JP2024505527A - クラウドにおける統合ポリシー施行管理 - Google Patents
クラウドにおける統合ポリシー施行管理 Download PDFInfo
- Publication number
- JP2024505527A JP2024505527A JP2023545960A JP2023545960A JP2024505527A JP 2024505527 A JP2024505527 A JP 2024505527A JP 2023545960 A JP2023545960 A JP 2023545960A JP 2023545960 A JP2023545960 A JP 2023545960A JP 2024505527 A JP2024505527 A JP 2024505527A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- cloud
- policy
- inspection
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007689 inspection Methods 0.000 claims abstract description 269
- 230000006870 function Effects 0.000 claims abstract description 248
- 230000000694 effects Effects 0.000 claims abstract description 217
- 230000010354 integration Effects 0.000 claims abstract description 126
- 238000001514 detection method Methods 0.000 claims abstract description 125
- 238000000034 method Methods 0.000 claims description 161
- 230000009471 action Effects 0.000 claims description 85
- 230000008569 process Effects 0.000 claims description 50
- 230000001960 triggered effect Effects 0.000 claims description 27
- 238000012360 testing method Methods 0.000 claims description 23
- 238000012384 transportation and delivery Methods 0.000 claims description 19
- 230000000903 blocking effect Effects 0.000 claims description 17
- 230000036244 malformation Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 abstract description 27
- 238000010586 diagram Methods 0.000 abstract description 17
- 230000004044 response Effects 0.000 description 149
- 238000012545 processing Methods 0.000 description 74
- 238000007781 pre-processing Methods 0.000 description 42
- 238000007726 management method Methods 0.000 description 20
- 230000002265 prevention Effects 0.000 description 15
- 230000008520 organization Effects 0.000 description 14
- 238000012546 transfer Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000002730 additional effect Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 7
- 206010058314 Dysplasia Diseases 0.000 description 6
- 238000013459 approach Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 102100035606 Beta-casein Human genes 0.000 description 3
- 101000947120 Homo sapiens Beta-casein Proteins 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 239000004316 dimethyl dicarbonate Substances 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 101710102686 Dual function macrocyclase-peptidase POPB Proteins 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000032297 kinesis Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
2021年1月30日に出願された「Dynamic Distribution of Unified Policies in a Cloud-Based Policy Enforcement System」と題する米国非仮特許出願第17/163,411号(代理人整理番号NSKO1041-1)、
2021年1月30日に出願された「Dynamic Routing of Access Request Streams in a Unified Policy Enforcement System」と題する米国非仮特許出願第17/163,415号(代理人整理番号NSKO1042-1)、並びに
2021年1月30日に出願された「Unified System for Detecting Policy Enforcement Issues in a Cloud-Based Environment」と題する米国非仮特許出願第17/163,416号(代理人整理番号NSKO1043-1)の利益を主張するものである。
2019年3月1日に出願された「Recovery from Failure in a Dynamic Scalable Services Mesh」と題する米国仮特許出願第62/812,791号(代理人整理番号NSKO1025-2)の利益を主張する、現在は2020年12月15日に発行された米国特許第10,868,845号である、2020年3月2日に出願された「Recovery From Failure in a Dynamic Scalable Services Mesh」と題する米国非仮特許出願第16/807,132号(代理人整理番号NSKO1025-4)、
現在は2016年2月23日に発行された米国特許第9,270,765号である、2014年3月5日に出願された「Security for Network Delivered Services」と題する米国非仮特許出願第14/198,508号(代理人整理番号NSKO1000-3)、
現在は2016年7月19日に発行された米国特許第9,398,102号である、2014年3月5日に出願された「Security for Network Delivered Services」と題する米国仮特許出願第14/198,499号(代理人整理番号NSKO1000-2)、
現在は2018年3月27日に発行された米国特許第9,928,377号である、2015年8月25日に出願された「Systems and Methods of Monitoring and Controlling Enterprise Information Stored on a Cloud Computing Service(CCS)」と題する米国非仮特許出願第14/835,640号(代理人整理番号NSKO1001-2)、
2016年3月11日に出願された「Systems and Methods of Enforcing Multi-Part Policies om Data-Deficient Transactions of Cloud Computing Services」と題する米国仮特許出願第62/307,305号(代理人整理番号NSKO1003-1)の利益を主張する、2016年12月2日に出願された「Middle Ware Security Layer for Cloud Computing Services」と題する米国非仮特許出願第15/368,246号(代理人整理番号NSKO1003-3)、
「Cloud Security for Dummies,Netskope Special Edition」by Cheng,Ithal,Narayanaswamy,and Malmskog,John Wiley & Sons,Inc.2015,
「Netskope Introspection」 by Netskope,Inc.,
「Data Loss Prevention and Monitoring in the Cloud」 by Netskope,Inc.,
「Cloud Data Loss Prevention Reference Architecture」 by Netskope,Inc.,
「The 5 Steps to Cloud Confidence」 by Netskope,Inc.,
「The Netskope Active Platform」 by Netskope,Inc.
「The Netskope Advantage:Three “Must-Have” Requirements for Cloud Access Security Brokers」 by Netskope,Inc.,
「The 15 Critical CASB Use Cases」 by Netskope,Inc.
「Netskope Active Cloud DLP」 by Netskope,Inc.,
「Repave the Cloud-Data Breach Collision Course」 by Netskope,Inc.、及び
「Netskope Cloud Confidence Index(商標)」 by Netskope,Inc.
頭字語
図1は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供するためのシステム100のアーキテクチャレベル概略図を示している。図1はアーキテクチャ図であるため、説明をより明確にするために、一部の詳細は意図的に省略されている。図1の説明は以下のように構成される。最初に、図の要素について説明し、その後、それらの相互接続について説明する。次に、システムにおける要素の使用をより詳細に説明する。
Src[ユーザ、グループ、組織ユニット、IP/ポート、…]
Dst[アプリ、カテゴリ、IP/ポート、ドメイン、…]
プロトコル{TCP、UDP、ICMP、…]
アクティビティ[アップロード、ダウンロード、プレビュー、…]
アクション[許可、ブロック、アラート、バイパス、隔離、コーチ、…]
Src=任意、dst=0365、プロトコル=任意、アクション=許可
Src=任意、カテゴリ=ストレージ、プロトコル=任意、アクティビティ=ダウンロード、プロファイル=DLP、アクション=ブロック
Src=ユーザグループ1、dst app=Google apps、プロトコル=任意、アクティビティ=任意、プロファイル=任意、アクション=許可
図10は、ポリシーマネージャによってクラウドベースのセキュリティシステムに適用される、クラウドにおける統合セキュリティポリシー管理の代表的なコンピュータ実装方法を示し、該クラウドベースのセキュリティシステムは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する。フローチャート1000は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された1つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図10に示すものとは異なる順序で、かつ/又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム805を含むシステムを参照して説明される。
図14は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシーマネージャデバイスを実装するために使用され得るコンピュータシステム1400の簡略化されたブロック図である。コンピュータシステム1400はまた、クラウドベースのセキュリティシステムにおいて統合セキュリティポリシーの動的分散を実装し、統合セキュリティシステムにおいてアクセス要求ストリームを動的にルーティングし、クラウドベースの環境においてセキュリティ問題を検出するために使用可能である。コンピュータシステム1400は、バスサブシステム1455を介して一部の周辺デバイスと通信する少なくとも1つの中央処理装置(CPU)1472と、本明細書で説明されるネットワークセキュリティサービスを提供するためのクラウドベースの統合セキュリティシステム805とを含む。これらの周辺デバイスは、例えば、メモリデバイス及びファイルストレージサブシステム1436を含むストレージサブシステム1410と、ユーザインターフェース入力デバイス1438と、ユーザインターフェース出力デバイス1476と、ネットワークインターフェースサブシステム1474とを含むことができる。入力及び出力デバイスは、コンピュータシステム1400とのユーザ対話を可能にする。ネットワークインターフェースサブシステム1474は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。
検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びにコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムのための一部の特定の実装形態及び特徴が、以下の議論で説明される。
以下の条項を開示する。
条項セット1
1.検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
コンピューティングプロセッサと、
コンピューティングプロセッサによって実装され、統合機能のうちの2つ以上によって共有される共通フィールドを含むクラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのデータマネージャと、
コンピューティングプロセッサによって実装された指定レシーバ及びストレージコンポーネントであって、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、指定レシーバ及びストレージコンポーネントと、
コンピューティングプロセッサによって実装され、クラウドベースの統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、を含み、
(a)コンピューティングプロセッサによって実装されるパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡し、
(b)コンピューティングプロセッサによって実装されるプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡し、
(c)コンピューティングプロセッサによって実装される脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求又は応答を渡し、
(d)コンピューティングプロセッサによって実装されるアクティビティのコンテキスト化は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装ポリシーマネージャデバイス。
2.共通フィールドは、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、条項1に記載のポリシーマネージャデバイス。
3.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項1に記載のポリシーマネージャデバイス。
4.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を行うブラウザベース及びクライアントベースのGUIジェネレータのうちの1つを更に含む、条項1に記載のポリシーマネージャデバイス。
5.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、条項1に記載のポリシーマネージャデバイス。
6.データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項1に記載のポリシーマネージャデバイス。
7.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、条項1に記載のポリシーマネージャデバイス。
8.ポリシーマネージャによって、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムに適用されるコンピュータ実装方法であって、方法は、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
(a)パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
(b)プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(c)脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(d)アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装方法。
9.共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項8に記載のコンピュータ実装方法。
10.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項8に記載のコンピュータ実装方法。
11.GUIジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を更に含む、条項8に記載のコンピュータ実装方法。
12.アプリケーションプログラムインターフェースが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信すること、を更に含む、条項8に記載のコンピュータ実装方法。
13.データ構造パーサが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、条項8に記載のコンピュータ実装方法。
14.受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項8に記載のコンピュータ実装方法。
15.プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
(a)パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
(b)プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第2の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(c)脅威検出は、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
(d)アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡すことを含む、有形の非一時的コンピュータ可読媒体。
16.共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
17.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
18.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへのGUIの配信を引き起こすことと、
統合機能のうちの1つ以上に適用可能なポリシーを指定するGUIからの選択をユーザから受信することと、を行うGUIジェネレータを更に含む、条項15に記載の有形の非一時的コンピュータ可読媒体。
19.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、条項15に記載の有形の非一時的コンピュータ可読媒体。
20.データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項15に記載の有形の非一時的コンピュータ可読媒体。
21.受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、CLIは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
条項セット2
1.検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶する、ポリシーマネージャデバイスに結合されるデータマネージャと、
統合機能の中の各機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、
統合機能の各々から、共通フィールドに記憶されたポリシー指定についての要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、要求に応答する値を、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中のそれぞれの要求機能に返すための手段と、を含む、コンピュータ実装ポリシーマネージャデバイス。
2.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
3.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、任意のトラフィック、指定されたユーザ、指定されたグループ、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
4.受信するための手段は、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するGUIを生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を行うように構成されたブラウザベース及びクライアントベースのグラフィカルユーザインターフェース(略してGUI)ジェネレータのうちの1つを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
5.クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたアプリケーションプログラムインターフェースを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
6.クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたデータ構造パーサを含む、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
7.受信するための手段は、コマンドラインインターフェース(略してCLI)を含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行うように構成されている、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
8.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項1に記載のコンピュータ実装ポリシーマネージャデバイス。
9.検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムにポリシーマネージャによって適用されるコンピュータ実装方法であって、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、コンピュータ実装方法。
10.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項9に記載のコンピュータ実装方法。
11.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項9に記載のコンピュータ実装方法。
12.GUIジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を含む、条項9に記載のコンピュータ実装方法。
13.アプリケーションプログラムインターフェースが、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項9に記載のコンピュータ実装方法。
14.データ構造パーサが、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項9に記載のコンピュータ実装方法。
15.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項9に記載のコンピュータ実装方法。
16.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項9に記載のコンピュータ実装方法。
17.プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの2つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、有形の非一時的コンピュータ可読媒体。
18.統合機能のうちの2つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
19.共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
20.特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザから、クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、ポリシーの指定でGUIをポピュレートし、ユーザへのGUIの配信を引き起こすことと、を行うGUIジェネレータを更に含む、条項17に記載の有形の非一時的コンピュータ可読媒体。
21.アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
22.データ構造パーサを更に含み、データ構造パーサは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返される統合機能のうちの少なくとも1つの識別とを含むデータ構造を受信することと、
クエリに応答して、1つ以上のポリシーのためのキー-値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
23.コマンドラインインターフェース(略してCLI)を更に含み、CLIは、
クエリと、クエリに応答する1つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも1つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項17に記載の有形の非一時的コンピュータ可読媒体。
24.(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第2の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出は、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項17に記載の有形の非一時的コンピュータ可読媒体。
条項セット3
1.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために構成可能なクラウドベースのコンポーネントのセキュリティシステムであって、システムは、
パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送するように構成されたパケット及びストリームルータであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類するように構成され、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出(SWG)及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施するように構成され、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、パケット及びストリームルータと、
第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
2.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項1に記載のシステム。
3.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項1に記載のシステム。
4.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項1に記載のシステム。
5.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項1に記載のシステム。
6.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項1に記載のシステム。
7.制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項1に記載のシステム。
8.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、方法。
9.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項8に記載の方法。
10.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項8に記載の方法。
11.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項8に記載の方法。
12.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項8に記載の方法。
13.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項8に記載の方法。
14.制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項8に記載の方法。
15.プロセッサ上で実行されると、プロセッサに、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント(a)~(d)の全てを介して、少なくとも、コンポーネントのうちの1つが着信アクセス要求に対応する少なくとも1つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第1の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出(SWG)及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
(b)プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが1つ以上の悪意のあるシグネチャを保持するとき、第2の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(c)脅威検出が、着信アクセス要求がHTTP/Sストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第3の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
(d)アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第4の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、有形の非一時的コンピュータ可読媒体。
16.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、着信アクセスストリームを(a)パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
17.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
18.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
19.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
20.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項15に記載の有形の非一時的コンピュータ可読媒体。
条項セット4
1.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及びコンテンツ検査のために構成可能なクラウドベースのコンポーネントの統合セキュリティシステムであって、システムは、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡すように構成され、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、第2の制限状態を設定するか、又は要求若しくは応答を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて要求又は応答に対してディープパケット検査を実施するように構成され、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求又は応答を渡すように構成され、
(d)クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡すように構成されることと、
第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
2.パケット及びストリームルータは、コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して要求又は応答を渡すように構成されている、条項1に記載のシステム。
3.コンポーネント(a)~(d)は、要求又は応答処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項1に記載のシステム。
4.コンポーネント(a)~(d)は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、制限状態メッセージを共通状態ストアに送信するように構成されている、条項1に記載のシステム。
5.コンポーネント(a)~(d)は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、共通フラグストア内に制限状態フラグを設定するように構成されている、条項1に記載のシステム。
6.コンポーネント(a)~(d)は、要求又は応答処理が第1のコンポーネントから最後のコンポーネントに進むにつれて、制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項1に記載のシステム。
7.(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化及びコンテンツ検査のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法であって、方法は、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡し、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡し、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡し、
(d)クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、方法。
8.コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項7に記載の方法。
9.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項7に記載の方法。
10.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項7に記載の方法。
11.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項7に記載の方法。
12.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項7に記載の方法。
13.プロセッサ上で実行されると、プロセッサに、(a)パケットレベルのアクセス制御及びトラフィック検査、(b)プロトコルレベルのアクセス制御及びトラフィック検査、(c)脅威検出、並びに(d)アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第1の制限状態を設定するか、又は要求又は応答を渡し、
(b)クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第2の制限状態を設定し、又は要求若しくは応答を渡し、
(c)クラウドベースの脅威検出が、要求又は応答がHTTP/Sストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第3の制限状態を設定するか、又は要求若しくは応答を渡し、
(d)クラウドベースのアクティビティのコンテキスト化が、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるHTTP/Sストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第4の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第1の、第2の、第3の、又は第4の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、有形の非一時的コンピュータ可読媒体。
14.コンポーネント(b)~(d)の前に、(a)クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項13に記載の有形の非一時的コンピュータ可読媒体。
15.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
16.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
17.コンポーネント(a)~(d)は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
18.コンポーネント(a)~(d)は、着信アクセスストリーム処理が第1のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第1のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項13に記載の有形の非一時的コンピュータ可読媒体。
Claims (21)
- 検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、
前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査し、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施し、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定し、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識し、
前記ポリシーマネージャデバイスは、
前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのコンピュータ実装データマネージャと、
コンピュータ実装指定レシーバであって、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、前記指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、コンピュータ実装指定レシーバと、
前記クラウドベースの統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させるように構成されたコンピュータ実装ポリシーマネージャと、を含む、コンピュータ実装ポリシーマネージャデバイス。 - 前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - 前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - 特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへの前記GUIの配信を引き起こすことと、
前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を行うブラウザベース及びクライアントベースのGUIジェネレータのうちの1つを更に含む、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - データ構造パーサを更に含み、前記データ構造パーサは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - コマンドラインインターフェース(略してCLI)を更に含み、前記CLIは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、請求項1に記載のコンピュータ実装ポリシーマネージャデバイス。 - 検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用されるコンピュータ実装方法であって、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、方法。 - 前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項8に記載のコンピュータ実装方法。 - 前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項8に記載のコンピュータ実装方法。 - GUIジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへの前記GUIの配信を引き起こすことと、
前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を更に含む、請求項8に記載のコンピュータ実装方法。 - アプリケーションプログラムインターフェースが、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信すること、を更に含む、請求項8に記載のコンピュータ実装方法。 - データ構造パーサが、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、請求項8に記載のコンピュータ実装方法。 - 前記受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、前記CLIは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項8に記載のコンピュータ実装方法。 - プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、前記プログラム命令は、プロセッサ上で実行されると、前記プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用される方法を実施させ、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、HTTP/Sストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするHTTP/Sストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
前記統合機能のうちの2つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、有形の非一時的コンピュータ可読媒体。 - 前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。 - 前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、IPアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、HTTP/S、TCP、UDP、又はICMPと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの1つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。 - 特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース(略してGUI)を生成することと、
ユーザへの前記GUIの配信を引き起こすことと、
前記統合機能のうちの1つ以上に適用可能なポリシーを指定する前記GUIからの選択を前記ユーザから受信することと、を行うGUIジェネレータを更に含む、請求項15に記載の有形の非一時的コンピュータ可読媒体。 - アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造を受信する、請求項15に記載の有形の非一時的コンピュータ可読媒体。 - データ構造パーサを更に含み、前記データ構造パーサは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項15に記載の有形の非一時的コンピュータ可読媒体。 - 前記受信することは、コマンドラインインターフェース(略してCLI)を使用することを含み、前記CLIは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー-値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項15に記載の有形の非一時的コンピュータ可読媒体。
Applications Claiming Priority (11)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/163,411 US11848949B2 (en) | 2021-01-30 | 2021-01-30 | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
US17/163,416 | 2021-01-30 | ||
US17/163,416 US11777993B2 (en) | 2021-01-30 | 2021-01-30 | Unified system for detecting policy enforcement issues in a cloud-based environment |
US17/163,408 US11159576B1 (en) | 2021-01-30 | 2021-01-30 | Unified policy enforcement management in the cloud |
US17/163,415 | 2021-01-30 | ||
US17/163,408 | 2021-01-30 | ||
US17/163,411 | 2021-01-30 | ||
US17/163,415 US12015619B2 (en) | 2021-01-30 | 2021-01-30 | Dynamic routing of access request streams in a unified policy enforcement system |
US17/384,618 | 2021-07-23 | ||
US17/384,618 US20220247788A1 (en) | 2021-01-30 | 2021-07-23 | Computer-based policy manager for cloud-based unified functions |
PCT/US2022/014134 WO2022165061A1 (en) | 2021-01-30 | 2022-01-27 | Unified policy enforcement management in the cloud |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024505527A true JP2024505527A (ja) | 2024-02-06 |
Family
ID=82653892
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023545960A Pending JP2024505527A (ja) | 2021-01-30 | 2022-01-27 | クラウドにおける統合ポリシー施行管理 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP2024505527A (ja) |
DE (1) | DE112022000856T5 (ja) |
WO (1) | WO2022165061A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11528279B1 (en) | 2021-11-12 | 2022-12-13 | Netskope, Inc. | Automatic user directory synchronization and troubleshooting |
US11936622B1 (en) * | 2023-09-18 | 2024-03-19 | Wiz, Inc. | Techniques for cybersecurity risk-based firewall configuration |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9270765B2 (en) | 2013-03-06 | 2016-02-23 | Netskope, Inc. | Security for network delivered services |
KR102264437B1 (ko) * | 2015-03-09 | 2021-06-15 | 삼성전자 주식회사 | 웹 서비스 제공 방법 및 장치 |
US9928377B2 (en) | 2015-03-19 | 2018-03-27 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS) |
US10349304B2 (en) * | 2015-09-23 | 2019-07-09 | Cloudflare, Inc. | Software defined dynamic filtering |
US10868737B2 (en) * | 2016-10-26 | 2020-12-15 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (SDN) based cloud environments |
US10848461B2 (en) * | 2018-01-26 | 2020-11-24 | Nicira, Inc. | Unified security policies across virtual private clouds with overlapping IP address blocks |
US11411967B2 (en) * | 2018-11-30 | 2022-08-09 | Cisco Technology, Inc. | Synergistic DNS security update |
US10986150B2 (en) | 2019-03-01 | 2021-04-20 | Netskope, Inc. | Load balancing in a dynamic scalable services mesh |
US11159576B1 (en) | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
-
2022
- 2022-01-27 WO PCT/US2022/014134 patent/WO2022165061A1/en active Application Filing
- 2022-01-27 JP JP2023545960A patent/JP2024505527A/ja active Pending
- 2022-01-27 DE DE112022000856.3T patent/DE112022000856T5/de active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2022165061A1 (en) | 2022-08-04 |
DE112022000856T5 (de) | 2023-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11159576B1 (en) | Unified policy enforcement management in the cloud | |
US11381617B2 (en) | Failure recovery for cloud-based services | |
US11856026B2 (en) | Selective deep inspection in security enforcement by a network security system (NSS) | |
US11848949B2 (en) | Dynamic distribution of unified policies in a cloud-based policy enforcement system | |
US20210250333A1 (en) | Private application access with browser isolation | |
US11178188B1 (en) | Synthetic request injection to generate metadata for cloud policy enforcement | |
US11303647B1 (en) | Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement | |
US11831683B2 (en) | Cloud object security posture management | |
US11985168B2 (en) | Synthetic request injection for secure access service edge (SASE) cloud architecture | |
US11831685B2 (en) | Application-specific data flow for synthetic request injection | |
US11777993B2 (en) | Unified system for detecting policy enforcement issues in a cloud-based environment | |
EP3535949A1 (en) | Non-intrusive security enforcement for federated single sign-on (sso) | |
US11336698B1 (en) | Synthetic request injection for cloud policy enforcement | |
US11271973B1 (en) | Synthetic request injection to retrieve object metadata for cloud policy enforcement | |
US12015619B2 (en) | Dynamic routing of access request streams in a unified policy enforcement system | |
US11647052B2 (en) | Synthetic request injection to retrieve expired metadata for cloud policy enforcement | |
US11089047B1 (en) | Systems and methods for monitoring and displaying security posture and risk | |
JP2024505527A (ja) | クラウドにおける統合ポリシー施行管理 | |
US20240028721A1 (en) | Utilizing Machine Learning to detect malicious executable files efficiently and effectively | |
US20230015603A1 (en) | Maintaining dependencies in a set of rules for security scanning | |
US11503038B1 (en) | Policy enforcement and visibility for IaaS and SaaS open APIs | |
US11811779B2 (en) | Securing collaboration tools against unauthorized data exfiltration | |
US20230412638A1 (en) | Systems and methods for providing a native browser experience for Cloud Browser Isolation (CBI) environments | |
US20240111821A1 (en) | Systems and methods for providing multi-tab browser isolation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230829 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240207 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240403 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240619 |