JP2017034659A - サービス志向ソフトウェア定義型セキュリティのフレームワーク - Google Patents

サービス志向ソフトウェア定義型セキュリティのフレームワーク Download PDF

Info

Publication number
JP2017034659A
JP2017034659A JP2016115702A JP2016115702A JP2017034659A JP 2017034659 A JP2017034659 A JP 2017034659A JP 2016115702 A JP2016115702 A JP 2016115702A JP 2016115702 A JP2016115702 A JP 2016115702A JP 2017034659 A JP2017034659 A JP 2017034659A
Authority
JP
Japan
Prior art keywords
security
assets
service
control device
physical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016115702A
Other languages
English (en)
Other versions
JP6266696B2 (ja
Inventor
ソン ルオ
Luo Song
ソン ルオ
マレク ベン サレム
Ben Salem Malek
マレク ベン サレム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Accenture Global Solutions Ltd
Original Assignee
Accenture Global Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Accenture Global Solutions Ltd filed Critical Accenture Global Solutions Ltd
Publication of JP2017034659A publication Critical patent/JP2017034659A/ja
Application granted granted Critical
Publication of JP6266696B2 publication Critical patent/JP6266696B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】サービス志向ソフトウェア定義型セキュリティフレームワークのためのコンピュータプログラムを含む、方法、システムおよび装置を提供する。
【解決手段】本システムは、セキュリティ制御デバイスと、一つ以上のアセットと、セキュリティコントローラを含む。セキュリティコントローラは、処理エンジンを含み、処理エンジンは、セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成し、セキュリティ制御デバイスを登録する。さらに、処理エンジンは、アセットの各々に対する物理−論理属性マッピングを作成し、アセットに対するセキュリティサービス要求事項を生成することによって、アセットを登録する。また、処理エンジンは、サービスに対する要求に基づいてセキュリティサービスのバインディングを生成する。
【選択図】図1

Description

関連出願の相互参照
本出願は、2015年6月12日出願の米国仮出願第62/174,990号、および2016年5月26日出願の米国仮出願第62/342,128号の利益を主張し、これら出願の双方は参照することにより本明細書に組み込まれる。
技術分野
本出願はネットワークセキュリティに関する。
企業のITインフラストラクチャがより仮想化され、クラウドベースになり、急速に変化するにつれ、従来式のサイバーセキュリティは、それが静的ネットワークアイデンティティに関連付けられ、ステートフルなデバイスに依存しているのでこの傾向にうまく適応できない。一つの例に、クラウド中のIPベースのステートフルファイアウォールがあり、いずれかの保護された仮想マシンがクラウドオペレーションのためそのIPアドレスを変更すると、期待通りに機能しなくなる。
セキュリティコンフィグレーションを実施する従来式のアプローチは、手作業に大きく依存する。さらに、多くのセキュリティ制御手段がそれらのコンフィグレーションの中でアセットの物理的属性を使用しているので、アセットの物理的属性が変わると、その変化の影響を受ける他のアセットおよび制御手段を識別し、関連するコンフィグレーションを変更するために多くの手作業を必要とする。ネットワークに新規のデバイスが追加され、またはネットワークから既存のデバイスが除去される際にも、セキュリティ制御コンフィグレーションへの手作業による変更が必要となる。
本出願は、ソフトウェア定義型インフラストラクチャに対するセキュリティ制御のためのサービス志向のアプローチに関する。本アプローチは、ソフトウェア定義型セキュリティ原理を導入する。このアプローチは、セキュリティ制御をセキュリティサービスとして表現し、アセットのセキュリティポリシーをサービス要求事項として解釈する。本アプローチは、セキュリティマネジメントおよび制御に監督レベルで対応し、根本的なインフラストラクチャおよびその動的変更からこれらのマネジメントを遮蔽する。本アプローチは、異機種環境クラウドベースまたは従来式環境を横断して、一貫したセキュリティポリシーの執行を助力し、ネットワーク管理者のためにセキュリティマネジメント業務を簡明化する。本出願は、ソフトウェア定義型セキュリティへのサービス志向のアプローチを実装するプロとタイプを説明し、本アプローチに対するいくつかの実際的使用を考察する。
多くの企業は、自社の従来式のITインフラストラクチャをソフトウェア定義型インフラストラクチャ(SDI:Software−Defined Infrastructure)に変換することが可能である。SDIの主要な特徴の中に、ソフトウェア定義型ネットワーク形成、ソフトウェア定義型ストレージ、サーバ仮想化、並びに自動化および制御ソフトウェアがある。これらの技術は、SDIを、ITアセットおよび機能がオンデマンド方式で定義、生成、変更、およびリサイクされる高度に動的な環境に作り上げる。SDIのこの動的な性質は、専用のハードウェア機器に伝統的に依存するサイバーセキュリティオペレーションに対し困難を引き起こし得る。専用のセキュリティ機器は、固定されたネットワークトポロジおよび固定IPアドレスなど静的なインフラストラクチャ設定に関連付けられ得る。静的設定への依存は、既存のセキュリティメカニズムの変更または新規メカニズムの展開を困難にする。というのは、かかる変更は、多くの場合、カスケード効果を誘発し、集約的な手動での再構成を必要とするからである。さらに、専用および専売機器の使用は、ベンダーロックインを引き起こし、事業および作業レベルの双方でより高いコストとより大きなリスクとをもたらす。SDI環境において、よりフレキシブルで、より機動的で、自動化されたサイバーセキュリティオペレーションを達成するために、セキュリティマネジメントの静的な専用のセキュリティ機器への依存を最小化することが望ましくあり得よう。
本出願は、専売のセキュリティ機能を、包括的セキュリティサービスとして表すことによって、根本的なセキュリティ制御手段からサイバーセキュリティマネジメントを切り離すアプローチ、すなわち、サービス志向ソフトウェア定義型セキュリティ(SOSDSec:Service−Oriented Software−Defined Security)を説明する。SOSDSecは、転換(これは抽象化および/または形成化と言われることもある)、API活用化、自動化、および統合化などの技法を使用する。SOSDSecでは、セキュリティサービスは、オンデマンドで、見出され、有効化され、そして無効化され得る。SOSDSecは、企業に、簡明化されたマネジメントおよび制御、技術およびベンダー非依存性を含むサイバーセキュリティ、インフラストラクチャダイナミクスへのサポート、並びに増進された機動性の利点を提供する。以降で説明するのは、修正されたセキュリティサービスを用いたソフトウェア定義型インフラストラクチャに対する例示のセキュリティ制御アプローチである。
ソフトウェア定義型セキュリティ(SDSec:Software−Defined Security)は、SDI環境内のセキュリティを改良するためのアークテクチャ面のアプローチである。SDSecの中核原理は、転換、自動化、制御、スケーラビリティ、フレキシビリティ、可視性、およびAPI活用化を含む。SDSecは、従来式の物理的セキュリティ制御手段の代わりに、セキュリティマネジメントタスクを本質的に簡明化するソフトウェアを使うセキュリティ機能を提供する。また、ハードウェアへの依存の排除は、仮想化クラウドインフラストラクチャの変更レベルと歩調を合わせて展開可能なセキュリティをも意味する。
本出願に記載された主題の革新的態様によれば、ソフトウェア定義型セキュリティシステムは、セキュリティ制御デバイスと、一つ以上のアセットと、セキュリティ制御デバイスおよび一つ以上のアセットと通信するセキュリティコントローラと、を含む。セキュリティコントローラは処理エンジンを含み、該エンジンは、セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、該セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成することによりセキュリティ制御デバイスを登録するように構成される。また、該処理エンジンは、一つ以上のアセットの各々に対する物理−論理属性マッピングを作成し、該一つ以上のアセットの各々に対するセキュリティサービス要求事項を生成することによって、これら一つ以上のアセットを登録するように構成される。また、該処理エンジンは、サービスに対する要求に基づいてセキュリティサービスのバインディングを生成するようにも構成され、処理エンジンは、セキュリティサービスのバインディングをセキュリティ制御コマンドのセットに変換し、そのセキュリティ制御コマンドをセキュリティ制御デバイスに通信するよう動作可能である。
ソフトウェア定義型セキュリティシステムは、以下の随意的特徴の一つ以上を含んでよい。セキュリティ制御デバイスは、ファイアウォールと、侵入検知システムと、アイデンティティおよびアクセスマネジメントシステムと、のうちの一つである。一つ以上のアセットは、サーバと、VPNクライアントおよびサーバと、外部コンピューティングデバイスと、モバイルコンピューティングデバイスと、のうちの一つを含む。処理エンジンは、セキュリティイベントを識別するデータを受信し、該セキュリティイベントに対して実施するためにセキュリティコントローラに対して一つ以上のアクションを識別するプレイブックにアクセスし、セキュリティイベントに応じて一つ以上のアクションを実施するようにさらに構成されてよい。このセキュリティイベントは、侵入検知制御、ネットワークトポロジ変更、またはサーバ故障からのイベントを含み得る。セキュリティサービスのバインディングを生成するアクションは、セキュリティイベントに応じて一つ以上のアクションを実施することを含むことができる。セキュリティ制御デバイスに対する物理−論理属性マッピングは、該セキュリティ制御デバイスに対するIPアドレス−ホスト名マッピングを含むことが可能である。一つ以上のアセットの各々に対する物理−論理属性マッピングは、一つ以上のアセットの各々に対するIPアドレス−ホスト名マッピングを含むことが可能である。処理エンジンは、一つ以上のアセットの一つへの物理属性の変更を示すデータを受信するようにさらに構成することができる。一つ以上のアセットの一つへの物理属性の変更を示すデータを受信することに応じて、処理エンジンは、一つ以上のアセットの該一つに対するセキュリティサービス要求事項を識別することが可能で、処理エンジンは、一つ以上のアセットの一つに対するそのセキュリティサービス要求事項に基づいて、一つ以上のアセットの一つに対するセキュリティサービスのバインディングを生成することができる。一つ以上のアセットの一つに対するセキュリティサービスのバインディングは、一つ以上のアセットの一つへの物理属性の変更を示すデータを受信した後、ユーザの入力なしに自動的に生成することが可能である。
この態様の他の実装は、各々が前述のオペレーションを実装するように構成された、対応するシステム、装置、およびコンピュータストレージデバイスに記録されたコンピュータプログラムを含む。
本出願に記述の主題事項の別の革新的な態様によれば、方法は、セキュリティ制御デバイスおよび一つ以上のアセットと通信するセキュリティコントローラによって、セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成することにより、セキュリティ制御デバイスを登録するステップと、一つ以上のアセットの各々に対する物理−論理属性マッピングを作成し、該一つ以上のアセットの各々に対するセキュリティサービス要求事項を生成することによって、これら一つ以上のアセットを登録するステップと、サービスに対する要求に基づいて、セキュリティサービスのバインディングを生成するステップと、セキュリティサービスのバインディングをセキュリティ制御コマンドのセットに変換するステップと、そのセキュリティ制御コマンドをセキュリティ制御デバイスに伝達するステップと、のアクションを含む。
本方法は、以下の付加的特徴の一つ以上を含んでよい。セキュリティ制御デバイスは、ファイアウォールと、侵入検知システムと、アイデンティティおよびアクセスマネジメントシステムと、のうちの一つである。一つ以上のアセットは、サーバと、VPNクライアントおよびサーバと、外部コンピューティングデバイスと、モバイルコンピューティングデバイスと、のうちの一つを含む。これらのアクションは、セキュリティイベントを識別するデータを受信するステップと、該セキュリティイベントに対して実施するためにセキュリティコントローラに対して一つ以上のアクションを識別するプレイブックにアクセスするステップと、セキュリティイベントに応じて一つ以上のアクションを実施するステップと、をさらに含む。このセキュリティイベントは、侵入検知制御、ネットワークトポロジ変更、またはサーバ故障からのイベントを含み得る。セキュリティサービスのバインディングを生成するアクションは、セキュリティイベントに応じて一つ以上のアクションを実施するステップを含むことができる。セキュリティ制御デバイスに対する物理−論理属性マッピングは、当該セキュリティ制御デバイスに対するIPアドレス−ホスト名マッピングを含むことが可能である。一つ以上のアセットの各々に対する物理−論理属性マッピングは、一つ以上のアセットの各々に対するIPアドレス−ホスト名マッピングを含むことが可能である。これらアクションは、一つ以上のアセットの一つへの物理属性の変更を示すデータを受信するステップと、一つ以上のアセットの一つへの物理属性の変更を示すデータを受信することに応じて、一つ以上のアセットの一つに対するセキュリティサービス要求事項を識別するステップと、一つ以上のアセットの一つに対するそのセキュリティサービス要求事項に基づいて、一つ以上のアセットの一つに対するセキュリティサービスのバインディングを生成するステップと、をさらに含むことができる。一つ以上のアセットの一つに対するセキュリティサービスのバインディングは、一つ以上のアセットの一つへの物理属性の変更を示すデータを受信した後、ユーザの入力なしに自動的に生成することが可能である。
この態様の他の実装は、各々が本方法のオペレーションを実装するように構成された、対応するシステム、装置、およびコンピュータストレージデバイスに記録されたコンピュータプログラムを含む。
本明細書に記載の主題事項の一つ以上の実装の詳細が、添付の図面および以下の説明において述べられる。本主題事項の他の特徴、態様、および利点はこれらの説明、図面、および特許請求の範囲から明らかになろう。
アセットとセキュリティサービスプロバイダと間の例示のサービスマッチングプロセスを示す。 例示のソフトウェア定義型環境に配備された、いくつかのレイヤに分解された例示のソフトウェア定義型セキュリティモデルを示す。 サービス志向ソフトウェア定義型セキュリティコントローラおよびその機能素子の例示のアーキテクチャを示す。 セキュリティサービスの例示のクラス図を示す。 同じセキュリティグループ中にあり、相異なる仮想または物理ネットワークに属し得る例示のアセットを示す。 セキュリティサービスのバインディングのクラスおよび三つのサブクラスの例示のクラスおよびメッセージ図を示す。 外部クライアントが仮想プライベートネットワークを介して保護された内部サーバにアクセスしている例示のシステムを示す。 SOSDSecコントローラの一例および例示のテストベッドを示す。 テストベッド中の二つの例示のサブネットを示す。 アクセス制御ルールを設定可能な信頼レベルに基づいて動的に修正する、ソフトウェア定義型ネットワーク設定の技術を使って実装された、例示の隔離サービスを示す。 サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティ制御手段の登録プロセスを示す。 サービス志向ソフトウェア定義型セキュリティに対する例示のアセット登録プロセスを示す。 サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティサービス要求プロセスを示す。 サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティ制御コマンド送信プロセスを示す。 サービス志向ソフトウェア定義型セキュリティに対するネットワーク設定またはセキュリティイベントを受信するための例示のプロセスを示す。 コンピューティングデバイスおよびモバイルコンピューティングデバイスの一例を示す。
図1は、アセットとセキュリティサービスプロバイダと間の例示のサービスマッチングプロセス100を示す。サービスマッチングプロセス100は、企業のITインフラストラクチャ環境内で動作され、通常、セキュリティ制御手段(例えば、ファイアウォール105、侵入検知システム(IDS:intrusion detection system)110およびアイデンティティおよびアクセスマネジメント(IAM:identity and access management)を含む)、並びにアセット(保護された内部サーバ310、315(115)、VPNクライアントおよびサーバ、および外部クライアントを含む)から成る。図1に示された例において、アセット120は、サービスマッチングアルゴリズムを実行するSOSDSecコントローラ125を介し、ファイアウォール、IDS、およびIAMからの三つの異なるセキュリティサービスを要求する。
SOSDSecコントローラ125は、セキュリティ制御手段のキャパシティをセキュリティサービスとして、およびアセットのセキュリティポリシー/モードをセキュリティサービス要求事項として定義することによって、サイバーセキュリティマネジメントを提供する。しかして、保護対象アセットに対するセキュリティ制御手段を構成するプロセスは、アセットのセキュリティ要求事項を、所与のネットワークドメインにおいて利用可能なセキュリティサービスにバインディング、かかるバインディングをセキュリティ制御のための実際のコマンドに変換するプロセスになる。
全てのセキュリティ制御手段は、特定のネットワーク範囲中の他の当事者によって使われる特定のセキュリティ機能を提供するサービスプロバイダとして表すことができる。例えば、LANのファイアウォール105は、同じLAN中の保護対象サーバへの望ましくないトラフィックを阻止できるトラフィックフィルタリングサービスのプロバイダとして表すことが可能である。この場合、保護対象サーバは、それぞれが、どのようなトラフィックを阻止して(または受け入れて)欲しいかを表すそれ自身の固有のセキュリティ要求事項を有する、サービスコンシューマである。各サーバは、ファイアウォールから同じトラフィックフィルタリングサービスを要求するが、そのパラメータが異なり、各サーバに対し相異なるトラフィックがフィルタされる結果となる。同様に、ネットワークベース侵入検知デバイス110は、ネットワーク中のそれが保護する全てアセットに対し、侵入検知サービスを提供する。ホストベースの侵入検知システムは、それを実行している同じコンピュータを顧客とするサービスプロバイダである。また、セキュリティサービスは、企業の敷地の外部にいる従業員が使うモバイルデバイスなど、外部のエンティティにも提供することが可能である。この場合、それら携帯デバイスは、まず自己の本人証明をする必要があり、そのセキュリティ要求事項がユーザ情報リポジトリから読み出されることになり、次いでSOSDSecが証明済みの携帯デバイスに対して必要なサービスを探索する。これら携帯デバイスユーザへの権限付与は、これらのセキュリティサービス要求事項の適切な明細から得られる。
図1Aは、例示のソフトウェア定義型環境に配備された、いくつかのレイヤに分解された例示のソフトウェア定義型セキュリティモデル100aを示す。いくつかの実装において、調整レイヤ105aはSOSDSecコントローラを含む。該コントローラは、アセットのセキュリティモデルを読み取り更新する。また、コントローラは、アセットのセキュリティモデルを執行するために、セキュリティタスクを調整するためソフトウェアおよびハードウェアベースのセキュリティ制御手段、および他の仮想化機能と通信する。該コントローラは、その通信および調整サブシステムと併せ、セキュリティ自動化および統合化を達成するための素子である。ソフトウェア定義型セキュリティモデル100aは、インフラストラクチャレイヤ120aを含み、これは物理/仮想インフラストラクチャを含む。また、ハードウェアベースのセキュリティ制御手段も、このレイヤ120aに属する。論理レイヤ115aは、全リソースへの論理参照(ホストアイデンティティ、アプリケーションへの参照など)など、全リソースの論理属性を維持する。いくつかの実装において、これらは、IPアドレスなど一時的アイデンティティを含まなくてもよい。機能レイヤ110aは、ソフトウェア定義型ネットワーク設定(SDN:Software−Defined Networking)、ソフトウェア定義型ストレージ(SDS:Software−Defined Storage)、ソフトウェア定義型境界(SDP:Software−Defined Perimeter)、および他のNFVを含む、全ての仮想化機能を管理する。また、レイヤ110aは、全てのカスタム化されたソフトウェアベースのセキュリティ制御手段も含む。モデルレイヤ125aは、アセットのセキュリティポリシーおよびセキュリティモデルを管理する。アセットのセキュリティモデルは、適用されるセキュリティポリシーから導出されたルールのセットである。これらのルールは、アセットの論理属性に依存し、しかして、根本的なインフラストラクチャの変化に影響されなくてもよい。
図2は、サービス志向ソフトウェア定義型セキュリティコントローラ200およびその機能要素の例示のアーキテクチャを示す。サービス志向ソフトウェア定義型セキュリティコントローラ200は、ネットワーク内のアセットとセキュリティ制御手段とをインターフェース接続し、物理−論理属性マッピング、およびアセットのサービス要求を適切なセキュリティ制御にバインディングするサービスマッチングを提供する。
SOSDSecコントローラ200は、仮想および/またはソフトウェア定義型インフラストラクチャのセキュリティ問題を取り扱うよう設計されている。これは、セキュリティ制御手段を包括的セキュリティサービスに転換する点で、SDSecと類似である。アセットは、セキュリティサービスのコンシューマになり、それら自身のセキュリティ必要性に基づいて自分のサービス要求事項を指定し、セキュリティ制御手段は、アセットに包括的なセキュリティ能力を提供するサービスプロバイダになる。SOSDSecは、セキュリティ機器直接への代わりに、スーパーバイザーサービスレベルでセキュリティを管理するので、SOSDSecベースのセキュリティソリューションは、技術非依存性でベンダー非依存性である。さらに、アセットの論理アイデンティティを用いることによって、SOSDSecは、VM移動などのインフラストラクチャダイナミクスを、セキュリティマネジメント対し透過的にする。
サービス志向ソフトウェア定義型セキュリティコントローラ200は、各アセットの一つ以上のアセットセキュリティポリシーおよびモデル205のデータベースを包含する。これらのモデル205は、アセット270が必要とするセキュリティ保護を要求する、セキュリティ要求事項、ポリシー、およびモデルのディスクリプションを提供する。いくつかの実装において、セキュリティポリシーおよびモデルは、手動で定義されるか、または第三者もしくはカスタムメイドのソフトウェアツールの助力を受けて定義される。また、コントローラ200は、各セキュリティ制御手段の一つ以上のセキュリティ制御キャパシティディスクリプション210のデータベースを含み、該ディスクリプションは、そのセキュリティ制御手段の種類、入力、機能、出力、および制御範囲を記載する。例えば、或るLAN中のファイアウォールのキャパシティディスクリプションは、それがトラフィックフィルタリングデバイスであり、着信トラフィックを入力として取ることになり、その入力に対しフィルタリングルールを適用し、特定のトラフィックが通過することを拒否しまたは許可することになり、そのコンフィグレーションの如何によって様々な警報を出力し、その制御範囲はそれが動作するLANの範囲と同じであることを明記することになる。いくつかの実施形態では、モデルおよびディスクリプション205および210は、通常マニュアルで(例えばシステム管理者によって)前もって定義され、ネットワークがサポートするアセットおよび制御手段に対応する。また、このプロセスを自動化するために、第三者のまたはカスタムメイドのツールを使うことも可能である。全体的フレームワークは、サイバーセキュリティ管理へのサービス志向のアプローチを取り、セキュリティ制御手段はそれらのセキュリティ機能のサービスプロバイダとして表され、アセットは、それらのセキュリティサービス要求事項の観点から記述される。
コントローラ200は、全アセットおよび制御手段の物理−論理属性マッピング215を備える。いくつかの実装において、各アセットおよび制御手段は、セキュリティコントローラに登録をしなければならない。この登録プロセスを介して、セキュリティコントローラは、アセットまたは制御手段の論理属性(例えばホスト名)をその物理属性(例えばIPアドレス)にマップする。マッピングが完了したならば、各アセットは、そのアセットのセキュリティポリシーおよびモデルから導出され、そのアセットの論理属性にマップされた、対応するセキュリティサービス要求事項を有することになる。同様に、各セキュリティ制御手段は、そのセキュリティ制御キャパシティディスクリプションから導出され、その制御手段の論理属性にマップされた、対応するセキュリティサービスディスクリプションを有することになる。いくつかの実装、例えば非SOSDSec実装において、IPおよびドメイン名のマッピングはネットワークのDNSサーバによって管理されるが、これは他のSDI/SDSecコンポーネントと効率的に統合ができない。本SDSecフレームワークによる中央マネジメントは、他のSDI/SDSecコンポーネントへの迅速なアクセスとこれらとの容易な統合を提供する。
コントローラ200は、セキュリティサービス要求事項225およびセキュリティサービスディスクリプション230を含むサービスマッチングエンジン220を含み、該要求事項およびディスクリプションはサービスマッチングアルゴリズム235に提供され、次いでサービスマッチングアルゴリズムは出力としてセキュリティサービスのバインディング240を提供する。セキュリティコントローラのサービスマッチングエンジン220は、アセットからのサービス要求を、セキュリティ制御デバイス(例えば、ファイアウォール、侵入検知システム、アイデンティティおよびアクセスマネジメント)によって提供されるサービスにバインディングする。マッチングエンジン220は、各アセットのセキュリティサービス要求事項を精査する。マッチングエンジン220は、サービスマッチングアルゴリズムまたはプロセスを実行し、その中で利用可能なセキュリティ制御キャパシティディスクリプションを探索する。該エンジンが、サービス要求事項(アセット)とセキュリティサービス(制御手段)との間のマッチングを見出したならば、マッチングエンジンはセキュリティサービスのバインディングを生成する。次いで、セキュリティコントローラは、このセキュリティサービスのバインディングを有効化し、一つ以上のアセットのセキュリティ要求事項を満たすため、様々なセキュリティ制御手段245に、適切なセキュリティ制御手段245へのコマンドコネクタ250を介して、該当するコマンドを送信する。
さらに詳しくは、セキュリティサービス要求事項225は、アセットのセキュリティポリシーおよびモデルから導出されたドキュメントである。各アセットは、一つの対応するセキュリティサービス要求事項ドキュメントを有することになり、これは、一つ以上のセキュリティサービスに対する該アセットの要求事項のフォーマルディスクリプションを包含する。セキュリティサービスディスクリプション230は、セキュリティ制御キャパシティディスクリプションから導出されたドキュメントである。各セキュリティ制御手段は、一つの対応するセキュリティサービスディスクリプションを有することになり、このディスクリプションは、他のエンティティが使うことになる一つ以上のサービスとして当該制御手段のセキュリティキャパシティを記述する。これは、関連するキャパシティおよび範囲パラメータと併せてそのセキュリティキャパシティの各々に対する公式のサービス名を定義する。サービスマッチングアルゴリズム235は、アセットからサービス要求事項を受信し、管理対象ITインフラストラクチャ中でそれらを満たすセキュリティサービスを探索する。該アルゴリズムは、サービス名、種類、入力、および制御範囲を照合し、要求事項とサービスとがこれらの面において整合していることを確実にする。サービス要求事項とサービスとの間に整合が見出されたならば、コントローラ200は、セキュリティサービスのバインディング240を生成し、いくつかの実装において、このバインディングは、サービス要求事項およびサービスディスクリプションの両方からの全ての必要な情報を有する。また、バインディング240は、このバインディングがどの位長く継続するか、誰が管理者かなど、さらなる情報も有してもよい。バインディング240は、それが生成された後、その基礎となるセキュリティモデルまたはセキュリティ制御手段のキャパシティが変化したときには変更することができる。コマンドコネクタ250は、それらのAPIを介して、コマンドを様々な制御手段に送信するインターフェースのセットである。これらのコマンドは、セキュリティサービスのバインディングに基づいて生成される。コマンドは、通常、セキュリティ制御手段の設定を修正しそれらの動作挙動を変更する。これらのコマンドは、アセットのセキュリティ要求事項を満たす。
また、いくつかの実装において、セキュリティコントローラ200は、ネットワーク設定およびセキュリティイベント255に対応することができる。これらの場合、イベントは、イベントコネクタ265を介して、プレイブック260に転送され、該ファイルは重要なイベントに対する対処計画のリストを包含する。プレイブック260中の計画に基づいて、マッチングエンジン220は、アセットのサービス要求事項、セキュリティ制御手段のサービスディスクリプションを変更し、または既存のセキュリティサービスのバインディングを修正することができる。
さらに詳しくは、イベントコネクタ265は、様々な外部情報源からネットワーク設定およびセキュリティイベント255を受信するインターフェースのセットである。イベントコネクタのインターフェースがイベントを受信すると、該インターフェースは、さらなる処理のためそのイベントをプレイブック260に転送する。プレイブック260は、セキュリティ管理者がアクションを取るべき重要なイベントに対する計画を包含する。これらのイベントは、企業のITセキュリティポリシーおよびガイドラインの如何によって、侵入検知制御手段からの警報、ネットワークトポロジの変更、またはサーバ故障であり得よう。これらの計画は、アセットのサービス要求事項の変更、セキュリティ制御手段のサービスディスクリプションの変更、または現在のセキュリティサービスのバインディングの修正など、サービス関連の操作と共に規定される。
ソフトウェア定義型セキュリティコントローラ200は、サービス志向のアプローチを取ることにより、ネットワークが仮想ITインフラストラクチャにおけるサイバーセキュリティの管理に存在する欠点を克服することを可能にする。セキュリティ要求事項は利用可能なサービスに自動的にマッチされ、これは、アセットの物理属性に基づくセキュリティ制御手段の手動での設定の必要性を排除する。このことは、サイバーセキュリティシステムに対し、増進されたフレキシビリティ、マネジメントにおける複雑さの低減、ネットワークの向上された安定性など多くの利点を提供する。
例えば、一つの実装において、内部サーバ(または、その内部サーバによって提供される諸機能)などのアセット270は、企業のITオフィスからクラウドに移行されることがある。かかる移行は、そのサーバの物理属性(例えば、アセットのIPアドレス)の変更をもたらすことになる。上で説明したフレームワークを用いて、アセットがセキュリティコントローラに登録されたならば、そのセキュリティコントローラが、物理−論理属性マッピングを自動的に更新することになる。さらに、ソフトウェア定義型セキュリティは論理属性を介して動作するので、物理−論理属性マッピングが更新されたならば、その移行はシームレスである。すなわち、サービスマッチングエンジン220が、アセットのサービス要求事項とセキュリティサービスとの間のマッチを更新し、アセットの更新された物理属性を反映するために関連するセキュリティ制御手段にコマンドを送信する。そして、アセット(または複数のアセット)が追加のセキュリティ制御手段(例えば、クラウドへの移行に伴う第二のファイアウォール)を必要とする場合、サービスマッチングエンジン220が、アセットの更新された物理配置に対する関連制御手段を構成するために追加のセキュリティサービスのバインディングを作成することになる。
サービス志向ソフトウェア定義型セキュリティコントローラ200は、いくつかの有益性および利点を提供する。このフレームワークは、アセットとセキュリティ制御手段との論理属性を、それらの物理属性から切り離すだけでなく、アセットのセキュリティ要求事項をもセキュリティ制御手段のキャパシティから切り離す。このアプローチは、ソフトウェア定義型セキュリティを実装するための効果的方法であり、セキュリティマネジメントに以下のような利点をもたらすことができる。
一つの利点はデジタルアセットに対する移植可能なセキュリティである。このアプローチの有益性は、セキュリティ要求事項がセキュリティサービスから切り離されることであり、このことは、アセットが、動的にそれらの物理属性を変更しながら、そのセキュリティ要求事項およびモデルを実施することを可能にする。これは、クラウドベースのITインフラストラクチャにおいて特に有利であり、同じ論理アセットを相異なるネットワークロケーションでインスタンス化することができよう。アセットが新しいロケーションに移動されたとき、セキュリティコンフィグレーションを手動でセットアップする代わりに、本アプローチは、該アセットのセキュリティ要求事項を利用可能なセキュリティサービスに自動的にマッチングすることを可能にする。マッチングが成功したならば、特定のセキュリティコンフィグレーションが対応するサービスのバインディングから得ることができ、セキュリティ制御手段に自動的に適用される。
別の利点はセキュリティマネジメントの複雑さの低減である。SOSDSecコントローラは、セキュリティ保全の複雑さを低減する。アセットのセキュリティポリシーおよびモデルへの変更は、アセットのセキュリティサービス要求事項を調整することによって達成することができる。セキュリティ制御機能への変更は、制御手段のサービスキャパシティディスクリプションを調整することによって達成できる。SOSDSecの使用により、管理者は、通常、時間がかかりエラーが生じがちな、セキュリティ制御手段のコンフィグレーションの直接の修正を行う必要がない。代わりに、人間の管理者がサービス要求事項またはサービスキャパシティディスクリプションを調整した後は、SOSDSecが、影響のあるサービスのバインディングを自動的に修正し、導出されたセキュリティコンフィグレーションを、関連するセキュリティ制御手段に適用する。
別の利点は、相異なる技術および制御手段を導入するフレキシビリティの増大である。SOSDSecコントローラは、セキュリティ制御手段の機能をセキュリティサービスとして転換し、これらセキュリティサービスを実行技術から切り離す。これは、相異なる技術を使って実装された、または相異なる会社によって作製されたセキュリティ制御手段に対し、同じセキュリティサービスディスクリプションを使うことができる利点をもたらす。これらのセキュリティ機能が同じまたは類似である限り、管理者は、サービスディスクリプションを修正する必要なく任意のものを展開することが可能である。これは、セキュリティ管理者に、各種のセキュリティ技術および製品を使い、ベンダーロックインを回避するより大きなフレキシビリティを与える。
別の利点は、セキュリティインシデントへの対応の機動性の増大である。SOSDSecは、自動的な要求事項−サービスマッチングを用いて、従来、手作業を必要としていた多くのセキュリティ作業を自動化することができる。これは、セキュリティインシデントへの応答時間をスピードアップし、組織のサイバー機動性を改良する。
別の利点は、変わりゆく脅威状勢に適応することである。SOSDSecを用い、管理者は、セキュリティ制御手段のコンフィグレーションをどのように対応して変更するかを考えることなく、アセットのセキュリティ要求事項を変更することができる。SOSDSecは、関連するセキュリティ制御手段のコンフィグレーションを迅速に且つ自動的に修正することが可能である。セキュリティ要求事項の調整を外部/内部の脅威状勢に関連付けておけば、SOSDSecは、新しいおよび進化する脅威に対して防御するためにITのサイバーセキュリティを自動的に調整することができる。
別の利点は、サイバーセキュリティの改良されたスケーラビリティである。SOSDSecは、ソフトウェア定義型セキュリティを実装し、ほとんどのセキュリティのプロビジョニング、マネジメント、およびコンフィグレーションタスクをソフトウェアに完遂させることを可能にする。このことは、短時間での多数のセキュリティ制御手段の展開およびコンフィグレーションを可能にし、これはサイバーセキュリティのスケーラビリティを改良する。
いくつかの実装において、同じ種類のセキュリティ制御手段は、通常、類似の能力を有し、これらの機能は同一の転換サービスによって記述することができる。例えば、或るSOSDSec実装において、ファイアウォールの第一型とファイアウォールの第二型とは、同じファイアウォールサービスとして転換し、表すことが可能である。SOSDSecは、セキュリティ制御手段の全ての異なる型を共通のセキュリティサービスにさらに転換して表す。
図2Aは、例示のセキュリティサービス205aのクラス図200aを示す。このセキュリティサービスのサブクラスは、ファイアウォールサービス210a、アクセス制御サービス215a、および侵入検知サービス220aを実装する。この転換セキュリティサービスクラスは、ServiceName、ServiceDescription、ModuleName、ClassName、AvailableControlsを含むいくつかの共通の領域だけを定義している。ModuleNameおよびClassNameは、SOSDSecがクラスソースコードを動的にロードするためのモジュールの名称およびクラスの名称を言う。また、第三者サービスの実装と統合するのも一つの実行可能なやり方である。AvailableControlsは、この種のサービスを提供する実行時の制御オブジェクトのセットである。
SOSDSecにおいて、セキュリティサービスは、論理アイデンティティに基づく転換されたインターフェースを顕示する。セキュリティマネジメントは、転換サービスの共通のAPI上に構築される。また、SOSDSecでは、セキュリティ管理者は、保護対象の各アセットに対するサービス要求事項リストを作成する。この要求事項リストは、既存のセキュリティモデルおよびポリシーから導出が可能である。アセットは、仮想または物理サーバ、アプリケーション、データベース、ファイルのセットなどであってもよい。各要求事項は、必要な一つのセキュリティサービスおよびそのパラメータを規定する。
アセットは、セキュリティグループに編成される。同じグループのアセットは、同じセキュリティサービス要求事項を共有する。図2Bは、例示の同じセキュリティグループ220b中にあるアセット202b〜216bが、相異なる仮想または物理ネットワーク230bまたは240bに属し得る、例示のシステム200bを示す。SOSDSecは、これらアセットの論理アイデンティティだけを使用することが可能で、これらは、IPアドレスおよびネットワークロケーションなどの一切の物理属性に束縛されない。これは、SOSDSecにおけるセキュリティ要求事項のマネジメントがアセットの物理属性の変更に影響されないことになることを意味する。例えば、例えばアセット204bなどのアセットがネットワークロケーション230bからネットワークロケーション240bに移動される場合、セキュリティ管理者は、該アセットが同じセキュリティグループ220bに留まる限り、そのセキュリティポリシーを調整する必要はなく、双方のネットワーク中のセキュリティ制御手段に手動での変更を加えなくてもよい。これは、スーパーバイザーレベルでのセキュリティマネジメントが変わらないことによる。アセットと制御手段とを一緒に束ねている関連セキュリティサービスのバインディングが、移動されるアセットのセキュリティ要求事項の充足を維持するために必要なオペレーションを実施する必要があるだけである。セキュリティサービスのバインディングについて以下に説明する。
アセットがセキュリティサービスを必要とする場合、SOSDSecは、当該インフラストラクチャ中で、必要なサービスを提供するセキュリティ制御手段を探索する。このため、各セキュリティ制御手段は、それがどのようなセキュリティサービス提供するかを宣言する必要があり、セキュリティ管理者は、展開される各セキュリティ制御手段およびそれがサポートするサービスを、他の関連する情報と共にSOSDSec制御手段データベースに登録する必要がある。全ての制御手段が登録されたならば、サービスマッチングは、特定の基準の下に、データベース中で必要なサービスを探索するプロセスとなる。SOSDSecは、スキーマベースのまたはオントロジーベースのマッチングアルゴリズムなど、様々なマッチングアルゴリズムを用いることができる。或る例示の実装は、探索方法として正確名称マッチングを使用することが可能である。
SOSDSecコントローラが、セキュリティ要求事項を適切な利用可能なセキュリティサービスにマッチさせたならば、該コントローラは、保護対象アセットを対応するセキュリティ制御手段に連結するセキュリティサービスのバインディングを作成する。サービスのバインディングは、要求される保護を提供する特定のセキュリティ制御手段に対して、かかる共通のセキュリティ要求事項を有するアセットのセットのサービス要求を向けるインターフェースである。また、セキュリティサービスのバインディングは、セキュリティ制御手段に適切なセキュリティ操作を透過的(ユーザに気付かせず)に実施することによって、インフラストラクチャダイナミクスおよびマネジメントコマンドに応答する。サービスのバインディングは、それに関連付けられたアセットのセキュリティ要求事項が、各操作の後も継続して満たされていることを確実にする。
図2Cは、セキュリティサービスのバインディングのクラスおよび三つのサブクラスの例示のクラスおよびメッセージ図200cを示す。SOSDSecでは、各サービスは、それ自体のサービスのバインディングクラスを定義し、該クラスは、その型のサービスのバインディングが様々なダイナミクスにどのように応答すべきかを実装している。サービスのバインディングは、JSONメッセージで更新を受信し、各更新に応じて適切な制御コマンドを生成する。次いで、バインディングは、制御手段の設定を修正するためそれらコマンドをセキュリティ制御手段に送信する。いくつかの実装において、SOSDSecは、例えば、アセットの更新、グループの更新、および制御手段の更新など、インフラストラクチャまたはマネジメントの三つの型に対応する。アセットの更新は、セキュリティグループの間でアセットを追加する、削除する、または移動すること、およびネットワーク中でアセットを追加する、削除する、または移動すること、を含む。グループの更新は、セキュリティグループを追加するまたは削除することを含む。制御手段の更新は、インフラストラクチャ中で、セキュリティ制御手段を追加するまたは削除することを含む。
図2Cで示された例において、サービスバインディングクラス205cは、アクセス制御バインディングクラス210c、ファイアウォールバインディングクラス215c、IDSバインディングクラス220cなど、いくつかのサブクラスのスーパークラスである。インフラストラクチャ225cからのインフラストラクチャダイナミクス、およびセキュリティ管理組織230cからの管理コマンドに基づいて、サービスバインディングクラス205cは、例えば、ProcessAssetDynamics()、ProcessGroupDynamics()、またはProcessControlDynamics()などのコマンドを選択する。サービスバインディングクラス205cは、選択されたコマンドをセキュリティ制御手段235cに送信する。
図3は、外部クライアント305が仮想プライベートネットワークを介して保護された内部サーバ310および315にアクセスしている例示のシステム300を示す。これらのサーバは、ファイアウォール320によって保護されており、外部クライアント305は、サーバ310および315にアクセスするためにVPN接続を使用する。
この遠隔アクセスに対しサイバーセキュリティを提供するために、SOSDSecコントローラ325は、ファイアウォール320から登録要求を受信し、コントローラ325は、ファイアウォール320を、トラフィックフィルタリングサービスとして登録する。コントローラ325は、VPNサーバ330から登録要求を受信し、該コントローラはVPNサーバ330を安全な通信サービスとして登録する。コントローラ325は、内部サーバ310および315から登録要求を受信する。コントローラ325は、サーバ310および315を、VPNサーバ330からのトラフィックだけが許可されることを指定するパラメータと共に、トラフィックフィルタリングサービスのコンシューマとして登録する。コントローラ325は、これらサーバの要求とファイアウォールのサービスディスクリプションとの間の一致(マッチ)を見出し、サービスバインディングを作成する。コントローラ325は、これらサービスバインディングをファイアウォールへのコマンドに変換し、ファイアウォール320の設定を変更するために、該コマンドを該ファイアウォールに送信する。クライアント305は登録要求をコントローラに送信し、コントローラ325は、クライアント305を安全な通信サービスのコンシューマとして登録する。コントローラ325は、クライアントのサービス要求とVPNサーバのサービスディスクリプションとの間の一致(マッチ)を見出し、サービスバインディングを作成する。コントローラ325は、該サービスバインディングをVPNの設定に変換し、対応するコマンドをVPNサーバ330に送信する。いくつかの実装において、前述のステップは、クライアント305がインターネットを介し、いずれかのサーバへの接続を試みる前に完了される。クライアント305が、インターネットを介しVPNサーバ330に接続する。VPNサーバ330は、該クライアントの記録をその設定中に見付け出し、クライアント305に対する安全な通信トンネル335の設置に進む。クライアントのトラフィックは、ファイアウォール320に到達し、ファイアウォールは、そのトラフィックをVPNサーバ330からのトラフィックとして識別し、内部サーバ310および315に向け通過させる。
図3Aは、別の例示のテストベッド300aを示す。テストベッド300aは、SDNコントローラ310aとして、オープンソースFloodlightコントローラを、そしてネットワークシミュレーションサーバとして、オープンソースシミュレータMininetを使用する。テストベッド300aは、三つのサーバ、すなわち、Pythonまたは類似の言語を使って実装可能で、CouchDBデータベース320aおよびウェブインターフェース325aを含むSOSDSecコントローラサーバ315aと、Floodlightを実行するSDNコントローラサーバ310aと、サブネットおよび例えばミニネットサーバなど数十の仮想ホストを使いOpenFlowネットワークをシミュレートするネットワークシミュレーションサーバ330aと、から成る。
関連する移植可能なアセットセキュリティとして、多くの企業は、そのインフラストラクチャの様々な部分で異機種環境のセキュリティ技術を導入している。これらの部分の間を移動するアセットにセキュリティポリシーを一貫して実施するためには、多くの場合、管理者が、相異なる技術を使用するセキュリティ制御手段を手動で設定しなければならず、時間がかかりエラーが生じがちなプロセスなので、これは面倒事である場合もある。
図3Bは、例示のテストベッド300b中の二つの例示のサブネット305bおよび310bを示す。第一サブネット305bは、OpenFlow対応スイッチ315b、317b、および319bに接続され、Floodlightコントローラ320bによって管理されている。第二サブネット310bは、非OPenFlowスイッチ321b、323b、および325bに接続されたネットワークである。各サブネットはファイアウォール機能を有する。OPenFlowネットワーク305b上では、ファイアウォールのルールは、Floodlightコントローラ320b上で作成され、すべてのOpenFlowスイッチ315b、317b、および319bに執行される。SOSDSecコントローラ340bは、Floodlightコントローラのファイアウォール機能を呼び出すためFloodlightファイアウォールAPIを用いる。非OPenFlowネットワーク310bでは、カーネル中で使用可能なファイアウォールを有するゲートウェイとして、Linux(登録商標)サーバが使われている。SOSDSecは、そのファイアウォールを設定するためこのゲートウェイのiptablesコマンドをリモートで呼び出す。相異なる技術によって実装されているにもかかわらず、これら二つのファイアウォール制御手段は、SOSDSec中の同じファイアウォールサービスに転換して表され、セキュリティポリシーおよびマネジメントは、これら二つの技術の間の区別をする必要がない。各サブネットは、Mininetによって作成されたいくつかの仮想ホストを有し、財務グループ330bと販売グループ335bとに分けられている。各グループは、それ自体のアクセス制御ポリシーを有し、これはファイアウォールサービス要求事項に変換されている。
財務グループ330bに属する仮想ホスト340bを、OPenFlowネットワーク305bから従来式ネットワーク310bに移動することにより、移植可能なセキュリティについてSOSDSec制御手段が評価される。この仮想ホストのグループは、移動の後も変わらないままである。従来式のセキュリティでは、この移動は、通常、両方のファイアウォール320bおよび345bに対するルールの手動での更新を必要とする。だがSOSDSecでは、仮想ホスト340bは、たとえそのネットワークアイデンティティ(IPアドレス)が変更されたとしても、その論理アイデンティティ(ホスト名)は変わらず、そのセキュリティ要求事項も変わらないので、このプロセスは管理者に対し透過的である。背後では、セキュリティサービスのバインディング350bは、インフラストラクチャから更新を受信し、技術固有のAPIを使って両方のファイアウォールに対する設定を調整している。いくつかの実装において、この仮想ホストの移動の前後において、両方のグループの同じアクセスポリシーが適正に執行される。論理アセットアイデンティティおよび転換されたセキュリティサービスを用いることによって、SOSDSecコントローラ340bは、異機種環境を横断して技術非依存のセキュリティマネジメントをサポートする。
自律的攻撃封じ込めに関するさらに別の例示の使用のケースにおいて、より複雑なセキュリティオペレーションを制御するSOSDSecの能力を提示する。例えば、SOSDSecは、プレイブックのルールおよび隔離サービスを用い、自律的に攻撃を封じ込める。図3Cは、設定変更可能な信頼レベルに基づいて、アクセス制御ルールを動的に修正するソフトウェア定義型ネットワーク設定技術を使って実装された例示の隔離サービス300cを示す。このサービスは、隔離ゾーン305cを作成し、該ゾーンには、ゼロ信頼度レベルのアセット310c、312c、314c、および316cが、相互におよびネットワークの他の部分から隔離されている。プレイブック320cは、特定のサイバーイベントに対応する組織の戦略を定義したワークフロールールの収集を保持する。SOSDSecコントローラ325cによる自律的な攻撃封じ込めを展開するために、セキュリティ管理者は、1)ネットワーク中に隔離サービスを展開し、そして2)プレイブックのルールを作成する、必要があるだけでよい。以下は、プレイブックのルールの一例である。
例示のルールは、SOSDSecコントローラ325がIDSサービス330cからのTrojan(トロイの木馬)警報に対処すべきであると規定する。さらに、該ルールは、Trojan警報を掲げたいずれのアセットに対しても、SOSDSecコントローラ325cが、隔離サービスに対し新規の要求を加えることによって、そのアセットのサービス要求事項を修正することを指定する。
ルールが設定された後、SOSDSecコントローラ325cは、IDSサービス330cによって送信される全てTrojan警報への対応を開始する。最初に、IDSサービス330cが、Trojanマルウェアまたはトラフィックが検知されたアセットをレポートする。SOSDSecコントローラ325cは、プレイブックのルールに従い、感染アセットに対する隔離サービスを要求する。感染アセットと隔離サービスプロバイダ(この場合はSDNコントローラ335c)とを一緒に束ねる、隔離サービスバインディングが作成される。また、このサービスバインディングは、SDNコントローラ335cに、関連するアクセス制御ルールを変更するためのコマンドを送信する。SDNコントローラ335cは、接続されたOPenFlowスイッチ340c、342c、344cに新規のアクセス制御ルールを配信する。感染したアセット310c、312c、314c、および316cは、論理隔離ゾーン305c内に効果的に隔離される。他の複雑なセキュリティマネジメントタスクも、保護対象アセットのセキュリティ要求事項を動的に修正することによって、同様な自律的方法で実装することが可能である。
図4〜8の以下の記述は、サービス志向ソフトウェア定義型セキュリティコントローラの例示の機能を説明する。これらの機能は、セキュリティ制御手段の登録、アセットの登録、セキュリティサービス要求、セキュリティ制御コマンド、およびネットワーク設定またはセキュリティイベントの受信、を含む。
図4は、サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティ制御手段登録プロセス400を示す。セキュリティ制御手段登録プロセス400に従って、サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティ制御デバイスまたはソフトウェアを登録する。この機能は二つのタスクを実施する。第一のタスクは、登録されたセキュリティ制御手段に対する物理−論理属性マッピングを作成することである。第二のタスクは、セキュリティ制御手段の能力をセキュリティサービスディスクリプションに変換することである。
セキュリティ制御手段登録プロセス400の過程で、サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティ制御手段の名称、セキュリティ制御手段の種類、セキュリティ制御手段の物理属性およびそれらに対応する論理属性、並びにセキュリティキャパシティディスクリプションを受信する。プロセス400が開始され(405)、コントローラは、前もってリストされていた入力、さらに具体的にはセキュリティ制御手段の入力を受信する(410)。コントローラは、セキュリティ制御手段の入力の有効性を確認する(415)。入力が有効でない場合(420)、コントローラはエラーをレポートし(425)プロセス400は終了する(440)。入力が有効な場合(420)、コントローラは、物理−論理属性マッピングを作成する(430)。コントローラは、出力としてセキュリティサービスディスクリプションを作成し(435)プロセス400は終了する(440)。
図5は、サービス志向ソフトウェア定義型セキュリティに対する例示のアセット登録プロセス500を示す。アセット登録プロセス500に従って、サービス志向ソフトウェア定義型セキュリティコントローラは、デジタルアセット並びにその関連セキュリティポリシーおよびモデルをコントローラに登録する。次いでコントローラはアセットの情報に対し二つのタスクを実施する。第一のタスクは、登録されたアセットに対する物理−論理属性マッピングを作成することである。第二のタスクは、セキュリティポリシーおよびモデルを、サービス要求事項に変換することである。
アセット登録プロセス500の過程で、サービス志向ソフトウェア定義型セキュリティコントローラは、アセットの名称、アセットの種類、アセットの物理属性、アセットの論理属性、関連付けられたセキュリティポリシー、およびセキュリティモデルを受信する。プロセス500が開始され(505)、コントローラは、例えば、前もってリストされていた入力など、アセットからの入力を受信または読み取る(510)。コントローラは、アセットからの入力の有効性を確認する(515)。入力が有効でない場合(520)コントローラは、エラーをレポートし(525)プロセス500は終了する(545)。入力が有効な場合、コントローラは、物理−論理属性マッピングを作成する(535)。コントローラは、出力としてアセットに対するセキュリティサービス要求事項を作成し(540)プロセス500は終了する(545)。
図6は、サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティサービス要求プロセス600を示す。セキュリティサービス要求プロセス600に従って、サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティサービスを呼び出すアセットからの要求を受信する。サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティサービスに対する要求を受信し、そのアセットの要求事項を満たすセキュリティサービスを探索する。
セキュリティサービス要求プロセス600の過程で、サービス志向ソフトウェア定義型セキュリティコントローラは、アセットの論理アイデンティティおよび該アセットの一つ以上のセキュリティ要求事項を受信する。プロセス600が開始され(605)、コントローラは、アセット、例えば論理アイデンティティに対応するアセットの有効性を確認する(610)。アセットが有効でない場合(615)、コントローラはエラーをレポートし(620)プロセス600は終了する(650)。アセットが有効な場合(615)、コントローラは、次の不整合な要求事項を読み出す(625)。コントローラは、その不整合な要求事項を満たすセキュリティサービスを探索する(630)。コントローラがこれを満たせるセキュリティサービスを見出せなかった場合(635)、コントローラはエラーをレポートし(620)プロセス600は終了する(650)。コントローラが満たせるセキュリティサービスを見出した場合(635)、コントローラは出力としてサービスバインディングを作成する(640)。他の不整合な要求事項がある場合(645)、コントローラは、戻って次の不整合な要求事項を読み出す(625)。他の不整合な要求事項がない場合(645)、プロセス600は終了する(650)。
図7は、サービス志向ソフトウェア定義型セキュリティに対する例示のセキュリティ制御コマンド送信プロセス700を示す。セキュリティ制御コマンド送信プロセス700に従って、サービス志向ソフトウェア定義型セキュリティコントローラは、特定のセキュリティサービスのバインディングを、一つ以上のセキュリティ制御手段に対するコマンドのシーケンスに変換し、コマンドを、コマンドコネクタを介して制御手段に送信する。
セキュリティ制御コマンド送信プロセス700の過程で、サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティサービスのバインディングを受信する。プロセス700が開始され(705)、コントローラは、受信したセキュリティサービスのバインディングからセキュリティ制御手段を抽出する(710)。コントローラは、セキュリティサービスのバインディングを制御コマンドに変換する(720)。コントローラは、制御コマンドの有効性を確認する(720)。制御コマンドが有効でない場合(725)、コントローラは、エラーをレポートし(730)プロセス700は終了する(750)。制御コマンドが有効な場合(615)、コントローラは、制御コマンドをセキュリティ制御手段に向け出力する(735)。コントローラはコマンドステータスを検証する(740)。制御コマンドがうまくいかなかった場合(745)、コントローラは、エラーをレポートし(730)プロセス700は終了する(750)。制御コマンドが成功した場合(745)、プロセス700は終了する(750)。
図8は、サービス志向ソフトウェア定義型セキュリティに対するネットワーク設定またはセキュリティイベントを受信するための例示のプロセス800を示す。ネットワーク設定またはセキュリティイベントを受信するためのプロセス800に従って、サービス志向ソフトウェア定義型セキュリティコントローラは、イベントコネクタからネットワーク設定またはセキュリティイベントを受信する。コントローラがイベントを受信した場合、コントローラはそのイベントをプレイブックの中で調べる。そのイベントがプレイブック中に定義されたトリガである場合、コントローラは、そのイベントに対するアクションのシーケンスの実行を開始する。各アクションは、セキュリティ要求事項またはサービスディスクリプションを修正する。
ネットワーク設定またはセキュリティイベントを受信するためのプロセス800の過程で、サービス志向ソフトウェア定義型セキュリティコントローラは、セキュリティ関連のイベントについてのデータを受信する。プロセス800が開始され(805)、コントローラは、入力データからイベントデータを読み出す(810)。コントローラは、プレイブック中でそのイベントを調査する(815)。コントローラが、プレイブック中にそのイベントを見付けられなかった場合(820)、プロセス800は終了する(825)。コントローラが、プレイブック中にそのイベントを見出した場合(820)、コントローラは、そのイベントに対し定義されたアクションをプレイブックから抽出する(830)。コントローラは、次のアクションを読み出す(835)。コントローラは、セキュリティ要求事項またはサービスディスクリプションを修正する(840)。さらなるアクションがある場合(845)、コントローラは、戻って次のアクションを読み出す(835)。さるなるアクションがもうない場合、プロセス800は終了する(825)。
前述の説明は、SOSDSec、すなわちソフトウェア定義型セキュリティを実装するサービス志向のアプローチに関する。該アプローチは、実際のセキュリティ制御手段およびインフラストラクチャの詳細から、セキュリティマネジメントを分離する。これは、クラウド環境に次世代において、企業のセキュリティをより機動的にする。
いくつかの実装において、クラウドアプリケーションのためのトポロジおよび統合化仕様(TOSCA:Topology and Orchestration Specification for Cloud Application)が使用可能である。TOSCAは、クラウドアプリケーションの移植可能で標準化されたマネジメントを可能にする。TOSCAは、クラウドアプリケーションの全存続期間において、これらを作成し、終結し、そして管理するために用いるプロセスモデルを定義するプランコンセプトを含む。TOSCAプランを、異機種環境のクラウド中のSOSDSecサービスの定義、作成、終結、およびマネジメントを標準化するために適用することが可能である。
SOSDSecでは、セキュリティ能力は、同型のマネジメントAPIを有するモジュール式セキュリティサービスに転換される。これは、ユーザにさらにカスタム化されたセキュリティ機能を提供するために、相異なるSOSDSecサービスを連鎖できる可能性をもたらす。いくつかの実装において、SOSDSecサービスは、構成し、連鎖することができる。
図9は、本明細書に記載された技法を実装するため使用可能なコンピューティングデバイス900およびモバイルコンピューティングデバイス950の一例を示す。コンピューティングデバイス900は、ラップトップ、デスクトップ、ワークステーション、携帯情報端末、サーバ、ブレード型サーバ、メインフレーム、および他の適切なコンピュータなど、デジタルコンピュータの様々な形態を代表することが意図されている。モバイルコンピューティングデバイス950は、携帯情報端末、携帯電話、スマートフォン、および他の類似のコンピューティングデバイスなど、携帯デバイスの様々な形態を代表することが意図されている。本図に示されるコンポーネント、それらの接続および関係、並びにそれらの機能は、例示のためだけのものであり、限定を意味するものではない。
コンピューティングデバイス900は、プロセッサ902と、メモリ904と、ストレージデバイス906と、メモリ904および複数の高速拡張ポート910に接続する高速インターフェース908と、低速拡張ポート914およびストレージデバイス906に接続する低速インターフェース912と、を含む。プロセッサ902、メモリ904、ストレージデバイス906、高速インターフェース908、高速拡張ポート910、および低速インターフェース912の各々は、様々なバスを使って相互接続され、共通のマザーボード上に、または必要に応じて他の仕方で搭載することが可能である。プロセッサ902は、高速インターフェース908に連結されたディスプレイ916などの外部入力/出力デバイスのGUIにグラフィカル情報を表示するために、メモリ904またはストアデバイス906に格納された命令を含め、コンピューティングデバイス900内で実行するための命令を処理することができる。他の実装において、必要に応じ、複数の種類の複数のメモリと共に、複数のプロセッサおよび/または複数のバスが使用されてもよい。また、各デバイスが必要なオペレーションの諸部分を提供するようにして(例えば、サーババンク、ブレード型サーバのグループ、またはマルチプロセッサシステムとして)複数のコンピューティングデバイスが接続されてもよい。
メモリ904は、コンピューティングデバイス900内の情報を格納する。いくつかの実装において、メモリ904は、揮発性メモリユニットまたは複数のユニットである。一部の実装では、メモリ904は、不揮発性メモリユニットまたは複数のユニットである。また、メモリ904は、磁気または光ディスクなど、コンピュータ可読媒体の別の形態であってもよい。
ストレージデバイス906は、コンピューティングデバイス900に対し大容量ストレージを提供することができる。いくつかの実装において、ストレージデバイス906は、フロッピーディスクデバイス、ハードディスクデバイス、光ディスクデバイス、またはテープデバイス、フラッシュメモリもしくは他の類似のソリッドメモリデバイス、あるいはデバイスのアレイなど、ストレージエリアネットワークまたは他の構成の中のデバイスを含め、コンピュータ可読媒体であってよくまたはこれらを含んでもよい。命令は、情報搬送体中に格納することが可能である。これらの命令は、一つ以上の処理デバイス(例えば、プロセッサ902)によって実行されたとき、上で説明した方法など一つ以上の方法を実行する。また、これらの命令は、コンピュータまたは機械可読の媒体(例えば、メモリ904、ストレージデバイス906、またはプロセッサ902上のメモリ)など、一つ以上のストレージデバイスによって格納することが可能である。
高速インターフェース908は、コンピューティングデバイス900に対する帯域幅集約的なオペレーションを管理し、一方、低速インターフェース912は、より低い帯域幅集約的なオペレーションを管理する。かかる機能の割り当ては、単なる例示である。いくつかの実装において、高速インターフェース908は、メモリ904に、ディスプレイ916に(例えば、グラフィックスプロセッサまたはアクセラレータを介して)、および、様々な拡張カードを受け入れ可能な高速拡張ポート910に連結される。この実装において、低速インターフェース912は、ストレージデバイス906および低速拡張ポート914に連結される。様々な通信ポート(例えば、USB、ブルートゥース(登録商標)、イーサネット(登録商標)、ワイヤレスイーサネット(登録商標))を含むことが可能な低速拡張ポート914は、キーボード、ポインティングデバイス、スキャナ、または、例えばネットワークアダプタを介しスイッチもしくはルータなどのネットワーク設定デバイスなど、一つ以上の入力/出力デバイスに連結されてもよい。
コンピューティングデバイス900は、図に示すようにいくつかの異なる形態に実装することができる。例えば、これは、標準的なサーバ920として、またはかかるサーバのグループ中に多重に実装することが可能である。さらに、ラップトップコンピュータ922などパーソナルコンピュータ中に実装してもよい。また、ラックサーバシステム924の一部として実装してもよい。あるいは、コンピューティングデバイス900からのコンポーネントを、モバイルコンピューティングデバイス950などのモバイルデバイス中の他のコンポーネントと組み合わせることも可能である。かかるデバイスの各々が、コンピューティングデバイス900およびモバイルコンピューティングデバイス950の一つ以上を包含することが可能で、全体のシステムを、相互に通信する複数のコンピューティングデバイスで構成することができる。
モバイルコンピューティングデバイス950は、プロセッサ952と、メモリ964と、ディスプレイ954などの入力/出力デバイスと、通信インターフェース966と、トランシーバ968とを他のコンポーネントと併せ含む。また、モバイルコンピューティングデバイス950には、追加のストレージを備えるために、マイクロドライブまたは他のデバイスなどのストレージデバイスを設けてもよい。プロセッサ952、メモリ964、ディスプレイ954、通信インターフェース966、トランシーバ968の各々は、様々なバスを使って相互接続され、これらコンポーネントのいくつかは、共通のマザーボード上に、または必要に応じて他の仕方で搭載することが可能である。
プロセッサ952は、メモリ964に格納されている命令を含め、モバイルコンピューティングデバイス950内の命令を実行することができる。プロセッサ952は、別々の複数のアナログおよびデジタルプロセッサを含むチップのチップセットとして実装することも可能である。プロセッサ952は、例えば、ユーザインターフェースの制御、モバイルコンピューティングデバイス950によるアプリケーションの実行、モバイルコンピューティングデバイス950によるワイヤレス通信など、モバイルコンピューティングデバイス950の他のコンポーネントの調整を提供することができる。
プロセッサ952は、ディスプレイ954に連結された制御インターフェース958およびディスプレイインターフェース956を介してユーザと交信することが可能である。ディスプレイ954は、例えば、TFT(Thin−Film−Transistor Liquid Crystal Display(薄膜トランジスタ液晶ディスプレイ))またはOLED(Organic Light Emitting Diode(有機発光ダイオード))ディスプレイ、または他の適切なディスプレイ技術とすればよい。ディスプレイインターフェース956には、グラフィカルおよび他の情報をユーザに提示するために、ディスプレイ954を駆動するための適切な回路を含めることが可能である。制御インターフェース958は、ユーザからコマンドを受信し、プロセッサ952への付託のためそれらコマンドを変換することができる。さらに、外部インターフェース962は、モバイルコンピューティングデバイス950が他のデバイスとの近距離通信できるように、プロセッサ952に通信手段を提供することが可能である。外部インターフェース962は、例えば、いくつかの実装においては有線通信手段を、他の実装ではワイヤレス通信手段を提供することが可能であり、また複数のインターフェースの使用も可能である。
メモリ964は、モバイルコンピューティングデバイス950内の情報を格納する。メモリ964は、コンピュータ可読媒体または複数のコンピュータ可読媒体、揮発性メモリユニットまたは複数のユニット、または不揮発性メモリユニットまたは複数のユニットの一つ以上として実装することができる。また、拡張メモリ974を設け、拡張インターフェース972を介しモバイルコンピューティングデバイス950に接続することも可能で、これには、例えば、SIMM(Single In Line Memory Module(シングルインラインメモリモジュール))カードインターフェースを含めるとよい。拡張メモリ974は、モバイルコンピューティングデバイス950に追加のストレージスペースを提供でき、また、モバイルコンピューティングデバイス950のために、アプリケーションまたは他の情報を格納することも可能である。特に、拡張メモリ974は、上で説明したプロセスを遂行するまたは補完する命令を含むことが可能で、また、重要な情報を含んでもよい。しかして、例えば、拡張メモリ974は、モバイルコンピューティングデバイス950のためのセキュリティモジュールとして設けてもよく、モバイルコンピューティングデバイス950の安全な使用を可能にする命令をプログラムすることもできよう。さらに、SIMMカードを使って、安全なアプリケーションを、ハック困難な方法でSIMMカード上に識別情報を配置するなど、追加の情報と共に備えることができる。
本メモリは、例えば、後記で説明するように、フラッシュメモリおよび/またはNVRAMメモリ(non−volatile random access memory(不揮発性ランダムアクセスメモリ))を含んでもよい。いくつかの実装において、命令は情報搬送体中に格納される。これらの命令は、一つ以上の処理デバイス(例えば、プロセッサ952)によって実行されたとき、前述の方法など一つ以上の方法を実施する。また、これらの命令は、一つ以上のコンピュータまたは機械可読の媒体(例えば、メモリ964、拡張メモリ974、またはプロセッサ952上のメモリ)など一つ以上のストレージデバイスに格納することが可能である。いくつかの実装において、これらの命令は、例えば、トランシーバ968または外部インターフェース962を介して、伝播信号で受信することができる。
モバイルコンピューティングデバイス950は、通信インターフェース966を介してワイヤレスに通信することができ、必要に応じ、該インターフェースにはデジタル信号処理回路を含めればよい。通信インターフェース966は、とりわけ、GSM(登録商標)音声電話(Global System for Mobile communications(汎欧州デジタル移動電話方式))、SMS(Short Message Service(ショートメッセージサービス))、EMS(Enhanced Messaging Service(強化メッセージサービス))、またはMMSメッセージング(Multimedia Messaging Service(マルチメディアメッセージングサービス))、CDMA(code division multiple access(符号分割多重アクセス))、TDMA(time division multiple access(時分割多重アクセス))、PDC(Personal Digital Cellular(パーソナルデジタルセルラ))、WCDMA(Wideband Code Division Multiple Access(広帯域符号分割多重アクセス))、CDMA2000、またはGPRS(General Packet Radio Service(汎用パケット無線サービス))など、様々なモードまたはプロトコルの下での通信手段を提供することが可能である。かかる通信は、例えば、無線周波数を用いるトランシーバ968を介して行うことができる。さらに、短距離通信は、ブルートゥース(登録商標)、WiFi、または他のこのようなトランシーバを使って行えばよい。加えて、GPS(Global Positioning System(全地球測位システム))レシーバモジュール970は、モバイルコンピューティングデバイス950に、さらなるナビゲーションおよび位置関連のワイヤレスデータを提供することができ、これらのデータは、必要に応じ、モバイルコンピューティングデバイス950上で実行されるアプリケーションによる使用が可能である。
また、モバイルコンピューティングデバイス950は、音声コーデック960を用いて音声で通信することも可能で、該コーデックは、ユーザからの音声情報を受信しそれを使用可能なデジタル情報に変換することができる。音声コーデック960は、同様に、例えばモバイルコンピューティングデバイス950のハンドセット中のスピーカなどを介して、ユーザに向け聴取可能な音声を生成することが可能である。かかる音声は、音声電話からの音声を含んでもよく、録音された音声(例えば、音声メッセージ、音楽ファイルなど)を含んでもよく、また、モバイルコンピューティングデバイス950上で作動しているアプリケーションによって生成された音声を含んでもよい。
モバイルコンピューティングデバイス950は、図に示されるように、多くの異なる形態で実装することができる。例えば、携帯電話980として実装されてもよい。また、スマートフォン982、携帯情報端末、または他の類似のモバイルデバイスの部分として実装されてもよい。
本明細書で説明したシステムおよび技法の様々な実装は、デジタル電子回路、集積回路、特別に設計されたASIC(application specific integrated circuit(特定用途向け集積回路))、コンピュータハードウェア、ファームウエア、ソフトウェア、および/またはこれらの組み合わせで実現することができる。これらの様々な実装には、少なくとも一つのプログラム可能なプロセッサを含むプログラム可能システム上で、実行可能および/または解釈可能な一つ以上コンピュータプログラム中への実装を含めることができ、前記のプロセッサは、特定用途向けでもまたは汎用向けでもよく、ストレージシステムと、少なくとも一つの入力デバイスと、少なくとも一つの出力デバイスとからデータおよび命令を受信し、これらデバイスにデータおよび命令を送信するように連結することが可能である。
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、またはコードとしても知られる)は、プログラム可能なプロセッサに対する機械命令を含み、高レベルの手続き型および/またはオブジェクト指向プログラミング言語、および/またはアセンブリ/機械言語で実装が可能である。本明細書で使用する用語、機械可読媒体およびコンピュータ可読媒体とは、機械命令を機械可読信号として受信する機械可読媒体を含め、プログラム可能プロセッサに機械命令および/またはデータを提供するため使われる任意のコンピュータプログラム製品、装置、および/またはデバイス(例えば、磁気ディスク、光ディスク、メモリ、プログラム可能論理デバイス(PLD:Programmable Logic Device))を言う。用語、機械可読信号とは、機械命令および/またはデータを、プログラム可能プロセッサに提供するために使われる任意の信号を言う。
ユーザとのやり取りを提供するために、本明細書に記載のシステムおよび技法は、ユーザに情報を表示するためのディスプレイデバイス(例えば、CRT(cathode ray tube(ブラウン管))またはLCD(liquid crystal display(液晶ディスプレイ))モニタ)、並びにユーザがコンピュータに入力を供給することを可能にするキーボードおよびポインティングデバイス(例えば、マウスまたはトラックボール)を有するコンピュータ上に実装するとよい。ユーザとのやり取りを提供するために、他の種類のデバイスも同様に用いることができ、例えば、ユーザに提供されるフィードバックは、感覚フィードバックの任意の形態(例えば、視覚フィードバック、音声フィードバック、または触覚フィードバック)とすることが可能で、また、ユーザからの入力は、音響、発話、または接触入力を含め、任意の形態で受信することが可能である。
本明細書に記載のシステムおよび技法は、バックエンドコンポーネント(例えば、データサーバとして)を含む、またはミドルウェアコンポーネント(例えば、アプリケーションサーバ)を含む、またはフロントエンドコンポーネント(例えば、ユーザが、それを介して本明細書に記載のシステムおよび技法の実装とやり取りできる、グラフィカルユーザインターフェース、またはウェブブラウザを有するクライアントコンピュータ)、またはかかるバックエンド、ミドルウェア、またはフロンドエンドコンポーネントに任意の組み合せを含む、コンピューティングシステム中に実装するのがよい。システムのこれらコンポーネントは、デジタルデータ通信(例えば、通信ネットワーク)の任意の形態または媒体によって相互接続することが可能である。通信ネットワークの例には、ローカルエリアネットワーク(LAN:local area network)、広域ネットワーク(WAN:wide area network)およびインターネットが含まれる。
コンピューティングシステムはクライアントとサーバとを含み得る。クライアントとサーバとは、一般に相互に離間しており、通常、通信ネットワークを介してやり取りをする。クライアントとサーバとの関係は、それぞれのコンピュータ上で実行されているコンピュータプログラムおよび相互にクライアント−サーバ関係を有することに基づいて成立する。
上でいくつかの実装について詳細を説明してきたが、他の変更案も可能である。例えば、或るクライアントアプリケーションが、デリゲートにアクセスするとして説明されているが、他の実装では、一つ以上のサーバ上で実行されるアプリケーションなど、一つ以上のプロセッサによって実装される他のアプリケーションよってそのデリゲートが用いられてもよい。さらに、図面に表された論理フローは、必要な結果を達成するために、示された特定の順序またはシーケンシャルな順序を必要としない。加えて、表されたフローに他のアクションを加えることが可能で、またはフローからアクションを排除することが可能であり、記載されシステムに他のコンポーネントを加えることまたはシステムからコンポーネントを削除することも可能である。したがって、他の実装も添付の特許請求の範囲内である。

Claims (20)

  1. セキュリティ制御デバイスと、
    一つ以上のアセットと、
    前記セキュリティ制御デバイスおよび前記一つ以上のアセットと通信するセキュリティコントローラであって、前記セキュリティコントローラは、処理エンジンを含み、前記処理エンジンは、
    前記セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、前記セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成することにより、前記セキュリティ制御デバイスを登録し、
    前記一つ以上のアセットの各々に対する物理−論理属性マッピングを作成し、前記一つ以上のアセットの各々に対するセキュリティサービス要求事項を生成することによって、前記一つ以上のアセットを登録し、
    サービスに対する要求に基づいてセキュリティサービスのバインディングを生成し、前記処理エンジンは前記セキュリティサービスのバインディングをセキュリティ制御コマンドのセットに変換し、前記セキュリティ制御コマンドを前記セキュリティ制御デバイスに通信するように動作可能に構成される、
    ソフトウェア定義型セキュリティシステム。
  2. 前記セキュリティ制御デバイスは、ファイアウォールと、侵入検知システムと、アイデンティティおよびアクセスマネジメントシステムと、のうちの一つである、請求項1に記載のシステム。
  3. 前記一つ以上のアセットは、サーバと、VPNクライアントおよびサーバと、外部コンピューティングデバイスと、モバイルコンピューティングデバイスと、のうちの一つを含む、請求項1に記載のシステム。
  4. 前記処理エンジンは、
    セキュリティイベントを識別するデータを受信し、
    前記セキュリティイベントに対して実施するために前記セキュリティコントローラに対する一つ以上のアクションを識別するプレイブックにアクセスし、
    前記セキュリティイベントに応じて前記一つ以上のアクションを実施する、
    ようにさらに構成される、請求項1に記載のシステム。
  5. 前記セキュリティイベントは、侵入検知制御、ネットワークトポロジ変更、またはサーバ故障からのイベントを含む、請求項4に記載のシステム。
  6. 前記セキュリティサービスのバインディングを生成することは、前記セキュリティイベントに応じて前記一つ以上のアクションを実施することを含む、請求項4に記載のシステム。
  7. 前記セキュリティ制御デバイスに対する前記物理−論理属性マッピングは、前記セキュリティ制御デバイスに対するIPアドレス−ホスト名マッピングを含み、
    前記一つ以上のアセットの各々に対する前記物理−論理属性マッピングは、前記一つ以上のアセットの各々に対するIPアドレス−ホスト名マッピングを含む、
    請求項1に記載のシステム。
  8. 前記処理エンジンは、
    前記一つ以上のアセットの一つへの物理属性の変更を示すデータを受信し、
    前記一つ以上のアセットの一つへの前記物理属性の変更を示す前記データを受信することに応じて、前記一つ以上のアセットの前記一つに対するセキュリティサービス要求事項を識別し、
    前記一つ以上のアセットの一つに対する前記セキュリティサービス要求事項に基づいて、前記一つ以上のアセットの一つに対するセキュリティサービスのバインディングを生成する、
    ようにさらに構成される、請求項1に記載のシステム。
  9. 前記一つ以上のアセットの一つに対する前記セキュリティサービスのバインディングは、前記一つ以上のアセットの一つへの前記物理属性の前記変更を示す前記データを受信した後、ユーザの入力なしに自動的に生成される、請求項8に記載のシステム。
  10. セキュリティ制御デバイスおよび一つ以上のアセットと通信するセキュリティコントローラによって、前記セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、前記セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成することにより、前記セキュリティ制御デバイスを登録するステップと、
    前記一つ以上のアセットの各々に対する物理−論理属性マッピングを作成し、前記一つ以上のアセットの各々に対するセキュリティサービス要求事項を生成することによって、前記一つ以上のアセットを登録するステップと、
    サービスに対する要求に基づいて、セキュリティサービスのバインディングを生成するステップと、
    前記セキュリティサービスのバインディングをセキュリティ制御コマンドのセットに変換するステップと、
    前記セキュリティ制御コマンドを前記セキュリティ制御デバイスに通信するステップと、
    を含むコンピュータ実装の方法。
  11. 前記セキュリティ制御デバイスは、ファイアウォールと、侵入検知システムと、アイデンティティおよびアクセスマネジメントシステムと、のうちの一つである、請求項10に記載の方法。
  12. 前記一つ以上のアセットは、サーバと、VPNクライアントおよびサーバと、外部コンピューティングデバイスと、モバイルコンピューティングデバイスと、のうちの一つを含む、請求項10に記載の方法。
  13. セキュリティイベントを識別するデータを受信するステップと、
    前記セキュリティイベントに対して実施するために前記セキュリティコントローラに対して一つ以上のアクションを識別するプレイブックにアクセスするステップと、
    前記セキュリティイベントに応じて前記一つ以上のアクションを実施するステップと、
    を含む、請求項10に記載の方法。
  14. 前記セキュリティイベントは、侵入検知制御、ネットワークトポロジ変更、またはサーバ故障からのイベントを含む、請求項13に記載の方法。
  15. 前記セキュリティサービスのバインディングを生成するステップは、前記セキュリティイベントに応じて前記一つ以上のアクションを実施するステップを含む、請求項13に記載の方法。
  16. 前記セキュリティ制御デバイスに対する前記物理−論理属性マッピングは、前記セキュリティ制御デバイスに対するIPアドレス−ホスト名マッピングを含み、
    前記一つ以上のアセットの各々に対する前記物理−論理属性マッピングは、前記一つ以上のアセットの各々に対するIPアドレス−ホスト名マッピングを含む、
    請求項10に記載の方法。
  17. 前記一つ以上のアセットの一つへの物理属性の変更を示すデータを受信するステップと、
    前記一つ以上のアセットの一つへの前記物理属性の変更を示す前記データを受信することに応じて、前記一つ以上のアセットの一つに対するセキュリティサービス要求事項を識別するステップと、
    前記一つ以上のアセットの一つに対する前記セキュリティサービス要求事項に基づいて、前記一つ以上のアセットの一つに対するセキュリティサービスのバインディングを生成するステップと、
    を含む、請求項10に記載の方法。
  18. 前記一つ以上のアセットの一つに対する前記セキュリティサービスのバインディングは、前記一つ以上のアセットの一つへの前記物理属性の変更を示す前記データを受信した後、ユーザの入力なしに自動的に生成される、請求項17に記載の方法。
  19. 一つ以上のコンピュータによって実行可能な命令を含むソフトウェアを格納している非一時的なコンピュータ可読媒体であって、実行すると、前記一つ以上のコンピュータに、
    セキュリティ制御デバイスおよび一つ以上のアセットと通信するセキュリティコントローラによって、前記セキュリティ制御デバイスに対する物理−論理属性マッピングを作成し、前記セキュリティ制御デバイスに関連付けられたセキュリティサービスディスクリプションを生成することにより、前記セキュリティ制御デバイスを登録するステップと、
    前記一つ以上のアセットの各々に対する物理−論理属性マッピングを作成し、前記一つ以上のアセットの各々に対するセキュリティサービス要求事項を生成することによって、前記一つ以上のアセットを登録するステップと、
    サービスに対する要求に基づいて、セキュリティサービスのバインディングを生成するステップと、
    前記セキュリティサービスのバインディングをセキュリティ制御コマンドのセットに変換するステップと、
    前記セキュリティ制御コマンドを前記セキュリティ制御デバイスに伝達するステップと、
    を含むオペレーションを実施させる、
    媒体。
  20. 前記セキュリティ制御デバイスは、ファイアウォールと、侵入検知システムと、アイデンティティおよびアクセスマネジメントシステムと、のうちの一つである、請求項19に記載の媒体。

JP2016115702A 2015-06-12 2016-06-09 サービス志向ソフトウェア定義型セキュリティのフレームワーク Active JP6266696B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562174990P 2015-06-12 2015-06-12
US62/174,990 2015-06-12
US201662342128P 2016-05-26 2016-05-26
US62/342,128 2016-05-26

Publications (2)

Publication Number Publication Date
JP2017034659A true JP2017034659A (ja) 2017-02-09
JP6266696B2 JP6266696B2 (ja) 2018-01-24

Family

ID=56235579

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016115702A Active JP6266696B2 (ja) 2015-06-12 2016-06-09 サービス志向ソフトウェア定義型セキュリティのフレームワーク

Country Status (4)

Country Link
US (3) US10135871B2 (ja)
EP (1) EP3104573B1 (ja)
JP (1) JP6266696B2 (ja)
AU (1) AU2016203880B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019062272A (ja) * 2017-09-25 2019-04-18 PIPELINE Security株式会社 サイバーセキュリティフレームワークボックス
WO2019142348A1 (ja) * 2018-01-22 2019-07-25 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
JP2022551140A (ja) * 2019-10-22 2022-12-07 華為技術有限公司 セキュリティ脆弱性防御方法およびデバイス

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105656747A (zh) * 2015-11-11 2016-06-08 乐卡汽车智能科技(北京)有限公司 一种多链路数据传输的方法及设备
JP2018019207A (ja) * 2016-07-27 2018-02-01 富士ゼロックス株式会社 連携管理装置及び通信システム
US10778722B2 (en) * 2016-11-08 2020-09-15 Massachusetts Institute Of Technology Dynamic flow system
US11163626B2 (en) 2016-11-22 2021-11-02 International Business Machines Corporation Deploying a validated data storage deployment
US10599559B2 (en) * 2016-11-22 2020-03-24 International Business Machines Corporation Validating a software defined storage solution based on field data
US10659432B2 (en) * 2017-07-06 2020-05-19 Crowdstrike, Inc. Network containment of compromised machines
US10826943B2 (en) 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11632400B2 (en) 2019-03-11 2023-04-18 Hewlett-Packard Development Company, L.P. Network device compliance
US11290491B2 (en) * 2019-03-14 2022-03-29 Oracle International Corporation Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element
US11340964B2 (en) 2019-05-24 2022-05-24 International Business Machines Corporation Systems and methods for efficient management of advanced functions in software defined storage systems
US11190489B2 (en) * 2019-06-04 2021-11-30 OPSWAT, Inc. Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US11546445B2 (en) * 2021-03-17 2023-01-03 Salesforce.Com, Inc. Method and system for universal security services abstraction
US20220337598A1 (en) * 2021-04-15 2022-10-20 Anamika Bhattacharya Distributed hybrid model for security as a service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000253066A (ja) * 1999-01-29 2000-09-14 Lucent Technol Inc ファイアウォールを管理するための方法および装置
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
WO2014093264A1 (en) * 2012-12-13 2014-06-19 Zte (Usa) Inc. Method and system for virtualizing layer-3 (network) entities
US20140207917A1 (en) * 2013-01-22 2014-07-24 Netcitadel, Inc. System, apparatus and method for dynamically updating the configuration of a network device

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6044469A (en) 1997-08-29 2000-03-28 Preview Software Software publisher or distributor configurable software security mechanism
US7308702B1 (en) 2000-01-14 2007-12-11 Secure Computing Corporation Locally adaptable central security management in a heterogeneous network environment
WO2003019854A1 (en) 2001-08-23 2003-03-06 Efunds Corporation Software security control system and method
US6807636B2 (en) * 2002-02-13 2004-10-19 Hitachi Computer Products (America), Inc. Methods and apparatus for facilitating security in a network
US20030195962A1 (en) * 2002-04-10 2003-10-16 Satoshi Kikuchi Load balancing of servers
EP1540446A2 (en) 2002-08-27 2005-06-15 TD Security, Inc., dba Trust Digital, LLC Enterprise-wide security system for computer devices
WO2006015245A2 (en) * 2004-07-29 2006-02-09 Modius, Inc. Universal configurable device gateway
US20060141985A1 (en) * 2004-12-23 2006-06-29 Motorola, Inc. Dynamic management for interface access permissions
US7386758B2 (en) * 2005-01-13 2008-06-10 Hitachi, Ltd. Method and apparatus for reconstructing data in object-based storage arrays
US7774827B2 (en) * 2005-06-06 2010-08-10 Novell, Inc. Techniques for providing role-based security with instance-level granularity
US20060282886A1 (en) 2005-06-09 2006-12-14 Lockheed Martin Corporation Service oriented security device management network
US7814478B2 (en) * 2005-11-09 2010-10-12 Texas Instruments Norway As Methods and apparatus for use in updating application programs in memory of a network device
US8478977B1 (en) 2005-12-21 2013-07-02 Cadence Design Systems, Inc. Secure auto-migration program
CN100559771C (zh) 2006-06-23 2009-11-11 国际商业机器公司 将web服务策略从逻辑模型转换到物理模型的方法和装置
WO2008099402A2 (en) * 2007-02-16 2008-08-21 Forescout Technologies A method and system for dynamic security using authentication server
JP4392672B2 (ja) 2007-08-01 2010-01-06 Necシステムテクノロジー株式会社 ソフトウェア無線通信装置、及びソフトウェア更新方法、並びに、ソフトウェア無線通信システム
JP2009151401A (ja) * 2007-12-19 2009-07-09 Hitachi Ltd 暗号機能を有するストレージ装置におけるボリューム管理方法
US9069599B2 (en) 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
KR101585428B1 (ko) * 2009-04-02 2016-01-18 삼성전자주식회사 광대역 무선통신 시스템에서 부하 지시자 송신 장치 및 방법
US20110093955A1 (en) 2009-10-19 2011-04-21 Bank Of America Corporation Designing security into software during the development lifecycle
KR101277274B1 (ko) * 2009-11-27 2013-06-20 한국전자통신연구원 자원 간의 물리적/논리적 관계를 맵핑하는 방법 및 장치
US8904511B1 (en) * 2010-08-23 2014-12-02 Amazon Technologies, Inc. Virtual firewalls for multi-tenant distributed services
EP2671367B1 (en) * 2011-02-01 2018-04-18 Telefonaktiebolaget LM Ericsson (publ) Routing traffic towards a mobile node
US8695059B2 (en) * 2011-02-08 2014-04-08 Verizon Patent And Licensing Inc. Method and system for providing network security services in a multi-tenancy format
US8839363B2 (en) 2011-04-18 2014-09-16 Bank Of America Corporation Trusted hardware for attesting to authenticity in a cloud environment
US8976807B2 (en) * 2011-06-07 2015-03-10 Cisco Technology, Inc. Dynamically determining hostnames of network devices
FR2988943A1 (fr) 2012-03-29 2013-10-04 France Telecom Systeme de supervision de la securite d'une architecture
US8955036B2 (en) 2012-04-11 2015-02-10 Mcafee, Inc. System asset repository management
US9047463B2 (en) 2012-06-29 2015-06-02 Sri International Method and system for protecting data flow at a mobile device
US9047470B2 (en) 2012-10-15 2015-06-02 Verizon Patent And Licensing Inc. Secure provisioning of commercial off-the-shelf (COTS) devices
EP2936785A1 (en) * 2012-12-24 2015-10-28 Telefonaktiebolaget L M Ericsson (PUBL) Enabling external access to multiple services on a local server
US9088541B2 (en) * 2013-05-31 2015-07-21 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration
GB2518255A (en) * 2013-09-13 2015-03-18 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
TW201512990A (zh) * 2013-09-25 2015-04-01 Hope Bay Technologies Inc 虛擬機器的拓樸架構管理方法及其系統
US10044760B2 (en) * 2013-12-04 2018-08-07 Hewlett Packard Enterprise Development Lp Policy rule based on a requested behavior
US10043030B1 (en) * 2015-02-05 2018-08-07 Amazon Technologies, Inc. Large-scale authorization data collection and aggregation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000253066A (ja) * 1999-01-29 2000-09-14 Lucent Technol Inc ファイアウォールを管理するための方法および装置
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
WO2014093264A1 (en) * 2012-12-13 2014-06-19 Zte (Usa) Inc. Method and system for virtualizing layer-3 (network) entities
US20140207917A1 (en) * 2013-01-22 2014-07-24 Netcitadel, Inc. System, apparatus and method for dynamically updating the configuration of a network device

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019062272A (ja) * 2017-09-25 2019-04-18 PIPELINE Security株式会社 サイバーセキュリティフレームワークボックス
WO2019142348A1 (ja) * 2018-01-22 2019-07-25 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
JPWO2019142348A1 (ja) * 2018-01-22 2020-12-10 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
JP7017163B2 (ja) 2018-01-22 2022-02-08 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
US11588846B2 (en) 2018-01-22 2023-02-21 Nec Corporation Network control device and network control method
JP2022551140A (ja) * 2019-10-22 2022-12-07 華為技術有限公司 セキュリティ脆弱性防御方法およびデバイス
JP7299415B2 (ja) 2019-10-22 2023-06-27 華為技術有限公司 セキュリティ脆弱性防御方法およびデバイス

Also Published As

Publication number Publication date
US20200252432A1 (en) 2020-08-06
EP3104573B1 (en) 2019-07-24
US10135871B2 (en) 2018-11-20
US10666685B2 (en) 2020-05-26
US20160366184A1 (en) 2016-12-15
JP6266696B2 (ja) 2018-01-24
AU2016203880B2 (en) 2017-07-27
US11019104B2 (en) 2021-05-25
AU2016203880A1 (en) 2017-01-05
EP3104573A1 (en) 2016-12-14
US20190158538A1 (en) 2019-05-23

Similar Documents

Publication Publication Date Title
JP6266696B2 (ja) サービス志向ソフトウェア定義型セキュリティのフレームワーク
EP3588356B1 (en) Cross-application identity and access management
JP7315721B2 (ja) リモートソフトウェアアプリケーションのワークフローへの統合
JP6403800B2 (ja) エンタープライズ・ベース・ネットワーク及びマルチテナント・ネットワーク間でのアプリケーションの移行
EP3066607B1 (en) Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
JP7217816B2 (ja) クラウドベースサービスのプログラムオーケストレーション
US11240241B2 (en) Discovery and mapping of a cloud-based authentication, authorization, and user management service
US11048544B2 (en) Cloud resource credential provisioning for services running in virtual machines and containers
US11050787B1 (en) Adaptive configuration and deployment of honeypots in virtual networks
US20130346619A1 (en) Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure
EP3432551B1 (en) Splitting network discovery payload based on degree of relationships between nodes
US10951483B2 (en) Agent-assisted discovery of network devices and services
CN109314713A (zh) 支持虚拟化环境中多个容器的移动设备管理的系统、设备和进程
CN105247832A (zh) 将安全上下文集成到网络路由决策中的方法和装置
US11425139B2 (en) Enforcing label-based rules on a per-user basis in a distributed network management system
US20230388180A1 (en) Techniques for provisioning workspaces in cloud-based computing platforms
Rafetseder et al. Practical fog computing with seattle
US20240129185A1 (en) Secure bi-directional network connectivity system between private networks
US20230148314A1 (en) Fast Launch Based on Hibernated Pre-launch Sessions
US20240187453A1 (en) Network security for multiple functional domains

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171025

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

R150 Certificate of patent or registration of utility model

Ref document number: 6266696

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250