KR101980568B1 - 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법 - Google Patents

3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법 Download PDF

Info

Publication number
KR101980568B1
KR101980568B1 KR1020170052138A KR20170052138A KR101980568B1 KR 101980568 B1 KR101980568 B1 KR 101980568B1 KR 1020170052138 A KR1020170052138 A KR 1020170052138A KR 20170052138 A KR20170052138 A KR 20170052138A KR 101980568 B1 KR101980568 B1 KR 101980568B1
Authority
KR
South Korea
Prior art keywords
security
metadata
check
unit
casb
Prior art date
Application number
KR1020170052138A
Other languages
English (en)
Other versions
KR20180119177A (ko
Inventor
남기효
정문권
안성호
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020170052138A priority Critical patent/KR101980568B1/ko
Publication of KR20180119177A publication Critical patent/KR20180119177A/ko
Application granted granted Critical
Publication of KR101980568B1 publication Critical patent/KR101980568B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • H04L67/2804
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/561Adding application-functional data or data for application control, e.g. adding metadata

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Library & Information Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법, 및 시스템에 관한 것으로, 보다 상세하게는 복수의 클라우드 접근 보안 브로커가 구비된 시스템에서, 클라우드 접근 보안 브로커가 보안 정책에 의해 보안점검을 수행한 내역을 메타데이터 형태로 삽입하고, 타 클라우드 접근 보안 브로커가 이를 확인하여 중복적인 실행을 방지하는 클라우드 접근 보안 브로커, 시스템 및 그 방법에 관한 것이다.

