ES2897502T3 - Método de suministro de un proxy de conexión segura - Google Patents
Método de suministro de un proxy de conexión segura Download PDFInfo
- Publication number
- ES2897502T3 ES2897502T3 ES17754398T ES17754398T ES2897502T3 ES 2897502 T3 ES2897502 T3 ES 2897502T3 ES 17754398 T ES17754398 T ES 17754398T ES 17754398 T ES17754398 T ES 17754398T ES 2897502 T3 ES2897502 T3 ES 2897502T3
- Authority
- ES
- Spain
- Prior art keywords
- accounts
- privileged
- information
- account
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- General Business, Economics & Management (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Un método de suministro automático de un proxy (3) para una conexión segura a objetivos remotos (37) sobre la base de datos de cuentas privilegiadas, caracterizado porque incluye: - un paso para utilizar un bot para explorar al menos un dominio (1, 2) provisto de un directorio (19, 29) para identificar las cuentas privilegiadas (32), el directorio que comprende, por un lado, el registro de una lista de cuentas que consisten en información tal como el identificador de un usuario, información sobre la identificación del usuario, sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, el directorio que comprende, por otro lado, el registro de otra lista, separado de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma, el bot que consulta el directorio para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados y los identificadores de todas las máquinas en el dominio (1, 2), el bot (4) luego realiza una conexión remota a cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina y recopilar la información del registro de actividad correspondiente, - un paso de filtrado de acuerdo con la información recopilada durante el paso anterior, basado en parámetros que definen un subconjunto de cuentas privilegiadas, luego de lo cual se seleccionan las cuentas privilegiadas; - un paso de cálculo de una asociación óptima entre las máquinas y las cuentas seleccionadas al completar el paso de filtrado, el paso de cálculo tiene en cuenta la información del registro de actividad; - un paso de suministro de los datos de la cuenta privilegiada seleccionada al proxy.
Description
DESCRIPCIÓN
Método de suministro de un proxy de conexión segura
Campo de la invención
La presente invención se refiere al campo de los servidores de aplicaciones y más específicamente al campo de los procesos y sistemas para que un usuario acceda a recursos de aplicaciones alojados en uno o más servidores. Con el fin de fortalecer la seguridad contra el fraude y los errores involuntarios, los terminales y los usuarios de los mismos están sujetos a una gestión de "privilegios".
En este modelo, la seguridad se descarga del terminal o del acceso al sistema de información al usuario real, lo más cerca posible de los datos. Así, a cada usuario se le asigna un “rol” que definirá las autorizaciones del usuario tanto dentro del sistema de información como de la propia empresa: derechos de acceso, derechos de modificación o incluso derechos de visualización; cada perfil está asociado a un corpus de autorización.
Este enfoque tiene una doble ventaja: primero, es preventivo ya que un error de manipulación o el acceso a un archivo protegido, en principio, no es posible; en segundo lugar, es correctivo, ya que cualquier comportamiento anormal se puede informar automáticamente a los operadores para que se puedan tomar medidas correctivas. Si una estación de trabajo dedicada al mantenimiento se conecta repentinamente a la contabilidad, probablemente haya un error o, peor aún, un intento de pirateo.
Para que se implemente por completo, esta política de administración de privilegios debe definirse minuciosamente y debe ser especialmente capaz de seguir los cambios dentro de la empresa. En el curso de una carrera, los derechos de un asociado pueden así evolucionar, al igual que la integración de una nueva aplicación puede cuestionar los privilegios establecidos. Cuanto más precisa sea la granularidad de esta política, mejores serán los resultados de la misma.
El campo de la invención es más específicamente el de los sistemas de información que combinan una pluralidad de máquinas, con una gestión segura del acceso a cada máquina por una o más cuentas privilegiadas a través de un proxy.
Los usuarios administradores tienen "privilegios" que no comparten los usuarios estándar. Sin los privilegios de administrador, es, por ejemplo, imposible instalar software. Ciertas cuentas de usuario (como la cuenta "root") tienen privilegios de administrador de forma permanente. Los privilegios de administrador permiten cambiar partes importantes del sistema, si fuese necesario, donde la seguridad evita que el usuario las cambie inadvertidamente. El problema específico de la invención es, por tanto, el procesamiento de cuentas privilegiadas, cuyo contexto general se presentó anteriormente.
Los sistemas informáticos modernos suelen utilizar varias cuentas privilegiadas para proporcionar un acceso seguro a los recursos de tecnología de la información. Los diversos tipos de cuentas privilegiadas se pueden implementar mediante un único sistema para proporcionar diferentes roles y/o niveles de acceso. Por ejemplo, una cuenta de usuario puede tener derechos diferentes a los de una cuenta de administrador.
Debido a la gran variedad de tipos y/o roles, administrar la información de identificación y/o asegurar múltiples cuentas es tedioso. Además, ver y/o mostrar estas cuentas de manera significativa puede volverse desafiante. Las cuentas privilegiadas, como las cuentas de administrador, se definen inicialmente en el dominio administrado por el proxy, por ejemplo, el dominio de Windows, para una o más máquinas.
Técnica anterior
La asociación de una máquina del sistema con un usuario que tiene los derechos necesarios y suficientes para conectarse a esta generalmente se maneja mediante una interfaz hombre-máquina del proxy de acceso seguro, lo que permite organizar las asociaciones entre las diversas cuentas privilegiadas y las diversas máquinas objetivo. Esta interfaz permite completar las diversas cuentas privilegiadas manualmente mediante el uso de un formulario o descargando un archivo de cuenta. Esta interfaz también permite enviar información a las diversas máquinas manualmente mediante un formulario o descargando un archivo.
A continuación, se realiza un emparejamiento entre las cuentas privilegiadas y las máquinas mediante la intervención manual del operador a discreción del operador. Este paso da como resultado la creación de varios cientos de asociaciones. Luego, en cada declaración de una nueva máquina, el operador crea una nueva asociación con una o más cuentas privilegiadas.
También se conoce de la técnica anterior la solicitud de patente de Estados Unidos US20150200943 que describe una solución que hace posible asociar retroactivamente una o más políticas de acceso con una cuenta que no está asociada con al menos una política de acceso. Al asociar una política de acceso con una cuenta, la gestión del acceso a uno o más recursos proporcionados por la cuenta se puede automatizar de acuerdo con la política de acceso asociada. Un sistema de gestión de identidad (IDM) puede gestionar las políticas de acceso para establecer el acceso a los recursos de los sistemas objetivo. Las cuentas que no están asociadas con una política de acceso se pueden asociar con las políticas de acceso que rigen el acceso a los recursos identificados por esas cuentas. El acceso a los recursos asociados con esas cuentas se puede actualizar de acuerdo con el acceso otorgado por las políticas de acceso asociadas con esas cuentas.
También se conoce la patente US5768519, que propone una solución para fusionar un dominio de origen y un dominio de destino dentro de una red, que consiste en reemplazar una primera identificación de cuenta para cada cuenta asociada al dominio de origen, por una segunda identificación de cuenta asociada al dominio de destino. Luego, para cada cuenta asociada con el dominio de origen, la primera identificación de cuenta se agrega a una estructura de datos de seguridad de cuenta que almacena la identificación de cuenta con la que ya se ha asociado la cuenta cuando se asoció con un dominio previamente fusionado.
También se conoce de la solicitud de patente US20150271200 otra solución de gestión de cuentas para resistir ciertos ataques denominados "justo a tiempo", que comprende un componente de gestión de cuentas diseñado para recibir una consulta de una primera cuenta por medio de un dispositivo cliente para una segunda cuenta para acceder a un dispositivo servidor en un conjunto de dispositivos servidores, un componente de autorización de cuenta para autorizar la consulta para la segunda cuenta en base, al menos en parte, a la información de la cuenta asociada con la primera cuenta, un componente de provisión de cuentas diseñado para proporcionar la segunda cuenta para permitir que un cliente acceda al dispositivo servidor, y un componente de notificación de cuenta diseñado para suministrar información de la cuenta asociada con la segunda cuenta a un cliente por medio del dispositivo cliente. Se describen y se reivindican otras modalidades.
Inconvenientes de la técnica anterior
La solicitud de patente US20150200943 describe una solución que hace posible asociar retroactivamente una o más políticas de acceso con una cuenta que no está asociada con al menos una política de acceso.
En consecuencia, se trata de un contexto totalmente diferente al de la invención, que, por el contrario, se refiere a la gestión de cuentas ya asociadas a una política de acceso, y más específicamente a la gestión de cuentas únicamente privilegiadas.
La solución propuesta por la solicitud de patente US20150200943 implica la búsqueda de un gran número de cuentas, es decir, todas las cuentas de usuario, y el procesamiento de este gran número de cuentas sin distinción entre cuentas de usuario “ordinarias” y cuentas con privilegios.
Solución proporcionada por la invención
El propósito de la presente invención es proponer una solución para asociar automáticamente una máquina remota con la cuenta privilegiada más apropiada.
La presente invención se define en las reivindicaciones 1-4.
Para ello, la invención se refiere a un método de suministro automático de un proxy de acceso seguro basado en datos de cuentas privilegiadas, caracterizado porque dicho método comprende:
- un paso en el que un bot explora al menos un dominio para identificar cuentas privilegiadas
- un paso para filtrar las cuentas privilegiadas según criterios
- un paso para suministrar al proxy los datos recopilados.
El método comprende preferiblemente los siguientes pasos:
- pasos para extraer propiedades de las cuentas privilegiadas identificadas
- pasos para explorar los registros de actividad de las máquinas exploradas por cada una de las cuentas privilegiadas identificadas y asociaciones entre las máquinas exploradas y la cuenta de uso más relevante.
Según una primera variante, los datos de la cuenta privilegiada recopilados se registran en un archivo destinado a ser suministrado al proxy.
Según una segunda variante, los datos de la cuenta privilegiada recopilados se envían directamente al proxy a través de una interfaz de programación de aplicaciones.
Descripción detallada de un ejemplo no limitativo de la invención.
La presente invención se entenderá más claramente a partir de la siguiente descripción detallada de un ejemplo no limitativo de la invención, con referencia a los dibujos adjuntos, en los que:
- la figura 1 muestra la arquitectura de hardware general de un sistema informático.
- la figura 2 muestra la arquitectura de hardware de un sistema informático según la invención.
Antecedentes de la invención
La figura 1 es una representación esquemática de un sistema de información, por ejemplo, el sistema de información de una empresa u organización.
Los usuarios "ordinarios" (31) tienen derechos de acceso simples que les permiten ver los datos en un espacio de memoria accesible para ellos, o ejecutar aplicaciones almacenadas en un servidor (39) mediante, por ejemplo, una aplicación de "Administrador de descargas de Internet (IDM)" (36) que permite gestionar las descargas de contenidos desde el servidor (39) a través de Internet.
Los usuarios de categoría especial (32) tienen cuentas privilegiadas que, además, les permiten realizar tareas de administración tales como cambiar los derechos de usuarios ordinarios (31) o crear nuevas cuentas de usuario, o cambiar un programa o instalar o eliminar un programa.
Estos usuarios (32) acceden tanto a los recursos comunes mediante una sesión normal (38) como, ocasionalmente, acceden a una sesión con una cuenta privilegiada (37) a través de un proxy (3) y una red de administración (33) que está separada de la red de producción. (34).
La puerta de enlace proxy funciona como una puerta de enlace de red: esta se coloca entre el cliente y el servidor e inspecciona el tráfico en la capa de aplicación. El acceso total al tráfico inspeccionado otorga control a la puerta de enlace sobre las funciones del protocolo y permite restringir o autorizar el acceso a ciertos canales específicos del protocolo, activar sesiones de terminal en SSH, pero desactivar la transferencia de puertos o archivos, o autorizar el acceso al escritorio al protocolo de escritorio remoto, pero desactivar el uso compartido de archivos e impresoras. Las puertas de enlace proxy pueden funcionar de forma transparente en la red y son independientes del cliente y del servidor monitoreado. Esto evita que cualquiera modifique la información de auditoría extraída, ya que los administradores del servidor no tienen acceso a la puerta de enlace proxy. Algunas soluciones incluso hacen posible el almacenamiento de registros de auditoría firmados digitalmente y con fecha y hora en formato cifrado para que ni siquiera el administrador de la puerta de enlace pueda cambiar los registros de auditoría. Debido a su transparencia, las puertas de enlace proxy solo requieren una modificación mínima del entorno de tecnología de la información existente. Dado que los usuarios están en la capa de red, estos pueden seguir utilizando las aplicaciones cliente a las que están acostumbrados sin cambiar sus hábitos de trabajo. Las puertas de enlace proxy pueden intervenir realmente en el tráfico gracias a su posición central en relación con el tráfico de red monitoreado. Esto hace posible, por ejemplo, pedir al usuario que inicie sesión a través de la puerta de enlace para finalizar la conexión hasta que una persona autorizada lo autorice. El trabajo del usuario se puede monitorear en tiempo real gracias a los reportes de tráfico al responsable. También es posible extraer archivos transferidos al servidor y almacenarlos con registros de auditoría para poder verlos posteriormente.
La invención se refiere al suministro automático del proxy (3).
Descripción de la invención
El sistema informático según el ejemplo mostrado en la figura 2 comprende dos ámbitos de exploración (1, 2) que consisten en un conjunto de máquinas (11 a 18; 21 a 28) conectadas por red informática, por ejemplo Ethernet o Internet.
En cada ámbito de exploración (1, 2), una de las máquinas (18, 28) proporciona las funcionalidades de servidor de directorio, por ejemplo en Windows (marca registrada), mediante Active Directory (marca registrada). El directorio (19, 29) hace inventario de todas las máquinas (14 a 18 y 24 a 28) del dominio (1, 2) y la información perteneciente a las cuentas del dominio en cuestión (1, 2), respectivamente.
El directorio (19, 29) comprende el registro de una lista de cuentas que consiste en información tal como el identificador de un usuario, información sobre la identidad del usuario y sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, por ejemplo, administración.
El directorio (19, 29) también comprende el registro de otra lista, separada de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma.
Estas dos listas son independientes, sin relaciones funcionales identificadas en el directorio.
Además, cada máquina de un dominio puede tener cuentas privilegiadas puramente locales no conocidas para el dominio y, por lo tanto, no registradas en el directorio (19, 29).
El problema resuelto por la invención se refiere a la asociación de estas máquinas con las cuentas privilegiadas más adecuadas, y por tanto a la creación de relaciones entre las dos listas de cuentas y máquinas para que los accesos propuestos por un proxy (3) para asegurar las conexiones remotas puedan ser suministrados automáticamente. Para ello, la invención (4) consiste en ejecutar un autodescubrimiento de cuentas y máquinas privilegiadas registradas en los distintos dominios (1, 2) y una autodeducción del emparejamiento más adecuado de cuentas y máquinas privilegiadas en cada dominio (1, 2) bajo el control de un operador a través de una interfaz hombremáquina o a través de una línea de comando basada en texto.
Para ello, se ejecuta un bot en una de las máquinas (14 a 18; 24 a 28) de cada dominio (1, 2) y se procede a consultar el directorio (19, 29) para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados, e identificadores de todas las máquinas del dominio correspondiente (1, 2). Esta información se registra en una memoria temporal. Para las máquinas (11 a 13; 21 a 23) del dominio que no están identificadas en el directorio (19, 29), esta información que proviene del paso en el que el bot consulta el directorio se completa desde un archivo independiente (10, 20) en formato XML, registrado al mismo tiempo que el paso de consulta de las máquinas registradas en el directorio (19, 29).
El bot (4) luego realiza una conexión remota con cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina, y recopilar la información del registro de actividad correspondiente.
Esta información también se registra en una memoria temporal.
El modo de conexión remota de este bot se basa en las funcionalidades de la API de Windows (marca registrada) para preservar la seguridad.
A continuación, se realiza el procesamiento de filtro sobre la información así recopilada en función de los parámetros que definen un subconjunto de cuentas privilegiadas. Por ejemplo, estos parámetros son:
- pertenencia a un grupo estándar
- pertenencia a un grupo definido por su nombre
- el beneficio de un privilegio predeterminado.
El filtro puede combinar varios parámetros utilizando operadores lógicos.
A continuación, se calcula una asociación óptima entre las máquinas y las cuentas seleccionadas en el paso de filtrado. Este cálculo tiene en cuenta los datos del registro de actividad para determinar las mejores combinaciones, por ejemplo ponderando según el número de conexiones de la cuenta a una máquina, o la fecha de conexión más reciente de la cuenta a dicha máquina.
Después de estos pasos, el bot proporciona:
- un conjunto de archivos en formato .csv que se suministran al proxy para la conexión segura (50)
- un conjunto de archivos, cuyo modelo puede ser establecido por el operador (51)
- suministro automatizado del proxy (3) mediante una interfaz de programación de aplicaciones dedicada (52). Además, en el caso de la generación de archivos, el operador puede definir un comando que se ejecutará una vez completada la generación de archivos (53, 54).
Claims (1)
- REIVINDICACIONESUn método de suministro automático de un proxy (3) para una conexión segura a objetivos remotos (37) sobre la base de datos de cuentas privilegiadas, caracterizado porque incluye:- un paso para utilizar un bot para explorar al menos un dominio (1, 2) provisto de un directorio (19, 29) para identificar las cuentas privilegiadas (32), el directorio que comprende, por un lado, el registro de una lista de cuentas que consisten en información tal como el identificador de un usuario, información sobre la identificación del usuario, sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, el directorio que comprende, por otro lado, el registro de otra lista, separado de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma,el bot que consulta el directorio para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados y los identificadores de todas las máquinas en el dominio (1, 2), el bot (4) luego realiza una conexión remota a cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina y recopilar la información del registro de actividad correspondiente,- un paso de filtrado de acuerdo con la información recopilada durante el paso anterior, basado en parámetros que definen un subconjunto de cuentas privilegiadas, luego de lo cual se seleccionan las cuentas privilegiadas;- un paso de cálculo de una asociación óptima entre las máquinas y las cuentas seleccionadas al completar el paso de filtrado, el paso de cálculo tiene en cuenta la información del registro de actividad; - un paso de suministro de los datos de la cuenta privilegiada seleccionada al proxy.El método de suministro automático de un proxy según la reivindicación 1, que comprende además:- pasos de exploración de los registros de actividad de las máquinas exploradas por cada una de las cuentas privilegiadas seleccionadas (32) y asociaciones entre las máquinas exploradas y la cuenta de uso más relevante,- un paso de suministro de los datos recopilados al proxy.El método de suministro automático de un proxy según la reivindicación 1 o 2, en donde los datos de la cuenta privilegiada (32) seleccionada se registran en un archivo destinado a ser suministrado al proxy.El método de suministro automático de un proxy según la reivindicación 1 o 2, en donde los datos de la cuenta privilegiada seleccionada se suministran directamente al proxy a través de una interfaz de programación de aplicaciones para la entrada.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1656906A FR3054343B1 (fr) | 2016-07-20 | 2016-07-20 | Procede d'alimentation automatique d'un proxy de connexion securisee. |
PCT/FR2017/051999 WO2018015681A1 (fr) | 2016-07-20 | 2017-07-20 | Procede d'alimentation automatique d'un proxy de connexion securisee |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2897502T3 true ES2897502T3 (es) | 2022-03-01 |
Family
ID=57045149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES17754398T Active ES2897502T3 (es) | 2016-07-20 | 2017-07-20 | Método de suministro de un proxy de conexión segura |
Country Status (8)
Country | Link |
---|---|
US (1) | US11477205B2 (es) |
EP (1) | EP3488588B1 (es) |
CA (1) | CA3025659A1 (es) |
DK (1) | DK3488588T3 (es) |
ES (1) | ES2897502T3 (es) |
FR (1) | FR3054343B1 (es) |
PL (1) | PL3488588T3 (es) |
WO (1) | WO2018015681A1 (es) |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5768519A (en) * | 1996-01-18 | 1998-06-16 | Microsoft Corporation | Method and apparatus for merging user accounts from a source security domain into a target security domain |
US7587499B1 (en) * | 2000-09-14 | 2009-09-08 | Joshua Haghpassand | Web-based security and filtering system with proxy chaining |
US8631477B2 (en) * | 2009-07-23 | 2014-01-14 | International Business Machines Corporation | Lifecycle management of privilege sharing using an identity management system |
US20110270850A1 (en) * | 2010-04-30 | 2011-11-03 | Microsoft Corporation | Prioritization of Resources based on User Activities |
US8539545B2 (en) * | 2010-07-22 | 2013-09-17 | Juniper Networks, Inc. | Domain-based security policies |
US9326189B2 (en) * | 2012-02-03 | 2016-04-26 | Seven Networks, Llc | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
US9143498B2 (en) * | 2012-08-30 | 2015-09-22 | Aerohive Networks, Inc. | Internetwork authentication |
US9787657B2 (en) * | 2013-09-19 | 2017-10-10 | Oracle International Corporation | Privileged account plug-in framework—usage policies |
US9602545B2 (en) * | 2014-01-13 | 2017-03-21 | Oracle International Corporation | Access policy management using identified roles |
US9699261B2 (en) * | 2014-01-14 | 2017-07-04 | Cyber-Ark Software Ltd. | Monitoring sessions with a session-specific transient agent |
US9838424B2 (en) * | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
US9712563B2 (en) * | 2014-07-07 | 2017-07-18 | Cyber-Ark Software Ltd. | Connection-specific communication management |
US9167047B1 (en) * | 2014-09-24 | 2015-10-20 | Oracle International Corporation | System and method for using policies to support session recording for user account management in a computing environment |
US10075461B2 (en) * | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
-
2016
- 2016-07-20 FR FR1656906A patent/FR3054343B1/fr active Active
-
2017
- 2017-07-20 CA CA3025659A patent/CA3025659A1/fr active Pending
- 2017-07-20 US US16/318,059 patent/US11477205B2/en active Active
- 2017-07-20 PL PL17754398T patent/PL3488588T3/pl unknown
- 2017-07-20 WO PCT/FR2017/051999 patent/WO2018015681A1/fr unknown
- 2017-07-20 DK DK17754398.0T patent/DK3488588T3/da active
- 2017-07-20 EP EP17754398.0A patent/EP3488588B1/fr active Active
- 2017-07-20 ES ES17754398T patent/ES2897502T3/es active Active
Also Published As
Publication number | Publication date |
---|---|
FR3054343A1 (fr) | 2018-01-26 |
EP3488588B1 (fr) | 2021-08-18 |
CA3025659A1 (fr) | 2018-01-25 |
EP3488588A1 (fr) | 2019-05-29 |
US11477205B2 (en) | 2022-10-18 |
FR3054343B1 (fr) | 2020-06-26 |
US20210288969A1 (en) | 2021-09-16 |
WO2018015681A1 (fr) | 2018-01-25 |
DK3488588T3 (da) | 2021-11-22 |
PL3488588T3 (pl) | 2022-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11962622B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
US11277414B2 (en) | Trust relationships in a computerized system | |
US10091169B2 (en) | Method and system for protecting cloud-based applications executed in a cloud computing platform | |
US8819762B2 (en) | System and method for auditing a security policy | |
EP3343841B1 (en) | Access relationships in a computer system | |
US9413778B1 (en) | Security policy creation in a computing environment | |
ES2768049T3 (es) | Procedimientos y sistemas para asegurar y proteger repositorios y directorios | |
EP3143728B1 (en) | Efficient cascading of flow tables in sdn | |
Luo et al. | Openstack security modules: A least-invasive access control framework for the cloud | |
He et al. | A policy management framework for self-protection of pervasive systems | |
ES2897502T3 (es) | Método de suministro de un proxy de conexión segura | |
Revathy et al. | Analysis of big data security practices | |
LAAN | Securing the SDN northbound interface | |
Daly et al. | NT security in an open academic environment | |
McDonald et al. | Securing Reports | |
Campbell et al. | {NT} Security in an Open Academic Environment |