JP5444337B2 - ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム - Google Patents

ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム Download PDF

Info

Publication number
JP5444337B2
JP5444337B2 JP2011515429A JP2011515429A JP5444337B2 JP 5444337 B2 JP5444337 B2 JP 5444337B2 JP 2011515429 A JP2011515429 A JP 2011515429A JP 2011515429 A JP2011515429 A JP 2011515429A JP 5444337 B2 JP5444337 B2 JP 5444337B2
Authority
JP
Japan
Prior art keywords
network
service landscape
network resource
resource
network resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011515429A
Other languages
English (en)
Other versions
JP2011527781A (ja
Inventor
ゴッティマッカラ、シバラム
ハイン・ラップ・ティエット
ジョセフ・ダイナカラン
ジュニア・リンウッド・ヒュー オバービイ
デバイン・ウェズリー・マクミリアム
ベーレント・ミカエル
ブレイター・ゲルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2011527781A publication Critical patent/JP2011527781A/ja
Application granted granted Critical
Publication of JP5444337B2 publication Critical patent/JP5444337B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • H04L41/5051Service on demand, e.g. definition and deployment of services in real time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、データ通信ネットワーク環境内のサービスのプロビジョニング(provisioning)に係り、さらに詳細に説明すれば、新しいネットワーク資源が一のサービス・ランドスケープ・インスタンス(service landscape instance)内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための技術に係る。
情報技術(IT)の発達による1つの成果は、ソフトウェア開発及び配備(deployment)用のオンデマンドの、利用時払い(pay-as-you-go)ユーティリティ・モデルの出現である。このモデルによれば、アプリケーション及び他のIT資源が、データ通信ネットワーク(特に、インターネット)を通して、サービス・プロバイダによって顧客に提供される。特定のモデルは、アプリケーションがインターネット経由で顧客に提供されるサービスとしてホストされる、ソフトウェア配備のSaaS(Software-as-a-Service)モデルである。このモデルの主要な利点は、アプリケーションを顧客自身のコンピュータにインストールし且つ稼働させる必要性を取り除くこと、そしてソフトウェア保守に関する顧客の困難を緩和することにある。また、SaaSは、それほど高価でない、オンデマンドの価格設定を通して、ソフトウェア購入に伴う顧客の先行投資のコストを減少させることができる。ベンダにとって、SaaSは、ベンダの知的財産を保護するための機構となり得るだけでなく、継続的な収益源とすることができる。SaaSベンダは、それ自身のウェブ・サーバ上にアプリケーションをホストするか、又はアプリケーションを第3者のアプリケーション・サービス・プロバイダ(ASP)を通して提供することができる。
かかるユーティリティ・モデルの下では、データがネットワーク上で交換されるという理由で、セキュリティが重要な検討事項となる。このため、ネットワーク資源は、一般に、ネットワーク資源間のトラフィック用のアクションを制御するためのセキュリティ・ポリシ・ルールを維持しなければならない。一般に、これらのルールは、ローカルのインターネット・プロトコル(IP)アドレス及びポート、並びにリモートのIPアドレス及びポートを含む、複数の条件を確立する。かかるセキュリティ・ポリシ・ルールの例は、データ・ストリーム内の各IPパケットの認証及び/又は暗号化によりIP通信を安全にするプロトコルの「IPsec (IP security)」スイート、及び「IBM z/OS Application Transparent Transport Layer Security (AT-TLS)」による、IPパケット・フィルタリングのために使用されるものである。「IBM」及び「z/OS」は、アメリカ合衆国、他の諸国又は両方におけるインターナショナル・ビジネス・マシーンズ・コーポレーションの商標である。
新しいネットワーク資源がプロビジョンされ且つ一のサービス・ランドスケープ・インスタンスに追加されるときには、当該新しくプロビジョンされたネットワーク資源及びリモートに位置する適格(eligible)なネットワーク資源の間の通信を許可するように、当該新しくプロビジョンされたネットワーク資源内のポリシ・ルールを作成しなければならない。さらに、一のネットワーク資源がプロビジョンされる場合、当該新しくプロビジョンされたネットワーク資源及び既存のネットワーク資源の間の通信を許可するように、当該サービス・ランドスケープ・インスタンス内の他の資源を更新しなければならない。しかし、システム・ファイアウォールの構成及び侵入防御のような、ITインフラストラクチャ用のセキュリティを使用可能にすることは、相当な手動構成作業を必要とするばかりか、プラットフォーム特有の専門知識を必要とするのが普通である。もし、かかるプロセスが手動的に行われるのであれば、時間を浪費し、エラーを生じやすく、潜在的には破壊的となることがある。しかし、サービス・ランドスケープ・インスタンスを形成するネットワーク化されたシステムを保護するためにセキュリティを使用可能にすることは、新しいオンデマンド・サービスの容認及び配備における重要な鍵である可能性が高い。
前述の背景技術に照らして、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することが望ましい。
本発明の1つの実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する。
本発明の他の実施形態は、 ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える。
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することができるという効果を奏する。
本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを有利に使用することができるネットワーク環境を示す概略図である。 本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。 本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。 本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。 本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法及びシステムに向けられている。本明細書では、本発明の種々の実施形態を説明するために、次のように定義される用語を使用する。
「SaaS(Software-as-a-Service)」。SaaSは、ソフトウェア・アプリケーションがサービス・プロバイダによってホストされ、サービス加入者が私設コンピュータ通信ネットワーク又はインターネットのような公衆コンピュータ通信ネットワーク経由でそのサービスアクセスすることができる、ソフトウェア配布サービス・モデルを意味する。
「PaaS(Platform-as-a-Service)」。一般に、PaaSは、ソフトウェアを開発するためにコンピュータ・プログラマによって使用可能な包括的設備を提供する統合開発環境(IDE)ソフトウェア・アプリケーションのような、開発/テスト・プラットフォームを提供するソフトウェアのホスティングに焦点が置かれた、SaaSの任意の領域又は部分を意味する。
「サービス・ランドスケープ」。サービス・ランドスケープは、サービスを配信するためのSaaSアーキテクチャ・モデルである。その1例は、多層(multi-tier)のウェブ・サービス(例えば、ウェブ・サーバ、アプリケーション・サーバ及びデータベース・サーバから成る3層アーキテクチャ)配信モデルである。従って、サービス・ランドスケープは、サービス(又はアプリケーション若しくはソリューション)を記述するためのモデルである。例えば、サービスは、3層サービスを形成する1セットのノードを含むことがある。幾つかのノードは、httpサーバとして機能し、他の幾つかのノードは、アプリケーション・サーバとして、さらに他の幾つかのノードは、データベース・サーバとして機能する。また、サービス・ランドスケープは、各ノード用の資源要件(例えば、CPU、メモリ、ディスク)を記述することができる。
「サービス・ランドスケープ・インスタンス」。サービス・ランドスケープ・インスタンスは、サービス・ランドスケープの実現又はインスタンス化であり、そこで種々のIT資源(例えば、サーバ、ネットワーク及びストレージ)がサービス加入のサービス・レベル・アグリーメント(SLA)に従ってプロビジョンされ且つ管理されるようになっている。
図1は、本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム102を有利に使用することができる、ネットワーク環境100を例示する。ネットワーク環境100は、サービス・ランドスケープ・インスタンス104を含み、その内部にはシステム102が配備される。前述の定義と整合するように、サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cと、1つのコンピューティング装置106bに通信可能にリンクされた少なくとも1つのデータベース108を含む。コンピューティング装置106a〜106cは、インターネットのようなデータ通信ネットワーク110を通して、互いに通信可能にリンクされる。図示のように、コンピューティング装置106a〜106cのうちの1つに常駐するか又はコンピューティング装置106a〜106c間に分散された、SaaS又はPaaSアプリケーションのようなネットワーク資源にアクセスするために、1つ以上の他のコンピューティング装置112を、データ通信ネットワーク110を通して、1つ以上のコンピューティング装置106a〜106cに通信可能にリンクすることができる。
サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cを含むように図示されているが、本明細書に開示した内容から明らかなように、サービス・ランドスケープ・インスタンス104内には、より多くの又はより少ない数のコンピューティング装置を含めることができる。さらに、明示されていないが、サービス・ランドスケープ・インスタンス104は、種々のアプリケーション(例えば、SaaS及び/又はPaaS)又は1つ以上のコンピューティング装置106a〜106c上に常駐する他のネットワーク資源を含むことができる。
好ましくは、コンピューティング装置106a〜106cは、データ通信ネットワーク110を通してリモートの装置又はシステムによってアクセスすることができる、アプリケーション及び他のネットワーク資源をホストするためのサーバである。しかし、代替実施形態では、1つ以上のコンピューティング装置106a〜106cは、他のタイプの汎用又はアプリケーション特有のコンピューティング装置とすることができる。また、ネットワーク環境100の種々の要素間の通信リンクは、データ通信ネットワーク110を横断する有線接続として図示されているが、かかる通信リンクは、明示されていない種々の中間ノードを含むことができる。代替的に、かかる通信リンクは、無線通信リンクとすることができる。
図2を参照して、システム102をより詳しく説明する。システム102は、1つ以上のプロセッサ204を含む。明示されていないが、1つ以上のプロセッサ204の各々は、複数のレジスタ、算術論理演算装置及び制御装置を含むことができる。従って、システム102は、単一スレッド、単一プロセッサ環境内で、単一スレッド、マルチプロセッサ環境内で、又はマルチスレッド、マルチプロセッサ環境内で、プロセッサ実行可能な命令を処理するように構成することができる。さらに、1つ以上のプロセッサ204は、単一のコンピューティング装置又は異なるコンピューティング装置上に存在することができる。システム102が分散コンピューティング・アーキテクチャに従ってマルチ・コンピューティング装置の形態で実装される場合、これらの装置は、共通のサイトにおいて共同設置することができる。代替的に、これらのコンピューティング装置を、互いにリモートの位置に設置し、データ通信ネットワーク110を通して通信するように構成することができる。オプションとして、システム102は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上の主メモリ要素205を含むことができる。
また、システム102は、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210を含む。好ましくは、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210は、本明細書に開示した手順及び機能を実施するための論理ベースの処理回路及びプロセッサ実行可能コードの組み合わせの形態で実装される。従って、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の各々は、1つ以上のプロセッサ204上で実行するように構成することができる。代替的に、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の1つ以上は、同じ手順及び機能を実施するために1つ以上のプロセッサ204の直接的な制御の下ではなく、互いに協調的に動作するように構成された専用の布線式回路の形態で実装することができる。
動作について説明する。分類モジュール206は、特定のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。特定の実施形態では、分類モジュール206は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、これらのネットワーク資源を分類する。従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源が、例えば、一のアプリケーション・サーバ、一のファイル転送プロトコル(FTP)サーバ及び一のデータベース・サーバを含んでいれば、各サーバは、サービス・ランドスケープ・インスタンス104内で一意的な機能を行うための明確な役割を有する。従って、分類モジュール206は、それぞれのサーバの特定の役割又は機能に従って、当該アプリケーション・サーバ、FTPサーバ及びデータベース・サーバを分類する。
この実施形態では、サービス・ランドスケープ・モデルを使用して多層の階層的トポロジを構築することができるという理由で、分類モジュール206は、当該多層の階層的トポロジ内で各ネットワーク資源が占有する特定の層に従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源をさらに分類する。1つの層は、例えば、いわゆる非武装地帯(DMZ)、物理又は論理サブネットワークに対応することがある。かかる非武装地帯(DMZ)、物理又は論理サブネットワークは、サービス・ランドスケープ・インスタンス104の外部サービスを保持し且つこれらの外部サービスを、インターネットのようにより大きく且つ信頼できないネットワークに露出する。他の層は、アプリケーション・サーバ層及び企業情報システム(EIS)層を含むことがある。別個のネットワーク資源が対応する特定の層に拘わらず、分類モジュール206は、サービス・ランドスケープ・モデルの仕様に従って、そのネットワーク資源を分類する。他の実施形態では、分類モジュール206は、特定のネットワーク資源に対応するIPアドレス及びポートに基づき、サービス・ランドスケープ・インスタンス104の各ネットワーク資源を分類することができる。
より一般的に説明すると、システム102の電子メモリ内に保持することができるサービス・ランドスケープ・モデルは、前記階層的トポロジの各層内に存在することが許可される、サービス・ランドスケープ・インスタンス104の種々の資源の異なるカテゴリを規定し且つ記述する。また、サービス・ランドスケープ・モデルは、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が他の資源と通信することを許可されるかを記述するとともに、接続性(connectivity)用の複数のセキュリティ要件をも記述することができる。従って、分類モジュール206は、サービス・ランドスケープ・モデルによって規定されるような、これらのカテゴリ及び属性の任意の組み合わせに基づき、サービス・ランドスケープ・インスタンス104を構成する各ネットワーク資源を分類する。
ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して動作する。ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。当該新しくプロビジョンされたネットワーク資源のセキュリティ・ポリシ・ルールは、サービス・ランドスケープ・モデルによって決定されるように、当該新しくプロビジョンされたネットワーク資源が通信することを許可された、他の既存のネットワーク資源のIPアドレス及びポートに関して必要とされる複数のセキュリティ・アクションを指定するルールを含むことができる。
例えば、一のデータベース・サーバのプロビジョニングを行う際に、サービス・ランドスケープ・モデルは、当該データベース・サーバがサービス・ランドスケープ・インスタンス104内の全てのアプリケーション・サーバと通信することを許可することができる。しかし、DMZ層のウェブ・サーバのような、1つ以上の他のネットワーク資源への任意の接続性は、これを禁止することができる。さらに、サービス・ランドスケープ・モデルは、当該新しくプロビジョンされたデータベース・サーバ及び一のアプリケーション・サーバの間の通信用の特定レベルのネットワーク暗号化を必要としてもよいし、必要としなくてもよい。ルール生成モジュール208は、サービス・ランドスケープ・モデルによって規定された種々の要件を使用して、当該新しくプロビジョンされたネットワーク資源用の適切な1セットのセキュリティ・ポリシ・ルールを自動的に生成する。
動作について説明する。ポリシ更新モジュール210は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス104内でプロビジョンされるときに、既存のネットワーク資源のうちの少なくとも幾つかのセキュリティ・ポリシ・ルールを更新する。具体的には、ポリシ更新モジュール210は、当該新しくプロビジョンされたネットワーク資源と通信するのに適格な既存のネットワーク資源を決定するように構成することができる。次に、ポリシ更新モジュール210は、ランドスケープ・サービス・モデルに基づき、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、これらの識別されたネットワーク資源用の複数のセキュリティ・ポリシ・ルールを更新する。
例えば、一のデータベース・サーバのプロビジョニングの後、サービス・ランドスケープ・モデルは、全てのアプリケーション・サーバが当該データベース・サーバと通信することができるが、強いネットワーク暗号化が必要とされることを規定することができる。従って、ポリシ更新モジュール210は、当該新しくプロビジョンされたデータベース・サーバに接続することを許可されたサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源を識別し、当該各ネットワーク資源のセキュリティ・ポリシ・ルールを更新する。この例では、これらのルールは、サービス・ランドスケープ・モデルの下で当該新しくプロビジョンされたデータベース・サーバと通信するために必要とされる複数のセキュリティ・アクションを指定する。
異なる実施形態では、システム102は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。管理可能ドメイン・プロビジョニング・マネージャを備える場合、新しいネットワーク資源のプロビジョニングによって影響を受けるサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源のランタイム・ポリシを更新するために、異なる手順を実装することができる。1つの実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、新しい又は更新されたセキュリティ・ポリシ・ルールを、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュすることができる。代替実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、これに代えて、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源に通知することができ、その結果、影響を受ける各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから新しい又は更新されたセキュリティ・ポリシ・ルールを要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャからセキュリティ・ポリシ・ルールの最新のコピーを要求することができる。これらの要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
図3は、代替実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム300の概略図である。システム300は、前述したタイプのネットワーク環境内で動作することができる。システム300は、プロセッサ実行可能コードを実行するための1つ以上のプロセッサ302を含む。前述のように、1つ以上のプロセッサ302は、同じコンピューティング装置上に又は通信可能にリンクされた異なるコンピューティング装置内に存在することができる。オプションとして、システム300は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上のメモリ要素304を含む。
システム300は、1つ以上のプロセッサ302上で実行するように構成され、ネットワーク資源のプロビジョニングに応答するための名前関連付けモジュール306をさらに含む。名前関連付けモジュール306は、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源をサービス・ランドスケープ・インスタンス104の既存の資源データベース308に追加する。名前関連付けモジュール306は、一のグループ名を、当該新しくプロビジョンされたネットワーク資源と関連付けるようにさらに構成される。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。ネットワーク資源の集合に対応する。このグループ名は、当該構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定することができる。
もし、(新しいアプリケーションがサービス・ランドスケープ・インスタンス104内で配備される場合に生じるように)サービス・ランドスケープ・モデルが変われば、サービス・ランドスケープ・インスタンス104のネットワーク資源間の通信を許可するために新しいセキュリティ・ポリシ・ルールが必要とされる。しかし、たとえ新しいネットワーク資源が資源データベース308に追加されたとしても、サービス・ランドスケープ・モデルが不変であれば、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける資源への、結果的なポリシの完全な再ロードを回避することが可能である。従って、この実施形態は、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が、資源データベース308を再読み取りし且つ当該新しくプロビジョンされた資源を前記ポリシ内で識別された一の資源グループに追加することにより、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が前記ポリシのそれらのローカル・バージョンを再構築することを可能にする。この資源グループは、再びサービス・ランドスケープ・モデルに基づき、プレースホルダが幾つかのネットワーク資源用のポリシ内で指定されることを可能にする。その後、このローカル資源は、構成されたポリシをローカル・システム上のランタイム使用に適合する形式に変換する。ローカル・システムは、この資源グループに追加された、新しくプロビジョンされた資源用の新しいランタイム・ルールを作成することができる
システム300は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。ポリシの必要な再ロードなしに新しいセキュリティ・ポリシ・ルールが作成される場合、異なる手順は、一のネットワーク資源のランタイム・ポリシの更新をもたらすことができる。1つの実施形態では、管理可能ドメイン・プロビジョニング・マネージャは、新しい資源データベース308をサービス・ランドスケープ・インスタンス104内の複数のネットワーク資源にプッシュすることができる。その結果、各ネットワーク資源は、資源データベース308を再読み取りし且つ当該ネットワーク資源のポリシのランタイム形式を更新することができる。従って、オプションとして、システム300は、新しい資源データベース308を、ネットワーク・リンクを介して、サービス・ランドスケープ・インスタンス104内の他のネットワーク資源にプッシュするためのネットワーク・インタフェース310を含むことができる。
代替的に、管理可能ドメイン・プロビジョニング・マネージャは、影響を受ける各ネットワーク資源に対し、資源データベース308が更新されたことを通知することができ、その結果、影響を受ける各ネットワーク資源は、ポリシのそのランタイム形式を更新するために、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。再び、かかる要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
図4には、本発明の方法の特定の側面が示されている。図4は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法400の複数のステップを例示するフローチャートである。ステップ402で開始した後、ステップ404では、一のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。ステップ406では、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。さらに、ステップ408では、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、サービス・ランドスケープ・モデルに基づき、当該新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、サービス・ランドスケープ・インスタンス104内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新する。方法400は、ステップ410で終了する。
1つの実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及びサービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類することを含む。他の実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、各ネットワーク資源を分類することを含む。
方法400は、コンピュータ実行可能コードで実装されたネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有することができる。
他の実施形態では、1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのステップ406は、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の許可された接続性を決定するステップと、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む。
他の実施形態では、セキュリティ・ポリシ・ルールを更新するためのステップ408は、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が当該新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、当該新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含むことができる。
他の実施形態では、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有することができる。この場合、各ランタイム・ポリシを更新するステップは、1つ以上のセキュリティ・ポリシ・ルール及び更新されたセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける各ネットワーク資源にプッシュすることを含む。代替的に、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有することができる。この場合、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、影響を受ける各ネットワーク資源が、管理可能ドメイン・プロビジョニング・マネージャから当該新しいポリシを要求することができる。他の実施形態では、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、そしてランタイム・ポリシを更新するステップは、サービス・ランドスケープ・インスタンス104内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔中に、管理可能ドメイン・プロビジョニング・マネージャから新しいポリシの最新バージョンを要求することを含むことができる。
図5は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法500の複数のステップを例示するフローチャートである。ステップ502で開始した後、ステップ504では、サービス・ランドスケープ・インスタンス104への一のネットワーク資源のプロビジョニングが行われる。このステップ504では、当該新しくプロビジョンされたネットワーク資源を既存のネットワーク資源データベース308に追加することにより、当該ネットワーク資源がプロビジョンされる。ステップ506では、一のグループ名を、当該新しくプロビジョンされたネットワーク資源に関連付ける。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。この実施形態では、このグループ名は、構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。方法500は、ステップ508で終了する。
特定の実施形態では、プロビジョニング・ステップ504は、新しいアプリケーションをサービス・ランドスケープ・インスタンス104内に配備するステップと、当該新しいアプリケーション及びサービス・ランドスケープ・インスタンス104の他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、サービス・ランドスケープ・モデルを再構成するステップを含む。
代替実施形態では、プロビジョニング・ステップ504は、サービス・ランドスケープ・モデルを変更することなく当該新しくプロビジョンされたネットワーク資源を追加するステップと、プロビジョニング・ステップ504によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップを含む。この再構築するステップは、ネットワーク資源データベース308を再読み取りし且つ当該新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールのローカル・バージョン内に維持された資源グループに追加するステップを含むことができる。この実施形態では、方法500は、構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において当該新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有することができる。新しいランタイム・ルールを作成するステップは、資源データベース308の再読み取り及び構成されたポリシのランタイム形式の更新を行うことができるように、当該新しくプロビジョンされたネットワーク資源を保持する資源データベース308を、管理可能ドメイン・プロビジョニング・マネージャからサービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュするステップを含むことができる。代替的に、新しいランタイム・ルールを作成するステップは、資源データベース308が更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、資源データベース308の現バージョンを要求するステップをさらに含むことができる。他の代替実施形態では、新しいランタイム・ルールを作成するステップは、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、管理可能ドメイン・プロビジョニング・マネージャから資源データベース308の現バージョンを要求するステップをさらに含むことができる。
前述のように、本発明は、ハードウェア、ソフトウェア又はハードウェア及びソフトウェアの組み合わせの形態で実現することができる。本発明は、1つのコンピュータ・システムにおいて集中的な態様で実現することができ、又は異なる要素が幾つかの相互接続されたコンピュータ・システムに散在している場合は、分散的な態様で実現することができる。本明細書に開示した方法を実施するのに適した任意の種類のコンピュータ・システム又は他の装置を使用することができる。ハードウェア及びソフトウェアの代表的な組み合わせは、汎用コンピュータ・システム及びコンピュータ・プログラムとすることができる。当該コンピュータ・プログラムがロードされ且つ実行されると、当該コンピュータ・システムが本明細書に開示した方法を実施するように、当該コンピュータ・システムを制御する。
前述のように、本発明は、埋め込まれたコンピュータ・プログラムを定義するコンピュータ可読コードを有する磁気テープ又は光学式に読み取り可能なディスクのような、コンピュータ・プログラム内に埋め込むことができる。かかるコンピュータ・プログラムがコンピュータにロードされ且つコンピュータによって実行されるとき、本明細書に開示した方法を実装する。この文脈上、コンピュータ・プログラムは、任意の言語における1セットの命令の任意の表現、コード又は表記であって、情報処理能力を有するシステムに特定の機能を直接に、又は(a)他の言語、コード又は記法への変換及び/又は(b)異なる資料形式における複製の後に、実行させるものを意味する。
本発明の推奨実施形態に関する前述の説明は、例示を目的として与えられたものであり、網羅的であること及び開示された形態に本発明を限定することを意図するものではない。前述の説明から、多くの修正及び変形が明らかであろう。従って、本発明の範囲は、本明細書に開示した詳細な説明によって制限されるものではないことが意図される。
本発明及びその種々の実施形態は、次の各項に記載するように要約することができる。
1.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
2.前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、第1項に記載の方法。
3.前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、第1項に記載の方法。
4.コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、第1項に記載の方法。
5.前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、第1項に記載の方法。
6.前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、第1項に記載の方法。
7.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、第1項に記載の方法。
8.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、第1項に記載の方法。
9.新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、第1項に記載の方法。
10.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
11.前記ステップ(a)が、
新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備するステップと、
前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成するステップを含む、第10項に記載の方法。
12.前記ステップ(a)が、
前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加するステップを含み、
前記ステップ(a)によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップをさらに有する、第10項に記載の方法。
13.前記再構築するステップが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加するステップを含む、第12項に記載の方法。
14.前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有する、第13項に記載の方法。
15.前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするステップをさらに有する、第14項に記載の方法。
16.前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
17.影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
18.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
19.前記サービス・ランドスケープ・インスタンス内の前記複数のネットワーク資源用の複数の分類を提供するように、前記サービス・ランドスケープ・モデルを構成するための構成モジュールをさらに備え、
前記サービス・ランドスケープ・モデルによって規定された階層的トポロジの各層内で許可される複数のネットワーク資源が分類され、
他のネットワーク資源と通信することを許可されるネットワーク資源が識別され、
異なるネットワーク資源間のネットワーク通信用のセキュリティ要件が指定される、第18項に記載のシステム。
20.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
102・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
104・・・サービス・ランドスケープ・インスタンス
106a〜106c・・・コンピューティング装置
108・・・データベース
110・・・データ通信ネットワーク
112・・・他のコンピューティング装置
204・・・1つ以上のプロセッサ
205・・・主メモリ要素
206・・・分類モジュール
208・・・ルール生成モジュール
210・・・ポリシ更新モジュール
300・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
302・・・1つ以上のプロセッサ
304・・・メモリ要素
306・・・名前関連付けモジュール
308・・・資源データベース
310・・・ネットワーク・インタフェース

Claims (14)

  1. ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
    (a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
    (b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
    (c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
  2. 前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、請求項1に記載の方法。
  3. 前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、請求項1に記載の方法。
  4. コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、請求項1ないし請求項3の何れか1項に記載の方法。
  5. 前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、請求項1ないし請求項4の何れか1項に記載の方法。
  6. 前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、請求項1ないし請求項5の何れか1項に記載の方法。
  7. 前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
    各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、請求項1に記載の方法。
  8. 前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
    新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
    影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、請求項1に記載の方法。
  9. 新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
    前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、請求項1に記載の方法。
  10. ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
    (a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
    (b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
    前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
    前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
  11. ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
    (a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
    (b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
    (c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
    (d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
  12. ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
    (a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
    (b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
    前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
    前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
    前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
  13. 請求項1ないし請求項10の何れか1項に記載の方法の各ステップをコンピュータに実行させるためのコンピュータ・プログラム。
  14. 請求項1ないし請求項10の何れか1項に記載の方法の各ステップをハードウェアによる手段として構成した、システム。
JP2011515429A 2008-07-01 2009-06-30 ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム Active JP5444337B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/166,243 2008-07-01
US12/166,243 US8424053B2 (en) 2008-07-01 2008-07-01 Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape
PCT/EP2009/058182 WO2010000738A1 (en) 2008-07-01 2009-06-30 Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape

Publications (2)

Publication Number Publication Date
JP2011527781A JP2011527781A (ja) 2011-11-04
JP5444337B2 true JP5444337B2 (ja) 2014-03-19

Family

ID=40943729

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011515429A Active JP5444337B2 (ja) 2008-07-01 2009-06-30 ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム

Country Status (7)

Country Link
US (1) US8424053B2 (ja)
EP (1) EP2304917A1 (ja)
JP (1) JP5444337B2 (ja)
KR (1) KR101475988B1 (ja)
CA (1) CA2729898C (ja)
TW (1) TWI468972B (ja)
WO (1) WO2010000738A1 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9043861B2 (en) 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US9491052B2 (en) * 2010-03-26 2016-11-08 Bladelogic, Inc. Topology aware smart merge
US8788669B2 (en) 2011-01-03 2014-07-22 Novell, Inc. Policy and identity based workload provisioning
US8732665B2 (en) * 2011-06-28 2014-05-20 Microsoft Corporation Deploying environments for testing by providing instantaneous availability of prebuilt environments
US9088570B2 (en) * 2012-03-26 2015-07-21 International Business Machines Corporation Policy implementation in a networked computing environment
CN103686865B (zh) * 2012-09-26 2018-11-09 索尼公司 网络资源使用的决策装置和方法
JP6328140B2 (ja) * 2013-01-11 2018-05-23 シナコア,インコーポレイテッド コンテキスチュアルダッシュボードの選択を構成する方法およびシステム
US9354983B1 (en) * 2013-03-15 2016-05-31 Entreda, Inc. Integrated it service provisioning and management
US9258315B2 (en) * 2014-01-13 2016-02-09 Cisco Technology, Inc. Dynamic filtering for SDN API calls across a security boundary
KR101601397B1 (ko) * 2014-03-13 2016-03-08 현대자동차주식회사 근거리 무선 통신을 활용한 와이파이 다이렉트 피투피 연결이 가능한 텔레매틱스 시스템
US9491198B2 (en) * 2014-07-10 2016-11-08 Sap Se Obligation enforcement for resource access control
US20160373319A1 (en) * 2014-09-24 2016-12-22 Jeremy Lynn Littlejohn Method and device for evaluating the system assets of a communication network
US9401933B1 (en) 2015-01-20 2016-07-26 Cisco Technology, Inc. Classification of security policies across multiple security products
US9531757B2 (en) 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US9521167B2 (en) 2015-01-20 2016-12-13 Cisco Technology, Inc. Generalized security policy user interface
US9680875B2 (en) 2015-01-20 2017-06-13 Cisco Technology, Inc. Security policy unification across different security products
US9571524B2 (en) 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US9787722B2 (en) 2015-05-19 2017-10-10 Cisco Technology, Inc. Integrated development environment (IDE) for network security configuration files
US9948679B2 (en) 2015-08-21 2018-04-17 Cisco Technology, Inc. Object-relation user interface for viewing security configurations of network security devices
US9992232B2 (en) 2016-01-14 2018-06-05 Cisco Technology, Inc. Policy block creation with context-sensitive policy line classification
US10182055B2 (en) 2016-06-06 2019-01-15 Cisco Technology, Inc. Security policy efficacy visualization
US10601871B2 (en) * 2017-01-18 2020-03-24 International Business Machines Corporation Reconfiguration of security requirements for deployed components of applications
WO2019088671A1 (ko) * 2017-10-30 2019-05-09 성균관대학교 산학협력단 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
US10944723B2 (en) * 2017-11-17 2021-03-09 ShieldX Networks, Inc. Systems and methods for managing endpoints and security policies in a networked environment
US11848989B2 (en) 2019-05-30 2023-12-19 Hewlett Packard Enterprise Development Lp Separate routing of NVMe-over-fabric packets and non-NVMe packets
US11777804B2 (en) 2019-06-11 2023-10-03 Hewlett Packard Enterprise Development Lp Automatic system provisioning for NVME-over-fabric storage
DE112019007502T5 (de) 2019-06-25 2022-09-22 Hewlett Packard Enterprise Development Lp Zuordnen von nvme-over-fabric-paketen mithilfe von virtuellen ausgangswarteschlangen
US11456917B2 (en) * 2020-06-01 2022-09-27 Cisco Technology, Inc. Analyzing deployed networks with respect to network solutions
US20220094715A1 (en) * 2020-09-18 2022-03-24 Prama, Inc. Method and a system for providing security and access control in a network model
US11757888B2 (en) 2021-06-15 2023-09-12 Fortinet, Inc. Systems and methods for fine grained forward testing for a ZTNA environment
CN114221808B (zh) * 2021-12-14 2024-02-06 平安壹钱包电子商务有限公司 安全策略部署方法、装置、计算机设备及可读存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738908B1 (en) 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
TW490629B (en) * 2000-12-12 2002-06-11 Kindly Network Corp Network resources utilization method beneficial to all parties
US7478418B2 (en) * 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
US7308706B2 (en) 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US7945669B2 (en) * 2002-10-30 2011-05-17 Emc Corporation Method and apparatus for provisioning storage resources
US20080008202A1 (en) * 2002-10-31 2008-01-10 Terrell William C Router with routing processors and methods for virtualization
US7689676B2 (en) * 2003-03-06 2010-03-30 Microsoft Corporation Model-based policy application
US7603464B2 (en) * 2003-06-04 2009-10-13 Sony Computer Entertainment Inc. Method and system for identifying available resources in a peer-to-peer network
KR20130093669A (ko) * 2003-07-17 2013-08-22 인터디지탈 테크날러지 코포레이션 Wlan 네트워크 제어를 위한 신호 방법
KR100714367B1 (ko) * 2004-03-24 2007-05-08 최성원 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법
JP4308086B2 (ja) * 2004-05-31 2009-08-05 富士通株式会社 自律制御プログラム及びその記録媒体、自律制御装置並びに自律制御方法
WO2006040812A1 (ja) * 2004-10-12 2006-04-20 Fujitsu Limited 運用管理プログラム、運用管理方法および運用管理装置
US7302533B2 (en) * 2005-03-11 2007-11-27 International Business Machines Corporation System and method for optimally configuring software systems for a NUMA platform
US7801128B2 (en) * 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes

Also Published As

Publication number Publication date
KR101475988B1 (ko) 2014-12-23
US20100005505A1 (en) 2010-01-07
TW201015370A (en) 2010-04-16
EP2304917A1 (en) 2011-04-06
JP2011527781A (ja) 2011-11-04
TWI468972B (zh) 2015-01-11
KR20110042070A (ko) 2011-04-22
CA2729898A1 (en) 2010-01-07
WO2010000738A1 (en) 2010-01-07
US8424053B2 (en) 2013-04-16
CA2729898C (en) 2017-04-11

Similar Documents

Publication Publication Date Title
JP5444337B2 (ja) ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム
US11743144B2 (en) Systems and methods for domain-driven design and execution of metamodels
US12131195B2 (en) Discovering and publishing API information
CN110383765B (zh) 使用图形模型的计算机基础结构的配置、遥测和分析
US10462018B2 (en) Managing a number of secondary clouds by a master cloud service manager
CN105074692B (zh) 使用基于逻辑多维标签的策略模型的分布式网络管理系统
US9537717B2 (en) Policy enforcement point provisioning
CN107533483B (zh) 服务编排
WO2018017505A1 (en) Access services in hybrid cloud computing systems
JP2017534109A (ja) セカンドデーオペレーションのトポロジーベースの管理
EP3063663A1 (en) Stitching an application model to an infrastructure template
WO2018017506A1 (en) Usage tracking in hybrid cloud computing systems
AU2022245632B2 (en) Run-time communications protocol parameter adjustment in containerized applications
CN116457759A (zh) 基于分布式容器组的系统内的服务编排
US11954484B2 (en) Method and system for graph-based application modeling
WO2017023268A1 (en) Federated marketplace portal
US11909597B1 (en) Connectivity management environment endpoint discovery via connectivity management system client
Gao et al. Bi-directional network and application interaction: Application intents upon abstracted network information
Kumara et al. The SODALITE Runtime Environment
Cuadrado et al. A model for enabling context-adapted deployment and configuration operations for the banking environment
WO2022187373A1 (en) System and method for implementing a behavior driven architecture module
Threats CLOUDS
Gavalas A lightweight and flexible mobile agent platform tailored to management applications
Antonopoulos et al. Deliverable release date 12/12/2019

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130917

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131220

R150 Certificate of patent or registration of utility model

Ref document number: 5444337

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150