用于利用虚拟机包裹应用来防止数据丢失的系统和方法
2020-01-07

用于利用虚拟机包裹应用来防止数据丢失的系统和方法

一个示例性实现方式中的方法包括选择至少一个标准以用于控制从虚拟机内的数据传送。至少一个应用被包括在该虚拟机内,该虚拟机包括策略模块。所选标准对应于与该策略模块相关联的至少一个策略。该方法还包括评估该策略的所选标准以许可对于从该虚拟机内传送数据的尝试。在更具体的实施例中,该策略可包括多个所选标准,其中有许可传送数据到第一应用的第一所选标准和禁止传送数据到第二应用的第二所选标准。在另一具体实施例中,该方法可包括通过管理模块更新该策略模块以修改所选标准。

可在各种位置(例如中央库或IT总部)提供用于配置和维护虚拟机包裹应用和相关联的防火墙策略模块的软件。在其他实施例中,可从web服务器接收或下载此软件(例如,在为单独的网络、设备、虚拟机、服务器等等购买个体末端用户许可证的情境中),以便提供这个利用虚拟机包裹应用来防止数据丢失的系统。一旦最初已配置了虚拟机包裹应用和相关联的防火墙策略模块,则也可在各种位置(例如在防火墙策略模块34a、34b、34c和34d内)提供用于控制从网络中的虚拟机包裹应用内的数据传送的软件。在一种示例性实现方式中,此软件存在于试图要保护以抵御安全性攻击(或者要保护以抵御对数据的不想要的或未经授权的操纵)的计算机中。在更详细的配置中,此软件具体存在于虚拟机的安全性层中并且提供了虚拟机与下层的操作系统之间以及虚拟机与系统内的其他虚拟机之间的接口,这些其他虚拟机也可包括图1所示的组件(或以其他方式与这些组件相接口)。

在其他示例中,数据丢失防止软件可涉及专有元件(例如作为网络安全性认证方案的一部分),该专有元件可在这些标识出的元件中(或在其附近)提供,或者在任何其他设备、服务器、网络用具、控制台、防火墙、交换机、信息技术(IT)设备等等中提供,或者作为补充方案(例如结合防火墙)提供,或者配设在网络中的某个地方。如本说明书中这里使用的,术语"计算机"意欲涵盖可操作来在安全性环境中影响或处理电子信息的这些可能的元件(VMM、超级监督者、Xen设备、虚拟机或其他设备、网络用具、路由器、交换机、网关、处理器、服务器、负载均衡器、防火墙或任何其他适当的设备、机器、组件、元件或对象)。此外,此计算机可包括促进其操作的任何适当的硬件、软件、组件、模块、接口或对象。这可包括允许对数据的有效保护的适当算法和通信协议。此外,可按任何适当的方式来整合数据丢失防止系统。根据类似的设计替换,图1和2的任何图示的模块和组件可按各种可能的配置组合,所有这些配置都显然在本说明书的宽广范围内。

也重要的是要注意,参考前述附图描述的步骤只例示了可被系统10执行或在系统10内执行的可能场景中的一些。这些步骤中的一些在适当时可被删除或去除,或者这些步骤可以被相当大幅地修改或改变,而不脱离本公开的范围。此外,这些操作的定时可以被相当大幅地更改,而仍实现本公开中教导的结果。前述的操作流程是为了示例和论述的目的而提供的。系统10提供了很大的灵活性,因为可以提供任何适当的布置、时间顺序、配置和定时机制,而不脱离所论述的构思的教导。

施述

图4是示出根据另一实施例的与该系统相关联的一系列示例性步骤的简化流程图。

附图说明

在防火墙策略模块34a、34b、34c和34d内可使用的另一种形式的策略包括与用户从其请求访问特定应用的环境有关的策略。例如,如果用户在其物理上位于网络的安全环境内时从客户端设备(例如膝上型计算机等等)请求访问人力资源虚拟机12,则防火墙策略模块34a可执行检查以判定用户是否在安全环境内并且相应地允许访问。然而,如果用户在办公室外,例如在通勤列车上,并且因此在网络的安全环境之外,那么因为人力资源虚拟机12内的信息的机密性,防火墙策略模块34a的策略可被配置为禁止用户访问虚拟机12内的人力资源应用。从而,当用户在不那么安全的环境中时,协议可防止用户可能泄漏数据。本公开的范围意图涵盖特定的组织为了控制从其网络内的其一个或多个应用的数据泄漏而所想要的任何类型或组合的防火墙策略。这种策略包括但不限于:限制特定应用之间的数据移动的策略、依据用户的环境限制应用访问的策略、依据请求访问的当日时间或特定日限制应用访问的策略、以及限制从特定应用到特定个体或个体群组的数据移动的策略。

转到图1的基础设施,虚拟机监视器16可被实现为管理多个应用,这多个应用各自由虚拟机12、14、24和26单独包裹。在一种示例性实现方式中,虚拟机监视器16可被认为是在主操作系统30上面运行的虚拟化软件,并且多个虚拟机12、14、24和26也在现有操作系统30上面运行。然而,基于特定的环境或者根据特定的用户需求,虚拟机监视器16可被实现为超级监督者以仅仅在硬件上运行,并且每个虚拟机12、14、24和26运行其自己的操作系统。虚拟机监视器16可以是服务器、防火墙的一部分或者更一般地说是计算机的一部分。此外,以下内容是在本公开的宽广教导内的:包括策略管理模块20和主镜像38的虚拟机监视器16可位于网络的中央库(例如IT总部)中,供网络管理员直接访问以配置和维护系统。在图1中所示的一个示例性实施例中,有包裹在虚拟机12中的人力资源应用28、包裹在虚拟机14中的客户销售应用32、包括在虚拟机24中的具有多个应用的应用套件40以及包裹在虚拟机26中的Adobe®应用44。应用套件40例如可包括诸如Microsoft®Word、Excel®.和PowerPoint®之类的捆绑的软件应用。

具体实施方式