JP6359260B2 - Information processing system and firewall device for realizing a secure credit card system in a cloud environment - Google Patents
Information processing system and firewall device for realizing a secure credit card system in a cloud environment Download PDFInfo
- Publication number
- JP6359260B2 JP6359260B2 JP2013220748A JP2013220748A JP6359260B2 JP 6359260 B2 JP6359260 B2 JP 6359260B2 JP 2013220748 A JP2013220748 A JP 2013220748A JP 2013220748 A JP2013220748 A JP 2013220748A JP 6359260 B2 JP6359260 B2 JP 6359260B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- user
- user company
- address
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、データ処理技術に関し、特に、クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置に関する。 The present invention relates to a data processing technique, and more particularly to an information processing system and a firewall apparatus for realizing a secure credit card system in a cloud environment.
クレジットカードの加盟店や決済代行事業者等のサービスプロバイダにおいてクレジットカードの会員データを安全に取り扱うために、クレジットカード業界の国際セキュリティ基準として、PCI DSS(Payment Card Industry Data Security Standard)が策定されている。クレジットカード決済代行事業者は、事業の前提としてカード会社との包括代理契約が必要であるが、現在カード会社は、決済代行事業者のシステムがPCI DSSに準拠していることを契約の条件とすることがある。また、クレジットカードの加盟店にも、国際カードブランドや国内のクレジットカード会社等からPCI DSSへの準拠が要請されている。したがって、PCI DSSに準拠したシステムを構築することがますます重要になってきている。 PCI DSS (Payment Card Industry Data Security Standard) has been established as an international security standard for the credit card industry in order to securely handle credit card membership data at credit card merchants and payment service providers. Yes. Credit card payment service providers require a comprehensive proxy agreement with the card company as a precondition of the business. Currently, the card company requires that the payment service provider's system conforms to PCI DSS. There are things to do. Credit card member stores are also required to comply with PCI DSS from international card brands and domestic credit card companies. Therefore, it is becoming increasingly important to construct a system that conforms to PCI DSS.
PCI DSSには数百項目もの要件が含まれ、PCI DSSに準拠したシステムを実現するために、システムの構築および運用に多大なコストを要していた。 The PCI DSS includes requirements for several hundred items, and in order to realize a system compliant with the PCI DSS, a large cost is required for the construction and operation of the system.
本発明は上記課題を鑑みてなされたものであり、その主な目的は、PCI DSSに準拠したシステムを効率的に実現することを支援する技術を提供することである。 The present invention has been made in view of the above problems, and a main object thereof is to provide a technology that supports efficient implementation of a PCI DSS-compliant system.
上記課題を解決するために、本発明のある態様の情報処理システムは、ファイアウォールと、外部網からの通信をファイアウォールが禁止する内部セグメントに配置された装置であって、クレジットカード情報を処理する第1装置と、外部網からの通信をファイアウォールが許可するDMZに配置された第2装置と、を備える。第1装置は、外部網の装置と通信すべき場合に、送信元アドレスとして第1装置のアドレスを指定し、宛先アドレスとして外部網の装置のアドレスを指定したパケットを送出し、ファイアウォールは、第1装置から送出されたパケットを受信し、受信したパケットで指定された送信元アドレスが内部セグメントのアドレスである場合に、受信したパケットを第2装置へ転送し、第2装置は、ファイアウォールから転送されたパケットを受信し、受信したパケットで指定された送信元アドレスを第2装置のアドレスへ変更したパケットを送出し、ファイアウォールは、第2装置から送出されたパケットを受信し、受信したパケットで指定された送信元アドレスがDMZのアドレスであり、かつ、受信したパケットが所定の基準を満たす場合に、受信したパケットを外部網へ転送することを許可する。 In order to solve the above-described problems, an information processing system according to an aspect of the present invention is a device arranged in a firewall and an internal segment in which the firewall prohibits communication from an external network, and processes credit card information. 1 apparatus, and the 2nd apparatus arrange | positioned at DMZ which a firewall permits communication from an external network. When the first device should communicate with a device on the external network, the first device sends a packet designating the address of the first device as the source address and the address of the device on the external network as the destination address. When a packet sent from one device is received, and the source address specified in the received packet is an address of the internal segment, the received packet is transferred to the second device, and the second device transfers from the firewall The packet is transmitted, the packet in which the source address specified in the received packet is changed to the address of the second device is sent, and the firewall receives the packet sent from the second device, When the designated source address is the address of the DMZ and the received packet satisfies a predetermined standard, It allows you to transfer a signal packet to the external network.
本発明の別の態様は、ファイアウォール装置である。この装置は、内部セグメントに配置されたクレジットカード情報を処理する第1装置に対する外部網からの通信を禁止する一方、DMZに配置された第2装置に対する外部網からの通信を許可する通信許否部と、第1装置から送出された、送信元アドレスとして第1装置のアドレスを指定し、宛先アドレスとして外部網の装置のアドレスを指定したパケットを受信するパケット受信部と、パケット受信部が受信したパケットで指定された送信元アドレスが内部セグメントのアドレスである場合に、当該パケットを第2装置へ転送するパケット転送部と、を備える。第2装置は、本装置が転送したパケットで指定された送信元アドレスを第2装置のアドレスへ変更したパケットを送出するものであり、パケット受信部は、第2装置から送出されたパケットを受信し、通信許否部は、パケット受信部が受信したパケットで指定された送信元アドレスがDMZのアドレスであり、かつ、受信したパケットが所定の基準を満たす場合に、受信したパケットを外部網へ転送することを許可する。 Another aspect of the present invention is a firewall device. This device prohibits communication from the external network to the first device that processes the credit card information arranged in the internal segment, while permitting communication from the external network to the second device arranged in the DMZ. A packet receiving unit that receives the packet that is sent from the first device and that specifies the address of the first device as the source address and the address of the device of the external network as the destination address, and the packet receiving unit receives A packet transfer unit that transfers the packet to the second device when the source address specified in the packet is an address of the internal segment. The second device sends out a packet in which the source address specified in the packet transferred by this device is changed to the address of the second device, and the packet receiving unit receives the packet sent from the second device. The communication permission / rejection unit transfers the received packet to the external network when the transmission source address specified in the packet received by the packet reception unit is the address of the DMZ and the received packet satisfies a predetermined criterion. Allow to do.
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。 Note that any combination of the above-described constituent elements and a representation of the present invention converted between a method, a program, a recording medium storing the program, and the like are also effective as an aspect of the present invention.
本発明によれば、PCI DSSに準拠したシステムを効率的に実現することを支援できる。 ADVANTAGE OF THE INVENTION According to this invention, it can support implement | achieving efficiently the system based on PCI DSS.
図1は、実施の形態のクラウドシステム10の物理構成を示す。クラウドシステム10は、ユーザ企業のシステムのPCI DSS準拠を支援するクラウドサービスを提供する情報処理システムである。例えば、クラウドシステム10は、PCI DSSが定めるネットワーク要件を充足するよう通信を制御する。また、クラウドシステム10は、各ユーザ企業に専用サーバのPaaS(Platform as a Service)環境を提供する。そして複数のユーザ企業に、共通のファイアウォール装置等の通信装置を利用させることにより、個々のユーザ企業が負担するシステム構築コストおよびシステム運用コストを低減させる。典型的なユーザ企業はPCI DSSの準拠を要請される企業であり、例えばクレジットカードの加盟店や決済代行事業者、ECサイト事業者、カード会社である。
FIG. 1 shows a physical configuration of a
図1は、クラウドシステム10の物理的な網構成、ハードウェア構成を示している。クラウドシステム10は、複数のユーザ間で共用される基盤装置として、レイヤ3スイッチ(L3スイッチ12)と、レイヤ2スイッチ(L2スイッチ14)と、ファイアウォール16と、ロードバランサ18を備える。L3スイッチ12、L2スイッチ14、ファイアウォール16、ロードバランサ18のそれぞれは、現用機と予備機の冗長構成である(予備機は不図示)。
FIG. 1 shows a physical network configuration and hardware configuration of the
クラウドシステム10では、クラウドサービスを利用するユーザ企業(実施の形態ではユーザA、ユーザBと呼ぶ)ごとに2台ずつ物理サーバを割り当てる。言い換えれば、ユーザが増加する都度、そのユーザ専用の2台の情報処理装置を追加する。ユーザAに割り当てられたユーザAサーバ20a、ユーザAサーバ20b(総称して「ユーザAサーバ20」と呼ぶ。)と、ユーザBに割り当てられたユーザBサーバ22a、ユーザBサーバ22b(総称して「ユーザBサーバ22」と呼ぶ。)のそれぞれはL2スイッチ14に接続される。
In the
また、ユーザAサーバ20、ユーザBサーバ22のそれぞれには、仮想化ソフトウェア(例えばVMWare(商標または登録商標))がインストールされている。ユーザAおよびユーザBは、1台の物理サーバ内に、ウェブサーバやアプリケーションサーバ(APサーバ)、データベースサーバ(DBサーバ)等、論理的に複数台の仮想サーバを構築する。そして、複数の仮想サーバを連携させて電子商取引サイト、クレジットカード決済、カード会員情報管理、購買履歴管理・分析等の業務処理を実行させる。
Further, virtualization software (for example, VMWare (trademark or registered trademark)) is installed in each of the
また、ユーザA端末24は、ユーザAの管理者がユーザAサーバ20に対する操作(各種の設定作業や保守作業等)を入力する情報処理端末である。ユーザA端末24は、インターネットを経由してクラウドシステム10と接続される。また、図1には不図示だが、クラウドシステム10全体を管理するための物理サーバであり、後述する図2のログサーバ42、中継サーバ44、クラウド管理サーバ52の機能を提供する管理用サーバもL2スイッチ14に接続される。
The
図2は、実施の形態のクラウドシステム10の論理構成を示す。同図は、図1に示したクラウドシステム10の論理的な網構成、機能構成を示している。以下、DMZ40および内部セグメント50により構成されるクラウド管理用のネットワークを「クラウド管理網」と呼ぶ。また、DMZ60および内部セグメント70により構成されるユーザA用のネットワークを「ユーザA網」と呼ぶ。また、DMZ80および内部セグメント90により構成されるユーザB用のネットワークを「ユーザB網」と呼ぶ。また、クラウド管理網にとっての外部網は、ユーザA網、ユーザB網、インターネットを含むネットワークとし、ユーザA網にとっての外部網は、ユーザB網、クラウド管理網、インターネットを含むネットワークとし、ユーザB網にとっての外部網は、ユーザA網、クラウド管理網、インターネットを含むネットワークとする。
FIG. 2 shows a logical configuration of the
ルートFW30は、ファイアウォール16により実現される論理的なファイアウォールである。ルートFW30は、クラウド管理網の外部網からDMZ40への直接アクセスを許可する(例えばパケットを通過させる)一方、その外部網から内部セグメント50への直接アクセスを禁止する(例えばパケットを廃棄する)。ユーザA−FW32も、ファイアウォール16により実現される論理的なファイアウォールである。ユーザA−FW32は、ユーザA網の外部網からDMZ60への直接アクセスを許可する一方、その外部網から内部セグメント70への直接アクセスを禁止する。ユーザB−FW34も、ファイアウォール16により実現される論理的なファイアウォールである。ユーザB−FW34は、ユーザB網の外部網からDMZ80への直接アクセスを許可する一方、その外部網から内部セグメント90への直接アクセスを禁止する。
The route FW 30 is a logical firewall realized by the
実施の形態では、物理的に1台のファイアウォール16を論理的に複数台のファイアウォールとして機能させるために、L2スイッチ14のVLAN機能を使用する。例えば、L2スイッチ14は、ユーザA網から受け付けたパケットに、ユーザAに対して予め割り当てられたVLAN−IDを付与する。また、ユーザB網から受け付けたパケットに、ユーザBに対して予め割り当てられたVLAN−IDを付与する。ファイアウォール16は、ユーザAを示すVLAN−IDが付与されたパケットを、ユーザA網から送出されたパケットとして識別する。そして、ユーザAにより予め定められたポリシーにしたがってパケットフィルタリングを実行することでユーザA−FW32として機能する。同様に、ユーザBを示すVLAN−IDが付与されたパケットを、ユーザB網から送出されたパケットとして識別する。そして、ユーザBにより予め定められたポリシーにしたがってパケットフィルタリングを実行することでユーザB−FW34として機能する。
In the embodiment, the VLAN function of the
ユーザA網にはユーザAの業務処理を実行するシステムが構築され、ユーザB網にはユーザBの業務処理を実行するシステムが構築される。図2では、プレゼンテーション層、アプリケーション層、データ層に分割した3層構成を示している。具体的には、ユーザA網のDMZ60には2つの仮想サーバ、すなわちウェブサーバ62と中継サーバ64が配置され、内部セグメント70には4つの仮想サーバ、すなわちAPサーバ72とDBサーバ74とディレクトリサーバ76と作業用サーバ78が配置されている。ユーザB網のDMZ80には、ウェブサーバ82と中継サーバ84が配置され、内部セグメント90には、APサーバ92とDBサーバ94とディレクトリサーバ96と作業用サーバ98が配置されている。
A system for executing user A's business process is constructed in the user A network, and a system for executing user B's business process is constructed in the user B network. FIG. 2 shows a three-layer configuration divided into a presentation layer, an application layer, and a data layer. Specifically, two virtual servers, that is, a web server 62 and a
ユーザA網における各仮想サーバのネットワークセグメントは、PCI DSSに則ってユーザAが決定する。典型的には、高度なセキュリティレベルが要求されるサーバであり、例えばクレジットカード情報を用いたデータ処理を実行するAPサーバ72と、クレジットカード情報や決済情報を保持するDBサーバ74を内部セグメント70に配置する。その一方、外部網の装置と直接通信をすべきサーバ、例えばウェブサーバ62と中継サーバ64をDMZ60に配置する。なお、ウェブサーバ62は、電子商取引に関するウェブページを提供し、外部網からのHTTPアクセスを受け付ける。中継サーバ64は、内部セグメント70のサーバと外部網の装置との通信を中継する。
The network segment of each virtual server in the user A network is determined by the user A according to the PCI DSS. Typically, the server is required to have a high security level. For example, an
例えばユーザAは、ユーザAサーバ20にインストールされた仮想化ソフトウェアを使用してウェブサーバ62と中継サーバ64を構築し、各サーバにDMZ60のIPアドレスを設定する。同様に、ユーザAサーバ20にインストールされた仮想化ソフトウェアを使用してAPサーバ72とDBサーバ74とディレクトリサーバ76を構築し、各サーバに内部セグメント70のIPアドレスを設定する。ユーザB網における各仮想サーバのネットワークセグメントも同様に、PCI DSSに則ってユーザBが決定する。
For example, the user A uses the virtualization software installed on the
また、ユーザA網の各仮想サーバおよびネットワーク機器には、ユーザAの管理者ごとに異なるログインアカウント、すなわちログインIDおよびパスワードが設定される。その一方、各仮想サーバおよびネットワーク機器へのログインアカウントは、管理者単位で共通に設定される。すなわち、ユーザAに属するある管理者のアカウントは、他の管理者のアカウントとは異なるが、同じアカウントでユーザA−FW32、ウェブサーバ62、中継サーバ64、APサーバ72・・・にログインできる。
A different login account, that is, a login ID and a password, is set for each administrator of user A in each virtual server and network device of the user A network. On the other hand, a login account for each virtual server and network device is set in common for each administrator. That is, an account of an administrator belonging to the user A is different from other administrators' accounts, but the same account can log in to the user A-FW 32, the web server 62, the
ディレクトリサーバ76は、このようなユーザAの管理者ごとに定められたアカウント情報であって、ユーザA網の各仮想サーバおよびネットワーク機器にログインするための管理者単位で共通のアカウント情報を一括して保持する。ディレクトリサーバ96も同様であり、ユーザBの管理者ごとに定められたアカウント情報であって、ユーザB網の各仮想サーバおよびネットワーク機器にログインするための管理者単位で共通のアカウント情報を一括して保持する。
The
また、クラウド管理網のDMZ40にはログサーバ42と中継サーバ44が配置され、内部セグメント50にはクラウド管理サーバ52が配置される。ログサーバ42は、ユーザ網の各装置が出力したログデータを、ユーザ単位および仮想サーバ単位に逐次蓄積する機能と、蓄積したログデータをユーザの要求に応じて提供する機能を備える。
A
クラウド管理サーバ52は、ユーザAやユーザBからの要求にしたがって、ユーザAサーバ20およびユーザBサーバ22に対する各種設定を実行する機能を備える。中継サーバ44は、クラウドシステム10外部の装置(例えばユーザA端末24)から送信された、ユーザAサーバ20に仮想サーバ(例えばウェブサーバ)を構築する旨の設定要求を受け付けて、クラウド管理サーバ52へ転送する機能を備える。
The
具体的には、クラウド管理サーバ52は仮想サーバのテンプレートデータを保持する。クラウド管理サーバ52は、中継サーバ44を介して、テンプレート選択画面をクラウドシステム10外部の装置(例えばユーザA端末24)へ送信して表示させ、ユーザによる選択結果を取得する。なお、クラウド管理サーバ52には、VMWare(商標または登録商標)のクラウド管理用アプリケーションがインストールされてもよい。そして、このアプリケーションからユーザAサーバ20およびユーザBサーバ22のVMWare(商標または登録商標)へ仮想サーバの設定指示が通知されてもよい。
Specifically, the
図3は、仮想サーバのテンプレートを示す。同図は16種類のテンプレートを示している。例えばID「5」は、OSがWindows(登録商標)で、ウェブサーバソフトウェアおよびウイルス対策ソフトウェアをインストールしたサーバを示すテンプレートである。またID「4」は、OSがLinux(登録商標)で、ウイルス対策ソフトウェアをインストールしないサーバを示すテンプレートである。後者の場合、典型的には仮想サーバが構築された後に、必要なアプリケーションをユーザが適宜インストールする。図3には不図示だが、ディレクトリサーバ、DNSサーバ、中継サーバ等、他の種類のサーバを示すテンプレートがさらに含まれてよい。 FIG. 3 shows a template of a virtual server. The figure shows 16 types of templates. For example, ID “5” is a template indicating a server in which the OS is Windows (registered trademark) and web server software and antivirus software are installed. The ID “4” is a template indicating a server in which the OS is Linux (registered trademark) and no antivirus software is installed. In the latter case, typically, after a virtual server is constructed, a user installs necessary applications as appropriate. Although not illustrated in FIG. 3, a template indicating another type of server such as a directory server, a DNS server, or a relay server may be further included.
ファイアウォール16を詳細に説明する。
ファイアウォール16は、レイヤ3〜レイヤ7に亘るパケットデータに基づいて、通信の許否を決定し、パケットの方路を制御する。例えば、IPパケットに設定されたIPアドレス、ポート番号、ペイロードのアプリケーションデータ、およびこれらの任意の組み合わせに基づいて、パケットの通過を許可し、またはパケットの通過を禁止する。ファイアウォール16は、レイヤ3〜レイヤ7スイッチとして機能するとも言える。
The
The
図4は、図1のファイアウォール16の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUやメモリをはじめとする素子や機械装置、電子回路で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
FIG. 4 is a block diagram showing a functional configuration of the
ファイアウォール16は、各種データを記憶する記憶領域であるデータ保持部100と、パケットの通過・廃棄を制御する制御部110を備える。データ保持部100はポリシー保持部102を含む。制御部110は、パケット受信部112と、通信許否部114と、パケット転送部116と、認証部118と、ポリシー更新部120を含む。
The
ポリシー保持部102は、ユーザ(ユーザ企業)ごとの、パケットの通過または廃棄を決定するための基準となる規則(以下、「通信制御ポリシー」と呼ぶ。)を保持する。例えば、各ユーザに予め割り当てられたVLAN−IDと対応づけて各ユーザの通信制御ポリシーを保持する。通信制御ポリシーは、パケットの条件と、接続・遮断等のフィルタリング処理の内容とを対応づけて定めたものである。
The
実施の形態のファイアウォール16はホワイトリスト方式である。例えばユーザA用の通信制御ポリシーは、送信元IPアドレスとして内部セグメント70のIPアドレスが指定されたパケットであり、かつ、ユーザAにより予め定められた通過許可条件を満たすパケットを、中継サーバ64へ転送する旨のポリシーを含む。また、送信元IPアドレスとしてDMZ60のIPアドレスが指定されたパケットであり、かつ、ユーザAにより予め定められた通過許可条件を満たすパケットを、その送信元IPアドレスを所定のグローバルアドレスに変換した上で、その宛先IPアドレスに応じてユーザA網外部へ転送することを許可する旨のポリシーを含む。
The
ユーザB用の通信制御ポリシーは、送信元IPアドレスとして内部セグメント90のIPアドレスが指定されたパケットであり、かつ、ユーザBにより予め定められた通過許可条件を満たすパケットを、中継サーバ84へ転送する旨のポリシーを含む。また、送信元IPアドレスとしてDMZ80のIPアドレスが指定されたパケットであり、かつ、ユーザBにより予め定めた通過許可条件を満たすパケットを、その送信元IPアドレスを所定のグローバルアドレスに変換した上で、その宛先IPアドレスに応じてユーザB網外部へ転送することを許可する旨のポリシーを含む。
The communication control policy for user B is a packet in which the IP address of the
通過許可条件は、例えば、宛先IPアドレス、ポート番号、ペイロードの内容のうち少なくとも1つ、もしくはこれらの任意の組み合わせが満たすべき条件を定めたものである。具体的には、宛先ポート番号が、Syslog、SNMP、SSHまたはNTPを示す番号である場合に充足される条件を含む。また、ペイロードの内容(例えばアプリケーションデータ)が、ウイルス定義の更新ファイルの取得要求またはOSの更新ファイルの取得要求を示す場合に充足される条件を含む。ユーザA用とユーザB用のいずれの通信制御ポリシーにおいても、通過許可条件を充足しないパケット、例えば予め定められた宛先ポート番号以外を指定するパケットの通過を拒否する旨、例えば当該パケットを廃棄する旨を定める。 The passage permission condition defines, for example, a condition to be satisfied by at least one of the destination IP address, the port number, and the content of the payload, or any combination thereof. Specifically, it includes a condition that is satisfied when the destination port number is a number indicating Syslog, SNMP, SSH, or NTP. Further, it includes a condition that is satisfied when the content of the payload (for example, application data) indicates a virus definition update file acquisition request or an OS update file acquisition request. In both the communication control policies for user A and user B, a packet that does not satisfy the passage permission condition, for example, a packet that specifies a destination port number other than a predetermined destination port number is rejected, for example, the packet is discarded. To that effect.
パケット受信部112は、L2スイッチ14から転送されたパケットを取得する。通信許否部114は、ポリシー保持部102に保持された通信制御ポリシーにしたがって、パケット受信部112で受信されたパケットの通過を許可し、または廃棄し、または転送先を決定する。パケット転送部116は、通信許否部114で通過が許可されたパケットをL2スイッチ14へ送出し、また、通信許否部114で決定された転送先宛にパケットをL2スイッチ14へ送出する。後者の場合、パケット転送部116は、通信許否部114で決定された転送先装置のMACアドレスを送信先MACアドレスとして設定したMACフレームであり、パケット受信部112で受信されたIPパケットを含むMACフレームをL2スイッチ14へ送出してもよい。
The
DMZ60から送出されたパケットをユーザA網外部へ転送する際、パケット転送部116は、NAT処理を実行するアドレス変換部としても機能する。具体的には、パケット転送部116は、パケットの送信元IPアドレスとして指定されたDMZ60のローカルアドレス(例えば中継サーバ64のIPアドレス)を、外部網(インターネット等)との通信用に予め保持するグローバルアドレスへ変換する。パケット転送部116は、送信元IPアドレスをグローバルアドレスに変換後のパケットをユーザA網外部へ転送する。これにより、ユーザA網内部の装置に対してユーザAは任意のIPアドレスを付与することができる。
When transferring a packet transmitted from the
認証部118は、ユーザA端末24や中継サーバ64から送出されて、L2スイッチ14により中継された、ログインIDおよびパスワードを指定したログイン要求を受信する。典型的には、パケット受信部112で受信され、通信許否部114を通過したログイン要求を取得する。認証部118は、ログイン要求元ユーザのネットワークセグメントを示す情報(例えばログイン要求パケットが示すVLAN−ID)と、ログインIDを指定した、アカウント問い合わせのためのLDAP電文をディレクトリサーバ76へ送信する。認証部118は、ログイン要求元ユーザのパスワードをディレクトリサーバ76から取得する。そして、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から取得したアカウント情報が整合し、例えば、ログインIDとパスワードの組み合わせが一致する場合にログインを許可する。
The
図4には不図示であるが、ファイアウォール16は、認証部118によりログインが許可されたユーザの装置に、ファイアウォール16を操作するためのコンソール画面のデータを送信して表示させるコンソール画面表示制御部を備えてもよい。ポリシー更新部120は、ユーザA端末24や中継サーバ64から送出され、L2スイッチ14により中継された、ポリシー変更情報を受信する。例えば、ファイアウォール16のコンソール画面に入力されたポリシー変更情報を受信する。そして、ポリシー保持部102に格納された通信制御ポリシーのうち、ログインユーザのネットワークセグメント(例えばログインユーザのVLAN−ID)に対応づけられた通信制御ポリシーを、ポリシー変更情報にしたがって変更する。
Although not shown in FIG. 4, the
次に中継サーバ64を詳細に説明する。
中継サーバ64は、内部セグメント70の装置がユーザA網外部の装置へアクセスするための踏み台サーバ・プロキシサーバとして機能する。同様に、中継サーバ84は、内部セグメント90の装置がユーザB網外部の装置へアクセスするための踏み台サーバ・プロキシサーバとして機能する。以下、中継サーバ64の機能を示すが中継サーバ84も同様である。
Next, the
The
図5は、図2の中継サーバ64の機能構成を示すブロック図である。中継サーバ64は、各種情報処理を実行する制御部140を備える。制御部140は、パケット受信部142と、パケット変換部144と、パケット転送部146を含む。
FIG. 5 is a block diagram showing a functional configuration of the
パケット受信部142は、L2スイッチ14から転送されたパケットを取得する。パケット変換部144は、パケット受信部142で受け付けられたパケットのうち、送信元IPアドレスが内部セグメント70のアドレスで、かつ、宛先IPアドレスがユーザA網の外部網の装置であるパケットを変換対象パケットとして特定する。データ保持部130は、この特定のためのアドレス情報、例えば、内部セグメントのIPアドレス体系、DMZのIPアドレス体系を示す情報を保持してもよい。パケット変換部144はこのアドレス情報を参照して、内部セグメント70のアドレス、および、ユーザA網の外部網のアドレスを識別してもよい。
The
パケット変換部144は、変換対象パケットの送信元IPアドレスを自装置、すなわち中継サーバ64のIPアドレスに変更する。当該パケットの他のヘッダ情報およびペイロードは変更しない。パケット転送部146は、パケット変換部144により送信元IPアドレスが変換されたパケットをL2スイッチ14へ送信する。なお、パケット変換部144は、変換対象パケットのオリジナルの送信元IPアドレスを記録しておく。変換対象パケットに対する外部装置からの応答パケット、すなわち宛先IPアドレスが内部セグメント70のアドレスで、送信元IPアドレスがユーザA網の外部網の装置であるパケットが受け付けられた場合、パケット変換部144は、応答パケットの宛先IPアドレスをオリジナルの送信元IPアドレスへ変換する。そして、パケット転送部146は、変換後の応答パケットをL2スイッチ14へ送信する。
The
次に作業用サーバ78を詳細に説明する。
作業用サーバ78は、ユーザA網外部の装置が内部セグメント70の装置へアクセスするための中継サーバ・踏み台サーバ・プロキシサーバとして機能する。同様に、作業用サーバ98は、ユーザB網外部の装置が内部セグメント90の装置へアクセスするための中継サーバ・踏み台サーバ・プロキシサーバとして機能する。以下、作業用サーバ78の機能を示すが作業用サーバ98も同様である。
Next, the
The
図6は、図2の作業用サーバ78の機能構成を示すブロック図である。作業用サーバ78は、各種データを記憶する領域であるデータ保持部130と、各種情報処理を実行する制御部147を備える。データ保持部130は画像保持部132を含む。制御部147は、認証部148と、コンソール画面表示制御部150と、画像記録部152と、コマンド受信部154と、コマンド実行部156を含む。
FIG. 6 is a block diagram showing a functional configuration of the
画像保持部132は、作業用サーバ78のコンソール画面の画像データを、ログインユーザの識別情報(例えばログインユーザのリモート端末のPC名とログインID)と対応づけて保持する。実施の形態で蓄積する画像データは、ユーザAの管理者がログインしている全期間に亘るコンソール画面の表示内容と、その変遷を示す動画像データである。言い換えれば、ユーザのログイン期間に亘る中継サーバ64に対する操作内容と、ユーザA網の各装置に対する操作内容を時系列に示す動画像データである。変形例として、ユーザのログイン期間中におけるコンソール画面の定期的なスナップショット、すなわち複数枚の静止画データであってもよい。
The
作業用サーバ78は、VPN(Virtual Private Network)経由でのユーザA端末24からのアクセスを受け付ける。セキュリティはVPNにより担保されるため、作業用サーバ78は、予め定められたVPN以外、言い換えれば、ユーザA端末24以外からのアクセスを拒否する。
The
認証部148は、ユーザA端末24から送信され、VPNを介して伝送された、ログインIDおよびパスワードを指定したログイン要求を受信する。認証部148は、認証部118と同様に、ログイン要求元ユーザのネットワークセグメントを示す情報と、ログインIDを指定した、アカウント問い合わせのためのLDAP電文をディレクトリサーバ76へ送信する。認証部148は、ログイン要求元ユーザのパスワードをディレクトリサーバ76から取得する。そして、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から取得したアカウント情報が整合する場合にログインを許可する。
The
コンソール画面表示制御部150は、認証部148によりログインが許可されたユーザA端末24に、作業用サーバ78を操作するためのGUI画面であるコンソール画面を送信して表示させる。コンソール画面は、リモートデスクトップ(X Window SystemやRemote Desktop Protocol等)のGUI画面でもよい。変形例として、コンソール画面はCLI画面であってもよい。
The console screen
画像記録部152は、ユーザのログイン期間中に亘るコンソール画面の表示内容を示す動画像データ、言い換えれば映像データをログインユーザの識別情報と対応づけて画像保持部132へ格納する。画像記録部152は、ユーザのログイン期間中、継続して画像保持部132に動画像データを蓄積させる。
The
コマンド受信部154は、ユーザA端末24に表示されたコンソール画面に対する操作内容を示す情報であり、コンソール画面に対してユーザが入力した情報を含むコマンド情報をユーザA端末24から取得する。コマンド実行部156は、コマンド受信部154により取得されたコマンド情報に応じて各種プログラムを実行する。ここで、コマンド情報がユーザA網の他の仮想サーバ(例えばAPサーバ72やDBサーバ74)に対する操作、また、ユーザA−FW32(ファイアウォール16)に対する操作を示す場合に、コマンド実行部156は、そのコマンド情報を操作対象装置へ転送する。そして、操作対象装置からの応答電文であり、コマンド実行結果を含む応答情報を取得する。
The
コンソール画面表示制御部150は、自装置もしくは他装置におけるコマンド実行結果をユーザA端末24へ送信し、ユーザA端末24で表示中のコンソール画面にコマンド実行結果を表示させる。画像記録部152は、コマンド実行結果を示すコンソール画面の画像を画像保持部132へ記録する。すなわち、コンソール画面表示制御部150は、ユーザA端末24へ送信するコンソール画面のデータを画像記録部152にも渡し、画像保持部132に保存させる。
The console screen
図6には不図示だが、作業用サーバ78は、各ユーザ企業の権限を有する特定の管理者から画像提供要求を受け付けた場合に、要求元ユーザのリモート端末のPC名とログインIDに対応づけられた画像データを提供する画像提供部をさらに備えてもよい。なお、画像データと対応づけられるユーザの識別情報は、ユーザのOSのIDであってもよく、画像提供部は、要求元ユーザのOSのIDに対応づけられた画像データを提供してもよい。また、画像データと対応づけられるユーザの識別情報は、リモート端末のPC名と、ログインIDと、OSのIDとの任意の組み合わせであってもよい。また、図6の認証部148、コンソール画面表示制御部150、コマンド受信部154、コマンド実行部156は、ユーザAサーバ20およびユーザBサーバ22に構築された他の仮想サーバも備える。
Although not shown in FIG. 6, when the
以上の構成によるクラウドシステム10の動作を図1、図2を参照しつつ説明する。
まず、ユーザA網の内部セグメント70の仮想サーバが発信元となり、ユーザA網外部の装置が宛先となる通信を行う際の動作を説明する。ここでは例として、DBサーバ74が、Syslogを使用して、自サーバのログデータをログサーバ42へ格納する動作を説明する。クラウドシステム10では、ユーザAサーバ20およびユーザBサーバ22に構築された各仮想サーバは、自サーバのログデータをクラウド管理網のログサーバ42へ格納する。言い換えれば、ログデータの蓄積先としてログサーバ42を共用する。これにより、各ユーザはログ管理のためのシステムコストを低減できる。
The operation of the
First, an operation at the time of performing communication in which the virtual server of the
DBサーバ74は、実行中のアプリケーションがログデータを出力し、そのログデータを不揮発に保存すべきときに、そのログデータを含むログ通知パケットを送出する。ログ通知パケットでは、送信元IPアドレスとしてDBサーバ74のIPアドレスが指定され、宛先IPアドレスとしてログサーバ42のIPアドレスが指定され、宛先ポート番号としてSyslogの番号が指定される。L2スイッチ14は、ユーザA網、ユーザB網、および外部網から受信したパケットを一旦ファイアウォール16へ転送する。ここでもL2スイッチ14は、内部セグメント70と接続されたポートで受信したログ通知パケット(実際にはログ通知パケットを含むMACフレーム)に、ユーザAを示すVLAN−IDを付与し、ログ通知パケットをファイアウォール16へ転送する。
When the running application outputs log data and the log data is to be stored in a nonvolatile manner, the
ファイアウォール16は、ユーザAを示すVLAN−IDを認識して、ユーザA−FW32として動作する。すなわち、ログ通知パケットの送信元IPアドレスを参照し、送信元IPアドレスが内部セグメント70のアドレスであることを識別し、ユーザAの通信制御ポリシーにしたがってログ通知パケットを中継サーバ64へ転送する。すなわち、ログ通知パケットの送信元IPアドレスが内部セグメント70のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、このパケットの通過を許可し、このパケットを中継サーバ64へ転送する。中継サーバ64は、ログ通知パケットの送信元IPアドレスを中継サーバ64自身のIPアドレスに変更し、変更後のログ通知パケットを送出する。L2スイッチ14は、ログ通知パケットをファイアウォール16へ転送する。
The
ユーザA−FW32として動作するファイアウォール16は、ログ通知パケットの送信元IPアドレスがDMZ60のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、ユーザAの通信制御ポリシーにしたがって、ログ通知パケットを外部網へ転送することを許可する。このとき、ユーザA−FW32として動作するファイアウォール16は、送信元IPアドレスを予め用意されたグローバルアドレスに変換した上で、ログ通知パケットを外部網へ転送する。
Since the source IP address of the log notification packet is the address of
具体的には、ユーザA−FW32として動作するファイアウォール16は、ログ通知パケットを含み、ルートFW30のMACアドレスを送信先MACアドレスとして指定したMACフレームをL2スイッチ14へ送出する。ここで指定するルートFW30のMACアドレスは、ユーザごとに予め定められた異なる複数のMACアドレスのうちユーザAに割り当てられたMACアドレスである。なお、ルートFW30のMACアドレスは1つで、VLAN−IDとの組み合わせにより、実質的に異なるアドレスとして認識されてもよい。L2スイッチ14は、ログ通知パケットを含むMACフレームをファイアウォール16へ転送し、ルートFW30として動作するファイアウォール16は、当該MACフレームをログサーバ42へ転送する。ログサーバ42は、ログ通知パケットを受信し、ログ通知パケットからログデータを抽出して、ユーザAのDBサーバのログとしてストレージに保存する。
Specifically, the
ユーザA網の内部セグメント70の仮想サーバから、ウイルス定義の更新ファイルを取得し、OSの更新ファイルを取得し、NTPにより時刻を同期し、SNMPのTRAP通知を行う場合もログの記録と同様の動作になる。なお、外部網の宛先装置から応答電文が送信される場合、L2スイッチ14は一旦ファイアウォール16へ応答電文を転送する。ファイアウォール16は、送信先IPアドレスをグローバルアドレスから中継サーバ64のIPアドレスへ変換した上で、中継サーバ64へ応答電文を転送する。中継サーバ64は、応答電文の宛先IPアドレス(ここでは中継サーバ64のアドレス)を、先の変換時に記録しておいた内部セグメント70の仮想サーバのIPアドレスに書き戻す。これにより、要求元の仮想サーバへ応答電文を返信する。
Similar to the log recording, the virus definition update file is acquired from the virtual server of the
既述したように、ユーザA網の内部セグメント70の仮想サーバからユーザA網外部の装置への通信を許可すべき状況が発生する。しかし、PCI DSSの要件では、ユーザA網外部の装置への通信は、ユーザA網のDMZ60のサーバからのみに制限する必要がある。そこでクラウドシステム10では、DMZ60の中継サーバ64を踏み台として使用し、宛先装置への代理アクセスを中継サーバ64に実行させる。これにより、PCI DSSの要件を充足しつつ、ユーザA網の内部セグメント70のサーバからユーザA網外部の装置への通信を実現する。また、ログ記録サーバ、ウイルス定義およびOSの更新ファイルの取得サーバ、NTPサーバ、TRAP通知サーバ等をDMZ60に設ける必要がなく、システム構築および運用のコストを低減できる。すなわち、PCI DSSに準拠したセキュリティ強度を有するシステムを効率的に実現できる。
As described above, a situation occurs in which communication from the virtual server in the
図7は、クラウドシステム10における通信制御ポリシーを模式的に示す。「○」はパケットの伝送を許可することを示し、「×」はパケットの伝送を禁止することを示している。これまでのシステムでは、通常、内部セグメントの装置は信用できるものと見なし、内部セグメント発、外部網宛のパケットは通過させていた。しかし、内部セグメント発、外部網宛の通信を何ら制限しないと、コンピュータウイルスへの感染や、悪意のある第三者による攻撃等により、意図しない形で内部セグメント内に保持された秘密情報が外部網へ漏洩する可能性がある。クラウドシステム10では、内部セグメント発、外部網宛の通信を原則禁止し、中継サーバ64を経由し、かつ、ユーザが予め定めた基準に合致するパケットのみを外部網へ伝送させることでセキュリティ強度を一層高める。
FIG. 7 schematically shows a communication control policy in the
ユーザB網の内部セグメント90の仮想サーバが、ユーザB網外部の装置へパケットを送信する際も上記同様の動作となる。L2スイッチ14は、内部セグメント90と接続されたポートで受信したログ通知パケットに、ユーザBを示すVLAN−IDを付与し、ログ通知パケットをファイアウォール16へ転送する。ファイアウォール16は、ユーザBを示すVLAN−IDを認識して、ユーザB−FW34として動作する。すなわち、ログ通知パケットの送信元IPアドレスが内部セグメント90のアドレスである場合に、ユーザBの通信制御ポリシーにしたがってログ通知パケットを中継サーバ84へ転送する。中継サーバ84は中継サーバ64と同様に、ログ通知パケットの送信元IPアドレスを中継サーバ84自身のIPアドレスに変更する。
The same operation as described above is performed when the virtual server in the
ファイアウォール16は、ログ通知パケットの送信元IPアドレスがDMZ80のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、ユーザBの通信制御ポリシーにしたがって、ログ通知パケットを外部網へ転送することを許可する。このように、クラウドシステム10では、ユーザAサーバ20に設けられた仮想サーバ間、もしくは仮想サーバと外部網の装置との通信と、ユーザBサーバ22に設けられた仮想サーバ間、もしくは仮想サーバと外部網の装置との通信のいずれでも、L3スイッチ12、L2スイッチ14、ファイアウォール16、ロードバランサ18を共用する。これにより、個々のユーザが負担すべきシステム構築および運用のコストを一層低減できる。
The
次に、ユーザA網外部の装置が発信元となり、ユーザA網の各装置へアクセスする際の動作を説明する。ここでは例として、ユーザA端末24からユーザA−FW32へログインするときの動作を説明する。この場合、クラウドシステム10では、作業用サーバ78を踏み台として使用する。なお、ユーザB網外部の装置が発信元となり、ユーザB網の各装置へアクセスする際も同様の動作となる。
Next, an operation when an apparatus outside the user A network becomes a transmission source and accesses each apparatus of the user A network will be described. Here, as an example, an operation when logging in to the user A-FW 32 from the
ユーザAの管理者は、ユーザA端末24を操作して、ユーザA端末24と作業用サーバ78をVPN経由で接続させる。そして、VPN経由で作業用サーバ78へのログイン要求を送信させる。VPNによる接続であるため、ユーザA−FW32は、ログイン要求の通過を許可する。作業用サーバ78は、ログイン要求を受け付けると、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報を作業用サーバ78へ提供する。作業用サーバ78は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可し、作業用サーバ78を操作するためのコンソール画面の表示内容を示すデータをユーザA端末24へ送信する。それとともに作業用サーバ78は、コンソール画面の表示内容を示す画像データの記録を開始する。
The administrator of the user A operates the
作業用サーバ78へのログインが許可された場合に、ユーザA端末24は、作業用サーバ78のコンソール画面をモニターに表示させる。ユーザAの管理者は、作業用サーバ78のコンソール画面に対して、ユーザA−FW32へのログインを指示する操作を入力する。例えば、CLIのシェルを起動して、ユーザA−FW32へのリモートログインを要求するSSHコマンドを入力してもよい。ユーザA端末24は、ユーザA−FW32へのログイン要求を作業用サーバ78へ送信し、作業用サーバ78は、そのログイン要求をユーザA−FW32へ送信する。また、作業用サーバ78は、コンソール画面に対するユーザAの管理者の操作内容を示す画像データを保存する。
When the login to the
内部セグメント70の作業用サーバ78が発信元であり、宛先ポート番号がSSHを示すため、ユーザA−FW32は、ログイン要求パケットを通過させ、ログイン要求を受け付ける。ユーザA−FW32は、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報をユーザA−FW32へ提供する。ユーザA−FW32は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可する。ユーザA−FW32は、ログインを許可する場合、その旨のメッセージを作業用サーバ78へ送信し、コマンドを受け付け可能な状態で待機する。作業用サーバ78は、ユーザA−FW32から送信されたメッセージをコンソール画面の表示データとしてユーザA端末24へ送信する。それとともに作業用サーバ78は、そのメッセージを含むコンソール画面の画像データを保存する。
Since the
以降、ユーザA端末24は、ユーザA−FW32に対する操作コマンドを、作業用サーバ78を介してユーザA端末24へ送信し、ユーザA−FW32はその操作コマンドに応じた処理を実行する。例えば、ユーザA用の通信制御ポリシーの変更処理を実行する。またユーザA−FW32は、操作コマンドの実行結果を示すメッセージを作業用サーバ78へ送信する。作業用サーバ78は、ユーザA−FW32から送信されたメッセージをコンソール画面の表示データとしてユーザA端末24へ送信する。それとともに作業用サーバ78は、そのメッセージを含むコンソール画面の画像データを保存する。ユーザA端末24がユーザA−FW32からログアウトし、さらに作業用サーバ78からログアウトすると、作業用サーバ78は、コンソール画面の画像データの記録を終了する。
Thereafter, the
ユーザA端末24から、ウェブサーバ62、APサーバ72、DBサーバ74等へログインする際の動作も同様である。例えば、作業用サーバ78は、作業用サーバ78のコンソール画面に入力された、DBサーバ74をログイン先に指定するログイン要求をユーザA端末24から受け付けると、そのログイン要求をDBサーバ74へ送信する。内部セグメント70の作業用サーバ78が発信元であり、宛先ポート番号がSSHを示すため、ユーザA−FW32は、ログイン要求を通過させる。DBサーバ74は、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報をDBサーバ74へ提供する。DBサーバ74は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可する。
The operation when logging in from the
このように、クラウドシステム10では、ユーザのアカウント情報を、そのユーザ網のディレクトリサーバが一元管理する。これにより、ユーザアカウントの効率的な管理および保守を実現する。ユーザ網のファイアウォールおよび各仮想サーバにログインするアカウントは管理者単位で共通であるため、ユーザの負担も低減できる。また、クラウドシステム10では、外部網の管理者端末からのアクセスを、所定のVPN経由であることを条件に作業用サーバ78が受け付け、作業用サーバ78を踏み台として各仮想サーバへのアクセスを許可する。このとき作業用サーバ78は、ユーザのログイン期間中、ユーザの操作入力内容を示す画像を継続して記録する。これにより、不正操作がなされたことの証左物を残すことができる。
Thus, in the
次に、ユーザAサーバ20に仮想サーバを構築する際の動作を説明する。
ユーザAの管理者は、ユーザA端末24を操作し、中継サーバ44を踏み台にしてクラウド管理サーバ52へログインする。クラウド管理サーバ52は、図3に示した仮想サーバの複数種類のテンプレートを示す選択画面をユーザA端末24へ提供する。ユーザAの管理者が選択画面において特定のテンプレートを選択すると、ユーザA端末24は、選択されたテンプレートを示す情報をクラウド管理サーバ52へ送信する。クラウド管理サーバ52は、選択されたテンプレートに対応づけられた仮想サーバの設定指示をユーザAサーバ20へ送信する。ユーザAサーバ20のVMWare(商標または登録商標)は、設定指示にしたがって、選択されたテンプレートが示す態様の仮想サーバを構築する。
Next, an operation when a virtual server is constructed in the
The administrator of user A operates the
これにより、仮想サーバの構築におけるユーザの負担を低減できる。ユーザは、テンプレート選択すれば仮想サーバが自動で構築されるため、あとは、構築された仮想サーバにDMZもしくは内部セグメントのIPアドレスを付与し、適宜アプリケーションを導入すればよい。ユーザBサーバ22に仮想サーバを構築する際の動作も同様である。
Thereby, a user's burden in construction of a virtual server can be reduced. Since the virtual server is automatically constructed if the user selects the template, the DMZ or the IP address of the internal segment may be assigned to the constructed virtual server and an application may be introduced as appropriate. The operation when building a virtual server in the
以上、本発明を実施の形態をもとに説明した。これらの実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せによりいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。 The present invention has been described based on the embodiments. It is understood by those skilled in the art that these embodiments are exemplifications, and that various modifications are possible depending on combinations of the respective constituent elements and processing processes, and such modifications are also within the scope of the present invention. By the way.
また、請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。 In addition, it should be understood by those skilled in the art that the functions to be fulfilled by the constituent elements described in the claims are realized by the individual constituent elements shown in the embodiments and the modified examples or by their cooperation. .
16 ファイアウォール、 60 DMZ、 64 中継サーバ、 70 内部セグメント、 74 DBサーバ、 76 ディレクトリサーバ、 78 作業用サーバ、 112 パケット受信部、 114 通信許否部、 116 パケット転送部、 144 パケット変換部、 150 コンソール画面表示制御部、 152 画像記録部。 16 firewall, 60 DMZ, 64 relay server, 70 internal segment, 74 DB server, 76 directory server, 78 work server, 112 packet receiving unit, 114 communication permission / rejection unit, 116 packet transfer unit, 144 packet conversion unit, 150 console screen A display control unit; 152 an image recording unit;
Claims (4)
ファイアウォールと、
外部網からの通信を前記ファイアウォールが禁止する内部セグメントに配置されたクレジットカード情報を処理する第1装置であって、第1ユーザ企業用に設けられた内部セグメントに配置された第1ユーザ企業の第1装置と、第2ユーザ企業用に設けられた内部セグメントに配置された第2ユーザ企業の第1装置と、
前記外部網からの通信を前記ファイアウォールが許可するDMZに配置された第2装置であって、第1ユーザ企業用に設けられたDMZに配置された第1ユーザ企業の第2装置と、第2ユーザ企業用に設けられたDMZに配置された第2ユーザ企業の第2装置と、
を備え、
前記第1ユーザ企業の第1装置は、前記第1ユーザ企業の網および前記第2ユーザ企業の網に対する外部網の装置として本情報処理システム内に構築された装置であって、複数のユーザ企業により共用される装置である共用装置と通信すべき場合に、送信元アドレスとして自装置のアドレスを指定し、宛先アドレスとして前記共用装置のアドレスを指定したパケットを送出し、
前記第2ユーザ企業の第1装置は、前記共用装置と通信すべき場合に、送信元アドレスとして自装置のアドレスを指定し、宛先アドレスとして前記共用装置のアドレスを指定したパケットを送出し、
前記ファイアウォールは、前記第1ユーザ企業の第1装置から送出された前記共用装置宛のパケットを受信し、受信したパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられた内部セグメントのアドレスである場合に、前記受信したパケットを前記第1ユーザ企業の第2装置へ転送し、
前記ファイアウォールは、前記第2ユーザ企業の第1装置から送出された前記共用装置宛のパケットを受信し、受信したパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられた内部セグメントのアドレスである場合に、前記受信したパケットを前記第2ユーザ企業の第2装置へ転送し、
前記第1ユーザ企業の第2装置と前記第2ユーザ企業の第2装置のそれぞれは、前記ファイアウォールから転送されたパケットを受信し、受信したパケットで指定された送信元アドレスを自装置のアドレスへ変更したパケットを送出し、
前記ファイアウォールは、前記第1ユーザ企業の第2装置から送出されたパケットと、前記第2ユーザ企業の第2装置から送出されたパケットの両方を受信し、前者のパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第1ユーザ企業によって予め定められた基準を前者のパケットが満たす場合に、前者のパケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用装置へ転送し、後者のパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第2ユーザ企業によって予め定められた基準を後者のパケットが満たす場合に、後者のパケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用装置へ転送することを特徴とする情報処理システム。 An information processing system that supports the management of credit card information,
A firewall,
A first apparatus for processing credit card information arranged in an internal segment for which communication from an external network is prohibited by the firewall, wherein the first user company arranged in the internal segment provided for the first user company A first device and a first device of a second user company located in an internal segment provided for a second user company;
A second device arranged in the DMZ that allows the firewall to allow communication from the external network, the second device of the first user company arranged in the DMZ provided for the first user company; A second device of a second user company located in a DMZ provided for the user company;
With
The first device of the first user company is a device constructed in the information processing system as an external network device for the network of the first user company and the network of the second user company, and a plurality of user companies When communicating with a shared device that is a device shared by the device, specify the address of the own device as a source address, send a packet specifying the address of the shared device as a destination address,
When the first device of the second user company is to communicate with the shared device, the first device address designates the address of the own device as a transmission source address, and sends a packet designating the address of the shared device as a destination address,
The firewall receives a packet addressed to the shared device transmitted from the first device of the first user company, and an internal segment in which a source address designated by the received packet is provided for the first user company The received packet is forwarded to the second device of the first user company,
The firewall receives a packet addressed to the shared device sent from the first device of the second user company, and an internal segment in which the source address specified in the received packet is provided for the second user company The received packet is forwarded to the second device of the second user company,
Each of the second device of the first user company and the second device of the second user company receives the packet forwarded from the firewall, and sets the source address specified in the received packet to the address of the own device. Send out the modified packet,
The firewall receives both a packet sent from the second device of the first user company and a packet sent from the second device of the second user company, and the source address specified in the former packet Is the address of the DMZ provided for the first user company, and if the former packet satisfies the criteria predetermined by the first user company, the source address of the former packet is set to the global address. The converted packet is transferred to the shared device , the source address specified in the latter packet is the address of the DMZ provided for the second user company, and the second user company the predetermined reference when the latter packet satisfies, translates the source address of the latter packet to the global address, strange The information processing system comprising a benzalkonium be forwarded packet after to the shared device.
前記ファイアウォール、前記第1装置、前記第2装置のそれぞれは、ログイン要求を受け付けた場合に、前記ログイン要求で指定されたアカウント情報と、前記ディレクトリサーバに保持されたアカウント情報とが整合するか否かにもとづいてログインの許否を決定することを特徴とする請求項1に記載の情報処理システム。 A directory server that collectively stores common account information for each administrator for logging in to the firewall, the first device, and the second device, which is account information determined for each administrator; ,
Whether each of the firewall, the first device, and the second device accepts a login request, the account information specified in the login request matches the account information held in the directory server. 2. The information processing system according to claim 1, wherein whether or not to log in is determined based on the above.
前記第3装置は、前記コンソール画面に対する管理者の操作を示すデータを前記外部網の装置から受け付け、前記操作が前記ファイアウォールまたは前記第1装置に対する指示を示す場合に、その指示を前記ファイアウォールまたは前記第1装置へ通知し、前記ファイアウォールまたは前記第1装置の応答結果を前記外部網の装置へ送信して表示させ、
前記第3装置は、管理者のログイン期間中に亘る前記コンソール画面の画像データを所定の記憶装置に保存することを特徴とする請求項1または2に記載の情報処理システム。 A third device that accepts an administrator's login from the external network device and transmits a console screen for operating the device to the external network device for display;
The third device receives data indicating an operation of an administrator for the console screen from a device of the external network, and when the operation indicates an instruction for the firewall or the first device, the third device receives the instruction for the firewall or the Notifying the first device, sending the response result of the firewall or the first device to the device of the external network for display,
3. The information processing system according to claim 1, wherein the third device stores image data of the console screen during a login period of an administrator in a predetermined storage device.
前記第1ユーザ企業の第1装置から送出された、送信元アドレスとして前記第1ユーザ企業の第1装置のアドレスを指定し、宛先アドレスとして前記外部網の装置のアドレスを指定したパケットを受信し、前記第2ユーザ企業の第1装置から送出された、送信元アドレスとして前記第2ユーザ企業の第1装置のアドレスを指定し、宛先アドレスとして前記外部網の装置のアドレスを指定したパケットを受信するパケット受信部と、
前記パケット受信部が受信したパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられた内部セグメントのアドレスである場合に、当該パケットを前記第1ユーザ企業の第2装置へ転送し、前記パケット受信部が受信したパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられた内部セグメントのアドレスである場合に、当該パケットを前記第2ユーザ企業の第2装置へ転送するパケット転送部と、
を備え、
前記第1ユーザ企業の各装置および前記第2ユーザ企業の各装置は、クレジットカード情報の管理を支援する情報処理システム内に構築され、
前記外部網の装置は、前記第1ユーザ企業の網および前記第2ユーザ企業の網に対する外部網の装置として前記情報処理システム内に構築された装置であって、複数のユーザ企業により共用される装置であり、
前記第1ユーザ企業の第2装置と前記第2ユーザ企業の第2装置のそれぞれは、本装置が転送したパケットで指定された送信元アドレスを自装置のアドレスへ変更したパケットを送出するものであり、
前記パケット受信部は、前記第1ユーザ企業の第2装置から送出されたパケットと、前記第2ユーザ企業の第2装置から送出されたパケットの両方を受信し、
前記パケット転送部は、前記第1ユーザ企業の第2装置から送出されたパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第1ユーザ企業によって予め定められた基準を当該パケットが満たす場合に、当該パケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用される装置へ転送し、前記第2ユーザ企業の第2装置から送出されたパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第2ユーザ企業によって予め定められた基準を当該パケットが満たす場合に、当該パケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用される装置へ転送することを特徴とするファイアウォール装置。 A first device for processing credit card information, wherein a first device of a first user company arranged in an internal segment provided for a first user company and an internal segment provided for a second user company While prohibiting communication from the external network to the first device of the second user company arranged, the second device of the first user company arranged in the DMZ provided for the first user company and the second user A communication permission / rejection unit that permits communication from the external network to a second device of a second user company arranged in a DMZ provided for a company;
A packet sent from the first device of the first user company, specifying the address of the first device of the first user company as the source address and specifying the address of the device of the external network as the destination address is received. And a packet sent from the first device of the second user company, specifying the address of the first device of the second user company as the source address and specifying the address of the device of the external network as the destination address A packet receiver to
When the source address specified in the packet received by the packet receiving unit is the address of the internal segment provided for the first user company, the packet is transferred to the second device of the first user company. When the source address specified in the packet received by the packet receiver is the address of an internal segment provided for the second user company, the packet is transferred to the second device of the second user company A packet forwarding unit to
With
Each device of the first user company and each device of the second user company are built in an information processing system that supports the management of credit card information,
The external network device is a device constructed in the information processing system as an external network device for the first user company network and the second user company network, and is shared by a plurality of user companies. Device,
Each of the second device of the first user company and the second device of the second user company sends out a packet in which the source address specified in the packet transferred by the device is changed to the address of the own device. Yes,
The packet receiving unit receives both a packet sent from the second device of the first user company and a packet sent from the second device of the second user company;
The packet transfer unit is configured such that a source address specified in a packet transmitted from the second device of the first user company is an address of a DMZ provided for the first user company, and the first user if it meets a predetermined criteria by companies the packet, it translates the source address of the packet to the global address, to transfer the packet after conversion to the device which is the common, first the second user enterprise When the transmission source address specified in the packet transmitted from the two devices is the address of the DMZ provided for the second user company, and the packet satisfies the criteria predetermined by the second user company a, converts the transmission source address of the packet to the global address, especially the Turkey forwards the packet after conversion to the device which is the common That the firewall device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013220748A JP6359260B2 (en) | 2013-10-24 | 2013-10-24 | Information processing system and firewall device for realizing a secure credit card system in a cloud environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013220748A JP6359260B2 (en) | 2013-10-24 | 2013-10-24 | Information processing system and firewall device for realizing a secure credit card system in a cloud environment |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015082787A JP2015082787A (en) | 2015-04-27 |
JP6359260B2 true JP6359260B2 (en) | 2018-07-18 |
Family
ID=53013176
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013220748A Active JP6359260B2 (en) | 2013-10-24 | 2013-10-24 | Information processing system and firewall device for realizing a secure credit card system in a cloud environment |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6359260B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6900839B2 (en) * | 2017-08-25 | 2021-07-07 | 株式会社リコー | Equipment system, server, data processing method |
JP2019125915A (en) * | 2018-01-17 | 2019-07-25 | 三菱電機株式会社 | Building management system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004229187A (en) * | 2003-01-27 | 2004-08-12 | Nec Corp | Http proxy device and http proxy system |
JP4581104B2 (en) * | 2003-03-28 | 2010-11-17 | 学校法人明治大学 | Network security system |
JP5491932B2 (en) * | 2010-03-30 | 2014-05-14 | 株式会社インテック | Network storage system, method, client device, cache device, management server, and program |
JP5476261B2 (en) * | 2010-09-14 | 2014-04-23 | 株式会社日立製作所 | Multi-tenant information processing system, management server, and configuration management method |
-
2013
- 2013-10-24 JP JP2013220748A patent/JP6359260B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015082787A (en) | 2015-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11218420B2 (en) | Virtual network interface objects | |
EP3494682B1 (en) | Security-on-demand architecture | |
US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
US8458786B1 (en) | Automated dynamic tunnel management | |
US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
US8856786B2 (en) | Apparatus and method for monitoring communication performed by a virtual machine | |
US8667574B2 (en) | Assigning a network address for a virtual device to virtually extend the functionality of a network device | |
US20160337372A1 (en) | Network system, controller and packet authenticating method | |
US8549613B2 (en) | Reverse VPN over SSH | |
JP2019525669A (en) | Extend network control system to public cloud | |
US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
US8955097B2 (en) | Timing management in a large firewall cluster | |
US20130014106A1 (en) | Information processing apparatus, computer-readable medium storing information processing program, and management method | |
JP5445262B2 (en) | Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof | |
JP5882961B2 (en) | Controller, computer system, network configuration changing method, and network configuration changing program | |
JP2000132473A (en) | Network system using fire wall dynamic control system | |
Osman et al. | Transparent Microsegmentation in Smart Home {IoT} Networks | |
JP6359260B2 (en) | Information processing system and firewall device for realizing a secure credit card system in a cloud environment | |
US20110276673A1 (en) | Virtually extending the functionality of a network device | |
JP2013134711A (en) | Medical cloud system | |
KR102184114B1 (en) | Method and apparatus for providing network security service | |
WO2023020606A1 (en) | Method, system and apparatus for hiding source station, and device and storage medium | |
JP2015154322A (en) | Control device for firewall apparatus, and program | |
JP2022147233A (en) | Network system, connection method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160701 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170404 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170602 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170912 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170912 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171019 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180529 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180620 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6359260 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |