JP6342478B2 - エンドポイントセキュリティとネットワークセキュリティサービスを調整するフレームワーク - Google Patents
エンドポイントセキュリティとネットワークセキュリティサービスを調整するフレームワーク Download PDFInfo
- Publication number
- JP6342478B2 JP6342478B2 JP2016508982A JP2016508982A JP6342478B2 JP 6342478 B2 JP6342478 B2 JP 6342478B2 JP 2016508982 A JP2016508982 A JP 2016508982A JP 2016508982 A JP2016508982 A JP 2016508982A JP 6342478 B2 JP6342478 B2 JP 6342478B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- container
- tag
- assigned
- quarantine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 45
- 230000008569 process Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 238000002955 isolation Methods 0.000 claims 17
- 238000004891 communication Methods 0.000 description 20
- 241000700605 Viruses Species 0.000 description 18
- 230000002155 anti-virotic effect Effects 0.000 description 15
- 230000009471 action Effects 0.000 description 6
- 230000003442 weekly effect Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001154 acute effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
仮想マシンとセキュリティサービスに関する。
仮想マシンはソフトウェアに基づく物理的なコンピュータシステムの抽象化である。一般に、物理的なコンピュータシステム上で実行可能な任意のコンピュータプログラムは仮想化ソフトウェアを用いる仮想マシン内で実行可能である。仮想化ソフトウェアは仮想マシンと物理的なコンピュータシステムとに論理的に挿まれておりインターフェースとなるソフトウェアである。仮想マシンのそれぞれは、以下ゲストOSというオペレーティングシステムとアプリケーションを実行するように構成される。以下ホストマシンという物理的なコンピュータシステムは1つ以上の仮想マシンを実行することができる。
仮想マシンは、ローカルで又はネットワーク接続を通してリモートで、アクセスされ得る。例えば、仮想マシンに遠隔アクセスするためにリモート・デスクトップ・クライアントを用いることができる。リモート・デスクトップ・クライアントは、リモートコンピュータシステムとユーザインターフェース情報を通信するコンピュータプログラムである。一般に、このユーザインターフェース情報は、リモートコンピュータシステムから受信してローカルのコンピュータでユーザに表示される表示情報を含み、ユーザにより生み出されるキーボート入力とマウス入力をリモートコンピュータシステムに届ける。このようにして、ユーザは、ユーザから離れて動作するアプリケーションにアクセスし情報を交換することができる。
更に、仮想マシン上又はホスト機器上で直接動作するかに関わらず、アプリケーションとオペレーティングシステムは、コンピュータ環境に不正に侵入する、ウイルスやワーム等のプログラムやコードに対して未だに脆弱である。ウイルスは、しばしば自身を複製し又は自身に複製させることにより極端な量のコンピュータリソースを消費し、コンピュータの動作を悪化又は中断させる。「ワーム」は送出されるメールや他のネットワークメッセージに自動的に自身を付加するウイルスであると定義され得る。ウイルスはコンピュータ環境に進入すると即座にその損害を与える場合や、環境がホストコンピュータに自身のコードを実行させるまで眠ているように動かない場合がある。特定のウイルスによって引き起こされ得る潜在的な問題に関わらず、全てのウイルスは一般に悪意があるとみなされるものであり、システムへの感染が防止されるべきであり発見されれば隔離されるべきである。本目的のために、「ウイルス」なる語はあらゆるこのような悪意のあるコードを指す。
ウイルスの脅威は、多数のハッカーによって創作された、洗練と深刻度の程度が異なるウイルスがアクセス可能なコンピュータのあるネットワーク環境では特に深刻である。これらのウイルスは、例えば、eメールへの添付物として又はダウンロードされたファイルとして、若しくはネットワークポートをリッスンするサービスプログラムを介して、様々な方法でコンピュータ環境に不正に侵入する。アンチウイルスソフトウェアの様々な例には、ディスクドライブとメモリシステム全体を不正なコードのためにスキャンするシステムスキャナー、オペレーティングシステムによって要求されたときにファイルをスキャンする「オンアクセス」(on-access)スキャナーが含まれる。他のタイプのアンチウイルスソフトウェアもあり得る。
一般に、本明細書に記載された主題の1側面は、1つ以上の仮想マシンのそれぞれを、それぞれのセキュリティコンテナに従って動作させることであって、それぞれのセキュリティコンテナが、1つ以上の条件に基づいて、それぞれのセキュリティコンテナから隔離コンテナへの移動を特定するそれぞれのルールに関連付けられている、動作させることと、1つ以上の仮想マシンにおいて1つ以上のエンドポイントセキュリティサービスを動作させて、仮想マシンの1つ以上に関連付けられた1つ以上のセキュリティ脅威を特定することと、1つ以上のセキュリティサービスによって生成された1つ以上のタグを取得することであって、タグのそれぞれは特定されたセキュリティ脅威の1つと関連付けられた仮想マシンのためのものである、取得することと、1つ以上の取得されたタグと1つ以上の条件とに少なくとも基づいて、隔離コンテナへの移動を要求する仮想マシンの1つを特定することと、特定された仮想マシンを隔離コンテナに移動することとを含む技術に取り入れられ得る。この側面の他の実施形態は対応するシステム、装置及び非一時的に機械読み取り可能な記録媒体に記録されたコンピュータソフトウェアを含む。
これら及び他の側面は、オプションとして以下の特徴の1つ以上を含み得る。セキュリティサービスは、アンチウイルススキャナ、情報漏えい対策(DLP)、ファイル保全モニタリング、ルートキット(rootkit)検出、脆弱性管理、ネットワークファイアウォール、ウェブセキュリティ制御及び進入検出/対策システムを含む。セキュリティ脅威を解決して、特定された仮想マシンを、特定された仮想マシンのそれぞれのセキュリティコンテナから隔離コンテナへ移動させるタグを削除することができ、特定された仮想マシンを、隔離コンテナから特定された仮想マシンのそれぞれのセキュリティコンテナへ移動させることができる。ユーザインターフェースが提供されて、1つ以上のそれぞれのセキュリティコンテナを生成し設定することができるものあって、ユーザインターフォースは1つ以上のそれぞれのセキュリティコンテナの各々のための、1つ以上のタグベースのルールを生成するように構成される、ものである。それぞれのタグは、仮想マシン識別子、タグラベル及びタグの値を含むことができる。それぞれのルールは脅威レベルの閾値を特定することができ、仮想マシンを特定することは、タグの値と脅威レベルの閾値とを比較することを含む。1つ以上のエンドポイントセキュリティサービスは、既知のタグフォーマットに従ってタグを生成するように構成された1つ以上のアンチウイルススキャナ、既知のタグフォーマットに従ってタグを生成するように構成された脆弱性管理メカニズム、又は既知のタグフォーマットに従ってタグを生成するように構成された情報漏えい対策を含み得る。1つ以上の仮想マシンを動作させることは、仮想マシンのログインイベントに応じて、ユーザのメンバシップグループを検出することと、ユーザのメンバシップグループに基づいてそれぞれのセキュリティコンテナを選択することと、仮想マシンのログインイベントに関連付けられた仮想マシンを、選択されたセキュリティコンテナに割り当てることとを含むことができる。1つ以上のそれぞれのセキュリティコンテナは、1つ以上の第1の条件に基づいて第1のセキュリティコンテナから第1の隔離コンテナへの仮想マシンの移動を特定する第1のルールに関連付けられた第1のセキュリティコンテナと、1つ以上の第2の条件に基づいて第2のセキュリティコンテナから第2の隔離コンテナへの仮想マシンの移動を特定する第2のルールに関連付けられた第2のセキュリティコンテナと、を含み得る。実装は、タグ通信レイヤを動作させて1つ以上のタグを1つ以上のセキュリティサービスから受信することであって、タグ通信レイヤは1つ以上のエンドポイントセキュリティサービスに関連する、ことを含み得る。実装は、隔離コンテナに従ってネットワークファイアウォールを動作させて、特定された仮想マシンのネットワーク接続性を制限することを含み得る。
特に、本明細書に記載された主題の特定の実施形態は、1つ以上の以下の長所を実現するために実装され得る。仮想マシンにタグ付けするセキュリティサービスのためのフレームワークの提供は、隔離コンテナなどの異なるより厳格なコンテナへの迅速かつ自動的な移動を可能にし得る。仮想マシンにおいてひとたびウイルスが検出された場合、拡散や影響のないシステムにおけるウイルスの影響を防止し、機密扱いの情報のリークを防止し、又はこれらの両方のために、仮想マシンが隔離コンテナの外側に存在する時間を最小化する点で有益である。
本明細書に記載された主題の1つ以上の実施形態の詳細は、添付図面及び以下の記載において明らかになる。本主題の他の特徴、側面及び長所は記載、図面及び請求項から明らかになる。
様々な図面内の同様な参照番号及び記号は同様な要素を示す。
本書面は、異なるエンドポイントセキュリティ(例えばアンチウイルスソフトウェア)やネットワークセキュリティサービス(例えばネットワークファイアウォール)における相乗的な統合を達成するフレームワークについて記載する。このようなフレームワークは仮想マシンの環境内のセキュリティポリシ違反に迅速かつ自動的に対応することを可能し、その一方で、顧客がエンドポイントと、異なるベンダによるセキュリティサービスを含むネットワークセキュリティサービスとの最良の組み合わせを選択することを可能にすることができる。
図1は、セキュリティコンテナに割り当てられた仮想マシンとセキュリティコンテナ間の仮想マシンの移動の例を示す。データ処理装置などの物理マシンは、それぞれ割り当てられたセキュリティコンテナ105a-cに従って仮想マシン110a-dを実行することができる。セキュリティコンテナ105a-cは、ファイアウォール設定115a-c、1つ以上のセキュリティサービスのための動作設定、及びタグベースのルール120a-cなどのポリシを明示することができる、仮想マシンの実行環境である。ある実施形態では、セキュリティコンテナ105a-cは、ネットワーク接続性の許容されるレベルが異なるファイアウォール設定115a-cのそれぞれに関連付けられる。この例では、第1のセキュリティコンテナ105aはフル・ネットワーク・アクセス(full network access)を明示するファイアウォール設定115aに関連付けられており、これに対して、第2のセキュリティコンテナ105bは限定されたネットワークアクセスを明示するファイアウォール設定115bに関連付けられる。隔離コンテナ105cは、例えばネットワークアクセス無し(no network access)を明示するファイアウォール設定115cに関連付けられ得る。タグベースのルール120a-bは、1つ以上のセキュリティサービスによって提供されるセキュリティタグに基づく条件など、1つ以上の条件に基づいて隔離コンテナ105cへの移動を明示することができる。セキュリティタグは、仮想マシンのセキュリティサービスのレビュー(review)によって生成されたセキュリティ判定を表すことができる。ある場合には、ルール120cは、セキュリティサービスによってタグがひとたびクリアされた場合の隔離コンテナ105cからの移動を明示することができる。
