JP2014502767A - クラウド環境をサポートするマルチテナント監査認識 - Google Patents

クラウド環境をサポートするマルチテナント監査認識 Download PDF

Info

Publication number
JP2014502767A
JP2014502767A JP2013548712A JP2013548712A JP2014502767A JP 2014502767 A JP2014502767 A JP 2014502767A JP 2013548712 A JP2013548712 A JP 2013548712A JP 2013548712 A JP2013548712 A JP 2013548712A JP 2014502767 A JP2014502767 A JP 2014502767A
Authority
JP
Japan
Prior art keywords
tenant
data
log
log data
resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013548712A
Other languages
English (en)
Other versions
JP5717879B2 (ja
Inventor
ヒントン、ヒザー、マリア
コーヘン、リチャード、ジェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2014502767A publication Critical patent/JP2014502767A/ja
Application granted granted Critical
Publication of JP5717879B2 publication Critical patent/JP5717879B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】クラウド環境においてログ・ファイルおよび監査レコードに含まれるコンプライアンス・データを取り出す方法を提供する。
【解決手段】クラウド実現集約プロキシ(CEAP)が、データベースに監査データが記憶される前に、当該データを監査対象リソースから受信して処理する。CEAPは、構成可能なコンピューティング・リソースのマルチテナント共用プール(例えば計算クラウド)においてホストされるリソースのログ・データを管理する。ログ・データを管理する方法は、プロキシが複数のリソースから受信されるログ情報を集約および正規化することによって開始する。続いて、集約および正規化されたログ情報は構文解析されて、一組のトランザクションのそれぞれに関連するテナントが識別される。CEAPは、一組のトランザクションのそれぞれに関して、テナントおよび特定のトランザクションに関連するログ・データに、テナント別の識別子を含めるべく注釈を付ける。記憶の前に、任意選択のテナント分類プロキシ(TSP)が、注釈を付けられたログ・データをテナント毎に分類し、テナント別のログ・データは、テナント毎のデータ構造または専用のテナント・ログ・イベント・データベースに記憶されて、後からのコンプライアンスまたはその他の分析を促進するとよい。
【選択図】図1

Description

本開示は、全般的に、クラウド・ベースの環境に関し、具体的には、特にコンプライアンス分析、レポーティング、問題判別およびフォレンジックスのために顧客別の監査データをもたらす技術に関する。
政府による種々の規制のコンプライアンスを証明するために、企業が情報を提供しなければならないことは多い。これらの規制には、例えば、サーベンス・オクスリー(SOX:Sarbanes−Oxley)法、医療保険の携行性と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)および同様のものがある。多くの場合、これらの規制およびその他規制のコンプライアンスは、情報技術(IT:information technology)組織により維持される監査ログに含まれる情報を使用して証明され得る。多くの場合、こうした監査ログは、コンプライアンスのために何年もの間維持される。監査ログは、情報技術統制の実施および有効性、説明責任ならびに脆弱性の確認、もしくはリスク分析、またはそのいずれかの組み合わせに有用である。情報技術組織はさらに、発生し得るセキュリティ・インシデントなど、フォレンジック調査を支援するために、セキュリティ関係のクリティカル・アクティビティの監査を使用し得る。セキュリティ・インシデントが発生すると、監査ログにより、セキュリティ・インシデントの発生前に発生したアクティビティの履歴を分析することができる。このようなアクティビティには、誰が、何を、いつ、どこで、どのように行ったかが含まれる。監査ログの分析により、適切な是正措置がとられ得る。典型的には、監査ログは、運用および傾向レポートを生成するためにレポーティング・プログラムまたはソフトウェアにより情報のクエリを容易に行うことができるよう、リレーショナル・データベースで利用可能にされる。
コンプライアンスは、セキュリティ・ポリシが確実に実施されるようにする能力を保証するものと考えられることもあるが、サービス水準合意(例えば、監査ログのタイムスタンプを使用して全体的なサービス水準合意(SLA:Service Level Agreement)が満たされていることを確認する)、法的コンプライアンス(例えば、プライバシ関係情報の制御もしくは公表に関する)、さらにはポリシ管理自体(例えば、誰がポリシをいつどのように変更したか、それがコンプライアンス・ポリシ管理のポリシに従っていたか)など、ほかの種類のポリシにも適用され得る。さらに、特定のポリシのコンプライアンス、またはシステム内のアクションの詳細なフォレンジックス検査は、単なる「監査」ログ以上のものを必要とし得る。典型的には問題判別検査の範囲内で使用される、エラーおよびトレース・ログへのアクセスも必要とし得る。
新たな情報技術(IT)供給モデルは、共用されるリソース、ソフトウェアおよび情報が、インターネット上でコンピュータおよびその他デバイスにオンデマンドで提供される、クラウド・コンピューティングである。クラウド・コンピューティングは、ワークロード最適化およびサービス供給を改善しながら、ITコストおよび複雑性を大幅に軽減することができる。この手法では、アプリケーション・インスタンスが、HTTP上で従来のウェブ・ブラウザを介してアクセス可能なインターネット・ベースのリソースからホストされて、利用可能にされ得る。
新たなクラウド環境は、クラウド・ベースのサービスをサポートするようになっている既存のITインフラストラクチャから作成されている。既存の環境と異なる、クラウド・コンピューティングの重要な特徴の1つは、複数顧客の単一展開と呼ばれることもある、いわゆる「マルチテナント」サポートの要件である。この要件を満たすために、サービス・プロバイダは、クラウド・サービスの種々の顧客による使用を分離できなければならない。具体的には、顧客には、クラウド・サービスを使用するときに顧客が従い、かつ従わなければならないコンプライアンス指針がある。これらの顧客は、サービス・プロバイダが顧客のコンプライアンス要件をサポートすることを期待し、コンプライアンス分析に使用するためにサービス・プロバイダからデータを取得することを望む。サービス・プロバイダは、そのデータを提供する必要があるが、同時に、クラウド・リソースを共用している特定の顧客間の分離を維持する必要がある。現在のITインフラストラクチャでは、ログ・ファイルおよび監査レコードに含まれるコンプライアンス・データを取り出すことができない。
本開示は、マルチ・テナント・クラウド展開において、受信された監査ログ・データを(例えば注釈によって)補強(enrich)し、当該データが適切なテナント(本願明細書では「顧客」と呼ばれることもある)に関連付けられることを可能にする、方法およびシステムを記載する。本願明細書に記載される技術は、1つのテナントのデータを別の顧客に公開することなく、レポーティングおよびフォレンジックス分析を含むコンプライアンス分析を促進する。
一実施形態では、クラウド実現集約プロキシ(CEAP:cloud enablement aggregation proxy)が、データベースに監査データが記憶される前に、当該データを監査対象リソースから受信して処理する。CEAPは、構成可能なコンピューティング・リソースのマルチテナント共用プール(multi−tenant shared pool)(例えば計算クラウド)においてホストされるリソースのログ・データを管理する。ログ・データを管理する方法は、プロキシが複数のリソースから受信されるログ情報を集約および正規化することによって開始する。続いて、集約および正規化されたログ情報は構文解析されて、一組のトランザクションのそれぞれに関連するテナントが識別される。一実施形態では、構文解析するステップは、ログをとられたトランザクション内のイベント・パターンと、一組のフィルタとを比較し、一組の中の各フィルタは、テナント別の識別子(tenant−specific identifier)と、特定のイベント・パターンとを一意的に関連付ける。トランザクション内のイベント・パターンと、フィルタのうちの1つとの間に一致があると、テナント別の識別子を含めるべく、イベント・パターンに注釈が付けられる。したがって、このようにしてCEAPは、ログ・データがデータ・ストレージに送信される前に、テナント別の識別子を含めるべく当該データに注釈を付ける。記憶の前に、任意選択のテナント分類プロキシ(TSP:tenant separation proxy)が、注釈を付けられたログ・データをテナント毎に分類し、テナント別のログ・データは、テナント毎のデータ構造または専用のテナント・ログ・イベント・データベースに記憶されて、後からのコンプライアンスまたはその他の分析を促進するとよい。
別の実施形態では、上記の方法が、プロセッサと、プロセッサによって実行されると本方法を実行するコンピュータ・プログラム命令を保持するコンピュータ・メモリとを含む装置において実行される。
もう1つ別の実施形態では、上記の方法が、データ処理システムにおいて使用されるコンピュータ可読媒体内のコンピュータ・プログラム製品によって実行される。コンピュータ・プログラム製品は、データ処理システムによって実行されると本方法を実行するコンピュータ・プログラム命令を保持する。
前述の事項は、本発明の、より関連の深い特徴のいくつかを概説した。これらの特徴は、説明のためのものにすぎないと解釈される必要がある。このほか多数の有益な結果を、開示された発明を種々の方法で適用することによって、または記載されるように本発明を変更することによって得ることができる。
本発明およびその利点がより包括的に理解されるよう、以下、添付の図面と併せて解釈される以下の説明を参照する。
説明のための実施形態の例示の側面が実装され得る分散型データ処理環境の例示のブロック図を示す。 説明のための実施形態の例示の側面が実装され得るデータ処理システムの例示のブロック図である。 本発明の実施形態による、クラウド計算環境の抽象化モデル層を示す。 コンプライアンス分析のためにログ・データが監査対象リソースから回収され、データベースに入れられる、既存の手法を示す。 本開示による、クラウド実現集約プロキシ(CEAP)およびテナント分類プロキシ(TSP)を示す。 個々のクラウド・テナントに関して別々に監査データが収集および維持される、本開示の第1の実施形態を示す。 ログ・イベント・データベース内のテナント毎のデータ構造においてテナント毎のログ・データが利用可能にされる、本開示の第2の実施形態を示す。 テナント毎のログ・イベント・データベースにおいてテナント毎のログ・データが利用可能にされる、本開示の第3の実施形態を示す。
以下、図面、特に図1〜2を参照する。本開示の説明のための実施形態が実装され得るデータ処理環境の例示の図が提供されている。当然のことながら、図1〜2は例示でしかなく、開示される主題の側面または実施形態が実装され得る環境に関していかなる制限を主張することも、示唆することも目的としていない。示される環境に対して、多数の変更が、本発明の意図および範囲から逸脱することなく加えられ得る。
クライアント−サーバ・ネットワーク・モデル
以下、図面を参照する。図1は、説明のための実施形態の側面が実装され得る例示の分散型データ処理システムの図的表現を示す。分散型データ処理システム100は、説明のための実施形態の側面が実装され得るコンピュータのネットワークを含むとよい。分散型データ処理システム100は、分散型データ処理システム100内で接続されている様々なデバイスおよびコンピュータ間の通信リンクを提供するために使用される媒体である少なくとも1つのネットワーク102を含む。ネットワーク102は、有線、無線通信リンクまたは光ファイバ・ケーブルなどの接続を含むとよい。
示されている例では、ストレージ・ユニット108のほか、サーバ104およびサーバ106がネットワーク102に接続されている。さらに、クライアント110、112および114もネットワーク102に接続されている。これらのクライアント110、112および114は、例えばパーソナル・コンピュータ、ネットワーク・コンピュータまたは同様のものであればよい。示されている例では、サーバ104が、ブート・ファイル、オペレーティング・システム・イメージおよびアプリケーションなどのデータをクライアント110、112および114に提供する。示されている例では、クライアント110、112および114は、サーバ104のクライアントである。分散型データ処理システム100は、図示されていないさらなるサーバ、クライアントおよびその他のデバイスを含み得る。
示されている例では、分散型データ処理システム100は、伝送制御プロトコル/インターネット・プロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)プロトコル・スイートを使用して相互に通信するネットワークおよびゲートウェイの世界的な集合を表すネットワーク102を備えるインターネットである。インターネットの中心には、データおよびメッセージをルーティングする多数の商用、政府機関用、教育機関用およびその他のコンピュータ・システムから成る主要ノードまたはホスト・コンピュータ間の、高速データ通信回線のバックボーンがある。当然、分散型データ処理システム100は、例えばイントラネット、ローカル・エリア・ネットワーク(LAN:local area network)、広域ネットワーク(WAN:wide area network)または同様のものなど、いくつかの異なる種類のネットワークを含むよう実装されることもある。上記のように、図1は、開示される主題の種々の実施形態のアーキテクチャ上の制限としてではなく、例として意図されたものである。したがって、図1に示されている特定の構成要素は、本発明の説明のための実施形態が実装され得る環境に関する制限と見なされてはならない。
以下、図2を参照する。説明のための実施形態の側面が実装され得る例示のデータ処理システムのブロック図が示されている。データ処理システム200は、本開示の説明のための実施形態のプロセスを実装するコンピュータ使用可能コードまたは命令があるとよい、図1のクライアント110などのコンピュータの例である。
以下、図2を参照する。説明のための実施形態が実装され得るデータ処理システムのブロック図が示されている。データ処理システム200は、説明のための実施形態のプロセスを実装するコンピュータ使用可能プログラム・コードまたは命令があるとよい、図1のサーバ104またはクライアント110などのコンピュータの例である。説明のためのこの例では、データ処理システム200は、プロセッサ・ユニット204と、メモリ206と、永続性ストレージ208と、通信ユニット210と、入出力(I/O:input/output)ユニット212と、ディスプレイ214との間の通信を提供する通信ファブリック202を含む。
プロセッサ・ユニット204は、メモリ206にロードされ得るソフトウェアの命令を実行する働きをする。プロセッサ・ユニット204は、特定の実装に応じて、一組の1つ以上のプロセッサであってもよく、またはマルチ・プロセッサ・コアであってもよい。さらに、プロセッサ・ユニット204は、単一チップ上にメイン・プロセッサが二次プロセッサとともに存在する1つ以上の異種プロセッサ・システムを使用して実装されてもよい。説明のための別の例では、プロセッサ・ユニット204は、同じ種類のプロセッサを複数含む対称型マルチプロセッサ・システムであってもよい。
メモリ206および永続性ストレージ208は、ストレージ・デバイスの例である。ストレージ・デバイスは、一時的もしくは永久的またはその両方の形で情報を記憶できる任意のハードウェア部品である。これらの例では、メモリ206は、例えば、ランダム・アクセス・メモリまたはその他任意の適切な揮発性もしくは不揮発性ストレージ・デバイスとされ得る。永続性ストレージ208は、特定の実装に応じて様々な形態をとり得る。例えば、永続性ストレージ208は、1つ以上のコンポーネントまたはデバイスを含み得る。例えば、永続性ストレージ208は、ハード・ドライブ、フラッシュ・メモリ、書き換え可能な光ディスク、書き換え可能な磁気テープまたは上記のものの何らかの組み合わせとされてもよい。さらに、永続性ストレージ208によって使用される媒体は、取り外し可能であってもよい。例えば、取り外し可能ハード・ドライブが永続性ストレージ208に使用されてもよい。
これらの例では、通信ユニット210は、ほかのデータ処理システムまたはデバイスとの通信を提供する。これらの例では、通信ユニット210は、ネットワーク・インターフェース・カードである。通信ユニット210は、物理通信リンクおよび無線通信リンクのいずれかまたは両方を用いて通信を提供するとよい。
入出力ユニット212は、データ処理システム200に接続されているとよいほかのデバイスとのデータの入出力を可能にする。例えば、入出力ユニット212は、キーボードおよびマウスを介したユーザ入力のための接続を提供するとよい。さらに、入出力ユニット212は、出力をプリンタに送信してもよい。ディスプレイ214は、ユーザに対して情報を表示するメカニズムを提供する。
オペレーティング・システムおよびアプリケーションに対する命令、すなわちプログラムは、永続性ストレージ208上にある。これらの命令は、プロセッサ・ユニット204によって実行されるようメモリ206内にロードされるとよい。種々の実施形態のプロセスは、メモリ206などのメモリ内にあるとよいコンピュータ実装命令を使用してプロセッサ・ユニット204によって実行され得る。このような命令は、プログラム・コード、コンピュータ使用可能プログラム・コードまたはコンピュータ可読プログラム・コードと呼ばれ、プロセッサ・ユニット204内のプロセッサによって読み取りおよび実行され得る。種々の実施形態のプログラム・コードは、メモリ206または永続性ストレージ208など、種々の物理的または有形コンピュータ可読媒体上で具現化され得る。
プログラム・コード216は、選択的に取り外し可能なコンピュータ可読媒体218上に関数形式で位置し、プロセッサ・ユニット204による実行のために、データ処理システム200にロードまたは転送されるとよい。これらの例において、プログラム・コード216およびコンピュータ可読媒体218は、コンピュータ・プログラム製品220を形成する。一例では、コンピュータ可読媒体218は、例えば、永続性ストレージ208の一部であるハード・ドライブなどのストレージ・デバイス上への転送のために、永続性ストレージ208の一部であるドライブまたはほかのデバイスに挿入または設置される、光学または磁気ディスクなどの有形の形態であってもよい。有形の形態では、コンピュータ可読媒体218は、データ処理システム200に接続されるハード・ドライブ、サム・ドライブまたはフラッシュ・メモリなどの永続性ストレージの形態もとり得る。有形の形態のコンピュータ可読媒体218は、コンピュータ記録可能ストレージ媒体とも呼ばれる。場合によっては、コンピュータ可読媒体218は取り外し可能でなくてもよい。
あるいは、プログラム・コード216は、通信ユニット210への通信リンクもしくは入出力ユニット212への接続またはその両方を介して、コンピュータ可読媒体218からデータ処理システム200に転送されてもよい。この説明のための例では、通信リンクもしくは接続またはその両方は、物理的であっても、無線であってもよい。コンピュータ可読媒体は、プログラム・コードを含む通信リンクまたは無線伝送などの非有形媒体の形態もとり得る。データ処理システム200に関して示されている種々のコンポーネントは、種々の実施形態が実装され得る方法に対して、アーキテクチャ上の制限を規定することを意図したものではない。種々の説明のための実施形態は、データ処理システム200に関して示されたものに対する追加のコンポーネントまたは代わりのコンポーネントを含むデータ処理システムにおいて実装され得る。図2に示されているほかのコンポーネントは、示されている説明のための例とは異なり得る。一例として、データ処理システム200内のストレージ・デバイスは、データを記憶し得る任意のハードウェア装置である。メモリ206、永続性ストレージ208およびコンピュータ可読媒体218は、有形の形態のストレージ・デバイスの例である。
別の例では、バス・システムが、通信ファブリック202を実装するために使用されてもよく、システム・バスまたは入出力バスなどの1つ以上のバスから成ってもよい。当然、バス・システムは、バス・システムに接続された種々のコンポーネントまたはデバイス間のデータの転送を提供する任意の適切な種類のアーキテクチャを使用して実装されるとよい。さらに、通信ユニットは、モデムまたはネットワーク・アダプタなど、データの送受信に使用される1つ以上のデバイスを含んでもよい。さらに、メモリは例えば、メモリ206であっても、通信ファブリック202内に存在し得るインターフェースおよびメモリ・コントローラ・ハブなどにあるキャッシュであってもよい。
本発明の動作を実行するコンピュータ・プログラム・コードは、Java(R)、Smalltalk、C++または同様のものなどのオブジェクト指向プログラミング言語、および「C」プログラミング言語もしくは同様のプログラミング言語などの従来の手続きプログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで書かれていてよい。プログラム・コードは、完全にユーザのコンピュータ上で実行されることも、部分的にユーザのコンピュータ上で実行されることも、スタンド・アロン・ソフトウェア・パッケージとして実行されることも、部分的にユーザのコンピュータ上で、かつ部分的にリモート・コンピュータ上で実行されることも、または完全にリモート・コンピュータもしくはサーバ上で実行されることもできる。後者のシナリオでは、ローカル・エリア・ネットワーク(LAN)もしくは広域ネットワーク(WAN)を含む任意の種類のネットワークを介してリモート・コンピュータがユーザのコンピュータに接続されてもよく、または(例えばインターネット・サービス・プロバイダを使用しインターネットを介して)外部コンピュータに接続されてもよい。
当業者には当然のことながら、図1〜2のハードウェアは、実装により異なり得る。フラッシュ・メモリ、等価な不揮発性メモリ、または光ディスク・ドライブおよび同様のものなど、ほかの内部ハードウェアまたは周辺デバイスが、図1〜2に示されているハードウェアに加えて、またはその代わりに使用されてもよい。さらに、説明のための実施形態のプロセスは、開示される主題の意図および範囲から逸脱することなく、前述のSMP(symmetric multi−processor:対称型マルチプロセッサ)システム以外のマルチプロセッサ・データ処理システムに適用され得る。
一組の1つ以上のマシン上で実行されるインターネット・アクセス可能なウェブ・ベースのポータルとクライアント・マシンが通信する、図1に示されているものなどの標準のクライアント−サーバ・パラダイムの中の関連で、本願明細書に記載される技術が動作し得るということが分かる。エンド・ユーザは、ポータルへのアクセスおよびポータルとの対話ができるインターネット接続可能なデバイス(例えばデスクトップ・コンピュータ、ノートブック・コンピュータ、インターネット対応のモバイル・デバイスまたは同様のもの)を操作する。典型的には、各クライアントまたはサーバ・マシンは、ハードウェアおよびソフトウェアを含む、図2に示されているものなどのデータ処理システムであり、これらのエンティティは、インターネット、イントラネット、エクストラネット、プライベート・ネットワーク、または任意のほかの通信媒体もしくはリンクなどのネットワーク上で相互通信する。データ処理システムは、典型的には、1つ以上のプロセッサ、オペレーティング・システム、1つ以上のアプリケーションおよび1つ以上のユーティリティを含む。データ処理システム上のアプリケーションは、特にHTTP、SOAP(Simple Object Access Protocol:シンプル・オブジェクト・アクセス・プロトコル)、XML、WSDL、UDDIおよびWSFLのサポートを含むがこれらに限定されない、ウェブ・サービスのネイティブ・サポートを提供する。SOAP、WSDL、UDDIおよびWSFLに関する情報は、これらの標準の開発および維持を担うワールド・ワイド・ウェブ・コンソーシアム(W3C:World Wide Web Consortium)から入手できる。HTTPおよびXMLに関するさらなる情報は、インターネット技術タスクフォース(IETF:Internet Engineering Task Force)から入手できる。これらの標準に精通していることが想定される。
クラウド・コンピューティング・モデル
クラウド・コンピューティングは、最小限の管理作業またはサービスのプロバイダとの対話による迅速なプロビジョニングおよび解放が可能な、構成可能なコンピューティング・リソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシンおよびサービス)の共用プールに対する、オンデマンドの便利なネットワーク・アクセスを実現するサービス供給のモデルである。このクラウド・モデルは、少なくとも5つの特徴と、少なくとも3つのサービス・モデルと、少なくとも4つの展開モデルとを含むことができ、すべて、2009年10月7日付けの、Peter MellおよびTim Grance著“Draft NIST Working Definition of Cloud Computing”にさらに詳しく記載および定義されている。
具体的には、以下が典型的な特徴である。
オンデマンド・セルフサービス:クラウド消費者は、サーバ時間およびネットワーク・ストレージなどのコンピューティング能力を、必要に応じて自動的に、サービスのプロバイダとの人的対話の必要なく、一方的にプロビジョニングできる。
広範なネットワーク・アクセス:各能力は、ネットワーク上で利用可能であり、異種のシンまたはシック・クライアント・プラットフォーム(例えば移動電話、ラップトップおよびPDA)による使用を促進する標準のメカニズムを介してアクセスされる。
リソース・プーリング:プロバイダのコンピューティング・リソースは、マルチテナント・モデルを使用して複数の消費者にサービスを提供するようプールされ、種々の物理リソースおよび仮想リソースが要求に応じて動的に割り当ておよび再割り当てされる。一般に、消費者は、提供されるリソースの正確な場所についての制御または知識を有しないという点で、非場所依存の感覚があるが、より高い抽象化レベルで場所(例えば、国、州またはデータセンター)を指定できることもある。
迅速な伸縮性:各能力は、場合によっては自動的に、迅速かつ伸縮自在にプロビジョニングされて、素早くスケール・アウトすること、および迅速に解放され素早くスケール・インすることができる。多くの場合、消費者には、プロビジョニングに利用可能な各能力は無制限であるように見え、任意の量をいつでも購入できる。
測定されるサービス:クラウド・システムは、サービスの種類(例えば、ストレージ、処理、帯域幅およびアクティブなユーザ・アカウント)に適した何らかの抽象化レベルでの計測能力を活用することによって、リソースの使用を自動的に制御および最適化する。リソース使用量は、監視、制御およびレポート可能であり、利用されるサービスのプロバイダおよび消費者の両方に透明性が提供される。
サービス・モデルは、典型的には以下のとおりである。
ソフトウェア・アズ・ア・サービス(SaaS:Software as a Service):消費者に提供される能力は、クラウド・インフラストラクチャ上で実行されているプロバイダのアプリケーションの使用である。アプリケーションは、ウェブ・ブラウザなどのシン・クライアント・インターフェースを介して、様々なクライアント・デバイスからアクセス可能である(例えば、ウェブ・ベースの電子メール)。消費者は、ネットワーク、サーバ、オペレーティング・システム、ストレージを含む基礎をなすクラウド・インフラストラクチャも、個々のアプリケーションの能力さえも、管理または制御しないが、限られたユーザ別のアプリケーション構成設定は例外とされることもある。
プラットフォーム・アズ・ア・サービス(PaaS:Platform as a Service):消費者に提供される能力は、プロバイダによってサポートされるプログラミング言語およびツールを使用して作成されている、消費者が作成または入手したアプリケーションの、クラウド・インフラストラクチャ上への展開である。消費者は、ネットワーク、サーバ、オペレーティング・システムまたはストレージを含む基礎をなすクラウド・インフラストラクチャの管理または制御は行わないが、展開されたアプリケーション、さらに場合によってはアプリケーション・ホスティング環境構成を制御する。
インフラストラクチャ・アズ・ア・サービス(IaaS:Infrastructure as a Service):消費者に提供される能力は、処理、ストレージ、ネットワーク、およびその他基本的なコンピューティング・リソースのプロビジョニングであり、消費者はそこで、オペレーティング・システムおよびアプリケーションを含み得る任意のソフトウェアを展開および実行できる。消費者は、基礎をなすクラウド・インフラストラクチャの管理または制御は行わないが、オペレーティング・システム、ストレージ、展開されたアプリケーションを制御し、場合によっては、選ばれたネットワーキング・コンポーネント(例えばホスト・ファイアウォール)を限定的に制御する。
展開モデルは、典型的には以下のとおりである。
プライベート・クラウド:クラウド・インフラストラクチャは、1つの組織のみのために運用される。組織またはサード・パーティによって管理され得、構内または構外に存在し得る。
コミュニティ・クラウド:クラウド・インフラストラクチャは、いくつかの組織によって共用され、共有される関心事(例えば、ミッション、セキュリティ要件、ポリシおよびコンプライアンス意識)を有する特定のコミュニティをサポートする。組織またはサード・パーティによって管理され得、構内または構外に存在し得る。
パブリック・クラウド:クラウド・インフラストラクチャは、公衆または大規模業界団体に対し利用可能にされ、クラウド・サービスを販売する組織によって所有される。
ハイブリッド・クラウド:クラウド・インフラストラクチャは、2つ以上のクラウド(プライベート、コミュニティまたはパブリック)の複合であり、各クラウドは一意のエンティティのままであるが、データおよびアプリケーションの移植性(例えば、クラウド間のロード・バランシングのためのクラウド・バースト)を実現する標準またはプロプライエタリ技術によってバインドされる。
クラウド・コンピューティング環境は、サービス指向であり、ステートレス性、疎結合性、モジュール性および意味的相互運用性に焦点を合わせる。クラウド・コンピューティングの中心には、相互接続されたノードのネットワークを含むインフラストラクチャがある。代表的なクラウド・コンピューティング・ノードは、上記図2に示されたとおりである。具体的には、クラウド・コンピューティング・ノード内には、コンピュータ・システム/サーバがあり、これは、多数のほかの汎用または専用コンピューティング・システム環境もしくは構成とともに動作可能である。コンピュータ・システム/サーバとともに使用されるのに適していると考えられる周知のコンピューティング・システム、環境もしくは構成、またはそのいずれかの組み合わせの例には、パーソナル・コンピュータ・システム、サーバ・コンピュータ・システム、シン・クライアント、シック・クライアント、ハンドヘルドもしくはラップトップ・デバイス、マルチプロセッサ・システム、マイクロプロセッサ・ベースのシステム、セット・トップ・ボックス、プログラム可能な家庭用電化製品、ネットワークPC、ミニコンピュータ・システム、メインフレーム・コンピュータ・システム、および上記のシステムもしくはデバイスのいずれかを含む分散型クラウド・コンピューティング環境、ならびに同様のものがあるが、これらに限定はされない。コンピュータ・システム/サーバについては、コンピュータ・システムによって実行される、プログラム・モジュールなどのコンピュータ・システム実行可能命令の一般的文脈において記載され得る。一般に、プログラム・モジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、論理、データ構造などを含み得る。コンピュータ・システム/サーバは、通信ネットワークを介してリンクされているリモート処理デバイスによってタスクが実行される、分散型クラウド・コンピューティング環境において実施されてもよい。分散型クラウド・コンピューティング環境では、プログラム・モジュールは、メモリ・ストレージ・デバイスを含むローカルおよびリモート両方のコンピュータ・システム・ストレージ媒体にあるとよい。
以下、図3を参照する。さらなる背景として、クラウド・コンピューティング環境によって提供される一組の機能抽象化層が示されている。図3に示されているコンポーネント、層および機能は、説明のみを目的としており、本発明の実施形態はそれに限定されないことをあらかじめ理解されたい。図示されているように、以下の層および対応する機能が提供される。
ハードウェアおよびソフトウェア層300は、ハードウェアおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例には、IBM(R)zSeries(R)システムが1つの例であるメインフレーム、IBM pSeries(R)システムが1つの例であるRISC(Reduced Instruction Set Computer:縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ、IBM xSeries(R)システム、IBM BladeCenter(R)システム、ストレージ・デバイス、ネットワークおよびネットワーキング・コンポーネントがある。ソフトウェア・コンポーネントの例には、IBM WebSphere(R)アプリケーション・サーバ・ソフトウェアが1つの例であるネットワーク・アプリケーション・サーバ・ソフトウェア、およびIBM DB2(R)データベース・ソフトウェアが1つの例であるデータベース・ソフトウェアがある。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphereおよびDB2は、世界中の多数の法域において登録されている、インターナショナル・ビジネス・マシーンズ・コーポレーションの商標である)。
仮想化層302は、仮想サーバ、仮想ストレージ、仮想プライベート・ネットワークを含む仮想ネットワーク、仮想アプリケーションおよびオペレーティング・システム、ならびに仮想クライアントを例とする仮想エンティティが提供され得る、抽象化層を提供する。
一例では、管理層304は、下記の機能を提供するとよい。リソース・プロビジョニングは、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング・リソースおよびその他のリソースの動的な調達を提供する。計測および価格決定は、クラウド・コンピューティング環境内でリソースが利用されるときのコストの追跡と、こうしたリソースの消費に対する請求またはインボイスの作成とを提供する。一例では、これらのリソースは、アプリケーション・ソフトウェア・ライセンスを含んでもよい。セキュリティは、クラウド消費者およびタスクのアイデンティティ確認、ならびにデータおよびその他のリソースの保護を提供する。ユーザ・ポータルは、消費者およびシステム管理者に、クラウド・コンピューティング環境に対するアクセスを提供する。サービス・レベル管理は、必要なサービス・レベルが満たされるようにクラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス水準合意(SLA)計画および達成は、SLAに従い将来の要求が予想されるクラウド・コンピューティング・リソースの事前準備および調達を提供する。
ワークロード層306は、クラウド・コンピューティング環境が利用される目的となり得る機能性の例を提供する。この層から提供され得るワークロードおよび機能の例には、マッピングおよびナビゲーション、ソフトウェア開発およびライフサイクル管理、仮想教室教育配信、データ解析処理、トランザクション処理、ならびに、本開示の教示による、マルチテナント監査認識がある。
本開示は、クラウド・コンピューティングについての詳細な記載を含むが、本願明細書に記載する教示の実装は、クラウド・コンピューティング環境に限定されないことをあらかじめ理解されたい。むしろ、本発明の実施形態は、現在周知の、または後に開発される、ほかの任意の種類のコンピューティング環境に関連して実装することができる。
したがって、代表的なクラウド・コンピューティング環境は、フロント・エンド・アイデンティティ・マネージャ、ビジネス・サポート・サービス(BSS:business support services)機能コンポーネント、運用サポート・サービス(OSS:operational support services)機能コンポーネント、および計算クラウド・コンポーネントを含む一組の上位機能コンポーネントを有する。アイデンティティ・マネージャは、リクエスト元のクライアントとの対話を担当し、アイデンティティ管理を提供する。このコンポーネントは、ニューヨーク州アーモンク市のIBM(IBM社の登録商標)から入手可能なTivoli(IBM社の登録商標)Federated Identity Manager(TFIM)など、1つ以上の周知のシステムを用いて実装され得る。適切な状況では、TFIMが、ほかのクラウド・コンポーネントへのフェデレーテッド・シングル・サインオン(F−SSO:federated single sign−on)を提供するために使用され得る。ビジネス・サポート・サービス・コンポーネントは、請求のサポートなど、特定の管理機能を提供する。運用サポート・サービス・コンポーネントは、仮想マシン(VM:virtual machine)インスタンスなどのほかのクラウド・コンポーネントのプロビジョニングおよび管理を提供するために使用される。クラウド・コンポーネントは、典型的には、クラウドを介したアクセスが可能となるターゲット・アプリケーションを実行するために使用される複数の仮想マシン・インスタンスである、主要な計算用リソースを表す。1つ以上のデータベースが、ディレクトリ、ログおよびその他作業データを記憶するために使用される。これらのコンポーネント(フロントエンド・アイデンティティ・マネージャを含む)はすべてクラウド「内」にあるが、これは必要条件ではない。別の実施形態では、アイデンティティ・マネージャは、クラウドの外部で動作させられてもよい。
監査
図4は、クラウド・サービスを提供するのに使用される監査対象リソースから、ログ・データがどのようにして回収されるかを示す。この例では、クラウド・サービス400が、構成可能なコンピューティング・リソースの共用プールにおいてホストされている一組のリソース402(例えば、リソース1〜n)を公開する。上記のクラウド・パラダイムを前提として、「リソース」は、任意のシステム、マシン、プロセス、プログラム、アプリケーション、ユーティリティ、オブジェクトまたはそれに関連するデータを含むよう広く解釈されるべきである。典型的には、収集された監査データ404が、監査サービス406に提供され、監査サービス406は、そのデータを正規化してログ・イベント・データベース408に入れ、データの分析と、コンプライアンスに使用可能なレポートの作成とを可能にする。監査サービス406は、典型的には、すべて周知の形でサービスを集合的に提供する分散した一組のマシン、プログラムおよび関連するデータ構造を含む。本願明細書では、クラウド・サービス環境内の監査対象リソースは、本願明細書において運用管理製品(OMP:operational management product)と呼ばれることもある。この文脈において、OMPは、典型的には単一の顧客環境に展開される。よって、その関連のログ・データは、ほかの類似のソースにより生成された同様のデータから当該データを区別するために使うことができる情報を何ら含まない。この点で、OMPは、「マルチテナントを認識しない」といわれる。結果として、監査サービス(図4に示されているものなど)は、ログをとられたデータとともに「顧客アイデンティティ」を含めることをサポートするよう設定されていない。したがって、監査のためのマルチテナント・サポートは利用可能でない。
マルチテナント監査認識
以下に記載のとおり、本主題の開示は、この必要性に応える。図5を参照する。本開示によれば、監査サービスは、マルチテナント・クラウド・ベースの環境における顧客別のロギングを促進するいくつかの追加コンポーネントを含む。具体的には、サービスは、「クラウド実現集約プロキシ」(またはCEAP)500、および任意選択の「テナント分類プロキシ」(またはTSP)502を含むことが好ましい。この名称は、本開示を限定するものと見なされてはならず、便宜上使用されるにすぎない。概して、クラウド実現集約プロキシ500は、生のログ・データ504を、マルチテナントを認識しない1つ以上のリソースから受信する。このリソースのうちの1つが、参照番号506で示されている。一実施形態では、上述のとおり、マルチテナントを認識しないリソースは、情報およびリソースへのアクセスを制御する認証および許可フレームワークとの関連で動作するOMPであればよい。ウェブ・リソースを保護するための、この種の市販のフレームワークの1つは、WebSEALとしても周知のTivoli(IBM社の登録商標)Access Manager for e−business(TAMeb)である。当然、本願明細書に記載される技術は、データがどのように生成されるかにかかわらず、任意の種類のログ・データに有用である。
より一般的には、ログ・データ(例えばレコード、監査データ、イベント・メッセージおよび同様のもの)は、ソフトウェア・アプリケーション、イベント・ロガー、監査サービス、ハードウェア監査コンポーネント、カーネル・モジュールおよび同様のものを含むがこれらに限定はされない、リソース506に関連するコンピューティング環境の任意の側面により生成され得る。ログ・データは、何らかの機能の実行の結果として、またはアクティビティがないことの結果として生成され得る。本願明細書では、特定のデータとは、広く解釈されるべきであり、「レコード」という用語は、要求される特定のデータ・フォーマットまたはデータ構造に限定されると解釈されてはならない。
後述のとおり、クラウド実現集約プロキシ500は、そのデータ504を処理し、続いて、処理されたデータをテナント分類プロキシ502に出力し、続いてテナント分類プロキシ502は、「拡充された」データをログ・イベント・データベース508に書き込む。
本実施形態では、クラウド実現集約プロキシ500は、図面で集約サービス510、顧客識別情報サービス512およびログ注釈サービス514として識別されている一組のサービス(または機能)を含む。これらのサービスは、全体的または部分的に、相互に統合されてもよい。集約サービス510は、特定のトランザクションまたは監査ログ(生のログ・データ504により表される)に関連するテナント/顧客を識別する。顧客情報サービス512は、種々のテナント(顧客)およびそれに関連するテナント別のデータを識別するために使用される顧客情報タグを維持する。ログ注釈サービス514は、任意選択で、特定のテナントに関連すると判断された(サービス510および512によって)生のログ・データに注釈を付けるよう機能する。任意選択のコンポーネントであるテナント分類プロキシ502は、(クラウド実現集約プロキシ500により処理された)データのログ・イベント・データベース508への書き込みを処理することが好ましい。この書き込み動作は、テナント分類プロキシがソリューションの一部として実装される場合、このプロキシによって実施されるローカル設定に従って実行される。
プロキシ500および502は、典型的には、ソフトウェアにおいて実装される、一組のコンピュータ・プログラム命令としてコンピュータ・メモリ記憶され、特殊または専用マシンとして1つ以上のプロセッサによって実行される。プロキシ500および502は、単一のプロキシとして組み合わされてもよく、またはその1つ以上の機能(サービス510、512または514など)が複数のマシンに分散してもよい。プロキシは、種々のネットワークまたは地理的位置に設置でき、リソース506またはデータベース508からリモート設置されてもよい。
クラウド実現集約プロキシ600の動作のさらに詳細な記載は、図6にある。図のように、マルチテナントを認識しないリソース606(またはそのような複数のリソース)から生のログ・データを受信するのに加えて、集約サービス610は、ルータ、セッション管理キャッシュ、リバースDNS、リバース・プロキシ、ユーザ・レジストリおよび同様のものを含むがこれらに限定されない、クラウド環境内のほかの複数のソース(OMPまたはその他)からの入力(単数または複数)も受信する。これらの異なるソースが、リソース601および603によって、図6において表されている。集約サービス610は、顧客情報サービス612の顧客識別情報サービス(CIS:Customer Identification Service)コンポーネント615を使用して、クラウド・サービス・トランザクション中にエンティティ(典型的にはエンド・ユーザ・クライアント・ブラウザ、リッチ・クライアントまたは同様のもの)がバインドされる顧客/テナントを一意的に識別する。集約サービス610は、入力データからテナント/顧客を識別するために、1つ以上のルールを使用するルール・エンジンを実装することが好ましい。必要に応じ、集約サービス610は、一意的な顧客識別の一環として、CIS615と対話する。例えば、一部の場合には、顧客は、リクエストが開始されたIPアドレスによって識別され得る。ほかの場合には、顧客は、セキュア・トランザクションに関連するSSL証明書において伝達されるアイデンティティにより識別され得る。さらに別の場合には、顧客は、間接的に、例えばウェブ・ユーザ・インターフェース(UI:user interface)ベースの認証の一環としてドロップダウン画面において選択されるパラメータによって「識別」されてもよい。したがって、この目的を達成するために、CIS615は、種々の顧客を識別するために様々な形で使用可能な一組の顧客識別情報タグ、もしくはテナント別のデータを識別するのに必要なほかのデータ(例えば顧客の契約)、またはその両方を維持する。記憶される顧客/テナント識別子(ID:identifier)は、単純な顧客番号、名称、階層名、およびクラウド・サービスを使用している顧客を識別するために使用可能なほかの何らかの識別子(おそらくは特定の契約に関する)を含み得る。
環境内のエンティティは、複数の顧客/テナントにバインドされることもあるため、特定の名称の個人を特定の顧客/テナントに属すると単純に識別することが、常に可能であるとは限らない。したがって、CIS615はさらに、「イベント・パターン」と、顧客識別情報タグとの関連付けを含むことが好ましい。本願明細書では、イベント・パターンは、フィルタによって定義されることが好ましい。したがって、CIS615は、顧客識別子(idN)618と、1つ以上の関連するフィルタ識別子(それぞれFilterN)620とを関連付けるテーブル(または等価なデータ構造)の形式のデータ構造を含む。
動作中、集約サービス610(特にルール・エンジン)は、受信された入力データを獲得し、そのデータを正規化し、続いてイベント・パターン(フィルタに記述されている)と、正規化されたイベント・データとを照合することを試みる。続いて、好適には正規化されたイベントに顧客タグ(単数または複数)を追加することによって、パターンに一致するイベントが顧客別の情報により補強されるが、ほかの種類の補強も使用され得る。この補強、すなわちそうした顧客別の情報を含めることによって、結果として、監査サービスの1つ以上のほかのプロセスが、ログ・データがどのテナントに属するかを識別することができる。したがって、例えば、図6は、注釈を付けられた顧客データをログ・イベント・データベース608にフィードするテナント分類プロキシ602を示す。この実施形態では、注釈を付けられたデータは、ローカル設定605に従って記憶される。動作中、TSP602は、テナント/顧客毎にデータを分類する。上述のとおり、TSP602は任意選択である。必要に応じて、CEAP600が既存のデータベースに直接フィードすることができる。
受信された入力データを正規化するために集約サービスによって使用される技術は、異なり得る。周知の一手法では、変更のないレコードの署名または暗号化されたコピーがとられ、続いて、そのコピーに構文解析ルール(例えば、XSLTベースまたは正規表現ベースのルール)が適用される。ルールは、レコード内の既知のパターンまたは既知の場所を検索し、データを抽出し、それを、定義された名称/値のペアを備えるXML/CSV/テキスト・ファイル内の既知のフィールドにマッピングする。名称は、「誰/何/どこ」フィールドを表し、値は、レコードから抽出されたデータである。続いて、この新たなファイルが、レポートの生成に使用される。別の周知の手法では、レコードはデジタル署名され(変更されたことを確認するために)、続いて「誰/何/どこ」データなどの追加情報が付加され、次にその結果が、後のレポーティングに使用される。典型的には、各OMPの特定のログ・フォーマットは異なる。
図7に示されているように、テナント/顧客毎にデータを分類した後、TSP702は、ログ・イベント・データベース708に関連する個々の顧客テーブル722にログ・データをフィードしてもよい。したがって、特定の顧客IdNそれぞれに関連する1つ以上のテーブルがあるとよい。この実施形態では、データは、顧客毎のレベルで注釈を付けられても、付けられなくてもよい。さらに、図示されてはいないが、例えば指定の期間、ログ・レコードを記憶することなど、顧客自身のコンプライアンス目的に使用されるよう、テナント別の正規化データが顧客にも提供されてもよい。
図8に示されているように、CEAPによるタグ付けに続いて、さらにTSP802がテナント/顧客毎にデータを分類した後、ログ・データは、追加の設定データに基づき個々のログ・イベント・データベースに送られることが可能であり、ログ・イベント・データベースのうちの3つが、808a、808bおよび808cにて示されている。この実施形態では、各顧客に関連する別々のログ・イベント・データベース808があることが好ましい(すなわちテナント毎に1つ)。追加の設定データは、ほかの必要な設定を定義するとよい(図示せず)。
上記の実施形態のいずれにおいても、補強されたログ・データは、続いて、データに対してテナント別のコンプライアンス分析を実行するため、およびテナント別のコンプライアンス・レポートをもたらすために使用可能である。
監査もしくはログまたはその両方のデータの一部は、顧客の定義されたサブセットの全部または一部に当てはまることもある。一例は、BSSの一部がホストされているサーバに対するパッチ更新、または顧客のサブセットに関連するイメージをホストしているハイパーバイザに適用される修正についてのログ情報であろう。したがって、本願明細書の技術によれば、特定のログ・レコードはさらに、2以上の顧客、顧客のサブセット、さらにはすべての顧客に属するように、注釈を付けられ得る。
本願明細書に記載された技術には、いくつかの利点がある。まず、クラウド・サービス・プロバイダは、注釈という技術を使用して、ログ・データが、特定のテナント/顧客に適切に関連していることを保証することができる。これは、サービス・プロバイダが、そのコンプライアンス要件を満たすと同時に、特定のテナント/顧客が自身のそうした要件を満たすために使用できるテナント別のログ・データを提供することを可能にする。上記の技術を使用して、そのデータの完全性を保証する形で、ログ・ファイルおよび監査レコードに含まれるコンプライアンス・データが分類されて注釈を付けられ、その結果、テナント(およびエンド・ユーザ)のプライバシおよびセキュリティ上の懸念に対処する。便利なことに、CEAPは、異なるソースからの情報を集約し、各トランザクションに関連する特定のテナントを識別し、データをテナント別の分析に使用できるようテナント別の識別子により監査ログ情報を拡充する。この手法を利用して、マルチテナントを認識しないリソースは、そのリソースのロギングによって生成されたログ・データが、リソースが共用される場合でも有用であることを保証するとよい。この手法は、マルチテナントを認識しない製品についても、クラウド計算環境内のマルチテナント監査認識を促進し、クラウド・サービスの価値をさらに高める。
上記の機能性は、例えば、プロセッサによって実行されるソフトウェア・ベースの機能など、スタンドアロンの手法として実装されてもよく、または、マネージド・サービス(SOAP/XMLインターフェースを介したウェブ・サービスを含む)として利用可能であってもよい。本願明細書に記載された特定のハードウェアおよびソフトウェア実装の詳細は、単に説明を目的としており、記載された主題の範囲を限定することは意図していない。
さらに一般的には、開示された発明の文脈の中でのコンピューティング・デバイスは、それぞれ、ハードウェアおよびソフトウェアを含むデータ処理システム(図2に示されているものなど)であり、これらのエンティティは、インターネット、イントラネット、エクストラネット、プライベート・ネットワーク、または任意のほかの通信媒体もしくはリンクなどのネットワーク上で相互通信する。データ処理システム上のアプリケーションは、特にHTTP、FTP、SMTP、SOAP、XML、WSDL、SAML、WS−Trust、UDDIおよびWSFLのサポートを含むがこれらに限定されない、ウェブならびにその他周知のサービスおよびプロトコルのネイティブ・サポートを提供する。SOAP、WSDL、UDDIおよびWSFLに関する情報は、これらの標準の開発および維持を担うワールド・ワイド・ウェブ・コンソーシアム(W3C)から入手できる。HTTP、FTP、SMTPおよびXMLに関するさらなる情報は、インターネット技術タスクフォース(IETF)から入手できる。これら周知の標準およびプロトコルに精通していることが想定される。
本願明細書に記載された方式は、クラウド・ベースのインフラストラクチャ以外の様々なサーバ・サイド・アーキテクチャにおいて、またはそれに関連して実装され得る。これらには、単純なn層アーキテクチャ、ウェブ・ポータル、フェデレーテッド・システムおよび同様のものがあるが、これらに限定はされない。
さらに一般的には、本願明細書に記載された主題は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはハードウェアおよびソフトウェア両方の構成要素を含む実施形態の形態をとることができる。上述のとおり、好適な実施形態では、クラウド実現集約プロキシ機能は、ファームウェア、常駐ソフトウェア、マイクロコードおよび同様のものを含むがこれらに限定されないソフトウェアにおいて実装される。データ(例えば注釈を付けられたログ・データ、監査レコードおよび同様のもの)が、データ構造(例えば配列、連結リストなど)に構成され、コンピュータ・メモリなどのデータ・ストアに記憶されることが可能である。さらに、上述のとおり、本願明細書に記載されたマルチテナント監査認識機能性は、コンピュータまたは任意の命令実行システムにより、またはそれに関連して使用されるプログラム・コードを提供する、コンピュータ使用可能またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形態をとることができる。本記載では、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置もしくはデバイスによって、またはそれに関連して使用されるプログラムを含むことまたは記憶することができる任意の装置とすることができる。媒体は、電子、磁気、光学、電磁気、赤外線もしくは半導体のシステム(または装置またはデバイス)とすることができる。コンピュータ可読媒体の例には、半導体または固体メモリ、磁気テープ、取り外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、剛体磁気ディスクおよび光ディスクがある。光ディスクの現在の例には、コンパクト・ディスク読み取り専用メモリ(CD−ROM:compact disk−read only memory)、コンパクト・ディスク読み取り/書き込み(CD−R/W:compact disk−read/write)およびDVDがある。コンピュータ可読媒体は、有形要素である。
コンピュータ・プログラム製品は、記載された機能の1つ以上を実装するためのプログラム命令(またはプログラム・コード)を有する製品であればよい。それらの命令またはコードは、リモート・データ処理システムからネットワーク上でダウンロードされた後に、データ処理システム内のコンピュータ可読ストレージ媒体に記憶されてもよい。または、それらの命令またはコードは、サーバ・データ処理システム内のコンピュータ可読ストレージ媒体に記憶されて、リモート・システム内のコンピュータ可読ストレージ媒体において使用されるようリモート・データ処理システムにネットワーク上でダウンロードされるようになっていてもよい。
代表的な実施形態では、マルチテナント監査コンポーネントは、専用コンピュータにおいて、好適には1つ以上のプロセッサによって実行されるソフトウェアにおいて実装される。関連する設定(セキュリティ・レベル、ステータス、タイマ)は、関連するデータ・ストアに記憶される。ソフトウェアも、この1つ以上のプロセッサに関連する1つ以上のデータ・ストアまたはメモリにおいて維持され、ソフトウェアは、1つ以上のコンピュータ・プログラムとして実装されるとよい。
マルチテナント監査機能は、既存の監査サービス、ロギング・サービス、またはアクセス・マネージャ・ソリューションに対する付加もしくは拡張として実装されてもよい。この技術は、自動化されたコンプライアンス・マネージャ・ソリューションにおいても実装され得る。そのような自動化されたソリューションの1つは、IBM(IBM社の登録商標)から入手可能な、Tivoli(IBM社の登録商標)Compliance Insight Managerとして市販されている。このソリューションは、セキュリティ・コンプライアンス・システムであり、企業環境内の、または企業環境を横断するネットワーク上で、またはネットワークを横断して動作して、ログ・データを収集、分析およびアーカイブし、情報セキュリティ・ポリシ・コンプライアンスについての詳細なセキュリティ・レポートをもたらす。コンプライアンス・マネージャ・システムは、典型的には、サーバ、1つ以上のアクチュエータ、ウェブ・ベースのポータルおよび管理コンソールを含む。サーバは、監査対象システムおよびデバイスからのログ・データについて、収集、アーカイブ、正規化およびレポートを行う。アクチュエータは、サーバと、各監査対象システム上で実行される1つ以上のソフトウェア・エージェントとの間のセキュア接続を維持するソフトウェア・コンポーネントである。アクチュエータ・スクリプトは、ソフトウェア・エージェントが、「イベント」ソースとも呼ばれるサポートされたプラットフォームからデータ(限定はされないが、監査データなど)を収集できるようにする。動作中、デバイスおよびシステムには、ソフトウェア・エージェントが組み込まれる。これらのデバイスおよびシステムは、ユーザ・アクティビティ、プロセスおよびイベントのログを、人またはシステムがネットワークと対話するたびに生成する。これらのログは、すべてのネットワーク・アクティビティのレコードを提供し、ユーザの行動が所定のポリシに準拠しているかどうかを示すために分析されることが可能である。
上記には、本発明の特定の実施形態によって実行される動作の特定の順序を記載したが、当然のことながら、別の実施形態は、動作を異なる順序で実行すること、特定の動作を組み合わせること、特定の動作をオーバーラップすること、または同様のことをし得るため、そのような順序は例示である。本明細書における所定の実施形態の参照は、記載される実施形態が、特定の機能、構造または特徴を含み得ることを示すが、あらゆる実施形態が、必ずしもその特定の機能、構造または特徴を含まなくてもよい。
最後に、システムの所定のコンポーネントが個別に記載されたが、当業者には当然のことながら、機能の一部が、特定の命令、プログラム・シーケンス、コード部分および同様のものにおいて組み合わされても、共用されてもよい。
本願明細書では、「クライアント・サイド」アプリケーションは、アプリケーション、そのアプリケーションに関連するページ、またはアプリケーションに対するクライアント・サイドのリクエストによって呼び出されるその他何らかのリソースもしくは機能を指すものとして広く解釈されるべきである。本願明細書では、「ブラウザ」は、いずれかの特定のブラウザ(例えば、Internet Explorer(R)、Safari(R)、FireFox(R)または同様のもの)を指すよう意図されてはいないが、インターネット・アクセス可能なリソースにアクセスしてそれを表示することができる任意のクライアント・サイド・レンダリング・エンジンを指すよう広く解釈されるべきである。「リッチ」クライアントは、典型的には、非HTTPベースのクライアント・サイド・アプリケーションを指す。さらに、典型的には、クライアント−サーバ対話はHTTPを使用して発生するが、これも限定ではない。クライアント・サーバ対話は、シンプル・オブジェクト・アクセス・プロトコル(SOAP)に従ったフォーマットとされるとよく、HTTP(公衆インターネット上)、FTP、REST、またはその他任意の信頼できる搬送メカニズム(企業イントラネット上での搬送のためのIBM(IBM社の登録商標)MQSeries(IBM社の登録商標)技術およびCORBAなど)上での輸送が使用され得る。本願明細書に記載された任意のアプリケーションまたは機能性は、ネイティブ・コードとして、別のアプリケーション内にフックを提供することによって、メカニズムのプラグインとしての使用を促進することによって、メカニズムにリンクすることによって、および同様の形で実装され得る。
本発明について記載した。特許請求の範囲は添付のとおりである。

Claims (25)

  1. 構成可能なコンピューティング・リソースのマルチテナント共用プールにおいてホストされるリソースによって生成されるログ・データを管理する方法であって、
    複数の前記リソースから受信されるログ情報を集約および正規化するステップと、
    前記集約および正規化されたログ情報を、一組のトランザクションのそれぞれに関連するテナントを識別するために構文解析するステップと、
    前記一組のトランザクションのそれぞれに関して、前記テナントおよび特定の前記トランザクションに関連するログ・データに、テナント別の識別子を含めるべく注釈を付けるステップと、
    を含む方法。
  2. 複数のテナントに関して、前記注釈を付けられたログ・データを記憶するステップをさらに含む、請求項1に記載の方法。
  3. 前記注釈を付けられたログ・データを、記憶するステップより前に、テナント毎に分類するステップをさらに含む、請求項2に記載の方法。
  4. 前記構文解析するステップは、トランザクション内のイベント・パターンと、一組のフィルタとを比較する、請求項1に記載の方法。
  5. 前記一組のフィルタは、テナント別の識別子と、特定のイベント・パターンとを一意的に関連付けるフィルタを含む、請求項4に記載の方法。
  6. 前記注釈を付けるステップは、トランザクション内の前記イベント・パターンと、前記一組のフィルタの中の前記フィルタのうちの1つとの間の一致に関連する、前記テナント別の識別子を含めるべく、イベント・パターン・データを補強する、請求項5に記載の方法。
  7. 前記リソースは、マルチテナントを認識しないリソースである、請求項1に記載の方法。
  8. テナント別のログ・データ毎に、コンプライアンス分析を実行するステップをさらに含む、請求項1に記載の方法。
  9. 構成可能なコンピューティング・リソースのマルチテナント共用プールにおいてホストされるリソースによって生成されるログ・データを管理する装置であって、前記装置は、
    プロセッサと、
    前記プロセッサによって実行されると方法を実行するコンピュータ・プログラム命令を保持するコンピュータ・メモリと、
    を含み、前記方法は、
    複数の前記リソースから受信されるログ情報を集約および正規化するステップと、
    前記集約および正規化されたログ情報を、一組のトランザクションのそれぞれに関連するテナントを識別するために構文解析するステップと、
    前記一組のトランザクションのそれぞれに関して、前記テナントおよび特定の前記トランザクションに関連するログ・データに、テナント別の識別子を含めるべく注釈を付けるステップと、
    を含む、装置。
  10. 前記方法は、複数のテナントに関して、前記注釈を付けられたログ・データを記憶するステップをさらに含む、請求項9に記載の装置。
  11. 前記方法は、前記注釈を付けられたログ・データを、記憶するステップより前に、テナント毎に分類するステップをさらに含む、請求項10に記載の装置。
  12. 前記構文解析するステップは、トランザクション内のイベント・パターンと、一組のフィルタとを比較する、請求項9に記載の装置。
  13. 前記一組のフィルタは、テナント別の識別子と、特定のイベント・パターンとを一意的に関連付けるフィルタを含む、請求項12に記載の装置。
  14. 前記注釈を付けるステップは、トランザクション内の前記イベント・パターンと、前記一組のフィルタの中の前記フィルタのうちの1つとの間の一致に関連する、前記テナント別の識別子を含めるべく、イベント・パターン・データを補強する、請求項13に記載の装置。
  15. 前記リソースは、マルチテナントを認識しないリソースである、請求項9に記載の装置。
  16. 前記方法は、テナント別のログ・データ毎に、コンプライアンス分析を実行するステップをさらに含む、請求項9に記載の装置。
  17. 構成可能なコンピューティング・リソースのマルチテナント共用プールにおいてホストされるリソースによって生成されるログ・データを管理するデータ処理システムにおいて使用される、コンピュータ可読媒体内のコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品は、前記データ処理システムによって実行されると方法を実行するコンピュータ・プログラム命令を保持し、前記方法は、
    複数の前記リソースから受信されるログ情報を集約および正規化するステップと、
    前記集約および正規化されたログ情報を、一組のトランザクションのそれぞれに関連するテナントを識別するために構文解析するステップと、
    前記一組のトランザクションのそれぞれに関して、前記テナントおよび特定の前記トランザクションに関連するログ・データに、テナント別の識別子を含めるべく注釈を付けるステップと、
    を含む、コンピュータ・プログラム製品。
  18. 前記方法は、複数のテナントに関して、前記注釈を付けられたログ・データを記憶するステップをさらに含む、請求項17に記載のコンピュータ・プログラム製品。
  19. 前記方法は、前記注釈を付けられたログ・データを、記憶するステップより前に、テナント毎に分類するステップをさらに含む、請求項18に記載のコンピュータ・プログラム製品。
  20. 前記構文解析するステップは、トランザクション内のイベント・パターンと、一組のフィルタとを比較する、請求項17に記載のコンピュータ・プログラム製品。
  21. 前記一組のフィルタは、テナント別の識別子と、特定のイベント・パターンとを一意的に関連付けるフィルタを含む、請求項20に記載のコンピュータ・プログラム製品。
  22. 前記注釈を付けるステップは、トランザクション内の前記イベント・パターンと、前記一組のフィルタの中の前記フィルタのうちの1つとの間の一致に関連する、前記テナント別の識別子を含めるべく、イベント・パターン・データを補強する、請求項21に記載のコンピュータ・プログラム製品。
  23. 前記リソースは、マルチテナントを認識しないリソースである、請求項17に記載のコンピュータ・プログラム製品。
  24. 前記方法は、テナント別のログ・データ毎に、コンプライアンス分析を実行するステップをさらに含む、請求項17に記載のコンピュータ・プログラム製品。
  25. プロセッサと、
    構成可能なコンピューティング・リソースのマルチテナント共用プールにおいてホストされるリソースによって生成されるロギング・データを管理する方法を実行するために、前記プロセッサによって実行される、コンピュータ・プログラム命令を保持するコンピュータ・メモリと、
    を含む、クラウド実現集約プロキシであって、前記方法は、
    複数の前記リソースから受信されるログ情報を集約するステップであって、少なくとも1つのリソースは、マルチテナントを認識しないリソースである、前記ステップと、
    前記集約されたログ情報を処理するステップであって、一組のトランザクションのそれぞれに関して、前記ログ情報を生成した特定の前記トランザクションに、一組の複数のテナントのうちのどれがバインドされていたかを識別するために、前記処理するステップと、
    を含む、クラウド実現集約プロキシ。
JP2013548712A 2011-01-12 2012-01-12 クラウド環境をサポートするマルチテナント監査認識 Active JP5717879B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/004,945 US9460169B2 (en) 2011-01-12 2011-01-12 Multi-tenant audit awareness in support of cloud environments
US13/004,945 2011-01-12
PCT/CA2012/050018 WO2012094760A1 (en) 2011-01-12 2012-01-12 Multi-tenant audit awareness in support of cloud environments

Publications (2)

Publication Number Publication Date
JP2014502767A true JP2014502767A (ja) 2014-02-03
JP5717879B2 JP5717879B2 (ja) 2015-05-13

Family

ID=46456040

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013548712A Active JP5717879B2 (ja) 2011-01-12 2012-01-12 クラウド環境をサポートするマルチテナント監査認識

Country Status (6)

Country Link
US (1) US9460169B2 (ja)
JP (1) JP5717879B2 (ja)
CN (1) CN103329129B (ja)
DE (1) DE112012000249T8 (ja)
GB (1) GB2501436A (ja)
WO (1) WO2012094760A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015232904A (ja) * 2015-08-19 2015-12-24 株式会社ラック 情報分析システム、情報分析方法およびプログラム
JP2016004453A (ja) * 2014-06-18 2016-01-12 株式会社リコー サービス提供システム、ログ情報提供方法及びプログラム
JP2019082941A (ja) * 2017-10-31 2019-05-30 三菱電機ビルテクノサービス株式会社 ログ収集システム及びプログラム
US10311032B2 (en) 2015-08-31 2019-06-04 Fujitsu Limited Recording medium, log management method, and log management apparatus
JP2020504861A (ja) * 2016-12-16 2020-02-13 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation テープ処理をオブジェクト・ストレージにオフロードするためのコンピュータ実装方法、コンピュータ・プログラム製品、およびシステム
US10747561B2 (en) 2017-10-04 2020-08-18 Fujitsu Limited Log management device and log management method
US11290532B2 (en) 2016-12-16 2022-03-29 International Business Machines Corporation Tape reconstruction from object storage

Families Citing this family (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8837465B2 (en) 2008-04-02 2014-09-16 Twilio, Inc. System and method for processing telephony sessions
AU2009231676B2 (en) 2008-04-02 2013-10-03 Twilio Inc. System and method for processing telephony sessions
CN102227904A (zh) 2008-10-01 2011-10-26 特维里奥公司 电话网络事件的系统和方法
CA2789942C (en) 2009-03-02 2017-05-23 Jeffrey Lawson Method and system for a multitenancy telephone network
US9210275B2 (en) 2009-10-07 2015-12-08 Twilio, Inc. System and method for running a multi-module telephony application
US20120208495A1 (en) 2010-06-23 2012-08-16 Twilio, Inc. System and method for monitoring account usage on a platform
US8838707B2 (en) 2010-06-25 2014-09-16 Twilio, Inc. System and method for enabling real-time eventing
US8539078B2 (en) * 2010-07-08 2013-09-17 International Business Machines Corporation Isolating resources between tenants in a software-as-a-service system using the estimated costs of service requests
US8649268B2 (en) 2011-02-04 2014-02-11 Twilio, Inc. Method for processing telephony sessions of a network
US8903884B2 (en) * 2011-02-21 2014-12-02 Microsoft Corporation Multi-tenant services gateway
US9026493B1 (en) * 2011-02-28 2015-05-05 Google Inc. Multi-master RDBMS improvements for distributed computing environment
CN102693169B (zh) * 2011-03-25 2015-01-28 国际商业机器公司 在多租户环境下恢复租户数据的方法、设备和数据库系统
US9398622B2 (en) 2011-05-23 2016-07-19 Twilio, Inc. System and method for connecting a communication to a client
US20140044123A1 (en) 2011-05-23 2014-02-13 Twilio, Inc. System and method for real time communicating with a client application
US8713693B2 (en) * 2011-07-26 2014-04-29 Salesforce.Com, Inc. Secure access to customer log data in a multi-tenant environment
US10182147B2 (en) 2011-09-21 2019-01-15 Twilio Inc. System and method for determining and communicating presence information
US8844013B2 (en) * 2011-10-04 2014-09-23 Salesforce.Com, Inc. Providing third party authentication in an on-demand service environment
US9218417B2 (en) 2011-11-02 2015-12-22 Microsoft Technology Licensing, Llc Ad-hoc queries integrating usage analytics with search results
US10402299B2 (en) 2011-11-02 2019-09-03 Microsoft Technology Licensing, Llc Configuring usage events that affect analytics of usage information
US9466065B2 (en) * 2011-11-02 2016-10-11 Microsoft Technology Licensing, Llc Integrating usage information with operation of a system
US9495227B2 (en) 2012-02-10 2016-11-15 Twilio, Inc. System and method for managing concurrent events
US8977741B1 (en) * 2012-02-29 2015-03-10 Google Inc. Method and system for cloud computing service transparency
US8782795B1 (en) * 2012-03-30 2014-07-15 Emc Corporation Secure tenant assessment of information technology infrastructure
US20130282600A1 (en) * 2012-04-23 2013-10-24 Sap Ag Pattern Based Audit Issue Reporting
US9137172B2 (en) * 2012-05-02 2015-09-15 Salesforce.Com, Inc. Managing multiple proxy servers in a multi-tenant application system environment
US9602586B2 (en) 2012-05-09 2017-03-21 Twilio, Inc. System and method for managing media in a distributed communication network
US9247062B2 (en) 2012-06-19 2016-01-26 Twilio, Inc. System and method for queuing a communication session
US8737962B2 (en) 2012-07-24 2014-05-27 Twilio, Inc. Method and system for preventing illicit use of a telephony platform
US8769701B2 (en) * 2012-09-05 2014-07-01 International Business Machines Corporation Single tenant audit view in a multi-tenant environment
US9424432B2 (en) * 2012-09-20 2016-08-23 Nasdaq, Inc. Systems and methods for secure and persistent retention of sensitive information
US8938053B2 (en) 2012-10-15 2015-01-20 Twilio, Inc. System and method for triggering on platform usage
US20140143276A1 (en) * 2012-11-21 2014-05-22 Counterpart Technologies Inc. Enterprise Data Mining in a Hosted Multi-Tenant Database
US20140222462A1 (en) * 2013-02-07 2014-08-07 Ian Shakil System and Method for Augmenting Healthcare Provider Performance
US9282124B2 (en) 2013-03-14 2016-03-08 Twilio, Inc. System and method for integrating session initiation protocol communication in a telecommunications platform
US10318397B2 (en) 2013-04-15 2019-06-11 Vmware, Inc. Efficient data pattern matching
US9460074B2 (en) * 2013-04-15 2016-10-04 Vmware, Inc. Efficient data pattern matching
US20140331337A1 (en) * 2013-05-02 2014-11-06 International Business Machines Corporation Secure isolation of tenant resources in a multi-tenant storage system using a gatekeeper
US9160696B2 (en) 2013-06-19 2015-10-13 Twilio, Inc. System for transforming media resource into destination device compatible messaging format
US9225840B2 (en) 2013-06-19 2015-12-29 Twilio, Inc. System and method for providing a communication endpoint information service
US9274858B2 (en) 2013-09-17 2016-03-01 Twilio, Inc. System and method for tagging and tracking events of an application platform
US9137127B2 (en) 2013-09-17 2015-09-15 Twilio, Inc. System and method for providing communication platform metadata
US9553799B2 (en) 2013-11-12 2017-01-24 Twilio, Inc. System and method for client communication in a distributed telephony network
US20150134618A1 (en) * 2013-11-12 2015-05-14 Boris Teterin Techniques for Policy-Based Data Protection Services
US9325624B2 (en) 2013-11-12 2016-04-26 Twilio, Inc. System and method for enabling dynamic multi-modal communication
CN103617283B (zh) * 2013-12-11 2017-10-27 北京京东尚科信息技术有限公司 一种存储日志的方法及装置
US9621673B2 (en) 2013-12-12 2017-04-11 Sap Se Customer initiated tenant operations in a multitenant cloud environment
CN104134113A (zh) * 2013-12-23 2014-11-05 国云科技股份有限公司 基于云计算SaaS服务模式的信息化系统及集成方法
US9444819B2 (en) 2014-01-16 2016-09-13 International Business Machines Corporation Providing context-based visibility of cloud resources in a multi-tenant environment
US9996445B2 (en) * 2014-01-17 2018-06-12 International Business Machines Corporation Computer flight recorder with active error detection
WO2015108536A1 (en) * 2014-01-20 2015-07-23 Hewlett-Packard Development Company, L.P. Mapping tenant groups to identity management classes
CN105917309B (zh) 2014-01-20 2020-02-07 惠普发展公司,有限责任合伙企业 确定第一租户关于第二租户的许可
WO2015108537A1 (en) 2014-01-20 2015-07-23 Hewlett-Packard Development Company, L.P. Identity information including a schemaless portion
JP6461167B2 (ja) 2014-01-21 2019-01-30 オラクル・インターナショナル・コーポレイション アプリケーションサーバ、クラウドまたは他の環境においてマルチテナンシをサポートするためのシステムおよび方法
US10133741B2 (en) * 2014-02-13 2018-11-20 Amazon Technologies, Inc. Log data service in a virtual environment
US10970748B2 (en) * 2014-02-24 2021-04-06 Ncr Corporation Channel integration
US9344573B2 (en) 2014-03-14 2016-05-17 Twilio, Inc. System and method for a work distribution service
US9226217B2 (en) 2014-04-17 2015-12-29 Twilio, Inc. System and method for enabling multi-modal communication
US11477278B2 (en) 2014-06-24 2022-10-18 Oracle International Corporation System and method for supporting partitions in a multitenant application server environment
US9774687B2 (en) 2014-07-07 2017-09-26 Twilio, Inc. System and method for managing media and signaling in a communication platform
US9251371B2 (en) 2014-07-07 2016-02-02 Twilio, Inc. Method and system for applying data retention policies in a computing platform
US9246694B1 (en) 2014-07-07 2016-01-26 Twilio, Inc. System and method for managing conferencing in a distributed communication network
US9516101B2 (en) 2014-07-07 2016-12-06 Twilio, Inc. System and method for collecting feedback in a multi-tenant communication platform
US9912529B2 (en) 2014-08-20 2018-03-06 International Business Machines Corporation Tenant-specific log for events related to a cloud-based service
CN104243565B (zh) * 2014-09-04 2018-02-06 华为软件技术有限公司 获取配置数据的方法和装置
US10318280B2 (en) 2014-09-24 2019-06-11 Oracle International Corporation System and method for supporting patching in a multitenant application server environment
US9405530B2 (en) 2014-09-24 2016-08-02 Oracle International Corporation System and method for supporting patching in a multitenant application server environment
EP3210350B1 (en) 2014-10-21 2020-05-20 Twilio, Inc. Method for providing a miro-services communication platform
US9419958B2 (en) 2014-11-25 2016-08-16 Oracle International Corporation Multi-tenancy support in a cloud based data grid
US10277522B1 (en) * 2014-11-26 2019-04-30 Amazon Technologies, Inc. Automated association of computing resources with resource creators for usage allocation
US10250512B2 (en) 2015-01-21 2019-04-02 Oracle International Corporation System and method for traffic director support in a multitenant application server environment
US9477975B2 (en) 2015-02-03 2016-10-25 Twilio, Inc. System and method for a media intelligence platform
US9667656B2 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
US9948703B2 (en) 2015-05-14 2018-04-17 Twilio, Inc. System and method for signaling through data storage
US10419891B2 (en) 2015-05-14 2019-09-17 Twilio, Inc. System and method for communicating through multiple endpoints
US20160350481A1 (en) * 2015-05-27 2016-12-01 University Of Utah Research Foundation Multi-tenant cloud for healthcare data application delivery
US9930116B2 (en) 2015-06-01 2018-03-27 Oracle International Corporation Method and system for selecting a transport mechanism and a storage process
US9893947B2 (en) 2015-06-26 2018-02-13 International Business Machines Corporation Transactional orchestration of resource management and system topology in a cloud environment
US10748070B2 (en) * 2015-07-31 2020-08-18 Microsoft Technology Licensing, Llc Identification and presentation of changelogs relevant to a tenant of a multi-tenant cloud service
US11140045B2 (en) * 2015-07-31 2021-10-05 Microsoft Technology Licensing, Llc Changelog transformation and correlation in a multi-tenant cloud service
US9992027B1 (en) * 2015-09-14 2018-06-05 Amazon Technologies, Inc. Signing key log management
US10395061B2 (en) 2015-09-29 2019-08-27 International Business Machines Corporation Efficient auditing of data in object storage
KR102559507B1 (ko) * 2015-10-23 2023-07-25 오라클 인터내셔날 코포레이션 멀티테넌트 미들웨어 어플리케이션에서 호출된 os 프로그램의 멀티테넌트 실행을 위한 시스템 및 방법
US9819609B2 (en) * 2015-10-23 2017-11-14 Oracle International Corporation System and method for multitenant execution of OS programs invoked from a multitenant middleware application
US9811386B2 (en) * 2015-10-23 2017-11-07 Oracle International Corporation System and method for multitenant execution of OS programs invoked from a multitenant middleware application
US10200387B2 (en) * 2015-11-30 2019-02-05 International Business Machines Corporation User state tracking and anomaly detection in software-as-a-service environments
US10432471B2 (en) * 2015-12-31 2019-10-01 Microsoft Technology Licensing, Llc Distributed computing dependency management system
US10659349B2 (en) 2016-02-04 2020-05-19 Twilio Inc. Systems and methods for providing secure network exchanged for a multitenant virtual private cloud
US11494503B2 (en) * 2016-04-14 2022-11-08 Egnyte, Inc. Hybrid approach to data governance
US10063713B2 (en) 2016-05-23 2018-08-28 Twilio Inc. System and method for programmatic device connectivity
US10686902B2 (en) 2016-05-23 2020-06-16 Twilio Inc. System and method for a multi-channel notification service
US10848501B2 (en) * 2016-12-30 2020-11-24 Microsoft Technology Licensing, Llc Real time pivoting on data to model governance properties
CN107239340A (zh) * 2017-04-27 2017-10-10 清华大学 一种数值计算结果可重现性保障系统
US11005864B2 (en) 2017-05-19 2021-05-11 Salesforce.Com, Inc. Feature-agnostic behavior profile based anomaly detection
US10873628B2 (en) * 2017-06-13 2020-12-22 Oracle International Corporation System and method for non-intrusive context correlation across cloud services
US11010823B2 (en) * 2017-07-28 2021-05-18 Citrix Systems, Inc. Connector leasing for long-running software operations
US10848494B2 (en) * 2017-08-14 2020-11-24 Microsoft Technology Licensing, Llc Compliance boundaries for multi-tenant cloud environment
US10601672B2 (en) * 2017-10-24 2020-03-24 Cisco Technology, Inc. Inter-tenant workload performance correlation and recommendation
US10938950B2 (en) * 2017-11-14 2021-03-02 General Electric Company Hierarchical data exchange management system
CN108021458A (zh) * 2017-12-01 2018-05-11 天津麒麟信息技术有限公司 一种基于消息触发的多租户审计索引方法
US10769281B2 (en) 2017-12-07 2020-09-08 International Business Machines Corporation Compliant software component infrastructure deployment
US10547679B1 (en) * 2018-01-02 2020-01-28 Architecture Technology Corporation Cloud data synchronization based upon network sensing
CN108306766B (zh) * 2018-01-23 2021-03-02 北京天地和兴科技有限公司 用于分布式安全审计采集设备的日志发送系统及发送方法
US10931780B2 (en) 2018-02-28 2021-02-23 International Business Machines Corporation Resource pre-caching and tenant workflow recognition using cloud audit records
US11868321B2 (en) 2018-06-12 2024-01-09 Salesforce, Inc. Cryptographically secure multi-tenant data exchange platform
EP3811594B1 (en) 2018-06-20 2022-08-10 Koninklijke Philips N.V. Method to analyze log patterns
US11809409B2 (en) 2018-09-19 2023-11-07 Salesforce, Inc. Multi-tenant distributed ledger interfaces
US11157484B2 (en) 2018-09-19 2021-10-26 Salesforce.Com, Inc. Advanced smart contract with decentralized ledger in a multi-tenant environment
US11100091B2 (en) * 2018-09-19 2021-08-24 Salesforce.Com, Inc. Lightweight node in a multi-tenant blockchain network
CN109729147A (zh) * 2018-11-28 2019-05-07 国云科技股份有限公司 一种云环境下支持多租户的审计系统及实现方法
US20200272619A1 (en) * 2019-02-21 2020-08-27 Fiducia DLT LTD Method and system for audit and payment clearing of electronic trading systems using blockchain database
US11514140B2 (en) * 2019-07-26 2022-11-29 EMC IP Holding Company LLC Method and system for post-purchase data usage and license enforcement
US11880484B2 (en) * 2019-11-12 2024-01-23 Salesforce, Inc. Enforcing data isolation in jobs executed by a multi-tenant system on a secondary platform
US20210194930A1 (en) * 2019-12-18 2021-06-24 GreyHeller, LLC. (DBA Appsian) Systems, methods, and devices for logging activity of a security platform
US11057315B1 (en) * 2020-01-06 2021-07-06 International Business Machines Corporation Generating a scaling plan for external systems during cloud tenant onboarding/offboarding
US11868310B2 (en) * 2020-02-25 2024-01-09 International Business Machines Corporation Composite storage of objects in multi-tenant devices
US11755374B2 (en) * 2020-05-26 2023-09-12 Dell Products L.P. Cloud resource audit system
CN111818175B (zh) * 2020-07-24 2023-06-30 南方电网数字电网研究院有限公司 企业服务总线配置文件生成方法、装置、设备和存储介质
CN112395157B (zh) * 2020-11-13 2023-08-08 广州至真信息科技有限公司 审计日志的获取方法、装置、计算机设备和存储介质
CN112328579A (zh) * 2020-11-27 2021-02-05 杭州安恒信息技术股份有限公司 一种云环境下定制数据库安全审计的方法
CN112416909A (zh) * 2020-12-11 2021-02-26 深圳昂楷科技有限公司 一种云上数据库审计方法、装置和服务器
CN113138967B (zh) * 2021-05-08 2023-03-21 贵州全安密灵科技有限公司 一种数据信息采集方法、黑匣子、起爆器及存储介质
US11797576B2 (en) 2021-08-24 2023-10-24 International Business Machines Corporation Sensitivity-based database processing and distributed storage
CN113869989B (zh) * 2021-12-01 2022-05-06 阿里云计算有限公司 一种信息处理方法及装置
CN115086160A (zh) * 2022-06-09 2022-09-20 杭州安恒信息技术股份有限公司 一种基于SaaS平台的日志采集方法、终端代理、设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041464A (ja) * 2000-05-22 2002-02-08 Internatl Business Mach Corp <Ibm> エンドユーザ・トランザクションを識別するための方法及び装置
JP2002215424A (ja) * 2001-01-16 2002-08-02 Hitachi Ltd 稼働監視データのフィルタリング方法
JP2004295303A (ja) * 2003-03-26 2004-10-21 Nri & Ncc Co Ltd ログ収集管理システム、ログ収集管理方法およびコンピュータプログラム
JP2004532445A (ja) * 2001-02-20 2004-10-21 コンピュータ アソシエイツ シンク,インコーポレイテッド サービスプロバイダーの業績を監視するシステム及び方法
WO2008117471A1 (ja) * 2007-03-27 2008-10-02 Fujitsu Limited 監査プログラム、監査システムおよび監査方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7580884B2 (en) * 2001-06-25 2009-08-25 Intuit Inc. Collecting and aggregating creditworthiness data
US7574496B2 (en) 2001-11-30 2009-08-11 Surgient, Inc. Virtual server cloud interfacing
US7257584B2 (en) 2002-03-18 2007-08-14 Surgient, Inc. Server file management
KR20050084955A (ko) * 2002-12-20 2005-08-29 마쯔시다덴기산교 가부시키가이샤 콘텐츠 이용실적 수집 시스템, 단말 장치 및 서버 장치
US20060235831A1 (en) * 2005-01-14 2006-10-19 Adinolfi Ronald E Multi-source multi-tenant entitlement enforcing data repository and method of operation
CN101124578A (zh) * 2005-01-14 2008-02-13 国际商业机器公司 包括增值和请求式数据传送的可共享多租户参考数据实用工具和储存库以及运行方法
WO2006076520A2 (en) 2005-01-14 2006-07-20 International Business Machines Corporation Sharable multi-tenant reference data utility and repository, including value enhancement and on-demand data delivery and methods of operation
EP1997039A1 (en) * 2006-03-14 2008-12-03 International Business Machines Corporation Data mining by determining patterns in input data
US7836056B2 (en) 2006-09-28 2010-11-16 Microsoft Corporation Location management of off-premise resources
US20080104393A1 (en) 2006-09-28 2008-05-01 Microsoft Corporation Cloud-based access control list
US8341405B2 (en) 2006-09-28 2012-12-25 Microsoft Corporation Access management in an off-premise environment
US20080082490A1 (en) 2006-09-28 2008-04-03 Microsoft Corporation Rich index to cloud-based resources
US7797453B2 (en) 2006-09-29 2010-09-14 Microsoft Corporation Resource standardization in an off-premise environment
US20080082480A1 (en) 2006-09-29 2008-04-03 Microsoft Corporation Data normalization
US8705746B2 (en) 2006-09-29 2014-04-22 Microsoft Corporation Data security in an off-premise environment
US7519610B2 (en) 2006-11-15 2009-04-14 International Business Machines Corporation Method and apparatus for efficiently storing audit event data having diverse characteristics using tiered tables
US8024480B2 (en) 2008-04-28 2011-09-20 Distefano Michael Vincent Complex event processing cloud
US7886038B2 (en) 2008-05-27 2011-02-08 Red Hat, Inc. Methods and systems for user identity management in cloud-based networks
US8370796B2 (en) 2008-08-26 2013-02-05 International Business Machines Corporation Development tooling enablement for audit event generation
US8230228B2 (en) 2008-10-31 2012-07-24 International Business Machines Corporation Support of tamper detection for a log of records
US8763140B2 (en) 2009-05-20 2014-06-24 Evizone Ip Holdings, Ltd. Secure workflow and data management facility
US20100333116A1 (en) 2009-06-30 2010-12-30 Anand Prahlad Cloud gateway system for managing data storage to cloud storage sites
US9311664B2 (en) * 2010-05-25 2016-04-12 Salesforce.Com, Inc. Systems and methods for automatically collection of performance data in a multi-tenant database system environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041464A (ja) * 2000-05-22 2002-02-08 Internatl Business Mach Corp <Ibm> エンドユーザ・トランザクションを識別するための方法及び装置
JP2002215424A (ja) * 2001-01-16 2002-08-02 Hitachi Ltd 稼働監視データのフィルタリング方法
JP2004532445A (ja) * 2001-02-20 2004-10-21 コンピュータ アソシエイツ シンク,インコーポレイテッド サービスプロバイダーの業績を監視するシステム及び方法
JP2004295303A (ja) * 2003-03-26 2004-10-21 Nri & Ncc Co Ltd ログ収集管理システム、ログ収集管理方法およびコンピュータプログラム
WO2008117471A1 (ja) * 2007-03-27 2008-10-02 Fujitsu Limited 監査プログラム、監査システムおよび監査方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016004453A (ja) * 2014-06-18 2016-01-12 株式会社リコー サービス提供システム、ログ情報提供方法及びプログラム
US10354209B2 (en) 2014-06-18 2019-07-16 Ricoh Company, Ltd. Service providing system and log information providing method
JP2015232904A (ja) * 2015-08-19 2015-12-24 株式会社ラック 情報分析システム、情報分析方法およびプログラム
US10311032B2 (en) 2015-08-31 2019-06-04 Fujitsu Limited Recording medium, log management method, and log management apparatus
JP2020504861A (ja) * 2016-12-16 2020-02-13 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation テープ処理をオブジェクト・ストレージにオフロードするためのコンピュータ実装方法、コンピュータ・プログラム製品、およびシステム
US11132458B2 (en) 2016-12-16 2021-09-28 International Business Machines Corporation Tape processing offload to object storage
JP7004184B2 (ja) 2016-12-16 2022-01-21 インターナショナル・ビジネス・マシーンズ・コーポレーション テープ処理をオブジェクト・ストレージにオフロードするためのコンピュータ実装方法、コンピュータ・プログラム製品、およびシステム
US11290532B2 (en) 2016-12-16 2022-03-29 International Business Machines Corporation Tape reconstruction from object storage
US10747561B2 (en) 2017-10-04 2020-08-18 Fujitsu Limited Log management device and log management method
JP2019082941A (ja) * 2017-10-31 2019-05-30 三菱電機ビルテクノサービス株式会社 ログ収集システム及びプログラム

Also Published As

Publication number Publication date
GB2501436A (en) 2013-10-23
CN103329129B (zh) 2017-11-14
DE112012000249T5 (de) 2013-09-05
JP5717879B2 (ja) 2015-05-13
GB201314044D0 (en) 2013-09-18
US9460169B2 (en) 2016-10-04
WO2012094760A1 (en) 2012-07-19
DE112012000249T8 (de) 2013-09-19
US20120179646A1 (en) 2012-07-12
CN103329129A (zh) 2013-09-25

Similar Documents

Publication Publication Date Title
JP5717879B2 (ja) クラウド環境をサポートするマルチテナント監査認識
US9444820B2 (en) Providing context-based visibility of cloud resources in a multi-tenant environment
US8769701B2 (en) Single tenant audit view in a multi-tenant environment
US11362910B2 (en) Distributed machine learning for anomaly detection
JP6712213B2 (ja) クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス
JP7369501B2 (ja) 人工知能を使用した認証されていないapi要求が存在する場合の不適切な活動の検出
US9591016B1 (en) Assessing security risks associated with connected application clients
US9154507B2 (en) Automated role and entitlements mining using network observations
US10432666B2 (en) Method and apparatus for associating data loss protection (DLP) policies with endpoints
US8136146B2 (en) Secure audit log access for federation compliance
US20190173903A1 (en) User state tracking and anomaly detection in software-as-a-service environments
US8627405B2 (en) Policy and compliance management for user provisioning systems
US9251368B2 (en) Provisioning transient-controlled secure environments for viewing sensitive data
US10586050B2 (en) Consolidating static analysis tool warnings using dynamic programming
US11290472B2 (en) Threat intelligence information access via a DNS protocol
US9460277B2 (en) Identity based auditing in a multi-product environment
US20150193524A1 (en) Identifying, categorizing and recording a quality of an entity/resource association
US8640195B2 (en) Method and system for automating security policy definition based on recorded transactions
US10229280B2 (en) System and method to protect a resource using an active avatar

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130717

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140812

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150317

R150 Certificate of patent or registration of utility model

Ref document number: 5717879

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150