Description

3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법 {Preventing Security Control Duplication Method In Association With 3-tier Cloud Access Security Broker}
본 발명은 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법에 관한 것으로, 보다 상세하게는 복수의 클라우드 접근 보안 브로커가 구비된 시스템에서, 클라우드 접근 보안 브로커가 보안 정책에 의해 보안점검을 수행한 내역을 메타데이터 형태로 삽입하고, 타 클라우드 접근 보안 브로커가 이를 확인하여 중복적인 실행을 방지하는 클라우드 접근 보안 브로커, 시스템 및 그 방법에 관한 것이다.
퍼블릭 클라우드 서비스는 서비스 제공업체가 공중의 인터넷 망을 통해 불특정 다수의 기업, 기관이나 개인에게 서버, 스토리지 등의 컴퓨팅 자원을 빌려주는 형태의 서비스이다. 따라서 퍼블릭 클라우드 서비스를 이용하는 기업, 기관이나 개인은 공통된 자원을 다른 기업, 기관이나 개인과 물리적으로는 공유해서 이용하게 되며, 각 기업, 기관이나 개인에게 제공되는 서비스는 가상화 기술을 통해 논리적으로만 분리되어 이용되므로 보안 기능이 서비스에서 중요한 요소를 차지하게 된다.
퍼블릭 클라우드 서비스의 보안을 위해 현재 클라우드 접근 보안 브로커(Cloud Access Security Broker, CASB)가 개발되고 있으며, 이 CASB는 퍼블릭 클라우드 서비스 이용자와 퍼블릭 클라우드 서비스 시스템 사이에 물리적으로 독립적인 보안장비가 위치하여 이용자가 요청하는 퍼블릭 클라우드 서비스에 대한 권한을 파악하여 접근통제 기능을 수행한다.
CASB는 퍼블릭 클라우드 서비스 이용자를 위해 독립된 보안장비가 접근통제 기능을 수행하는 것으로, 퍼블릭 클라우드 서비스의 안전성 확보에 기여를 하고 있다.
CASB를 직접 운영하는 경우 클라우드 서비스를 이용하는데 있어 보안 서비스를 자신의 기업에 설치하여 운영하여 기업의 정책에 맞춰 보다 안정적으로 보안을 가져갈 수 있는 장점이 있다. 또한 Proxy 방식으로 운영되기 때문에 공개형 클라우드 서비스가 SSL로 암호화가 되어있다 하더라도 이를 복호화 하여 보다 정밀한 보안접근 통제가 가능하다. 단점으로는 기업별로 장비를 따로 설치하여 비용이 발생하는 부분이 있다.
CASB 서비스를 제공하는 사업자의 CASB를 이용하는 경우 관리대상의 클라우드 서비스로 들어오는 모든 트래픽을 보안정책에 맞춰 처리해야 되기 때문에 적은 규모의 클라우드 서비스에는 적합하지만 대량의 트래픽이 발생하는 클라우드 서비스에서는 과부하로 인한 정상적인 서비스가 어려울 수 있다. 장점은 기존의 네트워크 망을 변경하지 않고 설치가 가능하다는 점이 있으며, Proxy와 마찬가지로 동일한 보안 정책을 가져갈 수 있다.
단일 CASB만으로 클라우드 서비스 자체를 보호하면, CASB에 접근하기 이전의 네트워크 트래픽 자체에 대한 보안을 적용할 수 없고, 보안에 취약할 수 있다. 따라서 사용자는 CASB에 더해 다른 보안시스템을 함께 이용할 수 있다.
다만, CASB와 다른 보안시스템을 거치면서 적용되는 보안통제 기술은 강제적 접근통제, 임의적 접근통제, 역할기반 접근통제 등이 적용되는데 CASB에서 적용된 보안통제 기술이, 다른 보안시스템에도 중복적으로 적용됨으로 인해 발생하는 단점이 있다.
본 발명은 복수의 클라우드 접근 보안 브로커가 구비된 시스템에서, 클라우드 접근 보안 브로커가 보안 정책에 의해 보안점검을 수행한 내역을 메타데이터 형태로 삽입하고, 타 클라우드 접근 보안 브로커가 이를 확인하여 중복적인 실행을 방지하는 클라우드 접근 보안 브로커, 시스템 및 그 방법을 제공하는 것을 과제로 한다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 사용자단말기에 접속되는 네트워크 망에 설치되는 프라이빗 클라우드 접근 보안 브로커; 및 클라우드 서비스 시스템에 접속되는 네트워크 망에 설치되는 퍼블릭 클라우드 접근 보안 브로커;를 포함하는 클라우드 접근 보안 브로커 시스템으로서, 상기 프라이빗 클라우드 접근 보안 브로커 및 상기 퍼블릭 클라우드 접근 보안 브로커 각각은, 외부기기와 네트워크를 통해 데이터를 주고 받는 데이터통신부; 상기 데이터통신부가 수신한 데이터에서 메타데이터의 포함 여부를 식별하는 메타데이터식별부; 상기 메타데이터식별부가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안통제부; 및 상기 보안통제부의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성부;를 포함하는, 클라우드 접근 보안 브로커 시스템을 제공한다
본 발명에서는 상기 보안통제부는, 상기 메타데이터식별부가 식별한 메타데이터의 내용을 분석하는 메타데이터분석부; 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득부; 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행부; 및 상기 보안점검수행부의 수행 내역을 기록하는 보안로그기록부;를 포함할 수 있다.
본 발명에서는 상기 메타데이터생성부는, 클라우드에 접근하는 사용자의 정보를 불러오는 사용자정보획득부; 보안점검을 수행하는 클라우드 접근 보안 브로커의 정보를 저장하고 있는 CASB정보저장부; 및 상기 보안로그기록부가 기록한 보안점검 수행 내역을 불러오는 보안로그획득부;를 포함할 수 있다.
본 발명에서는 상기 메타데이터생성부는, 상기 보안점검 수행 내역에 대해 디지털 서명을 수행하는 디지털서명부;를 더 포함할 수 있다.
본 발명에서는 상기 메타데이터분석부는, 상기 디지털서명부에서 수행된 디지털 서명에 대한 검증을 수행할 수 있다.
본 발명에서는 상기 사용자의 정보는, 사용자를 식별할 수 있는 식별자 및 사용자가 접속한 IP주소를 포함할 수 있다.
본 발명에서는 상기 클라우드 접근 보안 브로커의 정보는, 클라우드 접근 보안 브로커의 IP 또는 위치정보를 포함할 수 있다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 외부기기와 네트워크를 통해 데이터를 주고 받는 데이터통신부; 상기 데이터통신부가 수신한 데이터에서 메타데이터의 포함 여부를 식별하는 메타데이터식별부; 상기 메타데이터식별부가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안통제부; 및 상기 보안통제부의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성부;를 포함하는, 클라우드 접근 보안 브로커를 제공한다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 외부기기로부터 네트워크를 통해 데이터를 수신하는 데이터수신단계; 수신된 상기 데이터로부터 메타데이터의 포함 여부를 식별하는 메타데이터식별단계; 상기 메타데이터식별단계에서 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 CASB점검수행단계; 상기 CASB점검수행단계의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성단계; 및 상기 메타데이터생성단계에서 생성된 메타데이터가 삽입된 데이터를 외부로 전송하는 데이터전송단계;를 포함하는, 클라우드 접근 보안 브로커의 보안통제 중복 수행 방지 방법을 제공한다.
