KR101949196B1 - 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법 - Google Patents

프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법 Download PDF

Info

Publication number
KR101949196B1
KR101949196B1 KR1020170052088A KR20170052088A KR101949196B1 KR 101949196 B1 KR101949196 B1 KR 101949196B1 KR 1020170052088 A KR1020170052088 A KR 1020170052088A KR 20170052088 A KR20170052088 A KR 20170052088A KR 101949196 B1 KR101949196 B1 KR 101949196B1
Authority
KR
South Korea
Prior art keywords
domain
casb
private
url
cloud
Prior art date
Application number
KR1020170052088A
Other languages
English (en)
Other versions
KR20180118874A (ko
Inventor
남기효
정문권
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020170052088A priority Critical patent/KR101949196B1/ko
Publication of KR20180118874A publication Critical patent/KR20180118874A/ko
Application granted granted Critical
Publication of KR101949196B1 publication Critical patent/KR101949196B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법에 관한 것으로, 좀 더 구체적으로 퍼블릭 클라우드 서비스의 안전성을 향상시키기 위한 CASB(Cloud Access Security Broker) 서비스 운영에 따른 불특정 클라우드 어플리케이션 보안통제를 위한 프라이빗 클라우드 보안통제 브로커 및 그 보안통제 방법에 관한 것이다.
본 발명의 일실시예에 따른 프라이빗 CASB의 보안통제 방법은 관리자가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션을 프라이빗 CASB의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록하는 등록단계; 프라이빗 CASB에서 등록된 도메인 네임을 바탕으로 기 저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장단계; 저장된 도메인별 URL 정보를 도메인 분석기를 통하여 패턴별로 분석하여 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 화면제공단계;를 포함하는 것을 특징으로 한다.

Description

프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법{Method and System for providing Access Security in private Cloud Access Security Broker}
본 발명은 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법에 관한 것으로, 좀 더 구체적으로 퍼블릭 클라우드 서비스의 안전성을 향상시키기 위한 CASB(Cloud Access Security Broker) 서비스 운영에 따른 불특정 클라우드 어플리케이션 보안통제를 위한 프라이빗 클라우드 보안통제 브로커 시스템 및 그 보안통제 방법에 관한 것이다.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원을 서비스하여 사용한 만큼의 요금을 지급하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이라고 볼 수 있다.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.
클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud) 서비스, 프라이빗 클라우드(Private Cloud) 서비스, 커뮤니케이션 클라우드(Communication Cloud) 서비스, 하이브리드 클라우드(Hybrid Cloud) 서비스 등 4가지의 클라우드 컴퓨팅 서비스 타입이 존재한다.
퍼블릭 클라우드 서비스는 서비스 제공업체가 공중의 인터넷 망을 통해 불특정 다수의 기업, 기관이나 개인에게 서버, 스토리지 등의 컴퓨팅 자원을 빌려주는 형태의 서비스이다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드 서비스를 이용하는 기업, 기관이나 개인은 공통된 자원을 다른 기업, 기관이나 개인과 물리적으로는 공유해서 이용하게 되며, 각 기업, 기관이나 개인에게 제공되는 서비스는 가상화 기술을 통해 논리적으로만 분리되어 이용되므로 개인 정보보호에 취약한 면이 있어서 보안 기능이 서비스에서 중요한 요소를 차지하게 된다.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.
개인 정보보호에 취약한 면 때문에 퍼블릭 클라우드 서비스의 보안을 위해 현재 CASB가 개발되고 있으며, 이 CASB는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 물리적으로 독립적인 보안장비가 위치하여 이용자가 요청하는 퍼블릭 클라우드 서비스에 대한 권한을 파악하여 접근통제 기능을 수행한다.
도 1은 보안에이전트(100)와 프라이빗 CASB(200)를 포함하여 구성된 프라이빗 CASB 서비스 시스템(1000)의 구성도를 나타낸 것이다. CASB는 퍼블릭 클라우드 서비스 이용자를 위해 독립된 보안장비가 접근통제 기능을 수행하는 것으로, 퍼블릭 클라우드 서비스의 안전성 확보에 기여를 하고 있다.
도 1에서 보듯이, 프라이빗 CASB(200)의 경우 클라우드 서비스를 이용하는데 있어 보안 서비스를 자신의 기업에 설치하여 운영하여 기업의 정책에 맞춰 보다 안정적으로 보안을 가져갈 수 있는 장점이 있다. 또한 프럭시(Proxy) 방식으로 운영되기 때문에 공개형 클라우드 서비스가 SSL(Secure Sockets Layer)로 암호화가 되어있다 하더라도 이를 복호화 하여 보다 정밀한 보안접근 통제가 가능하다. 여기서 프럭시는 웹 브라우저에서 프럭시 서버를 접근하는 방법으로 사용되는 서비스 기술로서, 웹 브라우저에서 프럭시를 지정하면 웹 클라이언트에서 요청되는 URL(uniform resource locator)이 해당 서버에 연결되는 것이 아니라, 프럭시 서버에 연결된다. 프럭시 요청을 받은 프럭시 서버는 URL의 해당 서버와 접속하여 요청을 보내고, 클라이언트 대신 응답을 받아 이를 클라이언트에 넘겨주는 역할을 한다. 여기서 SSL은 월드 와이드 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜로서, SSL은 웹 제품뿐만 아니라 파일 전송 규약(FTP) 등 다른 TCP/IP 애플리케이션에 적용할 수 있으며, 인증 암호화 기능이 있다. 프라이빗 CASB의 단점으로는 기업별로 장비를 따로 설치하여 비용이 발생하는 부분이 있다.
보안 에이전트(100)에서 프라이빗 CASB(200) 서비스를 거치면서 적용된 보안통제 관련 정책은 MAC(Mandatory Access Control, 강제적 접근통제), DAC(Discretionary Access Control, 임의적 접근통제), RBAC(Role-Based Access Control, 역할기반 접근통제) 등을 적용하는데 프라이빗 CASB(200)에서 보안 통제 서비스를 하고자하는 불특정 클라우드 어플리케이션(400)은 해당 서비스가 퍼블릭 클라우드 서비스 시스템(300)과는 별도로 운영되므로 프라이빗 CASB 관리자에 의한 어플리케이션에 대한 별도의 보안 설정 등록 절차가 필요한 문제점이 발생한다. 여기서, MAC은 중앙에서 정보를 수집하고 분류하여, 각각의 보안 레벨을 붙이고 이에 대해 정책적으로 접근 제어를 수행한다. 여기서 DAC는 정보의 소유자가 정보의 보안 레벨을 결정하고 이에 대한 정보의 접근 제어도 설정하는 모델이다. 대표적으로 유닉스나 윈도우에서 파일에 대한 접근 제어를 설정하는 것을 예로 들 수 있다. 여기서 RBAC는 사용자의 조직에서의 역할을 기반으로 접근 권한을 특정 사용자가 아닌 해당 역할을 가진 사용자 그룹에게 부여하는 방식이다.
관리자가 프라이빗 CASB 시스템에 퍼블릭 클라우드 서비스 시스템의 어플리케이션 보안정책을 설정할 때는 서비스 운영중인 퍼블릭 클라우드 서비스 관리시스템을 통하여 각각의 클라우드 서비스 기능별 보안정책을 설정할 수 있으나, 불특정 클라우드 어플리케이션에 대한 보안통제를 적용하기 위하여는 각각의 어플리케이션 기능별로 관리자가 개별적으로 어플리케이션 서비스를 이용하여 수동으로 확인 후 개별 서비스의 도메인 및 URL을 분석하여 보안정책을 설정해야 되는 문제점이 있다.
KR 10-2013-0046155 (클라우드 컴퓨팅 서비스에서의 접근제어 시스템)
본 발명은 상기한 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 퍼블릭 클라우드 서비스의 안전성을 향상시키기 위한 CASB(Cloud Access Security Broker) 서비스 운영에 따른 불특정 클라우드 어플리케이션 보안통제를 위해 클라우드 서비스 속성 자동분석을 수행하는 프라이빗 클라우드 보안통제 브로커 시스템 및 그 보안통제 방법을 제공하는 것을 그 목적으로 한다.
그러나 본 발명의 목적은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일실시예에 따른 프라이빗 CASB의 보안통제 방법은 관리자가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션을 프라이빗 CASB의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록하는 등록단계; 프라이빗 CASB에서 등록된 도메인 네임을 바탕으로 기 저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장단계; 및 저장된 도메인별 URL 정보를 도메인 분석기를 통하여 패턴별로 분석하여 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 화면제공단계;를 포함하는 것을 특징으로 한다.
바람직하게는, 사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공하는 기능화면제공단계를 더 포함하는 것을 특징으로 한다.
바람직하게는, 상기 도메인 분석기는 자동 수집기와 자동 분류기로 구성되며, 상기 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집하는 것을 특징으로 한다.
바람직하게는, 상기 자동 분류기는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 ['http', 'https', 'ftp', '//', ':', '/', '?', '='] 등의 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출하며, 추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 제공하는 것을 특징으로 한다.
본 발명의 다른 일실시예에 따른 불특정 클라우드 어플리케이션에 대한 보안정책 설정을 위한 프라이빗 CASB 시스템은 관리자가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션을 프라이빗 CASB의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록하는 도메인등록부; 등록된 도메인 네임을 바탕으로 기 저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장부; 저장된 도메인별 URL 정보를 패턴별로 분석하는 도메인 분석기; 및 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 디스플레이부;를 포함하는 것을 특징으로 한한다.
바람직하게는, 상기 디스플레이부는 사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공하는 것을 더 포함하는 것을 특징으로 한다.
바람직하게는, 상기 도메인 분석기는 자동 수집기와 자동 분류기로 구성되며, 상기 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집하는 것을 특징으로 한다.
바람직하게는, 상기 자동 분류기는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 ['http', 'https', 'ftp', '//', ':', '/', '?', '='] 등의 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출하며, 추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 제공하는 것을 특징으로 한다.
본 발명의 다른 일실시예에 따른 컴퓨터로 판독 가능한 기록매체는 보안통제 방법을 실행하는 프로그램을 기록한 것을 특징으로 한다.
이상에서 설명한 바와 같이, 본 발명은 기존의 프라이빗 CASB 접근통제 기술이 가지는 퍼블릭 클라우드 서비스와 불특정 클라우드 어플리케이션을 동시에 보안통제 하는 클라우드 서비스 환경에서 관리자에게 불특정 어플리케이션의 기능별 URL 정보를 자동으로 분류하여 제공하고 이를 선택하여 보안 정책을 등록할 수 있도록 하여 관리자가 수동으로 불특정 클라우드 어플리케이션 서비스에 대한 이용 및 URL 분석 등의 복잡한 보안 정책 설정의 문제점을 해결하는 효과가 있다.
도 1은 보안에이전트(100)와 프라이빗 CASB(200)를 포함하여 구성된 프라이빗 CASB 서비스 시스템(1000)의 구성도를 나타낸 것이다.
도 2는 본 발명의 일실시예에 따른 불특정 클라우드 어플리케이션에 대한 보안통제를 위한 프라이빗 CASB의 구성도를 도시한 것이다.
도 3은 본 발명의 다른 일실시예에 따른 불특정 클라우드 어플리케이션에 대한 보안통제를 위한 프라이빗 CASB의 설정을 위한 기능 절차를 도시한 것이다.
도 4는 클라우드 서비스 속성 자동분석을 통한 프라이빗 CASB의 불특정 클라우드 어플리케이션의 보안통제 설정 방법에 대한 세부 절차를 나타낸다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성된다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명은 기존의 프라이빗 CASB 접근통제 기술이 가지는 퍼블릭 클라우드 서비스와 불특정 클라우드 어플리케이션을 동시에 보안통제 하는 클라우드 서비스 환경에서 불특정 클라우드 어플리케이션에 대한 보안정책 설정 및 접근통제 기술의 문제점을 해결하기 위한 것이다. 본 발명은 관리자에게 불특정 클라우드 어플리케이션의 기능별 URL 정보를 자동으로 분류하여 제공하고 이를 선택하여 등록할 수 있도록 하여 관리자가 수동으로 불특정 클라우드 어플리케이션 서비스에 대한 이용 및 URL 분석 등을 복잡한 보안 정책 설정의 문제점을 해결한다.
도 2는 본 발명의 일실시예에 따른 불특정 클라우드 어플리케이션에 대한 보안통제를 위한 프라이빗 CASB의 구성도를 도시한 것이다. 도 2에서 보듯이, 본 발명의 일실시예에 따른 프라이빗 CASB는 도메인등록부(210), 도메인저장부(220), 도메인분석기(230), 디스플레이부(240) 및 제어부(250)를 포함하여 구성된다. 통상의 기술자는 도 2의 프라이빗 CASB의 구성요소인 도메인등록부(210), 도메인저장부(220), 및 제어부(250)를 하나의 프로세서에 구현하거나 별도의 프로세서로 분리하여 구현할 수 있음은 자명하다.
상기 도메인등록부(210)는 관리자(또는 CASB 운영자(600))가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션을 프라이빗 CASB의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록하는 기능을 수행한다.
상기 도메인저장부(220)는 도메인등록부(210)에 의해 등록된 도메인 네임을 바탕으로 기 저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스(700)에 분류하여 저장하는 기능을 수행한다.
상기 도메인분석기(230)는 저장된 도메인별 URL 정보를 패턴별로 분석하는 기능을 수행한다. 상기 도메인분석기(230)는 자동 수집기(231)와 자동 분류기(232)를 포함하여 구성된다. 상기 자동 수집기(231)는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집한다. 여기서 WHOIS(후이즈)는 인터넷의 통신망에 관한 정보 제공 서비스로서, 인터넷의 자원과 정보를 관리하기 위한 행정 조직인 네트워크 정보 센터(NIC)가 관리하고 있는 통신망에 관한 정보 제공 서비스로, 후이즈 명령을 사용하면 IP 주소나 도메인명으로부터 이용자 등 그 통신망에 관한 정보를 검색할 수 있다. 여기서 NSLOOKUP은 인터넷 서버 관리자나 사용자가 호스트 이름을 입력하면 그 IP 주소를 알려주는 프로그램으로, 그 반대의 경우에도 가능하다. 리눅스와 다른 nslookup 버전에서는 호스트 이름이나 IP 주소와 연관된 다른 정보를 알아낼 수 있다. nslookup은 흔히 유닉스 기반 OS에 포함되고 윈도즈 OS에도 추가될 수 있다. IP 주소를 알아내는 nslookup 대체 기능으로 핑(ping) 명령어가 있다.
상기 자동 분류기(232)는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 ['http', 'https', 'ftp', '//', ':', '/', '?', '='] 등의 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출하며, 추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 디스플레이부를 통하여 제공한다.
상기 디스플레이부(240)는 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하고, 불특정 클라우드 어플리케이션에 대한 보안통제를 적용하기 위하여 각각의 어플리케이션 기능별로 관리자가 보안정책을 설정할 수 있도록 한다. 또한 상기 디스플레이부(240)는 사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공한다.
제어부(250)는 프라이빗 CASB의 구성요소인 도메인등록부(210), 도메인저장부(220), 도메인분석기(230), 및 디스플레이부(240)를 제어하여 각각의 역할을 수행할 수 있도록 제어 및 관리하는 기능을 수행한다.
도 3은 본 발명의 다른 일실시예에 따른 불특정 클라우드 어플리케이션에 대한 보안통제를 위한 프라이빗 CASB의 설정을 위한 기능 절차를 도시한 것이다. 도 3에서 보듯이, 본 발명의 일실시예에 따른 프라이빗 CASB의 보안통제 방법은 관리자가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션을 프라이빗 CASB의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록하는 등록단계; 프라이빗 CASB에서 등록된 도메인 네임을 바탕으로 기 저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장단계; 및 저장된 도메인별 URL 정보를 도메인 분석기를 통하여 패턴별로 분석하여 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 화면제공단계;를 포함한다. 또한 사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공하는 기능화면제공단계를 더 포함할 수 있다.
도 3에서 제시한 클라우드 서비스 속성 자동분석을 통한 불특정 클라우드 어플리케이션에 대한 보안통제를 위한 설정 및 접근제어 기능 구조는 프라이빗 CASB 시스템에 포함되어 동작하며, 세부적인 절차를 설명하면 다음과 같다.
제1단계(S10)로, 먼저 관리자(CASB 운영자,600)가 자신의 컴퓨터를 통해 불특정 클라우드 어플리케이션(400)을 프라이빗 CASB(200)의 보안통제 서비스에 등록 하고자 할 때 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 해당 어플리케이션의 도메인 네임을 등록한다.
제2단계(S10)로, 프라이빗 CASB(200)에서는 등록된 도메인 네임을 바탕으로 기존에 저장된 클라우드 서비스 이용 기록을 분석하여 별도의 클라우드 도메인 분석 데이터베이스(700)에 도메인 네임을 분류하여 기록한다.
제3단계(S30)로, 저장된 도메인별 URL 정보를 도메인 분석기를 통하여 자동으로 패턴별로 분석하여 관리자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 자동으로 제공한다.
또한 제4단계(S40)로, 사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공한다.
상기 도메인 분석기는 자동 수집기와 자동 분류기로 구성되며, 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 먼저 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 별도의 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집한다.
자동 분류기는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 ['http', 'https', 'ftp', '//', ':', '/', '?', '='] 등의 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출한다. HTTP 프로토콜에서 Request는 웹 서버에 데이터를 요청하거나 전송할 때 보내는 패킷으로, 주로 GET, POST와 같은 메소드를 사용한다. 이렇게 추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 자동을 제공한다.
도 4는 클라우드 서비스 속성 자동분석을 통한 프라이빗 CASB의 불특정 클라우드 어플리케이션의 보안통제 설정 방법에 대한 세부 절차를 나타낸다.
제1단계(S100)는 WHOIS, NSLOOKUP 분석단계이다. 도메인 관련 상세정보를 수집을 위한 WHOIS 분석과 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터 수집을 위한 NSLOOKUP 분석을 수행한다.
제2단계(S200)는 도메인 분석단계이다. WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 분석한다. 프라이빗 CASB(200)에서는 등록된 도메인 네임을 바탕으로 기존에 저장된 클라우드 서비스 이용 기록을 분석하여 별도의 클라우드 도메인 분석 데이터베이스(700)에 도메인 네임을 분류하여 기록한다.
제3단계(S300)는 URL 수집단계이다. NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집한다. 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 먼저 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 별도의 도메인 분류 데이터베이스에 저장한다.
제4단계(S400)는 URL 패턴 분석 및 분류단계이다. 저장된 도메인별 URL 정보를 도메인 분석기를 통하여 자동으로 패턴별로 분석한다. 자동 분류기는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 도메인 네임, Request URL, Request 속성, Request 속성값을 추출한다.
제5단계(S500)는 URL 속성 기반 상관도 분석단계이다. 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석한다.
제6단계(S600)는 URL 속성 분석단계이다. 제4단계(S400)와 제5단계(S500)의 결과를 이용하여 추출한 데이터의 Request URL과 Request 속성을 분석한다.
제7단계(S700)는 기능 분류단계이다. 추출한 데이터의 Request URL과 Request 속성을 분석한 결과를 이용하여 클라우드 어플리케이션의 기능 패턴을 분류한다.
제8단계(S800)는 보안제어 설정단계이다. 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 자동으로 제공하여 관리자가 보안제어를 위한 보안 정책을 설정하도록 한다.
한편, 본 발명의 실시예에 따른 프라이빗 보안통제 브로커 시스템의 보안통제 방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (9)

  1. 퍼블릭 클라우드 서비스와 불특정 클라우드 어플리케이션의 동시 보안정책 설정을 위한 프라이빗 CASB 보안통제 방법에 있어서,
    상기 퍼블릭 클라우드 서비스는 각각의 클라우드 서비스 기능별 기설정된 보안정책을 설정하여 보안통제를 수행하고,
    상기 불특정 클라우드 어플리케이션은 기능별 URL 정보를 자동 분류하여 매칭되는 보안정책을 설정하여 보안통제를 수행하되,
    상기 불특정 클라우드 어플리케이션의 보안통제를 수행할 경우,
    CASB 운영자가 소지하고 있는 컴퓨터를 통해 불특정 클라우드 어플리케이션의 프라이빗 CASB를 통한 보안통제 서비스의 등록을 위한, 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 상기 불특정 클라우드 어플리케이션의 도메인 네임을 등록하는 등록단계;
    프라이빗 CASB에서 등록된 도메인 네임을 바탕으로 기저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장단계; 및
    저장된 도메인별 URL 정보를 도메인 분석기를 통하여 패턴별로 분석하여 CASB 운영자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 화면제공단계;
    를 포함하며,
    사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공하는 기능화면제공단계;
    를 더 포함하는 것을 특징으로 하는 프라이빗 CASB의 보안통제 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 도메인 분석기는 자동 수집기와 자동 분류기로 구성되며, 상기 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집하는 것을 특징으로 하는 프라이빗 CASB의 보안통제 방법.
  4. 제 3 항에 있어서,
    상기 자동 분류기는 자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 기설정된 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출하며,
    추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 제공하는 것을 특징으로 하는 프라이빗 CASB의 보안통제 방법.
  5. 퍼블릭 클라우드 서비스와 불특정 클라우드 어플리케이션의 동시 보안정책 설정을 위한 프라이빗 CASB 시스템에 있어서,
    상기 프라이빗 CASB 시스템은
    상기 퍼블릭 클라우드 서비스의 각각의 클라우드 서비스 기능별 기설정된 보안정책을 설정하여 보안통제를 수행하고,
    상기 불특정 클라우드 어플리케이션의 기능별 URL 정보를 자동 분류하여 매칭되는 보안정책을 설정하여 보안통제를 수행하되,
    상기 불특정 클라우드 어플리케이션의 보안통제를 수행할 경우,
    CASB 운영자가 소지하고 있는 컴퓨터를 통해 불특정 클라우드 어플리케이션의 프라이빗 CASB를 통한 보안통제 서비스의 등록을 위한, 프라이빗 CASB의 클라우드 어플리케이션 관리 화면에서 상기 불특정 클라우드 어플리케이션의 도메인 네임을 등록하는 도메인등록부;
    등록된 도메인 네임을 바탕으로 기저장된 클라우드 서비스 이용 기록을 분석하여 도메인 네임을 클라우드 도메인 분석 데이터베이스에 분류하여 저장하는 도메인 네임 저장부;
    저장된 도메인별 URL 정보를 패턴별로 분석하는 도메인 분석기; 및
    CASB 운영자에게 해당 URL에 대한 정보화면과 보안 정책 설정 화면을 제공하는 디스플레이부;
    를 포함하며,
    상기 디스플레이부는
    사용자의 클라우드 서비스 이용에 대한 기록을 주기적으로 분석하여 도메인별 보안 설정 추가 등록 및 변경을 위한 기능화면을 제공하는 것을 특징으로 하는 프라이빗 CASB 시스템.
  6. 삭제
  7. 제 5 항에 있어서,
    상기 도메인 분석기는 자동 수집기와 자동 분류기로 구성되며,
    상기 자동 수집기는 불특정 클라우드 어플리케이션의 도메인 네임을 분석 대상으로 하여 도메인으로 구성된 사용자의 네트워크 URL 기록을 수집하여 도메인 분류 데이터베이스에 저장하고, WHOIS 분석을 통하여 도메인 관련 상세정보를 수집하며, NSLOOKUP을 통한 해당 도메인의 IP정보를 바탕으로 모든 URL 데이터를 수집하는 것을 특징으로 하는 프라이빗 CASB 시스템.
  8. 제 7 항에 있어서,
    상기 자동 분류기는
    자동 수집기를 통해 수집된 불특정 클라우드 어플리케이션 URL을 분석하여 기설정된 구분자를 바탕으로 도메인 네임, Request URL, Request 속성, Request 속성값을 추출하며,
    추출한 데이터의 Request URL과 Request 속성을 분석하여 클라우드 어플리케이션의 기능 패턴을 분류한 후에 추출한 데이터의 URL 패턴과 속성 값을 바탕으로 상관관계를 분석하여 불특정 클라우드 어플리케이션에 대한 프라이빗 CASB 보안제어 등록을 위한 설정 화면을 제공하는 것을 특징으로 하는 프라이빗 CASB 시스템.
  9. 제 1 항 , 제 3 항 및 제 4 항 중 선택되는 어느 한 항의 방법을 실행하는 컴퓨터 프로그램을 기록한 것을 특징으로 하는 컴퓨터로 판독 가능한 기록매체.
KR1020170052088A 2017-04-24 2017-04-24 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법 KR101949196B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170052088A KR101949196B1 (ko) 2017-04-24 2017-04-24 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170052088A KR101949196B1 (ko) 2017-04-24 2017-04-24 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법

Publications (2)

Publication Number Publication Date
KR20180118874A KR20180118874A (ko) 2018-11-01
KR101949196B1 true KR101949196B1 (ko) 2019-02-19

Family

ID=64398549

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052088A KR101949196B1 (ko) 2017-04-24 2017-04-24 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법

Country Status (1)

Country Link
KR (1) KR101949196B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102212806B1 (ko) 2019-03-28 2021-02-08 (주)한국아이티평가원 클라우드 기반 어플리케이션의 이용 관리 방법
KR102651820B1 (ko) * 2021-12-03 2024-03-27 주식회사 스패로우 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130046155A (ko) 2011-10-27 2013-05-07 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 접근제어 시스템
KR101424504B1 (ko) * 2012-12-26 2014-08-01 주식회사 윈스 포지티브 방식을 이용한 통합보안관제시스템

Also Published As

Publication number Publication date
KR20180118874A (ko) 2018-11-01

Similar Documents

Publication Publication Date Title
JP7369501B2 (ja) 人工知能を使用した認証されていないapi要求が存在する場合の不適切な活動の検出
Fernandez et al. Building a security reference architecture for cloud systems
US8132231B2 (en) Managing user access entitlements to information technology resources
JP5717879B2 (ja) クラウド環境をサポートするマルチテナント監査認識
US8667556B2 (en) Method and apparatus for building and managing policies
US10027679B2 (en) Secondary asynchronous background authorization (SABA)
CN108351807B (zh) 维持对云计算环境中的受限数据的控制的事件管理
US7761527B2 (en) Method and apparatus for discovering network based distributed applications
US8533782B2 (en) Access control
WO2005114488A2 (en) System and method for actively managing service-oriented architecture
US20180288051A1 (en) Enhanced data leakage detection in cloud services
Kashmar et al. From access control models to access control metamodels: A survey
CN113094055A (zh) 维持对于在部署到云计算环境期间的受限数据的控制
EP2951685A1 (en) Method and system for providing and dynamically deploying hardened task specific virtual hosts
CN100586123C (zh) 基于角色管理的安全审计方法及系统
KR101949196B1 (ko) 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법
CN113407949A (zh) 一种信息安全监控系统、方法、设备及存储介质
US9426178B1 (en) Method and apparatus for centralized policy programming and distributive policy enforcement
US7072969B2 (en) Information processing system
Shalev et al. WatchIT: Who watches your IT guy?
US9888014B2 (en) Enforcing security for sensitive data on database client hosts
Zadereyko et al. Research of potential data leaks in information and communication systems
KR101920613B1 (ko) 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
Purba et al. Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control
Ahmed et al. Presentation and validation of method for security requirements elicitation from business processes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant