KR101286015B1 - 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 - Google Patents

가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 Download PDF

Info

Publication number
KR101286015B1
KR101286015B1 KR1020120006643A KR20120006643A KR101286015B1 KR 101286015 B1 KR101286015 B1 KR 101286015B1 KR 1020120006643 A KR1020120006643 A KR 1020120006643A KR 20120006643 A KR20120006643 A KR 20120006643A KR 101286015 B1 KR101286015 B1 KR 101286015B1
Authority
KR
South Korea
Prior art keywords
virtual machine
packet
vlan
virtual
transmitted
Prior art date
Application number
KR1020120006643A
Other languages
English (en)
Other versions
KR20120111973A (ko
Inventor
노영국
박철정
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Publication of KR20120111973A publication Critical patent/KR20120111973A/ko
Application granted granted Critical
Publication of KR101286015B1 publication Critical patent/KR101286015B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스시스템의 제어방법에 관한 것으로, 보다 상세하게는 내부 가상머신에서 외부 네트워크, 외부 네트워크에서 내부 가상머신, 나아가 내부 가상머신들 사이에서 송수신되는 패킷들에 대해 보안가상머신에서 보안감사를 실시하고, VLAN이 다른 가상머신들과 통신할 수 있도록 하는 것이다.
이와 같은 본 발명의 특징은 외부네트워크와 신호의 송수신을 위한 하나 또는 다수의 포트와, 포트를 통한 외부네트워크의 패킷 신호가 하나 또는 다수의 가상머신에 송수신되도록 하기 위한 가상L2스위치가 포함되어 가상화 시스템이 구비되며, 포트와 가상L2스위치 사이에 연결되는 보안가상머신이 구비되는 보안감사서비스시스템에 있어서, 보안가상머신은 전송되는 패킷에 대해 서비스 거부 공격, 바이러스 감염, 정상패킷 검사에 대해 판별하여 비정상 패킷, 유해 패킷을 차단하는 보안감사기능을 수행하고, 정상 패킷에 대해 목적지의 가상머신의 정보를 검색하여 해당 가상머신으로 정상 패킷의 데이터가 전송되도록 구비되는 것을 특징으로 한다.

Description

가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법{SECURITY AUDIT SERVICE SYSTEM AND METHOD AMONG VIRTUAL MACHINES IN THE VIRTUALIZATION ENVIRONMENT}
클라우드 환경에서 가상화 시스템에 설치되는 보안가상머신으로, 호스트 내에 설치되는 여러 개의 가상머신을 임대해서 사용하는 가입자, 호스트와 가입자들에 대해서 보안가상머신을 통하여 가상화 시스템에 보안 서비스를 제공하기 위한 보안 솔루션 개발에 필요한 기술이다.
일반적으로 가상화란 하나의 물리적인 하드웨어를 다수의 가상 하드웨어로 구분하여 다수의 운영체제를 하나의 시스템에 설치하여 운영할 수 있도록 하는 것이다. 그러한 기술을 뜻하는 용어로 하이퍼바이저, 하나의 호스트에 있는 프로세서나 메모리와 같은 물리적인 하나의 컴퓨터 자원에서 서로 다른 운영체제의 접근 방법을 제공하는 기능으로 다수의 OS 를 하나의 컴퓨터에서 운영 할 수 있도록 해주는 소프트웨어이다. 현대의 기술은 고성능 CPU, 여러 개의 CPU 코어를 갖는 멀티코어 CPU, 메모리의 대용량화로 하나의 호스트에 여러 개의 가상머신을 메모리에서 허용하는 범위에서 가상머신에 다수의 운영체제를 설치하여 운영할 수 있게 되었다. 가상화 시스템에서 여러 개의 운영체제가 가능하게 되어 기존에 서버를 임대하여 사용하려는 고객들이 서버를 임대하여 서비스를 할 경우 하나의 가입자, 즉 한 대의 호스트로 한 명의 가입자에게만 임대가 가능했으나 가상화 기술을 사용하게 되는 경우 하나의 가상화 시스템에서 여러 개의 가입자 서비스, 즉 파일 서버, 메일 서버, 웹 서버 등의 다양한 서비스를 한 대의 가상화 시스템에서 다수의 가입자 가입이 가능해졌다. 즉 한 대의 서버에 논리적으로 여러 명의 가입자들에게 서버 임대를 할 수 있게 되었다. 한 대의 서버에서 다수의 서버가 한 시스템에 설치되는 경우, 그 수만큼 여러 개의 운영 체제를 하나의 호스트에 설치되기 때문에 가입자들이 사용하는 각 가상머신에 대한 서비스 공격과 정보 유출, 해킹 등이 문제가 생기게 되었다. 서버는 근본적으로 SYN FLOODING, UDP FLOODING과 같은 서비스 거부 공격에 취약하고, 윈도우 서버가 설치되는 경우 윈도우 기반에서 동작하는 백신과 같은 에이전트 프로그램을 설치해야 한다. 가상화 시스템이 수 백, 수천 개의 가상머신으로 구성되는 클라우드 환경이라면 각 가상머신마다 보안 정책을 수립하고 적용하는 것이 어려운 부분이다. 또한 하나의 가상머신이 감염이 되는 경우 가상화 시스템 내의 다른 가상머신들을 감염시키고, 감염된 가상화 시스템은 전체 클라우드 시스템을 감염시키는 큰 문제를 발생시킬 수 있다.
이러한 가상머신에 대한 종래의 기술들을 살펴보면, 대한민국 특허출원 제10-2008-0025821호에서는 가상머신을 이용한 전자 뱅킹 서비스를 제공하는 것으로, 금융거래, 데이터정보의 제공, 동호회활동 등 다양한 분야에서 가상머신 시스템이 이용되고 있고, 그 분야는 점차로 확대되고 있는 추세이다.
또한 대한민국 특허출원 제10-2010-0022882호에서는 클라우드 컴퓨팅 환경에서 개인화 가상머신을 제공하는 네트워크 블록 디바이스의 제어방법이 제시되는 것으로, 단순히 기관이나 거대 포털 등에서만 가상화시스템을 이용하는 것에 더하여, 근래에는 개인들도 클라우드 컴퓨터 환경하에서의 가상머신을 이용할 수 있는 다양한 서비스가 제공되는 실정이고, 보다 복잡한 구조로 클라우드 컴퓨팅 환경의 가상머신 시스템이 구축되고 있는 것이다.
이처럼 클라우드 환경에서 다수 가상머신에 대한 트래픽을 감시하기 위해서 물리적인 네트워크 보안장비를 도입하는 것은 도입비용과 성능, 장비 관리, 유지보수에 문제가 될 수 있다. 가상화 시스템에서 기본적으로 설정하는 가상머신의 보안정책으로 각 가상머신간은 VLAN 으로 구분하여 보안 정책을 적용하여 사용할 수 있지만 패킷에 대한 보안감사 기능이 없고, 가상머신간 VLAN 이 달라지게 되어 가상머신 간에는 통신할 수 없기 때문에 가상머신 간 정보 공유를 통한 기능 확장, 연동 서비스 면에서 통신제한이 있기 때문에 보안 서비스 방법에 있어서 기능이 많이 부족하다. 또한 가상화 시스템에서의 정보전송의 안정성 및 보안감사기능의 안정성 등을 위한 시스템 구축이 절실한 것이다.
[문헌1] 대한민국 특허출원 제10-2008-0025821호 [문헌2] 대한민국 특허출원 제10-2010-0022882호
상기와 같은 문제점을 해소하기 위한 본 발명은 물리적으로 외부에 설치해야 되는 물리적인 네트워크 보안장비를 가상화 시스템에 보안가상머신 형태로 설치하고, 가상화 시스템 내에 함께 설치되어 있는 가상머신들의 모든 트래픽에 대해서 보안감사부를 통해 유해 패킷을 차단하고 게이트웨이 역할을 통해 정상 패킷만을 내부 가상머신들에게 포워딩하고 포워딩될 가상머신으로는 같은 VLAN 아이디를 갖는 패킷으로 확장하여 가상L2스위치에서 논리적으로 구분된 VLAN이 다른 가상 머신들 간의 통신이 가능하도록 하는 것을 목적으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명은, 외부네트워크(11)와 신호의 송수신을 위한 하나 또는 다수의 포트와, 상기 포트를 통한 외부네트워크(11)의 패킷 신호가 하나 또는 다수의 가상머신에 송수신되도록 하기 위한 가상L2스위치(60)가 포함되어 가상화 시스템(10)이 구비되며, 상기 포트와 상기 가상L2스위치(60) 사이에 연결되는 보안가상머신(40)이 구비되는 보안감사서비스시스템(20)에 있어서, 상기 보안가상머신(40)은 전송되는 패킷에 대해 서비스 거부 공격, 바이러스 감염, 정상패킷 검사에 대해 판별하여 비정상 패킷, 유해 패킷을 차단하는 보안감사기능을 수행하고, 정상 패킷에 대해 목적지의 가상머신의 정보를 검색하여 해당 가상머신으로 정상 패킷의 데이터가 전송되도록 구비되는 것을 특징으로 하는 보안감사서비스시스템이 제공된다.

그리고 본 발명은, 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)에 있어서, 상기 보안가상머신(40)은: 패킷 정보를 가상머신에 전송하기 위해 가상머신의 VLAN 아이디 데이터를 가상머신테이블(43)에서 전송받아 VLAN생성부(44)로 전송하는 가상머신매칭부(42); 상기 가상머신매칭부(42)에 가상머신의 VLAN 아이디 데이터를 전송하는 가상머신테이블(43); 및 패킷 정보 및 해당 패킷을 전송받는 가상머신의 VLAN 아이디 데이터를 상기 가상머신매칭부(42)로부터 수신받고 패킷 데이터에 가상머신의 VLAN 아이디 데이터를 추가하여 가상머신의 가상인터페이스 측으로 전송하는 VLAN생성부(44)를 포함하는 것을 특징으로 하는 보안감사서비스시스템을 제공한다.
이에 본 발명은, 상기 보안가상머신(40)이, 정상 패킷을 가상머신에 전송하기 위해 가상머신의 VLAN 아이디 데이터를 가상머신테이블(43)에서 전송받아 VLAN생성부(44)로 전송하는 가상머신매칭부(42)와, 상기 가상머신매칭부(42)에 정상 패킷을 전송받기 위한 가상머신의 VLAN 아이디 데이터를 전송하게 되는 가상머신테이블(43)과, 정상 패킷의 정보 및 해당 패킷을 전송받게 되는 가상머신의 VLAN 아이디 데이터를 상기 가상머신매칭부(42)로부터 수신받고 정상 패킷 데이터에 가상머신의 VLAN 아이디 데이터 정보를 추가하여 가상머신의 가상인터페이스 측으로 전송되도록 하는 VLAN생성부(44)가 포함되어 구비되는 것을 특징으로 하는 보안감사서비스시스템이 제공된다.
그리고 본 발명은, 외부네트워크(11)와 보안가상머신(40) 사이에 연결되어 패킷 정보를 송수신하는 포트_0(31)와, 상기 보안가상머신(40)과 연결되어 보안가상머신(40)과 가상머신 사이에 송수신되는 패킷 정보를 전송하게 되는 포트_1(32)이 포함된 직접연결장치(30)와, 상기 보안가상머신(40)의 정보를 송수신하는 포트_1(32)과 가상L2스위치의 정보를 송수신하는 포트_2(33) 사이에 연결되어 패킷 정보를 송수신하는 포트연결장치(50)가 포함되어 구비되고, 다수의 가상머신 중 어느 하나의 송신 측 가상머신에서 다른 수신 측 가상머신으로 패킷 정보가 전송되도록 구비되어지되, 상기 보안가상머신(40)에서 전송되는 패킷 정보의 데이터를 수신받고, 수신 측 가상머신의 VLAN 아이디 데이터를 추출하여 전송되는 패킷 정보에 추가하며, VLAN 아이디 데이터가 추가된 패킷 정보를 가상L2스위치(60)로 전송하여 수신 측 가상머신의 가상인터페이스로 전송되도록 구비되는 것을 특징으로 하는 보안감사서비스시스템이 제공된다.
이에 더하여 본 발명은, 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)의 제어방법에 있어서, 외부네트워크(11)에서 소스아이피 정보 및 목적지아이피 정보가 포함된 패킷 정보가 보안감사서비스시스템(20) 측으로 전송되는 패킷발송단계(S11); 보안감사서비스시스템(20)의 보안가상머신(40) 측에서 패킷 정보가 수신되고 수신된 패킷 정보에 대해 유해정보, 비정상정보에 대해 판별하여, 정상적이지 않는 정보는 차단하게 되는 보안감사단계(S12); 보안감사부(41)에 의해 차단되지 않은 패킷이 가상머신매칭부(42)로 전송되고, 목적지 아이피 정보를 가상머신테이블(43) 측으로 전송하여 가상머신테이블(43)에서는 목적지 아이피에 해당하는 가상머신의 VLAN 아이디값 정보를 추출하는 아이디값추출단계(S13); 가상머신매칭부(42)에서 패킷 정보와 함께 가상머신테이블(43)에서 추출된 해당 목적지아이피의 VLAN아이디값을 VLAN생성부(44) 측으로 전송하고, VLAN생성부(44)에서 패킷 정보에 VLAN 아이디값을 추가하는 단계(S14); VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되고, 가상L2스위치(60)에서 동일 VLAN 아이디와 목적지 아이피에 해당하는 가상머신 측으로 전송하는 가상머신패킷전송단계(S15)가 포함되어 구비되는 것을 특징으로 하는 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템의 제어방법이 제공된다.
나아가 본 발명은, 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)의 제어방법에 있어서, 내부의 소정의 가상머신에서 소스아이피 / 목적지아이피의 정보가 포함된 패킷 정보가 발신되는 내부패킷발신단계(S21); 상기 소정의 가상머신에서 발신된 패킷 정보가 가상L2스위치(60) 측으로 전송되는 발신패킷스위치전송단계(S22); 가상L2스위치(60)에서 보안가상머신(40)의 보안감사부(41)로 패킷이 전송되고, 보안감사부(41)에서는 유해패킷, 비정상 패킷 여부를 판별하여 정상이 아닌 패킷 정보는 차단하여 패킷에 대한 보안감사를 실시하는 보안감사단계(S23); 정상 패킷이 가상머신매칭부(42)로 전송되고, 가상머신매칭부(42)에서 목적지아이피 정보를 추출하여 가상머신테이블(43)에 전송하며, 가상머신테이블(43)에서는 목적지 아이피의 내부의 다른 가상머신의 VLAN 아이디 값을 추출하여 가상머신매칭부(42)로 전송하는 목적지아이디값추출단계(S24); 가상머신매칭부(42)로부터 패킷 정보, VLAN 아이디 값을 전송받은 VLAN생성부(44)에서 패킷 정보에 내부의 다른 가상머신의 VLAN 아이디값이 추가되도록 하는 아이디값추가단계(S25); VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되는 병합패킷스위칭단계(S26); VLAN 아이디값이 추가된 패킷 정보가 가상L2스위치(60)에서 내부의 다른 가상머신으로 전송되는 내부패킷수신단계(S27)가 포함되어 구비되는 것을 특징으로 하는 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템의 제어방법이 제공된다.
상기와 같이 구성되는 본 발명은 가상화 시스템에 있는 하나의 가상머신이 바이러스로 감염된 경우 함께 설치되어 있는 여러 개의 가상머신들로 감염이 확산되는 문제로 물리적으로 외부에 설치해야 하는 네트워크 보안 장비를 가상화 시스템 내에 보안가상머신으로 설치되도록 하는 것이다.
이러한 보안가상머신은 여러 가상머신들에 대한 게이트웨이 역할을 하여, 송-수신되는 패킷에 대한 보안감사를 실시하게 되는 것이다.
그리고 공격 혹은 감염된 패킷은 차단하고 이외 패킷은 가상화 시스템 내에 있는 가입자 가상머신으로 포워딩하도록 하는 것이다. 또한 가입자 가상머신 사이의 통신이 될 수 있도록 포워딩할 가상머신으로의 VLAN 아이디를 갖는 패킷으로 확장하고 포워딩함으로써 가상머신간 통신이 가능하도록 하는 것이다.
가상머신들과 내-외부에 대한 네트워크 보안 서비스를 제공하는데 탁월한 효과가 있는 것이다.
도 1은 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 대한 제어 구성도이다.
도 2는 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 외부네트워크에서 내부의 가상머신으로 전송되는 패킷 전송과 관련된 구성도이다.
도 3은 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 내부 가상머신들 사이의 패킷 전송과 관련된 구성도이다.
도 4는 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 내부의 가상머신에서 외부네트워크로 전송되는 패킷 전송과 관련된 구성도이다.
도 5는 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 외부네트워크에서 내부의 가상머신으로 전송되는 패킷 전송 과정에 대한 흐름도이다.
도 6은 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 내부 가상머신들 사이에 전송되는 패킷 전송 과정에 대한 흐름도이다.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
즉 본 발명에 따른 가상화 시스템(10) 환경의 다수 가상머신들 사이의 보안감사서비스시스템(20)은 첨부된 도 1 내지 도 6 등에서와 같이, 외부네트워크(11)와 신호의 송수신을 위한 하나 또는 다수의 포트와, 상기 포트를 통한 외부네트워크(11)의 패킷 신호가 하나 또는 다수의 가상머신에 송수신되도록 하기 위한 가상L2스위치(60)가 포함되어 가상화 시스템(10)이 구비되며, 상기 포트와 상기 가상L2스위치(60) 사이에 연결되는 보안가상머신(40)이 구비되는 보안감사서비스시스템(20)에 관한 것이다.
이와 같이 마련된 본 발명에 따른 보안감사서비스시스템(20)에서의 상기 보안가상머신(40)은 전송되는 패킷에 대해 서비스 거부 공격, 바이러스 감염, 정상패킷 검사에 대해 판별하여 비정상 패킷, 유해 패킷을 차단하는 보안감사기능을 수행하고, 정상 패킷에 대해 목적지의 가상머신의 정보를 검색하여 해당 가상머신으로 정상 패킷의 데이터가 전송되도록 구비되는 것이다.
이러한 보안감사란 패킷의 유해성을 검사하는 행위로, 데이터베이스에 등록된 위험 패킷의 시그네이쳐와 패킷을 비교하거나 서비스 거부 공격을 탐지하는 것을 말한다. 다수의 가상머신 VLAN 정책에 있어서 단점은, 예를 들면 세 개의 가상머신 웹서버(Virtual Machine Web Server)와 한 개의 가상머신 데이터베이스 서버(Virtual Machine Database Server)로 호스트(host)로 구성할 경우, 본 발명에서와 같은 보안감사서비스시스템 및 가상머신테이블이라던지 VLAN생성부 등이 없는 상태에서 서로 다른 VLAN 으로 구성하게 되면, 다수의 가상머신들인 웹서버에서 데이터베이스 서버 등으로의 접근이 불가능하게 된다. 즉 VLAN 이란(Virtual LAN) 물리적인 위치와 상관없이 다수의 노드들을 포트 단위 혹은 세그먼트 단위 그룹으로 구성하는 것을 의미한다. 4바이트 VLAN 헤더는 이더넷 패킷 구조에서 MAC 헤더와 IP 헤더 사이에 추가되고, VLAN 헤더 안에는 0 ~ 4096 사이의 아이디가 적히게 된다. VLAN 아이디 값을 사용하여 물리 포트에 대해서 논리적으로 구분이 가능해져 네트워크 상의 자원을 그룹별로 분리할 수 있다. 분리한다는 것은 VLAN 이 다른 그룹이 절대 다른 그룹에 트래픽을 전달할 수 없다는 것을 의미한다. 보안 정책을 수립하기 위해 가상화 시스템에서는 단순한 구성만으로는 내부 가상머신간 통신이 불가능하다는 것을 의미한다. 이에 본 발명에서는 이러한 VLAN 아이디의 특성을 살려서 보안가상머신 및 가상L2스위치 등에 의해 다양한 방식으로 패킷 송수신이 이루어지도록 구성한 것이다.
따라서 본 발명에서는 패킷의 전송시 가상L2스위치로 전송되는 패킷에 VLAN 아이디 값이 포함되어 구성되도록 하는 것으로, 개별 VLAN 아이디 값은 가상머신테이블에 구성되도록 하고, 이러한 VLAN 아이디 값과 패킷이 가상머신매칭부, VLAN생성부 등에 의하여 병합되도록 함으로써, 다수의 가상머신에 대한 가상L2스위치에서의 스위칭 과정이 이루어지도록 구성된 것이다. 따라서 다수의 가상머신들에 전송되는 패킷 데이터에 대해 보안감사기능을 갖게 되고, 아울러 다수의 가상머신들에 대한 패킷의 전송이 VLAN 아이디 값에 의하도록 구성됨으로써 패킷 데이터의 안정성 및 가상화 시스템에서의 정보전송의 안정성을 기하도록 하는 것이다.
이러한 보안감사서비스시스템(20)의 세부 구성을 보면, 상기 보안가상머신(40)은, 세부적으로 보안감사기능을 수행하는 보안감사부(41)를 비롯하여, 가상머신매칭부(42), 가상머신테이블(43), VLAN생성부(44) 그리고 일부 실시로 보안가상인터페이스(vmnic_0) 등이 포함되어 실시될 수 있다. 물론 이러한 다수 구성중 일부 구성은 제외되어 실시될 수도 있고, 기타 부가기능을 위해 부가구성이 더 추가되어 실시될 수도 있을 것이다.
이러한 구성들의 세부 작동을 살펴보면, 보안감사부(41)는 직접연결장치(30)의 포트_0(31)로부터 전송되는 외부네트워크(11)의 패킷 데이터, 또는 내부의 가상머신들 중에서 전송되는 패킷 데이터를 수신받고, 수신받은 패킷 데이터가 정상적인 정보인지를 판별하는 보안감사기능을 수행하게 되는 것이다.
즉 보안감사기능으로 대표적인 기능은, Dos, DDoS 등과 같은 서비스 거부 공격의 데이터, 바이러스, 해킹 등의 비정상 패킷 또는 유해 패킷의 데이터가 포함된 것인지 판별하게 되고, 비정상 패킷 또는 유해 패킷으로 판별된 경우에는 해당 패킷을 차단하게 되는 것이다.
그리고 정상의 패킷 정보는 보안감사부(41)에서 가상머신매칭부(42)로 전송되는 것으로, 가상머신매칭부(42)에서는 해당 패킷 정보로부터 목적지의 정보(예 : 목적지 아이피 정보)를 추출하여 가상머신테이블(43)로 전송하여 해당 패킷과 관련된 가상머신이 있을 경우 해당 가상머신의 VLAN 아이디 정보를 요청하게 된다.
즉 가상머신매칭부(42)에서는 정상 패킷을 가상머신에 전송하기 위해 가상머신의 VLAN 아이디 데이터를 가상머신테이블(43)에서 전송받아 VLAN생성부(44)로 전송하게 되는 것이다.
이에 가상머신테이블(43)에서는 요청받은 패킷과 관련된 가상머신의 정보가 있는지 여부를 검사하게 되고, 해당 가상머신의 VLAN 아이디 데이터를 함께 추출하며, 상기 가상머신매칭부(42)에 정상 패킷을 전송받기 위한 가상머신의 VLAN 아이디 데이터를 전송하게 되는 것이다.
그리고 VLAN생성부(44)에서는, 정상 패킷의 정보 및 해당 패킷을 전송받게 되는 가상머신의 VLAN 아이디 데이터를 상기 가상머신매칭부(42)로부터 수신받고 정상 패킷 데이터에 가상머신의 VLAN 아이디 데이터 정보를 추가하여 가상머신(virtual machine)의 가상인터페이스(virtual interface, vmnic) 측으로 전송되도록 하는 것이다.
또한 일부 패킷 데이터의 전송에 있어서는 VLAN생성부(44)에서 내부의 가상머신 측으로 전송되는 패킷 정보는 보안가상인터페이스(45, vmnic_0)를 통하여 전송될 수 있으며, 보안가상인터페이스(45)는 VLAN생성부(44)로부터 수신받은 패킷 정보가 가상L2스위치(60) 측으로 전송하여 패킷 전송이 이루어지도록 구비될 수도 있는 것이다.
다음으로 외부네트워크(11)와 보안가상머신(40) 사이에 연결되어 패킷 정보를 송수신하는 포트_0(31)와, 상기 보안가상머신(40)과 연결되어 보안가상머신(40)과 가상머신 사이에 송수신되는 패킷 정보를 전송하게 되는 포트_1(32)이 포함된 직접연결장치(30)가 더 구비될 수 있을 것이다.
또한 상기 보안가상머신(40)의 정보를 송수신하는 포트_1(32)과 가상L2스위치의 정보를 송수신하는 포트_2(33) 사이에 연결되어 패킷 정보를 송수신하는 포트연결장치(50)가 더 구비될 수도 있을 것이다.
이와 같이 마련되는 본 발명에 따른 보안감사서비스시스템(20)에 의하여 다수의 가상머신 중 어느 하나의 송신 측 가상머신에서 다른 수신 측 가상머신으로 패킷 정보가 전송되도록 하는 내부-내부 패킷 송수신의 구성이 마련될 수 있는 것이다.
즉 내부-내부 패킷 송수신의 구성에 의하면, 상기 보안가상머신(40)에서 전송되는 패킷 정보의 데이터를 수신받고, 수신 측 가상머신의 VLAN 아이디 데이터를 추출하여 전송되는 패킷 정보에 추가하며, VLAN 아이디 데이터가 추가된 패킷 정보를 가상L2스위치(60)로 전송하여 수신 측 가상머신의 가상인터페이스로 전송되도록 구비되는 것이다.
그리하여 본 발명의 구성에 의하면, 도 1 내지 도 6 등에서와 같이 외부네트워크(11)에서 전송되는 패킷 데이터가 내부의 가상머신들로 전송되도록 하는 외부-내부 네트워크의 데이터흐름구성, 내부의 가상머신들에서 전송되는 패킷 데이터가 외부네트워크(11)로 전송되도록 하는 내부-외부 네트워크의 데이터흐름구성이 실시될 수도 있으면서, 아울러 일측 내부의 가상머신에서 전송되는 패킷 데이터가 내부의 다른 가상머신으로 전송되도록 하는 내부-내부 네트워크의 데이터흐름구성의 실시도 함께 마련될 수 있는 등, 다양한 네트워크의 구성이 실시될 수 있을 것이다.
이하에서는 본 발명에 따른 가상화 시스템(10) 환경의 다수 가상머신들 사이의 보안감사서비스시스템(20) 및 보안감사서비스 제어방법에 대해 첨부된 도면을 참조하여 상세히 설명하기로 한다.
우선 도 1은 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 대한 제어 구성도이다. 이러한 가상화 시스템(10)에 설치되는 가상머신(Virtual Machine)으로, 보안감사서비스시스템(20)의 보안가상머신(40)과 함께, 가상머신_A(62), 가상머신_B(64), 그리고 가상L2스위치(60) 등이 구비될 수 있다. 또한 가상머신_A(62)과 가상머신_B(64) 등의 가상 인터페이스가 되는 제1가상인터페이스(61, vmnic_1, VLAN 1), 제2가상인터페이스(63, vmnic_2, VLAN 2) 등이 더 부가될 수 있다.
그리고 보안가상머신(40)은 보안감사부(41), 가상머신매칭부(42), 가상머신테이블(43), VLAN생성부(44), 보안가상인터페이스(45, vmnic_0, VLAN 0) 등이 포함되어 구성될 수 있다. 이러한 보안가상머신(40)은 물리 네트워크 보안장비 역할을 하도록 가상화시스템(10)에 설치되는 것이다.
이에 보안감사부(41)는 IPS, 방화벽 등과 같은 기능을 하며, 송수신되는 패킷 데이터 정보를 실시간으로 분석하고, DoS, DDoS 등과 같은 서비스 거부 공격, 해킹, 바이러스, 기타 유해 정보의 여부 등을 판별하여 유해 패킷, 비정상 패킷 등은 차단하게 되는 보안감사기능을 하게 된다.
그리고 가상머신매칭부(42)는 보안감사부(41)에서의 처리에 의해 정상의 정보로 판별되어 차단되지 않은 패킷을 내부의 가상머신(가상머신_A(62), 가상머신_B(64) 등)으로 전달하기 위해서, 가상머신테이블(43)에서 가상머신_A(62), 가상머신_B(64) 등에 대한 VLAN(인터페이스정보 등) 정보를 추출하게 된다. 이에 가상머신테이블(43)은 가상화 시스템(10)에 설치된 가상머신들에 대한 아이피정보, VLAN 정보(아이디 정보) 등을 포함하는 테이블이다.
또한 VLAN생성부(44)는 보안감사부(41)에서 차단되지 않고 전달되어야 하는 정상의 패킷들은 전달될 가상머신과 동일한 VLAN 아이디의 정보를 생성하여 송수신되는 패킷 정보에 추가하는 역할을 하게 된다.
다음으로 가상L2스위치(60)는 MAC 스위치 도구로 가상머신의 가상인터페이스(vmnic)를 VLAN 아이디 별로 구분하여 같은 VLAN 아이디를 포함한 패킷 정보만 해당 가상머신의 포트로 전달하는 역할을 하게 된다. 이때 VLAN이 다른 포트로는 패킷이 전달되지 않도록 하는 것이다.
그리고 직접연결장치(30)는 외부네트워크의 패킷 정보가 곧바로 가상L2스위치(60)로 전달되지 않고 보안가상머신(40)으로의 송수신이 이루어지도록 구성되는 것이다. 즉 첨부된 도면에 의하면, 직접연결장치(30)의 포트_0(31), 포트_1(32) 등은 외부네트워크(11), 보안가상머신(40) 등과 연결되는 것으로, 외부네트워크(11)의 정보는 직접연결장치(30)를 통하여 보안가상머신(40)으로 전송된 후, 보안가상머신(40)에서의 처리과정을 거친 후에 직접연결장치(30)의 포트_1(32)를 통하여 가상L2스위치(60) 측으로 전송될 수 있는 것이다. 이러한 직접연결장치(30)는 효율적으로 보안가상머신(40)을 외부네트워크(11)와 내부의 가상머신들 사이에서 게이트웨이 구성의 역할을 하도록 마련되는 것이다.
이에 따라 보안가상머신(40)의 보안감사부(41)는 외부네트워크(11)와 내부의 가상머신들 사이에 위치되어, 송수신되는 트래픽에 대한 보안감사 기능을 수행하게 되는 것이다. 그리고 직접연결장치(30)를 통해서 외부네트워크(11)로부터 수신되는 패킷 정보들과 가상머신_A(62), 가상머신_B(64) 등에서 외부네트워크(11)로 내보내는 패킷 정보들은 보안가상머신(40)의 보안감사부(41)를 거치게 된다. 따라서 보안가상머신(40)은 외부와 내부 사이의 모든 트래픽에 대해서 보안감사 기능을 수행할 수 있게 되는 것이다.
다음으로 도 2는 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 외부네트워크에서 내부의 가상머신으로 전송되는 패킷 전송과 관련된 구성도이다.
이러한 본 발명에 따른 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템에 의한 보안감사서비스 제어방법 중에서 외부네트워크로부터 발신된 패킷 데이터가 내부의 가상머신으로 전송되는 예는 다음과 같다.
즉 외부네트워크(11)와 신호의 송수신을 위한 하나 또는 다수의 포트와, 상기 포트를 통한 외부네트워크(11)의 패킷 신호가 하나 또는 다수의 가상머신에 송수신되도록 하기 위한 가상L2스위치(60)가 포함되어 가상화 시스템(10)이 구비되며, 상기 포트와 상기 가상L2스위치(60) 사이에 연결되는 보안가상머신(40)이 구비되는 보안감사서비스시스템(20)의 제어방법이 이루어지는 것으로 구체적인 실시단계는 다음과 같이 마련될 수 있다.
이에 외부네트워크(11)에서 소스아이피 정보 및 목적지아이피 정보가 포함된 패킷 정보가 보안감사서비스시스템(20) 측으로 전송되는 패킷발송단계(S11), 보안감사서비스시스템(20)의 보안가상머신(40) 측에서 패킷 정보가 수신되고 수신된 패킷 정보에 대해 유해정보, 비정상정보에 대해 판별하여, 정상적이지 않는 정보는 차단하게 되는 보안감사단계(S12)가 수행된다.
그리고 보안감사부(41)에 의해 차단되지 않은 패킷이 가상머신매칭부(42)로 전송되고, 목적지 아이피 정보를 가상머신테이블(43) 측으로 전송하여 가상머신테이블(43)에서는 목적지 아이피에 해당하는 가상머신의 VLAN 아이디값 정보를 추출하는 아이디값추출단계(S13), 가상머신매칭부(42)에서 패킷 정보와 함께 가상머신테이블(43)에서 추출된 해당 목적지아이피의 VLAN아이디값을 VLAN생성부(44) 측으로 전송하고, VLAN생성부(44)에서 패킷 정보에 VLAN 아이디값을 추가하는 단계(S14)가 수행된다.
또한 VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되고, 가상L2스위치(60)에서 동일 VLAN 아이디와 목적지 아이피에 해당하는 가상머신 측으로 전송하는 가상머신패킷전송단계(S15)가 수행되어 이루어지는 것이다.
이에 도 2의 실시예에서는 이러한 외부네트워크(11)에서 내부의 가상머신으로 패킷 데이터를 전송할 경우를 예를 들은 것으로 첨부도면을 참조하여 설명하면 다음과 같다.
즉 외부네트워크(11)에서 전송되는 패킷 정보에는 패킷 소스아이피 : 10.10.149.50 / 목적지 아이피 : 175.168.1.2의 정보를 갖는 패킷의 전송의 예에 대한 것이다. 이러한 외부네트크(11)에서 소스아이피(10.10.149.50), 목적지아이피(175.168.1.2)로 하는 패킷 정보를 가상화 시스템(10)의 가상화 보안감사서비스시스템(20) 측으로 전송하게 된다<과정 1-1>. 이에 일반적인 종래의 경우에는 패킷 정보가 가상머신직전의 가상L2스위치로 전송되는 것이나, 본 발명에서는 보안감사서비스시스템(20)으로 전송되도록 하는 것이다. 이에 외부네트워크(11)의 패킷은 직접연결장치(30)의 포트_0(31)로 전송되고<과정 1-2>, 이후 가상화 보안감사서비스시스템(20)의 보안가상머신(40) 측으로 전송된다. 이에 패킷 정보는 보안가상머신(40)의 보안감사부(41)로 전송되어 유해정보, 비정상정보 여부를 판별하여, 정상적이지 않는 정보는 차단하게 된다<과정 1-3>.
이처럼 보안감사부(41)에서는 패킷에 대한 보안감사를 실시하고 유해 패킷은 차단하고 이상이 없는 패킷은 가상머신매칭부(42)로 전송하게 된다<과정 1-4>. 이에 가상머신매칭부(42)는 패킷 정보 중에서 목적지 아이피의 정보를 추출하여 가상머신테이블(43) 측으로 전송하고 가상머신테이블(43)에서는 목적지 아이피에 해당하는 가상머신(예 : 가상머신_B)의 VLAN 아이디값(예 : VLAN 아이디 : 2)의 정보를 테이블데이터에서 추출하여 다시 가상머신매칭부(42)로 전송하게 된다<과정 1-5>.
이에 가상머신매칭부(42)는 외부네트워크(11)로부터 전송받은 패킷 정보와 함께 가상머신테이블(43)에서 추출된 해당 목적지아이피의 VLAN아이디값( VLAN 2)을 VLAN생성부(44) 측으로 전송하게 되고, 그리하여 VLAN생성부(44)에서 외부네트워크(11)로부터 전송받은 패킷 정보에 가상머신테이블(43)에서 추출된 VLAN 아이디값(예 : VLAN 2)의 데이터를 추가하여(패킷 정보 : 소스아이피-10.10.149.50, 목적지아이피-175.168.1.2, VLAN 2 등의 정보가 포함됨), 가상머신 측으로 전송하게 된다<과정 1-6>.
이러한 정보는 포트_1(32)에서 수신받아<과정 1-7>, 포트연결장치(50) 측으로 전송하며<과정 1-8>, 포트_2(33)를 통해 가상L2스위치(60)로 전송하게 된다<과정 1-9>.
이에 가상L2스위치(60)는 동일 VLAN 아이디와 목적지 아이피를 확인하여 해당 가상머신(예 : 가상머신_B)으로 전송하게 되고, VLAN 아이디를 확인하여 다른 가상머신으로는 전송을 하지 않게 되는 것이다. 따라서 가상L2스위치(60)에서는 해당 가상머신의 인터페이스로 패킷데이터를 전송하게 되는 것으로, 가상머신_B(64)의 가상인터페이스인 제2가상인터페이스(63, vmnic_2, VLAN 아이디 : 2)로 패킷 데이터를 전송하고<과정 1-10>, 제2가상인터페이스(63)를 통하여 가상머신_B(64)(목적지 아이피 : 175.168.1.2)로 패킷 데이터가 전송되어 처리되도록 하는 것이다<과정 1-11>. 따라서 가상머신_B(64)에서는 보안가상머신(40)의 보안감사부(41)를 통하여 보안감사기능을 거친 후라서 무결성 패킷만을 수신하게 되고, 가상L2스위치(60)와 관련하여 가상머신테이블(43)에 분류저장된 VLAN 아이디 값으로 하는 추가 패킷 정보에 의해 목적지아이피의 가상머신으로만 패킷 정보가 전달되는 것이다.
다음으로 도 3은 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 내부 가상머신들 사이의 패킷 전송과 관련된 구성도이다. 즉 도 3은 내부의 일측 가상머신에서 내부의 다른 가상머신 측으로 패킷 정보가 전송되는 실시예를 보인 것이다.
이와 같은 본 발명에서의 내부 가상머신에서 내부 가상머신 사이의 패킷 전송에 대한 예를 간단히 살펴보면 다음과 같다.
즉 내부의 소정의 가상머신에서 소스아이피 / 목적지아이피의 정보가 포함된 패킷 정보가 발신되는 내부패킷발신단계(S21), 상기 소정의 가상머신에서 발신된 패킷 정보가 가상L2스위치(60) 측으로 전송되는 발신패킷스위치전송단계(S22)가 수행되고, 가상L2스위치(60)에서 보안가상머신(40)의 보안감사부(41)로 패킷이 전송되고, 보안감사부(41)에서는 유해패킷, 비정상 패킷 여부를 판별하여 정상이 아닌 패킷 정보는 차단하여 패킷에 대한 보안감사를 실시하는 보안감사단계(S23)가 수행되는 것이다.
그리고 정상 패킷이 가상머신매칭부(42)로 전송되고, 가상머신매칭부(42)에서 목적지아이피 정보를 추출하여 가상머신테이블(43)에 전송하며, 가상머신테이블(43)에서는 목적지 아이피의 내부의 다른 가상머신의 VLAN 아이디 값을 추출하여 가상머신매칭부(42)로 전송하는 목적지아이디값추출단계(S24), 가상머신매칭부(42)로부터 패킷 정보, VLAN 아이디 값을 전송받은 VLAN생성부(44)에서 패킷 정보에 내부의 다른 가상머신의 VLAN 아이디값이 추가되도록 하는 아이디값추가단계(S25)가 수행되는 것이다.
또한 VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되는 병합패킷스위칭단계(S26), VLAN 아이디값이 추가된 패킷 정보가 가상L2스위치(60)에서 내부의 다른 가상머신으로 전송되는 내부패킷수신단계(S27)가 수행되어 이루어지는 것이다.
이러한 내부 - 내부 가상머신들 사이의 패킷 송수신에 대한 구체적인 실시예를 첨부도면을 참조하여 살펴보면 다음과 같다. 즉 내부 가상머신의 소스아이피(175.168.1.1) / 목적지아이피(175.168.1.2) 등의 정보를 포함한 패킷 정보를 내부의 가상머신_A(62)에서 내부의 가상머신_B(64) 측으로 전송하는 것으로 내부 가상머신간 패킷 정보의 전달이 이루어지도록 하고, 아울러 내부의 가상머신들 사이에 패킷 정보의 전달에 있어서 보안감사 패킷 처리 과정이 이루어지도록 실시되는 것이다.
좀더 상세히 살펴보면, 가입자_A가 패킷을 가입자_B 측으로 전달하는 경우 가입자_A의 가상머신_A(62)에서 제1가상인터페이스(61, vmnin_1, VLAN 1)를 통하여<과정 2-1> 가상L2스위치(60) 측으로 패킷이 전송되는 것이다<과정 2-1>.
그리고 포트_2(33)을 통하여<과정 2-3> 포트연결장치(50)로 전송되고<과정 2-4>, 다시 포트_1(32)를 거쳐<과정 2-5>, 보안가상머신(40)의 보안감사부(41)로 전송되는 것이다<과정 2-6>. 이러한 보안감사부(41)에서는 유해패킷, 비정상 패킷 여부를 판별하여 정상이 아닌 패킷 정보는 차단하게 된다. 즉 보안감사부(41)에서 패킷에 대한 보안감사를 실시하고 유해 패킷은 차단하고 이상이 없는 패킷은 포워딩한다.
이후 가상머신매칭부(42)로 전송된 패킷 정보에서 목적지아이피(예 : 175.168.1.2)의 정보를 추출하여 가상머신테이블(43)에 전송하고<과정 2-7>, 가상머신테이블(43)에서는 목적지 아이피의 가상머신_B(64)의 VLAN 아이디(예 : VLAN 2) 값을 추출하여 가상머신매칭부(42)로 전송하게 된다<과정 2-8>. 이러한 정보는 가상머신매칭부(42)에서 VLAN생성부(44)로 전송되어 패킷 정보에 해당 가상머신_B(64)의 VLAN 아이디값(VLAN 2)이 추가된다<과정 2-9>. 즉 소스아이피(175.168.1.1) / 목적지아이피(175.168.1.2), VLAN 2의 아이디정보 등이 포함되어 패킷정보가 이루어지는 것이다.
다음으로 VLAN 아이디값이 추가된 패킷 정보는 VLAN생성부(44)에서 보안가상인터페이스(45, vmnic_0)를 통해서<과정 2-10> 가상L2스위치(60)로 전송되는 것이다<과정 2-11>.
그리고 가상L2스위치(60)에서는 VLAN 2, 목적지아이피(175.168.1.2)를 인식하여 제2가상인터페이스(63, vmnic_2, VLAN 2)를 통해서<과정 2-12> 가상머신_B(64)(가입자_B)로 패킷을 전송하게 되는 것이다<과정 2-13>.
이로써 내부의 가상머신에서 내부의 다른 가상머신으로 패킷 전송이 이루어지도록 하고, 아울러 전송되는 패킷정보에 대해 보안감사부(41)에서 무결성의 패킷만 전송되도록 하고, 가상L2스위치(60)로 전송되는 패킷의 전달 시, 가상머신과 관련된 VLAN아이디 값을 테이블에서 추출하여 패킷 정보와 함께 전송함으로써, 가상L2스위치(60)에서는 논리적으로 VLAN 아이디로 구분하여 각각 가입자_A, 가입자_B로 나누어 통신이 이루어지도록 구성된 것이다.
다음으로 도 4는 본 발명에 따른 가상화 시스템 및 보안감사서비스시스템에 의하여 내부의 가상머신에서 외부네트워크로 전송되는 패킷 전송과 관련된 구성도이다. 즉 도 4에서는 내부의 가상머신에서 외부네트워크로 패킷 정보가 전송되는 실시예를 보인 것이다.
도 4에서는 내부의 가입자_A의 가상머신_A(62)에서 소스아이피(175.168.1.1) / 외부 목적지아이피(10.10.149.50)의 정보가 포함된 패킷 정보를 외부네트워크(11)로 전송하는 것이다. 이에 가상머신_A(62)에서 패킷 정보를 전송하면<과정 3-1>, 제1가상인터페이스(61, vmnic_1, VLAN 1)를 통하여<과정 3-2> 가상L2스위치(60)로 전송되는 것이다<과정 3-3>.
이후 가상L2스위치(60)는 포트_2(33)를 통해 포트연결장치(50)로 전송하고<과정 3-4>, 다시 보안가상머신(40)과 연결된 포트_1(32)로 전송되고<과정 3-5>, 포트_1(32)를 통해 보안감사부(41)로 전송된다. 이러한 보안감사부(41)를 통하여 보안감사를 수행하고<과정 3-6>, 이상 없는 경우에는 포트_0(31)를 통하여<과정 3-7> 외부네트워크(11)로 전송하게 되는 것이다<과정 3-8>.
이상의 실시예들 및 첨부된 도면의 예시 등에서와 같이, 외부네트워크에서 내부의 가상머신으로, 내부의 일측 가상머신에서 내부의 다른 가상머신으로, 또한 내부의 가상머신에서 외부네트워크로 하는 등 다양한 경로 및 소스아이피/목적지아이피 등이 다양하게 하여 패킷 전송이 이루어지도록 하고, 이와 함께 송수신되는 패킷 정보에 대해 보안감사기능을 수행하도록 하는 것이다.
이러한 보안감사기능의 실시에 의해 가상머신을 사용하는 가입자들에 대한 보안 서비스를 제공할 수 있고, 보안감사가 완료된 패킷에 대해서만 VLAN아이디 값으로 구분되는 해당 가상머신으로 구분되게 패킷 전송이 이루어지도록 하는 것이다.
따라서 외부-내부의 네트워크, 내부-내부의 네트워크, 내부-외부의 네트워크 등 다양한 상황에서의 네트워크가 이루어지도록 하고, 보안감사기능을 통해 무결성 패킷의 송수신이 이루어지도록 하면서, 아울러 다수의 가상머신이 VLAN 아이디값으로 구분되게 하여 해당 가상머신으로만 패킷 전송이 이루어지도록 하는 등의 장점을 갖는 것이다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니 된다.
10 : 가상화 시스템 11 : 외부네트워크
20 : 보안감사서비스시스템 30 : 직접연결장치
31 : 포트_0 32 : 포트_1
33 : 포트_2 40 : 보안가상머신
41 : 보안감사부 42 : 가상머신매칭부
43 : 가상머신테이블 44 : VLAN생성부
45 : 보안가상인터페이스 50 : 포트연결장치
60 : 가상L2스위치 61 : 제1가상인터페이스
62 : 가상머신_A 63 : 제2가상인터페이스
64 : 가상머신_B

Claims (5)

  1. 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)에 있어서,
    상기 보안가상머신(40)은:
    패킷 정보를 가상머신에 전송하기 위해 가상머신의 VLAN 아이디 데이터를 가상머신테이블(43)에서 전송받아 VLAN생성부(44)로 전송하는 가상머신매칭부(42);
    상기 가상머신매칭부(42)에 가상머신의 VLAN 아이디 데이터를 전송하는 가상머신테이블(43); 및
    패킷 정보 및 해당 패킷을 전송받는 가상머신의 VLAN 아이디 데이터를 상기 가상머신매칭부(42)로부터 수신받고 패킷 데이터에 가상머신의 VLAN 아이디 데이터를 추가하여 가상머신의 가상인터페이스 측으로 전송하는 VLAN생성부(44);
    를 포함하는 것을 특징으로 하는 보안감사서비스시스템.
  2. 삭제
  3. 제 1항에 있어서,
    외부네트워크(11)와 보안가상머신(40) 사이에 연결되어 패킷 정보를 송수신하는 포트_0(31)와,
    상기 보안가상머신(40)과 연결되어 보안가상머신(40)과 가상머신 사이에 송수신되는 패킷 정보를 전송하게 되는 포트_1(32)이 포함된 직접연결장치(30)와,
    상기 보안가상머신(40)의 정보를 송수신하는 포트_1(32)과 가상L2스위치의 정보를 송수신하는 포트_2(33) 사이에 연결되어 패킷 정보를 송수신하는 포트연결장치(50)가 포함되어 구비되고,
    다수의 가상머신 중 어느 하나의 송신 측 가상머신에서 다른 수신 측 가상머신으로 패킷 정보가 전송되도록 구비되어지되,
    상기 보안가상머신(40)에서 전송되는 패킷 정보의 데이터를 수신받고, 수신 측 가상머신의 VLAN 아이디 데이터를 추출하여 전송되는 패킷 정보에 추가하며, VLAN 아이디 데이터가 추가된 패킷 정보를 가상L2스위치(60)로 전송하여 수신 측 가상머신의 가상인터페이스로 전송되도록 구비되는 것을 특징으로 하는 보안감사서비스시스템.
  4. 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)의 제어방법에 있어서,
    외부네트워크(11)에서 소스아이피 정보 및 목적지아이피 정보가 포함된 패킷 정보가 보안감사서비스시스템(20) 측으로 전송되는 패킷발송단계(S11);
    보안감사서비스시스템(20)의 보안가상머신(40) 측에서 패킷 정보가 수신되고 수신된 패킷 정보에 대해 유해정보, 비정상정보에 대해 판별하여, 정상적이지 않는 정보는 차단하게 되는 보안감사단계(S12);
    보안감사부(41)에 의해 차단되지 않은 패킷이 가상머신매칭부(42)로 전송되고, 목적지 아이피 정보를 가상머신테이블(43) 측으로 전송하여 가상머신테이블(43)에서 목적지 아이피에 해당하는 가상머신의 VLAN 아이디값 정보를 추출하는 아이디값추출단계(S13);
    가상머신매칭부(42)에서 패킷 정보와 함께 가상머신테이블(43)에서 추출된 해당 목적지아이피의 VLAN아이디값을 VLAN생성부(44) 측으로 전송하고, VLAN생성부(44)에서 패킷 정보에 VLAN 아이디값을 추가하는 아이디추가단계(S14); 및
    VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되고, 가상L2스위치(60)에서 동일 VLAN 아이디와 목적지 아이피에 해당하는 가상머신 측으로 전송하는 가상머신패킷전송단계(S15);
    를 포함하는 것을 특징으로 하는 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템의 제어방법.
  5. 외부네트워크(11)와 가상머신 사이에 보안가상머신(40)이 구비되고, 외부네트워크(11)와 가상머신 사이에 패킷 정보가 송수신되도록 하는 보안감사서비스시스템(20)의 제어방법에 있어서,
    내부의 소정의 가상머신에서 소스아이피 / 목적지아이피의 정보가 포함된 패킷 정보가 발신되는 내부패킷발신단계(S21);
    상기 소정의 가상머신에서 발신된 패킷 정보가 가상L2스위치(60) 측으로 전송되는 발신패킷스위치전송단계(S22);
    가상L2스위치(60)에서 보안가상머신(40)의 보안감사부(41)로 패킷이 전송되고, 보안감사부(41)에서는 유해패킷, 비정상 패킷 여부를 판별하여 정상이 아닌 패킷 정보는 차단하여 패킷에 대한 보안감사를 실시하는 보안감사단계(S23);
    정상 패킷이 가상머신매칭부(42)로 전송되고, 가상머신매칭부(42)에서 목적지아이피 정보를 추출하여 가상머신테이블(43)에 전송하며, 가상머신테이블(43)에서 목적지 아이피의 내부의 다른 가상머신의 VLAN 아이디 값을 추출하여 가상머신매칭부(42)로 전송하는 목적지아이디값추출단계(S24);
    가상머신매칭부(42)로부터 패킷 정보, VLAN 아이디 값을 전송받은 VLAN생성부(44)에서 패킷 정보에 내부의 다른 가상머신의 VLAN 아이디값이 추가되도록 하는 아이디값추가단계(S25);
    VLAN 아이디값이 추가된 패킷 정보가 VLAN생성부(44)에서 가상L2스위치(60)로 전송되는 병합패킷스위칭단계(S26);
    VLAN 아이디값이 추가된 패킷 정보가 가상L2스위치(60)에서 내부의 다른 가상머신으로 전송되는 내부패킷수신단계(S27);
    가 포함되어 구비되는 것을 특징으로 하는 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템의 제어방법.
KR1020120006643A 2011-03-30 2012-01-20 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 KR101286015B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020110028881 2011-03-30
KR20110028881 2011-03-30

Publications (2)

Publication Number Publication Date
KR20120111973A KR20120111973A (ko) 2012-10-11
KR101286015B1 true KR101286015B1 (ko) 2013-08-23

Family

ID=47282487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120006643A KR101286015B1 (ko) 2011-03-30 2012-01-20 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법

Country Status (1)

Country Link
KR (1) KR101286015B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104703188A (zh) * 2015-03-04 2015-06-10 南京邮电大学 一种面向移动互联网的安全审计方法和系统
KR20200041028A (ko) 2018-10-11 2020-04-21 전석기 패치 환경을 이용한 멀웨어 판단 방법 및 시스템
KR20210056810A (ko) 2019-11-11 2021-05-20 주식회사 아이티스테이션 스마트 산업제어시스템용 악성코드 대응을 위한 즉시 복구 방법
KR20210056807A (ko) 2019-11-11 2021-05-20 주식회사 아이티스테이션 스마트 산업제어시스템용 중앙제어용 능동형 복구 시스템

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101499668B1 (ko) * 2013-01-31 2015-03-06 주식회사 시큐아이 가상 실행 환경에서 네트워크 프레임을 전달하기 위한 장치 및 방법
KR102079287B1 (ko) * 2018-01-24 2020-02-19 주식회사 오픈시스넷 가상화된 시스템 비정상 탐지 방법
CN111541643B (zh) * 2020-03-18 2022-02-01 成都中科合迅科技有限公司 一种无侵入式实现业务系统安全审计的方法
CN114338112B (zh) * 2021-12-20 2024-03-19 北京安天网络安全技术有限公司 基于网络安全的系统文件保护方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007300307A (ja) * 2006-04-28 2007-11-15 Mitsubishi Electric Corp セキュリティ通信装置、通信ネットワークシステムおよびプログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007300307A (ja) * 2006-04-28 2007-11-15 Mitsubishi Electric Corp セキュリティ通信装置、通信ネットワークシステムおよびプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104703188A (zh) * 2015-03-04 2015-06-10 南京邮电大学 一种面向移动互联网的安全审计方法和系统
KR20200041028A (ko) 2018-10-11 2020-04-21 전석기 패치 환경을 이용한 멀웨어 판단 방법 및 시스템
KR20210056810A (ko) 2019-11-11 2021-05-20 주식회사 아이티스테이션 스마트 산업제어시스템용 악성코드 대응을 위한 즉시 복구 방법
KR20210056807A (ko) 2019-11-11 2021-05-20 주식회사 아이티스테이션 스마트 산업제어시스템용 중앙제어용 능동형 복구 시스템

Also Published As

Publication number Publication date
KR20120111973A (ko) 2012-10-11

Similar Documents

Publication Publication Date Title
KR101286015B1 (ko) 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법
US9165140B2 (en) System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment
US9906557B2 (en) Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment
US10887347B2 (en) Network-based perimeter defense system and method
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
CN106576099A (zh) 支持攻击检测和缓解的数据中心架构
US10027687B2 (en) Security level and status exchange between TCP/UDP client(s) and server(s) for secure transactions
EP3343838B1 (en) Utilizing management network for secured configuration and platform management
US11924165B2 (en) Securing containerized applications
KR101290963B1 (ko) 가상화 기반 망분리 시스템 및 방법
Cao et al. When match fields do not need to match: Buffered packets hijacking in SDN
KHALID et al. Efficient mechanism for securing software defined network against ARP spoofing attack
Han et al. State-aware network access management for software-defined networks
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US20220385631A1 (en) Distributed traffic steering and enforcement for security solutions
US10891646B2 (en) Locating a network cable connector
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
KR102078744B1 (ko) 멀티 코어 프로세서 및 범용 네트워크 컨트롤러 하이브리드 구조의 네트워크 인터페이스 카드
Ishtiaq et al. DHCP DoS and starvation attacks on SDN controllers and their mitigation
US11451584B2 (en) Detecting a remote exploitation attack
KR102174507B1 (ko) 통신 게이트웨이 방화벽 자동설정장치 및 그 방법
JP2006094377A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
You et al. HELIOS: Hardware-assisted High-performance Security Extension for Cloud Networking
Nimitkul et al. The Study on the Blocking Time Reduction of the IDS/SON Cooperative Firewall System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160627

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160711

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180709

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190709

Year of fee payment: 7