KR20200119432A - Cloud data center operating system - Google Patents

Cloud data center operating system Download PDF

Info

Publication number
KR20200119432A
KR20200119432A KR1020190038638A KR20190038638A KR20200119432A KR 20200119432 A KR20200119432 A KR 20200119432A KR 1020190038638 A KR1020190038638 A KR 1020190038638A KR 20190038638 A KR20190038638 A KR 20190038638A KR 20200119432 A KR20200119432 A KR 20200119432A
Authority
KR
South Korea
Prior art keywords
tenant
security
module
cloud data
data center
Prior art date
Application number
KR1020190038638A
Other languages
Korean (ko)
Inventor
김종철
Original Assignee
김종철
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김종철 filed Critical 김종철
Priority to KR1020190038638A priority Critical patent/KR20200119432A/en
Publication of KR20200119432A publication Critical patent/KR20200119432A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

The present invention relates to a cloud data center using virtualization technology. More specifically, a cloud data control system comprises: a tenant security module configuration determination unit determining a security module added to a tenant and an installation location of the security module; a tenant monitoring module configuration determination unit determining a monitoring module added to the tenant and an installation location of the monitoring module; and a tenant policy determination unit determining a policy to be used for the security module or the monitoring module.

Description

클라우드 데이터 관제시스템{Cloud data center operating system}Cloud data center operating system

본 발명은 가상화 기술을 이용한 클라우드 데이터 센터(cloud data center)에 관한 것이다.The present invention relates to a cloud data center using virtualization technology.

가상화 기술을 이용한 클라우드 센터는 전통적인 데이터센터와는 다르게 여러 사용자가 자신의 가상자원(가상서버, 가상 네트워크, 가상 스토리지 등)을 임대하여 즉시적으로 사용할 수 있도록 인프라스트럭쳐 서비스를 제공하고 있다. 이와 같이 사용자 각각이 임대한 전용의 인프라스트럭쳐를 테넌트(tenant)라 통칭한다.Unlike traditional data centers, cloud centers using virtualization technology provide infrastructure services so that multiple users can lease their own virtual resources (virtual servers, virtual networks, virtual storage, etc.) and use them immediately. In this way, the dedicated infrastructure rented by each user is collectively referred to as a tenant.

따라서, 하나의 클라우드 센터에는 다수의 테넌트들이 동시에 존재할 수 있다.Therefore, multiple tenants can exist simultaneously in one cloud center.

이러한 환경에서, 각 테넌트는 물리적인 인프라를 공유하며, 가상화 기술을 통해 독립적인 가상 인프라를 사용하게 된다. 경우에 따라서, 동일 서버, 네트워크 장치를 다른 테넌트가 같이 사용하게 되며, 이때 테넌트는 하이퍼바이저 또는 가상 네트워크 기술에 의해 분리되어 운용된다. 한편 클라우드 센터에는 이러한 장비와 테넌트들을 효과적으로 관리하기 위한 클라우드 센터 관제 시스템(Cloud OS)가 포함되며, 대표적인 Cloud OS는 Openstack, CloudStack 등이 있다.In this environment, each tenant shares a physical infrastructure, and uses an independent virtual infrastructure through virtualization technology. In some cases, different tenants use the same server and network device together, and the tenants are operated separately by hypervisor or virtual network technology. Meanwhile, the cloud center includes a cloud center control system (Cloud OS) to effectively manage such equipment and tenants, and representative Cloud OS include Openstack and CloudStack.

기존의 클라우드 센터의 보안 서비스는, 통합 보안 장비(FW, IPS 등)를 게이트웨이 위치에 설치하는 것과 같이 여러 테넌트가 보안 장치를 공유하여 사용하는 방식, 또는 테넌트 별로 기본 보안 기능만 제공하고 사용자가 직접 설치 또는 임대하는 형태(FWaaS)로 보안 기능을 설치 운용하는 방식을 사용하고 있다.Existing cloud center security services are a method in which multiple tenants share and use security devices, such as installing integrated security equipment (FW, IPS, etc.) at the gateway location, or provide only basic security functions for each tenant and allow users to directly In the form of installation or lease (FWaaS), security functions are installed and operated.

하지만, 인터넷의 보안 위협이 높아지는 상황에서 통합 보안 장치를 공유하여 사용하는 방법, 테넌트 별로 보안위협을 분석하는 방법 또는 테넌트 별로 정책을 변경하는 수준으로는 알맞은 보안 서비스를 테넌트 별로 제공하는 것에 한계가 있으며, 상황에 따라서 테넌트 별로 보안 서비스를 강화하거나 보안 모니터링을 강화하는 관제시스템이 절실히 필요하다.However, there is a limit to providing appropriate security services for each tenant at the level of sharing and using integrated security devices, analyzing security threats for each tenant, or changing policies for each tenant in a situation where Internet security threats increase. In addition, there is a desperate need for a control system that reinforces security services or security monitoring for each tenant depending on the situation.

상술한 종래의 문제점을 해결하기 위해 본 발명은 가상화 기술을 이용하는 클라우드 데이터 센터에서, 테넌트 별 보안 서비스를 제공하기 위한 데이터 센터 관제 시스템의 구성을 제공하는데 있다.In order to solve the above-described conventional problem, the present invention is to provide a configuration of a data center control system for providing security services for each tenant in a cloud data center using virtualization technology.

상술한 기술적 과제를 해결하기 위해 테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 테넌트 보안 모듈 구성 결정부와, 테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 테넌트 모니터링 모듈 구성 결정부 및 상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 테넌트 정책 결정부를 포함하는 것을 특징으로 한다.A tenant security module configuration determination unit that determines a security module added to the tenant and an installation location of the security module in order to solve the above technical problems, and a tenant monitoring that determines the installation location of the monitoring module added to the tenant and the monitoring module. It characterized in that it comprises a module configuration determining unit and a tenant policy determining unit for determining a policy to be used for the security module or the monitoring module.

본 발명에 따르면, 클라우드 데이터 센터 내에 존재하는 테넌트 별로 최적화된 보안 서비스를 제공할 수 있는 효과를 갖는다.According to the present invention, it is possible to provide an optimized security service for each tenant existing in a cloud data center.

도 1은 가상화 클라우드 데이터 센터의 테넌트 구성 및 클라우드 데이터 센터의 관제 시스템의 구성예를 설명하기 위한 블록도이다.
도 2는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 일 양태를 설명하기 위한 개념도이다.
도 3은 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 다른 양태를 설명하기 위한 개념도이다.
도 4는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 또 다른 양태를 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 구성을 설명하기 위한 블록도이다.1 is a block diagram for explaining a configuration example of a tenant configuration of a virtualized cloud data center and a control system of a cloud data center.
2 is a conceptual diagram illustrating an aspect in which differentiated security services are provided for each tenant according to an embodiment of the present invention.
3 is a conceptual diagram for explaining another aspect in which differentiated security services are provided for each tenant according to an embodiment of the present invention.
4 is a conceptual diagram for explaining another aspect in which differentiated security services are provided for each tenant according to an embodiment of the present invention.
5 is a block diagram illustrating the configuration of a cloud data center control system according to an embodiment of the present invention.

이하, 상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Hereinafter, other objects and features of the present invention in addition to the above objects will be clearly revealed through the description of the embodiments with reference to the accompanying drawings, and unless otherwise defined, all terms used herein including technical or scientific terms are It has the same meaning as commonly understood by one of ordinary skill in the art to which the invention belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and should not be interpreted as an ideal or excessively formal meaning unless explicitly defined in this application. Does not.

가상화 기술(virtualization technology)를 이용하는 클라우드 데이터 센터는 전통적인 데이터센터와는 다르게 여러 사용자가 자신의 가상자원(가상 서버, 가상 네트워크, 가상 스토리지 등)을 임대하여 즉시적으로 사용할 수 있도록 인프라스트럭처 서비스(infrastructure service)를 제공하고 있다. 클라우드 데이터 센터에서 사용자 각각이 임대한 전용의 가상 인프라스트럭처를 테넌트(tenant)라 통칭한다. 따라서, 클라우드 데이터 센터에는 여러 테넌트가 동시에 존재할 수 있다.Unlike traditional data centers, cloud data centers using virtualization technology allow multiple users to lease their own virtual resources (virtual servers, virtual networks, virtual storage, etc.) and use them immediately. service). The dedicated virtual infrastructure leased by each user in the cloud data center is collectively referred to as a tenant. Thus, multiple tenants can exist simultaneously in a cloud data center.

도 1은 가상화 클라우드 데이터 센터의 테넌트 구성 및 클라우드 데이터 센터의 관제 시스템의 구성예를 설명하기 위한 블록도이다.1 is a block diagram for explaining a configuration example of a tenant configuration of a virtualized cloud data center and a control system of a cloud data center.

도 1을 참조하면, 클라우드 데이터 센터(110) 내의 각 테넌트(111, 112, 113)는, 물리적인 컴퓨팅 자원과 네트워크 자원을 공유하는 물리적인 인프라스트럭처(114)를 공유하며, 가상화 기술을 통해 독립적인 가상 인프라로서 존재하게 된다.Referring to FIG. 1, each tenant (111, 112, 113) in the cloud data center 110 shares a physical infrastructure 114 that shares physical computing resources and network resources, and is independent through virtualization technology. It will exist as a virtual infrastructure.

경우에 따라서, 테넌트는 동일 서버, 네트워크 장치를 다른 테넌트와 같이 사용하게 되며, 이때 테넌트는 하이퍼바이저(hypervisor) 또는 가상 네트워크 기술에 의해 분리되어 운용된다.In some cases, the tenant uses the same server and network device with other tenants, and the tenant is operated separately by a hypervisor or virtual network technology.

또한, 클라우드 데이터 센터는 이러한 장비와 테넌트들을 효과적으로 관리하기 위한 클라우드 데이터 센터 관제시스템(Cloud Operating System(OS); 120)에 의해서 운영된다. 대표적인 클라우드 데이터 센터 관제 시스템으로는 Openstack, CloudStack 등이 있다.In addition, the cloud data center is operated by a cloud data center control system (Cloud Operating System (OS)) 120 to effectively manage such equipment and tenants. Representative cloud data center control systems include Openstack and CloudStack.

도 1에서는, 본 발명의 주요 특징을 흐리지 않기 위해서, 클라우드 데이터 센터 관제 시스템의 필요한 구성요소들만을 도시하였으나, 실제 클라우드 데이터 센터 관제 시스템은 많은 추가적인 구성요소들을 포함할 수 있고, 다양한 형상으로 구현될 수 있을 것이다.In FIG. 1, in order not to obscure the main features of the present invention, only necessary components of the cloud data center control system are shown, but the actual cloud data center control system may include many additional components, and may be implemented in various shapes. I will be able to.

한편, 기존의 클라우드 데이터 센터의 보안 서비스는, 도 1에서 도시된 바와 같이 통합 보안 장비(115)를 게이트웨이 위치에 설치하는 것과 같이 여러 테넌트가 보안 장치를 공유하여 사용하는 방식, 또는 테넌트 별로 기본 보안 기능(예컨대, 방화벽(FW: FireWall) 기능) 등만 제공하고 사용자가 직접 설치 또는 임대하는 형태(FWaaS)로 보안 기능을 설치 운용하는 방식(Openstack)을 이용하고 있다.Meanwhile, the security service of the existing cloud data center is a method in which multiple tenants share and use security devices, such as installing the integrated security equipment 115 at the gateway location as shown in FIG. 1, or basic security for each tenant. It provides only functions (for example, a firewall (FW: FireWall) function) and installs and operates security functions in the form of direct installation or lease (FWaaS) by the user (Openstack).

하지만, 인터넷의 보안위협이 높아지는 상황에서 통합 보안 장치를 공유하여 사용하는 방법, 테넌트 별로 보안 위협을 분석하는 방법 또는 테넌트 별로 정책을 변경하는 수준으로는 알맞은 보안 서비스를 테넌트 별로 제공하는 것에 한계가 있으며, 상황에 따라서 테넌트 별로 보안 서비스를 강화하거나 보안 모니터링을 강화하는 관제시스템 절차가 필요하다.However, there is a limit to providing appropriate security services for each tenant at the level of sharing and using integrated security devices, analyzing security threats for each tenant, or changing policies for each tenant in the context of increasing Internet security threats. In addition, depending on the situation, a control system procedure is required to reinforce security services or security monitoring for each tenant.

클라우드 서비스를 제공받는 사용자들은 다양한 자원 및 형태의 인프라를 구성할 수 있으며, 인프라 구성 형태에 따라서 다양한 수준의 보안 서비스를 요구할 수 있다. 특히, 보안 서비스에는 초기 설치된 보안 서비스 상황에서 이상이 감지될 경우에 자동으로 보안 서비스를 강화하는 자동 보안 강화 기능이 필요하게 된다. Users who are provided with cloud services can configure various types of infrastructure and resources, and can request various levels of security services according to the type of infrastructure configuration. In particular, the security service needs an automatic security enhancement function that automatically strengthens the security service when an abnormality is detected in the initially installed security service situation.

따라서, 본 발명의 실시예들은 이와 같이 테넌트 별로 최적의 보안 서비스를 제공할 수 있도록 하는 클라우드 데이터 센터 관제 시스템의 구성 및 그 동작 방법을 제공한다.Accordingly, embodiments of the present invention provide a configuration and operation method of a cloud data center control system that enables optimal security services for each tenant as described above.

본 발명의 실시예들에 따라서 테넌트 별로 차별화된 보안 서비스의 양태를 도면을 참조하여 설명하면 다음과 같다.An aspect of a security service differentiated for each tenant according to embodiments of the present invention will be described with reference to the drawings.

도 2 내지 도 4는 본 발명의 실시예에 따라서 테넌트 별로 차별화된 보안 서비스가 제공되는 양태를 설명하기 위한 개념도들이다.2 to 4 are conceptual diagrams for explaining an aspect in which differentiated security services are provided for each tenant according to an embodiment of the present invention.

도 2 내지 도 4에서 예시된, 본 발명의 실시예들에 따른 테넌트 별 보안 서비스 양태에서는 기본 보안 기능이 제공되는 상황에서 보안 서비스 강화를 위하여 추가 모듈이 적용되거나, 기본 보안 기능을 대체한 보안 서비스 모듈이 적용될 수 있다. 여기서 보안 서비스를 위해서 추가되는 추가모듈은 보안 기능 모듈이거나 보안 모니터링 모듈일 수 있다.In the security service aspect for each tenant according to the embodiments of the present invention illustrated in FIGS. 2 to 4, an additional module is applied to reinforce the security service in a situation where a basic security function is provided, or a security service replacing the basic security function Modules can be applied. Here, the additional module added for the security service may be a security function module or a security monitoring module.

먼저, 도 2를 참조하면, 테넌트 1(210)은 기본 보안 기능(211)만 제공되는 상황에서 가상 서버 1(212)과 가상서버 2(213)간에 문제가 있다고 분석된 경우 IPS와 같은 강화된 보안 기능(214)을 가상 서버 사이에 추가로 설치한 것이거나 단순히 상세한 보안 모니터링을 위하여 추가 모니터링 모듈을 설치하여 보안 모니터링을 강화한 상황을 나타낸다. 이때, 추가모듈은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 및 UTM(Unified Threat Management) 중 적어도 하나의 기능을 수행하는 보안 모듈, 또는 보안 모니터링을 강화하기 위한 상세 모니터링 모듈(가상 서버들 간의 플로우(flow)를 모니터링하는 플로우 모니터링 모듈 등)일 수 있다.First, referring to FIG. 2, when it is analyzed that there is a problem between the virtual server 1 212 and the virtual server 2 213 in a situation where only the basic security function 211 is provided, the tenant 1 210 This indicates a situation in which the security function 214 is additionally installed between virtual servers, or an additional monitoring module is simply installed for detailed security monitoring to enhance security monitoring. At this time, the additional module is a security module that performs at least one function of IPS (Intrusion Prevention System), IDS (Intrusion Detection System), and UTM (Unified Threat Management), or a detailed monitoring module for reinforcing security monitoring (virtual server It may be a flow monitoring module that monitors the flow between them).

다음으로, 도 3를 참조하면, 테넌트 2(220)는 기본 보안 기능(221), 예를 들어 방화벽 만으로 보안을 확보하지 못한다고 판단하여 추가 보안 기능을 수행하는 추가 모듈(223)을 가상 서버(222) 앞에 설치한 것이다. 이때, 추가모듈은, 앞서 언급된 바와 같이, IPS, IDS, 및 UTM 중 적어도 하나의 기능을 수행하는 보안 모듈일 수 있다.Next, referring to FIG. 3, tenant 2 220 determines that security cannot be secured by only a basic security function 221, for example, a firewall, and provides an additional module 223 that performs an additional security function as a virtual server 222 ) Installed in front. In this case, the additional module may be a security module that performs at least one function of IPS, IDS, and UTM, as mentioned above.

마지막으로, 도 4를 참조하면, 테넌트 3(230)은 기본 보안 기능을 제고하고 강화된 추가 모듈들(234, 235)을 가상 서버들(231, 232, 233) 간에 여러 군데 추가로 설치한 경우를 예시하고 있다. 이때, 추가모듈은, 앞서 언급된 바와 같이, IPS, IDS, 및 UTM 중 적어도 하나의 기능을 수행하는 보안 모듈일 수 있다.Finally, referring to FIG. 4, when the tenant 3 230 has improved basic security functions and additionally enhanced additional modules 234 and 235 are installed between virtual servers 231, 232 and 233 in several places. Is illustrated. In this case, the additional module may be a security module that performs at least one function of IPS, IDS, and UTM, as mentioned above.

한편, 상기 도 2 내지 도 4에서 예시된 추가 모듈은 보안 모듈(IPS, IDS, UTM 등) 또는 테넌트 별로 보안 모니터링을 강화하기 위한 모니터링 모듈(flow 모니터링 장치 등)일 수 있다. 또한, 도 2 내지 도 4에서는, 보안 모듈 또는 모니터링 모듈과 같은 추가 모듈은 별도의 가상 머신에서 구동되는 것처럼 도시되었으나, 가상서버나 기존 보안 모듈 또는 장치에 추가로 장착되어 동일한 가상 머신에서 구동될 수도 있다.Meanwhile, the additional module illustrated in FIGS. 2 to 4 may be a security module (IPS, IDS, UTM, etc.) or a monitoring module (flow monitoring device, etc.) for reinforcing security monitoring for each tenant. In addition, in FIGS. 2 to 4, an additional module such as a security module or a monitoring module is illustrated as being driven in a separate virtual machine, but may be additionally mounted on a virtual server or an existing security module or device to be driven in the same virtual machine. have.

상기와 같이 테넌트별 보안 서비스를 가능하게 하기 위하여 본 발명의 일 실시예에서는 클라우드 센터 관제 시스템을 제안한다.In order to enable tenant-specific security services as described above, in an embodiment of the present invention, a cloud center control system is proposed.

도 5는 본 발명의 일 실시예에 따른 클라우드 데이터 센터 관제 시스템의 구성을 설명하기 위한 블록도이다.5 is a block diagram illustrating the configuration of a cloud data center control system according to an embodiment of the present invention.

도 5를 참조하면, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)은 테넌트 보안 모듈 구성 결정부(510), 테넌트 모니터링 모듈 구성 결정부(520), 및 테넌트 정책 결정부(530)를 포함하여 구성될 수 있다.5, the cloud data center control system 500 according to the present invention includes a tenant security module configuration determination unit 510, a tenant monitoring module configuration determination unit 520, and a tenant policy determination unit 530. Can be configured.

한편, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)는 추가적인 구성요소로 테넌트 구성 적용부(540), 테넌트 보안 정책 적용부(550), 및 보안 모니터링 및 분석부(560)를 추가로 포함할 수 있다. 상기 테넌트 구성 적용부(540), 테넌트 보안 정책 적용부(550), 및 보안 모니터링 및 분석부(560)는 도 1에서 예시된 클라우드 데이터 센터 관제 시스템(120)의 대응되는 명칭을 가진 구성 요소들에 대응될 수 있으나, 세부적인 기능에서는 차이가 있을 수 있다.On the other hand, the cloud data center control system 500 according to the present invention further includes a tenant configuration application unit 540, a tenant security policy application unit 550, and a security monitoring and analysis unit 560 as additional components. I can. The tenant configuration application unit 540, the tenant security policy application unit 550, and the security monitoring and analysis unit 560 are components having corresponding names of the cloud data center control system 120 illustrated in FIG. 1 May correspond to, but there may be differences in detailed functions.

또한, 본 발명에 따른 클라우드 데이터 센터 관제 시스템(500)는 테넌트 보안 모듈 구성 결정부(510), 테넌트 모니터링 모듈 구성 결정부(520), 및 테넌트 정책 결정부(530)가 이용하는 보안 모듈 정보(571), 모니터링 모듈 정보(572), 보안 모듈별 정책 정보(573)가 저장된 정보 저장부(570)를 추가로 포함하거나, 외부에 둘 수 있다.In addition, the cloud data center control system 500 according to the present invention includes security module information 571 used by the tenant security module configuration determination unit 510, the tenant monitoring module configuration determination unit 520, and the tenant policy determination unit 530. ), monitoring module information 572, and security module-specific policy information 573 may be additionally included or placed outside the information storage unit 570.

먼저, 테넌트 보안 모듈 구성 결정부(510)는 보안 분석 결과에 따라서 보안 서비스 조정이 필요한 경우에 테넌트에 추가되는 보안 모듈을 결정하고 보안 모듈의 설치 위치를 결정하는 역할을 담당할 수 있다. 테넌트 보안First, the tenant security module configuration determination unit 510 may play a role of determining a security module to be added to the tenant and determining an installation location of the security module when security service adjustment is required according to the security analysis result. Tenant security

모듈 구성 결정부(510)의 동작을 위하여 정보 저장부(570)에는 사용 가능한 보안 모듈에 대한 정보(571)가 사전에 등록되어 있어 보안 모듈 별 특징들을 고려하여 테넌트 별로 적절한 보안 모듈을 테넌트 보안 모듈 구성 결정부(510)에서 결정할 수 있도록 한다. 테넌트 보안 모듈 구성 결정부(510)에서 사용을 결정할 수 있는 보안모듈은, 앞서 언급된 바와 같이, IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 및 UTM(Unified Threat Management) 중 적어도 하나의 기능을 수행할 수 있으며, 이외에도 다양한 보안 기능을 수행할 수 있다.For the operation of the module configuration determination unit 510, information 571 on usable security modules is registered in advance in the information storage unit 570, so that the appropriate security module for each tenant is selected in consideration of the characteristics of each security module. The configuration determination unit 510 can determine. The security module that can be used by the tenant security module configuration determination unit 510 is, as mentioned above, at least one of an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and a Unified Threat Management (UTM). Functions can be performed, and various security functions can be performed.

다음으로, 테넌트 모니터링 모듈 구성 결정부(520)는 보안 모니터링 강화가 필요한 경우에 추가로 설치될 모니터링 모듈과 그 설치 위치를 결정하는 역할을 담당할 수 있다. 테넌트 모니터링 모듈 구성 결정부(520)의 동작을 위하여 정보 저장부(570)에는 사용 가능한 모니터링 모듈에 대한 정보(572)가 사전에 등록되어 있어 모니터링 모듈 별 특징들을 고려하여 테넌트 별로 적절한 모니터링 모듈을 테넌트 모니터링 모듈 구성 결정부(520)에 서 결정할 수 있도록 한다. 여기에서, 모니터링 모듈은 테넌트를 구성하는 가상 서버들 간의 플로우(flow)를 모니터링하는 플로우 모니터링 모듈 등일 수 있다.Next, the tenant monitoring module configuration determination unit 520 may play a role of determining a monitoring module to be additionally installed and an installation location thereof when reinforcement of security monitoring is required. For the operation of the tenant monitoring module configuration determining unit 520, information 572 about usable monitoring modules is registered in advance in the information storage unit 570, so that an appropriate monitoring module for each tenant is tenant in consideration of the characteristics of each monitoring module. This allows the monitoring module configuration determination unit 520 to determine. Here, the monitoring module may be a flow monitoring module or the like that monitors a flow between virtual servers constituting a tenant.

다음으로, 테넌트 정책 결정부(530)는 테넌트 보안 정책 정보를 기반으로 보안 분석 결과와 테넌트에 설치된 보안/모니터링 모듈에 대하여 사용할 정책을 결정하며, 동적인 정보를 이용하여 실제 적용해야 할 정책을 생성하는 역할을 담당한다. 테넌트 정책 결정부(530)에서 결정한 보안 모듈/모니터링 모듈별 정책에 대한 정보는 정보저장부(570)에 모듈별 정책 정보(573)로서 저장될 수 있다.Next, the tenant policy decision unit 530 determines the policy to be used for the security analysis result and the security/monitoring module installed in the tenant based on the tenant security policy information, and creates a policy to be actually applied using dynamic information. I play a role. Information on a policy for each security module/monitoring module determined by the tenant policy determination unit 530 may be stored in the information storage unit 570 as policy information 573 for each module.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, in the present invention, specific matters such as specific components, etc., and limited embodiments and drawings have been described, but this is provided only to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , If a person of ordinary skill in the field to which the present invention belongs, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적인 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention is limited to the described embodiments and should not be determined, and all those having variations equivalent or equivalent to the claims, as well as the claims to be described later, will belong to the scope of the inventive concept. .

110: 클라우드 데이터 센터
120: 데이터 센터 관제시스템
210: 테넌트 1
220: 테넌트 2110: Cloud Data Center
120: data center control system
210: tenant 1
220: tenant 2

Claims (1)

테넌트에 추가되는 보안 모듈 및 상기 보안 모듈의 설치 위치를 결정하는 테넌트 보안 모듈 구성 결정부;
테넌트에 추가되는 모니터링 모듈과 상기 모니터링 모듈의 설치 위치를 결정하는 테넌트 모니터링 모듈 구성 결정부; 및
상기 보안 모듈 또는 상기 모니터링 모듈에 대하여 사용할 정책을 결정하는 테넌트 정책 결정부;를 포함하는 것을 특징으로 하는 클라우드 데이터 관제시스템.
A security module added to the tenant and a tenant security module configuration determining unit determining an installation location of the security module;
A monitoring module added to the tenant and a tenant monitoring module configuration determining unit determining an installation location of the monitoring module; And
And a tenant policy determination unit that determines a policy to be used for the security module or the monitoring module.
KR1020190038638A 2019-04-02 2019-04-02 Cloud data center operating system KR20200119432A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190038638A KR20200119432A (en) 2019-04-02 2019-04-02 Cloud data center operating system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190038638A KR20200119432A (en) 2019-04-02 2019-04-02 Cloud data center operating system

Publications (1)

Publication Number Publication Date
KR20200119432A true KR20200119432A (en) 2020-10-20

Family

ID=73025217

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190038638A KR20200119432A (en) 2019-04-02 2019-04-02 Cloud data center operating system

Country Status (1)

Country Link
KR (1) KR20200119432A (en)

Similar Documents

Publication Publication Date Title
US10862773B2 (en) Performing services on data messages associated with endpoint machines
US10341366B2 (en) Managing security breaches in a networked computing environment
US10802893B2 (en) Performing process control services on endpoint machines
US10397352B2 (en) Network infrastructure management
US11522905B2 (en) Malicious virtual machine detection
US8813225B1 (en) Provider-arbitrated mandatory access control policies in cloud computing environments
US8370481B2 (en) Inventory management in a computing-on-demand system
US10243966B2 (en) Configuration management for virtual machine environment
US9058211B2 (en) Pre-validation in a computing on demand system
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
EP3646549B1 (en) Firewall configuration manager
US11128629B2 (en) Escalating user privileges in cloud computing environments
US20090328193A1 (en) System and Method for Implementing a Virtualized Security Platform
US9275004B2 (en) Hybrid firewall for data center security
US20210258208A1 (en) Fast Provisioning in Cloud Computing Environments
CN109861972B (en) Safety architecture system of industrial information control integrated platform
CN111352737A (en) Container cloud computing service platform based on resource pool
WO2017102035A1 (en) Trust based computing
US20180357428A1 (en) Network security for data storage systems
JP6616404B2 (en) Automatic response to threat detection for cloud virtual machines
US20170098095A1 (en) Enhanced permission allocation in a computing environment
US11290490B2 (en) Cloud service security management
US9244743B1 (en) Remotely interacting with a virtualized machine instance
KR20200119432A (en) Cloud data center operating system
US20180302445A1 (en) Secure policy audit in shared enforcement environment