用于配置访问保护系统的方法和设备与流程

本发明涉及一种用于配置访问保护系统的计算机实现的方法和设备，该访问保护系统适合于调节计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接。本发明还涉及一种设备、一种测试系统、一种访问保护系统、一种计算机程序产品和一种计算机可读数据载体。

背景技术：

计算机系统、计算机或网络之间的通信连接通常借助于访问保护系统、诸如防火墙或安全网关来被保护，该防火墙或安全网关通常控制数据包从一个网络到另一网络的传输。这种访问保护系统的安全配置通常根据least-privilege-prinzip——最小特权原则——来实现，也就是说经由访问保护系统仅容许或激活被处在该访问保护系统后面的系统需要的通信。

对所需的通信连接的限定和访问保护系统的相对应的配置通常手动地实现，并且因而尤其是在敏捷软件开发的情况下可能花费高且容易出错。

技术实现要素：

因而，本发明的任务在于简化对计算机或计算机网络之间的数据通信连接进行调节的访问保护系统的配置。

该任务通过在独立权利要求中描述的特征来被解决。在从属权利要求中示出了本发明的有利的扩展方案。

按照第一方面，本发明涉及一种用于配置访问保护系统的计算机实现的方法，该访问保护系统适合于调节计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接，其中

-提供所述计算机实现的应用；

-在测试系统中提供第一计算机网络的映像并且在该测试系统中实施所述计算机实现的应用；

-由传感器来确定在实施所述计算机实现的应用时所需的在第一计算机网络的映像与第二计算机网络之间的数据通信连接；

-依据由该传感器所确定的数据通信连接，推导针对该访问保护系统的用于容许所述计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接的配置规则；

而且

-输出该配置规则来对访问保护系统进行配置。

本发明的优点在于：访问保护系统的用于在第一与第二计算机网络之间的通信的配置规则可以自动被确定。为此，实施计算机实现的应用、诸如软件或应用程序或可执行的程序，并且据此来确定在该应用程序或软件的网络层面上需要与第二计算机网络的怎样的连接或通信关系。所述计算机实现的应用可以优选地在生产环境中或者在测试系统中被实施，该生产环境包括至少一个第一计算机网络和/或至少一个第二计算机网络，该测试系统包括第一计算机网络的至少一个映像。生产环境尤其可以被理解为具有真实条件的网络环境。测试系统，或者在下文也被称作测试环境，尤其可以被理解为（软件）开发环境。测试系统尤其可以预先被提供和/或被配置。“计算机网络的映像”尤其可以被理解为计算机网络或该计算机网络的一部分的例如在测试系统中被实现的重构，该重构包括所有相关的网络组件和连接。

尤其假设：在生产环境中经由至少一个访问保护系统、诸如防火墙或安全网关来实现在第一计算机网络与第二计算机网络之间的数据通信连接、也就是说对数据的交换或者发送和/或接收。对于该访问保护系统来说，应该依据通过传感器所检测到的数据通信连接或数据业务来确定至少一个配置规则。配置规则可包括访问规则，而且尤其应该表述为使得在生产环境中实施计算机实现的应用时允许该数据通信连接。传感器例如可以是网络接口或访问保护系统的一部分，或者可以被理解为单独设备，该单独设备尤其是仅仅转发数据业务并且在此对数据业务进行记录。传感器尤其也可以被设计成软件，使得借此例如可以一并读取在两个计算机网络之间出现的数据业务并且从中推导通信关系。

测试系统尤其可以屏蔽其它通信关系或者受保护。测试系统例如是所谓的“沙箱（sandbox）”环境。这尤其具有如下优点：在测试系统中仅仅实现对于所述计算机实现的应用来说相关的那些通信。可以在测试系统之内记录所述计算机实现的应用的所实施的通信的效果、例如连接请求。在测试系统中可以实施计算机实现的应用，而该计算机实现的应用不对系统进行损坏、更改或干扰。

测试系统中的第一计算机网络的映像尤其可以类似于生产环境中的映像，例如在网络拓扑或架构方面类似。测试系统尤其被设立为使得从计算机实现的应用出发的数据通信可以被映像或仿真并且在此借助于传感器来被检测。第一计算机网络的映像例如可以经由网络接口与第二计算机网络连接，使得可以实现并记录在这两个网络之间的数据通信。这尤其具有如下优点：一方面在受保护的测试系统中实施计算机实现的应用，但是另一方面可以在关于第二计算机网络方面的真实条件下分析与第二计算机网络的数据通信。

根据所述计算机实现的应用的所记录的数据通信连接，推导针对在生产环境中的访问保护系统的至少一个规则。“推导”例如可以被理解为“确定”、“计算”、“获取”、“决定”、“限制”、“导出”、“推断”、“得出”、“阐明”、“反推”或者类似用语。

只要在随后的描述中不另作说明，术语“确定”、“执行”、“提供”、“实现”、“计算”、“计算机辅助”、“算出”、“查明”、“生成”、“配置”、“重建”等待就优选地涉及如下操作和/或过程和/或处理步骤，这些操作和/或过程和/或处理步骤改变和/或生成数据和/或将这些数据转变成其它数据，其中这些数据尤其可以作为物理量来呈现或存在。

结合本发明，“计算机辅助”或“计算机实现”例如可以被理解为对该方法的实现，其中尤其是处理器实施该方法的至少一个方法步骤。

结合本发明，处理器例如可以被理解为机器或电子电路。处理器尤其可以是中央处理器（英文centralprocessingunit，cpu）、微处理器或微控制器，例如专用集成电路或数字信号处理器等等，它们可能与用于存储程序指令的存储单元相结合。

尤其是，该计算机实现的方法可以在云中实现，其中不仅生产环境而且测试系统都可以在云中实现。

在所述计算机实现的方法的一个有利的实施方式中，可以附加地在测试系统中提供第二计算机网络的映像，并且可以由传感器来确定所述计算机实现的应用仅仅在第一计算机网络的映像与第二计算机网络的映像之间的数据通信连接。

尤其在测试系统中不仅可以对第一计算机网络进行映像而且可以对例如所述计算机实现的应用与其建立通信连接的第二计算机网络进行映像。这例如具有如下优点：在这两个网络之间的任何通信都在屏蔽环境中实现，也就是说不可能受不符合期望的通信干扰。此外，也可以在测试系统中对多个第二计算机网络进行映像。

在所述计算机实现的方法的一个有利的实施方式中，该配置规则可以被推导为使得按照该配置规则经由该访问保护系统仅容许所述计算机实现的应用的可信的和/或被允许的数据通信连接。

由此，尤其可以按照最小特权原则来推导针对访问保护系统的配置规则。仅仅实施并记录计算机实现的应用的被允许、对于该应用来说需要和/或可信的那些连接。接着，该配置规则可以有利地仅容许这些连接。

在所述计算机实现的方法的一个有利的实施方式中，在测试系统中可以禁止从第二计算机网络或第二计算机网络的映像到第一计算机网络的映像的数据通信连接。

优选地，在测试系统中可以不激活或允许到第一计算机网络的映像中的数据通信连接、例如其它软件或计算机实现的应用的访问。这例如可以利用如下方式来被实现：在测试系统中仅实施预先给定的计算机实现的应用。

在所述计算机实现的方法的一个有利的实施方式中，在测试系统中可以仿真所述计算机实现的应用在第一计算机网络的映像与第二计算机网络或第二计算机网络的映像之间的数据通信连接。

在这些计算机网络之间的数据通信连接以及尤其是外部通信可以在测试系统中至少部分地借助于对该数据通信连接的计算机辅助仿真来被仿真。例如，计算机实现的应用的请求可以仅利用仿真响应、诸如仿真返回值来被处理。此外，尤其是计算机网络的仅仅一部分可以在测试系统中被映像，其中通信关系至少部分地被仿真。

在所述计算机实现的方法的一个有利的实施方式中，可以通过超过一个传感器来确定所述计算机实现的应用在第一计算机网络与第二计算机网络之间经由超过一个访问保护系统实现的数据通信连接，而且针对这些访问保护系统中的每个访问保护系统可以分别推导用于容许所述计算机实现的应用的数据通信连接的配置规则。

例如，在测试系统中可以实现在第一计算机网络的映像与第二计算机网络或第二计算机网络的映像之间经由到第二计算机网络的超过一个网络节点、例如路由器所实施的数据通信连接。相对应的网络节点和经由这些网络节点的相对应的通信例如可以由至少一个传感器来确定，并且针对这些网络节点中的每个网络节点可以分别推导配置规则。

在所述计算机实现的方法的一个有利的实施方式中，可以确定所述计算机实现的应用的数据通信连接的类型。

例如可以由传感器来记录关于数据通信的信息或细节、诸如通信协议。

在所述计算机实现的方法的一个有利的实施方式中，可以根据所述计算机实现的应用的数据通信连接的类型来确定通信特性并且从中可以推导针对访问保护系统的配置规则。

例如，可以依据通信协议来确定：经由访问保护系统应该容许何种类型的通信或何种类型的通信是典型的。访问保护系统例如可以借此来检查当前的通信是否典型。

在所述计算机实现的方法的一个有利的实施方式中，该配置规则可以被测试系统提供到至少类似于测试系统的生产环境中，用于配置访问保护系统。

通过在测试系统中根据对所述计算机实现的应用的数据通信连接的记录所确定的配置规则可以优选地自动地被提供到生产环境中，用于配置访问保护系统。

在所述计算机实现的方法的一个有利的实施方式中，可以按照配置规则来配置该访问保护系统。

尤其是，访问保护系统可以按照配置规则自动被配置、也就是说被设定或编程。

在所述计算机实现的方法的一个有利的实施方式中，可以确定用于按照配置规则来配置访问保护系统的配置指导并且输出该配置指导用来配置访问保护系统。

例如，可以创建计算机可读的配置脚本，该配置脚本包括配置规则，并且利用该配置脚本可以操控访问保护系统，以便在生产环境中按照该配置规则来配置该访问保护系统。

在所述计算机实现的方法的一个有利的实施方式中，配置规则和/或配置指导可以被数字签名。

数字签名例如可以包括时间信息、关于测试系统的信息或者用户或所述计算机实现的应用的名称。因此，数字签名尤其可用作完整性保护。配置规则和/或配置指导尤其可以借助于数字签名来被验证，例如在生产环境中实现该配置规则和/或该配置指导之前被验证。

按照另一方面，本发明涉及一种用于配置访问保护系统的设备，该访问保护系统适合于调节计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接，该设备包括：

-第一提供模块，该第一提供模块被设立为在测试系统中提供所述计算机实现的应用和第一计算机网络的映像；

-应用模块，该应用模块被设立为在测试系统中在第一计算机网络的映像中实施所述计算机实现的应用；

-传感器，该传感器被设立为确定在实施所述计算机实现的应用时所需的在第一计算机网络的映像与第二计算机网络之间的数据通信连接；

-推导模块，该推导模块被设立为依据由该传感器所确定的数据通信连接来推导针对该访问保护系统的用于容许所述计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接的配置规则；

而且

-输出模块，该输出模块被设立为输出该配置规则来对访问保护系统进行配置。

传感器尤其可以在测试系统中或在生产环境中检测所述计算机实现的应用的数据通信连接。

在一个有利的实施方式中，该设备可包括配置模块，该配置模块被设立为按照配置规则来配置访问保护系统。

该设备尤其被设计为实施按照本发明的计算机实现的方法的步骤。

按照另一方面，本发明涉及一种测试系统，该测试系统包括按照本发明的设备。

优选地，测试系统、也被称作测试环境，可以与配置模块耦合。

按照另一方面，本发明涉及一种访问保护系统，该访问保护系统适合于调节计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信连接，并且该访问保护系统根据本发明的方法来被配置。

本发明还涉及一种计算机程序产品，该计算机程序产品能直接加载到可编程计算机中，该计算机程序产品包括程序代码部分和计算机可读数据载体，这些程序代码部分适合于执行按照本发明的方法的步骤，在该计算机可读数据载体上存储该计算机程序产品。

按照本发明的计算机程序产品尤其可以由网络服务、计算机系统、服务器系统、分布式计算机系统、基于云的计算机系统和/或虚拟计算机系统来提供。该提供例如可以作为整个计算机程序产品的以程序数据块和/或指令数据块为形式的下载、优选地作为整个计算机程序产品的文件、尤其是作为整个计算机程序产品的下载文件来实现。这种计算机程序产品例如在使用提供装置、尤其是以计算机可读数据载体为形式的提供装置的情况下被读入并且实施程序指令，使得按照本发明的方法在计算机上被实施。

附图说明

按照本发明的方法、按照本发明的设备、该访问保护系统和按照本发明的测试系统的实施例在附图中示例性地示出并且依据随后的描述更详细地予以阐述。其中：

图1示出了按照本发明的方法的流程图；

图2示出了按照本发明的方法的实施例的示意图；

图3示出了按照本发明的方法的第二实施例的第二示意图；

图4示出了按照本发明的方法的第三实施例的第三示意图；

图5示出了按照本发明的方法的第四实施例的第四示意图；以及

图6以框图示出了按照本发明的设备的实施例的示意图。

彼此相对应的部分在所有附图中都配备有相同的附图标记。

具体实施方式

图1示出了按照本发明的用于配置访问保护系统的方法的流程图，该访问保护系统调节或控制计算机实现的应用、诸如应用程序或软件在第一计算机网络与第二计算机网络之间的数据通信连接，诸如限制访问或让数据包通过。第一计算机网络例如经由访问保护系统、诸如防火墙与第二计算机网络连接。软件或者还有应用程序尤其可以在第一计算机网络中被实施并且需要到第二计算机网络中的数据通信连接。例如，计算机实现的应用可以控制在第一计算机网络中的技术系统，其中所述计算机实现的应用从布置在第二计算机网络中的数据库请求参数数据。按照本发明，应该确定至少一个用于配置访问保护系统的配置规则。该方法可以在生产环境中或者在测试环境（也称作（软件）开发环境）中被执行，该测试环境尤其是至少部分地类似于生产环境。尤其是，计算机实现的应用可以在测试系统中、也就是说在测试环境中被测试或开发并且然后被安装在生产环境中。生产环境尤其是所述计算机实现的应用完全被实施的软件环境。优选地，测试系统被屏蔽，也就是说例如仅允许可信和/或需要的通信连接。尤其可以禁止到测试系统中的数据通信，或可以仅激活从测试系统发出的数据通信。

在该方法的第一步骤s1中，提供计算机实现的应用。在下文，应该确定至少一个针对访问保护系统的配置规则，该配置规则容许从所述计算机实现的应用出发的在第一与第二计算机网络之间的数据通信连接。

在下一步骤s2a或s2b中，在生产环境中或在测试环境中实施所述计算机实现的应用。在步骤2a中，在第一计算机网络中、也就是说在生产环境中实施所述计算机实现的应用。在步骤2b中，在测试环境中提供第一计算机网络的映像或者第一计算机网络的至少一部分并且在该测试环境中实施所述计算机实现的应用。优选地，在测试环境中的第一计算机网络的映像关于在生产环境中的第一计算机网络的网络拓扑方面类似。第一计算机网络或测试系统与第二计算机网络连接。

所述计算机实现的应用尤其被实施为使得可以确定所有在实施时需要或希望的与在第一计算机网络中或在第一计算机网络的映像中的其它应用程序以及与第二计算机网络的通信关系。

在下一步骤s3中，借助于传感器来记录在第一计算机网络中或在第一计算机网络的映像中的所述计算机实现的应用的每个所需的数据通信连接和/或与第二计算机网络的每个连接，也就是说例如确定哪个数据通信连接由所述计算机实现的应用来建立。附加地，可以一并记录数据通信连接的类型、诸如通信协议，其中根据该信息例如可以推导出典型的访问模式。尤其应该检测在第一计算机网络与第二计算机网络之间的数据通信连接，该数据通信连接在生产环境中经由所要配置的访问保护系统来运行。例如，传感器可以安装在访问保护系统的位置并且这样可以确定该数据通信连接。

在下一步骤s4中，基于由该传感器所检测到的在这两个计算机网络之间的对于实施所述计算机实现的应用来说所需的数据通信连接，推导至少一个针对访问保护系统的配置规则。根据数据通信的类型、例如哪些数据被传输、请求或发送，可以确定通信特性。为了例如仅容许对于所述计算机实现的应用来说所需的在第一与第二计算机网络之间的数据通信连接，可以创建针对访问保护系统的配置规则，该配置规则不容许其它数据业务。因此，在被屏蔽的测试系统中，尤其是可以只检测从第一计算机网络到第二计算机网络中的可信的数据通信连接，并且可以与此相对应地创建针对访问保护系统的配置规则。换言之，测试环境可以优选地以屏蔽的方式被实现，使得仅实现计算机实现的应用的所需的数据通信连接。借助于传感器来确定该数据通信连接，并且推导配置规则。

在步骤s5中，输出所推导出的配置规则。配置规则可以被测试系统传送到生产环境中，使得在生产环境那里可以按照配置规则来配置相对应的访问保护系统。

附加地，例如可以按照配置规则来创建配置指导、诸如配置脚本。该配置脚本例如可以由配置模块来实施，使得访问保护系统按照配置规则来被配置。

配置规则和/或配置指导还可以被数字签名，以便例如证明其来源或完整性。

图2示意性示出了按照本发明的计算机实现的方法的实施例。示出了生产环境pe。生产环境pe尤其可以被理解为真实网络环境。生产环境pe包括第一计算机网络nw1和第二计算机网络nw2，该第一计算机网络和该第二计算机网络经由用于传输计算机实现的应用app的数据通信dc的通信连接来彼此连接。访问保护系统fw、例如防火墙可以调节和/或控制数据通信dc。为此，应该按照本发明的方法来确定至少一个针对按照本发明的访问保护系统fw的配置规则。配置规则被设立为使得尤其是容许所述计算机实现的应用app的数据通信dc。

为此，在第一计算机网络nw1中实施所述计算机实现的应用app，并且借助于传感器103来记录所述计算机实现的应用app与第二计算机网络nw2的数据通信dc。依据所确定的数据通信连接dc，可以推导出规则并且将该规则作为针对访问保护系统fw的配置规则来输出。例如，配置规则仅包括针对该特定数据通信连接dc的访问权限，并且借此排除了所有其它可能的数据连接。

所确定的配置规则尤其包括针对访问保护系统fw的设置值，访问保护系统fw利用这些设置值被设立为使得数据通信连接dc可以经由访问保护系统来被执行，即不被阻止或限制。

图3示意性示出了按照本发明的方法的第二实施例。示出了测试系统te、诸如沙箱。为了确定针对访问保护系统的调节在第一计算机网络与第二计算机网络之间的数据通信连接的配置规则，在测试系统te中分别提供这两个计算机网络的映像nw1'、nw2'。例如，第一计算机网络是安全网络而第二计算机网络是公共网络，使得计算机实现的应用app的从第一计算机网络到第二计算机网络中的通信应该被调节。

在测试系统te中实施计算机实现的应用app。例如，所述计算机实现的应用app与在第一计算机网络nw1'中的不同软件sw1、sw2、sw3并且与计算机网络nw2'交换数据。替选地，该数据通信连接dc的至少一部分也可以借助于计算机辅助仿真来被仿真，使得例如在请求时仅返回经仿真的数据。

借助于例如可替代访问保护系统而设立在测试系统中的传感器103，尤其可以检测所述计算机实现的应用app在第一计算机网络nw1'与第二计算机网络nw2'之间的数据通信连接dc。根据所记录的数据通信dc，可以确定在生产环境中针对访问保护系统的配置规则。优选地，可以根据最小特权原则来推导配置规则。

在图4中以示意图示出了按照本发明的计算机实现的方法的另一实施例。示出了在测试环境te中的第一计算机网络的映像nw1'。测试环境te经由通信连接来与生产环境pe连接，使得尤其能够实现所述计算机实现的应用app在第一计算机网络的映像nw1'与第二计算机网络nw2之间的数据通信dc。附加地，可以禁止或限制其它计算机实现的应用app'从第二计算机网络nw2到测试环境te中的数据传输dt。例如，因此可以不允许将数据从第二网络nw2发送到测试环境te中。例如，可以针对测试环境仅仅激活与因特网的连接。

生产环境pe还包括防火墙fw，该防火墙调节、控制和/或限制在第一计算机网络nw1与第二计算机网络nw2之间的数据流。为了确定针对防火墙fw的配置规则，在测试环境te中在第一计算机网络的映像nw1'中实施计算机实现的应用app并且借助于传感器103来记录所需的数据通信dc。

然后，基于所记录的数据通信dc来推导至少一个配置规则。还可以附加地创建配置脚本，该配置脚本包括针对防火墙fw的按照该配置规则的配置指导。

在图5中示出了按照本发明的方法的另一实施例。在第一计算机网络nw1中实施计算机实现的应用app，以便检测到生产环境pe的第二计算机网络nw2中的数据通信dc。在这种情况下，在生产环境pe中经由多个网络节点、诸如路由器来实现在这两个计算机网络nw1、nw2之间的数据通信dc，对于这些网络阶段的访问保护系统fw1、fw2、fw3来说应该分别确定配置规则。为此，可以首先借助于传感器103来确定各个网络节点和经由这些网络节点来运行的在第一计算机网络nw1与第二计算机网络nw2之间的数据通信。然后针对每个访问保护系统fw1、fw2、fw3推导配置规则并且然后实现这些配置规则。

图6示出了按照本发明的用于配置访问保护系统的设备100的实施例，该访问保护系统适合于调节计算机实现的应用在第一计算机网络与第二计算机网络之间的数据通信。优选地，该设备与按照本发明的访问保护系统耦合。设备100包括提供模块101、应用模块102、至少一个传感器103、推导模块104、输出模块105和配置模块106。该设备还可包括至少一个处理器，该处理器被设立为实施按照本发明的方法的步骤中的至少一个步骤。

提供模块101被设立为提供计算机实现的应用，所述计算机实现的应用应该在第一计算机网络中被实施。该提供模块还可以在测试系统中提供第一计算机网络的映像和/或第二计算机网络的映像。应用模块102被配置为在生产环境中或在测试系统中实施所述计算机实现的应用，使得借助于传感器103可以记录所述计算机实现的应用app在第一计算机网络与第二计算机网络之间的数据通信连接。推导模块104被配置为依据所记录的数据通信来推导针对生产环境中的访问保护系统的配置规则。所确定的配置规则借助于输出模块105例如被传送给配置模块106。配置模块106被设立为按照配置规则和/或借助于配置指导来配置访问保护系统。配置模块尤其可以按照配置规则来将访问保护系统设立为使得经由该访问保护系统仅容许可信和/或需要的数据业务。

设备100尤其可包括至少一个处理器，以便实施或实现按照本发明的方法。测试系统尤其可以在云环境中被实现，该云环境经由通信连接来与生产环境连接。

所有被描述的和/或被绘出的特征都可以在本发明的范围内有利地彼此相结合。本发明并不限于所描述的实施例。