JP2017504092A - クラウド・サービス・セキュリティ・ブローカおよびプロキシ - Google Patents

クラウド・サービス・セキュリティ・ブローカおよびプロキシ Download PDF

Info

Publication number
JP2017504092A
JP2017504092A JP2016530954A JP2016530954A JP2017504092A JP 2017504092 A JP2017504092 A JP 2017504092A JP 2016530954 A JP2016530954 A JP 2016530954A JP 2016530954 A JP2016530954 A JP 2016530954A JP 2017504092 A JP2017504092 A JP 2017504092A
Authority
JP
Japan
Prior art keywords
proxy
network
saas
user
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016530954A
Other languages
English (en)
Other versions
JP6514202B2 (ja
JP2017504092A5 (ja
Inventor
コーエン,アヴィラム
モイシ,リラン
ルトワック,アミ
ジェズニーク,ロイ
ヴィシュネポルスキー,グレッグ
Original Assignee
アダロム・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アダロム・インコーポレイテッド filed Critical アダロム・インコーポレイテッド
Publication of JP2017504092A publication Critical patent/JP2017504092A/ja
Publication of JP2017504092A5 publication Critical patent/JP2017504092A5/ja
Application granted granted Critical
Publication of JP6514202B2 publication Critical patent/JP6514202B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • G06F16/9574Browsing optimisation, e.g. caching or content distillation of access to content, e.g. by caching
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/51Source to source
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5032Generating service level reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/508Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
    • H04L41/5096Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Quality & Reliability (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本出願は、一般に、ネットワークベースのサービス型ソフトウェア(SaaS)プロバイダとクライアントとの間のネットワークトラフィックに対して動作するシステムに関する。システムは、マネージド通信ネットワーク・プロキシとして構成され、事前に定められたポリシおよびルールに基づいて、ネットワークトラフィックに対してアクションを取ることができる。システムは、ファイルタイプおよび応答タイプに応じて以降の要求がサフィックスプロキシによって取り扱われるようにSaaSサーバ応答を処理することによって、捕捉ページ処理のために構成されたサフィックスプロキシを含むことができる。

Description

[1]関連出願の相互参照
[2]本出願は、2013年11月11日に出願された「Cloud Service Security Broker and Proxy(クラウド・サービス・セキュリティ・ブローカおよびプロキシ)」と題する米国仮特許出願第61/902786号、2013年11月11日に出願された「Cloud Service Risk Analysis and Threat Detection(クラウド・サービス・リスク分析および脅威検出)」と題する米国仮特許出願第61/902787号、2013年11月11日に出願された「Cloud Service Discovery(クラウド・サービス発見)」と題する米国仮特許出願第61/902789号、および2014年9月12日に出願された「Cloud Service Suffix Proxy(クラウド・サービス・サフィックスプロキシ)」と題する米国仮特許出願第62/049473号の優先権を主張し、それらの各々の内容は、その全体が、参照によって本明細書に組み込まれる。
[4]本出願は、一般に、通信をモニタリングおよび保護することによって、特にサフィックスプロキシの使用によって、通信ネットワークおよびシステムを保護することに関する。
[6]企業は、クラウドベースのサービス型ソフトウェア(software−as−a−service)の提供をますます採用しつつある。これらのサービスは、多様なネットワークセキュリティリスクにさらされる。これらのネットワークを保護するための知られたシステムは、サービス型ソフトウェアを運用するサーバと、ユーザによって運用されるエンドポイントとの間のトラフィックを検査することによって動作する。
これらの知られたネットワークセキュリティシステムは、一般に、システムの複雑さを高めるエンドポイントの複雑な構成を必要とする。さらに、多くのケースでは、エンドポイントは、企業の完全な制御下にないことがあり、まったく管理されないこと、またはさもなければ構成可能でないことがある。ユーザ制御のエンドポイントを構成および管理することに内在する困難に加えて、ネットワークアドレスが動的に生成される場合、セッション全体にわたるトラフィック捕捉を保証することは困難である。
[8]例示的なアーキテクチャおよび方法の動作についての例示的な概要を示す図である。 [9]複数のプロキシノードを有する例示的なアーキテクチャを示す図である。 [10]SAMLを使用する例示的な認証方法を示す図である。 [11]待ち時間短縮のために世界中に分散されたプロキシノードを含む、複数の異なるネットワークの例を示す図である。 [12]フェイルオープンルーティングを示す例示的なネットワーク・プロキシ・アーキテクチャを示す図である。 [13]ロードバランサのクラスタおよび複数のプロキシノードから構成される例示的なプロキシノードを示す図である。 [14]例示的なユーザインターフェースを示す図である。 [15]例示的なユーザインターフェースを示す図である。 [16]例示的なユーザインターフェースを示す図である。 [17]例示的なユーザインターフェースを示す図である。 [18]脅威検出のための例示的な方法を示す図である。 [19]例示的なパラメータセットを示す図である。 [20]サービス型ソフトウェア(SaaS)環境の発見についての例示的な方法を示す図である。 [21]キャッシュされないサフィックスプロキシ動作についての例示的な方法を示す図である。 [22]キャッシュされるサフィックスプロキシ動作についての例示的な方法を示す図である。
[24]通信をモニタリングおよび保護するためのアーキテクチャが、本明細書で説明される。本明細書で説明されるシステムおよび方法は、ユーザのためのクラウド・トラフィック・セキュリティおよび制御をどこででも透過的に可能にするために使用され得る。システムは、会社のクラウド・サービス・アカウント内のいずれかまたはすべてのトラフィックおよびアクティビティを保護するように構成され得る。いくつかの実施形態では、システムは、それがいかなるクライアント側またはネットワークインストールも必要としないように構成され得る。システムは、世界中の複数のロケーションに分散された独立の自律ネットワーク・プロキシから構成される非常に回復力に富んだ仮想ネットワークを含むことができる。
[25]マネージド通信ネットワーク・プロキシ・サービスが、ユーザとネットワークベースのソフトウェアサービスプロバイダとの間のネットワーク通信トラフィックを途中で捕え、モニタリングし、変更し、転送するために使用され得る。マネージド・ネットワーク・プロキシ・サービスは、ネットワーク脅威を検出および軽減するために動作するように構成され得る。非限定的な例として、サービスは、アプリケーション・ファイアウォール・モード、疑わしいネットワークトラフィックおよび挙動について通知するための受動的な侵入検出(IDS)モード、または脅威をブロックするための侵入防止システム(IPS)モードを含む、様々なモードで動作するように構成され得る。システムは、ネットワークトラフィックに対してアプリケーション制御、URLフィルタリング、およびマルウェア防御を実行するようにも構成され得る。
[26]アーキテクチャ
[27]本明細書で説明されるシステムは、ネットワークベースのサービス型ソフトウェア(SaaS)プロバイダとクライアントとの間のネットワークトラフィックに対して動作するように構成され得る。いくつかの実施形態では、システムは、クライアントデバイスまたはネットワークに対して行われていたいかなる制御または制限も行われずに、クライアントコンピューティングデバイスが、(インターネットなどの)公衆ネットワークを通してSaaSプロバイダに接続される場合、SaaSプロバイダとクライアントコンピューティングデバイスとの間のそのようなトラフィックに対して動作するように構成されることが可能である。いくつかの実施形態では、クライアントデバイスの構成は必要ではない。
[28]アーキテクチャ設計
[29]システムの構成要素は、マネージド通信ネットワーク・プロキシの形態で具体化され得る。本明細書では、プロキシに対する言及が行われることがあるが、プロキシは1つまたは複数のネットワークデバイスにおいて具体化され得ることが理解される。さらに、マネージド・ネットワーク・プロキシは、非集中化され得、マネージド・ネットワーク・プロキシの機能は、様々な地理的地域にある複数のマシンにわたって分散され得る。
[30]いくつかの実施形態では、ネットワーク・プロキシは、クライアントデバイスとSaaSプロバイダとの間のトラフィックが、ネットワーク・プロキシを通過するように構成され得る。ネットワーク・プロキシが通信を仲介するので、それは、これらのポイント間のネットワークトラフィックをモニタリングし、事前に定められたポリシおよびルールに基づいて、ネットワークトラフィックに対してアクションを取るために使用され得る。例示的なアーキテクチャおよび方法の動作についての概要が、図1に示されている。プロキシ・ネットワークは、回復力について最適化され得、プロキシ・ネットワークが障害を起こした場合、ユーザのトラフィックを再ルーティングするために、フェイルオープン制御が使用され得る。以下でより詳細に論じられるように、配備上、SaaSトラフィックの一般的フローは、以下の通りである。
[31]任意のロケーションから、任意のデバイス上で、ユーザは、組織のクラウド・サービスにアクセスする。トラフィックは、最も近いマネージド・ネットワーク・プロキシノードを通してルーティングされる。ノードは、ポリシ実施ノードとして機能し、クラウドアクティビティの完全な監査を提供することができる。プロキシ・ネットワーク・データセンタにおいて、イベントは、トークン化され、中央データセンタにある各テナント用の別々のデータベース内に収集される。イベント処理が行われ、インシデント(例えば、「未知のデバイスが機密データにアクセスした」)が報告される。ユーザインターフェースが提供され得、それによって、管理者は、コンソールにアクセスし、クラウドアクティビティに対する可視性を有することができる。さらに、ポリシが定められ、プロキシノードによって実施され得る。複数のプロキシノードを有する例示的なアーキテクチャが、図2に示されている。
[32]プロキシは、自律的に動作するように構成され得、異なるインターネットサービスプロバイダ(ISP)および地理にわたって回復力および高可用性を保証する。いくつかの実施形態では、すべてのノードが中央データセンタに向かって(一方向に)情報を送信する、スター型アーキテクチャが利用され得る。
[33]システムは、フェイルセキュアまたはフェイルオープンであるように構成され得る。外部ホスティングソリューションが使用される場合、他の手段が障害を起こすと、ユーザは、元のSaaSプロバイダにルーティングされ得る。これは、ユーザに対してシームレスなエクスペリエンスを保証する。
[34]パブリッククラウドおよびプライベートクラウド
[35]プライベートクラウド配備:会社データに対するさらなるセキュリティのために、プロキシサーバが、会社のプライベートクラウド内に配備され得る。この構成では、ネットワークトラフィックは、組織のネットワーク内に閉じ込められるが、メタデータ・ログが、依然として組織境界の外部に送信されることがある。
[36]パブリッククラウド配備:プロキシサーバが、会社のプライベートクラウドの外に配備される。クラウド自体は、パブリッククラウドまたはプライベートクラウドとすることができる。
[37]マネージド・ネットワーク・プロキシ・サービス・インフラストラクチャ
[38]本明細書で説明されるマネージド通信ネットワーク・プロキシは、非限定的な例として、フォワードプロキシ、サフィックスプロキシ、またはリバースプロキシを含む、様々なプロキシモードで構成され得る。
[39]フォワードプロキシとして構成される場合、ネットワーク・プロキシは、プロキシ自動構成(PAC)ファイルを使用することができ、および/またはプロキシ・チェイニングにおいて既存のネットワーク・プロキシに接続され得る。リバースプロキシとして構成される場合、配備は、組織のDNSサーバを通して行われ得る。
[40]好ましい実施形態では、マネージド・ネットワーク・プロキシは、サフィックスプロキシとして構成され得る。例えば、サフィックスプロキシとして、http://www.salesforce.comは、http://www.salesforce.com.network−proxy−service.comを通してアクセスされ、ここで、network−proxy−service.comは、マネージド・ネットワーク・プロキシ・サービスのために使用されるドメイン名である。いくつかの実施形態では、サフィックスプロキシは、サフィックスプロキシにある認証センタと、SaaSプロバイダの両方に対する認証である、2要素認証を使用することができる。
[41]プロトコルサポート
[42]マネージド・ネットワーク・プロキシは、いずれの任意のアプリケーションまたはプロトコルもサポートするように構成され得る。非限定的な例として、以下のプロトコル、すなわち、HTTPおよびHTTPS、RPCオーバHTTP、Outlook anywhere、WebDAV、FTP、ならびに独自仕様のベンダプロトコルがサポートされ得る。
[43]セキュリティ:SaaSトラフィック捕捉
[44]マネージド・ネットワーク・プロキシは、トラフィックを検査し、SaaSインターネットアドレスを検出するように構成され得る。いくつかの実施形態では、マネージド・ネットワーク・プロキシは、(ユニフォーム・リソース・ロケータ、ユニフォーム・リソース・アイデンティファイアなどの)インターネットアドレスを求めてネットワークトラフィックを検査するように構成され得る。非限定的な例として、ネットワーク・プロキシは、検査のために、ネットワークトラフィックを逆コンパイルし、分解し、または逆アセンブルすることができる。マネージド・ネットワーク・プロキシは、SaaSリソースに直接的にアクセスして、マネージド・ネットワーク・プロキシをバイパスするようにクライアントデバイスに指示するユーザデバイスに、ネットワークアドレスが提供されないように、クライアントデバイスとSaaSプロバイダとの間のネットワークトラフィックを変更するように構成され得る。SaaSインターネットアドレスが検出された場合、そのアドレスは、ネットワーク・プロキシ・サービスのためのドメイン名を元のネットワークアドレスに追加することによって、ネットワーク・プロキシにおいて、あるアドレスに書き換えられ得る。
[45]サフィックスプロキシは、以降の要求がサフィックスプロキシによって取り扱われるようにSaaSサーバ応答を処理することによって、捕捉ページ処理のために構成され得る。処理は、ファイルタイプおよび応答タイプに依存し得る。非限定的な例として、処理されるファイルタイプは、HTMLまたはJavaScriptを含むことができ、応答は、gzip圧縮された応答またはチャンク化された応答を含むことができる。サフィックスプロキシは、SaaSプロバイダから送信された、ウェブページを含む、任意のコンテンツをエミュレートするように構成され得る。サフィックスプロキシは、任意のコンテンツを検査および/または逆コンパイルして、コンテンツ内に存在する任意の参照ページおよび/またはURLを識別し、それらのURLを書き換えるように構成され得る。
[46]いくつかのケースでは、検査は、クライアントとSaaSプロバイダとの間で転送されるコードまたはスクリプトを実行することを必要とする。例えば、SaaSプロバイダに直接的にアクセスするネットワークアドレスの生成を検出するために、JavaScriptが、ネットワーク・プロキシにおいてエミュレートされ得る。コンテンツ内で直接アクセスアドレスが識別された場合、ネットワーク・プロキシを参照するようにアドレスを書き換えるために、コンテンツが変更され得る。
[47]セキュリティ:SaaSサービスロックダウン
[48]システムは、SaaSサービスへのアクセスを、マネージド・ネットワーク・プロキシを通したものだけに制限するように構成され得る。システムは、このロックダウンのための複数の技法を含むことができ、選択された技法は、以下でより詳細に説明される配備方法に依存し得る。ネットワークトラフィックは、セッションが生成された時に、またはその後の任意の時にロックダウンされ得る。セッション開始は、以下でより詳細に説明される。
[49]ロックダウン方法1:証明書の置換
[50]いくつかの環境では、SaaSプロバイダは、セキュリティ・アサーション・マークアップ言語(SAML)を使用することができる。それらの環境では、ネットワーク接続をロックダウンするために、SAMLトークン置換が使用され得る。例えば、SAMLトークンは、5分間にわたって有効とすることができる。SAMLプロキシが構成される場合、ユーザは、マネージド・ネットワークSAMLプロキシを通してのみ、サービスにアクセスすることができる。
[51]接続をロックダウンするために、ブラウザクッキー置換が使用され得る。ユーザがSaaSプロバイダに対して認証を行う場合、SaaSプロバイダは、ユーザにクッキーを送信する。送信されたクッキーは、ユーザがログインさせられたかどうか、およびユーザがどのアカウントを用いてログインさせられたかを示すためにSaaSプロバイダによって使用される、認証クッキーとすることができる。マネージド・ネットワーク・プロキシは、ユーザとSaaSプロバイダとの間に存在するので、SaaSプロバイダによって送信されたユーザブラウザクッキーを途中で捕え、暗号化することができる。その後、マネージド・ネットワーク・プロキシは、ユーザのデバイス上に記憶するために、暗号化されたクッキーをユーザに送信することができる。したがって、ユーザは、元のSaaSサイト上のクライアントによって直接的に使用され得ないクッキーの暗号化されたコピーのみを保持する。マネージド・プロキシ・ネットワークを通して使用される場合、クッキーは、クライアントデバイスからプロキシ・ネットワークに送信され、プロキシ・ネットワーク内で暗号解除され、送信元サイトに送信される。いくつかのケースでは、SaaSプロバイダによって生成されたクッキーは、暗号化され得、または暗号化されたコンテンツを含むことができる。これらのケースでは、マネージド・ネットワーク・プロキシは、暗号化のさらなるレイヤをクッキーに追加してから、それをクライアントに送信することができる。
[52]ブラウザクッキーが置換され得る方法と同様に、OAuthトークン(または他の任意の持続的なAPIトークン)も、インラインで置換され得る。マネージド・ネットワーク・プロキシは、クライアントによるトークン(例えば、モバイルアプリケーションによって使用されるOAuthトークン)を求める要求を追跡し、それらを暗号化されたバージョンで置換することができる。これは、さらなる認証シナリオにわたるサービスロックダウンの実施を可能にする。
[53]マネージド・ネットワーク・プロキシは、ユーザパスワードもプロキシすることができる。この技法は、任意のSaaSサービスに適用され得る。いくつかの実施形態では、パスワード・プロキシは、SAMLがサポートされない場合に使用され得る。これを実装するために、SaaSサービスパスワードは、2つ以上のパーツに分割され得る。ユーザは、パスワードのパーツをすべては知らない。マネージド・ネットワーク・プロキシ・サービスは、パスワードの残りを記憶する。この構成では、ユーザがマネージド・ネットワーク・プロキシ・サービスを通してSaaSサービスにアクセスした場合にのみ、完全なパスワードが構成され得る。この技法は、マネージド・ネットワーク・プロキシ・サービスがユーザパスワードを記憶することを必要としない。例えば、ハッシュサフィックスをすべてのパスワードに追加することは、単一のハッシュキーのみを記憶することを必要とする。
[54]SaaSアプリケーションにおいてパスワードを変更するためのユーザによるいかなる試みも、マネージド・ネットワーク・プロキシ・サービスを通してモニタリングされ得、ユーザは、パスワードの一部を設定することを許可され得る。いくつかの実施形態では、ユーザは、パスワードの半分を設定することを可能にされるだけである。パスワード・プロキシが構成される場合、パスワード変更を求めるいずれの要求(例えば、「パスワードを忘れた」リンク)も、ネットワーク・プロキシによってモニタリングされ得、ネットワーク・プロキシは、新しいパスワードにハッシュを適用するように構成され得る。
[55]ロックダウン方法2:アクセス制限
[56]いくつかのケースでは、SaaSアプリケーションは、インターネットプロトコル(IP)アドレス制限機能を可能にし、それによって、ネットワーク・プロキシ・サービスと関連付けられたインターネットプロトコル(IP)アドレスのみにアクセスを制限するように構成され得る。
[57]さらなるセキュリティ機能
[58]マネージド・ネットワーク・プロキシ・サービスは、さらなるセキュリティ機能をサポートするように構成され得る。非限定的な例として、ネットワーク・プロキシは、ユーザアクティビティの監査を実行するために使用され得、それによって、いずれのユーザアクションも、トラフィックストリームから解析および/または監査され得る。ネットワーク・プロキシは、ポリシ実施において使用され得る。例えば、プロキシ・サービスは、特定の動作を禁止するためのアクセス制御のために、ユーザ、デバイス、ロケーション、アクション、コンテンツ、および/または速度といった状況に基づいてDLPポリシを実装することによるデータ紛失防止(DLP)のために、動的マスキングのために、ならびに透かしのために使用され得る。ネットワーク脅威も、脅威特徴付けロジックを使用して検出および/またはブロックされ得る。
[59]マネージド・ネットワーク・プロキシ・サービスは、強化されたファイル保護サービスを提供するように構成され得る。いくつかの実施形態では、ネットワーク・プロキシ・サービスは、ネットワークベースのファイル記憶サービスとの統合をサポートすることができる。これらのタイプのサービスの非限定的な例は、Google(商標)Drive、Dropbox(商標)などを含む。ネットワーク・プロキシは、ユーザがSaaSプロバイダからファイルを取り出し、それらをユーザのデバイス上にローカルに記憶することを防止するように構成され得る。これは、「常時クラウド内(always in the cloud)」ポリシと呼ばれることがある。いくつかの実施形態では、これは、ファイルがSaaSアプリケーションとユーザのデバイスとの間で、またはSaaSアプリケーションどうしの間で転送されないように、ユーザセッション中に情報フローを動的に変更およびリダイレクトするように構成され得る。いくつかのケースでは、ファイルをダウンロードする代わりに、ファイルのバージョンが、ユーザに表示され得る。
[60]VPNオーバウェブ
[61]プロキシ・サービスは、企業イントラネットへの安全なアクセスを可能にするように構成され得る。ネットワーク・プロキシ・サービスにおいてユーザがひとたび認証されると、ユーザは、(例えば、HTTP(S)を使用して)ウェブ上でイントラネットサイトにアクセスすることができる。この方法は、デバイス上に専用VPNクライアントを必要としない。接続がひとたび開始されると、ネットワーク・プロキシ・サービスは、VPN接続をオープンし、HTTP(S)イントラネットサイトのためのリバースプロキシとして機能する。ユーザ監査、警告、およびファイル保護などの他の機能は、VPN接続上で実施され得る。
[62]配備方法
[63]システムは、単独のまたは組み合わされた様々な手段のいずれかによって配備され得る。いくつかの構成では、システムは、クライアントのいかなる構成も行わずに配備され得る。他の構成では、SaaSにおける構成の代わりに、またはそれに加えて、クライアントが構成され得る。
[64]透過的な配備方法
[65]システムは、マネージド・ネットワーク・プロキシを通してユーザとSaaSプロバイダとの間でトラフィックを透過的に転送するための技法を含むことができる。これらの実施形態では、SaaSアプリケーションへのアクセスは、プロキシのユーザのみに制限され得る。これらの技法は、ユーザデバイスまたはユーザのローカルネットワーク上でいかなるインストールも行わずに、セキュリティ制御の運用を可能にする。この技法は、SaaSプロバイダによってホストされるすべてのアプリケーションに対してグローバルベースで使用され得る。
[66]A.透過的な認証プロキシ(認証レイヤ)
[67]クラウド・サービスにおけるセキュリティ・アサーション・マークアップ言語(SAML)または類似のプロトコルのためのビルトインサポートを利用することによって、クライアント側においていかなる構成も行わずに、ユーザは、マネージド・ネットワーク・プロキシ・サーバに自動的にリダイレクトされ得る。例えば、SAMLは、安全なウェブドメインが、ユーザ認証および認可データを交換することを可能にするXML標準である。SAMLを使用して、オンラインサービスプロバイダは、安全なコンテンツにアクセスしようと試みるユーザを認証するために、別のオンライン識別情報プロバイダと連絡を取ることができる。
[68]非限定的な例として、この技法は、SAMLをサポートするSaaSサービス、および外部SAMLプロバイダをすでに有する組織とともに使用され得る。これらのケースでは、マネージド通信ネットワーク・プロキシは、SAMLプロバイダとして構成され、その場合、プロキシ・サービスは、認証を実行するために、元のSAMLプロバイダを使用する。認証に成功すると、ユーザは、ネットワーク・プロキシ・サービスによって提供されるサフィックスプロキシを通して、SaaSプロバイダにリダイレクトされる。(サフィックスプロキシ・サービスは、以下でより詳細に説明される)。
[69]アクセスをサフィックスプロキシのユーザに制限するために、SaaSアプリケーションのアクセス制御機能が使用され得る。SAMLプロキシは、サフィックスプロキシにリダイレクトする代わりに、ブラウザアドオンをインストールするためにも使用され得る。このケースでは、アドオンは、トラフィックを透過的にネットワーク・プロキシ・サービスに向かわせ、サフィックスプロキシの代わりに、リバースプロキシが使用されることになる。SAMLに加えて、マネージド通信ネットワーク・プロキシは、類似の機能を有する他のプロトコルと相互運用性があるように構成され得る。例えば、WS−Federation(商標)は、Office365(商標)サービスに関連して使用され得る。
[70]SAMLを使用する例示的な認証方法が、図3に示され、説明される。
[71]B.透過的な自己IDPプロビジョニング(認証レイヤ)
[72]シングルサインオン・ソリューションの代わりに、自己IDPプロビジョニングが使用され得る。これは、ユーザがマネージドSAMLプロキシ・サービスにリダイレクトされるSAMLプロキシ方法の変形であるが、認証プロセスは、マネージド通信ネットワーク・プロキシ・サービスによって実行される。ログイン・プロキシが使用され得る。ユーザのログイン要求時に、マネージド・ネットワークSAMLプロキシは、ユーザ証明書を検証するために、元のSaaSサービスに問い合わせを行う。パスワード同期を使用する場合、ネットワーク・プロキシ・サービスは、アクティブディレクトリ(または他の任意のLDAPディレクトリ)からのユーザパスワードをマネージド・ネットワークSAMLプロキシに同期させるパスワード同期ツールをインストールすることによって、アドホックSAMLプロバイダとして機能することができる。
[73]C.透過的なゲートウェイ・プロキシ(トラフィックレイヤ)
[74]この技法は、任意のSaaSサービスに適用され得、SAMLがSaaSサービスによってサポートされない場合に特に適用可能であり得る。ユーザは、SaaSサービスにアクセスするとき、異なるURLを使用するように命令され得る。そのURLは、マネージド・ネットワーク・プロキシ・サービスを通してユーザをリダイレクトする。この構成は、アクセスをサフィックスプロキシのユーザに制限するために、SaaSアプリケーションのアクセス制御機能を使用することができる。IP制限機能は、マネージド通信ネットワーク・プロキシ・サービス内に配置されたIPアドレスのみにアクセスを制限することを可能にすることができる。
[75]非透過的な配備方法
[76]モバイルおよびデスクトップアプリケーションは、トラフィックをマネージド通信ネットワーク・プロキシ・サービスを通してリダイレクトするために、ユーザのデバイスに対するインストールまたは構成変更を使用することによって個別に構成され得る。
[77]A.SAMLプロキシ:上で説明されたSAMLプロキシを使用して、ユーザは、マネージド通信ネットワーク・プロキシ・サービスと通信するようにユーザがデバイスをインストールおよび/または構成することを要求するページにリダイレクトされ得る。
[78]B.デスクトップアプリケーション(トラフィックレイヤ):ほとんどのデスクトップアプリケーションは、システム・プロキシ構成をサポートする。PACファイルは、マネージド・デバイスについては自動構成され得、アンマネージド・デバイスについてはユーザ構成され得る。PACは、主要なオペレーティングシステム(OS)、ブラウザ、およびアプリケーションによってサポートされ、グループ・ポリシ・オブジェクト(GPO)を使用して、Windowsドメイン環境内に配備され得る。PACファイルは、SaaSトラフィックのみがマネージド・プロキシ・ネットワーク・プラットフォームを通ることを可能にするように構成され得、ユーザのインターネットトラフィックの残りは、変わることなく直接的にルーティングされ得る。
[79]C.モバイルアプリケーション(トラフィックレイヤ):マネージド・デバイスのためのPAC方法と同様に、モバイル・デバイスは、デバイス上へのVPNまたはAPNのインストール、およびマネージド・プロキシ・ネットワーク証明書を必要とし得る。
[80]アプリケーション固有のソリューション:いくつかのアプリケーションは、シームレスなリダイレクションを可能にする特定の構成オプションを有する。例えば、Outlook自動発見機能を使用して、Outlookクライアントは、マネージド・プロキシ・ネットワークOutlookプロキシに自動的にリダイレクトされる。
[81]マネージド・ネットワークおよびデバイスのための配備方法
[82]いくつかの実施形態では、マネージド・ネットワーク・プロキシは、ユーザの敷地上の設備内で具体化され得る。他の実施形態では、マネージド・ネットワーク・プロキシ機能は、ウェブブラウザアドオンを通して達成され得る。ブラウザアドオンは、SaaSアプリケーションがひとたびブラウザ内で検出されると、トラフィックがマネージド・プロキシ・ネットワークにリダイレクトされる点で、PACファイルのように動作するように構成され得る。
[83]いくつかの実施形態は、プロキシ・チェイニングを使用するように構成され得、それによって、既存の組織プロキシは、SaaS行きの要求をマネージド通信ネットワーク・プロキシ・サービス・インフラストラクチャを通して転送するように構成される。これらの実施形態は、転送される要求とともに、組織識別子(ユーザ名および/またはIP)を任意選択で含むことができる。
[84]いくつかの実施形態では、PACファイルが使用され得る。PACは、組織のいたるところに配備され得る。SaaSアプリケーションをマネージド通信ネットワーク・プロキシ・サービスにリダイレクトするために、PACが使用され得る。これは、SaaSプロバイダのデータベースに基づくことができる。ドメイン名に基づいてツリーに編集されたドメインのリストを有する効率的なPACが使用され得る。
[85]上で説明されたこれらの構成のいずれでも、特定のユーザまたはユーザのグループ上にプラットフォームが動的に配備され得、それによって、漸進的な配備を可能にする。これは、SAMLプロキシに基づいて、例えば、ユーザのいくつかのみを再ルーティングすることによって行われ得る。
[86]システム可用性
[87]図4に示されるように、プラットフォームは、複数の異なるネットワークを含むことができ、待ち時間短縮のために世界中に(例えば、示されるように5つのセンタに)分散されたプロキシノードを含む。ユーザは、最も近いノードまたは別の最適なノードにルーティングされ得る。システムは、ノード間に自動DNSフェイルオーバを含むことができる。ノードのいずれかが、ポリシ実施ポイントとして機能し、監査ログを生成することができる。非限定的な例として、バックエンド・ネットワークは、中央データベースおよびバックエンドサーバを含むAWS仮想プライベートクラウド(VPC)とすることができる。
[88]DNS高可用性
[89]フェイルオープンルーティングを示す例示的なネットワーク・プロキシ・アーキテクチャが、図5に示されている。プロキシノード・ネットワークは、高可用性を実装するために、DNSサーバを使用することができる。DNS記録は、非常に短い有効期間(TTL)(例えば、30秒)に設定され得、定期的に更新のためにDNSサーバに問い合わせを行うようにクライアントに強制する(問い合わせ時間は、ブラウザのキャッシュ設定に応じて変わり得る)。サーバは、利用可能な最も近いノードにクライアントを向かわせ(Geo−DNS)、ノード障害の場合、問題を検出し、クライアントを他の利用可能なノードにシームレスにリダイレクトすることができる。
[90]DNSサーバ自体の可用性が、説明された挙動に影響し得る。例えば、AmazonによるRoute53は、高可用性を保証する成熟した高度に利用可能なシステムであると考えられる。DNSサーバ自体がダウンした場合、システムは、フェイルオープンするように構成され得る。
[91]自律ノード
[92]プロキシノードは、様々な世界中の地域において、クラスタ化して構築され得る。ノードのいくつかまたはすべてが、同時にオンラインになり、顧客にサービスすることができる。障害の場合、ノードは、ステートレスであり、いかなるサービス中断も引き起こさずに、システムがユーザをノード間で移動させることを可能にする。
[93]ノードは、自律的で回復力を有することができる。図6に示されるように、プロキシノードは、ロードバランサのクラスタと、複数の(例えば、2つまたは3つの)プロキシノードとから構成され得る。中央ノードのいくつかは、クラウド・プロバイダ自体(例えば、ELBおよびRackSpace)によって提供される外部ロードバランサに依存することができ、さらに大きい回復力を可能にする。各ノードは、プラットフォームの他の部分にいかなる依存もせずに、自律的に機能することができる。バックエンド・ネットワークとの通信は、ブローカ・メッセージを使用して実行され、完全に非同期とすることができる。バックエンド障害の場合、メッセージは、サイズに上限のある待ち行列内に内部的に記憶され、ノード自体の動作は、影響を受けない。図6に示される例示的な実施形態では、各ノードは、ロードバランサのクラスタと、いくつかのプロキシサーバとから構成され得る。ビルトイン分散型サービス妨害(DDoS)防御を備えた(AWSおよびRackspaceロードバランサなどの)外部ロードバランサを使用する(ロードバランサはトラフィックをルーティングし、SSLターミネーションを実行しなくてもよい)、(米国西部、米国東部、ヨーロッパ、および中東など)複数の中央ノードが存在し得る。DDoS攻撃の場合、トラフィックは、最も近い中央ノードに自動的にルーティングされ得る。
[94]フェイルオーバ・シナリオ
[95]システムは、多くの異なるフェイルオーバ・シナリオを取り扱うように構成され得る。いくつかの可能なシナリオおよび解決が、以下で説明される。
[96]単一マシン・フェイルオーバ:この場合、DNSは、要求を最も近いノードにルーティングする。各ノードは、独立に動作し、内部的にフェイルオーバを取り扱う。
[97]内部プロセスの障害:十分な冗長性は、マシンレベルから開始し、そこでは、各クリティカルプロセスは、ウォッチドッグによって監視され、直ちに再開される。クリティカルプロセスは、常に動作中のいくつかのインスタンスを有する。すべての非クリティカル動作は、非同期に実行される。
[98]プロキシサーバの障害:これは、トラフィックをノード内の他のプロキシに向かわせる。
[99]ロードバランサ・サーバの障害:これは、すべてのトラフィックがクラスタ内の第2のロードバランサを通過するようにさせる。
[100]単一プロキシノード・フェイルオーバ:単一ノード障害は、データセンタ停電またはISP接続性問題によって引き起こされ得る。ノードが応答できない場合、DNSフェイルオーバは、ユーザに混乱を与えずに、トラフィックを次の利用可能なノードにルーティングする。
[101]地域的フェイルオーバ:複数のノードに影響する地域的な問題の場合でさえも、システムは、通常動作を続行する。DNSフェイルオーバは、トラフィックを他の地域内の残りの機能中ノードにルーティングする。影響を受ける地域のユーザは、通常よりも長い待ち時間を経験することがあるが、僅かな程度である。
[102]中央ノード・フェイルオーバ:DNSサーバは、利用可能なノード間のロード・バランシングを実行するが、異常な急上昇が、補助ノードに影響する連鎖反応を引き起こすことがある。この理由で、複数の障害の場合、トラフィックは、異常なトラフィック急上昇を取り扱うように特に設計された中央ノードにルーティングされる。
[103]さらなる特徴
[104]マネージド・ネットワーク・プロキシ・サービスは、非限定的な例として、ビジネスアナリティクス、アドプション統計、フィーチャ使用、ライセンス利用、ユーザエンゲージメント、およびサービスレベル・アグリーメント(SLA)モニタリングに関連するメトリックをさらに提供するように構成され得る。
[105]サービスは、SaaSサービスのための指令および制御センタ、警告センタ、ならびに使用統計センタも含むことができる。サービスは、ユーザのロールおよびレルムに従って、各ユーザをデータにアクセス可能にすることを実施する、ロール実施を実行することができる。サービスは、事前決定された日次使用パターンに従って、SaaSプロバイダへのいくつかのバックエンド接続を維持するために、動的SSLプーリングを実行することができる。
[106]マネージド・ネットワーク・プロキシ・サービスおよび他の機能のための例示的な管理コンソールが、図7〜図10に示されている。
[107]脅威検出ロジック
[108]上で説明されたシステムおよび方法を使用して、ネットワーク接続されたSaaSプロバイダとクライアントデバイスとの間のネットワークトラフィックは、プロキシノードにおいて途中で捕えられ得る。プロキシノードは、脅威検出ロジックを使用して、様々な脅威インジケータについてトラフィックを分析するようにさらに構成され得る。
[109]脅威検出についての方法の概要が、図11に示されている。セキュリティゲートウェイ(1011)は、ユーザのネットワークトラフィックがそれを通して搬送されるプロキシノード(1010)の1つまたは複数におけるアルゴリズムルーチンとして実装され得る。代替として、セキュリティゲートウェイは、トラフィックがそれを通して搬送される別個のデバイスにおいて具体化され得る。ユーザトラフィックは、プロキシノードに接続された任意の送信元と送信先との間に存在し得る。ユーザの非限定的な例は、オンプレミスユーザ、インターネットユーザ、パートナユーザ、またはモバイルユーザとすることができる。
[110]セキュリティゲートウェイ(1011)は、ユーザトラフィックから様々なパラメータを抽出するように構成され得る。以下の非限定的な例が提供される。セキュリティゲートウェイは、ユーザデバイスを記述する情報を抽出するように構成され得る。非限定的な例として、デバイスパラメータは、iPadもしくはSurfaceタブレットなどのデバイスのタイプ、Windows RTもしくはiOSなどのデバイスのオペレーティングシステム、および/またはChromeもしくはExplorerなどの使用されるウェブブラウザを含むことができる。セキュリティゲートウェイは、ユーザのデバイスのロケーションを記述する情報を抽出するように構成され得る。ロケーション情報は、物理的/地理的ロケーション、および/またはネットワーク上の論理的ロケーションを記述することができる。セキュリティゲートウェイは、ユーザによって取られるアクション(例えば、データを求める要求)、および/またはSaaSプラットフォームによる応答(例えば、要求されたデータの送信)に関する情報を抽出するように構成され得る。セキュリティゲートウェイは、(タイプに加えて)ユーザのデバイスの識別情報、ユーザのアクティビティの時間、およびユーザのアクションによって消費される帯域幅に関する情報を抽出するようにも構成され得る。
[111]セキュリティゲートウェイは、SaaSプロバイダに接続するためにユーザによって使用される任意の通信デバイスを検出および識別するようにも構成され得る。個々のSaaSセッションがそのセッションのために使用される特定のデバイスと関連付けられ得るように、デバイス識別情報が、ユーザのアクセス履歴と関連して記録され得る。記憶される識別情報は、国際モバイル機器識別番号(IMEI)、電話番号、媒体アクセス制御(MAC)アドレス、インターネット(IP)プロトコルアドレス、または他の一意的もしくは実質的に一意的な識別情報を含むことができる。このデバイス識別情報は、複数のユーザセッションにわたって追跡され、および/または関連付けられたユーザプロファイルと関連して記憶される。その後、以降の問い合わせは、単一のセッションにおいて、または複数のセッションにわたって、与えられたSaaSサービスにアクセスするために与えられたユーザによってどのデバイスが使用されたかを決定するために実行され得る。
[112]トラフィックパラメータが、検出モジュール(1012)に入力され得る。検出モジュールは、ユーザプロファイル・データストアから、ユーザプロファイル情報に基づいた入力を受け取ることもできる。ユーザプロファイル情報は、そのトラフィックが分析されるユーザについての情報を含むことができる。非限定的な例として、ユーザ情報は、検出モジュールから供給され得る。検出モジュールは、特定のセキュリティ脅威についての情報などの他の情報を含む知識ベースから入力を受け取ることもできる。好ましい実施形態では、知識ベースは、構成要素としてクラウド・サービス・インデックス(1015)を含むことができる。いくつかの実施形態では、検出モジュール(1012)は、セキュリティゲートウェイ(1011)の構成要素として含まれ得る。代替的な実施形態では、検出モジュール(1012)は、セキュリティゲートウェイ(1011)と通信する別個の構成要素とすることができる。
[113]脅威検出モジュール(1012)は、プロファイリングエンジン、距離ベースの異常エンジン、および統計ベースの異常エンジンを含むことができる。統計的異常エンジンは、短期および/または長期統計情報の組合せに基づいて、脅威評価を行うように構成され得る。各エンジンは、上で説明されたトラフィックパラメータのいずれかまたはすべてを受け取ることができる。エンジンの各々は、他のエンジンから引き出された入力を受け取ることもできる。
[114]異常エンジン
[115]異常エンジンは、特定の異常動作、一連の異常動作、および/または異常動作のパターンを検出するように構成され得る。例えば、エンジンは、ユーザまたはSaaSプロバイダによって実行される特定の動作が疑わしいかどうかを、学習時間にわたって獲得された履歴データが予想するそれの実行よりも高頻度でそれが実行されること(例えば、より高い動作率など)、または接続が新しい送信元もしくは送信先ロケーションを有することに基づいて決定するように構成され得る。異常エンジンは、ユーザによる一連の操作が疑わしいかどうかを決定するようにも構成され得る。いくつかのケースでは、個々の操作は疑わしくないことがある。しかしながら、その操作が別の操作と一連で実行される場合、その1組の操作が疑わしいことがある。例えば、ユーザは、SaaSプロバイダに対して認証を行い、その後、システムの外にファイルを転送し始めることがある。例として、異常エンジンは、このシーケンスを疑わしいとして識別するように構成され得る。したがって、疑わしいトラフィックの異常検出は、いくつかの操作から構成され得る一連のアクティビティに基づくことができる。異常エンジンは、シーケンス通りでない操作のパターンが疑わしいかどうかを決定するようにも構成され得る。疑わしいパターンの検出において、異常エンジンは、シーケンスを外れて任意の時間期間にわたって取られたアクションを検査するように構成され得る。個々の操作、一連の操作、および操作のパターンの疑わしさは、本明細書で説明されるパラメータのいずれかに基づいて決定され得る。
[116]異常は、1つまたは複数のパラメータを以前に記憶されたプロファイル情報と比較することに基づいて検出され得る。非限定的な例として、プロファイル情報は、ロケーション、アクティビティの時間(1日の時間、曜日など)、デバイス使用、ユーザエージェント(タイプおよびバージョン)、アクション/要求の頻度、実行されるアクションのタイプ、実行されるアクションの順序、アクセスされる情報のタイプ、トラフィック帯域幅、セッション特徴(長さ、アイドル時間など)、ならびに/またはHTTP要求特徴(どのリソースがアクセスされるか、方法、ヘッダ、大文字表記など)を含むことができる。
[117]クラウド・サービス・インデックス
[118]脅威検出ロジックは、任意の与えられたSaaSプロバイダについてのSaaSアプリケーション・リスク因子を組み合わせた1組のパラメータを含む、クラウド・サービス・インデックス(1015)を含むことができる。例示的なパラメータセットが、図12に示されている。リスクレベル評価は、限定することなく、以下のものを含む、ソースのいくつかまたはすべてからの情報に基づくことができる。
[119]1.非限定的な例として、白書、認証などから供給される、そのセキュリティポリシに関する、SaaSプロバイダによって提供される情報。
[120]2.SaaSプロバイダ、クライアント、および他の環境因子に関する独自研究。ならびに/または
[121]3.セキュリティゲートウェイによって途中で捕えられたトラフィックの分析に基づいた、検出モジュールによって識別された、脆弱性および/もしくはクライアントのSaaSアプリケーションに対する攻撃の履歴。
[122]リスクは、限定することなく、以下のものを含む、1つまたは複数の軸に関して測定され得る。
[123]1.データリスク:マルチテナントおよび非暗号化データの使用など、SaaSが保有するデータに課されるリスク。
[124]2.ユーザ/デバイスリスク:例えば、認証品質、匿名使用能力などを含む、接続されたユーザおよびデバイスによって課されるリスク。
[125]3.サービスリスク:プロバイダが実行するように主張するセキュリティ実施の品質、ウェブアプリケーション・セキュリティレベル、脆弱性管理など、サービスプロバイダのネットワークに課されるリスク。ならびに
[126]4.ビジネスリスク:プロバイダがそのクライアントに許可する制御、および例えば、監査能力、企業管理制御、および運用実施を含む、サービスの使用を保護するためのこれらの制御手段の能力。
[127]例示的なリスク因子のリストが、図12に提供されている。表に示されるように、いずれのリスクも、その軸、カテゴリ、属性、記述、属性値、および/または(スコアもしくは重み付けなどの)インデックス値に基づいて識別され得る。
[128]識別およびプロファイリングエンジン
[129]脅威検出ロジックは、ユーザおよびデバイスの識別およびプロファイリングのためのモジュール(1013)を含むことができる。プロファイリングモジュールは、現在のユーザを識別するために、途中で捕えられた証明書を使用することができる。モジュールは、以下の特徴のいくつかまたはすべてを識別するために、受動トラフィック記録に基づいた、組織およびユーザプロファイリングを実行することができる。
[130]単一ユーザ使用パターンを含む、組織階層および挙動。
[131]管理者、経営者、および/または異なる部門を検出する、会社ロール。
[132]異なる支店および/もしくは事務所ロケーション、ならびに/または従業員の自宅ロケーションを検出する、会社ロケーション。
[133]会社レベルおよび/または単一ユーザレベルについての、1日の時間、曜日、1年の月、および特別な場合におけるユーザアクティビティの分布。ならびに
[134]日常のロケーション、アクティビティ時間、アプリケーション、および使用パターンを含む、日常のユーザ慣例。
[135]デバイス識別およびプロファイリングモジュールは、以下のものから引き出される情報に基づいて、セッションおよびブラウザにわたってユーザデバイスを区別および識別するようにも構成され得る。
[136]デバイス識別情報、ユーザ識別情報、およびユーザがログインした任意のSaaSアプリケーションについてのセッション情報を保有する指定されたセッションクッキーを用いてセッションを追跡すること。
[137]プロキシを通してアクセスするデバイスを識別するためのページへのJavaScriptインジェクション。
[138]同じデバイス上の異なるブラウザから管理されるセッションを結び付けるためのクロスブラウザ・ストレージ。ならびに
[139]セッション、デバイス、およびそれらの間のリンクを追跡し続けるための統合識別情報データベース。
[140]フィードバック
[141]脅威特徴付けロジックは、セキュリティ警告のための監視された学習モデルを構築するための方法を含むことができる。システムは、警告上でフィードバックを収集し、ITおよび従業員の両方を関与させ、疑わしいパターンについてユーザに問い合わせを行うことによって動的にユーザプロファイルを構築し、および/またはユーザが疑わしく(例えば、不正ユーザと)思える場合、監視者を関与させることができる。
[142]仮想ネットワーク
[143]好ましい実施形態では、上で説明されたシステムは、模擬組織が様々なSaaSアプリケーション上でアクティビティを実行し、セキュリティゲートウェイによってモニタリングされる、別個の仮想ネットワーク(1020)と通信することができる。その実施形態では、仮想ネットワークは、研究およびテスト目的で維持される孤立ネットワークとすることができる。他の実施形態では、仮想ネットワークは、組織ネットワークモニタリングおよび脅威検出システムに組み込まれ得る。模擬組織の特徴および使用パターンは、本当の組織からの情報を用いて較正され得、その後、それらは、セキュリティゲートウェイによって記録される。検出モジュールをテストするために、異常が模擬トラフィック内にランダムに挿入され得る。異常は、疑わしい挙動パターンまたは攻撃を表すことができる。異常は、セキュリティゲートウェイによって記録された実際の異常、および自然に存在し、独自研究によって発見される異常を含む、様々なソースから収集され得る。
[144]仮想ネットワークは、ストレス下のシステムの異なる構成要素をテストし、フォールスポジティブ率およびフォールスネガティブ率を測定するためばかりでなく、将来のセキュリティ機能についての研究を実行するためにも使用され得る。
[145]仮想ネットワークは、仮想クライアント(1021)、ならびにセキュリティゲートウェイ(1022)、検出モジュール(1023)、および警告エンジン(1024)の別々のインスタンス化を含むことができる。警告エンジン(1014)において行われるべき変更は、最初に仮想警告エンジン(1024)上でテストされ得る。
[146]リスク/脅威重み付け
[147]図12に提供される例に示されるように、識別されたリスクは、クラウド・サービス・インデックス(1015)内のインデックス値と関連付けられ得る。このインデックス値は、各々に関連するリスク因子に重み付けするために使用され得る。いくつかの実施形態では、複数のリスク因子が一緒に評価され得る。非限定的な例として、ネットワークトラフィックにおいてある時間期間にわたって識別された脅威についてのインデックス値は、数値脅威インジケータを提供するために合算され得る。
[148]応答アクション
[149]リスク重み付けが、検出モジュール(1012)および/または警告エンジン(1014)に提供され得る。その後、検出モジュールは、重み付けされた脅威情報に全面的または部分的に基づいて、ネットワークトラフィックに対してアクションを取ることができ、その後、警告エンジンは、クライアント(1001)またはSaaSプロバイダ(1030)に警告を行うことができる。いくつかの実施形態では、検出モジュールは、検出モジュール(1012)の出力に基づいて、SaaSプロバイダ(1030)からクライアント(1001)に送信されたパケットをドロップするように命じる命令をセキュリティゲートウェイ(1011)に提供することができる。
[150]発見モジュールアーキテクチャ
[151]いくつかの実施形態では、発見モジュールは、ネットワークベースのサービス型ソフトウェア(SaaS)プロバイダとクライアントとの間のネットワークトラフィックを検査するように構成され得る。これらの実施形態では、システムは、クライアントデバイスまたはネットワークに対して行われていたいかなる制御または制限も行われずに、クライアントコンピューティングデバイスが(インターネットなどの)公衆ネットワークを通してSaaSプロバイダに接続される場合、SaaSプロバイダとそのコンピューティングデバイスとの間のそのようなトラフィックに対して動作するように構成されることが可能である。これらの実施形態のいくつかでは、クライアントデバイスの構成は必要ではない。発見モジュールは、SaaSアプリケーションデータベースを含むことができ、その内容は、以下でより詳細に説明される。
[152]それらの実施形態のいくつかでは、発見モジュールは、マネージド通信ネットワーク・プロキシ内で具体化され得る。本明細書では、プロキシに対して言及されることがあるが、プロキシは、1つまたは複数のネットワークデバイスにおいて具体化され得ることが理解される。さらに、マネージド・ネットワーク・プロキシは、非集中化され得、マネージド・ネットワーク・プロキシの機能は、様々な地理的地域にある複数のマシンにわたって分散され得る。
[153]他の実施形態では、発見モジュールは、ネットワークベースのサービス型ソフトウェア(SaaS)プロバイダとクライアントとの間を通るネットワークトラフィックを直接的に検査するようには構成されない。これらの実施形態では、発見モジュールは、ネットワーク上の任意のデバイスからSaaS発見アクティビティを開始することができる。発見モジュールは、アプレットサーバおよびSaaSアプリケーションデータベースを含むことができ、それらの内容は、以下でより詳細に説明される。
[154]SaaS環境の発見
[155]発見モジュールは、独立デバイス上に常駐するか、それともネットワーク・プロキシ内に常駐するかにかかわらず、任意のSaaS環境についてのアクセスおよび使用パターンを識別するように構成され得る。本明細書で使用される場合、SaaS環境は、SaaSプラットフォーム、プラットフォーム上で実行もしくはインストールされる任意のアプリケーション、プラットフォーム上に記憶されるデータ、および/または単独のもしくは他の因子と組み合わされる構成パラメータを含むことができる。
[156]SaaS環境の発見についての例示的なシステムおよび方法が、図13に示されている。示されるように、クライアントコンピュータは、発見機能を実行するための十分な特権を有する管理者または類似のタイプのユーザとすることができる。発見モジュールは、アプリケーション、アプレット、プラグイン、または他の形態のコードなど、クライアントデバイス上の実行可能命令として具体化され得る。いくつかの実施形態では、クライアントは、任意の組織コンピュータ上で動作し、スナップショットレポートを生成するように構成された(Javaアプレットなどの)アプリケーションをダウンロードおよび実行することができる。加えて、システムは、組織コンピュータまたはクライアントコンピュータのバックグラウンドで動作し、SaaSの連続モニタリングを可能にするサービスを使用する、連続発見のために構成され得る。
[157]システムは、任意の数の広範なSaaSアプリケーションおよびそれらの特徴を表すデータを記憶するためのSaaSアプリケーションデータベースを含むことができる。非限定的な例として、アプリケーションデータベースは、記録の中でもとりわけ、任意のプラットフォーム上で使用されることが知られている任意のSaaSアプリケーションについての記録を含むことができる。記録は、複数のデータソースから定期的に(例えば、毎日)更新され得る。
[158]SaaSアプリケーション記録は、特定のSaaSおよび/またはSaaSアプリケーションのセキュリティレベルを定める様々なメトリックを含むことができる。非限定的な例として、記録されたメトリックは、データが暗号化されて記憶されるかどうか、SSL暗号化レベル、ビルトインセキュリティ機能の存在の有無、データベースおよびデータセンタのロケーションなどを含むことができる。
[159]システムは、上で説明されたメトリックのいずれかに基づいて、与えられたSaaSプラットフォームまたはアプリケーションについてのリスク評価発見を自動的に実行するように構成され得る。クラウド・サービス・リスク発見プロセスは、SaaS環境の受動的発見および/または能動的発見を実行するための手順を実行することができる。
[160]受動的発見
[161]いくつかの実施形態では、受動的発見プロセスは、どのSaaSアプリケーションおよび/またはデータストアが、ユーザによってアクセスされたか、またはユーザによってアクセスされることを引き起こしたかを決定するために使用され得る。
[162]システムは、ローカル構成ドメインネームシステム(DNS)サーバが、公的か、それとも組織的かを(パブリックDNSサーバのオープンリストに基づいて)決定するように構成され得る。組織的である場合、システムは、特定のSaaSドメインについて企業DNSサーバに(非反復的に)問い合わせを行うことができる。応答に基づいて、システムは、特定のアプリケーション、ファイル、またはデータセットがその企業ネットワークの内部から最近アクセスされたかどうかを決定することができる。問い合わせが成功した場合、システムは、企業から最近アクセスが行われたと決定することができる。そうではなく、問い合わせが成功しなかった場合、システムは、企業から最近のアクセスが行われなかったと決定することができる。
[163]能動的発見
[164]システムは、あるSaaSがある組織ネットワーク内で利用可能であるかどうかをテストし、それによって、特定のSaaSが組織ネットワーク内でブロックされるかどうかを決定するために、ターゲットを絞った問い合わせを使用するように構成され得る。例えば、発見モジュールは、SaaS上で事前に定められたURLをフェッチしようと試みることができる。フェッチの試みが成功した場合、SaaSは、ブロックされていないと標識付けされ得る。フェッチの試みが成功しなかった場合、SaaSは、ブロックされていると標識付けされ得る。
[165]いくつかの実施形態では、能動的発見は、構成問題についてチェックするために使用され得る。例えば、管理者がSaaSストレージを構成していないことがあるにもかかわらず、ストレージが消費される。
[166]警告
[167]受動的および/または能動的発見プロセスの結果は、発見サーバまたは電子的記憶のための他のロケーションに送信され得る。結果は、自動的および/または手動分析にかけられ得る。
[168]発見プロセスの結果に基づいて、自動的警告およびクラウド使用レポートが生成され得る。例えば、週次および/または月次クラウド使用レポートが、データベース内に記憶された使用データに基づいて自動的に生成され得る。使用された新しいおよびトレンドのクラウド・サービスが、単独で、または詳細なリスク分析と一緒に示され得る。いくつかの実施形態では、高リスクのSaaSアプリケーション使用は、電子メールまたは他の手段による自動警告をトリガすることができる。
[169]SaaSトラフィック捕捉
[170]サフィックスプロキシ実装は、クライアント側でコンテンツが動的に生成されるという問題に直面する。Google Appsプラットフォームなどの最新のウェブアプリケーションは、大量のクライアント側コード(JavaScript)を利用する。基本的なプロキシ機能は不十分であり、クライアント側コードにさらなる介入が必要とされるので、これは、サフィックスプロキシ実装をより一層難しくし得る。
[171]本明細書で説明されるように、サフィックスプロキシは、プロキシされたウェブページのURLおよびウェブアクセスをプロキシの保有内に保持するために使用され得る。これは、ページ上のURLにサフィックスを追加することによって行われる。静的ページ(例えば、クライアント実行可能なJavaScriptコードを含まないページ)の状況では、これは、プロキシによってサーバ側で行われ得る。方法は、HTMLを解析し、ページ上のURLを置き換えるために正規表現を使用することを伴う。
[172]マネージド・ネットワーク・プロキシは、トラフィックを検査し、SaaSインターネットアドレスを検出するように構成され得る。いくつかの実施形態では、マネージド・ネットワーク・プロキシは、(ユニフォーム・リソース・ロケータ、ユニフォーム・リソース・アイデンティファイアなどの)インターネットアドレスについてネットワークトラフィックを検査するように構成され得る。非限定的な例として、ネットワーク・プロキシは、検査のために、ネットワークトラフィックを逆コンパイルし、分解し、または逆アセンブルすることができる。マネージド・ネットワーク・プロキシは、SaaSリソースに直接的にアクセスして、マネージド・ネットワーク・プロキシをバイパスするようにクライアントデバイスに指示するユーザデバイスに、ネットワークアドレスが提供されないように、クライアントデバイスとSaaSプロバイダとの間のネットワークトラフィックを変更するように構成され得る。SaaSインターネットアドレスが検出された場合、そのアドレスは、ネットワーク・プロキシ・サービスのためのドメイン名を元のネットワークアドレスに追加することによって、ネットワーク・プロキシにおいて、あるアドレスに書き換えられ得る。
[173]サフィックスプロキシは、以降の要求がサフィックスプロキシによって取り扱われるように、SaaSサーバ応答を処理することによって、捕捉ページ処理のために構成され得る。処理は、ファイルタイプおよび応答タイプに依存し得る。非限定的な例として、処理されるファイルタイプは、HTMLまたはJavaScriptを含むことができ、応答は、gzip圧縮された応答またはチャンク化された応答を含むことができる。サフィックスプロキシは、SaaSプロバイダから送信された、ウェブページを含む、任意のコンテンツをエミュレートするように構成され得る。サフィックスプロキシは、任意のコンテンツを検査および/または逆コンパイルして、コンテンツ内に存在する任意の参照ページおよび/またはURLを識別し、それらのURLを書き換えるように構成され得る。
[174]いくつかのケースでは、検査は、クライアントとSaaSプロバイダとの間で転送されるコードまたはスクリプトを実行することを必要とする。例えば、SaaSプロバイダに直接的にアクセスするネットワークアドレスの生成を検出するために、JavaScriptが、ネットワーク・プロキシにおいてエミュレートされ得る。コンテンツ内で直接アクセスアドレスが識別された場合、ネットワーク・プロキシを参照するようにアドレスを書き換えるために、コンテンツが変更され得る。
[175]インタイムJavaScript変換を使用するプロキシ
[176]クライアント側JavaScriptを用いて、ページのドキュメント・オブジェクト・モデル(DOM)に対するランタイム変更が可能であり、結果として、クライアントブラウザが、サフィックス付けされないURLを有する(サーバ側プロキシはそれらを置き換える機会を有さないので)DOM要素を生成または変更することが可能である。ウェブアプリケーションのJavaScriptコードがDOMにアクセスすることを制限するためのシステムおよび方法が、以下で説明される。
[177]制限の性質は、DOM内のウェブURLに対する元のJavaScriptコードからの変更が、プロキシのランタイム構成要素によって監視されるようなものとすることができる。キャッシングを用いて、JavaScriptコードのランタイム実行に対するどのような影響も低減され得る。
[178]URLのDOMへの書き込みはサフィックス付けされ、URLのDOMからの読み取りはサフィックス付けされないような、DOM要素に対する読み取りおよび書き込みアクセスのために、モニタリングコードが起動され得る。結果として、「ユーザ」JavaScriptコード(例えば、ウェブアプリケーション・コード)によって見られるURLと、ブラウザ自体(DOMおよびそれを表すJavaScript)によって見られるURLとの間に分離が存在し得る。結果として、元のJavaScriptコードは、(プロキシを迂回する)元のサーバとの通信が阻止されるように、プロキシ環境内で効果的に維持され得る。
[179]サーバ側プロキシ実装
[180]ウェブアプリケーションの一部としてロードされるJavaScriptコードは、(通常はコンテンツ・タイプが「text/javascript」である)HTMLページおよびJavaScriptファイル内部のインラインスクリプトを含むいくつかの形式のいずれかで、元のサーバから獲得され得る。本明細書で説明されるシステムは、CSSなどの他のタイプのコード、スクリプト、またはコンテンツ上で動作するようにも構成され得る。
[181]一般に、ブラウザは、最初に、メインHTMLページをロードし、次に続いて、すべての参照およびインラインスクリプトをロードする。さらなるJavaScript(またはスクリプトを含むHTML)も、例えば、「eval」ステートメントを使用して、ウェブアプリケーションによって動的にロードされ得る。
[182]動的コードローディングは、静的にロードされたコード(またはかつてロードされた他の動的コード)によって最初に実行されるので、システムは、プロキシサーバ上でページ・ダウンロード・ステージの間に静的JavaScriptコードを変更することによって、実行の制御を行うことができる。コードに対する変更は、上述されたルールを実施するために、途中で捕えられ得るDOMに対するランタイムおよび特定の変更の間に、将来動的にロードされるコードが変更されるように実行され得、それが、ページをプロキシの制御下にとどめることを可能にする。
[183]動的にロードされるコードの変更は、動的に評価されたコードをプロキシに送信し、または動的に評価されたコードを処理のためにプロキシにおいて受信し、その後、新しいコードがクライアントブラウザにおいてロードされることを可能にすることによって達成され得る。キャッシュが行われない動作の例示的な方法が、図14に示されている。いくつかの実施形態では、以下でより詳細に説明され、図15に示されるように、性能を改善するために、キャッシングが利用され得る。
[184]非限定的な例として、少なくとも以下のDOM要素およびプロパティがラップされ得る。
[185]1.URLを含むHTML要素のプロパティ:
a.要素:「IFRAME」、「STYLE」、「LINK」、「IMG」、「AUDIO」、「A」、「FORM」、「BASE」、および「SCRIPT」。
b.それらが適用される場合、各1つについて、プロパティ:「src」、「href」、「action」。
c.上述されたプロパティを設定するために、これらの要素のgetAttributeおよびsetAttributeメソッドも使用され得る。
[186]2.DOMサブツリーを含み得るHTML要素のプロパティ(すなわち、さらなるHTML):
a.要素(およびコード)を動的に追加するために、「appendChild」メソッドが使用され得る。
b.追加のコードを追加するために、「innerHTML」プロパティが使用され得る。
[187]3.URLまたはホスト名を含む「document」オブジェクトのプロパティ:
a.「cookie」、「domain」−両方ともウィンドウの原領域を含むことができる。
b.要素およびコードをページに追加するために、「write」メソッドが使用され得る。
[188]4.XMLHttpRequestオブジェクトの「open」メソッドは、要求URLを含む。
[189]5.「MessageEvent」オブジェクトの「origin」プロパティは、原ホスト名を含む。
[190]6.「Window」オブジェクトのメソッドおよびプロパティ:
a.「location」−フレームを別のURLにリダイレクトすること、またはフレームの現在のロケーションを決定することができる。
b.「postMessage」メソッド−原引数を有する。
c.「eval」および「execScript」−コードを動的にロードするために使用される。
[191]他のそのような要素およびプロパティが存在し、それらのいずれかまたはすべてがラップされ得る。
[192]JavaScriptコードの静的フッキング
[193]インラインスクリプトおよびファイルを含む複数のタイプのコンテンツのために、静的フッキングが使用され得る。プロキシサーバでは、プロキシされたJavaScriptコードが、以下のように処理され得る。
[194]1.HTML内のインラインスクリプトが抽出および処理される。
[195]2.オープンソースの解析ライブラリを使用するMozillaパーサAPI仕様に従って、コードが抽象シンタックスツリー(AST)に変換される。
[196]3.ASTが再帰的に走査され、フッキングを可能にするためにASTのあるノードの周辺にラッパに対する呼び出しが挿入される。
[197]4.コードが、パッチされたASTから再構築され、クライアントブラウザに送信され得る。
[198]5.結果の処理されたコードのキャッシングが実行され得る。
[199]挿入されたラッパは、DOM変更がランタイム中に捕えられることを可能にし得る。ラッパは、いずれかまたはすべての潜在的なDOMアクセスを覆うように適用され得る。
[200]非限定的な例として、ラッパは、以下のASTノードのいくつかまたはすべてに適用され得る。
[201]1.MemberExpression:
a.DOMオブジェクトのオブジェクトプロパティに対する潜在的なアクセスがラップされる。
b.非リテラルキーを用いるサブスクリプション操作がラップされる。
c.プロパティ名が「興味深い」プロパティのホワイトリストに一致する場合、特定のプロパティ(例えば、obj.src)に対するアクセスがラップされる。
d.最終的に、ランタイムラッパは、いずれかの変更が必要であるかどうかを決定する。ほとんどの場合、例えば、「フォールスポジティブ」の場合、ラッパは、何もしないと決定する。
[202]2.Identifier:
a.(window DOMオブジェクトのプロパティ、例えば、「location」である)グローバルIdentifierのホワイトリストに対する潜在的なアクセスがラップされる。
b.Identifier ASTノードは、ツリー内の多くの無関係の論理位置に出現し得る。Identifierがグローバル変数に対するアクセスを表すインスタンスがラップされる。これは、ペアレントノードをチェックし、他のすべてのケースを排除することによって、走査ステージ中に決定される。
[203]3.AssignmentExpression:
a.それまでに「標識付けされた」MemberExpressionおよびIdentifierに対する代入が、「set」アクセスを特に取り扱う別のラッパによって取り扱われる。
b.関連するDOMプロパティは文字列(URL)であり得るので、「=」および「+=」代入演算子がラップされる。
[204]4.CallExpression:
a.それまでに「標識付けされた」MemberExpressionまたはIdentifierが呼び出される側である場合のCallExpressionが、関数呼び出しを特に取り扱う別のラッパによって取り扱われる。
b.ステートメントのように振る舞うが、AST内で関数呼び出しとして表される、「eval」に対する呼び出しを有する特別なケースが存在する。
[205]ラッピング前後の例示的なコード:
[206]ラッパのランタイム挙動
[207]いくつかの異なるラッパ機能が、(AST走査フェーズ中の異なるラッピングケースに従って)定義され得る。
[208]1.wrapped_get、wrapped_set、wrapped_call−異なる使用ケースに従ったMemberExpressionへのアクセスをラップする。
[209]2.wrapped_name_get、wrapped_name_set、wrapped_name_call−異なる使用ケースに従ったグローバルIdentifierへのアクセスをラップする。
[210]3.wrapped_eval_param−(ローカル範囲に影響し得る)「eval」呼び出しのパラメータとして渡されるコードを特に取り扱う。
[211]いくつかの実施形態では、システムは、関連するオブジェクトまたはプロパティに対してラッパが起動されたかどうかを最初に検出することができる。
[212]1.「MemberExpression」ラッパでは、サブスクリプトされたオブジェクトばかりでなく、プロパティ名もホワイトリストと照合される。
[213]2.「Identifier」ラッパを用いる場合も、ホワイトリストが同様に調べられる。
[214]3.オブジェクトは、あるタイプ(「Document」、「Window」、およびHTML要素など)に属することが決定され、適用可能な場合、グローバルインスタンスとも比較される。
[215]これらの比較および検索は、多くの場合、性能に著しい影響を与えずに、効率的に実行され得る。
[216]ラッパ呼び出しは、非限定的な例として、以下のものを含む、様々な手順のいずれか1つを使用して処理され得る。
[217]1.動的にロードされるコードを処理する。
a.以下で説明されるように、変換およびキャッシングのために、新しいJavaScriptコードが、プロキシの特別なREST APIエンドポイントに送信される。
b.これは、「appendChild」、「innerHTML」、「eval」、「execScript」、および「write」のラッパにおいて発生し得る。
[218]2.URLまたはホスト名にサフィックス付けする、またはサフィックス付けしない。
[219]3.フォールスポジティブなラッパ起動を検出し、通常実行を再開する。
[220]URL関連のプロパティまたはメソッドに対するDOMアクセスを取り扱うことを担うラッパハンドラは、例えば、以下の論理グループに分類され得る。
[221]1.getter−「get」ラッパを取り扱う。これらは、取り扱われるURLにサフィックス付けしない。
a.メソッド(JavaScriptタイプの「関数」)がアクセスされる場合、「decorator」が返される(以下を参照)。
[222]2.setter−これらは、「set」ラッパを取り扱う。それらは、割り当てられたURLにサフィックス付けする。
[223]3.decorator−これらは、「call」ラッパを取り扱う。それらは、デコレートされるメソッドが何であるかに従って、URLにサフィックス付けする、またはサフィックス付けしない、ラップされたメソッドのための一致するdecorator関数を返す。
a.このdecoratorは、JavaScriptの「bind」メソッドを使用して、正しいオブジェクトにバインドされ得る。「Identifier」ラッパの場合、正しいオブジェクトは、グローバルオブジェクト(いくつかのケースでは、window)である。「MemberExpression」ラッパの場合、これは、サブスクリプトされるオブジェクトである。
[224]性能上の影響および最適化
[225]いくつかのケースでは、JavaScript JITコンパイラがブラウザにおいてコードを最適化することを妨げる、大きなスクリプトおよびランタイムラッパ上でのJavaScript変換およびAST走査に起因する、そのいくつかがプロキシされたウェブアプリケーションのユーザによって経験され得る、本明細書で説明されるプロセスの実行からこうむる性能上の影響が存在し得る。
[226]変換フェーズのオーバヘッドを改善するために、キャッシュが実装され得る。
[227]1.サーバ側では、変換されたJavaScriptコードの要素(例えば、インラインスクリプト、ファイル、または動的変換要求)が、サーバ毎にローカルにキャッシュされる。
[228]2.エントリは、元のコードの暗号ハッシュによって鍵をかけられる。
[229]3.したがって、キャッシュは、プロキシのユーザの間で共用される。このようにすることで、サーバ毎に最初のユーザだけが、共通でロードされるスクリプトのための変換フェーズの影響を経験する。
[230]4.動的スクリプト変換RESTエンドポイントは、クライアント側で計算されたハッシュを受け入れ、それを使用してキャッシュ内での検索を実行するようにも構成され得る。これは、プロキシのユーザのためのアップロード帯域幅の使用を低減することができる。この構成では、動的に生成されるスクリプトは、(初回を除いて)実際にはほとんどプロキシに送信されなくてよい。
[231]5.加えて、(ハッシュ毎の)動的変換要求に対する応答が、結果がクライアントのブラウザによってキャッシュされるように、「Cache−Control」および「Expires」HTTPヘッダを用いて返される。この方法では、クライアントが、同じ動的に生成されたスクリプトを求めて、プロキシサーバに2回以上の問い合わせを行う必要が生じる可能性は低い。
[232]上の最適化が与えられた場合、変換フェーズの影響は、通常の使用ケースから大幅に低減させることができる。
[233]ラッパのランタイム実行の影響は、以下のいくつかまたはすべてによって軽減され得る。
[234]1.(コードレベルで)無関係/フォールスポジティブなラッパ起動についての最適化された高速経路を作成すること。これは、ブラウザのJITコンパイラによって容易に最適化されるJavaScriptの制限されたサブセットを用いて基本ラッパ機能を書くことによって達成される。
[235]2.最多のキャッシュヒットを有するコード経路のプロファイリングおよび検出を可能にし、プロキシの内部キャッシュ内の変換されたコードからあるラッパを(手動で)取り除くことを可能にする人的保守インターフェース。
[236]システム実施
[237]本明細書で説明されるシステムおよび方法は、ソフトウェア、ハードウェア、またはそれらの任意の組合せで実装され得る。本明細書で説明されるシステムおよび方法は、物理的または論理的に互いに分離されてもよく、または分離されなくてもよい、1つまたは複数のコンピューティングデバイスを使用して実施され得る。加えて、本明細書で説明される方法の様々な態様は、他の機能に組み合わされても、または合併されてもよい。
[238]いくつかの実施形態では、システム要素は、組み合わせて単一のハードウェアデバイスにすること、または分離して複数のハードウェアデバイスにすることができる。複数のハードウェアデバイスが使用される場合、ハードウェアデバイスは、物理的に互いに近接して、または互いに遠く離して配置され得る。
[239]方法は、コンピュータまたは任意の命令実行システムによって使用するための、またはそれらと関連があるプログラムコードを提供する、コンピュータ使用可能またはコンピュータ可読記憶媒体から入手可能なコンピュータプログラム製品において実装され得る。コンピュータ使用可能またはコンピュータ可読記憶媒体は、コンピュータ、または命令実行システム、装置、もしくはデバイスによって使用するための、またはそれらと関連があるプログラムを格納または記憶することができる、任意の装置とすることができる。
[240]対応するプログラムコードを記憶および/または実行するのに適したデータ処理システムは、メモリ要素などのコンピュータ制御のデータ記憶デバイスに直接的または間接的に結合された、少なくとも1つのプロセッサを含むことができる。(限定することなく、キーボード、ディスプレイ、ポインティングデバイスなどを含む)入力/出力(I/O)デバイスが、システムに結合され得る。データ処理システムが、介在するプライベートまたはパブリックネットワークを通して、他のデータ処理システム、またはリモートプリンタもしくは記憶デバイスに結合されることを可能にするために、ネットワークアダプタも、システムに結合され得る。ユーザとの対話を可能にするために、CRT(ブラウン管)、LCD(液晶ディスプレイ)、またはユーザに情報を表示するための別のタイプのモニタなどの表示デバイス、キーボード、およびユーザがそれによってコンピュータに入力を提供することができるマウスまたはトラックボールなどの入力デバイスを用いる機能が、コンピュータ上で実装され得る。
[241]コンピュータプログラムは、コンピュータ内で直接的または間接的に使用され得る1組の命令とすることができる。本明細書で説明されるシステムおよび方法は、Perl、Python、JAVA(商標)、C++、C、C#、Visual Basic(商標)、JavaScript(商標)、PHP、Flash(商標)、XML、HTMLなどのプログラミングおよび/もしくはマークアップ言語、またはコンパイル型もしくはインタープリタ型言語を含むプログラミングおよび/もしくはマークアップ言語の組合せを使用して実装され得、スタンドアロンプログラム、またはモジュール、コンポーネント、サブルーチン、もしくはコンピューティング環境における使用に適した他のユニットを含む任意の形態で配備され得る。ソフトウェアは、限定することなく、ファームウェア、常駐ソフトウェア、マイクロコード、などを含むことができる。プログラミングモジュール間のインターフェースを実装する際には、SOAP/HTTP、JSON、SQLなどのプロトコルおよび規格が使用され得る。本明細書で説明されるコンポーネントおよび機能は、限定することなく、Microsoft(商標) Windows(商標)、Apple(商標) Mac(商標)、iOS(商標)、Unix(商標)/X−Windows(商標)、Linux(商標)などの様々なバージョンを含む、ソフトウェア開発に適した任意のプログラミング言語を使用して、仮想または非仮想環境において動作する任意のデスクトップまたはサーバのオペレーティングシステム上で実装され得る。
[242]いくつかの実施形態では、1つまたは複数のサーバは、ファイルサーバとして機能することができ、ならびに/またはユーザコンピュータおよび/もしくは別のサーバ上で動作するアプリケーションによって具体化される本発明の方法を実装するために使用されるファイルの1つもしくは複数を含むことができる。代替として、ファイルサーバは、いくつかのまたはすべての必要なファイルを含むことができ、そのようなアプリケーションが、ユーザコンピュータおよび/またはサーバによってリモート起動されることを可能にする。本明細書で様々なサーバ(例えば、アプリケーションサーバ、データベースサーバ、ウェブサーバ、ファイルサーバなど)に関して説明される機能は、実装固有の必要性およびパラメータに応じて、単一のサーバおよび/または複数の専門サーバによって実行され得る。
[243]いくつかの実施形態では、システムは、1つまたは複数のデータベースを含むことができる。データベースのロケーションは、任意に決定することができる。非限定的な例として、データベースは、サーバ(および/またはユーザコンピュータ)から見てローカルな(および/またはその中に常駐する)記憶媒体上に常駐することができる。代替として、データベースは、コンピューティングデバイスのいずれかまたはすべてから見て、これらの1つまたは複数と(例えば、ネットワークを介して)通信することができる限り、リモートとすることができる。いくつかの実施形態では、データベースは、ストレージエリアネットワーク(SAN)内に常駐することができる。SANは、コンピュータ制御のデータ記憶デバイスのグループとして実装され得る。コンピュータに帰せられる機能を実行するために必要なファイルのいくつかまたはすべては、適宜、それぞれのコンピュータ上にローカルに、および/またはリモートに記憶され得る。いくつかの実施形態では、データベースは、SQL形式のコマンドに応答してデータを記憶し、更新し、検索するように適合された、Oracleデータベースなどのリレーショナルデータベースとすることができる。データベースは、データベースサーバによって制御および/または維持され得る。
[244]命令からなるプログラムの実行のために適したプロセッサは、限定することなく、任意の種類のコンピュータの汎用および専用マイクロプロセッサ、ならびに単一のプロセッサ、または複数のプロセッサもしくはコアのうちの1つを含む。プロセッサは、リードオンリーメモリ、ランダムアクセスメモリ、両方、または本明細書で説明されるデータ記憶デバイスの任意の組合せなどの、コンピュータ制御のデータ記憶デバイスから命令およびデータを受け取り、記憶することができる。プロセッサは、電子デバイスの動作および実行を制御するように動作可能な任意の処理回路または制御回路を含むことができる。
[245]プロセッサは、データを記憶するための1つまたは複数のデータ記憶デバイスも含むことができ、またはそれらと通信するように動作可能に結合され得る。そのようなデータ記憶デバイスは、非限定的な例として、(内蔵ハードディスクおよび着脱可能ディスクを含む)磁気ディスク、光磁気ディスク、光ディスク、リードオンリーメモリ、ランダムアクセスメモリ、ならびに/またはフラッシュ記憶を含むことができる。コンピュータプログラム命令およびデータを有形に具体化するのに適した記憶デバイスは、例えば、EPROM、EEPROM、およびフラッシュメモリデバイスなどの半導体メモリデバイス、内蔵ハードディスクおよび着脱可能ディスクなどの磁気ディスク、光磁気ディスク、ならびに/またはCD−ROMおよびDVD−ROMディスクを含む、不揮発性メモリのすべての形態も含むことができる。プロセッサおよびメモリは、ASIC(特定用途向け集積回路)によって補完され、またはその中に組み込まれ得る。
[246]本明細書で説明されるシステム、モジュール、および方法は、ソフトウェア要素またはハードウェア要素の任意の組合せを使用して実装され得る。本明細書で説明されるシステム、モジュール、および方法は、単独でまたは互いに組み合わさって動作する1つまたは複数の仮想マシンを使用して実装され得る。物理コンピューティング・マシン・プラットフォームをカプセル化して、ハードウェア・コンピューティング・プラットフォームまたはホスト上で動作する仮想化ソフトウェアの制御下で実行される仮想マシンにするために、任意の適用可能な仮想化ソリューションが使用され得る。仮想マシンは、仮想システム・ハードウェアとゲスト・オペレーティングシステム・ソフトウェアの両方を有することができる。
[247]本明細書で説明されるシステムおよび方法は、データサーバなどのバックエンドコンポーネントを含む、またはアプリケーションサーバもしくはインターネットサーバなどのミドルウェアコンポーネントを含む、またはグラフィカルユーザインターフェースを有するクライアントコンピュータ、もしくはインターネットブラウザ、もしくはそれらの任意の組合せなどのフロントエンドコンポーネントを含む、コンピュータシステムにおいて実装され得る。システムのコンポーネントは、通信ネットワークなど、任意の形態または媒体のデジタルデータ通信によって接続され得る。通信ネットワークの例は、限定することなく、LAN、WAN、またはインターネットを形成するネットワークのいずれかを含む。
[248]本発明の1つまたは複数の実施形態は、ハンドヘルドデバイス、マイクロプロセッサシステム、マイクロプロセッサベースのまたはプログラム可能な家電製品、ミニコンピュータ、メインフレームコンピュータなどを含む、他のコンピュータシステム構成を用いて実践され得る。本発明は、ネットワークを通して結び付けられたリモート処理デバイスによってタスクが実行される、分散コンピューティング環境においても実践され得る。
[249]本発明の1つまたは複数の実施形態が説明されたが、それらの様々な代替、追加、置換、および均等物が、本発明の範囲内に含まれる。

Claims (4)

  1. コンテンツを求める将来の要求を変更するために命令を処理するための方法であって、
    プロキシサーバにおいて、コンテンツを求める要求を受信するステップであって、前記コンテンツは実行可能命令を含む、ステップと、
    要求された前記コンテンツをサーバから取り出し、要求された前記コンテンツを前記プロキシサーバに記憶するステップと、
    URLを生成するように構成された実行可能命令を識別するために、要求された前記コンテンツを解析するステップと、
    代替命令を呼び出すために、識別された前記命令をラップすることによって、要求された前記コンテンツを変更するステップであって、前記代替命令は、サフィックスプロキシの識別情報を生成された前記URLに追加するように構成された、ステップと、
    前記プロキシサーバにおいて、ラップされた前記命令を含む変更された前記コンテンツを記憶するステップと、
    ラップされた前記命令を含む変更された前記コンテンツをクライアントデバイスに送信するステップと
    を含む方法。
  2. 請求項1に記載の方法であって、前記プロキシサーバは、サフィックスプロキシとして構成された、方法。
  3. 請求項1に記載の方法であって、前記コンテンツは、JavaScriptを含む、方法。
  4. 請求項1に記載の方法であって、
    ラップされた前記命令を含むように変更された、要求された前記コンテンツが、前記プロキシサーバに記憶されているかどうかを判定するステップと、
    ラップされた前記命令を含むように変更された、要求された前記コンテンツが、前記プロキシサーバに記憶されている場合、要求された前記コンテンツを前記サーバから取り出すことなく、変更された前記コンテンツを前記クライアントデバイスに送信するステップと
    をさらに含む方法。
JP2016530954A 2013-11-11 2014-11-12 クラウド・サービス・セキュリティ・ブローカおよびプロキシ Active JP6514202B2 (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US201361902787P 2013-11-11 2013-11-11
US201361902789P 2013-11-11 2013-11-11
US201361902786P 2013-11-11 2013-11-11
US61/902,786 2013-11-11
US61/902,787 2013-11-11
US61/902,789 2013-11-11
US201462049473P 2014-09-12 2014-09-12
US62/049,473 2014-09-12
PCT/US2014/065305 WO2015070260A1 (en) 2013-11-11 2014-11-12 Cloud service security broker and proxy

Publications (3)

Publication Number Publication Date
JP2017504092A true JP2017504092A (ja) 2017-02-02
JP2017504092A5 JP2017504092A5 (ja) 2017-12-21
JP6514202B2 JP6514202B2 (ja) 2019-05-15

Family

ID=53042265

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016530954A Active JP6514202B2 (ja) 2013-11-11 2014-11-12 クラウド・サービス・セキュリティ・ブローカおよびプロキシ

Country Status (15)

Country Link
US (2) US9438565B2 (ja)
EP (2) EP3069494B1 (ja)
JP (1) JP6514202B2 (ja)
KR (1) KR20160110913A (ja)
CN (1) CN106031118B (ja)
AU (1) AU2014346390B2 (ja)
CA (1) CA2930106A1 (ja)
CL (1) CL2016001116A1 (ja)
IL (1) IL245181B (ja)
MX (1) MX361791B (ja)
MY (1) MY181777A (ja)
PH (1) PH12016500808A1 (ja)
RU (1) RU2679549C2 (ja)
SG (1) SG11201603471XA (ja)
WO (1) WO2015070260A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019022200A (ja) * 2017-07-21 2019-02-07 日本電信電話株式会社 トラヒック制御システム及び方法
JP2020522768A (ja) * 2018-05-22 2020-07-30 ネットスコープ, インク.Netskope, Inc. カテゴリ指向パーサを用いたデータ損失防止
JP2020198653A (ja) * 2018-09-20 2020-12-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、制御方法、及びプログラム
JP2022141646A (ja) * 2018-12-03 2022-09-29 セールスフォース ドット コム インコーポレイティッド コンピュータシステムの自動動作管理
JP7546176B2 (ja) 2021-05-21 2024-09-05 ネットスコープ, インク. Saasアプリケーションによって提供されるクラウドセキュリティ特徴(adcsf)の自動検出

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560604B2 (en) 2009-10-08 2013-10-15 Hola Networks Ltd. System and method for providing faster and more efficient data communication
US9241044B2 (en) 2013-08-28 2016-01-19 Hola Networks, Ltd. System and method for improving internet communication by using intermediate nodes
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US11474767B1 (en) * 2014-05-28 2022-10-18 Amazon Technologies, Inc. Print from web services platform to local printer
US9928377B2 (en) * 2015-03-19 2018-03-27 Netskope, Inc. Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
US11057446B2 (en) 2015-05-14 2021-07-06 Bright Data Ltd. System and method for streaming content from multiple servers
CN106302335B (zh) * 2015-05-22 2020-02-07 杭州海康威视数字技术股份有限公司 网络监控设备及重置其密码的方法、装置和系统、服务器
CN105242533B (zh) * 2015-09-01 2017-11-28 西北工业大学 一种融合多信息的变导纳遥操作控制方法
CN106487774B (zh) 2015-09-01 2019-06-25 阿里巴巴集团控股有限公司 一种云主机服务权限控制方法、装置和系统
US9740245B2 (en) 2015-10-05 2017-08-22 Microsoft Technology Licensing, Llc Locking mechanism
US20170118239A1 (en) * 2015-10-26 2017-04-27 Microsoft Technology Licensing, Llc. Detection of cyber threats against cloud-based applications
US10484430B2 (en) 2015-11-05 2019-11-19 Microsoft Technology Licensing, Llc Just-in-time access based on screening criteria to maintain control of restricted data in cloud computing environments
US10476886B2 (en) 2015-11-05 2019-11-12 Microsoft Technology Licensing, Llc Just-in-time access based on geolocation to maintain control of restricted data in cloud computing environments
US10560463B2 (en) 2015-11-05 2020-02-11 Microsoft Technology Licensing, Llc Incident management to maintain control of restricted data in cloud computing environments
US10498835B2 (en) 2015-11-10 2019-12-03 Avanan Inc. Cloud services discovery and monitoring
US10728868B2 (en) 2015-12-03 2020-07-28 Mobile Tech, Inc. Remote monitoring and control over wireless nodes in a wirelessly connected environment
US10251144B2 (en) 2015-12-03 2019-04-02 Mobile Tech, Inc. Location tracking of products and product display assemblies in a wirelessly connected environment
US10517056B2 (en) 2015-12-03 2019-12-24 Mobile Tech, Inc. Electronically connected environment
US9906480B2 (en) * 2015-12-10 2018-02-27 Facebook, Inc. Techniques for ephemeral messaging with legacy clients
US10200330B2 (en) 2015-12-10 2019-02-05 Facebook, Inc. Techniques for ephemeral messaging with a message queue
US10320844B2 (en) 2016-01-13 2019-06-11 Microsoft Technology Licensing, Llc Restricting access to public cloud SaaS applications to a single organization
US20170206148A1 (en) * 2016-01-20 2017-07-20 Facebook, Inc. Cross-region failover of application services
US10382424B2 (en) 2016-01-26 2019-08-13 Redhat, Inc. Secret store for OAuth offline tokens
WO2017136183A1 (en) 2016-02-04 2017-08-10 Carrier Corporation Fall-back in case of connection loss
US10536478B2 (en) 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
US11425169B2 (en) 2016-03-11 2022-08-23 Netskope, Inc. Small-footprint endpoint data loss prevention (DLP)
US11403418B2 (en) 2018-08-30 2022-08-02 Netskope, Inc. Enriching document metadata using contextual information
US11363022B2 (en) 2016-03-28 2022-06-14 Zscaler, Inc. Use of DHCP for location information of a user device for automatic traffic forwarding
US12101318B2 (en) 2016-03-28 2024-09-24 Zscaler, Inc. Adaptive multipath tunneling in cloud-based systems
US11533307B2 (en) 2016-03-28 2022-12-20 Zscaler, Inc. Enforcing security policies on mobile devices in a hybrid architecture
US9935955B2 (en) * 2016-03-28 2018-04-03 Zscaler, Inc. Systems and methods for cloud based unified service discovery and secure availability
US11985129B2 (en) 2016-03-28 2024-05-14 Zscaler, Inc. Cloud policy enforcement based on network trust
US11962589B2 (en) 2016-03-28 2024-04-16 Zscaler, Inc. Disaster recovery for a cloud-based security service
US11297058B2 (en) * 2016-03-28 2022-04-05 Zscaler, Inc. Systems and methods using a cloud proxy for mobile device management and policy
US10291636B2 (en) 2016-05-23 2019-05-14 International Business Machines Corporation Modifying a user session lifecycle in a cloud broker environment
RU2634181C1 (ru) * 2016-06-02 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных компьютерных систем
US10146609B1 (en) * 2016-07-08 2018-12-04 Splunk Inc. Configuration of continuous anomaly detection service
US10476907B2 (en) 2016-08-10 2019-11-12 Netskope, Inc. Systems and methods of detecting and responding to a data attack on a file system
US10305861B2 (en) * 2016-08-29 2019-05-28 Microsoft Technology Licensing, Llc. Cross-tenant data leakage isolation
US10243946B2 (en) 2016-11-04 2019-03-26 Netskope, Inc. Non-intrusive security enforcement for federated single sign-on (SSO)
CN106506648B (zh) * 2016-11-10 2019-05-17 东软集团股份有限公司 负载均衡服务管理方法及系统
US11637907B2 (en) * 2016-11-16 2023-04-25 Verizon Patent And Licensing Inc. Systems and methods for tracking device IDs for virtualized applications
US10333936B2 (en) * 2017-01-24 2019-06-25 Box, Inc. Method and system for secure cross-domain login
US10511599B2 (en) 2017-03-13 2019-12-17 Microsoft Technology Licensing, Llc System to filter impossible user travel indicators
US10178096B2 (en) 2017-03-31 2019-01-08 International Business Machines Corporation Enhanced data leakage detection in cloud services
US10558641B2 (en) 2017-04-21 2020-02-11 Microsoft Technology Licensing, Llc Trigger system for databases using proxy
KR101980568B1 (ko) * 2017-04-24 2019-05-22 (주)유엠로직스 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법
US10977359B2 (en) 2017-05-15 2021-04-13 Microsoft Technology Licensing, Llc Automatic takeover of applications installed on client devices in an enterprise network
US10794093B2 (en) 2017-05-19 2020-10-06 Microsoft Technology Licensing, Llc Method of optimizing memory wire actuator energy output
US11005864B2 (en) 2017-05-19 2021-05-11 Salesforce.Com, Inc. Feature-agnostic behavior profile based anomaly detection
US10505918B2 (en) * 2017-06-28 2019-12-10 Cisco Technology, Inc. Cloud application fingerprint
US10834113B2 (en) 2017-07-25 2020-11-10 Netskope, Inc. Compact logging of network traffic events
CN107295008A (zh) * 2017-08-01 2017-10-24 广东云下汇金科技有限公司 一种企业混合云计算环境下的连接建立方法
EP3767494B1 (en) 2017-08-28 2023-02-15 Bright Data Ltd. Method for improving content fetching by selecting tunnel devices
US11190374B2 (en) 2017-08-28 2021-11-30 Bright Data Ltd. System and method for improving content fetching by selecting tunnel devices
US11470161B2 (en) * 2018-10-11 2022-10-11 Spredfast, Inc. Native activity tracking using credential and authentication management in scalable data networks
US10999278B2 (en) 2018-10-11 2021-05-04 Spredfast, Inc. Proxied multi-factor authentication using credential and authentication management in scalable data networks
EP3480753A1 (en) * 2017-11-02 2019-05-08 Lstech Ltd A computer implemented method, a system and a computer program for optimizing the operation of a cloud hosted software as a service (saas) system
US10630676B2 (en) * 2017-11-24 2020-04-21 Microsoft Technology Licensing, Llc Protecting against malicious discovery of account existence
CN107995273B (zh) * 2017-11-27 2021-02-09 北京酷我科技有限公司 一种iOS网络管理方法
US11055417B2 (en) 2018-04-17 2021-07-06 Oracle International Corporation High granularity application and data security in cloud environments
CN108718236B (zh) * 2018-05-21 2020-08-18 西安交通大学 互联网自组织汇流的数据传输方法
US11093574B2 (en) 2018-07-26 2021-08-17 Palo Alto Networks, Inc. Encoding-free javascript stringify for clientless VPN
US10831836B2 (en) 2018-07-26 2020-11-10 Palo Alto Networks, Inc. Browser storage for clientless VPN
US10951588B2 (en) 2018-07-26 2021-03-16 Palo Alto Networks, Inc. Object property getter and setter for clientless VPN
US10944769B2 (en) 2018-09-25 2021-03-09 Oracle International Corporation Intrusion detection on load balanced network traffic
WO2020086575A1 (en) * 2018-10-25 2020-04-30 Mobile Tech, Inc. Proxy nodes for expanding the functionality of nodes in a wirelessly connected environment
US10771435B2 (en) * 2018-11-20 2020-09-08 Netskope, Inc. Zero trust and zero knowledge application access system
US11522832B2 (en) 2018-11-29 2022-12-06 Target Brands, Inc. Secure internet gateway
US11416641B2 (en) 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
US11323454B1 (en) * 2019-01-30 2022-05-03 NortonLifeLock Inc. Systems and methods for securing communications
EP4075304B1 (en) 2019-02-25 2023-06-28 Bright Data Ltd. System and method for url fetching retry mechanism
US11411922B2 (en) 2019-04-02 2022-08-09 Bright Data Ltd. System and method for managing non-direct URL fetching service
US11263201B2 (en) * 2019-04-12 2022-03-01 Servicenow, Inc. Interface for supporting integration with cloud-based service providers
US10873644B1 (en) * 2019-06-21 2020-12-22 Microsoft Technology Licensing, Llc Web application wrapper
US11586685B2 (en) 2019-10-31 2023-02-21 Citrix Systems, Inc. Systems and methods for generating data structures from browser data to determine and initiate actions based thereon
US20210160220A1 (en) * 2019-11-25 2021-05-27 Microsoft Technology Licensing, Llc Security service
US11568130B1 (en) * 2019-12-09 2023-01-31 Synopsys, Inc. Discovering contextualized placeholder variables in template code
CN111212077B (zh) * 2020-01-08 2022-07-05 中国建设银行股份有限公司 主机访问系统及方法
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks
EP4115308A4 (en) * 2020-03-03 2024-03-20 Kivera Corporation SYSTEM AND METHOD FOR SECURING CLOUD-BASED SERVICES
US11356502B1 (en) 2020-04-10 2022-06-07 Wells Fargo Bank, N.A. Session tracking
US11611629B2 (en) * 2020-05-13 2023-03-21 Microsoft Technology Licensing, Llc Inline frame monitoring
US20210360017A1 (en) * 2020-05-14 2021-11-18 Cynomi Ltd System and method of dynamic cyber risk assessment
US11356495B2 (en) * 2020-10-29 2022-06-07 Microsoft Technology Licensing, Llc Restore URL context for proxies
CN112464175A (zh) * 2020-11-11 2021-03-09 中国建设银行股份有限公司 脚本审核执行方法、系统、设备和存储介质
US11546767B1 (en) * 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network
US11431746B1 (en) 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
US11662716B2 (en) 2021-02-26 2023-05-30 Kla Corporation Secure remote collaboration for equipment in a manufacturing facility
US11647052B2 (en) * 2021-04-22 2023-05-09 Netskope, Inc. Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US11190550B1 (en) 2021-04-22 2021-11-30 Netskope, Inc. Synthetic request injection to improve object security posture for cloud security enforcement
US11336698B1 (en) 2021-04-22 2022-05-17 Netskope, Inc. Synthetic request injection for cloud policy enforcement
US11178188B1 (en) * 2021-04-22 2021-11-16 Netskope, Inc. Synthetic request injection to generate metadata for cloud policy enforcement
US11184403B1 (en) 2021-04-23 2021-11-23 Netskope, Inc. Synthetic request injection to generate metadata at points of presence for cloud security enforcement
US11271972B1 (en) 2021-04-23 2022-03-08 Netskope, Inc. Data flow logic for synthetic request injection for cloud security enforcement
US11271973B1 (en) 2021-04-23 2022-03-08 Netskope, Inc. Synthetic request injection to retrieve object metadata for cloud policy enforcement
CN113190828A (zh) * 2021-05-25 2021-07-30 网宿科技股份有限公司 一种请求代理方法、客户端设备及代理服务设备
CN113391851A (zh) * 2021-06-03 2021-09-14 网宿科技股份有限公司 一种代理控制方法、客户端设备及代理服务设备
US11882155B1 (en) * 2021-06-09 2024-01-23 State Farm Mutual Automobile Insurance Company Systems and methods for cybersecurity analysis and control of cloud-based systems
US11475158B1 (en) 2021-07-26 2022-10-18 Netskope, Inc. Customized deep learning classifier for detecting organization sensitive data in images on premises
CN113704668B (zh) * 2021-09-01 2022-10-14 稿定(厦门)科技有限公司 用于网页开发的数据处理方法和装置
CN113704669B (zh) * 2021-09-01 2022-10-14 稿定(厦门)科技有限公司 用于网页运行的数据处理方法和装置
US11546358B1 (en) * 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system
US20230155983A1 (en) * 2021-11-16 2023-05-18 Capital One Services, Llc SYSTEMS AND METHODS FOR IMPLEMENTING TRANSPARENT SaaS PROXY ON AND OFF NETWORK
US20230222200A1 (en) * 2022-01-12 2023-07-13 Dell Products, L.P. Systems and methods for transfer of workspace orchestration
US11943260B2 (en) 2022-02-02 2024-03-26 Netskope, Inc. Synthetic request injection to retrieve metadata for cloud policy enforcement
CN114816558B (zh) * 2022-03-07 2023-06-30 深圳市九州安域科技有限公司 一种脚本注入方法、设备及计算机可读存储介质
US20240281341A1 (en) * 2023-01-31 2024-08-22 Hycu, Inc. Discovery of services in combination with enabling data protection and other workflows

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
JP2009289206A (ja) * 2008-05-30 2009-12-10 Fujitsu Ltd ユニフォームリソースロケータ情報を書き換えるプログラム
JP2011511974A (ja) * 2008-01-14 2011-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーション ブラウザ・ベースのプロキシ・サーバを使用した既存アプリケーションをカスタマイズおよび配布するための方法、システム、およびコンピュータ・プログラム(既存アプリケーションをカスタマイズおよび配布するためのブラウザ・ベースのプロキシ・サーバ)
US7958232B1 (en) * 2007-12-05 2011-06-07 Appcelerator, Inc. Dashboard for on-the-fly AJAX monitoring
JP2011257810A (ja) * 2010-06-04 2011-12-22 Fujitsu Ltd 中継サーバ装置、クッキー制御方法およびクッキー制御プログラム
US20120030294A1 (en) * 2010-07-28 2012-02-02 Openwave Systems Inc. Method and system for link-triggered link-translating proxying
WO2012063282A1 (ja) * 2010-11-10 2012-05-18 株式会社日立製作所 マッシュアップ・アプリケーションの動作方法およびシステム
US20120278872A1 (en) * 2011-04-27 2012-11-01 Woelfel John Harold System and method of federated authentication with reverse proxy
JP2013196396A (ja) * 2012-03-19 2013-09-30 Fujitsu Ltd 中継サーバ、中継プログラム及び中継方法

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6397246B1 (en) 1998-11-13 2002-05-28 International Business Machines Corporation Method and system for processing document requests in a network system
US9444785B2 (en) * 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
US8204082B2 (en) * 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
US7571217B1 (en) * 2000-08-16 2009-08-04 Parallel Networks, Llc Method and system for uniform resource locator transformation
US7865569B1 (en) 2000-09-26 2011-01-04 Juniper Networks, Inc. Method and system for modifying script portions of requests for remote resources
US8260964B2 (en) * 2003-10-02 2012-09-04 Google Inc. Dynamic content conversion
US7873707B1 (en) 2004-10-27 2011-01-18 Oracle America, Inc. Client-side URL rewriter
US20090077369A1 (en) 2004-11-12 2009-03-19 Justsystems Corporation Data Processing Device And Data Processing Method
US20060117388A1 (en) * 2004-11-18 2006-06-01 Nelson Catherine B System and method for modeling information security risk
US8543726B1 (en) 2005-04-08 2013-09-24 Citrix Systems, Inc. Web relay
US20060248575A1 (en) * 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security
US8239939B2 (en) 2005-07-15 2012-08-07 Microsoft Corporation Browser protection module
US8316429B2 (en) * 2006-01-31 2012-11-20 Blue Coat Systems, Inc. Methods and systems for obtaining URL filtering information
CN101075240A (zh) * 2006-08-25 2007-11-21 腾讯科技(深圳)有限公司 跨域获取数据的方法和系统
CN101553804B (zh) * 2006-10-21 2013-02-13 拿丕.Com有限公司 处理本土语言因特网地址的方法及保存执行该方法的程序的存储介质
US7949716B2 (en) * 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
AU2008286237A1 (en) * 2007-08-03 2009-02-12 Universal Vehicles Pty Ltd Evaluation of an attribute of an information object
US9548985B2 (en) 2007-09-20 2017-01-17 Oracle International Corporation Non-invasive contextual and rule driven injection proxy
US8365271B2 (en) 2008-02-27 2013-01-29 International Business Machines Corporation Controlling access of a client system to access protected remote resources supporting relative URLs
US8707439B2 (en) * 2008-12-19 2014-04-22 Microsoft Corporation Selecting security offerings
GB0909695D0 (en) 2009-06-05 2009-07-22 Maxymiser Ltd On page console
US8205035B2 (en) * 2009-06-22 2012-06-19 Citrix Systems, Inc. Systems and methods for integration between application firewall and caching
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
WO2011094807A1 (en) * 2010-02-03 2011-08-11 John Norman Hedditch Presentation of an information object
EP2542971B1 (en) * 2010-03-01 2019-01-30 EMC Corporation Detection of attacks through partner websites
US9634993B2 (en) 2010-04-01 2017-04-25 Cloudflare, Inc. Internet-based proxy service to modify internet responses
US20110289588A1 (en) * 2010-05-20 2011-11-24 Anupam Sahai Unification of security monitoring and IT-GRC
CN102255935B (zh) * 2010-05-20 2016-06-15 中兴通讯股份有限公司 云服务消费方法、云服务中介及云系统
US20110289434A1 (en) * 2010-05-20 2011-11-24 Barracuda Networks, Inc. Certified URL checking, caching, and categorization service
US8938800B2 (en) * 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
EP2495670B1 (en) 2010-11-29 2019-08-07 Hughes Network Systems, LLC Computer networking system and method with javascript execution for pre-fetching content from dynamically-generated url and javascript injection to modify date or random number calculation
US9003552B2 (en) 2010-12-30 2015-04-07 Ensighten, Inc. Online privacy management
US9119017B2 (en) * 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
EP2610776B1 (en) * 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
US9292467B2 (en) 2011-09-16 2016-03-22 Radware, Ltd. Mobile resource accelerator
US20140053234A1 (en) * 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US8677497B2 (en) * 2011-10-17 2014-03-18 Mcafee, Inc. Mobile risk assessment
US9391832B1 (en) 2011-12-05 2016-07-12 Menlo Security, Inc. Secure surrogate cloud browsing
WO2013091709A1 (en) 2011-12-22 2013-06-27 Fundació Privada Barcelona Digital Centre Tecnologic Method and apparatus for real-time dynamic transformation of the code of a web document
US8898796B2 (en) 2012-02-14 2014-11-25 International Business Machines Corporation Managing network data
US9460222B2 (en) * 2012-05-17 2016-10-04 Oracle International Corporation System for rewriting dynamically generated uniform resource locators in proxied hyper text markup language content in accordance with proxy server rules
US8819772B2 (en) * 2012-06-25 2014-08-26 Appthority, Inc. In-line filtering of insecure or unwanted mobile device software components or communications
US8713633B2 (en) * 2012-07-13 2014-04-29 Sophos Limited Security access protection for user data stored in a cloud computing facility
US9154479B1 (en) * 2012-09-14 2015-10-06 Amazon Technologies, Inc. Secure proxy
US20140109171A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US9137131B1 (en) 2013-03-12 2015-09-15 Skyhigh Networks, Inc. Network traffic monitoring system and method to redirect network traffic through a network intermediary
US20140137273A1 (en) * 2012-11-13 2014-05-15 Appsense Limited System and method for securing the upload of files from a system server
US9009469B2 (en) * 2013-01-15 2015-04-14 Sap Se Systems and methods for securing data in a cloud computing environment using in-memory techniques and secret key encryption
US10686819B2 (en) * 2013-02-19 2020-06-16 Proofpoint, Inc. Hierarchical risk assessment and remediation of threats in mobile networking environment
US9197650B2 (en) * 2013-03-14 2015-11-24 Cisco Technology, Inc. Proxy that switches from light-weight monitor mode to full proxy
US9448826B2 (en) * 2013-03-15 2016-09-20 Symantec Corporation Enforcing policy-based compliance of virtual machine image configurations
EP2976709B1 (en) 2013-03-18 2018-10-03 Cloudmask Systems and methods for intercepting, processing, and protecting user data through web application pattern detection
US9124668B2 (en) 2013-05-20 2015-09-01 Citrix Systems, Inc. Multimedia redirection in a virtualized environment using a proxy server
US9979726B2 (en) 2013-07-04 2018-05-22 Jscrambler S.A. System and method for web application security
US20150066575A1 (en) * 2013-08-28 2015-03-05 Bank Of America Corporation Enterprise risk assessment
US9870349B2 (en) 2013-09-20 2018-01-16 Yottaa Inc. Systems and methods for managing loading priority or sequencing of fragments of a web object
EP3075099B1 (en) * 2013-11-25 2019-05-01 McAfee, LLC Secure proxy to protect private data
US9576070B2 (en) 2014-04-23 2017-02-21 Akamai Technologies, Inc. Creation and delivery of pre-rendered web pages for accelerated browsing
US9635041B1 (en) 2014-06-16 2017-04-25 Amazon Technologies, Inc. Distributed split browser content inspection and analysis
US9438625B1 (en) 2014-09-09 2016-09-06 Shape Security, Inc. Mitigating scripted attacks using dynamic polymorphism

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
US7958232B1 (en) * 2007-12-05 2011-06-07 Appcelerator, Inc. Dashboard for on-the-fly AJAX monitoring
JP2011511974A (ja) * 2008-01-14 2011-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーション ブラウザ・ベースのプロキシ・サーバを使用した既存アプリケーションをカスタマイズおよび配布するための方法、システム、およびコンピュータ・プログラム(既存アプリケーションをカスタマイズおよび配布するためのブラウザ・ベースのプロキシ・サーバ)
JP2009289206A (ja) * 2008-05-30 2009-12-10 Fujitsu Ltd ユニフォームリソースロケータ情報を書き換えるプログラム
JP2011257810A (ja) * 2010-06-04 2011-12-22 Fujitsu Ltd 中継サーバ装置、クッキー制御方法およびクッキー制御プログラム
US20120030294A1 (en) * 2010-07-28 2012-02-02 Openwave Systems Inc. Method and system for link-triggered link-translating proxying
WO2012063282A1 (ja) * 2010-11-10 2012-05-18 株式会社日立製作所 マッシュアップ・アプリケーションの動作方法およびシステム
US20120278872A1 (en) * 2011-04-27 2012-11-01 Woelfel John Harold System and method of federated authentication with reverse proxy
JP2013196396A (ja) * 2012-03-19 2013-09-30 Fujitsu Ltd 中継サーバ、中継プログラム及び中継方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019022200A (ja) * 2017-07-21 2019-02-07 日本電信電話株式会社 トラヒック制御システム及び方法
JP2020522768A (ja) * 2018-05-22 2020-07-30 ネットスコープ, インク.Netskope, Inc. カテゴリ指向パーサを用いたデータ損失防止
JP2020198653A (ja) * 2018-09-20 2020-12-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、制御方法、及びプログラム
JP2022141646A (ja) * 2018-12-03 2022-09-29 セールスフォース ドット コム インコーポレイティッド コンピュータシステムの自動動作管理
JP7408725B2 (ja) 2018-12-03 2024-01-05 セールスフォース インコーポレイテッド コンピュータシステムの自動動作管理
JP7546176B2 (ja) 2021-05-21 2024-09-05 ネットスコープ, インク. Saasアプリケーションによって提供されるクラウドセキュリティ特徴(adcsf)の自動検出

Also Published As

Publication number Publication date
PH12016500808B1 (en) 2016-06-13
AU2014346390B2 (en) 2018-06-21
PH12016500808A1 (en) 2016-06-13
RU2016117971A (ru) 2017-11-15
US20150135302A1 (en) 2015-05-14
JP6514202B2 (ja) 2019-05-15
CN106031118A (zh) 2016-10-12
EP3069494B1 (en) 2020-08-05
RU2679549C2 (ru) 2019-02-11
EP3069494A4 (en) 2017-06-28
SG11201603471XA (en) 2016-05-30
MX361791B (es) 2018-12-17
IL245181A0 (en) 2016-06-30
WO2015070260A1 (en) 2015-05-14
CA2930106A1 (en) 2015-05-14
EP3734474A3 (en) 2021-01-20
EP3734474A2 (en) 2020-11-04
KR20160110913A (ko) 2016-09-22
RU2016117971A3 (ja) 2018-07-09
MY181777A (en) 2021-01-06
US20160112375A1 (en) 2016-04-21
EP3069494A1 (en) 2016-09-21
CL2016001116A1 (es) 2017-04-21
CN106031118B (zh) 2020-10-09
IL245181B (en) 2019-03-31
MX2016006109A (es) 2017-03-03
US10091169B2 (en) 2018-10-02
AU2014346390A1 (en) 2016-05-19
US9438565B2 (en) 2016-09-06

Similar Documents

Publication Publication Date Title
JP6514202B2 (ja) クラウド・サービス・セキュリティ・ブローカおよびプロキシ
US10812462B2 (en) Session management for mobile devices
US8782796B2 (en) Data exfiltration attack simulation technology
US11888871B2 (en) Man-in-the-middle (MITM) checkpoint in a cloud database service environment
US10587577B2 (en) Dynamic, event-driven traffic control in a managed network
US11588859B2 (en) Identity-based enforcement of network communication in serverless workloads
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
Berger et al. Security intelligence for cloud management infrastructures
Yagi et al. Investigation and analysis of malware on websites
Lei et al. Attackers as Instructors: Using Container Isolation to Reduce Risk and Understand Vulnerabilities
US12107826B2 (en) Cobalt Strike Beacon HTTP C2 heuristic detection
US20240039952A1 (en) Cobalt strike beacon https c2 heuristic detection
US20240039951A1 (en) Probing for cobalt strike teamserver detection
US20240348627A1 (en) Application access analyzer
US12132759B2 (en) Inline package name based supply chain attack detection and prevention
WO2024025705A1 (en) Cobalt strike beacon http c2 heuristic detection
WO2024216176A2 (en) Topological co-relation
WO2024216172A1 (en) Application access analyzer
Tereshchenko et al. Development Principles of Secure Microservices.
Roetenberg et al. Mastering NetScaler VPX™
Gusset PROTECTION AGAINST CUSTOMIZED TROJANS

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190313

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190411

R150 Certificate of patent or registration of utility model

Ref document number: 6514202

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250