JP2018502508A - ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法 - Google Patents

ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法 Download PDF

Info

Publication number
JP2018502508A
JP2018502508A JP2017534329A JP2017534329A JP2018502508A JP 2018502508 A JP2018502508 A JP 2018502508A JP 2017534329 A JP2017534329 A JP 2017534329A JP 2017534329 A JP2017534329 A JP 2017534329A JP 2018502508 A JP2018502508 A JP 2018502508A
Authority
JP
Japan
Prior art keywords
application
firewall
data center
application model
model group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017534329A
Other languages
English (en)
Other versions
JP6471233B2 (ja
Inventor
モハンティ・シュバブラッタ
シーサット・アマレッシュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2018502508A publication Critical patent/JP2018502508A/ja
Application granted granted Critical
Publication of JP6471233B2 publication Critical patent/JP6471233B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

開示される方法は、(1)その機能性がシステムのセットにより提供されているデータセンターアプリケーションを識別することと、(2)コンピューティングデバイスにより、システムのセット内のそれぞれのシステムに対して、そのシステムがその下で動作するべきセキュリティコンテクストを示すそのシステムの属性を識別し、そのシステムを、そのセキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムのセットを1つ以上のアプリケーションモデルグループに自動的に組織化することと、(3)1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、アプリケーションモデルグループに対するセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択し、選択されたファイアウォールコンフィグレーションを、そのアプリケーションモデルグループを保護するために用いることにより、そのアプリケーションモデルグループを保護することと、を含み得る。様々な他の方法、システム、及びコンピュータ可読媒体も開示される。

Description

セキュリティは、利便性と安全性との間の連続体として、しばしば説明されるものである。セキュリティのレイヤーを10個要するシステムを攻撃するのは非常に困難であり得るが、そのようなシステムは、そのメンテナンスが実行不可能であり得るくらいに不便なものでもあり得る。その正反対のケースである、何のセキュリティも有しないシステムは、そのメンテナンス及び使用が非常に便利であるが、同時に非常に信頼性に欠けるものである。外界との境界のみに働くファイアウォールでネットワークを保護することは、より徹底的な防衛手段を用いることよりも便利なものであるが、しかし同時に、次第に普及しつつある多くの攻撃形態に対しては、不適切なものであり得る。多くのデータセンターが、次第によりセグメント化されつつあるが、このことが意味するのは、単一のネットワーク内にあるサーバ及びデータが、多くの異なるレベルのセキュリティを必要とし得るということである。十分なセキュリティを、ネットワーク上のリソースのセグメントに提供すれば、情報技術(IT)リソースには相当の負荷がかかり得る。
したがって、本開示は、ファイアウォールポリシーを、データセンターアプリケーション内で自動的に適用するための追加の、かつ改善されたシステム及び方法に対する必要性を識別し、それに対処するものである。
以下により詳しく説明するように、本開示は、データセンターアプリケーション内のシステムを、類似のセキュリティコンテクストで動作するアプリケーションモデルグループに組織化し、適切なファイアウォールポリシーを、各アプリケーションモデルグループ内のシステムに自動的に適用することによって、ファイアウォールポリシーを、データセンターアプリケーション内で自動的に適用するための様々なシステム及び方法を説明するものである。
1つの実施例では、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのコンピュータ実装方法は、(1)その機能性がシステムのセットにより提供されているデータセンターアプリケーションを識別することと、(2)コンピューティングデバイスにより、システムのセット内のそれぞれのシステムに対して、そのシステムがその下で動作するべきセキュリティコンテクストを示すそのシステムの属性を識別し、そのシステムを、そのセキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムのセットを1つ以上のアプリケーションモデルグループに自動的に組織化することと、(3)1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、適用された場合に、アプリケーションモデルグループに対するセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択し、選択されたファイアウォールコンフィグレーションを、そのアプリケーションモデルグループを保護するために用いることにより、そのアプリケーションモデルグループを保護することと、を含み得る。
1つの実施形態では、データセンターアプリケーションを識別することは、データセンターアプリケーションを含むシステムのセットを識別するようデータセンタープラットフォームに問い合わせることを含み得る。この実施形態では、システムの属性を識別することは、データセンターアプリケーションに、データセンターアプリケーション内の、システムが属するアプリケーション階層、システム上で動作しているシステム、システムのインバウンドディペンデンシー、及び/又はシステムのアウトバウンドディペンデンシーを判定するよう問い合わせることを含み得る。
一部の実施例では、システムを1つ以上のアプリケーションモデルグループに組織化することは、アプリケーション階層、サービス、及びデータセンターアプリケーションのシステムのセットのディペンデンシーに基づいて、システムをいくつのアプリケーションモデルグループに組織化するのかを判定することを含み得る。システムをアプリケーションモデルグループに組織化することは、それぞれのアプリケーションモデルグループに対して提供されるべきであるセキュリティコンテクストに基づくこともある。
1つの実施形態では、ファイアウォールコンフィグレーションを選択することは、ファイアウォールコンフィグレーションのセット内のそれぞれのファイアウォールコンフィグレーションがファイアウォールポリシーの異なるセットを含み得る、ファイアウォールコンフィグレーションのセットを識別することと、アプリケーションモデルグループに対するセキュリティコンテクストに対応するファイアウォールコンフィグレーションを選択することとを含み得る。この実施形態では、選択されたファイアウォールコンフィグレーションを、アプリケーションモデルグループを保護するために用いることは、ファイアウォールコンフィグレーション内のファイアウォールを構成すること、及びそのファイアウォールがアプリケーションモデルグループを保護するように、ファイアウォールを作動させることを含み得る。
一部の実施例では、ファイアウォールコンフィグレーションのセットを識別することは、データセンターアプリケーションのシステムが組織化される、それぞれのアプリケーションモデルグループを識別することと、ファイアウォールポリシーのセットが実行された場合に、それぞれの識別されたアプリケーションモデルグループに対してセキュリティコンテクストを提供するようなファイアウォールポリシーのセットを確立することにより、それぞれの識別されたアプリケーションモデルグループに対してファイアウォールコンフィグレーションを作成することとを含み得る。追加的又は代替的には、ファイアウォールコンフィグレーションのセットを識別することは、ファイアウォールコンフィグレーションのセット内のそれぞれのファイアウォールコンフィグレーションのメタデータを識別することを含んでいてよく、アプリケーションモデルグループに対するセキュリティコンテクストに対応するファイアウォールコンフィグレーションを選択することは、ファイアウォールコンフィグレーションのセット内のそれぞれのファイアウォールコンフィグレーションのメタデータを、1つ以上のアプリケーションモデルグループと関係づけることを含み得る。
一部の実施例では、選択されたファイアウォールコンフィグレーションを、アプリケーションモデルグループを保護するために用いることは、選択されたファイアウォールコンフィグレーションの1つ以上のポリシーを、アプリケーションモデルグループと、データセンターアプリケーションの少なくとも1つの他のアプリケーションモデルグループとの間の通信に実行することにより、セキュリティマイクロセグメント化を提供することを含み得る。1つの実施形態では、コンピュータ実装方法は、新たなシステムが、データセンターアプリケーションに追加されたことを判定すること、新たなシステムがデータセンターアプリケーションに追加されたことを判定することに反応し、その下で新たなシステムが動作すべきであるセキュリティコンテクストを示す新たなシステムの属性を識別すること、及びそのシステムを、そのセキュリティコンテクストが提供される既存のアプリケーションモデルグループの1つに割り当てることを更に含み得る。
1つの実施形態では、システムは、仮想マシンを含み得、ファイアウォールコンフィグレーションは、仮想ファイアウォール内で実装され得、かつデータセンターアプリケーションは、ソフトウェアで定義されたデータセンタープラットフォーム上で実装され得る。この実施形態では、システムのセットを、1つ以上のアプリケーションモデルグループに組織化することは、ソフトウェアで定義されたデータセンタープラットフォームのデータ構造を利用して、システムのセットを1つ以上のアプリケーションモデルグループに分割するようソフトウェアで定義されたデータセンタープラットフォームに命令することを含み得る。
1つの実施形態では、上述の方法を実装するためのシステムは、(1)その機能性がシステムのセットによって提供されるデータセンターアプリケーションを識別する、メモリに格納された識別モジュール、(2)システムのセット内のそれぞれのシステムに対して、その下でシステムが動作するべきセキュリティコンテクストを示すシステムの属性を識別し、かつ、そのシステムをそのセキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムのセットを、1つ以上のアプリケーションモデルグループにコンピューティングデバイスによって自動的に組織化する、メモリに格納された組織化モジュール、(3)1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、適用された場合に、そのアプリケーションモデルグループに対するセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択し、かつ、選択されたファイアウォールコンフィグレーションを用いてアプリケーションモデルグループを保護することによって、アプリケーションモデルグループを保護する、メモリに格納されたセキュリティモジュール、及び(4)識別モジュール、組織化モジュール、及びセキュリティモジュールを実行するよう構成されている、少なくとも1つの物理的プロセッサを含み得る。
いくつかの実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、1つ以上のコンピュータ実行可能命令を含み得るが、その命令は、コンピューティングデバイスの少なくとも1つのプロセッサにより実行されると、(1)その機能性がシステムのセットにより提供されているデータセンターアプリケーションを識別することと、(2)コンピューティングデバイスにより、システムのセット内のそれぞれのシステムに対して、そのシステムがその下で動作するべきセキュリティコンテクストを示すそのシステムの属性を識別し、そのシステムを、そのセキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムのセットを1つ以上のアプリケーションモデルグループに自動的に組織化することと、(3)1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、適用された場合に、アプリケーションモデルグループに対するセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択し、選択されたファイアウォールコンフィグレーションを、そのアプリケーションモデルグループを保護するために用いることにより、そのアプリケーションモデルグループを保護することとを、コンピューティングデバイスに実行させ得る。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
ファイアウォールポリシーを、データセンターアプリケーション内で自動的に適用するための例示的システムのブロック図である。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための追加的な、例示的システムのブロック図である。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的な方法のフローチャートである。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的コンピューティングシステムのブロック図である。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的コンピューティングシステムのブロック図である。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的コンピューティングシステムのブロック図である。 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的コンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示される実施形態のうち1つ以上を実現することができる例示的コンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示される実施形態のうち1つ以上を実現することができる例示的コンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法を、一般に対象とする。以下に詳述するように、本明細書において説明されるシステム及び方法は、データセンターアプリケーションのシステムをアプリケーションモデルグループに組織化し、適切なファイアウォールポリシーを、それぞれのアプリケーションモデルグループのシステムに自動的に適用し得るものである。例えば、本開示のシステムは、そこからアプリケーション情報を得ることができる仮想化プラットフォームを発見し、アプリケーション情報に基づいて(例えば、アプリケーションのリソースをグループ化することにより)アプリケーションモデルを構築し、かつ、ファイアウォール製品を発見してファイアウォールポリシーのグループを入手し得るものである。そのようなシステムは、ファイアウォールポリシーをアプリケーションモデルと関連付けて、関係性マトリクスを構築し、その関係性マトリクスを用いてファイアウォールポリシーをアプリケーション内に実装し、次にそのファイアウォールポリシーを自動的に実行し得る。このようにして、本明細書に記載されるシステム及び方法は、データセンターアプリケーションに対して、人の手による介入なしでマイクロセグメント化を可能にすることにより、高いレベルのセキュリティを効率的に提供し得る。
図1〜2及び4〜7を参照しつつ、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的なシステムの詳細な説明を以下に提供する。対応するコンピュータ実装方法の詳細な説明も図3に関連して提供される。それに加えて、本明細書に記載される実施形態のうち1つ以上を実現することができる、例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明を、それぞれ図8及び図9と関連して提供する。
図1は、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための例示的なシステム100のブロック図である。この図に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、以下に詳述するように、例示的なシステム100は、その機能性がシステムのセットにより提供され得るデータセンターアプリケーションを識別し得る識別モジュール104を含み得る。例示的なシステム100は、コンピューティングデバイスにより自動的に、システムのセットを1つ以上のアプリケーションモデルグループに組織化し得る、組織化モジュール106を追加的に含み得る。組織化モジュール106は、システムのセット内のそれぞれのシステムに対して、そのシステムがその下で動作するべきセキュリティコンテクストを示し得るシステムの属性を識別し、そのシステムを、そのセキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムを組織化し得る。例示的なシステム100は、それが適用された場合に、アプリケーションモデルグループに対するセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択することにより、それぞれのアプリケーションモデルグループを保護し得る、セキュリティモジュール108を含み得る。セキュリティモジュール108はまた、選択されたファイアウォールコンフィグレーションを用いて、アプリケーションモデルグループを保護し得る。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
特定の実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、以下に詳述するように、1つ以上のモジュール102が、図8中のコンピューティングシステム810及び/又は図9中の例示的なネットワークアーキテクチャ900の一部のような1つ以上のコンピューティングデバイスに格納され、そのようなデバイス上で実行されるよう構成されているソフトウェアモジュールを表し得る。図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部を表し得る。
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示すように、システム200は、データセンターアプリケーション206と通信するセキュリティシステム202を含み得る。1つの実施例では、セキュリティシステム202は、1つ以上のモジュール102でプログラムされ得る。追加的に又は代替的に、データセンターアプリケーション206は、1つ以上のモジュール102でプログラムされ得る。一部の実施形態では、セキュリティシステム202は、データセンターアプリケーション206内でシステムを保護するファイアウォールを含むか又はそれとインターフェースで接続し得る。1つの実施形態では、データセンターアプリケーション206は、1つ以上のリモートサーバ上のソフトウェアで定義されたデータセンター上でホストされ得る。
1つの実施形態では、図1にあるモジュール102の1つ以上のものは、セキュリティシステム202及び/又はデータセンターアプリケーション206の少なくとも1つのプロセッサにより実行されると、セキュリティシステム202及び/又はデータセンターアプリケーション206が、ファイアウォールポリシーを、データセンターアプリケーション内で自動的に適用するのを可能にし得る。例えば、また以下に詳述するように、識別モジュール104は、その機能性がシステム208(1)〜208(n)のセットにより提供されるデータセンターアプリケーション206を識別し得る。次に、組織化モジュール106は、セキュリティシステム202により自動的に、システム208(1)〜208(n)のセットを1つ以上のアプリケーションモデルグループに、組織化し得るが、そのために、それぞれのシステム208に対して、その下でシステム208が動作するべきセキュリティコンテクスト214を示すシステム208の属性212を識別し、かつ、システム208を、セキュリティコンテクスト214が提供されるアプリケーションモデルグループ210に割り当てる。最後に、1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループ210に対して、セキュリティモジュール108は、適用された場合にアプリケーションモデルグループ210に対するセキュリティコンテクスト214を提供するファイアウォールコンフィグレーション216を選択することにより、アプリケーションモデルグループ210を保護し得る。セキュリティモジュール108はまた、選択されたファイアウォールコンフィグレーション216を用いて、アプリケーションモデルグループ210を保護し得る。
セキュリティシステム202は一般に、ファイアウォールコンフィグレーション及び/又はポリシーをシステムに適用することが可能な任意のタイプ又は形態のセキュリティシステムを、一般に表す。セキュリティシステム202の例には、ファイアウォール製品、VMware社製NSX、Symantec社製Data Center Security、Palo Alto Networks社製PA−7050、又は任意の他の好適なセキュリティシステムが含まれるが、それらに限られない。
データセンターアプリケーション206は、データセンターによりホストされる、任意のタイプ又は形態のアプリケーションを、一般に表す。本明細書において用いられる場合、「データセンター」という用語は、現実的なものであれ、仮想的なものであれ、コンピューティングシステムの任意の集合体を意味し得る。例えば、データセンターは、仮想マシン及び/又は仮想ネットワークから構成される、ソフトウェアで定義されたデータセンターを含み得る。一部の実施形態では、データセンターアプリケーションは、ソフトウェアで定義されたネットワーク(例えば、ネットワーク制御プレーンがソフトウェアで実装され、その下にあるデータプレーンから分離されているネットワーク)内で実装され得る。データセンターアプリケーション206の例には、ウェブサイト、ウェブサービス、ソーシャルネットワーキングプラットフォーム、eコマースサイト、メッセージングサービス、ファイル共有プラットフォーム、及び/又は任意のその他のタイプのインターネット接続アプリケーションが挙げられるが、それらに限られない。
本明細書において用いられる場合、「自動的」という用語は、ユーザーによる介入が制限されている、又はそのような介入のない、任意のプロセスを一般に意味する。自動的に実行されるプロセス又はステップはまた、例えば、通常はユーザーによって構成される構成を自動的に生成することにより、ユーザーからの限定的な入力で、又はユーザーからの入力なしでも実行され得る。「自動的」という用語はまた、1つ以上のコンピューティングシステムにより実行され、かつ/又は完全にコンピュータにより制御されるステップの任意のシーケンスをも意味し得る。一部の実施例では、自動的に実行されるステップは、完全にソフトウェアにより実行され得る。
図3は、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための、例示的なコンピュータ実装方法300のフローチャートである。図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。一部の実施形態では、図3に示されるステップは、図1のシステム100、図2のシステム200、図8のコンピューティングシステム810、及び/又は図9の例示的なネットワークアーキテクチャ900の部分の構成要素のうち1つ以上によって実施され得る。
図3に図示するように、ステップ302で、本明細書において説明される1つ以上のシステムが、その機能性がシステムのセットにより提供されるデータセンターアプリケーションを識別し得る。例えば、識別モジュール104は、図2中のセキュリティシステム202の一部として、その機能性がシステム208(1)〜208(n)のセットにより提供されるデータセンターアプリケーション206を識別し得る。
本明細書において用いられる場合、「システム」という用語は、データセンターアプリケーションの機能性の任意の部分を提供し得る、任意のコンピューティングシステムを一般に意味する。一部の実施形態では、システムは、仮想マシンを含み得る。追加的に又は代替的に、システムは、物理的なホストを含み得る。一部の実施形態では、システムは、通信に用いられるネットワーキングコンポーネントのような通信経路を含み得る。
識別モジュール104は、様々なやり方で、データセンターアプリケーションを識別し得る。例えば、識別モジュール104は、データセンターアプリケーションを構成する仮想マシンの全てを発見することにより、データセンターアプリケーションを識別し得る。別の1つの実施例では、識別モジュール104は、システムのセットを識別し、かつ、それらのシステムが全て同じデータセンターアプリケーションの一部であるということを判定することにより、データセンターアプリケーションを識別し得る。一部の実施例では、識別モジュール104は、データセンターアプリケーションに対してセキュリティを提供することを求める自動的な又は手動的なリクエストに反応して、データセンターアプリケーションを識別し得る。例えば、管理者は、データセンターアプリケーションを設定することの一部として、識別モジュール104を含むセキュリティシステムを実行し得る。別の1つの実施例では、識別モジュール104は、ソフトウェアで定義されたデータセンター内に規定された任意のデータセンターアプリケーションを自動的に識別し得る。一部の実施例では、識別モジュール104を含むセキュリティシステムが、既存のデータセンターアプリケーションを含むデータセンター内にインストールされ得る。
識別モジュール104は、様々なコンテクスト内で、データセンターアプリケーションを識別し得る。例えば、識別モジュール104は、データセンターアプリケーションを保護するためにインストールされたファイアウォール製品の一部となることによってデータセンターアプリケーションを識別し得る。この実施例では、ファイアウォール製品は、ファイアウォールが構成される際に、かつ/又は、システム間のトラフィックをモニターしている間に、データセンターアプリケーション内のシステムを発見し得る。別の1つの実施形態では、識別モジュール104は、データセンター内の仮想マシンを保護するセキュリティシステムの一部であることにより、データセンターアプリケーションを識別し得る。この実施例では、セキュリティシステムは、データセンターアプリケーションに対してセキュリティを提供するよう求めるリクエストに反応して、データセンターアプリケーション内のシステムを発見することにより、データセンターアプリケーションを自動的に識別し得る。
ステップ304では、本明細書において説明される1つ以上のシステムは、コンピューティングデバイスにより自動的に、システムのセットを1つ以上のアプリケーションモデルグループに組織化し得る。例えば、組織化モジュール106は、図2中のセキュリティシステム202の一部として、セキュリティシステム202により自動的に、システムのセットを1つ以上のアプリケーションモデルグループに組織化し得る。
本明細書において用いられる場合、「アプリケーションモデルグループ」という用語は、データセンターアプリケーションの部分を形成するシステムの任意の集合を一般に意味する。一部の実施形態では、アプリケーションモデルグループは、データセンターアプリケーション内で類似の役割を果たす仮想マシンの集合であり得る。例えば、アプリケーションモデルグループは、データセンターアプリケーションのウェブ階層を提供する仮想マシンの全てを含み得る。一部の実施例では、アプリケーションモデルグループは、ただ1つのシステムのみを含み得る。1つの実施例では、アプリケーションモデルグループは、仮想マシンのアドレスグループを含み得る。
組織化モジュール106は、様々なやり方で、システムを組織化し得る。例えば、組織化モジュール106は、システムのセットを、アプリケーション階層に基づいて組織化し得る。別の1つの実施例では、組織化モジュール106は、システムのセットを、他のどのシステムとそれぞれのシステムが通信しているかに基づいて組織化し得る。例えば、組織化モジュール106は、システムを、内向きのディペンデンシー(すなわち、データセンターアプリケーションの一部として、トラフィックをそのシステムに送る他のシステム)、及び/又は、外向きのディペンデンシー(すなわち、データセンターアプリケーションの一部として、トラフィックをそのシステムから受信する他のシステム)に基づいて組織化し得る。追加的に又は代替的に、組織化モジュール106は、システムのセットを、例えば、ウェブサイトの認証済み又は未認証部分に対して機能性を提供するかどうかのような他の基準に基づいて組織化し得る。一部の実施例では、組織化モジュール106は、機能性、例えば、JBOSSを実行するアプリケーションサーバをすべて同じアプリケーションモデルグループの中に配置することにより、システムを組織化し得る。別の1つの実施例では、組織化モジュール106は、機密扱いの情報を格納するデータベースをホストする全システムを、同じアプリケーションモデルグループに配置し得る。
一部の実施形態では、組織化モジュール106は、システムを、事前構成されたルールに基づいて組織化することにより、システムのセットを自動的に組織化し得る。例えば、組織化モジュール106は、システムを階層に基づいて自動的に組織化し、次にシステムをそれぞれの階層内で、内向き及び外向きのディペンデンシーに基づいて組織化するように構成され得る。別の1つの実施例では、組織化モジュール106は、システムに適用されたアプリケーションタグに基づいて、システムをアプリケーションモデルグループ(ただし、それぞれのアプリケーションモデルグループは、同じアプリケーションタグを有するすべてのシステムからなる)に組織化するように構成され得る。追加的に又は代替的に、組織化モジュール106は、それぞれのシステムの属性を、それぞれのアプリケーションモデルグループに関連付けられた属性のリストに照らし合わせることにより、システムをアプリケーションモデルグループに自動的に組織化し得る。例えば、アプリケーションモデルグループは、データベース階層内の、非常に限られた外向きのトラフィックを有するシステムのみからなり得る。この実施例では、組織化モジュール106は、そのアプリケーションモデルグループ内に、限られた外向きのディペンデンシーを有する全てのデータベースサーバを自動的に配置し得る。一部の実施形態では、組織化モジュール106は、人手による介入なしで、システムを組織化し得る。
ステップ304(a)では、本明細書に記載されるシステムが、システムのセット内のそれぞれのシステムに対して、システムがその下で動作するべきセキュリティコンテクストを示すシステムの属性を識別し得る。例えば、組織化モジュール106は、システムのセット内のそれぞれのシステム208に対して、システム208がその下で動作するべきセキュリティコンテクスト214を示す、システム208の属性212を識別し得る。
本明細書において用いられる場合、「属性」という用語は、データセンターアプリケーション内のシステムの任意の特性を一般に意味する。属性の例としては、システムにインストールされているオペレーティングシステム、システムのタイプ、システム上にインストールされているアプリケーション、システムの構成、システム上にインストールされているアプリケーションの構成、システムに出入りするネットワークトラフィックの特性、システムに適用されているタグ、システムにより提供されるサービス、システムに格納されているデータのタイプ、及び/又はシステムが、データセンターアプリケーション内のその他のシステムとの間に有する関係性、が挙げられ得るが、それらに限られない。例えば、システムは、WINDOWS(登録商標) SERVER 2008オペレーティングシステムを実行する属性、サーバを擬するよう構成された仮想マシンであるという属性、読み取りのみ可能なように構成されたデータベースアプリケーションをホストするという属性、ウェブサーバからトラフィックを受けるという属性、及び「低セキュリティデータベース」というタグを付けられているという属性を有し得る。
本明細書において用いられる場合、「セキュリティコンテクスト」という用語は、セキュリティに対する需要の任意の分類、及び/又はシステムのセキュリティコンフィグレーションを一般に意味する。一部の実施形態では、セキュリティコンテクストには、タイプ、ソース、及び/又はシステムに向かってくる若しくはシステムから発するネットワークトラフィックの行き先が挙げられ得る。追加的に又は代替的に、セキュリティコンテクストは、システムが他のシステムとの間に有する関係性、例えば、システムが占めるアプリケーション階層を含み得る。一部の実施例では、セキュリティコンテクストは、システムどうしの間のディペンデンシー、システム上に格納されているデータのタイプ、システムにより提供されるサービス(すなわち、システムにより、他のシステムのために実行される機能)、システムの構成、及び/又は、システムの任意の他の属性を意味し得る。例えば、ウェブサイトの未認証部分をホストする、パブリック向けウェブサーバは、多くの異なるソースからの広範な種類のトラフィックを可能にするセキュリティコンテクストを有し得る。別の1つの実施例では、被雇用者及び/又は顧客に対する個人識別情報を格納するデータベースをホストするサーバは、高度に機密性の高いセキュリティコンテクストを有し得る。追加的に又は代替的に、ウェブアプリケーションに対する管理設定を格納するシステムは、外部のソースからのトラフィックを許可しないセキュリティコンテクストを有し得る。
1つの実施形態では、識別モジュール104は、データセンタープラットフォームに、データセンターアプリケーションを含み得るシステムのセットを識別するように問い合わせることにより、データセンターアプリケーションを識別し得る。データセンタープラットフォームは、仮想ネットワークをサポートし、かつ/又はデータセンターアプリケーションを管理するよう設計されたソフトウェア、例えばVMware NSXを含み得る。データセンタープラットフォームは、識別モジュール104がデータセンターアプリケーション内のシステムの属性を識別するのに用い得る、データセンターアプリケーションについてのメタデータ、並びに/又はデータセンターアプリケーションのモデル及び/若しくはデータセンターアプリケーション内のシステムのモデルへのアクセスを有し得る。この実施形態では、識別モジュール104は、システムの属性を、データセンタープラットフォームに、データセンターアプリケーション内でそのシステムが属するアプリケーション階層、及び/又はシステム上で実行されるサービスを判定するように問い合わせることにより識別し得る。一部の実施形態では、識別モジュール104はまた、データセンターアプリケーションに、システムを出入りするトラフィックについて問い合わせて、システムのインバウンドディペンデンシー及び/又はシステムのアウトバウンドディペンデンシーを判定し得る。例えば、識別モジュール104は、システムが、データセンターアプリケーションのウェブ階層、アプリケーション階層、及び/又はデータベース階層に属することを判定し得る。別の1つの実施例では、識別モジュール104は、システムが、ウェブサーバ、Eメールサーバ、データベースサーバ、及び/若しくはファイルサーバとして構成され、かつ/又はウェブサーバ、Eメールサーバ、データベースサーバ、及び/又はファイルサーバをホストしていることを判定し得る。追加的に又は代替的に、識別モジュール104は、システムがある他のシステムへトラフィックを送ること、及び/又はある他のシステムからのトラフィックを受容することを、判定し得る。例えば、識別モジュール104は、データセンタープラットフォームに問い合わせ、アプリケーションサーバがウェブサーバからトラフィックを受信し、データベースサーバにトラフィックを送信していることを判定し得る。
一部の実施形態では、識別モジュール104は、階層及び/又はシステム上で実行されるサービスに基づいて、システムをカテゴリ及び/又はサブカテゴリに類別し得る。例えば、識別モジュール104は、「ビジネス」のカテゴリ、「データベース」のサブカテゴリ、「クライアント−サーバ」技術カテゴリ、及び/又は「MONGODB」アプリケーションのカテゴリに属するものとしてシステムを類別し得る。一部の実施例では、識別モジュール104はまた、どのポートが(例えば、他のシステムからリクエストを受け付けるために)オープンであるか、及び/又は、どのプロトコル、リクエストを受け付けるためにシステムが用いているかに基づいて、システムを類別し得る。一部の実施形態では、識別モジュール104は、システムからのメタデータに基づいて、上記の情報を判定し得る。本明細書において用いられる場合、「メタデータ」という用語は、システム若しくはシステムの特性の任意の説明、並びに/又はそれについてのデータを典型的には意味する。例えば、システムについてのメタデータには、システムがそれで構成されるアプリケーションのタイプ、システムが期待するトラフィックのタイプ、及び/又は、システム上のオペレーティングシステムが挙げられ得る。一部の実施例では、識別モジュール104は、例えば、ドキュメント、ライブラリ、ウェブアプリケーション、及び/又はアプリケーションプログラミングインターフェイスのような、SHAREPOINTアプリケーションタイプに従って、システムを類別し得る。
ステップ304(b)では、本明細書に記載されるシステムが、システムを、セキュリティコンテクストがそれに対して提供されるアプリケーションモデルグループに割り当て得る。例えば、組織化モジュール106は、図2の中のセキュリティシステム202の一部として、システム208を、セキュリティコンテクスト214がそれに対して提供される、アプリケーションモデルグループ210に割り当て得る。組織化モジュール106は、様々なやり方で、システムを、アプリケーションモデルグループに組織化し得る。
一部の実施例では、組織化モジュール106は、アプリケーション階層、サービス、及びデータセンターアプリケーションのシステムのセットのディペンデンシー、いくつのアプリケーションモデルグループにシステムが組織化されるのか、並びに/又はそれぞれのアプリケーションモデルグループに対して提供されるべきセキュリティコンテクストに基づいて、システムを1つ以上のアプリケーションモデルグループに組織化し得る。例えば、組織化モジュール106は、データセンターアプリケーションが3つの階層を含むと判定し得るが、それゆえに、システムを3つのアプリケーションモデルグループに組織化し得る。別の1つの実施例では、組織化モジュール106は、データセンターアプリケーションが、その全てが主として、それぞれのクラスタ内で内部的に通信するシステムの5つのクラスタを含むと判定し得るが、そのため、システムを5つのアプリケーションモデルグループに組織化し得る。本実施例では、組織化モジュール106はまた、それぞれのクラスタに対するセキュリティコンテクストは、そのクラスタの外部のシステムとの通信を制限すべきであると判定し得る。追加的に又は代替的に、組織化モジュール106は、アプリケーションモデルグループを、手動で作成されたグループ分けに基づいて割り当て得る。一部の実施例では、組織化モジュール106は、識別モジュール104により識別されたシステムのカテゴリ及び/又はサブカテゴリに基づいて、VNware NSXアプリケーションモデルグループを作成し、かつ/又は、グループに対処し得る。本明細書において用いられる場合、「アドレスグループ」という用語は、アプリケーションモデルグループにより組織化された、システムのネットワークアドレスのグループを意味する。
一部の実施形態では、セキュリティコンテクスト及び/又はアプリケーションモデルグループは、アプリケーション階層に基づいて、作成及び/又は組織化され得る。図4に示すように、データセンターアプリケーション400は、ウェブサーバ412及び/若しくはウェブサーバ414を含むウェブサーバアプリケーションモデルグループ420、Eメールサーバ406を含み得るEメールサーバアプリケーションモデルグループ416、並びに/又はデータベースサーバ408及び410を含み得るデータベースサーバアプリケーションモデルグループ418を含み得る。
一部の実施例では、識別モジュール104は、新たなシステムがデータセンターアプリケーションに追加されたと判定し得るが、新たなシステムが追加されたと判定するのに反応して、組織化モジュール106は、その新たなシステムがその下で動作するべきセキュリティコンテクストを示す新たなシステムの属性を識別し、かつ、そのシステムを、セキュリティコンテクストが提供される既存のアプリケーションモデルグループに対して割り当て得る。例えば、新サーバ422がデータセンターアプリケーションに追加されると、識別モジュール104が、新サーバ422の属性を検査して、新サーバ422がウェブサーバ、データベースサーバ、又はEメールサーバであるかどうかを判定し、それゆえに、新サーバ422を、ウェブサーバアプリケーションモデルグループ420、Eメールサーバアプリケーションモデルグループ416、又はデータベースサーバアプリケーションモデルグループ418に追加すべきかどうかを判定し得る。一部の実施例では、新サーバ422は、例えばアプリケーションサーバのような別のタイプのサーバであり得るが、組織化モジュール106は、新たなアプリケーションモデルグループを作成し得る。一部の実施形態では、組織化モジュール106は、アプリケーションサーバを、eメールサーバと同じ階層の部分とみなし得るので、新サーバ422をEメールサーバアプリケーションモデルグループ416に配置し得る。
一部の実施例では、新サーバ422が追加されると、組織化モジュール106は、データセンターアプリケーションモデルの全体を再評価し、かつ/又は、既存のアプリケーションモデルグループを再組織化し得る。例えば、組織化モジュール106は、Eメールサーバアプリケーションモデルグループ416を除去して、アプリケーションサーバアプリケーションモデルグループを作製し得る。組織化モジュール106はまた、アプリケーションモデルグループ内のシステムと新サーバ422との間の関係性に基づいて、システム及び/又はアプリケーションモデルグループを再組織化し得る。例えば、ウェブサーバ412は、新サーバ422と通信する必要があり得るが、他方でウェブサーバ414は、新サーバ422と通信する必要が必ずしもない場合があり得る。この実施例では、組織化モジュール106は、ウェブサーバ412及びウェブサーバ414を、新サーバ422に関して異なるセキュリティコンテクストを有する、異なるアプリケーションモデルグループ内に配置し得る。
一部の実施形態では、組織化モジュール106はまた、システムが削除又は変更された場合には、システム及び/又はアプリケーションモデルグループを再組織化し得る。例えば、あるサーバがそれまでとは異なるサーバのセットと通信するように変更された場合、組織化モジュール106は、そのサーバを、新たなサーバのセットと通信可能とする、異なるアプリケーションモデルグループに配置し得る。
図3に戻ると、ステップ306では、本明細書に記載の1つ以上のシステムが、1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、そのアプリケーションモデルグループを保護し得る。例えば、セキュリティモジュール108は、図2のセキュリティシステム202の一部として、1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループ210に対して、アプリケーションモデルグループ210を保護し得る。
セキュリティモジュール108は、様々なコンテクストで、アプリケーションモデルグループを保護し得る。例えば、セキュリティモジュール108は、アプリケーションモデルグループを保護するファイアウォールポリシーを有するファイアウォール製品の一部であり得る。一部の実施例では、セキュリティモジュール108は、次世代ファイアウォール製品及び/又はポイントファイアウォール製品を含み得る。別の1つの実施形態では、セキュリティモジュール108は、アプリケーションモデルグループを保護するためにファイアウォール製品と通信する、セキュリティシステムの一部であり得る。
ステップ306(a)では、本明細書に記載の1つ以上のシステムは、適用された場合にアプリケーションモデルグループに対してセキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択し得る。例えば、セキュリティモジュール108は、図2のセキュリティシステム202の一部として、適用された場合に、アプリケーションモデルグループ210に対してセキュリティコンテクスト214を提供するファイアウォールコンフィグレーション216を選択し得る。
本明細書において用いられる場合、「ファイアウォールコンフィグレーション」という用語は、ファイアウォールがシステムを保護し得る任意のやり方を、一般に意味する。ファイアウォールコンフィグレーションは、ファイアウォール設定、ファイアウォールポリシー、ファイアウォールのタイプ、ファイアウォールの任意の他の好適な特性、及び/又はそれらの任意の組み合わせを含み得る。
一部の実施形態では、セキュリティモジュール108は、自動的に生成されたファイアウォールコンフィグレーションを選択し得る。例えば、セキュリティモジュール108は、アプリケーションモデルグループのセキュリティコンテクストに基づいて、いくつかのファイアウォールポリシー及び/又は設定を自動的に組み合わせてファイアウォールコンフィグレーションに組み込み得る。一部の実施例では、セキュリティモジュール108は、アプリケーションタグをセキュリティタグに対応付ける相関アルゴリズムに基づいて、ファイアウォールコンフィグレーションを選択し得る。相関アルゴリズムは、タグの内容に基づいて、セキュリティタグ(例えば、アプリケーションモデルグループに割り当てられたタグ)をアプリケーションタグ(例えば、データセンターアプリケーションのシステムに割り当てられたタグ)に対応付け得る。例えば、セキュリティモジュール108は、非常に機密性の高いセキュリティコンテクストを有するシステムに適用するものとしての「重要なミッション」というアプリケーションタグの内容と、最も厳格なセキュリティポリシーとしての「SHAREPOINTの厳格なポリシー」というセキュリティタグの内容とに基づいて、「重要なミッション」タグを、「SHAREPOINTの厳格なポリシー」タグに対応付け得る。別の実施例では、セキュリティモジュール108は、ユーザーによって入力された対応付けを用い得る。例えば、ユーザーは、「重要なミッション」というアプリケーションタグを、「SHAREPOINTの厳格なポリシー」というセキュリティタグに関連付ける対応付けを提供し得る。
セキュリティモジュール108は、あらかじめ定義された、又はデフォルトのファイアウォールコンフィグレーションを選択し得る。例えば、管理者は、データセンターアプリケーション内のシステムに、期待されるセキュリティコンテクストどうしを一致させる、人の手によって作成されたファイアウォールコンフィグレーションのセットを提供し得るが、セキュリティモジュール108は、これらの構成のうちの1つを選択してもよい。一部の実施形態では、セキュリティモジュール108は、自動的に生成され、かつ、あらかじめ構成されたファイアウォールコンフィグレーションどうしを混合したものを選択し得る。
一部の実施例では、セキュリティモジュール108は、データセンターアプリケーションのシステムが組織化されたそれぞれのアプリケーションモデルグループを識別し、実行された場合に、それぞれの識別されたアプリケーションモデルグループに対してセキュリティコンテクストを提供するファイアウォールポリシーのセットを確立することにより、それぞれの識別されたアプリケーションモデルグループに対して、ファイアウォールコンフィグレーションを作成し得る。1つの実施例では、セキュリティモジュール108は、いくつかのファイアウォールポリシーを組み合わせることによってファイアウォールコンフィグレーションを作成し得る。例えば、セキュリティモジュール108は、「ハイパーテキスト転送プロトコルセキュア(HTTPS)のトラフィックのみ許可」というファイアウォールポリシーと、「内部のインターネットプロトコルアドレスからのリクエストのみ許可」というファイアウォールポリシーとを組み合わせて、内部のウェブサーバのグループを保護するためのファイアウォールコンフィグレーションを作成し得る。
セキュリティモジュール108は、様々なやり方で、ファイアウォールコンフィグレーションをアプリケーションモデルグループと、関連付け得る。例えば、図5に示すように、セキュリティモジュール108は、アプリケーションモデル502をファイアウォールポリシーモデル512と、関連付け得る。1つの実施例では、アプリケーションモデル502は、ウェブ階層504、アプリケーション階層506、及び/又はデータベース階層508を含み得る。アプリケーションモデル502内のシステムは、例えば、そのシステムが含まれるアプリケーション階層のような様々な特性に従ってタグ付けされ得る。ファイアウォールポリシーモデル512は、ファイアウォールポリシー516を、適切なアプリケーションモデルグループに対して適用するために、アプリケーションタグ520を、ポリシーグループ514に由来するセキュリティタグ518と関連付け得る。一部の実施例では、ポリシーグループ514は、アプリケーションモデル502内のアプリケーションモデルグループと、関連付けられ得る。
一部の実施例では、セキュリティモジュール108は、特定のファイアウォールポリシーをそれぞれのアプリケーションモデルグループと、関連付け得る。例えば、図6に示すように、セキュリティモジュール108は、ファイアウォールポリシー622をアプリケーションモデルグループ602と関連付け得る。一部の実施例では、同じ階層内のシステムが、異なるアプリケーションモデルグループに分割され得る。例えば、「全てのMySQLサーバからのトラフィックを許可」というファイアウォールポリシー624は、メインデータベースグループ604と関連付けられ得るが、他方で、「指定のMySQLサーバからのトラフィックのみ許可」というファイアウォールポリシー626は、高機密データベースグループ606と関連付けられ得る。別の1つの実施例では、「インターネットプロトコル(TCP/IP)トラフィックに対するすべての伝送制御プロトコルを許可」というファイアウォールポリシー628は、パブリックウェブサーバグループ608に対して適用され得るが、他方で、「追加のパケット点検を伴うすべてのTCP/IPトラフィックを許可」というファイアウォールポリシー630は、内部ウェブサーバグループ610に対して適用され得る。一部の実施例では、ファイアウォールポリシーは、特定の機能を果たすシステムを含むアプリケーションモデルグループと、関連付けられ得る。例えば、「ファイル転送プロトコル(FTP)のトラフィックのみ許可」というファイアウォールポリシー632は、FTPサーバグループ612と関連付けられ得る。
一部の実施例では、セキュリティモジュール108は、それぞれのファイアウォールコンフィグレーションのメタデータを識別することにより、ファイアウォールコンフィグレーションのセットを識別し得るが、セキュリティモジュール108はまた、それぞれのファイアウォールコンフィグレーションのメタデータを1つ以上のアプリケーションモデルグループと関連付けることにより、アプリケーションモデルグループに対するセキュリティコンテクストに対応するファイアウォールコンフィグレーションを選択し得る。例えば、セキュリティモジュール108は、それぞれのファイアウォールコンフィグレーションを説明するセキュリティタグを識別し、かつ/又は、セキュリティタグをアプリケーションモデルグループと関連付け得る。一部の実施形態では、「FTPトラフィックのみ許可」というファイアウォールポリシー632のような、図6に関連して上に挙げたファイアウォールポリシーは、セキュリティタグの例であり得る。追加的に又は代替的に、セキュリティモジュール108は、アプリケーションモデルグループを、ユーザーが定義したセキュリティポリシー及び/又はセキュリティタグと、関連付け得る。
図3に戻って、ステップ306(b)では、本明細書に記載の1つ以上のシステムは、選択されたファイアウォールコンフィグレーションを用いて、アプリケーションモデルグループを保護し得る。例えば、セキュリティモジュール108は、図2のセキュリティシステム202の一部として、選択されたファイアウォールコンフィグレーション216を用いてアプリケーションモデルグループ210を保護し得る。
一部の実施例では、セキュリティモジュール108は、ファイアウォールコンフィグレーションのセットを識別することにより、ファイアウォールコンフィグレーションを選択し得る。これらの実施例では、ファイアウォールコンフィグレーションのセット内のそれぞれのファイアウォールコンフィグレーションは、ファイアウォールポリシーの異なるセットを含み得る。そのためセキュリティモジュール108は、アプリケーションモデルグループのためのセキュリティコンテクストに対応するファイアウォールコンフィグレーションを選択し得る。一部の実施例では、セキュリティモジュール108は、アプリケーションモデルグループ内のシステムに適用されたアプリケーションタグ、及び/又はファイアウォールポリシーに対して適用されたセキュリティタグに基づいて、ファイアウォールコンフィグレーションを選択し得る。本実施形態では、セキュリティモジュール108は、ファイアウォールをファイアウォールコンフィグレーションで構成し、そのファイアウォールがアプリケーションモデルグループを保護するようにファイアウォールを作動させることにより、選択されたファイアウォールコンフィグレーションを用いて、アプリケーションモデルグループを保護し得る。例えば、ファイアウォールは、ファイアウォールコンフィグレーションに従って、アプリケーションモデルグループ内のシステムに向けられたパケットを監視し、傍受し、及び/又は点検し得る。
一部の実施例では、組織化モジュール106は、選択されたファイアウォールコンフィグレーションを組織化して、セキュリティのマイクロセグメント化を提供することにより、アプリケーションモデルグループを保護し得る。セキュリティモジュール108は、アプリケーションモデルグループと、データセンターアプリケーションの少なくとも1つの他のアプリケーションモデルグループとの間の通信に対して、選択されたファイアウォールコンフィグレーションの1つ以上のポリシーを実行し得る。本明細書において用いられる場合、「セキュリティのマイクロセグメント化」という用語は、任意のブロックすること、監視すること、又はその他の方法で、同じネットワーク内のシステム間のネットワークトラフィックを制御することを意味し得る。例えば、図7に示すように、データセンターアプリケーションは、4つのアプリケーションモデルグループ、すなわち、アプリケーションモデルグループ718、720、722、及び/又は724を含み得る。これらのアプリケーションモデルグループのそれぞれは、例えば、IISウェブサーバ712、APACHE TOMCATウェブサーバ714、JBOSSアプリサーバ716、Eメールサーバ706、MySQLデータベース708、及び/又はオラクル(ORACLE)データベース710のような、1つ以上のシステムを含み得る。一部の実施例では、セキュリティモジュール108は、アプリケーションモデルグループ720内のシステムとアプリケーションモデルグループ722内のシステムとの間の通信、アプリケーションモデルグループ722とアプリケーションモデルグループ724との間の通信、及び/又はアプリケーションモデルグループ722とアプリケーションモデルグループ718との間の通信に対してファイアウォールポリシーを実行し得る。
グループ間の通信に、ファイアウォールポリシーを実行することにより、セキュリティモジュール108は、1つのアプリケーションモデルグループが感染した悪意のある活動が、他のグループにも感染するのを防ぎ得る。例えば、あるウィルスが、先に発見されなかった脆弱性により、JBOSSアプリサーバ716に感染し得る。本実施例では、機密性の高いデータを盗むためにウィルスが、オラクルデータベース710に広がろうと試みているとしてよい。ファイアウォールポリシーは、アプリケーションモデルグループ722内のJBOSSアプリサーバ716と、アプリケーションモデルグループ718内のオラクルデータベース710とを通過するパケットを点検し、ウィルスにより生成されたと疑わしいトラフィックをブロックすることにより、そのウィルスが広がるのを防ぎ得る。
1つの実施形態では、システムは、仮想マシンを含み得、ファイアウォールコンフィグレーションは、仮想ファイアウォール内で実装され得、かつ、データセンターアプリケーションは、ソフトウェアで定義されたデータセンタープラットフォーム上で実装され得る。本明細書において用いられる場合、「仮想ファイアウォール」という用語は、仮想ネットワーク内で完全に実行され、ネットワークトラフィックを監視し、篩い分けし、制御し、かつ/又は、その他のやり方でネットワークトラフィックに相互に作用する任意のアプリケーションを、典型的には意味する。ハードウェアのファイアウォールとは異なり、仮想ファイアウォールは、同じ物理的デバイス上で動作している仮想マシンどうしの間を通過するパケットを監視し得る。本実施形態では、組織化モジュール106は、ソフトウェアで定義されたデータセンタープラットフォームのデータ構造を利用して、システムのセットを1つ以上のアプリケーションモデルグループに分割するようソフトウェアで定義されたデータセンタープラットフォームに命令することにより、システムのセットを1つ以上のアプリケーションモデルグループに組織化し得る。例えば、データセンターアプリケーションは、SYMANTEC DATA CENTER SECURITYにより実行される、ソフトウェアで定義されたデータセンター上に実装されたマイクロセグメント化セキュリティを有するウェブサイトであり得る。
既に方法300と関連付けて説明したように、本明細書に記載のシステム及び方法は、データセンターアプリケーション内のシステムの、自動的に定義されるアプリケーションモデルグループにファイアウォールポリシーを自動的に適用することにより、データセンターアプリケーション内のシステムを保護し得る。これらのファイアウォールポリシーは、データセンターアプリケーションをホストしている同一のネットワーク内での東西トラフィックを制御し得る。まず、本明細書に記載のシステムは、データセンターアプリケーション内の全ての仮想マシンを発見し得るか、かつ/又はそれぞれの仮想マシンの機能を判定し得る。次に、本明細書に記載のシステムは、仮想マシンを、例えばIISで構成された全てのウェブサーバを、1つのグループに入れ、JBOSSで構成された全てのアプリケーションサーバを、別のグループに入れることによって、機能別にグループ分けし得る。本明細書に記載のシステムはまた、仮想マシンどうしの間のディペンデンシーを発見し得る(例えば、アプリケーションサーバがウェブサーバから内部に入ってくるリクエストを処理し、データベースサーバに出て行くリクエストを作成する)。本明細書に記載のシステムは、ファイアウォール製品内に、アプリケーションモデルグループに対応するファイアウォールポリシーグループを作製し得、かつ/又はファイアウォールポリシーをそれぞれのアプリケーションモデルグループに対して構成し得る。データセンターアプリケーションに、新たな仮想マシンが追加され、かつ/又は他の変化が加えられた場合には、本明細書に記載のシステムは、アプリケーションモデルグループ及び/又はファイアウォールポリシーを再組織化し得る。マイクロセグメント化をデータセンターアプリケーションに対して実行することにより、本明細書に記載のシステムは、データセンターアプリケーションの一部分に感染した攻撃が、他の部分に感染するのを防ぎ得る。仮想マシンをグループ分けして、かつ、ファイアウォールポリシーを自動的に構成することにより、本明細書に記載のシステムはまた、時間がかかり、エラーを起こしがちである、人間の介入なしで、高いレベルのセキュリティを効率的に、データセンターアプリケーションに対して維持し得る。
図8は、本明細書に記載及び/又は図示される実施形態のうち1つ以上を実現することができる例示的なコンピューティングシステム810のブロック図である。例えば、コンピューティングシステム810の全て又は一部は、単独で又は他の要素と組み合わせて、(図3に図示されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施し、かつ/又はそれを実施するための手段となり得る。コンピューティングシステム810の全て又は一部はまた、本明細書に記載及び/又は図示される他の任意のステップ、方法、若しくは処理を実施し、かつ/あるいはそれを実施するための手段となり得る。
コンピューティングシステム810は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム810の例としては、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられるが、それらに限られない。その最も基本的な構成において、コンピューティングシステム810は、少なくとも1つのプロセッサ814及びシステムメモリ816を含むものであり得る。
プロセッサ814は、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形態の物理的処理装置(例えば、ハードウェア実装型中央処理装置)を、一般に表す。特定の実施形態では、プロセッサ814は、ソフトウェアアプリケーション又はモジュールから命令を受信し得る。これらの命令は、プロセッサ814に、本明細書において記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させ得る。
システムメモリ816は、データ及び/又は他のコンピュータ可読命令を格納することが可能な、任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイス若しくは媒体を、一般に表す。システムメモリ816の例としては、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられるが、それらに限られない。必須ではないが、特定の実施形態では、コンピューティングシステム810は、揮発性メモリユニット(例えば、システムメモリ816など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス832など)の両方を含み得る。1つの実施例では、図1のモジュール102の1つ以上がシステムメモリ816にロードされ得る。
特定の実施形態では、例示的なコンピューティングシステム810はまた、プロセッサ814及びシステムメモリ816に加えて、1つ以上の構成要素又は要素を含み得る。例えば、図8に示されるように、コンピューティングシステム810は、メモリコントローラ818、入力/出力(I/O)コントローラ820、及び通信インターフェース822を含み得るが、それらはそれぞれ通信基盤812を介して相互接続され得る。通信基盤812は、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ若しくは形態の基盤を、一般に表す。通信基盤812の例としては、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられるが、それらに限られない。
メモリコントローラ818は、メモリ若しくはデータを扱うことが可能、又はコンピューティングシステム810の1つ以上の構成要素間の通信を制御することが可能な、任意のタイプ若しくは形態のデバイスを、一般に表す。例えば、特定の実施形態では、メモリコントローラ818は、通信基盤812を介して、プロセッサ814、システムメモリ816、及びI/Oコントローラ820の間の通信を制御し得る。
I/Oコントローラ820は、コンピューティングデバイスの入出力機能を調整及び/又は制御することが可能な、任意のタイプ若しくは形態のモジュールを、一般に表す。例えば、特定の実施形態では、I/Oコントローラ820は、プロセッサ814、システムメモリ816、通信インターフェース822、ディスプレイアダプタ826、入力インターフェース830、及び記憶インターフェース834など、コンピューティングシステム810の1つ以上の要素間におけるデータの転送を制御し、又は容易にし得る。
通信インターフェース822は、例示的なコンピューティングシステム810と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ若しくは形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、通信インターフェース822は、コンピューティングシステム810と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース822の例としては、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられるが、それらに限られない。少なくとも1つの実施形態では、通信インターフェース822は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供し得る。通信インターフェース822はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、リモートサーバへの接続を間接的に提供し得る。
特定の実施形態では、通信インターフェース822はまた、外部バス又は通信チャネルを介して、コンピューティングシステム810と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース822はまた、コンピューティングシステム810が分散型又はリモートコンピューティングに関与することを可能にし得る。例えば、通信インターフェース822は、実行のためにリモートデバイスから命令を受信、又はリモートデバイスに命令を送信し得る。
図8に示されるように、コンピューティングシステム810はまた、ディスプレイアダプタ826を介して通信基盤812に連結される少なくとも1つのディスプレイデバイス824を含み得る。ディスプレイデバイス824は、ディスプレイアダプタ826によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを、一般に表す。同様に、ディスプレイアダプタ826は、ディスプレイデバイス824に表示するために、通信基盤812から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを、一般に表す。
図8に示されるように、例示的なコンピューティングシステム810はまた、入力インターフェース830を介して通信基盤812に連結される少なくとも1つの入力デバイス828を含み得る。入力デバイス828は、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム810に提供することができる、任意のタイプ若しくは形態の入力デバイスを、一般に表す。入力デバイス828の例としては、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられるが、それらに限られない。
図8に示されるように、例示的なコンピューティングシステム810はまた、記憶インターフェース834を介して通信基盤812に連結される、一次記憶デバイス832及びバックアップ記憶デバイス833を含み得る。記憶デバイス832及び833は、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。例えば、記憶デバイス832及び833は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース834は、記憶デバイス832及び833とコンピューティングシステム810の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを、一般に表す。
特定の実施形態では、記憶デバイス832及び833は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された、取外し可能な記憶ユニットから読み取り、かつ/又はそれに書き込むように構成され得る。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス832及び833はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム810にロードされることを可能にする、他の同様の構造体又はデバイスを含み得る。例えば、記憶デバイス832及び833は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取り、かつ、これを書き込むように構成され得る。記憶デバイス832及び833はまた、コンピューティングシステム810の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムが、コンピューティングシステム810に接続され得る。反対に、図8に示される構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図8に示されるのとは異なる方法で相互接続され得る。コンピューティングシステム810はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用い得る。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY)(登録商標)ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム810にロードされ得る。次に、コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、システムメモリ816に、並びに/又は記憶デバイス832及び833の様々な部分に格納され得る。プロセッサ814によって実行されると、コンピューティングシステム810にロードされたコンピュータプログラムは、プロセッサ814に、本明細書に記載及び/又は図示される例示的な実施形態のうち1つ以上の機能を実施させ、かつ/又はそれらを実施するための手段となり得る。追加的に又は代替案として、本明細書に記載及び/又は図示される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム810は、本明細書に開示される例示的な実施形態の1つ以上を実現するように適合された、特定用途向け集積回路(ASIC)として構成され得る。
図9は、クライアントシステム910、920、及び930、並びにサーバ940及び945がネットワーク950に連結され得る、例示的なネットワークアーキテクチャ900のブロック図である。既に詳述したように、ネットワークアーキテクチャ900の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書に開示されるステップの1つ以上(図3に示されるステップの1つ以上など)を実施し得るが、かつ/あるいはそれを実施するための手段となり得る。ネットワークアーキテクチャ900の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用され得るか、かつ/あるいはそれを実施するための手段となり得る。
クライアントシステム910、920、及び930は、一般に、図8の例示的なコンピューティングシステム810など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ940及び945は、様々なデータベースサービスを提供し、かつ/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ若しくはデータベースサーバなどの、コンピューティングデバイス又はシステムを、一般に表す。ネットワーク950は、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを、一般に表す。1つの実施例では、クライアントシステム910、920、及び/若しくは930、並びに/又はサーバ940及び/若しくは945は、図1からのシステム100の全て又は一部を含み得る。
図9に示されるように、1つ以上の記憶デバイス960(1)〜(N)はサーバ940に直接取り付けられ得る。同様に、1つ以上の記憶デバイス970(1)〜(N)はサーバ945に直接取り付けられ得る。記憶デバイス960(1)〜(N)及び記憶デバイス970(1)〜(N)は、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。特定の実施形態では、記憶デバイス960(1)〜(N)及び記憶デバイス970(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ940及び945と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
サーバ940及び945はまた、ストレージエリアネットワーク(SAN)ファブリック980に接続され得る。SANファブリック980は、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを、一般に表す。SANファブリック980は、サーバ940及び945と、複数の記憶デバイス990(1)〜(N)及び/又はインテリジェント記憶アレイ995との間の通信を容易にし得る。SANファブリック980はまた、記憶デバイス990(1)〜(N)及びインテリジェント記憶アレイ995が、クライアントシステム910、920、及び930にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク950並びにサーバ940及び945を介して、クライアントシステム910、920、及び930と、記憶デバイス990(1)〜(N)及び/又はインテリジェント記憶アレイ995との間の通信を容易にし得る。記憶デバイス960(1)〜(N)及び記憶デバイス970(1)〜(N)と同様に、記憶デバイス990(1)〜(N)及びインテリジェント記憶アレイ995は、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。
特定の実施形態では、また図8の例示的なコンピューティングシステム810を参照すると、図8の通信インターフェース822などの通信インターフェースは、それぞれのクライアントシステム910、920、及び930とネットワーク950との間の接続を提供するために使用され得る。クライアントシステム910、920、及び930は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ940又は945上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム910、920、及び930が、サーバ940、サーバ945、記憶デバイス960(1)〜(N)、記憶デバイス970(1)〜(N)、記憶デバイス990(1)〜(N)、又はインテリジェント記憶アレイ995によってホストされるデータにアクセスすることを可能にし得る。図9は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ940、サーバ945、記憶デバイス960(1)〜(N)、記憶デバイス970(1)〜(N)、記憶デバイス990(1)〜(N)、インテリジェント記憶アレイ995、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ940に記憶され、サーバ945によって作動し、ネットワーク950上でクライアントシステム910、920、及び930に配信されてもよい。
既に詳細に述べたように、コンピューティングシステム810及び/又は、ネットワークアーキテクチャ900の1つ以上の構成要素は、単独で又は他の要素と組み合わせて、ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するための1つの例示的な方法の1つ以上のステップを実行し得る、かつ/又は、それを実行するための手段となり得るものである。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
一部の実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
一部の実施例によれば、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザー認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は図示されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載若しくは図示されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は図示してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に挙げられている1つ以上のモジュールは、変換対象のデータセンターアプリケーションの情報を受け取って、そのデータセンターアプリケーションの情報を変換し、その変換結果をデータセンターアプリケーションモデルに出力し、その変換結果を使用してデータセンターアプリケーションをアプリケーションモデルグループ内に組織化し、かつ、その変換結果をセキュリティシステムに記憶させ得る。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。

Claims (20)

  1. ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するため、少なくともその一部が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実行されるコンピュータ実装方法であって、
    その機能性がシステムのセットにより提供されるデータセンターアプリケーションを識別することと、
    システムの前記セットを、1つ以上のアプリケーションモデルグループに前記コンピューティングデバイスにより自動的に組織化することであって、システムの前記セット内のそれぞれのシステムに対して、
    前記システムがその下で動作するべきセキュリティコンテクストを示す前記システムの属性を識別すること、及び、
    前記システムを、前記セキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てること、により組織化することと、
    前記1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、
    適用された場合に、前記アプリケーションモデルグループに対して前記セキュリティコンテクストを提供するファイアウォールコンフィグレーションを選択すること、及び
    前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護することによって、前記アプリケーションモデルグループを保護することと、を含む方法。
  2. 前記データセンターアプリケーションを識別することは、前記データセンターアプリケーションを含むシステムの前記セットを識別するようデータセンタープラットフォームに問い合わせることを含み、かつ、
    前記システムの前記属性を識別することは、
    前記データセンターアプリケーション内で、前記システムが属するアプリケーション階層、
    前記システム上で実行されるサービス、
    前記システムのインバウンドディペンデンシー、及び
    前記システムのアウトバウンドディペンデンシー、のうちの少なくとも1つを判定するよう、前記データセンターアプリケーションに問い合わせることを含む、請求項1に記載のコンピュータ実装方法。
  3. 前記システムを1つ以上のアプリケーションモデルグループに組織化することは、
    前記データセンターアプリケーションのシステムの前記セットのアプリケーション階層、サービス、及びディペンデンシーに基づいて、
    前記システムがいくつのアプリケーションモデルグループに組織化されるか、及び
    前記アプリケーションモデルグループのそれぞれに対して提供されるべき前記セキュリティコンテクスト、のうちの少なくとも1つを判定することを含む、請求項2に記載のコンピュータ実装方法。
  4. 前記ファイアウォールコンフィグレーションを選択することは、
    ファイアウォールコンフィグレーションのセットであって、その中のそれぞれのファイアウォールコンフィグレーションが、ファイアウォールポリシーの異なるセットを有するファイアウォールコンフィグレーションのセットを識別することと、
    前記アプリケーションモデルグループに対する前記セキュリティコンテクストに対応する、前記ファイアウォールコンフィグレーションを選択することと、を含み、
    前記選択されたファイアウォールコンフィグレーションを用いて、前記アプリケーションモデルグループを保護することは、
    前記ファイアウォールコンフィグレーションでファイアウォールを構成することと、
    前記ファイアウォールが前記アプリケーションモデルグループを保護するよう前記ファイアウォールを作動させることと、を含む、請求項1に記載のコンピュータ実装方法。
  5. ファイアウォールコンフィグレーションの前記セットを識別することは、
    前記データセンターアプリケーションの前記システムが組織化されるそれぞれのアプリケーションモデルグループを識別すること、及び
    実行された場合に、それぞれの識別されたアプリケーションモデルグループに対する前記セキュリティコンテクストを提供するファイアウォールポリシーのセットを確立することにより、それぞれの識別されたアプリケーションモデルグループに対してファイアウォールコンフィグレーションを作成することと、を含む、請求項4に記載のコンピュータ実装方法。
  6. ファイアウォールコンフィグレーションのセットを識別することは、ファイアウォールコンフィグレーションの前記セット内のそれぞれのファイアウォールコンフィグレーションのメタデータを識別することを含み、かつ
    前記アプリケーションモデルグループに対する前記セキュリティコンテクストに対応する、前記ファイアウォールコンフィグレーションを選択することは、ファイアウォールコンフィグレーションの前記セット内のそれぞれのファイアウォールコンフィグレーションの前記メタデータを、前記1つ以上のアプリケーションモデルグループと関連付けることを含む、請求項4に記載のコンピュータ実装方法。
  7. 前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護することは、前記選択されたファイアウォールコンフィグレーションの1つ以上のポリシーを、前記アプリケーションモデルグループと、前記データセンターアプリケーションの少なくとも1つの他のアプリケーションモデルグループとの間の通信に対して実行することにより、セキュリティマイクロセグメント化を提供することを含む、請求項1に記載のコンピュータ実装方法。
  8. 新たなシステムが前記データセンターアプリケーションに追加されたと判定することと、
    前記新たなシステムが前記データセンターアプリケーションに追加されたと判定されたことに反応し、
    前記新たなシステムがその下で動作するべきセキュリティコンテクストを示す、前記新たなシステムの属性を識別することと、
    前記システムを、前記セキュリティコンテクストが提供される既存のアプリケーションモデルグループに割り当てることと、を更に含む、請求項1に記載のコンピュータ実装方法。
  9. 前記システムが仮想マシンを備え、
    前記ファイアウォールコンフィグレーションが、仮想ファイアウォール内で実装され、
    前記データセンターアプリケーションが、ソフトウェアで定義されたデータセンタープラットフォーム上で実装され、
    システムの前記セットを前記1つ以上のアプリケーションモデルグループに組織化することは、前記ソフトウェアで定義されたデータセンタープラットフォームのデータ構造を用いて、システムの前記セットを前記1つ以上のアプリケーションモデルグループに分割するよう前記ソフトウェアで定義されたデータセンタープラットフォームに命じることを含む、請求項1に記載のコンピュータ実装方法。
  10. ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステムであって、
    その機能性がシステムのセットにより提供されるデータセンターアプリケーションを識別し、メモリに格納された識別モジュールと、
    メモリに格納された組織化モジュールであって、システムの前記セット内のそれぞれのシステムに対して、
    前記システムがその下で動作するべきセキュリティコンテクストを示す前記システムの属性を識別すること、及び、
    前記セキュリティコンテクストが提供されるアプリケーションモデルグループに前記システムを割り当てることにより、システムの前記セットを1つ以上のアプリケーションモデルグループにコンピューティングデバイスにより自動的に組織化する、組織化モジュールと、
    メモリに格納されたセキュリティモジュールであって、前記1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、
    適用された場合に、前記セキュリティコンテクストを前記アプリケーションモデルグループに対して提供するファイアウォールコンフィグレーションを選択すること、及び
    前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護すること、によって前記アプリケーションモデルグループを保護する、セキュリティモジュールと、
    前記識別モジュール、前記組織化モジュール、及び前記セキュリティモジュールを実行するよう構成されている少なくとも1つの物理的プロセッサと、を備えるシステム。
  11. 前記識別モジュールは、前記データセンターアプリケーションを含むシステムの前記セットを識別するようデータセンタープラットフォームに問い合わせることにより、前記データセンターアプリケーションを識別し、かつ
    前記組織化モジュールは、
    前記データセンターアプリケーション内で前記システムが属するアプリケーション階層、
    前記システム上で実行されるサービス、
    前記システムのインバウンドディペンデンシー、及び
    前記システムのアウトバウンドディペンデンシー、のうちの少なくとも1つを判定するよう、前記データセンターアプリケーションに問い合わせることにより、前記システムの前記属性を識別する、請求項10に記載のシステム。
  12. 前記組織化モジュールは、
    前記データセンターアプリケーションのシステムの前記セットのアプリケーション階層、サービス、及びディペンデンシーに基づいて、
    前記システムがいくつのアプリケーションモデルグループに組織化されるか、及び
    前記アプリケーションモデルグループのそれぞれに対して提供されるべき前記セキュリティコンテクスト、のうちの少なくとも1つを判定することにより、前記システムを1つ以上のアプリケーションモデルグループに組織化する、請求項11に記載のシステム。
  13. 前記セキュリティモジュールは、
    ファイアウォールコンフィグレーションのセットであって、その中のそれぞれのファイアウォールコンフィグレーションが、ファイアウォールポリシーの異なるセットを有するファイアウォールコンフィグレーションのセットを識別すること、及び
    前記アプリケーションモデルグループに対する前記セキュリティコンテクストに対応する前記ファイアウォールコンフィグレーションを選択することにより、前記ファイアウォールコンフィグレーションを選択し、かつ、
    前記セキュリティモジュールは、
    前記ファイアウォールコンフィグレーションでファイアウォールを構成すること、及び
    前記ファイアウォールが前記アプリケーションモデルグループを保護するよう前記ファイアウォールを作動させることにより、前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護する、請求項10に記載のシステム。
  14. 前記セキュリティモジュールは、
    前記データセンターアプリケーションの前記システムが組織化されるそれぞれのアプリケーションモデルグループを識別すること、及び
    実行された場合に、それぞれの識別されたアプリケーションモデルグループに対する前記セキュリティコンテクストを提供するファイアウォールポリシーのセットを確立することにより、それぞれの識別されたアプリケーションモデルグループに対してファイアウォールコンフィグレーションを作成することにより、ファイアウォールコンフィグレーションの前記セットを識別する、請求項13に記載のシステム。
  15. 前記識別モジュールは、ファイアウォールコンフィグレーションの前記セット内のそれぞれのファイアウォールコンフィグレーションのメタデータを識別することにより、ファイアウォールコンフィグレーションの前記セットを識別し、かつ、
    前記セキュリティモジュールは、ファイアウォールコンフィグレーションの前記セット内のそれぞれのファイアウォールコンフィグレーションの前記メタデータを、前記1つ以上のアプリケーションモデルグループと関連付けることにより、前記アプリケーションモデルグループに対する前記セキュリティコンテクストに対応する前記ファイアウォールコンフィグレーションを選択する、請求項13に記載のシステム。
  16. 前記セキュリティモジュールは、前記選択されたファイアウォールコンフィグレーションの1つ以上のポリシーを、前記アプリケーションモデルグループと、前記データセンターアプリケーションの少なくとも1つの他のアプリケーションモデルグループとの間の通信に対して実行することによってセキュリティマイクロセグメント化を提供することにより、前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護する、請求項10に記載のシステム。
  17. 前記識別モジュールは、新たなシステムが前記データセンターアプリケーションに追加されたと判定し、
    前記新たなシステムが前記データセンターアプリケーションに追加されたと判定されたことに反応し、
    前記組織化モジュールは、前記新たなシステムがその下で動作するべきセキュリティコンテクストを示す、前記新たなシステムの属性を識別し、かつ
    前記組織化モジュールは、前記システムを、前記セキュリティコンテクストが提供される既存のアプリケーションモデルグループに割り当てる、請求項10に記載のシステム。
  18. 前記システムが仮想マシンを備え、
    前記ファイアウォールコンフィグレーションが、仮想ファイアウォール内で実装され、
    前記データセンターアプリケーションが、ソフトウェアで定義されたデータセンタープラットフォーム上で実装され、
    前記組織化モジュールが、前記ソフトウェアで定義されたデータセンタープラットフォームのデータ構造を用いて、システムの前記セットを前記1つ以上のアプリケーションモデルグループに分割するよう前記ソフトウェアで定義されたデータセンタープラットフォームに命じることにより、システムの前記セットを前記1つ以上のアプリケーションモデルグループに組織化する、請求項10に記載のシステム。
  19. コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    その機能性がシステムのセットにより提供されるデータセンターアプリケーションを識別させ、
    システムの前記セット内のそれぞれのシステムに対して、
    前記システムがその下で動作するべきセキュリティコンテクストを示す前記システム属性を識別すること、及び、
    前記システムを、前記セキュリティコンテクストが提供されるアプリケーションモデルグループに割り当てることにより、システムの前記セットを1つ以上のアプリケーションモデルグループに前記コンピューティングデバイスにより自動的に組織化させ、
    前記1つ以上のアプリケーションモデルグループ内のそれぞれのアプリケーションモデルグループに対して、
    適用された場合に、前記セキュリティコンテクストを前記アプリケーションモデルグループに対して提供するファイアウォールコンフィグレーションを選択すること、及び
    前記選択されたファイアウォールコンフィグレーションを用いて前記アプリケーションモデルグループを保護することによって、前記アプリケーションモデルグループを保護させる、1つ以上のコンピュータ可読命令を含む非一時的コンピュータ可読媒体。
  20. 前記1つ以上のコンピュータ可読命令は、
    前記データセンターアプリケーションを含むシステムの前記セットを識別するようデータセンタープラットフォームに問い合わせることを含む、前記データセンターアプリケーションを識別することと、
    前記データセンターアプリケーション内で前記システムが属するアプリケーション階層、
    前記システム上で実行されるサービス、
    前記システムのインバウンドディペンデンシー、及び
    前記システムのアウトバウンドディペンデンシー、のうちの少なくとも1つを判定するよう、前記データセンターアプリケーションに問い合わせることを含む、前記システムの前記属性を識別することと、を前記コンピューティングデバイスにさせる、請求項19に記載の非一時的コンピュータ可読媒体。
JP2017534329A 2014-12-31 2015-12-29 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法 Active JP6471233B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/588,146 US9438560B2 (en) 2014-12-31 2014-12-31 Systems and methods for automatically applying firewall policies within data center applications
US14/588,146 2014-12-31
PCT/US2015/067965 WO2016109606A1 (en) 2014-12-31 2015-12-29 Systems and methods for automatically applying firewall policies within data center applications

Publications (2)

Publication Number Publication Date
JP2018502508A true JP2018502508A (ja) 2018-01-25
JP6471233B2 JP6471233B2 (ja) 2019-02-13

Family

ID=55275173

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017534329A Active JP6471233B2 (ja) 2014-12-31 2015-12-29 ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法

Country Status (5)

Country Link
US (1) US9438560B2 (ja)
EP (1) EP3241331B1 (ja)
JP (1) JP6471233B2 (ja)
AU (1) AU2015374078B2 (ja)
WO (1) WO2016109606A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787641B2 (en) 2015-06-30 2017-10-10 Nicira, Inc. Firewall rule management
US9705909B2 (en) * 2015-07-29 2017-07-11 Verizon Digital Media Services Inc. Automatic detection and mitigation of security weaknesses with a self-configuring firewall
US10375121B2 (en) 2016-06-23 2019-08-06 Vmware, Inc. Micro-segmentation in virtualized computing environments
US11018970B2 (en) 2016-10-31 2021-05-25 Nicira, Inc. Monitoring resource consumption for distributed services
US10298605B2 (en) * 2016-11-16 2019-05-21 Red Hat, Inc. Multi-tenant cloud security threat detection
US10567440B2 (en) 2016-12-16 2020-02-18 Nicira, Inc. Providing application visibility for micro-segmentation of a network deployment
US11258681B2 (en) 2016-12-16 2022-02-22 Nicira, Inc. Application assessment and visibility for micro-segmentation of a network deployment
US10298619B2 (en) * 2016-12-16 2019-05-21 Nicira, Inc. Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications
US10873565B2 (en) * 2016-12-22 2020-12-22 Nicira, Inc. Micro-segmentation of virtual computing elements
US11070521B2 (en) * 2017-05-10 2021-07-20 Vmware, Inc. Application attachment based firewall management
US10547644B2 (en) 2017-06-30 2020-01-28 Juniper Networks, Inc. Enforcing micro-segmentation policies for physical and virtual application components in data centers
US10742673B2 (en) 2017-12-08 2020-08-11 Nicira, Inc. Tracking the dynamics of application-centric clusters in a virtualized datacenter
US11296960B2 (en) 2018-03-08 2022-04-05 Nicira, Inc. Monitoring distributed applications
US11436075B2 (en) 2019-07-23 2022-09-06 Vmware, Inc. Offloading anomaly detection from server to host
US11349876B2 (en) 2019-07-23 2022-05-31 Vmware, Inc. Security policy recommendation generation
US11288256B2 (en) 2019-07-23 2022-03-29 Vmware, Inc. Dynamically providing keys to host for flow aggregation
US10911335B1 (en) 2019-07-23 2021-02-02 Vmware, Inc. Anomaly detection on groups of flows
US11176157B2 (en) 2019-07-23 2021-11-16 Vmware, Inc. Using keys to aggregate flows at appliance
US11340931B2 (en) 2019-07-23 2022-05-24 Vmware, Inc. Recommendation generation based on selection of selectable elements of visual representation
US11743135B2 (en) 2019-07-23 2023-08-29 Vmware, Inc. Presenting data regarding grouped flows
US11398987B2 (en) 2019-07-23 2022-07-26 Vmware, Inc. Host-based flow aggregation
US11140090B2 (en) 2019-07-23 2021-10-05 Vmware, Inc. Analyzing flow group attributes using configuration tags
US11188570B2 (en) 2019-07-23 2021-11-30 Vmware, Inc. Using keys to aggregate flow attributes at host
US11057348B2 (en) * 2019-08-22 2021-07-06 Saudi Arabian Oil Company Method for data center network segmentation
US11588854B2 (en) 2019-12-19 2023-02-21 Vmware, Inc. User interface for defining security groups
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
AU2021211467A1 (en) 2020-01-22 2022-09-01 Acentium Inc Systems and methods for identifying and managing mutually independent computer subsystems
CN111614631B (zh) * 2020-04-29 2022-06-03 江苏深网科技有限公司 一种用户态流水线架构防火墙系统
US20220200960A1 (en) * 2020-12-21 2022-06-23 Oracle International Corporation Automatic web application firewall (waf) security suggester
CN112839049B (zh) * 2021-01-18 2023-07-11 北京长亭未来科技有限公司 Web应用防火墙防护方法、装置、存储介质及电子设备
US11991187B2 (en) 2021-01-22 2024-05-21 VMware LLC Security threat detection based on network flow analysis
US11785032B2 (en) 2021-01-22 2023-10-10 Vmware, Inc. Security threat detection based on network flow analysis
US11997120B2 (en) 2021-07-09 2024-05-28 VMware LLC Detecting threats to datacenter based on analysis of anomalous events
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
US11792151B2 (en) 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130019277A1 (en) * 2011-07-12 2013-01-17 Cisco Technology, Inc. Zone-Based Firewall Policy Model for a Virtualized Data Center
US20140359749A1 (en) * 2013-05-31 2014-12-04 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904595B2 (en) * 2001-01-18 2011-03-08 Sdl International America Incorporated Globalization management system and method therefor
AU2002306608B2 (en) * 2001-02-26 2007-08-23 4Thpass Inc. Method and system for transmission-based billing of applications
US20040177258A1 (en) * 2003-03-03 2004-09-09 Ong Peng T. Secure object for convenient identification
US7383568B1 (en) * 2004-05-05 2008-06-03 Symantec Corporation Security management administration system and method
US7698244B2 (en) * 2004-08-23 2010-04-13 At&T Intellectual Property I, L.P. Electronic butler for providing application services to a user
US9298513B2 (en) * 2004-10-07 2016-03-29 International Business Machines Corporation Method and structure for autonomic application differentiation/specialization
US20060161582A1 (en) * 2005-01-18 2006-07-20 Microsoft Corporation Application object as primitive of operating system
US8429630B2 (en) * 2005-09-15 2013-04-23 Ca, Inc. Globally distributed utility computing cloud
US8578017B2 (en) * 2006-05-11 2013-11-05 Ca, Inc. Automatic correlation of service level agreement and operating level agreement
US8516059B1 (en) * 2008-08-20 2013-08-20 Mcafee, Inc. System, method, and computer program product for communicating automatic response messages based on a policy
US8977645B2 (en) * 2009-01-16 2015-03-10 Google Inc. Accessing a search interface in a structured presentation
US9621516B2 (en) 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US9442928B2 (en) * 2011-09-07 2016-09-13 Venio Inc. System, method and computer program product for automatic topic identification using a hypertext corpus
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US8955036B2 (en) 2012-04-11 2015-02-10 Mcafee, Inc. System asset repository management
JP6003590B2 (ja) * 2012-11-30 2016-10-05 富士通株式会社 データセンタ,仮想システムの複写サービスの提供方法,データセンタの管理サーバ及び仮想システムの複写プログラム
US8850543B2 (en) * 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US9674147B2 (en) * 2014-05-06 2017-06-06 At&T Intellectual Property I, L.P. Methods and apparatus to provide a distributed firewall in a network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130019277A1 (en) * 2011-07-12 2013-01-17 Cisco Technology, Inc. Zone-Based Firewall Policy Model for a Virtualized Data Center
US20140359749A1 (en) * 2013-05-31 2014-12-04 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration

Also Published As

Publication number Publication date
US20160191463A1 (en) 2016-06-30
WO2016109606A1 (en) 2016-07-07
AU2015374078B2 (en) 2018-07-19
JP6471233B2 (ja) 2019-02-13
WO2016109606A4 (en) 2016-08-25
AU2015374078A1 (en) 2017-07-27
EP3241331A1 (en) 2017-11-08
EP3241331B1 (en) 2020-04-15
US9438560B2 (en) 2016-09-06

Similar Documents

Publication Publication Date Title
JP6471233B2 (ja) ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法
US11652852B2 (en) Intrusion detection and mitigation in data processing
US20230412628A1 (en) Application layer data protection for containers in a containerization environment
US9116768B1 (en) Systems and methods for deploying applications included in application containers
EP3378007B1 (en) Systems and methods for anonymizing log entries
US9300693B1 (en) Systems and methods for preventing data loss over virtualized networks
US9407664B1 (en) Systems and methods for enforcing enterprise data access control policies in cloud computing environments
JP6560368B2 (ja) ユーザ行為に基づく悪意のあるダウンロードリスクを判定するためのシステム及び方法
US10979452B2 (en) Blockchain-based malware containment in a network resource
US20170374032A1 (en) Autonomic Protection of Critical Network Applications Using Deception Techniques
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
US10425435B1 (en) Systems and methods for detecting anomalous behavior in shared data repositories
US11070560B1 (en) Systems and methods for managing user entitlements of objects from heterogeneous content sources
US11012452B1 (en) Systems and methods for establishing restricted interfaces for database applications
US10298681B1 (en) Systems and methods for rerouting data sent between application containers and storage containers
US9565059B1 (en) Systems and methods for dynamically configuring computing system group assignments based on detected events
US9300691B1 (en) Systems and methods for enforcing secure network segmentation for sensitive workloads
US10114947B1 (en) Systems and methods for logging processes within containers
US9832209B1 (en) Systems and methods for managing network security
US11005867B1 (en) Systems and methods for tuning application network behavior
US10469457B1 (en) Systems and methods for securely sharing cloud-service credentials within a network of computing devices
US10437994B1 (en) Systems and methods for determining the reputations of unknown files
US10073968B1 (en) Systems and methods for classifying files
US10243963B1 (en) Systems and methods for generating device-specific security policies for applications
US10432720B1 (en) Systems and methods for strong information about transmission control protocol connections

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190121

R150 Certificate of patent or registration of utility model

Ref document number: 6471233

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250