JP2018506211A - 仮想ネットワークをモニタリングするシステム及び方法 - Google Patents

仮想ネットワークをモニタリングするシステム及び方法 Download PDF

Info

Publication number
JP2018506211A
JP2018506211A JP2017534336A JP2017534336A JP2018506211A JP 2018506211 A JP2018506211 A JP 2018506211A JP 2017534336 A JP2017534336 A JP 2017534336A JP 2017534336 A JP2017534336 A JP 2017534336A JP 2018506211 A JP2018506211 A JP 2018506211A
Authority
JP
Japan
Prior art keywords
packet
virtual
network
port
virtual network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017534336A
Other languages
English (en)
Other versions
JP6523463B2 (ja
Inventor
ケー ナンダ・スザンタ
ケー ナンダ・スザンタ
サン・ユチョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2018506211A publication Critical patent/JP2018506211A/ja
Application granted granted Critical
Publication of JP6523463B2 publication Critical patent/JP6523463B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

仮想ネットワークをモニタリングするための、コンピュータによって実施される本開示の方法は、(1)仮想ネットワーク内の送信元ポート210から宛先ポート206へネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイス202を含む仮想ネットワーク204を識別する識別モジュール104と、(2)セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワーク212のセットを、前記仮想化スイッチングデバイス内に提供する提供モジュール106と、(3)前記宛先ポート206宛てのパケットを前記送信元ポート210にて傍受する傍受モジュール108と、(4)前記パケットの少なくとも1つの特徴が、前記ルール212のうちの少なくとも1つを満たすことを判断する判断モジュール110と、(5)前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、パケットにセキュリティ脅威が無いか分析する仮想タップポート208へ転送する転送モジュール112とを含む。潜在的なセキュリティ脅威を示すプロパティを有するパケットを(例えば、OPENFLOWルールのセットを介して)識別することにより、本方法は、疑わしいパケットのコピーを仮想タップポートに転送してこのパケットコピーにマルウェアによる攻撃やデータ漏洩などが無いかを分析し得る。更に、本方法は、任意のタイプの物理ワイヤータップメカニズム基づいてソフトウェア定義型ネットワークルールのセットを実施することにより、物理ネットッワーク内での有効性が証明されている技術を使用して、仮想ネットワークを効率よくモニタリングすることができる。更に、本方法は、様々なテナントのクラウドベースアプリケーション専用のクラウドベースのコンピューティングプラットフォームの各部分内で仮想ワイヤータップを実施することにより、テナントに粒度が細かくカスタマイズ可能なネットワークモニタリングサービスを提供することができる。

