JP6518795B2 - 計算機システム及びその制御方法 - Google Patents

計算機システム及びその制御方法 Download PDF

Info

Publication number
JP6518795B2
JP6518795B2 JP2017561490A JP2017561490A JP6518795B2 JP 6518795 B2 JP6518795 B2 JP 6518795B2 JP 2017561490 A JP2017561490 A JP 2017561490A JP 2017561490 A JP2017561490 A JP 2017561490A JP 6518795 B2 JP6518795 B2 JP 6518795B2
Authority
JP
Japan
Prior art keywords
computer
management
event
port
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017561490A
Other languages
English (en)
Other versions
JPWO2017122353A1 (ja
Inventor
和史 中村
和史 中村
井上 英一
英一 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JPWO2017122353A1 publication Critical patent/JPWO2017122353A1/ja
Application granted granted Critical
Publication of JP6518795B2 publication Critical patent/JP6518795B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Description

本発明は計算機システムに係り、詳しくは、所定の業務を実行可能な業務計算機と、当該業務計算機を管理する管理計算機とを備える計算機システムに関し、さらに、その制御方法に関する。
近年、情報化社会の拡大や発展に伴って、計算機システムが数多く存在する。そして、多くの計算機システムは、インターネット等の通信網によって互いに接続され、互いに連携して情報の交換や情報処理を行っている。
この種の計算機システムは、サイバー攻撃等と称される情報攻撃に晒されおり、その傾向は益々酷くなっている。そこで、計算機システムは、コンピュータウィルスやDos攻撃(Denial of Service attack)等の不正、又は、悪意のアクセスに対する防衛機構を備えている。コンピュータウィルスに対するアンチウィルスソフトウェアはその一例である。そして、計算機システムは、不正イベントの拡散、伝播を防止できるようにも構成されている。
例えば、特開平11−73384号公報には、ネットワークに接続されたコンピュータ等情報処理装置にて、ネットワークとの論理的な接続および非接続状態を動的に変更することでコンピュータウィルスのネットワーク伝搬を防止することを可能にする情報処理装置の提供を目的として、ネットワーク分離プログラムによりネットワーク接続機構に対して動的に、ネットワーク接続および非接続命令を発行し、ネットワークとの接続および非接続を実現し、オペレーティングシステムやウィルスチェックプログラムに対して制御信号を伝達することで、ウィルスチェック処理の実行中は、情報処理装置を疑似的にスタンドアローン状態に設定して、ウィルスチェック処理中のウィルスによるネットワーク拡散を防止することが開示されている。
そして、特開2007−265023号公報には、コンピュータウイルスのネットワーク上への拡散を確実に防止することを目的として、ネットワークデバイスを備え、このネットワークデバイスを介してネットワークに接続される情報処理装置であって、ネットワークとの切断を指示する切断指示信号に基づいて、ネットワークデバイスの機能を停止させる停止処理部と、切断指示信号に基づいて、ネットワークデバイスに対して、その機能を無効化するとともに特定権限者のみが解除することができるロック状態を設定する設定部とを備えることが開示されている。
特開平11−73384号公報 特開2007−265023号公報
しかしながら、既述の先行技術のように、不正アクセスを受けた計算機をネットワークから切り離しても、不正アクセスが計算機システムに拡散する可能性を排除できなかった。そこで、本発明は、不正アクセスから計算機システムを確実に防衛することを目的とする。
前記目的を達成するために、本発明は、夫々が所定の業務を実行可能な複数の業務計算機と、前記複数の業務計算機を夫々管理する管理計算機と、を備える計算機システムであって、前記複数の業務計算機の夫々は、オペレーティングシステムを実行するコントローラと、計算機ハードウェアを管理するための管理プロセッサと、を備え、前記コントローラは、所定イベントを監視する監視プログラムを実行し、前記管理プロセッサは、前記管理計算機に接続されるためのポートを介して、検知されたイベントの情報を前記管理計算機に送信する、計算機システムである。
さらに、第2の発明は、オペレーティングシステムを実行するコントローラを備える計算機が、当該コントローラによってコンピュータウィルスの感染を含むイベントを監視しがら業務を実行し、前記イベントが検出された場合には、当該イベントの情報を、前記計算機の計算機ハードウェア管理のための専用プロセッサを介して、管理計算機に送信する計算機制御方法である。
以上説明したように、本発明によれば、不正アクセスから計算機システムを確実に防衛することができる。
計算機システムのハードウェアの一例を示すブロック図である。 サーバ1(2,3)のハードウェア構成の一例である。 サーバの機能ブロック図である。 サーバのポート構成の一例を示すテーブルである。 IPMIコマンドの一例である。 発生イベントをパラメータに変換するテーブルの一例である。 管理計算機の機能ブロックの一例の図である。 発生したイベントに対して、サーバのネットワーク構成の変更をどのように実行されるべきかを示すイベント対応テーブルの一例である。 管理計算機の管理対象を管理するテーブルの一例である。 スイッチの構成を管理するスイッチ管理対象テーブルの一例である。 図10のスイッチの構成を示したブロック図である。 スイッチの構成を管理するスイッチ管理対象テーブルの他の例である。 図12のスイッチの構成を示したブロック図である。 スイッチの構成を管理するスイッチ管理対象テーブルのさらに他の例である。 図14のスイッチの構成を示したブロック図である。 図15のスイッチ構成を変更したスイッチ管理対象テーブルである。 サーバのオペレーティングシステムがコンピュータウィルスに感染してから、当該オペレーティングシステムがネットワークから隔離されるまでのフローチャートである。 図17に続くフローチャートである。 仮想化されたサーバの機能ブロック図である。
次に、本発明の実施形態について説明する。先ず、図1に計算機システムのハードウェアの概略を示す。計算機システムは、複数のサーバ(1,2,3)と、管理計算機10とを備えている。複数のサーバ夫々は、クライアント計算機に対して所定の業務を実行する。
管理計算機10は、管理用の通信経路(管理LAN)12を介して複数のサーバ夫々に接続している。複数のサーバはスイッチ18を介して複数の外部通信経路に接続している。符号14は外部LAN1を示し、符号16は、外部LAN2を示す。スイッチ18は、複数の外部通信経路を複数のサーバに対してルーティングする。
符号18Aはスイッチ18の業務LAN2(16)との外部接続ポートであり、符号18Dはスイッチ18の業務LAN1(14)との外部接続ポートである。スイッチ18のポート18Bはサーバ1の内部ポート1Aに接続し、スイッチ18のポート18Fはサーバ2の内部ポート2Aに接続し、スイッチ18のポート18Eはサーバ3の内部ポート3Aに接続する。
管理計算機10のポート10Aは、スイッチ18の管理ポート18Cに接続し、ポート10Bは管理LAN12によって、サーバ1の管理ポート1Bに、サーバ2の管理ポート2B、サーバ3の管理ポート3Bに夫々接続する。
管理計算機10のハードウェア資源とソフトウェア資源は、複数のサーバ1〜3とスイッチ18の構成の設定、その運用を管理するための管理ツールを実現する。管理計算機10によるサーバ及びスイッチの管理には、サーバ及びスイッチのポート閉塞又は開放、複数のサーバ間の接続関係の変更、スイッチのルーティングの変更等が含まれる。サーバ1〜3の夫々はオペレーティングシステムを稼働させて所定の業務を遂行するとともに、オペレーティングシステム(OS)に、コンピュータウィルス等の不正アクセスの発生等所定のイベントを監視する監視エージェント(1ag、2ag、3ag)を稼働させて、サーバを情報攻撃から防御している。
サーバのオペレーティングシステムとして、系統によって複数存在し、例えば、Windows Server、Unix系OSのSolarisが知られている。サーバは、ファイルサーバ、データベースサーバ、メールサーバ、Webサーバ等のいずれでもよい。
例えば、サーバ1の監視エージェント1agが不正イベントとしてコンピュータウィルスを検知すると、監視エージェント1agはスイッチ18側の内部ポート1Aと管理LAN12の内部ポート1Bとを閉塞して、サーバ1を計算機システムから隔離させて、コンピュータウィルスが他のサーバ2、3や管理計算機10に伝播、拡散しないようにさせている。
サーバ1のオペレーティングシステムが不正イベントを検知すると、計算機システムに不正イベントが拡散しないように、管理計算機10に不正イベントの検知を通知することすら行うことなく、サーバ1の業務ポート1A及び管理ポート1Bを直ちに閉塞する。
ところで、管理計算機10は、サーバ1の隔離がサーバに対する不正イベントに起因することを自ら判定すると、計算機システムの全てのサーバを隔離することによって不正イベントの拡散を防ぎ、そして、不正イベントの侵入経路となった、スイッチの外部ポートを閉塞することによって不正イベントの更なる影響を防ぐようにしている。
しかしながら、管理計算機10が拡散経路や感染経路の切断迄にタイムラグが僅かでもあると、不正イベントが計算機システムに蔓延する虞があるし、一方、不正イベントの影響がない正常サーバまで隔離されると業務を一切継続できなくなる。
そこで、計算機システムでは、不正イベントに影響されたサーバ1が、オペレーティングシステムを介することなく、不正イベントの検知を管理計算機10に通知できればよい。このようにすれば、管理計算機10は、自身が不正イベントに影響されることなく、サーバから不正イベントの発生の通知を受けることができる。オペレーティングシステムを介することなく、サーバから不正イベントを管理計算機10に通知することは、例えば、サーバのシステム管理プロセッサを活用することによって可能になる。
システム管理プロセッサはベースボード上に実装されるものであり、例えば、インテルアーキテクスチャ系のCPUマシンに搭載されるものとして、BMC(Baseboard Management Controller)とISMP(Integrated Systems Management Processors)知られている。システム管理プロセッサは、サーバのCPU、オペレーティングシステムに依存しない、独立の専用のプロセッサとして、サーバのCPU、バス、ファン、温度センサ、電圧、などのハードウェアンポーネントを監視して、監視情報を管理計算機に送信することができる。
そして、システム管理プロセッサは、特定のハードウェアシステムやオペレーティングシステムに依存しない専用のインタフェースである、例えば、IPMI(Intelligent Platform Management Interface)に従って運用される。現在のIPMIとして、バージョン V2.0が提供されている。不正イベントがオペレーティングシステムからシステム管理プロセッサに通知されても、この通知がIPMI等の専用インタフェースに基づくことによって、不正イベントが通知に入り込むおそれはないと云える。
以後の説明として、システム管理プロセッサとしてBMCを利用する。BMCは、サーバハードウェアを監視し、そのステイタスをIPMIに従ってメッセージ化して管理する。IPMIは、メッセージイベントを送受信するためのインタフェースであり、IPMIの仕様に基づいたアクセスによって、サーバのBMCはIPMIメッセージを管理計算機に送信することができる。
IPMIの仕様に依拠したコマンドを利用して、オペレーティングシステムはBMCにアクセスして、所定の情報を通知することが可能になる。IPMIコマンドには、ユーザに開放された領域(OEM領域)があり、不正イベントの監視システム(監視エージェント)は、OEM領域に所定の情報、特に、不正イベントの検知、不正イベントの侵入経路を設定することができる。IPMIコマンドはオペレーティングシステムに依存しないために、IPMIコマンドにコンピュータウィルスが侵入することはないといえる。
BMCは、IPMIコマンドに基づいて、不正イベント(コンピュータウィルス)を判定し、これをBMCの管理ポートから管理LAN12を介して管理計算機に出力することができる。サーバ1は、内部ポート1A,1Bを閉塞しながら、不正イベントの検知をBMCのポートから管理計算機10に出力するために、管理計算機10はサーバ1に不正イベントが発生したことをいち早く知ることが出来る。
次に、計算機システムの詳細を説明する。図2は、サーバ1(2,3)のハードウェア構成の一例である。サーバは、オペレーティングシステムに基づいて所定の業務を実現するための演算処理を実行するCPU104と、ユーザデータを記録する等のストレージ装置(HDD)102と、管理テーブルや制御プログラムを記録するメモリ106と、モニターといった出力媒体110にユーザーインタフェースを出力するためのコンソールとしてのVGAコントローラ108と、BMC112を管理LAN12に接続するためのポートを備えるNIC(Network Interface Card)118と、CPU104(オペレーティングシステム)を管理LAN12に接続させるためのポートを備えるNIC114と、CPU104(オペレーティングシステム)をスイッチ18に接続させるためのポートを形成するNIC100と、を備える。
サーバ1は外部LAN14,16を介して外部サーバに接続してユーザ(クライアント計算機)に所定の業務を提供し、管理LAN12を介して管理計算機10に接続し、管理計算機10からの管理処理を受ける。管理処理として、例えば、複数のサーバ間のネットワーク構成の変更がある。BMC112は、IPMIのバス仕様であるIPMB(Intelligent Platform Management Bus)に基づいて、内部バスによってCPU104と接続されている。したがって、BMC112はサーバのオペレーティングシステムに接続できる。
次に、サーバの機能ブロック図(図3)を説明する。オペレーティングシステム(OS)200には、イベント検知ソフトウェア202と監視エージェント204が稼働されている。イベント検知ソフトウェア202は、コンピュータウイルスの侵入といった不正イベント、及び、その他のイベントを検出可能な公知のソフトウェアであってよい。
監視エージェント204は、イベント検知ソフトウェア202からのイベント検知の通知を受けて、所定の対応処理を提供する。イベント検知ソフトウェア202は、監視エージェント204内の一つのモジュールとして実現されてもよい。
監視エージェント204は、イベント制御モジュール206と、構成変更モジュール208と、を備えている。イベント制御モジュール206はイベントの検知に基づく処理を実現し、構成変更モジュール208は、管理計算機10からのサーバの構成変更の要求を実行する機能を実現する。なお、モジュールは、ソフトウェアによって実現される。
イベント制御モジュール206は、イベント検知ソフトウェア連携モジュール210とイベント対応モジュール212を備える。イベント検知ソフトウェア連携モジュール210は、イベント検知ソフトウェア202を監視してイベントの発生状況を取得する。イベント検知ソフトウェア連携モジュール210が、イベントの発生を取得すると、イベント対応モジュール212にイベントの情報を渡す。
イベント対応モジュール212は、イベントの内容に基づいて、所定の対応処理を行う。イベント対応モジュール212は、コンピュータウィルス(不正イベント)に対しては、サーバのポートの一つ又は複数の閉塞、あるいは再開を制御する。ポートには、管理LANに接続する管理ポートと外部LANに接続する業務ポートが含まれる。イベント対応モジュール212は、不正イベントを判定すると、不正イベントが検出されたサーバ(オペレーティングシステム)の業務ポート(NIC100)、及び、管理ポート(NIC114)を閉塞する。
イベント対応モジュール212は、図4に係るポート構成テーブルを参照して、閉塞又は再開すべきポートや、複数のポートに対してその閉塞又は再開される順番を決定する。ポート構成テーブルは、オペレーティングシステムのポートの情報を保持するものであって、メモリ106に格納されていてよい。ポート構成テーブルのデフォルト値は、サーバの運用が開始される際、サーバ管理者によって設定されることでよい。
ポート構成テーブルは、ポートの識別子と、ポートのIPアドレスと、ポートの現在の状態と、ポートの種別を含む管理情報から構成さる。イベント対応モジュール212は、不正イベントを判定すると、オペレーティングシステムに接続する管理ポート(NIC114)、次いで、オペレーティングシステムに接続する業務ポート(NIC100)の順でポートを閉塞する。この順番の目的は、管理計算機10への不正イベントの伝播を優先的に防ぐことにある。なお、イベント対応モジュール212は、ポートの状態を変更すると、変更後の状態をポート構成テーブルに更新登録する。BMC112に接続するポート(管理ポート(NIC116))は閉塞されない。
BMC112は業務ポートを備えない。計算機システムの運用は、ネットワークから隔離されたサーバをネットワークに復帰させることを含む。イベント対応モジュール212が、サーバ復帰イベントを判定すると、管理ポート(NIC114)を再開させ、さらに、管理計算機10から復帰サーバの他のサーバとのネットワークの構成の変更要求を処理した後、業務ポート(NIC100)を再開させる。
イベント対応モジュール212は、IPMIコマンドに基づいて、BMC112との間で情報を交換することができる。イベント対応モジュール212は、イベントの内容を判定すると、IPMIコマンドにイベントの内容を設定して、IPMIドライバ214を介して、BMC112にIPMIコマンドを通知する。したがって、イベント対応モジュール212は、IPMI制御モジュールを備える。
IPMIコマンドには、ユーザによって定義可能なOEM領域が設定されてあり、OEM領域に設定されるパラメータ群を総称してOEMコマンドと言ったりする。一例として、OEM領域は、OEMコマンドの属性を示すパラメータ、発生したイベントの種類を示すパラメータ、イベントに係る関連情報、例えば、不正イベント(コンピュータウィルス)の侵入経路(例えば,MACアドレス)を示すパラメータを備える。属性を示すパラメータは、OEM領域(C0h-FEh)の内の例えば、1バイトであり、発生したイベントの種類を示すパラメータも同様に1バイトであり、追加情報を示すパラメータは6−32バイトである。
図5にOEMコマンドの例を示す。500で示す領域は、OEMコマンドの属性を示す領域であって、パラメータであるc0は、セキュリティに関する属性であることを示す。“0x01”(502)は、イベントがコンピュータウィルスの感染に対応するパラメータを示し、“0x01 0x02 0x03 0x04 0x05 0x06”(504)はコンピュータウィルスの侵入経路(MACアドレス)を示す。
イベント対応モジュール212は変換テーブルにしたがって発生イベントのパラメータを決定する。図6は、変換テーブルの一例である。発生イベントには、コンピュータウィルス(以後、単に、ウィルス、と略称することもある。)等複数の種類がある。そのうちどのイベントであるかは、イベント検知用のソフトウェアによって決定される。イベント対応モジュール212は、イベントの種別を認識すると、変換テーブルに基づいて、IPMIコマンドのパラメータ502を決定する。
BMC112は、サーバのハードウェア情報および発生イベント情報をSNMP(Simple Network Management Protocol)にしたがって管理計算機10に伝えることができる。BMC112はSNMPに従ってSNMPエージェント218を形成し、さらにIPMIコマンド制御モジュール216を備える。
IPMIコマンド制御モジュール216はIPMIコマンド受信制御モジュール217を備え、受信したIPMIコマンドをSNMPの管理情報に変換ないしはIPMIコマンドからSNMP管理情報を作成して、SNMPエージェント218に通知する。
SNMPエージェント218は、管理計算機10のSNMPマネージャに対して、ハードウェアの管理情報と共にイベントの発生に関連する情報を、SNMPトラップに基づいて通知する。SNMPエージェント218は、宛先テーブルを参照してSNMPマネージャのポートのIPアドレスを決定し、さらに、SNMPの管理情報としてのMIB(Management information base)を参照してSNMPトラップを作成して、SNMPマネージャに、SNMPトラップをオペレーティングシステムのポート(NIC)114とは異なる、BMCのポート(NIC)116から送信する。
IPMIコマンド受信制御モジュール217はIPMIコマンドからMIBのオブジェクトに、不正イベントのパラメータと侵入アドレス等イベント情報を記録する。MIBは、サーバの管理情報が格納されたデータベースであり、プライベートMIB又は拡張MIBの領域に、イベントに関連する情報が定義されればよい。SNMPエージェント218は、MIBを参照し、SNMPトラップを生成し、送信する。SNMPトラップの宛先は、1つ以上のIPアドレスによって構成され、ユーザが手動操作にて設定されることでよい。MIBは、BMCのレジスタに格納されることでもよい。
SNMPトラップには、不正イベントのパラメータと不正イベントの侵入アドレスが記録された、MIBのオブジェクID(OID)が含まれている。SNMPエージェント218は、SNMPトラップを不正イベントが発生した際、アラート情報としてSNPマネージャ(管理計算機10)に送信する。SNMPマネージャ側のMIBはSNMPエージェント側のMIBと同期されているため、SNMPマネージャは、SNMPトラップのOIDから、MIBを参照して不正イベントの内容(パラメータ)をおよび不正イベントの侵入路(アドレス)を知ることができる。なお、BMC112から管理計算機10への管理情報・イベント情報の送信は、IPMIに準拠されたIPMIコマンドによって実行されてもよい。
既述の構成変更モジュール208は、管理計算機10からのサーバの構成変更に係る要求を受信して、構成変更を実行するものとして説明されたが、構成変更とは、不正イベントが検知されたサーバを除き、不正イベントの影響がない一つ又は複数のサーバ(便宜上、「健全サーバ」或いは「健全オペレーティングシステム(健全OS)」と略称する。)に不正イベントが侵入するおそれがないセキュアなネットワークを適用して、不正イベントの影響がないサーバで業務を継続させるための処理を含む。セキュアなネットワークの適用には、例えば、スイッチ18と健全サーバとにVLAN(Virtual LAN)を設定することを含む。
構成変更モジュール208は、管理計算機からの構成変更要求をオペレーティングシステムのポート(NIC114)から受信する構成変更要求受信モジュール220と構成変更実行モジュール222とを備える。構成変更受信モジュール220は、構成変更要求を受信した場合は、構成変更実行モジュール222に対して、構成変更を要求する。構成変更実行モジュール222は、管理計算機10からの構成変更要求であるコマンドに基づいて、既述のセキュアなネットワーク構成を実現するための処理を実行する。この処理の一例は、ネットワーク構成の管理テーブルに、VLANの管理情報として、例えば、フレームに付与されるタグVLANを設定することを含む。
次に、管理計算機10について説明する。管理計算機のハードウェアブロック構成は、既述の業務サーバと同一あるいは類似なので、その説明を省略する。管理計算機は、業務サーバとは異なり、BMCを必ずしも必要としないが、BMCを備えることを妨げない。
次に、管理計算機10の機能ブロックを説明する。図7は管理計算機の機能ブロック図である。管理計算機10は、不正イベントが発生したサーバのポートが閉塞されて計算機システムから隔離されると、当該サーバのBMC112から不正イベントの発生と不正イベントの侵入情報を取得する。さらに、管理計算機10は、不正イベントが侵入した感染経路である、スイッチ18の問題ポートを閉塞して感染の拡大を防止するとともに、不正イベントが検出されないサーバを不正イベントが発生した業務サーバとは独立したセキュアなネットワークに結合して、業務を継続できるようにする。
さらに、具体的に説明する。管理計算機10のオペレーティングシステム(OS)700は、不正イベントが発生していないサーバ2(3)、そして、スイッチ18に対しネットワーク構成を変更するための構成変更ツール702を実現する。構成変更ツール702は、夫々が以下に説明するモジュールである、複数のプログラムによって構成される。
構成変更ツール702は、イベント解析モジュール703を備え、イベント解析モジュール703は、SNMPマネージャ703Aとイベント解析実行モジュール703Bとを備える。SNMPマネージャ703AはSNMPエージェントから送信されるSNMPトラップを受信し、イベント解析実行モジュール703Bに対して、イベントの解析を要求する。イベント解析実行モジュール703Bはイベントを解析して、複数の健全サーバに対するネットワーク構成の変更のための処理を構成変更モジュール704に依頼する。
SNMPマネージャ703Aは、MIBを参照することによって、SNMPエージェントから受信したSNMPトラップに対応したイベント内容(イベントパラメータ)を認識する。イベント解析実行モジュール703Bは、SNMPマネージャ703Aからの要求に基づいて、コマンドテーブル又は後述のイベント対応テーブルを参照して、コマンドパラメータからイベントを決定してこれを解析し、構成変更の内容の決定を構成変更要求モジュール704に依頼する。
表1は、イベント解析実行モジュール703Bによるイベントの解析結果の例である。イベント解析実行モジュール703Bは、解析結果に基づいて後述の管理対象テーブルを書き換える。
構成変更ツール702は、構成変更のための管理対象である、スイッチ、健全OSに構成変更を要求する構成変更要求モジュール704を備える。構成変更要求モジュール704は構成変更内容決定モジュール704Aを備える。構成変更内容決定モジュール704Aは、イベント対応テーブルに基づいて、構成変更内容を決定する。
イベント対応テーブルとは、発生したイベントに対して、サーバのネットワーク構成の変更をどのように実行されるべきかを示すテーブルである。図8にイベント対応テーブルの一例を示す。本テーブルは、イベントパラメータと、当該パラメータに対応した「発生イベント」、発生イベントに対応して実施される「構成変更内容」によって構成される。
構成変更内容は、構成変更を行う対象である、スイッチ、又は、管理対象のサーバ(オペレーティングシステム(OS))にそれぞれ異なる構成変更内容が定義されている。管理対象のオペレーティングシステムとは、不正イベントに関係していないオペレーティングシステム又はそのサーバである。
構成変更内容は、設定中の環境を示す「ケース」と、その環境に対応した構成変更の内容を示す「アクション」によって構成されている。イベント対応テーブルには、不正イベントとして、コンピュータウィルスの検知、不正アクセス、Dos攻撃、が含まれ、その他のイベントとして、閉塞されたオペレーティングシステムの回復(異常回復)が含まれている。イベントは、これらに限られるものではない。
“構成変更”とは、スイッチ18と業務サーバ1(2,3)のオペレーティングシステムとの間でのVLANの設定、あるいは、設定の変更を含む。イベント対応テーブルは、管理計算機10によって管理される業務サーバを、オペレーティングシステムで区別し、不正イベント(コンピュータウィルス)が関与したオペレーティングシステムを感染OS、不正イベントが関与しないオペレーティングシステムを健全OSと表記して区別している。
「スイッチ」の「ケース」欄では、VLANの設定、或いはその変更によって、感染OSを健全OSから隔離して、健全OSだけのネットワークが構成されるための情報が記録されている。VLANの設定には、ポートVLANの設定と、タグVLANの設定がある。複数の健全OSとスイッチとの間でVLAN IDを一致させることによって、感染OSを隔離して、健全OSだけのネットワークを構成することができる。
既述のとおり、イベント解析実行モジュール703Bは、SNMPトラップを介する、不正イベントの侵入経路情報と、不正イベントが検知されたサーバ(オペレーティングシステム)の検知情報に基づいて管理対象テーブルを更新する。構成変更要求モジュール704は、構成変更内容決定モジュール704Aによって決定された構成変更の内容を要求すべき管理対象を、管理対象テーブルに基づいて決定する。
管理対象テーブルは管理対象(サーバ、スイッチ)に関連する情報を管理する。図9に管理対象テーブルの一例を示す。管理対象識別子は、管理対象のオペレーティングシステム、スイッチを識別するための情報であって、オペレーティングシステムおよびスイッチに設定されたユニークな値、例えば、コンピュータ名、スイッチ名である。管理対象識別子は、例えば、構成変更要求モジュール704によって、計算機システムの運用の開始前に設定され、又は、計算機システムの運用態様の変更の際に更新される。
BMCのIPアドレスは、管理ユーザによって事前に設定される。発生イベントは、管理対象サーバで発生したイベントである。デフォルトは正常であり、SNMPマネージャ703AがSNMPトラップを受信したことに基づいて、計算機システムの運用中、イベント解析実行モジュール703Bにより更新される。
OSポートIPアドレスは、業務サーバのオペレーティングシステムのポートに設定されているIPアドレスである。例えば、管理計算機10のオペレーティングシステムが、管理対象である業務サーバ及びスイッチ夫々の管理ポートのIPアドレスにディスカバリーコマンドを発行することによって、業務サーバのオペレーティングシステムから業務ポートのIPアドレスを、スイッチから外部ポート及び内部ポートのIPアドレスを取得することができる。業務サーバとスイッチの管理ポートのIPアドレスはユーザによって設定される。
ポート種は、設定されているポートの使用用途であり、管理又は業務がある。構成変更要求モジュール704は、管理対象サーバ、又は、スイッチの管理ポートに対して構成変更要求を送信する。ポート種は、システム運用開始又は運用形態の変更時に、管理ユーザによって設定されるか、ディスカバリーコマンドによって取得された、ポートのIPアドレスから決定されてもよい。ポート状態の無効とは、ポートが閉塞されたことを意味する。
ポート状態のデフォルトは、有効に設定されている。ポート状態は計算機システムの運用中に、構成変更要求モジュール704によって更新される。構成内容とは、管理対象の構成情報である。管理者によって事前に設定された構成内容は、計算機システムの運用において、構成変更要求モジュールによって、管理対象の構成の変更が完了されると更新される。構成内容は、VLANの設定情報(図8のVLAN情報)を含む。
構成変更内容決定モジュール704Aは、不正イベントの関連経路となった、スイッチの外部ポートの状態を無効(閉塞)にすることを決定し、不正イベントが発生したサーバにつながる、スイッチの内部ポートの状態を無効(閉塞)にすることを決定する。構成変更内容決定モジュール704Aは、管理対象テーブルのスイッチのポート状態を変更する。
構成変更内容決定モジュール704Aは不正イベントが検知されたサーバのポート状態を無効(閉塞)に変更する。なお、図9の管理対象テーブルには、スイッチの情報が記載されていないが、スイッチの情報は後記するスイッチ構成テーブルのとおりである。
構成変更内容決定モジュール704Aは、スイッチのポート状態を変更するために、管理対象テーブル(図9)を参照して、不正イベントが侵入した、スイッチの外部ポートに係る情報として、例えば、表2に示す情報を抽出する。
さらに、構成変更内容決定モジュール704Aは管理対象テーブルを参照して、不正イベントに関係しない、スイッチの正常な外部ポートに係る情報として、例えば、表3に示す情報を抽出する。
次いで、構成変更内容決定モジュール704Aは、ウィルスに感染した外部ポートの閉塞を決定するとともに、健全OSと不正イベントの侵入源となっていない外部LAN(外部サーバ)との間だけでVLANが形成されるように、スイッチの正常な外部ポートと管理対象OS(健全OS)に接続する内部ポート対してVLAN情報(VLAN ID)を、例えば、下記表4のように決定する。構成変更内容決定モジュール704Aは、決定内容に基づいて、イベント対応テーブル(図8)と管理対象テーブル(図9)を変更する。
構成要求モジュール704は、スイッチ18に構成変更のコマンドを発行するスイッチ構成変更要求モジュール704Bと、管理対象サーバの監視エージェント204の構成変更要求受信モジュールに220に構成変更のコマンドを発行するサーバ構成変更要求モジュール704Cとを備える。
スイッチ構成変更要求モジュール704Bは、管理対象テーブルを参照して、管理対象スイッチに対するVLANの設定情報等に基づいて、例えば、下記表5に示すスイッチ構成を実現するためのスイッチ構成変更要求コマンドを作成して、スイッチ18の管理ポート18Cに対してコマンドを出力する。
スイッチ18のコントローラは、スイッチ構成の変更を実行する。即ち、スイッチのコントローラは、スイッチ構成変更プログラムを実行して、スイッチ構成変更要求コマンドに基づいて、問題となった外部ポートの閉塞、VLANの対象となった外部ポートおよび内部ポートのインタフェースにポートVLAN IDの設定、フレーム処理システムへのタグVLAN IDの設定等を実行する。
次いで、構成変更内容決定モジュール704Aは、構成変更の対象となる管理対象サーバを割り出すために、管理対象テーブルを参照して、スイッチのVLANが設定される、スイッチの内部ポートのIPアドレスを抽出する。さらに、構成変更内容決定モジュール704Aは、管理対象テーブルを参照して、当該内部ポートに接続する管理対象サーバのポート情報を、例えば、表6に示すように、抽出する。構成変更内容決定モジュール704Aは、内部ポートが複数ある場合は夫々について、管理対象サーバのポート情報を、例えば、表6に示すように、抽出する。
サーバ構成変更要求モジュール704Cは、管理対象テーブルを参照して、管理対象サーバの識別子に基づいて、VLANの設定情報を参照し、例えば、下記表7に示す、サーバの構成変更を実現するためのサーバ構成変更要求コマンドを作成して、管理対象サーバの管理ポート2B(3B)に対してコマンドを出力する。
サーバ構成変更要求コマンドを受信したサーバの構成変更実行モジュール222は、タグVLAN IDを、フレーム処理システムに設定する。なお、ポートVLAN IDがサーバ構成変更要求コマンドに含まれないのは、サーバの業務ポートが接続する、スイッチの内部ポートにポートVLAN IDが設定されていれば十分だからである。
構成変更ツール702は、さらに、イベントの発生状況、構成情報をユーザに認識させるためのイベント出力モジュール706を備える。イベント出力モジュール706は、コンソール出力モジュール706Aと、メール通知モジュール706Bとを備える。コンソール出力モジュール706Aは、管理対象テーブルを参照し、管理対象の発生イベント・構成変更内容を出力媒体に表示し、メール通知モジュール706Bは、管理対象テーブルを参照し、管理対象の発生イベント・構成変更内容をメールにてサーバ管理者に送信する。
コンソール出力モジュール706Aは、ウイルスといった発生イベント、ポート閉塞といった構成変更内容と、それによって変更された箇所を、管理対象構成情報の一覧として、出力媒体へと表示する。表8は、その一例である。
管理計算機10が、サーバの構成の変更を行う都度、コンソール出力モジュール706Aが表意を能動的に実施しても、あるいは、サーバ管理者の操作を契機として表示を行ってもよい。表示する内容は、管理対象全ての構成情報であっても、構成変更が行われた対象サーバのみであってもよい。また構成変更またはイベント発生時刻が出力される形であってもよい。
次に、感染OSを隔離して、複数の健全OSにVLANのネットワークを形成するために、スイッチの構成を変更する過程を具体的に説明する。スイッチの構成の変更は、既述のように、スイッチ構成変更要求モジュール704Bによって実行される。構成変更ツール702は、スイッチの構成情報をスイッチ管理テーブルによって管理する。
スイッチ構成変更要求モジュール704Bは、スイッチ18に構成変更コマンドを発行してスイッチ管理テーブルの登録内容を更新する。スイッチの構成を管理するスイッチ管理対象テーブルを図10に示す。図11は、当該テーブルに登録されたスイッチ構成のブロック図である。
スイッチ管理対象テーブルは、管理計算機10の内部メモリに記録されていてよい。管理者が管理計算機10の構成変更内容決定モジュール704Aにスイッチ18の管理ポートのIPアドレスを入力すると、ディスカバリーコマンドがスイッチ18に発行されて、スイッチ18からポートの構成情報を取得して、これをスイッチ管理テーブルに登録する。スイッチ管理対象テーブルの各項目の説明は、既述の管理対象テーブル(図9)の説明を参照されたい。VLAN IDはポートVLANのIDである。
図11は、外部LAN1(又は、外部サーバ1)14に接続されている外部ポートAと、外部LAN2(又は、外部サーバ2)16に接続されている外部ポートBとは、それぞれ、内部ポート1、内部ポート2、及び、内部ポート3にルーティングが行われている環境を示している。内部ポート1はサーバ1に接続し、内部ポート2はサーバ2に接続し、内部ポート3はサーバ3に接続している。
同一のVLAN IDが設定されているポート同士の間でVLANが設定されている。スイッチのポート0は管理計算機10に接続している。図10、図11は、サーバ1〜3に不正イベントが生じることなく、サーバ1〜3が正常に稼働していることを示している。
次に、図12に示すように、サーバ1の監視エージェントによってコンピュータウィルスが検知されると、サーバ1の業務ポート(内部ポート1に繋がるポート)が閉塞され、かつ、ポートA(コンピュータウィルスの侵入路)が管理計算機10によって閉塞される。そして、管理計算機10は、ポートBとサーバ1とサーバ2とに、サーバ1とポートAを含まないネットワークを形成するために、感染したサーバ1のポートに設定していたVLANとは別なVLANを設定して、スイッチ管理テーブルを図13に示すように変更する。
図13において、VLAN IDの“130”は、ポートBとサーバ1とサーバ2とに設定されたVLANのポートVLAN IDである。なお、サーバ側のポートが閉塞されると、スイッチ側のポートが有効であっても、サーバとVLANが設定されない。
次に、スイッチの構成変更について、他の例を説明する。図14に示すスイッチのブロック構成によれば、ポートAはポート1に、ポートBは、ポート2,ポート3にスイッチ内部でルーティングされている。このスイッチの構成は図15の構成テーブルによって説明される。スイッチには、ポートAとポート1のVLAN(VLAN ID:110)が、ポートB、ポート2,そして、ポート3のVLAN(VLAN ID:120)が夫々設定されている。
次に、サーバ1がポートAを介するコンピュータウィルスを検出すると、ポートAとサーバ1の業務ポートが閉塞される。このとき、ポートAとポート1のVLAN ID(110)と、ポートB、ポート2,そして、ポート3のVLAN ID(120)は重複しないため、ポートAとポート1のVLANは解消されながら、ポートB、ポート2,そして、ポート3のVLANIDはそのまま維持される(図16参考)。
次に、計算機システムの全体の動作を改めて説明する。図17、図18は、サーバのオペレーティングシステムがコンピュータウィルスに感染してから、当該オペレーティングシステムがネットワークから隔離されるまでのフローチャートである。
先ず、感染OS(図1のOS1)の監視エージェント1agのイベント検知ソフト連携モジュール210(図3)が、イベント発生(コンピュータウィルス)を検知する(S101)と、イベント対応モジュール212が、ポート構成テーブル(図4)を参照して(S102)、感染OSの管理LAN12(図1)との管理ポート1Bを閉塞する(S103)。
次いで、イベント対応モジュール212はポート構成テーブルを参照して、感染OS(OS1)のスイッチ18との業務ポート1Aを閉塞する(S104)。さらに、イベント対応モジュール212は、IPMIコマンドのOEM領域を利用して、イベント(コンピュータウィルスの検出)を、同一サーバ内BMC112に通知する(S105)。
BMC112のIPMIコマンド制御モジュール216はこの通知を受けて、受信コマンドを解析する(S106)。BMC112のSNMPエージェント218は、SNMP宛先テーブル・MIBを参照して(S107)、SNMPトラップを作成し(S108)、これをSNMPマネージャ703A(図7)にアラートとして送信する(S109)。
SNMPマネージャ703AはSNMPトラップを受信すると(S111)、イベント解析モジュール703Bがイベントを解析して(S112)、構成変更内容決定モジュールがイベント対応テーブルを参照して構成変更内容を決定する。次いで、構成変更内容決定モジュール704Aは、管理対象テーブル(図9)を参照して(S113)、さらに、イベント対応テーブル(図8)を参照して(S114)、構成変更すべき管理対象を決定し、構成変更内容を決定する。
次いで、スイッチ構成変更要求モジュール704Bは、構成変更の内容に基づいてスイッチ管理対象テーブル(図10)を更新し、スイッチの管理ポート(ポート0)(図11)に構成変更のコマンドを送信する(S115)。スイッチ内のコントローラは、受信したコマンドに基づいてスイッチ内のポートのうちコンピュータウィルスの侵入ポートを閉塞し、健全OSとのVLANを設定する上で必要ある場合には、ポートのVLANを変更する(S116)。
さらに、サーバ構成変更要求モジュール704Cが、健全OSのオペレーティングシステムの管理ポート114を介して、監視エージェント2ag,3agに構成変更を要求する(S117)。例えば、サーバ構成変更要求モジュール704Cが健全OSの管理エージェントにタグVLAN IDの変更を要求することがある。
健全OSの監視エージェントの構成変更要求受信モジュール220が構成変更の要求を受信して、これを解析し(S118)、構成変更要求実行モジュール222がスイッチ18のVLANの設定内容に合わせて、オペレーティングシステムのVLANの構成の変更を実行する(S119)。そして、管理計算機18のイベント出力モジュールが構成変更内容を出力する(S120,S121)。
次に、閉塞されたサーバを計算機システムに復帰させる場合の動作を説明する。復帰は、イベントの一つとして管理されている。閉塞されたサーバの監視エージェントが、イベント検知ソフトウェアがコンピュータウィルスを駆除したことを検知すると、閉塞したポートを、管理ポート、業務ポートの順に再開させ、異常回復のパラメータ(図6)をIPMIコマンドによってBMC112に通知する。
アラート(SNMPトラップ)を受けた管理サーバの構成変更要求モジュール704は、管理対象テーブルを参照し、感染OSを健全OSに変更するための管理情報で管理対象テーブルを変更するとともに、異常回復がされたOSを健全OSのVLANに組み入れるための、VLAN管理情報を異常回復がされたOSに適用する。構成変更要求モジュール704は、構成変更要求を異常回復がされたOSの監視エージェントに対して要求する。
監視エージェントは、管理サーバ10から受信した構成変更情報に従い、ネットワークの構成を変更する。なお、再びコンピュータウィルスの侵入を排除しつづけるために、スイッチにおいて、閉鎖された外部ポートの再開は実施しないことがよい。以上により、異常回復がされたOSは健全OSと同じネットワークに組み入れ業務を再開させることが可能となる。
そして、仮想化されたサーバにも本発明を適用することができる。図19は、仮想化されたサーバの機能ブロック図である。一つの物理サーバにおいて、仮想マシンモニタ(ハイパバイザ)400により複数の仮想マシン402,404(ゲストOS)が生成され、それぞれの仮想マシン上にオペレーティングシステムが稼働している。
イベントが発生した場合、まず、監視エージェント204は、オペレーティングシステムのポートを閉塞させる。ここで閉塞させるのは、ゲストOSが認識している業務用の仮想NIC408および管理用の仮想NIC408である。仮想NICとは、ゲストOSが使用するNICであって、仮想マシンモニタにより、物理NICがエミュレーションされたものである。
仮想NICは、ゲストOS上からは、物理NICと同様に認識されるため、監視エージェント204は物理環境に対するのと同じ動作によりポート(仮想NIC)の閉塞を行うことができる。仮想マシンモニタ400は、仮想環境を実現するモジュールであって、仮想マシンを生成し、ゲストOSが使用するリソースの制御を行う。
仮想IPMI制御モジュール410は、BMC112のIPMI制御モジュール420が、仮想マシンモニタ400によりエミュレーションされたモジュールである。仮想IPMI制御モジュール410は、仮想マシンのOS上の仮想IPMIドライバに含めることも可能であり、その場合、物理環境と同様に、ゲストOSからのIPMIコマンドが仮想マシンモニタを介さずBMC112へと渡される。
仮想スイッチモジュール412は、仮想マシンモニタ400に組み込まれている、論理的なスイッチモジュールである。一つの物理NICを、複数のゲストOSで使用するために、物理NICが受信したパケットのルーティングを行う。ゲストOSはこの仮想スイッチモジュール412を介し、外部との通信を行う。
監視エージェント204は、IPMIコマンドを発行し、BMC112にイベント発生を伝える。仮想環境では、仮想IPMIドライバ430から仮想マシンモニタ400の仮想IPMI制御モジュール410およびIPMIドライバ214を介し、BMC112にイベント発生が伝えられる。仮想IPMIドライバ430は、ゲストOSによって使用される。ゲストOS上で実行されたIPMIコマンドを、仮想IPMIドライバ430が仮想IPMI制御モジュール410に渡す。なお。符号12Aは、スイッチ18に接続する業務用LANである。
オペレーティングシステムがウイルスに感染してから、オペレーティングシステムをネットワークから隔離して、他のオペレーティングシステムのネットワークを形成するための動作は、ゲストOS(仮想マシン)毎に実行されるだけで、物理環境におけるオペレーティングシステムの説明(図17、18)とほぼ同様である。但し、管理計算機10からの構成変更要求を健全なゲストOSにルーティングするために、仮想スイッチの構成が、構成変更モジュール704によって変更される。
既述の説明では、管理計算機10からサーバ2(3)への構成変更の要求は、オペレーティングシステムのコマンドを利用して、当該コマンドをサーバのオペレーティングシステムの管理ポート2B(3B)に送信されたが、当該要求は、サーバのBMC112に要求することもできる。この形態は、管理計算機からサーバへのコマンドの発行手段の代替を意味することでもある。サーバの構成変更要求モジュール704からBMCへのコマンドの送付は、SNMPインタフェースのSNMPトラップ及びMIBを利用する方式の他、IPMIインタフェースを利用する方式がある。
前者の方式では、管理計算機のSNMPマネージャからサーバのSNMPエージェントに構成変更要求のためのSNMPトラップが送信される。SNMPエージェントは、SNMPトラップからIPMIコマンドを生成する。監視エージェントのIPMI制御モジュールは、IPMIコマンドを解析して構成変更要求を抽出する。
後者の方式では、この態様では、管理計算機の構成変更要求モジュール704は、SNMPに代えてIPMIインタフェースを利用して、サーバのBMCのIPMIコマンド受信制御モジュール217にIPMIコマンドを発行する。管理計算機は、IPMIコマンドのOEM領域を利用して、構成変更をサーバに要求する。IPMIコマンドには、コマンド種別(構成変更要求のコマンドであること)ポートの状態(0:閉塞、1:有効)、ポート種別(管理または業務ポート)、VLAN IDが含まれている。健全OSの管理エージェントの構成変更要求受信モジュール220は、BMCを監視(ポーリング)することによって、構成変更の要否を確認/認識する。監視の際は、構成変更要求受信モジュール220は、IPMIコマンドにより、BMCに構成変更内容を要求し、BMCからのコマンドの応答により構成変更内容を判断する。次いで、構成変更実行モジュール220は構成変更を実行する。
産業上の利用性
本発明は計算機システムに係り、詳しくは、所定の業務を実行可能な業務計算機と、当該業務計算機を管理する管理計算機とを備える計算機システムとして利用されるものである。

Claims (15)

  1. 夫々が所定の業務を実行可能な複数の業務計算機と、
    前記複数の業務計算機を夫々管理する管理計算機と、
    を備える計算機システムであって、
    前記複数の業務計算機の夫々は、
    オペレーティングシステムを実行するコントローラと、
    計算機ハードウェアを管理するための管理プロセッサと、
    を備え、
    前記コントローラは、所定イベントを監視する監視プログラムを実行し、
    前記管理プロセッサは、前記管理計算機に接続されるためのポートを介して、検知されたイベントの情報を前記管理計算機に送信する、
    計算機システム。
  2. 前記コントローラは、前記監視プログラムによって検出されたイベントの情報を、前記オペレーティングシステムに依存しないインタフェースによって、前記管理プロセッサに通知する、
    請求項1記載の計算機システム。
  3. 前記コントローラから前記所定イベントの検知が前記管理計算機に通知されることなく、当該コントローラは、当該所定イベントが検知された業務計算機を計算機システムから隔離する、
    請求項2記載の計算機システム。
  4. 前記複数の計算機に接続されるスイッチを備え、
    前記コントローラは、前記所定イベントとして、コンピュータウィルスを検知すると、
    当該コンピュータウィルスが検知された業務計算機の前記管理計算機に接続されるための
    ポートと前記スイッチに接続されるためのポートとを閉塞する
    請求項3記載の計算機システム。
  5. 前記管理プロセッサは、BMC(ベースボード マネジメント コントローラ)を備え、
    前記インタフェースは、前記BMC専用のインタフェースである、
    請求項2記載の計算機システム。
  6. 前記コントローラは、前記BMC専用インタフェースの仕様に依拠したコマンドを利用して、前記所定イベントの情報を、前記BMCに通知する
    請求項5記載の計算機システム。
  7. 前記コマンドは、前記検知されたイベントの種類と、当該イベントの侵入経路の情報を含む、
    請求項6記載の計算機システム。
  8. 前記BMCは、SNMP(シンプル ネットワーク マネジメント プロトコル)にしたがって、SNMPエージェントから、前記イベントの情報をSNMPトラップに基づいて前記管理計算機のSNMPマネージャに通知する、
    請求項6記載の計算機システム。
  9. 前記管理計算機は、前記イベントの侵入経路を閉塞する、
    請求項7記載の計算機システム。
  10. 前記管理計算機は、前記隔離される業務計算機を含まないように、前記複数の業務計算機間の接続関係を変更する、
    請求項記載の計算機システム。
  11. 前記複数の業務計算機に接続されるスイッチを備え、
    前記管理計算機は、前記隔離される業務計算機を含まないように接続される複数の業務計算機と前記スイッチとに、当該複数の業務計算機を接続するためのVLANを設定する請求項10記載の計算機システム。
  12. 前記管理計算機は前記接続関係の変更の要求を前記複数の業務計算機夫々のオペレーティングシステムに要求する
    請求項10記載の計算機システム。
  13. 前記複数の業務計算機の少なくとも一つの業務計算機に複数のゲストOSが設定され、
    当該少なくとも一つの業務計算機のコントローラは、前記複数のゲストOS夫々について前記所定イベントを監視する、
    請求項2記載の計算機システム。
  14. 前記コントローラから前記所定イベントの検知が前記管理計算機に通知されることなく、当該コントローラは、当該所定イベントが検出されたゲストOSを計算機システムから隔離する、
    請求項13記載の計算機システム。
  15. オペレーティングシステムを実行するコントローラを備える計算機が、当該コントローラによってコンピュータウィルスの感染を含むイベントを監視しがら業務を実行し、
    前記イベントが検出された場合には、当該イベントの情報を、前記計算機の計算機ハードウェア管理のための専用プロセッサを介して、管理計算機に送信する計算機制御方法。
JP2017561490A 2016-01-15 2016-01-15 計算機システム及びその制御方法 Active JP6518795B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/051159 WO2017122353A1 (ja) 2016-01-15 2016-01-15 計算機システム及びその制御方法

Publications (2)

Publication Number Publication Date
JPWO2017122353A1 JPWO2017122353A1 (ja) 2018-05-10
JP6518795B2 true JP6518795B2 (ja) 2019-05-22

Family

ID=59311168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017561490A Active JP6518795B2 (ja) 2016-01-15 2016-01-15 計算機システム及びその制御方法

Country Status (3)

Country Link
US (1) US10623439B2 (ja)
JP (1) JP6518795B2 (ja)
WO (1) WO2017122353A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10536535B2 (en) * 2016-12-01 2020-01-14 Hongfujin Precision Electronics(Tianjin)Co.,Ltd. Management system for internet protocol address of baseboard management controller, management terminal, and management method
US10567379B2 (en) 2017-06-26 2020-02-18 Bank Of America Corporation Network switch port access control and information security
US11159627B1 (en) * 2017-10-20 2021-10-26 Parallels International Gmbh Seamless remote network redirection
US11012291B2 (en) * 2018-10-31 2021-05-18 Dell Products L.P. Remote access controller support system
US11063809B2 (en) * 2018-12-07 2021-07-13 Hewlett Packard Enterprise Development Lp Redundant simple network management protocol (SNMP) systems and methods
US11652831B2 (en) * 2020-04-14 2023-05-16 Hewlett Packard Enterprise Development Lp Process health information to determine whether an anomaly occurred
JP7014456B2 (ja) * 2020-04-28 2022-02-01 Necプラットフォームズ株式会社 不正判定システム、不正判定方法及びプログラム
CN113032066B (zh) * 2021-02-23 2023-05-23 新华三信息技术有限公司 一种服务器管理方法及装置
CN115348162A (zh) * 2022-08-05 2022-11-15 昆仑太科(北京)技术股份有限公司 一种基板管理控制器bmc固件的端口管理系统及方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1173384A (ja) 1997-08-29 1999-03-16 Nec Corp ウィルス対応ネットワーク接続コンピュータ
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
US7200758B2 (en) * 2002-10-09 2007-04-03 Intel Corporation Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem
US7430760B2 (en) * 2003-12-05 2008-09-30 Microsoft Corporation Security-related programming interface
US7685281B1 (en) * 2004-02-13 2010-03-23 Habanero Holdings, Inc. Programmatic instantiation, provisioning and management of fabric-backplane enterprise servers
US20070192862A1 (en) * 2004-05-12 2007-08-16 Vincent Vermeulen Automated containment of network intruder
US9286469B2 (en) * 2005-12-16 2016-03-15 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic signature generation
JP2007265023A (ja) 2006-03-28 2007-10-11 Fujitsu Ltd 情報処理装置及びその管理方法並びに管理プログラム
EP2055069B1 (en) * 2006-06-13 2020-04-08 NXP USA, Inc. A method and device for providing a security breach indicative audio alert
US7853958B2 (en) * 2006-06-28 2010-12-14 Intel Corporation Virtual machine monitor management from a management service processor in the host processing platform
US8286238B2 (en) * 2006-09-29 2012-10-09 Intel Corporation Method and apparatus for run-time in-memory patching of code from a service processor
US8856782B2 (en) * 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US20090125901A1 (en) * 2007-11-13 2009-05-14 Swanson Robert C Providing virtualization of a server management controller
US7797748B2 (en) * 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture
US20100083381A1 (en) 2008-09-30 2010-04-01 Khosravi Hormuzd M Hardware-based anti-virus scan service
KR101201622B1 (ko) 2010-08-19 2012-11-14 삼성에스디에스 주식회사 보안 기능을 가진 시스템 온 칩 및 이를 이용한 디바이스 및 스캔 방법
US9990238B2 (en) * 2012-11-05 2018-06-05 Red Hat, Inc. Event notification
US9882919B2 (en) * 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US9147086B1 (en) * 2013-06-07 2015-09-29 Amazon Technologies, Inc. Trusted computing host
TW201501487A (zh) * 2013-06-28 2015-01-01 Ibm 無網路位址之端點管理資訊設備

Also Published As

Publication number Publication date
JPWO2017122353A1 (ja) 2018-05-10
US10623439B2 (en) 2020-04-14
US20180212979A1 (en) 2018-07-26
WO2017122353A1 (ja) 2017-07-20

Similar Documents

Publication Publication Date Title
JP6518795B2 (ja) 計算機システム及びその制御方法
KR101394424B1 (ko) 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US11743289B2 (en) Managing transmissions of virtual machines using a network interface controller
US8566941B2 (en) Method and system for cloaked observation and remediation of software attacks
JP4196989B2 (ja) ウィルスの感染を阻止する方法およびシステム
JP6083009B1 (ja) Sdnコントローラ
US9800547B2 (en) Preventing network attacks on baseboard management controllers
US8220049B2 (en) Hardware-based detection and containment of an infected host computing device
TWI362206B (en) Network traffic management by a virus/worm monitor in a distributed network
US8154987B2 (en) Self-isolating and self-healing networked devices
US7703138B2 (en) Use of application signature to identify trusted traffic
US20170054686A1 (en) Agentless Security of Virtual Machines using a Filtering Platform
US20100071065A1 (en) Infiltration of malware communications
US20070006307A1 (en) Systems, apparatuses and methods for a host software presence check from an isolated partition
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
CN104023034A (zh) 一种基于软件定义网络的安全防御系统及防御方法
CA3021285C (en) Methods and systems for network security
JP2003241989A (ja) コンピュータウイルス発生検出装置、方法、およびプログラム
CN102292939A (zh) 网络安全系统以及远程机器隔离方法
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
Al-Rushdan et al. On detection and prevention of zero-day attack using cuckoo sandbox in software-defined networks.
JP6851211B2 (ja) ネットワーク監視システム
JP5548095B2 (ja) 仮想制御プログラム、情報処理装置及び仮想制御方法
JP2015082191A (ja) 情報処理装置、情報処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190422

R150 Certificate of patent or registration of utility model

Ref document number: 6518795

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150