同一实施例或任何实施例的引用；并且，这样的引用意味着至少一个实施例。

在一个实施例中，在一些示例中包括在合同内的安全策略包括黑名单和白名单规则，该黑名单和白名单规则定义用于网络中的网荚(pod)内的端点组(EPG)之间的通信的流量安全实施，这些安全策略可以各自被分配与每个相应策略的特性相对应的优先级等级。当检测到与EPG相关联的虚拟机(VM)从一个网荚移动到另一网荚时，可以在另一网荚中自动提供安全策略。