技術領域

本發明涉及提供安全邊界，尤其是在數據中心中提供安全邊界。

背景技術

數據中心管理員面對在維護可接受的電源、硬件和空間要求的同時還要滿足數據中心的數據要求的富有挑戰性的任務。通常，為了將支出最小化，管理員提高數據中心內的服務器的應用密度。應用密度是一種對在單個物理計算機上執行的應用的數量的度量。通過增加在每臺物理計算機上運行的應用的數量，可將支持數據中心操作所需的服務器的數量最小化。

為了提高數據中心內的應用密度，管理員還可以利用虛擬機(VM)。虛擬機可以通過使多個虛擬機共享一臺機器的物理資源來提高應用密度。然而，出于各種理由，在相同的VM內執行兩個不同的應用并不總是可能的。例如，由于安全考慮可能不期望兩個不同的應用在相同的VM內執行。作為另一個示例，在相同的VM上執行的兩個不同的應用在嘗試訪問相同資源時可能沖突。

為了使兩個潛在沖突的應用在相同的計算機上執行，為每個應用執行一個單獨的VM可能是有必要的。然而，由于與執行每個虛擬機相關聯的許可成本，以此方式執行多個VM可能是昂貴的。另外，當在包括大量機器的環境中操作時，例如在云環境中操作，執行多個VM的性能成本可能是顯著的。在數據中心內，每個VM通常被監控和管理。因此，操作數據中心的管理成本隨著VM的增加而提高，因為每個VM可能需要各種補丁或策略，以便以期望的方式來操作。

此處所做出的本公開正是對于這些和其他考慮事項而提出的。

發明內容

此處公開了提供安全邊界的概念和技術。通過實現此處呈現的概念和技術，可以按照提供應用之間的安全邊界的方式在相同計算機上執行多個應用。以此方式，可在相同的物理或虛擬計算機上執行以其他方式是不期望或不可能的兩個或多個應用。因此，此次公開的技術可用于減少VM的數量、以及執行不兼容或沖突應用所需的相關聯的許可費。

根據此處所呈現的一個方面，安全監視器在學習模式中執行以監控正在執行的應用所作出的應用編程接口(API)調用，從而標識該應用所使用的資源。安全監視器將每個所標識的資源的可編輯虛擬訪問控制列表(ACL)添加到安全監視器數據庫，該安全監視器數據庫可用于控制對每個所標識的系統資源的訪問，范圍從完全訪問到禁止訪問。一旦安全監視器已經標識了API調用所訪問的資源，該安全監視器允許該API調用照常繼續。

在操作實施模式中，安全監視器監控由正在執行的應用作出的API調用，以確定該應用是否被授權訪問系統資源。具體而言，當安全監視器處于實施模式時，安全監視器截取由應用作出的API調用。安全監視器隨后訪問安全監視器數據庫以確定發出請求的應用是否被授權訪問所請求的系統資源。如果安全監視器確定該應用被授權訪問所請求的系統資源，則允許該API調用照常繼續。如果安全監視器確定該應用未被授權訪問所請求的系統資源，則安全監視器拒絕應用對系統資源的訪問。系統管理員可以編輯ACL以允許被拒絕的應用訪問所請求的系統資源。

應當理解的是，此處公開的實施例可與虛擬化應用、在硬件虛擬化環境中執行的非虛擬化應用、在非虛擬化環境中執行的非虛擬化應用、以及其它類型的應用結合使用。還應當理解，上述主題也可被實現為計算機控制的裝置、計算機進程、計算系統或諸如計算機可讀存儲介質等制品。通過閱讀下面的詳細描述并審閱相關聯的附圖，這些及各種其他特征將變得顯而易見。

提供本發明內容以便以簡化的形式介紹將在以下具體實施方式中進一步描述的一些概念。本發明內容并不旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在將本概述用來限制所要求保護的主題的范圍。此外，所要求保護的主題不限于解決在本發明的任一部分中提及的任何或所有缺點的實現。

附圖說明

圖1是示出其中可實現此處所公開的主題的各方面的合適的計算環境的示例的計算機軟件體系結構圖；

圖2是示出在此處提供的學習模式中操作的用于根據此處所呈現的各種實施例提供安全邊界的安全監視器的各方面的計算機軟件體系結構圖；

圖3是示出根據此處所呈現的各種實施例在運行時的實施模式中操作的安全監視器的各方面的計算機軟件體系結構圖；

圖4是示出用于在安全監視器處于學習模式時監控系統資源訪問的此處提供的一個說明性例程的各方面的流程圖；

圖5是示出用于安全監視器在實施模式中操作時監控系統資源訪問的此處提供的一個說明性例程的各方面的流程圖；以及

圖6是示出能夠實現本文所呈現的實施例的各方面的計算系統的說明性計算機硬件和軟件體系結構的計算機體系結構圖。