Description

ネットワークモニタリングは、侵入検知システム(IDS)やデータ損失防止(DLP)サービスなどの種々のセキュリティサービスの基礎を提供し得る。セキュリティアドミニストレータ及び企業は、ネットワークケーブルを直接タッピング(傍受)する又はネットワークデバイス内にワイヤータップメカニズムを配置するなどの様々な方法によって、物理ネットワーク接続をモニタリングする場合がある。このようなワイヤータップメカニズムは、スイッチ、ルータ、及びその他のネットワークデバイス内の特定のポートで処理されたデータをモニタリング及び/又は記録するように設計されていることがある。
しかし、物理ネットワークをモニタリングするための伝統的な方法は、仮想ネットワークに適用すると、効果的でなかったり役に立たなかったりすることがある。例えば、仮想ネットワーク接続には、タッピングメカニズムを配置する物理配線が無いことがある。更に、仮想ネットワークデバイスは、物理ネットワークデバイスに対応しない、又は対応付けられないことがある。そのため、仮想ネットワークデバイスは、特定の物理デバイス用に設計されたネットワークモニタリング技術との互換性を有しないことがある。
更に、仮想ポートをモニタリングする従来の方法では、クラウドコンピューティング環境内のネットワーク負荷などの大量のネットワークトラフィックを、効率的にモニタリングできないことがある。例えば、仮想ネットワークデバイスは、物理ネットワークデバイスと比べると、多数のポートへのアクセスが容易になっていることがある。クラウドベースのプラットフォームのサイズが大きくなるにつれ、(物理フィルタリングメカニズムに基づき得る)伝統的な仮想ポートベースのフィルタは、セキュリティ脅威を効果的かつ正確に検知することができなくなっていく場合がある。
そのため、本開示では、仮想ネットワークをモニタリングするための改善されたシステム及び方法の必要性を特定する。
後で詳述するように、本開示は、セキュリティポリシーに関連する1つ以上のプロパティを含むパケットを、仮想ネットワーク内の仮想化スイッチングデバイスにて識別することにより、仮想ネットワークをモニタリングするための、様々なシステム及び方法について説明する。その後、パケットのコピーは、パケットにセキュリティ脅威が無いか分析する仮想タップポートへ転送され得る。
一例では、仮想ネットワークをモニタリングするための、コンピュータによって実施される方法は、(1)仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別し、(2)セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、前記仮想化スイッチングデバイス内に提供し、(3)前記宛先ポート宛てのパケットを前記送信元ポートにて傍受し、(4)前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断し、(5)前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、パケットにセキュリティ脅威が無いか分析する仮想タップポートへ転送することができる。
いくつかの例において、前記仮想ネットワークの識別することは、クラウドコンピューティング環境内でホスティングされる複数の仮想ネットワークの中から前記仮想ネットワークを識別することを含み得る。これらの例では、各仮想ネットワークは、それぞれ異なるテナントに関連付けられている場合がある。従って、これらの例では、前記ソフトウェア定義型ネットワークルールのセットを提供することは、前記仮想ネットワークに関連付けられているテナントから前記ソフトウェア定義型ネットワークルールのセットを受信することを含み得る。
いくつかの実施形態において、前記セキュリティポリシーに関連付けられている前記所定のプロパティは、前記パケットの宛先及び/又は送信元のプロパティを含み得る。追加的にあるいは代替的に、前記セキュリティポリシーに関連付けられている前記所定のプロパティは、前記パケットの転送に使用されるプロトコルのプロパティを含み得る。
いくつかの例では、前記仮想化スイッチングデバイスは、前記仮想ネットワーク内の追加のポート及び前記仮想ネットワーク外のポートの両方に前記送信元ポートを接続させる仮想化エッジスイッチングデバイスを表し得る。一例では、前記宛先ポートは前記仮想ネットワーク内に存在し得る。この例では、前記セキュリティポリシーは、前記仮想ネットワーク外から前記宛先ポートへ配信されるネットワークトラフィックに適用されるマルウェア検出ポリシーを含み得る。別の例では、前記宛先ポートは前記仮想ネットワーク外に存在し得る。この例では、前記セキュリティポリシーは、前記送信元ポートから前記仮想ネットワーク外へ配信されるネットワークトラフィックに適用されるDLPポリシーを含み得る。
いくつかの例において、前記パケットのコピーの前記仮想タップポートへの転送では、前記パケットのコピーを、前記仮想ネットワーク外に存在する仮想ポートへ転送し得る。このようにして、前記パケットのコピーの分析を、前記仮想ネットワークのテナントからは不可視とすることができる。
いくつかの例では、前記方法は、更に、前記仮想タップポートでの前記パケットのコピーの分析に基づいて、前記パケットがセキュリティ脅威を表すことを判断し得る。これらの例では、前記方法では、前記パケットがセキュリティ脅威を表すとの判断に応じて、少なくとも1つのセキュリティアクションを行い得る。
いくつかの実施形態において、前記方法では、更に、前記ソフトウェア定義型ネットワークルールのうちの少なくとも1つを満たす少なくとも1つのプロパティを含む追加のパケットを、前記送信元ポートにて傍受し得る。そして、前記方法では、前記ソフトウェア定義型ネットワークルールのセット内の追加の基準に基づいて、前記仮想ネットワーク内の現在のネットワークトラフィック負荷が所定の閾値を超えることを判断し得る。現在のネットワーク負荷が前記所定の閾値を超えるという判断に応じて、前記方法では、前記追加のパケットのコピーを、前記仮想タップポートの代わりに追加の仮想タップポートへ転送し得る。
一実施形態では、上述の方法を実施するためのシステムは、(1)仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別する識別モジュールと、(2)セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、前記仮想化スイッチングデバイス内に提供する提供モジュールと、(3)前記宛先ポート宛てのパケットを前記送信元ポートにて傍受する傍受モジュールと、(4)前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断する判断モジュールと、(5)前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、パケットにセキュリティ脅威が無いか分析する仮想タップポートへ転送する転送モジュールとを含み得る。更に、前記システムは、前記識別モジュール、前記提供モジュール、前記傍受モジュール、前記判断モジュール、及び前記転送モジュールを実行する少なくとも1つのプロセッサを含み得る。
いくつかの例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化され得る。例えば、コンピュータ可読媒体は1つ以上のコンピュータ実行可能な命令を含み、前記コンピュータ実行可能な命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、(1)仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別させ、(2)セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、前記仮想化スイッチングデバイス内に提供させ、(3)前記宛先ポート宛てのパケットを前記送信元ポートにて傍受させ、(4)前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断させ、(5)前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、パケットにセキュリティ脅威が無いか分析する仮想タップポートへ転送させ得る。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、組み合わせて使用することができる。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の詳細な説明を読むことによって、更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を示すものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
仮想ネットワークをモニタリングするための例示的なシステムのブロック図である。 仮想ネットワークをモニタリングするための追加の例示的なシステムのブロック図である。 仮想ネットワークをモニタリングするための例示的な方法のフローチャートである。 仮想ネットワーク内の仮想スイッチの例示的な構成のブロック図である。 ソフトウェア定義型ネットワークルールの例示的なセットを示す。 仮想化スイッチングデバイスで傍受された例示的なパケットを示す。 本明細書に記載及び/又は図示されている実施形態のうち1つ以上を実現することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示されている実施形態のうち1つ以上を実現することができる例示的なコンピューティングネットワークのブロック図である。
図面全体において、同一の参照符号及び記述は類似の要素を示すが、必ずしも同一ではない。本明細書に記載の例示的な実施形態は様々な変形や代替的な形態が可能であるが、特定の実施形態が例として図面に示され、本明細書で詳述される。しかし、本明細書に記載される例示的な実施形態は、開示されている特定の形態への限定を意図したものではない。むしろ、本開示は、添付の特許請求の範囲内の全ての変形、等価物、及び代替物を含む。
本開示は、広義には、仮想ネットワークをモニタリングするシステム及び方法に関する。後で詳述するように、本明細書に記載のシステム及び方法は、潜在的なセキュリティ脅威を示すプロパティを有するパケットを(例えば、OPENFLOWルールのセットを介して)識別することにより、疑わしいパケットのコピーを仮想タップポートへ転送し、そのパケットのコピーにマルウェアによる攻撃やデータ漏洩などが無いか分析し得る。更に、本明細書に開示のシステム及び方法は、ソフトウェア定義型ネットワークルールのセットを任意のタイプの物理ワイヤータップメカニズムに基づいて実施することにより、物理ネットワーク内での有効性が証明されている技術を使用して仮想ネットワークを効率的にモニタリングすることができる。更に、本明細書に記載のシステム及び方法は、様々なテナントのクラウドベースアプリケーション専用のクラウドベースのコンピューティングプラットフォームの各部分内で仮想ワイヤータップを実施することにより、粒度が細かくカスタマイズ可能なネットワークモニタリングサービスをテナントに提供することができる。
以下で、図1及び図2を参照して、仮想ネットワークをモニタリングするための例示的なシステムについて詳細に説明する。コンピュータによって実施される、これらに対応する方法についても、図3〜図6を参照して詳細に説明する。更に、本明細書に記載の実施形態のうち1つ以上を実現することができる、例示的なコンピューティングシステム及びネットワークアーキテクチャについて、それぞれ図7及び図8を参照して詳細に説明する。
図1は、仮想ネットワークをモニタリングするための例示的なシステム100のブロック図である。この図に示すように、例示的なシステム100は、1つ以上のタスクを行うための1つ以上のモジュール102を含み得る。例えば、後で詳述するように、例示的なシステム100は、仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別する識別モジュール104を含み得る。また、例示的なシステム100は、セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、仮想化スイッチングデバイス内に提供する提供モジュール106も含み得る。
更に、後で詳述するように、例示的なシステム100は、宛先ポート宛てのパケットを送信元ポートにて傍受する傍受モジュール108を含み得る。また、例示的なシステム100は、上記パケットの少なくとも1つの特徴が上記ルールのうちの少なくとも1つを満たすことを判断する判断モジュール110も含み得る。更に、例示的なシステム100は、上記パケットの特徴が上記ルールのうちの少なくとも1つを満たすとの判断に応じて、そのパケットのコピーを、パケットにセキュリティ脅威が無いか分析する仮想タップポートへ転送する転送モジュール112を含み得る。
更に、例示的なシステム100は、仮想タップポートにおけるパケットのコピーの分析に基づいて、パケットがセキュリティ脅威を表すことを判断する分析モジュール114を含み得る。最後に、例示的なシステム100は、パケットがセキュリティ脅威を表すという判断に応じて、少なくとも1つのセキュリティアクションを行うセキュリティモジュール116を含み得る。別々の要素として示されているが、図1中のモジュール102のうち1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
特定の実施形態では、図1中のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表すことがある。例えば、後で詳述するように、モジュール102のうち1つ以上は、図2に示すデバイス(例えば、仮想スイッチ202及び/又は仮想タップポート208)などの1つ以上のコンピューティングデバイス、図7中のコンピューティングシステム710、及び/又は図8中の例示的なネットワークアーキテクチャ800の部分に格納され、かつ、そこで動作するように構成されたソフトウェアモジュールを表し得る。また、図1中のモジュール102のうち1つ以上は、1つ以上のタスクを行うように構成された1つ以上の専用コンピュータの全て又は一部を表し得る。
図1中の例示的なシステム100は、様々な方法で実現され得る。例えば、例示的なシステム100の全て又は一部は、図2中の例示的なシステム200の部分を表し得る。図2に示すように、システム200は、仮想ネットワーク204を介して宛先ポート206及び仮想タップポート208と通信する仮想スイッチ202を含み得る。一例では、仮想スイッチ202は、パケットが仮想スイッチ202へ転送される及び/又は当該仮想スイッチから転送される際にそのパケットを傍受するように、モジュール102のうち1つ以上でプログラムされ得る。追加的にあるいは代替的に、仮想タップポート208は、仮想スイッチ202で傍受されたパケットのコピーにセキュリティ脅威が無いか分析するように、モジュール102のうち1つ以上でプログラムされ得る。
一実施形態において、図1中のモジュール102のうち1つ以上は、仮想スイッチ202の少なくとも1つのプロセッサによって実行されると、仮想スイッチ202に仮想ネットワークをモニタリングさせることができる。例えば、後で詳述するように、識別モジュール104は、仮想スイッチ202に、仮想ネットワーク204内の送信元ポート(例えば、送信元ポート210)から宛先ポート(例えば、宛先ポート206)へネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイス(例えば、仮想スイッチ202)を含む仮想ネットワーク(例えば、仮想ネットワーク204)を識別させることができる。更に、提供モジュール106は、仮想スイッチ202に、セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルール(例えば、ソフトウェア定義型ネットワークルール212)のセットを、仮想スイッチ202内へ提供させることができる。次に、傍受モジュール108は、仮想スイッチ202に、宛先ポート206宛てのパケット(例えば、パケット214)を送信元ポート210で傍受させることができる。更に、判断モジュール110は、仮想スイッチ202に、パケット214の少なくとも1つの特徴(例えば、特徴216)が、ソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たしていることを判断させることができる。最後に、パケット214の特徴216がソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たすという判断に応じて、転送モジュール112は、仮想スイッチ202に、パケット214のコピー(例えば、パケットコピー218)を、パケットコピー218にセキュリティ脅威が無いか分析する仮想タップポート(例えば、仮想タップポート208)へ転送させることができる。
仮想スイッチ202は、概して、物理スイッチングデバイスの、任意のタイプ又は形態のソフトウェアエミュレーション又は複製を表すことがある。「スイッチングデバイス」及び「スイッチ」という用語は、本明細書で使用するとき、概して、入力ポートでデータパケットを受信し、そのパケットを出力ポートから転送することにより所望の宛先にパケットを送ることができる、任意のコンピューティングデバイスを指す。いくつかの例において、スイッチは、ローカルエリアネットワーク(LAN)又は他の小規模及び/又は私設ネットワーク内で接続されたデバイスとの間でパケットの送受信を行い得る。これらの例では、スイッチは、パケットの宛先媒体アクセス制御(MAC)アドレスに基づき、LANを介して、あるコンピューティングデバイスから別のデバイスへパケットを送ることができる。他の例では、スイッチは、広域ネットワーク(WAN)などの大規模ネットワーク内及び/又は大規模ネットワーク間でパケットを送ることができる。これらの例では、スイッチは、パケットの宛先ポートと直接通信する別のスイッチへパケットを転送するために、パケットのインターネットプロトコル(IP)アドレスを解析することができる。
従って、仮想スイッチ202は、パケットの特徴(例えば、宛先MACアドレス及び/又はIPアドレス)に基づいてパケットを受信及び転送する物理デバイスにホスティングされるソフトウェア又は実行可能なコードの任意の部分を表し得る。いくつかの例では、仮想スイッチ202は、(例えば、ハイパーバイザによって制御される)仮想マシンにホスティングされ得る。他の例では、仮想スイッチ202は、クラウドコンピューティング環境内でホスティングされる1つ以上のアプリケーションを制御するハイパーバイザの全て又は一部を表し得る。
「仮想マシン」という用語は、本明細書で使用するとき、概して、物理コンピューティングデバイスの任意のエミュレーション又は複製を指す。いくつかの例では、仮想マシンは、特定のアプリケーションのホスティング又はネットワークデバイスのシミュレーションなどの特定のサービスを提供するように構成され得る。更に、「ハイパーバイザ」という用語は、本明細書で使用するとき、概して、1つ以上の仮想マシンを管理又は制御するソフトウェア又は実行可能なコードの任意の部分を指す。いくつかの例において、ハイパーバイザは、クラウドコンピューティング環境内でクラウドベースアプリケーションをホストする複数の仮想マシンを管理し得る。「クラウドコンピューティング環境」という用語は、本明細書で使用するとき、概して、デバイスにホスティングされるアプリケーション(例えば、クラウドベースアプリケーション)又はサービスへのリモートアクセスを提供する物理又は仮想デバイスの任意のプラットフォーム又は構成を指す。例示的な実施形態において、仮想スイッチ202は、仮想ネットワーク204内の1つ以上のクラウドベースアプリケーションへのセキュリティサービスへのアクセスを容易するために、及び/又は当該セキュリティサービスを提供するために、クラウドコンピューティング環境内でホスティングされ得る。
更に、仮想スイッチ202は、開放型システム間相互接続(OSI)モデル内の層(例えば、L1〜L7)の任意の1つ又は組み合わせを介して、仮想マシン、ハイパーバイザ、又は他のスイッチに対して操作及び/又は接続し得る。例示的な実施形態において、仮想スイッチ202は、L2セグメントを介して複数の仮想マシンを接続し得る。一例では、仮想スイッチ202は、L2−over−L3のオーバーレイネットワークを使用して、他の仮想ネットワークデバイスと通信することができる。
更に、いくつかの例では、仮想スイッチ202は、OPENFLOWなどのソフトウェア定義型ネットワークプロトコルをサポートし得る。「ソフトウェア定義型ネットワーク」という用語は、本明細書で使用するとき、概して、ネットワークトラフィックをどのように処理するかを決定するタスク(制御プレーンにより行われる)とネットワークトラフィックを転送するタスク(データプレーンにより行われる)とを分離及び/又は切り離す、任意のタイプ又は形態のネットワークを指す。制御プレーンの決定に基づいてデータプレーンを介してパケットを転送するだけの非ソフトウェア定義型ネットワークとは対照的に、ソフトウェア定義型ネットワークによれば、ユーザは、ソフトウェア定義型ネットワークルールのセットに基づいたパケットのリダイレクトを行うことができる。
「ソフトウェア定義型ネットワークルール」という用語は、本明細書で使用するとき、概して、ソフトウェア定義型ネットワーク内でネットワークトラフィックをどのように処理するかを規定する基準、手順、又は条件の任意のセットを指す。いくつかの例では、ソフトウェア定義型ネットワークルールのセットが、ネットワークトラフィックの特徴又はプロパティに基づいて、どのようにネットワークトラフィックを転送するかを決定し得る。一実施形態において、仮想スイッチ202がパケットを受信すると、仮想スイッチ202は、仮想スイッチ202内に格納されているソフトウェア定義型ネットワークルール(例えば、ソフトウェア定義型ネットワークルール212)のセットを参照して、どのようにパケットを転送するかを決定し得る。例えば、仮想スイッチ202は、ソフトウェア定義型ネットワークルール212が、パケット(又はパケットのコピー)がパケット内の規定とは異なるパス又は異なるデバイス、ポート、IPアドレス、若しくはMACアドレスに従って転送されるべきである旨を示していることを判断し得る。
いくつかの例では、仮想スイッチ202は、仮想スイッチ202内の入力ポートを仮想ネットワーク204内のポート及び仮想ネットワーク204外のポートの両方に接続させるエッジスイッチを表し得る。例えば、仮想ネットワーク204に出入りするネットワークトラフィックの全て又は一部が、仮想スイッチ202を介して転送され得る。そのため、仮想スイッチ202内のソフトウェア定義型ネットワークルール212は、仮想ネットワーク204へ配信される又は当該仮想ネットワークから配信される、全ての悪意ある又は有害なパケットを識別し得る。
更に、仮想スイッチ202は、スイッチングデバイスのうちの任意の1つ又はいくつかの機能を表し得る、又は、含み得る。例えば、仮想スイッチ202は、特定タイプの物理スイッチングデバイスをエミュレートするように構成され得る。他の例では、仮想スイッチ202は、具体的に、パケットの転送及び/又は特定のクラウドコンピューティング環境内で必要とされるセキュリティサービスを管理するように構成され得る。特に、これらの例では、仮想スイッチ202の構成は、物理スイッチのソフトウェア又はハードウェア構成に対応付けられていなくてもよい。そのため、物理スイッチングデバイスをモニタリングするために確立された方法で、仮想スイッチ202をモニタリングできないことがある。
仮想ネットワーク204は、概して、通信又はデータ転送を容易にすることができる、任意のソフトウェアベースの媒体又はアーキテクチャを表す。いくつかの例では、仮想ネットワーク204は、クラウドコンピューティング環境内の仮想ローカルエリアネットワーク(VLAN)を表し得る。追加的にあるいは代替的に、仮想ネットワーク204は、ハイパーバイザ内の1つ以上の仮想マシンに接続し得る。概して、仮想ネットワーク204は、仮想スイッチ202との間でパケットの送受信を行う、任意のソフトウェアベースのプロトコルを表し得る。
「パケット」という用語は、本明細書で使用するとき、概して、スイッチングデバイスで受信され得る及び/又は当該スイッチングデバイスから配信され得るフォーマット済みデータの、任意のタイプ又は形態のパッケージ又は単位を指す。いくつかの例では、パケットは、パケットの送信元、宛先、フォーマッティング等のプロパティを示す制御情報を(例えば、パケットのヘッダー及び/又はフッターセクション内に)含み得る。追加的にあるいは代替的に、パケットは、パケットの本体又はメッセージを表すユーザデータを(例えば、パケットのペイロード部分内に)含み得る。パケットの例としては、IPバージョン4(IPv4)パケット、IPバージョン6(IPv6)パケット、ゲートウェイ間プロトコル(GGP)パケット、OPENFLOWパケット、インターネットグループメッセージプロトコル(IGMP)パケット、伝送制御プロトコル(TCP)パケット、これらのうち1つ以上の組み合わせ、又は他の任意の好適なパケットが挙げられるが、これらに限定されない。
更に、「ネットワークトラフィック」という用語は、本明細書で使用するとき、概して、1つ以上のネットワーク内及び/又は間における、任意のタイプ又は形態のデータ転送を指す。いくつかの例では、ネットワークトラフィックは、スイッチングデバイス及び/又は他のネットワークデバイスのポート間を通過するパケットに関与し得る。仮想ネットワーク204は、仮想スイッチ202内の仮想ポートへの及び当該仮想ポートからのパケットの配信及び/又は送信により、仮想スイッチ202を介したネットワークトラフィックを容易にし得る。「仮想ポート」という用語は、本明細書で使用するとき、概して、ネットワーク(例えば、仮想ネットワーク)内及び/又は当該ネットワーク間のパケットの送信を容易にする、任意のタイプ又は形態の仮想及び/又は論理インターフェースを指す。
図3は、仮想ネットワークをモニタリングするための例示的なコンピュータによって実施される方法300のフローチャートである。図3に示される各ステップは、任意の好適なコンピュータ実行可能なコード及び/又はコンピューティングシステムによって実施され得る。いくつかの実施形態では、図3に示される各ステップは、図1中のシステム100、図2中のシステム200、図7中のコンピューティングシステム710、及び/又は図8中の例示的なネットワークアーキテクチャ800の部分の構成要素のうち1つ以上によって実施され得る。
図3に示すように、ステップ302にて、本明細書に記載のシステムのうち1つ以上が、仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別し得る。例えば、識別モジュール104は、図2中の仮想スイッチ202の一部として、仮想ネットワーク204内の送信元ポート210から宛先ポート206へネットワークトラフィックを転送する仮想スイッチ202を含む仮想ネットワーク204を識別し得る。
「送信元ポート」という用語は、本明細書で使用するとき、概して、スイッチングデバイスでパケットを受信する、任意のタイプ又は形態の入力ポートを指す。更に、「宛先ポート」という用語は、本明細書で使用するとき、概して、パケットがそのポート宛てに送られているがまだ到達していない、任意のタイプ又は形態のポートを指す。
本明細書に記載のシステムは、仮想化スイッチングデバイスを含む仮想ネットワークを、様々な方法で識別し得る。例として、図4に、仮想スイッチ202及び仮想ネットワーク204の一つの構成が示されている。この例では、識別モジュール104は、送信元ポート210が、仮想スイッチ202に送信されたパケットの全て又は一部を受信するように構成されていることを判断し得る。図4には示されていないが、仮想スイッチ202は、任意の数の追加の入力及び/又は出力ポートを含み得る。いくつかの例では、識別モジュール104は、仮想スイッチ202内の各ポートが、仮想ネットワーク204内のトラフィック処理専用になっていることを判断し得る。しかし、他の例では、識別モジュール104は、仮想スイッチ202内のポートが、複数の仮想ネットワークに割り当てられていることを判断し得る。
いくつかの例では、識別モジュール104は、仮想ネットワーク204及び/又は仮想スイッチ202に関連付けられている又は接続されている追加の仮想ネットワークに関して、仮想ネットワーク204の構成も識別し得る。例えば、識別モジュール104は、クラウドコンピューティング環境内でホスティングされている複数の仮想ネットワークの中から仮想ネットワーク204を識別し得る。一実施形態において、仮想ネットワーク204は、仮想マシンにホスティングされている複数のクラウドベースアプリケーションにセキュリティサービスを提供するように構成されたクラウドコンピューティング環境内の複数のVLANのうち1つを表し得る。この実施形態において、識別モジュール104は、クラウドコンピューティング環境内の各仮想ネットワーク(又は各ハイパーバイザ、各仮想マシンなど)が、それぞれ異なる企業又はテナントに関連付けられていること、及び/又は管理されていることを判断し得る。
「テナント」という用語は、本明細書で使用するとき、概して、クラウドコンピューティング環境内で動作する仮想スイッチ(例えば、仮想スイッチ202)、仮想ネットワーク(例えば、仮想ネットワーク204)、又は仮想マシンの全て又は一部に対する権利を求め得る又はそれらを管理し得る、任意のタイプ又は形態の団体、個人、又は組織を指す。いくつかの例では、テナントは、ソフトウェア定義型ネットワークルール212及び/又は仮想タップポート208によって提供されるセキュリティサービスを有するクラウドベースアプリケーションを保護するために、仮想ネットワーク204内のクラウドベースアプリケーションをホストすることがある。
図3を再び参照すると、ステップ304にて、本明細書に記載のシステムのうち1つ以上は、セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、仮想化スイッチングデバイス内に提供し得る。例えば、提供モジュール106は、図2中の仮想スイッチ202の一部として、ソフトウェア定義型ネットワークルール212を仮想スイッチ202内に提供し得る。
「セキュリティポリシー」という用語は、本明細書で使用するとき、概して、秘密又は機密情報に対するマルウェアによる攻撃、データ漏洩、不正アクセスなどのセキュリティ脅威又は違反を検知及び/又は防止することを意図する、任意のタイプ又は形態のルール又は制限を指す。いくつかの例では、セキュリティポリシーは、企業、ネットワーク、又はアプリケーションから又はそれらへ配信される情報のタイプ又は質を制限し得る。
本明細書に記載のシステムは、ソフトウェア定義型ネットワークルールのセットを、様々な方法で提供することができる。いくつかの例では、提供モジュール106は、物理ワイヤータップを複製又はエミュレートするようにソフトウェア定義型ネットワークルール212を構成し得る。例えば、提供モジュール106は、物理ネットワーク上のワイヤータップがモニタリングできる特定のデータ配信チャンネル(例えば、特定のポート、ドメイン、IPアドレスなど)から配信されるネットワークトラフィックを識別するための基準を生成し得る。追加的にあるいは代替的に、提供モジュール106は、仮想環境内のパケットのモニタリングに特化した基準を有するソフトウェア定義型ネットワークルール212を構成し得る。
いくつかの例では、提供モジュール106は、仮想ネットワーク204のテナントからソフトウェア定義型ネットワークルール212を受信し得る。具体的には、提供モジュール106は、仮想ネットワーク204のテナントから、物理ワイヤータップ及び/又は特定のセキュリティポリシーに基づくソフトウェア定義型ネットワークルール212の生成要求を受信し得る。一例において、提供モジュール106は、仮想ネットワーク204からのEメールを介して機密データの配信の検知要求を受信し得る。この要求に応じて、提供モジュール106は、仮想ネットワーク204内のポートの全て又は一部から仮想ネットワーク204外のポートへ配信されるEメールを識別するようにソフトウェア定義型ネットワークルール212を構成し得る。同様に、提供モジュール106は、仮想ネットワーク204内でホスティングされるクラウドベースアプリケーションへの悪意のある侵入の検知要求に基づいて、特定のサーバ又は仮想ネットワーク204内の仮想マシンへのアクセスの試みを識別するように、ソフトウェア定義型ネットワークルール212を構成し得る。
例として、図5に、ソフトウェア定義型ネットワークルール212を示す。この例では、ソフトウェア定義型ネットワークルール212は、パケットにおけるセキュリティ脅威についての分析の必要性を示すパケットのプロパティの特定の値を規定し得る。図5に示すように、ソフトウェア定義型ネットワークルール212は、宛先MACアドレス「00−16−22−01−25−43」を有するパケット、送信元MACアドレス「00−0B−95−9A−59−17」を有するパケット、宛先IPアドレス「766.11.219.55」を有するパケット、送信元IPアドレス「54.395.196.74」を有するパケット、及びプロトコルタイプ「IPv4」を有するパケットを識別するために使用され得る。概して、ソフトウェア定義型ネットワークルール212は、任意の数の送信元又は宛先MACアドレス若しくはIPアドレス及び/又は任意のタイプのプロトコルを有するパケットを識別し得る。ソフトウェア定義型ネットワークルール212は、パケットのTCP又はユーザデータグラムプロトコル(UPD)ポート番号、パケットの送信元又は宛先VLAN、及び/又はVLAN間の転送に使用されるトンネルなどの、パケットの任意の追加のプロパティに基づいて、パケットを識別することもできる。
提供モジュール106は、仮想スイッチ202内のソフトウェア定義型ネットワークルール212を、様々な方法で実施することができる。いくつかの例では、提供モジュール106は、ソフトウェア定義型ネットワークルール212を、送信元ポート210で受信した全てのパケットに適用し得る。例えば、送信元ポート210は、仮想スイッチ202内の「スニッフィングポート」として構成され得る。提供モジュール106は、ソフトウェア定義型ネットワークルール212又はソフトウェア定義型ネットワークルールの追加のセットを、仮想スイッチ202内の任意の追加の入力ポートに適用することもできる。
前述のように、仮想スイッチ202は、仮想マシン、ハイパーバイザ、ゲートウェイ、又は任意の追加のソフトウェアベースコンピューティングプラットフォーム内で実施され得る。提供モジュール106は、仮想スイッチ202と同じハイパーバイザ及び/又は仮想マシン内で、ソフトウェア定義型ネットワークルール212を実施し得る。あるいは、提供モジュール106は、追加のハイパーバイザ又は仮想マシン(例えば、仮想スイッチ202を含むハイパーバイザによって制御される仮想マシン)内で、ソフトウェア定義型ネットワークルール212を実施し得る。
更に、提供モジュール106は、仮想ネットワーク204をホスティングするクラウドベースのコンピューティング環境内の複数のVLAN、テナント、プロトコル、クラウドベースアプリケーション、仮想マシンなどに、ソフトウェア定義型ネットワークルールの追加のセットを配信し得る。例えば、提供モジュール106は、クラウドベースのコンピューティング環境内の各テナントによって管理される各VLAN及び/又は各クラウドベースアプリケーション内で、ソフトウェア定義型ネットワークルールのセットを実施し得る。別の例では、提供モジュール106は、1つ以上の仮想スイッチ、仮想ネットワーク、クラウドベースアプリケーションなどをホスティングする各物理ホストに対するソフトウェア定義型ネットワークルールのセットを実施し得る。更に別の例では、提供モジュール106は、異なる仮想マシンの接続に使用される各L2セグメントに対するソフトウェア定義型ネットワークルールのセットを実施し得る。
概して、提供モジュール106は、任意の数又は構成のハイパーバイザ、仮想マシン、VLAN、物理ホストなどにおいて、ソフトウェア定義型ネットワークルールの1つ以上のセット(ソフトウェア定義型ネットワークルール212を含む)を実施し得る。このようにして、本開示のシステムは、クラウドコンピューティング環境内の複数のテナントに提供されているセキュリティサービスに対して、フレキシブルかつ粒度の細かい制御を提供し得る。
図3を再び参照すると、ステップ306にて、本明細書に記載のシステムのうち1つ以上は、宛先ポート宛てのパケットを送信元ポートにて傍受し得る。例えば、傍受モジュール108は、図2中の仮想スイッチ202の一部として、宛先ポート206宛てのパケット214を送信元ポート210で傍受し得る。
本明細書に記載のシステムは、送信元ポートにおけるパケットの傍受を、様々な方法で行うことができる。いくつかの例では、仮想ネットワーク204内のポート、デバイス、仮想マシンなどから仮想ネットワーク204外の宛先へパケット214が配信されると、傍受モジュール108はパケット214を傍受し得る。他の例では、仮想ネットワーク204外の送信元から仮想ネットワーク204内のポート、デバイス、仮想マシンなどへパケット214が配信されると、傍受モジュール108はパケット214を傍受し得る。あるいは、パケット214が仮想ネットワーク204内で配信されているときに(例えば、パケット214が仮想ネットワーク204内のあるポートから仮想ネットワーク204内の別のポートに送信される場合)、傍受モジュール108はパケット214を傍受し得る。
図3を再び参照すると、ステップ308にて、本明細書に記載のシステムのうち1つ以上は、パケットの少なくとも1つの特徴が上記ルールのうちの少なくとも1つを満たすことを判断し得る。例えば、判断モジュール110は、図2の仮想スイッチ202の一部として、パケット214の特徴216がソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たすことを判断し得る。
本明細書に記載のシステムは、パケットの少なくとも1つの特徴が上記ルールのうちの少なくとも1つを満たすことを、様々な方法で判断することができる。いくつかの例では、判断モジュール110は、特徴216の値が、ソフトウェア定義型ネットワークルール212内の1つ以上のプロパティの値と一致することを判断することにより、特徴216(及びパケット214の任意の追加の特徴)が、ソフトウェア定義型ネットワークルール212の1つ以上を満たすことを判断し得る。
例として、図6に、パケット214の特徴を示す。この例では、パケット214は、IPv4パケットを表し得る。このように、パケット214のヘッダーは、パケット214の(IPプロトコルの)バージョン(この例では、「4」)、パケット214のインターネットヘッダー長(この例では、「8」ワード)、パケット214のプロトコル番号(この例では、「40」)、パケット214の送信元IPアドレス(この例では、「54.395.196.74」)、及びパケット214の宛先IPアドレス(この例では、「194.589.26.1」)などのIPv4パケットに関連する様々な基本情報を含み得る。図6には示されていないが、パケット214のヘッダーは、パケット214の全長、パケット214に関連する任意のフラグ、パケット214のフラグメントオフセット、パケット214の活動時間(TTL)、パケット214のヘッダーの誤り検出に使用されるヘッダーチェックサム、及び/又はパケット214の送信元、宛先、フォーマッティングなどに関連する任意の追加情報も含み得る。図6に示すように、パケット214は、データ(又はペイロード)部分も含み得る。この例では、パケット214のデータ部分は、クライアントリストの一部を含み得る。具体的には、パケット214のデータ部分は、「クライアント#103:クラーク・ケント」、「クライアント#104:ブルース・ウェイン」、及び「クライアント#105:オリバー・クイーン」を含み得る。
図6の例では、判断モジュール110は、パケット214の送信元IPアドレスを特徴216として識別し得る。図5の例を参照すると、判断モジュール110は、パケット214の特徴216が、ソフトウェア定義型ネットワークルール212内にリストされている送信元IPアドレスと一致することを判断し得る。そのため、判断モジュール110は、パケット214の特徴216が、ソフトウェア定義型ネットワークルール212内の「送信元IPアドレス」ルールを満たすことを判断し得る。
図3を再び参照すると、ステップ310にて、本明細書に記載のシステムのうち1つ以上は、パケットの特徴が上記ルールのうちの少なくとも1つを満たすとの判断に応じて、そのパケットのコピーを、パケットのコピーにセキュリティ脅威が無いか分析する仮想タップポートへ転送し得る。例えば、転送モジュール112は、図2中の仮想スイッチ202の一部として、特徴216がソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たすとの判断に応じて、パケット214のコピーを仮想タップポート208へ転送し得る。
「仮想タップポート」という用語は、本明細書で使用するとき、概して、パケット(又はパケットのコピー)にセキュリティ脅威の表示が無いか分析するように(あるいは、そのように構成されたサーバ又は仮想マシンと通信するように)構成された、任意のタイプ又は形態の仮想ポートを指す。更に、「パケットのコピー」という用語は、本明細書で使用するとき、概して、パケット及び/又はパケット内の情報を、任意のタイプ又は形態で複製又は模倣したものを指す。いくつかの例では、パケットのコピーを作成することにより、パケット内の情報又はパケットの宛先ポートまでのパスに、変更又は変化は起こり得ない。
図4の例に示すように、仮想タップポート208は、仮想ネットワーク204外に存在し得る。追加的にあるいは代替的に、仮想タップポート208は、仮想スイッチ202外に、及び/又は仮想ネットワーク204のテナントによって管理される仮想マシン又は他の仮想デバイス外に存在し得る。概して、仮想タップポート208は、送信元ポート210のモニタリングを要求したテナントの制御外で仮想タップポート208が動作するような任意の方法で構成され得る。このようにして、本明細書に記載のシステムは、テナントの関与又は管理を必要とせず、パケットコピー218を分析することができる。言い換えると、パケットコピー218の分析は、テナントに対して不可視又は透過とすることができる。代替的に、仮想タップポート208は仮想ネットワーク204内に存在し得る。また、代替的に、仮想ネットワーク204のテナントに対してアクセス可能及び/又は可視とすることができる。このようにして、テナントは、パケットコピー218を分析するプロセスを、アクティブにモニタリングすることができる。
転送モジュール112は、様々な方法で、パケットコピー218を仮想タップポート208へ転送し得る。いくつかの例では、転送モジュール112は、1つ以上のアプリケーションプログラムインタフェース(API)を介して、パケットコピー218を仮想タップポート208へ転送し得る。例えば、転送モジュール112は、パケット214の特徴216がソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たすとの判断に基づいて、パケットコピー218を作成して仮想タップポート208へ転送するAPIを、送信元ポート210にて実施し得る。
一実施形態において、送信元ポート210及び仮想タップポート208は、別々の物理ホスト上に存在し得る。この実施形態では、転送モジュール112は、送信元ポート210にてパケットコピー218をカプセル化し、仮想タップポート208にてパケットコピー218をカプセル化解除するトンネルメカニズムを介して、パケットコピー218を仮想タップポート208へ転送し得る。概して、転送モジュール112は、任意のタイプ又は形態のソフトウェアベースのデータ転送方式を介して、パケットコピー218を仮想タップポート208へ転送し得る。
いくつかの例では、転送モジュール112は、パケットコピー218の仮想タップポート208への転送に加えて、パケット214を宛先ポート206へ(あるいは、パケット214の宛先ポート206への転送を容易にすることができる別のスイッチングデバイス、ポート、ネットワークなどへ)転送し得る。図4の例では、転送モジュール112は、仮想スイッチ202から仮想ネットワーク204外に存在する宛先ポート206へパケット214を転送し得る。他の例では、転送モジュール112は、仮想スイッチ202から仮想ネットワーク204内に存在する宛先ポート206へパケット214を転送し得る。
前述したように、物理又は仮想タッピングメカニズムは、データ配信チャンネルにおける通常のデータ転送を妨げないように、データ配信チャンネル内で実施され得る。このように、転送モジュール112は、パケット214が宛先ポート206に転送されやすくして、パケット214が変更、遅延、又はその他の支障無しで宛先ポート206に確実に受信されるようにすることができる。
いくつかの実施形態において、分析モジュール114は、パケットコピー218が仮想タップポート208に転送されると、パケットコピー218のセキュリティ脅威を分析し得る。例えば、分析モジュール114は、パケットコピー218のデータ部分内の情報と、セキュリティポリシー(例えば、ソフトウェア定義型ネットワークルール212の生成に使用されるセキュリティポリシー)とを比較し得る。図6を参照して説明したとおり、パケット214(及びパケットコピー218)は、クライアントリストの一部を含み得る。一例では、分析モジュール114は、パケットコピー218内のクライアントリストの一部を識別し、そのクライアントリストが安全な及び/又は機密の情報を表すことを判断し得る。分析モジュール114は、パケット214のヘッダー内の送信元及び宛先IPアドレスに基づいて、パケット214により機密情報が仮想ネットワーク204内のポートから仮想ネットワーク204外のポートへ配信されたことも判断し得る。従って、分析モジュール114は、パケット214がセキュリティ脅威を表すこと(例えば、パケット214がDLPポリシーに違反していること)を判断し得る。
