JP5346010B2 - ポリシー管理基盤 - Google Patents

ポリシー管理基盤 Download PDF

Info

Publication number
JP5346010B2
JP5346010B2 JP2010504140A JP2010504140A JP5346010B2 JP 5346010 B2 JP5346010 B2 JP 5346010B2 JP 2010504140 A JP2010504140 A JP 2010504140A JP 2010504140 A JP2010504140 A JP 2010504140A JP 5346010 B2 JP5346010 B2 JP 5346010B2
Authority
JP
Japan
Prior art keywords
policy
meta
policies
computer
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010504140A
Other languages
English (en)
Other versions
JP2010525451A (ja
Inventor
ビー.ヴィンベルグ アンダース
ナヴィード モハメド マズハル
ピー.バーンズ スティーブン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2010525451A publication Critical patent/JP2010525451A/ja
Application granted granted Critical
Publication of JP5346010B2 publication Critical patent/JP5346010B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Operations Research (AREA)
  • Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Marketing (AREA)
  • Development Economics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Game Theory and Decision Science (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本発明は、コンピュータ実行型のポリシー管理方法に関する。
コンピュータ関連企業は一般に、互いに相互作用する様々なコンピューティング・コンポーネント(computing component)を有する。係るコンピューティング・コンポーネントは、1つまたは複数のネットワーク、アプリケーション、サービス、およびシステムを含むことがある。コンピュータ関連企業ではしばしば、個々のコンポーネントと複数のコンポーネントから成るグループとを管理および制御するためのポリシーが実装されている。例えば、あるシステムが別のシステムに対して有するアクセス権を制限するためのネットワーク・セキュリティ・ポリシーがしばしば使用される。
幾つかの事例では、ポリシーは人を、少なくともその人が個人または複数のコンピューティング・コンポーネントから成るグループと相互作用することに関して、間接的に管理および制御する。例えば、セキュリティ・ポリシーを特定のユーザと関連付けて、係るユーザがどのシステムからアクセスするかに関わらず、係るユーザが同じシステムおよびデータにアクセスできるようにすることができる。
本明細書の文脈で特に明記しない限り、本明細書では「ポリシー」は、コンピューティング・コンポーネント(または複数のコンポーネントから成るグループ)がどのようなものであるべきか、またはどのように振る舞うべきかの宣言的な記述を指すと理解すべきである。ポリシーは命令の手続き的リストではない。さらに、本明細書では「ポリシー」を、1つもしくは複数のコンポーネントの状態の述語、および/または1つもしくは複数のコンポーネントの振る舞いの述語と理解することができる。さらに、「ポリシー」は専ら、1つまたは複数のコンポーネントによって実行される動作を対象とする。一般に、ポリシーは管理すべきものを対象とする。
ポリシー・ベースの解決策はしばしば、コンピュータ関連企業における複雑性、規模およびダイナミクスを管理する中核を成している。しかし、従来のポリシー・ベースのアプローチは、様々なコンピュータ関連企業において見出される多様な特定のシナリオにわたっては不十分であり、断片化している。典型的なシナリオの例には、デプロイメント、セキュリティ、ネットワーク、および記憶装置の管理がある。
普遍的なポリシー言語は存在しない。一般に、各特定のシナリオ(例えば、データ保護またはファイアウォール)には、独自の特化したポリシー言語、構文、意味、ポリシー作成ユーザ・インタフェース、および特性を使用した独自のポリシー・ベースの解決策がある。
今日まで、様々なコンピュータ関連企業において見出される多様なシナリオを全体的に管理するための要件の全てをサポートする、普遍的なポリシー・ベースの解決策は存在しない。
本明細書では、コンピュータ環境における多様なシナリオにわたって普遍的なポリシー・ベースの解決策を提供する、ポリシー管理基盤の1つまたは複数の実装形態を説明する。ポリシー管理基盤の少なくとも1つの実装形態では、ポリシー・ベースのデータが他の階層のデータに対してどのように構造化または階層化されるかを定義する。さらに、説明した実装形態では、ポリシーの「重複」および「衝突」を決定する機構を提供する。
本概要は、選択した概念を簡潔な形で導入するために提供している。その概念は、後の[発明を実施するための形態]でさらに説明する。本[発明の概要]は、特許請求の範囲の主題の主要な特徴または本質的な特徴を特定しようとするものではなく、特許請求の範囲の主題の範囲の決定を支援するために使用しようとするものでもない。
図面全体にわたって、同様の要素および同様の機能を参照するために同じ番号を使用している。
本明細書で説明するポリシー管理基盤の1つまたは複数の実装形態をサポートする例示的なシナリオを示し、かつポリシー管理基盤の論理的構成も示す図である。 本明細書で説明する方法論的な実装形態の流れ図である。
典型的なシナリオでは、ポリシーはサービス(または、より厳密に言うと、そのサービスのモデル)を対象とし、当該ポリシーを、当該サービスを構成する様々なシステムに適用し、適合させる。対象システムに直接、変更が加えられ、または変更が試みられても、システムが当該ポリシーに従うように、または当該ポリシーとの任意の不一致が決まるように、ポリシーを対象システムに適用し、適合させる。しかし、様々なシナリオに対して多様な種類のポリシー・ベースの解決策があり、それらのシナリオの下で当該解決策を適用することができる。
本明細書では、様々なコンピュータ関連企業において見出される多様なシナリオを全体的に管理するための要件の全てをサポートする普遍的なポリシー・ベースの解決策に対する、1つまたは複数の実装形態を説明する。本明細書で説明する普遍的なポリシー・ベースの解決策は、ポリシー・ベースのデータが他の階層のデータに対してどのように構造化または階層化されるかを定義するポリシー管理基盤を提供する。
一般に、このポリシー管理基盤(すなわち、アーキテクチャ)はドメイン全体にわたって共通で共有されるポリシーの態様を利用する。より詳細には、当該基盤は多種多様のポリシーによって共通して参照される幾つかの典型的な名前空間を利用する。これらのポリシーは、(限定ではなく例として)以下のような様々なシナリオで使用される。
・ ソフトウェアデプロイメント
・ パッチング
・ 構成管理
・ 脆弱性評価
・ データ保護(バックアップ)
・ データ保持
・ 認証
・ 承認
・ 監査
・ 情報保護(DRM)
・ 侵入検出
・ 侵入防止
・ アンチ・マルウェア
・ ファイアウォール
・ ネットワーク・アクセス保護
・ 健全性監視
・ サービス・レベル監視
・ 負荷分散
・ 在庫
・ ライセンス管理
・ 利用量測定
・ 分離境界上でのコンテクスト共有
・ タスク実行およびジョブ実行
・ 災害復旧
・ 作業負荷管理
・ リソース管理
・ オンデマンド・リソース割当て
・ 電源管理および冷却管理
・ 変更管理およびワークフロー
・ 配布管理およびリリース管理
このポリシー管理基盤は、普遍的なポリシー言語ではなく、既存のドメイン固有のポリシー・ベースの解決策を合理化し、各特定のシナリオ(例えば、データ保護またはファイアウォール)に対する解決策と協調する。この合理化は、少なくとも部分的には、特定した共通名前空間を当該基盤が利用することによって、および普遍的なメタ・ポリシーを定義することによって、達成される。
メタ・ポリシーはポリシーの振る舞いを制御する。メタ・ポリシーは、1つまたは複数のポリシーをどのように、いつ、どこで適用および管理すべきかを宣言的に記述するものである。すなわち、メタ・ポリシーはポリシーのポリシーである。
本明細書中の用語として、システムは1つまたは複数のコンピューティング・コンポーネントであり、モデルはシステム、その構成要素およびその構成要素の関係を記述し、ポリシーはシステムの見え方と振る舞い方を述べ、ポリシーはモデルに適用され、それ故、実世界のシステムに適用され、メタ・ポリシーはポリシーがどのように適用および管理されるかを記述する。
ポリシー管理基盤
図1は、本明細書で説明する1つまたは複数の実装形態に従うポリシー管理基盤100の配置構成を示す。ポリシー管理基盤100は、ポリシー管理システム110と、数層のメタ・ポリシー122および関連するサポート用の共通名前空間124を含むポリシー管理データ・モデル120とを含む。ポリシー管理システム110は、本明細書で説明するポリシー管理基盤100に基づいてポリシー管理向けのロジックを実行する1つまたは複数のプログラム・モジュールである。ポリシー管理データ・モデル120は、本明細書で説明するポリシー管理基盤100内部のデータの編成と関係を定義する。
図示したように、ポリシー管理システム110およびポリシー管理データ・モデル120は、コンピュータ132のメモリ130内部で記憶および/または処理される。コンピュータ132は一般に、(メモリ130を含む)様々なプロセッサ可読媒体を含む。係る媒体は、コンピュータ132によってアクセス可能な任意の使用可能媒体であり、揮発性および不揮発性媒体と、取外し可能および取外し不能媒体の両方を含む。コンピュータ132は、1つまたは複数の他のネットワーク・コンピュータ134に接続することができる。これらのネットワーク・コンピュータはポリシーの対象ノードになることができる。
ポリシー管理基盤100を使用して、ポリシー管理システム110は幾つかの目的のためにポリシー上で推論を行う。例えば、ポリシー間の衝突は、推論が必要となる一般的な状況である。例えば、アリスがファイアウォールを起動すると言い、スーパー管理者であるボブがファイアウォールを停止すると言い、これらのポリシーが同じシステムに同時に適用されれば、ポリシー管理システム110は(ポリシー管理基盤を使用して)衝突を検出し、アリスに彼女のポリシーが無効にされたことを通知する。逆に、アリスのポリシーが有効であり、ボブがポリシーを有効にした場合、ボブには彼がアリスに何をしたかを伝えるべきである。
適用範囲の検証は、ポリシー管理システム110がポリシー上で推論するための別の良い理由である。基盤を使用すると、ポリシー管理システム110は、ポリシーが各リソースに対して全ての時点で有効であることを検証することができる。影響分析は、ポリシー管理システム110がポリシー上で推論するための別の良い理由である。ある人がポリシーを変更した場合、基盤はどのシステムが影響を受けるかの判定を支援することができる。例えば、隔離されているセキュリティ・ポリシーにある人が変更を加えた場合、何人のユーザが明日の朝に企業内ネットワークにログインできなくなるか、それらのユーザのうち何人が部長であるか、ということについてである。
メタ・ポリシー階層
図示したように、ポリシー管理データ・モデル120は、例えば、10個の階層的に順序付けて層状にしたメタ・ポリシーを含む(下層から上層に向かって列挙してある)。
・ 第0層:実現マッピング140
・ 第1層:ドメイン固有ポリシー141
・ 第2層:管理142
・ 第3層:マージおよび衝突解決143
・ 第4層:有効なスケジュールおよび条件144
・ 第5層:適用性および適応化145
・ 第6層:一貫性146
・ 第7層:ターゲッティングおよび配布147
・ 第8層:リリースおよび実施148
・ 第9層:変更および承認ワークフロー149
ある層のメタ・ポリシーがそれより低い番号の層のメタ・ポリシーにのみ影響しうるということを基礎として、階層の順序付けを行う。例えば、いったんターゲッティング(すなわち、第7層)を行うと、ポリシーが特定の1組のコンピュータに適用されることが分かる(ここで、「適用される」は、ある一般的な意味でのターゲッティングが該当することを意味し、様々なものが可能である)。この情報を使用して、ポリシー管理システムは、これらのコンピュータに対してのみ、適用性メタ・ポリシー(すなわち、第5層)を評価して、例えばこれらのコンピュータにはあるソフトウェアがインストールされているという理由で、ポリシーがこれらのコンピュータに適用されるかどうかを判定する。この順序付けの利益には以下が含まれる(がこれらに限らない)。
・ 処理の効率性:上の例では、ターゲッティングにより適用性を評価すべきコンピュータの数が削減される。ターゲッティングを、一般に集中データベースおよびディレクトリ内の情報に基づいて効率的に決定することができ、一方で適用性では一般に各コンピュータを訪問する必要がある。同様に、有効なスケジュールおよび条件(すなわち、第4層)は一般に、各コンピュータ上で継続的に評価されなければならない。なぜならば、コンピュータは移動可能であり、条件は、コンピュータが様々なネットワークおよび装置に接続されると、および時間が経つと、変化するからである。一般に、この評価は、ポリシーが適用可能である場合に限り、対象コンピュータ上で行われる。各管理されたコンピュータ上でローカル時間を追跡しようとすることは明らかに効率が悪く、そうするとポリシー管理システムのスケーラビリティが制限されることになるだろう。
・サーバ側のポリシー管理基盤と管理されたシステム上のローカル処理の間の作業分担:中央の基盤によって処理することができ、そうされているポリシーもあれば、ローカル・マシン上で処理することができ、そうされているポリシーもある。このように作業を分担するにはポリシーを正確に順序付けることが必要である。コンピュータが接続されているネットワーク、およびUSB(Universal Serial Bus)スティックといった接続されている取外し可能装置のような環境条件を、中央サーバ・システム内で対象コンピュータ毎に評価しようすることは、コンピュータが断続的に切断する可能性があるので、現実的に不可能である。したがって、スタック内の階層は、サーバ上で評価すべき全てのポリシーに、管理されたシステム上で評価すべきポリシーよりも高い番号が与えられるように、順序付けられるべきである。この概念を複数の階層に汎化することができる。すなわち、1つの解決策では、変更管理、実施、およびリリースが第9層および第8層のメタ・ポリシーの制御下で行われる中央のシステムおよびデータベースをもたせることができる。ポリシーは、地球規模の複製と高可用性の特徴を提供する配布基盤にリリースされ、ターゲッティング(すなわち、第7層)はこの基盤によって処理される。それより低層のメタ・ポリシーは各管理されたノードで処理される。繰り返すが、正確な順序付けは、メタ・ポリシーの意味を保存しつつこの処理割当てを可能とするために必須である。
これらの利益は、ポリシーの適用だけでなく、衝突や適用範囲のような分析にも当てはまる。もちろん、他の実装形態では異なる1組の階層を使用してもよく、異なる要件に対処するためにそれらの階層の順序を変えてもよい。
第0層:実現マッピング
このメタ・ポリシーによって管理されるポリシーに対して、この層の各抽象概念は実環境における実現にマッピングされる。これは、(実環境が現在どのように構成されているかを見つけるための)探索と、同期(実環境が正確に設定されていない場合にどのように実環境を正確に設定するか)の仕様を通して行うことができる。例えば、ドメイン固有ポリシー(すなわち、第1層)は認証技術と呼ばれる抽象的な設定を参照することができ、実現マッピング(すなわち、第0層)はこの設定が置かれているレジストリ・キーを規定する。
1つまたは複数の実装形態では、宣言的な探索および同期の仕様を使用することができ、当該実装形態は、レジストリ・キーの設定からインストールの実行またはVM(virtual machine)のデプロイまで、最も一般的な種類のポリシー項目を扱うことができる幾つかの標準エンジンを提供することができる。係る宣言的な仕様は、例えば、特定の位置を示すユニフォーム・リソース識別子と組み合わせてポリシーを受け取るべき、レジストリのようなソフトウェア・システムの仕様を含むことができる。1つまたは複数の実装形態は、スクリプト作成のような、手続き的な同期および探索をサポートすることができる。多くの場合、このマッピングは単純に、ポリシーをポリシー・コンシューマへ渡すことを記述する。
物理的な実現をドメイン固有ポリシーから切り離す1つの利点は、影響を受けた機能が特定のシステム上で実装される方法とは独立に、ドメイン固有ポリシーを抽象的に表現できることである。これは、ポリシーを、異なる実装形態を有する新しいバージョンのシステムに容易に適応させうることを意味する。例えば、セキュリティ・ポリシーは複雑な表現を含むことがあるが、コンピュータ・システムを、セキュリティ関連の設定が別々の位置、恐らくレジストリではなくデータベースに見出されるように修正すると、複雑なセキュリティ・ポリシー自体ではなく比較的単純な実現メタ・ポリシーのみを修正しなければならない。これは、異なる専門性を有する人達がポリシーの別々の部分を保守できることも意味する。例えば、セキュリティの専門家は認証に関するポリシーを指定することができ、セキュリティの複雑性をほとんど理解していない下位のスタッフ・メンバは、ソフトウェアのバージョンアップ時に物理的な実現メタ・ポリシーを編集することができる。また、単純に別の実現マッピングのメタ・ポリシーを適用することによって、単一のドメイン固有ポリシーを、別の実現を有する別のシステムに適用するように容易に調整できることも意味する。もちろん、全てのこれらの利益は、異なるシステムまたは異なるバージョンのシステムが一貫した意味を有して、したがってドメイン固有ポリシーを有意に適用できる場合に限り得られる。
第1層:ドメイン固有ポリシー
この層は、様々なドメイン固有ポリシーの仕様を詳細に記述する。この層自体はメタ・ポリシーではない。この層は(メタ・ポリシーの定義である)ポリシーのポリシーではなく、1つまたは複数の実際のポリシーである。1つまたは複数の実装形態では、ポリシーが体系化される。各ドメイン固有ポリシーの詳細が表現される限り、その詳細を表現する厳密な方法は実装形態の詳細次第である。
第2層:管理
多くのポリシーはポリシー・コンシューマに渡され、結果としてポリシーはポリシー・コンシューマによって実施される。したがって、ポリシー管理基盤の実装形態では、ポリシーがポリシー・コンシューマに渡った後は当該ポリシーを管理する必要はない。ポリシー・コンシューマの例には、リソース・マネージャ(例えば、ファイル・システム内のアクセス制御)またはサービス(例えば、バックアップ)がある。
しかし、リソース・マネージャがポリシーを認識しないために実施されないポリシーもある。例えば、幾つかのOS(operating system)はブラックリストのソフトウェアの実行を防止できない。なぜならば、OSはそのようなことを行うための機構を提供しないからである。ポリシーが技術的に実施可能であっても、当該ポリシーを、実施されないが監視されるとして記録しておくことが望ましいであろう。なぜならば、厳密な実施は所与の状況に対しては重圧となり過ぎる場合があるからである。例えば、ミッション・クリティカルなサーバの構成が適合しなくなると、ITスタッフは、構成の変更には妥当だが未知の理由があったかもしれないので、構成の復元前に変更の原因を調査したいかもしれない。そして、例えば、システムが保守中またはサービス中であるとき、一時的にポリシーの実施を無効にすることが望ましい場合もある。
ポリシー管理基盤の実装形態では、単に実施義務をポリシー・コンシューマに渡すのではなく、この層のデータを使用してポリシーを明示的に管理する。このメタ・ポリシーは有効なポリシーをどのように管理すべきかを定義する。例えば、このメタ・ポリシーは、ポリシー準拠の検証、非準拠に対する応答(例えば、是正処置、警告、レポート)を引き起こして、保守のためにポリシーを一時的に無効化するスケジュールまたはイベントを管理することができ、許容パラメータを調整することができる。
ポリシー管理基盤内部で、このメタ・ポリシー層は一般的な管理用の下位基盤を管理されたノードに提供する。この一般的な管理用の下位基盤は準拠監視、改善、レポートおよび警告を提供する。
第3層:マージおよび衝突解決
数個のポリシーが衝突することは珍しいことではない。同じ管理ドメインの複数のポリシーが同じシステム上の全く同じリソースに同時に有効である場合もある。以下は、係る衝突の例である。
・ 部署の管理者がファイアウォールを停止しようとし、セキュリティ管理者が当該ファイアウォールを起動しようとする。
・ アプリケーションがファイアウォールを停止する必要があり、セキュリティ管理者が当該ファイアウォールを起動しようとする。
・ 2つのアプリケーションが、OSの設定に関して衝突する要求を行う。
・ セキュリティ・ポリシーが再起動を要する構成変更を緊急に行おうとし、サービス中のウィンドウ・ポリシーが作業時間中の再起動を禁止する。
このメタ・ポリシーは、ポリシーをマージし、かつ/または衝突を解決するためのアプローチを定義する。一般に、このアプローチは「RSOP(Resultant Set of Policies)の計算」と呼ばれることがある。明らかな衝突に直面した場合、このメタ・ポリシーはこの明らかな衝突に対する解決(またはRSOP)を定義することができる。以下は、可能な解決オプションの幾つかの例である。
・ マージ・ポリシー不要:このオプションは、一般的なメタ・ポリシーで表現できない複雑な解決アルゴリズムをリソース・マネージャが有する場合にも使用される。
・ 明示的な委譲:マスタ管理者が全てのものを所有する場合、その管理者は明示的に権限を委譲し、衝突に対するマージ・ポリシーを指定する。
・ 発行者権限(「ストライプ・オン・ザ・ショルダー(stripes on the shoulder)」:委譲連鎖を追跡できない場合に有用である。
・ 特異性:最大スコープ(企業のポリシーを優先)または最小スコープ(最も具体的 なポリシーを優先)で定義されたポリシーを使用。
・ 最も限定的なポリシーまたは最も限定的でないポリシーを優先。
・ 妥当な範囲またはスケジュールの共通部分の計算(例えば、あるサーバが4つのサービスをホストし、各サービスがサービス中のウィンドウを伴うとき、当該サーバはそれらのサービス中のウィンドウの共通部分を得る)。
・ 警告:ポリシーのマージは試みず、ITスタッフに衝突を警告する。
このメタ・ポリシーにより、明らかなポリシーの衝突に関与する他の複雑性を取り扱うことができる。例えば、ポリシー・マージの粒度を解決する必要があるかもしれない。完全なポリシーの1つを無効とすることによって衝突を解決することができる。あるいは、システムはステートメント毎に優先するポリシーを選択することができる。
第4層:有効なスケジュールおよび条件
様々なポリシーが様々な時点で有効であることは普通である。例えば、HR(Human Resources)スタッフは、作業時間中はHRアプリケーションにアクセスすることができるが、夜にはアクセスできない。このメタ・ポリシーは、ポリシーに対する有効なスケジュールを定義する。このメタ・ポリシーは、カレンダで表現したスケジュールに対する共通のスキーマを定義する。例えば午前9時から午後5時の作業時間スケジュールを作業日のスケジュールと組合せ、祝日のスケジュールに入る日を除外することによって、複数のスケジュールを合成できるようにすることが有用な実施である。
多くのポリシーは、周囲の状態に対する述語として表現される条件を含む。例えば、HRスタッフは、会社の自分のデスクトップに強力な証明書(例えば、スマートカード)でログオンするとHRアプリケーションにアクセスでき、ラップトップを企業内ネットワークに接続するとあるデフォルトのプリンタを使用でき、家で接続すると違うデフォルトのプリンタに接続することができる。係る条件に対する共通のスキーマを使用するのではなく、当該条件を名前空間上の論理表現として定義することができる。これらの条件はポリシー中の状態述語のように見える。これらの条件をこのメタ・ポリシーに対して抽出するとき、条件の汎化単位を、ドメイン固有ポリシー言語全体にわたって再利用するために表現することができる。例えば、「強く認証されている」をこのメタ・ポリシーに置くことによって、強い認証に依存する全てのドメイン・ポリシーを、ドメイン固有言語を解析することなく特定することができる。
第5層:適用性および適応化
適用性メタ・ポリシーは、ポリシーがどの対象システムに実際に適用されるかを決定することによってターゲッティングを改良する。例えば、SQLポリシーはSQLを有するマシンにのみ適用されるべきである。これは、システム管理者が様々な種類のシステムを含むサービスをポリシーの対象とすることができるので、有用である。この状況では、管理システムは適用性メタ・ポリシーを使用して、この不均一な構造内部でポリシーがどこに適用されるかを決める。管理システムはまた、ポリシーを自己適応的にする。例えば、以前は有効でなかったポリシーが、USB(universal serial bus)装置をラップトップに差し込んだときに適用可能となることができる。
このメタ・ポリシーはまた、限定的な形のモデル適応化をサポートすることができる。ポリシー選択は、幾つかの関連ポリシー、例えば、ファイル・サーバ上のデータ保護向けのポリシー、データベース・サーバ向けのポリシー、メール・サーバ向けのポリシーがあるときに使用される。これらの幾つかのポリシーが一貫するように設計され、1つのサービス内で共に適用されることを目的とする場合、基盤の実装形態では、(a)適用性メタ・ポリシーをポリシー毎に定義し、かつ/または(b)それらのポリシーを、サービスで対象となるコンテナ・ポリシーに共にグループ化することができる。適用性メタ・ポリシーは全体としてポリシー適応化メタ・ポリシーを定義する。
モデル適応化は、モデルを実世界に適合させる。ポリシーと無関係に、探索サービスは、どのインスタンスが所与のシステム上にあり、どのインスタンスがローカル・モデルにおいて正確なインスタンスと関係を作成するかを見つける。メタ・ポリシーは、ポリシーがどのようにモデル・インスタンスに適応されるかを定義する。例えば、マシン上には複数のSQLインスタンスがあることがあり、健全性監視ポリシーはSQLインスタンス毎にインスタンス化される。
第6層:一貫性
一般的なやり方では、システム・ポリシーは通常はトランザクション・セマンティックスなしに適用される。その理由の例は以下である。
・ 当該ポリシーを得るシステムはトランザクションをサポートしない。
・ ポリシーは多数の位置で多数のコンピュータ・システムにデプロイされるので、分散トランザクションを地球規模で行うことは極めて困難であると考えられる。
・ コンピュータ・システムには断続的に切断されるものがある。それらのコンピュータ・システムにより、ポリシーの他のコンピュータへのデプロイメントが停滞するであろうため、それらのコンピュータ・システムは分散トランザクションには参加することができない。
・ 協調的なデプロイメントは必要ではなく、各コンピュータ・システムへのベスト・エフォート型のデプロイメントで十分である。
しかし、ポリシーの適用を、トランザクション・セマンティックスを伴って行うことが必要となる場合もある。その理由の例は以下である。
・ 幾つかのポリシーは、漸進的に適用するとシステムが一時的に一貫性のない状態になるので、原子的単位として実質的に単一の時点でデプロイしなければならない内部的に一貫した集合体を形成する。
・ 幾つかのポリシーは、部分的に適用するとシステムが一貫性のない状態になるので、全て一緒に適用されなければならないかまたは全く適用してはならない、内部的に一貫した集合体を形成する。
・ ポリシー適用は別システムにおけるトランザクションの一部でなければならない。例えば、ポリシーがデータベース・クラスタ内の動作の変更を規定すると、その変更はデータベース・トランザクションと調和する必要があるかもしれない。
一貫性メタ・ポリシー層は、どの一貫性要件をポリシーが有するかを、一貫性不要、単一コンピュータ内部での原子的適用、別システム内のトランザクションとの調和、幾つかのコンピュータにわたる原子的適用のようなオプションとともに規定する。
第7層:ターゲッティングおよび配布
ポリシーはしばしば選択的にコンピュータ・システムを対象とし、配信が制御される。以下は、2つの一般的な種類のターゲッティングの例である。
・ 管理グループが均一であると見なされる(「1つのものとしての多数(many−as−one」管理)。グループはしばしばディレクトリ・サービスに基づくが、管理ツールがコンピュータ・システムの特徴または構成の一覧を取得する「一覧ベースの」ターゲッティング、コンピュータIDのリストが明示的に列挙される「列挙的ターゲッティング」、またはそれらの組合せのような、他のソースから入ってくる任意のグループ化もまた有用である。
・ サービス・モデルは不均一と考えられるシステムの構造から構成され、ポリシーはサービス内の各システムに知的に適用される。
ターゲッティングは適用性と協調して行われる。例えば、SQLを有する本部の全てのシステムにポリシーが適用される場合、この層を使用して、当該ポリシーの対象が本部内の全てのシステムとなり、適用性メタ・ポリシーにその対象グループをSQLシステムへ浸透させるように、実装形態を作成することができる。しかし、ポリシーが全ての製造SQLシステムに適用される場合、適用性規則によってシステムが製造かまたはテストかを発見できないかもしれず、したがって、ターゲッティングのメタ・ポリシーは製造システムのグループを特定するために使用され、ポリシーをSQLシステムに浸透させる適用性メタ・ポリシーと組み合わされる。
この層はまた、「午前6時までにこれをターゲットに届けよ」または「6時間毎かつネットワーク・ログオン時にポリシーをリフレッシュせよ」というような配布ポリシーを含む。より複雑な配布ポリシーでは、「ローミングしているユーザが、訪問しているサーバ上では利用できないロケールで大規模なソフトウェア・パッケージを必要とする場合、当該パッケージを長距離ネットワークを介して転送せず、そのユーザが通常の場所に戻るまで待機せよ」と述べることができる。しかし、このメタ・ポリシーは、どの配布ポイントをサーバが使用すべきか、帯域幅の割当て、または圧縮技法のような、詳細な配布規則を含む必要はない。これらは、パッケージではなく配布ファブリックに対する、配布上の詳細である。このメタ・ポリシーはスケジュール、優先度および割当量に着目する。
コンピュータ・システムをポリシーの対象とすることに加えて、他の要素、すなわち、ユーザまたはユーザ・グループ、ソフトウェア・アプリケーション、データベース内のデータまたはドキュメント・システムもしくはメール・システム内のドキュメントを対象とするポリシーが多数ある。任意の時点で、これらの対象システムはコンピュータ・システム上に存在するか、またはコンピュータ・システムの制御下にある。そうでない場合、これらの対象システムは、コンピュータ・ベースのポリシーによってカバーされず、本発明の範囲外である。しかし、ポリシーの対象を明示的にコンピュータ・システムとするのではなく、直接、目的のオブジェクトとすることが好ましい。その理由は以下の2つである。
管理者は意図を直接、ユーザ、アプリケーションまたはドキュメントの観点から表すことができ、ポリシー管理システムに、ポリシーを正しい1つまたは複数のコンピュータ・システムに送信する機械的な側面を処理させることができる。これにより管理が簡略化され、レポートおよび分析を有意な言葉で表すことが可能となる。
ユーザ、ソフトウェア・アプリケーション、データおよびドキュメントはしばしば移動可能であり、コンピュータ・システムのネットワーク上で移動し、これらのコンピュータ・システムと一時的かつ薄弱な関係にある。目的のオブジェクトの観点からポリシーのターゲッティングを表現すると、ポリシー管理システムは、正しいコンピュータ・システム上でのポリシーの適用と除去を動的に扱うことができる。
第8層:リリースおよび実施
この層では、ポリシーが所与の日時(例えば、4月4日の午前6時)に適用され、有効期限切れの日付を提供できることが規定される。有効なスケジュールと同様だが、リリースおよび実施のスケジュールは別の目的を果たす。この層は、中央管理組織から推進されるリリース管理に集中し、一方で、有効なスケジュールはポリシー・エンジンによってローカルに解釈され、無期限に有効であることができる。リリース管理は、リッチな管理機能を提供し、その機能には、バージョン管理、監査ログ、ロールバック、および複雑なリリース・ポリシーが含まれる。例えば、新しいポリシーを適用するには再起動、したがってサービス割込みが必要である場合、このメタ・ポリシーは保守ウィンドウを規定することができる。このパッチングに対する共通のリリース・ポリシーは、例えば、「2月20日から2月25日までの間の任意の時点で変更を適用するが、ユーザに許可を求めること。変更が2月25日の真夜中までに行われなかった場合、それ以降の最初の機会にその変更の適用を強制すること」である。
弟3層〜第8層は、全体的なポリシー管理基盤の少なくとも1つの実装形態から成るポリシー配信下位基盤を備える。この下位基盤は、スケジューリングおよびターゲッティング、ならびに大量のペイロードに対する効率的で効果的な伝送を含む。この分散サービスはファブリック内と管理されたノード上の両方に構成要素を有する。管理されたノード上では、この下位基盤は適用性および適用化、ならびにポリシー・マージ(RSOP)を扱う。配信サービスはポリシーを管理されたノードに格納し、当該ポリシーをポリシー・コンシューマに、そのコンシューマが望む任意の形態で渡す。1つまたは複数の実装形態では、この配信サービスは、ポリシーが到着したときに実行されていないサービス、アプリケーションの変更の通知、再起動、および他の例外状況を扱う。
第9層:変更および承認ワークフロー
このメタ・ポリシーは、ポリシーの変更を定義、レビュー、承認、およびデプロイするワークフローを定義する。例えば、このメタ・ポリシーは、例えば範囲、対象、影響、問題のドメインに基づいて誰がポリシー変更を承認できるかを特定する。このメタ・ポリシーはまた、例えば、1次承認者が利用できない場合に他の誰が承認するかを特定することができる。このメタ・ポリシーはまた、例えば、どのタイプの影響分析および衝突分析が必要かを特定することができる。
ポリシー管理基盤内部で、このメタ・ポリシー層はポリシーのライフサイクルを管理する。この層での管理は構成管理データベース(CMDB)と、人間が関与するワークフローとに依存する。CMDBは、システムまたは企業内のコンピューティング・コンポーネント、およびこれらのコンポーネント間の関係についての全ての関連情報を含むデータベースである。
他の階層順序付け
このポリシー管理基盤におけるメタ・ポリシーのデータ階層順序付けは、(特に衝突解決のケースでは)様々なメタ・ポリシーの関係を定義する際に貴重な利点をもたらす。しかし、上で提供したものはポリシー管理基盤の1つの実装形態の順序付けに過ぎない。所与の状況に応じて、他のメタ・ポリシーの順序付けが望ましいこともある。
例えば、多数のポリシー・エンジンが有効なスケジュールおよび条件、ならびにマージおよび衝突解決メタ・ポリシーを処理することが全く可能である。このことにより、階層の再配置を正当化することもできるだろう。しかし、これらの機能を一般的な基盤の一部として含めることも依然として望ましいであろうか?このロジックを当該基盤に実装することによって、この能力が欠けているポリシー・コンシューマにロジックを追加することができる。例えば、レジストリとファイアウォールは有効なスケジュールを理解しなくともよい。ポリシー基盤は、作業時間および非作業時間に対して異なるファイアウォール・ポリシーを適用することができる。
しかし、ポリシー基盤をサポートするポリシー・エンジンの場合は、第3層および第4層を管理層(すなわち、第2層)より下の「ポリシー・コンシューマ」分類へ移動させた別の階層構成とすることが望ましいかもしれない。実際には、これを、全てのポリシーを通すスケジュールおよびマージのメタ・ポリシーをもたせることによって達成することができる。
共通名前空間のサポート
図示したように、ポリシー管理データ・モデル100はまた、関連するサポート用の共通名前空間120を含む。係る名前空間の例には、リソース・マネージャによって使用される、スケジュール、ディレクトリ・サービス、システム定義モデル(SDM)、および名前空間が含まれる。本明細書で使用するとき、共通名前空間により、ポリシーの多く(または全て)によって共有され、したがってメタ・ポリシーの全てによって共有される共通のコンテクストが提供される。
スケジュール
スケジュールは、多くの目的のためにポリシー・システム(および他所)において使用される。スケジュールに対して、このポリシー管理基盤は共通のスキーマ、スキーマに対する共通のサービスおよび共通の記憶を定義する。以下は係る定義の例である。
・ 有効なスケジュールによってポリシーは、例えば、「ボブはこれらのファイルに作業時間中にアクセスできる」または「このマシンは土曜日の午前3時から4時の間は使用不可となる場合がある」または「主要な取引時間中はこのサービスは要求の95%に対して3秒未満で応答すべきである」と述べることができる。
・ リリースおよび実施スケジュールは、例えば、「このポリシーは5月1日に有効となる」と述べる。
・ 配信スケジュールは、例えば、「このポリシーは5月1日の午前8時までに配信し、ユーザに提供して承認させ、5月5日の午後8時までにインストールすべきである」と述べる。
・ 監視スケジュールは、例えば、「ネットワーク・ログオン時、USB装置の差込み後、または毎日午前3時に、このポリシーへの準拠を検証すること」と述べる。
・ 定期スケジュールは、期間、すなわち、「祝日を除く毎週月曜日から金曜日の9時から5時」または「当期の最終作業日」のような、原則として時間軸上のブール関数を定義する。スケジュール・サービスによって提供される基本的な機能は、「この時点はこのスケジュールに含まれるか?」である。スケジュールは、様々な方法、すなわち、和集合、積集合、等で構成することができる。スケジュールは期間に基づくが、サービスはスケジュール周りの通知イベントを発行することができる。
・ イベント・スケジュールは、「毎日午前3時」、「ネットワーク・ログオン時」、「USB装置の差込み後」または「3回ログインに失敗した後」のようなイベントのパターンを定義する。イベント・スケジュールを和集合としてのみ合成することができるが、イベント・スケジュールと期間スケジュールとの積集合を取ることができる。ジッタ、すなわち、「RAND(15分)の遅延を伴った午前9時」を含む幾つかの高度な機能もありうる。
上のリストにおける最後の2つのスケジュール(定期スケジュールとイベント・スケジュール)は非常に異なるスキーマと意味をもつ。このポリシー管理基盤を使用すると、当該スキーマにより、参照を介した合成が可能となる。
ディレクトリ・サービス
多くのポリシー機能は、一般にはディレクトリ・サービスで維持されるユーザ、コンピュータ・システム、組織単位、および他のエンティティの識別を参照する。ディレクトリ・サービスは、ある種のナビゲーション機能および問合せ機能を提供する名前付け構造およびアプリケーション・プログラミング・インタフェースを提供し、これらの機能は業界規模の標準に基づくか独自のものであることができる。ポリシーおよびメタ・ポリシーはこのディレクトリ内のエンティティを参照することができ、ポリシー管理基盤は必要な時点でその参照を解決する。例えば、ポリシーの対象が標準的なディレクトリ構造内のOUのような管理グループである場合、ディレクトリはそのOUに含まれるシステムのリストを提供でき、したがって、ポリシー基盤は、管理グループのターゲッティングによって暗示されるシステムのターゲッティングを推定することができる。
システム定義モデル
管理システムは、システム定義モデル(SDM)で定義されるモデルによって記述される。本モデルはシステムの構成要素とそれらの関係、一般的な型と実際のインスタンスの両方を記述する。一般に、モデルの2つの特性、すなわち、現在の状態(「である」)と望ましい状態(「であるべき」)がある。他のモデルでは、他の特性があり、それには履歴、予想負荷および予想状態、提示されたバージョンおよび仮説のバージョンが含まれる。本モデルは、アクセス制御に使用される役割定義を含むことができる。モデルはまたリソースを含む。リソースに対する名前パターン(例えば、*.tmp)は各リソース・マネージャによって表現され、定義される。
リソース・マネージャ
リソース・マネージャは、ポリシーの対象であることが多いリソースを管理するサービスである。各リソース・マネージャは独自の特徴と名前空間を有する。ポリシーはリソースを参照することができる。例えば、ファイル・システムはファイルを管理するリソース・マネージャであり、これらのファイルは、一般に階層的なディレクトリ構造、ファイル名、および型を指定する拡張子を含む名前パターンを通して特定される。各ファイルは、サイズおよび最終更新日のような追加の属性を有する。MicrosoftのSQL Serverのような関係データベースもまた、テーブル、インデックス、プロシージャ、および他のリソースを管理するリソース・マネージャであり、これらのリソースは異なる名前付け構造で特定され、異なる特徴を有する。リソース・マネージャの名前付け構造はポリシーおよびメタ・ポリシーの仕様に対して重要である。例えば、従来のファイル・システム内のファイルを参照するポリシーまたはメタ・ポリシーは、Word文書型の全てのファイルを示すために「*.doc」という表現を使用することができるが、係る表現はSQL Serverのリソース・サーバに対しては妥当でないだろう。
方法論的実装
図2は、ポリシー管理基盤100のコンテクストにおけるポリシー管理の方法200を示す。この方法200は、図1に示す様々な構成要素のうちの1つまたは複数によって実行される。さらに、この方法200をソフトウェア、ハードウェア、ファームウェア、またはそれらの組合せで実行することができる。
図2のブロック202で、ポリシー管理システム110は複数のメタ・ポリシーを生成する。メタ・ポリシーは、1つまたは複数の対象コンピューティング・ノードに対するポリシーの適用を制御する。メタ・ポリシーを生成するとき、システムはそれらを階層構造で編成する。少なくとも1つの実装形態では、メタ・ポリシー階層は、図1に示し上述したポリシー管理基盤100に示すように編成される。
図2のブロック204で、ポリシー管理システム110は、複数の実ポリシーのデータを層状の複数のメタ・ポリシーのコンテクストで分析する。それを行う際、システムはポリシーの「重複」および「衝突」の存在および位置を決定する。「重複」は、同一のポリシー・ドメイン内で2つ以上のポリシーが同じオブジェクトを参照し、同時に同じコンピュータ・システム上で同じ条件下で有効であるときに生じる。例えば、あるポリシーが企業領域内の全てのコンピュータ・システムを対象とし作業時間中に有効であり、かつ別のポリシーが同じコンピュータ・システムを対象とし全ての時点で有効である場合、これらの2つのポリシーは重複する。逆に、あるポリシーが作業時間中に有効であり別のポリシーが非作業時間中に有効である場合は、それらのポリシーは重複しない。
システムは、重複を発見するためにポリシーのドメイン固有な詳細を知る必要はなく、その詳細は、メタ・ポリシーとリソース・マネージャの名前空間とを分析することによって完全に決まる。「衝突」は、2つのポリシーが重複し、衝突するステートメントを記述するときに生じる。例えば、あるポリシーではファイアウォールが作業時間中に停止されていると記述され、別のポリシーではファイアウォールが全ての時点で起動されていると記述される場合、これらのポリシーは衝突する。逆に、あるポリシーではファイアウォールが作業時間中に起動されていると記述され、別のポリシーではポリシーが全ての時点で起動されていると記述される場合は、これらのポリシーは重複していても衝突はしない。
システムは、衝突を発見するためにポリシーのドメイン固有な詳細を知る必要はない。なぜならば、衝突はポリシーの意味によって決まるからである。例えば、ファイアウォールの設定は2つの相互に排反する値をもつブール値であるので、ファイアウォールの起動状態と停止状態は衝突すると容易に決定されるが、あるポリシーではボブがファイルへの読取りアクセス権を有することが記述され、別の重複するポリシーではボブがファイルへのフル・アクセス権を有することが記述される場合、これらのポリシーは衝突しない。なぜならば、「フル」アクセス権は「読取り」アクセス権を含み、そのことはファイル・システムのアクセス権の意味を理解するシステムによってのみ決定することができ、その分析はアクセス制御のポリシー・ドメインに固有であるからである。このため、衝突の分析および検出は、ドメインにとらわれないメタ・ポリシーのみを見る汎用目的の重複検出システムを介して実装することができ、重複を特定した後に、ドメイン固有の衝突分析システムが、重複するポリシーが実際に衝突するかどうかを判定することができる。
ポリシーとメタ・ポリシーを、適用範囲の完全性のために分析することもできる。例えば、あるポリシーが作業時間中に有効で別のポリシーが非作業時間中に有効である場合、作業時間と非作業時間の間の2つのポリシーが完全な適用範囲を提供する。逆に、あるポリシーが名前パターン「*.doc」にマッチする全てのファイルに適用され、別のポリシーが名前パターン「*.xls」にマッチする全てのファイルに適用される場合、これらの2つのポリシーはファイル・システムの完全な適用範囲を提供しない。なぜならば、これらの2つの名前パターンのいずれにもマッチしないファイルが存在するからである。適用範囲の検出は、ドメイン固有ポリシーの詳細の理解が不要で、メタ・ポリシーとリソース・マネージャの名前空間との分析を介してのみ行われるという点で、重複検出と類似している。
図2のブロック206で、システムは複数のメタ・ポリシーを実ポリシーに適用する。それを行う際、システムは、衝突および/または重複が存在すると決定されるときのRSOP(Resultant Set of Policies)の計算を促進する。システムは、(図1で示し、上述した)ポリシー管理基盤100の順序階層および順位階層によるデータ階層化を利用して、ポリシーの影響を決定する。
システムによって実行されるRSOP計算の促進には実際のRSOP計算自体を含めることができ、あるいは、システムは対象ポリシーをポリシー・コンシューマに送信して、ポリシー・コンシューマが結果として得られたRSOPの計算を行うようにすることができる。
図2のブロック208で、ポリシー管理システム110は結果のポリシーをポリシー・コンシューマに配布し、ポリシー・コンシューマは処理済みのポリシーのうちの少なくとも1つを1つまたは複数の対象コンピューティング・ノードに適用するように構成される。ポリシー・コンシューマは処理済みのポリシーを、ポリシー・コンシューマのドメイン固有の詳細にマッピングすることができる。
後記
本明細書で説明した技法を、プログラム・モジュール、汎用目的および特殊目的のコンピューティング・システム、ネットワーク・サーバおよび機器、専用電子機器およびハードウェア、ファームウェア、1つもしくは複数のコンピュータ・ネットワークの一部、またはそれらの組合せを含む(がこれらに限らない)多数の方法で実装することができる。さらに、他の実装形態では、PC(personal computer)、サーバ・コンピュータ、ハンドヘルド装置またはラップトップ装置、マルチプロセッサ・システム、マイクロプロセッサ・ベースのシステム、プログラム可能消費家電、無線電話および無線機器、汎用目的および特殊目的の装置、ASIC(application−specific integrated circuit)、ネットワークPC、シン・クライアント、シック・クライアント、セット・トップ・ボックス、ミニ・コンピュータ、メインフレーム・コンピュータ、上記システムまたは装置のいずれかを含む分散コンピューティング環境、および同種のものの任意の組合せのような(これらは例であって限定ではない)、公知なコンピューティング・システム、環境、および/または構成を使用してもよい。
1つまたは複数の上述の実装形態を構造的特徴および/または方法論的ステップに特有な言葉で説明したが、本明細書で説明した特定の例示的な特徴またはステップをもたない他の実装形態を実施することができることは理解されよう。むしろ、特定の例示的な特徴およびステップは1つまたは複数の実装形態のうちの好ましい形態として開示されている。幾つかの事例では、例示的な実装形態の記述を明確にするために公知な特徴を省略または簡略化してあったかもしれない。さらに、理解を容易にするため、幾つかの方法ステップを別々のステップとして区別してあるが、これらの別々に区別したステップは必ずしもそれらの性能に応じた順序であると解釈すべきではない。

Claims (20)

  1. コンピュータ実行可能命令を格納するコンピュータ読み取り可能な記憶媒体であって、
    前記コンピュータ実行可能命令は、コンピュータによって実行されると、
    1つまたは複数のオブジェクトに対するより高い階層のメタ・ポリシーの適用が、前記1つまたは複数のオブジェクトの前記より高い階層のメタ・ポリシーに従属する1つまたは複数のより低い階層のメタ・ポリシーの対応する影響を制限するように、メタ・ポリシーの階層化された序列に編成される複数のメタ・ポリシーを生成するステップであって、各メタ・ポリシーは、1つまたは複数の対象コンピューティング・ノードへのポリシーの適用を制御する、ステップと、
    ポリシーおよびメタ・ポリシーによって共有される共通のコンテクストを提供するために共通名前空間を使用するステップであって、前記共通名前空間のそれぞれは、対応するファイル拡張子によって定義される、ステップと、
    各ポリシーのドメイン固有な詳細を知ることなく前記ポリシーの1つまたは複数の重複を判定するために前記共通名前空間についての前記メタ・ポリシーコンテクストで前記ポリシーを分析するステップであって、それぞれの重複は、ポリシー・ドメイン内の複数のポリシーが同一のコンピュータシステム上の1つまたは複数の同一のオブジェクトについて同時に有効であるときに生じる、ステップと、
    前記共通名前空間を使用する複数のオブジェクトを対象にするポリシーの完全性を判定するために、各ポリシーのドメイン固有な詳細を知ることなく前記共通名前空間についての前記メタ・ポリシーのコンテクストで前記ポリシーを分析するステップと、
    各ポリシーのドメイン固有な詳細に基づいて前記ポリシーの1つまたは複数の重複における1つまたは複数の衝突を判定するステップであって、各衝突は、複数の重複ポリシーが1つまたは複数の同一のオブジェクトに関する衝突するポリシーのステートメントを記述するときに生じる、ステップと、
    前記複数のメタ・ポリシーを前記ポリシーに適用することによって、1つまたは複数の重複あるいは1つまたは複数の衝突の少なくとも1つについてのRSOP(Resultant Set of Policies)を計算するステップ
    備える方法を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記憶媒体
  2. 前記1つまたは複数の対象コンピューティング・ノードに対する前記RSOPをポリシー・コンシューマに配布するステップをさらに備えることを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体。
  3. 前記生成するステップ、前記複数のメタ・ポリシー表す多層のデータ・モデル生成するステップを備えることを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体
  4. 前記計算するステップは、前記ポリシーの前記複数のメタ・ポリシーの影響を決定することを含むことを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体。
  5. 前記計算するステップ前記ポリシーをポリシー・コンシューマに送信し、それによって前記ポリシー・コンシューマが少なくとも部分的に前記RSOPを計算できるようにするステップを備えることを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体
  6. 前記複数のオブジェクトは、前記共通名前空間を使用するファイルシステムのファイルを含むことを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体。
  7. 前記複数のメタ・ポリシーおよび前記ポリシーは、スケジューリング、ディレクトリ・サービス、システム定義モデル、またはそれらの組合せのための共通名前空間を使用することを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体
  8. 前記複数のメタ・ポリシーおよび前記ポリシーは、1つまたは複数のリソース・マネージャによって使用される共通名前空間を使用することを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体。
  9. 前記生成するステップは、前記複数のメタ・ポリシーを表すデータ・モデルを生成するステップであって、前記データ・モデルは、管理層と、マージおよび衝突層とを備える少なくとも2つの複数のデータ層を有する、ステップを備えることを特徴とする請求項1に記載のコンピュータ読み取り可能な記憶媒体。
  10. コンピュータ実行可能命令を格納するコンピュータ読み取り可能な記憶媒体であって、
    前記コンピュータ実行可能命令は、コンピュータによって実行されると、
    複数のメタ・ポリシーを生成するステップあって、メタ・ポリシーは1つまたは複数の対象コンピューティング・ノードへのポリシーの適用を制御し、前記生成するステップは、前記複数のメタ・ポリシー表すデータ・モデルを生成することを備え前記データ・モデルは、最も高い層から最も低い層の序列に構成される複数のデータ階層を有し、より高い層は、前記1つまたは複数の対象コンピューティング・ノードのより低い層の影響を制限し、前記複数のデータ階層は、
    ポリシーの適用性および適応化に関するデータを格納する適用性および適応化のメタ・ポリシー層であって、対象コンピューティング・ノードの新たなハードウェアデバイスのインストレーションに適合する前記ポリシーの以前機能していなかったポリシーを少なくともアクティベートする、適用性および適応化のメタ・ポリシー層と、
    ポリシーの一貫性に関するデータを格納する、前記適用性および適応化のメタ・ポリシー層に隣接する一貫性のメタ・ポリシー層と、
    ターゲッティングおよび配布ポリシーに関するデータを格納する、前記一貫性のメタ・ポリシー層に隣接するターゲッティングおよび配布のメタ・ポリシー層と、
    ポリシーの配信に関するデータを格納する、前記ターゲッティングおよび配布のメタ・ポリシー層に隣接するリリースおよび実施のメタ・ポリシー層であって、ユーザがポリシーを対象コンピューティング・ノードに適用することを促進するためのタイム・ウィンドウと、前記ポリシーが前記タイム・ウィンドウの有効期限切れの際に前記ユーザからの入力なしで適用されることを少なくとも規定する、リリースおよび実施のメタ・ポリシー層と、
    ポリシーのライフサイクルに関するデータを格納する、前記リリースおよび実施のメタ・ポリシー層に隣接する変更および承認ワークフローのメタ・ポリシー層と
    を備える、ステップ
    ポリシーおよびメタ・ポリシーによって共有される共通のコンテクストを提供するために共通名前空間を使用するステップと、
    前記ポリシーの1つまたは複数の重複を判定するために前記メタ・ポリシーおよび前記共通名前空間のコンテクストポリシーを分析するステップであって、それぞれの重複は、ポリシー・ドメイン内の複数のポリシーが同一のコンピュータシステム上の1つまたは複数の同一のオブジェクトについて同時に有効であるときに生じる、ステップと、
    前記ポリシーの1つまたは複数の重複における1つまたは複数の衝突を判定するステップであって、各衝突は、複数の重複ポリシーが1つまたは複数の同一のオブジェクトに関する衝突するポリシーのステートメントを記述するときに生じる、ステップと、
    前記複数のメタ・ポリシーを前記ポリシーに適用することによって、1つまたは複数の重複あるいは1つまたは複数の衝突の少なくとも1つについてのRSOP(Resultant Set of Policies)を計算するステップと、
    備える方法を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記憶媒体
  11. 前記一貫性のメタ・ポリシー層は、前記対象コンピューティング・ノード上で一貫性のない状態が発生することを防止するために、少なくとも2つのポリシーが前記対象コンピューティング・ノード上の原子的単位として同時にデプロイされることを少なくとも規定することを特徴とする請求項10に記載のコンピュータ読み取り可能な記憶媒体
  12. 前記ターゲッティングおよび配布のメタ・ポリシー層は、前記対象コンピューティング・ノードが指定された場所から離れてローミングするときに、前記対象コンピューティング・ノードがネットワークを介してソフトウェアパッケージをダウンロードすることを少なくとも禁止することを特徴とする請求項10に記載のコンピュータ読み取り可能な記憶媒体
  13. 前記変更および承認ワークフローのメタ・ポリシー層は、前記ポリシーの少なくとも1つへの変更に対する1次承認者および2次承認者を少なくとも識別することを特徴とする請求項10に記載のコンピュータ読み取り可能な記憶媒体
  14. コンピュータによって実行される、ポリシー管理方法であって、
    前記方法は、
    複数のメタ・ポリシーを生成するステップであって、メタ・ポリシーは、1つまたは複数の対象コンピューティング・ノードへのポリシーの適用を制御する、ステップと、
    1つまたは複数のオブジェクトに対するより高い階層のメタ・ポリシーの適用が、前記1つまたは複数のオブジェクトの前記より高い階層のメタ・ポリシーに従属する1つまたは複数のより低い階層のメタ・ポリシーの対応する影響を制限するように、前記複数のメタ・ポリシーをメタ・ポリシーのヒエラルキーに編成するステップであって、各メタ・ポリシーは、1つまたは複数の対象コンピューティング・ノードへのポリシーの適用を制御する、ステップと、
    ポリシーおよびメタ・ポリシーによって共有される共通のコンテクストを提供するために共通名前空間を使用するステップであって、前記共通名前空間は、前記ポリシーおよびメタ・ポリシーによって影響を受けるファイルのファイル拡張子によって定義される、ステップと、
    各ポリシーのドメイン固有な詳細を知ることなく前記ポリシーの1つまたは複数の重複を判定するために前記共通名前空間についての前記メタ・ポリシー分析するステップであって、それぞれの重複は、ポリシー・ドメイン内の複数のポリシーが同一のコンピュータシステム上の1つまたは複数の同一のオブジェクトについて同時に有効であるときに生じる、ステップと、
    各ポリシーのドメイン固有な詳細に基づいて前記ポリシーの1つまたは複数の重複における1つまたは複数の衝突を判定するステップであって、各衝突は、複数の重複ポリシーが1つまたは複数の同一のオブジェクトに関する衝突するポリシーのステートメントを記述するときに生じる、ステップと、
    前記複数のメタ・ポリシーを前記ポリシーに適用することによって、1つまたは複数の重複あるいは1つまたは複数の衝突の少なくとも1つについてのRSOP(Resultant Set of Policies)を計算するステップと、
    備えることを特徴とする方法。
  15. 前記計算するステップは、前記ポリシーの前記複数のメタ・ポリシーの影響を判定することを含むことを特徴とする請求項14に記載の方法。
  16. 前記計算するステップは、ポリシーをポリシー・コンシューマに送信し、それによって前記ポリシー・コンシューマが少なくとも部分的に前記RSOPを計算できるようにするステップを備えることを特徴とする請求項14に記載の方法。
  17. 前記共通名前空間は、1つまたは複数のリソース・マネージャによって使用されることを特徴とする請求項14に記載の方法。
  18. 前記複数のメタ・ポリシーおよび前記ポリシーは、スケジューリング、ディレクトリ・サービス、システム定義モデル、またはそれらの組合せのための共通名前空間を使用することを特徴とする請求項14に記載の方法。
  19. 重複および適用範囲に対して共通名前空間を分析するためのインストールサービスを提供するステップをさらに備えることを特徴とする請求項14に記載の方法。
  20. 前記データ・モデルは、
    ポリシー管理に関するデータを格納するポリシー管理のメタ・ポリシー層と、
    ポリシーのマージおよび衝突解決に関するデータを格納するマージおよび衝突解決のメタ・ポリシー層と、
    ポリシーに対する有効なスケジュールおよび条件を定義するデータを格納する有効なスケジュールおよび条件のメタ・ポリシー層と、
    ポリシーの適用性および適応化に関するデータを格納する適用性および適応化のメタ・ポリシー層と、
    ポリシーの一貫性に関するデータを格納する一貫性のメタ・ポリシー層と、
    ポリシーのターゲッティングおよび配布に関するデータを格納するターゲッティングおよび配布のメタ・ポリシー層と、
    ポリシーの配信に関するデータを格納するリリースおよび実施のメタ・ポリシー層と、
    ポリシーのライフサイクルに関するデータを格納する変更および承認ワークフローのメタ・ポリシー層
    を備える複数データ階層のうち少なくとも2つを有することを特徴とする請求項14に記載の方法。
JP2010504140A 2007-04-16 2008-03-20 ポリシー管理基盤 Active JP5346010B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/735,800 2007-04-16
US11/735,800 US8307404B2 (en) 2007-04-16 2007-04-16 Policy-management infrastructure
PCT/US2008/057739 WO2008127841A1 (en) 2007-04-16 2008-03-20 Policy-management infrastructure

Publications (2)

Publication Number Publication Date
JP2010525451A JP2010525451A (ja) 2010-07-22
JP5346010B2 true JP5346010B2 (ja) 2013-11-20

Family

ID=39854981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010504140A Active JP5346010B2 (ja) 2007-04-16 2008-03-20 ポリシー管理基盤

Country Status (5)

Country Link
US (1) US8307404B2 (ja)
EP (1) EP2156380A4 (ja)
JP (1) JP5346010B2 (ja)
CN (1) CN101657831B (ja)
WO (1) WO2008127841A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220086190A1 (en) * 2020-09-16 2022-03-17 Salesforce.Com, Inc. Correlation of security policy input and output changes

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8307404B2 (en) * 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure
US8612972B2 (en) 2007-06-27 2013-12-17 Microsoft Corporation Running add-on components in virtual environments
US8862590B2 (en) * 2007-06-29 2014-10-14 Microsoft Corporation Flexible namespace prioritization
US8756649B2 (en) * 2007-08-14 2014-06-17 International Business Machines Corporation Language-agnostic policy management
US8972518B2 (en) * 2007-09-20 2015-03-03 Flash Networks Ltd. Integrated data-model and flow based policy system
US7971231B2 (en) * 2007-10-02 2011-06-28 International Business Machines Corporation Configuration management database (CMDB) which establishes policy artifacts and automatic tagging of the same
US8819763B1 (en) * 2007-10-05 2014-08-26 Xceedium, Inc. Dynamic access policies
CN102067519A (zh) * 2007-11-21 2011-05-18 阿尔卡特朗讯 基于角色的网络服务管理
US8656451B2 (en) * 2008-03-07 2014-02-18 At&T Mobility Ii Llc Policy application server for mobile data networks
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
US20090254970A1 (en) * 2008-04-04 2009-10-08 Avaya Inc. Multi-tier security event correlation and mitigation
US20100188993A1 (en) 2009-01-28 2010-07-29 Gregory G. Raleigh Network tools for analysis, design, testing, and production of services
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8924469B2 (en) 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8924543B2 (en) 2009-01-28 2014-12-30 Headwater Partners I Llc Service design center for device assisted services
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8725123B2 (en) 2008-06-05 2014-05-13 Headwater Partners I Llc Communications device with secure data path processing agents
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8898293B2 (en) 2009-01-28 2014-11-25 Headwater Partners I Llc Service offer set publishing to device agent with on-device service selection
US9769053B2 (en) * 2008-07-30 2017-09-19 Tekelec Global, Inc. Methods, systems, and computer readable media for implementing a policy for a router
US20100042450A1 (en) * 2008-08-15 2010-02-18 International Business Machines Corporation Service level management in a service environment having multiple management products implementing product level policies
US9082085B2 (en) * 2008-09-11 2015-07-14 International Business Machines Corporation Computing environment climate dependent policy management
US20100132010A1 (en) * 2008-11-25 2010-05-27 Cisco Technology, Inc. Implementing policies in response to physical situations
JP4706750B2 (ja) * 2008-11-25 2011-06-22 富士ゼロックス株式会社 情報処理システムおよび情報処理プログラム
JP4631969B2 (ja) * 2008-12-25 2011-02-16 富士ゼロックス株式会社 ライセンス管理装置及びライセンス管理プログラム
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8606911B2 (en) 2009-03-02 2013-12-10 Headwater Partners I Llc Flow tagging for service policy implementation
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US8351898B2 (en) 2009-01-28 2013-01-08 Headwater Partners I Llc Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US8646093B2 (en) * 2009-03-31 2014-02-04 Bmc Software, Inc. Method and system for configuration management database software license compliance
US8359652B2 (en) * 2009-10-31 2013-01-22 Microsoft Corporation Detecting anomalies in access control lists
US7996500B2 (en) * 2009-12-09 2011-08-09 Bmc Software, Inc. Systems and methods for extensible distributed configuration management
US7917954B1 (en) * 2010-09-28 2011-03-29 Kaspersky Lab Zao Systems and methods for policy-based program configuration
US9032013B2 (en) 2010-10-29 2015-05-12 Microsoft Technology Licensing, Llc Unified policy over heterogenous device types
US8650250B2 (en) 2010-11-24 2014-02-11 Oracle International Corporation Identifying compatible web service policies
US9589145B2 (en) 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
US8914841B2 (en) * 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
US9021055B2 (en) 2010-11-24 2015-04-28 Oracle International Corporation Nonconforming web service policy functions
US8635682B2 (en) 2010-11-24 2014-01-21 Oracle International Corporation Propagating security identity information to components of a composite application
EP3267709B1 (en) * 2010-12-01 2023-02-01 Headwater Research LLC Security, fraud detection, and fraud mitigation in device-assisted services systems
JP5763780B2 (ja) * 2010-12-06 2015-08-12 インターデイジタル パテント ホールディングス インコーポレイテッド ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード
US9154826B2 (en) 2011-04-06 2015-10-06 Headwater Partners Ii Llc Distributing content and service launch objects to mobile devices
US8560819B2 (en) 2011-05-31 2013-10-15 Oracle International Corporation Software execution using multiple initialization modes
US10089148B1 (en) * 2011-06-30 2018-10-02 EMC IP Holding Company LLC Method and apparatus for policy-based replication
US9143407B2 (en) * 2011-09-02 2015-09-22 Microsoft Technology Licensing, Llc Granular client inventory management with conflict resolution
US9043864B2 (en) 2011-09-30 2015-05-26 Oracle International Corporation Constraint definition for conditional policy attachments
US8744428B2 (en) * 2011-10-18 2014-06-03 Alcatel Lucent Supported feature override
US8689281B2 (en) * 2011-10-31 2014-04-01 Hewlett-Packard Development Company, L.P. Management of context-aware policies
US9165332B2 (en) 2012-01-27 2015-10-20 Microsoft Technology Licensing, Llc Application licensing using multiple forms of licensing
US9054971B2 (en) 2012-04-24 2015-06-09 International Business Machines Corporation Policy management of multiple security domains
EP2663053A3 (en) * 2012-05-09 2014-01-01 Computer Security Products, Inc. Methods and apparatus for creating and implementing security policies for resources on a network
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
US9461983B2 (en) * 2014-08-12 2016-10-04 Danal Inc. Multi-dimensional framework for defining criteria that indicate when authentication should be revoked
US10154082B2 (en) 2014-08-12 2018-12-11 Danal Inc. Providing customer information obtained from a carrier system to a client device
US9454773B2 (en) 2014-08-12 2016-09-27 Danal Inc. Aggregator system having a platform for engaging mobile device users
US10379963B2 (en) * 2014-09-16 2019-08-13 Actifio, Inc. Methods and apparatus for managing a large-scale environment of copy data management appliances
US10089185B2 (en) 2014-09-16 2018-10-02 Actifio, Inc. Multi-threaded smart copy
US10795856B1 (en) * 2014-12-29 2020-10-06 EMC IP Holding Company LLC Methods, systems, and computer readable mediums for implementing a data protection policy for a transferred enterprise application
WO2016130108A1 (en) 2015-02-10 2016-08-18 Hewlett Packard Enterprise Development Lp Network policy conflict detection and resolution
US10187492B2 (en) * 2015-07-02 2019-01-22 Entit Software Llc Maintenance window scheduling
US10361905B2 (en) * 2015-11-03 2019-07-23 International Business Machines Corporation Alert remediation automation
CN107194241B (zh) * 2016-03-15 2021-06-11 腾讯科技(深圳)有限公司 终端设备的控制方法、服务器、终端设备和控制系统
US10867044B2 (en) 2018-05-30 2020-12-15 AppOmni, Inc. Automatic computer system change monitoring and security gap detection system
US10742743B2 (en) * 2018-11-19 2020-08-11 Blackberry Limited Systems and methods for managing IOT/EOT devices
CN112036774B (zh) * 2020-10-09 2024-05-17 北京嘀嘀无限科技发展有限公司 服务策略的评估方法、装置、设备及存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5689700A (en) * 1993-12-29 1997-11-18 Microsoft Corporation Unification of directory service with file system services
US7246370B2 (en) 2000-01-07 2007-07-17 Security, Inc. PDstudio design system and method
EP1118925B1 (en) 2000-01-19 2004-11-10 Hewlett-Packard Company, A Delaware Corporation Security policy applied to common data security architecture
US7418489B2 (en) 2000-06-07 2008-08-26 Microsoft Corporation Method and apparatus for applying policies
US20020093527A1 (en) 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
GB2378010A (en) 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
US7269612B2 (en) 2002-05-31 2007-09-11 International Business Machines Corporation Method, system, and program for a policy based storage manager
US7149738B2 (en) * 2002-12-16 2006-12-12 International Business Machines Corporation Resource and data administration technologies for IT non-experts
US7437718B2 (en) * 2003-09-05 2008-10-14 Microsoft Corporation Reviewing the security of trusted software components
US7370195B2 (en) * 2003-09-22 2008-05-06 Microsoft Corporation Moving principals across security boundaries without service interruption
JP4363214B2 (ja) * 2004-02-17 2009-11-11 日本電気株式会社 アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム
US7433892B2 (en) 2004-03-05 2008-10-07 International Business Machines Corporation Method, system and program product for imposing policy modification constraints
US7240076B2 (en) 2004-04-13 2007-07-03 Bea Systems, Inc. System and method for providing a lifecycle for information in a virtual content repository
CN100481013C (zh) 2004-08-03 2009-04-22 索芙特瑞斯提股份有限公司 用于经由上下文策略控制来控制应用程序间关联的系统和方法
US20060053215A1 (en) 2004-09-07 2006-03-09 Metamachinix, Inc. Systems and methods for providing users with access to computer resources
US8799242B2 (en) 2004-10-08 2014-08-05 Truecontext Corporation Distributed scalable policy based content management
JP4640776B2 (ja) * 2004-12-24 2011-03-02 株式会社エヌ・ティ・ティ・データ 情報システム設定装置、情報システム設定方法及びプログラム
US7954142B2 (en) * 2005-06-15 2011-05-31 The Board Of Regents, University Of Texas System System and method of resolving discrepancies between diverse firewall designs
US20080126287A1 (en) * 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
US8307404B2 (en) * 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220086190A1 (en) * 2020-09-16 2022-03-17 Salesforce.Com, Inc. Correlation of security policy input and output changes

Also Published As

Publication number Publication date
US20080256593A1 (en) 2008-10-16
JP2010525451A (ja) 2010-07-22
CN101657831A (zh) 2010-02-24
EP2156380A4 (en) 2011-02-02
CN101657831B (zh) 2015-12-09
WO2008127841A1 (en) 2008-10-23
EP2156380A1 (en) 2010-02-24
US8307404B2 (en) 2012-11-06

Similar Documents

Publication Publication Date Title
JP5346010B2 (ja) ポリシー管理基盤
US8646093B2 (en) Method and system for configuration management database software license compliance
US10986080B1 (en) Permission management method and system for trustworthiness mechanism of big-data blockchain
US10541938B1 (en) Integration of distributed data processing platform with one or more distinct supporting platforms
US10009385B2 (en) Method and system for managing security policies
CN113169952B (zh) 一种基于区块链技术的容器云管理系统
US8132231B2 (en) Managing user access entitlements to information technology resources
US8010991B2 (en) Policy resolution in an entitlement management system
CN110990150A (zh) 容器云平台的租户管理方法、系统、电子设备及存储介质
US7490265B2 (en) Recovery segment identification in a computing infrastructure
US8117640B1 (en) Systems and methods for analyzing application security policies
Beach et al. Cloud computing for the architecture, engineering & construction sector: requirements, prototype & experience
CN103377336B (zh) 一种计算机系统用户权限的控制方法和系统
US20080052102A1 (en) System and method for collecting and normalizing entitlement data within an enterprise
Pan et al. Semantic access control for information interoperation
US8719894B2 (en) Federated role provisioning
WO2008033394A2 (en) Complexity management tool
Tsai et al. Data provenance in SOA: security, reliability, and integrity
CN108427550A (zh) 一种Web服务生成方法、装置及设备
US20050268325A1 (en) Method and system for integrating policies across systems
US11593463B2 (en) Execution type software license management
JP4602684B2 (ja) 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体
Kywe et al. Evaluation of different electronic product code discovery service models
US20230004546A1 (en) Data management
Nisirin et al. A comprehensive review on cloud compliance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130620

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130717

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130717

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130815

R150 Certificate of patent or registration of utility model

Ref document number: 5346010

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250