図2は仮想マシンを実行するように構成されたシステム201の例についてのアーキテクチャを示す。システム201では、物理マシン230がハイパーバイザ220を用いて仮想マシン110a-eを実行するように構成され得る。コンピュータ端末240a-bはネットワーク235を用いて仮想マシン110a-eにアクセスすることができる。ある実施形態では、システム201は、コンピュータ端末240a-bを介して仮想デスクトップインフラストラクチャ(VDI)を提供するように構成され得る。VDIは、仮想インフラストラクチャ上のユーザデスクトップを、コンピュータ管理者がホストし管理することを可能にし、仮想インフラストラクチャ、例えばVDI、はデスクトップコンピューティングのための独立した仮想マシンを各ユーザに提供する。ある実施形態では、コンピュータ端末240a-bは、リモート・デスクトップ・プロトコルを用いることによって仮想マシン110a-eに物理的なフロントエンドを提供するように構成されている。コンピュータ端末240a-eの様々な例はPC、シンクライアント、ゼロクライアント(zero clients)などのクライアントアクセスデバイスを含む。他の種類の端末もあり得る。
ある仮想マシン110a-dはそれぞれがセキュリティコンテナ105a-cの1つに関連付けられる一方で、セキュリティ仮想マシンとして参照される他の1つ以上の仮想マシン110eは、仮想マシン110a-dにエンドポイントセキュリティサービス、ネットワークセキュリティサービス又は両方を提供するように構成され得る。例えばセキュリティ仮想マシン110eは、ウイルスのようなセキュリティの脅威に対して他の仮想マシン110a-dをスキャンするアンチウイルススキャナのようなエンドポイントセキュリティサービスを実行することができる。ある実装では、アンチウイルススキャナは、例えば仮想マシンのメモリ、永続的なストレージ及びネットワーク通信のスキャンを実行するため、仮想マシン110a-d上で動作するシンエージェント(thin agents)と相互作用することができる。更なる実装では、セキュリティ仮想マシン110aにおけるアンチウイルススキャナは自律的に他の仮想マシン110a-dをスキャンすることができる。他の実装では、ハイパーバイザ220はネットワークファイアウォールを動作させるような1つ以上のネットワークセキュリティサービスを実行することができる。
図3はセキュリティマネージャ310を含むセキュリティフレームワークの例についてのアーキテクチャを示す。仮想インフラストラクチャは、エンドポイントセキュリティサービス305a-bやネットワークセキュリティサービス305c-dを含むセキュリティサービス305a-dをデプロイすることができる。エンドポイントセキュリティサービス305a-bの様々な例は、アンチウイルススキャナ、情報漏えい対策(DLP)、ファイル保全モニタリング、ルートキット(rootkit)検出、脆弱性管理を含む。他の種類の例もあり得る。ネットワークセキュリティサービス305c-dの様々な例は、ネットワークファイアウォール、ウェブセキュリティコントロール、進入検出/対策システムを含む。他の種類の例もあり得る。
セキュリティマネージャ310はセキュリティコンテナに基づいてセキュリティサービス305a-dと相互作用することができる。セキュリティマネージャ310はセキュリティコンテナを生成し設定するためのユーザインターフェースを提供することができる。セキュリティコンテナは当該コンテナに割り当てられた仮想マシン上で実行されるべき更なるセキュリティサービスを明示することができる。1つ以上のルールはセキュリティコンテナのそれぞれに関連づけられ得る。これらのルールはセキュリティコンテナ仕様データベース320に格納され得る。ある実装では、ルールはセキュリティスキャンの結果に基づくアクション(例えば隔離コンテナへの移動)を明示することができる。更に、1つ以上のサービス305a-dのための設定情報は、セキュリティコンテナ仕様データベース320に格納され得る。設定情報は、セキュリティサービスのそれぞれを明示することができ、セキュリティサービスの名称、セキュリティサービスに対応する実行環境の場所又はセキュリティ設定などのパラメータを含むことができる。他の種類のパラメータも可能である。例えば、アンチウイルスセキュリティサービスのための設定情報は、スキャンの頻度及びスキャンの種類を含むことができる。ある実装では、セキュリティマネージャ310は、セキュリティコンテナによって明示された設定情報に基づいてセキュリティサービス305a-dを動作させることができる。セキュリティマネージャ310は仮想マシンをセキュリティコンテナに割り当てることができ、そのような割り当ては仮想マシンセキュリティコンテナ割り当てデータベース325に格納され得る。
セキュリティサービス305a-dの1つ以上は、セキュリティスキャン、セキュリティイベント又は両方、の結果に基づいて仮想マシンにタグを割り当てることができる。セキュリティマネージャ310は、セキュリティサービス305a-dの1つ以上からタグを受信し、仮想マシンタグチェッカー330などの要素にタグを配信するタグ通信レイヤを提供する。ある実装では、タグ情報は仮想マシン識別子、タグ名及びタグ値を含むことができる。他の種類のタグ情報も可能である。ある実装では、タグは拡張可能マークアップ言語(XML)を用いてタグ通信レイヤを通信され得る。仮想マシンタグチェッカー330はセキュリティサービス305a-dによって生成されたタグにアクセスし、これらをセキュリティコンテナのルールによって明示された1つ以上の条件と比較する。1つ以上の条件の満足に基づいて当該ルールに関連付けられたアクションが実行され得る。
図4は1つ以上のデータ処理装置によって実現されるセキュリティ処理の例についてのフローチャートを示す。405において、処理は仮想マシン(VM)にセキュリティサービスをデプロイする。ある実装では、セキュリティサービスをデプロイすることはアンチウイルススキャナなどのセキュリティソフトウェアをインストールすることを含み得る。410において、処理はセキュリティサービスを登録する。セキュリティサービスを登録することは、セキュリティサービスを動作させるためにセキュリティマネージャを設定することを含み得る。セキュリティサービスを登録することは、セキュリティサービスによって生成されたタグを認識するためにセキュリティマネージャを設定することを含み得る。
415において、処理はセキュリティコンテナと当該コンテナのためのタグベースのルールとを生成し設定するユーザインターフェース(UI)を提供する。UIを提供することはグラフィカルユーザインターフェース(GUI)を表示することを含み得る。UIを提供することはコマンドラインインターフェース(CLI)を提供することを含み得る。ある実装では、UIは、異なるセキュリティマネージャのために異なるサービス設定オプションを明示するように設計され得る。例えば、1つのセキュリティコンテナは時間ごとのウイルススキャン要件を有するのに対し、他のセキュリティコンテナは日ごと或いは週ごとのアンチウイルススキャン要求を有してもよい。
420において、処理はセキュリティコンテナの1つ以上にVMを割り当てる。ある実装では、UIは、セキュリティコンテナに仮想マシンを割り当てるインターフェースを更に提供し得る。ある実装では、セキュリティコンテナへのVMの割り当てはログインイベントに応じて動的に実行される。例えば、この割り当てはログインイベントに関連付けられたユーザ識別又はユーザのユーザグループ識別に基づき得る。
425において、処理はセキュリティコンテナを介してセキュリティサービスを適用する。セキュリティコンテナを介してセキュリティサービスを適用することは、セキュリティコンテナによって何が要求されるかに基づいてサービス設定オプションの1つ以上にアクセスし使用することを含み得る。430において、処理はセキュリティ脅威を検出するためにVM上のセキュリティサービスを動作させる。ある実装では、セキュリティマネージャは、セキュリティコンテナの要求に従って定期的な時間間隔でセキュリティサービスに仮想マシンのスキャンを実行させることができる。435において、処理は検出されたセキュリティ脅威のそれぞれに基づいてタグをVMに選択的に割り当てる。例えばセキュリティサービスは、ウイルスや脆弱性を生み出す設定不良などの脅威の検出に基づいてタグを出力することができる。タグの様々な例には「virus.threat=detected」、「malware.threat=high」又は「dlp.violation=HIPAA」などのテキストベースのラベルを含む。他の種類のタグも可能であり、例えばタグはテキストフォーマットよりもむしろバイナリフォーマットで表され得る。他の実装では、タグは例えば「CVSS=9.7」など共通脆弱性評価システム(CVSS)などの業界標準の脆弱性スコアを含み得る。440において、処理は、割り当てられたタグ及びタグベースのルールに基づいて、セキュリティコンテナへのVMの割り当てを選択的に変更する。例えばセキュリティコンテナは、CVSSスコアが7以上を有する任意の割り当てられたVMが、ネットワークアクセスをブロックする隔離コンテナに移動されるように明示してもよい。
図5は1つ以上のデータ処理装置によって実装され得るセキュリティ処理の他の例についてのフローチャートを示す。505において、処理は、1つ以上の条件に基づいて、隔離コンテナへの移動を明示するルールを有する1つ以上のセキュリティコンテナを生成する。条件の様々な例は、脅威レベルの閾値条件、脆弱性条件、ファイル保全条件、ルートキット検出条件を含む。他の種類の条件も可能である。ルールは例えば、満たした又は成功した場合に移動のきっかけとなる脅威レベル閾値条件を明示することができる。他のルールは例えば、満たした場合例えばルートキットが検出された場合に、移動のきっかけとなるルートキット検出条件を明示することができる。1つ以上の仮想マシンを動作させることは、仮想マシンログインイベントに応じてユーザのメンバシップグループを検出すること、当該ユーザのメンバシップグループに基づいてセキュリティコンテナを選択すること、及び、仮想マシンログインイベントに関連付けられた仮想マシンを、選択されたセキュリティコンテナに割り当てること、を含む。
510において、処理は1つ以上のセキュリティコンテナに従って1つ以上の仮想マシンを動作させる。515において、処理は仮想マシン上で1つ以上のエンドポイントセキュリティサービスを動作させて1つ以上のセキュリティ脅威を特定し、1つ以上の仮想マシンの1つ以上に1つ以上のタグを割り当てる。1つ以上のエンドポイントセキュリティサービスを動作させることは、サービスに対して、タグをタグ通信レイヤへ送信させることを含み得る。
520において、処理は、1つ以上のエンドポイントセキュリティサービスに関連した又は独立したタグ通信レイヤを動作させて、1つ以上のエンドポイントセキュリティサービスから1つ以上のタグを受信する。このような関連したタグ通信レイヤは、同一又は異なるベンダからのセキュリティサービスがタグ通信レイヤへのアクセスを可能にし、セキュリティマネージャを介して内部サービスの調整を可能にする。更に、タグ通信レイヤは、エンドポイントセキュリティサービスが既知のタグフォーマットに従ってタグを提供するように、既知のタグフォーマットを使用することができる。ある実装では、タグ通信レイヤを動作させることは、仮想マシン識別子、タグレベル及びタグ値を含むタグを受信することを含む。ある実装では、タグ通信レイヤを動作させることは、セキュリティサービスからタグを含むデータパケットを受信することを含む。タグ通信レイヤを動作させることは、エンドポイントセキュリティサービスによって生成されたタグを格納することを含み得る。ある実装では、タグ通信レイヤは、セキュリティサービスがタグをミドルウェアエンジンに公開し、タグチェッカーがタグを受信するためにミドルウェアエンジンに配信するところの公開/配信モデルに基づく。
525において、処理は、1つ以上のタグと1つ以上の条件を用いたルールのもと、隔離コンテナへの移動を要求する仮想マシンを特定する。移動を要求する仮想マシンを特定することは、タグデータベースからタグを検索することを含み得る。転送を要求する仮想マシンを特定することは、タグ通信レイヤを介して1つ以上のメモリロケーションに格納されたタグデータを検索することを含み得る。転送を要求する仮想マシンを特定することは、アクセスされた仮想マシンタグと対応するセキュリティコンテナの1つ以上のルールとを比較することを含み得る。処理は識別した仮想マシンを隔離コンテナに移動することを含み得る。識別した仮想マシンを移動することは、セキュリティコンテナ割り当てデータエントリを更新することを含み得る。識別した仮想マシンを移動することは、セキュリティコンテナに割り当てられた仮想マシンのリストに仮想マシンの識別子を追加することを含み得る。530において、処理は隔離コンテナに従ってネットワークファイアウォールを動作させ、識別した仮想マシンのネットワーク接続性を制限することを含む。
図6はセキュリティ処理の他の例についてのフローチャートを示す。605において、処理は、第1のセキュリティコンテナに割り当てられた仮想マシンのためにエンドポイントセキュリティサービスによって生成されたタグにアクセスする。610において、処理は、当該タグに基づいて第1のセキュリティコンテナが第2のセキュリティコンテナへの仮想マシンの移動を要求するかを判定する。移動が要求されない場合、処理は、630において第1のセキュリティコンテナに従って仮想マシンの動作を継続する。移動が要求される場合、処理は、615において仮想マシンを第2のセキュリティコンテナに移動する。620において、処理は、第2のセキュリティコンテナに従って仮想マシンを動作させる。625において、処理はセキュリティ脅威を解決して、タグを削除し第1のセキュリティコンテナへ戻す。セキュリティ脅威を解決することは、ウイルスに感染したファイルを削除すること、ソフトウェアアップデートを適用すること又は脆弱性のあるプロセス/ソフトウェアを停止することを含み得る。セキュリティ脅威を解決することは、セキュリティサービスを再度実行すること、及びセキュリティサービスの判定に基づいてタグを削除するかを判定することを含み得る。630において、処理は第1のセキュリティコンテナに従って仮想マシンを動作させる。
以下に記述されるセキュリティ処理の1つ以上は以下の例に用いられ得る。典型的な病院のデータセンタにおいて、管理者は、アンチウイルス製品、DLP製品、脆弱性管理製品、セキュリティマネージャを介したファイアウォール製品やウェブセキュリティ制御製品などのネットワークセキュリティサービス、などのエンドポイントセキュリティソリューションをデプロイすることができる。管理者は、セキュリティマネージャのGUIを使用して、医師ユーザグループや看護師ユーザグループなどの異なる病院の従業員に対するユーザメンバーシップグループを生成することができる。更に、管理者は当該GUIを使用してユーザメンバーシップグループのそれぞれに対するセキュリティコンテナを生成することができる。加えて、管理者はまた、グループとセキュリティコンテナとを患者医療記録サーバのために生成することができる。管理者はGUIを使用して、セキュリティポリシに基づいてセキュリティコンテナに対するルールを生成することができる。例えば、病院の運営委員は以下のセキュリティポリシを強制適用してもよい。
セキュリティポリシ1.医師はインターネットへの外部へ通じるアクセスが許可されるがウェブセキュリティコントロールを受ける必要がある(例えば運営委員によって「制限される」(Restricted))として分類されたウェブサイトをブラウズすることは許されない)、
セキュリティポリシ2.看護師は外部インターネットアクセスは許可されない、
セキュリティポリシ3.医師と看護師のマシンはアンチウイルスサービスを用いて1日単位でスキャンされる必要がある、
セキュリティポリシ4.ウイルス又は既知のマルウェアのリスクレベルが「ミディアム」より高いと診断されたあらゆるマシンはネットワークアクセス無しの状態に隔離されなければならない、
セキュリティポリシ5.医師及び看護師のマシンは、HIPAAポリシ違反(例えばこれらのマシンが機密患者データを永続的に格納してはならない)について週単位でDLPサービスを用いてスキャンされる必要がある、
セキュリティポリシ6.機密患者データがマシンに存在する場合、当該マシンは外部の世界へのネットワークアクセスの無い状態に隔離され、データは削除される必要がある、
セキュリティポリシ7.医療スタッフは患者データにアクセスするために患者医療記録サーバにアクセスすることができるが非医療スタッフはできない、
セキュリティポリシ8.全てのマシンは脆弱性管理サービスを通して脆弱性について週単位でスキャンされる、
セキュリティポリシ9.CVSSスコアが8より高い脆弱性のマシンは隔離されなければならない。
セキュリティポリシ1.医師はインターネットへの外部へ通じるアクセスが許可されるがウェブセキュリティコントロールを受ける必要がある(例えば運営委員によって「制限される」(Restricted))として分類されたウェブサイトをブラウズすることは許されない)、
セキュリティポリシ2.看護師は外部インターネットアクセスは許可されない、
セキュリティポリシ3.医師と看護師のマシンはアンチウイルスサービスを用いて1日単位でスキャンされる必要がある、
セキュリティポリシ4.ウイルス又は既知のマルウェアのリスクレベルが「ミディアム」より高いと診断されたあらゆるマシンはネットワークアクセス無しの状態に隔離されなければならない、
セキュリティポリシ5.医師及び看護師のマシンは、HIPAAポリシ違反(例えばこれらのマシンが機密患者データを永続的に格納してはならない)について週単位でDLPサービスを用いてスキャンされる必要がある、
セキュリティポリシ6.機密患者データがマシンに存在する場合、当該マシンは外部の世界へのネットワークアクセスの無い状態に隔離され、データは削除される必要がある、
セキュリティポリシ7.医療スタッフは患者データにアクセスするために患者医療記録サーバにアクセスすることができるが非医療スタッフはできない、
セキュリティポリシ8.全てのマシンは脆弱性管理サービスを通して脆弱性について週単位でスキャンされる、
セキュリティポリシ9.CVSSスコアが8より高い脆弱性のマシンは隔離されなければならない。
上述した強制適用されるセキュリティポリシに準拠するため、管理者はセキュリティマネージャのGUIを使用して以下を実行する。
a)「医師」セキュリティコンテナにウェブセキュリティ管理セキュリティサービスを割り当て(セキュリティポリシ1を扱う)、
b)外部ウェブサイトへのアクセスをブロックするポリシを伴うネットワークファイアウォールサービスを「看護師」セキュリティコンテナに割り当て(セキュリティポリシ2を扱う)、
c)1日単位のスキャン頻度であるエンドポイントセキュリティのアンチウイルスサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ3を扱う)、
d)DLPサービスがHIPAA違反について週単位でスキャンするためにエンドポイントセキュリティのDLPサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ5を扱う)、
e)患者医療データへのアクセスを強化するポリシを伴うネットワークファイアウォールサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ7を扱う)、
f)患者医療記録サーバへのアクセスをブロックするポリシを伴うネットワークファイアウォールサービスを、非医療スタッフに関連付けられたセキュリティコンテナに割り当て(セキュリティポリシ7を扱う)、
g)エンドポイントセキュリティの脆弱性管理サービスを全てのコンテナに割り当てると共にスキャン頻度を週単位に設定し(セキュリティポリシ8を扱う)、
h)「ミディアム」又はより高い脅威レベルにタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当て(セキュリティポリシ4を扱う)、
i)DLP違反としてタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当て(セキュリティポリシ6を扱う)、
j)8より高いCVSSスコアにタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当てる(セキュリティポリシ9を扱う)。
a)「医師」セキュリティコンテナにウェブセキュリティ管理セキュリティサービスを割り当て(セキュリティポリシ1を扱う)、
b)外部ウェブサイトへのアクセスをブロックするポリシを伴うネットワークファイアウォールサービスを「看護師」セキュリティコンテナに割り当て(セキュリティポリシ2を扱う)、
c)1日単位のスキャン頻度であるエンドポイントセキュリティのアンチウイルスサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ3を扱う)、
d)DLPサービスがHIPAA違反について週単位でスキャンするためにエンドポイントセキュリティのDLPサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ5を扱う)、
e)患者医療データへのアクセスを強化するポリシを伴うネットワークファイアウォールサービスを「医師」セキュリティコンテナと「看護師」セキュリティコンテナとに割り当て(セキュリティポリシ7を扱う)、
f)患者医療記録サーバへのアクセスをブロックするポリシを伴うネットワークファイアウォールサービスを、非医療スタッフに関連付けられたセキュリティコンテナに割り当て(セキュリティポリシ7を扱う)、
g)エンドポイントセキュリティの脆弱性管理サービスを全てのコンテナに割り当てると共にスキャン頻度を週単位に設定し(セキュリティポリシ8を扱う)、
h)「ミディアム」又はより高い脅威レベルにタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当て(セキュリティポリシ4を扱う)、
i)DLP違反としてタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当て(セキュリティポリシ6を扱う)、
j)8より高いCVSSスコアにタグ付けされた仮想マシンが隔離コンテナに移動されるように、タグベースのルールをセキュリティコンテナに割り当てる(セキュリティポリシ9を扱う)。
GUIを介して受信した入力に基づいて、セキュリティマネージャは、割り当てられたサービス及びタグベースのルールを保存した1つ以上の設定ファイルを出力することができる。ある実施形態では、設定ファイルはXMLなどのテキストベースのフォーマット又はバイナリフォーマットに基づいてフォーマットされ得る。更に、セキュリティマネージャは、仮想マシンと、タグ割り当てや隔離コンテナへの移動などのルールベースのアクションなどの関連付けられたイベントとを識別する1つ以上のログファイルを維持することができる。
