JP2019511172A - ネットワーク接続をセキュアに管理するシステム、方法、およびデバイス - Google Patents

ネットワーク接続をセキュアに管理するシステム、方法、およびデバイス Download PDF

Info

Publication number
JP2019511172A
JP2019511172A JP2018549580A JP2018549580A JP2019511172A JP 2019511172 A JP2019511172 A JP 2019511172A JP 2018549580 A JP2018549580 A JP 2018549580A JP 2018549580 A JP2018549580 A JP 2018549580A JP 2019511172 A JP2019511172 A JP 2019511172A
Authority
JP
Japan
Prior art keywords
connections
list
connection
predicted
notification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018549580A
Other languages
English (en)
Other versions
JP6932715B2 (ja
Inventor
カルバン アームストロング,ジェームズ
カルバン アームストロング,ジェームズ
クレイボー,ジョナサン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Snowflake Inc
Original Assignee
Snowflake Computing Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Snowflake Computing Inc filed Critical Snowflake Computing Inc
Publication of JP2019511172A publication Critical patent/JP2019511172A/ja
Application granted granted Critical
Publication of JP6932715B2 publication Critical patent/JP6932715B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本開示は、概して、ネットワーク接続を管理する方法、システム、および装置に関する。ネットワーク接続管理のためのシステムは、ストレージコンポーネント、デコーディング・コンポーネント、ルールマネージャ・コンポーネント、および通知コンポーネントを含む。ストレージコンポーネントは、複数のネットワーク接続されたマシンのための予測された接続のリストを記憶するように設定され、予測された接続のリスト中の各接続は、接続のスタートポイントとエンドポイントを定義する。デコーディング・コンポーネントは、複数のネットワーク接続されたマシンからの、対応するマシンのための1つ以上の接続を示すメッセージをデコードするように設定される。ルールマネージャ・コンポーネントは、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別するように設定される。通知コンポーネントは、予測されない存在もしくは欠如の通知または表示を提供するように設定される。
【選択図】図1

Description

本開示は、概して、ネットワーク接続をセキュアに管理する方法、システム、および装置に関する。
コンピュータデバイスは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネットなどのネットワークに渡ってよく通信する。コンピュータシステムは重要な運用システムの制御、機密データの記憶もしくはアクセス、または、他の重要もしくは機密の機能の実行によく使用されるので、コンピュータシステムのセキュリティは重要である。いくつかのケースでは、特定のコンピュータシステムが通信を許可されるデバイスもしくはシステムを限定または制御することによって、セキュリティが高められ得る。
本開示の非限定かつ非包括的な実施形態は、以下の図面を参照して記述され、類似の参照番号は、そうでないと特に断らない限りは、種々の図面を通して類似の部分のことを称する。本開示の利点は、以下の記載および添付の図面に関して、より良く理解されるようになるであろう。
1つの実施形態に従った管理ホストのための動作環境の例を説明する略ブロック図である。 1つの実施形態に従った管理ホストのコンポーネントの例を説明する略ブロック図である。 1つの実施形態に従ったエンドポイントでの通信設定を管理するための方法を説明する略信号図である。 1つの実施形態に従ったネットワーク接続を管理するための方法を説明する略フローチャートである。 本明細書で教示する開示のコンピュータプロセスを可能にするコンピュータデバイスもしくはシステムを表わすブロック図である。
システムの保護のための現在のアプローチは、通信のエンドポイントを保護することもしくは設定することを重視している。例えば、Linux(登録商標)のための保護システムの中核ツールであるIPテーブルは、ポートおよびインターネットプロトコル(IP)アドレスのブロックに基づいて、特定のシステムが自身へのアクセスを拒否できるようにできる。アマゾンウェブサービス(登録商標)(AWS)は、1つ以上のマシンもしくはアドレスを含み得る他のセキュリティグループへもしくは他のセキュリティグループからの許可された接続を規定することによって、セキュリティグループを提供する。
出願人は、許可された接続が完成され正しいことを確認するための効果的な方法を現在の技術が提供しないことを認識した。ソフトウェアプロダクト内に、2つ以上のマシン上の2つのエンドポイントを要求する専用のサービスの間の内部接続があり得る。既存技術はシングルエンドポイントに基づいて設定されるので、このアプローチは設定に適合しないおそれがある。例えば、1台のマシンが接続を許可され得るが、他方が許可されない可能性がある。AmazonはCloudFormation(登録商標)というセキュリティグループを生成するためのツールを提供するが、それは明示的にシングルエンドアプローチを要求する。2つのセキュリティグループが通信することを要求されると、http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-security-group.htmlにあるAWS CloudFormation(登録商標)のための以下の引用で述べられるように、管理者はテンプレート中に2つのルールを記入する必要がある。
2つのセキュリティグループをそれらの進入ルールおよび退出ルール中で相互参照したい場合、ルールを定義するためにAWS::EC2::SecurityGroupEgressリソースおよびAWS::EC2::SecurityGroupIngressリソースを使用しなさい。AWS::EC2::SecurityGroupに組み込まれている進入ルールおよび退出ルールを使用してはいけません。そうした場合には、AWS CloudFormationが許可していない円状の従属関係(circular dependency)の原因となります。
前述の制限に基づいて、出願人は、ネットワーク接続管理を改善するシステム、方法、デバイスを開発した。出願人は、少なくとも1つの実施形態中において2つのエンドポイントを共に見通すことができることから、エンドポイントを個々に管理するよりも、ネットワーク通信許可の管理がよりよく制御され効率的になることを認識した。
1つの実施形態では、ネットワーク接続を管理するためのシステムは、管理される複数のマシン、デバイスもしくはコンピュータシステムのための予測された接続のリストを記憶できる。例えば、予測された接続のリストは、マークアップ言語もしくはYAMLのようなデータシリアライゼーション規格を用いて記憶され得る。YAMLはYAML Ain’t Markup Language(YAMLはマークアップ言語ではない)を意味し、多くもしくは全てのプログラミング言語のための人が解読可能な規格となることを意図している。1つの実施形態では、予測された接続のリスト中の個々の接続は、スタートポイント、エンドポイント、IPプロトコル、およびポート番号もしくはポート番号の範囲を用いて定義される。エンドポイントが複数のマシンに位置する場合、管理システムは、両方のエンドポイントでの必要な許可を調べて生成するためのツール、これらの接続を検証するためのツール、および/またはマッピングを規定するためのツールを含むことができる。これらのツールの1つ以上は、リモートマシン上の接続情報を1台のマシン(例えば管理システム)に統合するため、および、設定を1台のマシンからリモートマシンにプッシュできるようにするために使用され得る。
1つの実施形態では、接続を記述したYAMLファイルのような予測された接続のリストは、(任意の数のソースコード・バージョニング・システムを用いて)ソースコード・アーティファクトとして管理され得る。その後、最新のバージョンは存在する設定もしくは接続をリスト中に定義されたものに対して検証するために使用され得る。1つの実施形態では、実装中の設定で行われた変更は予測された設定に対して照合されることができ、それらの設定が一致しない場合にアラートが生成される。
1つの実施形態では、ネットワーク接続を管理するためのシステムは、ストレージコンポーネント、デコーディング・コンポーネント、ルールマネージャ・コンポーネントおよび通知コンポーネントを含む。ストレージコンポーネントは複数のネットワーク接続されたマシンのための予測された接続のリストを記憶するように設定される。予測された接続のリスト中の個々の接続は接続のためのスタートポイントおよびエンドポイントを定義する。デコーディング・コンポーネントは、複数のネットワーク接続されたマシンからの、対応するマシンのための1つ以上の接続を示すメッセージをデコードするように設定される。ルールマネージャ・コンポーネントは、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を特定するように設定される。通知コンポーネントは、予測されない存在もしくは欠如の通知または表示を提供するように設定される。
ところで、図を参照すると、図1は管理ホスト102のための動作環境を提供するシステム100の例を説明する。システム100は、複数の管理されるコンピュータシステム104および複数の外部システム106を含む。管理ホスト102およびコンピュータシステム104は、サーバ、仮想マシンなどのコンピュータデバイス、もしくはネットワーク接続されたコンピュータシステム108の一部を構成する他の任意のコンピュータデバイスを含むことができる。ネットワークコンピュータシステム108の管理ホスト102およびコンピュータシステム104は、物理的に同じデータセンターもしくはサーバファーム中に位置していても良く、または、互いに離れて位置していて管理ホスト102によって共通に管理されていても良い。外部システム106は、管理ホスト102によって管理されていないシステムを表わし、管理ホスト102と同じデータセンター中に位置するか、または管理ホスト102から離れたコンピュータシステムを含むことができる。管理ホスト102、コンピュータシステム104、および外部システム106の各々は、互いに通信することができる1つ以上のネットワークもしくはネットワークデバイスに接続されることができる。例えば、管理ホスト102、コンピュータシステム104、および外部システム106は、インターネットを介して、プライベートネットワークもしくは任意の種類のネットワークを介して、互いに通信することができる。
内部のまたは管理されたコンピュータシステム104の各々は、自身のための設定ファイル中などに、接続設定を記憶できる。接続設定は、ルーティングテーブル、IPテーブル、ファイアウォールの中に記憶されても良く、または、任意の他のフォーマットもしくはプログラム中に記憶されても良い。接続設定は、コンピュータシステム104と通信することが許可される他のデバイス、アドレス、もしくはセキュリティグループを示すことができる。接続設定は、通信方向(例えば、インバウンドもしくはアウトバウンド)、アドレス、ポート番号(もしくはポート番号の範囲)、セキュリティグループ識別子、または特定の接続のための同様のものを特定できる。セキュリティグループ識別子は、複数のマシンもしくはアドレスに対応する名称、番号、または他の識別子を含むことができる。例えば、第1のセキュリティグループ110は、2つの管理されるコンピュータシステム104を含み、第2のセキュリティグループ112は2つの外部システム106を含む。従って、特定のコンピュータシステム104のための設定ファイル中の接続エントリは、セキュリティグループ中のマシンを明確に識別せずに、コンピュータシステムが第1のセキュリティグループ110もしくは第2のセキュリティグループ112中の任意のシステムと(インバウンドかアウトバウンドのいずれかの)通信を許可されることを表わすことができる。1つの実施形態では、個々のコンピュータシステム104は自身のための設定のみを記憶する。
管理ホスト102は、管理されるコンピュータシステム104の全てのマスター情報を含む接続マスターファイルを記憶する。例えば、接続マスターファイルは、ネットワーク接続されたコンピュータシステム108中の管理されるコンピュータシステム104の全てに対して予測される接続のリストを含むことができる。従って、1つの実施形態では、コンピュータシステム104のための全ての設定が接続マスターファイルに記憶されるように、リストは個々のコンピュータシステム104のための接続情報を記憶する。接続マスターファイルは、マークアップ言語もしくはデータシリアライゼーション規格のような任意のファイルフォーマットに基づいて記憶され得る。1つの実施形態によると、接続マスターファイルはYAMLファイルを含む。
管理ホスト102によって記憶された接続マスターファイルを用いて、その後、管理ホストはコンピュータシステム104のための実際の設定を(例えば、設定ファイルに基づいて)監視できる。1つの実施形態では、個々のコンピュータシステム104は周期的にもしくは要求に応じて、その設定ファイルを管理ホスト102に送信できる。設定ファイルが管理ホスト102に受信されたとき、管理ホスト102はあらゆる相違点を検出するために設定ファイルを接続マスターファイルと比較できる。1つの実施形態では、相違点は、コンピュータシステムの設定ファイル中の予測しない接続の存在を含むことができる。例えば、設定ファイル中の接続エントリは、接続マスターファイル中に対応するエントリを有さない可能性がある。1つの実施形態では、相違点は、コンピュータシステムの設定ファイル中の予測される接続の欠如を含むことができる。例えば、接続マスターファイル中の接続エントリは、正しい1つ以上のコンピュータシステム104の設定ファイル中に対応するエントリを有さない可能性がある。
管理ホスト102によって識別された相違点は、接続マスターファイルまたは1つ以上のコンピュータシステム104の設定ファイルのいずれかにエラー/欠落があることを示すことができる。例えば、設定ファイルに(接続マスターファイルに対して)予測しない接続がある場合、接続マスターファイルが誤って設定され、本当はその予測しない接続が接続マスターファイルに存在すべきである可能性がある。一方、その予測しない接続はコンピュータシステム104の設定ファイルが正しくなく、コンピュータシステムにセキュリティリスクもしくは動作リスクがあることを示す可能性がある。
1つの実施形態では、管理ホスト102ならびに管理ホスト102の機能および特徴は、他の利用可能な技術に対して著しい利点を提供できる。例えば、全てのシングルエンドポイントに基づいた既存の技術は、既存の設定を予測される設定に対して監視するための簡単なメカニズムを有していない。管理ホスト102は、シングルエンドポイントに基づくよりもむしろ接続に基づいて接続を監視および管理するための簡単で迅速な方法を提供するので、管理ホスト102はセキュリティを増強し、監視のためのコストを削減する。さらに、監視の態様は、例えば、受託会社の内部統制(Service Organization Control 2、SOC2)証明書ならびに医療保険の携行と責任に関する法律(Health Insurance Accountability Act、HIPAA)の証明書および順守を含む様々なセキュリティ証明書のための正当な制御として振舞うことができる。
1つの実施形態では、管理ホスト102および接続マスターファイルは、AmazonnのAWSTMアカウント中などの既存のクラウドサービス中のセキュリティグループの設定を管理するためにも使用できる。1つの実施例では、必用に応じて外部のサブネットと共に、AWSセキュリティグループがエンドポイントで使用されても良い。接続マスターファイル(YAMLファイルなど)は、特定のサービスもしくはマシンが他のサービスもしくはマシンと通信する必要があることに注目できる。ルールマネージャを運用するので、管理ホスト102はエンドポイントでのルールが存在することを保証できる。ルールマネージャはセキュリティグループ中のルールを検査することもでき、予測されないルールを削除することもできる。1つの実施形態では、ルールマネージャは、予測されるルールのセット(例えば、接続マスターファイル中の)と既存のルール(例えば、設定ファイル中)の間の相違点の数を提供するために、(例えば、ルールマネージャの起動時にフラグに応じて)検証ソフトとして動作できる。
説明のために、例示的なルールは、外部のロードバランサがグローバルサービス(Global Services、GS)インスタンスとシングルポートで話すことを許可し得るルールであっても良い。管理者は、弾性のあるロードバランサのためにprod_elb、グローバルサービスのためにprod_gsというセキュリティグループ(各グループもしくはサービスに属するマシン、アドレス、識別子などを識別する)を定義できる。YAMLファイルでは以下のようにルールが記憶され得る。
source: prod_elb
destination: prod_gs
protocol: tcp
service: snowflake_elb
上記のルールは、ルールマネージャ(例えば、管理ホスト102もしくは管理ホスト102上で動作するサービス)に、prod_gsへのprod_elbに関するアウトバウンドルールおよびprod_elbからprod_gsに関するインバウンドルールとともに、トランスミッション・コントロール・プロトコル(transmission control protocol、TCP)で開かれるsnowflake_elbとして定義されたポート(例えば、値8084と共に)を予測するように伝える。セキュリティグループとしてのprod_gsを含めるためのグローバルサービス(GS)の役割を、そして、prod_elbを含めるためのロードバランサの役割を、どのマシン(例えば、アドレス、識別子など)が有するかを定義するために、第2のマッピングファイルが使用され得る。GSのためのコードの例は以下のとおりであっても良い。
role: GS
groups:
− group: prod_gs
− group: prod_core
1つの実施形態では、全てのインスタンスにわたって共有されるルールのために、GSのための役割はprod_gsグループおよび第2のグループprod_coreに含められる。例えば、役割は1つ以上のセキュリティグループ(Amazon AWSTMは、個々のインスタンスに5つまでのセキュリティグループを許可する)に属することができる。1つの実施形態では、管理ホストは、全てのGSインスタンスが両方のセキュリティグループと同調することを確認するための検証プログラムを実行できる。
以上の実施例は一例に過ぎず、任意のマルチエンドポイント設定に適用するために拡張され得る教示および原理を含む。1つの実施形態では、その後、管理ホスト102はエンドポイントに設定をプッシュできる(または、管理されるコンピュータシステム104がプルできる)。1つの実施形態では、エンドポイント(例えば管理されるコンピュータシステム102)での実際の設定は、管理ホスト102によって要求され得、かつ/または管理ホスト102に送信され得る。さらに、エンドポイントのための多種多様なファイルフォーマットタイプもしくは通信設定が本開示の範囲内で予期される。例えば、エンドポイントは、個々にルートテーブルを有し、管理ホスト102上の1つのルートテーブルマネージャによって管理され得る。
図2は、管理ホスト102のコンポーネントの例を説明する略ブロック図である。描画された実施形態では、管理ホスト102は、ストレージコンポーネント202、デコーディング・コンポーネント204、ルールマネージャ・コンポーネント206、通知コンポーネント208、およびプッシュコンポーネント210を含む。コンポーネント202〜210は、説明のためだけに与えられており、全ての実施形態に含まれていなくても良い。実際、いくつかの実施形態は、限定されることなく、コンポーネント202〜210の1つだけまたは2つ以上の任意の組み合わせを含むことができる。コンポーネント202〜210のいくつかは、異なるシステムもしくはマシン上の管理ホスト102の外部に位置していても良く、あるいは、管理ホスト102はコンポーネント202〜212の1つ以上を含む複数の異なるマシンもしくはシステムを含むことができる。
ストレージコンポーネント202は、図1の管理されるコンピュータシステム104などの、複数のネットワーク接続されたマシンのための予測された接続のリストを記憶するように設定される。1つの実施形態では予測された接続のリスト中の各接続は、接続のためのスタートポイントおよびエンドポイントを定義する。予測された接続のリストは、YAMLファイルまたは他の任意のフォーマットもしくはファイルタイプのファイルの一部として記憶され得る。予測された接続のリストは、例えば、接続が外部もしくは内部のみであるか(管理されないデバイスもしくはシステムにその接続を用いて接続することを許可するか)などの、接続のための動作を定義するキーワードを含んでも良い。1つの実施形態では、予測された接続のリストは、リストのバージョン追跡を提供するソース制御に記憶され得る。
リスト中の個々のエントリは、対応する接続または通信のためのプロトコル、ポート番号、およびポート番号の範囲などの、接続のための複数の追加的な要件を含み得る。1つの実施形態では、予測された接続のリスト中の接続のためのスタートポイントおよび/またはエンドポイントは、セキュリティグループなどのグループを含む。グループの使用は、メンバーを特に識別せずに、そのグループの任意のメンバーが(通信もしくは接続要件に従って)通信に参加することを許可できる。
ストレージコンポーネント202は、予測された接続のリストを、管理ホスト102のローカルな接続マスターファイル中に記憶でき、あるいは、そのリストをネットワークアクセス可能な記憶場所に記憶できる。
デコーディング・コンポーネント204は、管理ホスト102によって管理される1つ以上のマシンからのメッセージを受信および/またはデコードするように設定される。例えば、デコーディング・コンポーネント204は、ネットワークインタフェースカード(NIC)、ルーティングコンポーネント、もしくは管理されるデバイスからのメッセージを受信、デコード、解析、あるいは処理するための他のハードウェアまたはソフトウェアを含むことができる。メッセージは、対応するマシンのための1つ以上の接続を示す情報を含むことができる。例えば、メッセージは、対応するマシンのための1つ以上の現在の接続もしくは設定された接続を含んでも良い。例えば、メッセージは、設定ファイル中の情報を含むことができるか、または、特定の時間に特定のマシンの実際の現在の通信接続を反映する情報を含むことができる。1つの実施形態では、メッセージは、マシンのためのルートテーブル、ファイアウォールのための設定、または特定のマシンもしくはシステムによってどの接続が許可または不許可されるかについての他の情報を含むことができる。
ルールマネージャ・コンポーネント206は、コンピュータシステム104などのエンドポイントでの接続もしくは設定が予測された接続のリストに従うかを判定するように設定される。1つの実施形態では、ルールマネージャ・コンポーネント206は、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの予測されない接続の存在もしくは欠如を識別するために設定される。1つの実施形態では、ルールマネージャ・コンポーネント206は、予測された接続のリスト中にマッチするエントリがあるときに、1つ以上の接続のうちの接続に対応するマシンが予測されると判定するように設定される。1つの実施形態では、ルールマネージャ・コンポーネント206は、予測された接続のリスト中にマッチするエントリがない接続に基づいて、予測しない接続の存在を識別するように設定される。1つの実施形態では、ルールマネージャ・コンポーネント206は、対応するマシンのための1つ以上の接続中にマッチする接続を有さない予測された接続のリスト中のエントリに基づいて、予測しない接続の欠如を識別するように設定される。
1つの実施形態では、ルールマネージャ・コンポーネント206は、通信設定の完全性および/または正確さを検証するために設定される。例えば、ルールマネージャ・コンポーネント206は、予測された接続のリストと管理されるシステムの実際の設定の間の相違点の数を数えることができる。相違点の数が0ではない場合、これは、予測された接続のリストが正確ではないか、または、エンドポイントが間違って設定されたことのいずれかを意味する可能性がある。1つの実施形態では、管理者は、相違点があれば通知されることができ、管理者は予測されない接続のリストを変更する必要があるかを判定する。ルールマネージャ・コンポーネント206によって行われる検証の役割は、設定が予測された設定に一致するかを判定できるようにし、全ての相違点がある場所を管理者が容易に識別できるようにする。例えば、接続マスターファイル中の予測された接続のリストに従って、全てのエンドポイントが設定されたと簡単に判定され得る。
1つの実施形態では、ルールマネージャ・コンポーネント206は、予測された接続のリスト中の予測された接続を実行するために設定される。例えば、ルールマネージャ・コンポーネント206は、予測された接続のリストに基づいて、各々のエンドポイントに設定をプッシュできる。ルールマネージャ・コンポーネント206は、管理されるエンドノードの各々のために、リスト中のエントリを特定のルールに翻訳できる。例えば、ルールマネージャ・コンポーネント206は、YAMLファイル中のルールを設定ファイルのフォーマットに変換できる。さらに、YAMLファイル中のルールは、特定のエンドポイントマシンによる記憶のために、全体の接続ルール(または、通信の両方のエンド)からシングルエンドポイントルールに変換されることができる。これらの設定は、(例えば、プッシュコンポーネント210を用いて)エンドポイントにプッシュされるか送信され、エンドポイントでのルールの削除もしくは追加をもたらすことができるか、エンドポイントの全ての接続ルールの交換をもたらすことができる。
1つの実施形態では、ルールマネージャ・コンポーネント206は、一般に検証ソフトとして動作し、その後、管理者からの入力に応答して、エンドポイントでの予測された接続を実行する。例えば、ルールマネージャ・コンポーネント206は、周期的にもしくはコマンドに応答して、エンドポイントでの設定の検証を行う。相違点がある場合、ルールマネージャ・コンポーネント206は、(例えば、通知コンポーネント208を用いて)管理者にメッセージが送信されるようにできる。すると、管理者は、予測された接続のリストを変更する必要があるかを判定するために、相違点を見直すことができる。変更する必要が無い場合、管理者は、その後、ルールマネージャ・コンポーネント206に予測された接続のリストによって要求された設定とは異なって設定された全てのエンドポイントに対して、変更をプッシュもしくは実行する。変更が必要な場合、管理者は、その後、予測された接続のリストを変更でき、他の検証処理および/または変更されたリストの実施を始めることができる。
通知コンポーネント208は、管理者、管理システム、もしくは通知システムに通知を提供するために設定される。1つの実施形態では、通知コンポーネント208は、予測されない接続の存在もしくは欠如の表示を含む通知を提供できる。例えば、通知は、特定のシステムの設定から見つからない、予測された接続のリスト中の接続を識別できる。他の実施例として、管理ホストによって記憶された予測された接続のリストにない、特定のシステムの設定中の接続を識別できる。1つの実施形態では、通知は、予測された接続のリストと複数のマシンでの実際の接続もしくは設定の間の相違点の数の指標を含むことができる。
1つの実施形態では、ログファイル、ユーザインタフェースの通知エリア、電子メールアドレス、テキストメッセージの1つ以上、または他のメッセージの一部として、通知が提供されることができる。1つの実施例として、通知コンポーネント208は、監視システムに通知を提供することができる。Nagios(登録商標)は、通知を配信するために使用され得る監視システムの一例である。管理者が相違点を通知され、相違の見直しおよび/または修正をするための対策を講じることができるように、通知は管理者に送信され得る。1つの実施形態では、通知コンポーネント208は、予測された接続のリスト中またはエンドポイントの設定ファイル中のエントリに、予測されない接続の存在もしくは欠如を反映するために警告するように設定される。
プッシュコンポーネント210は、ストレージコンポーネント202によって記憶された予測された接続のリストに基づいて、エンドポイントに接続ルールを提供するように設定される。例えば、管理者は、予測された接続のリストを設定および/または見直すことができ、その後、予測された接続のリストに基づいて、個々のエンドポイントのためのルールが作られるようにすることができる。1つの実施形態では、プッシュコンポーネント210は、予測された接続のリストに基づいて、複数のマシン上で接続設定を追加もしくは削除するために設定される。例えば、プッシュコンポーネント210は、予測された接続リスト中のエントリに対応するルールが見つからないエンドポイントに、ルールを追加することができる。他の例では、プッシュコンポーネント210は、予測された接続リストに基づいて、そこにあるべきではないルールをエンドポイントから削除することができる。
図3は、ネットワーク接続を管理するための方法300を説明する略信号図である。方法300は、管理ホスト102および1つ以上のコンピュータシステム104によって行われ得る。
302において、管理ホスト102はマスター接続リストをYAMLファイル中に記憶する。例えば、マスター接続リストは、本明細書で議論するように、予測された接続のリストおよび/またはマスター接続ファイルを含むことができる。管理ホスト102は、ファイルへの変更を追跡するバージョン追跡および制御システムにYAMLファイルを記憶でき、効果的に監視され、追跡される。304において、管理ホスト102は、管理されるコンピュータシステム104に現在の接続の報告を要求する。例えば、管理ホスト102は、管理されるエンドポイントがどのように設定されたかを監視するために、周期的に現在の接続の要求を送信しても良い。1つの実施形態では、要求は、接続設定および/または実際の現在のエンドポイントの接続の要求を含むことができる。
306において、管理ホスト102は、コンピュータシステム104での現在の接続を示す1つ以上のメッセージを受信する。例えば、管理されるコンピュータシステム104は、現在の接続設定または現在の通信接続を示すメッセージを送信できる。メッセージは、IPテーブル(iptable)フォーマット、AWS(登録商標)フォーマットまたは他の任意のフォーマットなどの1つ以上の異なるフォーマットに従って、現在の接続を示すことができる。方法300では、管理ホスト102からの要求に応じて306においてメッセージが受信されることを説明するが、コンピュータシステム104(もしくは他のエンドポイント)は、自律的にまたは管理ホスト102の要求なしに、周期的に現在の接続についての情報を提供できる。
306においてメッセージを受信すると、308において、管理ホスト102はYAMLファイルとコンピュータシステム104の現在の設定もしくは接続の間の相違点を検出する。例えば、管理ホスト102は、YAMLファイルの個々のエントリが対応するエンドポイントの対応するエントリを有するかをチェックでき、エンドポイントの設定中の個々のエントリがYAMLファイル中に対応するエントリを有するかをチェックできる。管理ホスト102は、検出した相違点の数を数えることおよび/または個々の相違点に警告を出すことができる。310において、管理ホスト102は相違点(例えば、相違点の数および/またはYAMLファイルもしくはエンドポイント設定中の警告されたエントリ)を示す通知を送ることができる。310において、管理者または自動化サービスが相違点をどのように扱うかを判定することができるインタフェースまたは管理者デバイス314に通知が送信され得る。例えば、管理者は個々の相違点を1つずつ見直すことができ、YAMLファイルバージョン、エンドポイント設定バージョンを除外するか、かつ/またはYAMLファイルもしくはエンドポイントのための新たなルールを定義するかを選択することができる。例えば、管理者はエンドポイントが適切に設定されたがYAMLファイルが見つからないか正しくないと認識することができる。一方、管理者は、YAMLファイルが正しく、エンドポイントが誤っているようにもしくは不適切に設定されたことを確認することができる。管理者がどのように相違点を扱うかを決定するとすぐに、管理者は、YAMLファイルが最終であること(または、特定の相違点が受け入れられたもしくは拒否されたこと)を示すことができる。312において、インタフェースまたは管理者デバイス314は、受け入れられたもしくは拒否された相違点を管理ホスト102に提供できる。例えば、インタフェースまたは管理者デバイス314によって送信された、受け入れられたもしくは拒否された相違点は、どのように相違点を扱うか(例えば、コンピュータシステム104からルールを削除する、もしくはYAMLファイル中のリストにルールを追加する)を示す管理者からの入力を含んでも良い。
316において、312において受信された受け入れもしくは拒否された相違点に基づいて、必用に応じて、管理ホスト102はYAMLファイル中の接続リストを更新する。管理者から受信された入力に基づくYAMLファイル中の接続リストの変更は要求されない可能性があることを示すために、接続のリストの更新316に対応するボックスが点で書いた境界で示されている。例えば、312において受信された受け入れもしくは拒否された相違点が、YAMLファイルにルールが追加または削除される必要があることを示す場合、マスター接続リストが更新されるだけである。318において、必用に応じて、管理ホスト102はマスター構成をエンドポイントにプッシュする。例えば、管理者によって受け入れられたもしくは拒否された変化は、エンドポイント設定への変化を要求しなくても良く、あるいは、1つ以上のエンドポイントの任意の組み合わせに変化を要求し得る。
ところで図4を参照して、通信設定を管理するための方法400の略フローチャートが説明される。方法400は、図1、図2もしくは図3の管理ホスト102などの管理ホストによって行われ得る。
方法400が開始し、402において、デコーディング・コンポーネント204は、複数のネットワーク接続されたマシンから、対応するマシンのための1つ以上の接続を示すメッセージを受信する。404において、ルールマネージャ・コンポーネント206は、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別する。例えば、予測されない接続ルールがあるか、または現在の設定から見つからないルールがあるかを決定するために、接続マスタリストはエンドポイントの現在の設定と比較され得る。
406において、通知コンポーネント208は、接続ルールの予測されない存在もしくは欠如の通知または表示を提供する。通知は管理者による見直しのために、マシンもしくはインタフェースに送信され得る。その後、管理者はエンドポイント上、または、接続マスタリストもしくは予測された接続のリスト中の構成のいずれかを修正するための措置をとることができる。
図5は、コンピュータデバイスの例を表わすブロック図である。いくつかの実施形態では、コンピュータデバイス500は、本明細書で議論した1つ以上のシステムおよびコンポーネントを実装するために使用される。例えば、コンピュータデバイス500はユーザもしくは管理者が管理ホスト102にアクセスできるようにでき、あるいは、管理ホスト102、コンピュータシステム104および/または外部コンピュータシステム106は、コンピュータ読み取り可能なストレージメディア中にコンピュータ読み取り可能なコードとして記憶されたコンポーネントもしくはモジュールを有するコンピュータデバイス500として実装されることができる。さらに、コンピュータデバイス500は、本明細書に記載した任意のシステムおよびコンポーネントと相互作用できる。従って、コンピュータデバイス500は、本明細書で議論したようなものなどの様々な処理やタスクを実行するために使用され得る。コンピュータデバイス500は、サーバ、クライアント、もしくは任意の他のコンピュータエンティティとして機能できる。コンピュータデバイス500は、デスクトップコンピュータ、ノート型コンピュータ、サーバコンピュータ、ハンドヘルドコンピュータ、タブレットなどの、任意の多種多様のコンピュータデバイスであることができる。
コンピュータデバイス500は、1つ以上のプロセッサ502、1つ以上のメモリデバイス504、1つ以上のインタフェース506、1つ以上の大容量記憶装置508、および1つ以上の入出力(I/O)装置510を含み、これらの全てがバス512に結合される。プロセッサ502は、メモリデバイス504および/または大容量記憶装置508に記憶された指示を実行する1つ以上のプロセッサもしくはコントローラを含む。プロセッサ502は、キャッシュメモリなどの様々な種類のコンピュータ読み取り可能なメディアを含むこともできる。
メモリデバイス504は、揮発性メモリ(例えば、ランダムアクセスメモリ(RAM))および/または不揮発性メモリ(例えば、リードオンリーメモリ(ROM))などの様々なコンピュータ読み取り可能なメディアを含む。メモリデバイス504は、フラッシュメモリなどの再書き込み可能なROMも含むことができる。
大容量記憶装置508は、磁気テープ、磁気ディスク、光学ディスク、ソリッドステートメモリ(例えばフラッシュメモリ)などを含む様々なコンピュータ読み取り可能なメディアを含む。様々なコンピュータ読み取り可能なメディアの読み取りおよび/または書き込みを可能にするための様々なドライブも、大容量記憶装置508に含められることができる。大容量記憶装置508は、取り外し可能なメディアおよび/または取り外しできないメディアを含む。
入出力装置510は、データおよび/または他の情報をコンピュータデバイス500に入出力することができるようにするための様々なデバイスを含む。入出力装置510の例は、カーソル制御デバイス、キーボード、キーパッド、マイク、モニタもしくは他のディスプレイデバイス、スピーカー、プリンタ、ネットワークインタフェースカード、モデム、レンズ、または画像取得デバイスなどを含む。
インタフェース506は、コンピュータデバイス500が、他のシステム、デバイス、もしくはコンピュータ環境と相互作用することができるようにするために様々なインタフェースを含む。インタフェース506の例は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、無線ネットワーク、およびインターネットへのインタフェースなどの、任意の数の異なるネットワークインタフェースを含む。
バス512は、バス512に結合した他のデバイスもしくはコンポーネントと同様に、プロセッサ502、メモリデバイス504、インタフェース506、大容量記憶装置508、および入出力装置510が互いに通信できるようにする。バス512は、システムバス、PCIバス、IEEE1384バス、USBバスなどのいくつかの種類のバス構造の1つ以上を表わす。
説明のために、プログラムや他の実行可能なプログラムコンポーネントは別個のブロックとして本明細書に示されるが、このようなプログラムおよびコンポーネントは任意の時間にコンピュータデバイス500の異なるストレージコンポーネントに存在することができ、プロセッサ502によって実行される。代替的に、本明細書に記載されたシステムおよび処理は、ハードウェアもしくはハードウェアの組み合わせ、ソフトウェアおよび/またはファームウェア中に実装されることができる。例えば、本明細書に記載した1つ以上のシステムおよび処理を実行するために1つ以上の特定用途向け集積回路(ASIC)がプログラムされることができる。本明細書で使用されるように、「モジュール」もしくは「コンポーネント」の語は、本明細書に開示された全てもしくは一部の動作を実行するためのハードウェア、あるいはハードウェア、ソフトウェアおよび/またはファームウェアの組み合わせなどによる処理を遂行するための装置の実装を伝えることを意図している。
<実施例>
以下の実施例は、更なる実施形態に関連する。
実施例1は、ストレージコンポーネント、デコーディング・コンポーネント、ルールマネージャ、および通知コンポーネントを含むネットワーク接続管理のためのシステムである。ストレージコンポーネントは、複数のネットワーク接続されたマシンのための予測された接続のリストを記憶するように設定される。ここで、予測された接続のリスト中の各接続は、接続のスタートポイントとエンドポイントを定義する。デコーディング・コンポーネントは、複数のネットワーク接続されたマシンからの、対応するマシンのための1つ以上の接続を示すメッセージをデコードするように設定される。ルールマネージャ・コンポーネントは、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別するように設定される。通知コンポーネントは、予測されない存在もしくは欠如の通知または表示を提供するように設定される。
実施例2では、実施例1での予測された接続のリストは、YAMLファイルフォーマットで記憶されたリストを含む。
実施例3では、実施例1〜2のいずれかのストレージコンポーネントは、予測された接続のリストのバージョン追跡および制御を提供するように設定される。
実施例4では、実施例1〜3のいずれかの予測された接続のリスト中の接続は、対応する接続のプロトコル、ポート番号、および、ポート番号の範囲の1つ以上を含む。
実施例5では、実施例1〜4のいずれかの予測された接続のリスト中の接続のためのスタートポイントおよびエンドポイントの1つ以上は、セキュリティグループのようなグループを含む。
実施例6では、実施例1〜5のいずれかのメッセージは、対応するマシンの1つ以上の現在の接続もしくは設定された接続を含む。
実施例7では、実施例1〜6のいずれかのメッセージのうちの少なくとも1つのメッセージは、マシンのためのルートテーブルを含み、ここで、予測された接続のリストはマスタールートテーブルを含む。
実施例8では、実施例1〜7のいずれかのルールマネージャ・コンポーネントは、予測された接続のリスト中にマッチするエントリがある場合、対応するマシンの1つ以上の接続のうちの接続は予測されていると判定するように設定される。
実施例9では、実施例1〜8のいずれかのルールマネージャ・コンポーネントは、予測された接続のリスト中にマッチするエントリがない対応するマシンの1つ以上の接続のうちの接続に基づいて、予測されない接続の存在を識別するように設定される。
実施例10では、実施例1〜9のいずれかのルールマネージャ・コンポーネントは、対応するマシンの1つ以上の接続のうちのマッチする接続がない予測された接続のリスト中のエントリに基づいて、予測されない接続の欠如を識別するように設定される。
実施例11では、実施例1〜10のいずれかの通知コンポーネントは、ログファイルもしくはユーザインタフェースの通知エリアに警告を提供するように設定される。
実施例12では、実施例1〜11のいずれかの通知コンポーネントは、管理者へのメッセージ中に通知を提供するように設定される。
実施例13では、実施例1〜12のいずれかの通知コンポーネントは、予測しない接続の存在もしくは欠如を反映するために、予測された接続のリスト中のエントリに警告を出すように設定される。
実施例14では、実施例1〜13のいずれかの通知コンポーネントは、予測された接続のリストと複数のマシンの実際の接続もしくは設定の間の相違点の数を決定するように設定される。
実施例15では、実施例1〜14のいずれかのシステムは、予測された接続のリストに基づいて、複数のマシンの接続設定を追加もしくは削除するように設定されたプッシュコンポーネントをさらに含む。
実施例16は、ネットワーク接続管理のための方法である。方法は、複数のネットワーク接続されたマシンのための予測された接続のリストを記憶することを含む。ここで、予測された接続のリスト中の各接続は、接続のスタートポイントとエンドポイントを定義する。方法は、複数のネットワーク接続されたマシンからの、個々のマシンのための1つ以上の接続を示す表示を受信することを含む。方法は、予測された接続のリストに基づいて、複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別することを含む。方法は、予測されない存在もしくは欠如の通知または表示を提供することをさらに含む。
実施例17では、実施例16での予測された接続のリストは、YAMLファイルフォーマットで記憶されたリストを含む。
実施例18では、実施例16〜17のいずれかの方法は、予測された接続のリストのバージョン追跡および制御を提供することをさらに含む。
実施例19では、実施例16〜18のいずれかの予測された接続のリスト中の接続は、対応する接続のプロトコル、ポート番号、および、ポート番号の範囲の1つ以上を含む。
実施例20では、実施例16〜19のいずれかの予測された接続のリスト中の接続のためのスタートポイントおよびエンドポイントの1つ以上は、セキュリティグループのようなグループを含む。
実施例21では、実施例16〜20のいずれかのメッセージは、対応するマシンの1つ以上の現在の接続もしくは設定された接続を含む。
実施例22では、実施例16〜21のいずれかのメッセージのうちの少なくとも1つのメッセージは、マシンのためのルートテーブルを含み、ここで、予測された接続のリストはマスタールートテーブルを含む。
実施例23では、実施例16〜22のいずれかにおいて、対応するマシンの1つ以上の接続のうちの接続が予測されていると判定することは、予測された接続のリスト中にマッチするエントリがあると判定することを含む。
実施例24では、実施例16〜23のいずれかにおいて、対応するマシンの1つ以上の接続のうちの接続が予想外に存在すると判定することは、対応するマシンの1つ以上の接続のうちの接続が予測された接続のリスト中にマッチするエントリを含まないと判定することを含む。
実施例25では、実施例16〜24のいずれかにおいて、対応するマシンの1つ以上の接続のうちの接続が予想外に欠如すると判定することは、予測された接続のリスト中のエントリが、対応するマシンの1つ以上の接続のうちのマッチする接続がないと判定することを含む。
実施例26では、実施例16〜25のいずれかにおいて、通知を提供することは、ログファイルもしくはユーザインタフェースの通知エリアに警告を提供することを含む。
実施例27では、実施例16〜26のいずれかにおいて、通知を提供することは、管理者へのメッセージ中に通知を提供することを含む。
実施例28では、実施例16〜27のいずれかにおいて、通知を提供することは、予測しない接続の存在もしくは欠如を反映するために、予測された接続のリスト中のエントリに警告を出すことを含む。
実施例29では、実施例16〜28のいずれかの方法は、予測された接続のリストと複数のマシンの実際の接続もしくは設定の間の相違点の数を決定することをさらに含む。
実施例30では、実施例16〜29のいずれかの方法は、予測された接続のリストに基づいて、複数のマシンの接続設定を追加すること、もしくは削除することをさらに含む。
実施例31は、実施例1〜30のいずれかのように、方法を実装するため、あるいは、システムまたは装置を実現するための1つ以上の手段を含むシステムもしくはデバイスである。
以上の開示では、本明細書の一部を構成し、本開示が実行され得る特定の実装の説明を示された添付の図面を参照した。本開示の範囲から逸脱することなく、他の実装も使用され得ること、および構造的な変更が行われうることは理解される。明細書中の「1つの実施形態(one embodiment)」、「1つの実施形態(an embodiment)」、「1つの実施形態の例(an example embodiment)」の参照は、記載された実施形態が特定の特徴、構造もしくは特性を含むことができるが、その特定の特徴、構造もしくは特性を全ての実施形態が含んでいなくても良いことを示す。また、このようなフレーズは同じ実施形態について言及する必要はない。さらに、特定の特徴、構造もしくは特性が1つの実施形態に関連付けて記載されているとき、明記しているか否かに関わらず、このような特定の特徴、構造もしくは特性が他の実施形態に影響することは、当業者の知識の範囲内である。
本明細書に開示したシステム、デバイスおよび方法の実装は、例えば1つ以上のプロセッサおよびシステムメモリなど、本明細書で議論したようなコンピュータハードウェアを含む専用コンピュータまたは汎用コンピュータを含むことができるか、あるいは使用することができる。本開示の範囲内の実装は、コンピュータが実行可能な指示および/またはデータ構造を運ぶもしくは記憶するための物理的メディアおよび他のコンピュータ読み取り可能なメディアも含むことができる。このようなコンピュータ読み取り可能なメディアは、汎用コンピュータシステムまたは専用コンピュータシステムによってアクセスされることができる任意の利用可能なメディアであり得る。コンピュータが実行可能な指示を記憶するコンピュータ読み取り可能なメディアは、コンピュータストレージメディア(デバイス)である。コンピュータが実行可能な指示を運ぶコンピュータ読み取り可能なメディアは、伝送メディアである。従って、限定ではなく一例として、本開示の実装は、少なくとも2つの明らかに異なる種類のコンピュータ読み取り可能なメディア(コンピュータストレージメディア(デバイス)および伝送メディア)を含むことができる。
コンピュータストレージメディア(デバイス)は、RAM、ROM、EEPROM、CD−ROM、(例えば、RAMに基づく)ソリッドステートデバイス(SSD)、フラッシュメモリ、相変化メモリ(PCM)、他の種類のメモリ、他の光学ディスクストレージ、磁気ディスクストレージもしくは他の磁気ストレージデバイス、あるいは、望ましいプログラムコード手段をコンピュータが実行可能な指示もしくはデータ構造の形式で記憶するために使用され、汎用コンピュータまたは専用コンピュータによってアクセスされることができる任意の他の媒体を含む。
本明細書に開示したシステム、デバイスおよび方法の実装は、コンピュータネットワークをわたって通信できる。「ネットワーク」は、コンピュータシステムおよび/またはモジュールおよび/または他の電子デバイスの間で電子データを輸送することができる1つ以上のデータリンクと定義される。ネットワーク、あるいは他の通信接続(ハードワイヤード、無線、またはハードワイヤードもしくは無線の組み合わせのいずれか)をわたって情報がコンピュータに転送もしくは提供されるとき、コンピュータは、接続を適切に伝送媒体としてみなす。伝送媒体は、所望のプログラムコード手段をコンピュータが実行可能な指示もしくはデータ構造の形式で運ぶために使用され、汎用コンピュータまたは専用コンピュータによってアクセスされることができるネットワークおよび/またはデータリンクを含むことができる。上記の組み合わせも、コンピュータ読み取り可能なメディアの範囲に含まれるべきである。
コンピュータが実行可能な指示は、例えば、プロセッサで実行されたときに汎用コンピュータ、専用コンピュータ、もしくは専用処理デバイスに特定の機能または機能のグループを実行させる指示およびデータを含む。コンピュータが実行可能な指示は、例えば、二進数、アセンブリ言語などの中間フォーマット指示、もしくは、ソースコードさえも含み得る。構造的特徴および/または方法論的な行為に特異的な言語で主題が記載されていても、添付の請求項で定義された主題は前述の記載された特徴や行為に限定される必要がないことは理解される。むしろ、記載された特徴および行為は、請求項の実装の例の形式として開示される。
パーソナルコンピュータ、デスクトップコンピュータ、ラップトップコンピュータ、メッセージプロセッサ、ハンドヘルドデバイス、マルチプロセッサシステム、マルチプロセッサベースのもしくはプログラム可能な家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、携帯電話、PDA、タブレット、ページャ、ルータ、スイッチ、様々なストレージデバイスなどを含む、多くの種類のコンピュータシステム設定を伴うネットワーク接続されたコンピュータ環境で本開示が実行され得ることを、当業者は理解するであろう。本開示は、ネットワークを通して(ハードワイヤード・データリンク、無線データリンク、またはハードワイヤード・データリンクと無線データリンクの組み合わせのいずれかで)リンクされたローカルおよびリモートコンピュータシステムの両方がタスクを行う分散型システム環境でも実行され得る。分散型システム環境では、プログラムモジュールはローカルおよびリモートのメモリストレージデバイスの両方に位置し得る。
さらに、適切な場合には、本明細書に記載した機能は、ハードウェア、ソフトウェア、ファームウェア、デジタルコンポーネント、もしくはアナログコンポーネントの1つ以上で実行されることができる。例えば、1つ以上の特定用途向け集積回路(ASIC)が本明細書に記載された1つ以上のシステムおよび処理を実行するようにプログラムされることができる。特定のシステムコンポーネントに言及するために、特定の文言が説明および請求項を通して使用される。当業者はコンポーネントが異なる名称で呼ばれることもあることを理解するであろう。この文書はコンポーネント同士を機能の違いではなく名称の違いで区別することを意図していない。
以上で議論された実施形態は、それらの機能の少なくとも一部を実行するために、コンピュータハードウェア、ソフトウェア、ファームウェアもしくはそれらの任意の組み合わせを含むことができることに注意すべきである。例えば、モジュールは1つ以上のプロセッサ中で実行されるように設定されたコンピュータコードを含むことができ、コンピュータコードによって制御されるハードウェアロジック/電気回路を含むことができる。これらのデバイスの例は、限定となることを意図されず、説明を目的として本明細書で提供されている。本開示の実施形態は、関連する技術の当業者に知られ得る更なる種類のデバイス中に実装され得る。
本開示の少なくともいくつかの実施形態は、任意のコンピュータ使用可能な媒体に記憶された(例えば、ソフトウェアの形式で)このようなロジックを含むコンピュータプログラム製品を対象とした。このようなソフトウェアは、1つ以上の処理デバイスで実行されると、デバイスを本明細書に記載したように動作させる。
本開示の様々な実施形態が以上のように記載されたが、これらは限定ではなく説明のためにのみ提示されたことが理解されるべきである。本開示の精神と範囲から逸脱することなく、形式上および詳細の様々な変更が行われうることは、関連する技術の当業者には明らかである。従って、本開示の広さおよび範囲は以上に記載したいずれの例示的な実施形態によって限定されるべきではないが、以下の請求項とその均等物に従ってのみ定義されるべきである。前述の詳細な説明は、説明および記述の目的のために提示された。本開示を開示された正確な形式を徹底すること、もしくは開示された正確な形式に限定することは意図されていない。以上の教示に照らして、多くの変更及び変動が可能である。さらに、以上に記載された代替えの実装は、本開示の追加の混成の実装を形成するために所望の任意の組み合わせで使用され得る。
さらに、本開示の特定の実装が記載され、説明されたが、本開示は記載され説明された特定の形式もしくは配置に限定されない。本開示の範囲は、本明細書に添付の請求項、任意の将来的にここに又は異なる出願に提示された請求項ならびにそれらの均等物によって定義される。

Claims (47)

  1. ネットワーク接続管理のためのシステムであって、
    複数のネットワーク接続されたマシンのための予測された接続のリストを記憶する手段であって、前記予測された接続のリスト中の各接続は、前記接続のスタートポイントとエンドポイントを定義する手段と、
    前記複数のネットワーク接続されたマシンからの、個々のマシンの1つ以上の接続を示す表示を受信する手段と、
    前記予測された接続のリストに基づいて、前記複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別する手段と、
    前記予測されない存在もしくは欠如の通知または表示を提供する手段
    を備えるシステム。
  2. 前記予測された接続のリストを記憶する手段は、データシリアライゼーション規格に基づいて前記リストを記憶するための手段を含む
    請求項1に記載のシステム。
  3. 前記予測された接続のリストを記憶する手段は、YAMLファイルフォーマットで前記リストを記憶するための手段を含む
    請求項1に記載のシステム。
  4. 前記リストを記憶する手段は、前記予測された接続のリストのバージョン追跡および制御のための手段を含む
    請求項1に記載のシステム。
  5. 各接続は、対応する接続のプロトコル、ポート番号、もしくは、ポート番号の範囲の1つ以上をさらに含む
    請求項1に記載のシステム。
  6. 前記予測された接続のリスト中の接続のための1つ以上のスタートポイントもしくはエンドポイントはグループを含む
    請求項1に記載のシステム。
  7. 前記表示を受信する手段は、個々のマシンの1つ以上の現在の接続もしくは設定された接続を含むメッセージを受信するための手段を含む
    請求項1に記載のシステム。
  8. 前記メッセージのうちの少なくとも1つのメッセージは、マシンのためのルートテーブルを含み、前記予測された接続のリストはマスタールートテーブルを含む。
    請求項1に記載のシステム。
  9. 前記予測されない存在もしくは欠如を識別する手段は、前記予測された接続のリスト中にマッチするエントリがある場合に、対応するマシンの1つ以上の接続のうちの接続は予測されていると判定する手段を含む
    請求項1に記載のシステム。
  10. 前記予測されない存在もしくは欠如を識別する手段は、前記予測された接続のリスト中にマッチするエントリがない対応するマシンに基づいて、1つ以上の接続のうちの接続が予測されないと判定する手段を含む
    請求項1に記載のシステム。
  11. 前記予測されない存在もしくは欠如を識別する手段は、対応するマシンの前記1つ以上の接続のうちのマッチする接続がない前記予測された接続のリスト中のエントリに基づいて、予測外に接続が欠如していると判定する手段を含む
    請求項1に記載のシステム。
  12. 前記通知を提供する手段は、ログファイルもしくはユーザインタフェースの通知エリアに警告を提供する手段を含む
    請求項1に記載のシステム。
  13. 前記通知を提供する手段は、管理者へのメッセージ中に通知を提供する手段を含む
    請求項1に記載のシステム。
  14. 前記通知を提供する手段は、前記予測しない接続の存在もしくは欠如を反映するために、前記予測された接続のリスト中のエントリに警告を出す手段を含む
    請求項1に記載のシステム。
  15. 前記予測された接続のリストと前記複数のマシンの実際の接続もしくは設定の間の相違点の数を決定する手段をさらに含む
    請求項1に記載のシステム。
  16. 前記予測された接続のリストに基づいて、前記複数のマシンの接続設定を修正するための手段をさらに含む。
    請求項1に記載のシステム。
  17. 複数のネットワーク接続されたマシンのための予測された接続のリストを記憶し、前記予測された接続のリスト中の各接続は、前記接続のスタートポイントとエンドポイントを定義し、
    前記複数のネットワーク接続されたマシンからの、個々のマシンの1つ以上の接続を示す表示を受信し、
    前記予測された接続のリストに基づいて、前記複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別し、
    前記予測されない存在もしくは欠如の通知または表示を提供する
    ネットワーク接続管理のための方法。
  18. 前記予測された接続のリストは、データシリアライゼーション規格に基づいて記憶されたリストを含む
    請求項17に記載の方法。
  19. 前記予測された接続のリストは、YAMLファイルフォーマットで記憶されたリストを含む
    請求項17に記載の方法。
  20. 前記予測された接続のリストのバージョン追跡および制御を提供することをさらに含む
    請求項17に記載の方法。
  21. 前記予測された接続のリスト中の接続は、対応する接続のプロトコル、ポート番号、もしくは、ポート番号の範囲の1つ以上をさらに含む
    請求項17に記載の方法。
  22. 前記予測された接続のリスト中の接続のための1つ以上のスタートポイントもしくはエンドポイントはグループを含む。
    請求項17に記載の方法。
  23. 前記メッセージは、前記対応するマシンの1つ以上の現在の接続もしくは設定された接続を含む
    請求項17に記載の方法。
  24. 前記メッセージのうちの少なくとも1つのメッセージは、マシンのためのルートテーブルを含み、前記予測された接続のリストはマスタールートテーブルを含む
    請求項17に記載の方法。
  25. 前記個々のマシンの1つ以上の接続のうちの接続は予測されていると判定することは、前記予測された接続のリスト中にマッチするエントリがあると判定することを含む、
    請求項17に記載の方法。
  26. 前記個々のマシンの前記1つ以上の接続のうちの接続が前記予想外に存在すると判定することは、前記個々のマシンの1つ以上の接続のうちの接続は前記予測された接続のリスト中にマッチするエントリがないと判定することを含む
    請求項17に記載の方法。
  27. 前記個々のマシンの前記1つ以上の接続のうちの接続が予想外に欠如すると判定することは、前記予測された接続のリスト中のエントリは前記個々のマシンの前記1つ以上の接続のうちのマッチする接続がないと判定することを含む
    請求項17に記載の方法。
  28. 前記通知を提供することは、ログファイルもしくはユーザインタフェースの通知エリアに警告を提供することを含む
    請求項17に記載の方法。
  29. 前記通知を提供することは、管理者へのメッセージ中に前記通知を提供することを含む
    請求項17に記載の方法。
  30. 前記通知を提供することは、前記予測しない接続の存在もしくは欠如を反映するために、前記予測された接続のリスト中のエントリに警告を出すことを含む
    請求項17に記載の方法。
  31. 前記予測された接続のリストと前記複数のマシンの実際の接続もしくは設定の間の相違点の数を決定することをさらに含む
    請求項17に記載の方法。
  32. 前記予測された接続のリストに基づいて、前記複数のマシンの接続設定を追加もしくは削除することをさらに含む
    請求項17に記載の方法。
  33. ネットワーク接続管理のためのシステムであって、
    複数のネットワーク接続されたマシンのための予測された接続のリストを記憶するように設定されたストレージコンポーネントであって、前記予測された接続のリスト中の各接続は、前記接続のスタートポイントとエンドポイントを定義するストレージコンポーネントと、
    前記複数のネットワーク接続されたマシンからの、対応するマシンの1つ以上の接続を示すメッセージをデコードするように設定されたデコーディング・コンポーネントと、
    前記予測された接続のリストに基づいて、前記複数のネットワーク接続されたマシンの少なくとも1つでの接続の予測されない存在もしくは欠如を識別するように設定されたルールマネージャ・コンポーネントと、
    前記予測されない存在もしくは欠如の通知または表示を提供するように設定された通知コンポーネント
    を備えるシステム。
  34. 前記予測された接続のリストは、YAMLファイルフォーマットで記憶されたリストを含む
    請求項33に記載のシステム。
  35. 前記ストレージコンポーネントは、前記予測された接続のリストのバージョン追跡および制御を提供するように設定される
    請求項33に記載のシステム。
  36. 各接続は、対応する接続のプロトコル、ポート番号、および、ポート番号の範囲の1つ以上を含む
    請求項33に記載のシステム。
  37. 前記予測された接続のリスト中の接続のための1つ以上の前記スタートポイントおよび前記エンドポイントは、グループを含む
    請求項33に記載のシステム。
  38. 前記メッセージは、前記対応するマシンの1つ以上の現在の接続もしくは設定された接続を含む
    請求項33に記載のシステム。
  39. 前記メッセージのうちの少なくとも1つのメッセージは、マシンのためのルートテーブルを含み、前記予測された接続のリストはマスタールートテーブルを含む
    請求項33に記載のシステム。
  40. 前記ルールマネージャ・コンポーネントは、前記予測された接続のリスト中にマッチするエントリがある場合、前記対応するマシンの前記1つ以上の接続のうちの接続は予測されていると判定するように設定される
    請求項33に記載のシステム。
  41. 前記ルールマネージャ・コンポーネントは、前記予測された接続のリスト中にマッチするエントリがない前記対応するマシンの前記1つ以上の接続のうちの接続に基づいて、前記予測されない接続の存在を識別するように設定される
    請求項33に記載のシステム。
  42. 前記ルールマネージャ・コンポーネントは、前記対応するマシンの前記1つ以上の接続のうちのマッチする接続がない前記予測された接続のリスト中のエントリに基づいて、前記予測されない接続の欠如を識別するように設定される
    請求項33に記載のシステム。
  43. 前記通知コンポーネントは、ログファイルもしくはユーザインタフェースの通知エリアに警告を提供するように設定される
    請求項33に記載のシステム。
  44. 前記通知コンポーネントは、管理者へのメッセージ中に前記通知を提供するように設定される
    請求項33に記載のシステム。
  45. 前記通知コンポーネントは、前記予測しない接続の存在もしくは欠如を反映するために、前記予測された接続のリスト中のエントリに警告を出すように設定される
    請求項33に記載のシステム。
  46. 前記通知コンポーネントは、前記予測された接続のリストと前記複数のマシンの実際の接続もしくは設定の間の相違点の数を決定するように設定される
    請求項33に記載のシステム。
  47. 前記予測された接続のリストに基づいて、前記複数のマシンの接続設定を追加もしくは削除するように設定されたプッシュコンポーネントをさらに含む
    請求項33に記載のシステム。
JP2018549580A 2016-03-24 2017-03-20 ネットワーク接続をセキュアに管理するシステム、方法、およびデバイス Active JP6932715B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/079,849 US10594731B2 (en) 2016-03-24 2016-03-24 Systems, methods, and devices for securely managing network connections
US15/079,849 2016-03-24
PCT/US2017/023196 WO2017165288A1 (en) 2016-03-24 2017-03-20 Systems, methods, and devices for securely managing network connections

Publications (2)

Publication Number Publication Date
JP2019511172A true JP2019511172A (ja) 2019-04-18
JP6932715B2 JP6932715B2 (ja) 2021-09-08

Family

ID=59896794

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018549580A Active JP6932715B2 (ja) 2016-03-24 2017-03-20 ネットワーク接続をセキュアに管理するシステム、方法、およびデバイス

Country Status (8)

Country Link
US (13) US10594731B2 (ja)
EP (1) EP3433786B1 (ja)
JP (1) JP6932715B2 (ja)
CN (1) CN108780481B (ja)
AU (2) AU2017236880A1 (ja)
CA (1) CA3018522C (ja)
DE (3) DE202017007220U1 (ja)
WO (1) WO2017165288A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10474455B2 (en) * 2017-09-08 2019-11-12 Devfactory Fz-Llc Automating identification of code snippets for library suggestion models
US10972342B2 (en) * 2018-12-17 2021-04-06 Juniper Networks, Inc. Network device configuration using a message bus
JP7284398B2 (ja) * 2019-06-20 2023-05-31 富士通株式会社 パケット解析プログラムおよびパケット解析装置
US11288301B2 (en) * 2019-08-30 2022-03-29 Google Llc YAML configuration modeling
US12074768B1 (en) 2021-09-09 2024-08-27 T-Mobile Usa, Inc. Dynamic configuration of consensus-based network

Family Cites Families (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5634072A (en) * 1993-11-01 1997-05-27 International Business Machines Corporation Method of managing resources in one or more coupling facilities coupled to one or more operating systems in one or more central programming complexes using a policy
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6643776B1 (en) * 1999-01-29 2003-11-04 International Business Machines Corporation System and method for dynamic macro placement of IP connection filters
US6832321B1 (en) * 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
US6834301B1 (en) * 2000-11-08 2004-12-21 Networks Associates Technology, Inc. System and method for configuration, management, and monitoring of a computer network using inheritance
US6973023B1 (en) * 2000-12-30 2005-12-06 Cisco Technology, Inc. Method for routing information over a network employing centralized control
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US7631064B1 (en) * 2001-04-13 2009-12-08 Sun Microsystems, Inc. Method and apparatus for determining interconnections of network devices
US20030115447A1 (en) * 2001-12-18 2003-06-19 Duc Pham Network media access architecture and methods for secure storage
US7225161B2 (en) 2001-12-21 2007-05-29 Schlumberger Omnes, Inc. Method and system for initializing a key management system
JP3744419B2 (ja) * 2001-12-27 2006-02-08 株式会社日立製作所 ネットワーク装置、ネットワーク接続管理装置およびネットワーク装置の増設方法
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
US20050033989A1 (en) * 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7827272B2 (en) * 2002-11-04 2010-11-02 Riverbed Technology, Inc. Connection table for intrusion detection
US7461404B2 (en) * 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
JP4274311B2 (ja) * 2002-12-25 2009-06-03 富士通株式会社 識別情報作成方法、情報処理装置及びコンピュータプログラム
US7512703B2 (en) * 2003-01-31 2009-03-31 Hewlett-Packard Development Company, L.P. Method of storing data concerning a computer network
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US7448080B2 (en) * 2003-06-30 2008-11-04 Nokia, Inc. Method for implementing secure corporate communication
US7562145B2 (en) * 2003-08-28 2009-07-14 International Business Machines Corporation Application instance level workload distribution affinities
US7661123B2 (en) * 2003-12-05 2010-02-09 Microsoft Corporation Security policy update supporting at least one security service provider
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
JP2005303924A (ja) * 2004-04-15 2005-10-27 Fujitsu Ltd 大規模ネットワーク
US7721340B2 (en) * 2004-06-12 2010-05-18 Microsoft Corporation Registry protection
US7584509B2 (en) * 2004-06-12 2009-09-01 Microsoft Corporation Inhibiting software tampering
JP3824274B2 (ja) * 2004-07-09 2006-09-20 株式会社インテリジェントウェイブ 不正接続検知システム及び不正接続検知方法
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US7480794B2 (en) * 2004-09-22 2009-01-20 Cisco Technology, Inc. System and methods for transparent encryption
US8627086B2 (en) 2004-10-11 2014-01-07 Telefonaktiebolaget Lm Ericsson (Publ) Secure loading and storing of data in a data processing device
CA2594020C (en) * 2004-12-22 2014-12-09 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
JP4756865B2 (ja) * 2005-01-11 2011-08-24 株式会社エヌ・ティ・ティ・ドコモ セキュリティグループ管理システム
US7987445B2 (en) * 2005-01-13 2011-07-26 National Instruments Corporation Comparing a configuration diagram to an actual system
US8730814B2 (en) * 2005-05-25 2014-05-20 Alcatel Lucent Communication network connection failure protection methods and systems
US7805752B2 (en) 2005-11-09 2010-09-28 Symantec Corporation Dynamic endpoint compliance policy configuration
US8150816B2 (en) * 2005-12-29 2012-04-03 Nextlabs, Inc. Techniques of optimizing policies in an information management system
JP4547340B2 (ja) * 2006-01-30 2010-09-22 アラクサラネットワークス株式会社 トラフィック制御方式、装置及びシステム
JP4929808B2 (ja) * 2006-04-13 2012-05-09 富士通株式会社 ネットワーク機器接続装置およびネットワーク機器接続方法
CN1874223B (zh) * 2006-06-27 2010-07-14 天津移动通信有限责任公司 实现网络设备mac和ip绑定的接入控制方法
US7924875B2 (en) * 2006-07-05 2011-04-12 Cisco Technology, Inc. Variable priority of network connections for preemptive protection
US20100293596A1 (en) * 2006-09-07 2010-11-18 Cwi Method of automatically defining and monitoring internal network connections
JP4891722B2 (ja) * 2006-09-29 2012-03-07 株式会社日立製作所 検疫システムおよび検疫方法
US10389736B2 (en) * 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US20090248737A1 (en) * 2008-03-27 2009-10-01 Microsoft Corporation Computing environment representation
GB0807976D0 (en) * 2008-05-01 2008-06-11 Romalon Plc Improvements relating to multi-jurisdictional telecommunications services
US8839387B2 (en) * 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US9253154B2 (en) * 2008-08-12 2016-02-02 Mcafee, Inc. Configuration management for a capture/registration system
KR101074624B1 (ko) * 2008-11-03 2011-10-17 엔에이치엔비즈니스플랫폼 주식회사 브라우저 기반 어뷰징 방지 방법 및 시스템
US8407721B2 (en) * 2008-12-12 2013-03-26 Microsoft Corporation Communication interface selection on multi-homed devices
CN102273175A (zh) * 2008-12-30 2011-12-07 汤姆逊许可证公司 显示系统的配置的同步
US20100325720A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen System and Method for Monitoring Attempted Network Intrusions
US8479267B2 (en) * 2009-06-30 2013-07-02 Sophos Limited System and method for identifying unauthorized endpoints
US9203652B2 (en) * 2009-12-21 2015-12-01 8X8, Inc. Systems, methods, devices and arrangements for cost-effective routing
US20110289548A1 (en) * 2010-05-18 2011-11-24 Georg Heidenreich Guard Computer and a System for Connecting an External Device to a Physical Computer Network
US8839346B2 (en) * 2010-07-21 2014-09-16 Citrix Systems, Inc. Systems and methods for providing a smart group
US8938800B2 (en) * 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
EP2437470A1 (en) * 2010-09-30 2012-04-04 British Telecommunications Public Limited Company Network element and method for deriving quality of service data from a distributed hierarchical naming system
US8832818B2 (en) * 2011-02-28 2014-09-09 Rackspace Us, Inc. Automated hybrid connections between multiple environments in a data center
JP5807364B2 (ja) * 2011-04-08 2015-11-10 株式会社バッファロー 管理装置、管理方法、プログラムおよび記録媒体
JP5782791B2 (ja) * 2011-04-08 2015-09-24 株式会社バッファロー 管理装置、管理方法、プログラムおよび記録媒体
JP2012221184A (ja) * 2011-04-08 2012-11-12 Buffalo Inc 管理方法
US9210127B2 (en) * 2011-06-15 2015-12-08 Mcafee, Inc. System and method for limiting data leakage
US9043864B2 (en) * 2011-09-30 2015-05-26 Oracle International Corporation Constraint definition for conditional policy attachments
US9515999B2 (en) * 2011-12-21 2016-12-06 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
US9161200B2 (en) * 2012-01-27 2015-10-13 Microsoft Technology Licensing, Llc Managing network data transfers in view of multiple data usage plans
EP2810406A4 (en) * 2012-01-30 2015-07-22 Allied Telesis Holdings Kk SAFE STATUS FOR NETWORKED DEVICES
US8677510B2 (en) * 2012-04-06 2014-03-18 Wayne Odom System, method, and device for communicating and storing and delivering data
DE112012006217T5 (de) * 2012-04-10 2015-01-15 Intel Corporation Techniken zur Überwachung von Verbindungspfaden bei vernetzten Geräten
US20130332972A1 (en) * 2012-06-12 2013-12-12 Realnetworks, Inc. Context-aware video platform systems and methods
US9727044B2 (en) * 2012-06-15 2017-08-08 Dspace Digital Signal Processing And Control Engineering Gmbh Method and configuration environment for supporting the configuration of an interface between simulation hardware and an external device
JP6124531B2 (ja) * 2012-08-06 2017-05-10 キヤノン株式会社 情報処理システム、画像処理装置及びその制御方法、並びにプログラム
KR102237882B1 (ko) 2012-08-15 2021-04-07 아이오니스 파마수티컬즈, 인코포레이티드 변형된 캡핑 프로토콜을 이용하는 올리고머 화합물 제조 방법
US9100369B1 (en) * 2012-08-27 2015-08-04 Kaazing Corporation Secure reverse connectivity to private network servers
US8931046B2 (en) * 2012-10-30 2015-01-06 Stateless Networks, Inc. System and method for securing virtualized networks
US9055100B2 (en) * 2013-04-06 2015-06-09 Citrix Systems, Inc. Systems and methods for HTTP-Body DoS attack prevention with adaptive timeout
US20140313975A1 (en) * 2013-04-19 2014-10-23 Cubic Corporation White listing for binding in ad-hoc mesh networks
GB2542510A (en) * 2013-05-03 2017-03-22 Rosberg System As Access control system
EP2813945A1 (en) * 2013-06-14 2014-12-17 Tocario GmbH Method and system for enabling access of a client device to a remote desktop
US9912549B2 (en) * 2013-06-14 2018-03-06 Catbird Networks, Inc. Systems and methods for network analysis and reporting
US9769174B2 (en) * 2013-06-14 2017-09-19 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
EP3301865B1 (en) * 2013-06-28 2021-02-24 INTEL Corporation Supervised online identity
US9173146B2 (en) * 2013-08-06 2015-10-27 Google Technology Holdings LLC Method and device for accepting or rejecting a request associated with a mobile device wirelessly connecting to a network
US9253158B2 (en) * 2013-08-23 2016-02-02 Vmware, Inc. Remote access manager for virtual computing services
US9621511B2 (en) * 2013-09-10 2017-04-11 Arista Networks, Inc. Method and system for auto-provisioning network devices in a data center using network device location in network topology
US20160255139A1 (en) * 2016-03-12 2016-09-01 Yogesh Chunilal Rathod Structured updated status, requests, user data & programming based presenting & accessing of connections or connectable users or entities and/or link(s)
US9973534B2 (en) * 2013-11-04 2018-05-15 Lookout, Inc. Methods and systems for secure network connections
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
US9900217B2 (en) * 2014-03-26 2018-02-20 Arista Networks, Inc. Method and system for network topology enforcement
US9559908B2 (en) * 2014-04-09 2017-01-31 Dell Products L.P. Lockout prevention system
US10033583B2 (en) * 2014-04-22 2018-07-24 International Business Machines Corporation Accelerating device, connection and service discovery
US9936248B2 (en) * 2014-08-27 2018-04-03 Echostar Technologies L.L.C. Media content output control
US9565200B2 (en) * 2014-09-12 2017-02-07 Quick Vault, Inc. Method and system for forensic data tracking
KR20160042569A (ko) * 2014-10-10 2016-04-20 삼성전자주식회사 다중 연결 방법 및 이를 지원하는 전자 장치
WO2016084076A1 (en) * 2014-11-25 2016-06-02 enSilo Ltd. Systems and methods for malicious code detection accuracy assurance
CN107006052B (zh) * 2014-11-27 2021-03-30 皇家Kpn公司 用于连接建立的方法、存储介质、节点、设备和系统
US9614853B2 (en) * 2015-01-20 2017-04-04 Enzoo, Inc. Session security splitting and application profiler
US9686289B2 (en) * 2015-06-30 2017-06-20 Mist Systems, Inc. Access enforcement at a wireless access point
US10095790B2 (en) * 2015-07-14 2018-10-09 Payoda Inc. Control center system for searching and managing objects across data centers
US10153861B2 (en) * 2015-07-30 2018-12-11 Infinera Corporation Digital link viewer for data center interconnect nodes
US10135791B2 (en) * 2015-08-25 2018-11-20 Anchorfree Inc. Secure communications with internet-enabled devices
US9992082B2 (en) * 2015-12-04 2018-06-05 CENX, Inc. Classifier based graph rendering for visualization of a telecommunications network topology
US10673697B2 (en) * 2016-03-13 2020-06-02 Cisco Technology, Inc. Bridging configuration changes for compliant devices
CN108229133B (zh) * 2017-12-29 2021-02-02 北京三快在线科技有限公司 一种业务操作方法及装置、业务权限获取方法及装置

Also Published As

Publication number Publication date
EP3433786B1 (en) 2024-10-16
CN108780481B (zh) 2023-08-25
US11159574B2 (en) 2021-10-26
US20200195689A1 (en) 2020-06-18
US20230055052A1 (en) 2023-02-23
US11368495B2 (en) 2022-06-21
US20200259869A1 (en) 2020-08-13
DE202017007389U1 (de) 2021-02-16
US10757141B2 (en) 2020-08-25
CN108780481A (zh) 2018-11-09
US11824899B2 (en) 2023-11-21
US12088632B2 (en) 2024-09-10
US11178189B1 (en) 2021-11-16
US11496524B2 (en) 2022-11-08
US10764332B1 (en) 2020-09-01
US20210152609A1 (en) 2021-05-20
US20220046062A1 (en) 2022-02-10
US11108829B2 (en) 2021-08-31
DE202017007362U1 (de) 2020-12-08
US20230412645A1 (en) 2023-12-21
US20210360035A1 (en) 2021-11-18
DE202017007220U1 (de) 2020-02-12
EP3433786A4 (en) 2019-08-21
US20210014281A1 (en) 2021-01-14
EP3433786A1 (en) 2019-01-30
US20170279853A1 (en) 2017-09-28
US20200358828A1 (en) 2020-11-12
US20220217180A1 (en) 2022-07-07
US20200358825A1 (en) 2020-11-12
AU2017236880A1 (en) 2018-10-11
US10594731B2 (en) 2020-03-17
CA3018522A1 (en) 2017-09-28
WO2017165288A1 (en) 2017-09-28
AU2021204192A1 (en) 2021-08-05
CA3018522C (en) 2023-01-24
US10924516B2 (en) 2021-02-16
US20220116425A1 (en) 2022-04-14
US11290496B2 (en) 2022-03-29
AU2021204192B2 (en) 2022-09-15
JP6932715B2 (ja) 2021-09-08
US11671459B2 (en) 2023-06-06

Similar Documents

Publication Publication Date Title
US11368495B2 (en) Securely managing network connections
US10868743B2 (en) System and method for providing fast platform telemetry data
US10637950B1 (en) Forwarding content on a client based on a request
US20160191368A1 (en) Information processing device, method, and medium
US9442746B2 (en) Common system services for managing configuration and other runtime settings of applications
US10038566B1 (en) Systems and methods for multicast message routing
US20140366084A1 (en) Management system, management method, and non-transitory storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191008

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20191008

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20191008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200923

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201013

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210818

R150 Certificate of patent or registration of utility model

Ref document number: 6932715

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250