KR20180071480A - Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same - Google Patents

Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same Download PDF

Info

Publication number
KR20180071480A
KR20180071480A KR1020160174179A KR20160174179A KR20180071480A KR 20180071480 A KR20180071480 A KR 20180071480A KR 1020160174179 A KR1020160174179 A KR 1020160174179A KR 20160174179 A KR20160174179 A KR 20160174179A KR 20180071480 A KR20180071480 A KR 20180071480A
Authority
KR
South Korea
Prior art keywords
tenant
security
module
data center
cloud data
Prior art date
Application number
KR1020160174179A
Other languages
Korean (ko)
Inventor
윤승현
박종근
이상민
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160174179A priority Critical patent/KR20180071480A/en
Publication of KR20180071480A publication Critical patent/KR20180071480A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Abstract

Disclosed are a cloud data center control system for providing a security service for each tenant in a cloud data center using virtualization technology and an operating method thereof. The cloud data center control system includes: a tenant security module configuration determining unit for determining a security module added to a tenant and an installation position of the security module; a tenant monitoring module configuration determining unit for determining a monitoring module added to the tenant and an installation position of the monitoring module; and a tenant policy determining unit for determining a policy to be used for the security module or the monitoring module. Accordingly, the present invention can provide an optimized security service for each tenant.

Description

클라우드 컴퓨팅에서의 테넌트 별 보안 서비스를 위한 클라우드 데이터 센터 관제 시스템 및 그 동작 방법{Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same}Technical Field [0001] The present invention relates to a cloud data center control system for a tenant security service in cloud computing, and a cloud data center control system for operating the cloud data center,

본 발명은 가상화 기술을 이용한 클라우드 데이터 센터(cloud data center)에 관한 것으로, 더욱 상세하게는 가상화 기술을 이용한 클라우드 센터 내에서 테넌트(tenant) 별로 맞춤형 보안 서비스를 제공하기 위한 클라우드 관제 시스템(operation system) 구조 및 그 동작 방법에 관한 것이다.The present invention relates to a cloud data center using a virtualization technology, and more particularly, to a cloud data center for providing a customized security service for each tenant in a cloud center using virtualization technology. Structure and method of operation thereof.

가상화 기술을 이용한 클라우드 센터는 전통적인 데이터센터와는 다르게 여러 사용자가 자신의 가상자원(가상 서버, 가상 네트워크, 가상 스토리지 등)을 임대하여 즉시적으로 사용할 수 있도록 인프라스트럭쳐 서비스를 제공하고 있다. 이와 같이 사용자 각각이 임대한 전용의 인프라스트럭쳐를 테넌트(tenant)라 통칭한다. 따라서, 하나의 클라우드 센터에는 다수의 테넌트들이 동시에 존재할 수 있다.Unlike traditional data centers, cloud centers using virtualization technology are providing infrastructure services that allow multiple users to rent and instantly use their virtual resources (virtual servers, virtual networks, virtual storage, etc.). In this way, the dedicated infrastructure leased by each user is referred to as tenant. Accordingly, a plurality of tenants may exist simultaneously in one cloud center.

이러한 환경에서, 각 테넌트는 물리적인 인프라를 공유하며, 가상화 기술을 통해 독립적인 가상 인프라를 사용하게 된다. 경우에 따라서, 동일 서버, 네트워크 장치를 다른 테넌트가 같이 사용하게 되며, 이때 테넌트는 하이퍼바이저 또는 가상 네트워크 기술에 의해 분리되어 운용된다. 한편 클라우드 센터에는 이러한 장비와 테넌트들을 효과적으로 관리하기 위한 클라우드 센터 관제 시스템(Cloud OS)가 포함되며, 대표적인 Cloud OS는 Openstack, CloudStack 등이 있다. In this environment, each tenant shares a physical infrastructure and uses an independent virtual infrastructure through virtualization technology. In some cases, the same server or network device is used by another tenant, and the tenant is operated separately by a hypervisor or a virtual network technology. The cloud center includes the Cloud Center control system for effective management of these devices and tenants. Typical Cloud OSes include Openstack and CloudStack.

기존의 클라우드 센터의 보안 서비스는, 통합 보안 장비(FW, IPS 등)를 게이트웨이 위치에 설치하는 것과 같이 여러 테넌트가 보안 장치를 공유하여 사용하는 방식, 또는 테넌트 별로 기본 보안 기능만 제공하고 사용자가 직접 설치 또는 임대하는 형태(FWaaS)로 보안 기능을 설치 운용하는 방식을 사용하고 있다. The existing cloud center security services can be implemented by sharing the security devices among several tenants, such as installing the integrated security devices (FW, IPS, etc.) at the gateway location, or by providing only basic security functions for each tenant, (FWaaS) to install or lease the security features are installed and operated.

하지만, 인터넷의 보안 위협이 높아지는 상황에서 통합 보안 장치를 공유하여 사용하는 방법, 테넌트 별로 보안 위협을 분석하는 방법 또는 테넌트 별로 정책을 변경하는 수준으로는 알맞은 보안 서비스를 테넌트 별로 제공하는 것에 한계가 있으며, 상황에 따라서 테넌트 별로 보안 서비스를 강화하거나 보안 모니터링을 강화하는 관제시스템, 방법 및 절차가 필요하다.However, there are limitations in providing security services that are appropriate for each tenant by changing the policy for each tenant or by analyzing security threats by tenants, sharing the integrated security device in a situation where the security threat of the Internet is increasing. , There is a need for a system, method, and procedure for enhancing security services or enhancing security monitoring for each tenant, depending on the situation.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 가상화 기술을 이용하는 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하기 위한 데이터 센터 관제 시스템의 구성을 제공하는데 있다.In order to solve the above problems, an object of the present invention is to provide a configuration of a data center control system for providing a security service for each tenant in a cloud data center using virtualization technology.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 가상화 기술을 이용하는 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하기 위한 데이터 센터 관제 시스템의 동작 방법을 제공하는데 있다.Another object of the present invention is to provide a method of operating a data center control system for providing a security service for each tenant in a cloud data center using virtualization technology.

상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, 가상화 기술을 이용하는 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하기 위한 데이터 센터 관제 시스템을 제공하는데 있다.Another object of the present invention is to provide a data center control system for providing security service for each tenant in a cloud data center using virtualization technology.

상기 목적을 달성하기 위한 본 발명은, 가상화 기술을 이용한 클라우드 데이터 센터에서 테넌트(tenant) 별 보안 서비스를 제공하기 위한 클라우드 데이터 센터 관제 시스템으로서, 테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 테넌트 보안 모듈 구성 결정부; 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 테넌트 모니터링 모듈 구성 결정부; 및 상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 테넌트 정책 결정부를 포함하는 것을 특징으로 하는 클라우드 데이터 센터 관제 시스템을 제공한다.According to an aspect of the present invention, there is provided a cloud data center control system for providing a security service for each tenant in a cloud data center using a virtualization technology. The cloud data center control system includes a security module added to the tenant, A tenant security module configuration determining unit for determining the tenant security module; A tenant monitoring module configuration determining unit for determining a monitoring module added to the tenant and an installation location of the monitoring module; And a tenant policy determination unit for determining a policy to be used for the security module or the monitoring module.

