背景技術

安全信息和事件管理(SIEM)技術提供了對由網絡硬件和應用產生的安全警報的 實時分析。SIEM技術可以檢測對于計算網絡的可能的威脅。這些可能的威脅可以從 對安全事件的分析而確定。

附圖說明

以下詳細說明參考附圖，其中：

圖1是根據一個示例的能夠基于確定的安全問題選擇性地禁用集群的節點并 且啟用對集群的替代節點的計算系統的方框圖；

圖2是根據一個示例的能夠因安全問題而使得集群的節點被禁用并且使得另 一節點被加載以替代被禁用的節點的裝置的方框圖；

圖3是根據一個示例的基于確定安全問題存在而使得集群的節點被禁用并且 啟用替代節點的方法的流程圖；

圖4是根據一個示例的用于識別與安全問題相關聯的集群的節點的方法的流 程圖；以及

圖5是根據一個示例的安全管理器的方框圖。

具體實施方式

安全信息/事件管理(SIM或SIEM)系統通常關心從網絡和聯網裝置采集反映 了網絡活躍性和/或裝置的運行的數據并且分析數據以增強安全性。例如，可以分 析數據以識別對網絡或聯網裝置的攻擊并且確定哪個用戶或機器負責。如果攻擊 正在進行，可以執行對策以阻礙攻擊或者減緩由攻擊引起的損害。可以采集的數 據可以來源于由聯網裝置產生的消息(例如事件、警報、警告等)或者日志文件 中的條目。示例性的聯網裝置包括防火墻、入侵檢測系統、服務器等。在一個示 例中，每個消息或日志文件(“事件”)可以存儲以便未來使用。存儲的事件可 以以各種方式組織。

在互聯網和/或其他網絡上存在許多基于互聯網協議(IP)地址的裝置。這些 裝置中的許多裝置可以具有執行的惡意代碼。應該針對任何惡意行為而細察從任 意潛在的惡意裝置至企業的流量。此外，來自這些裝置的攻擊模式的種類以及這 些裝置可以利用的漏洞可以在大范圍上改變。SIEM技術可以識別大范圍的風險和 /或利用(exploit)。

云計算是對來自遠程位置并且在網絡之上可訪問的計算資源的使用。同樣， 用戶可以購買和/或另外使用資源本身而不是每個硬件部件以及相關聯的平臺軟 件。同樣，用戶可以購買需要的資源。云系統可以使用聯網計算機的集群而實施。 云計算中心應該是安全的。然而，可能難以確定哪些機器具有安全問題。

因此，在此公開的各個實施例涉及通過監控與應用和其上運行各個應用的機 器相關的安全事件來保護云應用。在一個示例中，應用是除了用于操作節點的程 序之外的可以由節點執行的程序。應用可以包括可以在互聯網之上提供向其他裝 置提供的服務。監控安全事件可以用于通過主動地對受損機器采取動作并不允許 由攻擊者進一步訪問機器來防止云中的數據的受損。其也可以用于非云環境，其 中備用機器在環境中的一個或多個機器受損的情況下可用于熱部署。

此外，采用在此描述的方案，應用的可用性不用受干擾，因為可以在明顯檢 測到安全問題之后重復利用受損的機器。此外，環境中的新機器可以被產生以平 衡受到使得受損節點不可用的影響的負載。

可以增強安全管理器以理解使用虛擬機(節點)的集群來負載平衡和/或縮放 的各種應用的云部署。如果節點的安全性受損，可以停用該節點并啟用新節點。 在一些示例中，新節點可以具有新的互聯網協議地址并且可以免受感染。額外地 或備選地，安全管理器可以使得隔離感染節點并且監控活躍性以理解安全問題的 影響。在影響研究之后可以停用節點。

圖1是根據一個示例的能夠基于所確定的安全問題選擇性地禁用集群的節點 并啟用對集群的替代節點的計算系統的方框圖。系統100可以包括經由通信網絡 106與集群104通信的安全管理器102。集群可以包括節點108a－108n、集群管理 器110、負載平衡器112及其組合等。此外，通信網絡106可以包括一個或多個路 由器114，網絡交換機等。在某些示例中，安全管理器102、節點108a－108n、集 群管理器110和/或負載平衡器112可以是計算裝置，諸如服務器、客戶端計算機、 臺式計算機、移動計算機、工作站等。在其他實施例中，裝置可以包括專用機器。 在一些示例中，可以經由處理元件、存儲器、指令和/或其他部件實施一個或多個 裝置。