JP6178411B2 - 流動性セキュリティ層を提供するための装置および方法 - Google Patents

流動性セキュリティ層を提供するための装置および方法 Download PDF

Info

Publication number
JP6178411B2
JP6178411B2 JP2015511476A JP2015511476A JP6178411B2 JP 6178411 B2 JP6178411 B2 JP 6178411B2 JP 2015511476 A JP2015511476 A JP 2015511476A JP 2015511476 A JP2015511476 A JP 2015511476A JP 6178411 B2 JP6178411 B2 JP 6178411B2
Authority
JP
Japan
Prior art keywords
security
security rule
rule
rules
data center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015511476A
Other languages
English (en)
Other versions
JP2015517702A (ja
Inventor
プッタスワーミー・ナガ,クリシュナ・ピー
ハオ,ファン
マルタン,アントニー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2015517702A publication Critical patent/JP2015517702A/ja
Application granted granted Critical
Publication of JP6178411B2 publication Critical patent/JP6178411B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、一般に、通信に関し、より詳細にただし排他的ではなく、通信用のセキュリティを提供することに関する。
クラウドベースデータセンタは、企業および個々のユーザのデータをホスティングするための、急速に企業および個々のユーザの選択肢となりつつある。クラウドベースデータセンタは、クラウドベースデータセンタ内でホスティングされる膨大になりつつあるデータ量に対処するため(例えば、マルチパス能力、より広い帯域幅、より大規模なスケーラビリティ、増大するホスト数のサポートを可能にする他の特徴を提供するため)に、近年再設計されてきているが、クラウドベースデータセンタにセキュリティを提供する多くのセキュリティサービスは、技術革新という点で遅滞している。
従来技術の種々の欠陥について、セキュリティ管理の実施形態によって対処する。
一実施形態では、装置が、プロセッサと、そのプロセッサに通信可能に接続されたメモリとを含み、プロセッサが、セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択し、セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するように構成される。
一実施形態では、コンピュー可読記憶媒体が命令を記憶し、この命令がコンピュータによって実行されるとき、セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択するステップと、セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップとを含む方法を、コンピュータに実行させる。
一実施形態では、方法が、セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択するステップと、セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップとを含む。
本明細書における教示は、添付の図面と併せて後続の詳細な説明を検討することによって容易に理解されよう。
セキュリティ管理をサポートするように構成された例示的なクラウドシステムのハイレベルブロック図である。 セキュリティルールポリシーに基づいてセキュリティルール用にロケーションを選択するステップのための方法の一実施形態を示す図である。 本明細書で説明する機能を実行する際の使用に適したコンピュータのハイレベルブロック図である。
理解を容易にするために、これら図面で共通する同じ要素を指定できるように可能な限り同じ参照番号を使用した。
セキュリティ管理能力について、概略的に本明細書で示し説明するが、種々の他の能力についても本明細書で提示することができる。
少なくともいくつかの実施形態では、セキュリティ管理能力により、セキュリティルールが格納/適用されるべき格納/適用ロケーション間の個々のセキュリティルールおよび/またはグループのセキュリティルールのマイグレーションが可能になる。この格納/適用ロケーションは、データセンタ内(この場合データセンタロケーションと呼ばれうる)、データセンタ間の通信ネットワーク内(この場合本明細書ではネットワークロケーションと呼ばれうる)など、ならびにその種々の組合せ内に位置されうる。格納/適用ロケーションは、本明細書ではより概略的にロケーションと呼ばれうる。
少なくともいくつかの実施形態では、セキュリティルールのマイグレーションが、セキュリティルールが適用されるべきロケーションの選択と、セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションとを含むことができる。セキュリティルールが適用されるべきロケーションの選択が、セキュリティルールポリシーおよび/またはセキュリティルール選択情報に基づいて実行されうる。セキュリティルールは、現在のロケーション(例えばセキュリティルールが現在適用されているロケーション、管理システムなど)からセキュリティルールが適用されるべき選択されたロケーションにマイグレーションされる。この方式では、流動性セキュリティ層が提供されうる。流動性セキュリティ層は、1つまたは複数のセキュリティレベル、性能、コストなど、ならびにその種々の組合せに対して最適化されうる。
少なくともいくつかの実施形態では、セキュリティ管理能力が、セキュリティルールポリシーおよび/または種々のタイプのセキュリティルールロケーション選択情報に基づいてセキュリティルールのマイグレーションを可能にするように構成されて、それによって、種々の考慮事項(例えば、顧客要件、データセンタステータスなど)に基づいて、特定の(少なくともいくつかの事例では、理想の)ロケーションに特定のセキュリティルールを置くという点で大幅な柔軟性を提供する。
少なくともいくつかの実施形態では、セキュリティ管理能力が、データセンタネットワークのセキュリティ特性を低下させることなく、クラウドのユーザがデータセンタネットワークで種々の強化の利点を実現すること(例えば、マルチパス能力の使用、より広い帯域幅の提供、より大規模なスケーラビリティを提供することなど)が可能になるような方式で、クラウド関連の通信用のセキュリティ配備を可能にするように構成される。少なくともいくつかの実施形態では、セキュリティ管理能力により、仮想マシンの移動を介して、仮想マシンの粒度でセキュリティモジュール(例えばファイアウォールなど)を管理する必要がなくなる(例えば各仮想マシンが、顧客ルールのセット(しばしば関連する顧客のルールの全て)をホスティングするか、さもなければそのチェックに責任をもつ、および/または全ての顧客トラフィックに全ての顧客ルールをホスティングし施行する仮想マシン(複数可)をトラバースすることを必要とする)。
少なくともいくつかの実施形態では、セキュリティ管理能力により、データセンタ中でホスティングされるアプリケーションおよびサービスの改善(例えば、得られた帯域幅および応答レイテンシなどの点での性能の改善)、ならびに(例えば負荷に適合し、種々のセキュリティチェックのロケーションを最適化することによって)データセンタの総合効率の改善がもたらされる。
クラウドデータセンタの通信に適用されるセキュリティルールを管理するという文脈で主に示し説明するが、セキュリティ管理能力の種々の機能が、種々の他のタイプの通信(例えば、クラウドデータセンタに関連する通信以外の通信)に適用されうるセキュリティルールを管理する際の使用に適合されうることが理解されよう。
図1に、セキュリティ管理をサポートするように構成された例示的なクラウドシステムのハイレベルブロック図を示す。
クラウドシステム100は、第1のデータセンタ110および第2のデータセンタ110(まとめるとデータセンタ110)と、通信ネットワーク120と、クラウドシステム100の種々の要素に分散される複数のセキュリティモジュール130と、セキュリティルールコントローラ140と、セキュリティルール152およびセキュリティルールポリシー154を含むセキュリティルールデータベース150とを含む。
第1のデータセンタ110が、複数のホスト111A1−111AN(まとめてホスト111)を含む。ホスト111A1−111ANが、ハイパーバイザ112A1−112AN(まとめてハイパーバイザ112)をそれぞれ含む。ホスト111A1−111ANが、複数の仮想マシン114A1−114AN(まとめて複数の仮想マシン114)もそれぞれ含む。第1のデータセンタ110が、ホスト111のそれぞれに通信接続されたデータセンタネットワークデバイス115も含む。
第2のデータセンタ110が、複数のホスト111B1−111BN(まとめてホスト111)を含む。ホスト111B1−111BNが、ハイパーバイザ112B1−112BN(まとめてハイパーバイザ112)をそれぞれ含む。ホスト111B1−111BNは、複数の仮想マシン114B1−114BN(まとめて複数の仮想マシン114)もそれぞれ含む。第2のデータセンタ110が、ホスト111のそれぞれに通信接続されたデータセンタネットワークデバイス115も含む。ホスト111および111が、まとめてホスト111と呼ばれうる。ハイパーバイザ112および112が、まとめてハイパーバイザ112と呼ばれうる。
通信ネットワーク120が、第1のデータセンタ110と第2のデータセンタ110との間、およびセキュリティルールコントローラ140とデータセンタ110との間の通信をサポートする。通信ネットワーク120が、複数のネットワークデバイス122−122(まとめてネットワークデバイス122)を含む。通信ネットワーク120が、データセンタ110と110との間、およびセキュリティルールコントローラ140とデータセンタ110との間の通信をサポートするのに適した任意のタイプの通信ネットワーク(複数可)を含むことができる。同様に、ネットワークデバイス122が、データセンタ110と110との間、およびセキュリティルールコントローラ140とデータセンタ110との間の通信をサポートするのに適した任意のタイプの通信ネットワーク(複数可)(例えば、ルータ、スイッチなど)を含むことができる。
セキュリティモジュール130が、セキュリティルール152を受信、記憶および適用するように構成される。セキュリティモジュール130が、セキュリティルール152が、格納され次いで適用されうる、セキュリティルール152用の潜在的な格納/適用ロケーションを表す。上で述べたように、セキュリティモジュール130は、クラウドシステム100の種々の要素にわたって分散される。データセンタ110では、ハイパーバイザ112A1−112ANがセキュリティモジュール130A1−130ANをそれぞれ含み、データセンタネットワークデバイス115がセキュリティモジュール130SA(まとめるとセキュリティモジュール130)を含む。データセンタ110では、ハイパーバイザ112B1−112BNがセキュリティモジュール130B1−130BNをそれぞれ含み、データセンタネットワークデバイス115がセキュリティモジュール130SB(まとめるとセキュリティモジュール130)を含む。ネットワークデバイス122−122が、セキュリティモジュール130N1−130NN(まとえるとセキュリティモジュール130)をそれぞれ含む。セキュリティモジュール130、130および130は、まとめるとセキュリティモジュール130と呼ばれる。クラウドシステム100の種々のロケーションでセキュリティモジュール130を利用できることで、ポリシー、条件など、ならびにその種々の組合せに基づいて、セキュリティルールをインテリジェントな処理での配置が可能となる際に大幅な柔軟性がもたらされる。
セキュリティモジュール130が、セキュリティモジュール130がそれぞれ配置される要素をトラバースする通信にセキュリティルール152を適用するように構成される。例えば、ホスト111A1−111ANのセキュリティモジュール130A1−130ANが、ホスト111A1−111AN(および111A1−111ANに常駐する仮想マシン114A1−114AN)と送受信するデータにセキュリティルール152をそれぞれ施行することができる。同様に、例えば、ホスト111B1−111BNのセキュリティモジュール130B1−130BNが、ホスト111B1−111BN(および111B1−111BNに常駐する仮想マシン114B1−114BN)と送受信するデータにセキュリティルール152をそれぞれ実施することができる。例えば、セキュリティモジュール130SAが、データセンタ110の任意のホスト111と送受信するデータ(例えば、データセンタ110内のホスト111間で交換するデータ、データセンタ110のホスト111とデータセンタ110の外部に位置する任意の他のデバイス(複数可)との間で交換するデータなど、ならびにその種々の組合せ)に、セキュリティルール152を施行することができる。同様に、例えば、セキュリティモジュール130SBが、データセンタ110の任意のホスト111と送受信するデータ(例えば、データセンタ110内のホスト111間で交換するデータ、データセンタ110のホスト111とデータセンタ110の外部に位置する任意の他のデバイス(複数可)との間で交換するデータなど、ならびにその種々の組合せ)にセキュリティルール152を施行することができる。例えば、ネットワークデバイス122−122のセキュリティモジュール130N1−130NMが、ネットワークデバイス122−122をトラバースする(例えば、データセンタ110のどれかの任意のホスト111と送受信する)データにセキュリティルール152をそれぞれ施行することができる。
セキュリティモジュール130が、通信要素間の通信にセキュリティルール152を適用するように構成された任意の適したタイプのセキュリティ要素を含むことができる。例えば、セキュリティモジュール130が、ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)、またはセキュリティルールを維持し実行するように構成された任意の他のタイプ(複数可)の要素(複数可)を含むことができる。
セキュリティルールコントローラ140は、セキュリティモジュール130を制御するように構成される。セキュリティルールコントローラ140は、セキュリティモジュール130へのセキュリティルール152の分散を制御するように構成されて、それによって、セキュリティルール152がクラウドシステム100内で適用される方式を、セキュリティルールコントローラ140が制御することが可能となる。セキュリティルールコントローラ140は、こうした機能を提供する目的で、通信ネットワーク120に、また第1のデータセンタ110および第2のデータセンタ110にも通信可能に接続される。
セキュリティルールコントローラ140が、上述のように複数のセキュリティルール152と複数のセキュリティルールポリシー154とを含むセキュリティルールデータベース150を、含むさもなければそこへのアクセスを有する。
セキュリティルールデータベース150が、1人または複数の顧客用にセキュリティルール152とセキュリティルールポリシー154を含むことができる。
セキュリティルール152が、セキュリティ要素(例えば、セキュリティモジュール130)によって、通信要素(例えば、VM114、ホスト111、ネットワーク要素など)間の通信に適用されうる任意のタイプのセキュリティルールを含むことができる。例えば、セキュリティルール152が、特定ポート(例えば、ポート80、ポート120など)のトラフィックをブロックするためのルールなどのファイアウォールルールと、特定ポート(例えば、ポート10、ポート50など)からのみトラフィックを許可するためのルールと、特定ポート(例えば、ポート20、ポート40など)から外へのトラフィックをレート制限するためのルールなど、ならびにその種々の組合せとを含むことができる。例えば、セキュリティルール152が、1つまたは複数の侵入検知ルール(例えば、接続を介して受信したトラフィックが侵入検知監視が実行されているような所与のパターンと一致した場合は、その接続にフラグを立てるなど)を含むことができる。例えば、セキュリティルール152が、1つまたは複数の侵入防止ルール(例えば、接続を介して受信したトラフィックが侵入防止監視が実行されているような所与のパターンと一致した場合は、その接続を中断するなど)を含むことができる。セキュリティルール152が、通信要素間の通信を保護する際に使用するのに適当な任意の他の適したタイプのルールを含むことができる。
セキュリティルール152が、通信要素間の通信に適用されうる任意のタイプのセキュリティルールを含むことができ、この通信要素の通信は、任意の適した数の送信元要素から任意の適した数の送信先要素への通信を含むことができる。例えば、セキュリティルール152が、(例えば、同一ホスト111内、同一データセンタ110内の関連する異なるホスト111、異なるデータセンタ110内などの)送信元仮想マシンと送信先仮想マシンとの間の通信に適用されうる。例えば、セキュリティルール152が、仮想マシンとネットワークデバイス(例えば、ロードバランサーまたは任意の他の適したネットワークデバイス)との間の通信に適用されうる。例えば、セキュリティルール152が、複数の送信元通信要素と単一の送信先通信要素との間の通信に適用されうる。例えば、セキュリティルール152が、単一の送信元通信要素と複数の送信先通信要素との間の通信に適用されうる。他の(例えば、通信要素の数および/またはタイプの点での)変更形態が可能であることが理解されよう。
セキュリティルール152が、任意の適した方式で編成されうる。セキュリティルールデータベース150のセキュリティルール152は、顧客ごとを基本としたセキュリティルール152の分散および適用を可能にするために、顧客ごとを基本として編成されうる。セキュリティルールデータベース150のセキュリティルール152は、(例えば、セキュリティルール152および/またはセキュリティポリシー154が、複数の顧客で共用される場合)顧客のグループに対して編成されうる。セキュリティルールデータベース150のセキュリティルール152は、任意の他の適した方式で編成されうる。
セキュリティルールデータベース150のセキュリティルールポリシー154が、セキュリティルール152用のロケーションを選択するために使用されうる任意のポリシーを含むことができ、セキュリティルール152用に、関連するセキュリティルールポリシー154が定義される。セキュリティルールポリシー154が、性能(例えば、セキュリティのレベル、レイテンシなど)、コストなど、ならびにその種々の組合せなどの考慮事項に基づいて定義されうる。セキュリティルールポリシー154が、1つまたは複数の顧客の要求および/または要望(例えば、顧客固有のポリシーパラメータ)などのより特定の考慮事項に基づいて定義されうる。セキュリティルールポリシー154の特定の例について、以下で詳細に説明することに留意されたい。
セキュリティルールポリシー154は、任意の適した方式で編成されうる。セキュリティルールデータベース150のセキュリティルールポリシー154は、顧客ごとを基本としたセキュリティルールポリシー154の適用を可能にするために、顧客ごとを基本として編成されうる(また、複数の顧客に適用しうる、より一般的なセキュリティルールポリシー154を使用する代わりにまたはそれに加えて、各顧客がその独自の固有のセキュリティルールポリシー154を定義することも可能となる)。セキュリティルールデータベース150のセキュリティルールポリシー154は、(例えば、セキュリティルールポリシー154が、複数の顧客で共用される場合)顧客のグループに対して編成されうる。セキュリティルールデータベース150のセキュリティルールポリシー154は、任意の他の適した方式で編成されうる。
セキュリティルール152およびセキュリティルールポリシー154は、任意の適した粒度で互いに関連しうる。概して、各セキュリティルール152は、互いに関連し合う1つまたは複数のルールポリシー154を有し、各セキュリティルールポリシー154は、1つまたは複数のセキュリティルール152に対して適用されうる。例えば、セキュリティルール152は、互いに関連し合う単一のセキュリティルールポリシー154を有する(例えば、同一のセキュリティルールポリシー154が、そのセキュリティルール152に対して常に適用される)ことができ、または互いに関連し合う複数のセキュリティルールポリシー154を有することができる(例えば、関連するセキュリティルールポリシー154のうちの異なるものが、異なる条件下でセキュリティルールに対して適用されうる)。同様に、例えば、セキュリティルール152に関連するセキュリティルールポリシー154は、セキュリティルール152と共に使用するための専用とすることができ、または、複数のセキュリティルール152(例えば、同一の顧客の異なるセキュリティルール152、複数の顧客にわたる同一または同様のセキュリティルール152、異なる顧客の異なるセキュリティルール152など、ならびにその種々の組合せ)と共に使用するために構成されうる。
セキュリティルールコントローラ140は、セキュリティルール152の個々が、適用されるべきロケーションを選択するように構成され、このロケーションにはクラウドシステム100のセキュリティモジュール130のいずれかが含まれうる。セキュリティルールコントローラ140は、種々の条件下でセキュリティルール152用のロケーションを選択するように構成される。セキュリティルールコントローラ140は、セキュリティルール152用の選択したロケーションへのセキュリティルール152のマイグレーションが必要であるかどうかを決定するように構成される。セキュリティルールコントローラ140は、セキュリティルール152の個々が適用されるべき選択したロケーションへのセキュリティルール152の個々のマイグレーションを制御するように構成され、このマイグレーションには、セキュリティルールデータベース150からセキュリティモジュール130へのセキュリティルール152のマイグレーション、および/またはセキュリティモジュール130間のセキュリティルール152のマイグレーションが含まれうる。この方式では、セキュリティルール152が、必要および/または要望に応じて、クラウドシステム100の全体を通してマイグレーションされうる流動性セキュリティ層を提供するように、セキュリティルールコントローラ140が構成される。セキュリティルールコントローラ140によって実行されるこれらの機能について、以下にさらなる詳細を説明する。
セキュリティルールコントローラ140は、セキュリティルール152が適用されるべきロケーションを選択するように構成される。概して、セキュリティルール140用のロケーションを選択することに関連して種々のトレードオフがありうる。セキュリティルールコントローラ140は、セキュリティルール152が適用されるべきロケーションを決定するために、こうしたトレードオフを評価するように構成されうる。セキュリティルールコントローラ140は、ポリシー(例えば、セキュリティルールポリシー154)、セキュリティルールロケーション選択情報(例えば、1つまたは複数のハイパーバイザ112からの統計、1つまたは複数のデータセンタネットワークデバイス115からの統計、1つまたは複数のネットワークデバイス122からの統計など)など、ならびにその種々の組合せに基づいて、こうしたトレードオフを評価することができる。概して、こうしたトレードオフの評価は、一例を検討することによってより深く理解されうる。この例では、第1の仮想マシン(例えば、ホスト111A1の仮想マシン114A1のうちの1つ)が、第2の仮想マシン(例えば、ホスト111BNの仮想マシン114BNのうちの1つ)にデータを送信しており、第1の仮想マシンによって送信されているデータが第2の仮想マシンに入力することを許可されるかどうかをチェックするように、セキュリティルール152が定義される、と仮定する。この例では、仮想マシン111A1によって送信されているデータが仮想マシン111BNに対して許可されるかどうかをチェックするために、セキュリティルールが、ホスト111A1のハイパーバイザ112A1、ホスト111BNのハイパーバイザ112BN、またはその中間の経路上のどこか(例えば、データセンタネットワークデバイス115、仮想マシン111A1と仮想マシン111BNとの間の経路上のネットワークデバイス122のうちの1つ、またはデータセンタネットワークデバイス115)に置かれうる。先に説明したように、セキュリティルール152用のこれらの潜在的ロケーションそれぞれの種々の是非があり、セキュリティルールコントローラ140は、セキュリティルール152用のロケーションを選択するためにその種々の是非を評価するように構成される。例えば、セキュリティルール152をデータ送信元の比較的近接(例えば、ハイパーバイザ112A1のセキュリティモジュール130A1中)に置くことは、過剰なトラフィックがネットワーク(例えば、データセンタネットワークおよび/または通信ネットワーク120)に入ることを防止するので有利であるが、多数のデータ送信元が仮想マシン111BNにデータを送信する可能性があるので、分散、格納および適用の必要があるセキュリティルール152のコピーの数の増大にもつながる(したがって、それによってセキュリティルール152の適用に関連するCPUおよびメモリのコストを増大させる)。対照的に、例えば、セキュリティルール152をデータの送信先の比較的近接(例えば、ハイパーバイザ112BNのセキュリティモジュール130BN中)に置くことは、分散、格納および適用の必要があるセキュリティルール152のコピーの数を低減させるので有利である(したがって、それによってセキュリティルール152の適用に関連するCPUおよびメモリのコストを低減させる)が、データの全てが、(例えば、いくつかのこうしたデータが、仮想マシン114BNに入ることを許可されないかもしれない場合でも)データ送信元からデータの送信先に近接したロケーションに移動しなければならないので、ネットワーク(例えば、データセンタネットワークおよび/または通信ネットワーク120)中の過剰なトラフィックの増大にもつながる。加えて、別の選択肢は、いくつかの送信元からいくつかの送信先へのトラフィックが集まるネットワーク(例えば、データセンタネットワークデバイス115、仮想マシン111A1と仮想マシン111BNとの間の経路上のネットワークデバイス122のうちの1つ、またはデータセンタネットワークデバイス115)内にセキュリティルール152を置くことであり、これは、セキュリティルール152を送信元または送信先の近くに置くことの有利性と不利性とのバランスをもたらすからである。ただし、これは、セキュリティルールコントローラ140が仮想マシン114のトポロジとデータ送信元およびデータ送信先のロケーションとを追跡する必要があるので、セキュリティルールコントローラ140のさらなる演算のオーバーヘッドを伴う。したがって、種々の因子(例えば、ポリシー、顧客嗜好、データセンタ条件、ネットワーク条件など)に応じて、セキュリティルールコントローラ140は、セキュリティルール152用の潜在的なロケーションを評価し、セキュリティルール152用の適切なロケーションを選択しなければならない。セキュリティルールコントローラ140が、セキュリティルール152用のロケーションを選択することができる方式について、以下でさらなる詳細を説明する。
セキュリティルールコントローラ140は、セキュリティルール152が、セキュリティルール152に関連するセキュリティルールポリシー154に基づいて適用されるべきロケーションを選択するように構成される。セキュリティルール152に関連するセキュリティルールポリシー154は、セキュリティルール152用のロケーションを選択する際に、セキュリティルールコントローラ140によって検討されるセキュリティルールロケーション選択情報のタイプと、セキュリティルール152用のロケーションを選択する際に、セキュリティルールロケーション選択情報がセキュリティルールコントローラ140によって分析される方式とを特定することができる。言い換えれば、セキュリティルール152用のセキュリティルールポリシー154は、セキュリティルール152に関連した、関連セキュリティルールロケーション選択情報に基づいて、定義されうる。セキュリティポリシー154が満足されるとき、またはセキュリティルールポリシー154に違反するとき(例えば、セキュリティルールポリシー154が定義される方式に応じて)、セキュリティルールコントローラ140は、セキュリティルール152のマイグレーションを開始するように構成されうる。
上で述べたように、セキュリティルールコントローラ140は、セキュリティルール152が、セキュリティルール152に関連するセキュリティルールポリシー154に基づいて適用されるべきロケーションを選択するように構成される。セキュリティルールポリシー154の例を以降に示すが、種々の他のタイプのセキュリティルールポリシー154が、セキュリティルール152の配置を制御するためのセキュリティルールコントローラ140によって定義され利用されうることが理解されよう。
一実施形態では、セキュリティルール152用のセキュリティルールポリシー154が、セキュリティルール152の適用によって導入されるレイテンシを低減(少なくともいくつかの事例では最小に)する目的をサポートまたは達成するように構成される。こうした一実施形態では、これは、セキュリティルール152用に、セキュリティルール152が適用されるべき通信の送信元のまたはその近くのロケーション、または、セキュリティルール152が適用されるべき通信の送信先のまたはその近くのロケーションを選択することによって達成されうる。単一のデータセンタ110内の通信の事例では、例えば、セキュリティルール152が、(例えば、そのデータセンタ110のデータセンタネットワークデバイス115に関連するセキュリティモジュール130に置かれているのに対して)通信の送信元である仮想マシン114に関連するハイパーバイザ112中のセキュリティモジュール130に置かれ、または通信の送信先である仮想マシン114に関連するハイパーバイザ112中のセキュリティモジュール130に置かれうる。送信元データセンタ110と送信先データセンタ110との間の通信の事例では、例えば、セキュリティルール152が、(例えば、データセンタ110内の通信ネットワークを形成するネットワークデバイスのセキュリティモジュールに置かれ、または、通信ネットワーク120のネットワークデバイスのセキュリティモジュールに置かれているのに対して)通信の送信元である仮想マシン114に関連するハイパーバイザ112中のセキュリティモジュール130に置かれ、または通信の送信先である仮想マシン114に関連するハイパーバイザ112中のセキュリティモジュール130に置かれうる。セキュリティルール152が置かれる仮想マシン114が現在のロケーションから新たなロケーションに移動する場合、セキュリティルールコントローラ140は、仮想マシン114の新たなロケーションに比較的近接したロケーションへのセキュリティルール152のマイグレーションを開始し、したがって、仮想マシン114による通信のレイテンシを比較的低レベルになお維持することができる。このタイプの顧客嗜好がセキュリティのロケーションが固定されるデータセンタ中で達成することは、かなり困難となるはずであることに留意されたい。
一実施形態では、セキュリティルールが、処理集約的セキュリティ機構(例えば、侵入検知ルール、侵入防止ルール、およびデータパケットを処理する他の比較的重いシステムおよび機構)に関連する事例では、セキュリティルール152用のセキュリティルールポリシー154が、セキュリティルール152の適用によって導かれるレイテンシを低減(少なくともいくつかの事例では最小に)する目的をサポートまたは達成するように構成される。この事例では、セキュリティルール152が、ハイパーバイザ112中に置かれ、通信のパケットを検査する処理集約的なセキュリティ機構に関連する場合、セキュリティルール152に基づいてハイパーバイザ112からのパケットをチェックするオーバーヘッドは、比較的高く、通信ひいてはシステム100のレイテンシの増大につながる可能性がある。一実施形態では、セキュリティルール152が、通信のパケットを検査する処理集約的なセキュリティ機構に関連していることの検知に応答して、セキュリティルールコントローラ140は、送信する仮想マシン114の新たな仮想マシン114(明瞭化のために省略する)のアップストリームのスポーンを開始するように構成され、(セキュリティルール152の重いパケット処理が、新たな仮想マシン114と併せて実行されうるように)新たな仮想マシン114に関連するセキュリティモジュール130へのセキュリティルール152のマイグレーションを開始することができ、したがって、送信する仮想マシン114に関連するハイパーバイザ112がもはやボトルネックではない。この方式では、専用の仮想マシンに処理集約的なセキュリティルール152をオフロードすることにより、レイテンシを比較的低く保つことができる。
一実施形態では、セキュリティルール152用のセキュリティルールポリシー154が、セキュリティルール152が適用されるデータセンタ(複数可)110の総合効率を改善することによって、セキュリティルール152の適用の総合コストを低減(少なくともいくつかの事例では最小に)する目的をサポートまたは達成するように構成される。一実施形態では、資源の2つのタイプ、通信ネットワークで送信されるトラフィックのコスト、およびセキュリティルール152をチェックする際に使用される資源(例えば、CPU、メモリなど)、を分析しバランスを取ることによって、セキュリティルール152が適用されるデータセンタ(複数可)110の総合効率を、セキュリティルールコントローラ140が改善するように構成される。単一のデータセンタ110内の通信に関連するセキュリティルール152の事例では、通信ネットワークで送信されるトラフィックのコストが、単一のデータセンタ110のデータセンタネットワークで送信されるトラフィックのコストを含む。単一のデータセンタ110の内部であっても外部であっても単一のデータセンタ110の通信に関連するセキュリティルール152の事例では、通信ネットワークで送信されるトラフィックのコストは、単一のデータセンタ110のデータセンタネットワークで送信されるトラフィックのコストと、単一のデータセンタ110の外側の通信をサポートする通信ネットワーク(例えば、トラフィックをサポートするために使用される通信ネットワーク120の一部(複数可))で送信されるトラフィックのコストとを含む。複数のデータセンタ110間の通信に関連するセキュリティルール152の事例では、通信ネットワークで送信されるトラフィックのコストが、データセンタ110それぞれのデータセンタネットワークで送信されるトラフィックのコストと、単一のデータセンタ110の外側の通信をサポートする通信ネットワーク(例えば、トラフィックをサポートするために使用される通信ネットワーク120の一部(複数可))で送信されるトラフィックのコストとを含む。一実施形態では、通信の送信元(複数可)に近いセキュリティモジュール130、通信の送信先(複数可)に近いセキュリティモジュール130、および/または送信元(複数可)と送信先(複数可)との中間に位置するネットワークデバイス上のセキュリティモジュール130を含むことができ、利用可能なセキュリティモジュール130の間のセキュリティルール152の配置のバランスを取ることによって、セキュリティルール152の適用の総合コストは、低減(少なくともいくつかの事例では最小に)されうる。一実施形態では、セキュリティルール152の総合コストを低減するためのセキュリティルール152の配置を決定するこの分析は、これらがデータセンタ内の仮想マシンの配置を決定するために使用されうるような最適化技術を使用して実行されうる。
一実施形態では、セキュリティルール152用のセキュリティポリシー154が、少なくとも性能の閾値を維持しながらも、セキュリティルール152が適用されるデータセンタ(複数可)110の総合効率を改善することによって、セキュリティルール152の適用の総合コストを低減(少なくともいくつかの事例では最小に)する目的をサポートまたは達成するように構成される。一実施形態では、セキュリティルールコントローラ140が、セキュリティルール152によって導かれるレイテンシが定義された最大レイテンシより低く維持されるというさらなる制約の理由でもあるが、直前の実施形態で議論した問題を解決することによってこの目的を達成するように構成される。特定のタイプの性能尺度(すなわちレイテンシ)に関して主に説明するが、セキュリティルールコントローラ140は、他のタイプの性能尺度(例えば、レイテンシ尺度の代わりのまたはそれに加えた1つまたは複数のタイプの性能尺度)も説明しつつ、直前の実施形態で議論した問題を解決することによってこの目的を達成するように構成されることに留意されたい。
より一般的にセキュリティルールポリシー154であるとして本明細書で主に示し説明するが、一実施形態では、セキュリティルールポリシー154は、顧客特定の目的を達成(または少なくとも達成しようとする)ために、顧客によっておよび/または顧客の代理によって定義された顧客ポリシーとすることができることに留意されたい。これは、いかなる数のセキュリティルールポリシー154にも該当しうることに留意されたい。
上で述べたように、セキュリティルールコントローラ140は、セキュリティルール152が、セキュリティルールロケーション選択情報に基づいて適用されるべきロケーションを選択するように構成される。セキュリティルールロケーション選択情報の例を以降に示すが、種々の他のタイプのセキュリティルールロケーション選択情報が、セキュリティルール152の配置を制御するためのセキュリティルールコントローラ140によって得られ利用されうることが理解されよう。
一実施形態では、セキュリティルールロケーション選択情報が、1つまたは複数のデータセンタステータス情報と、通信ネットワークステータス情報(例えば、セキュリティルール152が、データセンタ(複数可)110の外側をトラバースする、したがって、データセンタ(複数可)110の外側に位置される通信ネットワーク(複数可)によってサポートされる通信用に適用されることが意図される)と、顧客嗜好情報など、ならびにその種々の組合せとを含むことができる。
データセンタ110用のデータセンタステータス情報が、データセンタ110のハイパーバイザ112に関連するステータス情報と(例えば、負荷の統計)、データセンタ110内の通信をサポートするネットワークデバイスに関連するステータス情報(例えば、データセンタネットワークのネットワーク輻輳情報)と、ホスト111に関連するステータス情報と、ホスト111の仮想マシン114に関連するステータス情報など、ならびにその種々の組合せとを含むことができる。単一のデータセンタ110の通信に関連するセキュリティルール152の事例(例えば、データセンタ110内に位置する仮想マシン114間のデータセンタ内通信、データセンタ110の外側にも伝播されるが他のデータセンタ110のいずれにも関連しないデータセンタ110の通信など)の場合、データセンタステータス情報は、その単一のデータセンタ110に関連するステータス情報を含むことができる。複数のデータセンタ110間の通信に関連するセキュリティルール152の事例(例えば、別個のデータセンタ110内に位置する仮想マシン114間のデータセンタ内通信)の場合、データセンタステータス情報は、関連するデータセンタ110のうちの1つまたは複数(例えば、セキュリティルール152が適用されるべき通信の送信元であるホスト111をホスティングする送信元データセンタ110のみ、セキュリティルール152が適用されるべき通信の送信先であるホスト111をホスティングする送信先データセンタ110のみ、送信元および送信先の両方のデータセンタ110など)に関連するステータス情報を含むことができる。
顧客嗜好情報は、セキュリティルール152の適用に関する顧客によって特定されうる任意のタイプの嗜好を含むことができる。顧客嗜好情報は、個々のセキュリティルール152ごと、セットのセキュリティルール152ごとなど、ならびにその種々の組合せで特定されうる。顧客嗜好情報は、1つまたは複数のセキュリティルールポリシー154(例えば、こうしたセキュリティルールポリシー154が、個々のセキュリティルール152ごと、セットのセキュリティルール152ごとなど、ならびにその種々の組合せのために特定される)を使用して、特定され、さもなければ表されうる。
セキュリティルールコントローラ140は、任意の適した時間に(定期的に、条件またはイベントなど、ならびにその種々の組合せの指示に応答して)セキュリティルール152用のロケーションを選択するように構成されうる。一実施形態では、セキュリティルールコントローラ140が、所与のセキュリティルール152用のロケーションを選択するための指示を検知すると同時に、セキュリティルールコントローラ140が、セキュリティルールに関連する1つまたは複数のセキュリティルールポリシー154にアクセスし、関連セキュリティルールロケーション選択情報にアクセスし、セキュリティルール152用のロケーションを選択する。一実施形態では、所与のセキュリティルール152用のロケーションの選択に関係するセキュリティルールロケーション選択情報を受信すると同時に、セキュリティルールコントローラ140は、セキュリティルール152用のロケーションを選択するために、所与のセキュリティルールに関連するセキュリティルールポリシー154に従って、関連セキュリティルールロケーション選択情報を処理する。こうした実施形態では、セキュリティルールコントローラ140が、複数のセキュリティルール152用のこうした機能を順次および/または一時に実行することができることに留意されたい(例えば、ロケーション選択が複数のセキュリティルール152用に実行されるための指示がある場合、受信したセキュリティルールロケーション選択情報が、複数のセキュリティルール152に関係すると決定された場合など、ならびにその種々の組合せ)。
少なくとも、セキュリティルール152用のロケーションの選択が、セキュリティルール152が適用される現在のロケーションの選択(すなわち、この事例では、セキュリティルールコントローラ140がセキュリティルール152をマイグレーションする必要がない)、または、セキュリティルール152が適用されるべき新たなロケーションの選択(すなわち、この事例では、セキュリティルールコントローラ140が、現在のロケーションから新たなロケーションへのセキュリティルール152のマイグレーションを開始する)をすることになりうるので、セキュリティルールコントローラ140は、セキュリティルール152用に選択したロケーションへのセキュリティルール152のマイグレーションが必要であるかを決定するように構成される。したがって、セキュリティルールコントローラ140は、セキュリティルール152の選択したロケーションへのセキュリティルール152のマイグレーションを開始する必要があるかないかを決定するために、セキュリティルール152の現在のロケーションに対してセキュリティルール152の選択したロケーションを比較するように構成される。
セキュリティルールコントローラ140は、セキュリティルール152用のセキュリティルールコントローラ140によって選択されたロケーションへのセキュリティルール152のマイグレーションを制御するように構成される。セキュリティルールコントローラ140は、任意の他の適した方式でセキュリティルール152のマイグレーションを制御することができる。セキュリティルールデータベース150からセキュリティモジュール130にセキュリティルール152をマイグレーションする事例では、セキュリティルールコントローラ140が、ルールデータベース150をリトリーブし、セキュリティルール152をセキュリティモジュール130に伝播することができる。第1のセキュリティモジュール130(現在のセキュリティモジュール130)から第2のセキュリティモジュール130(選択したセキュリティモジュール13)にセキュリティルール152をマイグレーションする事例では、セキュリティルールコントローラ140が、(1)選択したセキュリティモジュール130にセキュリティルール152を送信するように、現在のセキュリティモジュール130にメッセージを送信して現在のセキュリティモジュール130に命令するか、(2)セキュリティルール152を削除するように、現在のセキュリティモジュール130にメッセージを送信して現在のセキュリティモジュール130に命令するか、のどちらかをリトリーブし、セキュリティルールデータベース150からセキュリティルール152をリトリーブし、また、選択しセキュリティモジュール130にセキュリティルール152を伝達することができる。一実施形態では、クラウドシステム100内のセキュリティルール152のマイグレーションのうち少なくともいくつかの場合、セキュリティルール152のマイグレーションが、1つまたは複数のルータのACL機能、オープンフロー可能スイッチのフロー制御機能など、ならびにその種々の組合せを使用して実行されうる。
この方式では、セキュリティルールコントローラ140により、クラウドシステム100のセキュリティモジュール130にセキュリティルール152を分散すること、クラウドシステムのセキュリティモジュール130間でセキュリティルール152をマイグレーションすることが可能となる。セキュリティルールコントローラ152により、1つまたは複数のポリシー、データセンタダイナミクス、ネットワークダイナミクスなど、ならびにその種々の組合せに基づいて、セキュリティモジュール130間でセキュリティルール152をマイグレーションすることが可能となる。セキュリティモジュール130は、セキュリティモジュール130がそれぞれ配置される要素をトラバースする通信にセキュリティルール152を適用するように構成される。当業者には、セキュリティルール152がセキュリティモジュール130によって適用されうる方式が理解されよう。この方式では、クラウドシステム100のセキュリティを改善するために、流動性セキュリティ層が、クラウドシステム100内で提供され使用される。
各データセンタ110について、ホスト111、ハイパーバイザ112、データセンタネットワークデバイス115およびセキュリティモジュール116の特定の数および配列を有するとして示し説明するが、複数のデータセンタ110のうちのどちらかまたは両方が、ホスト111、ハイパーバイザ112、データセンタネットワークデバイス115および/またはセキュリティモジュール116の任意の適した数および/または配列を使用して実装されうることに留意されたい。各データセンタ110は、データセンタ110内それぞれでネットワーク用の単一のデータセンタデバイスのみを有するとして示し説明するが、各データセンタ110は、ネットワークデバイス(例えば、トップオブラックスイッチ、アグリゲータ、ルータなど、ならびにその種々の組合せ)の任意の適した数および配列を含む任意の適したタイプのデータセンタネットワークを使用することができ、すなわち、データセンタ110および110のデータセンタネットワークデバイス115および115は、データセンタ110および110内で、ならびにデータセンタ110および110へ/からそれぞれ通信をサポートすることができるデータセンタ通信ネットワークを表すことができることに留意されたい。
図2に、セキュリティルールポリシーに基づいてセキュリティルール用のロケーションを選択するための方法の一実施形態を示す。
図2の方法200は、1つまたは複数の条件の検知に応答して、セキュリティルール用のロケーションを選択するために評価されうる情報の受信に応答してなど、ならびにその種々の組合せで、定期的に呼び出されうることに留意されたい。
主に順次実行されるように示し説明するが、方法200のステップは、一時におよび/または図2に示したものとは異なる順序で実行されうることに留意されたい。方法200の動作は、図1と併せて検討されればより深く理解されうる。
ステップ210で、方法200が開始する。
ステップ220で、ロケーションが、セキュリティルールに関連するセキュリティルールポリシーに基づいてセキュリティルール用に選択される。
ステップ230で、選択したロケーションにセキュリティルールをマイグレーションするかしないかを決定する。これは、選択したロケーションが、セキュリティルールが維持される現在のロケーションと同一であるかどうかに関しての決定とすることができる。これは、セキュリティルールをマイグレーションする利点が、セキュリティルールを移動するコストより勝るかどうかを決定するために、コスト/利点分析を含むことができる。選択したロケーションにセキュリティルールをマイグレーションしない(例えば、選択したロケーションが、セキュリティルールが維持される現在のロケーションと同一である)と決定した場合、方法200はステップ250に進み、そこで方法200は終了する。選択したロケーションにセキュリティルールをマイグレーションすると決定した場合、方法200はステップ240に進む。
ステップ240で、選択したロケーションへのセキュリティルールのマイグレーションが、開始される。ステップ240から、方法200はステップ250へ進む。
ステップ250で、方法200が終了する。
図3に、本明細書で説明する機能を実行する際に使用するのに適したコンピュータのハイレベルブロック図を示す。
コンピュータ300は、プロセッサ要素302(例えば、中央処理装置(CPU)および/または他の適したプロセッサ(複数可))と、メモリ304(例えばランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、など)とを含む。コンピュータ300は、協動モジュール/プロセス305および/または種々の入力/出力デバイス306(例えば、ユーザ入力デバイス(キーボード、キーパッド、マウスなど)、ユーザ出力デバイス(ディスプレイ、スピーカなど)、入力ポート、出力ポート、受信機、送信機、および記憶デバイス(例えば、テープドライブ、フロッピー(登録商標)ドライブ、ハードディスクドライブ、コンパクトディスクドライブなど))も含むことができる。協動プロセス305が、本明細書で議論する機能を実装するために、メモリ304にロードされ、プロセッサ302によって実行され、したがって、協動プロセス305(関連するデータ構造を含む)は、コンピュータ可読記憶媒体、例えばRAMメモリ、磁気ドライブもしくはディスケットまたは光学的ドライブもしくはディスケットなどに記憶されうる。
図3に示すコンピュータ300は、本明細書で説明する機能的要素および/または本明細書で説明する機能的要素の一部を実装するのに適した概略的なアーキテクチャおよび機能性を提供することが理解されよう。例えば、コンピュータ300は、1つまたは複数のホスト111、ハイパーバイザ112、スイッチ115、ネットワークデバイス122、セキュリティモジュール130、セキュリティルールコントローラ140、セキュリティルールデータベース150などのうち1つまたは複数を実装するのに適した概略的なアーキテクチャおよび機能性を提供する。
本明細書で示し説明した機能は、ソフトウェアで(例えば、特殊目的コンピュータを実装するように、(例えば、1つまたは複数のプロセッサによる実行を介して)汎用コンピュータで実行するために、1つまたは複数のプロセッサでのソフトウェアの実装を介して)実装され、および/またはハードウェアで(例えば汎用コンピュータ、1つまたは複数の特定用途向け集積回路(ASIC)および/または任意の他のハードウェア均等物を使用して)実装されうることが理解されよう。
ソフトウェア方法として本明細書で議論するステップのいくつかは、例えば、種々の方法のステップを実行するためのプロセッサと協動する回路のようなハードウェア内で実装されうることが企図される。本明細書で説明する機能/要素の一部は、コンピュータプログラム製品として実装可能であり、本明細書で説明する方法および/または技法が呼び出されるかさもなければ提供されるように、コンピュータの命令が、コンピュータによって処理されるとき、コンピュータの動作を適合させる。本発明の方法を呼び出すための命令は、固定型のまたは取り外し可能な媒体に記憶され、ブロードキャスト信号または他の信号搬送媒体のデータストリームを介して伝送され、および/または命令に従って動作するコンピューティングデバイス内のメモリ内に記憶されうる。
種々の実施形態の態様が特許請求の範囲において規定される。種々の実施形態のこれらの態様および他の態様は、後続の番号付条項において規定される。
1. プロセッサと、プロセッサに通信可能に接続されたメモリとを備え、
プロセッサは、セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択し、
セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するように構成された、装置。
2. セキュリティルールに関連するポリシーが、セキュリティルールの適用に関連するレイテンシに基づく、条項1に記載の装置。
3. セキュリティルールが、侵入検知システム(IDS)または侵入防止システム(IPS)に関連するとき、セキュリティルールに関連するポリシーが、セキュリティルールの適用に関連するレイテンシに基づく、条項1に記載の装置。
4. セキュリティルールが適用されるべきデータの移送に関連するコスト、およびセキュリティルールの適用に使用される処理資源の量に、セキュリティルールに関連するポリシーが基づく、条項1に記載の装置。
5. セキュリティルールが適用されるとき、セキュリティルールに関連するポリシーが、提供されるべき性能の最小レベルにさらに基づく、条項1に記載の装置。
6. プロセッサが、1つまたは複数のハイパーバイザに関連するハイパーバイザステータス情報、ネットワーク輻輳情報およびユーザ嗜好情報のうちの少なくとも1つに基づいて、セキュリティルール用のロケーションを選択するように構成される、条項1に記載の装置。
7. セキュリティルールに関連するポリシーが、そのセキュリティルールのみと共に使用するための専用とする、条項1に記載の装置。
8. セキュリティルールに関連するポリシーが、少なくとも1つの他のセキュリティルールに関連する、条項1に記載の装置。
9. セキュリティルールが、現在のロケーションに格納され、選択したロケーションへのセキュリティルールのマイグレーションを開始するために、プロセッサが、現在のロケーションから選択したロケーションへのマイグレーションを開始するように構成された、条項1に記載の装置。
10. 現在のロケーションが、ハイパーバイザ、ネットワークデバイスまたはコントローラのうちの1つを備える、条項9に記載の装置。
11. 選択したロケーションが、ハイパーバイザまたはネットワークデバイスのうちの1つを備える、条項9に記載の装置。
12. プロセッサが、選択したロケーションへのセキュリティルールのマイグレーションを開始する以前に、選択したロケーションへのセキュリティルールのマイグレーションを開始するかどうかを決定するように構成される、条項1に記載の装置。
13. セキュリティルールが、第1の通信要素と第2の通信要素との間の通信にセキュリティを提供するように構成される、条項1に記載の装置。
14. 第1の通信要素が、仮想マシンであり、第2の通信要素が、仮想マシンまたはネットワークデバイスである、条項13に記載の装置。
15. セキュリティルールが、第1の仮想マシンと第2の仮想マシンとの間の通信にセキュリティを提供するように構成される、条項1に記載の装置。
16. 第1および第2の仮想マシンが、単一のデータセンタ中に位置する、条項15に記載の装置。
17. 選択したロケーションが、第1の仮想マシンをホスティングするホストのハイパーバイザ、データセンタのデータセンタネットワークのネットワークデバイス、または第2の仮想マシンをホスティングするホストのハイパーバイザを備える、条項16に記載の装置。
18. 第1の仮想マシンが、第1のデータセンタ内に位置し、第2の仮想マシンが第2のデータセンタ中に位置する、条項15に記載の装置。
19. 選択したロケーションが、第1の仮想マシンをホスティングするホストのハイパーバイザ、第1のデータセンタのデータセンタネットワークのネットワークデバイス、第1のデータセンタと第2のデータセンタとの間の通信をサポートする通信ネットワークのネットワークデバイス、第2のデータセンタのデータセンタネットワークのネットワークデバイス、または第2の仮想マシンをホスティングするホストのハイパーバイザを備える、条項18に記載の装置。
20. 少なくとも1つのプロセッサを使用して、
セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択するステップと、
セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップとを含む、方法。
21. 命令を記憶するコンピュータ可読記憶媒体であって、この命令がコンピュータによって実行されるとき、
セキュリティルールに関連するポリシーに基づいてセキュリティルールが適用されるべきロケーションを選択するステップと、
セキュリティルールが適用されるべき選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップとを含む方法をコンピュータに実行させる、コンピュータ可読記憶媒体。
本明細書において、本発明の教示を組み込む種々の実施形態について詳細に示し説明してきたが、当業者には、これらの教示をさらに組み込む他の多くの様々な実施形態を容易に考案することができる。

Claims (10)

  1. プロセッサと、プロセッサに通信可能に接続されたメモリとを備え、
    プロセッサは、ネットワークの要素間の通信に適用されるセキュリティルールに関連するポリシーに基づいてセキュリティルール用にネットワークの複数の階層に分散されたロケーションの1つを選択し、
    コスト/利点分析に基づいて、セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするかどうか決定し、
    セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするという決定に基づき、セキュリティルール用に選択されたロケーションへのセキュリティルールのマイグレーションを開始するように構成された、装置。
  2. セキュリティルールに関連するポリシーが、セキュリティルールの適用に関連するレイテンシに基づく、請求項1に記載の装置。
  3. セキュリティルールが、侵入検知システム(IDS)または侵入防止システム(IPS)に関連するとき、セキュリティルールに関連するポリシーが、セキュリティルールの適用に関連するレイテンシに基づく、請求項1に記載の装置。
  4. セキュリティルールが適用されるべきデータの移送に関連するコスト、およびセキュリティルールの適用に使用される処理資源の量に、セキュリティルールに関連するポリシーが基づく、請求項1に記載の装置。
  5. セキュリティルールが適用されるとき、セキュリティルールに関連するポリシーが、提供されるべき性能の最小レベルにさらに基づく、請求項1に記載の装置。
  6. プロセッサが、1つまたは複数のハイパーバイザに関連するハイパーバイザステータス情報、ネットワーク輻輳情報およびユーザ嗜好情報のうちの少なくとも1つに基づいて、セキュリティルール用のロケーションを選択するように構成される、請求項1に記載の装置。
  7. セキュリティルールが、第1の通信要素と第2の通信要素との間の通信にセキュリティを提供するように構成される、請求項1に記載の装置。
  8. セキュリティルールが、第1の仮想マシンと第2の仮想マシンとの間の通信にセキュリティを提供するように構成され、第1の仮想マシンが、第1のデータセンタ中に位置し、第2の仮想マシンが第1のデータセンタまたは第2のデータセンタ中に位置する、請求項1に記載の装置。
  9. メモリと協働してプロセッサによって行われる方法であって、
    ネットワークの要素間の通信に適用されるセキュリティルールに関連するポリシーに基づいてセキュリティルール用にネットワークの複数の階層に分散されたロケーションを選択するステップと、
    コスト/利点分析に基づいて、セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするかどうか決定するステップと、
    セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするという決定に基づき、セキュリティルール用に選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップと
    を含む、方法。
  10. 命令を記憶するコンピュータ可読記憶媒体であって、この命令がコンピュータによって実行されるとき、
    セキュリティルールに関連するポリシーに基づいてセキュリティルール用にロケーションを選択するステップと、
    コスト/利点分析に基づいて、セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするかどうか決定するステップと、
    セキュリティルール用に選択されたロケーションにセキュリティルールをマイグレーションするという決定に基づき、セキュリティルール用に選択されたロケーションへのセキュリティルールのマイグレーションを開始するステップとを含む方法をコンピュータに実行させる、コンピュータ可読記憶媒体。
JP2015511476A 2012-05-11 2013-03-28 流動性セキュリティ層を提供するための装置および方法 Expired - Fee Related JP6178411B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/469,176 2012-05-11
US13/469,176 US9548962B2 (en) 2012-05-11 2012-05-11 Apparatus and method for providing a fluid security layer
PCT/US2013/034270 WO2013169410A1 (en) 2012-05-11 2013-03-28 Apparatus and method for providing a fluid security layer

Publications (2)

Publication Number Publication Date
JP2015517702A JP2015517702A (ja) 2015-06-22
JP6178411B2 true JP6178411B2 (ja) 2017-08-09

Family

ID=48083678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015511476A Expired - Fee Related JP6178411B2 (ja) 2012-05-11 2013-03-28 流動性セキュリティ層を提供するための装置および方法

Country Status (6)

Country Link
US (1) US9548962B2 (ja)
EP (1) EP2847964B1 (ja)
JP (1) JP6178411B2 (ja)
KR (1) KR20140144295A (ja)
CN (1) CN104322029B (ja)
WO (1) WO2013169410A1 (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10084818B1 (en) * 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US8966573B2 (en) * 2012-07-20 2015-02-24 Ca, Inc. Self-generation of virtual machine security clusters
US10521746B2 (en) 2012-09-07 2019-12-31 Oracle International Corporation Recovery workflow for processing subscription orders in a computing infrastructure system
US9621435B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Declarative and extensible model for provisioning of cloud based services
US9253113B2 (en) 2012-09-07 2016-02-02 Oracle International Corporation Customizable model for throttling and prioritizing orders in a cloud environment
US9667470B2 (en) 2012-09-07 2017-05-30 Oracle International Corporation Failure handling in the execution flow of provisioning operations in a cloud environment
US10148530B2 (en) 2012-09-07 2018-12-04 Oracle International Corporation Rule based subscription cloning
US20140074659A1 (en) 2012-09-07 2014-03-13 Oracle International Corporation Ramped ordering for cloud services
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9917849B2 (en) * 2013-05-01 2018-03-13 Fortinet, Inc. Security system for physical or virtual environments
JP5911448B2 (ja) * 2013-05-10 2016-04-27 株式会社日立製作所 移行支援装置、移行支援方法およびプログラム
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법
US10164901B2 (en) * 2014-08-22 2018-12-25 Oracle International Corporation Intelligent data center selection
TW201624277A (zh) 2014-12-31 2016-07-01 萬國商業機器公司 協助虛擬機器即時遷移的方法
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9930010B2 (en) * 2015-04-06 2018-03-27 Nicira, Inc. Security agent for distributed network security system
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
CN106603473B (zh) * 2015-10-19 2021-01-01 华为技术有限公司 网络安全信息的处理方法及网络安全信息的处理系统
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10681131B2 (en) 2016-08-29 2020-06-09 Vmware, Inc. Source network address translation detection and dynamic tunnel creation
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10560487B2 (en) * 2017-07-26 2020-02-11 International Business Machines Corporation Intrusion detection and mitigation in data processing
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002261829A (ja) 2001-02-27 2002-09-13 Mitsubishi Electric Corp 階層管理システム及び階層管理方法
US8296847B2 (en) * 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center
US7512071B2 (en) * 2004-06-15 2009-03-31 Sun Microsystems, Inc. Distributed flow enforcement
JP2006178554A (ja) * 2004-12-21 2006-07-06 Hitachi Ltd 分散ポリシー連携方法
CN100433899C (zh) 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
US8381209B2 (en) * 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
JP5104588B2 (ja) 2007-10-18 2012-12-19 富士通株式会社 マイグレーションプログラム、および仮想マシン管理装置
US8146147B2 (en) * 2008-03-27 2012-03-27 Juniper Networks, Inc. Combined firewalls
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US20100011432A1 (en) * 2008-07-08 2010-01-14 Microsoft Corporation Automatically distributed network protection
US8032660B2 (en) * 2008-12-30 2011-10-04 Intel Corporation Apparatus and method for managing subscription requests for a network interface component
US20100319004A1 (en) * 2009-06-16 2010-12-16 Microsoft Corporation Policy Management for the Cloud
US20110072487A1 (en) * 2009-09-23 2011-03-24 Computer Associates Think, Inc. System, Method, and Software for Providing Access Control Enforcement Capabilities in Cloud Computing Systems
JP5549189B2 (ja) 2009-11-18 2014-07-16 日本電気株式会社 仮想マシン管理装置、仮想マシン管理方法、及び仮想マシン管理プログラム
JP2011232840A (ja) * 2010-04-26 2011-11-17 Hitachi Ltd アクセス制御情報管理方法、計算機システム及びプログラム
US8813209B2 (en) * 2010-06-03 2014-08-19 International Business Machines Corporation Automating network reconfiguration during migrations
US20120011077A1 (en) * 2010-07-12 2012-01-12 Bhagat Bhavesh C Cloud Computing Governance, Cyber Security, Risk, and Compliance Business Rules System and Method
US8639793B2 (en) * 2010-10-29 2014-01-28 Cisco Technology, Inc. Disaster recovery and automatic relocation of cloud services
US8726348B2 (en) * 2010-12-15 2014-05-13 The Boeing Company Collaborative rules based security
US9531754B2 (en) * 2011-02-22 2016-12-27 Dome 9 Security Ltd. Methods, circuits, apparatus, systems and associated software applications for providing security on one or more servers, including virtual servers
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9246985B2 (en) * 2011-06-28 2016-01-26 Novell, Inc. Techniques for prevent information disclosure via dynamic secure cloud resources
US8914515B2 (en) * 2011-10-28 2014-12-16 International Business Machines Corporation Cloud optimization using workload analysis
US20130152076A1 (en) * 2011-12-07 2013-06-13 Cisco Technology, Inc. Network Access Control Policy for Virtual Machine Migration
US9626526B2 (en) * 2012-04-30 2017-04-18 Ca, Inc. Trusted public infrastructure grid cloud

Also Published As

Publication number Publication date
WO2013169410A1 (en) 2013-11-14
CN104322029A (zh) 2015-01-28
EP2847964A1 (en) 2015-03-18
KR20140144295A (ko) 2014-12-18
JP2015517702A (ja) 2015-06-22
EP2847964B1 (en) 2019-07-10
CN104322029B (zh) 2017-10-10
US9548962B2 (en) 2017-01-17
US20130305311A1 (en) 2013-11-14

Similar Documents

Publication Publication Date Title
JP6178411B2 (ja) 流動性セキュリティ層を提供するための装置および方法
US20230359479A1 (en) Architecture of networks with middleboxes
US11463511B2 (en) Model-based load balancing for network data plane
EP3323228B1 (en) Highly available service chains for network services
US11405309B2 (en) Systems and methods for selecting communication paths for applications sensitive to bursty packet drops
US10484233B2 (en) Implementing provider edge with hybrid packet processing appliance
US20170019303A1 (en) Service Chains for Network Services
EP3973396A2 (en) Systems and methods for managing streams of packets via intermediary devices
US20150334024A1 (en) Controlling Data Rates of Data Flows Based on Information Indicating Congestion
US11582118B2 (en) Real-time scalable virtual session and network analytics
Yu et al. Fine-grained cloud resource provisioning for virtual network function
JP2023514487A (ja) 分散ストレージシステムにおけるマスターデータ配置
Iqbal et al. Minimize the delays in software defined network switch controller communication
AU2018204247B2 (en) Architecture of networks with middleboxes
US20230421472A1 (en) Systems and methods for monitoring performance of a network slice and mitigating load on the network slice
Sood Performance analysis and optimization in software defined networks
Watanabe et al. STCoS: Software-defined traffic control for smartphones

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160823

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20161121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170620

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170713

R150 Certificate of patent or registration of utility model

Ref document number: 6178411

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees