[发明专利]基于硬件的虚拟化安全隔离

说明书

在计算设备上运行的主机操作系统监测所述计算设备的网络通信，以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较，以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时，所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器，所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。

背景技术

当用户浏览互联网到不受信任的网站或当他们下载或打开不受信任的网络资源(如应用和文档)时，通常会发生计算设备感染。这些感染允许攻击者窃取用户的凭证，甚至可以控制计算设备，将其改用于攻击者自己的目的。虽然用于抵抗这些内核级攻击的一种解决方案是关闭对计算设备的网络访问，但这严重限制了许多现代计算设备的功能。另外，在工作场所环境中，禁用网络访问会妨碍雇员的工作效率和工作满意度。作为妥协，许多雇主通过防止雇员访问不受信任的网络资源来实现有限的网络访问。然而，这种有限的网络访问导致雇主的管理成本增加，这是因为雇主必须不断更新定义哪些网络资源是不受信任的策略。这可能导致用户和雇主二者都对计算设备的使用感到沮丧。

发明内容

提供本发明内容以便以简化的形式对下面在具体实施方式中进一步描述的构思的选择进行介绍。本发明内容并不旨在标识要求保护的主题的关键特征或重要特征，也不旨在用于限制要求保护的主题的范围。

根据一个或多个方面，应用在主机操作系统中运行。响应于检测到所述应用正在尝试访问网络资源，所述主机操作系统确定所述网络资源是受信任的网络资源还是不受信任的网络资源。响应于确定所述网络资源是不受信任的网络资源，所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行容器内的所述应用的版本的容器。然后所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。

根据一个或多个方面，检测到主机操作系统的启动。响应于检测到所述主机操作系统的启动，确定所述主机操作系统是否包括容器基础映像(base image)。如本文所讨论的，容器基础映像指的是所述主机操作系统的版本、补丁级别和配置的接近副本。响应于确定所述主机操作系统不包括容器基础映像，创建容器基础映像。在创建了容器基础映像之后，检测到用户登录到所述主机操作系统。响应于检测到所述用户登录到所述主机操作系统，激活与所述容器基础映像相对应的容器，并且暂停所激活的容器。响应于检测到对不受信任的网络资源的访问，恢复被暂停的容器并允许所恢复的容器访问不受信任的网络资源。

根据一个或多个方面，网络应用在设备的主机操作系统上运行。如本文中所讨论的，网络应用被配置为：访问远离运行所述主机操作系统的设备存储的一个或多个网络资源。响应于检测到所述网络应用正在访问网络资源，通过将所述网络资源与从远离所述设备的管理和监测服务接收的策略进行比较来确定所述网络资源是不受信任的资源。响应于确定所述网络资源是不受信任的网络资源，所述主机操作系统激活被配置为运行所述网络应用的版本并与所述主机操作系统相隔离的容器。在所述容器被激活之后，所述主机操作系统允许在所述容器中运行的所述网络应用的所述版本访问所述不受信任的网络资源。所述主机操作系统允许在所述容器中运行的所述网络应用的所述版本访问另外的不受信任的网络资源，以及防止在所述容器中运行的所述网络应用的所述版本访问受信任的网络资源。

附图说明

参考附图描述了具体实施方式。在附图中，附图标记的最左边的数字标识该附图标记首次出现的附图。相同的附图标记在描述和附图中的不同实例中的使用可以指示相似或相同的项目。附图中表示的实体可以指示一个或多个实体，因此可以在讨论中对单个或多个形式的实体进行互换地引用。

图1根据一个或多个实施例示出了实现基于硬件的虚拟化安全隔离的示例系统。

图2根据一个或多个实施例示出了用于基于硬件的虚拟化安全隔离的示例系统架构。

图3是根据一个或多个实施例示出用于实现基于硬件的虚拟化安全隔离的示例过程的流程图。