JP6581651B2 - マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法 - Google Patents
マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6581651B2 JP6581651B2 JP2017513238A JP2017513238A JP6581651B2 JP 6581651 B2 JP6581651 B2 JP 6581651B2 JP 2017513238 A JP2017513238 A JP 2017513238A JP 2017513238 A JP2017513238 A JP 2017513238A JP 6581651 B2 JP6581651 B2 JP 6581651B2
- Authority
- JP
- Japan
- Prior art keywords
- database
- access
- database service
- consumer
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 167
- 238000000034 method Methods 0.000 title claims description 81
- 239000004744 fabric Substances 0.000 claims description 75
- 238000005192 partition Methods 0.000 claims description 56
- 210000000352 storage cell Anatomy 0.000 claims description 48
- 230000004044 response Effects 0.000 claims description 25
- 230000002265 prevention Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 description 28
- 230000006855 networking Effects 0.000 description 20
- 230000008569 process Effects 0.000 description 20
- 238000005516 engineering process Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 6
- 230000005012 migration Effects 0.000 description 6
- 238000013508 migration Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000005457 optimization Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 238000007417 hierarchical cluster analysis Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本特許文献の開示の一部には、著作権保護の対象となるものが含まれている。著作権者は、この特許文献または特許開示の何者かによる複製が、特許商標庁の特許ファイルまたは記録にある限り、それに対して異議を唱えないが、そうでなければ、いかなる場合もすべての著作権を留保する。
本発明は概してコンピュータシステムに関し、特にネットワーク環境においてセキュアな通信を提供することに関する。
相互接続ネットワークは、次世代のスーパーコンピュータ、クラスタ、およびデータセンターに有益な役割を果たす。より大型のクラウドコンピューティングアーキテクチャが導入されるにつれて、旧来のネットワークおよびストレージと関連しているパフォーマンスおよび管理ボトルネックが重要な問題となっている。次世代データセンターは、アプリケーションをホストするための複数のコンピュートノードを有するミドルウェアマシンシステムを含み得る。そのようなミドルウェアマシンシステムの一例は、Oracle(登録商標)Exalogicコンピュータアプライアンスである。次世代データセンターは、データベースサーバシステムをさらに含み得る。データベースサーバシステムの一例は、Oracle(登録商標)Exadataデータベースマシンである。ミドルウェアマシンシステムはデータベースサーバシステムと連携して働く。データベースサーバシステムに格納されているデータは、ミドルウェアマシンシステムにおけるコンピュータオペレーションのために用いられて取出され、ミドルウェアマシンシステムにおいて生成または修正されたデータはデータベースサーバシステムに格納される。したがって、ミドルウェアマシンシステムとデータベースサーバシステムとの間の接続は高信頼性、高速、低レイテンシおよび高帯域幅で低プロトコルオーバーヘッドであることが重要である。たとえば、インフィニバンド(InfiniBand)(IB)技術は、クラウドコンピューティングファブリックの基礎としてますます展開されつつある。インフィニバンドは、とりわけ、ミドルウェアマシンシステムとデータベースサーバシステムとの間のリモートダイレクトメモリアクセス(remote direct memory access:RDMA)オペレーションをサポート可能なスイッチドファブリックトポロジを用いる接続ベースの通信プロトコルである。
マルチテナント環境においてデータのセキュリティを保証するセキュリティソリューションを提供しつつ、中間ファイアウォールアプライアンスの従来の使用によって提起される不利点を克服するシステムおよび方法が本明細書に記載される。本明細書に記載されるセキュリティソリューションは必然的に中間ファイアウォールアプライアンスの使用を回避し、ミドルウェアマシンシステムとデータベースサーバシステムとの間のボトルネックのない直接接続を可能にする。当該セキュリティソリューションによって、ミドルウェアマシンシステムとデータベースサーバシステムとをリンクするインフィニバンドなどの高速接続ベースのスイッチドファブリックの使用と、そのような接続ベースのファブリックがミドルウェアマシンシステムとデータベースサーバシステムとの間で実行されるオペレーションに提供し得る最適化とが可能になる。ミドルウェアマシンシステム内のノードおよびデータベースサーバシステム内のノードは、中間ファイアウォールアプライアンスまたはコンピューティングノードを全く通過することなく、スイッチドファブリック内の1つ以上のスイッチを介して直接接続され得る。当該セキュリティソリューションは、SR−IOV技術によって提供される最適化を含む、そのような直接接続によって可能となる広範囲の最適化をシステムが利用することができる態様で動作する。
ネットワーク環境においてセキュアな通信を提供し得るシステムおよび方法が本明細書に記載される。ネットワーク上のマルチテナント環境などのネットワーク環境は1つ以上のサービスプロバイダノード、1つ以上のサービスコンシューマノード、および1つ以上のストレージセルを含み得る。上記1つ以上のサービスプロバイダノードは、上記1つ以上のサービスプロバイダノードと上記1つ以上のサービスコンシューマノードとの間のセキュアな通信を保証し得る。さらに、ネットワーク環境は、上記1つ以上のサービスプロバイダノードに関連付けられている1つ以上のストレージセルを、上記1つ以上のサービスコンシューマノードから分離し得る。加えて、ネットワーク環境は、上記1つ以上のサービスコンシューマノード上の1つ以上の仮想マシン(VM)に、上記1つ以上のサービスプロバイダノード上で実行される1つ以上のサービスプロバイダインスタンスへのセキュアなアクセスを提供し得る。
管理スタック210(図2参照)は仮想マシンのデプロイメントを調整し、アクセス制御リスト(ACL)を用いてそれらのVMからデータベースサーバシステム240の特有のデータベースサービスへのアクセスを管理する。ACLテーブルは、任意のミドルウェアマシンシステムVMによる各特有のデータベースサービスへのアクセスを制御するために必要なすべての情報を含む。すべてのアクセス制御はデータベースノード上で実行されるソフトウェアおよびハードウェアによって実行され、したがってミドルウェアマシンシステム220のコンピュートノード上の仮想マシンに対して透過的であるため、仮想マシンはデータベースノードとの通信がアクセス制御されていることを認識していない。
上述のように、VMIDは、GRH.SGIDの一部としてデータベースアクセスパーティション内に送信される各パケットに埋込まれ、パケットを発信するVMを識別する。アクセス制御リストは、どのVMがどのサービスにアクセス可能であるかを指定する。アクセス制御は次に、各パケットのGRH.SGID内に提供されるVMIDおよびACLを用いてデータベースノード内に実装される。サービスVMIDリスト516およびノードACL536などのACL524およびサブテーブルが利用されて、アドレス解決、パス解決、接続確立およびデータ交換を含む、コンピュートノード仮想マシンとデータベースサービスとの間の接続のライフサイクル中のいくつかの異なるステージにおいてアクセス制御が提供され得る。なお、上述のシステムについて、以下に記載されるアクセス制御対策は、データベースノードとコンピュートノード上のVMとの間の通信のために用いられるネットワークインターフェイス、すなわちデータベースアクセスパーティションのためのネットワークインターフェイスについてのみ実行されればよい。これらのアクセス制御対策は、データベースノードとストレージセルとの間の通信のために用いられるネットワークインターフェイス、すなわちストレージアクセスパーティションのためのネットワークインターフェイスに適用されなくてもよい。また、これらのアクセス制御対策は、コンピュートノード上のVMと他のコンピュートノード上のVMとの間の通信のために用いられるネットワークインターフェイスに適用されなくてもよい。
仮想マシンとデータベースサービスとの間の接続のライフサイクル中のステージにおいてアクセス制御を提供するためにデータベースノード内に実装される1つのメカニズムは、アドレス解決アクセス制御である。アドレス解決プロトコル(ARP)通信が、特定の名前付きデータベースサービスを提供するデータベースノードに接続するためのプロセスの最初の部分としてVMによって用いられる。ARPを用いて、IPアドレスがハードウェアアドレス(イーサネットの場合はMACアドレス、またはIPoIB規格が定義する20バイトのIPoIBハードウェアアドレス)に分解される。ARP通信が、IPoIB通信を用いて、コンピュートノード上にデプロイされるVMとデータベースノードとの間で交換される。VMはコンピュートノードからマルチキャストARP要求を送信し、データベースノードは(許可されている場合)ユニキャストARP応答を返信する。データベースノードとVMとの間で交換されるマルチキャスト要求およびユニキャスト要求は両方とも、グローバルルーティングヘッダ(GRH)を所有していること、およびしたがって、GRH.SGID内にVMIDを提供することによってVMを識別することが必要である。
仮想マシンとデータベースサービスとの間の接続のライフサイクル中のステージにおいてアクセス制御を提供するためにデータベースノード内に実装される別のメカニズムは、接続確立アクセス制御である。VMは、自身が接続することを望むデータベースサービスの位置を突き止めると、当該データベースサービスとの接続を確立することを試みる。データベースノードは、RDMAのためのオープンソースソフトウェアスタックおよびカーネルバイパスアプリケーションを提供するオープン・ファブリック・エンタープライズ・ディストリビューション(OFED)によって提供される情報を用いて接続確立アクセス制御を実行する。実施形態では、システムは、コンピュートノード上の仮想マシンとデータベースとの間のすべての通信が、制御オペレーションのために用いられるARPトラフィックおよびTCPソケットを除いて、パケットがGRHヘッダを含んでいる状態でインフィニバンド高信頼性接続トランスポート上の通信に制約されるように構成される。接続確立アクセス制御は、接続要求がGRHヘッダを所有していること、およびGRH.SGIDが、アクセス制御リストによって示されている特有の名前付きデータベースプロセスへのアクセスが許可されているVMに対応するVMIDを識別すること、を確認することによって実行される。
仮想マシンとデータベースサービスとの間の接続のライフサイクル中のステージにおいてアクセス制御を提供するためにデータベースノード内に実装されるさらなるメカニズムは、データ交換アクセス制御である。データ交換アクセス制御は、接続確立段階時にプログラムされるハードウェアキューペア(QP)コンテキスト624に基づく。上述のように、図6に示されるように、ハードウェアQPコンテキストは、比較的少数のハードウェアQPコンテキストがHCAメモリのHW QPコンテキストキャッシュ634にキャッシュされた状態でシステムメモリ内に維持される。コンピュートノードVMに接続するために、ハードウェアQPコンテキスト624は、特定の接続についてGRHを用いる必要があることを示すフラグを含む属性と、接続に関連付けられている特定のVMのSGID値とを含む。データ交換アクセス制御は、接続上で受信されるすべてのパケットが指定されたGRH.SGIDを含んでおり、したがって当該接続の使用が許可されているVMから来ていることを検証する。非準拠パケットは破棄される。これによってHCAハードウェアは、接続上で送信されるすべてのデータパケットに対してデータ交換アクセス制御を実行することができる。
仮想マシンとデータベースサービスとの間の接続のライフサイクル中のステージにおいてアクセス制御を提供するためにデータベースノード内に実装される別のメカニズムは、IPoIBアクセス制御である。データベースリスナ546が用いる特有のTCPポートについてのTCPソケットトラフィックについて、制限付きアクセスが可能となる。しかし、データベースノード内のOSスタックIPフィルタは、無許可トラフィックを除外するように構成される。IPoIBは、接続モードまたはデータグラムモードについて構成され得る。IPoIB通信チャネルの各側は独立して構成される(すなわち、片側は接続モードに、反対側はデータグラムノードに構成され得る)。本発明の実施形態では、IPoIB上のすべての通信は接続モードのみに限定される。これは、データベースノードのIPoIBドライバを、コンピュートノード上のVMなどのリモートピアによって接続モードの使用を実行するように構成することによって達成される。
DoS攻撃からの保護は、従来のイーサネットファイアウォールアプライアンスによって提供される標準機能の1つである。DoS攻撃では、複数のメッセージがインターフェイスに送信される。メッセージが拒否された場合でも、大量のメッセージ、およびメッセージの拒否に関連するオーバーヘッドがインターフェイスのリソースを圧倒するため、それを正規のトラフィックに用いることはできない。DoS攻撃は必ずしも悪意ある者を表わしているわけではなく、たとえば、反復メッセージの原因となるハードウェアまたはソフトウェア内の誤った設定のソフトウェアまたはエラーによって生じる場合がある。本発明のシステムおよび方法は、上述のように、マルチテナント認識型の、ファイングレインのデータベース認識型のアクセス制御を提供する。しかし、アクセス制御はデータベースノードのソフトウェアおよびハードウェアによって実行されるため、システムは標準的なフィルタリング技術を用いてDoS問題に対処することはできない。攻撃がデータベースノードによって検出され得る頃には、データベースノードは既に攻撃を受けており、メッセージを拒否する少なくともいくらかのリソースを費やす必要がある。上述のように、拡張されるリソースの量は、メッセージ制御/拒否をノードのエッジの近くにプッシュすることによって低減され得る。しかし、他のDoS攻撃防止機能を提供することも望ましいであろう。
Claims (14)
- 複数のデータベースサービスを提供する複数のデータベースサーバを、複数のデータベースサービスコンシューマをホストする複数のアプリケーションサーバに直接接続する接続ベースのスイッチドファブリックを有するマルチテナント環境においてデータベースサーバ内のネットワークセキュリティを提供するための方法であって、当該複数のデータベースサービスコンシューマの各々は異なるデータベースサービスコンシューマアイデンティティに関連付けられており、当該方法は、
当該複数のデータベースサーバのうちの1つのデータベースサーバにおいてアクセス制御リストを受信することを備え、当該アクセス制御リストは、前記複数のデータベースサービスを識別し、前記複数のデータベースサービスの各々について、前記複数のデータベースサービスの前記各々にアクセスすることが許可されている1つ以上のデータベースサービスコンシューマに関連付けられている1つ以上のデータベースサービスコンシューマアイデンティティを識別し、当該方法はさらに、
当該複数のデータベースサーバを当該複数のアプリケーションサーバに直接接続する当該接続ベースのスイッチドファブリック上で送信される複数の通信パケットを、当該1つのデータベースサーバにおいて受信することと、
前記複数の通信パケットの各通信パケットについて以下のステップを当該1つのデータベースサーバ内で実行することとを備え、前記ステップは、
当該通信パケットがいずれのデータベースサービスコンシューマアイデンティティも含んでいない場合、当該通信パケットを破棄することと、
当該通信パケットがデータベースサービスコンシューマアイデンティティを含んでいる場合、当該通信パケットに含まれているデータベースコンシューマアイデンティティを用いて、当該通信パケットを送信したサービスコンシューマを識別することと、
前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースサービスコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することとを含む、方法。 - 前記通信パケットはアドレス解決プロトコル(ARP)要求であり、前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサーバによって提供される前記複数のデータベースサービスのうちのいずれか1つにアクセスすることが許可されていると識別しているか否かを、当該1つのデータベースサーバ内で判断することと、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサーバによって提供される前記複数のデータベースサービスのうちのいずれか1つにアクセスすることが許可されていると識別していない場合、ARP応答を送信することなく、当該ARP要求をドロップすることとを備える、請求項1に記載の方法。 - 前記通信パケットは接続確立要求であり、前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサーバによって提供される前記複数のデータベースサービスのうちのいずれか1つにアクセスすることが許可されていると識別しているか否かを、当該1つのデータベースサーバ内で判断することと、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサーバによって提供される前記複数のデータベースサービスのうちのいずれか1つにアクセスすることが許可されていると識別していない場合、接続を確立することなく、当該接続確立要求をドロップすることとを備える、請求項1または2に記載の方法。 - 前記通信パケットは接続確立要求であり、前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
当該接続確立要求がどのデータベースサービスに接続することを要求しているかを、当該1つのデータベースサーバ内で判断することと、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサービスにアクセスすることが許可されていると識別していない場合、前記接続確立要求に応答して当該1つのデータベースサービスへの接続の確立を防止することととを備える、請求項1から3のいずれか1項に記載の方法。 - 前記通信パケットは接続確立要求であり、前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
前記接続確立要求に応答して接続を形成することと、
前記接続上で当該データベースサービスコンシューマによってアクセスされるように意図されているデータベースサービスのIDを、前記接続上で受信することと、
当該アクセス制御リストが、前記データベースサービスコンシューマが前記1つのデータベースサービスにアクセスすることが許可されていると識別していない場合、前記接続を終了することとを備える、請求項1に記載の方法。 - 前記通信パケットは、当該データベースサービスコンシューマとデータベースサービスとの間に確立された接続上で受信されるデータパケットであり、前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
ハードウェアコンテキストを、当該データベースサービスコンシューマと当該1つのデータベースサービスとの間に確立された前記接続に関連付けることを備え、当該ハードウェアコンテキストは、当該データベースサービスコンシューマの当該データベースサービスコンシューマ識別子を含み、前記防止することはさらに、
前記データパケットが、当該接続に関連付けられている当該ハードウェアコンテキストに含まれている当該データベースサービスコンシューマアイデンティティを含んでいない限り、前記データパケットをドロップすることを備える、請求項1から5のいずれか1項に記載の方法。 - 前記データパケットは当該1つのデータベースサーバのホストチャネルアダプタにおいて受信され、当該ハードウェアコンテキストは前記ホストチャネルアダプタのメモリに格納され、前記データパケットが、当該接続に関連付けられている当該ハードウェアコンテキストに含まれている当該データベースサービスコンシューマアイデンティティを含んでいない限り、前記データパケットをドロップすることは、
前記データパケットが、当該接続に関連付けられている当該ハードウェアコンテキストに含まれており、かつ前記ホストチャネルアダプタの当該メモリに格納されている、当該データベースサービスコンシューマアイデンティティを含んでいない限り、当該ホストチャネルアダプタを用いて前記データパケットをドロップすることを備える、請求項6に記載の方法。 - 前記アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することは、
前記アクセス制御リストに基づいて、アドレス解決アクセス制御、接続確立アクセス制御、およびデータ交換アクセス制御のうちの少なくとも1つを実行することを備える、請求項1から7のいずれか1項に記載の方法。 - 前記接続ベースのスイッチドファブリックはインフィニバンドファブリックであり、前記通信パケットは、当該複数のデータベースサーバを当該複数のアプリケーションサーバに直接接続する当該インフィニバンドファブリック上で当該1つのデータベースサーバにおいて受信されるインフィニバンドプロトコル通信パケットであり、前記複数の通信パケットのうちの当該通信パケットについて当該1つのデータベースサーバによって実行される当該ステップは、
当該インフィニバンドプロトコル通信パケットがグローバルルーティングヘッダを含んでいない場合、当該インフィニバンドプロトコル通信パケットを破棄することと、
当該インフィニバンドプロトコル通信パケットがグローバルルーティングヘッダを含んでいる場合、当該インフィニバンドプロトコル通信パケットの当該グローバルルーティングヘッダに含まれているソースグローバル識別子を用いて、当該インフィニバンドプロトコル通信パケットを送信したサービスコンシューマを識別することと、
前記アクセス制御リストを当該インフィニバンドプロトコル通信パケットの当該グローバルルーティングヘッダに含まれている前記ソースグローバル識別子と組合せて用いて、前記アクセス制御リストが、前記データベースサービスコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することとを備える、請求項1から8のいずれか1項に記載の方法。 - 前記接続ベースのスイッチドファブリックはインフィニバンドファブリックであり、前記方法はさらに、
前記複数のデータベースサービスコンシューマから送信される各インフィニバンドパケットが、前記各パケットに関連付けられているデータベースサービスコンシューマを識別するソースグローバル識別子を含まなければならないように、前記複数のデータベースサーバを、各々がグローバルルーティングヘッダおよびソースグローバル識別子を含むインフィニバンドプロトコルパケットを用いること以外によって前記複数のデータベースサービスコンシューマと前記複数のデータベースサービスとの間のデータ交換を禁止するように構成することを備える、請求項1から9のいずれか1項に記載の方法。 - 複数のデータベースサービスコンシューマをホストする複数のアプリケーションサーバに直接接続される接続ベースのスイッチドファブリックを有するマルチテナント環境においてネットワークセキュリティを提供するためのシステムであって、当該複数のデータベースサービスコンシューマの各々は異なるデータベースサービスコンシューマアイデンティティに関連付けられており、当該システムは、
複数のデータベースサービスを提供する複数のデータベースサーバを備え、当該複数のデータベースサーバの各データベースサーバは、マイクロプロセッサ、メモリおよびネットワークインターフェイスを備え、当該システムはさらに、
当該複数のデータベースサーバの各々の上に格納されているアクセス制御リストを備え、当該アクセス制御リストは、前記複数のデータベースサービスを識別し、前記複数のデータベースサービスの各々について、前記複数のデータベースサービスの前記各々にアクセスすることが許可されている1つ以上のデータベースサービスコンシューマに関連付けられている1つ以上のデータベースサービスコンシューマアイデンティティを識別し、
当該複数のデータベースサーバの各データベースサーバの当該ネットワークインターフェイスは、当該複数のデータベースサーバを当該複数のアプリケーションサーバに直接接続する当該接続ベースのスイッチドファブリック上で送信される複数の通信パケットを受信するように構成され、
当該ネットワークインターフェイスは、当該ネットワークインターフェイスにおいて受信される前記複数の通信パケットの各通信パケットについて以下のステップを実行するように構成され、前記ステップは、
当該通信パケットがいずれのデータベースサービスコンシューマアイデンティティも含んでいない場合、当該通信パケットを破棄することと、
当該通信パケットがデータベースサービスコンシューマアイデンティティを含んでいる場合、当該通信パケットに含まれているデータベースコンシューマアイデンティティを用いて、当該通信パケットを送信したサービスコンシューマを識別することと、
当該データベースサーバ上に格納されている当該アクセス制御リストを当該通信パケットに含まれている前記データベースコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記データベースサービスコンシューマが前記複数のデータベースサービスのうちの1つのデータベースサービスにアクセスすることが許可されていると識別していない限り、当該データベースコンシューマによる前記1つのデータベースサービスへのアクセスを防止することとを含む、システム。 - 請求項1〜9のいずれかに記載の方法をコンピュータに実行させる、プログラム。
- 請求項12に記載のプログラムを格納したメモリと、
前記プログラムを実行するためのプロセッサとを備える、システム。 - 請求項1から10のいずれか1項に記載のネットワークセキュリティを提供するための方法であって、当該マルチテナント環境は、複数の異なるテナントに関連付けられているデータを保持している複数のストレージセルをさらに有し、当該複数のデータベースサービスの各々は、前記複数のストレージセル内に保持されている前記複数の異なるテナントに関連付けられている前記データを利用し、当該データベースサービスコンシューマは当該複数の異なるテナントに関連付けられており、当該方法は、
当該接続ベースのスイッチドファブリックを、前記複数のデータベースサービスコンシューマおよび前記複数のデータベースサーバにとってアクセス可能なデータベースアクセスパーティションを有するように構成することと、
当該接続ベースのスイッチドファブリックを、前記複数のデータベースサーバおよび前記複数のストレージセルにとってはアクセス可能であるが前記複数のデータベースサービスコンシューマにとってはアクセス不可能なストレージアクセスパーティションを有するように構成することと、
当該複数のアプリケーションサーバの各々のネットワークインターフェイスを、前記アプリケーションサーバ上にホストされている当該複数のデータベースサービスコンシューマの各々を固有のデータベースサービスコンシューマアイデンティティに関連付けるように構成することと、
当該複数のアプリケーションサーバの各々の当該ネットワークインターフェイスを、前記データベースサービスコンシューマから前記複数のデータベースサービスに向けて送信される当該通信パケットの各々の内部の前記アプリケーションサーバ上にホストされている当該複数のデータベースサービスコンシューマの各々に関連付けられている当該データベースサービスコンシューマアイデンティティを含むように構成することと、
当該複数のデータベースサーバの各々にアクセス制御リストを提供することとを備え、当該アクセス制御リストは、前記複数のデータベースサービスを識別し、前記複数のデータベースサービスの各々について、前記複数のデータベースサービスの前記各々にアクセスすることが許可されている1つ以上のデータベースサービスコンシューマに関連付けられている1つ以上のデータベースサービスコンシューマアイデンティティを識別し、当該方法はさらに、
データベースサービスコンシューマアイデンティティを含んでいない前記複数のアプリケーションサーバから受信したすべての通信パケットを、当該複数のデータベースサーバの各々のネットワークインターフェイスを用いて破棄することと、
前記アクセス制御リストを、当該複数のデータベースサーバのうちの特定のデータベースサーバの特定のネットワークインターフェイスにおいて受信した特定の通信パケットに含まれている特定のデータベースサービスコンシューマアイデンティティと組合せて用いて、前記アクセス制御リストが、前記特定のデータベースサービスコンシューマが前記複数のデータベースサービスのうちの特定のデータベースサービスにアクセスすることが許可されていると識別していない限り、当該特定のデータベースコンシューマアイデンティティに関連付けられている当該特定のデータベースサービスコンシューマによる前記特定のデータベースサービスへのアクセスを防止することとを備える、方法。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462048096P | 2014-09-09 | 2014-09-09 | |
US62/048,096 | 2014-09-09 | ||
US14/848,109 | 2015-09-08 | ||
US14/848,111 | 2015-09-08 | ||
US14/848,109 US9723008B2 (en) | 2014-09-09 | 2015-09-08 | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment |
US14/848,111 US9723009B2 (en) | 2014-09-09 | 2015-09-08 | System and method for providing for secure network communication in a multi-tenant environment |
PCT/US2015/049193 WO2016040485A1 (en) | 2014-09-09 | 2015-09-09 | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2017528832A JP2017528832A (ja) | 2017-09-28 |
JP2017528832A5 JP2017528832A5 (ja) | 2018-09-20 |
JP6581651B2 true JP6581651B2 (ja) | 2019-09-25 |
Family
ID=55438608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017513238A Active JP6581651B2 (ja) | 2014-09-09 | 2015-09-09 | マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法 |
Country Status (6)
Country | Link |
---|---|
US (3) | US9723008B2 (ja) |
EP (1) | EP3192230B1 (ja) |
JP (1) | JP6581651B2 (ja) |
KR (1) | KR102318338B1 (ja) |
CN (1) | CN107079003B (ja) |
WO (1) | WO2016040485A1 (ja) |
Families Citing this family (65)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10503442B2 (en) * | 2015-01-28 | 2019-12-10 | Avago Technologies International Sales Pte. Limited | Method and apparatus for registering and storing virtual machine unique information capabilities |
US10437770B2 (en) | 2015-01-28 | 2019-10-08 | Avago Technologies International Sales Pte. Limited | Method and apparatus for providing virtual machine information to a network interface |
US20160267187A1 (en) * | 2015-03-10 | 2016-09-15 | Thaddeus John Gabara | Method and Apparatus for Coupling the Internet, Environment and Intrinsic Memory to Users |
US9558029B2 (en) | 2015-05-17 | 2017-01-31 | Nicira, Inc. | Logical processing for containers |
US10701104B2 (en) * | 2015-08-18 | 2020-06-30 | Acronis International Gmbh | Agentless security of virtual machines using a network interface controller |
US20170054686A1 (en) * | 2015-08-18 | 2017-02-23 | Konstantin Malkov | Agentless Security of Virtual Machines using a Filtering Platform |
US10078526B2 (en) * | 2015-11-01 | 2018-09-18 | Nicira, Inc. | Securing a managed forwarding element that operates within a data compute node |
US10063469B2 (en) | 2015-12-16 | 2018-08-28 | Nicira, Inc. | Forwarding element implementation for containers |
US11018947B2 (en) | 2016-01-27 | 2021-05-25 | Oracle International Corporation | System and method for supporting on-demand setup of local host channel adapter port partition membership in a high-performance computing environment |
US10355992B2 (en) | 2016-01-27 | 2019-07-16 | Oracle International Corporation | System and method for supporting router SMA abstractions for SMP connectivity checks across virtual router ports in a high performance computing environment |
US10560318B2 (en) | 2016-01-27 | 2020-02-11 | Oracle International Corporation | System and method for correlating fabric-level group membership with subnet-level partition membership in a high-performance computing environment |
US10972375B2 (en) | 2016-01-27 | 2021-04-06 | Oracle International Corporation | System and method of reserving a specific queue pair number for proprietary management traffic in a high-performance computing environment |
US10200308B2 (en) | 2016-01-27 | 2019-02-05 | Oracle International Corporation | System and method for supporting a scalable representation of link stability and availability in a high performance computing environment |
US10348649B2 (en) | 2016-01-28 | 2019-07-09 | Oracle International Corporation | System and method for supporting partitioned switch forwarding tables in a high performance computing environment |
US10666611B2 (en) | 2016-01-28 | 2020-05-26 | Oracle International Corporation | System and method for supporting multiple concurrent SL to VL mappings in a high performance computing environment |
US10659340B2 (en) | 2016-01-28 | 2020-05-19 | Oracle International Corporation | System and method for supporting VM migration between subnets in a high performance computing environment |
US10630816B2 (en) | 2016-01-28 | 2020-04-21 | Oracle International Corporation | System and method for supporting shared multicast local identifiers (MILD) ranges in a high performance computing environment |
US10333894B2 (en) * | 2016-01-28 | 2019-06-25 | Oracle International Corporation | System and method for supporting flexible forwarding domain boundaries in a high performance computing environment |
US10616118B2 (en) | 2016-01-28 | 2020-04-07 | Oracle International Corporation | System and method for supporting aggressive credit waiting in a high performance computing environment |
US10348847B2 (en) | 2016-01-28 | 2019-07-09 | Oracle International Corporation | System and method for supporting proxy based multicast forwarding in a high performance computing environment |
US10355972B2 (en) | 2016-01-28 | 2019-07-16 | Oracle International Corporation | System and method for supporting flexible P_Key mapping in a high performance computing environment |
US10536334B2 (en) | 2016-01-28 | 2020-01-14 | Oracle International Corporation | System and method for supporting subnet number aliasing in a high performance computing environment |
US10374926B2 (en) | 2016-01-28 | 2019-08-06 | Oracle International Corporation | System and method for monitoring logical network traffic flows using a ternary content addressable memory in a high performance computing environment |
US10171353B2 (en) | 2016-03-04 | 2019-01-01 | Oracle International Corporation | System and method for supporting dual-port virtual router in a high performance computing environment |
US10142290B1 (en) * | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
WO2018022083A1 (en) * | 2016-07-29 | 2018-02-01 | Hewlett Packard Enterprise Development Lp | Deliver an ingress packet to a queue at a gateway device |
US10423437B2 (en) | 2016-08-17 | 2019-09-24 | Red Hat Israel, Ltd. | Hot-plugging of virtual functions in a virtualized environment |
CN108604199B (zh) | 2016-08-23 | 2022-08-23 | 甲骨文国际公司 | 计算环境中支持快速混合重新配置的系统和方法、介质 |
CN108111461B (zh) * | 2016-11-24 | 2020-11-20 | 中移(苏州)软件技术有限公司 | 实现虚拟机访问管理网络的方法、装置、网关及系统 |
US10261821B2 (en) * | 2016-12-02 | 2019-04-16 | Dell Products L.P. | System and method to expose remote virtual media partitions to virtual machines |
US10841199B2 (en) | 2017-03-24 | 2020-11-17 | Oracle International Corporation | System and method for optimized path record handling in homogenous fabrics without host stack cooperation in a high performance computing environment |
US10868685B2 (en) | 2017-03-24 | 2020-12-15 | Oracle International Corporation | System and method to provide explicit multicast local identifier assignment for per-partition default multicast local identifiers defined as subnet manager policy input in a high performance computing environment |
US10630499B2 (en) | 2017-03-24 | 2020-04-21 | Oracle International Corporation | System and method to provide path records derived from ARP responses and peer-to-peer negotiation based on homogeneous fabric attribute in a high performance computing environment |
US10693815B2 (en) * | 2017-03-24 | 2020-06-23 | Oracle International Corporation | System and method to use all incoming multicast packets as a basis for GUID to LID cache contents in a high performance computing environment |
US10635561B2 (en) | 2017-05-11 | 2020-04-28 | Salesforce.Com, Inc. | Techniques and architectures for managing database failure in a single-node database architecture |
US10425274B2 (en) * | 2017-05-11 | 2019-09-24 | Salesforce.Com, Inc. | Techniques and architectures for recovering from a service disruption in a multi-server environment |
CN107241313B (zh) * | 2017-05-18 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种防mac泛洪攻击的方法及装置 |
US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
US11093443B2 (en) | 2017-06-29 | 2021-08-17 | Sap Se | Database-level container group management |
US10674438B2 (en) | 2017-06-29 | 2020-06-02 | Sap Se | Restricting access to external schemas from within a database level container by whitelisting allowed schemas |
US10984021B2 (en) | 2017-06-29 | 2021-04-20 | Sap Se | Deployment of independent database artifact groups |
US10776330B2 (en) | 2017-06-29 | 2020-09-15 | Sap Se | Optimized re-deployment of database artifacts |
US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
US10657114B2 (en) | 2017-11-28 | 2020-05-19 | Sap Se | Reserving key specifications |
US10812463B2 (en) * | 2017-12-08 | 2020-10-20 | International Business Machines Corporation | Secure access to an enterprise computing environment |
US11044229B2 (en) * | 2017-12-22 | 2021-06-22 | International Business Machines Corporation | Dynamically opening ports for trusted application processes hosted in containers |
CN110071900B (zh) * | 2018-01-23 | 2020-11-17 | 华为技术有限公司 | 数据发送的方法及设备 |
CN109067744B (zh) * | 2018-08-08 | 2021-11-09 | 新华三技术有限公司合肥分公司 | Acl规则处理方法、装置及通信设备 |
US10833949B2 (en) | 2018-11-20 | 2020-11-10 | Amazon Technologies, Inc | Extension resource groups of provider network services |
CN109542590B (zh) * | 2018-11-28 | 2022-12-20 | 上海酷栈科技有限公司 | Docker集群多租户下虚拟Socket通信的方法 |
CN109491249B (zh) * | 2018-11-30 | 2022-01-18 | 沈阳航空航天大学 | 一种存在DoS攻击时确定一致性事件触发控制器的方法 |
US11064017B2 (en) | 2019-09-24 | 2021-07-13 | Amazon Technologies, Inc. | Peripheral device enabling virtualized computing service extensions |
US11520530B2 (en) * | 2019-09-24 | 2022-12-06 | Amazon Technologies, Inc. | Peripheral device for configuring compute instances at client-selected servers |
CN112565158B (zh) * | 2019-09-25 | 2022-10-04 | 阿里巴巴集团控股有限公司 | 数据访问方法、装置、系统、电子设备及计算机可读介质 |
US11444881B2 (en) | 2019-11-19 | 2022-09-13 | Oracle International Corporation | System and method for supporting use of forward and backward congestion notifications in a private fabric in a high performance computing environment |
CN111163130B (zh) * | 2019-12-06 | 2022-08-23 | 深圳智链物联科技有限公司 | 一种网络服务系统及其数据传输方法 |
US11569997B1 (en) | 2020-03-09 | 2023-01-31 | Amazon Technologies, Inc. | Security mechanisms for data plane extensions of provider network services |
US11973770B1 (en) | 2020-12-09 | 2024-04-30 | Wiz, Inc. | Techniques for multi-tenant vulnerability scanning |
CN113377784B (zh) * | 2021-08-13 | 2021-12-03 | 成都市维思凡科技有限公司 | 一种基于中间件的数据处理方法、系统和存储介质 |
US20230297685A1 (en) * | 2022-03-15 | 2023-09-21 | Vmware, Inc. | Remediation method to trace and clean up malicious files in a distributed malware detection system |
KR102491184B1 (ko) | 2022-03-31 | 2023-01-26 | 주식회사 오픈텔 | 전용 브라우저를 통한 네트워크 보안시스템 |
US11929986B1 (en) * | 2022-10-31 | 2024-03-12 | Snowflake Inc. | Two-way data sharing between private and public clouds |
Family Cites Families (101)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4304001A (en) | 1980-01-24 | 1981-12-01 | Forney Engineering Company | Industrial control system with interconnected remotely located computer control units |
US6914905B1 (en) | 2000-06-16 | 2005-07-05 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
JP2003281277A (ja) * | 2002-03-19 | 2003-10-03 | Kazuteru Ono | 医療データベースプロバイド方法、およびシステム |
US7447778B2 (en) | 2002-05-06 | 2008-11-04 | Qlogic, Corporation | System and method for a shared I/O subsystem |
US7493409B2 (en) | 2003-04-10 | 2009-02-17 | International Business Machines Corporation | Apparatus, system and method for implementing a generalized queue pair in a system area network |
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CN1553380A (zh) * | 2003-05-27 | 2004-12-08 | 鸿富锦精密工业(深圳)有限公司 | 数据库使用权限控制系统及方法 |
US8776050B2 (en) | 2003-08-20 | 2014-07-08 | Oracle International Corporation | Distributed virtual machine monitor for managing multiple virtual resources across multiple physical nodes |
US7934020B1 (en) | 2003-09-19 | 2011-04-26 | Vmware, Inc. | Managing network data transfers in a virtual computer system |
US8335909B2 (en) | 2004-04-15 | 2012-12-18 | Raytheon Company | Coupling processors to each other for high performance computing (HPC) |
US7398394B1 (en) * | 2004-06-02 | 2008-07-08 | Bjorn Dag Johnsen | Method and apparatus for authenticating nodes in a communications network |
US7443860B2 (en) * | 2004-06-08 | 2008-10-28 | Sun Microsystems, Inc. | Method and apparatus for source authentication in a communications network |
US7437447B2 (en) | 2004-11-12 | 2008-10-14 | International Business Machines Corporation | Method and system for authenticating a requestor without providing a key |
US7509419B2 (en) | 2005-01-13 | 2009-03-24 | International Business Machines Corporation | Method for providing remote access redirect capability in a channel adapter of a system area network |
US8520512B2 (en) * | 2005-01-26 | 2013-08-27 | Mcafee, Inc. | Network appliance for customizable quarantining of a node on a network |
US8422678B2 (en) | 2005-11-16 | 2013-04-16 | Intel Corporation | Method, apparatus and system for protecting security keys on a wireless platform |
US7940757B2 (en) | 2006-02-23 | 2011-05-10 | Cisco Technology, Inc. | Systems and methods for access port ICMP analysis |
US7996583B2 (en) | 2006-08-31 | 2011-08-09 | Cisco Technology, Inc. | Multiple context single logic virtual host channel adapter supporting multiple transport protocols |
US20080189432A1 (en) | 2007-02-02 | 2008-08-07 | International Business Machines Corporation | Method and system for vm migration in an infiniband network |
US7913077B2 (en) | 2007-02-13 | 2011-03-22 | International Business Machines Corporation | Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests |
JP4747118B2 (ja) | 2007-03-05 | 2011-08-17 | 富士通株式会社 | ルータ、通信保証方法および通信保証プログラム |
US8392981B2 (en) | 2007-05-09 | 2013-03-05 | Microsoft Corporation | Software firewall control |
US9660829B2 (en) | 2007-06-04 | 2017-05-23 | Avaya Inc. | Secure VLANs |
US7836332B2 (en) | 2007-07-18 | 2010-11-16 | Hitachi, Ltd. | Method and apparatus for managing virtual ports on storage systems |
US20090063747A1 (en) * | 2007-08-28 | 2009-03-05 | Rohati Systems, Inc. | Application network appliances with inter-module communications using a universal serial bus |
US20090077268A1 (en) * | 2007-09-14 | 2009-03-19 | International Business Machines Corporation | Low Latency Multicast for Infiniband Host Channel Adapters |
US8798056B2 (en) | 2007-09-24 | 2014-08-05 | Intel Corporation | Method and system for virtual port communications |
US7975033B2 (en) * | 2007-10-23 | 2011-07-05 | Virtudatacenter Holdings, L.L.C. | System and method for initializing and maintaining a series of virtual local area networks contained in a clustered computer system |
US8331381B2 (en) * | 2007-12-04 | 2012-12-11 | International Business Machines Corporation | Providing visibility of Ethernet components to a subnet manager in a converged InfiniBand over Ethernet network |
US7983265B1 (en) * | 2008-01-17 | 2011-07-19 | Qlogic, Corporation | Method and system for processing a network packet |
CN101499061A (zh) * | 2008-01-30 | 2009-08-05 | 国际商业机器公司 | 面向多租户的数据库引擎及其数据访问方法 |
US7962564B2 (en) | 2008-02-25 | 2011-06-14 | International Business Machines Corporation | Discovery of a virtual topology in a multi-tasking multi-processor environment |
US20090222640A1 (en) | 2008-02-28 | 2009-09-03 | Bauman Ellen M | Memory Migration in a Logically Partitioned Computer System |
US8739269B2 (en) * | 2008-08-07 | 2014-05-27 | At&T Intellectual Property I, L.P. | Method and apparatus for providing security in an intranet network |
JP5272265B2 (ja) | 2008-09-29 | 2013-08-28 | 株式会社日立製作所 | Pciデバイス共有方法 |
US8429650B2 (en) * | 2008-11-14 | 2013-04-23 | Oracle International Corporation | System and method of security management for a virtual environment |
US7970913B2 (en) | 2008-12-31 | 2011-06-28 | International Business Machines Corporation | Virtualizing sockets to enable the migration of a system environment |
WO2010099407A1 (en) | 2009-02-27 | 2010-09-02 | Broadcom Corporation | Method and system for virtual machine networking |
US8429647B2 (en) | 2009-05-06 | 2013-04-23 | Vmware, Inc. | Virtual machine migration across network by publishing routes to the associated virtual networks via virtual router after the start of migration of the virtual machine |
US8064443B2 (en) | 2009-05-11 | 2011-11-22 | Juniper Networks, Inc. | Scalable routing policy construction using dynamic redefinition of routing preference value |
US8150971B2 (en) | 2009-05-31 | 2012-04-03 | Red Hat Israel, Ltd. | Mechanism for migration of client-side virtual machine system resources |
US8370560B2 (en) | 2009-11-16 | 2013-02-05 | International Business Machines Corporation | Symmetric live migration of virtual machines |
US8589921B2 (en) | 2009-11-30 | 2013-11-19 | Red Hat Israel, Ltd. | Method and system for target host optimization based on resource sharing in a load balancing host and virtual machine adjustable selection algorithm |
US8327060B2 (en) | 2009-11-30 | 2012-12-04 | Red Hat Israel, Ltd. | Mechanism for live migration of virtual machines with memory optimizations |
JP5190084B2 (ja) | 2010-03-30 | 2013-04-24 | 株式会社日立製作所 | 仮想マシンのマイグレーション方法およびシステム |
US9244700B2 (en) | 2010-05-09 | 2016-01-26 | Citrix Systems, Inc. | Methods and systems for delivering applications from a desktop operating system |
US8407366B2 (en) | 2010-05-14 | 2013-03-26 | Microsoft Corporation | Interconnecting members of a virtual network |
US8989187B2 (en) | 2010-06-04 | 2015-03-24 | Coraid, Inc. | Method and system of scaling a cloud computing network |
US9148373B2 (en) | 2010-07-30 | 2015-09-29 | Intellectual Discovery Co., Ltd. | Network system |
US8489699B2 (en) | 2010-08-13 | 2013-07-16 | Vmware, Inc. | Live migration of virtual machine during direct access to storage over SR IOV adapter |
US20120173757A1 (en) | 2011-01-05 | 2012-07-05 | International Business Machines Corporation | Routing optimization for virtual machine migration between geographically remote data centers |
US9225639B2 (en) | 2011-01-31 | 2015-12-29 | Intellectual Discovery Co., Ltd. | Network system |
US9015709B2 (en) | 2011-03-08 | 2015-04-21 | Rackspace Us, Inc. | Hypervisor-agnostic method of configuring a virtual machine |
JP5395833B2 (ja) * | 2011-03-14 | 2014-01-22 | 株式会社東芝 | 仮想ネットワークシステム及び仮想通信制御方法 |
US20120265956A1 (en) | 2011-04-18 | 2012-10-18 | Hitachi, Ltd. | Storage subsystem, data migration method and computer system |
US9130935B2 (en) * | 2011-05-05 | 2015-09-08 | Good Technology Corporation | System and method for providing access credentials |
US9218195B2 (en) | 2011-05-17 | 2015-12-22 | International Business Machines Corporation | Vendor-independent resource configuration interface for self-virtualizing input/output device |
US8713649B2 (en) * | 2011-06-03 | 2014-04-29 | Oracle International Corporation | System and method for providing restrictions on the location of peer subnet manager (SM) instances in an infiniband (IB) network |
WO2012167268A1 (en) * | 2011-06-03 | 2012-12-06 | Oracle International Corporation | System and method for authenticating components in a network |
EP2719124B1 (en) * | 2011-06-07 | 2018-04-11 | Hewlett-Packard Enterprise Development LP | A scalable multi-tenant network architecture for virtualized datacenters |
US8739273B2 (en) * | 2011-07-11 | 2014-05-27 | Oracle International Corporation | System and method for supporting subnet management packet (SMP) firewall restrictions in a middleware machine environment |
US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
JP5643990B2 (ja) | 2011-07-29 | 2014-12-24 | 株式会社日立製作所 | ネットワーク装置及びネットワークシステム |
US8656389B2 (en) | 2011-08-22 | 2014-02-18 | Vmware, Inc. | Virtual port command processing during migration of virtual machine |
US9288160B2 (en) * | 2011-08-23 | 2016-03-15 | Intel Corporation | GID capable switching in an infiniband fabric |
US8584215B2 (en) * | 2012-02-07 | 2013-11-12 | Cisco Technology, Inc. | System and method for securing distributed exporting models in a network environment |
US9742693B2 (en) | 2012-02-27 | 2017-08-22 | Brocade Communications Systems, Inc. | Dynamic service insertion in a fabric switch |
US9047107B2 (en) * | 2012-02-29 | 2015-06-02 | Red Hat, Inc. | Applying a custom security type label to multi-tenant applications of a node in a platform-as-a-service environment |
US8850514B2 (en) * | 2012-05-01 | 2014-09-30 | Red Hat, Inc. | Cartridges in a multi-tenant platforms-as-a-service (PaaS) system implemented in a cloud computing environment |
US9871734B2 (en) | 2012-05-28 | 2018-01-16 | Mellanox Technologies, Ltd. | Prioritized handling of incoming packets by a network interface controller |
US9401963B2 (en) * | 2012-06-04 | 2016-07-26 | Oracle International Corporation | System and method for supporting reliable connection (RC) based subnet administrator (SA) access in an engineered system for middleware and application execution |
US8893258B2 (en) * | 2012-06-11 | 2014-11-18 | Cisco Technology, Inc. | System and method for identity based authentication in a distributed virtual switch network environment |
US8832820B2 (en) | 2012-06-25 | 2014-09-09 | International Business Machines Corporation | Isolation and security hardening among workloads in a multi-tenant networked environment |
US9253014B2 (en) | 2012-06-25 | 2016-02-02 | Hitachi, Ltd. | Computer system and application program execution environment migration method |
US9063928B2 (en) | 2012-07-12 | 2015-06-23 | International Business Machines Corporation | Processing data packets from a receive queue in a remote direct memory access device |
US9104645B2 (en) | 2012-07-27 | 2015-08-11 | Dell Products, Lp | System and method of replicating virtual machines for live migration between data centers |
US9602430B2 (en) | 2012-08-21 | 2017-03-21 | Brocade Communications Systems, Inc. | Global VLANs for fabric switches |
US8769274B2 (en) * | 2012-09-05 | 2014-07-01 | International Business Machines Corporation | Backup and restore in a secure appliance with integrity and confidentiality |
US9385949B2 (en) | 2012-12-20 | 2016-07-05 | Mellanox Technologies Tlv Ltd. | Routing controlled by subnet managers |
US20140188996A1 (en) | 2012-12-31 | 2014-07-03 | Advanced Micro Devices, Inc. | Raw fabric interface for server system with virtualized interfaces |
US9306906B2 (en) * | 2013-03-25 | 2016-04-05 | Salesforce.Com, Inc. | Systems and methods for utilizing uni-directional inter-host communication in an air gap environment |
US9660905B2 (en) | 2013-04-12 | 2017-05-23 | Futurewei Technologies, Inc. | Service chain policy for distributed gateways in virtual overlay networks |
US9426155B2 (en) * | 2013-04-18 | 2016-08-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
US20140344436A1 (en) * | 2013-05-08 | 2014-11-20 | Connectloud, Inc. | Method and Apparatus to Securely Process Streams of Data of Storage Devices of Private Enterprise Clouds in Batch from the Public Cloud |
US20140351423A1 (en) * | 2013-05-24 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus for Dynamic Correlation of Large Cloud Firewall Fault Event Stream |
US20140351920A1 (en) * | 2013-05-24 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus for Dynamic Tunneling |
US20140351923A1 (en) * | 2013-05-26 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus for Remotely Manageable, Declaratively Configurable Data Stream Aggregator with Guaranteed Delivery for Private Cloud Compute Infrastructure |
US20140351922A1 (en) * | 2013-05-26 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus for Remotely Manageable, Declaratively Configurable Data Stream Aggregator with Guaranteed Delivery for Private Cloud Compute Infrastructure |
US20140351921A1 (en) * | 2013-05-26 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus for Remotely Manageable, Declaratively Configurable Data Stream Aggregator with Guaranteed Delivery for Private Cloud Compute Infrastructure |
US20150026332A1 (en) * | 2013-05-26 | 2015-01-22 | Connectloud, Inc. | Method and Apparatus to Securely Process Streams of Data of Network / Storage / Compute Devices of Private Enterprise Clouds in Real-time from the Public Cloud |
US9300690B2 (en) * | 2013-07-03 | 2016-03-29 | Red Hat, Inc. | Secure network labeling to control inter-process communications in a multi-tenant platform-as-a-service (PaaS) system |
US9843512B2 (en) * | 2013-08-27 | 2017-12-12 | Oracle International Corporation | System and method for controlling a data flow in an engineered system for middleware and application execution |
US20150066759A1 (en) * | 2013-08-27 | 2015-03-05 | Connectloud, Inc. | METHOD AND APPARATUS FOR GAUGING NETWORK TRAFFIC FLOW FOR SOFTWARE DEFINED NETWORKS WITHIN A SOFTWARE DEFINED CLOUDd |
US20150067789A1 (en) * | 2013-08-27 | 2015-03-05 | Connectloud, Inc. | Method and apparatus to provide a network software defined cloud with capacity to prevent tenant access to network control plane through software defined networks |
US20150067809A1 (en) * | 2013-08-27 | 2015-03-05 | Connectloud, Inc. | User identity authentication and single sign on for multitenant environment |
US9397946B1 (en) * | 2013-11-05 | 2016-07-19 | Cisco Technology, Inc. | Forwarding to clusters of service nodes |
US9942265B2 (en) * | 2014-01-06 | 2018-04-10 | International Business Machines Corporation | Preventing application-level denial-of-service in a multi-tenant system |
CN103761299A (zh) * | 2014-01-16 | 2014-04-30 | 西北工业大学 | 一种跨智能空间的情境查询方法 |
US20150363219A1 (en) * | 2014-03-14 | 2015-12-17 | Avni Networks Inc. | Optimization to create a highly scalable virtual netork service/application using commodity hardware |
US9553850B2 (en) * | 2014-06-30 | 2017-01-24 | International Business Machines Corporation | Multi-tenant secure separation of data in a cloud-based application |
US9756135B2 (en) * | 2014-07-31 | 2017-09-05 | Ca, Inc. | Accessing network services from external networks |
-
2015
- 2015-09-08 US US14/848,109 patent/US9723008B2/en active Active
- 2015-09-08 US US14/848,111 patent/US9723009B2/en active Active
- 2015-09-09 WO PCT/US2015/049193 patent/WO2016040485A1/en active Application Filing
- 2015-09-09 CN CN201580047319.2A patent/CN107079003B/zh active Active
- 2015-09-09 KR KR1020177009087A patent/KR102318338B1/ko active IP Right Grant
- 2015-09-09 EP EP15767397.1A patent/EP3192230B1/en active Active
- 2015-09-09 JP JP2017513238A patent/JP6581651B2/ja active Active
-
2017
- 2017-06-28 US US15/635,418 patent/US9888010B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US9888010B2 (en) | 2018-02-06 |
CN107079003B (zh) | 2020-07-28 |
US20160072816A1 (en) | 2016-03-10 |
US20160072817A1 (en) | 2016-03-10 |
EP3192230B1 (en) | 2018-11-07 |
JP2017528832A (ja) | 2017-09-28 |
KR102318338B1 (ko) | 2021-10-28 |
KR20170051486A (ko) | 2017-05-11 |
CN107079003A (zh) | 2017-08-18 |
EP3192230A1 (en) | 2017-07-19 |
US20170302673A1 (en) | 2017-10-19 |
US9723009B2 (en) | 2017-08-01 |
WO2016040485A1 (en) | 2016-03-17 |
US9723008B2 (en) | 2017-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6581651B2 (ja) | マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法 | |
DeCusatis et al. | Implementing zero trust cloud networks with transport access control and first packet authentication | |
US7913077B2 (en) | Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests | |
US9930018B2 (en) | System and method for providing source ID spoof protection in an infiniband (IB) network | |
US9843512B2 (en) | System and method for controlling a data flow in an engineered system for middleware and application execution | |
TWI360781B (en) | Method for configuring a computer device using loa | |
US20160112325A1 (en) | Load balancing among a cluster of firewall security devices | |
US8713649B2 (en) | System and method for providing restrictions on the location of peer subnet manager (SM) instances in an infiniband (IB) network | |
EP3529950B1 (en) | Method for managing data traffic within a network | |
CN113596033B (zh) | 访问控制方法及装置、设备、存储介质 | |
US9559990B2 (en) | System and method for supporting host channel adapter (HCA) filtering in an engineered system for middleware and application execution | |
US20140082693A1 (en) | Updating security bindings in a network device | |
WO2014180235A1 (zh) | 数据包过滤规则配置方法、装置及系统 | |
US7551559B1 (en) | System and method for performing security actions for inter-layer binding protocol traffic | |
CN118647976A (zh) | 加密数据分组转发 | |
US20220021649A1 (en) | Policy based mechanism to efficiently interpret and block insecure network communication | |
US11012357B2 (en) | Using a route server to distribute group address associations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180813 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180813 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190830 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6581651 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |