JP5482783B2 - セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム - Google Patents

セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム Download PDF

Info

Publication number
JP5482783B2
JP5482783B2 JP2011502608A JP2011502608A JP5482783B2 JP 5482783 B2 JP5482783 B2 JP 5482783B2 JP 2011502608 A JP2011502608 A JP 2011502608A JP 2011502608 A JP2011502608 A JP 2011502608A JP 5482783 B2 JP5482783 B2 JP 5482783B2
Authority
JP
Japan
Prior art keywords
security
traffic
security device
function
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011502608A
Other languages
English (en)
Other versions
JPWO2010100825A1 (ja
Inventor
昌治 森本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011502608A priority Critical patent/JP5482783B2/ja
Publication of JPWO2010100825A1 publication Critical patent/JPWO2010100825A1/ja
Application granted granted Critical
Publication of JP5482783B2 publication Critical patent/JP5482783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムに関し、特にトラヒックに適用すべき一連のセキュリティ機能に係る処理を、複数のセキュリティ装置に分散実行させる技術に関する。
ネットワーク技術の進歩に伴って、企業やデータセンター内の通信ネットワーク(以下、単にネットワークと呼称する)は高速化を続けている。
このようなネットワークにおいては、利便性が高まる一方で、安全性に対する脅威が年々増加しており、セキュリティに対する関心もさらに高まっている。近年、脅威の巧妙化に伴い、ネットワークの安全性向上に向けた対策は、単一のセキュリティ機能だけでは無く、複数のセキュリティ機能を組み合わせて実現されるようになって来た。
例えばUTM(Unified Threat Management)は、ファイアウォール、侵入検知システム(IDS: Intrusion Detection System)、侵入防止システム(IPS: Intrusion Prevention System)、アンチウィルス、アンチスパム、アンチスパイウェア、コンテンツフィルタリング、及びWAF(Web Application Firewall)等の各種セキュリティ機能を統合したセキュリティゲートウェイとして利用されている。
複数のセキュリティ機能を1つのセキュリティ装置に搭載した場合、セキュリティ装置の処理負荷が問題となる。これは、複数のセキュリティ機能に係る処理の実行に因って他の処理性能が低下してしまい、当該セキュリティ装置自体がネットワーク性能のボトルネックとなってしまうためである。
この問題に対処する技術として、例えば特許文献1には、ネットワークのプロトコル処理を実行するプロセッサと、負荷の高いセキュリティ処理を実行するセキュリティエンジンの両者を搭載したハードウェアを用い、以てネットワーク性能を向上させる方式が記載されている。すなわち、管理者によって投入されたセキュリティポリシーを、分散配置されたネットワーク装置に搭載した各ハードウェア内のセキュリティエンジンに配備し、以てセキュリティ処理を分散実行させている。
上記の方式によれば、従来、ネットワークの入口等の一箇所に集中配置されていたセキュリティ処理が、複数の端点(クライアントやサーバ等)に分散配置されるため、ネットワーク性能の向上が期待できる。
しかしながら、今後も巧妙化していく脅威に対して、セキュリティ機能は、さらに複雑な解析処理を要求されることになる。従って、上記の方式では、やがて端点におけるセキュリティ処理の負荷が課題になる。
また、一部のセキュリティ処理をハードウェアにて処理する場合であっても、セキュリティ処理の量が多くなるにつれ、ソフトウェアに頼らざるを得ない処理が増加してしまう。その結果、ハードウェア利用の効果は相対的に小さくなってしまう。
以上の通り、ハードウェア技術の進化に頼ってネットワーク性能を維持し続けるのは困難である。従って、セキュリティ処理の負荷増大という問題を根本的に解決するには、別の対策を講じる必要がある。
このような対策の一例として、特許文献2には、大略、複数のセキュリティ装置を用いて、複数のセキュリティ処理を分散実行するセキュリティ分散システムが記載されている。
より具体的には、まず、一のセキュリティ装置(或いは宛先ネットワーク装置)がトラヒックに適用すべき一連のセキュリティ機能を判別する。そして、当該一のセキュリティ装置は、宛先ネットワーク装置にトラヒックが到達するまでの経路上に在る他のセキュリティ装置に対して、各セキュリティ機能を適用可能か否か問い合わせるクエリを発行し、その応答に応じて、どのセキュリティ装置にどのセキュリティ機能を適用させるか決定する。各セキュリティ装置は、トラヒックに対して、宛先ネットワーク装置に到達する迄の間に全てのセキュリティ機能が適用されるようマーク付けする。
特表2008−503799号公報 特表2008−527921号公報
ところで、企業やデータセンター内のネットワークにおいては、サーバ等の物理的な演算リソース(以下、単にリソースと呼称する)が定常的に余っていることが多い。これらの余剰リソースは、実際には使用されていないにも関わらず、待機電力を消費している。従って、ネットワーク性能及び電力利用効率の観点から見れば、余剰リソースの活用により、セキュリティ処理の分散実行を実現するのが望ましい。
また、リソースの空き状況や性能要求に応じて、セキュリティ処理の粒度(すなわち、処理単位の大きさ)を柔軟に調整するのが望ましい。これは、余剰リソースのサイズが必ずしも大きく無く、小さな余剰リソースも使用した方が効率的なためである。
しかしながら、上記の特許文献2には、下記に示す第1及び第2の課題がある。
まず、第1の課題は、セキュリティ処理の粒度を何ら調整できないことである。その理由は、複数のセキュリティ機能を単に複数のセキュリティ装置に分散実行させるためである。
従って、余剰リソースのサイズを超えるセキュリティ処理の実行には、新たなサーバの立ち上げ等による必要リソースの確保が必要となり、電力利用効率を何ら向上させることができない。
また、第2の課題は、処理遅延が増大し、ネットワーク性能が低下してしまうことである。その理由は、セキュリティ機能の適用に際して、セキュリティ装置同士間でクエリ及びその応答の送受信が必要なためである。すなわち、小さな余剰リソースが多く存在し、これらの余剰リソースを組み合わせて利用する場合には、セキュリティ装置同士間でのクエリ発行回数が増大し、その結果、セキュリティ処理自体の実行が遅延してしまう。
従って、本発明は、余剰リソースを効率的に活用し、且つセキュリティ処理の遅延を低減することが可能なセキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムを提供することを目的とする。
上記の目的を達成するため、本発明の一態様に係るセキュリティ管理装置は、複数のセキュリティ装置各々の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する管理モジュールと、前記選択された各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する割当モジュールと、前記選択されたセキュリティ装置同士間のトラフィック転送を制御する制御モジュールとを備える。
また、本発明の一態様に係るセキュリティ分散システムは、複数のセキュリティ装置と、各セキュリティ装置を管理するセキュリティ管理装置とを備える。前記セキュリティ管理装置は、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定した各サイズ分のルール集合を通知し、前記選択したセキュリティ装置同士間のトラフィック転送を制御する。
また、本発明の一態様に係るセキュリティ管理方法は、複数のセキュリティ装置を管理する装置におけるセキュリティ管理方法を提供する。このセキュリティ管理方法は、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知し、前記選択したセキュリティ装置同士間のトラフィック転送を制御する。
さらに、本発明の一態様に係るセキュリティ管理プログラムは、複数のセキュリティ装置を管理する装置に、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する処理と、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する処理と、前記選択したセキュリティ装置同士間のトラフィック転送を制御する処理とを実行させる。
本発明によれば、下記に示す第1及び第2の効果を達成することができる。
まず、第1の効果は、余剰リソースを効率的に活用できることにある。その理由は、セキュリティ機能に係る基本的な処理がルールとのマッチング処理であることに着目し、ルール集合のサイズ調整によってセキュリティ処理の粒度を柔軟に変更するためである。
また、第2の効果は、セキュリティ処理の遅延を低減できることにある。その理由は、セキュリティ装置同士間でのクエリ発行が不要であることに加えて、トラヒックの冗長なセキュリティ装置への転送を回避するためである。
本発明の実施の形態1に係るセキュリティ管理装置及びこれを適用するセキュリティ分散システムの概略的な構成例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ管理装置の具体的な構成例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ管理装置の他の構成例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ装置の具体的な構成例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ装置に用いるアクションテーブルの構成例を示した図である。 本発明の実施の形態1に係るセキュリティ装置に用いる転送テーブルの構成例を示した図である。 本発明の実施の形態1に係るセキュリティ装置の他の構成例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ管理装置におけるセキュリティ機能の配置処理例を示したフローチャート図である。 本発明の実施の形態1に係るセキュリティ装置におけるトラヒックの転送処理例を示したフローチャート図である。 本発明の実施の形態1に係るセキュリティ装置における具体的なトラヒックの転送処理例を示したブロック図である。 本発明の実施の形態1に係るセキュリティ装置に用いるアクションテーブルの一の設定例を示した図である。 本発明の実施の形態1に係るセキュリティ装置に用いる転送テーブルの一の設定例を示した図である。 本発明の実施の形態1に係るセキュリティ装置に用いるアクションテーブル他の設定例を示した図である。 本発明の実施の形態1に係るセキュリティ装置に用いる転送テーブルの他の設定例を示した図である。 本発明の実施の形態2に係るセキュリティ管理装置の構成例を示したブロック図である。 本発明の実施の形態2に係るセキュリティ管理装置におけるセキュリティ機能の配置処理例を示したフローチャート図である。
以下、本発明に係るセキュリティ管理装置及びこれを適用するセキュリティ分散システムの実施の形態1及び2を、図1〜図4、図5A及び図5B、図6〜図9、図10A及び図10B、図11A及び図11B、図12、並びに図13を参照して説明する。なお、各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。
[実施の形態1]
図1に示す本実施の形態に係るセキュリティ分散システム1は、ネットワーク外部からのネットワーク内部のクライアントやサーバ(共に図示せず)宛てのトラヒック2を転送するルータ10_1〜10_4(以下、符号10で総称することがある)と、これらのルータ10_1〜10_4にそれぞれ接続された複数(図示の例では4つ)のセキュリティ装置20_1〜20_4(以下、符号20で総称することがある)と、これらのセキュリティ装置20_1〜20_4を管理するセキュリティ管理装置30とで構成される。ここで、セキュリティ管理装置30とセキュリティ装置20は、通信路101により接続されている。また、セキュリティ管理装置30とルータ10は、通信路102により接続されている。さらに、セキュリティ装置20_1〜20_4は、物理マシンの余剰リソースを活用して構成された仮想マシン、又は当該余剰リソースを活用して構築された、FreeBSDにおけるjail、LinuxにおけるVServer、Solarisにおけるコンテナ等の仮想OS(Operating System)である。すなわち、セキュリティ管理装置30は、制御可能な物理マシンの余剰リソースを、セキュリティ装置20として利用することができる。
また、セキュリティ管理装置30は、管理モジュール31と、割当モジュール32と、制御モジュール33とを備えている。
この内、管理モジュール31は、各セキュリティ装置20_1〜20_4の余剰リソース情報に基づき、トラヒック2に適用すべき一連のセキュリティ機能3_A〜3_C(以下、符号3で総称することがある)を分散配置するセキュリティ装置を選択する。図示の例では、管理モジュール31は、セキュリティ装置20_1及び20_2を、セキュリティ機能3_Aを配置するセキュリティ装置として選択し、セキュリティ装置20_2〜20_4を、セキュリティ機能3_Bを配置するセキュリティ装置として選択し、セキュリティ装置20_4を、セキュリティ機能3_Cを配置するセキュリティ装置として選択する。なお、管理モジュール31は、セキュリティ分散システム1内の一部のセキュリティ装置のみを、セキュリティ機能の分散配置対象とすることもある。
ここで、セキュリティ機能3_A〜3_Cは、例えば、ファイアウォール、IDS、IPS、WAF、コンテンツフィルタ、アンチウィルス、アンチスパム、アンチスパイウェアのいずれかのセキュリティ機能に相当する。
そして、管理モジュール31は、各セキュリティ装置20_1〜20_4が各セキュリティ機能3_A〜3_Cに係る処理の実行に用いるルール集合(1個以上のルールから成る集合)4のサイズを決定する。図示の例では、管理モジュール31は、セキュリティ機能3_Aに係る処理の実行に用いるルール集合4_Aを2つのルール集合4_A1及び4_A2に分割し、セキュリティ機能3_Bに係る処理の実行に用いるルール集合4_Bを3つのルール集合4_B1〜4_B3に分割し、セキュリティ機能3_Cに係る処理の実行に用いるルール集合4_Cを分割しないことを決定する。例えば、ルール集合4_Aとして1000個のルールが用いられる場合、管理モジュール31は、ルール集合4_A1を300個のルールから成る集合とし、ルール集合4_A2を残りの700個のルールから成る集合とする。
ここで、ルールは、トラヒック2とのマッチング処理に用いるマッチング条件と、このマッチング条件に合致するトラヒックに対して適用するアクション(トラヒック通過を意味するAllow、トラヒック拒否(廃棄)を意味するDeny、次に適用すべきセキュリティ機能を示すJump、及びセキュリティ分散システム1での処理完了を意味するFinish等)とから成る。また、マッチング処理とは、トラヒック2と、ルール集合4から取り出したルール要素とを比較する処理を指す。このマッチング処理は、ルール集合4全体に適用することもあれば、ルール集合4の部分集合に対して適用することもある。
また、割当モジュール32は、管理モジュール31により選択された各セキュリティ装置20_1〜20_4に、各セキュリティ機能3_A〜3_Cに係る処理の実行に必要なリソースを確保するよう指示すると共に、管理モジュール31により決定された各サイズ分のルール集合4_A1、4_A2、4_B1〜4_B3、及び4_Cを通知する。すなわち、割当モジュール32は、セキュリティ装置20_1にセキュリティ機能3_Aの必要リソースの確保を指示し、セキュリティ装置20_2にセキュリティ機能3_A及び3_Bの必要リソースの確保を指示し、セキュリティ装置20_3にセキュリティ機能3_Bの必要リソースの確保を指示し、セキュリティ装置20_4にセキュリティ機能3_B及び3_Cの必要リソースの確保を指示する。また、割当モジュール32は、セキュリティ装置20_1にルール集合4_A1を通知し、セキュリティ装置20_2にルール集合4_A2及び4_B1を通知し、セキュリティ装置20_3にルール集合4_B2を通知し、セキュリティ装置20_4にルール集合4_B3及び4_Cを通知する。
さらに、制御モジュール33は、管理モジュール31により選択されたセキュリティ装置20_1〜20_4同士間におけるトラフィック2の転送を制御する。より具体的には、制御モジュール33は、後述する如く、セキュリティ装置20_1〜20_4に対してトラフィック2の転送先を指示すると共に、ルータ10_1〜10_4に対してポリシールーティングの実行を指示する。ここで、ポリシールーティングとは、各種のルーティングプロトコルによって動的に登録された経路情報に関係無く、ユーザのポリシー設定によって経路選択を行うルーティングのことである。
このように、セキュリティ分散システム1においては、セキュリティ管理装置30が、ルール数の調整により、セキュリティ装置20に実行させるセキュリティ処理の粒度を変更する。このため、余剰リソースを効率的に活用することができる。
また、セキュリティ管理装置30が、セキュリティ装置同士間におけるトラフィック2の転送を制御する。このため、上述したセキュリティ装置同士間でのクエリ発行は不要であり、トラヒック2の冗長なセキュリティ装置への転送を回避できる。従って、セキュリティ処理の遅延を低減できる。
以下、本実施の形態の具体的な構成及び動作を、図2〜図4、図5A及び図5B、図6〜図9、図10A及び図10B、並びに図11A及び図11Bを参照して説明する。
まず、セキュリティ管理装置30は、図2に示す如く構成すると好適である。より具体的には、管理モジュール31は、セキュリティ装置20の余剰リソース情報に加えて、ユーザ(図示せず)から指定された条件(トラヒック2に適用すべき一連のセキュリティ機能、及び各セキュリティ機能が満たすべき、スループットや同時コネクション数等の性能要件)に基づき、セキュリティ機能配置方針5と、ルール分割方針6とを決定する。ここで、セキュリティ機能配置方針5には、一連のセキュリティ機能を分散配置するセキュリティ装置(台数)と、各セキュリティ装置に配置するセキュリティ機能とが設定される。また、ルール分割方針6には、各セキュリティ機能に用いるルール集合のサイズが設定される。
また、割当モジュール32は、機能配置モジュール321と、ルール配置モジュール322とを有する。この内、機能配置モジュール321は、管理モジュール31により決定されたセキュリティ機能配置方針5に従って、各セキュリティ装置に一連のセキュリティ機能を分散配置する。より具体的には、機能配置モジュール321は、セキュリティ装置20に対してリソース確保指示7を与え、以てセキュリティ機能の必要リソースを確保させる。
一方、ルール配置管理モジュール322は、管理モジュール31により決定されたルール分割方針6に従って分割したルール集合4を、セキュリティ装置20へ通知する。
以上のようにセキュリティ機能が分散配置されたセキュリティ装置は、次の2種類のタイプ1及び2に分類される。
タイプ1は、TCP(Transmission Control Protocol)の終端が不要なセキュリティ機能のみが配置されたセキュリティ装置である。一方、タイプ2は、TCPの終端が必要なセキュリティ機能が少なくとも1つ配置されたセキュリティ装置である。ここで、TCPの終端とは、受信した複数のトラヒック(パケット列)からストリームを構築することである。
タイプ1のセキュリティ装置から他のセキュリティ装置へのトラヒック2の転送に際しては、両セキュリティ装置間に存在するルータにポリシールーティングを行わせる必要がある。このため、制御モジュール33は、ルータ10に対するポリシールーティング設定8を行う経路制御モジュール331を含む。
一方、タイプ2のセキュリティ装置から他のセキュリティ装置へのトラヒック2の転送に際しては、トラヒック2の宛先(より具体的には、IPアドレス及びポート番号)を変更する必要がある。このため、制御モジュール33は、セキュリティ装置20に対してトラヒック転送先を指示する宛先変更モジュール332をさらに含む。
より具体的には、宛先変更モジュール332は、セキュリティ装置20が有するアクションテーブル21に、トラヒック転送先として、セキュリティ機能毎に付与したSID(Security Identifier)9を登録する。ここで、同一のセキュリティ機能を異なるセキュリティ装置に配置した場合、SID9には互いに異なる値が設定されるものとする。
また、宛先変更モジュール332は、セキュリティ装置20が有する転送テーブル22に、SID9に対するトラヒックの転送方法15を登録する。
より具体的には、宛先変更モジュール332は、トラヒック転送方法15を、セキュリティ装置20とトラヒック2の転送先装置の間に存在する、タイプ1のセキュリティ装置の個数mとタイプ2のセキュリティ装置の個数nとに基づき、下記(A)〜(D)に示す如く決定する。ここで、転送先装置とは、次に適用すべきセキュリティ機能を配置したセキュリティ装置、アドレス変換ルータ、又は最終的にトラヒック2を届けるべきクライアントやサーバ等の装置のことである。なお、アドレス変換ルータは、NAT(Network Address Translation)機能やIP(Internet Protocol)マスカレード機能を有するルータである。セキュリティ分散システム1にTCPを終端するセキュリティ機能を配置しない場合は、アドレス変換ルータは不要である。
(A)m="0"且つn="0"が成立する場合(すなわち、同一セキュリティ装置内へのトラフィック転送の場合)、トラヒック転送方法15には何も設定しない。
(B)m>"0"且つn="0"が成立する場合、トラヒック転送方法15に"経路変更"を設定する。ここで、"経路変更"は、ルータ10に対するポリシールーティング設定8が必要であることを示す。
(C)m="0"且つn>"0"が成立する場合、トラヒック転送方法15に"宛先変更"を設定する。ここで、"宛先変更"は、トラヒック2の宛先変更が必要であることを示す。
(D)m>"0"且つn>"0" が成立する場合、トラヒック転送方法15に"経路変更&宛先変更"を設定する。
なお、宛先変更モジュール332は、セキュリティ装置20に対して、SID9に対応する宛先情報(IPアドレス及びポート番号)を通知する。
また、上記の管理モジュール31、割当モジュール32、及び制御モジュール33は、ハードウェアにより実現しても良いし、ソフトウェア(プログラム)により実現しても良い。
後者の場合、図3に示すように、セキュリティ管理装置30内のCPU(Central Processing Unit)34が、図1に示した通信路101及び102に接続されたネットワークインタフェース35を制御すると共に、メモリ(又は二次記憶装置、すなわち記憶媒体)36に格納された、管理モジュール31と同等の処理を記述した管理プログラム37と、割当モジュール32と同等の処理を記述した割当プログラム38と、制御モジュール33と同等の処理を記述した制御プラグラム39とをそれぞれ実行する。この場合、管理モジュール31は、セキュリティ管理装置30の1プロセスとして動作し、割当モジュール32及び制御モジュール33は、それぞれ管理モジュール31の子プロセスとして動作する。各プロセスは、ソケット等を利用したプロセス間通信によって通信する。
一方、セキュリティ装置20は、図4に示す如く構成すると好適である。より具体的には、セキュリティ装置20は、配置されたセキュリティ機能毎のアクションテーブル21と、転送テーブル22と、セキュリティ機能実行モジュール23と、宛先管理モジュール24とを備えている。
この内、アクションテーブル21には、図5Aに示す如く、アクション11とSID9の組からなるエントリが登録されている。
Defaultエントリは、セキュリティ機能実行モジュール23によるマッチング処理の結果、いずれのマッチング条件にも合致しなかったトラヒックに適用されるアクションである。Allowエントリは、マッチング処理の結果、Allowが得られたトラヒックに適用されるアクションである。Jumpエントリは、マッチング処理の結果、Jumpが得られたトラヒックに適用されるアクションである。Finishエントリは、後段のセキュリティ機能(マッチング処理を実行したセキュリティ機能よりも後に適用されるセキュリティ機能)を適用せずに、セキュリティ処理を完了させるアクションある。Finishエントリに対応するSID9は、アドレス変換ルータとなる。
ここで、SID9は、セキュリティ機能の識別子"X"と同一セキュリティ機能内の識別子"Y"の組で表される。例えば、図1に示したセキュリティ装置20_1に配置されたセキュリティ機能3_AのSIDは"1−0"、セキュリティ装置20_2に配置されたセキュリティ機能3_AのSIDは"1−1"となる。同様にして、セキュリティ装置20_2に配置されたセキュリティ機能3_BのSIDは"2―0"、セキュリティ装置20_3に配置されたセキュリティ機能3_BのSIDは"2―1"、セキュリティ装置203_4に配置されたセキュリティ機能3_BのSIDは"2―2"、セキュリティ装置20_4に配置されたセキュリティ機能3_CのSIDは"3−0"となる。
また、転送テーブル22には、図5Bに示す如く、SID9毎に上述したトラヒック転送方法15が登録されている。
図4に戻って、セキュリティ機能実行モジュール23は、セキュリティ管理装置30からのリソース確保指示7に従ってセキュリティ機能の必要リソースを確保すると共に、確保したリソースにより、セキュリティ管理装置30から通知されたルール集合4を用いてルータ10から入力されたトラヒック2のマッチング処理を実行する。
さらに、宛先管理モジュール24は、アクションテーブル21から、セキュリティ機能実行モジュール23によるマッチング処理の結果として得られたアクション11に対応するSID9を読み出すと共に、転送テーブル22を参照して、SID9に対応するトラヒック転送方法15に応じてトラヒック2を転送する。
より具体的には、宛先管理モジュール24は、トラヒック転送方法15に応じて、下記(E)〜(H)のいずれかに示す処理を実行する。
(E)トラヒック転送方法15に何も設定されていない場合、トラヒック2をそのままルータ10へ転送する。
(F)トラヒック転送方法15に"経路変更"が設定されている場合、セキュリティ管理装置30に対してポリシールーティング設定要求12を送信する。セキュリティ管理装置30によるポリシールーティング設定8(図2参照)が完了したらトラヒック2をルータ10へ転送する。
(G)トラヒック転送方法15に"宛先変更"が設定されている場合、トラヒック2の宛先を変更した後、ルータ10へ転送する。
(H)トラヒック転送方法15に"経路変更&宛先変更"が設定されている場合、ポリシールーティング設定要求12の送信とトラヒック2の宛先変更を行い、両者が完了したらトラヒック2をルータ10へ転送する。
なお、上記のセキュリティ機能実行モジュール23及び宛先管理モジュール24は、ハードウェアにより実現しても良いし、プログラムにより実現しても良い。
後者の場合、図6に示すように、セキュリティ装置20内のCPU25が、図1に示した通信路101及びルータ10とのネットワークインタフェース26を制御すると共に、メモリ(又は二次記憶装置、すなわち記憶媒体)27に格納された、セキュリティ機能実行モジュール23と同等の処理を記述したセキュリティ機能実行プログラム28と、宛先管理モジュール24と同等の処理を記述した宛先管理プログラム29とをそれぞれ実行する。また、ルール集合4、並びにアクションテーブル21及び転送テーブル22は、CPU25から参照可能なようメモリ(又は二次記憶装置)27に形成する。この場合、セキュリティ機能3は、セキュリティ装置20に搭載されたOS(図示せず)のカーネル空間プログラムやユーザ空間プロセスとして動作する。
次に、本実施の形態の動作を、図7〜図9、図10A及び図10B、並びに図11A及び図11Bを参照して詳細に説明する。
図7は、セキュリティ管理装置30におけるセキュリティ機能の配置処理例を示している。
図7に示すように、まず、セキュリティ管理装置30内の管理モジュール31が、セキュリティ装置20_1〜20_4の余剰リソース情報に加えて、ユーザから指定された条件(トラヒック2に適用すべき一連のセキュリティ機能、及び各セキュリティ機能が満たすべき、スループットや同時コネクション数等の性能要件)に基づき、セキュリティ機能配置方針5と、ルール分割方針6とを決定する(ステップS1)。
この決定処理を、下記の条件がユーザから指定された場合を例に取って具体的に説明する。
[ユーザ指定条件]
・トラヒック2に適用すべきセキュリティ機能:セキュリティ機能3_A〜3_C。
・性能要件:スループット1Gbps、同時コネクション数:指定無し。
管理モジュール31は、上記の条件に基づき、各セキュリティ機能3_A〜3_Cの必要リソース量を算出する。この結果、下記の必要リソース量が得られたとする。
[必要リソース量]
・セキュリティ機能3_A:1GHz以上のCPUリソース2個、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_B:2GHz以上のCPUリソース3個、メモリ量192MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_C:2GHz以上のCPUリソース1個、メモリ量128MB、ネットワーク性能1Gbps以上。
また、管理モジュール31が、セキュリティ装置20_1〜20_4の余剰リソース情報から、下記のリソースを活用可能と判断したとする。
[活用可能リソース]
・セキュリティ装置20_1:1CPU(1.6Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_2:2CPU(2.4Ghz)、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_3:1CPU(2.0Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_4:2CPU(2.4Ghz)、メモリ量192MB、ネットワーク性能3Gbps以上。
この場合、管理モジュール31は、上記の必要リソース量と活用可能リソースに基づき、例えば下記の通りにセキュリティ機能配置方針5及びルール分割方針6を決定し、割当モジュール32内の機能配置モジュール321及びルール配置モジュール322にそれぞれ与える。
[セキュリティ機能配置方針5]
・セキュリティ装置20_1にセキュリティ機能3_A(SID="1−0")を配置。
・セキュリティ装置20_2にセキュリティ機能3_A(SID="1−1")及び3_B(SID="2−0")を配置。
・セキュリティ装置20_3にセキュリティ機能3_B(SID="2−1")を配置。
・セキュリティ装置20_4にセキュリティ機能3_B(SID="2−2")及び3_C(SID="3−0")を配置。
[ルール分割方針6]
・セキュリティ装置20_1にルール集合4_A1を配置。
・セキュリティ装置20_2にルール集合4_A2及び4_B1を配置。
・セキュリティ装置20_3にルール集合4_B2を配置。
・セキュリティ装置20_4にルール集合4_B3及び4_Cを配置。
そして、機能配置モジュール321は、上記のステップS1で決定されたセキュリティ機能配置方針5に従って、セキュリティ装置20_1〜20_4にリソース確保指示7をそれぞれ与える(ステップS2)。
また、ルール配置モジュール322は、上記のステップS1で決定されたルール分割方針6に従って分割したルール集合4_A1、4_A2及び4_B1、4_B2、並びに4_B3及び4_Cを、セキュリティ装置20_1〜20_4へそれぞれ通知する(ステップS3)。
次に、制御モジュール33が経路及び宛先の設定を行う。
まず、経路制御モジュール331は、タイプ1のセキュリティ装置に対するDefaultの経路設定を行う。すなわち、経路制御モジュール331は、タイプ1のセキュリティ装置に接続されたルータ10に対して、ポリシールーティングの初期設定を行う(ステップS4)。
これと並行して、宛先変更モジュール332は、タイプ1のセキュリティ装置が有するアクションテーブル21中の各エントリに、次に適用するセキュリティ機能のSIDを登録する(ステップS5)。
そして、宛先変更モジュール332は、タイプ2のセキュリティ装置が有するアクションテーブル21中の各エントリに、次に適用するセキュリティ機能のSIDを登録する(ステップS6)。
より具体的には、まず宛先変更モジュール332は、Defaultの宛先設定を行う。すなわち、宛先変更モジュール332は、アクションテーブル21中のDefaultエントリに、次に適用するセキュリティ機能のSIDを登録する。次いで、宛先変更モジュール332は、アクションテーブル21中のAllowエントリに対して次のセキュリティ機能のSIDを登録する。次いで、宛先変更モジュール332は、Jump可能なセキュリティ機能毎に、アクションテーブル21中にJumpエントリを追加する。最後に、宛先変更モジュール332は、アクションテーブル21中のFinishエントリに、アドレス変換ルータを登録する。
そして、宛先変更モジュール332は、上記(A)〜(D)に示した通り、各セキュリティ装置20_1〜20_4と転送先装置の間に存在する、タイプ1のセキュリティ装置の個数mとタイプ2のセキュリティ装置の個数nとに基づき、各セキュリティ装置20_1〜20_4におけるトラヒック転送方法15を決定し、転送テーブル22に登録する(ステップS7)。
なお、或るセキュリティ装置から転送先装置への経路が複数存在する場合、1つの経路を選択して上記の個数m及びnを求めても良い。また、候補となる幾つかの経路を選択して個数m及びnをそれぞれ求め、個数m又はnが最小となる1つの経路を選択しても良い。
上記のステップS7と並行して、宛先変更モジュール332は、各セキュリティ装置20_1〜20_4に対して、転送テーブル22に登録したSIDに対応する宛先情報(IPアドレス及びポート番号)を通知する(ステップS8)。この宛先情報は、各セキュリティ装置20_1〜20_4内の宛先管理モジュール24にて管理される。
次に、セキュリティ管理装置30及びセキュリティ装置20の協調動作によるトラヒックの転送処理例を、図8、図9、図10A及び図10B、並びに図11A及び図11Bを参照して説明する。
図8に示すように、まずセキュリティ装置20内のセキュリティ機能実行モジュール23が、ルータ10から入力されたトラヒック2に対するマッチング処理を実行してアクション11を取得し、宛先管理モジュール24に与える(ステップS11)。
宛先管理モジュール24は、アクション11をキーとして、アクションテーブル21からSID9を読み出す(ステップS12)。
そして、宛先管理モジュール24は、SID9をキーとして、転送テーブル22からトラフィック転送方法15を読み出す(ステップS13)。
トラフィック転送方法15に何も設定されていない場合(ステップS14)、宛先管理モジュール24は、トラヒック2をルータ10へ転送する(ステップS15)。ここで、上記のステップS4でルータ10に対するポリシールーティングの初期設定が行われているため、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。なお、SID9が同一セキュリティ装置内に在る場合、セキュリティ装置20は、SID9に対応するセキュリティ機能に係る処理を続けて実行する。
トラフィック転送方法15に"経路変更"が設定されている場合(ステップS16)、宛先管理モジュール24は、セキュリティ管理装置30内の経路制御モジュール331に対して、ポリシールーティング設定要求12を送信する(ステップS17)。
この要求12を受けた経路制御モジュール331は、転送先装置迄の間に存在するルータ10におけるポリシールーティング設定を変更する(ステップS18)。これにより、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
トラフィック転送方法15に"宛先変更"が設定されている場合(ステップS19)、宛先管理モジュール24は、トラヒック2の宛先を変更する(ステップS20)。これにより、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
トラフィック転送方法15に"経路変更&宛先変更"が設定されている場合(ステップS21)、宛先管理モジュール24は、上記のステップS17及びS18と同様にポリシールーティング設定を変更し(ステップS22及びS23)、上記のステップS20と同様にトラヒック2の宛先を変更する(ステップS24)。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
以下、上記のトラヒック転送処理を、図9、図10A及び図10B、並びに図11A及び図11Bを参照してより詳細に説明する。
まず前提として、図9は、8台のセキュリティ装置20_1〜20_8に、ファイアウォール機能3_1、IPS機能3_2、WAF機能3_3、及びアンチウィルス機能3_4を分散配置した場合のトラヒック転送処理例を扱っている。より具体的には、セキュリティ装置20_1及び20_2に、ファイアウォール機能3_1(SID="1−0"及び"1−1")をそれぞれ配置している。また、セキュリティ装置20_3及び20_4に、IPS機能3_2(SID="2−0"及び"2−1")をそれぞれ配置している。また、セキュリティ装置20_5及び20_6に、WAF機能3_3(SID="3−0"及び"3−1")をそれぞれ配置している。さらに、セキュリティ装置20_7及び20_8に、アンチウィルス機能3_4(SID="4−0"及び"4−1")をそれぞれ配置している。
また、TCPを最初に終端するのはセキュリティ装置20_5におけるWAF機能3_3とする。この場合、セキュリティ装置20_1にルータ10_1を介して入力されるトラヒック2の宛先には、セキュリティ装置20_5のIPアドレスとWAF機能3_3が待ち受けるポート番号とが設定される。すなわち、セキュリティ装置20_5〜20_8は、タイプ2のセキュリティ装置であり、IPアドレス及びポート番号の指定により、ルータ10_5〜10_8からのトラフィック2がそれぞれ入力される。
一方、セキュリティ装置20_1〜20_4は、タイプ1のセキュリティ装置であり、ルータ10_1〜10_4のポリシールーティングによりトラヒック2がそれぞれ入力される。
また、トラヒック2は、セキュリティ装置20_1〜20_8による検査後、アドレス変換ルータ10_9にてアドレス変換され、最終的にサーバ200に到達する。
まず、タイプ1のセキュリティ装置におけるトラヒック(ここではパケットが対象)の転送処理は、次のように行われる。
セキュリティ装置20_1を例に取ると、まず、セキュリティ装置20_1に配置されたファイアウォール機能3_1(SID="1−0")は、ルータ10_1から入力されたトラヒック2に対するマッチング処理を実行する。
この結果、トラヒック2がいずれのマッチング条件にも合致しなかった場合、ファイアウォール機能3_1は、Defaultアクションを実行する。すなわち、セキュリティ装置20_1は、図10Aに示す自身のアクションテーブル21_1を参照し、Defaultエントリに対応するSID9(この例では"1−1")を取得する。
そして、セキュリティ装置20_1は、SID9="1−1"をキーとして、図10Bに示す転送テーブル22_1からトラヒック転送方法15を取得する。今、SID9="1−1"に対応するトラヒック転送方法15は空欄であるため、セキュリティ装置20_1は通常の経路301を使用して、トラヒック2を転送する。
一方、トラヒック2がいずれかのマッチング条件に合致した場合、ファイアウォール機能3_1は、対応するアクションを実行する。
アクションがAllowである場合、セキュリティ装置20_1は、アクションテーブル21_1を参照し、Allowエントリに対応する宛先SID9(この例では"2−0")を取得する。
そして、セキュリティ装置20_1は、SID9="2−0"をキーとして、転送テーブル22_1からトラヒック転送方法15を取得する。今、SID9="2−0"に対応するトラヒック転送方法15は"経路変更"に設定されているため、セキュリティ装置20_1は、セキュリティ管理装置30に対してポリシールーティング設定の変更を依頼する。この時、セキュリティ装置20_1は、セキュリティ管理装置30に、トラヒック情報(例えば、パケットヘッダ)とSID9とを渡す。
セキュリティ管理装置30内の経路制御モジュール331は、SID9がどのセキュリティ装置に対応するのかを機能配置モジュール321に問い合わせる。そして、経路制御モジュール331は、SID9="2−0"に対応するセキュリティ装置20_3迄の間に存在するルータ10_1〜10_3に対して、トラヒック2をセキュリティ装置20_2に転送させるためのポリシールーティング設定(設定変更)を行う。ポリシールーティング設定が完了した後、セキュリティ装置20_1は、トラヒック2をルータ10_1へ転送する。
これにより、トラフィック2は、ルータ10_1〜10_3を順に経由する経路302を通ってセキュリティ装置20_3に到達し、以てIPS機能3_2が適用されることとなる。
なお、アクションがJump又はFinishである場合も、トラヒック転送方法15が"経路変更"であれば同様の処理が行われる。
次に、タイプ2のセキュリティ装置におけるトラヒック(ここでは同一コネクションに流れる複数のパケットが対象)の転送処理例を説明する。
セキュリティ装置20_5を例に取ると、まず、WAF機能3_3(SID="3−0")は、ルータ10_5から入力されたトラヒック2に対するマッチング処理を実行する。
この結果、トラヒック2がいずれのマッチング条件にも合致しなかった場合、WAF機能3_3は、Defaultアクションを実行する。すなわち、セキュリティ装置20_5は、図11Aに示す自身のアクションテーブル21_5を参照し、Defaultエントリに対応するSID9(この例では"3−1")を取得する。
そして、セキュリティ装置20_5は、SID9="3−1"をキーとして、図11Bに示す転送テーブル22_5からトラヒック転送方法15を取得する。今、SID9="3−1"に対応するトラヒック転送方法15は空欄であるため、セキュリティ装置20_5は、通常の宛先を使用してトラヒック2を転送する。この場合、トラフィック2は、ルータ10_5及び10_6を順に経由する経路303を通ってセキュリティ装置20_6に到達し、以てWAF機能3_3が、異なるルール集合を用いて継続実行されることとなる。
一方、トラヒック2がいずれかのマッチング条件に合致した場合、WAF機能3_3は、対応するアクションを実行する。
アクションがAllowである場合、セキュリティ装置20_5は、アクションテーブル21_5を参照し、Allowエントリに対応する宛先SID9(この例では"4−0")を取得する。
そして、セキュリティ装置20_5は、SID9="4−0"をキーとして、転送テーブル22_5からトラヒック転送方法15を取得する。今、SID9="4−0"に対応するトラヒック転送方法15は"宛先変更"に設定されているため、セキュリティ装置20_5は、SID9="4−0"に対応するセキュリティ装置20_7のIPアドレスと、アンチウィルス機能3_4が待ち受けるポート番号とを、トラヒック2の新たな宛先として設定する。宛先設定が完了した後、セキュリティ装置20_5は、トラヒック2をルータ10_5へ転送する。
これにより、トラフィック2は、ルータ10_5〜10_7を順に経由する経路304を通ってセキュリティ装置20_7に到達し、以てアンチウィルス機能3_4が適用されることとなる。
なお、アクションがJump又はFinishである場合も、トラヒック転送方法15が"経路変更"であれば同様の処理が行われる。また、トラヒック転送方法15が"経路変更&宛先変更"である場合、セキュリティ装置20_5は、上記のポリシールーティング設定の変更依頼及び宛先変更の両処理を実行する。今、アクションテーブル21_5中のFinishエントリに対応するSID9が"アドレス変更ルータ"であるため、トラフィック2は、ルータ10_5〜10_7を順に経由する経路305を通ってアドレス変換ルータ10_9に到達し、以てサーバ200へ転送されることとなる。
以上説明した実施の形態1によれば、管理モジュール31が、余剰リソースのサイズに合わせて、各セキュリティ装置に配置するセキュリティ機能と、それらのセキュリティ機能毎のルール集合のサイズを決定した後、機能配置モジュール321が、セキュリティ機能配置方針に従って、セキュリティ機能を各セキュリティ装置に配置し、ルール配置モジュール322が、ルール分割方針に従って、ルール集合を各セキュリティ装置に通知する、という構成になっているため、余剰リソースを効率的に活用することができる。
また、各セキュリティ機能でのルール集合とのマッチング結果によって、経路制御モジュール331がトラヒックに対するポリシールーティングの変更を行い、或いは宛先変更モジュール332が宛先の変更を行う、という構成になっているため、不要なセキュリティ装置又は不要なセキュリティ機能へのトラヒックの転送を避けることができ、以てセキュリティ処理の遅延を低減できる。
[実施の形態2]
図12に示す本実施の形態に係るセキュリティ装置30aは、管理モジュール31が、上述した機能に加えて、セキュリティ装置20にセキュリティ機能の性能要件13を満たしているか否か監視させる機能を有する点が上記の実施の形態1と異なる。また、セキュリティ装置20は、性能要件13を満たしていない場合に、その旨を示す警告14を管理モジュール31へ通知する性能監視モジュール400をさらに有する。
動作においては、図13に示すように、性能監視モジュール400は、セキュリティ装置20が、図7と同様のステップS1〜S8の後に管理モジュール31から送信された性能要件(スループットや同時コネクション数等)13を満たしているか否かを定期的に判定する(ステップS9)。
この結果、性能要件13を満たせなくなった場合、性能監視モジュール400は、管理モジュール31に対する警告14を発行し、以てセキュリティ機能の再配置を要求する。
警告14を受けた管理モジュール31は、上記のステップS1に戻って、セキュリティ機能の配置処理を再実行する。
また、管理モジュール31は、性能監視モジュール400により警告14が発行されない場合であっても、定期的に余剰リソース情報を監視し、より良い条件のセキュリティ機能配置方針5及びルール分割方針6が導出可能であるかを判定する。この結果、定常的に良いセキュリティ機能配置方針5及びルール分割方針6が存在する場合(ステップS10)、管理モジュール31は、上記のステップS1に戻って、セキュリティ機能の配置処理を再実行する。
これにより、いずれかのセキュリティ装置にリソース不足等が発生した場合であっても、各セキュリティ機能を再配置することができ、以てセキュリティ機能の動的な分散配置(負荷分散)を実現できる。
以上説明した実施の形態2によれば、上記の実施の形態1と同様の効果に加えて、各セキュリティ装置が性能要件13を満たしているか否かを監視し、満たしていない場合に、管理モジュール31に対して警告14を通知する性能監視モジュール400を備える構成となっており、警告14を通知された管理モジュール31がセキュリティ機能の再配置を行うため、余剰リソースのサイズが動的に変化する場合であっても、効率的に余剰リソースを活用することができる。
また、上記の実施の形態1と同様の効果に加えて、性能監視モジュール400が、性能要件13を満たせなくなった場合に警告14を管理モジュール31に通知することによって、セキュリティ機能の再配置が行われる、という構成になっているため、セキュリティ装置同士間でのクエリ発行等が不要であり、セキュリティ処理の適用に際して余計な遅延が生じない。
なお、上記の実施の形態によって本発明は限定されるものではなく、請求の範囲の記載に基づき、当業者によって種々の変更が可能なことは明らかである。
この出願は、2009年3月5日に出願された日本出願特願2009−052321を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムに適用され、特に企業やデータセンター内の通信ネットワークにおいて、トラヒックに適用すべき一連のセキュリティ機能に係る処理を複数のセキュリティ装置に分散実行させる用途に適用される。
1 セキュリティ分散システム
2 トラヒック
3, 3_A〜3_C セキュリティ機能
3_1 ファイアウォール機能
3_2 IPS機能
3_3 WAF機能
3_4 アンチウィルス機能
4, 4_A1, 4_A2, 4_B1〜4_B3, 4_C ルール集合
5 セキュリティ機能配置方針
6 ルール分割方針
7 リソース確保指示
8 ポリシールーティング設定
9 SID
10, 10_1〜10_8 ルータ
10_9 アドレス変更ルータ
11 アクション
12 ポリシールーティング設定要求
13 性能要件
14 警告
15 トラヒック転送方法
20, 20_1〜20_8 セキュリティ装置
21 アクションテーブル
22 転送テーブル
23 セキュリティ機能実行モジュール
24 宛先管理モジュール
25, 34 CPU
26, 36 メモリ(又は二次記憶装置)
27 セキュリティ機能実行プログラム
28 宛先管理プログラム
30, 30a セキュリティ管理装置
31 管理モジュール
32 割当モジュール
33 制御モジュール
35 ネットワークインタフェース
37 管理プログラム
38 割当プログラム
39 制御プログラム
101, 102 通信路
200 サーバ
301〜305 経路
321 機能配置モジュール
322 ルール配置モジュール
331 経路制御モジュール
332 宛先変更モジュール
400 性能監視モジュール

Claims (11)

  1. 複数のセキュリティ装置各々の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する管理モジュールと、
    前記選択された各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択された各セキュリティ装置に対して、前記決定された各サイズ分のルール集合を通知する割当モジュールと、
    前記選択されたセキュリティ装置同士間のトラフィック転送を制御する制御モジュールと、を備え、
    前記トラフィック転送が、ルータを介して行われ、
    前記制御モジュールが、前記選択されたセキュリティ装置の内で、複数のトラヒックからのストリームの構築が不要なセキュリティ機能を配置する第1のセキュリティ装置と、前記第1のセキュリティ装置からのトラヒックの転送先となる第2のセキュリティ装置との間に存在するルータに、ポリシールーティングを行わせる経路制御モジュールを含む、
    キュリティ管理装置。
  2. 請求項において、
    前記制御モジュールが、前記選択されたセキュリティ装置の内で、前記ストリームの構築が必要なセキュリティ機能を配置する第3のセキュリティ装置から他のセキュリティ装置へのトラヒック転送に際して、前記第3のセキュリティ装置に、トラヒックの宛先を前記他のセキュリティ装置へ変更させる宛先変更モジュールをさらに含むことを特徴としたセキュリティ管理装置。
  3. 請求項において、
    前記宛先変更モジュールが、前記第1のセキュリティ装置に、前記第2のセキュリティ装置へのトラフィック転送に際して、前記ポリシールーティングの実行が必要である旨を通知し、前記第3のセキュリティ装置に、前記他のセキュリティ装置へのトラフィック転送に際して、前記宛先の変更が必要である旨を指示することを特徴としたセキュリティ管理装置。
  4. 請求項1〜のいずれか一項において、
    前記管理モジュールが、前記選択した各セキュリティ装置に、各セキュリティ機能の性能要件を満たしているか否かを監視させ、いずれかのセキュリティ装置から前記性能要件を満たせない旨の警告を受けた場合に、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ管理装置。
  5. 複数のセキュリティ装置と、
    各セキュリティ装置を管理するセキュリティ管理装置と、を備え、
    前記セキュリティ管理装置が、
    各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、
    前記選択した各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択した各セキュリティ装置に対して、前記決定した各サイズ分のルール集合を通知し、
    前記選択したセキュリティ装置同士間のトラフィック転送を制御し、
    前記選択した各セキュリティ装置が、
    複数のトラヒックからのストリームの構築が不要なセキュリティ機能が配置された場合、トラヒック転送に際し、前記セキュリティ管理装置に対して、自装置と前記セキュリティ管理装置から指示された転送先のセキュリティ装置との間に存在するルータによるポリシールーティングの実行を要求し、
    前記ストリームの構築が必要なセキュリティ機能が配置された場合、トラヒック転送に際して、トラヒックの宛先を、前記セキュリティ管理装置から指示された転送先のセキュリティ装置に変更する、
    キュリティ分散システム。
  6. 請求項において、
    前記選択した各セキュリティ装置が、前記セキュリティ管理装置から指示された各セキュリティ機能の性能要件を満たしているか否かを監視し、前記性能要件を満たしていない場合に、その旨を前記セキュリティ管理装置へ警告し、
    前記セキュリティ管理装置が、前記警告に応じて、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ分散システム。
  7. 複数のセキュリティ装置を管理する装置におけるセキュリティ管理方法であって、
    各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、
    前記選択した各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択した各セキュリティ装置に対して、前記決定した各サイズ分のルール集合を通知し、
    前記選択したセキュリティ装置同士間のトラフィック転送を制御する、ことを含み、
    前記トラフィック転送がルータを介して行われる場合、前記選択したセキュリティ装置の内で、複数のトラヒックからのストリームの構築が不要なセキュリティ機能を配置する第1のセキュリティ装置と、前記第1のセキュリティ装置からのトラヒックの転送先となる第2のセキュリティ装置との間に存在するルータに、ポリシールーティングを行わせる、
    キュリティ管理方法。
  8. 請求項において、
    前記選択したセキュリティ装置の内で、前記ストリームの構築が必要なセキュリティ機能を配置する第3のセキュリティ装置から他のセキュリティ装置へのトラヒック転送に際して、トラヒックの宛先を、前記第3のセキュリティ装置によって、前記他のセキュリティ装置へ変更することを特徴としたセキュリティ管理方法。
  9. 請求項において、
    前記第1のセキュリティ装置に、前記第2のセキュリティ装置へのトラフィック転送に際して、前記ポリシールーティングの実行が必要である旨を通知し、前記第3のセキュリティ装置に、前記他のセキュリティ装置へのトラフィック転送に際して、前記宛先の変更が必要である旨を指示することを特徴としたセキュリティ管理方法。
  10. 請求項7〜9のいずれか一項において、
    前記選択した各セキュリティ装置に、各セキュリティ機能の性能要件を満たしているか否かを監視させ、いずれかのセキュリティ装置から前記性能要件を満たせない旨の警告を受けた場合に、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ管理方法。
  11. 複数のセキュリティ装置を管理する装置に、
    各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する処理と、
    前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する処理と、
    前記選択したセキュリティ装置同士間のトラフィック転送を制御する処理と、
    前記トラフィック転送がルータを介して行われる場合、前記選択したセキュリティ装置の内で、複数のトラヒックからのストリームの構築が不要なセキュリティ機能を配置する第1のセキュリティ装置と、前記第1のセキュリティ装置からのトラヒックの転送先となる第2のセキュリティ装置との間に存在するルータに、ポリシールーティングを行わせる処理と、
    を実行させるためのセキュリティ管理プログラム。
JP2011502608A 2009-03-05 2010-02-03 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム Active JP5482783B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011502608A JP5482783B2 (ja) 2009-03-05 2010-02-03 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009052321 2009-03-05
JP2009052321 2009-03-05
JP2011502608A JP5482783B2 (ja) 2009-03-05 2010-02-03 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム
PCT/JP2010/000652 WO2010100825A1 (ja) 2009-03-05 2010-02-03 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム

Publications (2)

Publication Number Publication Date
JPWO2010100825A1 JPWO2010100825A1 (ja) 2012-09-06
JP5482783B2 true JP5482783B2 (ja) 2014-05-07

Family

ID=42709398

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011502608A Active JP5482783B2 (ja) 2009-03-05 2010-02-03 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム

Country Status (2)

Country Link
JP (1) JP5482783B2 (ja)
WO (1) WO2010100825A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6337622B2 (ja) * 2014-06-03 2018-06-06 富士通株式会社 経路設定装置及び経路設定方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003345871A (ja) * 2002-05-28 2003-12-05 Ntt Docomo Inc サービス提供方法及びサービス提供システム
JP2005327239A (ja) * 2003-12-05 2005-11-24 Microsoft Corp セキュリティ関連プログラミング・インターフェース
JP2008527921A (ja) * 2005-01-12 2008-07-24 シマンテック データストリームのセキュリティタギングによる分散トラフィックスキャニング

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7650634B2 (en) * 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003345871A (ja) * 2002-05-28 2003-12-05 Ntt Docomo Inc サービス提供方法及びサービス提供システム
JP2005327239A (ja) * 2003-12-05 2005-11-24 Microsoft Corp セキュリティ関連プログラミング・インターフェース
JP2008527921A (ja) * 2005-01-12 2008-07-24 シマンテック データストリームのセキュリティタギングによる分散トラフィックスキャニング

Also Published As

Publication number Publication date
JPWO2010100825A1 (ja) 2012-09-06
WO2010100825A1 (ja) 2010-09-10

Similar Documents

Publication Publication Date Title
EP3932041B1 (en) Remote smart nic-based service acceleration
EP3355553B1 (en) Reliable load-balancer using segment routing and real-time application monitoring
EP2845372B1 (en) Two level packet distribution with stateless first level packet distribution to a group of servers and stateful second level packet distribution to a server within the group
US7644159B2 (en) Load balancing for a server farm
US10404773B2 (en) Distributed cluster processing system and packet processing method thereof
US20020108059A1 (en) Network security accelerator
WO2013150925A1 (ja) ネットワークシステム、コントローラ、及びパケット認証方法
Chiang et al. SDN-based server clusters with dynamic load balancing and performance improvement
US20210051211A1 (en) Method and system for image pulling
US9571379B2 (en) Computer system, communication control server, communication control method, and program
JP4041038B2 (ja) 高位レイヤ処理方法及びシステム
US8713663B2 (en) Method for using extended security system, extended security system and devices
WO2010069261A1 (zh) 边界网关协议路由处理方法、装置和系统
Cui et al. PLAN: a policy-aware VM management scheme for cloud data centres
JP5482783B2 (ja) セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム
CN110300073A (zh) 级联端口的目标选择方法、聚合装置及存储介质
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
Ivanisenko Methods and Algorithms of load balancing
Dutta et al. A novel solution for controller based software defined network (SDN)
EP4109862B1 (en) Data transmission method, system, device, and storage medium
Wu et al. OpenFlow-Based Global Load Balancing in Fat-Tree Networks
Luo et al. Design and implementation of a scalable sdn-of controller cluster
US20220217202A1 (en) Capability-aware service request distribution to load balancers
KR20170040089A (ko) 인프라스트럭처-리스 환경에서 IoT 장치들의 자율 네트워킹 방법
Lakshmanan Enhanced Software Defined Networking (SDN) with security & performance in cloud computing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140203

R150 Certificate of patent or registration of utility model

Ref document number: 5482783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150