いくつかの例では、セキュリティモジュール116は、パケット214がセキュリティ脅威を表すとの判断に応じて、少なくとも1つのセキュリティアクションを行い得る。例えば、セキュリティモジュール116は、仮想ネットワーク204のテナント及び/又はアドミニストレータに、DLPポリシー違反を警告することができる。また、セキュリティモジュール116は、既存のセキュリティ対策を厳しくし得る、及び/又は仮想ネットワーク204内の新しいセキュリティ対策を実施し得る。例えば、セキュリティモジュール116は、潜在的に有害なネットワークトラフィックを識別するためのより広い基準を含むように(例えば、これから起こり得るセキュリティ脅威を識別する可能性を高めるため)、ソフトウェア定義型ネットワークルール212を更新し得る。追加的にあるいは代替的に、セキュリティモジュール116は、セキュリティ脅威の傾向を認識するために、違反の記録(例えば、漏洩した情報、漏洩元など)を格納し得る。概して、セキュリティモジュール116は、仮想ネットワーク204内に格納されている又は当該仮想ネットワークがアクセス可能な情報の安全性を保護するための任意の好適なセキュリティアクションを行い得る。
いくつかの実施形態において、本明細書に記載のシステムは、現在のネットワーク負荷に基づいてパケットコピーを異なる仮想タップポートに動的に割り当てるために、複数の仮想タップポートを実装し得る。例えば、提供モジュール106は、送信元ポート210又は追加の入力ポートへのパケットの流れが所定の閾値を超えたことを判断するための追加の基準を、ソフトウェア定義型ネットワークルール212又はソフトウェア定義型ネットワークルールの追加のセット内に提供し得る。また、提供モジュール106は、現在のネットワークトラフィック負荷が所定の閾値を超えた場合にどのようにパケットを処理するかを規定するソフトウェア定義型ネットワークルール212内に、基準を提供し得る。
例えば、提供モジュール106が追加の基準を提供した後、傍受モジュール108は、送信元ポート210にて追加のパケットを傍受し得る。そして、判断モジュール110は、その追加のパケットの少なくとも1つの特徴が、元のソフトウェア定義型ネットワークルール212のうちの少なくとも1つを満たすことを判断し得る。また、判断モジュール110は、ソフトウェア定義型ネットワークルール212内の追加の基準に基づいて、追加のパケットを受信することで現在のネットワークトラフィック負荷が所定の閾値(例えば、100パケット/秒)を超えることも判断し得る。現在のネットワークトラフィック負荷が所定の閾値を超えるとの判断に応じて、転送モジュール112は、追加のパケットのコピーを、仮想タップポート208の代わりに追加の仮想タップポートに転送し得る。
追加の例では、提供モジュール106は、ピークビジネスアワー中に2つ以上の仮想タップポート間でパケットを自動的に分割する基準を実施し得る。追加的にあるいは代替的に、提供モジュール106は、特定のタイプ又は頻度のセキュリティ脅威を検出すると、ソフトウェア定義型ネットワークルール212内の基準を動的に更新し得る。例えば、パケットコピー218がマルウェアによる攻撃を含んでいることを判断すると、提供モジュール106は、マルウェアによる攻撃を検知するように設計された追加のワイヤータップの表示を含むように基準を更新し得る。
本明細書に記載のシステム及び方法は、様々な方法で実施され、多く利点をもたらす。前述したとおり、潜在的なセキュリティ脅威を示すプロパティを有するパケットを(例えば、OPENFLOWルールのセットを介して)識別することにより、本明細書に記載のシステム及び方法は、疑わしいパケットのコピーを仮想タップポートへ転送して、パケットコピーにマルウェアによる攻撃やデータ漏洩などが無いかを分析することができる。更に、本開示のシステム及び方法は、任意のタイプの物理ワイヤータップメカニズム基づいてソフトウェア定義型ネットワークルールのセットを実施することにより、物理ネットッワーク内での有効性が証明されている技術を使用して、仮想ネットワークを効率よくモニタリングすることができる。更に、本明細書に記載のシステム及び方法は、様々なテナントのクラウドベースアプリケーション専用のクラウドベースのコンピューティングプラットフォームの各部分内で仮想ワイヤータップを実施することにより、粒度が細かくカスタマイズ可能なネットワークモニタリングサービスをテナントに提供することができる。
図7は、本明細書で記載及び/又は図示される実施形態のうち1つ以上を実現することができる例示的なコンピューティングシステム710のブロック図である。例えば、コンピューティングシステム710の全て又は一部は、単独で又は他の要素と組み合わせて、(図3に示すステップのうち1つ以上などの)本明細書に記載のステップのうち1つ以上を行ってもよい、及び/又はそれを行うための手段であってもよい。また、コンピューティングシステム710の全て又は一部は、本明細書で記載及び/又は図示される他の任意のステップ、方法、又は処理を行ってもよい、及び/又はそれを行うための手段であってもよい。
コンピューティングシステム710は、コンピュータ可読命令を実行することができる、任意のシングルプロセッサ又はマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム710の例としては、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられるが、これらに限定されない。その最も基本的な構成において、コンピューティングシステム710は、少なくとも1つのプロセッサ714及びシステムメモリ716を含み得る。
プロセッサ714は、概して、データの処理又は命令の解釈及び実行が可能な、任意のタイプ又は形態の物理処理装置(例えば、ハードウェア実装型中央処理装置)を表す。特定の実施形態では、プロセッサ714は、ソフトウェアアプリケーション又はモジュールから命令を受信し得る。これらの命令は、プロセッサ714に、本明細書に記載及び/又は図示されている例示的な実施形態のうち1つ以上の機能を行わせてもよい。
システムメモリ716は、概して、データ及び/又は他のコンピュータ可読命令を格納できる、任意のタイプ又は形態の揮発性又は不揮発性記憶デバイス又は媒体を表す。システムメモリ716としては、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられるが、これらに限定されない。必須ではないが、特定の実施形態では、コンピューティングシステム710は、揮発性メモリユニット(例えば、システムメモリ716など)及び不揮発性記憶デバイス(例えば、後で詳述するような、一次記憶デバイス732など)の両方を含んでもよい。一例では、図1のモジュール102のうち1つ以上がシステムメモリ716にロードされ得る。
特定の実施形態では、例示的なコンピューティングシステム710は、プロセッサ714及びシステムメモリ716に加えて、1つ以上の構成要素又は要素も含み得る。例えば、図7に示されるように、コンピューティングシステム710は、メモリコントローラ718、入力/出力(I/O)コントローラ720、及び通信インターフェース722を含み得る。これらはそれぞれ、通信基盤712を介して相互接続され得る。通信基盤712は、概して、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤712の例としては、通信バス(例えば、産業標準構成(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバス)及びネットワークが挙げられるが、これらに限定されない。
メモリコントローラ718は、概して、メモリ又はデータの処理、又はコンピューティングシステム710の1つ以上の構成要素間の通信の制御が可能な、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ718は、通信基盤712を介して、プロセッサ714、システムメモリ716、及びI/Oコントローラ720間の通信を制御し得る。
I/Oコントローラ720は、概して、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ720は、プロセッサ714、システムメモリ716、通信インターフェース722、ディスプレイアダプタ726、入力インターフェース730、及び記憶インターフェース734など、コンピューティングシステム710の1つ以上の要素間におけるデータの転送を制御し得る又は容易にし得る。
通信インターフェース722は、例示的なコンピューティングシステム710と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ又は形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、通信インターフェース722は、コンピューティングシステム710と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース722の例としては、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられるが、これらに限定されない。少なくとも1つの実施形態では、通信インターフェース722は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供し得る。また、通信インターフェース722は、そのような接続を、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続により、間接的に提供することもできる。
特定の実施形態では、通信インターフェース722は、外部バス又は通信チャネルを介して、コンピューティングシステム710と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタも表し得る。ホストアダプタの例としては、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられるが、これらに限定されない。また、通信インターフェース722は、コンピューティングシステム710に、分散型又はリモートコンピューティングに関与させることができる。例えば、通信インターフェース722は、実行のために、リモートデバイスから命令を受信し得る、又はリモートデバイスに命令を送信し得る。
図7に示すように、コンピューティングシステム710は、ディスプレイアダプタ726を介して通信基盤712に連結される少なくとも1つのディスプレイデバイス724を含み得る。ディスプレイデバイス724は、概して、ディスプレイアダプタ726によって転送される情報を視覚的に表示することができる、任意のタイプ又は形態のデバイスを表す。同様に、ディスプレイアダプタ726は、概して、ディスプレイデバイス724に表示するために、通信基盤712から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ又は形態のデバイスを表す。
図7に示すように、例示的なコンピューティングシステム710は、入力インターフェース730を介して通信基盤712に連結される少なくとも1つの入力デバイス728も含み得る。入力デバイス728は、概して、コンピュータ又は人間により生成された入力を、例示的なコンピューティングシステム710に提供することができる、任意のタイプ又は形態の入力デバイスを表す。入力デバイス728の例としては、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられるが、これらに限定されない。
図7に示すように、例示的なコンピューティングシステム710は、記憶インターフェース734を介して通信基盤712に連結される、一次記憶デバイス732及びバックアップ記憶デバイス733も含み得る。記憶デバイス732及び733は、概して、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス732及び733は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶インターフェース734は、概して、記憶デバイス732及び733とコンピューティングシステム710の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。
特定の実施形態では、記憶デバイス732及び733は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された、取外し可能な記憶ユニットに対する読み取り及び/又は書き込みを行うように構成されてもよい。好適な取外し可能な記憶ユニットの例としては、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられるが、これらに限定されない。記憶デバイス732及び733は、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム710にロードされることを可能にする、他の同様の構成又はデバイスも含み得る。例えば、記憶デバイス732及び733は、ソフトウェア、データ、又は他のコンピュータ可読情報の読み取り及び書き込みを行うように構成されてもよい。記憶デバイス732及び733は、コンピューティングシステム710の一部であってもよく、他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
その他多くのデバイス又はサブシステムがコンピューティングシステム710に接続されてもよい。反対に、図7に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムは、図7に示されるのとは異なる形で相互接続されてもよい。コンピューティングシステム710は、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を採用することもできる。例えば、本明細書で開示する例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、概して、コンピュータ可読命令を格納又は実行することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY)(登録商標)ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられるが、これらに限定されない。
コンピュータプログラムを含むコンピュータ可読媒体は、コンピューティングシステム710にロードされてもよい。そして、コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、システムメモリ716に、及び/又は、記憶デバイス732及び733の様々な部分に格納されてもよい。コンピューティングシステム710にロードされたコンピュータプログラムは、プロセッサ714によって実行されると、プロセッサ714に、本明細書に記載及び/又は図示されている例示的な実施形態のうち1つ以上の機能を実施させてもよく、かつ/又はそれらを実施するための手段であってもよい。追加的にあるいは代替的に、本明細書に記載及び/又は図示されている例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム710は、本明細書に開示される例示的な実施形態1つ以上を実現するように適合された、特定用途向け集積回路(ASIC)として構成されてもよい。
図8は、クライアントシステム810、820、830、及びサーバ840、845がネットワーク850に連結され得る、例示的なネットワークアーキテクチャ800のブロック図である。上記で詳述したように、ネットワークアーキテクチャ800の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書に開示されるステップの1つ以上(図3に示されるステップの1つ以上など)を行ってもよく、並びに/あるいはそれを行うための手段であってもよい。ネットワークアーキテクチャ800の全て又は一部は、本開示に記載される他のステップ及び特徴を行うために使用されてもよく、並びに/あるいはそれを行うための手段であってもよい。
クライアントシステム810、820、830は、概して、図7の例示的なコンピューティングシステム710などの、任意のタイプ又は形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ840、845は、概して、様々なデータベースサービスを提供し、かつ/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ若しくはデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク850は、概して、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一例では、クライアントシステム810、820、及び/若しくは830、並びに/又はサーバ840及び/若しくは845の少なくとも1つは、図1のシステム100の全て又は一部を含んでもよい。
図8に示すように、1つ以上の記憶デバイス860(1)〜(N)は、サーバ840に直接取り付けられ得る。同様に、1つ以上の記憶デバイス870(1)〜(N)は、サーバ845に直接取り付けられ得る。記憶デバイス860(1)〜(N)及び記憶デバイス870(1)〜(N)は、概して、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス860(1)〜(N)及び記憶デバイス870(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ840及び845と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
サーバ840及び845は、ストレージエリアネットワーク(SAN)ファブリック880にも接続され得る。SANファブリック880は、概して、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ又は形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック880は、サーバ840及び845と、複数の記憶デバイス890(1)〜(N)及び/又はインテリジェント記憶アレイ895との間の通信を容易にし得る。SANファブリック880は、記憶デバイス890(1)〜(N)及びインテリジェント記憶アレイ895が、クライアントシステム810、820、830にローカルで取り付けられたデバイスとして現れるように、ネットワーク850及びサーバ840、845を介して、クライアントシステム810、820、830と、記憶デバイス890(1)〜(N)及び/又はインテリジェント記憶アレイアレイ895との間の通信を容易にすることもできる。記憶デバイス860(1)〜(N)及び記憶デバイス870(1)〜(N)と同様に、記憶デバイス890(1)〜(N)及びインテリジェント記憶アレイ895は、概して、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ又は形態の記憶デバイス又は媒体を表す。
特定の実施形態において、図7の例示的なコンピューティングシステム710を参照すると、図7中の通信インターフェース722などの通信インターフェースは、各クライアントシステム810、820、830とネットワーク850との間の接続を提供するために使用され得る。クライアントシステム810、820、830は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ840又は845上の情報にアクセスすることが可能であり得る。このようなソフトウェアは、クライアントシステム810、820、830が、サーバ840、サーバ845、記憶デバイス860(1)〜(N)、記憶デバイス870(1)〜(N)、記憶デバイス890(1)〜(N)、又はインテリジェント記憶アレイ895によってホストされるデータにアクセスすることを可能にし得る。図8では、データ通信に(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示されている実施形態は、インターネットや任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ840、サーバ845、記憶デバイス860(1)〜(N)、記憶デバイス870(1)〜(N)、記憶デバイス890(1)〜(N)、インテリジェント記憶アレイ895、又はこれらの任意の組み合わせ上にロードされて実行されてもよい。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ840に記憶され、サーバ845によって実行され、ネットワーク850によりクライアントシステム810、820、830に配信されてもよい。
上記で詳述されたように、コンピューティングシステム710及び/又はネットワークアーキテクチャ800の1つ以上の構成要素は、単独で又は他の要素と組み合わせて、仮想ネットワークをモニタリングするための例示的な方法の1つ以上のステップを行い得る、及び/又はそれを行うための手段であり得る。
前述の開示においては、特定のブロック図、フローチャート、及び例を使用して様々な実施形態が記載されているが、本明細書に記載及び/又は図示されているブロック図中の各構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別に及び/又は集合的に、様々なハードウェア、ソフトウェア、又はファームウェア(又はそれらの任意の組み合わせ)の構成を使用して実現され得る。更に、その他多くのアーキテクチャを実施することにより同じ機能を得ることができるので、他の構成要素に含まれる構成要素に関する開示は、いずれも、本質的に例示と解釈されるべきである。
いくつかの例では、図1中の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表し得る。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供し得る。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であり得る。本明細書に記載の様々な機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を介して提供され得る。
様々な実施形態では、図1中の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナントを容易にし得る。換言すれば、本明細書に記載のソフトウェアモジュールは、本明細書に記載の機能のうち1つ以上についてマルチテナントを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載のソフトウェアモジュールのうち1つ以上は、サーバ上で実行中のアプリケーションを2つ以上のクライアント(例えば、顧客)が共有できるように、サーバをプログラムしてもよい。このようにプログラムされたサーバによれば、複数の顧客(即ち、テナント)が、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有し得る。本明細書に記載のモジュールのうち1つ以上は、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を区分してもよい。
様々な実施形態において、図1中の例示的なシステム100の全て又は一部は仮想環境内で実現され得る。例えば、本明細書に記載のモジュール及び/又はデータは、仮想マシン内で存在及び/又は実行し得る。「仮想マシン」という用語は、本明細書で使用するとき、概して、仮想マシンマネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。追加的にあるいは代替的に、本明細書に記載のモジュール及び/又はデータは、仮想化層内で存在及び/又は実行し得る。「仮想化層」という用語は、本明細書で使用するとき、概して、オペレーティングシステム環境にオーバーレイする、及び/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、下層の基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理され得る。例えば、ソフトウェア仮想化ソリューションは、最初は基本ファイルシステム及び/又はレジストリ内の位置宛てだった呼び出しを、仮想化層内の位置にリダイレクトし得る。
いくつかの例では、図1中の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表し得る。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、様々なモバイルコンピューティングデバイスによって実現され得る。いくつかの例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意のタイミングにおける1つのフォアグラウンドアプリケーションの提示、リモート管理機能、タッチスクリーン機能、(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)位置及び移動データ、システムレベルの構成への修正の制限及び/又は第3者ソフトウェアによる他アプリケーションの挙動検査能力の限定を行う制限されたプラットフォーム、アプリケーションのインストールを制限する制御(例えば、認可されたアプリケーションストアのみからの開始)を含む1つ以上の特性を有し得る。本明細書で説明される様々な機能は、モバイルコンピューティング環境に提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
更に、図1中の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、及び/又はそれによって消費されるデータを生成してもよい。「情報管理」という用語は、本明細書で使用するとき、データの保護、編成、及び/又は記憶を指すことがある。情報管理のためのシステムの例としては、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができるが、これらに限定されない。
いくつかの実施形態では、図1中の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。「情報セキュリティ」という用語は、本明細書で使用するとき、保護されたデータに対するアクセスの制御を指すことがある。情報セキュリティのためのシステムの例としては、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検知及び防止システム、電子証拠開示システムなどを挙げることができるが、これらに限定されない。
いくつかの例によると、図1中の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。「エンドポイントセキュリティ」という用語は、本明細書で使用するとき、不正及び/又は違法な使用、アクセス、及び/又は制御からエンドポイントシステムを保護すること指すことがある。エンドポイント保護のためのシステムの例としては、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができるが、これらに限定されない。
本明細書に記載及び/又は図示されているプロセスパラメータ及びステップの順序は、例として示されており、必要に応じて変更することができる。例えば、本明細書に図示及び/又は記載されているステップは特定の順序で図示又は説明されることがあるが、必ずしも図示又は説明されている順序で行う必要はない。本明細書に記載及び/又は図示されている様々な例示的な方法はまた、本明細書に記載又は図示されているステップの1つ以上を省略するか、又は開示されているものに加えて追加のステップを含んでもよい。
様々な実施形態を、完全に機能するコンピューティングシステムの文脈で本明細書に記載及び/又は図示したが、これらの例示的な実施形態の1つ以上は、様々な形態のプログラム製品として配布されてもよく、このとき、実際の配布に使用されるコンピュータ可読媒体の特定のタイプは問わない。本明細書に開示される実施形態は、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納され得る、スクリプト、バッチ、又はその他の実行可能なファイルを含み得る。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を実施するためのコンピューティングシステムを構成し得る。
更に、本明細書に記載のモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、ある形態から別の形態へと変換し得る。例えば、本明細書に記載のモジュールのうちの1つ以上は、変換対象パケットを受け取り、そのパケットを変換し、変換結果を仮想タップポートに出力し、変換結果を使用してセキュリティ脅威を検知し、変換結果をストレージ又はメモリに記憶し得る。追加的にあるいは代替的に、本明細書に記載のモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、及び/又は別な方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスのその他の任意の部分を、ある形態から別の形態へと変換することができる。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を、当業者が最良に利用可能とするためのものである。この例示的な記載は、包括的なものでも、開示された特定の形態に限定されるものでもない。本開示の趣旨及び範囲から逸脱しない範囲で、様々な修正及び変形が可能である。本明細書に開示された実施形態は、あらゆる点で例示的であり、非限定的であると見なされるべきである。本開示の範囲を決定する際は、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(つまり、他の要素若しくは構成要素を介した接続)の両方を許容するものとして解釈される。更に、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈される。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と置き換え可能であり、同じ意味を有する。

Claims (20)

  1. 仮想ネットワークをモニタリングするための、コンピュータによって実施される方法であって、前記方法の少なくとも一部が、少なくとも1つのプロセッサを含むコンピューティングデバイスによって実行され、前記方法は、
    仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別することと、
    セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、前記仮想化スイッチングデバイス内に提供することと、
    前記宛先ポート宛てのパケットを前記送信元ポートにて傍受することと、
    前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断することと、
    前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、前記パケットの前記コピーにセキュリティ脅威が無いか分析する仮想タップポートへ転送することと、を含む、方法。
  2. 前記仮想ネットワークの識別することは、クラウドコンピューティング環境内でホスティングされ、かつ、それぞれ異なるテナントに関連付けられた複数の仮想ネットワークの中から前記仮想ネットワークを識別することを含み、
    ソフトウェア定義型ネットワークルールの前記セットを提供することは、前記仮想ネットワークに関連付けられたテナントからソフトウェア定義型ネットワークルールの前記セットを受信することを含む、請求項1に記載の方法。
  3. 前記セキュリティポリシーに関連付けられた前記所定のプロパティは、
    前記パケットの宛先のプロパティ、
    前記パケットの送信元のプロパティ、
    前記パケットの転送に使用されるプロトコルのプロパティ、のうちの少なくとも1つを含む、請求項1に記載の方法。
  4. 前記仮想化スイッチングデバイスは、前記仮想ネットワーク内の追加のポート及び前記仮想ネットワーク外のポートの両方に前記送信元ポートを接続させる仮想化エッジスイッチングデバイスを含む、請求項1に記載の方法。
  5. 前記宛先ポートは前記仮想ネットワーク内に存在し、
    前記セキュリティポリシーは、前記仮想ネットワーク外から前記宛先ポートへ配信されるネットワークトラフィックに適用されるマルウェア検出ポリシーを含む、請求項4に記載の方法。
  6. 前記宛先ポートは前記仮想ネットワーク外に存在し、
    前記セキュリティポリシーは、前記送信元ポートから前記仮想ネットワーク外へ配信されるネットワークトラフィックに適用されるデータ損失防止ポリシーを含む、請求項4に記載の方法。
  7. 前記パケットの前記コピーの前記仮想タップポートへの転送することは、前記パケットの前記コピーの前記分析が前記仮想ネットワークのテナントからは不可視となるように、前記仮想ネットワーク外に存在する仮想ポートへ前記パケットの前記コピーを転送することを含む、請求項1に記載の方法。
  8. 前記仮想タップポートにおける前記パケットの前記コピーの分析に基づいて、前記パケットがセキュリティ脅威を含むことを判断することと、
    前記パケットが前記セキュリティ脅威を含むとの判断に応じて、少なくとも1つのセキュリティアクションを行うことと、を更に含む、請求項1に記載の方法。
  9. 前記ソフトウェア定義型ネットワークルールのうちの少なくとも1つを満たす少なくとも1つのプロパティを含む追加のパケットを、前記送信元ポートにて傍受することと、
    ソフトウェア定義型ネットワークルールの前記セット内の追加の基準に基づいて、前記仮想ネットワーク内の現在のネットワークトラフィック負荷が所定の閾値を超えることを判断することと、
    前記現在のネットワークトラフィック負荷が前記所定の閾値を超えるとの判断に応じて、前記追加のパケットの前記コピーを、前記仮想タップポートの代わりに追加の仮想タップポートへ転送することと、を更に含む、請求項1に記載の方法。
  10. 仮想ネットワークをモニタリングするシステムであって、
    仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別し、かつ、メモリ内に格納されている識別モジュールと、
    セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを前記仮想化スイッチングデバイス内に提供し、かつ、メモリ内に格納されている提供モジュールと、
    前記宛先ポート宛てのパケットを前記送信元ポートにて傍受し、かつ、メモリ内に格納されている傍受モジュールと、
    前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断し、かつ、メモリ内に格納されている判断モジュールと、
    前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、パケットのコピーにセキュリティ脅威が無いか分析する仮想タップポートへ転送し、かつ、メモリ内に格納されている転送モジュールと、
    前記識別モジュール、前記提供モジュール、前記傍受モジュール、前記判断モジュール、及び前記転送モジュールを実行する少なくとも1つのプロセッサとを含む、システム。
  11. 前記識別モジュールは、前記仮想ネットワークの識別を、クラウドコンピューティング環境内でホスティングされ、かつ、それぞれ異なるテナントに関連付けられた複数の仮想ネットワークの中から前記仮想ネットワークを識別することにより行い、
    前記提供モジュールは、前記ソフトウェア定義型ネットワークルールのセットの提供を、前記仮想ネットワークに関連付けられた前記テナントからソフトウェア定義型ネットワークルールの前記セットを受信することにより行う、請求項10に記載のシステム。
  12. 前記セキュリティポリシーに関連付けられた前記所定のプロパティは、
    前記パケットの宛先のプロパティ、
    前記パケットの送信元のプロパティ、
    前記パケットの転送に使用されるプロトコルのプロパティ、のうちの少なくとも1つを含む、請求項10に記載のシステム。
  13. 前記仮想化スイッチングデバイスは、前記仮想ネットワーク内の追加のポート及び前記仮想ネットワーク外のポートの両方に前記送信元ポートを接続させる仮想化エッジスイッチングデバイスを含む、請求項10に記載のシステム。
  14. 前記宛先ポートは前記仮想ネットワーク内に存在し、
    前記セキュリティポリシーは、前記仮想ネットワーク外から前記宛先ポートへ配信されるネットワークトラフィックに適用されるマルウェア検出ポリシーを含む、請求項13に記載のシステム。
  15. 前記宛先ポートは前記仮想ネットワーク外に存在し、
    前記セキュリティポリシーは、前記送信元ポートから前記仮想ネットワーク外へ配信されるネットワークトラフィックに適用されるデータ損失防止ポリシーを含む、請求項13に記載のシステム。
  16. 前記転送モジュールは、前記パケットの前記コピーの前記仮想タップポートへの転送を、前記パケットの前記コピーの前記分析が前記仮想ネットワークのテナントからは不可視となるように、前記仮想ネットワーク外に存在する仮想ポートへ前記パケットの前記コピーを転送することにより行う、請求項10に記載のシステム。
  17. 前記仮想タップポートにおける前記パケットの前記コピーの前記分析に基づいて、前記パケットがセキュリティ脅威を含むことを判断する分析モジュールと、
    前記パケットが前記セキュリティ脅威を含むとの判断に応じて、少なくとも1つのセキュリティアクションを行うセキュリティモジュールと、を更に含む、請求項10に記載のシステム。
  18. 前記傍受モジュールは、前記ソフトウェア定義型ネットワークルールのうちの少なくとも1つを満たす少なくとも1つのプロパティを含む追加のパケットを、前記送信元ポートにて傍受し、
    前記判断モジュールは、ソフトウェア定義型ネットワークルールの前記セット内の追加の基準に基づいて、前記仮想ネットワーク内の現在のネットワークトラフィック負荷が所定の閾値を超えることを判断し、
    前記転送モジュールは、前記現在のネットワークトラフィック負荷が前記所定の閾値を超えるとの判断に応じて、前記追加のパケットのコピーを、前記仮想タップポートの代わりに追加の仮想タップポートへ転送する、請求項10に記載のシステム。
  19. コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    前記仮想ネットワーク内の送信元ポートから宛先ポートへネットワークトラフィックを転送する少なくとも1つの仮想化スイッチングデバイスを含む仮想ネットワークを識別させ、
    セキュリティポリシーに関連する少なくとも1つの所定のプロパティを有するパケットを識別するための基準を含むソフトウェア定義型ネットワークルールのセットを、前記仮想化スイッチングデバイス内に提供させ、
    前記宛先ポート宛てのパケットを前記送信元ポートにて傍受させ、
    前記パケットの少なくとも1つの特徴が、前記ルールのうちの少なくとも1つを満たすことを判断させ、
    前記パケットの前記特徴が前記ルールのうちの少なくとも1つを満たすとの判断に応じて、前記パケットのコピーを、前記パケットの前記コピーにセキュリティ脅威が無いか分析する仮想タップポートへ転送させる、1つ以上のコンピュータ可読命令を含む非一時的コンピュータ可読媒体。
  20. 前記1つ以上のコンピュータ可読命令は、前記コンピューティングデバイスに、
    前記仮想ネットワークの識別を、クラウドコンピューティング環境内でホスティングされ、かつ、それぞれ異なるテナントに関連付けられた複数の仮想ネットワークの中から前記仮想ネットワークを識別することにより行わせ、
    前記ソフトウェア定義型ネットワークルールのセットの提供を、前記仮想ネットワークに関連付けられた前記テナントからソフトウェア定義型ネットワークルールの前記セットを受信することにより行わせる、請求項19に記載のコンピュータ可読媒体。
JP2017534336A 2014-12-31 2015-12-29 仮想ネットワークをモニタリングするシステム及び方法 Active JP6523463B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/587,048 2014-12-31
US14/587,048 US9961105B2 (en) 2014-12-31 2014-12-31 Systems and methods for monitoring virtual networks
PCT/US2015/067960 WO2016109602A1 (en) 2014-12-31 2015-12-29 Systems and methods for monitoring virtual networks

Publications (2)

Publication Number Publication Date
JP2018506211A true JP2018506211A (ja) 2018-03-01
JP6523463B2 JP6523463B2 (ja) 2019-06-05

Family

ID=55275172

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017534336A Active JP6523463B2 (ja) 2014-12-31 2015-12-29 仮想ネットワークをモニタリングするシステム及び方法

Country Status (5)

Country Link
US (1) US9961105B2 (ja)
EP (1) EP3241315A1 (ja)
JP (1) JP6523463B2 (ja)
CA (1) CA2972467C (ja)
WO (1) WO2016109602A1 (ja)

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8276202B1 (en) * 2009-06-30 2012-09-25 Aleksandr Dubrovsky Cloud-based gateway security scanning
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
KR101695639B1 (ko) * 2014-08-13 2017-01-16 (주)잉카엔트웍스 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템
US9961105B2 (en) 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
WO2016119837A1 (en) * 2015-01-28 2016-08-04 Nokia Solutions And Networks Oy Software-defined networking controller
US10264020B1 (en) * 2015-02-05 2019-04-16 Symantec Corporation Systems and methods for scalable network monitoring in virtual data centers
US9584477B2 (en) * 2015-02-26 2017-02-28 International Business Machines Corporation Packet processing in a multi-tenant software defined network (SDN)
US10193929B2 (en) * 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9912536B2 (en) 2015-04-01 2018-03-06 Brocade Communications Systems LLC Techniques for facilitating port mirroring in virtual networks
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
US9971624B2 (en) 2015-05-17 2018-05-15 Nicira, Inc. Logical processing for containers
US9749401B2 (en) 2015-07-10 2017-08-29 Brocade Communications Systems, Inc. Intelligent load balancer selection in a multi-load balancer environment
US9781037B2 (en) * 2015-09-15 2017-10-03 Cisco Technology, Inc. Method and apparatus for advanced statistics collection
US10142212B2 (en) * 2015-10-26 2018-11-27 Keysight Technologies Singapore (Holdings) Pte Ltd On demand packet traffic monitoring for network packet communications within virtual processing environments
US9807157B2 (en) * 2015-10-29 2017-10-31 rift.IO, Inc. Hybrid virtual load balancer
US10078527B2 (en) 2015-11-01 2018-09-18 Nicira, Inc. Securing a managed forwarding element that operates within a data compute node
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US9967165B2 (en) * 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US10063469B2 (en) 2015-12-16 2018-08-28 Nicira, Inc. Forwarding element implementation for containers
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
JP6599819B2 (ja) * 2016-06-02 2019-10-30 アラクサラネットワークス株式会社 パケット中継装置
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
EP3282665B1 (en) 2016-08-10 2021-01-27 Nokia Solutions and Networks Oy Anomaly detection in software defined networking
US10298605B2 (en) * 2016-11-16 2019-05-21 Red Hat, Inc. Multi-tenant cloud security threat detection
GB2567026B (en) * 2017-02-11 2022-03-23 Pismo Labs Technology Ltd Methods and systems for transmitting information packets through tunnel groups at a network node
US10257152B2 (en) * 2017-03-10 2019-04-09 Nicira, Inc. Suppressing ARP broadcasting in a hypervisor
US10868832B2 (en) * 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
US10791132B1 (en) * 2017-06-09 2020-09-29 Amazon Technologies, Inc. System and method for identifying suspicious network traffic
SG10202105475YA (en) * 2017-07-10 2021-07-29 Bgc Partners Lp Networks for packet monitoring and replay
US10116671B1 (en) * 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information
CN109587074B (zh) * 2017-09-29 2022-04-29 中兴通讯股份有限公司 报文处理方法、装置、存储介质及处理器
US11563677B1 (en) * 2018-06-28 2023-01-24 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network function
US11822946B2 (en) * 2018-06-28 2023-11-21 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network functions
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US11310241B2 (en) 2018-09-18 2022-04-19 Microsoft Technology Licensing, Llc Mirroring virtual network traffic
GB2580181B (en) * 2018-12-24 2021-01-13 British Telecomm Packet analysis and filtering
EP3903461B1 (en) 2018-12-24 2023-09-13 British Telecommunications public limited company Packet analysis and filtering
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
FR3098615B1 (fr) * 2019-07-08 2021-07-02 Secnap Network Security Corp Protection contre les intrusions avant routage pour environnements informatiques virtuels en nuage
US11297106B2 (en) 2019-07-08 2022-04-05 Secnap Network Security Corp. Pre-routing intrusion protection for cloud based virtual computing environments
US11558402B2 (en) * 2019-10-28 2023-01-17 Cisco Technology, Inc. Virtual switch-based threat defense for networks with multiple virtual network functions
US11563771B2 (en) * 2019-11-25 2023-01-24 Cisco Technology, Inc. Network telemetry collection with packet metadata filtering
US20210194894A1 (en) * 2019-12-23 2021-06-24 Cisco Technology, Inc. Packet metadata capture in a software-defined network
JP2021182689A (ja) * 2020-05-19 2021-11-25 富士通株式会社 スイッチ特定方法、及びスイッチ特定プログラム
US11444836B1 (en) * 2020-06-25 2022-09-13 Juniper Networks, Inc. Multiple clusters managed by software-defined network (SDN) controller
US11252064B2 (en) * 2020-07-01 2022-02-15 Hewlett Packard Enterprise Development Lp System and method for monitoring ingress/egress packets at a network device
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
FR3129053A1 (fr) * 2021-11-10 2023-05-12 Orange Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
FR3129052A1 (fr) * 2021-11-10 2023-05-12 Orange Procédé de traitement d’au moins un paquet de données, dispositif et système associés.
US20230334144A1 (en) * 2022-04-19 2023-10-19 Microsoft Technology Licensing, Llc Provisioning a security component from a cloud host to a guest virtual resource unit
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch
CN117014371B (zh) * 2023-07-05 2024-10-18 曙光云计算集团股份有限公司 网络流量的处理方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011074516A1 (ja) * 2009-12-15 2011-06-23 日本電気株式会社 ネットワークシステムとその制御方法、及びコントローラ
WO2012049960A1 (ja) * 2010-10-15 2012-04-19 日本電気株式会社 スイッチシステム、モニタリング集中管理方法
JP2013175075A (ja) * 2012-02-27 2013-09-05 Fujitsu Ltd データ収集方法、情報処理システムおよびプログラム
JP2013192128A (ja) * 2012-03-15 2013-09-26 Fujitsu Telecom Networks Ltd 中継装置及び中継方法
JP2014236388A (ja) * 2013-06-03 2014-12-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 パケット転送装置、検査制御装置、検査方法、検査制御方法、及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7808897B1 (en) * 2005-03-01 2010-10-05 International Business Machines Corporation Fast network security utilizing intrusion prevention systems
US8565108B1 (en) * 2010-09-28 2013-10-22 Amazon Technologies, Inc. Network data transmission analysis
US9110703B2 (en) * 2011-06-07 2015-08-18 Hewlett-Packard Development Company, L.P. Virtual machine packet processing
US8689282B1 (en) 2011-12-23 2014-04-01 Emc Corporation Security policy enforcement framework for cloud-based information processing systems
US9769049B2 (en) 2012-07-27 2017-09-19 Gigamon Inc. Monitoring virtualized network
JP6015342B2 (ja) 2012-10-24 2016-10-26 富士通株式会社 情報処理方法、プログラム、情報処理装置、及び情報処理システム
US8955092B2 (en) 2012-11-27 2015-02-10 Symantec Corporation Systems and methods for eliminating redundant security analyses on network data packets
US9680728B2 (en) * 2013-02-12 2017-06-13 Ixia Arrangements for monitoring network traffic on a cloud-computing environment and methods thereof
KR101394424B1 (ko) * 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US9961105B2 (en) 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011074516A1 (ja) * 2009-12-15 2011-06-23 日本電気株式会社 ネットワークシステムとその制御方法、及びコントローラ
WO2012049960A1 (ja) * 2010-10-15 2012-04-19 日本電気株式会社 スイッチシステム、モニタリング集中管理方法
JP2013175075A (ja) * 2012-02-27 2013-09-05 Fujitsu Ltd データ収集方法、情報処理システムおよびプログラム
JP2013192128A (ja) * 2012-03-15 2013-09-26 Fujitsu Telecom Networks Ltd 中継装置及び中継方法
JP2014236388A (ja) * 2013-06-03 2014-12-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 パケット転送装置、検査制御装置、検査方法、検査制御方法、及びプログラム

Also Published As

Publication number Publication date
CA2972467A1 (en) 2016-07-07
US9961105B2 (en) 2018-05-01
CA2972467C (en) 2019-09-17
WO2016109602A1 (en) 2016-07-07
EP3241315A1 (en) 2017-11-08
US20160191545A1 (en) 2016-06-30
JP6523463B2 (ja) 2019-06-05

Similar Documents

Publication Publication Date Title
JP6523463B2 (ja) 仮想ネットワークをモニタリングするシステム及び方法
US9300693B1 (en) Systems and methods for preventing data loss over virtualized networks
US10264020B1 (en) Systems and methods for scalable network monitoring in virtual data centers
AU2015374078B2 (en) Systems and methods for automatically applying firewall policies within data center applications
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
US10148697B2 (en) Unified host based security exchange between heterogeneous end point security agents
US20190372937A1 (en) Systems and methods for split network tunneling based on traffic inspection
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US10887307B1 (en) Systems and methods for identifying users
US10193930B2 (en) Application security capability exchange via the application and data protection layer
US10044740B2 (en) Method and apparatus for detecting security anomalies in a public cloud environment using network activity monitoring, application profiling and self-building host mapping
JP2019505919A (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
JP2020514903A (ja) 動的ネットワークセキュリティポリシーを施行するためのシステム及び方法
US10277625B1 (en) Systems and methods for securing computing systems on private networks
US11178105B2 (en) Secure enclave-based guest firewall
US11128665B1 (en) Systems and methods for providing secure access to vulnerable networked devices
WO2022047253A1 (en) Systems and methods for enhancing user privacy
US11323454B1 (en) Systems and methods for securing communications
US11005867B1 (en) Systems and methods for tuning application network behavior
US11012259B1 (en) Systems and methods for preserving system contextual information in an encapsulated packet
US11374903B1 (en) Systems and methods for managing devices
US11019085B1 (en) Systems and methods for identifying potentially risky traffic destined for network-connected devices
US9525665B1 (en) Systems and methods for obscuring network services
US10462050B1 (en) Systems and methods for chaining virtual private networks
US11902298B2 (en) Dynamic remote browsing

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180921

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190226

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190409

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190425

R150 Certificate of patent or registration of utility model

Ref document number: 6523463

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250