여기에서, 상기 클라우드 데이터 센터 관제 시스템은 보안에 관련된 모니터링 및 분석을 수행하여 테넌트별 보안 관련 정보를 제공하는 보안 모니터링 및 분석부를 추가로 포함하고, 상기 테넌트 보안 모듈 구성 결정부는 상기 보안 모니터링 및 분석부가 제공하는 테넌트별 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정할 수 있다.Here, the cloud data center control system further includes a security monitoring and analyzing unit for performing security related monitoring and analysis and providing security-related information for each tenant, and the tenant security module configuration determining unit may include a security monitoring and analyzing unit, The security module added to the tenant and the installation location of the security module based on the provided security-related information for each tenant.

여기에서, 상기 클라우드 데이터 센터 관제 시스템은 상기 테넌트 보안 모듈 구성 결정부에서 결정한 보안 모듈 또는 상기 테넌트 모니터링 모듈 구성 결정부에서 결정한 모니터링 모듈을 상기 테넌트에 대해서 정의된 가상 인프라스트럭쳐에 적용하는 테넌트 구성 적용부를 추가로 포함할 수 있다.Here, the cloud data center control system may include a security module determined by the tenant security module configuration determination unit or a tenant configuration application unit that applies the monitoring module determined by the tenant monitoring module configuration determination unit to a virtual infrastructure defined for the tenant May be further included.

여기에서, 상기 클라우드 데이터 센터 관제 시스템은 테넌트들에 대해서 공통적으로 적용되는 공통 보안 정책을 적용하는 테넌트 보안 정책 적용부를 추가로 포함할 수 있다. 이때, 상기 공통 보안 정책은 방화벽(firewall) 룰일 수 있다.Here, the cloud data center control system may further include a tenant security policy application unit that applies a common security policy commonly applied to tenants. At this time, the common security policy may be a firewall rule.

여기에서, 상기 보안 모듈은 FW(Firewall), IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈일 수 있다.Here, the security module may be a module that performs at least one of FW (Firewall), IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management)

여기에서, 상기 모니터링 모듈은 플로우(flow) 모니터링 모듈일 수 있다.Here, the monitoring module may be a flow monitoring module.

여기에서, 상기 보안 모듈은 상기 테넌트를 구성하는 가상 머신들 간에 위치하거나 상기 테넌트를 구성하는 가상 머신의 앞에 위치할 수 있다. 또한, 상기 보안 모듈은 상기 테넌트에 기본적으로 제공되는 기본 보안 기능을 대체하여 구성될 수 있다.Here, the security module may be located between virtual machines constituting the tenant or in front of a virtual machine constituting the tenant. In addition, the security module may be configured to replace the basic security function provided in the tenant.

여기에서, 상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동될 수 있다.Here, the security module or the monitoring module may be driven by using a separate virtual machine on the tenant or may be additionally installed and operated in a virtual machine existing in the tenant.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은,가상화 기술을 이용하는 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하는 방법으로서, 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가될 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 단계; 상기 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 단계; 및 상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 단계를 포함하는 것을 특징으로 하는, 클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법을 제공한다.Another object of the present invention is to provide a security service for each tenant in a cloud data center using a virtualization technology. The security service includes a security module to be added to the tenant based on security- And determining an installation location of the security module; Determining installation positions of the monitoring module and the monitoring module added to the tenant based on security-related information about the tenant; And determining a policy to be used for the security module or the monitoring module. The method of providing a security service for each tenant in a cloud data center is provided.

여기에서, 상기 테넌트 별 보안 서비스 제공 방법은 보안에 관련된 모니터링 및 분석을 수행하여 상기 테넌트별 보안 관련 정보를 수집하는 단계를 추가로 포함할 수 있다.Here, the security service providing method for each tenant may further include monitoring and analyzing security related information to collect security-related information for each tenant.

여기에서, 상기 테넌트 별 보안 서비스 제공 방법은 상기 결정된 보안 모듈 또는 모니터링 모듈을 상기 테넌트에 대해서 정의된 가상 인프라스트럭쳐에 적용하는 단계를 추가로 포함할 수 있다.The security service providing method according to the present invention may further include applying the determined security module or the monitoring module to a virtual infrastructure defined for the tenant.

상기 보안 모듈은 FW(Firewall), IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈일 수 있다.The security module may be a module that performs at least one of FW (Firewall), IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management)

상기 모니터링 모듈은 플로우(flow) 모니터링 모듈일 수 있다.The monitoring module may be a flow monitoring module.

여기에서, 상기 보안 모듈은 상기 테넌트를 구성하는 가상 머신들 간에 위치하거나 상기 테넌트를 구성하는 가상 머신의 앞에 위치할 수 있다. 또한, 상기 보안 모듈은 상기 테넌트에 기본적으로 제공되는 기본 보안 기능을 대체하여 구성될 수 있다.Here, the security module may be located between virtual machines constituting the tenant or in front of a virtual machine constituting the tenant. In addition, the security module may be configured to replace the basic security function provided in the tenant.

여기에서, 상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동될 수 있다.Here, the security module or the monitoring module may be driven by using a separate virtual machine on the tenant or may be additionally installed and operated in a virtual machine existing in the tenant.

상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, 가상화 기술을 이용한 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하기 위한 클라우드 데이터 센터 관제 시스템으로서, 프로그램 코드를 저장한 메모리 장치와 상기 프로그램 코드를 실행하는 적어도 하나의 프로세서를 포함하고, 상기 프로그램 코드는, 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가될 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 단계; 상기 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 단계; 및 상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 단계를 포함하는 것을 특징으로 하는 클라우드 데이터 센터 관제 시스템을 제공한다.Another object of the present invention is to provide a cloud data center control system for providing a security service for each tenant in a cloud data center using virtualization technology. The cloud data center control system includes a memory device storing program codes, The program code comprising: determining a security module to be added to the tenant and an installation location of the security module based on security-related information for the tenant; Determining installation positions of the monitoring module and the monitoring module added to the tenant based on security-related information about the tenant; And determining a policy to be used for the security module or the monitoring module.

여기에서, 상기 보안 모듈은 FW(Firewall), IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈일 수 있다.Here, the security module may be a module that performs at least one of FW (Firewall), IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management)

여기에서, 상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동될 수 있다.Here, the security module or the monitoring module may be driven by using a separate virtual machine on the tenant or may be additionally installed and operated in a virtual machine existing in the tenant.

상술한 바와 같은 본 발명의 실시예에 따른 클라우드 데이터 센터 관제 시스템 및 그 동작 방법을 이용할 경우는, 클라우드 데이터 센터 내에 존재하는 테넌트 별로 최적화된 보안 서비스를 제공할 수 있다.The cloud data center control system and the operation method according to the embodiment of the present invention as described above can provide an optimized security service for each tenant in the cloud data center.

또한, 본 발명의 실시예에 따른 클라우드 데이터 센터 관제 시스템 및 그 동작 방법을 이용할 경우는, 보안 분석결과에 따른 단순한 보안 정책의 변경에 그치지 않고 보안 모듈 또는 모니터링 모듈을 테넌트 별로 구성 할 수 있기 때문에 수시로 새로운 보안 모듈 적용이 용이하며, 다양한 보안 기능을 필요에 따라서 사용할 수 있다. 또한, 보안 서비스 수준을 상황에 적절하도록 자동적으로 강화/유지/완화시킬 수 있다.In addition, when using the cloud data center control system and its operation method according to the embodiment of the present invention, since a security module or a monitoring module can be configured for each tenant instead of simply changing a security policy according to a security analysis result, New security module is easy to apply and various security functions can be used as needed. In addition, the level of security service can be automatically enforced / maintained / mitigated to suit the situation.

도 1은 가상화 클라우드 데이터 센터의 테넌트 구성 및 클라우드 데이터 센터의 관제 시스템의 구성예를 설명하기 위한 블록도이다.
도 2는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 일 양태를 설명하기 위한 개념도이다.
도 3은 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 다른 양태를 설명하기 위한 개념도이다.
도 4는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 또 다른 양태를 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 구성을 설명하기 위한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 동작 방법을 설명하기 위한 블록도이다.1 is a block diagram for explaining a configuration example of a tenant configuration of a virtualized cloud data center and a control system of a cloud data center.
2 is a conceptual diagram for explaining an aspect in which a security service differentiated according to an embodiment of the present invention is provided according to an embodiment of the present invention.
3 is a conceptual diagram for explaining another aspect in which a security service differentiated according to an embodiment of the present invention is provided according to an embodiment of the present invention.
4 is a conceptual diagram for explaining another embodiment in which a security service differentiated according to an embodiment of the present invention is provided according to an embodiment of the present invention.
FIG. 5 is a block diagram illustrating a configuration of a cloud data center control system according to an embodiment of the present invention. Referring to FIG.
6 is a block diagram illustrating an operation method of a cloud data center control system according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

가상화 기술(virtualization technology)를 이용하는 클라우드 데이터 센터는 전통적인 데이터센터와는 다르게 여러 사용자가 자신의 가상자원(가상 서버, 가상 네트워크, 가상 스토리지 등)을 임대하여 즉시적으로 사용할 수 있도록 인프라스트럭처 서비스(infrastructure service)를 제공하고 있다. 클라우드 데이터 센터에서 사용자 각각이 임대한 전용의 가상 인프라스트럭처를 테넌트(tenant)라 통칭한다. 따라서, 클라우드 데이터 센터에는 여러 테넌트가 동시에 존재할 수 있다.Unlike traditional data centers, cloud data centers that use virtualization technology allow multiple users to lease their virtual resources (virtual servers, virtual networks, virtual storage, etc.) service. A dedicated virtual infrastructure that each user leases in the cloud data center is called a tenant. Thus, there can be multiple tenants at the same time in a cloud data center.

도 1은 가상화 클라우드 데이터 센터의 테넌트 구성 및 클라우드 데이터 센터의 관제 시스템의 구성예를 설명하기 위한 블록도이다.1 is a block diagram for explaining a configuration example of a tenant configuration of a virtualized cloud data center and a control system of a cloud data center.

도 1을 참조하면, 클라우드 데이터 센터(110) 내의 각 테넌트(111, 112, 113)는, 물리적인 컴퓨팅 자원과 네트워크 자원을 공유하는 물리적인 인프라스트럭처(114)를 공유하며, 가상화 기술을 통해 독립적인 가상 인프라로서 존재하게 된다. Referring to Figure 1, each tenant 111, 112, 113 in the cloud data center 110 shares a physical infrastructure 114 that shares network resources with physical computing resources, As a virtual infrastructure.

경우에 따라서, 테넌트는 동일 서버, 네트워크 장치를 다른 테넌트와 같이 사용하게 되며, 이때 테넌트는 하이퍼바이저(hypervisor) 또는 가상 네트워크 기술에 의해 분리되어 운용된다. In some cases, a tenant may use the same server or network device with another tenant, where the tenant is operated separately by a hypervisor or virtual network technology.

또한, 클라우드 데이터 센터는 이러한 장비와 테넌트들을 효과적으로 관리하기 위한 클라우드 데이터 센터 관제 시스템(Cloud Operating System(OS); 120)에 의해서 운영된다. 대표적인 클라우드 데이터 센터 관제 시스템으로는 Openstack, CloudStack 등이 있다. The cloud data center is also operated by a cloud operating system (OS) 120 to effectively manage these devices and tenants. Typical cloud data center control systems include Openstack and CloudStack.

도 1에서는, 본 발명의 주요 특징을 흐리지 않기 위해서, 클라우드 데이터 센터 관제 시스템의 필요한 구성요소들만을 도시하였으나, 실제 클라우드 데이터 센터 관제 시스템은 많은 추가적인 구성요소들을 포함할 수 있고, 다양한 형상으로 구현될 수 있을 것이다. Although only the necessary components of a cloud data center control system are shown in FIG. 1 to avoid obscuring the main features of the present invention, the actual cloud data center control system may include many additional components, It will be possible.

한편, 기존의 클라우드 데이터 센터의 보안 서비스는, 도 1에서 도시된 바와 같이 통합 보안 장비(115)를 게이트웨이 위치에 설치하는 것과 같이 여러 테넌트가 보안 장치를 공유하여 사용하는 방식, 또는 테넌트 별로 기본 보안 기능(예컨대, 방화벽(FW: FireWall) 기능) 등만 제공하고 사용자가 직접 설치 또는 임대하는 형태(FWaaS)로 보안 기능을 설치 운용하는 방식(Openstack)을 이용하고 있다. Meanwhile, the security service of the existing cloud data center is classified into a method in which a plurality of tenants share a security device such as installing the integrated security device 115 at a gateway location as shown in FIG. 1, (FW: FireWall) function, and the user installs or leases the security function (FWaaS) by using a method of installing and operating the security function (Openstack).

하지만, 인터넷의 보안위협이 높아지는 상황에서 통합 보안 장치를 공유하여 사용하는 방법, 테넌트 별로 보안 위협을 분석하는 방법 또는 테넌트 별로 정책을 변경하는 수준으로는 알맞은 보안 서비스를 테넌트 별로 제공하는 것에 한계가 있으며, 상황에 따라서 테넌트 별로 보안 서비스를 강화하거나 보안 모니터링을 강화하는 관제시스템, 방법 및 절차가 필요하다. However, there are limitations in providing security services that are appropriate for each tenant by changing the policy for each tenant or by analyzing security threats by tenants, sharing the integrated security device in a situation where the security threat of the Internet is increasing. , There is a need for a system, method, and procedure for enhancing security services or enhancing security monitoring for each tenant, depending on the situation.

클라우드 서비스를 제공받는 사용자들은 다양한 자원 및 형태의 인프라를 구성할 수 있으며, 인프라 구성 형태에 따라서 다양한 수준의 보안 서비스를 요구할 수 있다. 특히, 보안 서비스에는 초기 설치된 보안 서비스 상황에서 이상이 감지될 경우에 자동으로 보안 서비스를 강화하는 자동 보안 강화 기능이 필요하게 된다. 따라서, 본 발명의 실시예들은 이와 같이 테넌트 별로 최적의 보안 서비스를 제공할 수 있도록 하는 클라우드 데이터 센터 관제 시스템의 구성 및 그 동작 방법을 제공한다.Users who receive cloud services can configure various resources and types of infrastructures, and may require various levels of security services depending on the type of infrastructure. In particular, the security service needs an automatic security enhancement function that automatically enhances the security service when an abnormality is detected in the initial installed security service situation. Accordingly, embodiments of the present invention provide a cloud data center control system configuration and an operation method thereof that can provide an optimal security service for each tenant.

본 발명의 실시예들에 따라서 테넌트 별로 차별화된 보안 서비스의 양태를 도면을 참조하여 설명하면 다음과 같다.The embodiments of the security service differentiated according to the tenants according to the embodiments of the present invention will be described with reference to the drawings.

도 2 내지 도 4는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 양태를 설명하기 위한 개념도들이다.FIGS. 2 to 4 are conceptual diagrams for explaining aspects in which a security service differentiated according to tenants is provided according to an embodiment of the present invention.

도 2 내지 도 4에서 예시된, 본 발명의 실시예들에 따른 테넌트 별 보안 서비스 양태에서는 기본 보안 기능이 제공되는 상황에서 보안 서비스 강화를 위하여 추가 모듈이 적용되거나, 기본 보안 기능을 대체한 보안 서비스 모듈이 적용될 수 있다. 여기서 보안 서비스를 위해서 추가되는 추가모듈은 보안 기능 모듈이거나 보안 모니터링 모듈일 수 있다.In the security services according to the tenants according to the embodiments of the present invention illustrated in FIG. 2 to FIG. 4, an additional module may be applied to enhance the security service in a situation where a basic security function is provided, Modules can be applied. Here, the additional module added for the security service may be a security function module or a security monitoring module.

먼저, 도 2를 참조하면, 테넌트 1(210)은 기본 보안 기능(211)만 제공되는 상황에서 가상 서버 1(212)과 가상 서버 2(213)간에 문제가 있다고 분석된 경우 IPS와 같은 강화된 보안 기능(214)을 가상 서버 사이에 추가로 설치한 것이거나 단순히 상세한 보안 모니터링을 위하여 추가 모니터링 모듈을 설치하여 보안 모니터링을 강화한 상황을 나타낸다. 이때, 추가모듈은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 및 UTM(Unified Threat Management) 중 적어도 하나의 기능을 수행하는 보안 모듈, 또는 보안 모니터링을 강화하기 위한 상세 모니터링 모듈(가상 서버들 간의 플로우(flow)를 모니터링하는 플로우 모니터링 모듈 등)일 수 있다.Referring to FIG. 2, when there is a problem between the first virtual server 212 and the second virtual server 213 under the condition that only the basic security function 211 is provided, The security function 214 is additionally installed between virtual servers, or an additional monitoring module is simply installed for detailed security monitoring to enhance security monitoring. At this time, the additional module may be a security module that performs at least one of the functions of IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management) (E.g., a flow monitoring module that monitors the flow between the devices).

다음으로, 도 3를 참조하면, 테넌트 2(220)는 기본 보안 기능(221), 예를 들어 방화벽 만으로 보안을 확보하지 못한다고 판단하여 추가 보안 기능을 수행하는 추가 모듈(223)을 가상 서버(222) 앞에 설치한 것이다. 이때, 추가모듈은, 앞서 언급된 바와 같이, IPS, IDS, 및 UTM 중 적어도 하나의 기능을 수행하는 보안 모듈일 수 있다.Next, referring to FIG. 3, the tenant 2 220 transmits an additional module 223, which performs additional security functions, to the virtual server 222 (FIG. 3), determining that the security is not secured by the basic security function 221, ). At this time, the additional module may be a security module that performs at least one of IPS, IDS, and UTM, as mentioned above.

마지막으로, 도 4를 참조하면, 테넌트 3(230)은 기본 보안 기능을 제고하고 강화된 추가 모듈들(234, 235)을 가상 서버들(231, 232, 233) 간에 여러 군데 추가로 설치한 경우를 예시하고 있다. 이때, 추가모듈은, 앞서 언급된 바와 같이, IPS, IDS, 및 UTM 중 적어도 하나의 기능을 수행하는 보안 모듈일 수 있다.4, when the tenant 3 230 improves the basic security function and installs additional enhanced modules 234 and 235 in a plurality of virtual servers 231, 232, and 233 . At this time, the additional module may be a security module that performs at least one of IPS, IDS, and UTM, as mentioned above.

한편, 상기 도 2 내지 도 4에서 예시된 추가 모듈은 보안 모듈(IPS, IDS, UTM 등) 또는 테넌트 별로 보안 모니터링을 강화하기 위한 모니터링 모듈(flow 모니터링 장치 등)일 수 있다. 또한, 도 2 내지 도 4에서는, 보안 모듈 또는 모니터링 모듈과 같은 추가 모듈은 별도의 가상 머신에서 구동되는 것처럼 도시되었으나, 가상서버나 기존 보안 모듈 또는 장치에 추가로 장착되어 동일한 가상 머신에서 구동될 수도 있다.The additional modules illustrated in FIGS. 2 to 4 may be security modules (IPS, IDS, UTM, etc.) or monitoring modules (flow monitoring devices, etc.) for enhancing security monitoring for each tenant. 2 to 4, additional modules such as a security module or a monitoring module are illustrated as being driven in a separate virtual machine, but may additionally be mounted in a virtual server or an existing security module or device to be operated in the same virtual machine have.

상기와 같이 테넌트별 보안 서비스를 가능하게 하기 위하여 본 발명의 일 실시예에서는 클라우드 센터 관제 시스템을 제안한다.In order to enable security service for each tenant as described above, an embodiment of the present invention proposes a cloud center control system.

도 5는 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 구성을 설명하기 위한 블록도이다.FIG. 5 is a block diagram illustrating a configuration of a cloud data center control system according to an embodiment of the present invention. Referring to FIG.

도 5를 참조하면, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)은 테넌트 보안 모듈 구성 결정부(510), 테넌트 모니터링 모듈 구성 결정부(520), 및 테넌트 정책 결정부(530)를 포함하여 구성될 수 있다.5, the cloud data center control system 500 according to the present invention includes a tenant security module configuration determining unit 510, a tenant monitoring module configuration determining unit 520, and a tenant policy determining unit 530 Lt; / RTI >

한편, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)는 추가적인 구성요소로 테넌트 구성 적용부(540), 테넌트 보안 정책 적용부(550), 및 보안 모니터링 및 분석부(560)를 추가로 포함할 수 있다. 상기 테넌트 구성 적용부(540), 테넌트 보안 정책 적용부(550), 및 보안 모니터링 및 분석부(560)는 도 1에서 예시된 클라우드 데이터 센터 관제 시스템(120)의 대응되는 명칭을 가진 구성 요소들에 대응될 수 있으나, 세부적인 기능에서는 차이가 있을 수 있다.Meanwhile, the cloud data center control system 500 according to the present invention may further include a tenant configuration application unit 540, a tenant security policy application unit 550, and a security monitoring and analysis unit 560 as additional components . The tenant configuration application unit 540, the tenant security policy application unit 550, and the security monitoring and analysis unit 560 may be implemented by the components having corresponding names of the cloud data center control system 120 illustrated in FIG. , But there may be differences in the detailed functions.

또한, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)는 테넌트 보안 모듈 구성 결정부(510), 테넌트 모니터링 모듈 구성 결정부(520), 및 테넌트 정책 결정부(530)가 이용하는 보안 모듈 정보(571), 모니터링 모듈 정보(572), 보안 모듈별 정책 정보(573)가 저장된 정보 저장부(570)를 추가로 포함하거나, 외부에 둘 수 있다.In addition, the cloud data center control system 500 according to the present invention may be configured such that the tenant security module configuration determining unit 510, the tenant monitoring module configuration determining unit 520, and the security module information 571 used by the tenant policy determining unit 530 ), Monitoring module information 572, and security module-specific policy information 573, which are stored in the information storage unit 570.

먼저, 테넌트 보안 모듈 구성 결정부(510)는 보안 분석 결과에 따라서 보안 서비스 조정이 필요한 경우에 테넌트에 추가되는 보안 모듈을 결정하고 보안 모듈의 설치 위치를 결정하는 역할을 담당할 수 있다. 테넌트 보안 모듈 구성 결정부(510)의 동작을 위하여 정보 저장부(570)에는 사용 가능한 보안 모듈에 대한 정보(571)가 사전에 등록되어 있어 보안 모듈 별 특징들을 고려하여 테넌트 별로 적절한 보안 모듈을 테넌트 보안 모듈 구성 결정부(510)에서 결정할 수 있도록 한다. 테넌트 보안 모듈 구성 결정부(510)에서 사용을 결정할 수 있는 보안 모듈은, 앞서 언급된 바와 같이, IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 및 UTM(Unified Threat Management) 중 적어도 하나의 기능을 수행할 수 있으며, 이외에도 다양한 보안 기능을 수행할 수 있다.First, the tenant security module configuration determining unit 510 may determine the security module to be added to the tenant and determine the installation location of the security module when the security service adjustment is required according to the security analysis result. In order to operate the tenant security module configuration determining unit 510, the information 571 of available security modules is registered in advance in the information storage unit 570, So that the security module configuration determination unit 510 can determine the security module configuration. As described above, the security module that can determine use of the at least one of the Intrusion Prevention System (IPS), Intrusion Detection System (IDS), and Unified Threat Management (UTM) Function, and various security functions can be performed.

다음으로, 테넌트 모니터링 모듈 구성 결정부(520)는 보안 모니터링 강화가 필요한 경우에 추가로 설치될 모니터링 모듈과 그 설치 위치를 결정하는 역할을 담당할 수 있다. 테넌트 모니터링 모듈 구성 결정부(520)의 동작을 위하여 정보 저장부(570)에는 사용 가능한 모니터링 모듈에 대한 정보(572)가 사전에 등록되어 있어 모니터링 모듈 별 특징들을 고려하여 테넌트 별로 적절한 모니터링 모듈을 테넌트 모니터링 모듈 구성 결정부(520)에서 결정할 수 있도록 한다. 여기에서, 모니터링 모듈은 테넌트를 구성하는 가상 서버들 간의 플로우(flow)를 모니터링하는 플로우 모니터링 모듈 등일 수 있다.Next, the tenant monitoring module configuration determining unit 520 may play a role of determining the monitoring module to be installed and the installation location thereof when the security monitoring enhancement is required. In order to operate the tenant monitoring module configuration determining unit 520, the information 572 of the available monitoring modules is registered in advance in the information storage unit 570, So that the monitoring module configuration determining unit 520 can make the determination. Here, the monitoring module may be a flow monitoring module that monitors a flow between virtual servers constituting the tenant.

다음으로, 테넌트 정책 결정부(530)는 테넌트 보안 정책 정보를 기반으로 보안 분석 결과와 테넌트에 설치된 보안/모니터링 모듈에 대하여 사용할 정책을 결정하며, 동적인 정보를 이용하여 실제 적용해야 할 정책을 생성하는 역할을 담당한다. 테넌트 정책 결정부(530)에서 결정한 보안 모듈/모니터링 모듈별 정책에 대한 정보는 정보 저장부(570)에 모듈별 정책 정보(573)로서 저장될 수 있다. Next, the tenant policy decision unit 530 determines a policy to be used for the security analysis result and the security / monitoring module installed in the tenant based on the tenant security policy information, and generates a policy to be actually applied using the dynamic information It is the role of The information on the policy for each security module / monitoring module determined by the tenant policy decision unit 530 can be stored in the information storage unit 570 as the policy information 573 for each module.

추가적인 구성요소로서, 테넌트 구성 적용부(540)는 테넌트에 대해서 정의된 가상 인프라스트럭처를 실제 적용하는 구성요소이며, 이에 관련된 정보는 정보 저장부(570) 내에 테넌트 구성정보(574)로서 저장된다. 테넌트 구성 적용부(540)는 테넌트 보안 모듈 구성 결정부(510)에서 결정한 보안 모듈의 설치 또는 제거나 테넌트 모니터링 모듈 구성 결정부(520)에서 결정한 모니터링 모듈의 설치 또는 제거를 대상 테넌트에 대해서 정의된 가상 인프라스트럭처에 실제로 적용하는 역할을 담당하게 된다. 이는 도 1의 클라우드 센터 관제 시스템에 존재하는 기능에 대응되지만 실제로 세부적인 차이가 존재할 수 있다. As a further component, the tenant configuration application unit 540 is a component that actually applies the virtual infrastructure defined for the tenant, and information related to the virtual infrastructure is stored as tenant configuration information 574 in the information storage unit 570. The tenant configuration application unit 540 determines whether or not the security module determined by the tenant security module configuration determination unit 510 is installed or removed or the installation or removal of the monitoring module determined by the tenant monitoring module configuration determination unit 520, And will play a role that is actually applied to the virtual infrastructure. This corresponds to the function existing in the cloud center control system of FIG. 1, but there may actually be a detailed difference.

추가적인 구성요소로서, 테넌트 보안 정책 적용부(550)는 각 테넌트별 또는 공통 보안 정책, 예를 들어 방화벽 룰 등을 적용하는 구성요소이며, 이에 필요한 정책은 정보 저장부(570)에 테넌트 보안 정책 정보(575)로서 저장된다. As a further component, the tenant security policy applying unit 550 is a component for applying each tenant or a common security policy, for example, a firewall rule, etc., and a policy necessary for the tenant security policy application unit 550 may include a tenant security policy information (575).

추가적인 구성요소로서, 보안 모니터링 및 분석부(560)는 보안에 관련된 모니터링 및 분석을 수행하며, 보안 관련 정보는 정보 저장부(570)에 테넌트 보안 정보(576)로서 저장된다.As a further component, the security monitoring and analysis unit 560 performs security related monitoring and analysis, and security related information is stored in the information storage unit 570 as tenant security information 576. [

실제 클라우드 관제 시스템에는 기타 다른 기능들이 존재할 수 있으나, 본 발명의 논점을 흐리지 않기 위해서, 본 발명에 직접적으로 관련이 없는 부분은 생략하였다.Other functions may exist in an actual cloud control system, but in order not to obscure the present invention, portions not directly related to the present invention are omitted.

상기 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템에서는 보안 모듈과 모니터링 모듈은 별도로 표시 하였으나, 실제로는 하나의 모듈에서 보안 기능과 보안 모니터링 기능을 동시에 갖고 있을 수 있다. 또한, 보안 모듈이나 모니터링 모듈이 추가 구성될 경우에 테넌트 구성 적용부(540)는 정보 저장부(570)에서 보안 모듈 또는 모니터링 모듈에 대한 정보를 참조하여 보안 모듈 또는 모니터링 모듈을 테넌트의 가상 인프라에 설치하며, 테넌트 보안정책 적용부(575)는 수정된 보안 정책을 테넌트에 적용한다.In the cloud data center control system according to an embodiment of the present invention, the security module and the monitoring module are separately displayed. However, the security module and the security monitoring function may be simultaneously provided in one module. In addition, when a security module or a monitoring module is additionally configured, the tenant configuration application unit 540 refers to the information about the security module or the monitoring module in the information storage unit 570 and transmits the security module or the monitoring module to the tenant's virtual infrastructure And the tenant security policy application unit 575 applies the modified security policy to the tenant.

도 6은 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 동작 방법을 설명하기 위한 블록도이다.6 is a block diagram illustrating an operation method of a cloud data center control system according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 동작 방법은 테넌트별 보안 관련 정보를 수집/저장/분석하는 단계(S610), 보안 모듈 또는 모니터링 모듈과 관련된 테넌트의 재구성을 결정하는 단계(S620 및 S630), 결정된 보안 모듈 또는 모니터링 모듈이 반영된 테넌트의 구성을 적용하는 단계(S640), 및 보안/모니터링 정책을 결정하는 단계(S650)를 포함하여 구성될 수 있다.6, an operation method of a cloud data center control system according to an embodiment of the present invention includes collecting / storing / analyzing security-related information for each tenant (S610), reconfiguring a tenant related to a security module or a monitoring module A step S640 of applying the configuration of the tenant to which the determined security module or the monitoring module is reflected, and a step of determining the security / monitoring policy S650.

먼저, 단계(S610)는 테넌트별 보안 관련 정보의 수집/저장/분석이 이루어지는 단계이다. 단계(S610)는 보안 모니터링 및 분석부(560)에서 수행될 수 있으며, 분석 결과는 테넌트 보안정보(576)로서 정보 저장부(570)에 기록되고 테넌트 보안 모듈 구성 결정부(510)에 통지된다. 이때, 보안 정보의 수집은 통합 보안 장비나 통합 보안모니터링 장비로부터 수집되어 테넌트 별로 가공될 수도 있고 테넌트 별로 별도로 보안 모니터링 장치가 있어 이를 테넌트 별로 수집될 수도 있으며, 가상 인프라에 대한 모니터링 정보가 보안 분석에 사용될 수도 있다. 본 발명은 이러한 수집 또는 분석 방식에 한정되지 않는다.First, step S610 is a step of collecting / storing / analyzing security-related information for each tenant. The step S610 may be performed in the security monitoring and analysis unit 560 and the analysis result is recorded in the information storage unit 570 as the tenant security information 576 and notified to the tenant security module configuration determination unit 510 . At this time, the collection of security information may be collected from integrated security equipment or integrated security monitoring equipment, and it may be processed by tenant. Also there is security monitoring device for each tenant, which may be collected by tenant. . The present invention is not limited to this collection or analysis method.

다음으로, 보안 모듈과 관련된 재구성을 결정하는 단계에서는 테넌트별 보안 관련 정보의 분석 결과를 기반으로 해당 테넌트에 대해서 보안 모듈의 재구성(추가/삭제/변경) 필요성을 결정하고(S620), 결정 결과에 따라서 테넌트 구성 정보를 변경한다(S621). 상기 단계(S620 및 S621)는 테넌트 보안 모듈 구성 결정부(510)에 의해서 보안 모니터링 및 분석부(560)로부터 제공된 테넌트별 보안 관련 정보와 정보 저장부(570)에 저장된 보안 모듈 정보(571)에 기반하여 수행될 수 있다. 여기에서, 보안 모듈은, 앞서 언급된 바와 같이, IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 및 UTM(Unified Threat Management) 중 적어도 하나의 기능을 수행할 수 있으며, 이외에도 다양한 보안 기능을 수행할 수 있다Next, in the step of determining reconfiguration related to the security module, the necessity of reconfiguring (adding / deleting / changing) the security module to the corresponding tenant is determined based on the analysis result of the security related information for each tenant (S620) Accordingly, the tenant configuration information is changed (S621). The steps S620 and S621 may be performed by the tenant security module configuration determining unit 510 in accordance with the security related information for each tenant provided from the security monitoring and analyzing unit 560 and the security module information 571 stored in the information storing unit 570 . ≪ / RTI > Here, the security module can perform at least one of the functions of IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management) as described above. Can do it

다음으로, 모니터링 모듈과 관련된 재구성을 결정하는 단계에서는 테넌트별 보안 관련 정보의 분석 결과를 기반으로 해당 테넌트에 대해서 모니터링 모듈의 재구성(추가/삭제/변경) 필요성을 결정하고(S630), 결정 결과에 따라서 테넌트 구성 정보를 변경한다(S631). 상기 단계(S630 및 S631)는 테넌트 모니터링 모듈 구성 결정부(520)에 의해서 보안 모니터링 및 분석부(560)로부터 제공된 테넌트별 보안 관련 정보와 정보 저장부(570)에 저장된 모니터링 모듈 정보(572)에 기반하여 수행될 수 있다.Next, in the step of determining the reconfiguration related to the monitoring module, the necessity of reconfiguring (adding / deleting / changing) the monitoring module to the corresponding tenant is determined based on the analysis result of security-related information for each tenant (S630) Accordingly, the tenant configuration information is changed (S631). The steps (S630 and S631) are performed by the tenant monitoring module configuration determining unit 520 in accordance with the security related information for each tenant provided from the security monitoring and analyzing unit 560 and the monitoring module information 572 stored in the information storing unit 570 . ≪ / RTI >

다음으로, 단계(S640)에서는 테넌트 보안 모듈 구성 결정부(510) 또는 테넌트 모니터링 모듈 구성 결정부(520)에 의해서 결정된 보안 모듈 또는 모니터링 모듈을 테넌트에 대해서 정의된 가상 인프라스트럭처에 실제로 반영한다. 단계(S640)는 테넌트 구성 적용부(540)에 의해서 수행될 수 있다. Next, in step S640, the security module or the monitoring module determined by the tenant security module configuration determining unit 510 or the tenant monitoring module configuration determining unit 520 is actually reflected in the virtual infrastructure defined for the tenant. Step S640 may be performed by the tenant configuration application unit 540. [

이때, 상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트를 구성하는 가상 머신들 간에 위치하거나 상기 테넌트를 구성하는 가상 머신의 앞에 위치할 수 있다. 또는, 상기 보안 모듈은 상기 테넌트에 기본적으로 제공되는 기본 보안 기능을 대체하여 구성될 수도 있다. 또한, 상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동될 수 있다.At this time, The security module or the monitoring module may be located between virtual machines constituting the tenant or in front of a virtual machine constituting the tenant. Alternatively, the security module may be configured to replace the basic security function provided in the tenant. In addition, the security module or the monitoring module may be driven by using a separate virtual machine on the tenant, or may be additionally installed and operated in a virtual machine existing in the tenant.

마지막으로, 단계(S650)에는 보안/모니터링 모듈의 변경(추가/수정/삭제)이 있거나 분석결과에 따라서 보안/모니터링 모듈에 정책 변경이 필요하다고 판단되면 해당 테넌트에 보안 정책을 수정하고 이를 테넌트에 적용한다. 보안 정책은 모니터링 모듈에 대한 변경도 포함되며, 통합 보안 모듈이나 테넌트별 보안 모듈 정책의 변경도 이에 포함된다.Finally, in step S650, if it is determined that there is a change (addition / modification / deletion) of the security / monitoring module or a policy change is required to the security / monitoring module according to the analysis result, the security policy is modified to the corresponding tenant, To be applied. The security policy also includes changes to the monitoring module, including changes to the integrated security module or tenant security module policies.

상기 절차들은 주기적 또는 이벤트 기반의 비주기적으로 반복적으로 발생할 수 있으며, 테넌트 별로 서로 다르게 적용될 수 있다. The above procedures can be repeated cyclically or event-based non-periodically, and can be applied differently for each tenant.

한편, 상기 실시예에서는 상황에 따라서 테넌트 별 보안 서비스를 강화하는 경우에 대해서 설명하고 있으나, 본 발명의 다양한 실시예서는 테넌트의 일시적인 보안 문제가 해결되면 보안 서비스를 원래 수준으로 복귀시키는 것도 가능하다. 따라서, 본 발명에서는 테넌트 별 보안 서비스에 대한 강화뿐만 아니라 강화 서비스를 상황에 따라서 적절한 수준으로 조정하는 것도 가능하다.Meanwhile, in the above embodiment, the security service for each tenant is strengthened according to the situation. However, various embodiments of the present invention can return the security service to the original level when the temporary security problem of the tenant is solved. Accordingly, in the present invention, it is possible to adjust not only the security service for each tenant but also the security service to an appropriate level according to the situation.

상기와 같이 본 발명은 보안 분석결과에 따라서 단순히 정책변경 적용에 그치지 않고 보안 모듈이나 모니터링 모듈을 테넌트 별로 변경구성 할 수 있기 때문에 수시로 새로운 보안 모듈 적용이 용이하며, 다양한 보안 기능을 필요에 따라서 사용할 수 있다. 또한 이러한 기능을 자동적으로 진행될 수 있어 상황에 따른 적절한 보안 서비스 수준을 유지하거나 강화시키는데 유리하다. As described above, according to the security analysis result, since the security module or the monitoring module can be changed and configured according to the tenant instead of simply applying the policy change according to the result of the security analysis, the new security module can be applied from time to time and various security functions can be used have. In addition, these functions can be performed automatically, which is advantageous in maintaining or enhancing the appropriate level of security service according to the situation.

본 발명에 따른 테넌트 별 보안 서비스를 제공하기 위한 클라우드 데이터 센터 관제 시스템 및 시스템을 구성하는 구성요소들은 프로그램 코드들로 구성될 수 있으며, 상기 프로그램 코드들은 적어도 하나의 메모리 장치에 저장되어 적어도 하나의 프로세서에 의해서 실행될 수 있다. 이때, 상기 적어도 하나의 메모리 장치와 적어도 하나의 프로세서는 하나의 장치 내에 존재할 수도 있으며, 둘 이상의 장치에 분산되어 존재할 수도 있다. 또한, 상기 각 구성요소들은 각 구성요소가 목적하는 기능에 의해서 정의될 뿐, 상술된 명칭에 의해서 한정되지 않는다. 또한, 상기 설명된 구성요소들 중 적어도 둘 이상이 하나의 기능적 단위로 통합되어 구현될 수도 있다. 또한, 상기 설명된 구성요소들 중 적어도 하나가 둘 이상의 기능적 단위로 분산되어 구현될 수도 있다.The components constituting the cloud data center control system and system for providing the tenant security service according to the present invention may be constituted by program codes, and the program codes may be stored in at least one memory device, . ≪ / RTI > At this time, the at least one memory device and the at least one processor may exist in one apparatus or may be dispersed in two or more apparatuses. In addition, each of the above-described components is defined by a desired function of each component, and is not limited by the above-mentioned names. Also, at least two of the above-described components may be integrated into one functional unit. Also, at least one of the above-described components may be implemented by being distributed in two or more functional units.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that

500: 클라우드 데이터 센터 관제 시스템
510: 테넌트 보안 모듈 구성 결정부
520: 테넌트 모니터링 모듈 구성 결정부
530: 테넌트 정책 결정부
540: 테넌트 구성 적용부, 550: 테넌트 보안 정책 적용부
560: 보안 모니터링 및 적용부
570: 정보 저장부
571: 보안 모듈 정보, 572: 모니터링 모듈 정보
573: 보안 모듈별 정책 정보, 574: 테넌트 구성 정보
575: 테넌트 보안 정책 정보, 576: 테넌트 보안 정보500: Cloud data center control system
510: Tenant Security Module Configuration Decision Unit
520: Tenant monitoring module configuration determining unit
530: Tenant policy decision unit
540: Tenant configuration application unit, 550: Tenant security policy application unit
560: Security Monitoring and Application Department
570: Information storage unit
571: Security module information, 572: Monitoring module information
573: Policy information by security module, 574: Tenant configuration information
575: Tenant security policy information, 576: Tenant security information

Claims (20)

