JP2022147233A - ネットワークシステム、接続方法およびプログラム - Google Patents

ネットワークシステム、接続方法およびプログラム Download PDF

Info

Publication number
JP2022147233A
JP2022147233A JP2021048398A JP2021048398A JP2022147233A JP 2022147233 A JP2022147233 A JP 2022147233A JP 2021048398 A JP2021048398 A JP 2021048398A JP 2021048398 A JP2021048398 A JP 2021048398A JP 2022147233 A JP2022147233 A JP 2022147233A
Authority
JP
Japan
Prior art keywords
server
gateway device
service
service server
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021048398A
Other languages
English (en)
Inventor
究 渡邊
Kiwamu Watanabe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2021048398A priority Critical patent/JP2022147233A/ja
Publication of JP2022147233A publication Critical patent/JP2022147233A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】セキュリティを確保しつつ、オンプレミスとクラウド環境の接続環境を容易に構築可能とする。【解決手段】ゲートウェイ装置と、設定情報を管理する管理サーバと、サービスを提供するサービスサーバと、データを保存する保存サーバと、を有するネットワークシステムであって、前記ゲートウェイ装置は、前記管理サーバから前記設定情報を取得する取得部と、前記設定情報に基づいて前記サービスサーバとの接続を確立する接続部と、接続を確立した前記サービスサーバからの要求に応じて、前記保存サーバに保存される前記データを前記サービスサーバに対して送信する送信部と、を備えることを特徴とする。【選択図】図6

Description

本発明は、ネットワークシステム、接続方法およびプログラムに関する。
ローカルストア(オンプレミスデータベース)上に格納されたデータをサービスプロバイダによって提供されるクラウド上のリモートストアにシャドーイングする方法が知られている(例えば、特許文献1参照)。
クラウド上のサーバ(クラウドサーバ)とオンプレミス内のデバイスとを接続するためには、オンプレミスデータゲートウェイ装置を介してVPN(Virtual Private Network)技術を利用する。しかし、今までのオンプレミスデータゲートウェイ装置は設定が難しい。また、接続先のクラウドサーバが複数ある場合、オンプレミスデータゲートウェイ装置は、その中から選択して設定できない。また、オンプレミスデータゲートウェイ装置は、所望のクラウドサーバ以外からの接続を制限する等の、接続先制限ができない。さらに、VPN接続を確立するためには、オンプレミス環境側のファイアウォール(FW)やProxyに手を加える必要があり、容易ではない。
本発明は、セキュリティを確保しつつ、オンプレミスとクラウド環境の接続環境を容易に構築することを目的とする。
上述した課題を解決するために、本発明の一観点に係るネットワークシステムは、ゲートウェイ装置と、設定情報を管理する管理サーバと、サービスを提供するサービスサーバと、データを保存する保存サーバと、を有するネットワークシステムであって、前記ゲートウェイ装置は、前記管理サーバから前記設定情報を取得する取得部と、前記設定情報に基づいて前記サービスサーバとの接続を確立する接続部と、接続を確立した前記サービスサーバからの要求に応じて、前記保存サーバに保存される前記データを前記サービスサーバに対して送信する送信部と、を備えることを特徴とする。
セキュリティを確保しつつ、オンプレミスとクラウド環境の接続環境を容易に構築できる。
本発明の実施形態の概要を説明するための説明図である。 本発明の実施形態のネットワークシステムの設定時の処理を説明するための説明図である。 (a)および(b)は、それぞれ、本発明の実施形態のサービスサーバおよび管理サーバのシステム構成図である。 (a)は、本発明の実施形態のオンプレミス環境のネットワーク構成を説明するための説明図であり、(b)は、本発明の実施形態のゲートウェイ装置のシステム構成図である。 本発明の実施形態のゲートウェイ装置の機能モジュール構成図である。 本発明の実施形態のゲートウェイ装置の機能ブロック図である。 (a)~(d)は、本発明の実施形態のテナントリスト、ユーザリスト、ユーザグループリスト、および、ゲートウェイ装置リストを、それぞれ、説明するための説明図である。 (a)~(e)は、本発明の実施形態のタイプリスト、サービスリスト、サービスグループリスト、アクションリスト、および、ポリシーリストを、それぞれ、説明するための説明図である。 (a)および(b)は、それぞれ、本発明の実施形態のポリシー登録画面例およびポリシーリスト画面例を説明するための説明図である。 (a)および(b)は、それぞれ、本発明の実施形態のエンドユーザログ画面例および管理者ログ画面例を説明するための説明図である。 (a)および(b)は、それぞれ、本発明の実施形態のゲートウェイ装置登録画面例およびゲートウェイ装置リスト画面例を説明するための説明図である。 本発明の実施形態の設定処理のシーケンス図である。 本発明の実施形態の接続処理のシーケンス図である。 本発明の変形例のPC(サーバ)のハードウェア構成図である。
以下、添付図面を参照しながら実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。
まず、本実施形態のネットワークシステム100で実現される処理の概要を説明する。図1は、本実施形態のネットワークシステム100の全体構成を示す図である。本実施形態のネットワークシステム100は、クラウド300上に配置された複数のクラウドサーバ(サービスサーバ)310と、各サービスサーバ310の設定情報410を管理する管理サーバ(RSI)400と、例えば、オフィスや工場の社内ネットワークなどのオンプレミス環境200に配置され、クラウド連携可能な複数の保存サーバ220と、オンプレミス環境200上に配置されるオンプレミスデータゲートウェイ装置(以下、単にゲートウェイ装置と呼ぶ。)210と、を備える。
オンプレミス環境200には、複数の保存サーバ220a~220cや、他のネットワークリソース群が既存のLAN201を介して互いに通信可能に接続される。図1の例では、オンプレミス環境200に配置されるネットワークリソース群の中で、保存サーバ220aのみがクラウド連携が可能であり、他のリソース群(保存サーバ220b、220c)はクラウド300側からアクセスできないよう配置されている。なお、保存サーバ220a~220cは、区別する必要がない場合は、保存サーバ220で代表する。
ゲートウェイ装置210は、クラウド300側のサービスサーバ310が、容易に、オフィスや工場などのLAN201に接続された保存サーバ220aが管理するデータベース221内のデータを取得できるようにする。
ゲートウェイ装置210は、初期設定に必要な情報やファームウェアを含む設定情報410を、管理サーバ400から取得する。また、ゲートウェイ装置210は、保存サーバ220へのアクセスを許可するサービスサーバ310を制御する。すなわち、ゲートウェイ装置210は、データベース221への接続先を制御する。
本実施形態のネットワークシステム100では、VPN Gateway等、複数のクラウドサービスを提供するサービスサーバ310のうち、所望のサービスサーバ310の提供企業と契約する。契約後、ゲートウェイ装置210は、管理サーバ400から、設定情報410を取得する。その後、ゲートウェイ装置210は、契約したサービスサーバ310の中から1つを選択し、設定情報410を用いて当該サービスサーバ310との間で接続を確立する。
その後、クラウド300側、すなわち、接続を確立したサービスサーバ310から、アクセスが許可された保存サーバ220へアクセスし、保存サーバ220が管理するデータベース221のデータを取得する。
設定情報410には、オンプレミス環境200側の特定のネットワークリソースへのアクセスを制限する情報が含まれる。これにより、ゲートウェイ装置210は、接続を確立したサービスサーバ310から特定の接続先へのアクセスを制限する。
また、設定情報には、契約期間の情報も含まれる。これにより、ゲートウェイ装置210は、契約の終了とともにサービスサーバ310から接続を許可された保存サーバ220へのアクセスを遮断できる。
以下、ゲートウェイ装置210と管理サーバ400とにより、容易かつ安全に、クラウド300上の複数のサービスサーバ310とオンプレミス環境200内の保存サーバ220との接続を確立可能な構成を実現する構成について具体的に説明する。
図2は、本実施形態のネットワークシステム100の設定時の処理を説明するための図である。
本図に示すように、本実施形態のネットワークシステム100は、上述のように、ゲートウェイ(GW)装置210と、保存サーバ220と、サービスサーバ310と、管理サーバ400と、操作端末320と、を備える。また、ネットワークシステム100は、データ保存領域として、さらに、リモートデータサービス600を備えてもよい。
操作端末320は、ブラウザを起動し、そのブラウザ上から、ネットワークシステム100の他の構成に接続し、設定を変更したり、ログを取得したりする。本実施形態では、操作端末320は、サービスサーバ310とゲートウェイ装置210と、リモートデータサービス600に接続する。
サービスサーバ310は、アクセス元端末(操作端末320)に対し、認証に対応したWebUIを介してリモートアクセスを提供する。具体的には、サービスサーバ310は、WebUIの提供(各種管理機能)と、各種の情報の管理と、ゲートウェイ装置210に対する指示と、を行う。管理する情報は、ユーザ、デバイス、ゲートウェイ装置210、ポリシー等に関する。また、ゲートウェイ装置210に対して行う指示は、設定変更やリレーサーバへの接続等である。リレーサーバは、リモートデータサービス600(または、リモートデータサービス600を実現する情報端末)と、ゲートウェイ装置210(または、オンプレミス環境200)との間の通信を中継する。なお、サービスサーバ310は、1つに限定されない。
なお、サービスサーバ310と操作端末320とは、HTTP接続される。
ゲートウェイ装置210は、サービスサーバ310(アクセス元)の指示に応じ、アクセス元によるアクセス先サービスに対する操作、アクセス先サービスからアクセス元への応答を中継する。なお、このとき、ゲートウェイ装置210は、プロトコル変換により対応してもよい。アクセス先サービスは、例えば、保存サーバ220のデータ提供や、リモートデータサービス600中のコンピューティングインスタンス等を含む。ゲートウェイ装置210は、コンピューティングインスタンスには、セキュアゲートウェイを介して接続する。具体的には、ゲートウェイ装置210は、サービスサーバ310による指示の遂行であるゲートウェイ装置210の設定、登録、リモートアクセスや、自身のネットワーク設定のためのWebUIの提供等を行う。
リモートデータサービス600は、セキュアゲートウェイ機能によってゲートウェイ装置210を介して保存サーバ220からデータを取得し処理を行う。リモートデータサービス600は、コンピューティングインスタンスで取得したデータを加工や分析する、また、リモートデータサービス600は、データ・アプリケーションサービスで取得したデータを可視化したり取得したデータを分析したりする。なお、データ・アプリケーションサービスおよびコンピューティングインスタンスは、リモートデータサービス600の必須の要素ではない。
ゲートウェイ装置210とセキュアゲートウェイとの間の通信プロトコルは、多くのセキュアゲートウェイサービスが対応しているVPN(IPSecなど)を利用する。通信プロトコルは、Websocket over HTTPS(WSS)でも良い。
管理サーバ400は、ユーザおよびデバイスの認証、ゲートウェイ装置210に対する双方向通信、顧客の契約管理、データレイクといった基盤機能を提供する。
次に、各構成の詳細を説明する。
図3(a)は、サービスサーバ310のシステム構成図である。本図に示すように、サービスサーバ310は、アプリケーションロードバランサ311と、Webアプリケーション312と、データベース313と、を備える。
アプリケーションロードバランサ311は、受信したトラフィックを複数のWebアプリケーション312に分散させる。アプリケーションロードバランサ311は、リクエストを受信すると(https終端)、リクエストを分析し、割り振り先を決定する。
アプリケーションロードバランサ311は、リクエスト分析において、HTTPヘッダを分解し、割り振り先決定において、URLのパスやその他の情報により、リクエストを割り振る。
なお、Webアプリケーション312はWeb UIとWeb APIとを備える。なお、本図においては、Web UIは、内部処理として、Web APIをアクセスする形を示すが、直接データベース313にアクセスしてもよい。
Webアプリケーション312は、1つのインスタンスであってもよいし、複数のインスタンスにより、冗長構成としてもよい。
なお、ここでは、サービスサーバ310は、IaaS(Infrastructure as a Service)によるコンピュータリソースで提供するものとして記載している。しかしながら、サービスサーバ310は、FaaS(Function as a Service)により実現されてもよい。
また、サービスサーバ310は、データベース313として、タイプリスト330と、サービスリスト340と、サービスグループリスト350と、アクションリスト360と、ポリシーリスト370と、を備える。
図3(b)は、管理サーバ400のシステム構成図である。本図に示すように、管理サーバ400は、アプリケーションロードバランサ411と、サブシステム412と、データベース413と、を備える。サブシステム412は、認証サブシステム414と、ポータルサブシステム415と、ログサブシステム416と、制御サブシステム417と、を備える。
アプリケーションロードバランサ411は、リクエストを受信すると(https終端)、リクエストを分析し、割り振り先のサブシステムを決定する。
認証サブシステム414は、ユーザ認証およびデバイス認証を提供する。この認証機能は、ユーザ名による認証、パスワード認証、証明書による認証、多要素認証などを実現する。
ポータルサブシステム415は、共通的なポータルサイトを提供する。
ログサブシステム416は、アクセスログ、設定変更ログを蓄積し、取得する。
制御サブシステム417は、ゲートウェイ装置210と常時接続し、サービスサーバ310からの指示、設定をゲートウェイ装置210に伝える。なお、制御サブシステム417は、ゲートウェイ装置210と制御サブシステム417との間は、MQTT over Websocket over HTTPSにより接続を確立する。これにより、制御サブシステム417は、オンプレミス環境200内のネットワークのファイアウォールの設定を変更せずに常時接続を実現する。
なお、データベース413は、テナントリスト420とユーザリスト430と、ユーザグループリスト440と、ゲートウェイ(GW)装置リスト450と、を備える。これらの詳細については、後述する。
次に、オンプレミス環境200のネットワーク(現場ネットワーク)の構成とゲートウェイ装置210のシステム構成と、を説明する。図4(a)は、現場ネットワーク構成を示す図であり、図4(b)は、ゲートウェイ装置210のシステム構成図である。
現場ネットワークは、ルータ、ファイアウォール、ゲートウェイ装置210を経て、保存サーバ220に接続される。
ゲートウェイ装置210は、通信制御部231と、アプリ制御部232と、ストレージ233と、を備える。
通信制御部231は、外部とのデータの送受信を制御する。
なお、現場ネットワークは、インターネットを経由して外部から攻撃を受けたときにも、アクセスされる範囲を限定的にするため、複数のネットワークに分離している。本実施形態では、現場ネットワークは、インターネットにアクセスできる第一ネットワークとインターネットに接続されていない第二ネットワークとの2つに分離されている。このため、ゲートウェイ装置210は、図4(b)に示すように、複数(図では2つ)のネットワークインタフェース(N/W I/F 1、N/W I/F 2)を備える。
ゲートウェイ装置210は、これらの複数のネットワークのルーティング機能を持たない。しかし、インターネット上のセキュアゲートウェイとゲートウェイ装置210との間で仮想的なパス(いわゆるトンネル)が設定された場合、ゲートウェイ装置210から第二ネットワークにある保存サーバ220にアクセス可能である。ただし、アクセス可能となるのは、ポリシー設定で許可されている場合に限定される。
なお、ゲートウェイ装置210は、単一のネットワークI/Fのみを備えていてもよい。
アプリ制御部232は、ストレージ233に格納されるアプリケーションを制御する。
ストレージ233は、アプリケーション、秘密鍵、ルート証明書、設定と、を含む各種のデータが格納される。設定やアプリケーションは、ファームウェアの更新に失敗しても動作継続可能なように冗長構成を備えてもよい。
ストレージ233に格納されるアプリケーションは、共通のアプリケーションであるcommonとテナントに依存するテナント(tenant)とを備える。アプリケーションは、プロトコル変換プログラム、オンプレミスデータサーバーから取得したデータを処理したり、キャッシュしたりするプログラム等を含む。
ゲートウェイ装置は、例えば、安価なLinux(登録商標) Boxで実現される。この場合のゲートウェイ装置210の機能モジュールについて説明する。図5は、ゲートウェイ装置210の機能モジュール構成図である。本図に示すように、ゲートウェイ装置210は、ハードウェア(H/W)層L1と、カーネル(kernel)層L2と、ルートファイルシステム(rootfs)層L3とを備える。
ゲートウェイ装置210のハードウェア構成は、IoT Gatwayなどで使われる一般的なLinux Boxと同じである。すなわち、ゲートウェイ装置210は、CPU511、RAM512などのメモリ、ストレージ513、Ethernet(登録商標)514を備える。図5の例では、CPU511、RAM512、ストレージ513、Ethernet514は、H/W層L1に設けられる。
カーネル層L2は、Linux共通部521と、IPパケットの送信フィルタ522と、NAPT(Network Address Port Translation)モジュール523と、Ethernet I/F524と、Ethernet I/F(VPN用)525と、を備える。
IPパケットの送信フィルタ522は、IPヘッダの送信IPアドレスを用いてフィルタ処理を行うモジュールである。
NAPTモジュール523は、2つのネットワークをポートフォワードにより接続するモジュールである。
Ethernet I/F524は、H/W層L1のEthernetデバイス514に対して送受信を行うモジュールであり、Ethhernet I/F(VPN用)525は、VPNでカプセル化するための仮想的なEthernetモジュールである。
rootfs層L3には、Linux基本コマンド群531と、NAPT更新アプリ532と、VPN Clientアプリ533と、WebSocketアプリ534とが設けられる。
NAPT更新アプリ532は、カーネル層L2のNAPTモジュール523に対して設定の変更を行うモジュールである。
VPN Clientアプリ533は、WebSocketアプリ534を用いて、VPN接続を確立するモジュールである。
次に、ゲートウェイ装置210の機能構成について説明する。図6は、本実施形態のゲートウェイ装置の機能ブロック図である。本図に示すように、ゲートウェイ装置210は、取得部211と、接続部212と、制限部213と、送信部214と、を備える。
取得部211は、管理サーバ400から設定情報410を取得する。本実施形態では、指定されたサービスサーバ310の設定情報410を取得する。ここで設定情報410として取得する情報は、例えば、後述するポリシーリスト370に含まれる情報、ゲートウェイ装置リスト450に含まれる情報である。ただし、取得部211が取得する情報はこれに限定されず、テナントリスト420、ユーザリスト430、ユーザグループリスト440、タイプリスト330、サービスリスト340、サービスグループリスト350、アクションリスト360それぞれに含まれる情報であっても良い。
接続部212は、設定情報410に基づいて接続対象のサービスサーバ310との接続を確立する。本実施形態では、接続部212は、VPN Clientアプリ533およびWebSocketアプリ534により実現される。
接続部212は、ゲートウェイ装置210とクラウド300上のサービスサーバ310とを、HTTPリクエストベースのVPN(Virtual Private Network、仮想専用ネットワーク)で接続する。本実施形態では、接続部212は、例えば、VPN over Websocketを利用する。VPN over Websocketを用いることにより、接続を確立する際、ゲートウェイ装置210は、基幹側(ルータ、ファイアウォール(FW)等)の変更が不要となる。
言い換えると、ゲートウェイ装置210は、例えば、オンプレミス環境200内の社内ネットワークに設けられるファイアウォール(FW)やプロキシ(Proxy)202を、VPN用に設定変更する必要がない。また、VPNによりサーバプッシュが可能になり、オンプレミス環境200内の保存サーバ220aが管理するデータベース221にサービスサーバ310からアクセスできる。
なお、VPN構築において、接続部212は、内向け(社内ネットワークの内部に配置され、外部からアクセスさせたくない他のネットワークリソース群に向けて)にNAT(Network Address Translation)化する。これにより、ゲートウェイ装置210は、クラウド300側のIPアドレス体系に自由度を持たせることを実現する。また、オンプレミス環境200のネットワークリソースであるIPアドレスの消費を軽減できる。
また、接続部212は、NATだけではなく、ポートフォワード、ブリッジの動作モードを可能とする。この動作モード情報とクラウド300上に構築するサーバ情報(IPアドレス、ポート番号)とに応じて、接続部212は、仮想的なEthernet I/Fを自動生成する。
ゲートウェイ装置210は、クラウド側のサービスサーバ310との通信に、固定IPアドレスを用いてもよいし、DHCP(Dynamic Host Configuration Protocol)サーバを用いてもよい。
また、ゲートウェイ装置210は、クラウド側のサービスサーバ310との通信にIPSec(Security Architecture For Internet Protocol)ーVPNを用いてもよい。
制限部213は、設定情報に基づいて、サービスサーバ310からのアクセスを制限する。本実施形態では、制限部213は、Octaver機能により、クラウド300側からのアクセス範囲を隔離ネットワーク技術にて制限する。これにより、ゲートウェイ装置210は、安全性も確保する。
送信部214は、接続を確立したサービスサーバ310からの要求に応じて、データベース221に保存されるデータを、サービスサーバ310に対して送信する。
次に、サービスサーバ310および管理サーバ400が管理するデータの構成について説明する。
図7(a)~図7(d)は、管理サーバ400が管理するテナントリスト420と、ユーザリスト430と、ユーザグループリスト440と、ゲートウェイ装置リスト450と、のデータ構成を説明する図である。
テナントリスト420は、テナントの識別子であるテナントID421とテナント名422とを対応づけるリストである。なお、図7(a)の例では、テナントの入れ子のないリストとしているが、テナントリスト420は、階層構造であってもよい。
ユーザリスト430は、テナントと、ユーザと、パスワード(Hash化)とを対応づけるリストである。図7(b)に示すように、ユーザリスト430には、テナントID431に対応づけて、ユーザを特定するユーザID432と、ユーザ名433と、表示名434と、パスワード435と、が登録される。なお、本図の例では、ユーザ認証は、パスワードによるものとしているが、証明書による認証であってもよい。
ユーザグループリスト440は、は、テナントと、ユーザグループと、メンバーリストとを対応づけるリストである。図7(c)に示すように、ユーザグループリスト440には、テナントID441に対応づけて、ユーザグループを識別する情報であるユーザグループID442と、ユーザグループ名443と、メンバーリスト444とが登録される。メンバーリスト444には、当該ユーザグループを構成するユーザのユーザIDが登録される。なお、メンバーリスト444には、ユーザグループID442が登録されてもよい。
ゲートウェイ装置リスト450は、テナントとデバイス(ゲートウェイ装置210)と設定とを対応づけるリストである。図7(d)に示すように、ゲートウェイ装置リスト450には、テナントID451毎に、ゲートウェイ装置210を特定するデバイスID452と、UUID(Universally Unique Identifier)453と、デバイス名454と更新情報455とが登録される。なお、UUID453は、デバイスを一意に特定するために使用される。なお、その他の設定項目が登録されていてもよい。
図8(a)~図8(e)は、サービスサーバ310が管理するタイプリスト330と、サービスリスト340と、サービスグループリスト350と、アクションリスト360と、ポリシーリスト370とのデータ構成を説明する図である。
タイプリスト330は、テナントとタイプおよび変換プログラムとを対応づけるリストである。図8(a)に示すように、タイプリスト330には、テナントID331に対応づけて、タイプを識別するタイプID332と、タイプ名333と変換プログラム334とが登録される。なお、タイプリスト330には、共通の変換プログラムと、テナントごとに用いられる変換プログラムと、を登録できる。また、変換プログラムには、変換処理内容、ログの出力タイミングが含まれる。
共通の変換プログラムは、システム提供側があらかじめ汎用的なモジュールを登録してもよい。一方、テナント毎に用いられる変換プログラムは、管理者、または、システム提供側があらかじめ、テナント独自に必要な変換プログラムを登録してもよい。なお、システム提供者が元となる変換プログラムを作成してもよい。なお、変換プログラムは、ゲートウェイ装置210が実行できればよく、実装言語を問わない。
サービスリスト340はテナントとサービスとタイプと宛先とを対応づけるリストである。図8(b)に示すように、サービスリスト340には、テナントID341毎に、サービスを特定するサービスID342と、サービス名343と、タイプ344と、宛先345と、が登録される。
宛先345は、FQDN(Fully Qualified Domain Name)でもよいし、IPアドレスでもよい。また、IP通信のできないタイプの場合は、RS-232CのCOMポートなどでもよい。
サービスグループリスト350は、テナントとサービスグループとメンバーとを対応づけるリストである。図8(c)に示すように、サービスグループリスト350には、テナントID351毎に、サービスグループを特定するサービスグループID352と、サービスグループ名353と、メンバーリスト354とが登録される。メンバーリスト354には、そのサービスグループを構成するサービスのサービスID342が登録される。なお、メンバーリスト354には、サービスグループIDが登録されてもよい。また、サービスグループは、サービスのタイプが異なるグループも1つにまとめてもよい。
アクションリスト360は、テナントと、アクションと、アクションの格納先と、を対応付けたリストである。図8(d)に示すように、アクションリスト360には、テナントID361毎に、アクションを特定するアクションID362とアクション名363とアクション364とが登録される。
アクションには、共通のアクション(common)と、テナント毎に定義されるアクションとがある。また、アクションリスト360では、アクションを許可するか、拒否するか、多要素認証するか、等を定義してもよい。各アクションの中で、ログを残すことができる。
ポリシーリスト370は、テナントとポリシーと優先度とユーザとサービスとアクションとを対応づけたリストである。図8(e)に示すように、ポリシーリスト370には、テナントID371毎に、ポリシーを一意に特定するポリシーID372と、ポリシー名373と、優先度374と、ユーザ375と、サービス376と、アクション377とが登録される。
サービスサーバ310は、ポリシーリスト370を参照し、アクセスしたユーザ(またはユーザグループ)とサービス(またはサービスグループ)とが、同じテナントID371に対応づけて登録されている場合、当該レコードのアクション377を実行する。
優先度374は、アクセスしたユーザ(またはユーザグループ)とサービス(またはサービスグループ)とが一致するレコードが複数ある場合の優先度である。複数のレコードに一致した場合、サービスサーバ310は、最も優先度の高いレコードのアクションを実施する。
なお、実行するアクションの決定手法はこれに限定されない。例えば、サービスサーバ310は、最も一致度の高いレコードのアクションを実行するロンゲストマッチなどの手法を用いてもよい。また、サービスサーバ310は、複数のレコードに一致した場合、優先度順に、各アクションを実行してもよい。
サービスサーバ310および管理サーバ400は、ユーザにインタフェース画面を提供する。エンドユーザに提供する画面は、例えば、ログイン画面と、ポータル画面と、データ処理管理サービス画面と、データキャッシュ管理サービス画面と、を備える。また、管理者に提供する画面は、例えば、ユーザグループリスト画面と、サービスグループリスト画面と、ポリシー登録画面と、ポリシーリスト画面と、エンドユーザログ画面と、管理者ログ画面と、ゲートウェイ装置登録画面と、ゲートウェイ装置リスト画面と、を備える。なお、上述したエンドユーザに提供する画面および管理者に提供する画面は、サービスサーバ310を介して、または、管理サーバ400が直接、操作端末320に対して提供することによって操作端末320の表示部に操作可能に表示することができる。
ログイン画面は、ネットワークシステム100にログインするための画面である。ログイン画面は、例えば、ユーザ名(メールアドレス)とパスワードとの入力を受け付ける画面である。OAuthなどの仕組みを用いて他のシステムのアカウントと連携したり、多要素認証の仕組みを使って攻撃に対応させたりしてもよい。
ポータル画面は、サービスの選択を受け付けるサービス領域と、設定を受け付ける設定領域と、ログ管理の指示を受け付ける管理領域とを備える。なお、ポータル画面は、ログイン者に応じて表示が変更されてもよい。例えば、エンドユーザがログインした場合は、サービス領域のみを、管理者がログインした場合は、設定領域のみを、監査者がログインした場合は、管理領域のみを表示させる。
データ処理管理サービス画面は、サービスの詳細設定を受け付ける。サービスサーバ310は、データ処理管理サービス画面を介して受け付けた指示に従って、サービスリスト340を生成、更新する。
ユーザグループリスト画面は、ユーザグループの登録、変更、削除の指示を受け付ける。ユーザから指示を受け付けると、管理サーバ400は、指示に従って、ユーザグループリスト440を生成または更新する。
なお、ユーザ、ユーザグループについては、ディレクトリサービス(LDAPなど)を利用して、その情報と同期させてもよい。また、ユーザグループごとに管理者を割り当て、1人の管理者に負荷が集中しない運用としてもよい。
サービスグループリスト画面は、サービスグループの登録、変更、削除の指示を受け付ける。サービスサーバ310は、サービスグループリスト画面を介して受け付けた指示に従って、サービスグループリスト350を生成、更新する。
ポリシー登録画面は、ポリシーの登録を受け付ける。各種の設定を受け付ける画面の一例として、ポリシー登録画面610の例を図9(a)に示す。本図に示すように、ポリシー登録画面610は、例えば、ポリシー毎に、そのポリシーを適用するユーザ(ユーザグループ)と、サービス(サービスグループ)と、アクションとの登録を受け付ける領域を備える。アクションについては、あらかじめサービスサーバ310に登録されているアクションから選択する。サービスサーバ310は、ポリシー登録画面を介して受け付けた指示に従って、ポリシーリスト370を生成する。
ポリシーリスト画面は、ポリシーの登録、変更、削除の指示を受け付ける。ポリシーリスト画面620の一例を図9(b)に示す。本図に示すように、ポリシーリスト画面620は、画面を介してポリシーの優先順の変更も受け付ける。
エンドユーザログ画面は、エンドユーザ(利用者)が操作をしたログ(エンドユーザログ)を表示する。管理サーバ400のログサブシステム416は、ユーザからの指示に従って、エンドユーザログを表示する。図10(a)にエンドユーザログ画面630の一例を示す。本図に示すように、エンドユーザログは、タイムスタンプ、ユーザ、サービス、操作、結果を含む。もちろん、これ以外の情報が表示されてもよい。
管理者は、このエンドユーザログを見ることにより、実際に、ユーザがサービスをどのように操作したかを把握できる。エンドユーザログは、プロトコル変換処理で、ブラウザからの操作内容を変換し、操作対象のサービスに指示するタイミング、その応答を受け取るタイミングで意味のあるログが取得できる。
エンドユーザログには、上述のように、ユーザとサービスと操作と結果とが含まれる。管理者は、エンドユーザログにより、エンドユーザがどのようなリソースに対して、どのような操作をしたかを把握することができる。このため、管理者は、このログを見ることにより、「だれが」「何をしたか」を判別できる。よって、セキュリティ上の追跡可能性が高まり、否認防止を実現できる。通常のネットワークのアクセスログでは、アクセス元のアドレス、宛先のアドレス、処理などの情報のみであることに比べ、管理者は有意義な情報を得ることができる。
なお、エンドユーザログは、表示に限らず、別の形式(例えばCSV)でダウンロードしたり、他のログシステム(たとえばsyslog)に転送したりするよう構成してもよい。
管理者ログ画面は、管理者がどのような操作をしたかのログ(管理者ログ)を表示する。管理サーバ400のログサブシステム416は、ユーザからの指示に従って、管理者ログを表示する。図10(b)に管理者ログ画面640の一例を示す。本図に示すように、管理者ログは、タイムスタンプ、ユーザ、操作、詳細、結果を含む。もちろん、これ以外の情報が表示されてもよい。
管理者は、この管理者ログがあることで、管理者がどのようなリソースに対して、どのような操作をしたかを把握することができ、セキュリティ上の追跡可能性が向上し、否認防止を実現できる。そして、管理者ログも、別の形式(例えばCSV)でダウンロードしたり、他のログシステム(たとえばsyslog)に転送したりしてもよい。
ゲートウェイ装置登録画面は、新規にゲートウェイ装置をテナントに登録したり、変更したりする指示を受け付ける画面である。ゲートウェイ装置登録画面の一例を図11(a)に示す。本図に示すように、管理サーバ400は、ゲートウェイ装置登録画面を介して、デバイス名(ゲートウェイ装置名)と、自動更新の有効と、許可時間との設定を受け付ける。管理サーバ400は、例えば、ゲートウェイ装置210のネットワーク設定など、より多くの設定を受け付けてもよい。
ただし、本登録、変更の指示を受け付け、その指示に従って、ゲートウェイ装置210を設定することにより、当該ゲートウェイ装置210がインターネットに接続できなくなる場合も考えられる。管理サーバ400は、インターネットに接続できなくなった場合は、もとの設定に戻すため、設定の履歴を保持してもよい。
ゲートウェイ装置リスト画面は、例えば、管理者の所属しているテナントのゲートウェイ装置210のリスト(一覧)を表示する。ゲートウェイ装置リスト画面の一例を図11(b)に示す。本図に示すように、管理サーバ400は、管理者からの指示に従って、当該リストを表示させる。
次に、本システムにおける設定の流れを説明する。図12は、本実施形態の設定のシーケンス図である。なお、設定を変更する際は、ゲートウェイ装置210に設定の変更を反映する必要がある場合とない場合とがある。例えば、ユーザリスト430に含まれる情報に対する設定変更は、ゲートウェイ装置210に反映させなくても良い。
まず、ゲートウェイ装置210に設定変更を反映する必要がない場合の流れを説明する。
まず、ユーザ(管理者)は、操作端末に対し、ポータル画面の表示を要求する(ステップ1)。
操作端末320は、サービスサーバ310にリクエストを送信する(ステップ2)。サービスサーバ310は、それを受け、WebUIを操作端末320に送信する(ステップ3)。
操作端末320は、ブラウザに設定対象を選択の指示を受け付けるポータル画面を表示させ(ステップ4)、ユーザから設定対象の指示を受け付ける(ステップ5)。
操作端末320は、受け付けた設定対象をサービスサーバ310にリクエストとして送信する(ステップ6)。サービスサーバ310では、リクエストに含まれる設定対象の設定を受け付けるWebUIを操作端末に提供する(ステップ7)。
操作端末320は、ブラウザに、設定対象の設定(登録、変更、削除)を受け付ける設定画面を表示させ(ステップ8)、管理者からの指示を受け付ける(ステップ9)。
そして、操作端末は、受け付けた指示を設定変更としてサービスサーバ310に送信する(ステップ10)。サービスサーバ310は、それを受け、設定変更を反映し(ステップ11)、ログを管理サーバ400のログサブシステム416に送信する(ステップ12)。その後、サービスサーバ310は、設定完了を示すWebUIを操作端末320に送信する(ステップ13)。
操作端末320は、設定完了画面を表示し(ステップ14)、ログアウトの指示を受け付けると(ステップ15)、サービスサーバ310との接続を遮断し、ログアウト成功画面をブラウザに表示させる(ステップ16)。
なお、例えば、設定変更の対象が、ポリシーリスト370に含まれる情報、ゲートウェイ装置リスト450に含まれる情報である場合、ゲートウェイ装置210に設定変更を反映する必要がある。ただし、ゲートウェイ装置210に設定変更を反映させる設定情報の種類はこれに限定されない。この場合は、ステップ11からステップ13との間に、さらに以下の処理を行う。
サービスサーバ310は、設定変更を管理サーバ400の制御サブシステム417に通知する(ステップ17)。管理サーバ400の制御サブシステム417は、それをゲートウェイ装置210に通知する(ステップ18)。
ゲートウェイ装置210は、受信した設定変更を反映し、ログを管理サーバ400のログサブシステム416に送信する(ステップ20)とともに設定変更が成功したことを管理サーバの制御サブシステム417に通知する(ステップ21)。制御サブシステム417は、それをサービスサーバ310に通知する(ステップ22)。なお、ゲートウェイ装置210では、設定変更の通知を受け取ると、自身の設定状態に反映し、ストレージに保存が必要なものは、保存する。
なお、ゲートウェイ装置210への設定変更の反映処理(ステップ17~ステップ22)は、上述のように同期処理でもよいが、非同期処理でもよい。
次に、図13を参照して本実施形態のネットワークシステム100における、サービスサーバ310から保存サーバ220への接続処理の流れを説明する。
ゲートウェイ装置(GW)210の取得部211は、ユーザからの指示を受け、管理サーバ400に対し、設定情報を要求する(ステップS1101)。設定情報には、ゲートウェイ装置210が接続を確立したいサービスサーバ310(対象サーバ)を特定する情報を含む。
要求に応じ、管理サーバ400は、対象サーバの設定情報を要求元のゲートウェイ装置210に送信する(ステップS1102)。
対象サーバの設定情報を受信すると、ゲートウェイ装置210は、例えば、NAPT設定を更新する。例えば、ゲートウェイ装置210のNAPT更新アプリ532が、設定の変更を行う(ステップS1103)。
本例では、オンプレミス環境200に配置される保存サーバ220aが、アクセス禁止エリアから共有エリアに推移する。これにより、クラウド300の対象サーバからオンプレミス環境200の保存サーバ220aへアクセスが可能となる。
また、接続部212は、設定情報を用いて、当該対象サーバに接続要求を送信し(ステップS1104)、対象サーバとの間でVPN接続を確立する(ステップS1105)。
その後、送信部214は、対象サーバからデータアクセスのリクエストを受けると(ステップS1106)、保存サーバ220aにそのリクエストを中継し(ステップS1107、S1108)、受け取ったデータを対象サーバに送信する(ステップS1109,S1110)。
以上の仕組みにより、本実施形態のネットワークシステム100は、以下のようなメリットがある。
本実施形態のネットワークシステム100は、全通信が暗号化されているため、サービスサーバ310から保存サーバ220へのアクセスに際し、ユーザ認証、デバイス認証、サービス認証ができ、これらにより正当性の認証ができる。このため、本実施形態のネットワークシステム100は、安全に通信ができる。
また、Websocket over HTTPSを用いる場合、サービスサーバ310からゲートウェイ装置210へは、通常のhttps通信でアクセスできる。また、ゲートウェイ装置210からサービスサーバ310へも同様に、通常のhttps通信でアクセスできる。すなわち、本実施形態のネットワークシステム100は、サービスサーバ310またはゲートウェイ装置210から通信を開始し、ネットワーク側からオンプレミス環境200内のネットワークにアクセスする必要がない。このため、リモートデータサービス600などのリモートネットワークおよびオンプレミス環境200内のネットワーク(現場ネットワーク)それぞれとインターネットとの間にあるファイアウォールの変更が不要である。よって、本実施形態のネットワークシステム100は、容易に構築ができる。
さらに、リモートネットワークから現場ネットワークへ電話通信網などを使った閉域アクセスを利用せずにアクセスできる。
また、インターネット接続を利用できるため安価にネットワークシステムを構築できる。
さらに、アクセス単位でログを残すことができるため、セキュリティインシデント発生時に追跡可能性が高まる。
また、ゲートウェイ装置210を、例えば、Linux Box等のスペックの高くないハードウェアで提供できる。また、設定のためのユーザインタフェースも充実している。このため、IT担当者がいない中規模企業でも容易に設定ができ、複数のクラウドサービスに接続が可能となる。
以上により、本実施形態のネットワークシステム100によれば、オンプレミス環境200のゲートウェイ装置210と、データを扱うクラウドアプリケーションとを安全・安価に扱うことができる。
<変形例>
なお、データベース221から取得し、対象サーバに送信したデータを、ゲートウェイ装置210で、記憶してもよい。ゲートウェイ装置210は、例えば、ストレージ513に記憶する。
これにより、同じデータを、対象サーバが再度必要とした場合、オンプレミス環境200内で、ゲートウェイ装置210と保存サーバ220との間での通信が不要となる。すなわち、オンプレミス環境200内での通信量を低減できる。
また、データベース221から取得し、対象サーバに送信したデータを、対象サーバで、記憶してもよい。
これにより、同じデータを、対象サーバが再度必要とした場合、オンプレミス環境200とクラウド300との間の通信が不要となる。すなわち、ネットワークシステム100内での通信量を低減できる。
なお、上記実施形態では、ゲートウェイ装置210を介した保存サーバ220aと対象サーバとの間の通信は、VPNで接続される。しかし、これに限定されない。例えば、OpenFlow等を用い、SDN(Software Defined Network)で接続してもよい。なお、SDNは、ソフトウェアで仮想的なネットワーク環境を構築する技術である。これにより、ネットワークを柔軟に制御できる。
また、OpenFlowの代わりに、P4を用いてSDNを実現してもよい。この場合、ゲートウェイ装置210は、プロトコルの種類によらず、テーブルの定義やそれにマッチした時の処理などを自由に設定できる。
さらに、例えば、ゲートウェイ装置210は、図14に示すハードウェア構成を有する、PC900であってもよい。
図14は、PC(サーバ)のハードウェア構成図である。ここでは、サーバ900のハードウェア構成について説明する。
本図に示すように、サーバ900は、コンピュータによって構築され、CPU901、ROM902、RAM903、HD904、HDD(Hard Disk Drive)コントローラ905、ディスプレイ906、外部機器接続I/F(Interface)908、ネットワークI/F909、データバス910、キーボード911、ポインティングデバイス912、DVD-RW(Digital Versatile Disk Rewritable)ドライブ914、およびメディアI/F916を備える。
これらのうち、CPU901は、サーバ900全体の動作を制御する。ROM902は、IPL等のCPU901の駆動に用いられるプログラムを記憶する。RAM903は、CPU901のワークエリアとして使用される。HD904は、プログラム等の各種データを記憶する。HDDコントローラ905は、CPU901の制御にしたがってHD904に対する各種データの読み出しまたは書き込みを制御する。ディスプレイ906は、カーソル、メニュー、ウィンドウ、文字、または画像などの各種情報を表示する。外部機器接続I/F908は、各種の外部機器を接続するためのインタフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F909は、通信ネットワークを利用してデータ通信をするためのインタフェースである。データバス910は、CPU901等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード911は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス912は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ914は、着脱可能な記録媒体の一例としてのDVD-RW913に対する各種データの読み出しまたは書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F916は、フラッシュメモリ等の記録メディア915に対するデータの読み出しまたは書き込み(記憶)を制御する。
以上、具体例を参照しつつ本実施形態について説明した。しかし、本開示はこれらの具体例に限定されるものではない。これら具体例に、当業者が適宜設計変更を加えたものも、本開示の特徴を備えている限り、本開示の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。前述した各具体例が備える各要素は、技術的な矛盾が生じない限り、適宜組み合わせを変えることができる。
上記で説明した実施形態の各機能は、一または複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。
上記実施形態に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。
ある実施形態では、ゲートウェイ装置210は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。同様に、サービスサーバ310は、互いに通信するように構成された複数のコンピューティングデバイスを含むことができる。
なお、ゲートウェイ装置210は、通信機能を備えた装置であれば、図5に示したLinux Boxに限られない。
100:ネットワークシステム、
200:オンプレミス環境、210:ゲートウェイ装置、211:取得部、212:接続部、213:制限部、214:送信部、220:保存サーバ、220a:保存サーバ、220b:保存サーバ、220c:保存サーバ、221:データベース、231:通信制御部、232:アプリ制御部、233:ストレージ、
300:クラウド、310:サービスサーバ、311:アプリケーションロードバランサ、312:Webアプリケーション、313:データベース、320:操作端末、330:タイプリスト、331:テナントID、332:タイプID、333:タイプ名、334:変換プログラム、340:サービスリスト、341:テナントID、342:サービスID、343:サービス名、344:タイプ、345:宛先、350:サービスグループリスト、351:テナントID、352:サービスグループID、353:サービスグループ名、354:メンバーリスト、360:アクションリスト、361:テナントID、362:アクションID、363:アクション名、364:アクション、370:ポリシーリスト、371:テナントID、372:ポリシーID、373:ポリシー名、374:優先度、375:ユーザ、376:サービス、377:アクション、
400:管理サーバ、410:設定情報、411:アプリケーションロードバランサ、412:サブシステム、413:データベース、414:認証サブシステム、415:ポータルサブシステム、416:ログサブシステム、417:制御サブシステム、420:テナントリスト、421:テナントID、422:テナント名、430:ユーザリスト、431:テナントID、432:ユーザID、433:ユーザ名、434:表示名、435:パスワード、440:ユーザグループリスト、441:テナントID、442:ユーザグループID、443:ユーザグループ名、444:メンバーリスト、450:ゲートウェイ装置リスト、451:テナントID、452:デバイスID、453:UUID、454:デバイス名、455:更新情報、
511:CPU、512:RAM、513:ストレージ、514:デバイス、521:Linux共通部、522:送信フィルタ、523:NAPTモジュール、524:EthernetI/F、525:EthernetI/F(VPN用)、531:Linux基本コマンド群、532:NAPT更新アプリ、533:VPNClientアプリ、534:WebSocketアプリ、
600:リモートデータサービス、610:ポリシー登録画面、620:ポリシーリスト画面、630:エンドユーザログ画面、640:管理者ログ画面、
900:サーバ、901:CPU、902:ROM、903:RAM、904:HD、905:HDDコントローラ、906:ディスプレイ、908:外部機器接続I/F、909:ネットワークI/F、910:データバス、911:キーボード、912:ポインティングデバイス、914:RWドライブ、915:記録メディア、916:メディアI/F
特表2014-529111号公報

Claims (7)

  1. ゲートウェイ装置と、設定情報を管理する管理サーバと、サービスを提供するサービスサーバと、データを保存する保存サーバと、を有するネットワークシステムであって、
    前記ゲートウェイ装置は、
    前記管理サーバから前記設定情報を取得する取得部と、
    前記設定情報に基づいて前記サービスサーバとの接続を確立する接続部と、
    接続を確立した前記サービスサーバからの要求に応じて、前記保存サーバに保存される前記データを前記サービスサーバに対して送信する送信部と、を備えること
    を特徴とするネットワークシステム。
  2. 請求項1記載のネットワークシステムであって、
    前記ゲートウェイ装置は、前記設定情報に基づいて前記サービスサーバからのアクセスを制限する制限部をさらに備えること
    を特徴とするネットワークシステム。
  3. 請求項2記載のネットワークシステムであって、
    前記制限部は、前記ゲートウェイ装置に接続された複数の前記保存サーバのうち、前記アクセスを制限する前記保存サーバを前記設定情報に基づいて決定すること
    を特徴とするネットワークシステム。
  4. 請求項1記載のネットワークシステムであって、
    前記取得部は、ファームウェア情報を前記管理サーバからさらに取得し、
    前記接続部は、前記ゲートウェイ装置に接続された複数の前記サービスサーバのうち、前記設定情報と前記ファームウェア情報とを用いて接続可能なサービスサーバに対して接続を確立すること
    を特徴とするネットワークシステム。
  5. 請求項1記載のネットワークシステムであって、
    前記ゲートウェイ装置は、前記保存サーバと同一のネットワークに接続されることを特徴とする請求項1に記載のシステム。
  6. ゲートウェイ装置と、設定情報を管理する管理サーバと、サービスを提供するサービスサーバと、データを保存する保存サーバと、を有するネットワークシステムにおける接続方法であって、
    前記管理サーバから前記設定情報を取得する取得ステップと、
    前記設定情報に基づいて前記サービスサーバとの接続を確立する接続ステップと、
    接続を確立した前記サービスサーバからの要求に応じて、前記保存サーバに保存される前記データを前記サービスサーバに対して送信する送信ステップと、を含む接続方法。
  7. ゲートウェイ装置と、設定情報を管理する管理サーバと、サービスを提供するサービスサーバと、データを保存する保存サーバと、を有するネットワークシステムにおける前記ゲートウェイ装置のコンピュータを、
    前記管理サーバから前記設定情報を取得する取得手段、
    前記設定情報に基づいて前記サービスサーバとの接続を確立する接続手段、
    接続を確立した前記サービスサーバからの要求に応じて、前記保存サーバに保存される前記データを前記サービスサーバに対して送信する送信手段と、して機能させるためのプログラム。

JP2021048398A 2021-03-23 2021-03-23 ネットワークシステム、接続方法およびプログラム Pending JP2022147233A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021048398A JP2022147233A (ja) 2021-03-23 2021-03-23 ネットワークシステム、接続方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021048398A JP2022147233A (ja) 2021-03-23 2021-03-23 ネットワークシステム、接続方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2022147233A true JP2022147233A (ja) 2022-10-06

Family

ID=83463866

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021048398A Pending JP2022147233A (ja) 2021-03-23 2021-03-23 ネットワークシステム、接続方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2022147233A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7440177B1 (ja) 2023-02-06 2024-02-28 Necプラットフォームズ株式会社 サービス提供システム、ゲートウェイ装置、サービス提供システム構築方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7440177B1 (ja) 2023-02-06 2024-02-28 Necプラットフォームズ株式会社 サービス提供システム、ゲートウェイ装置、サービス提供システム構築方法およびプログラム

Similar Documents

Publication Publication Date Title
US8549613B2 (en) Reverse VPN over SSH
US8166538B2 (en) Unified architecture for remote network access
US7539769B2 (en) Automated deployment and management of network devices
RU2675147C1 (ru) Мультитуннельный адаптер виртуальной компьютерной сети
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
JP5323674B2 (ja) DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法
US8359377B2 (en) Interface for automated deployment and management of network devices
US11457008B2 (en) Steering traffic on a flow-by-flow basis by a single sign-on service
CN109617753B (zh) 一种网络平台管理方法、系统及电子设备和存储介质
US20230198987A1 (en) Systems and methods for controlling accessing and storing objects between on-prem data center and cloud
JP2021536620A (ja) ハイブリッドクラウド環境のためのパブリッククラウドユーザアカウントとパーソナルクラウドユーザアカウントとのバインド
JP2022147233A (ja) ネットワークシステム、接続方法およびプログラム
KR100779259B1 (ko) 네트워크 어플라이언스 상의 복수의 관리 서버들의 통합 세션 제어 방법 및 시스템
US20110276673A1 (en) Virtually extending the functionality of a network device
JP2012044601A (ja) 設定システム、設定方法、及び設定プログラム
AU2013300091B2 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
US11888898B2 (en) Network configuration security using encrypted transport
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
WO2015117380A1 (zh) 一种远程桌面协议网关进行路由交换的方法、设备及系统
WO2018007917A1 (en) Network scanning system
JP2017204890A (ja) ファイアウォール装置の制御装置及びプログラム
Elsayed An advanced solution to develop infrastructure of communication systems aiming at flexibility and scalability to accommodate the future growth of institutions
Cabianca Configuring Advanced Network Services
Sawant Ubuntu Server Cookbook