[发明专利]基于标签的访问控制规则的自动生成

说明书

确定一种授权管理域内的多个被管理的服务器之间的通信的访问控制规则。获得描述多个被管理的服务器之间的过往通信的通信信息。通过基于所获得的通信信息对多个被管理的服务器进行分组，来标识来自多个被管理的服务器的被管理的服务器的子集。分组级标签集被确定为与被管理的服务器的子集相关联。针对被管理的服务器的子集中的被管理的服务器确定角色标签。被管理的服务器与一个角色标签相关联。基于分组级标签集和角色标签，生成授权被管理的服务器的子集中的第一被管理的服务器与第二被管理的服务器之间的通信的访问控制规则。访问控制规则被存储为管理域范围管理策略的一部分。

技术领域

本文所描述的主题内容总体上涉及管理管理域的服务器(物理或者虚拟)的领域，并且特别地涉及根据与基于逻辑多维标签的策略模型相符的管理域范围策略来管理服务器。

背景技术

根据策略管理管理域的服务器(物理或者虚拟)。例如，安全策略可以指定访问控制和/或安全连通，而资源使用策略可以指定对监管预的计算资源(例如，磁盘和/或外设)的使用。常规策略引用物理设备并且在低级构造(比如网际协议(IP)地址、IP地址范围、子网和网络接口)方面被表达。这些低级构造使得难以用抽象和自然方式编写细粒度策略。

发明内容

通过用于确定授权管理域内的多个被管理的服务器之间的通信的访问控制规则的方法、非暂态计算机可读存储介质和系统来解决以上和其他问题。该方法的实施例包括获得描述多个被管理的服务器之间的过往通信的通信信息。该方法还包括通过基于所获得的通信信息对多个被管理的服务器进行分组，来标识来自多个被管理的服务器的被管理的服务器的子集。该方法还包括确定与被管理的服务器的子集相关联的分组级标签集。该方法还包括确定用于被管理的服务器的子集中的被管理的服务器的角色标签，被管理的服务器与一个角色标签相关联。该方法还包括基于分组级标签集和角色标签，生成授权被管理的服务器的子集的第一被管理的服务器与第二被管理的服务器之间的通信的访问控制规则。该方法还包括存储访问控制规则作为管理域范围管理策略的一部分。

介质的实施例存储由一个或多个处理器可执行以执行步骤的计算机程序模块。步骤包括获得描述多个被管理的服务器之间的过往通信的通信信息。步骤还包括通过基于所获得的通信信息对多个被管理的服务器进行分组，来标识来自多个被管理的服务器的被管理的服务器的子集。步骤还包括确定与被管理的服务器的子集相关联的分组级标签集。步骤还包括确定用于被管理的服务器的子集中的被管理的服务器的角色标签，被管理的服务器与一个角色标签相关联。步骤还包括基于分组级标签集和角色标签，生成授权被管理的服务器的子集的第一被管理的服务器与第二被管理的服务器之间的通信的访问控制规则。步骤还包括存储访问控制规则作为管理域范围管理策略的一部分。

系统的实施例包括一个或多个处理器和存储由一个或多个处理器可执行以执行步骤的计算机程序模块的非暂态计算机可读存储介质。步骤包括获得描述多个被管理的服务器之间的过往通信的通信信息。步骤还包括通过基于所获得的通信信息对多个被管理的服务器进行分组，来标识来自多个被管理的服务器的被管理的服务器的子集。步骤还包括确定与被管理的服务器的子集相关联的分组级标签集。步骤还包括确定用于被管理的服务器的子集中的被管理的服务器的角色标签，被管理的服务器与一个角色标签相关联。步骤还包括基于分组级标签集和角色标签，生成授权被管理的服务器的子集的第一被管理的服务器与第二被管理的服务器之间的通信的访问控制规则。步骤还包括存储访问控制规则作为管理域范围管理策略的一部分。