KR101978685B1 - Method and System for Synchronizing Security Policy in 3-tier CASB Service System - Google Patents
Method and System for Synchronizing Security Policy in 3-tier CASB Service System Download PDFInfo
- Publication number
- KR101978685B1 KR101978685B1 KR1020170052097A KR20170052097A KR101978685B1 KR 101978685 B1 KR101978685 B1 KR 101978685B1 KR 1020170052097 A KR1020170052097 A KR 1020170052097A KR 20170052097 A KR20170052097 A KR 20170052097A KR 101978685 B1 KR101978685 B1 KR 101978685B1
- Authority
- KR
- South Korea
- Prior art keywords
- casb
- security policy
- public
- private
- policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H04L67/2804—
-
- H04L67/2809—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Library & Information Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템의 보안정책 동기화방법은 프라이빗 CASB 또는 퍼블릭 CASB에서 보안 정책을 설정하면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 HTTP 패킷 데이터를 네트워크로 흘려보내어 퍼블릭 CASB가 수신하는 보안정책수신단계; 퍼블릭 CASB에서 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하는 보안정책확인단계; 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 응답단계; 및 프라이빗 CASB에서는 퍼블릭 CASB로부터 수신한 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 정책재설정단계;를 포함하는 것을 특징으로 한다.The security policy synchronization method of a 3-tier CASB service system according to an embodiment of the present invention is a method of security policy synchronization of a 3-tier CASB service system by inserting policy related metadata into an HTTP header when a security policy is set in a private CASB or a public CASB, Receiving a security policy received by the public CASB; A security policy checking step of receiving packet data from the public CASB and confirming the security policy of the private CASB by checking the policy related metadata inserted in the HTTP header of the packet data; A response step of transmitting, to the private CASB, confirmation packet data indicating that the security policy has been normally received in response to the confirmed private CASB security policy; And the private CASB compares the security policy version information included in the confirmation packet data received from the public CASB with the version information of the security policy set in the private CASB, and when the version of the security setting policy of the public CASB is the latest version, And a policy re-setting step of modifying and reflecting the security policy according to the security setting policy attached to the version information of the version information.
Description
본 발명은 3-tier 방식의 CASB 서비스 시스템 및 그 보안정책 동기화방법에 관한 것으로, 좀 더 구체적으로 퍼블릭 클라우드 서비스의 안전성을 향상시키기 위한 메타데이터 생성분석기술을 이용한 3-tier CASB(클라우드 보안통제 브로커, Cloud Access Security Broker) 서비스 운영에 따른 3-tier 방식의 CASB 서비스 시스템 및 그 보안정책 동기화방법에 관한 것이다.The present invention relates to a 3-tier CASB service system and a security policy synchronization method thereof, and more particularly, to a 3-tier CASB service system and a security policy synchronization method using the 3-tier CASB service system and its security policy synchronization method. , Cloud Access Security Broker) services, and a security policy synchronization method for the CASB service system.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원을 서비스하여 사용한 만큼의 요금을 지급하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이라고 볼 수 있다.Cloud computing is a computing service that pays a large amount of IT resources for computing resources using virtualization technology and distributed processing technology. In other words, cloud computing can be regarded as 'Internet based user-centered on-demand outsourcing service technology' that integrates computing resources (memory, CPU, storage, etc.) existing in different physical locations into one through virtualization technology.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.If the Internet is provided, you can use your own computing environment regardless of time and place, charge a fee for the time you use, and all services such as hardware / software and post-service can be provided in the cloud computing environment Therefore, system maintenance and repair costs, hardware / software purchase cost, and energy savings can be expected.
클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud) 서비스, 프라이빗 클라우드(Private Cloud) 서비스, 커뮤니케이션 클라우드(Communication Cloud) 서비스, 하이브리드 클라우드(Hybrid Cloud) 서비스 등 4가지의 클라우드 컴퓨팅 서비스 타입이 존재한다.There are four types of cloud computing services: public cloud service, private cloud service, communication cloud service, and hybrid cloud service.
퍼블릭 클라우드 서비스는 서비스 제공업체가 공중의 인터넷 망을 통해 불특정 다수의 기업, 기관이나 개인에게 서버, 스토리지 등의 컴퓨팅 자원을 빌려주는 형태의 서비스이다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드 서비스를 이용하는 기업, 기관이나 개인은 공통된 자원을 다른 기업, 기관이나 개인과 물리적으로는 공유해서 이용하게 되며, 각 기업, 기관이나 개인에게 제공되는 서비스는 가상화 기술을 통해 논리적으로만 분리되어 이용되므로 개인 정보보호에 취약한 면이 있어서 보안 기능이 서비스에서 중요한 요소를 차지하게 된다.A public cloud service is a service provider that lends computing resources such as servers and storage to an unspecified number of enterprises, organizations, and individuals via the public Internet network. Public cloud services do not mean free or open data and sources, and provide services such as user access control and billing. Companies, organizations, and individuals who use public cloud services physically share common resources with other companies, organizations, or individuals. Services provided to each company, organization, or individual are logically separated by virtualization technology Because it is used, it is vulnerable to the protection of personal information, and the security function is an important factor in the service.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.A private cloud service is a service that provides a computing environment such as a public cloud service and manages services, data, and processes directly from a specific company or organization. For security reasons, it is a closed cloud service model that can be accessed only by authorized persons while avoiding contact with outside.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.The communication cloud service is a cloud computing service for a specific group, granting access only to members. Members of the group share data and applications with each other.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.Hybrid cloud service is a combination of public cloud service and private cloud service. It provides public cloud service basically, and data and service that do not want to share follow private cloud service policy.
개인 정보보호에 취약한 면 때문에 퍼블릭 클라우드 서비스의 보안을 위해 현재 CASB가 개발되고 있으며, 이 CASB는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 물리적으로 독립적인 보안장비가 위치하여 이용자가 요청하는 퍼블릭 클라우드 서비스에 대한 권한을 파악하여 접근통제 기능을 수행한다. CASB is currently being developed for the security of public cloud service because of its vulnerability to privacy protection. This CASB is designed to protect the security of public cloud service, which is physically independent security device between public cloud service user and public cloud service system, It grasps the authority for the service and performs the access control function.
도 1은 보안에이전트(100), 프라이빗 CASB(200), 및 퍼블릭 CASB(300)를 포함하여 구성된 3-tier 방식(3단계 방식)의 CASB 서비스 시스템(1000)의 구성도를 나타낸 것이다.1 shows a configuration diagram of a 3-tier (three-tiered)
CASB는 퍼블릭 클라우드 서비스 이용자를 위해 독립된 보안장비가 접근통제 기능을 수행하는 것으로, 퍼블릭 클라우드 서비스의 안전성 확보에 기여를 하고 있다. CASB is responsible for ensuring the security of public cloud services by allowing independent security equipment to perform access control functions for users of public cloud services.
도 1에서 보듯이, 프라이빗 CASB(200)의 경우 클라우드 서비스(400)를 이용하는데 있어 보안 서비스를 자신의 기업에 설치하여 운영하여 기업의 정책에 맞춰 보다 안정적으로 보안을 가져갈 수 있는 장점이 있다. 또한 프럭시(Proxy) 방식으로 운영되기 때문에 공개형 클라우드 서비스가 SSL(Secure Sockets Layer)로 암호화가 되어있다 하더라도 이를 복호화 하여 보다 정밀한 보안접근 통제가 가능하다. 여기서 프럭시는 웹 브라우저에서 프럭시 서버를 접근하는 방법으로 사용되는 서비스 기술로서, 웹 브라우저에서 프럭시를 지정하면 웹 클라이언트에서 요청되는 URL(uniform resource locator)이 해당 서버에 연결되는 것이 아니라, 프럭시 서버에 연결된다. 프럭시 요청을 받은 프럭시 서버는 URL의 해당 서버와 접속하여 요청을 보내고, 클라이언트 대신 응답을 받아 이를 클라이언트에 넘겨주는 역할을 한다. 여기서 SSL은 월드 와이드 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜로서, SSL은 웹 제품뿐만 아니라 파일 전송 규약(FTP) 등 다른 TCP/IP 애플리케이션에 적용할 수 있으며, 인증 암호화 기능이 있다. 프라이빗 CASB의 단점으로는 기업별로 장비를 따로 설치하여 비용이 발생하는 부분이 있다. As shown in FIG. 1, in the case of the
도 1에서 보듯이, 퍼블릭 CASB(300)의 경우 관리대상의 클라우드 서비스로 들어오는 모든 트래픽을 보안정책에 맞춰 처리해야 되기 때문에 적은규모의 클라우드 서비스에는 적합하지만 대량의 트래픽이 발생하는 클라우드 서비스에서는 과부하로 인한 정상적인 서비스가 어려울 수 있다. 장점은 기존의 네트워크 망을 변경하지 않고 설치가 가능하다는 점이 있으며, Proxy와 마찬가지로 동일한 보안 정책을 가져갈 수 있다.As shown in FIG. 1, in the case of the
하지만 보안 에이전트(100)에서 프라이빗 CASB(200)와 퍼블릭 CASB(300)를 거치면서 적용된 보안통제 관련 정책은 MAC(Mandatory Access Control, 강제적 접근통제), RBAC(Role-Based Access Control, 역할기반 접근통제) 등을 적용하는데 프라이빗 CASB와 퍼블릭 CASB 간의 보안통제 정책이 동일하지 않은 경우로 인하여 발생하는 단점이 있다. 여기서, MAC은 중앙에서 정보를 수집하고 분류하여, 각각의 보안 레벨을 붙이고 이에 대해 정책적으로 접근 제어를 수행한다. 여기서 RBAC는 사용자의 조직에서의 역할을 기반으로 접근 권한을 특정 사용자가 아닌 해당 역할을 가진 사용자 그룹에게 부여하는 방식이다. However, the security control-related policies applied through the
3-tier 방식의 CASB 서비스 시스템의 단점 중 첫째로, 프라이빗 CASB와 퍼블릭 CASB에 보안정책을 설정할 때 각각 개별적으로 보안정책을 설정해야 되는 문제점이 있다. 3-tier 방식의 CASB 서비스 시스템 구조에서 프라이빗 CASB와 퍼블릭 CASB에서 운영하는 보안통제 정책이 서로 상이한 보안정책을 각각 운영할 경우 3-tier 방식의 CASB 서비스 시스템의 보안통제 서비스의 운영 일관성에 문제가 발생한다.One of the disadvantages of the 3-tier CASB service system is that the security policy must be individually set when the security policy is set in the private CASB and the public CASB. In the 3-tier CASB service system structure, when the security policies operated by the private CASB and the public CASB are operated differently, there is a problem in the consistency of the security control service of the 3-tier CASB service system do.
둘째로, 프라이빗 CASB와 상이한 보안정책을 설정하여 운영하고 있는 퍼블릭 CASB 경우에 프라이빗 CASB를 통과한 패킷에 대하여 어떠한 방식에 의거하여 퍼블릭 CASB에서 운영하고 있는 보안정책에 따른 보안 통제 기술을 적용하여 보안 점검을 재실행 하여야 하는지 결정해야 하는 단점이 있다.Second, in the case of a public CASB that has a different security policy than that of the private CASB, security control technology based on the security policy operated by the public CASB is applied to packets passing through the private CASB according to a certain method. There is a disadvantage in that it is necessary to decide whether to re-execute.
본 발명은 상기한 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 퍼블릭 클라우드 서비스의 안전성을 향상시키기 위한 메타데이터 생성분석기술을 이용한 3-tier 방식의 CASB 서비스 시스템 운영에 따른 3-tier 방식의 CASB 서비스 시스템 및 그 보안정책 동기화방법을 제공하는 것을 그 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a 3-tier CASB service system using a metadata generation and analysis technique for improving the safety of a public cloud service, And a method for synchronizing the service policy and the security policy.
그러나 본 발명의 목적은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.However, the object of the present invention is not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.
본 발명의 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템의 보안정책 동기화방법은 프라이빗 CASB 또는 퍼블릭 CASB에서 보안 정책을 설정하면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 HTTP 패킷 데이터를 네트워크로 흘려보내어 퍼블릭 CASB가 수신하는 보안정책수신단계; 퍼블릭 CASB에서 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하는 보안정책확인단계; 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 응답단계; 및 프라이빗 CASB에서는 퍼블릭 CASB로부터 수신한 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 정책재설정단계;를 포함하는 것을 특징으로 한다.The security policy synchronization method of a 3-tier CASB service system according to an embodiment of the present invention is a method of security policy synchronization of a 3-tier CASB service system by inserting policy related metadata into an HTTP header when a security policy is set in a private CASB or a public CASB, Receiving a security policy received by the public CASB; A security policy checking step of receiving packet data from the public CASB and confirming the security policy of the private CASB by checking the policy related metadata inserted in the HTTP header of the packet data; A response step of transmitting, to the private CASB, confirmation packet data indicating that the security policy has been normally received in response to the confirmed private CASB security policy; And the private CASB compares the security policy version information included in the confirmation packet data received from the public CASB with the version information of the security policy set in the private CASB, and when the version of the security setting policy of the public CASB is the latest version, And a policy re-setting step of modifying and reflecting the security policy according to the security setting policy attached to the version information of the version information.
바람직하게는, 정책 관련 메타 데이터는 보안 정책 버전 정보, 보안 정책 설정 방식 또는 콜백 주소 중 어느 하나 이상을 포함하는 것을 특징으로 한다.Preferably, the policy-related meta data includes at least one of security policy version information, a security policy setting method, and a callback address.
바람직하게는, 상기 응답단계에서, 퍼블릭 CASB에서 설정된 보안정책이 수신한 프라이빗 CASB 보안 정책과 서로 동일한지 여부를 알려주는 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 확인 패킷 데이터에 포함하여 프라이빗 CASB에게 함께 전송하는 것을 특징으로 한다.Preferably, in the response step, the information about the identity indicating whether the security policy set in the public CASB is identical to the received private CASB security policy and the version information of the security setting policy are included in the confirmation packet data, To the mobile terminal.
본 발명의 다른 일실시예에 따른 HTTP 통신 기반 CASB 보안 정책 동기화 방법은 사용자가 자신의 컴퓨터로 CASB 서비스를 이용하는 경우, 퍼블릭 CASB에서는 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하는 동기화필드확인단계; CASB 운영자가 프라이빗 CASB에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하도록 설정하는 보안정책변경단계; 보안정책이 변경되면, 프라이빗 CASB는 HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하는 보안정책전송단계; 퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하는 보안정책확인단계; 및 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB 보안 정책을 반영하고 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 변경된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송하는 응답단계;를 포함하는 것을 특징으로 한다.In the HTTP communication-based CASB security policy synchronization method according to another embodiment of the present invention, when a user uses the CASB service by his / her computer, the public CASB uses a synchronization Field identification step; A security policy changing step of setting a CASB operator to access the private CASB and change the security policy in the private CASB; When the security policy is changed, the private CASB inserts the security policy related metadata in the HTTP header, and transmits the HTTP packet data in which the metadata is inserted to the public CASB. A security policy checking step of receiving packet data in which the metadata is inserted in the public CASB and verifying the security policy of the private CASB by checking the metadata; And a response to transmit the HTTP packet data for the acknowledgment indicating that the public CASB security policy is normally received by the private CASB in response to the reception of the security policy based on the information about the security policy set by the private CASB The method comprising the steps of:
바람직하게는, 상기 보안정책확인단계는 프라이빗 CASB에서 전송된 패킷 데이터에 포함된 메타데이터 기반 보안 정책 설정 HTTP 헤더정보를 퍼블릭 CASB에서 수신했을 때 퍼블릭 CASB에 설정되어 있는 보안 정책 버전 정보와 비교하여 보다 최신의 버전인지 확인하는 것을 특징으로 한다.Preferably, the security policy checking step compares the metadata information based security policy setting HTTP header information included in the packet data transmitted from the private CASB with the security policy version information set in the public CASB when the public CASB receives the HTTP header information. And the latest version is confirmed.
바람직하게는, 상기 응답단계에서, 퍼블릭 CASB에서 설정된 보안정책과 수신한 프라이빗 CASB 보안 정책과의 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 프라이빗 CASB에게 함께 전송하는 것을 특징으로 한다.Preferably, in the response step, the information about the security policy set in the public CASB, the identity of the received private CASB security policy, and the version information of the security setting policy are transmitted together to the private CASB.
바람직하게는, 프라이빗 CASB가 확인 응답용 HTTP 패킷 데이터를 수신하고, 퍼블릭 CASB로부터 콜백 수신한 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여 더 최신의 버전정보인 경우, 퍼블릭 CASB의 보안 설정 정책에 따라 자신의 보안 정책을 수정 반영하는 보안정책재설정단계를 더 포함하는 것을 특징으로 한다.Preferably, the private CASB receives the HTTP packet data for the acknowledgment, compares the security policy version information received from the public CASB with the version information of the security policy set in the private CASB, and if it is newer version information, And a security policy re-setting step of reflecting and reflecting the security policy according to the security setting policy of the security policy setting unit.
본 발명의 다른 일실시예에 따른 퍼블릭 CASB에서의 보안 정책 동기화 방법은 퍼블릭 CASB가 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석단계; 분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인단계; 최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 변경하는 정책변경단계; 퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인하고, 보안정책이 변경된 경우에는 퍼블픽 CASB 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답단계; 및 최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 전송단계;를 포함하는 것을 특징으로 한다.In the security policy synchronization method in the public CASB according to another embodiment of the present invention, the public CASB receives the cloud packet data, extracts the security policy information metadata included in the HTTP header field of the received cloud packet data, An analysis step for analyzing information; A version checking step of determining whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB; A policy changing step of changing the security policy of the public CASB to the version of the received private CASB security policy if the latest version is determined; A response step of checking whether the security policy of the public CASB has been changed, and transmitting the HTTP packet data for responding to the private CASB that the public CASB security policy has been changed when the security policy is changed; And transmitting the received cloud packet data according to the established security policy when it is determined that the security policy is not changed or the security policy is not changed.
본 발명의 다른 일실시예에 따른 컴퓨터로 판독 가능한 기록 매체는 보안정책 동기화 방법을 실행하는 프로그램을 기록한 것을 특징으로 한다.A computer-readable recording medium according to another embodiment of the present invention records a program for executing a security policy synchronization method.
본 발명의 다른 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템은 보안 정책이 설정되면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 퍼블릭 CASB가 수신하도록 HTTP 패킷 데이터를 네트워크로 전송하고, 퍼블릭 CASB로부터 확인 패킷 데이터를 수신하고, 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 프라이빗 CASB; 및 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하고, 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 퍼블릭 CASB;를 포함하여 구성되는 것을 특징으로 한다.In a 3-tier CASB service system according to another embodiment of the present invention, when a security policy is set, policy-related metadata is inserted into an HTTP header, and HTTP packet data is transmitted to a network so that the public CASB receives the public- And compares the security policy version information included in the confirmation packet data with the version information of the security policy set in the private CASB, and when the version of the security setting policy of the public CASB is the more recent version, A private CASB that modifies and reflects its own security policy according to the security setting policy assigned to the version information; And receives the packet data, confirms the policy related metadata inserted in the HTTP header of the packet data to check the security policy of the private CASB, notifies that the security policy is normally received in response to the confirmed private CASB security policy And a public CASB for transmitting the acknowledgment packet data to the private CASB.
바람직하게는, 상기 정책 관련 메타 데이터는 보안 정책 버전 정보, 보안 정책 설정 방식 또는 콜백 주소 중 어느 하나 이상을 포함하는 것을 특징으로 한다.Preferably, the policy-related meta data includes at least one of security policy version information, a security policy setting method, and a callback address.
바람직하게는, 상기 퍼블릭 CASB는 설정된 보안정책이 수신한 프라이빗 CASB 보안 정책과 서로 동일한지 여부를 알려주는 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 확인 패킷 데이터에 포함하여 프라이빗 CASB에게 함께 전송하는 것을 특징으로 한다.Preferably, the public CASB includes information on the identity indicating whether the set security policy is the same as the private CASB security policy received, and version information of the security setting policy together with the confirmation packet data to the private CASB .
본 발명의 다른 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템은 사용자(또는 외부접속자)가 자신의 컴퓨터로 CASB 서비스를 이용하는 경우, 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하고, 퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하고, 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB 보안 정책을 반영하고 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 변경된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송하는 퍼블릭 CASB; 및 CASB 운영자가 프라이빗 CASB에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하는 경우, 보안정책이 변경되면, HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하는 프라이빗 CASB;를 포함하여 구성되는 것을 특징으로 한다.In the 3-tier CASB service system according to another embodiment of the present invention, when a user (or an external accessor) uses a CASB service with his / her computer, it checks whether an HTTP header field for security setting policy synchronization exists Receives the packet data in which the metadata is inserted in the public CASB, verifies the security policy of the private CASB by checking the metadata, and reflects the public CASB security policy based on the information about the security policy set by the private CASB A public CASB for transmitting HTTP packet data for an acknowledgment notifying the private CASB of the normal reception of the changed security policy in response to the reception of the security policy; And when the CASB operator accesses the private CASB and changes the security policy in the private CASB, if the security policy is changed, the security policy related metadata is inserted in the HTTP header, and the HTTP packet data in which the metadata is inserted is transmitted to the public CASB To the private CASB.
바람직하게는, 상기 퍼블릭 CASB는 프라이빗 CASB에서 전송된 패킷 데이터에 포함된 메타데이터 기반 보안 정책 설정 HTTP 헤더정보를 퍼블릭 CASB에서 수신했을 때 퍼블릭 CASB에 설정되어 있는 보안 정책 버전 정보와 비교하여 보다 최신의 버전인지 확인하는 것을 특징으로 한다.Preferably, the public CASB compares the security policy version information set in the public CASB with the metadata-based security policy setting HTTP header information included in the packet data transmitted from the private CASB, And verifies whether or not it is a version.
바람직하게는, 상기 퍼블릭 CASB는 퍼블릭 CASB에서 설정된 보안정책과 수신한 프라이빗 CASB 보안 정책과의 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 프라이빗 CASB에게 함께 전송하는 것을 특징으로 한다.Preferably, the public CASB transmits information about the identity of the security policy set in the public CASB and the received private CASB security policy together with the version information of the security setting policy to the private CASB.
바람직하게는, 프라이빗 CASB가 확인 응답용 HTTP 패킷 데이터를 수신하고, 퍼블릭 CASB로부터 콜백 수신한 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여 더 최신의 버전정보인 경우, 퍼블릭 CASB의 보안 설정 정책에 따라 자신의 보안 정책을 수정 반영하는 것을 특징으로 한다.Preferably, the private CASB receives the HTTP packet data for the acknowledgment, compares the security policy version information received from the public CASB with the version information of the security policy set in the private CASB, and if it is newer version information, And reflects its own security policy according to the security setting policy of the server.
본 발명의 다른 일실시예에 따른 보안정책 동기화를 수행하는 퍼블릭 CASB은 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석수단; 분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인수단; 최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 변경하는 정책변경수단; 퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인하고, 보안정책이 변경된 경우에는 퍼블픽 CASB 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답수단; 및 최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 전송수단;을 포함하여 구성되는 것을 특징으로 한다.The public CASB that performs security policy synchronization according to another embodiment of the present invention receives cloud packet data and extracts security policy information metadata included in the HTTP header field of the received cloud packet data to analyze security policy information Analysis means; A version checking unit that determines whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB; Policy change means for changing the security policy of the public CASB to the version of the received private CASB security policy when the latest version is determined; A response unit for confirming whether or not the security policy of the public CASB has been changed, and transmitting HTTP packet data for responding to the private CASB that the public CASB security policy has been changed when the security policy is changed; And means for transmitting the received cloud packet data according to a security policy established when it is determined that the security policy is not changed or that the security policy is not changed.
이상에서 설명한 바와 같이, 본 발명은 프라이빗 CASB와 퍼블릭 CASB 간의 보안 정책을 메타데이터 생성분석기술을 바탕으로 실시간으로 정책 정보를 전송 및 수신하여 상이한 보안 정책 설정을 피하도록 하는 효과가 있다. As described above, the present invention has an effect of avoiding different security policy settings by transmitting and receiving policy information in real time on the basis of a security policy between a private CASB and a public CASB based on metadata generation and analysis technology.
도 1은 3-tier 방식의 CASB 서비스 시스템의 구성도를 나타낸 것이다.
도 2는 본 발명의 일실시예에 따른 3-tire CASB 서비스 시스템의 HTTP 통신 기반 CASB 보안 정책 동기화 방법을 도시한 것이다.
도 3은 3-tier 방식의 CASB 서비스 시스템에서 HTTP 통신 기반 퍼블릭 CASB 보안 정책 동기화 방법을 나타낸 것이다.1 shows a configuration diagram of a 3-tier CASB service system.
FIG. 2 illustrates a method of synchronizing HTTP communication-based CASB security policy in a 3-tile CASB service system according to an embodiment of the present invention.
FIG. 3 illustrates a method of synchronizing HTTP communication-based public CASB security policies in a 3-tier CASB service system.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.BRIEF DESCRIPTION OF THE DRAWINGS The present invention is capable of various modifications and various embodiments, and specific embodiments are illustrated in the drawings and described in detail in the detailed description. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성된다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the term " comprising " or " comprising " or the like is intended to specify the presence of stated features, integers, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.
본 발명은 이러한 기존의 3-tier 방식의 CASB 서비스 시스템의 접근통제 기술이 가지는 보안정책 설정 문제점을 해결하기 위해, 프라이빗 CASB와 퍼블릭 CASB 간의 보안 정책을 메타데이터 생성분석기술을 바탕으로 실시간으로 정책 정보를 전송 및 수신하여 상이한 보안 정책 설정을 피하도록 하기 위한 CASB 보안정책 동기화 방법에 관한 것이다. In order to solve the security policy setting problem of the conventional access control technology of the 3-tier CASB service system, the present invention proposes a security policy between the private CASB and the public CASB as policy information In order to avoid different security policy settings.
도 1에서 보는 바와 같이, 본 발명에 따른 3-tier 방식의 CASB 서비스 시스템은 기존의 3-tier 방식의 CASB 서비스 시스템이 포함하고 있는 보안에이전트(100), 프라이빗 CASB(200), 및 퍼블릭 CASB(300)를 포함하여 구성되지만, 프라이빗 CASB(200) 및 퍼블릭 CASB(300) 간 보안정책 동기화 방법을 추가로 제공하는 점에서 차이가 있다.1, a 3-tier CASB service system according to the present invention includes a
도 1에서 보듯이, 본 발명의 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템에서 프라이빗 CASB(200)는 보안 정책이 설정되면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 퍼블릭 CASB(300)가 수신하도록 HTTP 패킷 데이터를 네트워크로 전송하고, 퍼블릭 CASB로부터 확인 패킷 데이터를 수신하고, 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영한다. 또한 퍼블릭 CASB는 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하고, 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송한다. 여기서 HTTP는 Hyper Text Transfer Protocol로서, WWW상에서 정보를 주고 받는 프로토콜로 클라이언트와 서버 사이에 이뤄지는 요청ㅇ응답 프로토콜이다. 본 발명에서는 프라이빗 CASB와 퍼블릿 CASB는 HTTP 프로토콜을 이용하여 서로 통신하게 된다.1, in a 3-tier CASB service system according to an embodiment of the present invention, the
도 1에서 보듯이, 본 발명의 다른 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템에서 퍼블릭 CASB(300)는 사용자(또는 외부접속자(600))가 자신의 컴퓨터로 CASB 서비스를 이용하는 경우, 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하고, 퍼블릭 CASB(300)에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하고, 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB 보안 정책을 반영하고 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 변경된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송한다. 또한 도 2에서 보듯이, 프라이빗 CASB(200)는 CASB 운영자(600)가 프라이빗 CASB에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하는 경우, 보안정책이 변경되면, HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하며, 확인 응답용 HTTP 패킷 데이터를 수신하고, 퍼블릭 CASB로부터 콜백 수신한 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여 더 최신의 버전정보인 경우, 퍼블릭 CASB의 보안 설정 정책에 따라 자신의 보안 정책을 수정 반영한다.1, in the 3-tier CASB service system according to another embodiment of the present invention, when the user (or the external accessor 600) uses the CASB service with his or her computer, Checks whether there is an HTTP header field for security setting policy synchronization, receives packet data in which metadata is inserted in the
도 1에서 보듯이, 본 발명의 다른 일실시예에 따른 보안정책 동기화를 수행하는 퍼블릭 CASB은 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석수단; 분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인수단; 최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 변경하는 정책변경수단; 퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인하고, 보안정책이 변경된 경우에는 퍼블픽 CASB 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답수단; 및 최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 전송수단;을 포함하여 구성할 수 있다.1, the public CASB that performs security policy synchronization according to another embodiment of the present invention receives cloud packet data and extracts security policy information metadata included in the HTTP header field of the received cloud packet data An analysis means for analyzing the security policy information; A version checking unit that determines whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB; Policy change means for changing the security policy of the public CASB to the version of the received private CASB security policy when the latest version is determined; A response unit for confirming whether or not the security policy of the public CASB has been changed, and transmitting HTTP packet data for responding to the private CASB that the public CASB security policy has been changed when the security policy is changed; And transmission means for transmitting the received cloud packet data according to the security policy established when it is determined that the security policy is not changed or that the security policy is not changed.
본 발명의 일실시예에 따른 3-tier 방식의 CASB 서비스 시스템의 보안정책 동기화방법은 프라이빗 CASB 또는 퍼블릭 CASB에서 보안 정책을 설정하면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 HTTP 패킷 데이터를 네트워크로 흘려보내어 퍼블릭 CASB가 수신하는 보안정책수신단계; 퍼블릭 CASB에서 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하는 보안정책확인단계; 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 응답단계; 및 프라이빗 CASB에서는 퍼블릭 CASB로부터 수신한 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 정책재설정단계;를 포함하여 구성될 수 있다.The security policy synchronization method of a 3-tier CASB service system according to an embodiment of the present invention is a method of security policy synchronization of a 3-tier CASB service system by inserting policy related metadata into an HTTP header when a security policy is set in a private CASB or a public CASB, Receiving a security policy received by the public CASB; A security policy checking step of receiving packet data from the public CASB and confirming the security policy of the private CASB by checking the policy related metadata inserted in the HTTP header of the packet data; A response step of transmitting, to the private CASB, confirmation packet data indicating that the security policy has been normally received in response to the confirmed private CASB security policy; And the private CASB compares the security policy version information included in the confirmation packet data received from the public CASB with the version information of the security policy set in the private CASB, and when the version of the security setting policy of the public CASB is the latest version, And a policy resetting step of modifying and reflecting the security policy according to the security setting policy given to the version information of the version information.
본 발명의 일 실시예에 따른 3-tier 방식의 CASB 서비스 시스템에서 CASB 보안정책 동기화 방법을 이하에서 구체적으로 설명한다. A CASB security policy synchronization method in a 3-tier CASB service system according to an embodiment of the present invention will be described in detail below.
제 1단계로, 3-tier 방식의 CASB 서비스 시스템에서 프라이빗 CASB 또는 퍼블릭 CASB에서 보안 정책을 설정하면 HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 HTTP 패킷 데이터를 네트워크(가령, 인터넷)로 흘려보내어 퍼블릭 CASB가 수신할 수 있도록 한다. 정책 관련 메타 데이터에는 보안 정책 버전 정보(가령, 1.0.0.13), 보안 정책 설정 방식(가령, RBAC) 또는 콜백 주소(https://abc.com/url/callback)를 포함할 수 있다. In the first step, when a security policy is set in a private CASB or a public CASB in a 3-tier CASB service system, policy-related metadata is inserted into an HTTP header and then HTTP packet data is sent to a network (e.g., the Internet) Allow the CASB to receive. Policy related metadata may include security policy version information (e.g., 1.0.0.13), security policy setting methods (e.g., RBAC), or callback addresses (https://abc.com/url/callback).
제2 단계로, 퍼블릭 CASB에서 패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 정책관련 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인한다.In the second step, the public CASB receives the packet data and verifies the policy related metadata inserted in the HTTP header of the packet data, thereby confirming the security policy of the private CASB.
제3 단계로, 확인된 프라이빗 CASB의 보안정책에 대한 응답으로 프라이빗 CASB에게 변경된 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 전송한다. 이때 퍼블릭 CASB에서 설정된 보안정책이 수신한 프라이빗 CASB 보안 정책과 서로 동일한지 여부를 알려주는 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 확인 패킷 데이터에 포함하여 프라이빗 CASB에게 함께 전송한다. In the third step, in response to the security policy of the private CASB, it transmits confirmation packet data informing the private CASB that the changed security policy has been normally received. At this time, information on the identity indicating whether the security policy set in the public CASB is the same as the received private CASB security policy and version information of the security setting policy are included in the confirmation packet data and are transmitted to the private CASB.
제 4 단계로, 프라이빗 CASB에서는 퍼블릭 CASB로부터 수신한 확인 패킷 데이터에 포함된 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 설정 정책의 버전이 더 최신(더 높은 버전)인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영한다. 이러한 방식으로 프라이빗 CASB와 퍼블릭 CASB를 동시에 운영하면서도 동일한 보안정책을 설정하여 서비스가 가능하다. In the fourth step, in the private CASB, the security policy version information included in the confirmation packet data received from the public CASB is compared with the version information of the security policy set in the private CASB, and the version of the security setting policy of the public CASB is updated High version), it reflects and reflects its own security policy according to the security setting policy assigned to the latest version information. In this way, the same CASB and public CASB can be operated at the same time, and the same security policy can be set and services can be provided.
도 2는 본 발명의 일실시예에 따른 3-tire CASB 서비스 시스템의 HTTP 통신 기반 CASB 보안 정책 동기화 방법을 도시한 것이다. 본 발명의 HTTP 통신 기반 CASB 보안 정책 동기화 방법은 사용자(또는 외부접속자(600))가 자신의 컴퓨터로 CASB 서비스를 이용하는 경우, 퍼블릭 CASB에서는 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하는 동기화필드확인단계; CASB 운영자가 프라이빗 CASB에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하도록 설정하는 보안정책변경단계; 보안정책이 변경되면, 프라이빗 CASB는 HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하는 보안정책전송단계; 퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하는 보안정책확인단계; 및 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB 보안 정책을 반영하고 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 수신된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송하는 응답단계;를 포함하여 구성될 수 있다.FIG. 2 illustrates a method of synchronizing HTTP communication-based CASB security policy in a 3-tile CASB service system according to an embodiment of the present invention. In the HTTP communication-based CASB security policy synchronization method of the present invention, when the user (or the external accessor 600) uses the CASB service with his or her computer, the public CASB checks whether or not an HTTP header field for synchronization of the security setting policy exists A synchronization field validation step; A security policy changing step of setting a CASB operator to access the private CASB and change the security policy in the private CASB; When the security policy is changed, the private CASB inserts the security policy related metadata in the HTTP header, and transmits the HTTP packet data in which the metadata is inserted to the public CASB. A security policy checking step of receiving packet data in which the metadata is inserted in the public CASB and verifying the security policy of the private CASB by checking the metadata; And the public CASB security policy based on the information on the security policy set by the private CASB and transmits the HTTP packet data for the acknowledgment indicating that the security policy received to the private CASB is normally received in response to the security policy reception And a response step.
도 2에서 보듯이, 본 발명에 따른 CASB 보안 정책 동기화 방법에서는 메타데이터 통신 기반으로 보안정책 동기화를 수행한다. 도 2에서 제시한 3-tier CASB 서비스 시스템의 통신 기반 보안 정책 동기화 방법은 프라이빗 CASB(200)와 퍼블릭 CASB(300)에 각각 적용하며, 세부적인 절차를 설명하면 다음과 같다.As shown in FIG. 2, the CASB security policy synchronization method according to the present invention performs security policy synchronization based on metadata communication. The communication-based security policy synchronization method of the 3-tier CASB service system shown in FIG. 2 is applied to the
제S10단계로서, 먼저 사용자가 자신의 컴퓨터(PC, 휴대폰, 스마트폰, 휴대 기기 등)로 CASB 서비스(400)를 이용할 때 퍼블릭 CASB에서는 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하기 시작한다. 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재할 경우 퍼블릭 CASB는 보안 정책의 버전 정보를 확인한다. In operation S10, when the user first uses the
제S20단계로서, CASB 운영자(600)가 프라이빗 CASB(200)에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하도록 설정한다. 제S30단계로서, 프라이빗 CASB는 보안 정책 관련 메타 데이터를 생성한다. 제S40단계로서, 프라이빗 CASB는 HTTP 헤더에 생성된 보안 정책 관련 메타 데이터를 삽입한 후, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송한다. 제S50단계로서, 퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하여 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인한다. 확인하는 과정은 보안 정책의 버전 정보를 확인하는 과정을 포함한다. 여기서 패킷 데이터는 클라우드 패킷 데이터일 수 있다. In step S20, the
제S60단계로서, 프라이빗 CASB에서 전송된 패킷 데이터에 포함된 메타데이터 기반 보안 정책 설정 HTTP 헤더정보를 퍼블릭 CASB에서 수신했을 때 퍼블릭 CASB에 설정되어 있는 보안 정책 버전 정보와 비교하여 보다 최신의 버전의 보안 정책인지 분석한다. 제S70단계로서, 분석 결과 최신 버전의 보안 정책인 경우 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB 보안 정책을 수정 반영하도록 한다. 제S80단계로서, 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 변경된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송한다. 이때 퍼블릭 CASB에서 설정된 보안정책이 수신한 프라이빗 CASB 보안 정책과의 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 프라이빗 CASB에게 함께 전송한다. In step S60, when the metadata-based security policy setting HTTP header information included in the packet data transmitted from the private CASB is received from the public CASB, the security policy version information is compared with the security policy version information set in the public CASB, Analysis of policy recognition. In operation S70, if the security policy is the latest version, the public CASB security policy is corrected and reflected based on the security policy information set by the private CASB. In step S80, in response to the reception of the security policy, the server transmits to the private CASB the HTTP packet data for the acknowledgment indicating that the changed security policy has been normally received. At this time, the security policy set in the public CASB transmits the information about the identity of the received private CASB security policy and the version information of the security setting policy together to the private CASB.
제S90단계로서, 프라이빗 CASB에서는 퍼블릭 CASB로부터 콜백 수신한 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여 최신의 버전정보에 부여된 보안 설정 정책에 따라 보안 정책을 수정 반영한다.In step S90, the private CASB compares the security policy version information received from the public CASB with the version information of the security policy set in the private CASB, and reflects the security policy according to the security setting policy assigned to the latest version information.
도 3은 3-tier 방식의 CASB 서비스 시스템에서 HTTP 통신 기반 퍼블릭 CASB 보안 정책 동기화 방법을 나타낸 것이다. 본 발명의 다른 일실시예에 따른 퍼블릭 CASB에서의 보안 정책 동기화 방법은 퍼블릭 CASB가 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석단계; 분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인단계; 최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 변경하는 정책변경단계; 퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인하고, 보안정책이 변경된 경우에는 퍼블픽 CASB 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답단계; 및 최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 전송단계;를 포함한다.FIG. 3 illustrates a method of synchronizing HTTP communication-based public CASB security policies in a 3-tier CASB service system. In the security policy synchronization method in the public CASB according to another embodiment of the present invention, the public CASB receives the cloud packet data, extracts the security policy information metadata included in the HTTP header field of the received cloud packet data, An analysis step for analyzing information; A version checking step of determining whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB; A policy changing step of changing the security policy of the public CASB to the version of the received private CASB security policy if the latest version is determined; A response step of checking whether the security policy of the public CASB has been changed, and transmitting the HTTP packet data for responding to the private CASB that the public CASB security policy has been changed when the security policy is changed; And a transmission step of transmitting the received cloud packet data according to a security policy established when it is determined that the security policy is not changed or that the security policy is not changed.
도 3의 3-tier 방식의 CASB 서비스 시스템에서 HTTP 통신 기반 보안 정책의 퍼블릭 CASB 보안 정책 동기화 방법을 보다 구체적으로 이하에서 설명한다. The public CASB security policy synchronization method of the HTTP communication-based security policy in the 3-tier CASB service system of FIG. 3 will be described in more detail below.
도 3에서 보듯이, 제S100단계로서, 퍼블릭 CASB는 클라우드 패킷 데이터를 수신한다. 패킷 데이터는 HTTP 통신방식으로 전송된 것이다. 제S200단계로서, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석한다.As shown in FIG. 3, in operation S100, the public CASB receives cloud packet data. The packet data is transmitted by the HTTP communication method. In operation S200, security policy information included in the HTTP header field of the received cloud packet data is extracted to analyze the security policy information.
제S300단계로서, 분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전 (더 높은 버전)인지 여부를 판단한다. In operation S300, it is determined whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB.
제S400단계로서, 제S300단계에서 최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 수정 변경한다. In step S400, if it is determined in step S300 that the current version is the latest version, the security policy of the public CASB is modified and changed to the version of the received private CASB security policy.
제S500단계로서, 퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인한다.In step S500, it is determined whether or not the security policy of the public CASB is changed.
제S600단계로서, 보안정책이 변경된 경우에는 퍼블픽 CASB 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송한다.In step S600, when the security policy is changed, HTTP packet data for responding to the private CASB is transmitted indicating that the public CASB security policy has been changed.
제S700단계로서, 제S300단계에서 최신 버전이 아닌 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 된다. 또한 제S500단계에서 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하게 된다.In step S700, if it is determined in step S300 that the current version is not the latest version, the received cloud packet data is transmitted according to the established security policy. If it is determined in step S500 that the security policy has not been changed, the received cloud packet data is transmitted according to the security policy established in the previous step.
표 1은 CASB 보안 정책 동기화를 위한 HTTP 헤더 필드를 도시한 것이다. 표 1은 보안 정책 설정 메타데이터 생성에 적용되는 HTTP 주요 헤더 필드를 나타낸 것이다.Table 1 shows the HTTP header fields for CASB security policy synchronization. Table 1 shows the HTTP header fields applied to the security policy setting metadata generation.
한편, 본 발명의 실시예에 따른 보안정책 동기화 방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. Meanwhile, the security policy synchronization method according to an exemplary embodiment of the present invention may be implemented in the form of a program command that can be executed through a variety of means for processing information electronically and recorded in a storage medium. The storage medium may include program instructions, data files, data structures, and the like, alone or in combination.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다Program instructions to be recorded on the storage medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of software. Examples of storage media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, magneto-optical media and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as devices for processing information electronically using an interpreter, for example, a high-level language code that can be executed by a computer
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
Claims (17)
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,
프라이빗 CASB에서 보안 정책을 설정하면, HTTP 헤더에 정책관련 메타 데이터를 삽입한 후 HTTP 패킷 데이터를 네트워크로 전송하여 퍼블릭 CASB가 수신하는 보안정책수신단계;
퍼블릭 CASB에서, 상기 HTTP 패킷 데이터를 수신하고, 상기 HTTP 패킷 데이터의 HTTP 헤더에 삽입된 상기 프라이빗 CASB의 정책관련 메타 데이터를 확인하여 상기 프라이빗 CASB에서 설정한 보안 정책을 확인하는 보안정책확인단계;
퍼블릿 CASB에서, 확인된 상기 프라이빗 CASB의 보안 정책에 대한 응답으로 보안 정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 응답단계; 및
프라이빗 CASB에서, 상기 퍼블릭 CASB로부터 수신한 확인 패킷 데이터에 포함된 상기 퍼블릭 CASB의 보안 정책의 버전정보를 설정한 보안 정책의 버전 정보와 비교하고, 상기 퍼블릭 CASB의 보안 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 정책재설정단계;
를 포함하며,
상기 응답단계의 상기 확인 패킷 데이터는
퍼블릭 CASB에 설정된 보안 정책과 수신한 상기 프라이빗 CASB의 보안 정책이 서로 동일한지 여부를 알려주는 동일성에 대한 정보 및 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보를 포함하여 전송하는 것을 특징으로 하는 보안정책 동기화 방법.
A security policy synchronization method for a 3-tier CASB service system that simultaneously operates a public cloud service and a private cloud service,
The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
Setting a security policy in the private CASB, inserting policy related metadata in the HTTP header, transmitting the HTTP packet data to the network, receiving the security policy received by the public CASB;
A security policy checking step of receiving the HTTP packet data in the public CASB and confirming the policy related metadata of the private CASB inserted in the HTTP header of the HTTP packet data to confirm the security policy set in the private CASB;
An acknowledgment step of transmitting acknowledgment packet data to the private CASB informing that the security policy has been normally received in response to the confirmed security policy of the private CASB in the puble CASB; And
Comparing the version information of the security policy of the public CASB included in the confirmation packet data received from the public CASB with the version information of the set security policy in the private CASB and comparing the version information of the security policy of the public CASB with the version information of the security policy of the public CASB A policy resetting step of modifying and reflecting the security policy according to the security setting policy given to the latest version information;
/ RTI >
The confirmation packet data of the response step
Wherein the information about the identity of the security policy set in the public CASB and the security policy of the private CASB are identical to each other and information about the security policy set in the public CASB is transmitted. Way.
상기 정책 관련 메타 데이터는 보안 정책 버전 정보, 보안 정책 설정 방식 또는 콜백 주소 중 어느 하나 이상을 포함하는 것을 특징으로 하는 보안정책 동기화 방법.
The method according to claim 1,
Wherein the policy related metadata includes at least one of a security policy version information, a security policy setting method, and a callback address.
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
사용자가 자신의 컴퓨터로 3-tier 방식의 CASB 서비스를 이용하는 경우, 퍼블릭 CASB에서는 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하는 동기화필드확인단계;If the user uses the 3-tier CASB service as his / her computer, the public CASB checks whether a HTTP header field for security setting policy synchronization exists or not;
CASB 운영자가 프라이빗 CASB에 접속하여, 프라이빗 CASB에서의 보안 정책을 변경하는 보안정책변경단계;A security policy changing step of the CASB operator accessing the private CASB and changing the security policy in the private CASB;
보안정책이 변경되면, 프라이빗 CASB는 HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하는 보안정책전송단계;When the security policy is changed, the private CASB inserts the security policy related metadata in the HTTP header, and transmits the HTTP packet data in which the metadata is inserted to the public CASB.
퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 변경한 프라이빗 CASB의 보안 정책을 확인하는 보안정책확인단계; 및 A security policy checking step of receiving packet data in which meta data is inserted in the public CASB, checking the metadata and confirming the changed security policy of the private CASB; And
프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB의 보안 정책을 수정 반영하고, 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 수신된 보안정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송하는 응답단계;The security policy of the public CASB is corrected based on the information about the security policy set by the private CASB and the HTTP packet data for the acknowledgment indicating that the security policy received to the private CASB is normally received in response to the security policy reception A response step of transmitting;
를 포함하는 것을 특징으로 하는 보안정책 동기화 방법.The method comprising the steps of:
상기 보안정책확인단계는
프라이빗 CASB에서 전송된 패킷 데이터에 포함된 메타데이터 기반 보안 정책 설정 HTTP 헤더정보를 퍼블릭 CASB에서 수신했을 때 퍼블릭 CASB에 설정되어 있는 보안 정책 버전 정보와 비교하여 보다 최신의 버전인지 확인하는 것을 특징으로 하는 보안정책 동기화 방법.5. The method of claim 4,
The security policy checking step
Based security policy setting HTTP header information contained in the packet data transmitted from the private CASB is compared with the security policy version information set in the public CASB when the public CASB receives the HTTP header information, How to synchronize security policies.
상기 응답단계에서, 퍼블릭 CASB에서 설정된 보안정책과 수신한 프라이빗 CASB 보안 정책과의 동일성에 대한 정보 및 보안 설정 정책의 버전 정보를 프라이빗 CASB에게 함께 전송하는 것을 특징으로 하는 보안정책 동기화 방법.
5. The method of claim 4,
Wherein the response message includes information about the identity of the security policy set in the public CASB and the received private CASB security policy and version information of the security setting policy together with the private CASB.
프라이빗 CASB가 확인 응답용 HTTP 패킷 데이터를 수신하고, 퍼블릭 CASB로부터 콜백 수신한 보안 정책 버전정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여 더 최신의 버전정보인 경우, 퍼블릭 CASB의 보안 설정 정책에 따라 자신의 보안 정책을 수정 반영하는 보안정책재설정단계를 더 포함하는 것을 특징으로 하는 보안정책 동기화 방법.
5. The method of claim 4,
When the private CASB receives the HTTP packet data for the acknowledgment and compares the security policy version information received from the public CASB with the version information of the security policy set in the private CASB, The method further comprises a step of resetting the security policy to reflect the security policy of the security policy according to the security policy.
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,
퍼블릭 CASB가 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석단계;
분석한 보안 정책 정보 중 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인단계;
최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 프라이빗 CASB 보안 정책의 버전으로 변경하는 정책변경단계;
퍼블릭 CASB의 보안정책이 변경되었는지 여부를 확인하고, 보안정책이 변경된 경우에는 퍼블픽 CASB의 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답단계; 및
최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하는 전송단계;
를 포함하는 것을 특징으로 하는 퍼블릭 CASB에서의 보안 정책 동기화 방법.
A security policy synchronization method in a public CASB included in a 3-tier CASB that simultaneously operates a public cloud service and a private cloud service,
The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
An analysis step of receiving the cloud packet data by the public CASB and extracting the security policy information metadata included in the HTTP header field of the received cloud packet data to analyze the security policy information;
A version checking step of determining whether the version information of the analyzed security policy information is newer than the version information of the security policy of the existing public CASB;
A policy changing step of changing the security policy of the public CASB to the version of the received private CASB security policy if the latest version is determined;
A response step of confirming whether or not the security policy of the public CASB has been changed, and transmitting HTTP packet data for responding to the private CASB that the security policy of the public CASB has been changed when the security policy is changed; And
A transmission step of transmitting received cloud packet data according to a security policy established when it is determined that the security policy is not the latest version or that the security policy is not changed;
The method comprising the steps of:
A computer-readable recording medium having recorded thereon a program for executing the method according to any one of claims 1, 2, and 4 to 8.
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,
상기 3-tier 방식의 CASB 서비스 시스템은
보안 정책이 설정되면 HTTP 헤더에 보안정책 관련 메타 데이터를 삽입한 후 퍼블릭 CASB가 수신하도록 HTTP 패킷 데이터를 네트워크로 전송하고, 퍼블릭 CASB로부터 확인 패킷 데이터를 수신하고, 확인 패킷 데이터에 포함된 퍼블릭 CASB에 설정된 보안 정책의 버전 정보를 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하고, 퍼블릭 CASB의 보안 정책의 버전이 더 최신 버전인 경우에, 최신의 버전정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정하여 반영하는 프라이빗 CASB; 및
패킷 데이터를 수신하고, 패킷 데이터의 HTTP 헤더에 삽입된 보안정책 관련 메타 데이터를 확인하여 프라이빗 CASB의 보안 정책을 확인하고, 확인된 프라이빗 CASB의 보안 정책에 대한 응답으로 보안정책을 정상적으로 수신하였음을 알리는 확인 패킷 데이터를 프라이빗 CASB에게 전송하는 퍼블릭 CASB;
를 포함하여 구성되며,
상기 퍼블릭 CASB는
상기 퍼블릭 CASB에 설정된 보안 정책이 수신된 상기 프라이빗 CASB의 보안 정책과 서로 동일한지 여부를 알려주는 동일성에 대한 정보 및 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보를 상기 확인 패킷 데이터에 포함하는 것을 특징으로 하는 3-tier 방식의 CASB 서비스 시스템.
In a 3-tier CASB service system that simultaneously operates a public cloud service and a private cloud service,
The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
The 3-tier CASB service system
When the security policy is set, the security policy related metadata is inserted into the HTTP header, and the HTTP packet data is transmitted to the network to be received by the public CASB, the confirmation packet data is received from the public CASB, and the public CASB Compares the version information of the set security policy with the version information of the security policy set in the private CASB, and when the version of the security policy of the public CASB is newer, A private CASB that modifies and reflects the policy; And
Receives the packet data, checks the security policy metadata inserted in the HTTP header of the packet data to check the security policy of the private CASB, and informs that the security policy is normally received in response to the security policy of the private CASB A public CASB for transmitting acknowledgment packet data to the private CASB;
And,
The public CASB
Information on the identity indicating whether the security policy set in the public CASB is identical to the security policy of the received private CASB and the version information of the security policy set in the public CASB are included in the confirmation packet data. 3-tier CASB service system.
상기 보안정책 관련 메타 데이터는
보안 정책 버전 정보, 보안 정책 설정 방식 또는 콜백 주소 중 어느 하나 이상을 포함하는 것을 특징으로 하는 3-tier 방식의 CASB 서비스 시스템.
11. The method of claim 10,
The security policy related metadata
A security policy version information, a security policy setting method, or a callback address.
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,
상기 3-tier 방식의 CASB 서비스 시스템은
사용자가 자신의 컴퓨터로 3-tier 방식의 CASB 서비스를 이용하는 경우, 보안 설정 정책 동기화를 위한 HTTP 헤더 필드가 존재하는지 여부를 확인하고, 퍼블릭 CASB에서 메타 데이터가 삽입된 패킷 데이터를 수신하고, 메타 데이터를 확인하여 프라이빗 CASB의 보안정책을 확인하고, 프라이빗 CASB에서 설정한 보안 정책에 대한 정보를 바탕으로 퍼블릭 CASB의 보안 정책을 반영하고 보안 정책 수신에 대한 응답으로 프라이빗 CASB에게 변경된 보안 정책을 정상적으로 수신하였음을 알리는 확인 응답용 HTTP 패킷 데이터를 전송하는 퍼블릭 CASB; 및
CASB 운영자가 프라이빗 CASB에 접속하여, 프라이빗 CASB의 보안 정책을 변경하는 경우, 보안 정책이 변경되면, HTTP 헤더에 보안 정책 관련 메타 데이터를 삽입하고, 메타 데이터가 삽입된 HTTP 패킷 데이터를 퍼블릭 CASB로 전송하는 프라이빗 CASB;
를 포함하여 구성되며,
상기 퍼블릭 CASB는
상기 퍼블릭 CASB에 설정된 보안 정책과 수신한 상기 프라이빗 CASB의 보안 정책이 동일한지 알려주는 동일성에 대한 정보 및 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보를 상기 확인 응답용 HTTP 패킷 데이터에 포함하고,
상기 프라이빗 CASB는
상기 확인 응답용 HTTP 패킷 데이터를 수신하고, 상기 퍼블릭 CASB로부터 콜백 수신한 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보를 상기 프라이빗 CASB에 설정된 보안 정책의 버전 정보와 비교하여, 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보가 더 최신의 버전 정보인 경우, 상기 퍼블릭 CASB에 설정된 보안 정책의 버전 정보에 부여된 보안 설정 정책에 따라 자신의 보안 정책을 수정 반영하는 것을 특징으로 하는 3-tier 방식의 CASB 서비스 시스템.
In a 3-tier CASB service system that simultaneously operates a public cloud service and a private cloud service,
The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
The 3-tier CASB service system
When the user uses the 3-tier CASB service with his or her computer, it checks whether there is an HTTP header field for security setting policy synchronization, receives the packet data in which the metadata is inserted in the public CASB, Checks the security policy of the private CASB, reflects the security policy of the public CASB based on the security policy information set by the private CASB, and receives the security policy changed to the private CASB in response to the security policy reception normally A public CASB for transmitting HTTP packet data for an acknowledgment notifying of an acknowledgment; And
When the CASB operator accesses the private CASB and changes the security policy of the private CASB, if the security policy is changed, the security policy related metadata is inserted in the HTTP header, and the HTTP packet data in which the metadata is inserted is transmitted to the public CASB Private CASB;
And,
The public CASB
Information on identity indicating whether the security policy set in the public CASB is identical to the security policy of the received private CASB and version information of the security policy set in the public CASB are included in the HTTP packet data for the acknowledgment,
The private CASB
A security policy setting unit configured to receive the HTTP packet data for the acknowledgment, compare the version information of the security policy set in the public CASB received from the public CASB with the version information of the security policy set in the private CASB, The security policy of the 3-tier CASB service system according to the security setting policy assigned to the version information of the security policy set in the public CASB when the version information of the public CASB is the latest version information. .
상기 퍼블릭 CASB는
프라이빗 CASB에서 전송된 패킷 데이터에 포함된 메타데이터 기반 보안 정책 설정 HTTP 헤더정보를 퍼블릭 CASB에서 수신했을 때 퍼블릭 CASB에 설정되어 있는 보안 정책 버전 정보와 비교하여 보다 최신의 버전인지 확인하는 것을 특징으로 하는 3-tier 방식의 CASB 서비스 시스템.
14. The method of claim 13,
The public CASB
Based security policy setting HTTP header information contained in the packet data transmitted from the private CASB is compared with the security policy version information set in the public CASB when the public CASB receives the HTTP header information, 3-tier CASB service system.
상기 퍼블릭 클라우드 서비스는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 위치한 퍼블릭 CASB(Cloud Access Security Broker)를 통해서 퍼블릭 클라우드 서비스 이용자의 접근 권한을 파악하여 보안이 이루어지며,
상기 프라이빗 클라우드 서비스는 인증된 이용자만 서비스를 제공받을 수 있어 프라이빗 CASB를 통해서 기설정된 보안 정책에 맞춰 보안이 이루어지되,
상기 퍼블릭 CASB는
상기 프라이빗 CASB의 클라우드 패킷 데이터를 수신하고, 수신된 클라우드 패킷 데이터의 HTTP 헤더필드에 포함된 상기 프라이빗 CASB의 보안 정책 정보 메타데이터를 추출하여 보안 정책 정보를 분석하는 분석수단;
분석한 보안 정책 정보 중 상기 프라이빗 CASB에 설정된 보안 정책의 버전 정보가 기존의 퍼블릭 CASB가 가지고 있는 보안 정책의 버전 정보 보다 최신 버전인지 여부를 판단하는 버전확인수단;
최신 버전으로 판단한 경우에는 퍼블릭 CASB의 보안 정책을 수신한 상기 프라이빗 CASB에 설정된 보안 정책의 버전으로 변경하는 정책변경수단;
퍼블릭 CASB의 보안 정책이 변경되었는지 여부를 확인하고, 보안 정책이 변경된 경우에는 퍼블픽 CASB에 설정된 보안 정책이 변경되었음을 프라이빗 CASB에 응답하기 위한 HTTP 패킷 데이터를 전송하는 응답수단; 및
최신 버전이 아닌 것으로 판단한 경우 또는 보안정책이 변경되지 않은 것으로 판단한 경우에는 기존에 설정된 보안 정책에 따라 수신한 클라우드 패킷 데이터를 전송하는 전송수단;
을 포함하여 구성되는 것을 특징으로 하는 보안정책 동기화를 수행하는 퍼블릭 CASB.In a public CASB that performs security policy synchronization by being included in a 3-tier CASB that simultaneously operates a public cloud service and a private cloud service,
The public cloud service is secured by grasping the access right of the user of the public cloud service through the public access service broker (CASB) located between the public cloud service user and the public cloud service system,
The private cloud service can be provided only by an authenticated user, and is secured according to a predetermined security policy through a private CASB,
The public CASB
Analyzing means for receiving the cloud packet data of the private CASB and extracting the security policy information metadata of the private CASB included in the HTTP header field of the received cloud packet data to analyze the security policy information;
Version checking means for determining whether the version information of the security policy set in the private CASB among the analyzed security policy information is newer than the version information of the security policy of the existing public CASB;
Policy changing means for changing the security policy of the public CASB to the version of the security policy set in the received private CASB when it is determined that the security policy is the latest version;
Response means for transmitting HTTP packet data for responding to the private CASB that the security policy set in the public CASB is changed when the security policy is changed; And
Transmitting means for transmitting the received cloud packet data according to a security policy established when it is judged that the security policy is not the latest version or that the security policy is not changed;
And a public CASB for performing security policy synchronization.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170052097A KR101978685B1 (en) | 2017-04-24 | 2017-04-24 | Method and System for Synchronizing Security Policy in 3-tier CASB Service System |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170052097A KR101978685B1 (en) | 2017-04-24 | 2017-04-24 | Method and System for Synchronizing Security Policy in 3-tier CASB Service System |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180118878A KR20180118878A (en) | 2018-11-01 |
| KR101978685B1 true KR101978685B1 (en) | 2019-05-16 |
Family
ID=64398536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170052097A KR101978685B1 (en) | 2017-04-24 | 2017-04-24 | Method and System for Synchronizing Security Policy in 3-tier CASB Service System |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101978685B1 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102598023B1 (en) * | 2021-11-18 | 2023-11-06 | (주)유엠로직스 | Analyzing and managing system for security policy information using meta data and method thereof |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150101021A1 (en) * | 2013-10-04 | 2015-04-09 | Alfresco Software, Inc. | Hybrid synchronization between cloud and on-premise systems in a content management system |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130046155A (en) | 2011-10-27 | 2013-05-07 | 인텔렉추얼디스커버리 주식회사 | Access control system for cloud computing service |
-
2017
- 2017-04-24 KR KR1020170052097A patent/KR101978685B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150101021A1 (en) * | 2013-10-04 | 2015-04-09 | Alfresco Software, Inc. | Hybrid synchronization between cloud and on-premise systems in a content management system |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180118878A (en) | 2018-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101590076B1 (en) | Method for managing personal information | |
| JP3995338B2 (en) | Network connection control method and system | |
| CN102469080B (en) | Method for pass user to realize safety login application client and system thereof | |
| CN111314340B (en) | Authentication method and authentication platform | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| CN104054321B (en) | For the safety management of cloud service | |
| US20180219862A1 (en) | Actively federated mobile authentication | |
| CN111416822B (en) | Method for access control, electronic device and storage medium | |
| US20040186912A1 (en) | Method and system for transparently supporting digital signatures associated with web transactions | |
| CN102739664B (en) | Improve the method and apparatus of safety of network ID authentication | |
| US20180288051A1 (en) | Enhanced data leakage detection in cloud services | |
| US11405402B2 (en) | System and method for implementing a computer network | |
| JP6572750B2 (en) | Authentication control program, authentication control device, and authentication control method | |
| US7841005B2 (en) | Method and apparatus for providing security to web services | |
| CN112788031A (en) | Envoy architecture-based micro-service interface authentication system, method and device | |
| US9635017B2 (en) | Computer network security management system and method | |
| US7072969B2 (en) | Information processing system | |
| KR101978685B1 (en) | Method and System for Synchronizing Security Policy in 3-tier CASB Service System | |
| US20190289014A1 (en) | Methods and Apparatus for Controlling Application-Specific Access to a Secure Network | |
| KR101788019B1 (en) | Apparatus and method for preventing data loss | |
| Phumkaew et al. | Android forensic and security assessment for hospital and stock-and-trade applications in thailand | |
| US9787658B2 (en) | Login system based on server, login server, and verification method thereof | |
| JP6785526B2 (en) | Network service linkage method, client service platform, client instance generation server and program | |
| JP2011204016A (en) | Database access management system and database access management method | |
| KR20210068832A (en) | Access control system and method using SQL tool based on web |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |