KR101541350B1 - Method and system for providing cloud security service using traffic control in cloud service network - Google Patents

Method and system for providing cloud security service using traffic control in cloud service network Download PDF

Info

Publication number
KR101541350B1
KR101541350B1 KR1020140025482A KR20140025482A KR101541350B1 KR 101541350 B1 KR101541350 B1 KR 101541350B1 KR 1020140025482 A KR1020140025482 A KR 1020140025482A KR 20140025482 A KR20140025482 A KR 20140025482A KR 101541350 B1 KR101541350 B1 KR 101541350B1
Authority
KR
South Korea
Prior art keywords
virtual machine
arp
gateway
packet
service
Prior art date
Application number
KR1020140025482A
Other languages
Korean (ko)
Inventor
노영국
박철정
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020140025482A priority Critical patent/KR101541350B1/en
Application granted granted Critical
Publication of KR101541350B1 publication Critical patent/KR101541350B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/742Route cache; Operation thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method for providing a cloud security service through traffic control in cloud service networks, which comprises the steps of: broadcasting an address resolution protocol (ARP) packet created by virtual machines from internal networks of a cloud server system which provides computing environments virtualized through a plurality of virtual machines allocated with virtualized computing resources; collecting an IP address and a MAC address from the broadcasted ARP packet, and creating an ARP table DB based on the collected IP address and MAC address; and transmitting, to networks based on a virtual OS by a predetermined period, the ARP packet corresponding to the MAC address of a detour route virtual machine through the detour route virtual machine which manages ingress/egress packets of the internal networks, and controlling the virtual machine created based on the virtual OS and traffics created in a communication device for performing interaction with the virtual machine according to predetermined policy information.

Description

클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING CLOUD SECURITY SERVICE USING TRAFFIC CONTROL IN CLOUD SERVICE NETWORK}METHOD AND SYSTEM FOR PROVIDING CLOUD SECURITY SERVICE USING TRAFFIC CONTROL IN CLOUD SERVICE NETWORK

본 발명은 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서비스에 관한 것이다.The present invention relates to a cloud service providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated.

네트워크 상에서 발생하는 모든 트래픽의 보안 검사는 물리적으로 별도의 보안 네트워크 장비를 설치하여 네트워크 보안 구성을 하였다. The security check of all the traffic occurring on the network was performed by physically installing a separate security network equipment.

다양한 종류의 네트워크 서비스가 점차 많아지게 되어 서비스 트래픽도 함께 증가되어 이를 처리해야 하는 물리적인 서버 수도 함께 증가 되었고, 그 서버들에 대한 관리 비용증가 등의 여러 문제점이 발생하여 점차 물리적인 수를 줄이고 클라우드 환경으로 논리적인 서버로 운영방식이 변경되고 있는 추세이다. 한 대의 물리적인 서버에 논리적으로 구성된 여러 개의 가상 머신을 설치하여 한 대의 서버에 여러 종류의 서비스가 가능한 기술인 클라우드 기술이 보편화되고 있다. As the number of various types of network services increases, the number of physical servers that need to be processed increases due to an increase in service traffic, and various problems such as an increase in the management cost for the servers are increasing. Accordingly, The environment is changing from a logical server to an operating system. Cloud technology, which is a technology enabling multiple types of services on a single server, is becoming commonplace by installing multiple virtual machines logically configured on one physical server.

하지만 가상 OS의 보안은 일반 OS의 보안처리와는 달라 클라우드 환경에 적합한 네트워크 보안 기술이 필요하게 되었다. 클라우드 환경에서는 가입자 또는 관리자의 선택에 따라 가상 머신별 유해성 감사/제어하는 기능이 적용되거나 또는 미적용을 선택할 수 있어야 하며, 이러한 방식의 네트워크 보안 서비스가 되기 위해서는 외부에 별도의 물리적인 네트워크 보안 장비를 클라우드 환경의 게이트웨이 구간에 설치해야 하기 때문에, 내부 가상머신 간의 보안 기능을 수행할 수 없다.However, the security of virtual OS is different from that of general OS, and network security technology suitable for cloud environment is needed. In the cloud environment, the ability to audit / control harmfulness of each virtual machine according to the subscriber or administrator's choice should be applied or not selected. In order to become such a network security service, a separate physical network security device needs to be installed in the cloud Since it must be installed in the gateway section of the environment, security functions between the internal virtual machines can not be performed.

가상 머신 간 트래픽을 보호하기 위한 보안 기능을 제공하기 위해서 모든 가상 머신 내부에 백신 또는 보안프로그램이 윈도우, 리눅스 운영체제를 지원하여 설치되어야 하기 때문에 여러 형태의 보안 프로그램 개발이 요구되어 진다.In order to provide security function to protect the traffic between virtual machines, various security programs are required because vaccines or security programs must be installed in all virtual machines to support Windows and Linux operating systems.

따라서 본 발명은 물리적으로 외부에 설치되는 네트워크 보안 장비에서 서버 내부에 있는 다수의 가상 머신들 간 네트워크 보안서비스를 제공할 수 없는 한계성 때문에 보안을 담당하는 가상 머신을 내부에 설치하여 다수의 가상 머신 간의 트래픽을 모니터링하고자 한다.Therefore, in the present invention, a network security device installed in the outside physically can not provide a network security service between a plurality of virtual machines in the server, and therefore, a virtual machine responsible for security is installed inside, We want to monitor traffic.

또한, ARP 테이블을 변경하도록 유도하여 내부와 외부 간 가상 머신으로 전송되는 양방향 서비스 트래픽 경로를 하나의 가상 머신을 경유하도록 하여 경유지 역할을 하는 가상 머신에서는 트래픽의 유해성을 모니터링/제어하고, 모니터링 완료된 트래픽은 IP 정보에 맞는 MAC 정보로 복원하여 원래 목적지인 가상 머신들이 정상적으로 트래픽이 수신될 수 있는 서비스를 제공하고자 한다.In addition, a virtual machine serving as a transit point monitors and controls the harmfulness of traffic by guiding the ARP table to change and passing the bidirectional service traffic path to the virtual machine between the inside and the outside via one virtual machine, To MAC information corresponding to the IP information, and to provide a service in which the virtual machines as the original destinations can receive traffic normally.

본 발명의 일 견지에 따르면, 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 있어서, 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅되는 과정과, 상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하는 과정과, 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 과정을 포함함을 특징으로 한다.According to an aspect of the present invention, there is provided a method of providing a cloud security service through traffic control in a cloud service network, the method comprising: providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated; The method comprising the steps of broadcasting an ARP (Address Resolution Protocol) packet generated by a virtual machine in an internal network of the ARP server, collecting an IP address and a MAC address from the broadcasted ARP packet, (ARP) packet corresponding to the MAC address of the path bypass virtual machine through a path bypass virtual machine for managing an ingress / egress packet of the internal network by a predetermined cycle A virtual machine based on the virtual OS, It characterized in that it comprises the step of controlling according to the virtual machine and policies (policy) set group the traffic occurs in a communication device that performs information interaction.

본 발명의 다른 견지에 따르면, 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템에 있어서, 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 경로 우회 가상 머신과, 가상 OS를 기반으로 생성되어 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블에서 폐기되는 가상 머신과, 상기 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블이 생성되고, 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블에서 폐기되는 게이트웨이를 포함함을 특징으로 한다.According to another aspect of the present invention, there is provided a cloud security service providing system for traffic control in a cloud service network, comprising: a cloud server system providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated; The IP address and the MAC address are collected from the ARP (Address Resolution Protocol) packet according to the virtual machine broadcasted in the internal network of the mobile terminal, the ARP table DB based on the IP address and the MAC address is collected, An ARP change request packet is transmitted to the virtual OS-based network in a predetermined period, and the virtual machine generated based on the virtual OS and the traffic generated in the communication device performing the interaction with the virtual machine are transmitted to the virtual OS- And a path bypass virtual machine for controlling the virtual path based on the virtual OS A virtual machine in which an ARP cache generated through interaction between gateways is discarded in an ARP table according to an ARP change request packet transmitted from the path bypass virtual machine and an ARP table based on an ARP cache generated through interaction with the virtual machine And wherein the ARP cache is discarded in an ARP table according to an ARP change request packet transmitted from the path bypass virtual machine.

본 발명은 클라우드 환경의 내부 가상 머신에서 발생하는 모든 트래픽에 대한 유해성 감사/제어를 수행하기 위한 경로 우회 트래픽 가상 머신을 제공함으로써 운용자는 내부 네트워크 구성 변경이나 사용 설정 없이 클라우드 환경의 내부 가상머신들의 보안서비스를 제공할 수 있는 효과가 있다.The present invention provides a path bypass traffic virtual machine for performing harmful audit / control on all traffic generated in an internal virtual machine of a cloud environment, so that an operator can manage security of internal virtual machines in a cloud environment The service can be provided.

또한, 본 발명은 유해성 모니터링/제어 서비스 제공을 선택적으로 사용가능하여 클라우드 사업자는 클라우드 환경에서의 가입자별로 선택적으로 보안 서비스를 제공할 수 있어 유해성 모니터링/제어 가입자 유료서비스로 적용할 수 있는 기반기술을 제공하는 효과가 있다.In addition, since the present invention can selectively use harmful monitoring / control service provisioning, a cloud provider can selectively provide security service for each subscriber in a cloud environment, thereby providing a base technology applicable to a harmfulness monitoring / control subscriber paid service There is an effect to provide.

그리고, 본 발명은 경로우회트래픽감사머신의 서비스 이상 발생시에는 게이트웨이장비와 보호가상머신의 ARP 테이블이 자동적으로 원래의 서비스 패킷 흐름으로 복원될 수 있어 클라우드 환경에서의 서비스 연속성을 유지할 수 있는 효과가 있다.The present invention has an effect of maintaining service continuity in a cloud environment because an ARP table of a gateway device and a protection virtual machine can be automatically restored to an original service packet flow when an error occurs in a service of a bypass bypass traffic audit machine .

도 1은 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대한 전체 흐름도.
도 2는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템의 구성도.
도 3은 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 경로 우회 가상 머신 내 ARP 처리부에 관한 구성도.
도 4는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 외부망으로부터 경로 우회 가상 머신을 경유하여 내부 가상 머신으로 전송되는 트래픽 처리에 관한 구성도.
도 5는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 내부 가상 머신으로부터 경로 우회 가상 머신을 경유하여 외부망으로 전송되는 트래픽 처리에 관한 예시도.FIG. 1 is a flowchart illustrating a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention. Referring to FIG.
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a cloud security service providing system, and more particularly,
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a cloud security service providing system, and more particularly, to a cloud security service providing system using traffic control in a cloud service network according to an embodiment of the present invention.
FIG. 4 is a block diagram of traffic processing to be transmitted from an external network to an internal virtual machine via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention. FIG.
FIG. 5 is a diagram illustrating traffic processing to be transmitted from an internal virtual machine to a foreign network via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention.

이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. It will be appreciated that those skilled in the art will readily observe that certain changes in form and detail may be made therein without departing from the spirit and scope of the present invention as defined by the appended claims. To those of ordinary skill in the art.

본 발명은 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공에 관한 것으로, 보다 상세하게는 클라우드 환경 내부에 있는 하나의 가상 머신으로 함께 설치되어 있는 다수의 가상 머신들의 네트워크 구성 또는 설정 없이 특정 가상 머신 설치만으로 내부에서 외부 또는 외부에서 내부 간의 트래픽 흐름을 제어하기 위해 가상 OS 내부에서 발생되는 ARP(Address Resolution Protocol)패킷의 IP와 MAC주소를 일정시간 동안 수집하고, 지속적으로 경로 우회 트래픽 가상 머신의 MAC으로 된 ARP 패킷을 가상 OS 내부로 전송하여, 다수의 가상 머신들이 목적지 IP의 MAC주소를 항상 경로 우회 트래픽 가상 머신으로 인지하도록 하여 경로 우회 트래픽 가상 머신의 MAC을 포함하는 ARP 패킷을 지속적으로 전송하고, 패킷의 유해성을 감사하고 제어하고, 패킷의 IP 정보에 맞는 MAC 정보로 변경하여 원래의 목적지로 전송되도록 함으로써 클라우드 환경의 내부 가상 머신에서 발생하는 모든 트래픽에 대한 유해성 감사/제어를 수행하여 운용자는 내부네트워크 구성 변경이나 사용 설정 없이 클라우드 환경의 내부 가상 머신들의 보안서비스를 제공할 수 있을 뿐만 아니라, 유해성 감사/제어 서비스 제공을 선택적으로 사용가능하여 클라우드 사업자는 클라우드 환경에서의 가입자별로 선택적으로 보안 서비스를 제공할 수 있어 유해성 감사/제어 가입자 유료서비스로 적용할 수 있는 기반기술을 제공 가능하며, 경로 우회 트래픽 머신의 서비스 이상 발생 시에는 게이트웨이장비와 보호 가상 머신의 ARP 테이블이 자동적으로 원래의 서비스 패킷 흐름으로 복원될 수 있어 클라우드 환경에서의 서비스 연속성을 유지할 수 있는 기술을 제공하고자 한다.
The present invention relates to providing a cloud security service through traffic control in a cloud service network. More specifically, the present invention relates to a method and system for providing cloud security service through a specific virtual machine without a network configuration or setting of a plurality of virtual machines installed together as one virtual machine in a cloud environment. In order to control traffic flow from inside to outside or from outside to inside only by installation, we collect IP and MAC address of ARP (Address Resolution Protocol) packet generated within the virtual OS for a certain period of time, Is transmitted to the inside of the virtual OS, so that a plurality of virtual machines always recognize the MAC address of the destination IP as the bypassed traffic virtual machine, and continuously transmit the ARP packet including the MAC of the path-bypass traffic virtual machine , Audit and control packet hazards, The MAC information corresponding to the IP information of the kit is transmitted to the original destination so that harmfulness audit / control is performed on all traffic generated in the internal virtual machine of the cloud environment. Thus, The cloud service provider can selectively provide the security service for each subscriber in the cloud environment by selectively providing the harmfulness audit / control service, as well as providing the security service of the internal virtual machines of the cloud service provider, The ARP table of the gateway device and the protection virtual machine can be automatically restored to the original service packet flow in the event of a bypass bypass traffic machine malfunction, Service continuity To provide a technology that can stop.

이하, 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대해 도 1을 참조하여 자세히 살펴보기로 한다.Hereinafter, a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention will be described in detail with reference to FIG.

도 1은 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대한 전체 흐름도이다.1 is a flowchart illustrating a method for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention.

도 1을 참조하면, 먼저 110 과정에서는 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅된다.Referring to FIG. 1, in operation 110, an ARP (Address Resolution Protocol) generated by a virtual machine in an internal network of a cloud server system that provides a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated, ) Packet is broadcast.

이때, 상기 ARP 패킷은, 물리적 주소인 MAC 주소와 논리적인 IP 주소를 매핑하는 목적으로 사용되는 것으로, 예컨대, 상기 가상 머신 혹은 게이트웨이에서 데이터 통신을 위한 IP 패킷 전송 시 상대편의 IP 주소는 알고 있으나, L2주소(이더넷 주소)는 모르는 경우 상기 L2 주소를 알기 위해서 ARP 패킷을 브로드캐스팅하여 네트워크 내 모든 노드에게 전달하여 해당 IP 주소의 상대편에서 L2주소(MAC 주소, 이더넷 주소)를 ARP 응답(response)를 주어 응답하는 인터랙션(interaction)을 통해 전송된다.In this case, the ARP packet is used for mapping a MAC address, which is a physical address, and a logical IP address. For example, although the IP address of the other party is known when an IP packet is transmitted for data communication in the virtual machine or the gateway, If the L2 address (Ethernet address) is not known, the ARP packet is broadcasted to all nodes in the network in order to know the L2 address, and an ARP response is sent to the L2 address (MAC address, Ethernet address) It is transmitted through interaction that responds to the subject.

112 과정에서는 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집한다.In step 112, IP address and MAC address are collected from the broadcasted ARP packet through a path bypass virtual machine that manages ingress / egress packets of the internal network.

114 과정에서는 상기 경로 우회 가상 머신에서 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성한다.In step 114, the IP address and the MAC address based ARP table DB collected in the path bypass virtual machine are generated.

여기서, 상기 ARP 테이블 DB는, 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷별 IP 주소 및 MAC 주소가 매칭되어 테이블링된 것으로, 내부와 외부 간 가상 머신으로 전송되는 양방향 서비스 수행 시 발생된 ARP 패킷이 기설정된 순서별로 정렬되어 관리된다.Here, the ARP table DB is a table in which an IP address and a MAC address of each ingress / egress packet of the internal network are matched to each other and is transmitted to a virtual machine between the inside and the outside. ARP packets are managed in a predetermined order.

그리고, 상기 가상 머신 혹은 게이트웨이에서는 상호 데이터 통신을 위한 패킷 송수신 시 발생되는 ARP 패킷 요청(request) 및 응답(response)에 기반한 인터랙션별 ARP 캐쉬를 각각 자신의 ARP 테이블에서 관리한다.The virtual machine or gateway manages the ARP cache for each interaction based on an ARP packet request and a response generated when transmitting and receiving a packet for mutual data communication in its own ARP table.

즉, 상기 내부 네트워크에서 가상 머신으로부터 ARP 요청 패킷이 스캐터링된 경우, 게이트웨이에서는 기설정된 정책 정보에 따라 할당된 IP 주소와 MAC 주소가 포함된 ARP 응답을 수행하고, 상기 가상 머신의 ARP 요청 패킷으로 게이트웨이에서의 ARP 응답을 통해 생성된 가상 머신과 게이트웨이별 ARP 캐쉬를 이용하여 상기 게이트웨이와 가상 머신 간의 패킷 전송을 위한 인터랙션(interaction)을 수행하고, 상기 인터랙션을 통해 생성된 게이트웨이 및 가상 머신별 ARP 캐쉬 기반 각 ARP 테이블이 통합적으로 ARP 테이블 DB에 구축되어 상기 경로 우회 가상 머신에서 관리된다.That is, when the ARP request packet is scattered from the virtual machine in the internal network, the gateway performs an ARP response including the IP address and the MAC address allocated according to the preset policy information, and transmits the ARP request packet Performs an interaction for packet transmission between the gateway and the virtual machine using the virtual machine generated through the ARP response at the gateway and the ARP cache for each gateway and transmits the ARP cache for each gateway and virtual machine generated through the interaction Based ARP tables are integrally constructed in the ARP table DB and managed in the path bypass virtual machine.

계속해서, 116 과정에서는 상기 클라우드 서버 시스템의 내부 네트워크 서비스 트래픽 타입에 따라 경로 우회 트래픽 서비스인지 여부를 판단하여, 경로 우회 트래픽 서비스인 경우 118 과정으로 이동한다.In step 116, it is determined whether the service is a bypass bypass traffic service according to an internal network service traffic type of the cloud server system. If the service is a bypass bypass traffic service, step 118 is performed.

여기서, 상기 서비스 트래픽 타입은, 게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함하는 것으로, 상기 116 과정에서의 경로 우회 트래픽 서비스 여부를 체크하여 아닌 경우 117 과정으로 이동하여 초기 경로 정책에 따른 동작을 수행한다.Herein, the service traffic type includes service traffic in which a gateway and a virtual machine are directly interfaced with each other to perform packet transmission according to a policy for packet transmission, and an initial path policy when a gateway and a virtual machine perform an interaction for packet transmission If it is determined that the path bypass traffic service is not checked in step 116, the process proceeds to step 117, and an operation according to the initial path policy is performed.

118 과정에서는 게이트웨이와 신규 생성된 혹은 기존 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 경로 우회 가상 머신으로의 경유를 위해 각 ARP 테이블에서 폐기하기 위하여 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 혹은 기존 가상 머신에 각각 전송한다.In step 118, in order to discard the ARP cache generated through the interaction between the gateway and the newly created or existing virtual machine in each ARP table for passing to the path bypass virtual machine, the ARP change request packet is transmitted to the gateway and the new And sends them to the created or existing virtual machines respectively.

다시 말해, MAC 주소가 경로 우회 머신으로 변경된 ARP 변경 요청 패킷을 인터랙션을 수행하는 게이트웨이 및 가상 머신에 전송하여 해당 게이트웨이 및 가상 머신이 경로 우회 머신의 MAC 주소를 통해 상기 경로 우회 머신으로 패킷이 우회되도록 한다.In other words, the ARP change request packet whose MAC address is changed to the path bypassing machine is transmitted to the gateway and the virtual machine performing the interaction, so that the gateway and the virtual machine can bypass the path bypassing machine via the MAC address of the bypass bypassing machine do.

이때, 상기 ARP 변경 요청 패킷은, 상기 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책(예컨대, 패킷을 교환하는 네트워크 장비 간 일대일 페이징(paging)되어 패킷을 전송하는 일반적인 인터페이스 경로)에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송되는 것으로, 해당 ARP 변경 요청 패킷은 인터랙션되어 상호 패킷을 송수신하는 상대측 MAC 주소가 아닌 자신의 MAC 주소(경로 우회 가상 머신)으로 변경되어 해당 패킷이 우회하도록 한다.At this time, the ARP change request packet induces an IP address and a MAC address to be discarded in an ARP cache generated through an interaction for packet transmission between the gateway and the virtual machine. In the cloud service network, In order to bypass the path of the service traffic flow against the predetermined service traffic flow among the esgress traffic in contrast to the initial path policy (for example, a general interface path in which packets are paged one-to-one between network devices exchanging packets) The corresponding ARP change request packet is interchanged and changed to its own MAC address (path bypass virtual machine) instead of the MAC address of the other party transmitting and receiving packets, so that the packet is bypassed.

120 과정에서는 상기 ARP 변경 요청 패킷에 따라 상기 각 가상 머신과 게이트웨이에서 발생된 ARP 캐쉬가 ARP 테이블에서 갱신된다.In step 120, the ARP cache generated in each virtual machine and the gateway is updated in the ARP table according to the ARP change request packet.

상기 ARP 테이블 DB는, 상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신된다.The ARP table DB is managed through the path bypass virtual machine. The ARP table DB is used for data communication between the gateway and a plurality of virtual machines based on the virtual OS based on the policy information set in the cloud service network. Address and MAC address are mapped and maintained or updated according to the service traffic type for each period.

122 과정에서 가상 머신과 게이트웨이에서의 발생 트래픽이 MAC 주소에 대응되게 경로 우회 가상 머신으로 우회한다.In step 122, the generated traffic in the virtual machine and the gateway is bypassed to the path bypass virtual machine corresponding to the MAC address.

즉, 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어한다.That is, the ARP packet corresponding to the MAC address of the path-bypassing virtual machine is transmitted to the virtual OS-based network in a predetermined period, and the virtual machine created based on the virtual OS and the communication device performing the interaction with the virtual machine And controls the generated traffic according to predetermined policy information.

상기 기설정된 정책 정보는, 클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어한다.The preset policy information includes information on a service traffic set in response to an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway when a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine, Referring to the updated ARP table DB according to the type, if the Ethernet frame of the packet is changed and transmitted, control is passed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame.

이후, 상기 기설정된 정책 정보에 따라 우회되어 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 인터랙션이 수행된 MAC 주소로 변경되어 재전송된다.Thereafter, the Ethernet frame of the packet received from the gateway is bypassed according to the preset policy information, and the MAC address is changed to the MAC address on which the interaction is performed by referring to the ARP table DB.

이때, 상기 게이트웨이로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정한다.
At this time, it is determined whether or not the packet received from the gateway is harmful according to predetermined policy information, and it is determined whether to retransmit the packet according to the determination result.

이와 같이, 본 발명에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 따라 내부 네트워크에서 발생되는 ARP 패킷 브로드케스트 정보를 받아서 내부의 IP와 MAC 주소를 수집하여 내부 네트워크의 ARP 테이블을 관리하고, 경유지 역할을 하는 경로 우회 가상 머신의 MAC을 포함하는 ARP 패킷을 주기적으로 가상 OS 내부 네트워크로 전송하여 원하는 서비스 트래픽 흐름의 경로로 우회되도록 ARP 테이블 DB를 변경 및 유지하고, 우회된 트래픽 패킷에 대한 유해성을 모니터링/제어한 후, 패킷의 IP정보에 맞는 MAC 정보로 복원하여 원래의 목적지로 전송되도록 한다.
As described above, according to the cloud security service providing method through the traffic control in the cloud service network according to the present invention, the ARP packet broadcast information generated in the internal network is received and the internal IP and MAC address are collected to manage the ARP table of the internal network And the ARP packet including the MAC of the path bypass virtual machine serving as a transit point is periodically transmitted to the virtual OS internal network to change and maintain the ARP table DB so as to be bypassed to the path of the desired service traffic flow, Monitors and controls the harmfulness of the packet, and restores the MAC information according to the IP information of the packet to be transmitted to the original destination.

이상 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 대해 살펴보았다.The method of providing cloud security service through traffic control in the cloud service network according to an embodiment of the present invention has been described.

이하에서는, 본 발명의 일 실시 예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 도 2 내지 도 5를 참조하여 자세히 살펴보기로 한다.
Hereinafter, a system for providing a cloud security service through traffic control in a cloud service network according to an embodiment of the present invention will be described in detail with reference to FIG. 2 to FIG.

우선, 도 2는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템의 구성도이다.2 is a block diagram of a system for providing cloud security service through traffic control in a cloud service network according to an embodiment of the present invention.

도 2를 참조하면, 본 발명이 적용된 시스템(200)은 복수의 가상 머신#1, 2, 3, 경로 우회 가상 머신(210), 게이트웨이(220)을 포함한다.Referring to FIG. 2, a system 200 to which the present invention is applied includes a plurality of virtual machines # 1, 2 and 3, a path bypass virtual machine 210, and a gateway 220.

상기 경로 우회 가상 머신(210)은 가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신(가상 머신#1, 2, 3)을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크(202)에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB(207)를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어한다.The path-bypass virtual machine 210 includes an internal network 202 of a cloud server system that provides a virtualized computing environment through a plurality of virtual machines (virtual machines # 1, 2, 3) to which virtualized computing resources are allocated (ARP table) 207 based on the collected IP address and MAC address, and generates a MAC address based on the MAC address of the MAC address The virtual machine OS transmits the ARP change request packet to the virtual OS based network by a predetermined period and transmits the generated traffic to the virtual machine based on the virtual OS and the communication generated by the communication device performing the interaction with the virtual machine, Control according to information.

또한, 상기 경로 우회 가상 머신(210)은, 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크(202)에서 상기 내부 네트워크(202)의 인그래스(ingress)/이그레스(egress) 패킷을 통합 관리한다.The path bypass virtual machine 210 may also integrate ingress / egress packets of the internal network 202 in an internal network 202 of a cloud server system that provides a virtualized computing environment. Management.

이때, 상기 경로 우회 가상 머신(210)은, 서비스 트래픽 타입에 따라 게이트웨이(220)와 신규 생성된 가상 머신(#3) 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 가상 머신(#3)에 각각 전송하고, 상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이(220)와 신규 생성된 가상 머신별 발생 트래픽이 상기 ARP 변경 요청 패킷의 MAC 주소에 대응되게 경로가 우회되도록 제어하는 ARP 처리부(212) 및 상기 기설정된 정책 정보에 따라 게이트웨이(220)로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB(207)를 참조하여 변경하여 해당 가상 머신으로 재전송하되, 상기 게이트웨이(220)로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정하는 트래픽 모니터링부(214)를 포함한다.At this time, the path bypass virtual machine 210 sets an ARP change request packet in order to discard the ARP cache generated through the interaction between the gateway 220 and the newly created virtual machine (# 3) according to the service traffic type The generated ARP cache is updated according to the ARP change request packet and the generated traffic for each new virtual machine by the gateway 220 is transmitted to the ARP change request An ARP processor 212 for controlling the path to be bypassed so as to correspond to a MAC address of the packet, and an Ethernet frame of the packet received from the gateway 220 according to the preset policy information by referring to the ARP table DB 207, It is determined whether or not the packet received from the gateway 220 is harmful according to the preset policy information, And a traffic monitoring unit 214 for determining whether to retransmit the packet.

즉, 상기 ARP 처리부(212)는 가상머신과 외부 게이트웨이(220)사이의 경유지를 통한 서비스 패킷 흐름, 클라우드 환경 내부(202)에서 서비스 패킷이 우회되도록 ARP 패킷을 전송하고, 클라우드 내부 네트워크(202)에서 발생되는 브로드캐스트 정보를 받아서 내부 가상 머신들의 아이피와 MAC을 수집하여 ARP 테이블을 관리하는 브로드캐스트처리모듈(219)을 더 포함한다.That is, the ARP processing unit 212 transmits a service packet flow through the intermediate network between the virtual machine and the external gateway 220, an ARP packet to bypass the service packet in the inside of the cloud environment 202, And a broadcast processing module 219 for collecting the IPs and MACs of the internal virtual machines and managing the ARP table.

상기 트래픽 모니터링부(214)는 트래픽의 유해성을 확인하는 트래픽 모니터링 모듈(215), MAC을 가상머신#N에서 게이트웨이(220) 또는 게이트웨이(220)에서 가상머신(#1, #2, #3)으로 패킷 전송시 변경하기 전 MAC으로 복원하는 MAC변경모듈(217)을 포함한다.The traffic monitoring unit 214 includes a traffic monitoring module 215 for checking the harmfulness of the traffic, a virtual machine # 1, # 2, or # 3 in the virtual machine #N to the gateway 220 or the gateway 220, And a MAC change module 217 for restoring the MAC to the MAC before changing the packet transmission.

그리고, 상기 ARP 변경 요청 패킷은, 상기 ARP 처리부(212)를 통해 생성되어 게이트웨이(220)와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크(202)에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신(210)으로부터 전송된다.The ARP change request packet is generated through the ARP processor 212 and induces an IP address and a MAC address to be discarded in an ARP cache generated through an interaction for packet transmission between the gateway 220 and the virtual machine , And is bypassed from the path bypass virtual machine 210 to bypass that path against an initial path policy for a given service traffic flow among Grass / Grays traffic that is internal and external to the cloud service network 202.

상기 기설정된 정책 정보는, 경로 우회 가상 머신(210)에서 설정되어, 클라우드 서비스 네트워크(202) 내 게이트웨이(220)에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이(220)로 소정 패킷을 전송하는 경우, 상기 가상 머신(#1, 2, 3) 혹은 게이트웨이(220)로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB(207)를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신(210)으로 경로가 경유되도록 제어한다.The predetermined policy information is set in the path bypass virtual machine 210 and is transmitted to the gateway 220 in the cloud service network 202 when a predetermined packet is transmitted from the gateway 220 to the virtual machine, (ARP) table updated based on the service traffic type set against the initial path policy based on the ARP response received in response to the ARP request packet from the virtual machines (# 1, 2, 3) or the gateway 220 DB 207 to change the Ethernet frame of the packet and transmit the changed Ethernet frame to the path bypass virtual machine 210 corresponding to the MAC address of the Ethernet frame.

이때, 상기 ARP 테이블 DB(207)는 경로 우회 가상 머신(210)을 통해 관리되는 것으로, 클라우드 서비스 네트워크(202)에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신((#1, #2, #3)과 게이트웨이(220) 간 데이터 통신을 위해 상기 게이트웨이(220)와 가상 머신(#1, #2, #3)별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신된다.The ARP table DB 207 is managed through the path bypass virtual machine 210. The ARP table DB 207 manages a plurality of virtual machines based on the virtual OS based on the policy information set in the cloud service network 202 The IP address and the MAC address output by the gateway 220 and the virtual machines # 1, # 2 and # 3 are mapped for data communication between the gateway 220 and the gateway 220, Maintained or updated.

한편, 상기 서비스 트래픽 타입은, 클라우드 서비스 내부 네트워크(202)에서 원하는 트래픽 서비스에 따라 설정되는 것으로, 게이트웨이(220)와 가상 머신((#1, #2, #3)이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이(220)와 가상 머신(#1, #2, #3)이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신(210)으로 우회하는 서비스 트래픽을 포함한다.The service traffic type is set according to a desired traffic service in the cloud service internal network 202. The gateway 220 and the virtual machines (# 1, # 2, # 3) Service traffic that performs packet transmission according to a policy for transmission and a service traffic that performs a packet bypass when the gateway 220 and the virtual machines # 1, # 2, and # 3 perform an interaction for packet transmission, And includes service traffic that bypasses the virtual machine 210.

상기 클라우드 서비스 내부 네트워크(202) 내 경로 우회 가상 머신(210)에서 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 ARP 변경 요청 패킷 전송이 중지되고, 게이트웨이(220)와 소정 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행한다.When the power is turned off forcibly or automatically in the path bypass virtual machine 210 in the cloud service internal network 202, the ARP change request packet transmission is stopped, and the gateway 220 and a predetermined virtual machine are directly interfaced And performs packet transmission according to a policy for packet transmission.

계속해서, 상기 복수의 가상 머신(가상 머신#1, 2, 3)은 가상 OS(204, 206)를 기반으로 생성되어 상기 경로 우회 가상 머신(210)으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이(220) 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블(203)에서 폐기된다.Then, the plurality of virtual machines (virtual machines # 1, 2 and 3) are created based on the virtual OSs 204 and 206 and are connected to the gateway 220) is discarded in the ARP table 203. The ARP cache 203,

상기 게이트웨이(220)는 소정의 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블(205)이 생성되고, 상기 경로 우회 가상 머신(210)으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블(209)에서 폐기된다.
The ARP table 205 is generated based on the ARP cache generated through the interaction with a predetermined virtual machine and the gateway 220 generates the ARP cache 205 according to the ARP change request packet transmitted from the path bypass virtual machine 210. [ Is discarded in the ARP table (209).

도 3은 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 경로 우회 가상 머신 내 ARP 처리부에 관한 것이다.FIG. 3 is a flow chart illustrating a method of providing a cloud security service through traffic control in a cloud service network according to an exemplary embodiment of the present invention.

도 3을 참조하면, 가상머신 #3은 클라우드 서비스 네트워크에서 신규로 추가된 가상머신(#3)은 클라우드 서비스 네트워크에서 신규로 추가된 가상머신으로 ARP처리부(312)는 3단계 처리단계로 동작된다.3, the virtual machine # 3 newly added in the cloud service network is a newly added virtual machine in the cloud service network, and the ARP processor 312 operates as a three-stage processing step .

1단계는 신규로 생성된 가상머신#3에서 ARP 요청을 하고, 게이트웨이(320)는 게이트웨이(320)는 IP, MAC (10.1.1.11, a) 으로 응답을 하게 된다. In the first step, an ARP request is made in the newly created virtual machine # 3, and the gateway 320 responds to the IP and the MAC (10.1.1.11, a).

반대로 게이트웨이(320)에서 ARP 요청을 하고, 가상머신#3은 IP, MAC (10.01.1.102, d) 로 응답을 하게 된다. Conversely, the gateway 320 makes an ARP request, and the virtual machine # 3 responds with IP and MAC (10.01.1.102, d).

2단계에서는 1단계 ARP 수행과정에서 내부 네트워크로 브로드캐스트 되는 정보를 ARP 테이블 DB(30)에 저장 및 관리된다.In the second step, the information broadcast to the internal network in the first step ARP process is stored and managed in the ARP table DB 30.

3단계는 가상머신#3 과 게이트웨이(320)의 서로 간의 MAC 을 사용하지 않고 경로 우회 가상 머신(310)으로 경유하도록 하기 위한 방법으로 ARP 변경요청을 가상머신#3 과 게이트웨이(320)로 전송하는 단계이다. The third step is to send an ARP change request to the virtual machines # 3 and 320 via the path bypass virtual machine 310 without using the MAC between the virtual machine # 3 and the gateway 320 .

더욱 상세하게는, ARP 처리모듈(314)은 가상머신#3 ARP 캐쉬 기반 ARP 테이블(31) 및 게이트웨이(320)의 ARP 테이블(32)를 변경시키기 위해, 가상머신#3 에 ARP 응답 패킷을 아이피, MAC(10.1.1.11, f) 전송하여 ARP 테이블(31)에 등록된 IP, MAC(10.0.1.11, a)을 폐기하도록 유도하고, 게이트웨이(320)에 ARP 요청패킷을 가지고 있는 IP, MAC(10.1.1.102, f) 를 전송하여 ARP 테이블(31)에 등록된 IP, MAC(10.1.1.102, d)폐기하도록 한다. More specifically, the ARP processing module 314 sends an ARP response packet to the virtual machine # 3 to change the ARP cache-based ARP table 31 of the virtual machine # 3 and the ARP table 32 of the gateway 320, (10.1.1.11, f) to discard the IP and MAC (10.0.1.11, a) registered in the ARP table (31), and transmits to the gateway (320) 10.1.1.102, f) to discard the IP and MAC (10.1.1.102, d) registered in the ARP table 31. [

이와 같은 폐기 동작은 게이트웨이(320)와 가상머신#3 에서 정상적으로 보내는 ARP 응답을 할 경우가 발생할 수 있으므로 주기적으로 ARP 변경이 실행되어야 한다. 서비스 패킷 흐름의 경로가 유지되지 않는 상황이 되면 ARP 요청 및 응답을 관여하지 않기 때문에 우회되지 않은 구성으로 복구된다. 이런 기능은 경로 우회 가상 머신(310)이 다운되는 경우에도 가상 머신들과 외부망의 연속성을 유지시켜 줄 수 있는 특징이 될 수 있다.
Such a dismounting operation may occur when an ARP response is normally transmitted from the gateway 320 and the virtual machine # 3, so the ARP change must be periodically performed. If the path of the service packet flow is not maintained, it is restored to a non-bypassed configuration because it does not involve ARP requests and responses. This function can be a feature that maintains the continuity between the virtual machines and the external network even when the path bypass virtual machine 310 goes down.

도 4는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 외부망으로부터 경로 우회 가상 머신을 경유하여 내부 가상 머신으로 전송되는 트래픽 처리에 관한 예시도이다.FIG. 4 is a diagram illustrating traffic processing to be transmitted from an external network to an internal virtual machine via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention .

도 4는 상술한 도 3에서 실시되는 ARP 처리부에 의해서 서비스 흐름이 변경된 상태로, 도 4을 참조하면, 게이트웨이(420)에 의해 ARP 테이블(42)를 사용하여 목적지MAC(f), 소스MAC(a), 목적지 아이피 (10.1.1.100), 소스 아이피(100. 1. 1. 11) 로 이더넷 프레임이 변경되어 전송된다.4, the service flow is changed by the ARP processing unit of FIG. 3. Referring to FIG. 4, the destination MAC (f), the source MAC a), the destination IP (10.1.1.100), and the source IP (100. 1.1.11).

일반적인 레이어2(L2) 스위치 기능을 통해 목적지 MAC(f) 는 MAC값이 f를 갖는 경로 우회 가상 머신(410)으로 트래픽이 전달된다.Through the general layer 2 (L2) switch function, the destination MAC (f) carries traffic to the path bypass virtual machine 410 having the MAC value f.

트래픽 모니터링부(414)의 MAC 변경 모듈(417)은 ARP 테이블 DB(40)를 참조하여 목적지MAC(b), 소스MAC(f), 목적지 아이피 (10.1.1.100), 소스 아이피(100. 1. 1. 11)로 변경하고 재전송한다. The MAC change module 417 of the traffic monitoring unit 414 refers to the ARP table DB 40 to determine the destination MAC (b), the source MAC (f), the destination IP (10.1.1.100), and the source IP (100.1. 1. Change to 11) and retransmit.

재전송전 트래픽 모니터링 모듈(415)에서는 해당 패킷의 유해성을 확인하고, 보안에 위배되는 패킷인 경우는 재전송하지 않도록 하여 가상머신#1 을 보호하는 기능을 할 수 있다. 따라서 외부망에서 가상머신으로 전달되는 패킷은 항상 경로우회트래픽감사가상머신으로 수신되어 처리될 수 있다.
The traffic monitoring module 415 before retransmission can check the harmfulness of the packet and protect the virtual machine # 1 by preventing retransmission if the packet is a security violation. Therefore, packets that are transferred from the external network to the virtual machine can always be received and processed by the bypass bypass traffic audit virtual machine.

도 5는 본 발명의 일 실시예에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 시스템에 있어서, 내부 가상 머신으로부터 경로 우회 가상 머신을 경유하여 외부망으로 전송되는 트래픽 처리에 관한 예시도이다.5 is a diagram illustrating an example of traffic processing that is transmitted from an internal virtual machine to a foreign network via a path bypass virtual machine in a cloud security service providing system through traffic control in a cloud service network according to an embodiment of the present invention .

도 5는 상술한 도 3에서 실시되는 ARP 처리부에 의해서 서비스 흐름이 변경된 상태로서, 가상머신#1는 ARP 테이블(53)를 참조하여 목적지MAC(f), 소스MAC(b), 목적지 아이피 (100.1.1.11), 소스 아이피(10. 1. 1. 100) 로 이더넷 프레임으로 전송된다. 목적지 MAC(f) 는 MAC값이 f를 갖는 경로 우회 가상 머신으로 항상 수신된다. 트래픽 모니터링부(514)의 MAC 변경모듈(517)은 ARP 테이블 DB(50)를 참조하여 목적지MAC(a), 소스MAC(f), 목적지 아이피 (100.1.1.11), 소스 아이피(10. 1. 1. 100)로 변경하고 재전송한다. 5 is a state in which the service flow is changed by the ARP processor implemented in the above-described FIG. 3. The virtual machine # 1 refers to the ARP table 53 and stores the destination MAC (f), the source MAC (b) .1.11) and the source IP (10.1.1.100). The destination MAC (f) is always received by the path bypass virtual machine with the MAC value f. The MAC change module 517 of the traffic monitoring unit 514 refers to the ARP table DB 50 to determine the destination MAC (a), the source MAC (f), the destination IP 100.1.1.11, 1. 100) and retransmits it.

재전송전에는 트래픽 모니터링 모듈(515)에서는 해당 패킷의 유해성을 확인하고, 보안에 위배되는 패킷인 경우는 재전송하지 않도록 하여 가상 머신#1에서의 정보 유출을 보호할 수 있다. 목적지MAC(a) 는 MAC값이 a를 갖는 게이트웨이 장비가 수신된다. 따라서 클라우드 내부의 가상머신에서 외부망으로 전달되는 패킷은 항상 경로 우회 가상 머신(510)으로 수신되어 처리될 수 있다.
Before the retransmission, the traffic monitoring module 515 checks the harmfulness of the packet, and if it is a packet violating the security, it does not retransmit, thereby protecting information leakage in the virtual machine # 1. The destination MAC (a) receives a gateway device having a MAC value a. Therefore, packets transmitted from the virtual machine inside the cloud to the external network can always be received and processed by the bypass bypass virtual machine 510. [

상기와 같이 본 발명에 따른 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법 및 시스템에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.As described above, the method and system for providing cloud security service through traffic control in the cloud service network according to the present invention can be performed. Meanwhile, while the present invention has been described with respect to specific embodiments, And can be practiced without departing from the scope of the invention. Accordingly, the scope of the present invention should not be limited by the illustrated embodiments, but should be determined by equivalents of the claims and the claims.

202: 클라우드 서비스 네트워크 210: 경로 우회 가상 머신 212: ARP 처리부 214: 트래픽 모니터링부 215: 트래픽 모니터링 모듈 217: MAC 변경 모듈
219: 브로트케스트처리 모듈 220: 게이트웨이202: a cloud service network 210: a path bypass virtual machine 212: an ARP processing unit 214: a traffic monitoring unit 215: a traffic monitoring module 217:
219: Broadcast processing module 220: Gateway

Claims (16)

클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법에 있어서,
가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 가상 머신별 발생된 ARP(Address Resolution Protocol) 패킷이 브로드캐스팅되는 과정과,
상기 브로드캐스팅된 ARP 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하는 과정과,
상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 관리하는 경로 우회 가상 머신을 통해 상기 경로 우회 가상 머신의 MAC 주소에 대응되는 ARP 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 과정을 포함하고,
상기 기설정된 정책 정보는,
클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.A method for providing a cloud security service through traffic control in a cloud service network,
The method comprising: broadcasting an ARP (Address Resolution Protocol) packet generated by a virtual machine in an internal network of a cloud server system providing a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated;
Collecting an IP address and a MAC address from the broadcasted ARP packet and generating an IP address and a MAC address based ARP table DB;
The ARP packet corresponding to the MAC address of the path-bypassing virtual machine is transmitted to the virtual OS-based network in a predetermined cycle through a path bypass virtual machine for managing an ingress / egress packet of the internal network Controlling a traffic generated in a virtual machine created based on the virtual OS and a communication device performing an interaction with the virtual machine according to preset policy information,
Wherein the predetermined policy information comprises:
When a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine or a packet is transmitted from a virtual machine to a gateway, an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway When the Ethernet frame of the corresponding packet is changed by referring to the updated ARP table DB according to the service traffic type set in response to the set service traffic type, the path is routed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame. A method of providing a cloud security service for traffic control in a cloud service network. 제1항에 있어서,
상기 내부 네트워크에서 가상 머신으로부터 ARP 요청 패킷이 스캐터링된 경우, 게이트웨이에서 기설정된 정책 정보에 따라 할당된 IP 주소와 MAC 주소가 포함된 ARP 응답을 수행하고, 상기 게이트웨이의 ARP 응답을 통해 생성된 ARP 캐쉬를 이용하여 상기 게이트웨이와 가상 머신 간의 패킷 전송을 위한 인터랙션(interaction)을 수행하는 과정과,
상기 인터랙션을 통해 생성된 ARP 캐쉬 기반 ARP 테이블 DB를 구축하여 관리하는 과정과,
서비스 트래픽 타입에 따라 게이트웨이와 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 가상 머신에 각각 전송하는 과정과,
상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이와 신규 생성된 가상 머신별 발생 트래픽이 MAC 주소에 대응되는 경로 우회 가상 머신으로 우회하는 과정을 포함함을 특징으로 하는 클라우스 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법.The method according to claim 1,
When an ARP request packet is scattered from a virtual machine in the internal network, an ARP response including an IP address and a MAC address allocated according to the policy information set in the gateway is performed, and the ARP response generated by the ARP response of the gateway Performing an interaction for packet transmission between the gateway and the virtual machine using a cache,
Constructing and managing an ARP cache-based ARP table DB generated through the interaction;
Transmitting an ARP change request packet to the gateway and the virtual machine at predetermined intervals in order to discard the ARP cache generated through the interaction between the gateway and the virtual machine according to the service traffic type;
The ARP cache is updated according to the ARP change request packet, and the generated traffic for each virtual machine generated by the gateway is bypassed to a path bypass virtual machine corresponding to the MAC address. To provide cloud security services. 제2항에 있어서,
상기 내부 네트워크 내 경로 우회 가상 머신에서 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 ARP 변경 요청 패킷 전송이 중지되고, 게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 과정을 더 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2,
When the power is forcibly or automatically turned off in the path bypassing virtual machine in the internal network, the ARP change request packet transmission is stopped, and the gateway and the virtual machine are directly interfaced to perform packet transmission according to a policy for the predetermined packet transmission The method of claim 1, further comprising the steps of: 제2항에 있어서, 상기 ARP 변경 요청 패킷은,
상기 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.The method of claim 2, wherein the ARP change request packet includes:
The method comprising the steps of: (a) in the ARP cache created through the interaction between the gateway and the virtual machine, discarding an IP address and a MAC address from the ARP cache; Wherein the path is bypassed from the path bypass virtual machine in order to bypass the path against the initial path policy in the cloud service network. 삭제delete 제1항에 있어서,
상기 기설정된 정책 정보에 따라 우회되어 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 인터랙션이 수행된 MAC 주소로 변경하여 재전송함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.The method according to claim 1,
Wherein the network control unit changes the Ethernet frame of the packet received from the gateway according to the preset policy information to the MAC address on which the interaction has been performed by referring to the ARP table DB and retransmits the MAC address to the MAC address of the cloud service network. Delivery method. 제6항에 있어서, 상기 게이트웨이로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.The method as claimed in claim 6, further comprising determining whether a packet received from the gateway is harmful or not based on the predefined policy information, and determining whether to retransmit the packet according to the determination result. Service delivery method. 제2항에 있어서, 상기 ARP 테이블 DB는,
상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2, wherein the ARP table (DB)
The IP address and the MAC address output by the gateway and the virtual machine are mapped for data communication between the plurality of virtual machines based on the virtual OS and the gateway according to the policy information set in the cloud service network, Wherein the service traffic type is maintained or updated according to a service traffic type for each cycle. 제2항에 있어서, 상기 서비스 트래픽 타입은,
게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 방법.3. The method of claim 2,
The service traffic that performs packet transmission according to the policy for the packet transmission that is directly interfaced with the gateway and the virtual machine, and the bypass route when the gateway and the virtual machine perform the interaction for packet transmission, The method of claim 1, wherein the service traffic includes a service traffic that is bypassed to the cloud service network. 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템에 있어서,
가상화된 컴퓨팅 자원(resource)이 할당된 복수의 가상 머신을 통해 가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 브로드캐스팅된 가상 머신별 ARP(Address Resolution Protocol) 패킷으로부터 IP 주소와 MAC 주소를 수집하고, 수집된 상기 IP 주소와 MAC 주소 기반 ARP 테이블 DB를 생성하고, 자신의 MAC 주소에 대응되는 ARP 변경 요청 패킷을 기설정된 주기별로 가상 OS 기반 네트워크로 전송하여 상기 가상 OS를 기반으로 생성된 가상 머신과, 상기 가상 머신과 인터랙션을 수행하는 통신 기기에서 발생된 트래픽을 기설정된 정책(policy) 정보에 따라 제어하는 경로 우회 가상 머신과,
가상 OS를 기반으로 생성되어 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 게이트웨이 간 인터랙션을 통해 생성된 ARP 캐쉬가 ARP 테이블에서 폐기되는 가상 머신과,
상기 가상 OS를 기반으로 생성된 가상 머신과 인터랙션을 통해 생성된 ARP 캐쉬를 기반으로 ARP 테이블이 생성되고, 상기 경로 우회 가상 머신으로부터 전송된 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 ARP 테이블에서 폐기되는 게이트웨이를 포함하고,
상기 기설정된 정책 정보는,
클라우드 서비스 네트워크 내 게이트웨이에서 가상 머신으로 소정 패킷을 전송하는 경우 혹은 가상 머신에서 게이트웨이로 소정 패킷을 전송하는 경우, 상기 가상 머신 혹은 게이트웨이로부터 ARP 요청 패킷의 응답으로 수신된 ARP 응답을 기반으로 초기 경로 정책에 반하여 설정된 서비스 트래픽 타입에 따라 갱신된 ARP 테이블 DB를 참조하여 해당 패킷의 이더넷 프레임을 변경하여 전송하면, 상기 이더넷 프레임의 MAC 주소에 대응되는 경로 우회 가상 머신으로 경로가 경유되도록 제어함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.A cloud security service providing system for traffic control in a cloud service network,
The IP address and the MAC address from the ARP (Address Resolution Protocol) packet for each virtual machine broadcasted in the internal network of the cloud server system that provides a virtualized computing environment through a plurality of virtual machines to which virtualized computing resources are allocated Generates an ARP table DB based on the collected IP address and MAC address, transmits an ARP change request packet corresponding to the MAC address of the ARP change request packet to the virtual OS based network according to a predetermined period, A path bypass virtual machine for controlling traffic generated in a communication device performing an interaction with the virtual machine according to predetermined policy information;
A virtual machine that is created based on a virtual OS and that is created in an ARP change request packet transmitted from the path bypass virtual machine,
An ARP table is generated based on an ARP cache generated through interaction with a virtual machine created based on the virtual OS, and the ARP cache is discarded in the ARP table according to an ARP change request packet transmitted from the path bypass virtual machine Gateway,
Wherein the predetermined policy information comprises:
When a predetermined packet is transmitted from a gateway in a cloud service network to a virtual machine or a packet is transmitted from a virtual machine to a gateway, an initial path policy based on an ARP response received in response to an ARP request packet from the virtual machine or gateway When the Ethernet frame of the corresponding packet is changed by referring to the updated ARP table DB according to the service traffic type set in response to the set service traffic type, the path is routed to the path bypass virtual machine corresponding to the MAC address of the Ethernet frame. A cloud security service providing system for traffic control in a cloud service network. 제10항에 있어서, 상기 경로 우회 가상 머신은,
가상화된 컴퓨팅 환경을 제공하는 클라우드 서버 시스템의 내부 네트워크에서 상기 내부 네트워크의 인그래스(ingress)/이그레스(egress) 패킷을 통합 관리함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The virtual machine according to claim 10,
A method for providing a cloud security service for traffic control in a cloud service network, characterized by integrating and managing ingress / egress packets of the internal network in an internal network of a cloud server system providing a virtualized computing environment . 제10항에 있어서, 상기 경로 우회 가상 머신은,
서비스 트래픽 타입에 따라 게이트웨이와 신규 생성된 가상 머신 간 인터렉션을 통해 생성된 ARP 캐쉬를 폐기하기 위해 ARP 변경 요청 패킷을 기설정된 주기별로 상기 게이트웨이 및 신규 생성된 가상 머신에 각각 전송하고, 상기 ARP 변경 요청 패킷에 따라 상기 ARP 캐쉬가 갱신되어 게이트웨이와 신규 생성된 가상 머신별 발생 트래픽이 상기 ARP 변경 요청 패킷의 MAC 주소에 대응되게 경로가 우회되도록 제어하는 ARP 처리부 및
상기 기설정된 정책 정보에 따라 게이트웨이로부터 수신된 패킷의 이더넷 프레임을 ARP 테이블 DB를 참조하여 변경하여 해당 가상 머신으로 재전송하되, 상기 게이트웨이로부터 수신된 패킷의 유해성 여부를 기설정된 정책 정보에 따라 판단하여 판단 결과에 따라 해당 패킷의 재전송 여부를 결정하는 트래픽 모니터링부를 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The virtual machine according to claim 10,
An ARP change request packet is transmitted to the gateway and the newly created virtual machine in order to discard the ARP cache generated through the interaction between the gateway and the newly created virtual machine according to the service traffic type, An ARP processing unit for updating the ARP cache according to the packet and controlling the generated traffic for each virtual machine generated by the gateway to bypass the path corresponding to the MAC address of the ARP change request packet;
Determines whether or not the packet received from the gateway is harmful according to predetermined policy information, and transmits the Ethernet frame to the corresponding virtual machine by referring to the ARP table DB according to the preset policy information, And a traffic monitoring unit for determining whether to retransmit the packet according to a result of the determination. 제12항에 있어서, 상기 ARP 변경 요청 패킷은,
상기 ARP 처리부를 통해 생성되어 게이트웨이와 가상 머신 간 패킷 전송을 위한 인터렉션을 통해 생성된 ARP 캐쉬에서 IP 주소 및 MAC 주소를 폐기하도록 유도하는 것으로, 클라우드 서비스 네트워크에서 내부 및 외부 네트워크 인그래스/이그레스 트래픽 중 소정 서비스 트래픽 흐름에 대하여 초기 경로 정책에 반하여 해당 경로를 우회하기 위해 상기 경로 우회 가상 머신으로부터 전송됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.13. The method of claim 12, wherein the ARP change request packet comprises:
The ARP cache is generated through the ARP processing unit and generated through the interaction for the packet transmission between the gateway and the virtual machine. In this way, in the cloud service network, the Grass / Wherein the route guidance is transmitted from the path bypass virtual machine to bypass the path in response to the initial path policy for the predetermined service traffic flow. 삭제delete 제10항에 있어서, 상기 ARP 테이블 DB는,
상기 경로 우회 가상 머신을 통해 관리되는 것으로, 클라우드 서비스 네트워크에 기설정된 정책 정보에 따라 가상 OS 기반 복수의 가상 머신과 게이트웨이 간 데이터 통신을 위해 상기 게이트웨이와 가상 머신별로 출력되는 IP 주소와 MAC 주소가 매핑되어 주기별 서비스 트래픽 타입에 따라 유지되거나 갱신됨을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.11. The method of claim 10, wherein the ARP table DB comprises:
The IP address and the MAC address output by the gateway and the virtual machine are mapped for data communication between the plurality of virtual machines based on the virtual OS and the gateway according to the policy information set in the cloud service network, And is maintained or updated according to the type of service traffic for each cycle. The system for providing cloud security service for traffic control in a cloud service network. 제12항에 있어서, 상기 서비스 트래픽 타입은,
게이트웨이와 가상 머신이 직접 인터페이스되어 기설정된 패킷 전송을 위한 정책에 따라 패킷 전송을 수행하는 서비스 트래픽과, 게이트웨이와 가상 머신이 패킷 전송을 위한 인터랙션 수행 시 초기 경로 정책에 반하여 해당 경로를 경로 우회 가상 머신으로 우회하는 서비스 트래픽을 포함함을 특징으로 하는 클라우드 서비스 네트워크에서 트래픽 제어를 위한 클라우드 보안 서비스 제공 시스템.
13. The method of claim 12,
The service traffic that performs packet transmission according to the policy for the packet transmission that is directly interfaced with the gateway and the virtual machine, and the bypass route when the gateway and the virtual machine perform the interaction for packet transmission, And a service traffic to be detoured to the cloud service network. The system for providing a cloud security service for traffic control in a cloud service network.
KR1020140025482A 2014-03-04 2014-03-04 Method and system for providing cloud security service using traffic control in cloud service network KR101541350B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140025482A KR101541350B1 (en) 2014-03-04 2014-03-04 Method and system for providing cloud security service using traffic control in cloud service network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140025482A KR101541350B1 (en) 2014-03-04 2014-03-04 Method and system for providing cloud security service using traffic control in cloud service network

Publications (1)

Publication Number Publication Date
KR101541350B1 true KR101541350B1 (en) 2015-08-05

Family

ID=53886323

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140025482A KR101541350B1 (en) 2014-03-04 2014-03-04 Method and system for providing cloud security service using traffic control in cloud service network

Country Status (1)

Country Link
KR (1) KR101541350B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180068514A (en) 2016-12-14 2018-06-22 한국전자통신연구원 Apparatus and method for providing virtual security service based on cloud
CN109783188A (en) * 2017-11-10 2019-05-21 英特尔公司 Encryption memory ownership table for safe public cloud
KR20190135128A (en) 2018-05-28 2019-12-06 (주)유엠로직스 Security policy synchronization system and method based on meta data of 4-tier type CASB
KR20190136305A (en) 2018-05-30 2019-12-10 (주)유엠로직스 Load balancing system and method based on artificial intelligence for security control of 4-tier type CASB
KR20190136329A (en) 2018-05-30 2019-12-10 (주)유엠로직스 Access control management system and method of 4-tier type CASB
KR102437825B1 (en) * 2021-07-27 2022-08-30 지니언스(주) Virtual inliine gateway apparatus, traffic control method and network system for providing dynamic network access control through it
CN117176479A (en) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 Bypass decryption national cipher flow auditing method and device and electronic equipment

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180068514A (en) 2016-12-14 2018-06-22 한국전자통신연구원 Apparatus and method for providing virtual security service based on cloud
CN109783188A (en) * 2017-11-10 2019-05-21 英特尔公司 Encryption memory ownership table for safe public cloud
CN109783188B (en) * 2017-11-10 2024-04-09 英特尔公司 Cryptographic memory ownership table for secure public cloud
KR20190135128A (en) 2018-05-28 2019-12-06 (주)유엠로직스 Security policy synchronization system and method based on meta data of 4-tier type CASB
KR20190136305A (en) 2018-05-30 2019-12-10 (주)유엠로직스 Load balancing system and method based on artificial intelligence for security control of 4-tier type CASB
KR20190136329A (en) 2018-05-30 2019-12-10 (주)유엠로직스 Access control management system and method of 4-tier type CASB
KR102437825B1 (en) * 2021-07-27 2022-08-30 지니언스(주) Virtual inliine gateway apparatus, traffic control method and network system for providing dynamic network access control through it
CN117176479A (en) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 Bypass decryption national cipher flow auditing method and device and electronic equipment

Similar Documents

Publication Publication Date Title
KR101541350B1 (en) Method and system for providing cloud security service using traffic control in cloud service network
CN110677379B (en) Method and apparatus for blocking, detecting and/or preventing malicious traffic
US11336696B2 (en) Control access to domains, servers, and content
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
TWI727059B (en) Method and device for processing network traffic
CN105634998B (en) Method and system for unified monitoring of physical machine and virtual machine in multi-tenant environment
JP6037016B2 (en) Method and apparatus for determining virtual machine migration
WO2015058626A1 (en) Virtual network function network elements management method, device and system
US10389628B2 (en) Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network
US11212260B2 (en) Dynamic firewall configuration and control for accessing services hosted in virtual networks
US20140297774A1 (en) System for managing configuration updates in cluster of computational devices
US20200252334A1 (en) Methods and Apparatuses for Flexible Mobile Steering in Cellular Networks
CN109617753B (en) Network platform management method, system, electronic equipment and storage medium
KR20160002260A (en) SDN-based network monitoring virtualization system and method therefor
EP3982600A1 (en) Qos policy method, device, and computing device for service configuration
KR102376493B1 (en) NFV based messaging service security providing method and system for the same
KR20160118813A (en) Gateway device being connected to remote server through mobile network and ip management method thereof
Cisco Frame Relay Commands
JP6359260B2 (en) Information processing system and firewall device for realizing a secure credit card system in a cloud environment
KR20170006950A (en) Network flattening system based on sdn and method thereof
KR20120107564A (en) Apparatus for sending sms when ups fails
EP4181434A1 (en) Traffic speed limiting method, related network device, and storage medium
KR20170021063A (en) Apparatus and method for processing traffic based on sdn
US10462006B2 (en) Hybrid environment to support reliable delivery of multicast traffic using an orchestration device
CN114095357A (en) Business system

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180730

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 5