JP7304983B2 - クラウドベースのセキュリティサービスのための大規模なローカル化 - Google Patents
クラウドベースのセキュリティサービスのための大規模なローカル化 Download PDFInfo
- Publication number
- JP7304983B2 JP7304983B2 JP2022005607A JP2022005607A JP7304983B2 JP 7304983 B2 JP7304983 B2 JP 7304983B2 JP 2022005607 A JP2022005607 A JP 2022005607A JP 2022005607 A JP2022005607 A JP 2022005607A JP 7304983 B2 JP7304983 B2 JP 7304983B2
- Authority
- JP
- Japan
- Prior art keywords
- cloud
- based security
- public
- service
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2528—Translation at a proxy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
Description
ファイアウォールは、一般的に、認可された通信がファイアウォールを通過するのを許可する一方で、ネットワークを不正アクセス(unauthorized access)から保護する。ファイアウォールは、典型的には、ネットワークアクセスのためのファイアウォール機能を提供する、デバイスまたは一組のデバイス、もしくはコンピュータといった、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムへと統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、データ機器(例えば、セキュリティアプライアンスまたは他のタイプの特殊目的デバイス)上のソフトウェアに統合され、または、ソフトウェアとして実行することもできる。
ファイアウォールは、典型的には、一式のルールに基づいてネットワーク送信を拒否または許可する。これら一式のルールは、しばしば、ポリシ(policy)と呼ばれる。例えば、ファイアウォールは、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによって、アウトバウンドトラフィックをフィルタリングすることもできる。ファイアウォールは、また、基本的なルーティング機能を実行することもできる。
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1は、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスのシステム図である。
図2Aは、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスのシステム図である。
図2Bは、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスの別のシステム図である。
図3Aは、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのための大規模なローカル化(localization at scale)を提供するためのネットワークゲートウェイの例示的なコンポーネントを示すシステムブロック図である。
図3Bは、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するためのネットワークゲートウェイの例示的なコンポーネントを示すシステムブロック図である。
図4Aは、いくつかの実施形態に従った、ネットワークゲートウェイの一つの実施形態を示している。
図4Bは、データ機器の一つの実施形態の論理コンポーネントの機能図である。
図5は、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するプロセスを示すフローチャートである。
図6は、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するプロセスを示す別のフローチャートである。
本発明は、多数の方法で実施することができ、プロセス、装置、システム、物質の組成、コンピュータ読取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリに記憶され、かつ/あるいは、それによって提供される命令を実行するように構成されたプロセッサといった、プロセッサを含んでいる。この明細書において、これらの実施形態、または本発明がとり得る任意の他の形態は、技法(techniques)と称される。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。
特に断らない限り、タスクを実行するように構成されているものとして記載されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように時間的に構成されている一般的なコンポーネントとして、または、タスクを実行するように製造されている特定のコンポーネントとして実装することができる。ここにおいて使用される場合、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを指す。
特に断らない限り、タスクを実行するように構成されているものとして記載されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように時間的に構成されている一般的なコンポーネントとして、または、タスクを実行するように製造されている特定のコンポーネントとして実装することができる。ここにおいて使用される場合、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを指す。
本発明の1つ以上の実施形態に係る詳細な説明は、本発明の原理を説明する添付の図面と共に以下に提供されている。本発明は、そうした実施形態に関連して説明されるが、本発明は、任意の実施形態に限定されるものではない。本発明の範囲は、請求項によってのみ限定されるものであり、そして、本発明は、多数の代替、修正、および均等物を包含する。本発明の完全な理解を提供するために、以下の説明においては多数の具体的な詳細が記載されている。これらの詳細は、例示のために提供されているものであり、そして、本発明は、これらの特定の詳細の一部または全部を伴うことなく、請求項に従って実施され得る。明確性のために、発明に関連する技術分野において知られている技術的資料は、発明が不必要に不明確にならないように、詳細には説明されていない。
先進的または次世代ファイアウォール
マルウェア(malware)は、悪意のあるソフトウェア(例えば、様々な敵対的、侵入的、及び/又は、そうでなければ、望まれていないソフトウェアを含むもの)を指す一般的な用語である。マルウェアは、コード、スクリプト、アクティブコンテンツ、及び/又は、他のソフトウェアの形態であり得る。マルウェアの使用例は、コンピュータ及び/又はネットワーク動作の中断、機密情報(proprietary information)(例えば、身元、財務、及び/又は、知的財産関連情報といった秘密情報)の盗用、及び/又は、私的/専有コンピュータシステム及び/又はコンピュータネットワークに対するアクセスの獲得を含む。不幸にも、マルウェアの検出と軽減に役立つ技法が開発されるにつれて、悪意のある作家は、そうした努力を回避する方法を見つける。従って、マルウェアを識別し、かつ、軽減するための技法を改善する継続的な必要性が存在している。
ファイアウォールは、一般的に、承認された通信がファイアウォールを通過するのを許可し、一方で、不正アクセスからネットワークを保護している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング(routing)デバイス(例えば、ネットワークルータ)、または、データ機器(例えば、セキュリティアプライアンス、または他のタイプの特殊目的デバイス)といった、様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションとして統合され、または実行することができ、そして、いくつかの実装では、特定の動作は、ASICまたはFPGAのような、特定目的ハードウェアで実装することができる。
る。
る。
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらのルールのセットは、しばしば、ポリシ(例えば、ネットワークポリシ、またはネットワークセキュリティポリシ)として参照される。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達するのを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィック(inbound traffic)をフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることができる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォールルールまたはファイアウォールポリシにおいて指定され得る他のアクションであり、これらは、ここにおいて説明されるような、様々な基準に基づいてトリガすることができる)。ファイアウォールは、また、同様に一式のルールまたはポリシを適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックをフィルタリングすることもできる。
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ動作(例えば、ファイアウォール、アンチ-マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他のセキュリティ及び/又はネットワーク関連の機能を実行することができる。例えば、ルーティングは、送信元(source)情報(例えば、IPアドレスおよびポート)、宛先(destination)情報(例えば、IPアドレスおよびポート)、および、プロトコル情報(例えば、レイヤ-3 IPベースルーティング)に基づいて実行することができる。
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする(例えば、ステートレス(stateless)パケットフィルタリング・ファイアウォールである、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
アプリケーション・ファイアウォールは、また、(例えば、アプリケーション層フィルタリング・ファイアウォール、または、TCP/IPスタックのアプリケーションレベルにおいて機能する第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポート上で通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケット検査を実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(packets/packet flow)と関連する一式のパケットのコンテキストの中で検査される(例えば、ステートフル・ファイアウォールまたは第3世代ファイアウォール)。このファイアウォール技術は、一般的に、ステートフル・パケット検査として参照される。ファイアウォールを通過する全ての接続の記録を保持し、そして、パケットが、新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加的なファイアウォール技術を実行することもできる。例えば、先進的または次世代ファイアウォールとして、しばしば参照される所定の新しいファイアウォールは、また、ユーザおよびコンテンツを識別することができる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networksから市販されている(例えば、Palo Alto NetworksのPAシリーズのファイアウォール)。
例えば、Palo Alto Networksの次世代ファイアウォールは、様々な識別技術を使用して、企業およびサービスプロバイダが、アプリケーション、ユーザ、およびコンテンツ-単にポート、IPアドレス、およびパケットだけでなく-を識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのアプリケーションID(App-ID)(例えば、App ID)、ユーザ識別のためのユーザID(User-ID)(例えば、User ID)、および、リアルタイムなコンテンツスキャニングのためのコンテンツID(Content-ID)(例えば、Content ID)といったものである(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、例えば、専用装置として実装される、次世代ファイアウォールのための特定目的ハードウェアは、汎用ハードウェア上で実行されるソフトウェアよりも、アプリケーション検査についてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティアプライアンスといったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、Palo Alto NetworksのPAシリーズ次世代ファイアウォールについて、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
先進的または次世代ファイアウォールは、また、仮想化ファイアウォールを使用して実装することもできる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(Palo Alto Networksのファイアウォールは、VMware(R) ESXiおよびNSX、Citrix(R)Netscaler SDX、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、および、Amazon Web Services(AWS)を含む、様々な商用仮想化環境をサポートしている)。例えば、仮想化ファイアウォールは、物理的フォームファクタアプライアンスで利用可能な、同様の、または、完全に同一の次世代ファイアウォールおよび先進的な脅威防止機能をサポートすることができ、企業は、プライベート、パブリック、およびハイブリッドなクラウドコンピューティング環境へのアプリケーションの流入を安全に可能にすることができる。VMモニタリング、ダイナミックアドレスグループ、およびRESTベースのAPIといった自動化機能により、企業は、VMの変化を動的にモニタすることができ、そのコンテキストをセキュリティポリシに反映させて、それにより、VMの変化時に生じ得るポリシの遅れ(lag)を排除している。
クラウドベースのセキュリティサービスプロバイダに対する技術的課題
セキュリティサービスプロバイダは、ファイアウォール、VPN、および、その他のセキュリティ関連サービスを含む、様々な市販のクラウドベースのセキュリティソリューションを提供している。例えば、いくつかのセキュリティサービスプロバイダは、クラウドベースのセキュリティソリューションを顧客に提供するために、世界中の複数の地域に彼ら自身のデータセンタを有している。
一般的に、クラウドベースのセキュリティサービスは、世界中の様々な場所/地域でクラウドベースのセキュリティサービスプロバイダによって提供されている。しかしながら、顧客(例えば、所与のクラウドベースのセキュリティサービスプロバイダの企業顧客)は、クラウドベースのセキュリティサービスプロバイダがそうした顧客にクラウドベースのセキュリティサービスを提供するためのデータセンタを持たない特定の場所/地域にオフィス及び/又はモバイルユーザを有することがある。その結果、このことは、クラウドベースのセキュリティサービスプロバイダがローカルデータセンタを有する場所/地域外の多くの顧客に対して、ネットワークパフォーマンスのレイテンシを、しばしば、もたらすことがある。
さらに、クラウドベースのセキュリティサービスプロバイダは、クラウドベースのセキュリティサービスプロバイダがローカルデータセンタを持たない場所/地域に対して、ローカル化(localization)のための適切なサポートを提供できないことがある。具体的には、多くのWebサイト/サービスが、ユーザの位置に基づいてローカ化パッケージ(例えば、表示言語/コンテンツ)を決定する。ローカラル化パッケージは、ユーザのIPアドレスの登録された位置によって主に決定される。かくして、ユーザトラフィックがクラウドベースのセキュリティサービスのネットワークゲートウェイから出て行く場合、そのネットワークゲートウェイに関連付けられたパブリックIPアドレスは、典型的に、そのユーザトラフィックのソースIPアドレスとなる。この例において、クラウドベースのセキュリティサービスのネットワークゲートウェイに関連するパブリックIPアドレスは、ユーザの実際の場所と同じ地理的場所に登録されないだろうと仮定すると、ウェブサイト/サービスは、典型的に、ユーザの実際の場所とは異なる言語/コンテンツを表示し、これは、一般的には、クラウドベースのセキュリティサービスプロバイダのそうした顧客にとって、あまり望ましくないユーザ体験である。
例えば、フランスに所在するユーザがドイツのクラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイに接続されている場合(例えば、セキュリティサービスプロバイダがイタリアに置かれたデータセンタを有しておらず、かつ、その最も近いネットワークゲートウェイがドイツに置かれている場合)、ウェブサイト/サービスは、ユーザがドイツに所在するかのように、ユーザのセッションを取り扱うだろう。ユーザのセッションに、そのネットワークゲートウェイの出口IPアドレスが付与されているからであり、ドイツで登録されたパブリックIPアドレスに関連するだろう。結果として、このことは、一般的に、そのユーザ(例えば、そして、セキュリティサービスプロバイダがネットワークゲートウェイ/データセンタを有しない場所/地域に置かれたセキュリティサービスプロバイダの他のユーザ)にとって望ましくないユーザ体験をもたらす。
従って、必要とされるのは、クラウドベースのセキュリティサービスにローカル化を提供するための新しく、かつ、改良された技法である。
クラウドベースのセキュリティサービスのための大規模なローカル化を提供するための技法
従って、クラウドベースのセキュリティサービスのために大規模なローカル化を提供するための種々の技術が開示される。
開示される技法は、例えば、パブリッククラウドにおいて、IPアドレスの場所/地域とインスタンスの場所/地域は、一般的に無関係であるという観察に基づいている。従って、開示される技術は、所与のネットワークゲートウェイ(例えば、物理的ネットワークゲートウェイ、または、クラウドベースのセキュリティサービスプロバイダに係るそうしたネットワークゲートウェイの仮想インスタンス)の場所/地域(例えば、市、州、郡、県、国、及び/又は、大陸)と、所与のネットワークゲートウェイに関連するIPアドレスと関連付けされた地理的場所とを効果的に切り離す。
例えば、ベルギーに置かれた所与のクラウドベースのセキュリティプロバイダのネットワークゲートウェイが、米国(US)ベースのIPアドレスに関連付けられている場合、その出口トラフィックは、インターネット上で利用可能なウェブサイト/サービス(例えば、サービスとしてソフトウェア(Software as a Service、SaaS)プロバイダサイト、または、任意の他のインターネット上のウェブサイト/サービス)による、米国からのトラフィックとして扱われる。
対照的に、オランダに所在するユーザに係る所与のユーザセッションのユーザトラフィックが、ベルギー内のネットワークゲートウェイから出ているが、この例では、出口IPアドレスが実際にはオランダベースのIPアドレスである場合に、ウェブサイト/サービスは、その出口IPアドレスに基づいてユーザがオランダに所在するものと推測するだろうし、それによって、クラウドベースのセキュリティプロバイダのネットワークゲートウェイの物理的な位置にかかわらず、オランダにおいてユーザのためにより望ましいローカル体験を提供している。一つの例として、Webサイト/サービスがMicrosoft Office 365(R)サービスである場合、Microsoft Office 365(R)サービスは、ユーザのために適切なオランダベースのローカル体験を提供することができる(例えば、そのオランダベースのユーザのためにSaaSについて適切な言語パッケージを選択すること、など)。
いくつかの実施形態において、クラウドベースのセキュリティサービスのために大規模なローカル化を提供するためのシステム/方法/コンピュータプログラム製品は、クラウドベースのセキュリティサービスのネットワークゲートウェイにおいて接続要求を受信するステップと、テナントに関連する登録された一式のパブリックIPアドレスからソースネットワークアドレス変換(Network Address Translation)を実行するステップと、クラウドベースのセキュリティサービスを使用して、サービスとしてソフトウェア(SaaS)へのセキュアなアクセスを提供するステップと、を含む。
例えば、開示されるクラウドベースのセキュリティサービスは、以下でさらに説明されるように、強化されたローカリティ(locality)ユーザ体験をユーザに提供する。開示されるクラウドベースのセキュリティサービスは、また、登録されたパブリックIPアドレスのセットが、クラウドベースのセキュリティサービスの各テナント(例えば、顧客)に対して異なるので、以下で、また、さらに説明されるように、ユーザに対して強化されたセキュリティソリューションも提供する。
いくつかの実施形態において、クラウドベースのセキュリティサービスのために大規模なローカル化を提供するためのシステム/方法/コンピュータプログラム製品は、さらに、パブリッククラウドサービスプロバイダ(例えば、Google Cloud Platform(R)(GCP)といった、クラウドベースのコンピューティングサービス、または、同様のソリューションを提供する他のパブリッククラウドサービスプロバイダであり、Amazon Web Services(R)(AWS)、Microsoft Azure(R)サービス、等、を含み得るもの、及び/又は、そうしたクラウドベースのコンピューティングサービス及び/又はクラウドベースのセキュリティサービスプロバイダによって制御されるデータセンタの様々な組み合わせ)を使用してクラウドベースのセキュリティサービスを提供することを含み、
、それらの様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する。その結果としれ、クラウドベースのセキュリティサービスのユーザは、また、そうしたSaaSプロバイダソリューションを使用する場合に、より低いレイテンシを経験し、それによって、ユーザ体験、並びに、クラウドベースのセキュリティサービスを介してそうしたSaaSプロバイダソリューションを使用する場合のセキュリティを、さらに強化している。
、それらの様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する。その結果としれ、クラウドベースのセキュリティサービスのユーザは、また、そうしたSaaSプロバイダソリューションを使用する場合に、より低いレイテンシを経験し、それによって、ユーザ体験、並びに、クラウドベースのセキュリティサービスを介してそうしたSaaSプロバイダソリューションを使用する場合のセキュリティを、さらに強化している。
一つの例示的な実装においては、パブリッククラウドサービスプロバイダの利点を利用するために、クラウドベースのセキュリティサービスは、Googleパブリッククラウドサービス(例えば、市販のGoogle Cloud Platform(GCP)サービスは、現在、世界的に100以上のプレゼンスポイント(point of presence、PoP)を有している。https://cloud.google.com/vpc/docs/edge-locationsを参照のこと)を利用し、そして、以下でさらに説明されるように、ウェブサイト/サービスのローカリティを向上させるための開示される実装方法を実施する。また、1つ以上のパブリッククラウドサービスを使用してクラウドベースのセキュリティサービスを実装することにより、クラウドベースのセキュリティサービスの柔軟性とスケール(scale)が向上する(例えば、クラウドベースのセキュリティサービスプロバイダの地域的データセンタのみを使用するのは対照的であり、それは、ワールドワイドに多くの地域をカバーしていない可能性があり、多くのパブリッククラウドサービスプロバイダと比べてスケーリングのためのコンピューティングリソースが少ない可能性があり、かつ/あるいは、様々な地域的クラウドベースのコンピューティングサービスデータセンタから1つ以上のSaaSプロバイダへの高速ネットワーク接続を有さない可能性がある)。
この例示的な実装において、クラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイは、インターネット上のウェブサイト/サービスにアクセスするためにユーザの企業ネットワークの外部のサイトに接続している、入ってくる(incoming)ユーザセッションでソースNAT(SNAT)演算を実行することによって、ウェブサイト/サービスについてローカリティのユーザ体験を向上させるための開示される技術を実装する。具体的には、そうしたユーザセッションは、異なる場所/地域に配置され得るネットワークゲートウェイに割り当てられるIPアドレスとは対照的に、ネットワークゲートウェイに対して入ってくるユーザセッションの場所/地域に関連するIPアドレスが割り当てられ、及び/又は、このネットワークゲートウェイIPアドレスは、ユーザの場所/地域とは異なる場所/地域に関連する。
この例示的な実装において、クラウドベースのセキュリティサービスプロバイダは、また、サポートされているそれぞれの場所/地域(例えば、PoP)について一式のIPアドレス範囲を維持し、クラウドベースのセキュリティサービスプロバイダのサービスの各顧客/テナントに対して、別個のパブリックIPアドレスプールとして使用する(例えば、顧客それぞれが、例えば、数百のそうしたパブリックIPアドレス範囲を提供することを要求するのとは対照的である)。また、各顧客/テナントごとに異なるパブリックIPアドレスプールを維持することによって、クラウドベースのセキュリティサービスプロバイダは、また、(例えば、そうした技術を数百のPoPにおいてサポートすることによって)開示される技術に係る大規模なローカル化を推進すると共に、各顧客のためによりセキュアなソリューションを推進する(例えば、異なる顧客にわたり共有される、そうしたパブリックIPアドレスプールを有することとは対照的である)。例えば、ユーザは、様々なセキュリティポリシを実装するために異なるパブリックIPアドレスプールを利用することができる(例えば、ACME Companyは、クラウドベースのセキュリティサービスプロバイダが、ACME Companyに関連するユーザのためだけに使用されるパブリックIPアドレスプールを利用することを前提として、彼らのSalesforce(R)サービスに接続しているユーザセッションが、ユーザセッションの割り当てられたパブリックIPアドレスに基づいて、マルチファクタ認証をバイパスできるようにする。)
一つの実施形態において、クラウドベースのセキュリティサービスプロバイダ(例えば、Palo Alto NetworksのファイアウォールのPAN-OSオペレーティングシステム)のネットワークゲートウェイは、以下でさらに説明されるように、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するために、開示される新しいNAT機能(例えば、SNATオペレーション)をサポートするように構成されている。
かくして、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するために開示される技術は、ユーザのための強化されたローカル体験を促進する。例えば、クラウドベースのセキュリティサービスのユーザは、種々のSaaSアプリケーション及び/又はインターネットのウェブサイト/サービスを利用することができ、そして、ユーザの所在地に関連するローカル言語でレンダリングされ/提供される。ユーザをクラウドベースのセキュリティサービスに接続するために使用される、クラウドベースのセキュリティサービスのネットワークゲートウェイとは対照的である(例えば、上記と同様に、ユーザとは異なる地理的な所在地/地域であってよい)。
従って、以下でさらに説明されるように、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するための様々な技術が開示される。
クラウドベースのセキュリティサービスのための大規模なローカル化を提供するためのシステム処理アーキテクチャ
いくつかの実施形態において、クラウドベースのセキュリティサービスは、より大規模で、かつ、ワールドワイドなカバレッジを提供するために、1つ以上のパブリッククラウドソリューションを使用して実装される(例えば、上記と同様に、数百のPoPといった、より多くの領域においてデータセンタを提供している)。例えば、企業顧客のビジネスは、世界中でポップアップしている新たなリモートネットワークロケーションおよび世界中にローミングしているモバイルユーザと共にグローバルに拡大するので、企業顧客のユーザ、データセンタ、および、リモートサイトの接続を維持し、かつ、セキュリティを確保することが課題であり得る。
かくして、開示される技術を使用して、クラウドベースのセキュリティサービスは、クラウドベースのインフラストラクチャを使用して実装することができ、クラウドベースのセキュリティサービスプロバイダが、例えば、ファイアウォールおよび計算ソース割り当てのサイズ調整、並びに、企業の頻繁に分散される組織に関連するカバレッジギャップまたは不整合の最小化という課題を回避することを可能にする。さらに、パブリッククラウドの弾性(elasticity)は、需要のシフトおよびトラフィックパターンの変化に応じて効率的にスケールする。かくして、クラウドベースのセキュリティサービスは、クラウドベースのセキュリティサービスプロバイダによって管理されるクラウドベースのセキュリティインフラを活用することで、リモートネットワークおよびモバイルユーザに対する次世代のセキュリティ展開を可能にする。
例えば、セキュリティ処理ノード(例えば、Palo Alto Networks社から入手可能な様々なファイアウォールといった、市販のセキュリティプラットフォームソリューションを使用して実装することができる、ネットワークゲートウェイ)は、アプリケーション、脅威、およびコンテンツを識別するために、全てのトラフィックを検査するようにサービス内でネイティブに(natively)展開することができる。また、クラウドベースのセキュリティサービスは、SaaSアプリケーションの使用への可視性、および、企業顧客のユーザに対してどのSaaSアプリケーションが利用可能であるかを制御する能力を提供することもできる(例えば、アクセス、制御、および、他のセキュリティ関連ポリシ、上記と同様に、セッションのIPアドレスに基づくマルチファクタ認証(MultiFactor Authentication、MFA)要求といったものを含んでいる)。かくして、クラウドベースのセキュリティサービスは、例えば、企業顧客のデータセンタ、本社、リモートサイト(例えば、支社とリモートネットワーク)、および、モバイルユーザを安全にするために、セキュリティインフラストラクチャをグローバルに展開し、かつ、管理することができる。
図1は、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスのシステム図である。この例では、102において示されるクラウドベースのセキュリティサービス、様々なモバイルユーザ104Aと104B、リモートサイト106Aと106B(例えば、支店オフィスおよびリモートネットワークといった、リモートネットワークロケーション、および、それらの支店におけるユーザを安全にするためにクラウドベースの次世代ファイアウォールを有する)、並びに、企業顧客の本社/データセンタ108が、クラウドベースのセキュリティサービスと通信している。データストア110(例えば、CortexTMデータレイクまたは他のデータストアソリューション)は、また、クラウドベースのセキュリティサービスのための種々のログ及び/又は、他の情報を保管するために、クラウドベースのセキュリティサービスとも通信している。
例えば、クラウドベースのセキュリティサービスは、様々なファイアウォール、VPN(例えば、クライアントのVPNトンネルにIPアドレスを割り当てて、例えば、顧客の企業ネットワーク内の内部リソース、企業顧客のモバイルユーザ、およびそれらのリモートネットワーク/サイトロケーション内のユーザの間のセキュアな通信を推進するために、1つ以上のIPアドレスプールを使用してIPsecトンネルを確立することを可能にする)、および、例えば、120に示されるインターネット上のウェブサイト/サービス(例えば、SaaSプロバイダサービスを含む)へのセキュアなアクセスのために、ポリシ(例えば、企業顧客によって設定可能なセキュリティポリシ)に基づいて、モバイルユーザ、リモートサイト、および、本社/データセンタのための他のセキュリティ関連サービスを提供することができる。
図2Aは、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスのシステム図である。例えば、クラウドベースのセキュリティサービス200は、市販のパブリッククラウドソリューション、例えば、Google Cloud Platform(GCP)を使用して、サポートされたSaaSプロバイダ(例えば、図示のMicrosoft Office365(R)及び/又はSalesforce(R)といった、他のサポートされたSaaSプロバイダ)のための低レイテンシ(low latency)を推進すると共に、インターネット上で利用可能なSaaSプロバイダソリューションを含むインターネット上のウェブサイト/サービスに接続する際に、クラウドベースのセキュリティサービスのユーザのための強化されたローカル体験のために開示される技術を実装することができる。当業者にとって明らかなように、開示される技術は、同様に、他のパブリッククラウドサービスプロバイダから市販されているパブリッククラウドソリューション、様々なパブリッククラウドサービスプロバイダの組み合わせ、または、クラウドベースのセキュリティサービスプロバイダによって維持/制御される地域データセンタ、または、それらの組み合わせを使用して実装することができる。
図2Aを参照すると、クラウドベースのセキュリティサービス200のネットワークゲートウェイ202は、データセンタのサーバ上で実行する仮想ネットワークゲートウェイ202(例えば、Palo Alto Networks社から入手可能なファイアウォールソリューションといった、セキュリティプラットフォーム、または、別の市販のセキュリティプラットフォームソリューションは、同様に、ここにおいて開示されているようなネットワークゲートウェイを実装するように構成することができる)として実装される。この例において、ネットワークゲートウェイは、ドイツにあるGCPのデータセンタのサーバ上で実行されている。イタリアに配置されたユーザ204Aは、(例えば、IPsecトンネルまたは別のセキュア/仮想プライベートネットワーク(VPN)接続を介して)ドイツに配置されたネットワークゲートウェイ202に対してセキュアに接続されている(例えば、クラウドベースのセキュリティサービスは、ユーザ204Aのエンドポイントデバイス上で実行され、かつ、ユーザを最も近い地域的ネットワークゲートウェイに自動的かつセキュアに接続する、エージェントを提供する。このエージェントでは、企業の顧客は、例えば、以下でさらに説明されるように、彼らのモバイルユーザを安全にするためにクラウドベースのネットワークゲートウェイとして機能するクラウドベースのセキュリティサービスにおける場所を選択することができる)。同様に、スペインに配置されたユーザ204Bは、ドイツに配置されたネットワークゲートウェイ202に対して安全に接続されている。一つの例示的な実装において、クラウドベースのセキュリティサービスは、また、エージェント(図示なし)を提供する(例えば、Palo Alto Networks社から入手可能なGlobalProtectエージェントといった、エンドポイントエージェント)。ユーザ204Aおよび204B(例えば、同様に他のユーザおよびデータ機器、サーバ、等)のエンドポイントデバイス(例えば、Linux OS、Microsoft Windows OS、Apple Mac OS、Apple iOS(R)、およびGoogle Android(R) OSといった、様々なオペレーティングシステム(OS)を実行するエンドポイントデバイス)といった、様々なコンピューティングプラットフォーム上で実行することができ、最も近いゲートウェイへの、及び/又は、他の基準(例えば、レイテンシ、ワークロードバランス、等)に基づく自動的で、かつ、セキュアな接続を推進する。
図2Aに示されるように、開示される技術を使用して、ネットワークゲートウェイ202は、222に示されているMicrosoft Office 365(R)サービスと接続する際に、ユーザ204Aのセッションに関連付けられるべきイタリアのパブリックIPアドレス(例えば、イタリアの地理的場所に関連付けられたパブリックIPアドレス)を、出口IPアドレスとして割り当てるためのソースNAT(SNAT)オペレーションを自動的に実行する。同様に、ネットワークゲートウェイ202は、222に示されているMicrosoft Office 365(R)サービスと接続する際に、ユーザ204Bのセッションに関連付けられる出口IPアドレスとしてスペインのパブリックIPアドレス(例えば、スペインの地理的場所に関連付けられたパブリックIPアドレス)を割り当てるために、SNATオペレーションを自動的に実行する。
222Aおよび222Bに示されるように、クラウドベースのセキュリティサービスのユーザ204Aおよび204Bは、ネットワークゲートウェイ202を介して接続して、Microsoft Office 365(R)(及び/又は、他のインターネットウェブサイト/サービス)といった、種々のSaaSアプリケーションにアクセスすることができ、これらは、ネットワークゲートウェイ202によって実行される上述のSNATオペレーションの結果として、各ユーザのそれぞれの場所に関連するローカル言語で提供される(例えば、そうしたSNATオペレーションがない場合、Microsoft Office 365(R)といったSaaSアプリケーションは、ユーザがドイツに配置されているネットワークゲートウェイ202に関連するパブリックIPアドレス(例えば、ドイツの地理的場所に関連するパブリックIPアドレス)に基づいてドイツに配置されていることを推測しる。これは、望ましいユーザローカル化体験を提供しないだろう)。
さらに、この例におけるパブリッククラウドプロバイダ、GCPは、様々な地域的クラウドベースのコンピューティングサービスデータセンタから、Microsoft Office 365(R)を含む1社以上のSaaSプロバイダへの高速ネットワーク接続を提供する(例えば、地域的クラウドプラットフォームサイトから様々なSaaSプロバイダサイトへのGoogle所有ファイバネットワーク接続を利用するGCPプレミアムネットワークを使用する)。その結果として、クラウドベースのセキュリティサービス200のユーザ204Aおよび204Bは、ネットワークゲートウェイ202に接続して、そうしたSaaSプロバイダソリューション(例えば、Microsoft Office 365(R))にアクセスする場合にも、より低いレイテンシを経験し、それによって、クラウドベースのセキュリティサービスを介してSaaSプロバイダソリューションを安全に使用する場合に、ユーザ体験をさらに向上させている。
図2Bは、いくつかの実施形態に従った、例示的なクラウドベースのセキュリティサービスの別のシステム図である。この例において、クラウドベースのセキュリティサービス200のネットワークゲートウェイ202A、202B、および202Cは、図示のように、異なる地理的場所に配置される。また、示されるように、異なる場所/地域に配置されたクラウドベースのセキュリティサービスのユーザは、以下でさらに説明されるように、クラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイに自動的に安全に接続することができる。例えば、ワルシャワ(ポーランド)に配置されたユーザは、ドイツ、フランクフルトに配置されたeu-west-3データセンタのネットワークゲートウェイ202Aに接続され、カナダ、バンクーバーに配置されたユーザは、米国、オレゴンに配置されたus-west-1データセンタのネットワークゲートウェイ202Bに接続され、カリフォルニア州、サンフランシスコに配置されたユーザは、同じく米国、オレゴンに配置されたus-west-2データセンタのネットワークゲートウェイ202Cに接続される。一つの例示的な実装において、クラウドベースのセキュリティサービスは、現在130以上のネットワークエッジロケーション(PoP)を提供する、GCPといった、パブリッククラウドプラットフォームを用いて実装することができる。そして、また、同様に、上記と同様に、様々なサポートされたSaaSソリューションにアクセスするクラウドベースのセキュリティサービスのユーザのために、インターネットサービスプロバイダ(ISP)ホップを低減した、低レイテンシ、低損失のネットワークも提供する。
一つの実施形態において、開示されるネットワークゲートウェイ(例えば、図2Aのネットワークゲートウェイ202および図2Bのネットワークゲートウェイ202A-C)は、クライアント装置間、および、クライアント装置と、ユーザ/装置204Aおよび204B(例えば、ネットワーク通信を実行することができる任意のエンドポイント装置)といった、サーバ/他の装置、および、例えば、外部宛先(例えば、インターネットなどの外部ネットワークを介して到達可能な、保護された/セキュアな企業ネットワークの外にある任意の装置、サーバ、及び/又は、ウェブサイト/サービスを含みうるもの)との間の通信に関するポリシ(例えば、セキュリティポリシ)を実施するように構成されている。そうしたポリシの例は、トラフィックの整形、サービスの品質、および、トラフィックのルーティングを管理するものを含んでいる。ポリシの他の例は、受信(及び/又は送信)電子メールの添付ファイル、ウェブサイトのコンテンツ、インスタントメッセージプログラムを介して交換されるファイル、及び/又は、他のファイル転送における脅威についてスキャニング(scanning)を要求するもの、といったセキュリティポリシを含んでいる。いくつかの実施形態において、ネットワークゲートウェイは、また、保護された/セキュアな企業ネットワーク内に留まるトラフィック(図2Aおよび図2Bには示されていない)に関するポリシを実施するようにも構成されている。
図3Aおよび3Bは、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのために大規模なローカル化を提供するためのネットワークゲートウェイの例示的なコンポーネントを示すシステムブロック図である。一つの例示的な実装において、クラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイ300Aおよびネットワークゲートウェイ300Bは、市販の仮想ゲートウェイを使用して(例えば、Palo Alto Networks社から市販のファイアウォールといった、セキュリティプラットフォームを使用して)実装することができる。例えば、図2Aのネットワークゲートウェイ202および図2Bのネットワークゲートウェイ202A-202Cは、以下に説明されるように、図3Aの300Aおよび図3Bの300Bに示されるように、それぞれ実装することができる。
一つの例示的な実装において、モバイルユーザに対して、クラウドベースのセキュリティサービスは、モバイルユーザを地域ネットワークゲートウェイに自動的に、かつ、セキュアに接続するために、企業顧客のユーザのエンドポイント装置(例えば、図3Bのモバイルユーザ304Aおよび304B)上に配備され、かつ、実行されるエージェントを提供する(例えば、Palo Alto Networks社から市販されているGlobalProtectアプリケーション、または、別のVPNクライアントアプリケーションが、ここにおいて説明されるように、開示される動作を実行するように同様に構成することができる)。この例示的な実装において、クラウドベースのセキュリティサービスは、ワールドワイドな展開に対応し、かつ、ローカル化された体験を提供するために、100以上の計算位置を有し、そして、クラウドベースのセキュリティサービスは、各位置を、性能およびレイテンシに基づいて計算位置にマッピングするように構成されている。
具体的には、モバイルユーザがクラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイに接続する場合、エージェントは、接続するゲートウェイを決定するために以下の選択プロセスを実行する。モバイルユーザが、クラウドベースのセキュリティサービスプロバイダのローカルネットワークゲートウェイを有する国において接続する場合、モバイルユーザは、その場所/地域(例えば、国)のネットワークゲートウェイに接続する。より具体的に、クラウドベースのセキュリティサービスプロバイダは、サポートされる各場所/地域に対する仮想ゲートウェイについてネットワークドメインを登録する(例えば、図3Bに示されるように、クラウドベースのセキュリティサービスプロバイダは、イタリアの仮想ゲートウェイ(GW)302Aおよびスペインの仮想GW302Bについて別個のネットワークドメインを登録する)。モバイルユーザは、ローカルの場所/地域(例えば、国)について、そうした登録ドメインに接続する。図3Bに示されるように、以下でさらに説明されるような、そうした仮想ゲートウェイは、ある場合には、異なる場所/地域に配置されたネットワークゲートウェイ上で実行されてよい(例えば、スペイン仮想ゲートウェイ(GW)を実行しているネットワークゲートウェイおよびイタリア仮想GWは、実際には、ドイツに配置されたGPCサイトにおけるサーバ上で実行されてよい)。また、国の中に1つ以上のゲートウェイが存在する場合(例えば、図2Bに示されるように、ネットワークゲートウェイ202Bおよび202C)、モバイルユーザは、最も低いレイテンシを有する国内ネットワークゲートウェイに接続する(例えば、IPsec/VPNトンネルを使用してネットワークゲートウェイに対してセキュアな接続を開始する際に)。場合によって、ユーザは、自身のエージェントから追加のネットワークゲートウェイを手動で選択することができる(例えば、ネットワーク/セキュリティ管理者が、ユーザに、そうしたネットワークゲートウェイを手動で選択できるようにしている場合)。例えば、いくつかの構成において、企業顧客は、例えば、自身のモバイルユーザを安全にするためにクラウドベースのネットワークゲートウェイとして機能するクラウドベースのセキュリティサービス内の場所を選択することができる。
クラウドベースのセキュリティサービスの企業顧客のためのイタリアの支店およびスペインの支店といった、リモートネットワークについて、企業顧客のためのネットワーク管理者は、それぞれのようなリモートネットワーク(RN)をクラウドベースのセキュリティサービスプロバイダによって提供される1つ以上のネットワークゲートウェイに接続するために、別個のIPsecトンネル(例えば、VPNトンネル)を設定することができ(例えば、最も近いネットワークゲートウェイの1つ以上にそれらのネットワークを選択するように通常設定し、次いで、上記のように、ネットワークゲートウェイ選択基準を遅延/ワークロードなどにすることができる)。クラウドベースのセキュリティサービスプロバイダが提供する2つ以上のネットワークゲートウェイへの異なるIPsecトンネルを設定するRNは、遅延が最も小さいネットワークゲートウェイ(例えば、ネットワークゲートウェイへのIPsec/VPNトンネルを使用したセキュアな接続を開始する時点)を選択するように設定することもできる。
図3Aを参照すると、イタリアオフィス306Aは、IPsec/VPNトンネル326Aを介して、クラウドベースのセキュリティサービスのネットワークゲートウェイ300Aのリモートネットワーク(RN)入口モジュール340に接続するように構成されている。RN入口モジュール340は、セキュリティ解析およびセキュリティポリシ実施のために(例えば、制御プレーン構成モジュール330Aは、パケットをデコードすることにより、深いパケット検査(DPI)を実行することができ、フロー/セッションを監視し、セキュリティポリシ実施を実行する、等)、制御プレーン構成モジュール330Aを使用して、入口接続処理およびパケット検査を実行する(例えば、図4Bに関して以下に同様に説明されるようにセキュリティプラットフォームのコンポーネントを使用して実装される)、仮想ネットワークゲートウェイのソフトウェアコンポーネントである(例えば、Cプログラミング言語で実装され、または、このコンポーネントを実装するために別のプログラミング言語が使用され得る)。
具体的には、RN入口モジュール(Ingress Module)340およびリモートネットワーク(RN)出口モジュール(Egress Module)350は、リモートネットワーク(RN)のためのネットワークゲートウェイでソースNAT(SNAT)処理オペレーションを実行するように構成されている。より具体的に、RN入口モジュール340は、IPsecトンネル326Aがイタリアオフィス306Aから接続するために企業顧客によって構成されることを決定する。この例示的な実装において、IPsecトンネル構成情報は、データストア380内に保管され(例えば、支店のためにトンネルが作成されたときは、オフィスの場所に基づいてゾーンに関連付けられる)、そこでは、セキュリティ管理プラットフォームが、クラウドベースのセキュリティサービスの企業顧客のためのそうしたIPsec構成情報を、クラウドベースのセキュリティサービスのために異なる地域/場所のネットワークゲートウェイに提供する(例えば、Palo Alto Networks社から市販のセキュリティ管理プラットフォームである、Panorama、または、別の市販のセキュリティ管理プラットフォームが同様に使用され、場所/地域/国のゾーンへのそうしたIPsecトンネルのマッピングを含むテーブル内にローカルに保管できる、そうした構成データを配布することができる)。その結果として、RN入口モジュールは、IPsecトンネル326Aを介して接続している任意の新しいフロー(例えば、新たなセッション)をイタリアゾーンと関連付ける(例えば、データストア380に保管された新しいフロー/セッションテーブルが、決定された場所/地域、この場合には、イタリアゾーンを新しいフロー/セッションに関連付けるように更新され、その結果、位置データ(イタリアゾーン)が、その新しいフロー/セッションに関連付けられたメタデータに含まれる)。新しいフロー/セッションのSNAT処理操作を完了するために(例えば、そこで、SNAT処理操作は、新しいフロー/セッションに関連するゾーンに基づいて出口IPアドレスを決定する)、RN NAT 出口モジュール350は、そのテナントのために、イタリアのパブリックIPアドレスプールからIPアドレスを選択し/割り当て、出口IPアドレスとして新しいイタリアのパブリックIPアドレスを割り当てる(例えば、出口IPアドレスは、インターネット上のWebサイト/(SaaS)サービスにアクセスするためといった、クラウドベースのセキュリティサービスがインターネットへの出口トラフィックに使用するIPアドレスを一般的に参照する)。370Aで示される新しいフロー/セッションのためである(例えば、国/ゾーン毎のパブリックIPアドレスは、各顧客/テナントのためにクラウドベースのセキュリティサービスプロバイダによって取得され、そして、次いで、データストア380といった、ローカルストレージの各ネットワークゲートウェイに配布され得る)。上記のSNAT処理操作は、同様に、別個のIPsecトンネル326Bを介してスペインオフィス306Bから接続される新しいフロー/セッションに対して実行され、370Bに示される新しいフロー/セッションに対する出口IPアドレスとして新しいスペインベースのパブリックIPアドレスを割り当てることができる。
場合によって、出口IPアドレスを選択するためのSNAT処理操作を実行するための上述のゾーンは、国内の地域に基づくことができる。一つの例として、企業顧客は、カナダに展開された2つのリモートネットワーク(RN)ロケーションを有し得る。中央カナダおよび東カナダである。この例における両方のロケーションは、カナダのコンピュータロケーション(カナダに配置されたネットワークゲートウェイ)に対してマップする。しかし、カナダのケベック州は、カナダの他の州(英語)とは異なるデフォルト言語(フランス語)を使用している。かくして、クラウドベースのセキュリティサービスのネットワークゲートウェイは、これらの異なるRNからのセッションに異なる出口IPアドレスを割り当てるように構成され、上記と同様に、所望のローカリティユーザ体験を達成する(例えば、ロケーションは、Webサイト/(SaaS)サービスに接続されたときに、ユーザが地域の正しいデフォルト言語を確実に得るように、異なる出口IPアドレスを使用する)。
図3Bを参照すると、イタリア仮想GW302Aおよびスペイン仮想GW302Bを含む各仮想ゲートウェイ(GW)は、別個の登録ドメイン名(例えば、完全修飾ドメイン名(Fully Qualified Domain Name、FQDN)/IPアドレス)を設定される。イタリアモバイルユーザ304Aがネットワークゲートウェイ300Bに接続しようとすると、イタリアモバイルユーザ304Aのエンドポイントデバイス上で実行しているエージェントは、イタリア仮想GW302Aに関連付けられた登録ドメイン名(例えば、完全修飾ドメイン名(FQDN)/IPアドレス)に対するネットワーク接続を開始する(例えば、エージェントは、モバイルユーザの現在の場所で利用可能な仮想ゲートウェイの登録ドメイン名、完全修飾ドメイン名(FQDN)に対する接続を開始するように構成されているため)。その結果として、イタリア仮想GW302Aは、入ってくるユーザの位置がイタリアであることを自動的に決定し、そして、イタリアモバイルユーザ304Aのための新しいフロー/セッションに関連するメタデータを、上記と同様に、データストア380に保管することができる。新しいフロー/セッションのためのSNAT処理操作を完了するために(例えば、そこでは、SNAT処理操作が新しいフロー/セッションに関連するゾーンに基づいて出口IPアドレスを決定する)、モバイルユーザ(MU)NAT出口モジュール360は、そのテナントのために、イタリアのパブリックIPアドレスプールからIPアドレスを選択し/割り当て、上記と同様に370Cで示される新しいフロー/セッションのための出口IPアドレスとして、新しいイタリアベースのパブリックIPアドレスを割り当てる(例えば、国/ゾーン毎のパブリックIPアドレスは、各顧客/テナントのためにクラウドベースのセキュリティサービスプロバイダによって取得され、そして、次いで、データストア380といった、ローカルストレージの各ネットワークゲートウェイに配布される)。上記のSNAT処理操作は、同様に、スペイン仮想GW302Bを介してスペインモバイルユーザ304Bから接続している新しいフロー/セッションに対して実行され、370Dに示されるように、新しいフロー/セッションに対する出口IPアドレスとして新しいスペインベースのパブリックIPアドレスを割り当てることができる。
この例示的な実装において、クラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイは、それによって、ウェブサイト/サービスについてローカリティの強化されたユーザ体験のために、開示される技術を効率的かつ安全に実装する。インターネット上のウェブサイト/サービスにアクセスするためにユーザの企業ネットワークの外部のサイトに接している、入ってくるユーザセッション上でソースNAT(SNAT)処理オペレーションを実行することによるものである。具体的に、そうしたユーザセッションは、異なる場所/地域に配置され得るネットワークゲートウェイに割り当てられた出口IPアドレスとは対照的に、ユーザの入力セッションの場所/地域に関連する出口IPアドレスをネットワークゲートウェイに割り当てられ、及び/又は、ネットワークゲートウェイIPアドレスは、上記と同様に、ユーザの場所/地域とは異なる場所/地域に関連する。この例示的な実装において、クラウドベースのセキュリティサービスプロバイダのネットワークゲートウェイ(例えば、Palo Alto NetworksのファイアウォールのPAN-OSオペレーティングシステム)は、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するために、開示される新しいSNAT機能(例えば、SNAT処理操作)をサポートするように構成されている。
上記と同様に、この例示的な実装において、クラウドベースのセキュリティサービスプロバイダは、また、サポートされている場所/地域(例えば、PoP)それぞれについて、IPアドレス範囲のセットを維持し、クラウドベースのセキュリティサービスプロバイダのサービスの各顧客/テナントに対して、別個のパブリックIPアドレスプールとして使用する(例えば、顧客それぞれが、例えば、数百のそうしたパブリックIPアドレス範囲を提供することを要求するのとは対照的である)。また、各顧客/テナントについて異なるパブリックIPアドレスプールを維持することにより、クラウドベースのセキュリティサービスプロバイダは、開示される技術の大規模なローカル化のメリットを推進すると共に(例えば、数百のPoPでそうした技術をサポートすることによる)、顧客それぞれについてよりセキュアなソリューションも推進する(例えば、異なる顧客にわたり共有されるそうしたパブリックIPアドレスプールを有することとは対照的である)。例えば、顧客は、異なるパブリックIPアドレスプールを利用して、様々なセキュリティポリシを実装することができる(例えば、ACME Companyは、クラウドベースのセキュリティサービスプロバイダが、ACME Companyに関連するユーザのためだけに使用されるパブリックIPアドレスプールを利用することを前提として、彼らのSalesforce(R)サービスに接続しているユーザセッションが、ユーザセッションの割り当てられたパブリックIPアドレスに基づいて、マルチファクタ認証をバイパスできるようにする。)。
ネットワークゲートウェイ202の一つの実施形態が図4Aに示されている。示される例は、様々な実施形態において、ネットワークゲートウェイがデータ機器として実装される場合に、ネットワークゲートウェイ202に含まれ得る物理的コンポーネントの表現である。具体的に、データ機器は、高性能マルチコア中央処理装置(CPU)402およびランダムアクセスメモリ404を含んでいる。データ機器は、また、ストレージ410(1つ以上のハードディスクまたはソリッドステート・ストレージユニットといったもの)を含んでいる。様々な実施形態において、データ機器は、(RAM404、ストレージ410、及び/又は、他の適切な場所のいずれかにおいて)企業ネットワークのモニタリング、および、開示される技術の実装においてに使用される情報を保管する。そうした情報の例は、アプリケーション識別子、コンテンツ識別子、ユーザ識別子、要求されたURL、IPアドレスマッピング、ポリシおよび他の設定情報、署名、ホスト名/URL分類情報、マルウェアプロファイル、および、機械学習モデルを含む。データ機器は、また、1つ以上のオプションのハードウェアアクセラレータも含んでよい。例えば、データ機器は、暗号化および復号動作を実行するように構成された暗号エンジン406、および、マッチングを実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された1つ以上のフィールドプログラマブルゲートアレイ408を含み得る。
データ機器によって実行されるものとしてここにおいて説明される機能性は、種々の方法で提供/実施することができる。例えば、データ機器は、専用のデバイスまたはデバイスのセットであってよい。データ機器によって提供される機能は、汎用コンピュータ、コンピュータサーバ、ゲートウェイ、及び/又は、ネットワーク/ルーティングデバイス上のソフトウェアに統合され、または、実行され得る。いくつかの実施形態において、データ機器によって提供されるものとして説明される少なくともいくつかのサービスは、その代わりに(または、それに加えて)、クライアント装置(例えば、クライアント装置204A)上で実行するソフトウェアによってクライアント装置に提供される。
データ機器がタスクを実行するものとして説明されるときはいつでも、単一のコンポーネント、コンポーネントのサブセット、または、データ機器の全てのコンポーネントは、タスクを実行するために協働し得る。同様に、データ機器のコンポーネントがタスクを実行するものとして説明されるときはいつでも、サブコンポーネントはタスクを実行することができ、かつ/あるいは、コンポーネントは他のコンポーネントと共にタスクを実行することができる。様々な実施形態において、データ機器の一部は、1つ以上の第三者によって提供される。データ機器に対して利用可能な計算リソースの量といったファクタに応じて、データ機器の様々な論理コンポーネント及び/又は機能は省略され得る。そして、ここにおいて説明される技術はそれに応じて適合される。同様に、追加の論理コンポーネント/機能が、該当する場合に、データ機器の実施形態に含めることができる。種々の実施形態におけるデータ機器に含まれるコンポーネントの一つの例は、アプリケーションを識別するように構成されたアプリケーション識別エンジンである(例えば、パケットフロー分析に基づいてアプリケーションを識別するために種々のアプリケーション署名を使用する)。例えば、アプリケーション識別エンジンは、セッションが関与するトラフィックのタイプを決定することができる。Webブラウジング-ソーシャルネットワーキング、Webブラウジング-ニュース、SSH、等といったものである。
開示されるシステム処理アーキテクチャは、異なる展開シナリオにおいて、以下のような異なる種類のクラウドを用いて使用することができる。(1)パブリッククラウド、(2)プライベートクラウドオンプレミス、(3)ハイエンド物理ファイアウォール内で、いくらかの処理能力がプライベートクラウドを実行するために割り当てられる(例えば、Palo Alto Networks PA-5200シリーズのファイアウォールアプライアンスにおける管理プレーン(MP)を使用する)、といったものである。
図4Bは、データ機器の一つの実施形態の論理コンポーネントの機能図である。示される例は、様々な実施形態においてネットワークゲートウェイ202に含まれ得る論理コンポーネントの表現である。別段の規定がない限り、ネットワークゲートウェイ202の種々の論理コンポーネントは、(例えば、該当する場合、Java、python、等で書かれている)1つ以上のスクリプトのセットを含む、種々の方法で一般的に実装可能である。
示されるように、ネットワークゲートウェイ202はファイアウォールを含み、そして、管理プレーン432およびデータプレーン434を含んでいる。管理プレーンは、ユーザーインタラクションの管理の責任を負う。ポリシの設定およびログデータの閲覧のためのユーザーインターフェイスを提供することによる、といったものである。データプレーンは、データ管理の責任を負う。パケット処理およびセッション処理をじっこうすることによる、といったものである。
ネットワークプロセッサ436は、クライアント装置204といった、クライアント装置からパケットを受信し、そして、それらを処理のためにデータプレーン434に提供するように構成されている。フローモジュール438は、新しいセッションの一部としてパケットを識別するときはいつでも、新しいセッションフローを生成する。後に続くパケットはフロールックアップに基づいてセッションに属していると識別される。該当する場合、SSL復号エンジン440によってSSL復号化が適用される。そうでなければ、SSL復号エンジン440による処理は省略される。復号エンジン440は、ネットワークゲートウェイ202がSSL/TLSおよびSSHの暗号化されたトラフィックを検査および制御するのを助け、そして、従って、そうでなければ暗号化されたトラフィック内に隠されたままである可能性のある脅威を停止するのを助ける。復号エンジン440は、また、重要なコンテンツが企業/セキュアな顧客のネットワークから離れることを防止するのを助けることもできる。復号化は、URLカテゴリ、トラフィックソース、トラフィック宛先、ユーザ、ユーザグループ、およびポートといったパラメータに基づいて選択的に制御することができる(例えば、イネーブルされ、または、ディセーブルされる)。復号化ポリシ(例えば、復号するセッションを指定するもの)に加えて、復号化プロファイルは、ポリシによって制御されるセッションの様々なオプションを制御するために割り当てられ得る。例えば、特定の暗号スイートおよび暗号化プロトコルバージョンの使用が要求され得る。
アプリケーション識別(APP-ID)エンジン442は、セッションが関与するトラフィックのタイプを決定するように構成されている。一つの例として、アプリケーション識別エンジン442は、受信データ内のGETリクエストを認識し、そして、セッションがHTTPデコーダを必要としているものと結論付けることができる。場合によって、例えば、webブラウジングセッションにおいて、識別されたアプリケーションは変更可能であり、そして、そうした変更はネットワークゲートウェイ202によって記録される。例えば、ユーザは、最初に、企業のWiki(訪問したURLに基づいて「Webブラウジング-生産性」として分類されている)を閲覧し、そして、次に、ソーシャルネットワーキングサイト(訪問したURLに基づいて「Webブラウジング-ソーシャルネットワーキング」として分類されている)を閲覧することができる。異なるタイプのプロトコルは、対応するデコーダを有している。
アプリケーション識別エンジン442によって行われた決定に基づいて、パケットは、脅威エンジン444によって、パケット(順序が狂って受信され得るもの)を正しい順序に組み立て、トークン化(tokenization)を実行し、そして、情報を抽出するように構成された適切なデコーダに送られる。脅威エンジン444は、また、パケットに何が起こるべきかを決定するために、署名照合(signature matching)を実行する。必要に応じて、SSL暗号化エンジン446は、復号されたデータを再暗号化することができる。パケットは、転送のために(例えば、宛先へ)転送モジュール448を使用して転送される。
図4Bにも示されるように、ポリシ452は、受信され、そして、管理プレーン432に保管される。ポリシは、ドメイン名、及び/又は、ホスト/サーバ名を使用して指定され得る、1つ以上のルールを含むことができ、そして、ルールは、モニタリングされるセッショントラフィックフローからの様々な抽出されたパラメータ/情報に基づいて、加入者/IPフローに対するセキュリティポリシ実施のためといった、1つ以上の署名、または他の照合基準、もしくは発見的方法を適用することができる。インターフェイス(I/F)通信器450は、通信の管理のために(例えば、(REST)API、メッセージ、またはネットワークプロトコル通信、もしくは他の通信メカニズムを介して)提供される。
追加の論理コンポーネント/機能が、この例示的な実施形態に含まれ得る。例えば、図3A-図3Bに関して上述したネットワークゲートウェイコンポーネント(例えば、302Aおよび302Bに示されるような位置ベースの仮想ゲートウェイ、RN入口モジュール340、RN NAT出口モジュール350、MU NAT出口モジュール360、及び/又は、データストア380、等)も、また、様々な実施形態においてデータ機器に含めることができる。
クラウドベースのセキュリティサービスのための大規模なローカル化を提供するための例示的なプロセス
図5は、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのための大規模なローカル化を提供するプロセスを示すフロー図である。一つの実施形態において、プロセス500は、上述のシステムアーキテクチャ(例えば、図1-図4Bに関して上述したようなもの)を使用して実行される。
このプロセスは、クラウドベースのセキュリティサービスのネットワークゲートウェイにおいて接続要求が受信されると、502で開始する。例えば、クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダを使用して、または、上述のようにパブリッククラウドサービスプロバイダの組み合わせを使用して提供することができる。
504では、テナントに関連する登録済みパブリックIPアドレスのセットからソースネットワークアドレス変換(NAT)が実行される。例えば、クラウドベースのセキュリティサービスは、上記と同様に、クラウドベースのセキュリティサービスの各顧客/テナントに対して、サポートされているそれぞれの場所/地域に対して登録されたIPアドレスのプールを獲得することができる。
506では、クラウドベースのセキュリティサービスを利用してサービスとしてソフトウェア(Software as a Service、SaaS)へのセキュアなアクセスが提供されている。かくして、上記と同様に、所望のローカリティユーザ体験は、クラウドベースのセキュリティサービスを使用してSaaSにアクセスするユーザに対して達成される(例えば、ロケーションは、ユーザが、上記と同様に、モバイルユーザのロケーション及び/又はリモートネットワーク/支店オフィスに関連する場所/地域のための正しいデフォルト言語を獲得するのを確実にするために、異なる出口IPアドレスを使用する)。
図6は、いくつかの実施形態に従った、クラウドベースのセキュリティサービスのために大規模なローカル化を提供するプロセスを示す別のフロー図である。一つの実施形態において、プロセス600は、上述のシステムアーキテクチャ(例えば、図1-図4Bに関して上述したようなもの)を使用して実行される。
本このプロセスは、クラウドベースのセキュリティサービスのネットワークゲートウェイにおける接続要求が受信されると、602で開始する。一つの例示的な実装において、クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供され、パブリッククラウドサービスプロバイダは、上記と同様に、様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する。
604では、接続要求に関連するセキュアなトンネル構成に基づいて新しいセッションに関連するゾーン(zone)が決定され、ソースネットワークアドレス変換(SNAT)オペレーションを実行するために出口IPアドレスを選択する。例えば、ネットワークドメイン要求を介してネットワークゲートウェイに接続するリモートネットワーク/支店オフィスからの新しいセッションに対して、選択された出口IPは、セキュアトンネルのゾーンに対応するゾーン(例えば、場所/地域)に関連付けられ、SaaSのユーザのためのローカリティの強化されたユーザ体験を推進する。
606では、接続要求に関連するドメインに基づいて新しいセッションに関連するゾーンが決定され、ソースネットワークアドレス変換(SNAT)を実行するために出口IPアドレスを選択する。例えば、ネットワークドメイン要求を介してネットワークゲートウェイに接続するモバイルユーザの新しいセッションに対して、ネットワークゲートウェイからの選択された出口IPは、接続要求を送信したユーザのゾーンに対応するゾーン(例えば、場所/地域)に関連付けられ、SaaSのユーザのためのローカリティの強化されたユーザ体験を推進する。
608では、選択された出口IPアドレスを使用して、ウェブサイト/サービスへのセキュアなアクセスが提供される。かくして、上記と同様に、所望のローカリティユーザ体験は、クラウドベースのセキュリティサービスを使用してウェブサイト/サービスにアクセスするユーザに対して達成される(例えば、ロケーションは、ユーザが、上記と同様に、モバイルユーザのロケーション及び/又はリモートネットワーク/支店オフィスに関連する場所/地域のための正しいデフォルト言語を獲得するのを確実にするために、異なる出口IPアドレスを使用する)。
前述の実施形態は、理解を明確にするために、ある程度詳細に説明されてきたが、本発明は、提供される詳細について限定されるものではない。本発明を実施するための多くの代替的な方法が存在している。開示される実施形態は例示的なものであり、かつ、限定的なものではない。
Claims (20)
- システムであって、
プロセッサであり、
クラウドベースのセキュリティサービスのネットワークゲートウェイにおいて接続要求を受信し、
テナントに関連するパブリックIPアドレスの登録されたセットから送信元ネットワークアドレス変換(NAT)を実行し、前記ネットワークゲートウェイからの出口IPは領域に関連しており、該領域は、サービスとしてのソフトウェア(SaaS)のユーザについてローカリティの強化されたユーザ体験を推進するために、前記接続要求を送信したユーザの領域に対応しており、かつ、
前記クラウドベースのセキュリティサービスを使用して、前記SaaSに対するセキュアなアクセスを提供し、前記クラウドベースのセキュリティサービスは、サポートされている地域それぞれについて一式のIPアドレス範囲を維持し、前記クラウドベースのセキュリティサービスの各顧客に対して別個のパブリックIPアドレスプールを提供する、プロセッサと、
前記プロセッサに結合されており、かつ、前記プロセッサに命令を提供するように構成されている、メモリと、
を含む、システム。 - 第1顧客は、前記第1顧客に関連する前記別個のパブリックIPアドレスプールに関連付けられた別個のセキュリティポリシを設定する、
請求項1に記載のシステム。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、
請求項1に記載のシステム。 - 前記クラウドベースのセキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、
請求項1に記載のシステム。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダの様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する前記パブリッククラウドサービスプロバイダを使用して提供される、
請求項1に記載のシステム。 - 前記ネットワークゲートウェイは、セキュリティポリシを実施する、
請求項1に記載のシステム。 - 前記ネットワークゲートウェイは、仮想ファイアウォールを有する、
請求項1に記載のシステム。 - 前記接続要求は、新たなセッションに関連しており、かつ、
前記プロセッサは、さらに、
前記新たなセッションに関連するゾーンを決定する、
ように構成されている、
請求項1に記載のシステム。 - 前記接続要求は、新たなセッションに関連しており、かつ、
前記プロセッサは、さらに、
前記接続要求に関連するセキュアなトンネル設定に基づいて、前記新たなセッションに関連するゾーンを決定する、
ように構成されている、
請求項1に記載のシステム。 - 前記接続要求は、新たなセッションに関連しており、かつ、
前記プロセッサは、さらに、
前記接続要求に関連するドメインに基づいて、前記新たなセッションに関連するゾーンを決定する、
ように構成されている、
請求項1に記載のシステム。 - 方法であって、
クラウドベースのセキュリティサービスのネットワークゲートウェイにおいて接続要求を受信するステップと、
テナントに関連するパブリックIPアドレスの登録されたセットから送信元ネットワークアドレス変換(NAT)を実行するステップであり、前記ネットワークゲートウェイからの出口IPは領域に関連しており、該領域は、サービスとしてのソフトウェア(SaaS)のユーザについてローカリティの強化されたユーザ体験を推進するために、前記接続要求を送信したユーザの領域に対応している、ステップと、
前記クラウドベースのセキュリティサービスを使用して、前記SaaSに対するセキュアなアクセスを提供するステップであり、前記クラウドベースのセキュリティサービスは、サポートされている地域それぞれについて一式のIPアドレス範囲を維持し、前記クラウドベースのセキュリティサービスの各顧客に対して別個のパブリックIPアドレスプールを提供する、ステップと、
を含む、方法。 - 第1顧客は、前記第1顧客に関連する前記別個のパブリックIPアドレスプールに関連付けられた別個のセキュリティポリシを設定する、
請求項11に記載の方法。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、
請求項11に記載の方法。 - 前記クラウドベースのセキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、
請求項11に記載の方法。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダの様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する前記パブリッククラウドサービスプロバイダを使用して提供される、
請求項11に記載の方法。 - 有形のコンピュータ読取り可能な記憶媒体に具体化された、コンピュータプログラムであって、実行されると、
クラウドベースのセキュリティサービスのネットワークゲートウェイにおいて接続要求を受信するステップ、
テナントに関連するパブリックIPアドレスの登録されたセットから送信元ネットワークアドレス変換(NAT)を実行するステップであり、前記ネットワークゲートウェイからの出口IPは領域に関連しており、該領域は、サービスとしてのソフトウェア(SaaS)のユーザについてローカリティの強化されたユーザ体験を推進するために、前記接続要求を送信したユーザの領域に対応している、ステップ、および、
前記クラウドベースのセキュリティサービスを使用して、前記SaaSに対するセキュアなアクセスを提供するステップであり、前記クラウドベースのセキュリティサービスは、サポートされている地域それぞれについて一式のIPアドレス範囲を維持し、前記クラウドベースのセキュリティサービスの各顧客に対して別個のパブリックIPアドレスプールを提供する、ステップ、
を実施するためのコンピュータ命令を含む、コンピュータプログラム。 - 第1顧客は、前記第1顧客に関連する前記別個のパブリックIPアドレスプールに関連付けられた別個のセキュリティポリシを設定する、
請求項16に記載のコンピュータプログラム。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、
請求項16に記載のコンピュータプログラム。 - 前記クラウドベースのセキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、
請求項16に記載のコンピュータプログラム。 - 前記クラウドベースのセキュリティサービスは、パブリッククラウドサービスプロバイダの様々な地域的クラウドベースのコンピューティングサービスデータセンタそれぞれから1つ以上のSaaSプロバイダへの高速ネットワーク接続を提供する前記パブリッククラウドサービスプロバイダを使用して提供される、
請求項16に記載のコンピュータプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/985,050 US10911407B1 (en) | 2020-08-04 | 2020-08-04 | Localization at scale for a cloud-based security service |
| US16/985050 | 2020-08-04 | ||
| JP2021126416A JP7012896B1 (ja) | 2020-08-04 | 2021-08-02 | クラウドベースのセキュリティサービスのための大規模なローカル化 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021126416A Division JP7012896B1 (ja) | 2020-08-04 | 2021-08-02 | クラウドベースのセキュリティサービスのための大規模なローカル化 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022058641A JP2022058641A (ja) | 2022-04-12 |
| JP7304983B2 true JP7304983B2 (ja) | 2023-07-07 |
Family
ID=74261012
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021126416A Active JP7012896B1 (ja) | 2020-08-04 | 2021-08-02 | クラウドベースのセキュリティサービスのための大規模なローカル化 |
| JP2022005607A Active JP7304983B2 (ja) | 2020-08-04 | 2022-01-18 | クラウドベースのセキュリティサービスのための大規模なローカル化 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021126416A Active JP7012896B1 (ja) | 2020-08-04 | 2021-08-02 | クラウドベースのセキュリティサービスのための大規模なローカル化 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US10911407B1 (ja) |
| EP (1) | EP3952255A1 (ja) |
| JP (2) | JP7012896B1 (ja) |
| CN (1) | CN114070577A (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11625648B2 (en) * | 2019-09-14 | 2023-04-11 | Oracle International Corporation | Techniques for adaptive pipelining composition for machine learning (ML) |
| WO2022005914A1 (en) * | 2020-06-29 | 2022-01-06 | Illumina, Inc. | Temporary cloud provider credentials via secure discovery framework |
| US20220103518A1 (en) * | 2020-08-03 | 2022-03-31 | Cazena, Inc. | Scalable security for SaaS data lakes |
| US11271899B2 (en) * | 2020-08-09 | 2022-03-08 | Perimeter 81 Ltd | Implementing a multi-regional cloud based network using network address translation |
| US20220200952A1 (en) * | 2020-12-21 | 2022-06-23 | Oracle International Corporation | Network address translation between networks |
| US11489808B1 (en) * | 2021-08-03 | 2022-11-01 | Oversec, Uab | Providing a split-configuration virtual private network |
| US11799826B1 (en) * | 2021-11-24 | 2023-10-24 | Amazon Technologies, Inc. | Managing the usage of internet protocol (IP) addresses for computing resource networks |
| CN114584359B (zh) * | 2022-02-24 | 2023-06-09 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
| US20240146727A1 (en) * | 2022-10-28 | 2024-05-02 | Cisco Technology, Inc. | Exchange engine for secure access service edge (sase) provider roaming |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010154097A (ja) | 2008-12-24 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 通信制御装置、通信制御方法および通信制御プログラム |
| WO2011141993A1 (ja) | 2010-05-11 | 2011-11-17 | 株式会社チェプロ | 双方向通信システムおよびこれに用いるサーバ装置 |
| US20150092772A1 (en) | 2013-09-27 | 2015-04-02 | Verizon Patent And Licensing Inc. | System and method of cross-connection traffic routing |
| US20180115514A1 (en) | 2016-10-24 | 2018-04-26 | Nubeva, Inc. | Providing Scalable Cloud-Based Security Services |
| WO2019070611A1 (en) | 2017-10-02 | 2019-04-11 | Nicira, Inc. | CREATING VIRTUAL NETWORKS COVERING MULTIPLE PUBLIC CLOUDS |
| WO2019195010A1 (en) | 2018-04-04 | 2019-10-10 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
| JP2022545608A (ja) | 2019-08-27 | 2022-10-28 | ヴィーエムウェア, インコーポレイテッド | 仮想ネットワークを実施するためのリコメンデーションの提供 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7428411B2 (en) * | 2000-12-19 | 2008-09-23 | At&T Delaware Intellectual Property, Inc. | Location-based security rules |
| TWI451266B (zh) * | 2010-12-29 | 2014-09-01 | Chunghwa Telecom Co Ltd | A system and method for enabling cloud computing services based on user location |
| US9350644B2 (en) * | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
| US9189619B2 (en) * | 2012-11-13 | 2015-11-17 | International Business Machines Corporation | Runtime based application security and regulatory compliance in cloud environment |
| US20140189092A1 (en) * | 2012-12-28 | 2014-07-03 | Futurewei Technologies, Inc. | System and Method for Intelligent Data Center Positioning Mechanism in Cloud Computing |
| US10547676B2 (en) * | 2013-05-02 | 2020-01-28 | International Business Machines Corporation | Replication of content to one or more servers |
| US9307355B2 (en) * | 2013-06-27 | 2016-04-05 | Bluecats Australia Pty Limited | Location enabled service for enhancement of smart device and enterprise software applications |
| US10397345B2 (en) * | 2013-08-21 | 2019-08-27 | Adobe Inc. | Location-based asset sharing |
| CN103532752A (zh) | 2013-10-10 | 2014-01-22 | 北京首信科技股份有限公司 | 移动互联网络用户上网日志实现融合的管理装置和方法 |
| US9485617B2 (en) * | 2014-01-14 | 2016-11-01 | Sean Tasdemiroglu | Dynamic location-based mapping system and method |
| US20160070555A1 (en) | 2014-09-09 | 2016-03-10 | Microsoft Corporation | Automated tenant upgrades for multi-tenant services |
| US10218776B2 (en) * | 2014-10-14 | 2019-02-26 | Nokia Of America Corporation | Distribution of cloud services in a cloud environment |
| US10027624B1 (en) | 2016-10-28 | 2018-07-17 | 8X8, Inc. | Region-based redirection and bridging of calls |
| US9935984B1 (en) * | 2017-07-31 | 2018-04-03 | Malwarebytes Inc. | Scalable cloud-based endpoint security system |
| CN107995499B (zh) | 2017-12-04 | 2021-07-23 | 腾讯科技(深圳)有限公司 | 媒体数据的处理方法、装置及相关设备 |
| US10547679B1 (en) * | 2018-01-02 | 2020-01-28 | Architecture Technology Corporation | Cloud data synchronization based upon network sensing |
-
2020
- 2020-08-04 US US16/985,050 patent/US10911407B1/en active Active
- 2020-12-11 US US17/120,047 patent/US11558350B2/en active Active
-
2021
- 2021-07-16 EP EP21186228.9A patent/EP3952255A1/en active Pending
- 2021-07-30 CN CN202110871070.4A patent/CN114070577A/zh active Pending
- 2021-08-02 JP JP2021126416A patent/JP7012896B1/ja active Active
-
2022
- 2022-01-18 JP JP2022005607A patent/JP7304983B2/ja active Active
- 2022-12-14 US US18/065,958 patent/US11888816B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010154097A (ja) | 2008-12-24 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 通信制御装置、通信制御方法および通信制御プログラム |
| WO2011141993A1 (ja) | 2010-05-11 | 2011-11-17 | 株式会社チェプロ | 双方向通信システムおよびこれに用いるサーバ装置 |
| US20150092772A1 (en) | 2013-09-27 | 2015-04-02 | Verizon Patent And Licensing Inc. | System and method of cross-connection traffic routing |
| US20180115514A1 (en) | 2016-10-24 | 2018-04-26 | Nubeva, Inc. | Providing Scalable Cloud-Based Security Services |
| WO2019070611A1 (en) | 2017-10-02 | 2019-04-11 | Nicira, Inc. | CREATING VIRTUAL NETWORKS COVERING MULTIPLE PUBLIC CLOUDS |
| WO2019195010A1 (en) | 2018-04-04 | 2019-10-10 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
| JP2022545608A (ja) | 2019-08-27 | 2022-10-28 | ヴィーエムウェア, インコーポレイテッド | 仮想ネットワークを実施するためのリコメンデーションの提供 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7012896B1 (ja) | 2022-02-15 |
| US11888816B2 (en) | 2024-01-30 |
| EP3952255A1 (en) | 2022-02-09 |
| US20230115001A1 (en) | 2023-04-13 |
| JP2022058641A (ja) | 2022-04-12 |
| US10911407B1 (en) | 2021-02-02 |
| US20220045987A1 (en) | 2022-02-10 |
| US11558350B2 (en) | 2023-01-17 |
| JP2022032038A (ja) | 2022-02-24 |
| CN114070577A (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7304983B2 (ja) | クラウドベースのセキュリティサービスのための大規模なローカル化 | |
| US11632396B2 (en) | Policy enforcement using host information profile | |
| US11095612B1 (en) | Flow metadata exchanges between network and security functions for a security service | |
| US11968179B2 (en) | Private application access with browser isolation | |
| US20210336934A1 (en) | Cloud-based web application and API protection | |
| US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
| US20220353244A1 (en) | Privileged remote access for OT/IOT/IIOT/ICS infrastructure | |
| US20220029965A1 (en) | Scaling private application access support per client | |
| US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
| US11936623B2 (en) | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access | |
| US20210377223A1 (en) | Client to Client and Server to Client communication for private application access through a cloud-based system | |
| US20220141254A1 (en) | Consistent monitoring and analytics for security insights for network and security functions for a security service | |
| KR20230160938A (ko) | 컨테이너화된 애플리케이션 보호 | |
| US20230019448A1 (en) | Predefined signatures for inspecting private application access | |
| JP2023098874A (ja) | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 | |
| US20240056388A1 (en) | Supporting overlapping network addresses universally | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20230015603A1 (en) | Maintaining dependencies in a set of rules for security scanning | |
| US11522913B1 (en) | Simplifying networking setup complexity for security agents | |
| US20240121187A1 (en) | Deploying ipv6 routing | |
| WO2022125828A1 (en) | Deperimeterized access control service | |
| Opatrny et al. | Virtual Private Networks and Secure Remote Access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220118 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230519 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230627 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7304983 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |