JP2024505527A - クラウドにおける統合ポリシー施行管理 - Google Patents

クラウドにおける統合ポリシー施行管理 Download PDF

Info

Publication number
JP2024505527A
JP2024505527A JP2023545960A JP2023545960A JP2024505527A JP 2024505527 A JP2024505527 A JP 2024505527A JP 2023545960 A JP2023545960 A JP 2023545960A JP 2023545960 A JP2023545960 A JP 2023545960A JP 2024505527 A JP2024505527 A JP 2024505527A
Authority
JP
Japan
Prior art keywords
traffic
cloud
policy
inspection
activity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023545960A
Other languages
English (en)
Inventor
リイ カンド,
カルティク サバンナ,
アミット ガネッシュ ダタール,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netskope Inc
Original Assignee
Netskope Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/163,411 external-priority patent/US11848949B2/en
Priority claimed from US17/163,416 external-priority patent/US11777993B2/en
Priority claimed from US17/163,408 external-priority patent/US11159576B1/en
Priority claimed from US17/163,415 external-priority patent/US12015619B2/en
Application filed by Netskope Inc filed Critical Netskope Inc
Publication of JP2024505527A publication Critical patent/JP2024505527A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本技術は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスを開示する。デバイスは、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するフィールドのスーパーセットのためのデータマネージャと、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信及び記憶し、それによって、受信するための手段と対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、手段と、を含む。また、クラウドベースの統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャも含まれる。【選択図】図1

Description

相互参照
本出願は、2021年7月23日に出願された「Computer-Based Policy Manager for Cloud-Based Unified Functions」と題する米国非仮特許出願第17/384,618号(代理人整理番号NSKO1035-2)(2021年1月30日に出願された「Unified Policy Enforcement Management in the Cloud」と題する米国特許出願第17/163,408号(代理人整理番号NSKO1035-1)の継続出願であり、現在は2022年10月26日に発行された米国特許第11,159,576号である)、
2021年1月30日に出願された「Dynamic Distribution of Unified Policies in a Cloud-Based Policy Enforcement System」と題する米国非仮特許出願第17/163,411号(代理人整理番号NSKO1041-1)、
2021年1月30日に出願された「Dynamic Routing of Access Request Streams in a Unified Policy Enforcement System」と題する米国非仮特許出願第17/163,415号(代理人整理番号NSKO1042-1)、並びに
2021年1月30日に出願された「Unified System for Detecting Policy Enforcement Issues in a Cloud-Based Environment」と題する米国非仮特許出願第17/163,416号(代理人整理番号NSKO1043-1)の利益を主張するものである。
援用
以下の材料は、本明細書に完全に記載されているかのように、全ての目的のために参照により援用される。
2019年3月1日に出願された「Load Balancing in a Dynamic Scalable Services Mesh」と題する米国特許出願第62/812,760号(代理人整理番号NSKO1025-1)の利益を主張する、2020年3月2日に出願された「Load Balancing in a Dynamic Scalable Services Mesh」と題する米国非仮特許出願第16/807,128号(代理人整理番号NSKO1025-3)、
2019年3月1日に出願された「Recovery from Failure in a Dynamic Scalable Services Mesh」と題する米国仮特許出願第62/812,791号(代理人整理番号NSKO1025-2)の利益を主張する、現在は2020年12月15日に発行された米国特許第10,868,845号である、2020年3月2日に出願された「Recovery From Failure in a Dynamic Scalable Services Mesh」と題する米国非仮特許出願第16/807,132号(代理人整理番号NSKO1025-4)、
現在は2016年2月23日に発行された米国特許第9,270,765号である、2014年3月5日に出願された「Security for Network Delivered Services」と題する米国非仮特許出願第14/198,508号(代理人整理番号NSKO1000-3)、
現在は2016年7月19日に発行された米国特許第9,398,102号である、2014年3月5日に出願された「Security for Network Delivered Services」と題する米国仮特許出願第14/198,499号(代理人整理番号NSKO1000-2)、
現在は2018年3月27日に発行された米国特許第9,928,377号である、2015年8月25日に出願された「Systems and Methods of Monitoring and Controlling Enterprise Information Stored on a Cloud Computing Service(CCS)」と題する米国非仮特許出願第14/835,640号(代理人整理番号NSKO1001-2)、
2016年3月11日に出願された「Systems and Methods of Enforcing Multi-Part Policies om Data-Deficient Transactions of Cloud Computing Services」と題する米国仮特許出願第62/307,305号(代理人整理番号NSKO1003-1)の利益を主張する、2016年12月2日に出願された「Middle Ware Security Layer for Cloud Computing Services」と題する米国非仮特許出願第15/368,246号(代理人整理番号NSKO1003-3)、
「Cloud Security for Dummies,Netskope Special Edition」by Cheng,Ithal,Narayanaswamy,and Malmskog,John Wiley & Sons,Inc.2015,
「Netskope Introspection」 by Netskope,Inc.,
「Data Loss Prevention and Monitoring in the Cloud」 by Netskope,Inc.,
「Cloud Data Loss Prevention Reference Architecture」 by Netskope,Inc.,
「The 5 Steps to Cloud Confidence」 by Netskope,Inc.,
「The Netskope Active Platform」 by Netskope,Inc.
「The Netskope Advantage:Three “Must-Have” Requirements for Cloud Access Security Brokers」 by Netskope,Inc.,
「The 15 Critical CASB Use Cases」 by Netskope,Inc.
「Netskope Active Cloud DLP」 by Netskope,Inc.,
「Repave the Cloud-Data Breach Collision Course」 by Netskope,Inc.、及び
「Netskope Cloud Confidence Index(商標)」 by Netskope,Inc.
開示される技術は、概して、ネットワーク配信サービスのためのポリシー施行に関し、具体的には、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供することに関する。
このセクションで議論される主題は、単にこのセクションにおけるその言及の結果として先行技術であると想定されるべきではない。同様に、このセクションで言及される問題、又は背景として提供される主題に関連する問題は、従来技術において以前に認識されていたと仮定されるべきではない。このセクションの主題は、異なるアプローチを表すにすぎず、それ自体、特許請求される技術の実装形態に対応することもできる。
コーポレート機能のためにクラウドサービスを使用することは一般的である。調査によると、エンタープライズワークロードの80%が2025年までにクラウド内に存在することが示唆されている。インターナショナルデータコーポレーションによれば、「パブリッククラウド情報テクノロジ(IT)インフラストラクチャへの支出は、2020年の第2の四半期に初めて従来のITインフラストラクチャへの支出を上回った」。例えば、エンタープライズ企業はしばしば、サービスを配信するためにコーポレートネットワーク内にサーバをインストールする代わりに、サービスとしてのソフトウェア(SaaS)ソリューションを利用している。
データは、多くのビジネスにとって生命線であり、効果的に管理され保護されなければならない。クラウドサービスの採用の増加に伴い、あらゆる規模の企業が、データを作成し、編集し、記憶するためにクラウドに依存するようになっている。このため、組織外の人々とデータを共有することを含め、ユーザが複数のデバイスからクラウドサービスにアクセスすることで、新たな課題が生じている。データが組織のコントロールから外れることは容易なことである。
顧客が顧客ブランチとデータセンタとの間でそれらのデータの全てをセキュアに送信できることを望んでいるため、企業は、任意のエンドポイントからSaaSアプリ、IaaS、及びウェブにアクセスするためにネットワークを横断する重要なデータをシームレスにセキュアにするという困難な課題に直面している。*全ての*データには、BitTorrent(BT)、ユーザデータグラムプロトコル(UDP)ストリーミング及びファイル転送プロトコル(FTP)などのポータルトラフィックのためのプロトコルを介したピアツーピアファイル共有(P2P)と、セッション開始プロトコル(SIP)及びSkypeを介したインスタントメッセージオーバーインターネットプロトコル(IP)及びモバイルフォンコーリングオーバーLTE(VoLTE)などの音声、ビデオ及びメッセージングマルチメディア通信セッションと、インターネットトラフィックと、クラウドアプリケーションデータと、汎用ルーティングカプセル化(GRE)データとが含まれる。セキュアに処理される必要があるデータのセグメントを共有するP2Pファイルのサイズの一例として、BitTorrentは、TVショー又はビデオクリップを含むデジタルビデオファイル、あるいは曲を含むデジタルオーディオファイルなどの大きいファイルを転送するための1つの一般的なプロトコルであり、常時1500万~2700万人の同時ユーザを有し、2013年現在、1億5000万人のアクティブユーザによって利用されていた。この数字に基づくと、毎月のBitTorrentユーザの総数は、10億の4分の1よりも多いと推定され、BitTorrentは、全世界の帯域幅の3.35%、すなわち、ファイル共有専用の総帯域幅の6%の半分よりも多くを担っている。
データソースの数が増えれば増えるほど、データが危険にさらされる可能性は何百通りにもなる。従業員が間違ったファイルを送信したり、締め切りを急ぐときに注意しなかったり、組織外の人とデータを共有したり共同作業したりする可能性がある。クラウドストレージのネイティブ同期クライアントも、組織にとって大きなリスクとなる。エンドポイントとクラウドサービスとの間で継続的な同期が行われるため、従業員は会社の秘匿情報が漏洩している可能性があることに気づかない。統合ポリシー施行機能の必要性を例示する1つのユースケースでは、企業は、従業員及び請負業者が音声通話を行い、ビデオ会議に参加することを許可したいが、一方で、従業員及び請負業者がSIP及びSkypeを介してLTE上でファイルを転送することを許可したくない場合がある。別の例では、企業は、そのユーザがビデオを視聴することを可能にし、ビデオコンテンツファイルをアップロード又はダウンロードすることができないようにしたい場合がある。
したがって、人々が、知的財産、非公開会計、戦略的計画、顧客リスト、顧客又は従業員に属する個人的に識別可能な情報などの機密情報を危険にさらすことなく、生産性を維持し、業務のための最良のツールを使用し続けることができるように、クラウドサービスの使用を促進することが不可欠である。
検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びに検査の機能を統合し、クラウドアプリ及びウェブトラフィックファイアウォールを超えて拡張して、SIPを介したSkype、音声、ビデオ、及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックだけでなく、BT、FTP、及びUDPベースのストリーミングプロトコルを介してP2Pトラフィックを安全に処理するクラウドベースのポリシー施行システムを提供する機会が生じる。
図面において、同様の参照文字は、概して、異なる図全体を通して同様の部分を指す。また、図面は、必ずしも縮尺通りではなく、代わりに、概して、開示される技術の原理を図示することに重点が置かれている。以下の説明では、開示される技術の種々の実装形態が、以下の図面を参照して説明される。

開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供するためのシステムのアーキテクチャレベル概略図を示す。 セキュアサービスの例示的な分散型ネットワークのブロック図を示す。 検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析の機能を統合するクラウドベースのポリシー施行システムを管理するための開示されたポリシー施行層を示す。 開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムのためのポリシー施行コンポーネントの包括的なスイート及び例示的な論理トラフィックフローを有する開示されるポリシー施行スタックを示す。 検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのポリシー施行システムにおける統合ポリシーを表現するための共通フィールドの例を示す。 検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムのためのポリシー指定を構成するために使用可能な代表的なユーザインターフェースを示す。 ポリシー施行機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシーマネージャデバイスのブロック図を示す。 パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを示すブロック図である。 開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化の機能を統合し、データ損失防止分析を実施するクラウドベースのポリシー施行システムについての例示的な論理トラフィックフローを示す。 ポリシーマネージャによってクラウドベースのポリシー施行システムに適用される、クラウドにおける統合セキュリティポリシー管理の代表的なコンピュータ実装方法を示しており、該ポリシー施行システムは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する。 検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムにポリシーマネージャによって適用される、クラウドベースのポリシー施行システムにおける統合施行ポリシーの動的分散のための代表的な方法を示す。 (a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する代表的な方法を示す。 (a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする代表的な方法を示す。 パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを実装するために使用され得るコンピュータシステムの簡略化ブロック図である。
以下の詳細な説明は、図面を参照して行われる。特許請求の範囲によって定義されるその範囲を限定するためではなく、開示される技術を例示するために、例示的な実装形態が説明される。当業者であれば、以下の説明に基づいて種々の同等の変形例を認識するであろう。
顧客トラフィックにポリシー施行サービスを適用するための既存のアプローチは、組織ネットワークの顧客ブランチと、インターネットを介してクラウド内でアクセスされるデータセンタとの間のデータフローの経路内のセキュリティデバイスポイントオブプレゼンス(PoP)を含んでいる。
各アプリケーションはまた、考慮する必要があるネットワーク性能に関する固有の要件を有する。例えば、ウェビナー(1対多)ストリーミングは、高帯域幅を必要とし、リアルタイムコラボレーションは、低レイテンシを必要とし、仮想プライベートクラウドにおいてホストされるバックエンドシステムは、非常に高い回復力及び冗長性要件を有し得る。更に問題を複雑にするのは、プライベートアプリケーションとは異なり、クラウドアプリケーションは、IPアドレス及びポートの予測可能なセットを有さず、絶えず変化及び進化しており、曖昧で絶えず変化するターゲットとなっていることである。
顧客は、マネージド(IT主導型)、アンマネージド(シャドウIT)、オンプレム、クラウド内のプライベートアプリ、サードパーティSaaSなどのアプリケーションの複雑な混合をどのようにサポートし、セキュアにするかを知りたいと望んでいる。組織は、BT、FTP、及びUDPベースのストリーミングプロトコルを介したP2Pトラフィック、並びにSIPを介したSkype、音声、ビデオ、及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックを安全に処理するために、クラウドアプリ及びウェブトラフィックファイアウォールを超えて拡張して、全ての顧客トラフィックにポリシー施行サービスを適用することができる単一のポリシー施行サービスを利用することを望んでいる。
ウェブセキュリティベンダは、自身のレガシーソリューションをパッケージ化してクラウドに移動させることによってこの問題に対処しようと試みてきたが、この手法は、SaaS及びIaaSの使用によって生じるポリシー施行の課題、又は現在動的ウェブが構築される方法には対処していない。この新しいネットワークビジョンを実現するために、ポリシー施行に対する基本的に異なるアプローチが必要とされている。このアプローチは、組織が、今日の次世代クラウドファーストエンタープライズのために最初から設計された統合クラウド及びウェブポリシー施行プラットフォームを用いて、これらの変更に直接対処することを可能にするものである。
一例では、ポリシー施行サービスは、組織の従業員及び請負業者に通話を許可する必要があるが、ファイルの転送は許可しない。このポリシーは、SIP制御チャネル及びデータチャネルを符号化することによってサービスが施行することができる。このポリシーの施行には、データがどこに転送されているかを予測する能力と、チャネル内の情報に基づいてそのチャネルを回避又はブロックする能力とを可能にするために、SIPプロキシ以上のものが必要となる。トラフィックを送信するストリーミングエージェントは、ポートのみを見るため、送信前に全ての利用可能なポートを知る必要がある。全てのプロトコルを処理する場合、ポリシー施行サービスは、非標準ポートを介してウェブトラフィックを捕捉することができるが、トラフィックを収集することは困難である。ファイルが転送されないように保護するための既存の回避策は、ポートへのアクセスをブロックすることであるが、ポリシー施行サービスは、ポートをブロックするのではなく、全てを安全にロードしたいのである。P2Pデータパケットは、最初に標準ポートを試し、次いで、しばしばフォールバックし、ポートからポートへホップし、これはまた、P2Pデータサービスが異なるポートへホップすることができるため、ポートをブロックすることの有用性も制限される。
セキュリティ管理者は、データセンタ及びヘッドクォーターにおいて、組織ネットワークの顧客ブランチの各々にポリシー施行サービスデバイスをインストールして、全てのトラフィックがセキュリティデバイスを通過するように、施行ポリシーを適用するための管理ネットワークを作成することができる。その場合、オンプレミスポリシー施行管理者は、フェイルオーバ管理を用いてデバイスの高い可用性を保証するために展開を管理し、パッチを用いてソフトウェアライフサイクルを管理し、ハードウェアライフサイクルに応答するためにアップグレードを管理する責任を負うことになる。ポリシー施行に対するこのハンズオン手法の問題として、会社規模が変化するときのスケーリングと、データロードが変動するときに十分なサービス可用性を保証するためのロードバランシングとが挙げられる。
開示される技術は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するポリシーマネージャを用いて、クラウドにおける統合ポリシー管理、並びにクラウドベースのポリシー施行システムにおける統合ポリシーの動的分散を提供する。開示されるポリシー施行サービスプラットフォームは、組織のためのカスタマイズされたセキュリティサービス及びポリシーを管理し、単一障害点を回避するために、水平にかつ一様にスケーリングされる。
本技術はまた、クラウドベースの環境におけるポリシー施行問題を検出するためのアクセス要求ストリームの動的ルーティング及び統合システムを開示する。
頭字語
本開示で使用される頭字語は、それらが最初に使用される際に特定される。これらの頭字語は、標準文書でしばしば使用される専門用語である。これらの用語が、当技術分野で使用される意味とは明確かつ明確に異なる意味で使用される場合を除いて、セキュリティシステム環境で見受けられる意味を採用する。読者の便宜のために、それらの多くをここに列挙する(表1A、及び、表1B)。
Figure 2024505527000002
Figure 2024505527000003
開示された技術を使用するセキュリティサービスの顧客は、どのポリシー施行サービスが異なるタイプのテナントデータに適用されるかを指定し、その組織のデバイスを介して送信されるデータのセキュリティポリシーをカスタマイズすることができる。本出願の文脈では、ポリシー施行及びセキュリティは、ほとんどの文脈で交換可能に使用される。検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムを管理するための例示的なシステムを次に説明する。
アーキテクチャ
図1は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供するためのシステム100のアーキテクチャレベル概略図を示している。図1はアーキテクチャ図であるため、説明をより明確にするために、一部の詳細は意図的に省略されている。図1の説明は以下のように構成される。最初に、図の要素について説明し、その後、それらの相互接続について説明する。次に、システムにおける要素の使用をより詳細に説明する。
システム100は、組織ネットワーク102と、ネットスコープポリシーマネージャ157及びネットスコープクラウドアクセスセキュリティブローカ(N-CASB)155を有するセキュリティスタック153を有する統合クラウドベースのセキュリティシステム805を有するデータセンタ152と、クラウドベースのサービス108とを含む。システム100は、セキュリティサービスプロバイダの、マルチテナントネットワークとも称される複数の加入者のための複数の組織ネットワーク104と、複数のデータセンタ154とを含む。組織ネットワーク102は、コンピュータ112a~n、タブレット122a~n、携帯電話132a~n、及びスマートウォッチ142a~nを含む。別の組織ネットワークでは、組織ユーザは追加のデバイスを利用することができる。クラウドサービス108は、クラウドベースのホスティングサービス118、ウェブ電子メールサービス128、ビデオ、メッセージング、及び音声通話サービス138、ストリーミングサービス148、ファイル転送サービス158、並びにクラウドベースのストレージサービス168を含む。データセンタ152は、公共ネットワーク145を介して組織ネットワーク102及びクラウドベースのサービス108に接続する。クラウドサービスコンシューマとクラウドサービスプロバイダとの間のN-CASB(ネットスコープクラウドアクセスセキュリティブローカ)155は、クラウドベースのリソースがアクセスされるときにエンタープライズセキュリティポリシーを組み合わせて差し挟む。セキュリティスタック153を有する統合クラウドベースのセキュリティシステム805は、本文書では、ポリシー施行スタックを有する統合クラウドベースポリシー施行システムとも称される。
図1の説明を続けると、開示される統合クラウドベースのセキュリティシステム805は、後に図8に関して詳細に説明され、ネットスコープポリシーマネージャ157は、後に図7に関して詳細に説明される。強化されたネットスコープクラウドアクセスセキュリティブローカ(N-CASB)155は、認可された及び認可されていないクラウドアプリにおけるアクセス及びアクティビティを統制し、機密データを保護し、その損失を防止し、内部及び外部の脅威から保護することに加えて、BT、FTP及びUDPベースのストリーミングプロトコルを介したP2Pトラフィック、並びにSIPを介したSkype、音声、ビデオ及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックを安全に処理する。N-CASB155は、システムのユーザを識別し、アプリのポリシーを設定するアクティブアナライザ165及び内部検査アナライザ175を含む。内部検査アナライザ175は、静止しているデータを検査するためにクラウドベースのサービス108と直接対話する。ポーリングモードでは、内部検査アナライザ175は、APIコネクタを使用してクラウドベースのサービスを呼び出して、クラウドベースのサービスに存在するデータをクロールし、変更をチェックする。一例として、Box(商標)ストレージアプリケーションは、Boxフォルダの監査ログを含む、全てのユーザのための組織のアカウントへの可視性を提供するBox Content API(商標)と称される管理APIを提供し、この管理APIを検査して、証明書が危険にさらされた特定の日付の後に機密ファイルがダウンロードされたかどうかを判定することができる。内部検査アナライザ175は、このAPIをポーリングして、アカウントのいずれかに行われた変更を発見する。変更が発見された場合、Box Events API(商標)は、詳細なデータ変更を発見するためにポーリングされる。コールバックモデルでは、内部検査アナライザ175は、任意の重要なイベントについて通知されるように、APIコネクタを介してクラウドベースのサービスに登録する。例えば、内部検査アナライザ175は、Microsoft Office365 Webhooks API(商標)を使用して、ファイルが外部で共有されたときを学習することができる。内部検査アナライザ175はまた、ディープAPI検査(DAPII)、ディープパケット検査(DPI)、及びログ検査能力を有し、クラウドベースのサービス内の残りのファイルに異なるコンテンツ検査技術を適用して、ストレージ186に記憶されたポリシー及びルールに基づいて、どの文書及びファイルが機密であるかを判定するDLPエンジンを含む。内部検査アナライザ175による検査の結果は、ユーザごとのデータ及びファイルごとのデータの生成である。
図1の説明を更に続けると、N-CASB155は、抽出エンジン171、分類エンジン172、セキュリティエンジン173、管理プレーン174、及びデータプレーン180を含むモニタ184を更に含む。また、N-CASB155に含まれるストレージ186は、コンテンツポリシー187、コンテンツプロファイル188、コンテンツ検査ルール189、エンタープライズデータ197、クライアントの情報198、及びユーザ識別情報199を含む。エンタープライズデータ197は、知的財産、非公開会計、戦略的計画、顧客リスト、顧客又は従業員に属する個人的に識別可能な情報(PII)、患者健康データ、ソースコード、営業秘密、予約情報、パートナー契約、コーポレート計画、合併及び取得文書、並びに他の秘匿データを含むが、それらに限定されない、組織データを含むことができる。特に、「エンタープライズデータ」という用語は、文書、ファイル、フォルダ、ウェブページ、ウェブページの集合、画像、又は任意の他のテキストベースの文書を指す。ユーザ識別情報は、トークン、UUIDなどの一意の識別子、公開キー証明書などの形態で、ネットワークセキュリティシステムによってクライアントデバイスに提供されるインジケータを指す。場合によっては、ユーザ識別情報は、特定のユーザ及び特定のデバイスにリンクされ得、したがって、同じ個人が、そのモバイルフォンとコンピュータとで異なるユーザ識別情報を有する場合がある。ユーザ識別情報は、エントリ又はコーポレート識別情報ディレクトリにリンクすることができるが、それとは異なる。一実装形態では、ネットワークセキュリティによって署名された暗号証明書がユーザ識別情報として使用される。他の実装形態では、ユーザ識別情報は、ユーザに対してのみ一意であり、デバイスにわたって同一であり得る。
実施形態は、シングルサインオン(SSO)ソリューション及び/又はコーポレート識別情報ディレクトリ、例えば、MicrosoftのActive Directoryと相互運用することもできる。かかる実施形態は、カスタム属性を使用して、例えば、グループ又はユーザレベルのいずれかにおいて、ポリシーがディレクトリ内で定義されることを可能にし得る。システムとともに構成されるホストサービスは、システムを介したトラフィックを必要とするようにも構成される。これは、ホストされたサービスにおけるIP範囲制限をシステムのIP範囲に設定すること、及び/又はシステムとSSOシステムとの間の統合を通じて行うことができる。例えば、SSOソリューションとの統合は、サインオンを認可する前にクライアントプレゼンス要件を施行することができる。他の実施形態は、SaaSベンダとの「プロキシアカウント」、例えば、サービスにサインインするための唯一のクレデンシャルを保持するシステムによって保持される専用アカウントを使用してもよい。他の実施形態では、クライアントは、ログインをホストされたサービスに渡す前に、クレデンシャル上の署名を暗号化することができ、これは、ネットワーキングセキュリティシステムがパスワードを「所有する」ことを意味する。
ストレージ186は、マルチテナントデータベースシステム(MTDS)などの多くの方法で実装され得るオンデマンドデータベースサービス(ODDS)を形成するために、1つ以上のテナントからの情報を共通データベースイメージのテーブルに記憶することができる。データベース画像は、1つ以上のデータベースオブジェクトを含むことができる。他の実装形態では、データベースは、リレーショナルデータベース管理システム(RDBMS)、オブジェクト指向データベース管理システム(OODBMS)、分散ファイルシステム(DFS)、ノースキーマデータベース、又は任意の他のデータ記憶システム若しくはコンピューティングデバイスであり得る。一部の実装形態では、収集されたメタデータは、処理及び/又は正規化される。場合によっては、メタデータは構造化データを含み、機能はクラウドサービス108によって提供される特定のデータ構造をターゲットとする。フリーテキストなどの非構造化データもまた、クラウドサービス108によって提供され、クラウドサービス108をターゲットにすることができる。構造化データと非構造化データの両方が、内部検査アナライザ175によって集約されることが可能である。例えば、アセンブルされたメタデータは、JSON(JavaScriptオブジェクト表記)、BSON(バイナリJSON)、XML、Protobuf、Avro、又はThriftオブジェクトのような半構造化データフォーマットで記憶され、これは、ストリングフィールド(又は列)と、数、ストリング、アレイ、オブジェクトなどのような潜在的に異なるタイプの対応する値とからなる。他の実装形態では、JSONオブジェクトは、ネストされることができ、フィールドは、多値、例えば、アレイ、ネストされたアレイなどであり得る。これらのJSONオブジェクトは、Apache Cassandra(商標)、GoogleのBigtable(商標)、HBase(商標)、Voldemort(商標)、CouchDB(商標)、MongoDB(商標)、Redis(商標)、Riak(商標)、Neo4j(商標)などのようなスキーマレス又はNoSQLキー値メタデータストア178に記憶され、これは、SQLのデータベースと同等のキースペースを使用して構文解析されたJSONオブジェクトを記憶する。各キースペースは、テーブルに類似し、行及び列のセットからなる列ファミリに分割される。
一実装形態では、内部検査アナライザ175は、着信メタデータを分析し、受信されたデータ内のキーワード、イベント、ユーザID、ロケーション、人口統計、ファイルタイプ、タイムスタンプなどを識別するメタデータパーサ(明瞭性を高める省略されている)を含む。構文解析は、テキストのストリームをキーワード、又は「目標設定可能パラメータ」と称される他の意味のある要素に分解し、分析するプロセスである。一実装形態では、ターゲットパラメータのリストが、例えば、マッチングエンジン(図示せず)による構文解析又はテキストマイニングなどの更なる処理のために入力される。構文解析は、利用可能なメタデータから意味を抽出する。一実装形態では、トークン化は、メタデータのストリーム内の粒状要素(例えば、トークン)を識別するための構文解析の第1のステップとして動作するが、構文解析は次いで、トークンが見つかったコンテキストを使用して、参照されている情報の意味及び/又は種類を決定することに進む。内部検査アナライザ175によって分析されたメタデータは同種ではない(例えば、多くの異なるフォーマットで多くの異なるソースが存在する)ため、特定の実装形態は、クラウドサービスごとに少なくとも1つのメタデータパーサを採用し、場合によっては2つ以上のメタデータパーサを採用する。他の実装形態では、内部検査アナライザ175は、モニタ184を使用して、クラウドサービスを検査し、コンテンツメタデータをアセンブルする。1つのユースケースでは、機密文書の識別は、文書の以前の検査に基づく。ユーザは、文書を機密として手動でタグ付けすることができ、この手動タグ付けは、クラウドサービス内の文書メタデータを更新する。次いで、公開されたAPIを使用してクラウドサービスから文書メタデータを取り出し、それらを機密性の指標として使用することが可能である。
図1の説明を更に続けると、システム100は、任意の数のクラウドベースのサービス108、すなわち、ポイントツーポイントストリーミングサービス、ホストサービス、クラウドアプリケーション、クラウドストア、クラウドコラボレーション及びメッセージングプラットフォーム、並びにクラウド顧客関係管理(CRM)プラットフォームを含むことができる。サービスには、BitTorrent(BT)、ユーザデータグラムプロトコル(UDP)ストリーミング及びファイル転送プロトコル(FTP)などのポータルトラフィックのためのプロトコルを介したピアツーピアファイル共有(P2P)と、セッション開始プロトコル(SIP)及びSkypeを介したインスタントメッセージオーバーインターネットプロトコル(IP)及びモバイルフォンコーリングオーバーLTE(VoLTE)などの音声、ビデオ及びメッセージングマルチメディア通信セッションとが含まれ得る。サービスは、インターネットトラフィック、クラウドアプリケーションデータ、及び汎用ルーティングカプセル化(GRE)データを処理することができる。ネットワークサービス又はアプリケーションは、ウェブベース(例えば、ユニフォームリソースロケータ(URL)を介してアクセスされる)又は同期クライアントなどのネイティブとすることができる。例としては、SaaS(software-as-a-service)提供物、PaaS(platform-as-a-service)提供物、及びIaaS(infrastructure-as-a-service)提供物、並びにURLを介して公開される内部エンタープライズアプリケーションが挙げられる。今日の一般的なクラウドベースのサービスの例として、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Yammer(商標)、Jive(商標)、及びConcur(商標)が挙げられる。
システム100の要素の相互接続において、ネットワーク145は、コンピュータ112a~n、タブレット122a~n、携帯電話132a~n、スマートウォッチ142a~n、クラウドベースのホスティングサービス118、ウェブ電子メールサービス128、ビデオ、メッセージング、及び音声通話サービス138、ストリーミングサービス148、ファイル転送サービス158、クラウドベースのストレージサービス168、並びにN-CASB155を通信で結合する。通信経路は、パブリック及び/又はプライベートネットワーク上のポイントツーポイントであり得る。通信は、種々のネットワーク、例えば、プライベートネットワーク、VPN、MPLS回路、又はインターネットを経由して生じることができ、適切なアプリケーションプログラムインターフェース(API)及びデータ交換フォーマット、例えば、REST、JSON、XML、SOAP、及び/又はJMSを使用することができる。全ての通信は暗号化することができる。この通信は、概して、EDGE、3G、4G LTE、Wi-Fi、及びWiMAXなどのプロトコルを介して、ローカルエリアネットワーク(LAN)、WAN(広域通信網)、電話ネットワーク(パブリック交換電話網(PSTN))、セッション開始プロトコル(SIP)、無線ネットワーク、ポイントツーポイントネットワーク、スター型ネットワーク、トークンリングネットワーク、ハブネットワーク、モバイルインターネットを含むインターネットなどのネットワークを介する。加えて、ユーザ名/パスワード、OAuth、Kerberos、SecureID、デジタル証明書などの種々の認可及び認証技術が、通信をセキュアにするために使用され得る。
図1のシステムアーキテクチャの説明を更に続けると、N-CASB155は、互いに通信するように結合された1つ以上のコンピュータ及びコンピュータシステムを含むことができるモニタ184及びストレージ186を含む。それらはまた、1つ以上の仮想コンピューティング及び/又はストレージリソースであり得る。例えば、モニタ184は、1つ以上のAmazon EC2インスタンスとすることができ、ストレージ186は、Amazon S3(商標)ストレージとすることができる。直接物理コンピュータ又は従来の仮想マシン上でN-CASB155を実装するのではなく、Salesforce製のRackspace、Heroku、又はForce.comなどの他のサービスとしてのコンピューティングプラットフォームを使用することができる。加えて、セキュリティ機能を実装するために、1つ以上のエンジンを使用することができ、1つ以上のポイントオブプレゼンス(POP)を確立することができる。図1のエンジン又はシステムコンポーネントは、種々のタイプのコンピューティングデバイス上で実行されるソフトウェアによって実装される。例示的なデバイスは、ワークステーション、サーバ、コンピューティングクラスタ、ブレードサーバ、及びサーバファーム、又は任意の他のデータ処理システム若しくはコンピューティングデバイスである。エンジンは、異なるネットワーク接続を介してデータベースに通信可能に結合することができる。例えば、抽出エンジン171は、ネットワーク145(例えば、インターネット)を介して結合することができ、分類エンジン172は、直接ネットワークリンクを介して結合することができ、セキュリティエンジン173は、更に異なるネットワーク接続によって結合することができる。開示される技術に関して、データプレーン180のPOPは、クライアントの構内でホストされるか、又はクライアントによって制御されるバーチャルプライベートネットワーク内に位置する。
N-CASB155は、管理プレーン174及びデータプレーン180を介して種々の機能を提供する。一実装形態によれば、データプレーン180は、抽出エンジン171、分類エンジン172、及びセキュリティエンジン173を含む。制御プレーンなどの他の機能も提供することができる。これらの機能は、クラウドサービス108と組織ネットワーク102との間の安全なインターフェースを集合的に提供する。N-CASB155を説明するために「ネットワークセキュリティシステム」という用語を使用するが、より一般的には、システムは、アプリケーションの可視性及び制御機能並びにセキュリティを提供する。一例では、3万5000のクラウドアプリケーションが、組織ネットワーク102内のコンピュータ112a~n、タブレット122a~n、携帯電話132a~n、及びスマートウォッチ142a~nによって使用されているサーバと交差するライブラリ内に常駐する。
一実装形態によれば、組織ネットワーク102内のコンピュータ112a~n、タブレット122a~n、携帯電話132a~n、及びスマートウォッチ142a~nは、コンテンツポリシー187を定義及び管理するために、N-CASB155によって提供されるセキュアなウェブ配信インターフェースを有するウェブブラウザを備えた管理クライアントを含む。N-CASB155はマルチテナントシステムであり、したがって、一部の実装形態によれば、管理クライアントのユーザは、その組織に関連付けられたコンテンツポリシー187のみを変更することができる。一部の実装形態では、ポリシーをプログラム的に定義及び/又は更新するためのAPIが提供され得る。かかる実装形態では、管理クライアントは、更新をプッシュし、かつ/又はコンテンツポリシー187に対する更新のプル要求に応答する、1つ以上のサーバ、例えば、Microsoft Active Directoryなどのコーポレート識別情報ディレクトリを含むことができる。両方のシステムを共存させることができ、例えば、一部の企業は、コーポレート識別情報ディレクトリを使用して組織内のユーザの識別を自動化すると同時に、ウェブインターフェースを使用してユーザのニーズに合わせてポリシーを調整することができる。管理クライアントには役割が割り当てられ、N-CASB155データへのアクセスは、例えば読み取り専用/読み取り書き込みなどの役割に基づいて制御される。
ユーザごとのデータ及びファイルごとのデータを定期的に生成し、それをメタデータストア178内に持続させることに加えて、アクティブアナライザ及び内部検査アナライザ(図示せず)はまた、クラウドトラフィックに対してセキュリティポリシーを施行する。アクティブアナライザ及び内部検査アナライザの機能に関する更なる情報については、例えば、同一出願人による米国特許第9,398,102号(NSKO1000-2)、同第9,270,765号(NSKO1000-3)、同第9,928,377号(NSKO1001-2)、及び米国特許出願第15/368,246号(NSKO1003-3)、Cheng,Ithal,Narayanaswamy and Malmskog Cloud Security For Dummies,Netskope Special Edition,John Wiley & Sons,Inc.2015、 “Netskope Introspection” by Netskope,Inc.、 “Data Loss Prevention and Monitoring in the Cloud” by Netskope,Inc.、 “Cloud Data Loss Prevention Reference Architecture” by Netskope,Inc.、 “The 5 Steps to Cloud Confidence” by Netskope,Inc.、 “The Netskope Active Platform” by Netskope,Inc.、 “The Netskope Advantage:Three “Must-Have” Requirements for Cloud Access Security Brokers” by Netskope,Inc.、 “The 15 Critical CASB Use Cases” by Netskope,Inc.、 “Netskope Active Cloud DLP” by Netskope,Inc.、 “Repave the Cloud-Data Breach Collision Course” by Netskope,Inc.、及び “Netskope Cloud Confidence Index(商標)” by Netskope,Inc.を参照することができ、これらは、本明細書に完全に記載されているかのように、あらゆる目的のために参照により援用される。
システム100に関して、制御プレーンは、管理プレーン174及びデータプレーン180とともに、又はその代わりに使用されてもよい。これらのグループ間の機能の特定の分割は、実装形態上の選択である。同様に、機能は、ローカル性、性能、及び/又はセキュリティを改善するために、一部のポイントオブプレゼンス(POP)にわたって高度に分散され得る。一実装形態では、本明細書で説明されるように、データプレーンは、構内又はバーチャルプライベートネットワーク上にあり、ネットワークセキュリティシステムの管理プレーンは、クラウドサービス内に、又はコーポレートネットワークとともに位置する。別のセキュアなネットワーク実装形態では、POPは別様に分散され得る。
システム100は、特定のブロックを参照して本明細書で説明されるが、ブロックは、説明の便宜のために定義され、構成部品の特定の物理的配置を必要とすることを意図するものではないことを理解されたい。更に、ブロックは、物理的に別個のコンポーネントに対応する必要はない。物理的に別個のコンポーネントが使用される限りにおいて、コンポーネント間の接続は、必要に応じて有線及び/又は無線とすることができる。異なる要素又はコンポーネントは、単一のソフトウェアモジュールに組み合わせることができ、複数のソフトウェアモジュールは、同じプロセッサ上で実行することができる。
更に、この技術は、互いに協働し通信する2つ以上の別個の異なるコンピュータ実装システムを使用して実装することができる。この技術は、プロセス、方法、装置、システム、デバイス、コンピュータ可読命令若しくはコンピュータプログラムコードを記憶するコンピュータ可読記憶媒体などのコンピュータ可読媒体として、又はコンピュータ可読プログラムコードがその中に具現化されたコンピュータ使用可能媒体を備えるコンピュータプログラム製品としてなど、多数の方法で実装され得る。開示される技術は、Oracle(商標)互換データベース実装、IBM DB2 Enterprise Server(商標)互換リレーショナルデータベース実装、MySQL(商標)若しくはPostgreSQL(商標)互換リレーショナルデータベース実装、又はMicrosoft SQL Server(商標)互換リレーショナルデータベース実装、又はVampire(商標)互換非リレーショナルデータベース実装、Apache Cassandra(商標)互換非リレーショナルデータベース実装、BigTable(商標)互換非リレーショナルデータベース実装、又はHBase(商標)若しくはDynamoDB(商標)互換非リレーショナルデータベース実装などのNoSQL非リレーショナルデータベース実装のようなデータベースシステム又はリレーショナルデータベース実装を含む任意のコンピュータ実装システムとの関連で実装することができる。加えて、開示される技術は、MapReduce(商標)、バルク同期プログラミング、MPIプリミティブなどのような異なるプログラミングモデル、又はAmazon Elasticsearch Service(商標)及びAmazon Kinesis(商標)、Apache Storm(商標)、Apache Spark(商標)、Apache Kafka(商標)、Apache Flink(商標)、Truviso(商標)、IBM Info-Sphere(商標)、Borealis(商標)及びYahoo!S4(商標)を含むAmazon Web Services(AWS)(商標)のような異なるスケーラブルバッチ及びストリーム管理システムを使用して実装することができる。
図2は、データセンタのためのセキュアサービスの分散型ネットワークの例示的なブロック図を示している。ネットワークは、セキュリティヘッドクォーター272と、ポイントオブプレゼンス(POP)222、226、242、246、及び256と、パブリッククラウド/仮想プライベートクラウド202と、プライベートデータセンタ208と、リモートユーザ228、238と、マルチユーザ集合体であるブランチオフィス252、254、248、266とを含む。セキュリティヘッドクォーター272は、セキュリティアソシエーション(SA)のためにIPsecプロトコルを利用し、サーバ282と、エンドデバイス264、274、284、及び294を接続するネットワークデバイス292とを含み、該エンドデバイスは、コンピュータ、タブレット、携帯電話、スマートウォッチ、又は本明細書に明示的に列挙されていない他のデバイスのいずれかとすることができる。ポイントオブプレゼンス(POP)222、226、242、246、及び256は、サーバ又はネットワーク機器が存在する場所を指す、データセンタを実装する。POPは、ノードのクラスタ又はセットと称されることがあり、ノードは、複数のポッドを実行する物理マシンを指す。一実装形態では、1つのノードが2つから3つのポッドを実行し、各ポッドは、プロセスを実行するコンテナのセットを含む。一実装形態では、3~4つのコンテナがポッド内で稼働し、単一のプロセスがコンテナ内で稼働する。各プロセスは、スレッドのセットを実行し、スレッドごとに1つのコアがプロビジョニングされることが多い。別の例示的な場合では、異なる数のポッド及びコンテナ及びプロセスを有する構成を、分散システム内に構成することができる。図2の例では、マイクロPop A222は、IPSecを介してパブリッククラウド又は仮想プライベートクラウド202に接続し、POP B226及びPOP E242に接続する。POP B226は、プライベートデータセンタ208へのIPSecアクセスを含み、POP C246及びPOP E242も含むノードのセットのうちの1つである。POP C246は、SSL/IPSecを介して、リモートユーザ228、238及びブランチサービス248と接続する。POP D256は、マイクロPOP C246、マイクロPOP E242、及びヘッドクォーター272を有するクラスタ内のノードである。POP D256はまた、IPSecを介して接続するブランチサービス266を含む。
図3は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析の機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシー施行層を示している。開示されるポリシー施行層は、一貫した可視性及びセキュリティポリシーの施行を配信することによって、エンタープライズデータセンタの外側を進行するトラフィックの懸念、及びユーザがコーポレートファイアウォールの背後にいるかどうかに対処する。クラウドベースのポリシー施行システムは、インターネット、クラウドアプリケーション、又はデータセンタへの途中のトラフィックのためのネットワーキング及びセキュリティサービスの配信を含む。ユーザがアプリケーションにアクセスするとき、パケットは、セキュアアクセスサービスエッジ(SASE)における入口点と、SASE出力出口点とを有する。
パケットは、システム302内の複数の論理コンポーネント及び境界を通って流れ、複数のセキュリティ機能が、識別情報ベースのセキュアなアクセスを提供し、クラウドベースのセキュリティサービスを配信する。データのストリームは、ブランチサーバ304から、データセンタ305から、又はリモートユーザ306から、POP302内のIPSec終端315に到着することができる。ユーザは、オフィス又は自宅などの一部の異なる場所のうちのいずれかにいる可能性があり、クラウドベースのアプリケーションを使用する必要がある。その場合、アプリケーションにアクセスするためのユーザの要求は、ローカルエリアネットワークをネットワークのエッジまで横断する。ユーザの在宅勤務のために、一例では、ユーザ及びネットワークエッジは同じ建物内にある。
図3の説明を続けると、IPSec終端315は、サービスルックアップ324のためにネットワーク層314にルーティングし、ネットワーク層314は、サービス層334のためのサービスルックアップ324の結果に基づいて、全てのプロトコルのための全てのトラフィックをファイアウォール344にルーティングし、セキュアパケットをインターネット308にルーティングし、他のポイントオブプレゼンス(POP)328との間でルーティングする。ファイアウォール344は、ユーザのポリシー及びアクセス制御364を決定するためにアプリケーションID354及びユーザID356を使用して、ネットワークマスクのためのIPアドレス及びその関連するルーティングプレフィックス(CIDR)のコンパクトな表現を介して表現可能なIP範囲を利用し、パケットストリームを侵入防止システム(IPS)アンチウイルス(AV)374にマッピングする。サービス層334は、全てのウェブアプリのためのセキュアウェブゲートウェイ(SWG)と、クラウドアプリのためのCASBと、データ損失防止(DLP)384とを含み、それによって、単一ゲートウェイを使用して、ネットワークセキュリティを達成する。
図4は、開示される技術の一実装形態について、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのセキュリティシステムのためのポリシー施行コンポーネントの包括的なスイート及び例示的な論理トラフィックフローを有する開示されるセキュリティスタックを示している。セキュリティスタック153層は、一実施形態では、ネットワークファイアウォール455、appファイアウォール445、セキュアウェブゲートウェイ(SWG)176、及びN-CASB155を含む。ネットワークファイアウォール455は、IPパケット及び接続を分析して、異常を検出し、パケットヘッダに基づいてポリシーを適用する。appファイアウォール445は、アプリケーションプロトコル及びデータのストリームを分析して、HTTP/S、並びにサーバメッセージブロック(SMB)、ファイル転送プロトコル(FTP)、簡易メール転送プロトコル(SMTP)、及びドメイン名サービス(DNS)などの他のネットワークプロトコルのプロトコル異常を検出する。SWG176は、ウェブ操作を分析して、データの異常を検出し、認可されていない危険なウェブサイトへのアクセスを防止する。
N-CASB155は、ログイン、ファイル転送及び共有のようなウェブアプリケーション及び動作を制御し、データ及びアクセスにおける異常を検出することができる。セキュリティ機能は、アクセス制御401、リスクアセスメント402、マルウェア検出403、侵入防止システム(IPS)404、データ損失防止(DLP)406、フィンガープリンティング407、及び挙動分析408を含み、追加のポリシー施行特徴を含むことができる。アクセス制御401は、任意のタイプのトラフィックに適用することができ、複数の基準に基づき得る。リスクアセスメント402は、アクセスされた宛先に基づいて全てのトラフィックに適用される。マルウェア検出403は、検査可能で復号化されたトラフィックのセキュリティを評価する。IPS404は、復号化されたトラフィック及び復号化されていないトラフィックに適用され、異常又は誤った方向に向けられたパケットフロー/メッセージ交換のシグネチャを評価する。DLP406は、復号化されたファイルに対してセキュリティ機能を実施する。フィンガープリンティング407は、復号化されたプロトコルに対してファイルレベルハッシュを実行し、挙動分析408は、セッションに対して収集することができる情報の量に基づいて変化する任意のトラフィックを分析する。
図4の説明を続けると、トラフィックは、クライアント472からセキュリティスタック153の層を通ってサーバ478まで上下に移動する。各セキュリティ層は、セキュリティポリシーの種々の実装形態において、セキュリティスタック153を上昇する途中で、又は上位層がトラフィックに対して何らかの処理を行った後で、したがって下降する途中で、最初にトラフィックを見たときに、問題を検出し、ポリシーを施行することができる。例えば、appファイアウォール445は、SWG176/N-CASB155又はSWG176/N-CASB155において、クライアント472とサーバ478との間でルーティングされたトラフィックに対するHTTP/Sプロトコル問題を検出することができる。
更に図4の説明を続けると、応答トラフィックは、セキュリティスタック153の層を通ってサーバ478からクライアント472に流れ、セキュリティ層ネットワークファイアウォール455、appファイアウォール445、SWG176、及びN-CASB155において問題を検出し、ポリシーを実施するためにハンドオフされる。ポリシー施行は、セキュリティスタック153がサーバ478から応答を受信したときに適用することができる。一例では、appファイアウォール445は、応答を制限状態にさせ得る、サーバ478から返された悪意のあるコンテンツを発見し得る。同様に、N-CASB155は、ダウンロードアクティビティに応答することになるファイルダウンロード内の機密データを検出することができる。すなわち、着信アクセス要求は、全てのサービスチェックを通過することができるが、応答は、チェックに失敗し、制限的アクションを引き起こす可能性がある。特定のセキュリティ層によってのみ発見され得る特定の情報は、セキュリティ機能のチェーンに沿って渡され、その結果、ポリシー基準マッチングの完全なセットが完了され得るときはいつでも、任意の層において施行が行われ得る。例えば、あるトラフィックのユーザ情報が、そのトラフィックをプロキシし、復号化した後にN-CASB155によってのみ発見され得る場合、ネットワークファイアウォール455は、その発見された情報を他のパケットヘッダ情報と組み合わせて、パケットストリームがN-CASB155を通過した後にポリシーを施行することができる。逆に、スタック内の下位セキュリティ層からの情報を発見し、上位層に渡すことができ、次いで上位層がセキュリティ施行を完了することができる。トラフィックタイプに依存して、トラフィックは、N-CASB155まで完全には進まない可能性がある。クラウドアプリトラフィックは、スタック内のネットワークセキュリティ層の全てを通過する。他のウェブトラフィックは、SWG176まで進む。非HTTP/Sトラフィックは、appファイアウォール445で検査される。セキュリティスタック153の各層は、それが見るトラフィックにポリシー施行機能を適用することができる。次に、種々のトラフィックタイプに適用されるセキュリティ機能の例を説明する。
ネットワークファイアウォール455は、パケットヘッダフィールドに基づいてアクセスを制御し、宛先IP、ポート、及びプロトコルによって指定されるように、アクセスされた宛先に基づいてトラフィックにリスクアセスメントを適用する。ネットワークファイアウォール455は、IPアドレス、TCP/UDPポート、プロトコル、VLAN及び優先度を共有することができる。
クラウドベースのコンポーネントの開示されたセキュリティシステムは、複数のシナリオにおいてセキュリティポリシーを施行する。セキュリティシステムは、形成異常パケットヘッダ、悪意のあるシグネチャ、及び脅威宛先に向けられた着信アクセス要求を検出するための検査のために、並びにコンテンツを含むアクティビティを認識及び処理して、そのアクティビティを、危険を及ぼしているか否かとして分類するために、データパケットをルーティングする。1つのシナリオでは、パケットストリームは、クラウドベースのコンポーネントの層の完全なセットを横断し、そのうちの一部は、パケットストリームに対してアクションをとらなくてもよい。別のシナリオでは、パケットストリームは、パケット内のデータのタイプに適用されるクラウドベースのコンポーネントを通じて選択的に向けることができる。応答はまた、一部のシナリオでは、クラウドベースのコンポーネントの層のフルセットを通してルーティングされる。
開示されたネットスコープポリシーマネージャ157は、パケットフローを管理し、トラフィックをポリシールールにマッチさせる。ポリシーマネージャは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のために、クラウドベースの統合機能間でそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成される。統合ポリシーは、(a)検査されるトラフィックのソース、(b)トラフィックの宛先、(c)トラフィックによって使用されるプロトコル、(d)検査可能なトラフィック内で指定されるアクティビティ、(e)特定の機能に関するプロファイル、及び(f)検査から生じる例外の場合にトリガされるアクションに関するポリシーフィールドのセットを使用して表される。検査されるトラフィックの(a)ソース又は(b)宛先の値は、任意のトラフィック、指定されたユーザ、指定されたグループ、IPアドレス若しくは範囲、又はポート番号を含む。(c)トラフィックによって使用されるプロトコルの場合、値は、HTTP、TCP、UDP、又はICMPを含む。(d)検査可能なトラフィックにおいて指定されるアクティビティの値は、アップロード、ダウンロード、プレビュー、又は共有を含み、(e)特定の機能、アクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析のうちの1つ以上のプロファイルの値を含む。加えて、検査から生じる例外の場合にトリガされるアクションの(f)の値は、許可、ブロック、アラート、バイパス、コーチ、又は隔離を含む。ある場合には、ブロッキングのアクションのための構成されたポリシーは、アップロード及びダウンロードに適用されることができ、他の場合には、ブロックのための構成されたポリシーは、アップロードのみ又はダウンロードのみに適用されることができる。
図5は、潜在的に検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査の機能を統合する、開示されるクラウドベースのセキュリティシステムにおける統合ポリシーを表現するための共通フィールドの例を示している。データマネージャ715は、N-CASB155、セキュアウェブゲートウェイ(SWG)176、及びファイアウォール556のクラウドベースの統合機能にわたる統合機能のうちの2つ以上によって共有される共通フィールドを含む、セキュリティポリシーを指定するために使用されるフィールド522、523、524、525、526、528のスーパーセットを処理する。特定のパケットに対して複数のソースフィールドを使用することができる。ポリシーフィールドの例を次に列挙する。
Src[ユーザ、グループ、組織ユニット、IP/ポート、…]
Dst[アプリ、カテゴリ、IP/ポート、ドメイン、…]
プロトコル{TCP、UDP、ICMP、…]
アクティビティ[アップロード、ダウンロード、プレビュー、…]
アクション[許可、ブロック、アラート、バイパス、隔離、コーチ、…]
複数のクラウドベースのセキュリティ機能は、前に列挙したように、許可、ブロック、アラート、バイパス、隔離、コーチ、及び暗号化などのアクションを生成することができる。次に、複数のクラウドベースのセキュリティ機能のための統合ポリシーを表現するための例示的なポリシーフィールドの使用の、表形式での概要を、上部にわたって列挙されたアクションの基準とともに説明する。N-CASB155は、HTTP/Sトラフィックのためのソース(Src)、宛先アプリケーション(Dst App)、宛先(Dst)IP/ポート/ドメイン、アクティビティ、及びプロファイルフィールドをマッチングし、アクションを適用することができる。セキュアウェブゲートウェイ(SWG)176は、HTTP/Sトラフィックに対して、Dstアプリは別として、全てのSrc/Dstフィールド、並びにアクティビティ及びプロファイルに対してマッチングし、アクションを適用することができる。ファイアウォール556は、appファイアウォール445及びネットワークファイアウォール455のための統合機能の組み合わせを表すことができ、該ファイアウォール556は、全てのトラフィック及び非HTTP/Sプロファイルに対して、Dstカテゴリとは別に、Src/Dstフィールド上で合致し、アクションを適用することができる。
Figure 2024505527000004
第1の例では、統合ポリシーは、ユーザが、HTTP/S及び非HTTP/Sトラフィックの両方を有するアプリケーションのセットであるOffice365にアクセスすることを可能にし、したがって、N-CASB155及びファイアウォール556の両方が、プロトコルに応じて、Office365とトラフィックを一致させ、アクションを適用することを試みる。SWG176はまた、トラフィックを安全としてカテゴリ化し、それを許可する。このポリシーのルールを次に列挙する。
Src=任意、dst=0365、プロトコル=任意、アクション=許可
第2の例では、ルール内の統合ポリシーは、DLP_PII_Profileなどの特定のDLPプロファイルであり、これは、ユーザがストレージアプリを使用するが、ダウンロードアクティビティに対して特定のコンテンツのDLPを行うことを可能にする。このポリシーのルールを次に列挙する。
Src=任意、カテゴリ=ストレージ、プロトコル=任意、アクティビティ=ダウンロード、プロファイル=DLP、アクション=ブロック
SWG176は、HTTP/Sトラフィックが何らかのストレージアプリのためのものであるかどうかを判定するために検査し、アクティビティフィールドが設定されているため、N-CASB155はDLPを行う。このカテゴリは、N-CASB155と共有され、N-CASB155は、ダウンロードアクティビティに対してDLPを行って、個人を特定できる情報(PII)が転送されるのを防止する。
第3の例では、統合ポリシーは、特定のユーザがGoogle Appsにアクセスすることを可能にする。このポリシーのルールを次に列挙する。
Src=ユーザグループ1、dst app=Google apps、プロトコル=任意、アクティビティ=任意、プロファイル=任意、アクション=許可
N-CASB155は、ユーザ及びそれらのための全てのGoogle apps HTTP/Sトラフィックを識別する。ユーザ情報は、ファイアウォール556と共有され、その結果、ファイアウォール556は、それらのユーザがGoogle非HTTP/Sサービスにもアクセスすることを可能にすることができる。
図6は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのポリシー施行システムのためのポリシー指定を構成するために使用可能な、代表的なグラフィカルユーザインターフェース(GUI)600を示している。GUI600は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示することができ、クラウドベースのポリシー施行システムのユーザへのGUIの配信を引き起こすことができる。GUI600は、ポリシー定義を一様に表すことができるように、ポリシー及びサービスプロバイダ方言のプロトコルにわたる正規化を表すことができる。ユーザインターフェースは、企業のためのリアルタイム保護ポリシー624を入力するために利用することができる。一例では、ファイアウォール644は、非HTP/Sパケットのフローを可能にするポリシーアクションとともに、アプリケーションTCP_54000への非HTTP/Sトラフィックのソースとして追加され得る。ポリシー名は、GUI600の例1~6に示されるように、ポリシーの特定のセットを表すことができる。GUIで利用可能なアクティビティ及びアクションは、選択されたプロファイル及びアプリケーションのタイプに依存する。規則は、サブネットによって定義されたファイアウォールとすることができ、宛先は、構成可能なアクティビティ及び制約を有し、「許可」などのパケット用に構成されたプロファイル及びアクションを有するTCP_54000などのアプリケーションとすることができる。各ポリシーには一意の名前を割り当てることができ、ポリシーは、組織が指定するように有効又は無効にすることができる。GUIは、ファイアウォール又は他のコンポーネントを追加するためのプルダウンメニューを表示することができる。
図7は、ポリシー施行機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシーマネージャデバイスのブロック図700を示している。ポリシーマネージャ157は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の統合機能の中のそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるために利用される。ポリシーは、パケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のための3つの異なる命令セットを生成するように構文解析されたJSON統合ポリシーを使用して、それぞれのバックエンドサービスに分散され得る。各機能コンポーネントは、構成された統合ポリシーの完全なリストを受信することができる。一実装形態では、組織の顧客は、構文解析論理をカスタマイズすることができ、それによって顧客のポリシー表現をカスタマイズすることができる。
ブロック図700は、データマネージャ715と、グラフィカルユーザインターフェース(GUI)ジェネレータ725と、アプリケーションプログラムインターフェース(API)735と、データ構造パーサ745と、コマンドラインインターフェース(CLI)755と、脅威検出論理765と、アクティビティのコンテキスト化論理775と、アクセス制御及びトラフィック検査論理785と、ポリシー指定ストレージ795とを有する、開示されるポリシーマネージャデバイス157を含む。ポリシーマネージャ157は、パケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の統合機能の中のそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成される。ポリシーマネージャ157は、前に説明したように、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、トラフィックのカテゴリ、検査可能なトラフィックにおいて指定されるアクティビティ、検査から生じる例外の場合にトリガされる特定の機能及びアクションのプロファイルなど、共通フィールドを利用する。これらの共通フィールドの値には、検査されるトラフィックのソース又は宛先について、IPアドレス又は範囲又はポート番号が含まれ、トラフィックによって使用されるプロトコルについて、HTTP、TCP、UDP及びICMPが含まれる。検査されるトラフィックのソース又は宛先の追加の値には、dstホスト名、dstドメイン名、srcユーザ、src組織グループ、及びsrc国が含まれる。トラフィックのカテゴリの値は、とりわけ、ビジネス、金融、ストレージ、コラボレーション、及び電子メールを含むことができる。検査可能なトラフィックにおいて指定されるアクティビティの値は、アップロード、ダウンロード、プレビュー、又は共有を含む。特定の機能のプロファイルの場合、値は、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上を含む。検査から生じる例外の場合にトリガされるアクションの値は、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む。「粒度制御で許可する」などの追加の値を含めることができる。データマネージャ715は、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってポリシーを指定するために使用されるフィールドを扱い、統合機能の間のそれぞれの機能に適用可能なポリシー指定をポリシー指定ストレージ795に記憶する。ポリシーマネージャ157は、グローバルキャッシュ及び/又はクラウドベースのコンポーネントに対してローカルなキャッシュにパケットストリームの状態を保存するように構成可能である。
図7のブロックの説明を続けると、ポリシーマネージャ157は、GUIジェネレータ725を介してポリシー指定を受信することができ、GUIジェネレータ725は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示する。別の場合には、ポリシーマネージャ157は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信するように構成されたAPIインターフェース735を介してポリシー指定を受信する。第3の例では、ポリシーマネージャ157は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサ745を介してポリシー指定を受信する。更に別の例では、コマンドラインインターフェース(CLI)755は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成される。別の実装形態では、データ構造は、データセキュリティポリシー構成を記憶するために異なるデータ表現を利用することができる。
図7のブロックの説明を更に続けると、アクセス制御及びトラフィック検査論理785は、任意の事前処理を伴って、又は伴わずに、着信アクセス要求中のパケットヘッダを形成異常について検査し、着信アクセス要求を検査可能又は検査不能として分類するように構成される。次いで、検査に基づいて、アクセス制御及びトラフィック検査論理785は、第1の制限状態を設定するか、又は着信アクセス要求を渡す。アクセス制御及びトラフィック検査論理785はまた、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対するディープパケット検査を着信アクセス要求に対して行うように構成されることができ、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成することができる。脅威検出論理765は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成することができる。
アクティビティのコンテキスト化論理775は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、そのアクティビティを、危険を及ぼしているか否かに分類するように構成される。次いで、分類に基づいて、アクティビティのコンテキスト化論理775は、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成され得る。
ポリシーマネージャ157は、セキュリティスタック153のコンポーネントを通してパケットをルーティングするように構成され得、そのうちの一部は、アクションを行わないか、又は検査されているアクセス要求のタイプに適用される層を通してパケットを選択的にルーティングするように構成され得る。一例では、ポリシー指定ストレージ795に記憶することができるポリシーマネージャ157の構成は、アクションが取られる前に、パケットが、クライアント472から、ネットワークファイアウォール455を通り、appファイアウォール445、SWG176、及びN-CASB155を通り、次いでSWG176、appファイアウォール445、及びネットワークファイアウォール455を通って戻るように、セキュリティスタック153をトラバースすることを指定することができる。異なる構成では、第1の例外に遭遇すると、パケットをブロックすること、検出された問題を警告すること、又はパケットを隔離すること、又はコーチングなどのアクションを取ることができる。一実施形態では、SWG及びN-CASBにおけるコーチアクションを利用して、「許可されていないものは、代わりにXを使用する」又は「デフォルトでは許可されていないが、ユーザは、それを使用する必要がある場合、正当な理由を提供できる」ことを確認することができる。更に別のアクションは、トラフィックコンテキストに応じて認証又はマルチファクタ認証を必要とすることであり得る。更に、セキュリティスタック153の組み合わされたコンポーネントは、必要とされる認証のレベルを変更する動機を与えることができる。
ポリシーマネージャ157の異なる構成では、パケットは、そのタイプのパケットに適用される層を通して選択的にルーティングされ得、それぞれの検査及び分類の結果の状態は、制限状態で記憶される。アクセス制御及びトラフィック検査論理785は、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。アクセス制御及びトラフィック検査論理785はまた、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成される。脅威検出論理765は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。アクティビティのコンテキスト化論理775は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。状態情報は、制限状態が適用される層に記憶することができ、メッセージとして後続のコンポーネントに渡すことができ、状態の共通データベースに記憶することもできる。
ポリシーマネージャ157は、モバイルデバイス、ラップトップデバイス、オフィスデバイス、及び他のデバイスにわたって機能し、デバイスのタイプ及び位置にわたって単一の統合ポリシーを施行する。N-CASB、ネットワークファイアウォール、appファイアウォール、及びSWGは、ポリシーを構成され有効にされたセキュリティサービスのセットに渡す単一のエンジンを利用して、ポリシーの調整された適用とともに、別々に実行することができる。
図8は、パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを示すブロック図である。クラウドベースの統合セキュリティシステム805は、パケットの各着信アクセス要求を、そのタイプのパケットに適用されるコンポーネントを通して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで、伝達するように構成されたパケット及びストリームルータ825を含むことができる。システム805は、パケットレベルのアクセス制御及びトラフィック検査842、プロトコルレベルのアクセス制御及びトラフィック検査844、脅威検出846、並びにアクティビティのコンテキスト化848のためのコンポーネントを有する。アクセス制御及びトラフィック検査コンポーネントは、ファイアウォール機能を実行する。脅威検出846は、ウェブ動作を分析してデータ内の異常を検出し、認可されていない危険なウェブサイトへのアクセスを防止するセキュアウェブゲートウェイ(SWG)コンポーネントである。アクティビティのコンテキスト化848は、先に図1に関して説明したように、ネットスコープクラウドアクセスセキュリティブローカ(N-CASB)であり、ログイン、ファイル転送、及び共有動作などのコンテンツを含むアクティビティを処理して、それらを制御し、データ内の異常を検出して、アクティビティを、危険を及ぼしているか否かに分類するコンポーネントである。
図8のブロック図の説明を続けると、パケットレベルのアクセス制御及びトラフィック検査842は、任意の事前処理を伴って、又は伴わずに、アクセス要求(集合的に、要求又は応答)の中の、又はそれへの応答の中のパケットヘッダを検査し、要求又は応答を検査可能又は検査不能として分類するように構成される。次いで、分類に基づいて、パケットレベルのアクセス制御及びトラフィック検査842は、パケットヘッダが異常形成されたとき、第1の制限状態を設定するように構成され、形成異常パケット及び検査不能パケットを探すことに加えて、パケットレベルのアクセス制御及びトラフィック検査842は、制限状態をもたらすアクセス制御ポリシーを適用することもできる。パケットヘッダが良好に形成されているが、要求又は応答が検査不能であるとき、パケットレベルのアクセス制御及びトラフィック検査842は、脅威検出846及びアクティビティのコンテキスト化848をバイパスして、要求又は応答を宛先サーバに渡し、パケットヘッダが良好に形成され、要求又は応答が検査可能であるとき、要求又は応答をプロトコルレベルのアクセス制御及びトラフィック検査844に渡すように構成される。プロトコルレベルのアクセス制御及びトラフィック検査844は、任意の事前処理を伴って、又は伴わずに、要求又は応答に対してディープパケット検査を実施するように構成される。パケットが1つ以上の悪意のあるシグネチャを保持するとき、プロトコルレベルのアクセス制御及びトラフィック検査844は、第2の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。プロトコルレベルのアクセス制御及びトラフィック検査844はまた、脅威シグネチャを探すことに加えて、アプリケーションレベルでアクセス制御ポリシーを適用することができ、アクセス制御ポリシーが一致する場合、要求を制限状態にすることができる。脅威検出846は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類すように構成され、次いで、分類に基づいて、要求又は応答が脅威宛先に向けられているとき、第3の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。時には、ユーザが午前9時~午後5時にYouTube(登録商標)にアクセスするのを防止するために、あまり概して適用されない時間ベースのポリシーを使用することができる。アクティビティのコンテキスト化848は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームである場合、コンテンツを含むアクティビティを認識及び処理し、そのアクティビティを、危険を及ぼしているか否かに分類するように構成される。アクティビティのコンテキスト化848は、要求又は応答が危険を及ぼしている場合、第4の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。N-CASBによるアクティビティのコンテキスト化848は、コンテンツを含むアクティビティとコンテンツを含まないアクティビティの両方にポリシーを適用することができる。一例では、非コンテンツアクティビティは、ログイン又は文書の作成/編集である。制限状態865は、クラウドベースのコンポーネントの制限状態を記憶する。制限状態アナライザ875は、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う。
図8のクラウドベースの統合ポリシー施行システムの説明を更に続けると、パケット及びストリームルータ825は、一部の実装形態では、プロトコルレベルのアクセス制御及びトラフィック検査844、脅威検出846、並びにアクティビティのコンテキスト化848コンポーネントの前に、パケットレベルのアクセス制御及びトラフィック検査コンポーネント842を通して着信アクセスストリームを渡すように構成される。パケットレベルのアクセス制御及びトラフィック検査コンポーネント842は、プロトコルレベルのアクセス制御及びトラフィック検査844、脅威検出846、及びアクティビティのコンテキスト化848コンポーネントの前に、一部の実装形態では、着信アクセスストリーム処理が進むにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザ875に渡すように構成される。パケットレベルのアクセス制御及びトラフィック検査コンポーネント842、プロトコルレベルのアクセス制御及びトラフィック検査844、脅威検出846、並びにアクティビティのコンテキスト化848コンポーネントは、他の実装形態では、着信アクセスストリーム処理が進行するにつれて制限状態アナライザ875によって処理するために、制限状態メッセージを制限状態865、共通状態ストアに送信するように構成される。コンポーネントは、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザ875による処理のために、制限フラグ866、共通フラグストア内に制限状態フラグを設定するように構成される。異なる実装形態では、パケットレベルのアクセス制御及びトラフィック検査コンポーネント842、プロトコルレベルのアクセス制御及びトラフィック検査844、脅威検出846、並びにアクティビティのコンテキスト化848コンポーネントは、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むにつれて、制限状態フラグを制限フラグ866に保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むにつれて、保存された制限状態フラグを用いて制限状態アナライザ875を呼び出して制限ステップを行うように構成される。制限状態アナライザ875によって行われる制限ステップは、パケットをブロックすること、制限を警告すること、バイパスすること、暗号化すること、トラフィックを選択及び隔離するアクションに関してユーザをコーチングすることを含むが、これらに限定されない。
図9は、開示された技術の一実施形態について、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化の機能を統合し、データ損失防止分析を実施するクラウドベースのポリシー施行システムについての例示的な論理トラフィックフローを示している。パケットフローのこの例では、全てのトラフィックは、ネットワークファイアウォール962を介して、IPアドレス又はホスト名によって定義することができるIPアドレスに入力される。別の実装形態では、ネットワークファイアウォール962をドメイン名によって定義することができる。更に別の実装形態では、ネットワークファイアウォール962にアクセスするために、ドメインとIPアドレス指定の組み合わせを利用することができる。ファイアウォール962は、一例では、形成異常パケットがファイアウォールをクラッシュするように設計される可能性があるため、正しい発信元及び良好に形成されたパケットをチェックすることを含む、ディープパケット検査を行う。HTTP/Sトラフィックの場合であっても、ネットワークファイアウォール962は、パケットがSWG176及びN-CASB155に進むときに、後続のパケットを検査して形成異常トラフィックを検出し続け、一部の実装形態では、ルーティングプロトコルの検査とともに、トラフィックのアップロード、ダウンロード、プレビューなどを含むアクティビティを認識することができる。ファイアウォール962、SWG176及びN-CASB155は、それぞれのポリシーを並行して適用することができ、どのポリシーを適用するかを判定したときに、他のアクションを許可し、ブロックし、警告し、適用することができる。
論理トラフィックフローの説明を続けると、ファイアウォール962は、トラフィック963を分析し、ハイパーテキスト転送プロトコル(http)及びハイパーテキスト転送プロトコルセキュア(https)を利用して、ウェブトラフィックをセキュアウェブゲートウェイ(SWG)176にルーティングする。非http/httpsトラフィックは、別個にルーティングされ、復号化され検査可能(954)であるかどうかを判定するためにフィルタリングされる。非ウェブトラフィックの一例は、HTTP/Sポートではないポート54000に対してTCP_54000を利用する。SWG176は、脅威保護、URLフィルタリング、及びDLPポリシーを含むことができるウェブトラフィックを管理するための粒度の細かいポリシー制御を用いて、ウェブブラウジングのための宛先のホワイト/ブラックリストの受け入れ可能なカテゴリを識別する。クラウドアプリはウェブドメインによって指定され、トラフィックが分析されて、サービスとしてのソフトウェア(SaaS)などのクラウドアプリ953のためのパケットが決定される。識別されたパケットは、ネットスコープクラウドアクセスセキュリティブローカ(N-CASB)155にルーティングされ、N-CASBは、認可されたクラウドアプリ及び認可されていないクラウドアプリにおけるアクセス及びアクティビティを統制し、機密データを保護し、その損失を防止し、前述のように内部及び外部の脅威から保護することに加えて、ストリーミングプロトコル上のトラフィック及び他のプロトコル上のウェブトラフィックをセキュアに処理する。N-CASB155は、ユーザを識別し、それらに対するトラフィックを許可し、ファイアウォール962がそれらのユーザが非HTTP/Sサービスにもアクセスすることを可能にすることができるように、ユーザ情報をファイアウォール962と共有する。N-CASB155での検査後、トラフィックは、復号化され検査可能(954)であるかどうかを判定するためにフィルタリングされ、トラフィックが復号化され検査可能である場合、パケットは、データ損失防止(DLP)964及び侵入防止システム(IPS)966検査のためにルーティングされる。DLP/IPSは非同期的に行われ、問題が検出されると、ファイアウォール962、SWG176、及びN-CASB155は、制限状態及び制限フラグ、並びに構成された有効にされたポリシーに基づいてアクションを取る。安全であるとみなされたパケットは、インターネット968に通過することが許可される。ブロッキング、警告バイパス、隔離及びコーチングを含む他のアクションは、前に説明されている。
次に、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するポリシーマネージャを用いて、クラウドにおける統合ポリシー管理、並びにクラウドベースのポリシー施行システムにおける統合ポリシーの動的分散のためのワークフローについて説明する。開示されるポリシー施行サービスプラットフォームは、組織のためのカスタマイズされたセキュリティサービス及びポリシーを管理し、単一障害点を回避するために、水平にかつ一様にスケーリングする。
開示されるアクセス要求ストリームの動的ルーティングのためのワークフロー、及びクラウドベースの環境におけるセキュリティ問題を検出するための統合システムも説明される。
ワークフロー
図10は、ポリシーマネージャによってクラウドベースのセキュリティシステムに適用される、クラウドにおける統合セキュリティポリシー管理の代表的なコンピュータ実装方法を示し、該クラウドベースのセキュリティシステムは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する。フローチャート1000は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された1つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図10に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム805を含むシステムを参照して説明される。
開示される技術のこのセクション及び他のセクションで説明される方法は、以下の特徴及び/又は開示される追加の方法に関連して説明される特徴のうちの1つ以上を含むことができる。簡潔にするために、本出願に開示される特徴の組み合わせは、個々に列挙されず、特徴の各基本セットとともに繰り返されない。
図10は、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持するためのアクション1010から開始する。
プロセス1000はアクション1020に進み、ポリシーマネージャは、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする。
アクション1030は、ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。
他の実装形態は、図10に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。
図11は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムにポリシーマネージャによって適用される、クラウドベースのセキュリティシステムにおける統合セキュリティポリシーの動的分散のための代表的な方法を示している。フローチャート1100は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された1つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図11に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム805を含むシステムを参照して説明される。
図11は、ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶するアクション1110から開始する。
プロセス1100はアクション1120に進み、ポリシーマネージャは、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させる。
アクション1130では、ポリシーマネージャは、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返す。
他の実装形態は、図11に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。
図12は、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する代表的な方法を示している。フローチャート1200は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された1つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図12に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム805を含むシステムを参照して説明される。
図12は、アクション1210で開始し、パケット及びストリームルータは、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送する。
プロセス1200は、アクション1220に進み、(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、パケットヘッダが形成異常であるとき、第1の制限状態を設定するように構成される。
アクション1230は、パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出及びアクティビティのコンテキスト化をバイパスすることを含む。
プロセス1200はアクション1240に進み、パケットヘッダが良好に形成され、着信アクセス要求が検査可能である場合、着信アクセス要求を渡す。
プロセス1200は、アクション1250に更に進み、(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施する。
プロセス1200は、アクション1260に進み、(c)脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が脅威宛先に向けられているとき、第3の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成される。
プロセス1200は、アクション1270に更に進み、(d)アクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成される。
プロセス1200は、アクション1280において、制限状態アナライザは、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことで完了する。
他の実装形態は、図12に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。
図13は、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする代表的な方法を示している。フローチャート1300は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された1つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図13に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム805を含むシステムを参照して説明される。
図13は、アクション1310で開始し、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、着信アクセス要求内又はアクセス要求に応答したパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡す。
プロセス1300は、アクション1320に進み、クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡す。
プロセス1300は、アクション1330において、クラウドベースの脅威検出を用いて、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを続ける。
アクション1340は、クラウドベースのアクティビティのコンテキスト化を含み、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す。
プロセス1300は、アクション1350で完了し、制限状態アナライザは、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う。
他の実装形態は、図13に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。
コンピュータシステム
図14は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシーマネージャデバイスを実装するために使用され得るコンピュータシステム1400の簡略化されたブロック図である。コンピュータシステム1400はまた、クラウドベースのセキュリティシステムにおいて統合セキュリティポリシーの動的分散を実装し、統合セキュリティシステムにおいてアクセス要求ストリームを動的にルーティングし、クラウドベースの環境においてセキュリティ問題を検出するために使用可能である。コンピュータシステム1400は、バスサブシステム1455を介して一部の周辺デバイスと通信する少なくとも1つの中央処理装置(CPU)1472と、本明細書で説明されるネットワークセキュリティサービスを提供するためのクラウドベースの統合セキュリティシステム805とを含む。これらの周辺デバイスは、例えば、メモリデバイス及びファイルストレージサブシステム1436を含むストレージサブシステム1410と、ユーザインターフェース入力デバイス1438と、ユーザインターフェース出力デバイス1476と、ネットワークインターフェースサブシステム1474とを含むことができる。入力及び出力デバイスは、コンピュータシステム1400とのユーザ対話を可能にする。ネットワークインターフェースサブシステム1474は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。
一実施形態において、図1のクラウドベースの統合セキュリティシステム805は、ストレージサブシステム1410及びユーザインターフェース入力デバイス1438に通信可能にリンクされる。
ユーザインターフェース入力デバイス1438は、キーボード、マウス、トラックボール、タッチパッド、又はグラフィックタブレットなどのポインティングデバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォンなどのオーディオ入力デバイス、並びに他のタイプの入力デバイスを含むことができる。概して、「入力デバイス」という用語の使用は、コンピュータシステム1400に情報を入力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
ユーザインターフェース出力デバイス1476は、ディスプレイサブシステム、プリンタ、ファックス機、又は音声出力デバイスなどの非視覚的ディスプレイを含むことができる。ディスプレイサブシステムは、LEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)などのフラットパネルデバイス、投影デバイス、又は可視画像を作成するための何らかの他の機構を含むことができる。ディスプレイサブシステムは、音声出力デバイスなどの非視覚的ディスプレイを提供することもできる。概して、「出力デバイス」という用語の使用は、コンピュータシステム1400からユーザ又は別のマシン若しくはコンピュータシステムに情報を出力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
ストレージサブシステム1410は、本明細書に記載のモジュール及び方法の一部又は全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム1478は、グラフィックス処理ユニット(GPU)又はフィールドプログラマブルゲートアレイ(FPGA)であり得る。
ストレージサブシステム1410内で使用されるメモリサブシステム1422は、プログラム実行中に命令及びデータを記憶するためのメインランダムアクセスメモリ(RAM)1432と、固定命令が記憶される読み取り専用メモリ(ROM)1434とを含む、一部のメモリを含むことができる。ファイルストレージサブシステム1436は、プログラム及びデータファイルのための永続的なストレージを提供することができ、ハードディスクドライブ、関連するリムーバブルメディアを伴うフロッピーディスクドライブ、CD-ROMドライブ、光学ドライブ、又はリムーバブルメディアカートリッジを含むことができる。特定の実装形態の機能を実装するモジュールは、ファイルストレージサブシステム1436によって、ストレージサブシステム1410内に、又はプロセッサによってアクセス可能な他のマシン内に記憶され得る。
バスサブシステム1455は、コンピュータシステム1400の種々のコンポーネント及びサブシステムに、意図されるように互いに通信させるための機構を提供する。バスサブシステム1455は、単一のバスとして概略的に示されているが、バスサブシステムの代替の実装形態は、複数のバスを使用することができる。
コンピュータシステム1400自体は、パーソナルコンピュータ、携帯型コンピュータ、ワークステーション、コンピュータターミナル、ネットワークコンピュータ、テレビ、メインフレーム、サーバファーム、疎にネットワーク化されたコンピュータの広く分散されたセット、又は任意の他のデータ処理システム若しくはユーザデバイスを含む、種々のタイプのものであり得る。コンピュータ及びネットワークの絶えず変化する性質に起因して、図14に示されるコンピュータシステム1400の説明は、本発明の好ましい実施形態を例示するための特定の例としてのみ意図される。図14に示すコンピュータシステムよりも多い又は少ないコンポーネントを有するコンピュータシステム1400の多くの他の構成が可能である。
特定の実装形態
検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びにコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムのための一部の特定の実装形態及び特徴が、以下の議論で説明される。
開示される一実装形態では、検査可能及び検査不能なトラフィックに対する検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化及びコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスは、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのデータマネージャであって、統合機能のうちの2つ以上によって共有される共通フィールドを含む、データマネージャを含む。開示されるデバイスはまた、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、受信するための手段と対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びに検査のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、手段と、統合機能の間でそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャとを含む。
開示される技術のこのセクション及び他のセクションで説明されるデバイスは、以下の特徴及び/又は開示される追加の特徴に関連して説明される特徴のうちの1つ以上を含むことができる。簡潔にするために、本出願に開示される特徴の組み合わせは、個々に列挙されず、特徴の各基本セットとともに繰り返されない。読者は、この方法で識別された特徴を、実装形態として識別された基本特徴のセットとどのように容易に組み合わせることができるかを理解するであろう。
開示されるポリシーマネージャデバイスの一部の実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、統合機能のうちの2つ以上によって共有される共通フィールドを含み得、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、トラフィックのカテゴリ、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のためのプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含み得る。共通フィールドの値は、検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号を含む。検査されるトラフィックのソース又は宛先の追加の値は、宛先ホスト名、宛先ドメイン名、ソースユーザ、ソース組織グループ、及びソース国を含むことができる。トラフィックによって使用されるプロトコルの場合、共通フィールドの値は、HTTP/S、TCP、UDP、又はICMPを含む。検査可能なトラフィックで指定されたアクティビティの共通フィールドの値は、アップロード、ダウンロード、プレビュー、又は共有を含む。特定の機能のプロファイルの場合、共通フィールドの値は、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のうちの1つ以上を含む。検査から生じる例外の場合にトリガされるアクションのための共通フィールド値は、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む。一実施形態では、特定の機能のトラフィックのカテゴリについて、共通フィールドの値は、ビジネス、金融、ストレージ、コラボレーション、及び電子メールのうちの1つ以上を含む。ポリシーは、ユーザ特有の規則を含むこともできる。
開示されたポリシーマネージャデバイスの一実装形態では、受信するための手段は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(GUI)を生成するように構成されたGUIジェネレータを含む。この場合、GUIジェネレータは、ユーザへのGUIの配信を引き起こし、統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することができる。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(GUI)を生成するように構成されたGUIジェネレータを含み得る。
開示されるポリシーマネージャデバイスの別の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたアプリケーションプログラムインターフェース(API)を含む。場合によっては、データ構造は、キー-値ペアで編成される。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたアプリケーションプログラムインターフェース(API)を含み得る。
開示されるポリシーマネージャデバイスの他の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサを含む。開示されるポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサを含み得る。
開示されるポリシーマネージャデバイスの更に別の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成されたコマンドラインインターフェース(CLI)を含む。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に、より広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成されたコマンドラインインターフェース(CLI)を含み得る。
前述の開示されたポリシーマネージャデバイスの一部の実装形態では、(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネント(ネットワークファイアウォール)は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネント(アプリケーションファイアウォールなど)は、第2の制限状態を設定するか、又は要求若しくは応答を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施するように構成される。プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントはまた、接続レベル検査としてアプリケーション識別及び認識を実施することができ、例えば、アプリIDシグネチャがパケット境界を越えるとき、アプリケーションプロトコル及びデータのストリームを分析して、SMB、FTP、SMTP、及びDNSなどのHTTP/S及び他のネットワークプロトコルのプロトコル異常を検出する。(c)脅威検出(セキュアウェブゲートウェイ及び/又はアプリケーションファイアウォール)は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。(d)アクティビティのコンテキスト化(例えば、ネットスコープクラウドアクセスセキュリティブローカ)は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。
ポリシーマネージャによって、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びにコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムに適用される、開示されるコンピュータ実装方法の一実装形態は、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することを含み、統合機能のうちの2つ以上によって共有される共通フィールドを含む。開示される方法はまた、ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザは、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることを含む。更に、本方法は、ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。
ポリシーマネージャによってクラウドベースのセキュリティシステムに適用されるコンピュータ実装方法の一実装形態は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査の機能を統合し、ポリシーマネージャに結合されたデータマネージャを含み、データマネージャは、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶し、スーパーセットは、統合機能のうちの2つ以上によって共有される共通フィールドを含む。本方法は、ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。本方法はまた、ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことを含む。
開示されるコンピュータ実装方法の一部の実装形態では、統合機能のうちの2つ以上によって共有される共通フィールドは、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のためのプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む。共通フィールドの値は、検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号を含み、トラフィックによって使用されるプロトコルについて、HTTP、TCP、UDP、又はICMPを含み、検査可能なトラフィックにおいて指定されたアクティビティについて、アップロード、ダウンロード、プレビュー、又は共有を含み、特定の機能についてのプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のうちの1つ以上を含み、並びに、検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、追加の認証の要求、アラート、バイパス、暗号化、コーチ、又は隔離を含む。
コンピュータ実装方法の一実装形態は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(GUI)を生成するブラウザベース又はクライアントベースのGUIジェネレータを更に含む。本方法はまた、GUIが、ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受信することと、クエリに応答するポリシーの指定をGUIにポピュレートし、ユーザへのGUIの配信を引き起こすことと、を含む。本開示は、ファットクライアント又はシンクライアントベースのGUIジェネレータを含むことができる。
コンピュータ実装方法の別の実装形態は、アプリケーションプログラムインターフェースが、クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受信することと、クエリに応答する1つ以上のポリシーに関するキー-値ペアのデータ構造をポピュレートし、配信を引き起こすこととを含む。コンピュータ実装方法の更に別の実装形態は、データ構造パーサが、クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、クエリに応答する1つ以上のポリシーに関するキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を含む。コンピュータ実装方法の一部の実装形態は、コマンドラインインターフェース(CLI)が、クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することを更に含む。本方法はまた、CLIが構文解析されたクエリ及び指定を受け入れることと、特定の機能によって使用される必要なフィールドが統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々に対してコンテキスト化されるキー-値ペアのデータ構造に対してクエリを行うことと、クエリの結果を返すことと、を含む。
コンピュータ実装方法の別の実装形態では、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を潜在的に検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。開示される方法に関して、(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成される。また、(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。更に、(d)クラウドベースのアクティビティのコンテキスト化及び検査は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。開示される方法の一部の実装形態では、出力ファイアウォール機能は、脅威検出及びクラウドベースのアクティビティのコンテキスト化機能が完了した後に出力ポリシーを適用することができる。場合によっては、宛先IPをフィルタリングするか、又はソースIPアドレスに対してネットワークアドレス変換(NAT)機能を実施し、パケットがルーティングデバイスを通過している間にパケットのIPヘッダ内のネットワークアドレス情報を修正することによって、IPアドレス空間を別の空間に再マッピングする必要があり得る。
(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及び検査を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する開示された方法の一実装形態は、パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することを含む。本方法はまた、(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、パケットヘッダが異常形成されているとき、第1の制限状態を設定し、パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能であるとき、着信アクセス要求を宛先サーバに渡し、脅威検出並びにアクティビティのコンテキスト化及び検査をバイパスし、パケットヘッダが良好に形成されており、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すように構成されることを含む。開示される方法は、(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施することを更に含む。本方法はまた、(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が脅威宛先に向けられているとき、第3の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成されることを更に含む。加えて、(d)着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、アクティビティのコンテキスト化及び検査を含む。更に、開示される方法は、制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことを含む。別の実施形態では、検査不能判定は、前述した順序とは異なるコンポーネントを使用して完了することができる。着信アクセス要求が(a)~(d)のサービスの各々を通過するとき、前のサービスは、次のコンポーネントでの処理の助けとして、使用する次のサービスのコンテキスト状態を追加することもできる。一例では、パケットレベルのアクセス制御及びトラフィック検査サービスは、他の場所で使用することができるユーザのIPアドレスを設定することができる。プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、N-CASB155で使用することができるそのシグネチャを使用して検出されたアプリケーション名を設定することができる。
本方法の一部の実装形態では、パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成される。一部の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成される。他の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成される。更に他の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成される。更に他の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成される。本明細書で説明される複数の構成が、単一の実装形態に存在することができる。開示される方法の一部の実装形態では、制限的アナライザによって取られる制限的ステップは、ブロック、アラート、更なる認証の要求、バイパス、暗号化、コーチ、又は隔離を含む。
一実装形態では、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及びコンテンツ検査のためにクラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする開示される方法は、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を潜在的に検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すことを含む。本方法はまた、(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡すことを含む。クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントはまた、アプリケーション識別及び/又は認識のために、要求又は応答に対してディープパケット検査を実施することもできる。開示される方法は、(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを更に含む。加えて、開示される方法は、(d)クラウドベースのアクティビティのコンテキスト化及び検査を含み、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す。開示された方法は、制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを更に含む。一部の実装形態では、本方法はまた、コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを含む。一部の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成される。他の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成される。一部の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成される。他の実装形態では、コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成される。
このセクションで説明される開示された技術の他の実装形態は、プロセッサ上で実行されると、プロセッサに上記で説明された方法のいずれかを実施させる、メモリにロードされたプログラム命令を含む、有形の非一時的コンピュータ可読記憶媒体を含むことができる。このセクションで説明される開示される技術の更に別の実装形態は、メモリと、上記で説明された方法のいずれかを実施するために、メモリに記憶されたコンピュータ命令を実行するように動作可能な1つ以上のプロセッサとを含むシステムを含むことができる。
前述の説明は、開示される技術の作製及び使用を可能にするために提示される。開示される実装形態に対する種々の修正が明らかになり、本明細書で定義される一般原理は、開示される技術の趣旨及び範囲から逸脱することなく、他の実装形態及び適用例に適用され得る。したがって、開示される技術は、示される実装形態に限定されるものではなく、本明細書で開示される原理及び特徴と一致する最も広い範囲を与えられるべきである。開示される技術の範囲は、添付の特許請求の範囲によって定義される。
条項
以下の条項を開示する。
条項セット1
1.検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
コンピューティングプロセッサと、
コンピューティングプロセッサによって実装され、統合機能のうちの2つ以上によって共有される共通フィールドを含むクラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのデータマネージャと、
コンピューティングプロセッサによって実装された指定レシーバ及びストレージコンポーネントであって、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、指定レシーバ及びストレージコンポーネントと、
コンピューティングプロセッサによって実装され、クラウドベースの統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、を含み、
(a)コンピューティングプロセッサによって実装されるパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡し、
(b)コンピューティングプロセッサによって実装されるプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡し、
(c)コンピューティングプロセッサによって実装される脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求又は応答を渡し、
(d)コンピューティングプロセッサによって実装されるアクティビティのコンテキスト化は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装ポリシーマネージャデバイス。
2.共通フィールドは、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、条項1に記載のポリシーマネージャデバイス。
3.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項1に記載のポリシーマネージャデバイス。
4.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を行うブラウザベース及びクライアントベースのGUIジェネレータのうちの1つを更に含む、条項1に記載のポリシーマネージャデバイス。
5.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、条項1に記載のポリシーマネージャデバイス。
6.データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項1に記載のポリシーマネージャデバイス。
7.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、条項1に記載のポリシーマネージャデバイス。
8.ポリシーマネージャによって、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムに適用されるコンピュータ実装方法であって、方法は、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
(a)パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
(b)プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(c)脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(d)アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装方法。
9.共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項8に記載のコンピュータ実装方法。
10.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項8に記載のコンピュータ実装方法。
11.GUIジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を更に含む、条項8に記載のコンピュータ実装方法。
12.アプリケーションプログラムインターフェースが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信すること、を更に含む、条項8に記載のコンピュータ実装方法。
13.データ構造パーサが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、条項8に記載のコンピュータ実装方法。
14.受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項8に記載のコンピュータ実装方法。
15.プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
(a)パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
(b)プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(c)脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(d)アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡すことを含む、有形の非一時的コンピュータ可読媒体。
16.共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
17.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
18.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を行うGUIジェネレータを更に含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
19.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、条項15に記載の有形の非一時的コンピュータ可読媒体。
20.データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項15に記載の有形の非一時的コンピュータ可読媒体。
21.受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
条項セット2
1.検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶する、ポリシーマネージャデバイスに結合されるデータマネージャと、
統合機能の中の各機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、
統合機能の各々から、共通フィールドに記憶されたポリシー指定についての要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、要求に応答する値を、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中のそれぞれの要求機能に返すための手段と、を含む、コンピュータ実装ポリシーマネージャデバイス。
2.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
3.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、任意のトラフィック、指定されたユーザ、指定されたグループ、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
4.受信するための手段は、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するGUIを生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を行うように構成されたブラウザベース及びクライアントベースのグラフィカルユーザインターフェース(略してGUI)ジェネレータのうちの1つを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
5.クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたアプリケーションプログラムインターフェースを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
6.クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたデータ構造パーサを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
7.受信するための手段は、コマンドラインインターフェース(略してCLI)を含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行うように構成されている、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
8.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
9.検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムにポリシーマネージャによって適用されるコンピュータ実装方法であって、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、コンピュータ実装方法。
10.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項9に記載のコンピュータ実装方法。
11.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項9に記載のコンピュータ実装方法。
12.GUIジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を含む、条項9に記載のコンピュータ実装方法。
13.アプリケーションプログラムインターフェースが、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項9に記載のコンピュータ実装方法。
14.データ構造パーサが、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項9に記載のコンピュータ実装方法。
15.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項9に記載のコンピュータ実装方法。
16.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項9に記載のコンピュータ実装方法。
17.プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、有形の非一時的コンピュータ可読媒体。
18.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
19.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
20.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を行うGUIジェネレータを更に含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
21.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
22.データ構造パーサを更に含み、データ構造パーサは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
23.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
24.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項17に記載の有形の非一時的コンピュータ可読媒体。
条項セット3
1.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために構成可能なクラウドベースのコンポーネントのセキュリティシステムであって、システムは、
パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送するように構成されたパケット及びストリームルータであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類するように構成され、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出(SWG)及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施するように構成され、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、パケット及びストリームルータと、
第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
2.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項1に記載のシステム。
3.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項1に記載のシステム。
4.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項1に記載のシステム。
5.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項1に記載のシステム。
6.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項1に記載のシステム。
7.制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項1に記載のシステム。
8.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、方法。
9.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項8に記載の方法。
10.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項8に記載の方法。
11.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項8に記載の方法。
12.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項8に記載の方法。
13.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項8に記載の方法。
14.制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項8に記載の方法。
15.プロセッサ上で実行されると、プロセッサに、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出(SWG)及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、有形の非一時的コンピュータ可読媒体。
16.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
17.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
18.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
19.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
20.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
条項セット4
1.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及びコンテンツ検査のために構成可能なクラウドベースのコンポーネントの統合セキュリティシステムであって、システムは、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、第2の制限状態を設定するか、又は要求若しくは応答を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて要求又は応答に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求又は応答を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡すように構成されることと、
第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
2.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して要求又は応答を渡すように構成されている、条項1に記載のシステム。
3.コンポーネント(a)~(d)は、要求又は応答処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項1に記載のシステム。
4.コンポーネント(a)~(d)は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、制限状態メッセージを共通状態ストアに送信するように構成されている、条項1に記載のシステム。
5.コンポーネント(a)~(d)は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、共通フラグストア内に制限状態フラグを設定するように構成されている、条項1に記載のシステム。
6.コンポーネント(a)~(d)は、要求又は応答処理が第1のコンポーネントから最後のコンポーネントに進むにつれて、制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項1に記載のシステム。
7.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及びコンテンツ検査のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法であって、方法は、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡し、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡し、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡し、
(d)クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、方法。
8.コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項7に記載の方法。
9.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項7に記載の方法。
10.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項7に記載の方法。
11.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項7に記載の方法。
12.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項7に記載の方法。
13.プロセッサ上で実行されると、プロセッサに、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡し、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡し、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡し、
(d)クラウドベースのアクティビティのコンテキスト化が、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、有形の非一時的コンピュータ可読媒体。
14.コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項13に記載の有形の非一時的コンピュータ可読媒体。
15.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
16.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
17.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
18.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。

Claims (21)

  1. 検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、
    前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査し、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施し、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定し、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識し、
    前記ポリシーマネージャデバイスは、
    前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのコンピュータ実装データマネージャと、
    コンピュータ実装指定レシーバであって、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、前記指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、コンピュータ実装指定レシーバと、
    前記クラウドベースの統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させるように構成されたコンピュータ実装ポリシーマネージャと、を含む、コンピュータ実装ポリシーマネージャデバイス。
  2. 前記共通フィールドは、
    検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  3. 前記共通フィールドの前記値は、
    検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
    前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
    検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
    特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
    検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  4. 特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
    ユーザへの前記GUIの配信を引き起こすことと、
    前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を行うブラウザベース及びクライアントベースのGUIジェネレータのうちの1つを更に含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  5. アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  6. データ構造パーサを更に含み、前記データ構造パーサは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  7. コマンドラインインターフェース(略してCLI)を更に含み、前記CLIは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。
  8. 検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用されるコンピュータ実装方法であって、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
    前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
    前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
    前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、方法。
  9. 前記共通フィールドは、
    検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項8に記載のコンピュータ実装方法。
  10. 前記共通フィールドの前記値は、
    検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
    前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
    検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
    特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
    検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項8に記載のコンピュータ実装方法。
  11. GUIジェネレータが、
    特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
    ユーザへの前記GUIの配信を引き起こすことと、
    前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を更に含む、請求項8に記載のコンピュータ実装方法。
  12. アプリケーションプログラムインターフェースが、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信すること、を更に含む、請求項8に記載のコンピュータ実装方法。
  13. データ構造パーサが、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、請求項8に記載のコンピュータ実装方法。
  14. 前記受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、前記CLIは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項8に記載のコンピュータ実装方法。
  15. プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、前記プログラム命令は、プロセッサ上で実行されると、前記プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用される方法を実施させ、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
    前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
    前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
    前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、有形の非一時的コンピュータ可読媒体。
  16. 前記共通フィールドは、
    検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。
  17. 前記共通フィールドの前記値は、
    検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
    前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
    検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
    特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
    検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。
  18. 特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
    ユーザへの前記GUIの配信を引き起こすことと、
    前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を行うGUIジェネレータを更に含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。
  19. アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、請求項15に記載の有形の非一時的コンピュータ可読媒体。
  20. データ構造パーサを更に含み、前記データ構造パーサは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項15に記載の有形の非一時的コンピュータ可読媒体。
  21. 前記受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、前記CLIは、
    特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項15に記載の有形の非一時的コンピュータ可読媒体。
JP2023545960A 2021-01-30 2022-01-27 クラウドにおける統合ポリシー施行管理 Pending JP2024505527A (ja)

Applications Claiming Priority (11)

Application Number Priority Date Filing Date Title
US17/163,411 US11848949B2 (en) 2021-01-30 2021-01-30 Dynamic distribution of unified policies in a cloud-based policy enforcement system
US17/163,416 2021-01-30
US17/163,416 US11777993B2 (en) 2021-01-30 2021-01-30 Unified system for detecting policy enforcement issues in a cloud-based environment
US17/163,408 US11159576B1 (en) 2021-01-30 2021-01-30 Unified policy enforcement management in the cloud
US17/163,415 2021-01-30
US17/163,408 2021-01-30
US17/163,411 2021-01-30
US17/163,415 US12015619B2 (en) 2021-01-30 2021-01-30 Dynamic routing of access request streams in a unified policy enforcement system
US17/384,618 2021-07-23
US17/384,618 US20220247788A1 (en) 2021-01-30 2021-07-23 Computer-based policy manager for cloud-based unified functions
PCT/US2022/014134 WO2022165061A1 (en) 2021-01-30 2022-01-27 Unified policy enforcement management in the cloud

Publications (1)

Publication Number Publication Date
JP2024505527A true JP2024505527A (ja) 2024-02-06

Family

ID=82653892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023545960A Pending JP2024505527A (ja) 2021-01-30 2022-01-27 クラウドにおける統合ポリシー施行管理

Country Status (3)

Country Link
JP (1) JP2024505527A (ja)
DE (1) DE112022000856T5 (ja)
WO (1) WO2022165061A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11528279B1 (en) 2021-11-12 2022-12-13 Netskope, Inc. Automatic user directory synchronization and troubleshooting
US11936622B1 (en) * 2023-09-18 2024-03-19 Wiz, Inc. Techniques for cybersecurity risk-based firewall configuration

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9270765B2 (en) 2013-03-06 2016-02-23 Netskope, Inc. Security for network delivered services
KR102264437B1 (ko) * 2015-03-09 2021-06-15 삼성전자 주식회사 웹 서비스 제공 방법 및 장치
US9928377B2 (en) 2015-03-19 2018-03-27 Netskope, Inc. Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
US10349304B2 (en) * 2015-09-23 2019-07-09 Cloudflare, Inc. Software defined dynamic filtering
US10868737B2 (en) * 2016-10-26 2020-12-15 Arizona Board Of Regents On Behalf Of Arizona State University Security policy analysis framework for distributed software defined networking (SDN) based cloud environments
US10848461B2 (en) * 2018-01-26 2020-11-24 Nicira, Inc. Unified security policies across virtual private clouds with overlapping IP address blocks
US11411967B2 (en) * 2018-11-30 2022-08-09 Cisco Technology, Inc. Synergistic DNS security update
US10986150B2 (en) 2019-03-01 2021-04-20 Netskope, Inc. Load balancing in a dynamic scalable services mesh
US11159576B1 (en) 2021-01-30 2021-10-26 Netskope, Inc. Unified policy enforcement management in the cloud

Also Published As

Publication number Publication date
WO2022165061A1 (en) 2022-08-04
DE112022000856T5 (de) 2023-11-30

Similar Documents

Publication Publication Date Title
US11159576B1 (en) Unified policy enforcement management in the cloud
US11381617B2 (en) Failure recovery for cloud-based services
US11856026B2 (en) Selective deep inspection in security enforcement by a network security system (NSS)
US11848949B2 (en) Dynamic distribution of unified policies in a cloud-based policy enforcement system
US20210250333A1 (en) Private application access with browser isolation
US11178188B1 (en) Synthetic request injection to generate metadata for cloud policy enforcement
US11303647B1 (en) Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement
US11831683B2 (en) Cloud object security posture management
US11985168B2 (en) Synthetic request injection for secure access service edge (SASE) cloud architecture
US11831685B2 (en) Application-specific data flow for synthetic request injection
US11777993B2 (en) Unified system for detecting policy enforcement issues in a cloud-based environment
EP3535949A1 (en) Non-intrusive security enforcement for federated single sign-on (sso)
US11336698B1 (en) Synthetic request injection for cloud policy enforcement
US11271973B1 (en) Synthetic request injection to retrieve object metadata for cloud policy enforcement
US12015619B2 (en) Dynamic routing of access request streams in a unified policy enforcement system
US11647052B2 (en) Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US11089047B1 (en) Systems and methods for monitoring and displaying security posture and risk
JP2024505527A (ja) クラウドにおける統合ポリシー施行管理
US20240028721A1 (en) Utilizing Machine Learning to detect malicious executable files efficiently and effectively
US20230015603A1 (en) Maintaining dependencies in a set of rules for security scanning
US11503038B1 (en) Policy enforcement and visibility for IaaS and SaaS open APIs
US11811779B2 (en) Securing collaboration tools against unauthorized data exfiltration
US20230412638A1 (en) Systems and methods for providing a native browser experience for Cloud Browser Isolation (CBI) environments
US20240111821A1 (en) Systems and methods for providing multi-tab browser isolation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230829

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240403

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240619