가상화 기술을 이용한 클라우드 데이터 센터에서, 테넌트(tenant) 별 보안 서비스를 제공하기 위한 클라우드 데이터 센터 관제 시스템으로서,
테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 테넌트 보안 모듈 구성 결정부;
테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 테넌트 모니터링 모듈 구성 결정부; 및
상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 테넌트 정책 결정부를 포함하는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.As a cloud data center control system for providing tenant-specific security services in a cloud data center using virtualization technology,
A tenant security module configuration determining unit for determining a security module added to the tenant and an installation location of the security module;
A tenant monitoring module configuration determining unit for determining a monitoring module added to the tenant and an installation location of the monitoring module; And
And a tenant policy determination unit for determining a policy to be used for the security module or the monitoring module.
Cloud data center control system. 청구항 1에 있어서,
보안에 관련된 모니터링 및 분석을 수행하여 테넌트별 보안 관련 정보를 제공하는 보안 모니터링 및 분석부를 포함하고,
상기 테넌트 보안 모듈 구성 결정부는 상기 보안 모니터링 및 분석부가 제공하는 테넌트별 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
And a security monitoring and analysis unit for performing security related monitoring and analysis to provide security-related information for each tenant,
Wherein the tenant security module configuration determining unit determines an installation location of the security module and the security module added to the tenant based on security-related information for each tenant provided by the security monitoring and analysis unit.
Cloud data center control system. 청구항 1에 있어서,
상기 테넌트 보안 모듈 구성 결정부에서 결정한 보안 모듈 또는 상기 테넌트 모니터링 모듈 구성 결정부에서 결정한 모니터링 모듈을 상기 테넌트에 대해서 정의된 가상 인프라스트럭쳐에 적용하는 테넌트 구성 적용부를 추가로 포함하는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
Further comprising a tenant configuration application unit for applying the security module determined by the tenant security module configuration determination unit or the monitoring module determined by the tenant monitoring module configuration determination unit to the virtual infrastructure defined for the tenant.
Cloud data center control system. 청구항 1에 있어서,
테넌트들에 대해서 공통적으로 적용되는 공통 보안 정책을 적용하는 테넌트 보안 정책 적용부를 추가로 포함한 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
And a tenant security policy application unit applying a common security policy commonly applied to tenants.
Cloud data center control system. 청구항 4에 있어서,
상기 공통 보안 정책은 방화벽(firewall) 룰인 것인 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method of claim 4,
Wherein the common security policy is a firewall rule.
Cloud data center control system. 청구항 1에 있어서,
상기 보안 모듈은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈인 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
Wherein the security module is a module that performs at least one of an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and a Unified Threat Management (UTM)
Cloud data center control system. 청구항 1에 있어서,
상기 모니터링 모듈은 플로우(flow) 모니터링 모듈인 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
Characterized in that the monitoring module is a flow monitoring module.
Cloud data center control system. 청구항 1에 있어서,
상기 보안 모듈은 상기 테넌트를 구성하는 가상 머신들 간에 위치하거나 상기 테넌트를 구성하는 가상 머신의 앞에 위치하는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
Wherein the security module is located between virtual machines constituting the tenant or in front of a virtual machine constituting the tenant.
Cloud data center control system. 청구항 1에 있어서,
상기 보안 모듈은 상기 테넌트에 기본적으로 제공되는 기본 보안 기능을 대체하여 구성되는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.The method according to claim 1,
Wherein the security module is configured to replace a basic security function provided in the tenant.
Cloud data center control system. 청구항 1에 있어서,
상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동되는 것을 특징으로 하는,
클라우드 데이터 관제 시스템.The method according to claim 1,
Wherein the security module or the monitoring module is driven by using a separate virtual machine on the tenant or further installed and driven in a virtual machine existing in the tenant.
Cloud data control system. 가상화 기술을 이용한 클라우드 데이터 센터에서, 테넌트(tenant) 별 보안 서비스를 제공하는 방법으로서,
테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가될 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 단계;
상기 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 단계; 및
상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 단계를 포함하는 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.As a method of providing tenant-specific security services in a cloud data center using virtualization technology,
Determining a security module to be added to the tenant and an installation location of the security module based on security-related information about the tenant;
Determining installation positions of the monitoring module and the monitoring module added to the tenant based on security-related information about the tenant; And
And determining a policy to be used for the security module or the monitoring module.
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
보안에 관련된 모니터링 및 분석을 수행하여 상기 테넌트별 보안 관련 정보를 수집하는 단계를 추가로 포함하는 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Further comprising monitoring and analyzing security related information to collect security-related information for each tenant.
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
상기 결정된 보안 모듈 또는 모니터링 모듈을 상기 테넌트에 대해서 정의된 가상 인프라스트럭쳐에 적용하는 단계를 추가로 포함하는 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Further comprising applying the determined security module or monitoring module to a virtual infrastructure defined for the tenant.
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
상기 보안 모듈은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈인 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Wherein the security module is a module that performs at least one of an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and a Unified Threat Management (UTM)
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
상기 모니터링 모듈은 플로우(flow) 모니터링 모듈인 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Characterized in that the monitoring module is a flow monitoring module.
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
상기 보안 모듈은 상기 테넌트를 구성하는 가상 머신들 간에 위치하거나 상기 테넌트를 구성하는 가상 머신의 앞에 위치하는 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Wherein the security module is located between virtual machines constituting the tenant or in front of a virtual machine constituting the tenant.
How to provide tenant security services in the cloud data center. 청구항 11에 있어서,
상기 보안 모듈은 상기 테넌트에 기본적으로 제공되는 기본 보안 기능을 대체하여 구성되는 것을 특징으로 하는,
클라우드 데이터 센터에서의 테넌트 별 보안 서비스 제공 방법.The method of claim 11,
Wherein the security module is configured to replace a basic security function provided in the tenant.
How to provide tenant security services in the cloud data center. 가상화 기술을 이용한 클라우드 데이터 센터에서, 테넌트(tenant) 별 보안 서비스를 제공하기 위한 클라우드 데이터 센터 관제 시스템으로서, 프로그램 코드를 저장한 메모리 장치와 상기 프로그램 코드를 실행하는 적어도 하나의 프로세서를 포함하고,
상기 프로그램 코드는,
테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가될 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 단계;
상기 테넌트에 대한 보안 관련 정보에 기반하여 상기 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 단계; 및
상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 단계를 포함하는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.A cloud data center control system for providing tenant-specific security services in a cloud data center using virtualization technology, comprising: a memory device storing program codes; and at least one processor executing the program codes,
The program code comprises:
Determining a security module to be added to the tenant and an installation location of the security module based on security-related information about the tenant;
Determining installation positions of the monitoring module and the monitoring module added to the tenant based on security-related information about the tenant; And
And determining a policy to be used for the security module or the monitoring module.
Cloud data center control system. 청구항 18에 있어서,
상기 보안 모듈은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), UTM(Unified Threat Management) 기능 중 적어도 하나를 수행하는 모듈인 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.19. The method of claim 18,
Wherein the security module is a module that performs at least one of an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and a Unified Threat Management (UTM)
Cloud data center control system. 청구항 18에 있어서,
상기 보안 모듈 또는 모니터링 모듈은 상기 테넌트 상에 별도의 가상 머신을 이용하여 구동되거나 상기 테넌트에 존재하는 가상 머신에 추가로 설치되어 구동되는 것을 특징으로 하는,
클라우드 데이터 센터 관제 시스템.
19. The method of claim 18,
Wherein the security module or the monitoring module is driven by using a separate virtual machine on the tenant or further installed and driven in a virtual machine existing in the tenant.
Cloud data center control system.
KR1020160174179A 2016-12-20 2016-12-20 Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same KR20180071480A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160174179A KR20180071480A (en) 2016-12-20 2016-12-20 Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160174179A KR20180071480A (en) 2016-12-20 2016-12-20 Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same

Publications (1)

Publication Number Publication Date
KR20180071480A true KR20180071480A (en) 2018-06-28

Family

ID=62780048

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160174179A KR20180071480A (en) 2016-12-20 2016-12-20 Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same

Country Status (1)

Country Link
KR (1) KR20180071480A (en)

Similar Documents

Publication Publication Date Title
US10666670B2 (en) Managing security breaches in a networked computing environment
US10536469B2 (en) System conversion in a networked computing environment
CN101257413B (en) Method, apparatus and system for enabling a secure location-aware platform
EP3714583B1 (en) Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment
US8370481B2 (en) Inventory management in a computing-on-demand system
EP3646549B1 (en) Firewall configuration manager
US20130074181A1 (en) Auto Migration of Services Within a Virtual Data Center
WO2016160523A1 (en) Conditional declarative policies
US20090328193A1 (en) System and Method for Implementing a Virtualized Security Platform
US20180054456A1 (en) Website security tracking across a network
WO2017102035A1 (en) Trust based computing
JP6616404B2 (en) Automatic response to threat detection for cloud virtual machines
US10248807B2 (en) Enhanced permission allocation in a computing environment
KR20180086919A (en) Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv
US10212078B2 (en) Enabling network services in multi-tenant IAAS environment
US9349012B2 (en) Distributed processing system, distributed processing method and computer-readable recording medium
KR20180071480A (en) Cloud data center operating system for per-tenant security service in cloud computing, and operation method for the same
US20180152544A1 (en) Emergency data cutoff for storage systems
EP3343835A1 (en) Network element management method and system
KR20200119432A (en) Cloud data center operating system
KR20150116509A (en) Method and appratus for collecting and analyzing traffic data on cloud computing system
CN114584515A (en) Endpoint notification of storage area network congestion
KR20230096615A (en) Edge cloud operating system for large-scale multi-cluster provisioning
US20150324238A1 (en) Load distribution of logical switch routers in a distributed system
KR20170101584A (en) Host server providing service for virtual desktop based on plurality of single root i/o virtualization(sr-iov) network card and operating method thereof