본 발명에서는 상기 CASB점검수행단계는, 상기 메타데이터식별단계의 식별 결과 메타데이터가 존재하는 경우, 상기 메타데이터식별단계에서 식별한 메타데이터의 내용을 분석하는 메타데이터분석단계; 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계; 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검 대상을 파악하는 점검대상파악단계; 상기 점검대상파악단계에서 파악한 보안점검 대상에 대해 보안점검을 수행하는 보안점검수행단계; 및 상기 보안점검수행단계의 수행 내역을 기록하는 보안로그기록단계;를 포함하고, 상기 메타데이터식별단계의 식별 결과 메타데이터가 존재하지 않는 경우, 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계; 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행단계; 및 상기 보안점검수행단계의 수행 내역을 기록하는 보안로그기록단계;를 포함할 수 있다.
본 발명의 일 실시예에 따르면 불필요하게 이미 점검된 트래픽을 다시 한번 점검하는 중복 점검을 방지하여 클라우드 접근 보안 브로커의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 클라우드 접근 보안 브로커의 보안점검 결과를 메타데이터를 통해 공유하여 타 클라우드 접근 보안 브로커에서도 파악할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 클라우드 접근 보안 브로커의 보안점검 결과가 포함된 메타데이터에 디지털 서명을 수행하여 메타데이터의 무결성을 증명하고 위조를 방지할 수 있는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 보안에이전트, 프라이빗 CASB, 퍼블릭 CASB 3단계로 구성된 3-tier 방식의 CASB의 개념을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커의 내부 구성을 개략적으로 도시하는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 보안통제부의 내부 구성을 개략적으로 도시하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 메타데이터생성부의 내부 구성을 개략적으로 도시하는 블록도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커의 보안통제 중복 수행 방지 방법을 개략적으로 도시하는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 2차CASB점검수행단계를 개략적으로 도시하는 순서도이다.
도 7은 본 발명의 일 실시예에 따른 1차CASB점검수행단계를 개략적으로 도시하는 순서도이다.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 보안에이전트, 프라이빗 CASB, 퍼블릭 CASB 3단계로 구성된 3-tier 방식의 CASB의 개념을 도시한 도면이다.
도 1을 참조하면, 클라우드 접근 보안 브로커를 이용한 클라우드 접근 보안 시스템은 사용자의 단말기에 설치되는 보안에이전트(10), 사용자의 기업 등에 설치되어 운영되는 프라이빗 클라우드 접근 보안 브로커(Cloud Access Security Broker, 이하 CASB)(20), 사업자에 의해 운영되며 클라우드에의 접근 보안 통제 기능을 제공하는 퍼블릭 CASB(30), 및 클라우드 서비스를 제공하는 퍼블릭 클라우드 서비스 시스템(40)으로 구성된다.
클라우드에 접속하기 원하는 사용자는 사용자의 단말기에 설치된 보안에이전트(10)에 의해 1차적으로 보안접근 통제를 받고, 사용자의 접속망에 설치된 프라이빗 CASB(20)를 통해 2차적으로 보안접근 통제를 받고, 퍼블릭 클라우드 서비스 시스템(40)에 접속하기 위한 퍼블릭 CASB(30)에 의해 3차적으로 보안접근 통제를 받아, 3단계의 보안접근 통제를 거쳐 클라우드에 접속하게 된다.
이와 같이 3단계의 보안접근 통제를 거쳐 클라우드에 접속함으로써 클라우드에 허용되지 않은 사용자의 접근을 차단할 수 있고, 퍼블릭 클라우드 서비스의 안정성을 확보할 수 있게 된다.
이 때, 여러 단계의 보안접근 통제를 거치게 되면 동일한 접속 시도에 대해서 중복적으로 보안통제가 적용됨으로 인해 발생되는 단점이 있다.
첫째, 프라이빗 CASB(20)와 퍼블릭 CASB(30)에 보안정책을 설정할 때 각각 개별적으로 보안정책을 설정해야 되는 문제점이 있다.
또한, 동일한 보안정책을 가져갔을 경우에도 어떤 장비에서 보안 처리를 해야 되는지에 대한 정보가 있어야 하는데, 프라이빗 CASB(20)와 퍼블릭 CASB(30)는 개별적으로 운영이 되기 때문에 처리 장비의 지정이 불가능하다.
둘째, 프라이빗 CASB(20)에서 접근통제 기술을 통해 접근 허용으로 판정하여 통과한 데이터 패킷을 퍼블릭 CASB(30)에서 불필요하게 또 점검하는 문제점이 발생할 수 있다. 퍼블릭 CASB(30)에서는 프라이빗 CASB(20)에 비해 상대적으로 대량의 트래픽을 분석하고 처리해야 되기 때문에 부하에 민감한데, 불필요하게 이미 점검된 트래픽을 다시 한번 점검하게 되어 자원 소모가 심해지는 단점이 있다.
셋째, 프라이빗 CASB(20)를 통과한 후에 퍼블릭 CASB(30)를 거치기 때문에, 프라이빗 CASB(20)에서 접근이 통제된 경우, 프라이빗 CASB(20)에서는 보안정책에 의해 접근이 통제되었음에 대한 로그정보를 갖고 있지만, 퍼블릭 CASB(30)에서는 해당 정보를 수신하지 않고 있기 때문에 정보가 서로 공유되지 못하는 문제점이 있다. 이는 두 시스템이 모두 보안정책을 통해 점검했음에도 불구하고 프라이빗 CASB(20)에서만 처리한 것으로 간주되어 추후 보안문제가 발생했을 때에 대한 사후 대비가 완전하게 이루어지지 못할 수 있는 단점이 있다.
이와 같은 단점을 해결하기 위한 본 발명의 일 실시예에 따르면, 프라이빗 CASB(20)에서 보안점검을 수행하면 퍼블릭 CASB(30)로 이를 전송하는 과정에서 HTTP 헤더에 메타데이터 형태로 상기 보안점검의 수행 결과를 삽입하여, 퍼블릭 CASB(30)가 이를 확인함으로써 이중으로 CASB가 구성되어 있다 하더라도 중복적인 실행을 방지하고, 프라이빗 CASB(20)에서 점검한 내역 정보를 상호 공유할 수 있게 된다.
이하에서는 상기와 같이 메타데이터 형태로 보안점검의 수행 결과를 삽입하여 전송하는 클라우드 접근 보안 브로커, 시스템 및 그 방법에 대하여 설명한다.
도 2는 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커의 내부 구성을 개략적으로 도시하는 블록도이다.
도 2를 참조하면 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커(Cloud Access Security Broker, CASB)는 외부기기와 네트워크를 통해 데이터를 주고 받는 데이터통신부(100), 상기 데이터통신부(100)가 수신한 데이터에서 메타데이터의 포함 여부를 식별하는 메타데이터식별부(200), 상기 메타데이터식별부(200)가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안통제부(300), 및 상기 보안통제부(300)의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성부(400)를 포함한다.
상기 데이터통신부(100)는 인터넷, 혹은 사설망 등의 네트워크를 통해 외부의 기기와 데이터를 주고 받는다. 상기 외부의 기기는 보안 에이전트가 설치된 사용자의 기기, 다른 CASB, 혹은 퍼블릭 클라우드 서비스 시스템 등일 수 있다.
상기 메타데이터식별부(200)는 상기 데이터통신부(100)가 수신한 데이터에서 메타데이터의 포함 여부를 식별한다. 본 발명의 일 실시예에 따르면 상기 데이터통신부(100)가 수신한 데이터가 HTTP 패킷인 경우, HTTP 헤더에 메타데이터가 포함되었는지 여부를 파악하고, 이를 식별해 낼 수 있다.
상기 메타데이터는 CASB가 수행한 보안점검 수행 내역을 포함한다. 더욱 상세하게는 사용자가 클라우드의 접근을 위하여 보안 에이전트가 설치된 사용자 단말기를 통해 트래픽을 이용할 때, CASB는 사용자의 ID, 보안 에이전트의 IP 등의 사용자 정보 등을 기초로 보안점검을 수행한다. 이 후 상기 CASB는 후술할 메타데이터생성부(400)을 통해 수행한 보안점검 내용을 메타데이터에 포함하여 타 CASB 등으로 전송하고, 이를 수신한 타 CASB는 상기 메타데이터식별부(200)를 통해 이를 식별해 낸다.
상기 보안통제부(300)는 상기 메타데이터식별부(200)가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행한다.
상기 메타데이터식별부(200)가 메타데이터를 식별한 경우, 상기 보안통제부(300)는 상기 메타데이터 및 기저장된 보안 정책에 기초하여 보안점검을 수행하고, 메타데이터를 식별하지 못한 경우, 상기 보안통제부(300)는 기저장된 보안 정책에만 기초하여 보안점검을 수행하게 된다.
상기 메타데이터 및 기저장된 보안 정책에 기초하여 보안점검을 수행하는 경우, 상기 보안통제부(300)는 상기 메타데이터에 포함된 보안점검 수행 내역을 분석하여, 동일한 보안 정책에 기초한 보안점검의 경우 이를 생략함으로써 중복수행을 방지할 수 있게 된다. 이와 같이 중복수행을 방지함으로써 CASB의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있다.
또한, 상기 보안통제부(300)는 보안점검 수행 내역을 기록한다. 이와 같이 보안점검 수행 내역을 기록하고 이를 타 CASB와 공유함으로써, 중복적인 보안점검의 실행을 방지하고, 점검결과에 대한 정보를 공유할 수 있는 효과를 발휘할 수 있다.
상기 메타데이터생성부(400)는 상기 보안통제부(300)가 수행한 보안점검의 수행 결과를 포함한 메타데이터를 생성하여 삽입한다. 본 발명의 일 실시예에 따르면 상기 메타데이터에는 보안점검 수행 결과뿐만 아니라, 사용자의 ID 및 사용자 단말기에 설치된 보안 에이전트의 IP 등 사용자에 대한 정보, 점검을 수행한 CASB의 IP 및 위치정보 등 CASB에 대한 정보를 포함한다. 이를 위해 상기 메타데이터생성부(400)는 수신한 데이터로부터 사용자 정보를 획득하고, 기저장된 CASB에 대한 정보로부터 CASB에 대한 정보를 획득하고, 상기 보안통제부(300)에서 기록된 보안로그를 획득하여 메타데이터를 생성하고, 이를 상기 접근 시도 데이터에 삽입한다. 바람직하게는 상기 메타데이터에 대해 디지털 서명을 수행함으로써 메타데이터의 무결성을 증명하고 위조를 방지하여 보안성을 높인다.
이와 같은 CASB의 구조는 프라이빗 CASB(20) 및 퍼블릭 CASB(30)에 동일하게 적용되어 작동할 수 있게 된다.
도 3은 본 발명의 일 실시예에 따른 보안통제부(300)의 내부 구성을 개략적으로 도시하는 블록도이다.
도 3을 참조하면 본 발명의 일 실시예에 따른 보안통제부(300)는 상기 메타데이터식별부(200)가 식별한 메타데이터의 내용을 분석하는 메타데이터분석부(310), 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득부(320), 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행부(330) 및 상기 보안점검수행부(330)의 수행 내역을 기록하는 보안로그기록부(340)를 포함한다.
상기 메타데이터분석부(310)는 상기 메타데이터식별부(200)가 식별한 메타데이터를 분석한다. 본 발명의 일 실시예에 따르면 상기 메타데이터에는 수행된 보안점검에 대한 데이터 외에도, 사용자의 ID 및 사용자 단말기에 설치된 보안 에이전트의 IP 등 사용자에 대한 정보, 점검을 수행한 CASB의 IP 및 위치정보 등 CASB에 대한 정보 및 점검내용에 대한 메타정보 등을 포함하기 때문에, 위와 같은 항목들을 분리하여 분석함으로써, 다른 구성에서 사용할 수 있도록 메타데이터를 가공한다.
상기 보안정책획득부(320)는 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러온다. 이처럼 상기 보안 정책은 CASB의 메모리에 저장되어있거나, 혹은 외부의 보안 정책 데이터베이스 등에 저장되어 네트워크 등을 통해 접근할 수 있게 된다. 바람직하게는 상기 보안 정책은 외부의 데이터베이스에 저장되어 네트워크로 연결된 복수의 CASB에서 접근하여 동일한 보안 정책을 사용할 수 있다.
상기 보안점검수행부(330)는 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행한다. 상기 메타데이터에는 이전에 CASB를 통한 보안점검의 수행 내역이 저장되어 있기 때문에, 상기 보안점검수행부(330)에서는 상기 메타데이터의 보안점검 수행 내역 및 상기 보안 정책을 비교하여, 이미 점검이 수행된 항목에 대해서는 점검을 생략하고, 점검이 수행되지 않은 항목에 대하여 점검을 수행한다. 이와 같이 메타데이터를 이용하여 보안점검이 이미 수행된 데이터에 대한 점검을 생략함으로써 중복적인 점검을 피하여 CASB의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있게 된다.
만약 메타데이터가 존재하나 보안점검 수행 내역이 존재하지 않는 경우, 상기 보안 정책에 기초하여 모든 항목에 대하여 보안점검을 수행한다.
상기 보안로그기록부(340)는 상기 보안점검수행부(330)의 보안점검 수행 내역을 기록한다. 이와 같이 보안점검 수행 내역을 기록하고 이를 타 CASB에 전송함으로써, 중복적인 보안점검의 실행을 방지하고, 점검결과에 대한 정보를 공유할 수 있는 효과를 발휘할 수 있다.
도 4는 본 발명의 일 실시예에 따른 메타데이터생성부(400)의 내부 구성을 개략적으로 도시하는 블록도이다.
도 4를 참조하면 본 발명의 일 실시예에 따른 메타데이터생성부(400)는 클라우드에 접근하는 사용자의 정보를 불러오는 사용자정보획득부(410), 보안점검을 수행하는 클라우드 접근 보안 브로커의 정보를 저장하고 있는 CASB정보저장부(420), 상기 보안로그기록부(340)가 기록한 보안점검 수행 내역을 불러오는 보안로그획득부(430) 및 상기 보안점검 수행 내역에 대해 디지털 서명을 수행하는 디지털서명부(440)을 포함한다.
본 발명의 일 실시예에 따르면 상기 메타데이터에는 보안점검 수행 결과뿐만 아니라, 사용자의 ID 및 사용자 단말기에 설치된 보안 에이전트의 IP 등 사용자에 대한 정보, 점검을 수행한 CASB의 IP 혹은 위치정보 등 CASB에 대한 정보를 포함한다. 메타데이터에 이와 같은 정보를 포함시키기 위하여 상기 메타데이터생성부(400)는 정보를 수집하기 위하여 사용자정보획득부(410), CASB정보저장부(420) 및 보안로그획득부(430)를 포함할 수 있고, 상기 메타데이터의 무결성을 증명하고 위조를 방지하기 위하여 디지털서명부(440)를 더 포함할 수 있다.
상기 사용자정보획득부(410)는 클라우드에 접근하는 사용자의 정보를 불러온다. 본 발명의 일 실시예에 따르면 상기 사용자의 정보는 사용자가 보안 에이전트를 통해 인증한 사용자의 ID, CASB에 접근할 때 사용된 보안 에이전트의 IP 주소 등을 포함한다. 이와 같은 사용자의 정보를 통해 메타데이터를 수신한 타 CASB가 보안점검을 수행할 때 사용자에 대한 정보를 쉽게 파악할 수 있도록 하는 효과를 발휘할 수 있다.
상기 CASB정보저장부(420)에는 보안점검을 수행하는 클라우드 접근 보안 브로커(CASB)의 정보가 저장되어 있다. 본 발명의 일 실시예에 다르면 CASB의 정보에는 프록시로 구성된 CASB의 프록시 정보, 즉 프록시 서버의 주소 및 위치정보 등이 포함될 수 있다. 이를 통해 메타데이터를 수신한 타 CASB가 보안점검을 수행한 CASB를 확인하고, 상기 보안점검 수행 내역에 대한 신뢰성 및 적합성을 검증할 수 있게 된다.
상기 보안로그획득부(430)는 상기 보안로그기록부(340)가 기록한 보안점검 수행 내역을 불러온다. 상기 보안로그획득부(430)가 보안점검 수행 내역을 불러옴으로써 메타데이터에 보안점검 수행 내역을 포함시키고, 이를 타 CASB에 전송함으로써, 중복적인 보안점검의 실행을 방지하고, 점검결과에 대한 정보를 공유할 수 있는 효과를 발휘할 수 있다.
이에 더해, 상기 보안로그획득부(430)는 상기 보안점검 수행 내역뿐만 아니라, 보안점검을 수행했는지 여부 자체를 파악하여 보안점검 수행 여부를 데이터로 만들어 메타데이터에 포함시킬 수 있다.
상기 디지털서명부(440)는 상기 보안점검 수행 내역에 대해 디지털 서명을 수행한다. 여기서 수행되는 디지털 서명은 공개 키 기반구조(Public Key Infrastructure, PKI)등을 이용한 알려진 여러 방법이 사용될 수 있다. 이와 같이 보안점검 수행 내역을 포함한 메타데이터에 대해 디지털 서명을 수행함으로써 메타데이터의 무결성을 증명하고 위조를 방지하여 보안성을 높이는 효과를 발휘할 수 있다.
즉, 제3자가 의도적으로 보안점검이 되었다는 메타데이터를 인위적으로 생성하여 데이터에 삽입하는 경우, 상기 디지털서명부(440)에 의해 서명되지 않은 데이터는 위조된 데이터로 판단하여 접근을 차단함으로써, 메타데이터의 보안성을 높일 수 있게 된다.
이처럼 디지털서명부(440)에 의해 디지털 서명을 수행하여 보안을 강화하는 경우, 상기 메타데이터분석부(310)는 상기 디지털 서명을 검증하기 위한 디지털서명검증부(미도시)를 더 포함하여 디지털 서명의 진위 여부를 확인하는 것이 바람직하다.
도 5는 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커의 보안통제 중복 수행 방지 방법을 개략적으로 도시하는 순서도이다.
도 5를 참조하면 본 발명의 일 실시예에 따른 클라우드 접근 보안 브로커의 보안통제 중복 수행 방지 방법은 외부기기로부터 네트워크를 통해 데이터를 수신하는 데이터수신단계(S100), 수신된 상기 데이터로부터 메타데이터의 포함 여부를 식별하는 메타데이터식별단계(S200), 상기 메타데이터식별단계에서 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 CASB점검수행단계(S300), 상기 CASB점검수행단계(S300)의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성단계(S400) 및 상기 메타데이터생성단계에서 생성된 메타데이터가 삽입된 데이터를 외부로 전송하는 데이터전송단계(S500)를 포함한다.
또한, 상기 CASB점검수행단계(S300)는 상기 메타데이터식별단계에서 식별한 메타데이터의 내용을 분석하는 메타데이터분석단계(S310), 상기 메타데이터 및 보안정책에 기초하여 기수행되지 않은 보안점검을 수행하는 2차CASB점검수행단계(S320) 및 보안정책에 기초하여 모든 보안점검을 수행하는 1차CASB점검수행단계(S330)를 포함한다.
클라우드 접근 보안 브로커(CASB)가 사용자의 클라우드의 접근을 위하여 클라우드 접근 보안 브로커를 통해 접속 요청 데이터를 수신한 경우, CASB는 다음과 같은 절차를 통해 접근시도에 대해 보안 점검을 수행한다.
우선 데이터수신단계(S100)에서는 상기 사용자의 접근 시도 데이터를 수신한다. 상기 접근 시도 데이터는 사용자 혹은 사용자 단말기에 설치된 보안 에이전트로부터 직접 수신한 데이터일 수도 있고, 네트워크의 다른 CASB를 거쳐 수신한 데이터일 수도 있다.
이후, 메타데이터식별단계(S200)에서는 수신한 상기 접근 시도 데이터에서 메타데이터의 포함 여부를 식별한다. 본 발명의 일 실시예에 따르면, 상기 접근 시도 데이터는 HTTP 패킷 데이터이고, 상기 메타데이터는 상기 HTTP 패킷 데이터의 헤더에 포함되어 있다.
상기 메타데이터에는 해당 접근 시도 데이터의 접근 시도에 대한 CASB의 보안점검 수행 내역이 포함되어 있다. 본 발명의 일 실시예에 따르면, 상기 접근 시도 데이터가 타 CASB를 거쳐 수신된 경우, 상기 타 CASB에서 수행된 보안점검의 내역을 포함한 메타데이터가 존재하게 되고, 상기 접근 시도 데이터가 타 CASB를 거치지 않고 사용자로부터 직접 수신된 경우, 메타데이터가 존재하지 않을 수 있다.
이후, CASB점검수행단계(S300)에서는 상기 메타데이터식별단계(S200)에서 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행한다. 상기 CASB점검수행단계(S300)는 상기 메타데이터식별단계(S200)에서의 식별 결과 메타데이터가 존재하는 경우, 메타데이터분석단계(S310) 및 2차CASB점검수행단계(S320)을 수행하고, 상기 메타데이터식별단계(S200)에서의 식별 결과 메타데이터가 존재하지 않는 경우, 1차CASB점검수행단계(S330)을 수행한다.
상기 메타데이터는 기존에 수행된 보안점검 수행 내역이 포함되어 있기 때문에, 상기 메타데이터가 존재하는 경우 타 CASB에서 이미 보안점검을 수행한 데이터임을 알 수 있고, 상기 메타데이터가 존재하지 않는 경우 보안점검을 수행하지 않은 데이터임을 알 수 있다. 따라서 상기 메타데이터가 존재하지 않는 경우, 최초로 보안점검을 수행하는 1차CASB점검수행단계(S330)을 거치게 되고, 상기 메타데이터가 존재하는 경우 타 CASB에서 상기 1차CASB점검수행단계를 이미 수행 한 후이기 때문에, 상기 메타데이터를 분석하는 메타데이터분석단계(S310) 및 2차CASB점검수행단계(S320)를 거치게 된다.
상기 메타데이터분석단계(S310)에서는 상기 메타데이터식별단계(S200)에서 식별한 메타데이터를 분석한다. 본 발명의 일 실시예에 따르면 상기 메타데이터에는 수행된 보안점검에 대한 데이터 외에도, 사용자의 ID 및 사용자 단말기에 설치된 보안 에이전트의 IP 등 사용자에 대한 정보, 점검을 수행한 CASB의 IP 및 위치정보 등 CASB에 대한 정보 및 점검내용에 대한 메타정보 등을 포함하기 때문에, 위와 같은 항목들을 분리하여 분석함으로써, 다른 단계에서 사용할 수 있도록 메타데이터를 가공한다.
상기 2차CASB점검수행단계(S320)에서는 상기 메타데이터분석단계(S310)에서 분석한 메타데이터 및 기저장된 보안 정책에 기초하여, 메타데이터 분석 결과 점검이 수행되지 않은 항목이 있을 경우 보안 정책에 기초하여 보안점검을 수행하고 이에 대한 보안로그를 기록한다. 이와 같은 2차CASB점검수행단계(S320)의 상세한 수행 절차 대하여는 후술하도록 한다.
상기 1차CASB점검수행단계(S330)에서는 기저장된 보안 정책에 기초하여 모든 항목에 대하여 보안점검을 수행하고 이에 대한 보안로그를 기록한다. 이와 같은 1차CASB점검수행단계(S330)의 상세한 수행 절차 대하여는 후술하도록 한다.
이후, 메타데이터생성단계(S400)에서는 상기 CASB점검수행단계(S300)의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입한다. 본 발명의 일 실시예에 따르면 상기 메타데이터에는 보안점검 수행 결과뿐만 아니라, 사용자의 ID 및 사용자 단말기에 설치된 보안 에이전트의 IP 등 사용자에 대한 정보, 점검을 수행한 CASB의 IP 및 위치정보 등 CASB에 대한 정보를 포함한다. 이를 위해 상기 메타데이터생성단계(S400)에서는 수신한 접근 시도 데이터로부터 사용자 정보를 획득하고, 기저장된 CASB에 대한 정보로부터 CASB에 대한 정보를 획득하고, 상기 CASB점검수행단계(S300)에서 기록된 보안로그를 획득하여 메타데이터를 생성하고, 이를 상기 접근 시도 데이터에 삽입한다. 바람직하게는 상기 메타데이터에 대해 디지털 서명을 수행함으로써 메타데이터의 무결성을 증명하고 위조를 방지하여 보안성을 높인다.
이후, 데이터전송단계(S500)에서는 상기 메타데이터생성단계(S400)에서 생성된 메타데이터가 삽입된 접근 시도 데이터를 타 CASB 또는 퍼블릭 클라우드 서비스 시스템 등에 전달하여 사용자가 클라우드에 접근할 수 있도록 한다.
도 6은 본 발명의 일 실시예에 따른 2차CASB점검수행단계(S320)를 개략적으로 도시하는 순서도이다.
도 6을 참조하면 본 발명의 일 실시예에 따른 2차CASB점검수행단계(S320)는 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계(S321), 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검 대상을 파악하는 점검대상파악단계(S322), 상기 점검대상파악단계(S322)에서 파악한 보안점검 대상에 대해 보안점검을 수행하는 보안점검수행단계(S323) 및 상기 보안점검수행단계의 수행 내역을 기록하는 보안로그기록단계(S324)를 포함한다.
앞서 설명한 바와 같이 상기 메타데이터식별단계(S200)에서 메타데이터의 식별 결과 메타데이터가 존재하는 경우, 메타데이터분석단계(S310)를 수행하고, 이후 2차CASB점검수행단계(S320)를 수행하게 된다. 이처럼 메타데이터가 존재하는 경우는 기존에 CASB를 통한 보안점검을 이미 수행한 경우이기 때문에, 상기 메타데이터에 포함된 기존의 CASB를 통한 보안점검의 수행 내역 및 기저장된 보안 정책에 기초하여, 점검이 수행되지 않은 항목이 있을 경우 보안 정책에 따라 점검을 수행하게 된다.
이를 위해 우선 보안정책획득단계(S321)에서는 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러온다. 이처럼 상기 보안 정책은 CASB의 메모리에 저장되어있거나, 혹은 외부의 보안 정책 데이터베이스 등에 저장되어 네트워크 등을 통해 접근할 수 있게 된다. 바람직하게는 상기 보안 정책은 외부의 데이터베이스에 저장되어 네트워크로 연결된 복수의 CASB에서 접근하여 동일한 보안 정책을 사용할 수 있다.
이후, 점검대상파악단계(S322)에서는 상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검 대상을 파악한다. 상기 메타데이터에는 이전에 CASB를 통한 보안점검의 수행 내역이 저장되어 있기 때문에, 상기 점검대상파악단계(S322)에서는 상기 메타데이터의 보안점검 수행 내역 및 상기 보안 정책을 비교하여, 이미 점검이 수행된 항목에 대해서는 점검을 생략하고, 점검이 수행되지 않은 항목에 대하여 점검을 수행하기 위하여 점검대상을 설정한다. 이와 같이 메타데이터를 이용하여 점검대상을 설정함으로써 중복적인 점검을 피하여 CASB의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있게 된다.
만약 메타데이터가 존재하나 보안점검 수행 내역이 존재하지 않는 경우도 있을 수 있으나, 이 경우 후술할 1차CASB점검수행단계(S330)와 마찬가지로 보안 정책에 기초하여 모든 항목을 보안점검 대상으로 파악함으로써 보안점검을 완료할 수 있다.
이후, 보안점검수행단계(S333)에서는 상기 점검대상파악단계(S322)에서 파악한 보안점검 대상에 대해 보안점검을 수행한다. 이와 같이 보안점검수행단계(S333)에서 모든 항목에 대해 보안점검을 수행하지 않고, 상기 점검대상파악단계(S322)에서 파악한 보안점검 대상에 대해서만 보안점검을 수행함으로써 불필요하게 이미 점검된 트래픽을 다시 한번 점검하는 중복 점검을 방지하고, CASB의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있다.
이후, 보안로그기록단계(S324)에서는 상기 보안점검수행단계(S323)의 보안점검 수행 내역을 기록한다. 이와 같이 보안점검 수행 내역을 기록하고 이를 타 CASB와 공유함으로써, 중복적인 보안점검의 실행을 방지하고, 점검결과에 대한 정보를 공유할 수 있는 효과를 발휘할 수 있다.
도 7은 본 발명의 일 실시예에 따른 1차CASB점검수행단계(S330)를 개략적으로 도시하는 순서도이다.
도 7을 참조하면 본 발명의 일 실시예에 따른 1차CASB점검수행단계(S330)는 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계(S331), 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행단계(S333) 및 상기 보안점검수행단계(S333)의 수행 내역을 기록하는 보안로그기록단계(S334)를 포함한다.
앞서 설명한 바와 같이 상기 메타데이터식별단계(S200)에서 메타데이터의 식별 결과 메타데이터가 존재하지 않는 경우 1차CASB점검수행단계(S330)를 수행하게 된다. 이처럼 메타데이터가 존재하지 않는 경우는 기존에 CASB를 통한 보안점검을 수행하지 않은 경우이기 때문에, 기설정된 보안 정책에 기초하여 모든 항목에 대한 보안점검을 수행하게 된다.
이를 위해 우선 보안정책획득단계(S331)에서는 기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러온다. 이는 앞서 설명한 2차CASB점검수행단계(S320)의 보안정책획득단계(S321)와 실질적으로 동일하다.
이후, 보안점검수행단계(S333)에서는 상기 보안정책획득단계(S331)에서 불러온 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행한다. 앞서 설명한 바와 같이 1차CASB점검수행단계(S330)의 보안점검수행단계(S333)에서는 모든 항목에 대한 보안점검을 수행하게 된다.
이후, 보안로그기록단계(S334)에서는 상기 보안점검수행단계(S333)의 보안점검 수행 내역을 기록한다. 이와 같이 보안점검 수행 내역을 기록하고 이를 타 CASB와 공유함으로써, 중복적인 보안점검의 실행을 방지하고, 점검결과에 대한 정보를 공유할 수 있는 효과를 발휘할 수 있다.
이는 앞서 설명한 2차CASB점검수행단계(S320)의 보안로그기록단계(S324)와 실질적으로 동일하다.
본 발명의 일 실시예에 따르면 불필요하게 이미 점검된 트래픽을 다시 한번 점검하는 중복 점검을 방지하여 클라우드 접근 보안 브로커의 부하 및 자원 소모를 줄일 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 클라우드 접근 보안 브로커의 보안점검 결과를 메타데이터를 통해 공유하여 타 클라우드 접근 보안 브로커에서도 파악할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 클라우드 접근 보안 브로커의 보안점검 결과가 포함된 메타데이터에 디지털 서명을 수행하여 메타데이터의 무결성을 증명하고 위조를 방지할 수 있는 효과를 발휘할 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (10)

  1. 사용자단말기에 접속되는 네트워크 망에 설치되는 프라이빗 클라우드 접근 보안 브로커; 및
    클라우드 서비스 시스템에 접속되는 네트워크 망에 설치되는 퍼블릭 클라우드 접근 보안 브로커;를 포함하는 클라우드 접근 보안 브로커 시스템으로서,
    상기 프라이빗 클라우드 접근 보안 브로커 및 상기 퍼블릭 클라우드 접근 보안 브로커 각각은,
    외부기기와 네트워크를 통해 데이터를 주고 받는 데이터통신부;
    상기 데이터통신부가 수신한 데이터에서 메타데이터의 포함 여부를 식별하는 메타데이터식별부;
    상기 메타데이터식별부가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안통제부; 및
    상기 보안통제부의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성부;를 포함하고,
    상기 보안통제부는,
    상기 메타데이터식별부가 식별한 메타데이터의 내용을 분석하는 메타데이터분석부;
    기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득부;
    상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행부; 및
    상기 보안점검수행부의 수행 내역을 기록하는 보안로그기록부;를 포함하고,
    상기 메타데이터생성부는,
    클라우드에 접근하는 사용자의 정보를 불러오는 사용자정보획득부;
    보안점검을 수행하는 클라우드 접근 보안 브로커의 정보를 저장하고 있는 CASB정보저장부; 및
    상기 보안로그기록부가 기록한 보안점검 수행 내역을 불러오는 보안로그획득부;를 포함하고,
    상기 보안점검수행부는,
    상기 메타데이터의 보안점검 수행 내역 및 상기 보안 정책을 비교하여, 이미 점검이 수행된 항목에 대해서는 점검을 생략하고, 점검이 수행되지 않은 항목에 대하여 점검을 수행하고,
    상기 메타데이터생성부는,
    상기 보안점검 수행 내역에 대해 디지털 서명을 수행하는 디지털서명부;를 더 포함하고,
    상기 메타데이터분석부는,
    상기 디지털서명부에서 수행된 디지털 서명에 대한 검증을 수행할 수 있는, 클라우드 접근 보안 브로커 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 청구항 1에 있어서
    상기 사용자의 정보는,
    사용자를 식별할 수 있는 식별자 및 사용자가 접속한 IP주소를 포함하는, 클라우드 접근 보안 브로커 시스템.
  7. 청구항 1에 있어서
    상기 클라우드 접근 보안 브로커의 정보는,
    클라우드 접근 보안 브로커의 IP 또는 위치정보를 포함하는, 클라우드 접근 보안 브로커 시스템.
  8. 외부기기와 네트워크를 통해 데이터를 주고 받는 데이터통신부;
    상기 데이터통신부가 수신한 데이터에서 메타데이터의 포함 여부를 식별하는 메타데이터식별부;
    상기 메타데이터식별부가 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안통제부; 및
    상기 보안통제부의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성부;를 포함하고,
    상기 보안통제부는,
    상기 메타데이터식별부가 식별한 메타데이터의 내용을 분석하는 메타데이터분석부;
    기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득부;
    상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행부; 및
    상기 보안점검수행부의 수행 내역을 기록하는 보안로그기록부;를 포함하고,
    상기 메타데이터생성부는,
    클라우드에 접근하는 사용자의 정보를 불러오는 사용자정보획득부;
    보안점검을 수행하는 클라우드 접근 보안 브로커의 정보를 저장하고 있는 CASB정보저장부; 및
    상기 보안로그기록부가 기록한 보안점검 수행 내역을 불러오는 보안로그획득부;를 포함하고,
    상기 보안점검수행부는,
    상기 메타데이터의 보안점검 수행 내역 및 상기 보안 정책을 비교하여, 이미 점검이 수행된 항목에 대해서는 점검을 생략하고, 점검이 수행되지 않은 항목에 대하여 점검을 수행하고,
    상기 메타데이터생성부는,
    상기 보안점검 수행 내역에 대해 디지털 서명을 수행하는 디지털서명부;를 더 포함하고,
    상기 메타데이터분석부는,
    상기 디지털서명부에서 수행된 디지털 서명에 대한 검증을 수행할 수 있는, 클라우드 접근 보안 브로커.
  9. 외부기기로부터 네트워크를 통해 데이터를 수신하는 데이터수신단계;
    수신된 상기 데이터로부터 메타데이터의 포함 여부를 식별하는 메타데이터식별단계;
    상기 메타데이터식별단계에서 식별한 메타데이터 및 기저장된 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 CASB점검수행단계;
    상기 CASB점검수행단계의 보안점검 수행 결과를 포함한 메타데이터를 생성하여 삽입하는 메타데이터생성단계; 및
    상기 메타데이터생성단계에서 생성된 메타데이터가 삽입된 데이터를 외부로 전송하는 데이터전송단계;를 포함하고,
    상기 CASB점검수행단계는,
    상기 메타데이터식별단계의 식별 결과 메타데이터가 존재하는 경우,
    상기 메타데이터식별단계에서 식별한 메타데이터의 내용을 분석하는 메타데이터분석단계;
    기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계;
    상기 메타데이터의 내용 및 상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검 대상을 파악하는 점검대상파악단계;
    상기 점검대상파악단계에서 파악한 보안점검 대상에 대해 보안점검을 수행하는 보안점검수행단계; 및
    상기 보안점검수행단계의 수행 내역을 기록하는 보안로그기록단계;를 포함하고,
    상기 메타데이터식별단계의 식별 결과 메타데이터가 존재하지 않는 경우,
    기저장된 보안 정책을 내부의 메모리 혹은 외부의 저장장치로부터 불러오는 보안정책획득단계;
    상기 보안 정책에 기초하여 클라우드 서비스에 대한 보안점검을 수행하는 보안점검수행단계; 및
    상기 보안점검수행단계의 수행 내역을 기록하는 보안로그기록단계;를 포함하고,
    상기 메타데이터생성단계는,
    클라우드에 접근하는 사용자의 정보를 불러오는 사용자정보획득단계;
    보안점검을 수행하는 클라우드 접근 보안 브로커의 정보를 획득하는 CASB정보획득단계; 및
    상기 보안로그기록단계에서 기록한 보안점검 수행 내역을 불러오는 보안로그획득단계;를 포함하고,
    상기 점검대상파악단계는,
    상기 메타데이터의 보안점검 수행 내역 및 상기 보안 정책을 비교하여, 이미 점검이 수행된 항목에 대해서는 점검을 생략하고, 점검이 수행되지 않은 항목에 대하여 점검을 수행하도록 점검대상을 파악하고,
    상기 메타데이터생성단계는,
    상기 보안점검 수행 내역에 대해 디지털 서명을 수행하는 디지털서명단계;를 더 포함하고,
    상기 메타데이터분석단계는,
    상기 디지털서명단계에서 수행된 디지털 서명에 대한 검증을 수행하는, 클라우드 접근 보안 브로커의 보안통제 중복 수행 방지 방법.
  10. 삭제
KR1020170052138A 2017-04-24 2017-04-24 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법 KR101980568B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170052138A KR101980568B1 (ko) 2017-04-24 2017-04-24 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170052138A KR101980568B1 (ko) 2017-04-24 2017-04-24 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법

Publications (2)

Publication Number Publication Date
KR20180119177A KR20180119177A (ko) 2018-11-02
KR101980568B1 true KR101980568B1 (ko) 2019-05-22

Family

ID=64328536

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052138A KR101980568B1 (ko) 2017-04-24 2017-04-24 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법

Country Status (1)

Country Link
KR (1) KR101980568B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312718B1 (ko) * 2020-03-16 2021-10-14 주식회사 티앤디소프트 클라우드 서비스 보안 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004291A (ja) * 2005-06-21 2007-01-11 Mitsubishi Electric Corp 脆弱性診断方法、並びにこれに用いる脆弱性診断装置、脆弱性診断プログラム及び脆弱性診断プログラムを記録した記録媒体、診断報告書作成装置、診断報告書作成プログラム及び診断報告書作成プログラムを記録した記録媒体
US20140282518A1 (en) * 2013-03-15 2014-09-18 Symantec Corporation Enforcing policy-based compliance of virtual machine image configurations

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3734474A3 (en) * 2013-11-11 2021-01-20 Microsoft Technology Licensing, LLC Cloud service security broker and proxy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004291A (ja) * 2005-06-21 2007-01-11 Mitsubishi Electric Corp 脆弱性診断方法、並びにこれに用いる脆弱性診断装置、脆弱性診断プログラム及び脆弱性診断プログラムを記録した記録媒体、診断報告書作成装置、診断報告書作成プログラム及び診断報告書作成プログラムを記録した記録媒体
US20140282518A1 (en) * 2013-03-15 2014-09-18 Symantec Corporation Enforcing policy-based compliance of virtual machine image configurations

Also Published As

Publication number Publication date
KR20180119177A (ko) 2018-11-02

Similar Documents

Publication Publication Date Title
US10846416B2 (en) Method for managing document on basis of blockchain by using UTXO-based protocol, and document management server using same
CN110024357B (zh) 使用分布式分类帐进行数据处理的系统和方法
CN110414268B (zh) 访问控制方法、装置、设备及存储介质
KR101882805B1 (ko) Utxo 기반 프로토콜에서 머클 트리 구조를 이용하는 블록체인 기반의 문서 관리 방법 및 이를 이용한 문서 관리 서버
CN110909073B (zh) 基于智能合约分享隐私数据的方法及系统
KR101621128B1 (ko) 보안 관점의 분산 시스템 간의 데이터 전송 제어
US20210103581A1 (en) Blockchain based data management system and method thereof
JP4939851B2 (ja) 情報処理端末、セキュアデバイスおよび状態処理方法
Gul et al. Cloud computing security auditing
US20030196108A1 (en) System and techniques to bind information objects to security labels
KR101977178B1 (ko) 블록체인 기반의 파일 위변조 검사 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체
CA3088147C (en) Data isolation in distributed hash chains
KR101980568B1 (ko) 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법
EP3472720B1 (en) Digital asset architecture
KR102337836B1 (ko) 블록체인 응용 외부 정보 인식 및 정보 제공방법
De Carvalho et al. Secure cloud storage service for detection of security violations
CN112350863A (zh) 一种基于交易的去中心化访问控制方法和系统
KR20210132526A (ko) 계층 블록체인을 이용한 인증 및 정책 관리 방법
US11507686B2 (en) System and method for encrypting electronic documents containing confidential information
CN108134781B (zh) 一种重要信息数据保密监控系统
CN106130996A (zh) 一种网站防攻击验证系统及方法
De Marco et al. Digital evidence management, presentation, and court preparation in the cloud: a forensic readiness approach
Croi et al. Introducing digital signatures and time-stamps in the EO data processing chain
Haas et al. Supporting semi-automated compliance control by a system design based on the concept of separation of concerns
Ras Digital Forensic Readiness Architecture for Cloud Computing Systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant