JP6576551B2 - 仮想プライベートコンテナを生成する技法 - Google Patents

仮想プライベートコンテナを生成する技法 Download PDF

Info

Publication number
JP6576551B2
JP6576551B2 JP2018517163A JP2018517163A JP6576551B2 JP 6576551 B2 JP6576551 B2 JP 6576551B2 JP 2018517163 A JP2018517163 A JP 2018517163A JP 2018517163 A JP2018517163 A JP 2018517163A JP 6576551 B2 JP6576551 B2 JP 6576551B2
Authority
JP
Japan
Prior art keywords
data
virtual container
customer
vpc
storage medium
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018517163A
Other languages
English (en)
Other versions
JP2018531459A (ja
JP2018531459A6 (ja
Inventor
ナッケンバーグ・ケアリー・エス
アグベイビアン・ポール
ソーベル・ウィリアム・イー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2018531459A publication Critical patent/JP2018531459A/ja
Publication of JP2018531459A6 publication Critical patent/JP2018531459A6/ja
Application granted granted Critical
Publication of JP6576551B2 publication Critical patent/JP6576551B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

関連出願の相互参照
本特許出願は、2015年10月6日に出願された米国特許出願番号第14/876,403号に対する優先権を主張し、それは、本明細書に全体にわたり参照により組み込まれる。
本開示は、概ねデータ分析に関し、より具体的には仮想プライベートコンテナを生成するための技法に関する。
データリポジトリが、複数のデータセットを中心に設計された中央サービスと共に次第に遠隔地に移動するにつれて、顧客らは、データのセキュリティについてますます関心を持つようになっている。データ漏洩は、前例のないことではなく、環境が、適切にサニタイズされず、保護されていない場合は、顧客データの意図しないアクセス及び悪意のあるアクセスの両方が、発生することがある。
これらの問題は、第三者機関による付加価値分析の存在で更に悪化する。様々なセキュリティ及び許可の混乱は、例えば、顧客が、特定のサードパーティのツールを利用して彼らのセキュアデータを分析したいと考える場合に生じることがある。データを引き出し、アクセスしてサードパーティに渡すこと、又は更に悪いことにサードパーティにデータリポジトリへのユーザの独自の許可証明書を提供することは、データ漏洩又は破損のリスクを大きく増大させ、それ自体に価値があり得る分析よりも問題に有利な状況を提供する恐れがある。
この理由により、サービスプロバイダは、データ環境を顧客のニーズに合わせるためにかなりの工数を費やす。これらのカスタム環境は、カスタム環境を作ることに関連した人件費のために高額であるだけでなく、カスタム環境におけるユーザエラーが悪用可能な脆弱性、つまりデータ漏洩の原因となるアクセスエラーをもたらさないという特別な保証はない。
上記の観点から、5つのオフサイトリポジトリに記憶されたデータへのカスタマイズされたアクセスについて、現在の技法に関連する重大な問題と欠点が起こり得ることが理解できるであろう。
仮想プライベートコンテナを生成する技法が開示される。一実施形態では、技法は、内蔵型ソフトウェア環境を定義する仮想コンテナとして実現されてもよく、仮想コンテナは、コンテナ内のデータ上で指定した分析機能を実行するように構成されている、コンテナの内蔵型ソフトウェア環境内で実行するために分離されている、1つ以上の分析構成要素と、特定のユーザを識別し、認証し、1つ以上の分析構成要素によって生成された分析結果を提供するように構成されているインタフェースと、仮想コンテナの外部の1つ以上のセキュアデータからデータを受信するように構成されており、1つ以上の分析構成要素が使用するために特定のユーザと関連しているゲートウェイと、を含む。
本実施形態の他の態様によれば、仮想コンテナは、無許可のシステムへのアクセス及び無許可のシステムからのアクセスを制限するように構成され得る。
本実施形態の他の態様によれば、1つ以上の分析構成要素は、仮想マシンであり得る。
本実施形態の他の態様によれば、インタフェースは、顧客に提供されるアプリケーションへデータを提供し得る。
本実施形態の他の態様によれば、仮想コンテナは、仮想コンテナテンプレートから生成され得る。仮想コンテナテンプレートは、顧客に対してデータ分析を提供するサードパーティサービスプロバイダによる仕様に基づいて生成され得る。テンプレートの仕様は、1つ以上の分析構成要素を含み得る。
本実施形態の更なる態様によれば、コンテナは、サードパーティサービスプロバイダからのデータ分析を使用するという顧客の決定に基づいて、仮想コンテナテンプレートから生成され得る。
別の実施形態によれば、技法は、サービスプロバイダから仮想コンテナの仕様を受信する工程であって、仕様は、分析構成要素と、データ入来パラメータと、構成情報と、を含む、工程と、受信した仕様に基づき、分析構成要素を含む仮想コンテナを生成する工程であって、仮想コンテナは、データ入来パラメータに従ってデータにアクセスするように構成され、仮想コンテナは、指定した構成情報に従って構成される、工程と、を含むコンピュータ生成方法として実現され得る。仮想コンテナは、無許可のシステムへのアクセス及び無許可のシステムからのアクセスを制限するように構成され得る。
本実施形態の他の態様によれば、データ入来パラメータは、ストリーミングデータ伝送を指定してもよいか、又はバッチデータ伝送を指定してもよい。
本実施形態の他の態様によれば、方法は、サービスプロバイダに関連するサービスの第1の顧客を認証する工程と、第1の顧客を認証する工程に応じて、仮想コンテナに、第1の顧客に関連するセキュアデータへのアクセスを許可する工程と、サービスプロバイダに関連するサービスの第2の顧客を認証する工程と、第2の顧客を認証する工程に応じて、仮想コンテナに、第2の顧客に関連するセキュアデータへのアクセスを許可する工程と、を更に含んでもよく、その結果仮想コンテナは、両方の顧客に関連するデータへのアクセスを有する。
本実施形態の他の態様によれば、分析構成要素は、仮想マシンであり得る。
本実施形態の他の態様によれば、構成情報は、分析構成要素間のネットワーク構成を含み得る。
本実施形態の他の態様によれば、仕様は、リソースを更に指定することができ、生成された仮想コンテナは、指定されたリソースを含む。
本実施形態の更なる態様によれば、仕様は、データを記憶する仮想コンテナ内部のリポジトリを含み得る。
別の実施形態によれば、技法は、少なくとも1つのプロセッサ読み取り可能な記憶媒体及び少なくとも1つの媒体上に記憶された命令を含む製造物品として実現され得る。命令は、少なくとも1つのプロセッサによって少なくとも1つの媒体から読み取り可能であり、したがって上述の方法の工程のうちいずれか及び全てを実行する(car)’out)ように、少なくとも1つのプロセッサを動作させるように構成されていてもよい。
別の実施形態によれば、技法は、ネットワークに通信可能に連結された1つ以上のプロセッサを含むシステムとして実現されてもよく、1つ以上のプロセッサは、上記実施形態のいずれかに関して記載された工程のいずれか及び全てを実行するように構成される。
以下、添付の図面に示されるように、特定の実施形態を参照して本開示を更に詳細に説明する。本開示は特定の実施形態を参照して以下に説明されるが、本開示がそれに限定されないことを理解されたい。本明細書中の教示に接する機会のある当業者であれば、他の使用分野のみならず、追加的な実施、変形例、及び実施形態も認めるであろうし、それらは、本明細書中に記載される本開示の範囲に含まれ、本開示の重要な有用性に関するものである。
本開示のより完全な理解を促すために、添付の図面を参照されたい。同様の要素には、同様の数字が付される。これらの図面は、本開示を限定するものとして解釈するべきではなく、単に例示することだけを意図している。
本開示の実施形態によるネットワークアーキテクチャを示すブロック図である。 本開示の実施形態によるコンピュータシステムを示すブロック図である。 本開示の実施形態による仮想プライベートコンテナ(VPC)生成モジュールを図示するブロック図である。 本開示の実施形態によるVPCを示すブロック図である。 本開示の実施形態によるVPC生成の方法を示す。
本開示の実施形態は、機密のテレメトリックデータへの安全なカスタマイズされたアクセスを提供するための自動サービスを説明する。顧客データに基づいた分析を提供したいと考えるサービスプロバイダの場合、プロバイダは、サービスのデータ分析のための必要条件の全てを満たす仮想プライベートコンテナ(VPC)についてデータアグリゲータに仕様を提出することができる。続けて、サービスを使用したいと考えるデータ提供者は、データアグリゲータに許可を提供することができ、ユーザのデータに対して安全にアクセスする要求された仕様によるVPCをもたらす。それぞれの関連する顧客について、データはVPCに入り、それが今度は結果を顧客に伝達する。VPCは、データアクセス制限をバイパスし、データをコピー又は再送する手段としてVPCを不適切に使用することができないようなデータ流出上の制限を含む。
システムは、環境必要条件の完全なリストを含むアプリケーションの仕様を受信し、そのリストには、ソフトウェア定義ネットワークレイアウト、アプリケーションを作成する仮想マシン(VM)イメージのリスト、それぞれ必要なVMのVMメモリ及びCPU仕様、ストレージ必要条件(ダイレクト又はオブジェクトストレージ)、アプリケーションがこのデータへのストリーミングアクセス及び/又はバッチアクセスを必要とするかどうかと共に、アプリケーションがアクセスを必要とする特定のテレメトリックスキーマタイプの詳細リスト(例えば、FWスキーマ、AVスキーマ)が挙げられる。システムは、データ入来及び流出に関する非常に明確なルールによって定められた必要条件に適合する仮想プライベートコンテナのインスタンスを生成する。要求されたデータは、VPCにインポートされる予め決められた基準にマッチする必要があり、大量データのエクスポートは完全に禁止される。適切に認証されたユーザ及び/又はサービスが、安全な方法で分析結果を検索できるようにするVPCから、事前定義されたインタフェースの特定のセットのみが露出することになる。データは、VPCの領域内で自由に操作され得るが、VPC間でデータを移動させるための機構又は、VPCから大規模システムへ結果を再アップロードするための機構はない。したがって、それぞれのクライアントの分析能力は最大化し、一方でセキュリティに対する脅威は最小化する。
図1は、本開示の実施形態によるネットワークアーキテクチャ100を示すブロック図である。図1は、ネットワークアーキテクチャ100の簡略図であり、図中に示されていない付加的な要素を含んでもよい。ネットワークアーキテクチャ100は、クライアントシステム110、120及び130、並びにサーバ140A〜140N(これらの各々の1つ以上は図2に示すコンピュータシステム200を用いて実装されてもよい)を含んでもよい。クライアントシステム110、120及び130は、ネットワーク150に通信可能に連結することができる。サーバ140Aは、記憶装置160A(1)〜(N)と通信可能に連結されてもよく、サーバ140Bは、記憶装置160B(1)〜(N)と通信可能に連結されてもよい。サーバ140A及び140Bは、SAN(ストレージエリアネットワーク)ファブリック170と通信可能に連結することができる。SANファブリック170は、サーバ140A及び140B、並びにネットワーク150を介しクライアントシステム110、120及び130により、記憶装置180(1)〜(N)へのアクセスをサポートすることができる。
図2のコンピュータシステム200を参照すると、モデム247、ネットワークインタフェース248、又はいくつかの他の方法により、1つ若しくは複数のクライアントシステム110、120及び130からネットワーク150への接続を提供することができる。クライアントシステム110、120及び130は、例えば、ウェブブラウザ又はその他のクライアントソフトウェア(図示せず)により、サーバ140A又は140Bの情報にアクセスすることもできる。このようなクライアントにより、クライアントシステム110、120及び130は、サーバ140A若しくは140B、又は記憶装置160A(1)〜(N)、160B(1)〜(N)、及び/若しくは180(1)〜(N)のいずれかによりホストされるデータにアクセスすることが可能になる。
ネットワーク150及び190は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、セルラーネットワーク、衛星ネットワーク、又はクライアント110、120及び130、サーバ140、並びにネットワーク150及び190と通信可能に連結されるその他のデバイスとの間の通信を可能にするその他のネットワークであってもよい。ネットワーク150及び190は、スタンドアロンネットワークとして、又は互いに協働して作動する、1つ又は任意の数の、上述した例示的なタイプのネットワークを更に含むことができる。ネットワーク150及び190は、それらが通信可能に連結される1つ以上のクライアント又はサーバの1つ以上のプロトコルを利用することができる。ネットワーク150及び190は、ネットワークデバイスの1つ以上のプロトコルに、その他のプロトコルから又はその他のプロトコルへ変換することができる。ネットワーク150及び190は、それぞれ1つのネットワークとして示されているが、1つ以上の実施形態によれば、ネットワーク150及び190は、それぞれ相互接続された複数のネットワークを含んでもよいことを理解されたい。
記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、ネットワークアクセス可能なストレージであってもよく、サーバ140A又は140Bに対しローカル、リモート又はこれらの組み合わせであってもよい。記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、レイド(「RAID」)、磁気テープ、ディスク、ストレージエリアネットワーク(「SAN」)、インターネットスモールコンピュータシステムインタフェース(「iSCSI」)SAN、ファイバチャネルSAN、コモンインターネットファイルシステム(「CIFS」)、ネットワークアタッチトストレージ(「NAS」)、ネットワークファイルシステム(「NFS」)、光ベースのストレージ、又はその他のコンピュータアクセス可能なストレージを利用することができる。記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、バックアップ又はアーカイブの目的で使用することができる。更に、記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、多層ストレージ環境の一部として実装され得る。
いくつかの実施形態によれば、クライアント110、120及び130は、ネットワーク150への無線又は有線接続を介して連結される、スマートフォン、PDA、デスクトップコンピュータ、ノート型パソコン、サーバ、その他のコンピュータ、又はその他のデバイスであってもよい。クライアント110、120及び130は、ユーザ入力、データベース、ファイル、ウェブサービス及び/又はアプリケーションプログラミングインタフェースからデータを受信することができる。いくつかの実装では、クライアント110、120、及び130は、具体的には、スマートフォン又はタブレットなどのネットワーク対応モバイル装置であってもよい。
サーバ140A及び140Bは、アプリケーションサーバ、アーカイブプラットフォーム、バックアップサーバ、ネットワーク記憶装置、メディアサーバ、電子メールサーバ、文書管理プラットフォーム、エンタープライズサーチサーバ、又はネットワーク150と通信可能に連結されたその他のデバイスであってもよい。サーバ140A及び140Bは、記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)のいずれかをアプリケーションデータ、バックアップデータ又はその他のデータの記憶のため利用することができる。サーバ140A及び140Bは、クライアント110、120及び130とバックアッププラットフォーム、バックアッププロセス及び/又は記憶装置との間で送受信されるデータを処理することができる、アプリケーションサーバなどのホストであってもよい。いくつかの実施形態によれば、サーバ140A及び140Bは、データのバックアップ及び/又はアーカイブのために使用されるプラットフォームであってもよい。データの1つ以上の部分は、適用されたバックアップポリシー及び/又はアーカイブ、データソースに関連する属性、バックアップのために利用可能なスペース、データソースにおいて利用可能なスペース、又は他の要因に基づいて、バックアップ又はアーカイブされてもよい。
いくつかの実施形態によれば、VPC生成モジュール156は、サーバ140Aなどネットワークの中心の場所に存在し得る。例えば、サーバ140Aは、サーバ、ファイアウォール、ゲートウェイ、又はシステム及びネットワークセキュリティ要素の管理を支援するために1つ以上のアクションを実行することができる、その他のネットワーク要素であってもよい。いくつかの実施形態によれば、ネットワーク190は、外部ネットワークであってもよく(例えば、インターネット)、サーバ140Aは、1つ以上の内部構成要素とクライアントと外部ネットワークとの間のゲートウェイ又はファイアウォールであってもよい。いくつかの実施形態によれば、VPC生成モジュール156及びそれにより生成された仮想プライベートコンテナを含むリソース参照の分析及び承認は、クラウドコンピューティング環境の一部として実装され得る。
図2は、本開示の実施形態によるコンピュータシステム200のブロック図である。コンピュータシステム200は、本開示に従って技術を実施するのに好適である。コンピュータシステム200は、コンピュータシステム200の主要なサブシステムを相互接続することができるバス212を含むことができ、主要なサブシステムには、中央処理装置214、システムメモリ217(例えば、RAM(ランダムアクセスメモリ)、ROM(リードオンリーメモリ)、フラッシュRAMなど)、入力/出力(I/O)コントローラ218、オーディオ出力インタフェース222を介するスピーカーシステム220などの外部オーディオ装置、ディスプレイアダプタ226を介するディスプレイ画面224などの外部装置、シリアルポート228及び230、キーボード232(キーボードコントローラ233を介してインタフェース接続される)、ストレージインタフェース234、印刷のためのデータ及び/又は画像を受信するために動作するプリンタ237、ファイバチャネルネットワーク290と接続するために動作するホストバスアダプタ(HBA)インタフェースカード235A、SCSIバス239と接続するために動作するホストバスアダプタ(HBA)インタフェースカード235B、並びに光ディスク242を受けるために動作する光ディスクドライブ240などが含まれる。同様に、マウス246(又はシリアルポート228を介してバス212に連結された他のポイントアンドクリックデバイス)、モデム247(シリアルポート230を介してバス212に連結される)、ネットワークインタフェース248(バス212に直接連結される)、電力管理部250、及びバッテリ252が含まれてもよい。
バス212によって、中央処理装置214と、上述したような、読出し専用メモリ(ROM)又はフラッシュメモリ(どちらも図示なし)及びランダムアクセスメモリ(RAM)(図示なし)を含んでもよい、システムメモリ217との間のデータ通信が可能になる。RAMは、オペレーティングシステム及びアプリケーションプログラムがロードされてもよいメインメモリであってもよい。ROM又はフラッシュメモリは、他のコードと共に、周辺コンポーネンツとの相互作用などの基本的なハードウェアの動作を制御する、ベーシックインプット/アウトプットシステム(BIOS)を含むことができる。コンピュータシステム200に常駐するアプリケーションは、ハードディスクドライブ(例えば、固定ディスク244)、光学ドライブ(例えば、光学ドライブ240)、プリンタ237、取り外し可能なディスクユニット(例えば、ユニバーサルシリアルバスドライブ)、又はその他の記憶媒体などの、コンピュータ読み取り可能媒体上に格納されたり、それを介してアクセスしたりすることができる。いくつかの実施形態によれば、VPC生成モジュール156は、システムメモリ217に常駐してもよい。
ストレージインタフェース234は、コンピュータシステム200の他のストレージインタフェースと同様に、固定ディスクドライブ244など、情報の記憶及び/又は検索用の標準的なコンピュータ可読媒体に接続することができる。固定ディスクドライブ244は、コンピュータシステム200の一部であってもよく、又は独立したものであって、他のインタフェースシステムを通してアクセスされてもよい。モデム247は、電話回線を介してリモートサーバへの直接接続を提供してもよく、インターネットサービスプロバイダ(ISP)経由でインターネットに接続してもよい。ネットワークインタフェース248は、POP(ポイントオブプレゼンス)を介したインターネットに対する直接ネットワークリンクを介して、リモートサーバに対する直接接続を提供してもよい。ネットワークインタフェース248は、デジタル携帯電話接続、セルラーデジタルパケットデータ(CDPD)接続、又はデジタル衛星データ接続などを含む無線技術を用いて、このような接続を提供してもよい。
他の多くのデバイス又はサブシステム(図示せず)も同様の方法で接続することができる(例えば、文書スキャナ、デジタルカメラなど)。逆に、図2に示されるデバイスの全てが、本開示を実施するために存在する必要はない。デバイス及びサブシステムは、図2に示されるものとは異なる手法で相互接続することができる。本開示を実施するコードは、システムメモリ217、固定ディスク244、又は光ディスク242のうち1つ以上など、コンピュータ読み取り可能記憶媒体に格納することができる。本開示を実施するためのコードは、1つ以上のインタフェースを介して受け取り、メモリに格納することもできる。コンピュータシステム200に設けられたオペレーティングシステムは、MS−DOS(登録商標)、MS−WINDOWS(登録商標)、OS/2(登録商標)、OS X(登録商標)、UNIX(登録商標)、Linux(登録商標)、又はその他の周知のオペレーティングシステムでもよい。
電力管理部250は、バッテリ252の電力レベルを監視することができる。電力管理部250は、電力レベル、コンピュータシステム200のシャットダウン前残り時間窓、電力消費率、コンピュータシステムが主電源(例えば、AC電源)又はバッテリ電源のいずれを使用しているかの表示器、及びその他電力関連情報の判定を可能にするために、1つ以上のAPI(アプリケーションプログラミングインタフェース)を提供することができる。いくつかの実施形態によれば、電力管理部250のAPIは、リモートアクセス可能であってもよい(例えば、ネットワーク接続を介して、リモートバックアップ管理モジュールにアクセス可能であってもよい)。いくつかの実施形態によれば、バッテリ252は、コンピュータシステム200のローカル又はリモートのいずれかに位置する無停電電源装置(UPS)であってもよい。このような実施形態では、電力管理部250は、UPSの電力レベルに関する情報を提供することができる。
図3は、指定された必要条件に従ってVPCの生成を自動的に管理するように構成されたVPC生成モジュール156の例を図示する。VPC生成モジュール156は、様々なVPCの配置に関してユーザ又は他のコンピュータシステムから仕様及びインスタンス化の要求(それらの仕様の)を受信するユーザ及び自動要求管理モジュール302を含むことができる。VPC生成モジュール156は、新しいVPCの生成に関する要求を受信し得るが、必要に応じてVPCを修正及び削除する要求も受信し得る。VPC要求は、ユーザから手動の通信を通じて、生成モジュール156と相互接続された自動プロセスによって、及びAPI又は他の標準化された機能によって作成された自動要求として来る場合がある。
いくつかの実装では、VPCの仕様は、少なくともソフトウェア定義ネットワークレイアウト、アプリケーションを作成する仮想マシンイメージのリスト、それぞれ必要なVMのVMメモリ及びCPU仕様、ストレージ必要条件(ダイレクト又はオブジェクトストレージ)、アプリケーションがこのデータへのストリーミングアクセス又はバッチアクセスを必要とするかどうかと共に、アプリケーションがアクセスを必要とする特定のテレメトリックスキーマタイプの詳細リスト(例えば、FWスキーマ、AVスキーマ)が挙げられ得る。
いくつかの実装では、VPC仕様は、サービスを顧客に販売することに興味があるサービスプロバイダから主に来る場合があることが予想され得る。サービスプロバイダからVPC仕様を受信すると、要求管理モジュール302は、プロバイダの仕様及びデータ管理システムのポリシに従って要求されたように、指定されたモジュールのインスタンスを生成し実行することになる。
VPC生成モジュール304は、新しいVPCをインスタンス化しスピンアップする要求によって指定されたネットワーク接続性、仮想マシン、及びストレージをプロビジョニングする。それぞれのVPCインスタンスは、承認された仕様と関連している場合にのみ、許可され得る。
VPCが任意のデータへのアクセスを認められる(即ち、その点については、顧客のためにプロビジョニングされる)前に、顧客は、まずVPCに関連するサードパーティサービスに申し込み、サードパーティサービスにデータアグリゲータによって保持されるデータの1つ以上のクラスへのアクセスを許可することに同意する必要がある。データアグリゲータによって操作される許可管理モジュール306は、顧客にサードパーティサービスへ申し込むように求めることになる。ひとたび、申し込みが完了すると、次にサードパーティサービスプロバイダによって提供される新しいVPCインスタンスの(可能性のある)インスタンス化、及び申し込んでいる顧客のデータに新しい/既存VPCのアクセスのプロビジョニングがもたらされる。次にVPCは、顧客がアクセスを許可したデータの特定のカテゴリにストリーミング及び/又はバッチアクセスする。
いくつかの実装では、新しい顧客によるそれぞれの許可の成功は、結果として新しいVPCインスタンスが生成されることになり得る。新しいインスタンスは、許可する顧客に関連するデータに対してのみアクセスし得る。いくつかの実装では、新しい顧客による許可の成功は、既存VPCインスタンスが追加のデータアクセス権を許可されることになり、単一のVPCインスタンスが、このインスタンスによってサービスを提供されている任意の以前の顧客に加えて、新しい顧客にサービスを提供できるようにする。
VPCは、独自のユーザインタフェースを介して(例えば、HTMLを介して)、又はプログラム的ウェブサービス若しくは別の通信機構を介して、VPCの分析結果を描画する外部アプリケーションに分析の結果を提供し得る。例は、VPC over RESTウェブサービス(VPC over REST web services)と通信、分析データを取得して、HTMLフロントエンドを介して表示するJava(登録商標) Swingアプリケーションであり得る。
VPCインスタンスが生成されると、VPC生成モジュール156のクライアントは、VPCに対するアイデンティティを提供する必要がある。次にVPCは、このアイデンティティを全ての後続の要求と共に提供して、外部システム(例えば、HDFSストア)からデータを取得する必要がある。これらの外部システムは、次に許可リストに対してこのアイデンティティをチェックして、VPCがアクセスを許可されているデータ(存在する場合)、したがってどのデータをVPCに提供するべきかを判定する。同様に、新しいVPCがインスタンス化されるたびに、ストリーミングテレメトリへのアクセスの必要性を示す場合、VPCのアイデンティティは、許容されるテレメトリが、ストリーミング方式でVPCシステムに利用可能とされるようにストリーミングサブシステムと共に登録される。
リポジトリアクセスモジュール308は、所定のVPCによって必要とされ得るデータを保持する全ての関連したリポジトリに対するアクセス制御ポリシを構成し得る。この構成は、VPCによって検索され得る特定のクラスのデータ(例えば、ファイアウォールデータ、アンチウイルスデータ)、並びにVPCがアクセスを認められるべき顧客(例えば、Ford)及び管理ドメイン(例えば、USA−EAST、USA−WEST、EMEA、APAC)を指定する。そのようにして例えば、リポジトリアクセスモジュール308は、リポジトリに接触し、(所定の事前にプロビジョニングされたアイデンティティを使用して)所定のVPCに、USA−EAST及びEMEAオフィスからのFordのファイアウォール及びアンチウイルステレメトリへのアクセスを認めるように指示することができる。VPCがリポジトリに要求する場合は、この特定の顧客(Ford)から、これらの特定の領域(USA−EAST海岸、EMEA)から、この特定のデータのサブセット(ファイアウォール及びアンチウイルスデータ)を検索することが可能になる。その他全てのデータ(他の顧客、他の管理ドメイン、又は他のテレメトリクラスのものから)は、VPCには利用することができない。
図4は、本開示の実施形態により生成された例示の仮想プライベートコンテナ400を示す。VPC 400は、複数の仮想マシン402a、bを含み、そのそれぞれは受信したVPC要求仕様に従って生成される。顧客インタフェース404からの命令によって、データが操作され、結果が表示される。顧客インタフェース404は、VPCに接続する任意のクライアント装置110、120からVPCへのアクセスを制御することができる。示されるように、クライアント110、120は、アプリケーションサーバと通信するクライアントアプリケーションによってVPCに接続し得、アプリケーションサーバは次にVPCと通信し得る。
いくつかの実装では、仮想マシン402の分析計算の結果と一致する出力のみが、インタフェース404を通じて顧客に出力として提供され得る。同様に、ユーザインタフェース404を通じて提出された明確なユーザ入力のみが、マシン402a、bに対する命令として伝えられ得る。いくつかの実装では、顧客インタフェース404は、VPC 400との間のデータのアップロード又はダウンロードを許可しない場合がある。
仮想マシン402a、bは、コンテナ400に割り当てられたメモリリソース408に記憶されたテレメトリデータ406を分析し、操作し、次に顧客インタフェース404を通じて顧客110、120、130に分析の結果を表示することができる。これらの分析に必要なデータは、リポジトリインタフェース410を通じてアクセスされ得る。いくつかの実装では、内部ストレージは存在しなくてもよく、VPCは、ストリーミングデータをリポジトリから受信してもよく、ユーザの要求で分析を提供する(つまり「オンデマンド」で提供される分析)だけの長さしかデータを保持しなくてもよい。
本開示のいくつかの実装では、リポジトリインタフェース410は、データリポジトリ420a〜cへのアクセスをVPC 400へインポートされることを明確に許可されているデータのみに制限し得る。いくつかの実装では、VPCがリポジトリ420a〜cにデータをアップロードする、又はそこに記憶されたデータを修正する機構を有しないため、リポジトリインタフェースと様々なデータリポジトリ420a〜cとの間の矢印は、一方向として示されている。データは、通常VPC 400から外にではなくVPC 400の中へ流れ、結果は顧客インタフェース404を介して表示され得るが、VPC 400からの大規模データのダウンロードは、通常許可されていない。
図5は、本開示のいくつかの実施形態に従ってVPCを自動で生成し、管理するための方法500を図示している。様々な方法が、説明されてきた範囲内で実行可能であり、以下の方法500は、例示の目的のみで与えられることが理解されよう。記載された工程は、上述のVPC生成モジュール156などの任意の適切なリモート又はクラウドベースのシステムによって実施され得る。
VPC仕様、(つまりVPCテンプレートを定義するための要求)が受信される(502)。いくつかの実装では、VPC仕様は、少なくともソフトウェア定義ネットワークレイアウト、アプリケーションを作成するVMイメージのリスト、それぞれ必要なVMのVMメモリ及びCPU仕様、ストレージ必要条件(ダイレクト又はオブジェクトストレージ)、ストリーミングアクセス又はバッチアクセスをそれぞれ必要とするかどうかと共に、仮想マシンがアクセスを必要とする特定のテレメトリックスキーマタイプの詳細リストが挙げられ得る。
ひとたびVPC仕様がアクセスされると、続けて、VPCの特定のインスタンスに対する要求が受信され、それを処理することができる(504)。インスタンスは、例えば、VPC仕様に関連するサードパーティサービスを使用することを選択した顧客のために受信され得る。インスタンス要求は、顧客から直接来ない場合があり、いくつかの実装では、サードパーティによって制御された自動システムを通じて、又は次に顧客に提供されるアプリケーションを管理するアプリケーションサーバによって来てもよい。
より一般的には、VPCは、バルクデータのエクスポートが実行できないように構成され得る。つまりデータは、コンテナ自体の構造内部でのみアクセス可能である。分析が、既存の仮想マシンによって許可されたパラメータ外で実施される必要がある場合、VPCに対する適切な修正(又は異なるパラメータによる新しいVPCの構成)がシステムから要求され得るが、コンテナ自体の制約は、意図的であり、恣意的に無視されるべきではない。システムは、表現されたセキュリティ制約を受ける仮想マシンを生成する。つまり、データを漏洩する能力又はコンテナ自体の外で任意の保存/書き込み機能を早期に暴露する能力を含まない。リソース上の制約などの他の制約も、仮想マシンの生成を制限するために適用され得る。
VPCインスタンスの生成(506)に加え、システムはまた、顧客を認証する(508)、及び顧客のデータに対応するアクセスをVPCに設定する(510)こともできる。どのデータが利用されるか、及びどのような条件かは、VPC仕様並びに特定の顧客によって確立された制約に依存し得る。
いくつかの実施形態では、それぞれ個別の顧客に新しいVPCインスタンスが、要求されない又は必要とされないことが理解されよう。むしろ、複数の顧客は、サードパーティによって指定されたように単一のVPCによってサービスを提供され得る。これらの実施形態では、新しい顧客は、更に新しいデータに対する許可プロセス及びアクセスにつながり得るが、新しいデータは、複数の顧客からのデータへのアクセスを含み得る既存のVPCに対して提供されてもよい。
ひとたび適切なパラメータが考慮され、構成要素が生成されると、システムは、VPCインスタンスを、適切なリソース、インタフェース、及び仮想マシンと共に追加し、これを顧客又は顧客のためにデータを管理するサードパーティに提供する。いくつかの実装では、VPCの制約は、VPCを設計したサービスプロバイダが、VPCを使用して禁止されたデータにアクセスすること、中心のシステムリソースを独占すること、確立されたシステムの制約外で恣意的にデータをエクスポートすること、又は不注意で若しくは意図的に任意のリポジトリ、データを破損することを禁止する。更に、複数の顧客のために実行するVPCは、それらの顧客が独自のシステム内でデータを共有されるリスクなしに、これらの複数の競合する顧客からテレメトリデータにアクセスする可能性がある。それぞれの生成されたVPCは、その他全てのVPCから、及び基本的なデータに対する任意の変更から意図的に分離されている。
ここで、上述した本開示によるVPC生成のための技法は、ある程度まで入力データの処理及び出力データの生成を含んでもよい点に留意する必要がある。この入力データ処理及び出力データ生成は、ハードウェア又はソフトウェアにより実施されてもよい。例えば、特定の電子部品は、クラウドコンピューティングシステム、仮想プライベートコンテナ、又は上述した本開示によるVPC生成と関係する機能を実現するための類似若しくは関連する回路において用いられてもよい。あるいは、命令に従って動作する1つ以上のプロセッサは、上述した本開示によるVPC生成と関係する機能を実現してもよい。かかる場合、このような命令が1つ又は複数の非一時的プロセッサ読み取り可能記憶媒体(例えば、磁気ディスク又は他の記憶媒体)に記憶されたり、あるいは1つ又は複数の搬送波中に具現化された1つ又は複数の信号を介して1つ又は複数のプロセッサに伝送されてもよいことは、本開示の範囲に含まれる。
本開示は、本明細書に示す特定の実施形態により範囲を限定されるものではない。実際、本明細書に記載されるものに加え、本開示の他の様々な実施形態及びその変更形態は、上述の説明及び添付の図面から、当業者には明らかとなろう。したがって、このような他の実施形態及びその変更形態は本開示の範囲内に含まれるものである。更に、本開示は少なくとも1つの特定の目的のための少なくとも1つの特定の環境における少なくとも1つの特定の実施の文脈で本明細書に記載されているが、その有用性はそれらに限定されず、本開示は任意の数の目的のために任意の数の環境において有益に実施され得ることが当業者には理解されよう。それに応じて、以下に記載する「特許請求の範囲」は、本明細書に記載された本開示の範囲の最大限の広さ及び趣旨を考慮して解釈されるべきである。

Claims (15)

  1. コンピュータが実行する方法であって、
    アプリケーションサーバを介して、サービスプロバイダから仮想コンテナの仕様を受信する工程であって、前記仕様は、分析構成要素と、データ入来パラメータと、構成情報と、を含み、前記アプリケーションサーバは、前記仮想コンテナから分離しており、前記構成情報は、ソフトウェア定義ネットワークレイアウトと、ストレージ必要条件と、を含む、工程と、
    前記受信した仕様に基づき、前記分析構成要素を含む仮想コンテナを生成する工程であって、前記仮想コンテナは、前記データ入来パラメータに従ってデータにアクセスするように構成されており、前記仮想コンテナは、前記仕様に含まれる前記構成情報に従って更に構成されている、工程と、
    前記サービスプロバイダに関連するサービスの第1の顧客を認証する工程と、
    前記第1の顧客を認証する工程に応じて、前記仮想コンテナに、前記第1の顧客に関連する第1のデータリポジトリからデータを受信することを許可する工程であって、前記仮想コンテナは、無許可のシステムへのアクセス及び無許可のシステムからのアクセスを制限するように構成されており、その結果前記データは、前記仮想コンテナにそこでの分析のために受信され得るが、前記仮想コンテナから外へ送信することができない、工程と、を含む、方法。
  2. 前記データ入来パラメータが、バッチデータ伝送又はストリーミングデータ伝送を指定する、請求項1に記載の方法。
  3. 前記サービスプロバイダに関連するサービスの第2の顧客を認証する工程と、
    前記第2の顧客を認証する工程に応じて、第2の仮想コンテナに、前記第2の顧客に関連する第2のデータリポジトリから第2のデータを受信することを許可する工程であって、前記第2の仮想コンテナは、前記第2のデータが前記第の仮想コンテナにそこでの分析のために受信され得るが、前記第2の仮想コンテナと前記仮想コンテナとの間で移動できないように構成されている、工程と、を更に含む、請求項1に記載の方法。
  4. 前記分析構成要素が、仮想マシンである、請求項1に記載の方法。
  5. 前記構成情報が、前記分析構成要素間のネットワーク構成を含む、請求項1に記載の方法。
  6. 前記仕様が、リソースを更に指定し、前記仮想コンテナは、前記指定されたリソースを含み、
    前記仕様が、データを記憶する前記仮想コンテナ内部のリポジトリを含む、請求項1に記載の方法。
  7. 前記仮想コンテナが、前記第1のデータリポジトリからデータを受信するように構成されているが、前記第1のデータリポジトリ内に記憶するために前記第1のデータリポジトリにデータを送信するように構成されていない、請求項1に記載の方法。
  8. 命令を記憶する少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体であって、
    前記命令は、少なくとも1つのプロセッサによって前記少なくとも1つの非一時的なコンピュータ読み取り可能記憶媒体から読み取り可能であり、したがって前記少なくとも1つのプロセッサに、
    アプリケーションサーバを介して、サービスプロバイダから仮想コンテナの仕様を受信することであって、前記仕様は、分析構成要素と、データ入来パラメータと、構成情報と、を含み、前記アプリケーションサーバは、前記仮想コンテナから分離しており、前記構成情報は、ソフトウェア定義ネットワークレイアウトと、ストレージ必要条件と、を含む、ことと、
    前記受信した仕様に基づき、前記分析構成要素を含む仮想コンテナを生成することであって、前記仮想コンテナは、前記データ入来パラメータに従ってデータにアクセスするように構成されており、前記仮想コンテナは、前記仕様に含まれる構成情報に従って更に構成されている、ことと、
    前記サービスプロバイダに関連するサービスの第1の顧客を認証することと、
    前記第1の顧客を認証することに応じて、前記仮想コンテナに、前記第1の顧客に関連する第1のデータリポジトリからデータを受信することを許可することであって、前記仮想コンテナは、無許可のシステムへのアクセス及び無許可のシステムからのアクセスを制限するように構成されており、その結果前記データは、前記仮想コンテナにそこでの分析のために受信され得るが、前記仮想コンテナから外へ送信することができない、ことと、を行うように動作させるように構成されている、命令と、を含む、少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  9. 前記データ入来パラメータが、バッチデータ伝送又はストリーミングデータ伝送を指定する、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  10. 前記命令が、前記少なくとも1つのプロセッサに、
    前記サービスプロバイダに関連するサービスの第2の顧客を認証することと、
    前記第2の顧客を認証する工程に応じて、第2の仮想コンテナに、前記第2の顧客に関連する第2のデータリポジトリから第2のデータを受信することを許可することであって、前記第2の仮想コンテナは、前記第2のデータが前記第2の仮想コンテナにそこでの分析のために受信され得るが、前記第2の仮想コンテナと前記仮想コンテナとの間で移動できないように構成されている、ことと、を行うように動作させるように更に構成されている、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  11. 前記分析構成要素が、仮想マシンである、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  12. 前記構成情報が、前記分析構成要素間のネットワーク構成を含む、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  13. 前記仕様が、リソースを更に指定し、前記仮想コンテナは、前記指定されたリソースを含む、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  14. 前記仕様が、データを記憶する前記仮想コンテナ内部のリポジトリを含む、請求項13に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
  15. 前記仮想コンテナが、前記第1のデータリポジトリからデータを受信するように構成されているが、前記第1のデータリポジトリ内に記憶するために前記第1のデータリポジトリにデータを送信するように構成されていない、請求項8に記載の少なくとも1つの非一時的プロセッサ読み取り可能記憶媒体
JP2018517163A 2015-10-06 2016-09-27 仮想プライベートコンテナを生成する技法 Active JP6576551B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/876,403 2015-10-06
US14/876,403 US9940470B2 (en) 2015-10-06 2015-10-06 Techniques for generating a virtual private container
PCT/US2016/053963 WO2017062230A1 (en) 2015-10-06 2016-09-27 Techniques for generating a virtual private container

Publications (3)

Publication Number Publication Date
JP2018531459A JP2018531459A (ja) 2018-10-25
JP2018531459A6 JP2018531459A6 (ja) 2018-12-13
JP6576551B2 true JP6576551B2 (ja) 2019-09-18

Family

ID=57047362

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018517163A Active JP6576551B2 (ja) 2015-10-06 2016-09-27 仮想プライベートコンテナを生成する技法

Country Status (5)

Country Link
US (1) US9940470B2 (ja)
EP (1) EP3360302B1 (ja)
JP (1) JP6576551B2 (ja)
CN (1) CN108353087B (ja)
WO (1) WO2017062230A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9396251B1 (en) * 2016-01-07 2016-07-19 International Business Machines Corporation Detecting and tracking virtual containers
US10666443B2 (en) * 2016-10-18 2020-05-26 Red Hat, Inc. Continued verification and monitoring of application code in containerized execution environment
US10346189B2 (en) * 2016-12-05 2019-07-09 Red Hat, Inc. Co-locating containers based on source to improve compute density
WO2018200751A1 (en) * 2017-04-25 2018-11-01 Poshmark, Inc. Managing content of virtual containers
CN108234215B (zh) * 2018-01-12 2019-12-31 平安科技(深圳)有限公司 一种网关的创建方法、装置、计算机设备及存储介质
EP3644206A1 (en) 2018-10-22 2020-04-29 Koninklijke Philips N.V. A container builder for individualized network services
TWI679580B (zh) * 2018-11-23 2019-12-11 中華電信股份有限公司 快速提供容器化軟體服務之系統及其方法
CN109995759B (zh) * 2019-03-04 2022-10-28 平安科技(深圳)有限公司 一种物理机接入vpc的方法及相关装置
CN110224902B (zh) * 2019-05-31 2021-03-16 烽火通信科技股份有限公司 一种基于容器的虚拟家庭网关实现方法及系统
EP4022866A1 (en) * 2019-11-01 2022-07-06 Google LLC Vpc auto-peering
US20220147378A1 (en) * 2020-11-09 2022-05-12 International Business Machines Corporation Container image creation and deployment
CN113067803B (zh) * 2021-03-12 2023-05-05 北京金山云网络技术有限公司 一种资源隔离系统、请求处理方法及请求处理装置
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030229794A1 (en) * 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US7284054B2 (en) 2003-04-11 2007-10-16 Sun Microsystems, Inc. Systems, methods, and articles of manufacture for aligning service containers
US8191063B2 (en) * 2007-09-30 2012-05-29 Symantex Corporation Method for migrating a plurality of virtual machines by associating files and state information with a single logical container
CN101296243B (zh) * 2008-06-26 2013-02-20 阿里巴巴集团控股有限公司 一种服务集成平台系统及提供互联网服务的方法
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
EP2543215A2 (en) * 2010-03-05 2013-01-09 InterDigital Patent Holdings, Inc. Method and apparatus for providing security to devices
US9183560B2 (en) * 2010-05-28 2015-11-10 Daniel H. Abelow Reality alternate
US8856889B2 (en) * 2010-10-19 2014-10-07 Hewlett-Packard Development Company, L.P. Methods and systems for generation of authorized virtual appliances
US8713566B2 (en) * 2011-01-31 2014-04-29 International Business Machines Corporation Method and system for delivering and executing virtual container on logical partition of target computing device
CN102323879A (zh) * 2011-06-07 2012-01-18 北京大学 完整网络中间件运行支撑平台及异构中间件的集成方法
US20130036213A1 (en) 2011-08-02 2013-02-07 Masum Hasan Virtual private clouds
US9378035B2 (en) * 2012-12-28 2016-06-28 Commvault Systems, Inc. Systems and methods for repurposing virtual machines
US8606599B1 (en) * 2013-01-03 2013-12-10 Medidata Solutions, Inc. Apparatus and method for executing tasks
JP5945512B2 (ja) * 2013-02-13 2016-07-05 株式会社日立製作所 計算機システム、及び仮想計算機管理方法
US20140280595A1 (en) * 2013-03-15 2014-09-18 Polycom, Inc. Cloud Based Elastic Load Allocation for Multi-media Conferencing
US20140377731A1 (en) * 2013-06-21 2014-12-25 Google Inc. Test Platform for Wrist-Mounted Physiologic Measurement Device
JP6566948B2 (ja) * 2013-08-16 2019-08-28 エムデーセーブ,インコーポレイテッド バンドル型サービス及び製品の購入を促進するネットワークベースのマーケットプレイスサービス
CA2899996C (en) * 2013-12-11 2020-04-14 Intralinks, Inc. Customizable secure data exchange environment
US9613190B2 (en) * 2014-04-23 2017-04-04 Intralinks, Inc. Systems and methods of secure data exchange
US9223966B1 (en) * 2014-05-04 2015-12-29 Symantec Corporation Systems and methods for replicating computing system environments
US9756030B2 (en) * 2014-08-08 2017-09-05 Eurotech S.P.A. Secure cloud based multi-tier provisioning
US9531814B2 (en) * 2014-09-23 2016-12-27 Nuvem Networks, Inc. Virtual hosting device and service to provide software-defined networks in a cloud environment
US9256467B1 (en) * 2014-11-11 2016-02-09 Amazon Technologies, Inc. System for managing and scheduling containers
US9398017B1 (en) * 2015-05-01 2016-07-19 Parallels IP Holdings GmbH Isolation of objects representng server resources in browser using iframes
US9948518B2 (en) * 2015-07-22 2018-04-17 International Business Machines Corporation Low latency flow cleanup of openflow configuration changes

Also Published As

Publication number Publication date
EP3360302B1 (en) 2021-08-11
WO2017062230A1 (en) 2017-04-13
CN108353087B (zh) 2021-01-01
CN108353087A (zh) 2018-07-31
JP2018531459A (ja) 2018-10-25
US9940470B2 (en) 2018-04-10
EP3360302A1 (en) 2018-08-15
US20170098092A1 (en) 2017-04-06

Similar Documents

Publication Publication Date Title
JP6576551B2 (ja) 仮想プライベートコンテナを生成する技法
JP2018531459A6 (ja) 仮想プライベートコンテナを生成する技法
US11916911B2 (en) Gateway enrollment for Internet of Things device management
US10609031B2 (en) Private consolidated cloud service architecture
AU2017251702B2 (en) Use of freeform metadata for access control
US20150249617A1 (en) Enrolling a mobile device with an enterprise mobile device management environment
US10579810B2 (en) Policy protected file access
US10944547B2 (en) Secure environment device management
US10891386B2 (en) Dynamically provisioning virtual machines
US11005847B2 (en) Method, apparatus and computer program product for executing an application in clouds
KR101973361B1 (ko) 컴퓨팅 환경 선택 기술
US11610008B2 (en) Snap-in secret server support for protecting secret information
WO2020226884A1 (en) Systems and methods for securing offline data
US11503074B2 (en) Device enrollment in a management service
US20200169528A1 (en) Device identification and reconfiguration in a network
WO2022062997A1 (en) Computer file metadata segmentation security system
US11818183B2 (en) System and method for workspace sharing
US20240143319A1 (en) Contextual application delivery
WO2022272198A1 (en) Contextual tab aware app protection

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180427

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190820

R150 Certificate of patent or registration of utility model

Ref document number: 6576551

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250