本主題の実施形態と本書面において記載された動作はデジタル電子回路内、又は本書面に記載された構造及びその同等の構造又は1つ以上のこれらの組み合わせを含むコンピュータソフトウェア、ファームウェア又はハードウェア内に実現され得る。本書面において記載された主題の実施形態は、データ処理装置による実行のため又は動作を制御するためにコンピュータ記録媒体にエンコードされた、例えばコンピュータプログラム命令の1つ以上のモジュールである、1つ以上のコンピュータプログラムとして実現され得る。選択的又は追加的に、プログラム命令は、人工的に生成されて伝播された信号、例えば機器が生成した電子的、光学的又は電磁的な信号であって、データ処理装置による実行のために適切な受信装置へ送信される情報をエンコードして生成された信号、にエンコードされ得る。コンピュータ記録媒体は、コンピュータ可読記録装置、コンピュータ可読記録基板、ランダム又は順次アクセスメモリ配列又は装置、又は1つ以上のこれらの組み合わせであるかこれらに含まれ得る。更に、コンピュータ記録媒体は伝播された信号ではないが、コンピュータ記録媒体は人工的に生成されて伝播された信号にエンコードされたコンピュータプログラム命令の送信元又は送信先になり得る。コンピュータ記録媒体はまた、1つ以上の分離された物理的な要素又は媒体(例えば複数のCD、ディスク又は他の記録装置)であるかこれらに含まれ得る。
本書面において記載された動作は、1つ以上のコンピュータで読み取り可能な記録デバイスに格納された又は他の送信元から受信したデータをデータ処理装置によって実行される動作として実現され得る。「データ処理装置」なる語は、データを処理する、全ての種類の装置、デバイス及びマシンを包含し、例としてプログラマブルプロセッサ、コンピュータ、システムオンチップ又は上述したものの複数若しくは組み合わせを含む。装置は特定の目的の論理回路、例えばFPGA(Field programmable gate array)又はASIC(application−specific integrated circuit)を含み得る。装置はまた、ハードウェアに加えて、対象となるコンピュータプログラムの実行環境を生成するコード、例えばプロセッサファームウェア、プロトコルスタック、データベースマネージメントシステム、オペレーティングシステム、クロスプラットフォームランタイム環境、仮想マシン、又は1つ以上のこれらの組み合わせを構成するコードを含み得る。装置と実行環境は、ウェブサービスのような様々な異なるコンピューティングモデルインフラストラクチャ、分散コンピューティング及びグリッドコンピューティングインフラストラクチャを実現し得る。
コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、スクリプト又はコードとしても知られる)は、コンパイルされた又は解釈された言語、宣言、又は手続的言語を含む、プログラミング言語の任意の形式で記述され得、そして、スタンドアロンプログラムとして又は、モジュール、コンポーネント、サブルーチン、オブジェクト若しくはコンピューティング環境での使用に適した他のユニットとしての形式を含む任意の形式でデプロイされ得る。コンピュータプログラムは、必要ではないが、ファイルシステム内のファイルに対応してもよい。プログラムは、対象となるプログラム専用の単一のファイル、又は複数の同等のファイル(例えば1つ以上のモジュール、サブプログラム又はコードの一部を格納するファイル)の形式で、他のプログラムやデータ(例えばマークアップ言語ドキュメントに格納された1つ以上のスクリプト)を有するするファイルの一部に格納され得る。コンピュータプログラムは、デプロイされて、1つのサイト又は分散されたアクセスの複数のサイトにおいて通信ネットワークで内部接続された1つ又は複数のコンピュータで実行され得る。
本書面に記載されているプロセスとロジックフローは、1つ以上のコンピュータプログラムを実行する1つ以上のプログラマブルプロセッサによって実行されて、入力データを操作することによってアクションを実行し、出力を生成し得る。プロセスとロジックフローはまた、特定の目的の論理回路、例えばFPGA(Field programmable gate array)又はASIC(application−specific integrated circuit)によって実行され得、そして装置はまた、特定の目的の論理回路としてされ得る。
コンピュータの実行に適したプロセッサは、例として汎用及び特定の目的のマイクロプロセッサの両方、及び、任意の種類のデジタルコンピュータの任意の1つ以上のプロセッサを含む。一般に、プロセッサは命令とデータとを、読み出し専用メモリ若しくはランダムアクセスメモリ又はその両方から受信する。コンピュータの必須要素は命令に従ってアクションを実行するプロセッサと、命令とデータとを格納する1つ以上のメモリデバイスである。一般に、コンピュータはまた、例えば磁気的、磁力−光学ディスク又は光学ディスクである、データを格納する1つ以上のマスストレージデバイスを含み、又は動作的に結合してデータを受信若しくは送信又はその両方を行う。しかし、コンピュータはこのようなデバイスを有する必要はない。更に、コンピュータは、例えば、ほんの数例を挙げれば移動電話器、パーソナルデジタルアシスタント(PDA)、モバイルの音楽又は動画プレーヤ、ゲームコンソール、全地球測位システム(GPS)レシーバ、又はポータブルストレージデバイス(例えばユニバーサルシリアルバス(USB)フラッシュドライブ)である、他のデバイスに組み込まれ得る。コンピュータプログラム命令及びデータを格納することに適したデバイスは、例えばEPROM,EEPROM及びフラッシュメモリデバイスである半導体メモリデバイス、例えば内部ハードディスク又は着脱可能なディスクである磁気ディスク、磁気−光学ディスク、及びCD−ROM及びDVD−ROMディスクを例として含む、不揮発性メモリ、メディア及びメモリデバイスの全ての形態を含む。プロセッサとメモリは特定の目的の論理回路により補助され又は組み入れられる。
ユーザとのやり取りを提供するため、本書面に記載された主題の実施形態は、ユーザに情報を表示するための、例えばCRT(cathode ray tube)又はLCD(liquid crystal display)モニタである表示デバイス及び、ユーザがコンピュータに入力を提供するキーボードと例えばマウス又はトラックボールであるポインティングデバイスと、を有するコンピュータ上に実現され得る。他の種類のデバイスを使用して、同様にユーザとのやり取りを提供し得る。ユーザに提供されるフィードバックは、例えば視覚的フィードバック、音声フィードバック、触覚フィードバックである、任意の形式のセンサフィードバックであり得、ユーザからの入力は、音響上、音声上、又は触覚的な入力を含む任意の形式で受信し得る。加えて、コンピュータは、ドキュメントをユーザが使用するデバイスに送信及び当該デバイスから受信すること、例えば、ウェブブラウザから受信したリクエストに応答してユーザのクライアントデバイスにおけるウェブブラウザにウェブページを送信すること、によって、ユーザとやり取りを行い得る。
本書面に記載された主題の実施形態は、例えばデータサーバとしてのバックエンドコンポーネントを含むコンピューティングシステム、又は例えばアプリケーションサーバであるミドルウェアコンポーネントを含むコンピューティングシステム、又は例えばグラフィカルユーザインターフェース又は本書面に記載された主題の実装を通してユーザがやり取りすることができるウェブブラウザである、フロントエンドコンポーネントを含むコンピューティングシステム、又は1つ以上のバックエンド、ミドルウェア又はフロントエンドコンポーネントの組み合わせにおいて実現され得る。このシステムのコンポーネントは、任意の形式で接続されたもの、又は例えば通信ネットワークであるデジタルデータ通信の媒体であり得る。通信ネットワークの例にはローカルエリアネットワーク(「LAN」)及びワードエリアネットワーク(「WAN」)、インターネットワーク(例えばインターネット)及びピアツーピアネットワーク(例えばアドホックピアツーピアネットワーク)を含む。
コンピューティングシステムはクライアントとサーバとを含み得る。クライアントとサーバは一般に互いに離れており、典型的には通信ネットワークを通してやり取りする。クライアントとサーバの関係は、それぞれのコンピュータで実行され、互いにクライアント−サーバの関係を有する、コンピュータプログラムの長所によって生じる。ある実施形態では、サーバはデータ(例えばHTMLページ)をクライアントデバイス(例えばクライアントデバイスにデータを表示する目的で、及びクライアントデバイスとやり取りするユーザからのユーザ入力を受信する目的で)に送信する。クライアントデバイスで生成されたデータ(例えばユーザとのやり取りの結果)はサーバにおいてクライアントから受信され得る。
本書面は特定の詳細な実装を含む一方、特定の発明の特定の実施形態に特有の特徴の記載とされないだけでなく、これらはあらゆる発明のスコープ又はクレームされ得るものの限定として解釈されるべきではない。分かれた実施形態の内容で本書面に記載されたある特徴はまた、単一の実施形態の組み合わせとして実現され得る。反対に、単一の実施形態の内容で本書面に記載された様々な特徴もまた、それぞれの複数の実施形態として又は任意の適切なサブコンビネーションとして実現され得る。更に、特徴がある組み合わせにおける動作として上述され、そのように最初にクレームされ得るが、クレームされた組み合わせの1つ以上の特徴は、ある場合において、この組み合わせから切り取ることができる。そしてクレームされた組み合わせはサブコンビネーション又はサブコンビネーションのバリエーションに向けられ得る。
同様に、動作が特定の順序で図面において描写されても、そのような動作が望ましい結果を達成するために明示された若しくはシーケンシャルな特定の順序で実行されることが要求されるものと理解されるべきでなく、また、説明された全ての動作が望ましい結果を達成するために実行されることが要求されるものと理解されるべきでない。ある状況では、マルチタスキング及び並列処理は有益である。更に、上述した実施形態における様々なシステムコンポーネントの分離は、全ての実施形態においてその分離が要求されるものと理解されるべきでなく、記載されたプログラム及びシステムは、一般に単一のソフトウェアプロダクトに統合することができ、また複数のソフトウェアプロダクトにパッケージ化することができるものと理解されるべきである。
従って、主題の特定の実施形態が記載された。他の実施形態は以下のクレームの範囲内である。ある場合には、クレームに記載された動作は異なる順序で実行されることができ、その際にも望ましい結果を達成することができる。加えて、添付された図面に描写された処理は、望ましい結果を達成するために図示された特定の順序やシーケンシャルな順序を必然的に要求するものはない。特定の実装において、マルチタスキング及び並列処理は有益であり得る。
Claims (14)
- コンピュータに実装された方法であって、
ユーザインターフェースを通じて、データを受信して、セキュリティコンテナを生成すると共にセキュリティサービスとタグベースのルールとを前記セキュリティコンテナに関連付けることであって、前記セキュリティコンテナは、前記セキュリティコンテナに割り当てられる仮想マシン(VM)に適用される動作設定の第1のセットを含む、ことと、
ホストマシン上で動作するVMが動作設定の前記第1のセットにおいて動作するように前記VMを前記セキュリティコンテナに割り当てることと、
前記VMの前記セキュリティコンテナへの前記割り当てに基づいて、前記セキュリティサービスを前記VMにおいて動作させて、前記VMに関連付けられたセキュリティ脅威を特定すると共に前記VMにタグを割り当てることと、
前記タグを用いて、前記タグベースのルールを処理すると共に、当該処理に応じて、前記セキュリティ脅威が解決されるまで前記VMへのネットワーク接続性を制限するために前記VMを隔離コンテナに再度割り当てることであって、前記隔離コンテナは、前記隔離コンテナに割り当てられるVMに適用される動作設定の第2のセットを含み、前記VMは、前記隔離コンテナへの再度割り当ての後に、前記動作設定の第2のセットにおいて前記ホストマシン上で動作する、ことと、
前記VMが動作設定の前記第1のセットにおいて前記ホストマシン上で再び動作するように、前記セキュリティ脅威が解決した後に、前記VMから前記タグを削除すると共に前記VMを前記セキュリティコンテナに戻すことと、を含む
ことを特徴とする方法。 - 動作設定の前記第2のセットは、前記隔離コンテナに割り当てられたVMの制限されたネットワーク接続性を特定するネットワークファイアウォール設定を含む、
ことを特徴とする請求項1に記載の方法。 - 前記ルールは、脅威レベルの閾値を特定する、
ことを特徴とする請求項1に記載の方法。 - 前記VMの特定のユーザのログインイベントに応じて、前記特定のユーザが関連付けられている、ユーザのメンバシップグループを検出することと、
前記ユーザのメンバシップグループに基づいて前記セキュリティコンテナを選択することであって、前記VMは前記選択されたセキュリティコンテナに割り当てられる、ことを更に含む、
ことを特徴とする請求項1に記載の方法。 - 前記隔離コンテナは複数の隔離コンテナの1つの隔離コンテナであると共に前記セキュリティ脅威は第1のセキュリティ脅威であり、前記方法は、
第2のセキュリティコンテナに従って前記セキュリティサービスを第2のVMにおいて動作させて、前記第2のVMに関連付けられた第2のセキュリティ脅威を特定することであって、前記第2のセキュリティコンテナは、前記第2のセキュリティコンテナに割り当てられるVMに適用される動作設定の第3のセットを含み、かつ前記第2のセキュリティ脅威の検出において前記第2のVMを移動するための複数の隔離コンテナの第2の隔離コンテナを特定する第2のルールに関連付けられ、前記第2の隔離コンテナは、前記第2の隔離コンテナに割り当てられるVMに適用される動作設定の第4の設定を含む、ことと、
前記特定された第2のセキュリティ脅威に基づいて、前記第2のセキュリティコンテナから前記第2の隔離コンテナに前記第2のVMを再度割り当てることと、
を更に含む、
ことを特徴とする請求項1に記載の方法。 - システムであって、
複数の動作を実行するようにプログラムされたデータ処理装置を含み、前記複数の動作は、
ユーザインターフェースを通じて、データを受信して、セキュリティコンテナを生成すると共にセキュリティサービスとタグベースのルールとを前記セキュリティコンテナに関連付けることであって、前記セキュリティコンテナは、前記セキュリティコンテナに割り当てられる仮想マシン(VM)に適用される動作設定の第1のセットを含む、ことと、
ホストマシン上で動作するVMが動作設定の前記第1のセットにおいて動作するように前記VMを前記セキュリティコンテナに割り当てることと、
前記VMの前記セキュリティコンテナへの前記割り当てに基づいて、前記セキュリティサービスを前記VMにおいて動作させて、前記VMに関連付けられたセキュリティ脅威を特定すると共に前記VMにタグを割り当てることと、
前記タグを用いて、前記タグベースのルールを処理すると共に、当該処理に応じて、前記セキュリティ脅威が解決されるまで前記VMへのネットワーク接続性を制限するために前記VMを隔離コンテナに再度割り当てることであって、前記隔離コンテナは、前記隔離コンテナに割り当てられるVMに適用される動作設定の第2のセットを含み、前記VMは、前記隔離コンテナへの再度割り当ての後に、前記動作設定の第2のセットにおいて前記ホストマシン上で動作する、ことと、
前記VMが動作設定の前記第1のセットにおいて前記ホストマシン上で再び動作するように、前記セキュリティ脅威が解決した後に、前記VMから前記タグを削除すると共に前記VMを前記セキュリティコンテナに戻すことと、を含む
ことを特徴とするシステム。 - 動作設定の前記第2のセットは、前記隔離コンテナに割り当てられたVMの制限されたネットワーク接続性を特定するネットワークファイアウォール設定を含む、
ことを特徴とする請求項6に記載のシステム。 - 前記ルールは、脅威レベルの閾値を特定する、
ことを特徴とする請求項6に記載のシステム。 - 前記データ処理装置は、
前記VMの特定のユーザのログインイベントに応じて、前記特定のユーザが関連付けられている、ユーザのメンバシップグループを検出することと、
前記ユーザのメンバシップグループに基づいて前記セキュリティコンテナを選択することであって、前記VMは前記選択されたセキュリティコンテナに割り当てられることと、を含む複数の動作を実行するように更にプログラムされる、
ことを特徴とする請求項6に記載のシステム。 - 前記隔離コンテナは複数の隔離コンテナの1つの隔離コンテナであると共に前記セキュリティ脅威は第1のセキュリティ脅威であり、前記データ処理装置は、
第2のセキュリティコンテナに従って前記セキュリティサービスを第2のVMにおいて動作させて、前記第2のVMに関連付けられた第2のセキュリティ脅威を特定することであって、前記第2のセキュリティコンテナは、前記第2のセキュリティコンテナに割り当てられるVMに適用される動作設定の第3のセットを含み、かつ前記第2のセキュリティ脅威の検出において前記第2のVMを移動するための複数の隔離コンテナの第2の隔離コンテナを特定する第2のルールに関連付けられ、前記第2の隔離コンテナは、前記第2の隔離コンテナに割り当てられるVMに適用される動作設定の第4の設定を含む、ことと、
前記特定された第2のセキュリティ脅威に基づいて、前記第2のセキュリティコンテナから前記第2の隔離コンテナに前記第2のVMを再度割り当てることと、を含む複数の動作を実行するように更にプログラムされる、
ことを特徴とする請求項6に記載のシステム。 - 複数の命令のセットを含むコンピュータプログラムであって、
ユーザインターフェースを通じて、データを受信して、セキュリティコンテナを生成すると共にセキュリティサービスとタグベースのルールとを前記セキュリティコンテナに関連付けることであって、前記セキュリティコンテナは、前記セキュリティコンテナに割り当てられる仮想マシン(VM)に適用される動作設定の第1のセットを含む、ことと、
ホストマシン上で動作するVMが動作設定の前記第1のセットにおいて動作するように前記VMを前記セキュリティコンテナに割り当てることと、
前記VMの前記セキュリティコンテナへの前記割り当てに基づいて、前記セキュリティサービスを前記VMにおいて動作させて、前記VMに関連付けられたセキュリティ脅威を特定すると共に前記VMにタグを割り当てることと、
前記タグを用いて、前記タグベースのルールを処理すると共に、当該処理に応じて、前記セキュリティ脅威が解決されるまで前記VMへのネットワーク接続性を制限するために前記VMを隔離コンテナに再度割り当てることであって、前記隔離コンテナは、前記隔離コンテナに割り当てられるVMに適用される動作設定の第2のセットを含み、前記VMは、前記隔離コンテナへの再度割り当ての後に、前記動作設定の第2のセットにおいて前記ホストマシン上で動作する、ことと、
前記VMが動作設定の前記第1のセットにおいて前記ホストマシン上で再び動作するように、前記セキュリティ脅威が解決した後に、前記VMから前記タグを削除すると共に前記VMを前記セキュリティコンテナに戻すことと、のための前記複数の命令のセットを含む、
ことを特徴とするコンピュータプログラム。 - 動作設定の前記第2のセットは、前記隔離コンテナに割り当てられたVMの制限されたネットワーク接続性を特定するネットワークファイアウォール設定を含む、
ことを特徴とする請求項11に記載のコンピュータプログラム。 - 前記ルールは、脅威レベルの閾値を特定する、
ことを特徴とする請求項11に記載のコンピュータプログラム。 - 前記コンピュータプログラムは、
前記VMの特定のユーザのログインイベントに応じて、前記特定のユーザが関連付けられている、ユーザのメンバシップグループを検出することと、
前記ユーザのメンバシップグループに基づいて前記セキュリティコンテナを選択することであって、前記VMは前記選択されたセキュリティコンテナに割り当てられることと、のための複数の命令のセットを更に含む、
ことを特徴とする請求項11に記載のコンピュータプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/866,869 US10075470B2 (en) | 2013-04-19 | 2013-04-19 | Framework for coordination between endpoint security and network security services |
| US13/866,869 | 2013-04-19 | ||
| PCT/US2014/033884 WO2014172206A1 (en) | 2013-04-19 | 2014-04-11 | A framework for coordination between endpoint security and network security services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016515746A JP2016515746A (ja) | 2016-05-30 |
| JP6342478B2 true JP6342478B2 (ja) | 2018-06-13 |
Family
ID=50771618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016508982A Active JP6342478B2 (ja) | 2013-04-19 | 2014-04-11 | エンドポイントセキュリティとネットワークセキュリティサービスを調整するフレームワーク |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US10075470B2 (ja) |
| EP (2) | EP3567504B1 (ja) |
| JP (1) | JP6342478B2 (ja) |
| CN (2) | CN105324778B (ja) |
| AU (1) | AU2014254277B2 (ja) |
| WO (1) | WO2014172206A1 (ja) |
Families Citing this family (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
| US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
| US9088541B2 (en) * | 2013-05-31 | 2015-07-21 | Catbird Networks, Inc. | Systems and methods for dynamic network security control and configuration |
| US11196636B2 (en) | 2013-06-14 | 2021-12-07 | Catbird Networks, Inc. | Systems and methods for network data flow aggregation |
| US9769174B2 (en) * | 2013-06-14 | 2017-09-19 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| US9912549B2 (en) | 2013-06-14 | 2018-03-06 | Catbird Networks, Inc. | Systems and methods for network analysis and reporting |
| US20150052614A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
| US9705923B2 (en) * | 2014-09-02 | 2017-07-11 | Symantec Corporation | Method and apparatus for automating security provisioning of workloads |
| EP3238407A4 (en) * | 2014-09-05 | 2018-08-15 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| US10225137B2 (en) | 2014-09-30 | 2019-03-05 | Nicira, Inc. | Service node selection by an inline service switch |
| US9755898B2 (en) | 2014-09-30 | 2017-09-05 | Nicira, Inc. | Elastically managing a service node group |
| US9774537B2 (en) | 2014-09-30 | 2017-09-26 | Nicira, Inc. | Dynamically adjusting load balancing |
| US9652612B2 (en) | 2015-03-25 | 2017-05-16 | International Business Machines Corporation | Security within a software-defined infrastructure |
| US10594743B2 (en) | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
| CN105530293B (zh) * | 2015-12-02 | 2019-07-02 | 深信服科技股份有限公司 | 应用发布方法和装置 |
| US10511483B2 (en) * | 2016-05-23 | 2019-12-17 | Extreme Networks, Inc. | Securely onboarding virtual machines using a centralized policy server |
| US10460113B2 (en) * | 2016-08-16 | 2019-10-29 | International Business Machines Corporation | Security fix of a container in a virtual machine environment |
| US10341371B2 (en) * | 2016-08-31 | 2019-07-02 | Nicira, Inc. | Identifying and handling threats to data compute nodes in public cloud |
| US10193749B2 (en) | 2016-08-27 | 2019-01-29 | Nicira, Inc. | Managed forwarding element executing in public cloud data compute node without overlay network |
| US10855465B2 (en) | 2016-11-10 | 2020-12-01 | Ernest Brickell | Audited use of a cryptographic key |
| US11405201B2 (en) | 2016-11-10 | 2022-08-02 | Brickell Cryptology Llc | Secure transfer of protected application storage keys with change of trusted computing base |
| US11398906B2 (en) | 2016-11-10 | 2022-07-26 | Brickell Cryptology Llc | Confirming receipt of audit records for audited use of a cryptographic key |
| EP3539010B1 (en) * | 2016-11-10 | 2023-06-07 | Brickell Cryptology LLC | Balancing public and personal security needs |
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
| US10205736B2 (en) | 2017-02-27 | 2019-02-12 | Catbird Networks, Inc. | Behavioral baselining of network systems |
| EP3602377A1 (en) * | 2017-03-30 | 2020-02-05 | McAfee, LLC | Secure software defined storage |
| US10652245B2 (en) | 2017-05-04 | 2020-05-12 | Ernest Brickell | External accessibility for network devices |
| US11429410B2 (en) * | 2017-05-09 | 2022-08-30 | Vmware, Inc. | Tag based firewall implementation in software defined networks |
| US10885189B2 (en) * | 2017-05-22 | 2021-01-05 | Microsoft Technology Licensing, Llc | Isolated container event monitoring |
| US10567482B2 (en) | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| US10491516B2 (en) | 2017-08-24 | 2019-11-26 | Nicira, Inc. | Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| US11265291B2 (en) | 2017-08-25 | 2022-03-01 | Red Hat, Inc. | Malicious packet filtering by a hypervisor |
| CN111052686B (zh) | 2017-08-27 | 2022-03-29 | Nicira股份有限公司 | 在公共云中执行在线服务的方法和机器可读介质 |
| US10616099B2 (en) | 2017-08-28 | 2020-04-07 | Red Hat, Inc. | Hypervisor support for network functions virtualization |
| US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
| US11012420B2 (en) | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
| US10862753B2 (en) | 2017-12-04 | 2020-12-08 | Nicira, Inc. | High availability for stateful services in public cloud logical networks |
| US10601705B2 (en) | 2017-12-04 | 2020-03-24 | Nicira, Inc. | Failover of centralized routers in public cloud logical networks |
| US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
| US10659252B2 (en) | 2018-01-26 | 2020-05-19 | Nicira, Inc | Specifying and utilizing paths through a network |
| US10742678B2 (en) * | 2018-02-08 | 2020-08-11 | Cisco Technology, Inc. | Vulnerability analysis and segmentation of bring-your-own IoT devices |
| WO2019191072A1 (en) * | 2018-03-26 | 2019-10-03 | Virsec Systems, Inc. | Trusted execution security policy platform |
| US10728174B2 (en) | 2018-03-27 | 2020-07-28 | Nicira, Inc. | Incorporating layer 2 service between two interfaces of gateway device |
| US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
| US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
| US11030057B2 (en) * | 2018-07-06 | 2021-06-08 | EMC IP Holding Company LLC | System and method for critical virtual machine protection |
| US10635825B2 (en) * | 2018-07-11 | 2020-04-28 | International Business Machines Corporation | Data privacy awareness in workload provisioning |
| US10491466B1 (en) | 2018-08-24 | 2019-11-26 | Vmware, Inc. | Intelligent use of peering in public cloud |
| US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
| US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
| US10944673B2 (en) | 2018-09-02 | 2021-03-09 | Vmware, Inc. | Redirection of data messages at logical network gateway |
| US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| JP7103214B2 (ja) * | 2018-12-28 | 2022-07-20 | オムロン株式会社 | サポート装置および支援プログラム |
| US11397604B2 (en) | 2019-02-22 | 2022-07-26 | Vmware, Inc. | Service path selection in load balanced manner |
| US11709716B2 (en) | 2019-08-26 | 2023-07-25 | Red Hat, Inc. | Hardware offload support for an operating system offload interface using operation code verification |
| CN110601949B (zh) * | 2019-09-10 | 2021-05-04 | 中国人民解放军国防科技大学 | 一种多虚拟设备容器组网方法 |
| JP7327057B2 (ja) * | 2019-09-30 | 2023-08-16 | 日本電気株式会社 | コンテナ制御装置、コンテナ制御方法、およびコンテナ制御プログラム |
| US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
| US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
| US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
| US11847478B2 (en) * | 2020-01-17 | 2023-12-19 | Vmware, Inc. | Real-time feedback associated with configuring virtual infrastructure objects using tags |
| US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
| US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
| US11809576B2 (en) | 2020-01-30 | 2023-11-07 | Red Hat, Inc. | Establishing secure remote access to debug logs |
| US11588693B2 (en) * | 2020-02-26 | 2023-02-21 | Red Hat, Inc. | Migrating networking configurations |
| US11528219B2 (en) | 2020-04-06 | 2022-12-13 | Vmware, Inc. | Using applied-to field to identify connection-tracking records for different interfaces |
| US11822641B2 (en) | 2020-04-29 | 2023-11-21 | Red Hat, Inc. | Establishing controlled remote access to debug logs |
| CN112148489A (zh) * | 2020-09-22 | 2020-12-29 | 网易(杭州)网络有限公司 | 游戏资源调度方法、装置、设备及存储介质 |
| US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11700274B1 (en) * | 2021-02-04 | 2023-07-11 | Cisco Technology, Inc. | Systems and methods for protecting pod deployment |
| US11997170B2 (en) * | 2021-07-21 | 2024-05-28 | VMware LLC | Automated migration of monolithic applications to container platforms |
| US11949696B2 (en) | 2021-12-17 | 2024-04-02 | Bank Of America Corporation | Data security system with dynamic intervention response |
| US20230237166A1 (en) * | 2022-01-26 | 2023-07-27 | Dell Products L.P. | Maintaining security during lockbox migration |
| US20230336554A1 (en) * | 2022-04-13 | 2023-10-19 | Wiz, Inc. | Techniques for analyzing external exposure in cloud environments |
Family Cites Families (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| JP2001282737A (ja) | 2000-03-28 | 2001-10-12 | Mitsubishi Electric Corp | 業務負荷分散システム |
| WO2002103960A2 (en) * | 2001-06-14 | 2002-12-27 | Okena, Inc. | Stateful distributed event processing and adaptive security |
| US20030229794A1 (en) * | 2002-06-07 | 2003-12-11 | Sutton James A. | System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container |
| US7363528B2 (en) | 2003-08-25 | 2008-04-22 | Lucent Technologies Inc. | Brink of failure and breach of security detection and recovery system |
| US7424709B2 (en) | 2003-09-15 | 2008-09-09 | Intel Corporation | Use of multiple virtual machine monitors to handle privileged events |
| RU2006143768A (ru) * | 2004-05-12 | 2008-06-20 | Алькатель (Fr) | Ароматическое ограничение сетевого нарушителя |
| GB2419703A (en) | 2004-10-29 | 2006-05-03 | Hewlett Packard Development Co | Isolated virtual overlay infrastructures each having an interface to control interaction with others |
| US9160755B2 (en) * | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| KR100998418B1 (ko) | 2005-12-13 | 2010-12-03 | 인터내셔널 비지네스 머신즈 코포레이션 | 가상 네트워크 작동 방법, 데이터 네트워크 시스템 및 컴퓨터 판독 가능한 매체 |
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US20070266433A1 (en) | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
| US7801128B2 (en) | 2006-03-31 | 2010-09-21 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US9280662B2 (en) * | 2006-04-21 | 2016-03-08 | Hewlett Packard Enterprise Development Lp | Automatic isolation of misbehaving processes on a computer system |
| US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
| US20080189769A1 (en) | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| US8910275B2 (en) | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
| US8185953B2 (en) | 2007-03-08 | 2012-05-22 | Extrahop Networks, Inc. | Detecting anomalous network application behavior |
| US8151262B2 (en) | 2007-03-30 | 2012-04-03 | Lenovo (Singapore) Pte. Ltd. | System and method for reporting the trusted state of a virtual machine |
| EP1975830A1 (en) * | 2007-03-30 | 2008-10-01 | British Telecommunications Public Limited Company | Distributed computer system |
| US8875272B2 (en) | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
| US8412809B2 (en) | 2007-10-24 | 2013-04-02 | International Business Machines Corporation | Method, apparatus and computer program product implementing multi-tenancy for network monitoring tools using virtualization technology |
| US8127291B2 (en) | 2007-11-02 | 2012-02-28 | Dell Products, L.P. | Virtual machine manager for managing multiple virtual machine configurations in the scalable enterprise |
| US8848544B2 (en) | 2007-11-08 | 2014-09-30 | Cisco Technology, Inc. | Event correlation using network data flow simulation over unmanaged network segments |
| US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
| US8429739B2 (en) | 2008-03-31 | 2013-04-23 | Amazon Technologies, Inc. | Authorizing communications between computing nodes |
| US8473594B2 (en) | 2008-05-02 | 2013-06-25 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8839431B2 (en) * | 2008-05-12 | 2014-09-16 | Enpulz, L.L.C. | Network browser based virus detection |
| US8255806B2 (en) * | 2008-09-15 | 2012-08-28 | Vmware, Inc. | Unified secure virtual machine player and remote desktop client |
| JP5191849B2 (ja) | 2008-09-19 | 2013-05-08 | 株式会社日立システムズ | 仮想マシンセキュリティ管理システム及び仮想マシンセキュリティ管理方法 |
| KR101197182B1 (ko) * | 2008-12-23 | 2012-11-02 | 한국전자통신연구원 | 컴퓨터 시스템에서의 해킹 방지 장치 및 방법 |
| US9594582B2 (en) * | 2009-01-05 | 2017-03-14 | International Business Machines Corporation | Detection and management of dynamic migration of virtual environments |
| US8370835B2 (en) | 2009-03-12 | 2013-02-05 | Arend Erich Dittmer | Method for dynamically generating a configuration for a virtual machine with a virtual hard disk in an external storage device |
| US7975165B2 (en) | 2009-06-25 | 2011-07-05 | Vmware, Inc. | Management of information technology risk using virtual infrastructures |
| US8352941B1 (en) | 2009-06-29 | 2013-01-08 | Emc Corporation | Scalable and secure high-level storage access for cloud computing platforms |
| US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US20110078497A1 (en) * | 2009-09-30 | 2011-03-31 | Lyne James I G | Automated recovery from a security event |
| US9094210B2 (en) | 2009-10-26 | 2015-07-28 | Citrix Systems, Inc. | Systems and methods to secure a virtual appliance |
| US8621460B2 (en) | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
| US9389895B2 (en) * | 2009-12-17 | 2016-07-12 | Microsoft Technology Licensing, Llc | Virtual storage target offload techniques |
| US20110239209A1 (en) * | 2010-03-23 | 2011-09-29 | Fujitsu Limted | System and methods for remote maintenance in an electronic network with multiple clients |
| US20110258701A1 (en) | 2010-04-14 | 2011-10-20 | Raytheon Company | Protecting A Virtualization System Against Computer Attacks |
| US20120047580A1 (en) * | 2010-08-18 | 2012-02-23 | Smith Ned M | Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner |
| JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
| US9311126B2 (en) * | 2011-07-27 | 2016-04-12 | Mcafee, Inc. | System and method for virtual partition monitoring |
| US20130074181A1 (en) * | 2011-09-19 | 2013-03-21 | Cisco Technology, Inc. | Auto Migration of Services Within a Virtual Data Center |
| EP3364297B1 (en) | 2012-06-26 | 2022-05-04 | Lynx Software Technologies Inc. | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection prevention, and/or other features |
| CN102880828B (zh) | 2012-09-07 | 2015-02-04 | 普华基础软件股份有限公司 | 一种针对虚拟化支撑环境的入侵检测与恢复系统 |
| US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
-
2013
- 2013-04-19 US US13/866,869 patent/US10075470B2/en active Active
-
2014
- 2014-04-11 EP EP19184011.5A patent/EP3567504B1/en active Active
- 2014-04-11 CN CN201480034454.9A patent/CN105324778B/zh active Active
- 2014-04-11 WO PCT/US2014/033884 patent/WO2014172206A1/en active Application Filing
- 2014-04-11 AU AU2014254277A patent/AU2014254277B2/en active Active
- 2014-04-11 CN CN201910246222.4A patent/CN110084039B/zh active Active
- 2014-04-11 JP JP2016508982A patent/JP6342478B2/ja active Active
- 2014-04-11 EP EP14725858.6A patent/EP2984600B1/en active Active
-
2018
- 2018-08-26 US US16/112,732 patent/US10511636B2/en active Active
-
2019
- 2019-11-14 US US16/684,400 patent/US11196773B2/en active Active
-
2021
- 2021-12-04 US US17/542,411 patent/US11736530B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20140317677A1 (en) | 2014-10-23 |
| EP2984600B1 (en) | 2019-07-24 |
| AU2014254277A1 (en) | 2015-12-03 |
| US20200092336A1 (en) | 2020-03-19 |
| US11196773B2 (en) | 2021-12-07 |
| EP2984600A1 (en) | 2016-02-17 |
| EP3567504A1 (en) | 2019-11-13 |
| JP2016515746A (ja) | 2016-05-30 |
| CN110084039A (zh) | 2019-08-02 |
| US10075470B2 (en) | 2018-09-11 |
| EP3567504B1 (en) | 2021-01-20 |
| US20190014154A1 (en) | 2019-01-10 |
| US20220094717A1 (en) | 2022-03-24 |
| US10511636B2 (en) | 2019-12-17 |
| AU2014254277B2 (en) | 2017-06-01 |
| CN110084039B (zh) | 2023-05-02 |
| CN105324778A (zh) | 2016-02-10 |
| CN105324778B (zh) | 2019-04-16 |
| US11736530B2 (en) | 2023-08-22 |
| WO2014172206A1 (en) | 2014-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11736530B2 (en) | Framework for coordination between endpoint security and network security services | |
| US11741222B2 (en) | Sandbox environment for document preview and analysis | |
| US10776485B2 (en) | Virtual machine security | |
| US9177145B2 (en) | Modified file tracking on virtual machines | |
| US8990948B2 (en) | Systems and methods for orchestrating runtime operational integrity | |
| US20180007002A1 (en) | Elastic outbound gateway | |
| US9805190B1 (en) | Monitoring execution environments for approved configurations | |
| US11706251B2 (en) | Simulating user interactions for malware analysis | |
| US10963569B2 (en) | Early boot driver for start-up detection of malicious code | |
| US11182486B2 (en) | Early boot driver for start-up detection of malicious code |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151214 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170911 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171211 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180420 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180516 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6342478 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |