KR101219662B1 - Security system of cloud service and method thereof - Google Patents
Security system of cloud service and method thereof Download PDFInfo
- Publication number
- KR101219662B1 KR101219662B1 KR1020120014263A KR20120014263A KR101219662B1 KR 101219662 B1 KR101219662 B1 KR 101219662B1 KR 1020120014263 A KR1020120014263 A KR 1020120014263A KR 20120014263 A KR20120014263 A KR 20120014263A KR 101219662 B1 KR101219662 B1 KR 101219662B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- information
- cloud
- setting
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 클라우드 서비스 보안 시스템 및 그 방법에 관한 것으로 더욱 상세하게는, 개인정보보호법에 대응하는 웹보안 솔루션 및 DB보안 솔루션을 탑재한 클라우드 서비스를 제공하는 기술에 관한 것이다.The present invention relates to a cloud service security system and a method thereof, and more particularly, to a technology for providing a cloud service equipped with a web security solution and a DB security solution corresponding to the Personal Information Protection Act.
클라우드 서비스란, 클라우드 서비스는 인터넷 기술을 이용하여 IT자원을 서비스로 제공하는 것으로 IT자원을 필요한 만큼 빌려서 사용하고, 서비스 부하에 따라서 실시간으로 확장 축소가 가능하며, 사용한 만큼만 비용을 내면 되는 서비스이다.Cloud service is a service that provides IT resources as a service by using Internet technology. It is possible to borrow IT resources as needed and scale them down in real time according to the service load, and pay only for the use.
구체적으로, 클라우드 서비스를 인터넷과 같은 정보통신망을 통한 컴퓨팅 자원의 온 디맨드 아웃소싱 서비스라고 정의할 수 있는데, 클라우드 컴퓨팅 환경에서는 서비스 제공자는 여러 곳에 분산되어 있는 서버(데이터 센터)를 가상화 기술로 통합하여 사용자들이 필요로 하는 서비스를 제공하게 된다.Specifically, cloud services may be defined as on-demand outsourcing services of computing resources through an information communication network such as the Internet. In a cloud computing environment, a service provider integrates servers (data centers) that are distributed at various locations by using virtualization technology. To provide the services they need.
이때, 사용자는 운영체제(Operation System), 스토리지(Storage), 어플리케이션(Application), 보안(Security) 등의 필요한 자원을 사용자 소유의 단말에 직접 설치하여 사용하는 것이 아니라, 가상화 기술을 통해 생성된 가상공간상의 게스트머신(이는 가상공간상의 논리적 장비의 개념으로, 운영체제와 보안 등을 포함하는 일종의 가상머신으로 이해될 수 있다)을 원하는 시점에 원하는 만큼 골라서 사용하게 되므로, 사용자는 각 컴퓨팅 자원의 구입비용을 지불하는 것이 아니라 사용량에 기반하여 대가를 지불하므로 경제적이다.In this case, the user does not directly install and use necessary resources such as an operating system, storage, application, security, etc. in the user's own terminal, but a virtual space created through virtualization technology. The guest machine on the virtual machine (this is a concept of logical equipment in the virtual space, which can be understood as a kind of virtual machine including an operating system and security) can be selected and used as desired at a desired time. It is economical because you pay based on usage rather than paying.
또한, 사용자는 어떠한 장소에서든 네트워크 접속과 기본적인 연산기능을 수행하는 단말을 통해 클라우드 망에 접속하여 대용량의 저장장치와 고성능 컴퓨팅 리소스가 필요한 작업들을 수행하고 고도화된 서비스들도 제공받을 수 있는 장점이 있다.In addition, the user can access the cloud network through a terminal that performs network access and basic computing functions at any place, and can perform tasks requiring large storage devices and high-performance computing resources, and also provide advanced services. .
그러나, 이러한 클라우딩 컴퓨팅 환경에서는 외부의 해킹 공격 등의 보안 위협으로부터 자산을 보호할 수 있는 보안 문제가 가장 핵심 이슈로 부각되고 있으나, 기존의 보안관제시스템은 서비스 제공자의 고정 보안장비만에 의존하여 단편적으로 발생하는 보안이벤트를 수집 및 관리하는데 그치고 있는 실정이다.However, in this cloud computing environment, security issues that can protect assets from security threats such as external hacking attacks are emerging as the most important issues. However, existing security control systems rely only on fixed security devices of service providers. It is only collecting and managing security events that occur in fragments.
특히, 특정 서버와 같은 물리적 장비를 기준으로 하는 보안이벤트 수집/분석에만 치중하기 때문에 사용자 및 사용자별 사용되는 게스트머신의 정보가 수시로 변화하는 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협에 효과적으로 대응할 수 없는 문제점이 있다.In particular, since it focuses only on the collection and analysis of security events based on physical devices such as specific servers, it cannot effectively respond to the changing security threats in the cloud computing environment where the information of users and guest machines used by users changes frequently. There is a problem.
이러한 문제점을 개선하기 위해 학계와 산업계에서 다양한 연구개발이 이루어지고 있으며, 대한민국 등록특허 제10-1059199호(클라우드 컴퓨팅 통합보안관제시스템 및 그 방법)외에 다수개의 선행문헌이 개시되어 있다.In order to improve this problem, various research and development are being conducted in academia and industry, and a number of prior documents are disclosed in addition to Korean Patent Registration No. 10-1059199 (Cloud Computing Integrated Security Control System and Method).
도 1을 참조하여 전술한 선행특허를 살피면, 사용자에게 제공되는 다수의 게스트머신을 포함하되, 다수의 게스트머신을 사용자별 분배하는 게스트머신분배모듈과, 각 게스트머신의 자원사용량을 수집하는 게스트머신정보수집모듈을 포함하는 서버; 사용자별 제공된 게스트머신의 정보 및 자원사용량을 수집ㅇ분석하는 사용자정보관리모듈;을 포함하여 구성됩니다.Looking at the above-described prior patent with reference to Figure 1, including a plurality of guest machines provided to the user, a guest machine distribution module for distributing a plurality of guest machines for each user, and a guest machine to collect the resource usage of each guest machine A server including an information collecting module; It consists of a user information management module for collecting and analyzing the information and resource usage of the provided guest machine for each user.
또한, 사용자정보관리모듈은 게스트머신분배모듈을 통해 특정 사용자에게 분배되어 사용된 게스트머신의 종류와 시간에 관한 정보를 수집하는 사용자정보수집모듈과, 사용자정보수집모듈 및 게스트머신정보수집모듈을 통해 특정 사용자에게 분배되어 사용된 게스트머신의 자원사용량을 분석하는 사용자정보분석모듈을 포함하여, 서버 단위뿐만 아니라 사용자 단위별로 게스트머신의 자원사용량을 수집ㅇ분석하는 기능을 수행합니다.In addition, the user information management module is distributed to a specific user through the guest machine distribution module to collect information on the type and time of the guest machine used, and through the user information collection module and guest machine information collection module It includes a user information analysis module that analyzes the resource usage of the guest machine that is distributed to specific users, and collects and analyzes the resource usage of the guest machine not only for the server but also for each user.
그러나, 전술한 선행특허는 단순히 사용자정보 및 게스트머신정보를 수집하고, 자원사용량을 수집 및 분석하는 기능만을 수행함에 따라 클라우드 서비스의 실질적인 보안 서비스를 제공하지 못하는바, 사용자단말과 클라우스 서버간의 데이터통신을 위한 웹보안 서비스 및 클라우드 서버의 데이터베이스 보안 서비스에 대한 사용자 요구가 절실하게 요구되고 있는 실정이다.However, the aforementioned patent does not provide a substantial security service of the cloud service by simply collecting user information and guest machine information, and collecting and analyzing resource usage. Therefore, data communication between a user terminal and a cloud server is not provided. There is an urgent need for user demands for web security services and database security services for cloud servers.
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로, 개인정보보호법에 대응하는 웹보안 솔루션을 탑재한 클라우드 서비스를 제공함으로써, 클라우드 VM을 통한 클라우드 서비스 접근을 제어함에 그 목적이 있다.The present invention has been made to solve the above problems, by providing a cloud service equipped with a web security solution corresponding to the Personal Information Protection Act, the purpose of controlling the cloud service access through the cloud VM.
그리고, 본 발명은 개인정보보호법에 대응하는 DB보안 솔루션을 탑재한 클라우드 서비스를 제공함으로써, 클라우드 VM과 연동된 DB 접근을 제어함에 그 목적이 있다.In addition, an object of the present invention is to provide a cloud service equipped with a DB security solution corresponding to the Personal Information Protection Act, thereby controlling DB access linked with a cloud VM.
이러한 기술적 과제를 달성하기 위한 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템은, 클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성하며, '웹보안VM'을 관리하는 '매니저VM'를 생성하며, '웹보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 클라우드 포털서버(100); 및 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 '웹보안VM'의 서비스 이용내역에 대한 모니터링, '웹보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송하고, '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송하며, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하며, 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈로 전송하고, '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하는 클라우드 운영서버(200);를 포함한다.
The cloud service security system according to the first embodiment of the present invention for achieving the technical problem, generates 'cloud service member information' to correspond to the 'cloud web security service application information' received from the
또한, 전술한바와 같은 제1 실시예의 시스템을 이용한 클라우드 서비스 보안 방법은, 클라우드 포털서버(100)가 클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 (a) 단계; 클라우드 포털서버(100)가 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성하는 (b) 단계; 클라우드 포털서버(100)가 '웹보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하고, '웹보안VM'의 IP와 대응하는 웹 방화벽 서버정보를 등록하여 '매니저VM'을 생성하는 (c) 단계; 및 클라우드 포털서버(100)가 '웹보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 (d) 단계;를 포함한다.
In addition, the cloud service security method using the system of the first embodiment as described above, the 'cloud service member information' so that the
또한, 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템은, 클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '웹보안VM'과 연동되어 '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성하며, 'DB보안VM'을 관리하는 '매니저VM'를 생성하며, 'DB보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 클라우드 포털서버(100); 및 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB암호화정책 설정정보', 및 'DB접근제어정책 설정정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송하고, '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송하며, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하고, 'VM 복제정보'를 클라우드 포털서버(100)의 DB보안VM 생성모듈로 전송하며, '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하는 클라우드 운영서버(200);를 포함한다.
In addition, the cloud service security system according to the second embodiment of the present invention generates 'cloud service member information' to correspond to 'cloud DB security service application information' received from the
그리고, 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 방법은, 클라우드 포털서버(100)가 클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 (a) 단계; 클라우드 포털서버(100)가 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성하는 (b) 단계; 클라우드 포털서버(100)가 'DB보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 'DB보안VM'의 IP와 대응하는 DB암호화 및 DB접근제어 서버정보를 등록하여 '매니저VM'을 생성하는 (c) 단계; 및 클라우드 포털서버(100)가 'DB보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 (d) 단계;를 포함한다.In addition, in the cloud service security method according to the second embodiment of the present invention, the
상기와 같은 본 발명에 따르면, 개인정보보호법에 대응하는 웹보안 솔루션을 탑재한 클라우드 서비스를 제공함으로써, 클라우드 VM을 통한 클라우드 서비스 접근을 제어하는 효과가 있다.According to the present invention as described above, by providing a cloud service equipped with a web security solution corresponding to the personal information protection law, there is an effect of controlling the cloud service access through the cloud VM.
또한, 본 발명에 따르면, 개인정보보호법에 대응하는 DB보안 솔루션을 탑재한 클라우드 서비스를 제공함으로써, 클라우드 VM과 연동된 DB 접근을 제어하는 효과가 있다.In addition, according to the present invention, by providing a cloud service equipped with a DB security solution corresponding to the personal information protection law, there is an effect of controlling the DB access linked with the cloud VM.
그리고, 본 발명에 따르면, 개방형 플랫폼 인프라를 기반으로 하는 클라우드 VM의 보안솔루션을 제공함으로써, 신속한 클라우드 서비스 구축과 유연한 확정성을 제공하고, 정보보안의 원스탑 서비스를 제공하는 효과가 있다.In addition, according to the present invention, by providing a security solution of the cloud VM based on the open platform infrastructure, there is an effect of providing a rapid cloud service construction and flexible determinism, and provides a one-stop service of information security.
도 1은 종래의 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법을 도시한 구성도.
도 2는 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템을 도시한 구성도.
도 3은 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템의 서비스 신청모듈을 도시한 구성도.
도 4는 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템의 웹보안VM 생성모듈을 도시한 구성도.
도 5는 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템의 매니저VM 생성모듈을 도시한 구성도.
도 6은 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템의 서비스설정 적용모듈을 도시한 구성도.
도 7은 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템의 클라우드 운영서버를 도시한 구성도.
도 8은 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 방법을 도시한 순서도.
도 9는 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 방법의 제S10단계 이전 또는 제S40단계 이후 과정을 도시한 순서도.
도 10은 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템을 도시한 구성도.
도 11은 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템의 서비스 신청모듈을 도시한 구성도.
도 12는 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템의 DB보안VM 생성모듈을 도시한 구성도.
도 13은 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템의 매니저VM 생성모듈을 도시한 구성도.
도 14는 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템의 서비스설정 적용모듈을 도시한 구성도.
도 15는 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템의 클라우드 운영서버를 도시한 구성도.
도 16은 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 방법을 도시한 순서도.
도 17은 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 방법의 제S10단계 이전 또는 제S40단계 이후 과정을 도시한 순서도.1 is a block diagram showing a conventional cloud computing integrated security control system and method thereof.
2 is a block diagram showing a cloud service security system according to a first embodiment of the present invention.
Figure 3 is a block diagram showing a service request module of the cloud service security system according to a first embodiment of the present invention.
Figure 4 is a block diagram showing a web security VM generation module of the cloud service security system according to a first embodiment of the present invention.
5 is a block diagram showing a manager VM generation module of the cloud service security system according to the first embodiment of the present invention.
6 is a block diagram showing a service setting application module of the cloud service security system according to the first embodiment of the present invention.
7 is a block diagram showing a cloud operation server of the cloud service security system according to a first embodiment of the present invention.
8 is a flowchart illustrating a cloud service security method according to a first embodiment of the present invention.
9 is a flowchart illustrating a process before step S10 or after step S40 of the method for securing a cloud service according to the first embodiment of the present invention.
10 is a block diagram showing a cloud service security system according to a second embodiment of the present invention.
11 is a block diagram showing a service request module of the cloud service security system according to a second embodiment of the present invention.
12 is a block diagram showing a DB security VM generation module of a cloud service security system according to a second embodiment of the present invention.
13 is a block diagram showing a manager VM generation module of a cloud service security system according to a second embodiment of the present invention;
14 is a block diagram showing a service setting application module of a cloud service security system according to a second embodiment of the present invention;
15 is a block diagram showing a cloud operation server of the cloud service security system according to a second embodiment of the present invention.
16 is a flowchart illustrating a cloud service security method according to a second embodiment of the present invention.
17 is a flowchart illustrating a process before step S10 or after step S40 of the method for securing a cloud service according to the second embodiment of the present invention.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, terms and words used in the present specification and claims are to be interpreted in accordance with the technical idea of the present invention based on the principle that the inventor can properly define the concept of the term in order to explain his invention in the best way. It should be interpreted in terms of meaning and concept. It is to be noted that the detailed description of known functions and constructions related to the present invention is omitted when it is determined that the gist of the present invention may be unnecessarily blurred.
도 2에 도시된 바와 같이 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템(S)은 클라우드 포털서버(100) 및 클라우드 운영서버(200)를 포함하여 구성된다.As shown in FIG. 2, the cloud service security system S according to the first embodiment of the present invention includes a
먼저, 클라우드 포털서버(100)는 도 3에 도시된 바와 같이 정보통신망을 통해 접속된 클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성하며, '웹보안VM'을 관리하는 '매니저VM'를 생성하며, '웹보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는바, 서비스 신청모듈(110), 웹보안VM 생성모듈(120), 매니저VM 생성모듈(130) 및 서비스설정 적용모듈(140)을 포함하여 구성된다.First, the
이하에서는 그 언급을 생략하겠으나, 본 발명에 따른 정보통신망은 장소나 단말의 종류와 관계없이 내부 네트워크와의 접속이 가능하고, 웹 브라우저를 이용하여 서버 간의 통신에서 정보를 암호화하여 도중에 해킹을 통해 정보가 유출되더라도 정보의 내용을 보호할 수 있는 기능을 갖춘 보안 솔루션(SSL) 기반의 가상 사설망(VPN)인 SSLVPN(Secure Sockets Layer Virtual Private Network)을 포함한다.In the following, the description thereof will be omitted, but the information communication network according to the present invention can be connected to the internal network regardless of the location or type of terminal, and encrypts the information in the communication between the servers using a web browser to hack the information. Includes the Secure Sockets Layer Virtual Private Network (SSLVPN), a security solution (SSL) -based virtual private network (VPN) with the ability to protect the contents of information even if the information is leaked.
구체적으로, 클라우드 포털서버(100)의 서비스 신청모듈(110)은 도 3에 도시된 바와 같이, 정보통신망을 통해 접속된 클라이언트(10)로부터 '클라우드 웹보안 서비스 신청정보'를 수신하고, 수신한 '클라우드 웹보안 서비스 신청정보'에 포함된 서버명칭 데이터, OS 이미지 선택데이터, 웹어플리케이션 버전 선택 데이터, 디폴트 자동선택사항 데이터(웹방화벽, 보안서버인증서, 아이피, 서버모니터링, 방화벽, SSLVPN, 백업 및 보안 관제), 약정 선택데이터 및 서비스옵션 선택데이터와 대응하도록 '클라우드 서비스 회원정보'를 생성한다.Specifically, the
또한, 웹보안VM 생성모듈(120)은 도 4에 도시된 바와 같이, 서비스 신청모듈(110)로부터 '클라우드 서비스 회원정보'를 인가받고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'의 서버명칭 데이터, OS 이미지 선택데이터, 웹어플리케이션 버전 선택 데이터, 디폴트 자동선택사항 데이터, 약정 선택데이터 및 서비스옵션 선택데이터와 대응하는 '웹보안VM'을 생성한다.In addition, as shown in FIG. 4, the web security
또한, 매니저VM 생성모듈(130)은 도 5에 도시된 바와 같이, 웹보안VM 생성모듈(120)에 의해 생성된 '웹보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하고, '웹보안VM'의 IP와 대응하는 웹 방화벽 서버정보의 등록을 위한 '매니저VM'을 생성한다.In addition, as shown in FIG. 5, the manager
이때, '클라우드 사용자 정보'는 아이디, 패스워드, 성명, 메일, 전화번호 및 회사명을 포함하고, '클라우드 에이전트 정보'는 아이디, 패스워드, IP, 도메인 및 기본정책 내역을 포함하도록 구성되나, '웹보안VM'의 관리를 위한 필드정보의 변경에 따라 수정, 추가 및 삭제될 수 있다.In this case, the 'cloud user information' includes an ID, password, name, mail, phone number, and company name, and the 'cloud agent information' is configured to include an ID, password, IP, domain, and basic policy details. It can be modified, added and deleted according to the change of field information for managing the security VM '.
그리고, 서비스설정 적용모듈(140)은 도 6에 도시된 바와 같이, 상기 '매니저VM'의 제어에 따라 웹보안VM 생성모듈(120)에 의해 생성된 '웹보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정을 수행하여 '웹보안VM'을 통한 클라우드 서비스를 제어 및 관리한다.And, as shown in Figure 6, the service
이때, 서비스설정 적용모듈(140)은 '웹보안VM'의 서비스 상태를 모니터링하고, '웹보안VM'의 IP가 기 설정된 서비스 이외에 접속하는 것을 미연에 방지하며, '웹보안VM'에 저장된 데이터들을 기 설정된 주기마다 백업 및 복구하도록 제어하고, 방화벽 및 보안관제 설정에 따라 '웹보안VM'으로의 접근을 제어하며, '웹보안VM'의로의 데이터 전송이 SSLVPN에 의해 수행되도록 제어한다.At this time, the service
아울러, 서비스설정 적용모듈(140)을 통한 '웹보안VM'의 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정은 관리자로부터 입력받은 '승인정보'에 따라 설정된다.
In addition, the monitoring setting of the 'Web security VM', the IP setting, the backup area and the recovery area setting, the firewall and the security control setting, and the SSLVPN (Secure Sockets Layer Virtual Private Network) setting through the service
한편, 도 7을 참조하여 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 시스템(S)의 클라우드 운영서버(200)에 대해 살피면 아래와 같다.Meanwhile, referring to FIG. 7, the
클라우드 운영서버(200)는 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 '웹보안VM'의 서비스 이용내역에 대한 모니터링, '웹보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송하고, 상기 '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송하며, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하며, 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)로 전송하고, '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하되, 모니터링 설정모듈(210), 백업/복구 설정모듈(220), 보안관제 설정모듈(230), SSLVPN 설정모듈(240), 보안서버 인증서모듈(250), VM복제 설정모듈(260) 및 로드밸런싱 설정모듈(270)을 포함하여 구성된다.The
구체적으로, 클라우드 운영서버(200)의 모니터링 설정모듈(210)은 시스템 및 네트워크의 실시간 자원 사용을 모니터링하고 모니터링 정책 및 관리를 수행을 제어하도록 생성한 '모니터링 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송한다.In detail, the
또한, 백업/복구 설정모듈(220)은 백업 상태 모니터링을 확인하고, 데이터 백업 및 복구 정책에 부합하는 클라우스 서비스 수행을 제어하도록 생성한 '백업/복구 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송한다.In addition, the backup /
또한, 보안관제 설정모듈(230)을 통해 방화벽 정책을 수립하고 보안내역에 대한 리포팅 수행을 제어하도록 생성한 '방화벽 정책정보'를 보안운영 대행서버로 전송한다.In addition, through the security
여기서, 보안운영 대행서버는 보안관제 설정모듈(230)로부터 수신한 '방화벽 정책정보'와 대응하도록 방화벽 정책을 적용하고, 실시간 감시 및 보안 정책을 적용하며, 침해 대응과 IP분석을 포함하는 리포팅을 제공하고, 개인정보 컨설팅 프로세스를 지원하게 된다.Here, the security operation agent server applies a firewall policy to correspond to the 'firewall policy information' received from the security
또한, SSLVPN 설정모듈(240)을 통해 접속 서버 리스트를 설정하고, 접속 IP 및 PW 설정 관리를 제어하며, 관리자와 서버간의 터널링에 따라 구간별로 전송되는 데이터를 암호화하도록 생성한 'SSLVPN 관리정보'를 보안운영 대행서버로 전송한다.In addition, the
아울러, SSLVPN 설정모듈(240)은 인터넷 트래픽 분리구성을 위한 라우터 및 VPN 설정정보, 라우터 장애 발생시 라우터 장애극복을 위한 VPN 설정정보, VPN 장애 발생시 VPN 장애극복을 위한 라우터 및 VPN 설정정보, VPN과 클라이언트간 터널링(Tunnel) 구성을 위한 VPN 정책 설정정보, 및 VPN 사용자 아이디 및 암호 발급정보를 포함하는 'SSLVPN 관리정보'를 보안운영 대행서버로 전송한다.In addition, the
또한, 보안서버 인증서모듈(250)을 통해 보안서버 인증서를 요청하는 '인증서 요청정보'를 생성하여 인증서 발급기관으로 전송하고, 인증서 발급기관으로부터 수신한 '인증서'에 대한 적용을 제어하도록 생성한 '보안서버 인증서 적용정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송한다.In addition, the security
또한, VM복제 설정모듈(260)을 통해 '웹보안VM'의 복제를 제어하도록 생성한 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)로 전송한다.In addition, the VM
그리고, 로드밸런싱 설정모듈(270)을 통해 네트워크 부하 분산 클러스터를 제어하도록 생성한 '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송한다.
Then, the load
한편, 도 8을 참조하여 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 방법에 대해 살피면 아래와 같다.Meanwhile, referring to FIG. 8, the cloud service security method according to the first embodiment of the present invention will be described below.
먼저, 클라우드 포털서버(100)의 서비스 신청모듈(110)이 클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성한다(S10).First, the
이어서, 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)이 상기 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 상기 '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성한다(S20).Subsequently, the web security
뒤이어, 클라우드 포털서버(100)의 매니저VM 생성모듈(130)이 상기 '웹보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하고, '웹보안VM'의 IP와 대응하는 웹 방화벽 서버정보의 등록을 위한 '매니저VM'을 생성한다(S30).Subsequently, the manager
그리고, 클라우드 포털서버(100)의 서비스설정 적용모듈(140)이 상기 '웹보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리한다(S40).
In addition, the service
또한, 도 9를 참조하여 본 발명의 제1 실시예에 따른 클라우드 서비스 보안 방법의 제S10단계 이전 또는 제S40단계 이후 과정에 대해 살피면 아래와 같다.In addition, referring to FIG. 9, the process before step S10 or after step S40 of the cloud service security method according to the first embodiment of the present invention will be described below.
제S10단계 이전 또는 제S40단계 이후, 클라우드 운영서버(200)가 상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 '웹보안VM'의 서비스 이용내역에 대한 모니터링, '웹보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 '웹보안VM'으로 전송한다(S50).Before the step S10 or after the step S40, the
이어서, 클라우드 포털서버(100)의 '웹보안VM'이 클라우드 운영서버(200)로부터 수신한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 시스템에 적용한다(S60).Subsequently, the 'web security VM' of the
뒤이어, 클라우드 운영서버(200)가 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, 보안운영 대행서버가 수신한 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 적용한다(S70).Subsequently, the
이어서, 클라우드 운영서버(200)가 '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하고, 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)로 전송한다(S80).Subsequently, the
그리고, 클라우드 운영서버(200)가 '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송한다(S90).
Then, the
한편, 도 10을 참조하여 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템(S)은 제1 실시예와 동일하게 클라우드 포털서버(100) 및 클라우드 운영서버(200)를 포함하여 구성되며, 제2 실시예에 따른 클라우드 포털서버(100)는 웹보안VM 생성모듈(120)이 아닌 DB보안VM 생성모듈(150)을 포함하여 구성된다.Meanwhile, referring to FIG. 10, the cloud service security system S according to the second embodiment of the present invention includes a
구체적으로, 제2 실시예에 따른 클라우드 포털서버(100)는 정보통신망을 통해 접속된 클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성하며, 'DB보안VM'을 관리하는 '매니저VM'를 생성하며, 'DB보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는바, 서비스 신청모듈(110), DB보안VM 생성모듈(150), 매니저VM 생성모듈(130) 및 서비스설정 적용모듈(140)을 포함하여 구성된다.Specifically, the
구체적으로, 클라우드 포털서버(100)의 서비스 신청모듈(110)은 도 11에 도시된 바와 같이, 정보통신망을 통해 접속된 클라이언트(10)로부터 '클라우드 DB보안 서비스 신청정보'를 수신하고, 수신한 '클라우드 DB보안 서비스 신청정보'에 포함된 서버명칭 데이터, OS 이미지 선택데이터, 데이터베이스 버전 선택 데이터, 디폴트 자동선택사항 데이터(DB암호화, DB접근제어, IP서버 모니터링, 방화벽 설정, SSLVPN, 백업 및 보안 관제), 약정 선택데이터 및 서비스옵션 선택데이터와 대응하도록 '클라우드 서비스 회원정보'를 생성한다.Specifically, the
또한, DB보안VM 생성모듈(150)은 도 12에 도시된 바와 같이, 서비스 신청모듈(110)로부터 '클라우드 서비스 회원정보'를 인가받고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'의 서버명칭 데이터, OS 이미지 선택데이터, 데이터베이스 버전 선택 데이터, 디폴트 자동선택사항 데이터, 약정 선택데이터 및 서비스옵션 선택데이터와 대응하는 'DB보안VM'을 생성한다.In addition, as shown in FIG. 12, the DB security
또한, 매니저VM 생성모듈(130)은 도 13에 도시된 바와 같이, 'DB보안VM'의 DB 접근을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 'DB보안VM'의 IP와 대응하는 'DB 접근제어 서버정보'를 등록하고, 'DB보안VM'의 DB 암호화를 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 '클라우드 VM'과 연동되는 DB를 암호화하는 'DB 암호화 서버정보'의 등록을 위한 '매니저VM'을 생성한다.In addition, the manager
이때, '클라우드 사용자 정보'는 아이디, 패스워드, 성명, 메일, 전화번호 및 회사명을 포함하고, '클라우드 에이전트 정보'는 아이디, 패스워드, IP, 도메인 및 기본정책 내역을 포함하도록 구성되나, 'DV보안VM'의 관리를 위한 필드정보의 변경에 따라 수정, 추가 및 삭제될 수 있다.In this case, the 'cloud user information' includes an ID, password, name, mail, phone number and company name, and the 'cloud agent information' is configured to include an ID, password, IP, domain and basic policy details, but the 'DV' It can be modified, added and deleted according to the change of field information for managing the security VM '.
그리고, 서비스설정 적용모듈(140)은 도 14에 도시된 바와 같이, 상기 '매니저VM'의 제어에 따라 DB보안VM 생성모듈(150)에 의해 생성된 'DB보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정을 수행하여 'DB보안VM'을 통한 클라우드 서비스를 제어 및 관리한다.And, as shown in Figure 14, the service
이때, 서비스설정 적용모듈(140)은 'DB보안VM'의 서비스 상태를 모니터링하고, 'DB보안VM'의 IP가 기 설정된 서비스 이외에 접속하는 것을 미연에 방지하며, 'DB보안VM'에 저장된 데이터들을 기 설정된 주기마다 백업 및 복구하도록 제어하고, 방화벽 및 보안관제 설정에 따라 'DB보안VM'으로의 접근을 제어하며, 'DB보안VM'의로의 데이터 전송이 SSLVPN에 의해 수행되도록 제어한다.In this case, the service
아울러, 서비스설정 적용모듈(140)을 통한 'DB보안VM'의 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정은 관리자로부터 입력받은 '승인정보'에 따라 설정된다.
In addition, the monitoring setting of the 'DB security VM', the IP setting, the backup area and the recovery area setting, the firewall and security control setting, and the SSLVPN (Secure Sockets Layer Virtual Private Network) setting through the service
한편, 도 15를 참조하여 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 시스템(S)의 클라우드 운영서버(200)에 대해 살피면 아래와 같다. 제2 실시예에 따른 클라우드 운영서버(200)는 제1 실시예의 구성요소 외에 DB암호화 설정모듈(280) 및 DB접근제어 설정모듈(290)을 더 포함하고, 보안서버 인증서모듈(250)을 배제하여 구성된다.Meanwhile, referring to FIG. 15, the
클라우드 운영서버(200)는 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB암호화정책 설정정보', 및 'DB접근제어 및 권한관리정책 설정정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송하고, '웹보안VM'과 연동되어 '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송하고, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하며, 'VM 복제정보'를 클라우드 포털서버(100)의 DB보안VM 생성모듈(150)로 전송하며, '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하되, DB암호화 설정모듈(280), DB접근제어 설정모듈(290), 모니터링 설정모듈(210), 백업/복구 설정모듈(220), 보안관제 설정모듈(230), SSLVPN 설정모듈(240), VM복제 설정모듈(260) 및 로드밸런싱 설정모듈(270)을 포함하여 구성된다.The
구체적으로, 클라우드 운영서버(200)의 DB암호화 설정모듈(280)은 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스에 저장되는 데이터들에 대한 암호화 정책을 관리하도록 생성한 'DB암호화정책 설정정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다.Specifically, the DB
또한, DB접근제어 설정모듈(290)은 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스 접근제어를 관리하도록 생성한 'DB접근제어 및 권한관리정책 설정정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다. 이때, 권한관리정책 설정정보는 DB접근 대상에 따라 읽기(R), 쓰기(W) 또는 읽기쓰기(RW) 중에 어느 하나의 권한을 설정하도록 하는 정보이다.In addition, the DB access
또한, 모니터링 설정모듈(210)은 시스템 및 네트워크의 실시간 자원 사용을 모니터링하고 모니터링 정책 및 관리를 수행을 제어하도록 생성한 '모니터링 정책정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다.In addition, the
또한, 백업/복구 설정모듈(220)은 백업 상태 모니터링을 확인하고, 데이터 백업 및 복구 정책에 부합하는 클라우스 서비스 수행을 제어하도록 생성한 '백업/복구 정책정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다.In addition, the backup /
또한, 보안관제 설정모듈(230)을 통해 방화벽 정책을 수립하고 보안내역에 대한 리포팅 수행을 제어하도록 생성한 '방화벽 정책정보'를 보안운영 대행서버로 전송한다.In addition, through the security
여기서, 보안운영 대행서버는 보안관제 설정모듈(230)로부터 수신한 '방화벽 정책정보'와 대응하도록 방화벽 정책을 적용하고, 실시간 감시 및 보안 정책을 적용하며, 침해 대응과 IP분석을 포함하는 리포팅을 제공하고, 개인정보 컨설팅 프로세스를 지원하게 된다.Here, the security operation agent server applies a firewall policy to correspond to the 'firewall policy information' received from the security
또한, SSLVPN 설정모듈(240)을 통해 접속 서버 리스트를 설정하고, 접속 IP 및 PW 설정 관리를 제어하며, 관리자와 서버간의 터널링에 따라 구간별로 전송되는 데이터를 암호화하도록 생성한 'SSLVPN 관리정보'를 보안운영 대행서버로 전송한다.In addition, the
아울러, SSLVPN 설정모듈(240)은 트래픽 분리구성을 위한 라우터 및 VPN 설정정보, 라우터 장애 발생시 라우터 장애극복을 위한 VPN 설정정보, VPN 장애 발생시 VPN 장애극복을 위한 라우터 및 VPN 설정정보, VPN과 클라이언트간 터널링(Tunnel) 구성을 위한 VPN 정책 설정정보, 및 VPN 사용자 아이디 및 암호 발급정보를 포함하는 'SSLVPN 관리정보'를 보안운영 대행서버로 전송한다.In addition, the
또한, VM복제 설정모듈(260)을 통해 '웹보안VM'의 복제를 제어하도록 생성한 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)로 전송한다.In addition, the VM
그리고, 로드밸런싱 설정모듈(270)을 통해 네트워크 부하 분산 클러스터를 제어하도록 생성한 '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송한다.
Then, the load
한편, 도 16을 참조하여 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 방법에 대해 살피면 아래와 같다.Meanwhile, referring to FIG. 16, the cloud service security method according to the second embodiment of the present invention will be described below.
먼저, 클라우드 포털서버(100)의 서비스 신청모듈(110)이 클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성한다(S10).First, the
이어서, 클라우드 포털서버(100)의 DB보안VM 생성모듈(150)이 상기 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 상기 '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성한다(S20).Subsequently, the DB security
뒤이어, 클라우드 포털서버(100)의 매니저VM 생성모듈(130)이 상기 'DB보안VM'의 DB 접근을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 'DB보안VM'의 IP와 대응하는 'DB 접근제어 서버정보'를 등록하고, 'DB보안VM'의 DB 암호화를 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 '클라우드 VM'과 연동되는 DB를 암호화하는 'DB 암호화 서버정보'의 등록을 위한 '매니저VM'을 생성한다(S30).Subsequently, the manager
그리고, 클라우드 포털서버(100)의 서비스설정 적용모듈(140)이 상기 'DB보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리한다(S40).
In addition, the service
또한, 도 17을 참조하여 본 발명의 제2 실시예에 따른 클라우드 서비스 보안 방법의 제S10단계 이전 또는 제S40단계 이후 과정에 대해 살피면 아래와 같다.In addition, referring to FIG. 17, the process before step S10 or after step S40 of the cloud service security method according to the second embodiment of the present invention will be described below.
제S10단계 이전 또는 제S40단계 이후, 클라우드 운영서버(200)가 상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스 암호화 정책을 관리하도록 생성한 'DB암호화정책 설정정보' 및 'DB보안VM'과 대응하는 데이터베이스 접근제어를 관리하도록 생성한 'DB접근제어 및 권한관리정책 설정정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다(S50).Before the step S10 or after the step S40, the
이어서, 클라우드 운영서버(200)가 'DB보안VM'의 서비스 이용내역에 대한 모니터링, 'DB보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송한다(S60).Subsequently, the 'security policy setting information' generated by the
뒤이어, 클라우드 포털서버(100)의 'DB보안VM'이 클라우드 운영서버(200)로부터 수신한 'DB암호화정책 설정정보' 및 'DB접근제어정책 설정정보'를 시스템에 적용하고, 'DB보안VM'이 클라우드 운영서버(200)로부터 수신한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 시스템에 적용한다(S70).Subsequently, the 'DB security VM' of the
이어서, 클라우드 운영서버(200)가 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, 보안운영 대행서버가 수신한 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 적용한다(S80).Subsequently, the
뒤이어, 클라우드 운영서버(200)가 'VM 복제정보'를 클라우드 포털서버(100)의 DB보안VM 생성모듈(150)로 전송한다(S90).Subsequently, the
그리고, 클라우드 운영서버(200)가 '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송한다(S100).Then, the
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.While the present invention has been particularly shown and described with reference to preferred embodiments thereof, it will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be appreciated by those skilled in the art that numerous changes and modifications may be made without departing from the invention. And all such modifications and changes as fall within the scope of the present invention are therefore to be regarded as being within the scope of the present invention.
S: 클라우드 서비스 보안 시스템 10: 클라이언트
100: 클라우드 포털서버 110: 서비스 신청모듈
120: 웹보안VM 생성모듈 130: 매니저VM 생성모듈
140: 서비스설정 적용모듈 150: DB보안VM 생성모듈
200: 클라우드 운영서버 210: 모니터링 설정모듈
220: 백업/복구 설정모듈 230: 보안관제 설정모듈
240: SSLVPN 설정모듈 250: 보안서버 인증서모듈
260: VM복제 설정모듈 270: 로드밸런싱 설정모듈
280: DB암호화 설정모듈 290: DB접근제어 설정모듈S: Cloud Service Security System 10: Client
100: cloud portal server 110: service request module
120: Web security VM generation module 130: Manager VM generation module
140: service configuration application module 150: DB security VM generation module
200: cloud operation server 210: monitoring configuration module
220: backup / recovery configuration module 230: security control configuration module
240: SSLVPN configuration module 250: security server certificate module
260: VM replication configuration module 270: Load balancing configuration module
280: DB encryption setting module 290: DB access control setting module
Claims (12)
클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성하며, '웹보안VM'을 관리하는 '매니저VM'를 생성하며, '웹보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 클라우드 포털서버(100); 및
상기 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 '웹보안VM'의 서비스 이용내역에 대한 모니터링, '웹보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하고, 상기 '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하며, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하며, 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈로 전송하고, '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하는 클라우드 운영서버(200);를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.In the cloud service security system,
Create 'cloud service member information' to correspond to the 'cloud web security service application information' received from the client 10, generate a 'web security VM' corresponding to the 'cloud service member information', and 'web security VM' Create 'Manager VM' to manage ', and control access to cloud service through' Web Security VM 'by setting monitoring setting, IP setting, backup setting and firewall for' Web Security VM 'and' Manager VM ' Managing cloud portal server 100; And
Monitoring the service usage history of the 'Web security VM' by accessing the 'manager VM' corresponding to the 'cloud service member information' received from the cloud portal server 100, and applying the security policy for the 'web security VM' And 'security policy setting information' generated to control reporting history setting to 'web security VM' of the cloud portal server 100, and 'security policy setting information' corresponding to the 'cloud service member information'. , 'Monitoring policy information' and 'backup / recovery policy information' to the 'web security VM' of the cloud portal server 100, and 'firewall policy information' and 'SSLVPN management information' to the security operation agency server And transmits 'security server certificate application information' to 'web security VM', 'VM replication information' to web security VM generation module of the cloud portal server 100, and 'load balancing setting information' to the cloud portal. Sent to server 100 Loud operational server (200); a cloud service security system comprising: a.
상기 클라우드 포털서버(100)는,
정보통신망을 통해 접속된 클라이언트(10)로부터 '클라우드 웹보안 서비스 신청정보'를 수신하고, 수신한 '클라우드 웹보안 서비스 신청정보'에 포함된 서버명칭 데이터, OS 이미지 선택데이터, 웹어플리케이션 버전 선택 데이터, 디폴트 자동선택사항 데이터(웹방화벽, 보안서버인증서, 아이피, 서버모니터링, 방화벽, SSLVPN, 백업 및 보안 관제), 약정 선택데이터 및 서비스옵션 선택데이터와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 서비스 신청모듈(110);
상기 서비스 신청모듈(110)로부터 '클라우드 서비스 회원정보'를 인가받고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'의 서버명칭 데이터, OS 이미지 선택데이터, 웹어플리케이션 버전 선택 데이터, 디폴트 자동선택사항 데이터, 약정 선택데이터 및 서비스옵션 선택데이터와 대응하는 '웹보안VM'을 생성하는 웹보안VM 생성모듈(120);
상기 웹보안VM 생성모듈(120)에 의해 생성된 '웹보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하고, '웹보안VM'의 IP와 대응하는 웹 방화벽 서버정보의 등록을 위한 '매니저VM'을 생성하는 매니저VM 생성모듈(130); 및
상기 '매니저VM'의 제어에 따라 웹보안VM 생성모듈(120)에 의해 생성된 '웹보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정을 수행하여 '웹보안VM'을 통한 클라우드 서비스를 제어 및 관리하는 서비스설정 적용모듈(140);을 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.The method of claim 1,
The cloud portal server 100,
Receive 'cloud web security service application information' from the client 10 connected through the information communication network, server name data, OS image selection data, web application version selection data included in the received 'cloud web security service application information' Service that generates 'cloud service member information' to correspond with default automatic selection data (web firewall, security server certificate, IP, server monitoring, firewall, SSLVPN, backup and security control), contract selection data and service option selection data Application module 110;
The 'cloud service member information' is authorized from the service application module 110, and 'administration information' is input from the administrator, the server name data of the 'cloud service member information', OS image selection data, web application version selection data, and default values. A web security VM generating module 120 for generating a 'web security VM' corresponding to the automatic selection data, the contract selection data and the service option selection data;
Registers 'cloud user information' and 'cloud agent information' for service use of the 'web security VM' generated by the web security VM generating module 120, and corresponds to the IP of the 'web security VM' A manager VM generating module 130 generating a manager VM for registering server information; And
Monitoring setting, IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN for the 'web security VM' generated by the web security VM generating module 120 under the control of the 'manager VM'. And a service setting application module (140) for controlling and managing cloud services through a 'web security VM' by performing Secure Sockets Layer Virtual Private Network) setting.
상기 서비스설정 적용모듈(140)은,
상기 '웹보안VM'의 서비스 상태를 모니터링하고, '웹보안VM'의 IP가 기 설정된 서비스 이외에 접속하는 것을 미연에 방지하며, '웹보안VM'에 저장된 데이터들을 기 설정된 주기마다 백업 및 복구하도록 제어하고, 방화벽 및 보안관제 설정에 따라 '웹보안VM'으로의 접근을 제어하며, '웹보안VM'의로의 데이터 전송이 SSLVPN에 의해 수행되도록 제어되,
상기 '웹보안VM'의 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정은 관리자로부터 입력받은 '승인정보'에 따라 설정되는 것을 특징으로 클라우드 서비스 보안 시스템.The method of claim 2,
The service setting application module 140,
Monitor the service status of the 'Web Security VM', prevent the IP of the 'Web Security VM' from accessing other than the preset service, and backup and restore the data stored in the 'Web Security VM' at predetermined intervals. Control the access to the 'Web Security VM' according to the firewall and security control settings, and control the data transmission to the 'Web Security VM' by SSLVPN.
The monitoring setting, IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN (Secure Sockets Layer Virtual Private Network) setting of the 'Web Security VM' are set according to the 'authorization information' input from the administrator. Cloud service security system.
상기 클라우드 운영서버(200)는,
시스템 및 네트워크의 실시간 자원 사용을 모니터링하고 모니터링 정책 및 관리를 수행을 제어하도록 생성한 '모니터링 정책정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하는 모니터링 설정모듈(210);
백업 상태 모니터링을 확인하고, 데이터 백업 및 복구 정책에 부합하는 클라우스 서비스 수행을 제어하도록 생성한 '백업/복구 정책정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하는 백업/복구 설정모듈(220);
방화벽 정책을 수립하고 보안내역에 대한 리포팅 수행을 제어하도록 생성한 '방화벽 정책정보'를 보안운영 대행서버로 전송하는 보안관제 설정모듈(230);
접속 서버 리스트를 설정하고, 접속 IP 및 PW 설정 관리를 제어하며, VPN장비간의 터널링에 따라 구간별로 전송되는 데이터를 암호화하도록 생성한 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하는 SSLVPN 설정모듈(240);
보안서버 인증서를 요청하는 '인증서 요청정보'를 생성하여 인증서 발급기관으로 전송하고, 인증서 발급기관으로부터 수신한 '인증서'에 대한 적용을 제어하도록 생성한 '보안서버 인증서 적용정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하는 보안서버 인증서모듈(250);
상기 '웹보안VM'의 복제를 제어하도록 생성한 'VM 복제정보'를 상기 클라우드 포털서버(100)의 웹보안VM 생성모듈로 전송하는 VM복제 설정모듈(260); 및
네트워크 부하 분산 클러스터를 제어하도록 생성한 '로드밸런싱 설정정보'를 상기 클라우드 포털서버(100)로 전송하는 로드밸런싱 설정모듈(270);을 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.The method of claim 1,
The cloud operation server 200,
A monitoring setting module 210 for monitoring 'real time resource usage of systems and networks and transmitting' monitoring policy information 'generated to control performance of monitoring policies and managements to a' web security VM 'of the cloud portal server 100;
Backup / recovery to check the backup status monitoring and to transfer the 'backup / recovery policy information' generated to control the performance of the cloud service in accordance with the data backup and recovery policy to the 'web security VM' of the cloud portal server 100 Setting module 220;
A security control setting module 230 for establishing a firewall policy and transmitting 'firewall policy information' generated to control reporting on security details to a security operation agent server;
SSLVPN configuration module for setting access server list, controlling access IP and PW setting management, and transmitting 'SSLVPN management information' generated to encrypt data transmitted by section according to tunneling between VPN devices to security operation agency server ( 240);
The cloud portal server generates 'security server certificate application information' generated by generating 'certificate request information' requesting a security server certificate and transmitting it to the certificate issuer and controlling the application of the 'certificate' received from the certificate issuer. Security server certificate module 250 for transmitting to the 'web security VM'(100);
A VM replication setting module 260 for transmitting the 'VM replication information' generated to control the replication of the 'web security VM' to the web security VM generating module of the cloud portal server 100; And
And a load balancing setting module (270) for transmitting 'load balancing setting information' generated to control a network load balancing cluster to the cloud portal server (100).
(a) 클라우드 포털서버(100)가 클라이언트(10)로부터 수신한 '클라우드 웹보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 단계;
(b) 클라우드 포털서버(100)가 상기 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 상기 '클라우드 서비스 회원정보'와 대응하는 '웹보안VM'을 생성하는 단계;
(c) 클라우드 포털서버(100)가 상기 '웹보안VM'의 서비스 이용을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하고, '웹보안VM'의 IP와 대응하는 웹 방화벽 서버정보의 등록을 위한 '매니저VM'을 생성하는 단계; 및
(d) 클라우드 포털서버(100)가 상기 '웹보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 '웹보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 방법.In the cloud service security method,
(a) generating, by the cloud portal server 100, 'cloud service member information' so as to correspond to 'cloud web security service application information' received from the client 10;
(b) the cloud portal server 100 receiving the 'cloud service member information' and receiving 'authorization information' from an administrator to generate a 'web security VM' corresponding to the 'cloud service member information';
(c) the cloud portal server 100 registers 'cloud user information' and 'cloud agent information' for using the service of the 'web security VM', and the web firewall server information corresponding to the IP of the 'web security VM' Creating a 'manager VM' for registration of the; And
(d) The cloud portal server 100 sets the monitoring settings for the 'web security VM', IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN to set the cloud service through the 'web security VM'. Controlling and managing access; Cloud service security method comprising a.
상기 (a) 단계 이전 또는 (d) 단계 이후,
(e) 클라우드 운영서버(200)가 상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 '웹보안VM'의 서비스 이용내역에 대한 모니터링, '웹보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 상기 클라우드 포털서버(100)의 '웹보안VM'으로 전송하는 단계;
(f) 상기 클라우드 포털서버(100)의 '웹보안VM'이 클라우드 운영서버(200)로부터 수신한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 시스템에 적용하는 단계;
(g) 상기 클라우드 운영서버(200)가 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, 보안운영 대행서버가 수신한 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 적용하는 단계;
(h) 클라우드 운영서버(200)가 '보안서버 인증서 적용정보'를 '웹보안VM'으로 전송하고, 'VM 복제정보'를 클라우드 포털서버(100)의 웹보안VM 생성모듈(120)로 전송하는 단계; 및
(i) 클라우드 운영서버(200)가 '로드밸런싱 설정정보'를 클라우드 포털서버(100)로 전송하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 방법.The method of claim 5, wherein
Before step (a) or after step (d),
(e) The cloud operation server 200 accesses the 'manager VM' corresponding to the 'cloud service member information' and monitors the service usage history of the 'web security VM' and applies the security policy for the 'web security VM'. Transmitting the 'security policy setting information', the 'monitoring policy information' and the 'backup / recovery policy information' generated to control the details and reporting history settings to the 'web security VM' of the cloud portal server 100;
(f) 'Web security VM' of the cloud portal server 100 applies 'security policy setting information', 'monitoring policy information' and 'backup / recovery policy information' received from the cloud operation server 200 to the system. Making;
(g) the cloud operation server 200 transmits 'firewall policy information' and 'SSLVPN management information' to the security operation agency server, and sends the 'firewall policy information' and 'SSLVPN management information' received by the security operation agent server. Applying;
(h) the cloud operation server 200 transmits the 'security server certificate application information' to the 'web security VM', and 'VM replication information' to the web security VM generation module 120 of the cloud portal server 100 Making; And
(i) the cloud operation server 200 transmitting 'load balancing setting information' to the cloud portal server 100; and a cloud service security method comprising the.
클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하고, '웹보안VM'과 연동되어 '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성하며, 'DB보안VM'을 관리하는 '매니저VM'를 생성하며, 'DB보안VM' 및 '매니저VM'에 대한 모니터링 설정, IP 설정, 백업 설정 및 방화벽을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 클라우드 포털서버(100); 및
상기 클라우드 포털서버(100)로부터 수신한 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB암호화정책 설정정보', 및 'DB접근제어 및 권한관리정책 설정정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하고, 상기 '클라우드 서비스 회원정보'와 대응하는 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 클라우드 포털서버(100)의 'DB보안VM'으로 전송하며, '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, 'VM 복제정보'를 상기 클라우드 포털서버(100)의 DB보안VM 생성모듈로 전송하며, '로드밸런싱 설정정보'를 상기 클라우드 포털서버(100)로 전송하는 클라우드 운영서버(200);를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.In the cloud service security system,
'Cloud service member information' is generated to correspond to 'cloud DB security service application information' received from the client 10, and 'DB security VM' corresponding to 'cloud service member information' in conjunction with 'web security VM' Create 'Manager VM' to manage 'DB Security VM', and configure 'DB Security VM' by setting monitoring, IP setting, backup setting, and firewall for 'DB Security VM' and 'Manager VM'. Cloud portal server 100 for controlling and managing the cloud service access through; And
Access the 'Manager VM' corresponding to the 'cloud service member information' received from the cloud portal server 100, 'DB encryption policy setting information', and 'DB access control and permission management policy setting information' the cloud portal It transmits to the 'DB security VM' of the server 100, the 'cloud policy member information' and 'security policy setting information', 'monitoring policy information' and 'backup / recovery policy information' corresponding to the cloud portal server (100) Transmits the 'DB security VM', 'Firewall policy information' and 'SSLVPN management information' to the security operation agent server, and 'VM replication information' DB security VM generation module of the cloud portal server 100 And a cloud operation server (200) for transmitting 'load balancing setting information' to the cloud portal server (100).
상기 클라우드 포털서버(100)는,
정보통신망을 통해 접속된 클라이언트(10)로부터 '클라우드 DB보안 서비스 신청정보'를 수신하고, 수신한 '클라우드 DB보안 서비스 신청정보'에 포함된 서버명칭 데이터, OS 이미지 선택데이터, 데이터베이스 버전 선택 데이터, 디폴트 자동선택사항 데이터(DB암호화, DB접근제어, IP서버 모니터링, 방화벽 설정, SSLVPN, 백업 및 보안 관제), 약정 선택데이터 및 서비스옵션 선택데이터와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 서비스 신청모듈(110);
상기 서비스 신청모듈(110)로부터 '클라우드 서비스 회원정보'를 인가받고, 관리자로부터 '승인정보'를 입력받아 '클라우드 서비스 회원정보'의 서버명칭 데이터, OS 이미지 선택데이터, 데이터베이스 버전 선택 데이터, 디폴트 자동선택사항 데이터, 약정 선택데이터 및 서비스옵션 선택데이터와 대응하는 'DB보안VM'을 생성하는 DB보안VM 생성모듈(150);
상기 DB보안VM 생성모듈(120)에 의해 생성된 'DB보안VM'의 DB 접근을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 'DB보안VM'의 IP와 대응하는 'DB 접근제어 서버정보'를 등록하고, 'DB보안VM'의 DB 암호화를 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 '클라우드 VM'과 연동되는 DB를 암호화하는 'DB 암호화 서버정보'의 등록을 위한 '매니저VM'을 생성하는 매니저VM 생성모듈(130); 및
상기 '매니저VM'의 제어에 따라 DB보안VM 생성모듈(150)에 의해 생성된 'DB보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정을 수행하여 'DB보안VM'을 통한 클라우드 서비스를 제어 및 관리하는 서비스설정 적용모듈(140);을 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.The method of claim 7, wherein
The cloud portal server 100,
Receive 'cloud DB security service application information' from the client 10 connected through the information communication network, server name data, OS image selection data, database version selection data contained in the received 'cloud DB security service application information,' Service request to create 'cloud service member information' to correspond with default automatic selection data (DB encryption, DB access control, IP server monitoring, firewall setting, SSLVPN, backup and security control), contract selection data and service option selection data Module 110;
The 'cloud service member information' is authorized from the service application module 110, and 'authorization information' is input from the administrator, the server name data, OS image selection data, database version selection data, and default automatic data of the 'cloud service member information'. A DB security VM generation module 150 for generating a 'DB security VM' corresponding to the selection data, the agreement selection data, and the service option selection data;
'DB access corresponding to IP of' DB security VM 'by registering' cloud user information 'and' cloud agent information 'for DB access of' DB security VM 'generated by DB security VM generating module 120 Control server information 'and' cloud user information 'and' cloud agent information 'for DB encryption of' DB security VM 'and' DB encryption server information 'to encrypt DB linked with' cloud VM ' A manager VM generation module 130 for generating a 'manager VM' for registration; And
Monitoring setting, IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN for the 'DB security VM' generated by the DB security VM generating module 150 under the control of the 'Manager VM'. And a service setting application module 140 for controlling and managing cloud services through a 'DB security VM' by performing Secure Sockets Layer Virtual Private Network) setting.
상기 서비스설정 적용모듈(140)은,
상기 'DB보안VM'의 서비스 상태를 모니터링하고, 'DB보안VM'의 IP가 기 설정된 서비스 이외에 접속하는 것을 미연에 방지하며, 'DB보안VM'에 저장된 데이터들을 기 설정된 주기마다 백업 및 복구하도록 제어하고, 방화벽 및 보안관제 설정에 따라 'DB보안VM'으로의 접근을 제어하며, 'DB보안VM'의로의 데이터 전송이 SSLVPN에 의해 수행되도록 제어하되,
상기 'DB보안VM'의 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정, 그리고 SSLVPN(Secure Sockets Layer Virtual Private Network) 설정은 관리자로부터 입력받은 '승인정보'에 따라 설정되는 것을 특징으로 하는 클라우드 서비스 보안 시스템.The method of claim 8,
The service setting application module 140,
Monitor the service status of the 'DB security VM', prevent the IP of the 'DB security VM' from accessing other than the preset service, and backup and restore the data stored in the 'DB security VM' at predetermined intervals. Control the access to 'DB Security VM' according to the firewall and security control settings, and control the data transmission to 'DB Security VM' by SSLVPN,
Monitoring setting, IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN (Secure Sockets Layer Virtual Private Network) setting of 'DB Security VM' are set according to 'authorization information' inputted from an administrator. Cloud service security system, characterized in that.
상기 클라우드 운영서버(200)는,
상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스에 저장되는 데이터들에 대한 암호화 정책을 관리하도록 생성한 'DB암호화정책 설정정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 DB암호화 설정모듈(280);
상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스 접근제어를 관리하도록 생성한 'DB접근제어 및 권한관리정책 설정정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 DB접근제어 설정모듈(290);
시스템 및 네트워크의 실시간 자원 사용을 모니터링하고 모니터링 정책 및 관리를 수행을 제어하도록 생성한 '모니터링 정책정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 모니터링 설정모듈(210);
백업 상태 모니터링을 확인하고, 데이터 백업 및 복구 정책에 부합하는 클라우스 서비스 수행을 제어하도록 생성한 '백업/복구 정책정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 백업/복구 설정모듈(220);
방화벽 정책을 수립하고 보안내역에 대한 리포팅 수행을 제어하도록 생성한 '방화벽 정책정보'를 보안운영 대행서버로 전송하는 보안관제 설정모듈(230);
접속 서버 리스트를 설정하고, 접속 IP 및 PW 설정 관리를 제어하며, VPN장비간의 터널링에 따라 구간별로 전송되는 데이터를 암호화하도록 생성한 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하는 SSLVPN 설정모듈(240);
'DB보안VM'의 복제를 제어하도록 생성한 'VM 복제정보'를 상기 클라우드 포털서버(100)의 DB보안VM 생성모듈(120)로 전송하는 VM복제 설정모듈(260); 및
네트워크 부하 분산 클러스터를 제어하도록 생성한 '로드밸런싱 설정정보'를 상기 클라우드 포털서버(100)로 전송하는 로드밸런싱 설정모듈(270);를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 시스템.The method of claim 7, wherein
The cloud operation server 200,
The DB encryption policy setting information generated by accessing the manager VM corresponding to the cloud service member information and managing the encryption policy for data stored in the database corresponding to the DB security VM is stored in the cloud. DB encryption setting module 280 to transmit to the 'DB security VM' of the portal server 100;
The cloud portal server (DB access control and authority management policy setting information) generated to access the 'manager VM' corresponding to the 'cloud service member information' to manage the database access control corresponding to the 'DB security VM'; DB access control setting module 290 to transmit to the 'DB security VM' of 100;
A monitoring setting module 210 for monitoring 'real-time resource usage of systems and networks and transmitting' monitoring policy information 'generated to control performance of monitoring policies and managements to a' DB security VM 'of the cloud portal server 100;
Backup / recovery that checks the backup status monitoring and sends 'backup / recovery policy information' generated to control the performance of the cloud service according to the data backup and recovery policy to the 'DB security VM' of the cloud portal server 100. Setting module 220;
A security control setting module 230 for establishing a firewall policy and transmitting 'firewall policy information' generated to control reporting on security details to a security operation agent server;
SSLVPN configuration module for setting access server list, controlling access IP and PW setting management, and transmitting 'SSLVPN management information' generated to encrypt data transmitted by section according to tunneling between VPN devices to security operation agency server ( 240);
A VM replication setting module 260 for transmitting the 'VM replication information' generated to control the replication of the 'DB security VM' to the DB security VM generation module 120 of the cloud portal server 100; And
And a load balancing setting module (270) for transmitting 'load balancing setting information' generated to control a network load balancing cluster to the cloud portal server (100).
(a) 클라우드 포털서버(100)가 클라이언트(10)로부터 수신한 '클라우드 DB보안 서비스 신청정보'와 대응하도록 '클라우드 서비스 회원정보'를 생성하는 단계;
(b) 클라우드 포털서버(100)가 상기 '클라우드 서비스 회원정보'를 수신하고, 관리자로부터 '승인정보'를 입력받아 상기 '클라우드 서비스 회원정보'와 대응하는 'DB보안VM'을 생성하는 단계;
(c) 클라우드 포털서버(100)가 상기 'DB보안VM'의 DB 접근을 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 'DB보안VM'의 IP와 대응하는 'DB 접근제어 서버정보'를 등록하고, 'DB보안VM'의 DB 암호화를 위한 '클라우드 사용자 정보' 및 '클라우드 에이전트 정보'를 등록하여 '클라우드 VM'과 연동되는 DB를 암호화하는 'DB 암호화 서버정보'의 등록을 위한 '매니저VM'을 생성하는 단계; 및
(d) 클라우드 포털서버(100)가 상기 'DB보안VM'에 대한 모니터링 설정, IP 설정, 백업영역 및 복구영역 설정, 방화벽 및 보안관제 설정 및 SSLVPN을 설정하여 'DB보안VM'을 통한 클라우드 서비스 접근을 제어 및 관리하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 방법.In the cloud service security method,
(a) generating, by the cloud portal server 100, 'cloud service member information' so as to correspond to 'cloud DB security service application information' received from the client 10;
(b) the cloud portal server 100 receiving the 'cloud service member information' and receiving 'authorization information' from an administrator to generate a 'DB security VM' corresponding to the 'cloud service member information';
(c) the 'DB access control server' corresponding to the IP of 'DB security VM' by registering the 'cloud user information' and 'cloud agent information' for DB access of the 'DB security VM' Information 'and' cloud user information 'and' cloud agent information 'for DB encryption of' DB security VM 'to register' DB encryption server information 'to encrypt DB linked with' cloud VM '. Creating a 'manager VM' for the service; And
(d) The cloud portal server 100 sets the monitoring setting for the 'DB security VM', IP setting, backup area and recovery area setting, firewall and security control setting, and SSLVPN to set the cloud service through the 'DB security VM'. Controlling and managing access; Cloud service security method comprising a.
상기 (a) 단계 이전 또는 (d) 단계 이후,
(e) 클라우드 운영서버(200)가 상기 '클라우드 서비스 회원정보'와 대응하는 '매니저VM'에 접속하여 'DB보안VM'과 대응하는 데이터베이스 암호화 정책을 관리하도록 생성한 'DB암호화정책 설정정보' 및 'DB보안VM'과 대응하는 데이터베이스 접근제어를 관리하도록 생성한 'DB접근제어 및 권한관리정책 설정정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 단계;
(f) 클라우드 운영서버(200)가 'DB보안VM'의 서비스 이용내역에 대한 모니터링, 'DB보안VM'에 대한 보안정책 적용 내역, 및 리포팅 내역 설정을 제어하도록 생성한 '모니터링 정책정보' 및 '백업/복구 정책정보'를 상기 클라우드 포털서버(100)의 'DB보안VM'으로 전송하는 단계;
(g) 클라우드 포털서버(100)의 'DB보안VM'이 상기 클라우드 운영서버(200)로부터 수신한 'DB암호화정책 설정정보' 및 'DB접근제어정책 설정정보'를 시스템에 적용하고, 'DB보안VM'이 상기 클라우드 운영서버(200)로부터 수신한 '보안정책 설정정보', '모니터링 정책정보' 및 '백업/복구 정책정보'를 시스템에 적용하는 단계;
(h) 클라우드 운영서버(200)가 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 보안운영 대행서버로 전송하고, 보안운영 대행서버가 수신한 '방화벽 정책정보' 및 'SSLVPN 관리정보'를 적용하는 단계;
(i) 클라우드 운영서버(200)가 'VM 복제정보'를 상기 클라우드 포털서버(100)의 웹보안VM 생성모듈로 전송하는 단계; 및
(j) 클라우드 운영서버(200)가 '로드밸런싱 설정정보'를 상기 클라우드 포털서버(100)로 전송하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 보안 방법.The method of claim 11,
Before step (a) or after step (d),
(e) 'DB encryption policy setting information' generated by the cloud operation server 200 to manage the database encryption policy corresponding to the 'DB security VM' by accessing the 'manager VM' corresponding to the 'cloud service member information'. And transmitting 'DB access control and authority management policy setting information' generated to manage database access control corresponding to 'DB security VM' to the 'DB security VM' of the cloud portal server 100;
(f) 'Monitoring policy information' generated by the cloud operation server 200 to control the service usage history of the 'DB security VM', the security policy application history for the 'DB security VM', and reporting history settings; Transmitting 'backup / recovery policy information' to the 'DB security VM' of the cloud portal server 100;
(g) 'DB security VM' of the cloud portal server 100 applies' DB encryption policy setting information 'and' DB access control policy setting information 'received from the cloud operation server 200 to the system, and' DB A security VM 'applying' security policy setting information ',' monitoring policy information 'and' backup / recovery policy information 'received from the cloud operation server 200 to the system;
(h) The cloud operation server 200 transmits the 'firewall policy information' and 'SSLVPN management information' to the security operation agent server, and applies the 'firewall policy information' and 'SSLVPN management information' received from the security operation agent server. Making;
(i) the cloud operation server 200 transmitting 'VM replication information' to the web security VM generation module of the cloud portal server 100; And
(j) the cloud operation server 200 transmitting 'load balancing setting information' to the cloud portal server 100; cloud service security method comprising a.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120014263A KR101219662B1 (en) | 2012-02-13 | 2012-02-13 | Security system of cloud service and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120014263A KR101219662B1 (en) | 2012-02-13 | 2012-02-13 | Security system of cloud service and method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101219662B1 true KR101219662B1 (en) | 2013-01-25 |
Family
ID=47841396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120014263A KR101219662B1 (en) | 2012-02-13 | 2012-02-13 | Security system of cloud service and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101219662B1 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101341451B1 (en) | 2013-05-10 | 2013-12-24 | 주식회사 이글루시큐리티 | System for checking firewall using harmful information db |
KR101374594B1 (en) * | 2013-03-12 | 2014-03-17 | (주)케이사인 | Security system and the method for cloud storage |
CN107360141A (en) * | 2017-06-23 | 2017-11-17 | 广东知元机器人科技有限公司 | Big data cloud platform safety protecting method for electric power private data |
KR20210069163A (en) * | 2019-12-02 | 2021-06-11 | 순천향대학교 산학협력단 | Secure Role Based Access Control System and Method for Cloud Computing |
KR102370571B1 (en) * | 2021-10-25 | 2022-03-04 | 주식회사 에쓰씨케이 | System for providing hybrid managed security service and method thereof |
KR20220048219A (en) * | 2020-10-12 | 2022-04-19 | 한국원자력연구원 | Environmental radiation monitoring system |
KR102436673B1 (en) | 2022-03-15 | 2022-08-26 | 나무기술 주식회사 | Backup encryption system for files and folders in a virtual environment built on the basis of cloud infrastructure |
CN116367157A (en) * | 2023-06-01 | 2023-06-30 | 深圳市北测检测技术有限公司 | Security authentication method and device based on 5G communication network |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120098151A (en) * | 2011-02-28 | 2012-09-05 | 부경대학교 산학협력단 | System for security smart phone |
-
2012
- 2012-02-13 KR KR1020120014263A patent/KR101219662B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120098151A (en) * | 2011-02-28 | 2012-09-05 | 부경대학교 산학협력단 | System for security smart phone |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101374594B1 (en) * | 2013-03-12 | 2014-03-17 | (주)케이사인 | Security system and the method for cloud storage |
KR101341451B1 (en) | 2013-05-10 | 2013-12-24 | 주식회사 이글루시큐리티 | System for checking firewall using harmful information db |
CN107360141A (en) * | 2017-06-23 | 2017-11-17 | 广东知元机器人科技有限公司 | Big data cloud platform safety protecting method for electric power private data |
CN107360141B (en) * | 2017-06-23 | 2023-09-29 | 广州华盈电气科技有限公司 | Big data cloud platform safety protection method for electric power secret data |
KR20210069163A (en) * | 2019-12-02 | 2021-06-11 | 순천향대학교 산학협력단 | Secure Role Based Access Control System and Method for Cloud Computing |
KR102287981B1 (en) * | 2019-12-02 | 2021-08-10 | 순천향대학교 산학협력단 | Secure Role Based Access Control System and Method for Cloud Computing |
KR20220048219A (en) * | 2020-10-12 | 2022-04-19 | 한국원자력연구원 | Environmental radiation monitoring system |
KR102428064B1 (en) * | 2020-10-12 | 2022-08-03 | 한국원자력연구원 | Environmental radiation monitoring system |
KR102370571B1 (en) * | 2021-10-25 | 2022-03-04 | 주식회사 에쓰씨케이 | System for providing hybrid managed security service and method thereof |
KR102436673B1 (en) | 2022-03-15 | 2022-08-26 | 나무기술 주식회사 | Backup encryption system for files and folders in a virtual environment built on the basis of cloud infrastructure |
CN116367157A (en) * | 2023-06-01 | 2023-06-30 | 深圳市北测检测技术有限公司 | Security authentication method and device based on 5G communication network |
CN116367157B (en) * | 2023-06-01 | 2023-08-01 | 深圳市北测检测技术有限公司 | Security authentication method and device based on 5G communication network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101219662B1 (en) | Security system of cloud service and method thereof | |
US11750609B2 (en) | Dynamic computing resource access authorization | |
Narula et al. | Cloud computing security: Amazon web service | |
CA2946157C (en) | Method and apparatus for multi-tenancy secrets management | |
US10609031B2 (en) | Private consolidated cloud service architecture | |
US8843998B2 (en) | Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures | |
JP6537455B2 (en) | Method, apparatus, computer program product, and cloud compute infrastructure (key management in multi-tenant environment) of key management in multi-tenant computing infrastructure | |
US9076013B1 (en) | Managing requests for security services | |
CN111149337B (en) | Method and system for secure access management of tools within a secure environment | |
EP3175381B1 (en) | Method and system for providing a virtual asset perimeter | |
CN103563294A (en) | Authentication and authorization methods for cloud computing platform security | |
US10318747B1 (en) | Block chain based authentication | |
Chandrahasan et al. | Research challenges and security issues in cloud computing | |
Deng et al. | Towards trustworthy health platform cloud | |
RU2415466C1 (en) | Method of controlling identification of users of information resources of heterogeneous computer network | |
Chavan et al. | IaaS cloud security | |
US11425139B2 (en) | Enforcing label-based rules on a per-user basis in a distributed network management system | |
KR102088303B1 (en) | Apparatus and method for providing virtual security service based on cloud | |
Ngo et al. | Security framework for virtualised infrastructure services provisioned on-demand | |
Vijaya Bharati et al. | Data storage security in cloud using a functional encryption algorithm | |
Chahal et al. | A Comprehensive Study of Security in Cloud Computing | |
Surya et al. | Security issues and challenges in cloud | |
KR20120124310A (en) | Security System for Multi Cloud Computing Collaboration | |
Gujral | Location Based Authentication and Information Security in Cloud Environment: LBAIS | |
Londhe et al. | Imperial Analysis of Threats and Vulnerabilities in Cloud Computing. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20151125 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20161206 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20171222 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191112 Year of fee payment: 8 |