KR102030764B1 - Security device and method for virtual network - Google Patents
Security device and method for virtual network Download PDFInfo
- Publication number
- KR102030764B1 KR102030764B1 KR1020170131664A KR20170131664A KR102030764B1 KR 102030764 B1 KR102030764 B1 KR 102030764B1 KR 1020170131664 A KR1020170131664 A KR 1020170131664A KR 20170131664 A KR20170131664 A KR 20170131664A KR 102030764 B1 KR102030764 B1 KR 102030764B1
- Authority
- KR
- South Korea
- Prior art keywords
- access
- network
- virtual network
- security
- specific service
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시키는 보안 제어 기술을 실현하는, 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법을 제안한다.The present invention provides a virtual network security device and a virtual network, which realizes a security control technique that improves security vulnerabilities and enhances security in view of the characteristics of a virtual network environment that is dynamically configured / modified using a common network infrastructure on a network. We propose a network security method.
Description
본 발명은 가상 네트워크 기술에 관한 것으로, 더욱 상세하게는 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 보안 제어 기술에 관한 것이다.The present invention relates to a virtual network technology, and more particularly, in consideration of the characteristics of a virtual network environment that is dynamically configured / modified using a common network infrastructure in a network, a security that can improve security vulnerabilities and enhance security. Control technology.
가상 네트워크란, 망 상에서 구성하는 가상의 네트워크로서, 대표적으로는 최근 급속도로 진화하고 있는 클라우드 서비스를 위해 많이 사용되고 있다.A virtual network is a virtual network configured on a network, and is typically used for a cloud service that is rapidly evolving in recent years.
클라우드 서비스(또는 클라우드 컴퓨팅)는, 인터넷 기술을 활용하여 망 상에 구성한 가상 네트워크를 기반으로 데이터 서비스를 제공하는 기술로서, 사용자가 데이터 분류, 계산, 처리 및 분석 등 다양한 연산 처리의 기능(프로세스), 저장공간 등과 같은 네트워크자원(Information Technology 자원)을 필요한 만큼 빌려서 사용하는 개념의 기술이다.Cloud service (or cloud computing) is a technology that provides a data service based on a virtual network configured on a network by using internet technology. The function (process) of various arithmetic processing such as data classification, calculation, processing and analysis by a user It is a conceptual technology that borrows and uses network resources (Information Technology resources) such as storage spaces as needed.
이에 가상 네트워크 기반의 클라우드 서비스는, 사용자가 실제로 보유하고 있는 자원 수준에서는 수용할 수 없는 대용량의 데이터를 빠른 속도로 연산 처리할 수 있게 되고, 이를 기반으로 하는 고성능/고속의 데이터 서비스 이용을 가능하게 한다.Therefore, the virtual network-based cloud service can rapidly process a large amount of data that cannot be accommodated at the resource level that a user actually possesses, and enable the use of a high performance / high speed data service based on the same. do.
한편, 네트워크에서 채용하는 보안 방식은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 환경에서, 보안 툴(예: Firewall 등)을 기반으로 접근을 허용/제한하는 방식이다.On the other hand, the security method employed in the network is a method of allowing / restricting access based on a security tool (eg, a firewall, etc.) in an environment that opens visibility and accessibility of network elements.
이러한, 기존의 일반적인 네트워크 보안 방식을 가상 네트워크 환경에 그대로 적용하는 경우, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 다양한 보안 취약점을 가지게 된다.In case of applying the existing general network security method to the virtual network environment, various security vulnerabilities such as Denial of Service attack exposure to Application connection port, risk of losing control of server due to Credential Theft, Connection Hijacking, APT / Lateral Movement exposure Will have
최근에는, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술이 대두되고 있다.In recent years, network slicing (network slicing) technology has emerged that separates a physical common network infrastructure into a plurality of independent virtual networks and provides independent data services for each service characteristic.
이러한 네트워크 슬라이싱 기술에서는, 망 상에서 공통 네트워크 인프라를 사용하여 데이터 서비스 별로 동적으로 가상 네트워크를 구성하기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.In such a network slicing technology, since a virtual network is dynamically configured for each data service using a common network infrastructure on a network, each segment of the virtual network has an environmental characteristic of dynamically changing.
따라서, 특히 동적으로 구성/변경되는 가상 네트워크의 환경 특성을 감안하면, 가상 네트워크의 각 세그먼트에 대한 전술의 보안 취약점이 더욱 치명적일 수 있다.Therefore, in view of the environmental characteristics of the virtual network, which is dynamically configured / modified in particular, the above-described security vulnerability for each segment of the virtual network may be more critical.
이에, 본 발명에서는, 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 새로운 보안 제어 기술을 제안하고자 한다.Accordingly, the present invention, in consideration of the characteristics of the virtual network environment that is dynamically configured / changed, to propose a new security control technology that can improve security vulnerabilities and enhance the security.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 보안 제어 기술을 제공하는데 있다.The present invention was created in view of the above circumstances, and considering the characteristics of a virtual network environment that is dynamically configured / modified using a common network infrastructure on a network, a security control that can improve security vulnerabilities and enhance security. To provide technology.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 가상 네트워크 보안 장치는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성제어부; 및 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부를 포함한다.The virtual network security device according to the first aspect of the present invention for achieving the above object, based on the tenants policy defined in a specific service, a virtual network for the specific service using a network resource selected on the network. A network configuration control unit configured to constitute; And a network security control unit for controlling a dynamic security function implemented for each segment of the virtual network based on the tenant policy to apply individual security to the specific service on a segment basis of the virtual network.
바람직하게는, 상기 가상 네트워크는, 상기 특정 서비스에 대하여 클라우드 서비스를 제공하는 코어컴퓨팅노드와, 상기 클라우드 서비스를 상기 코어컴퓨팅노드와 분산 제공하는 엣지컴퓨팅노드를 포함할 수 있다.Preferably, the virtual network may include a core computing node that provides a cloud service for the specific service, and an edge computing node that provides the cloud service with the core computing node.
바람직하게는, 상기 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어부의 제어에 따라 특정 접근에 대해서만 접근을 허용할 수 있다.Preferably, the dynamic security function is based on a specific security setting (All deny setting) that blocks all access, and can only allow access to a specific access under the control of the network security control unit.
바람직하게는, 상기 네트워크보안제어부는, 상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, the network security control unit, the dynamic security function implemented for each segment of the virtual network configured to provide the access information required for access to the specific service to the access subject authenticated for the specific service, By controlling the access, it is possible to allow access to the access from the access subject.
바람직하게는, 상기 테넌트 정책은, 상기 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며, 접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용할 수 있다.Preferably, the tenant policy configures a virtual network by setting a data path between segments for each of a plurality of service functions provided by the specific service, and configures the plurality of service functions for each level of access authority granted to an access subject. You can allow access to each differently.
바람직하게는, 상기 네트워크보안제어부는, 상기 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 중, 상기 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, the network security control unit, the access information required for access to a specific service function that allows access to the level of access authority granted to the access principal among the plurality of service functions, the access subject authenticated for the specific service. Provide only and control only the dynamic security function implemented in the segment that sets the data path of the specific service function among the segments of the virtual network configured for the specific service to allow access to the access from the access subject. Can be.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 가상 네트워크 보안 방법은, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성단계; 및 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어단계를 포함한다.The virtual network security method according to the second aspect of the present invention for achieving the above object, based on the tenants policy defined in a specific service, using the network resources selected on the network to establish a virtual network for the specific service A network configuration step of configuring; And a network security control step of controlling a dynamic security function implemented for each segment of the virtual network based on the tenant policy, so that individual security can be applied to the specific service on a segment basis of the virtual network.
바람직하게는, 상기 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어단계에서의 제어에 따라 특정 접근에 대해서만 접근을 허용할 수 있다.Preferably, the dynamic security function is based on a specific security setting (All deny setting) that blocks all access, and can only allow access to a specific access under the control in the network security control step.
바람직하게는, 상기 네트워크보안제어단계는, 상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, in the network security control step, the dynamic security implemented for each segment of the virtual network configured for providing the access information required for access to the specific service to an access subject authenticated for the specific service, and configured for the specific service. The function can be controlled to allow access for access from the access subject.
이에, 본 발명에 따른 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법에 의하면, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안한 새로운 보안 제어 기술을 실현함으로써, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 효과를 도출한다.Therefore, according to the virtual network security device and the virtual network security method according to the present invention, by implementing a new security control technology in consideration of the characteristics of the virtual network environment that is dynamically configured / changed using a common network infrastructure on the network, The effect is to improve and enhance security.
도 1은 본 발명이 적용되는 가상 네트워크 기반으로 클라우드 서비스가 구현되는 일 예시를 보여주는 구성도이다.
도 2는 본 발명의 일 실시예에 따른 가상 네트워크 보안 장치의 구성 및 기능을 보여주는 예시도이다.
도 3은 본 발명에 따라 실현되는 보안 제어 기술이 분산형 클라우드 서비스에서 구현되는 구조를 보여주는 예시도이다.
도 4는 본 발명의 바람직한 실시예에 따른 가상 네트워크 보안 방법을 보여주는 제어 흐름도이다.1 is a configuration diagram showing an example of implementing a cloud service based on a virtual network to which the present invention is applied.
2 is an exemplary view showing the configuration and function of a virtual network security device according to an embodiment of the present invention.
3 is an exemplary view showing a structure in which a security control technology implemented according to the present invention is implemented in a distributed cloud service.
4 is a control flowchart illustrating a virtual network security method according to an embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.
도 1은 본 발명이 적용되는 가상 네트워크 기반으로 클라우드 서비스가 구현되는 일 예시를 도시하고 있다.1 illustrates an example of implementing a cloud service based on a virtual network to which the present invention is applied.
가상 네트워크는, 대표적으로는 최근 급속도로 진화하고 있는 클라우드 서비스를 위해 많이 사용되고 있다.Virtual networks are typically used for cloud services, which are rapidly evolving in recent years.
클라우드 서비스(또는 클라우드 컴퓨팅)는, 인터넷 기술을 활용하여 망 상에 구성한 가상 네트워크를 기반으로 데이터 서비스를 제공하는 기술로서, 사용자가 데이터 분류, 계산, 처리 및 분석 등 다양한 연산 처리의 기능(프로세스), 저장공간 등과 같은 네트워크자원(Information Technology 자원)을 필요한 만큼 빌려서 사용하는 개념의 기술이다.Cloud service (or cloud computing) is a technology that provides a data service based on a virtual network configured on a network by using internet technology. The function (process) of various arithmetic processing such as data classification, calculation, processing and analysis by a user It is a conceptual technology that borrows and uses network resources (Information Technology resources) such as storage spaces as needed.
이러한 클라우드 서비스는, 최근 급속도로 진화하고 있으며, 그 일환으로 도 1에 도시된 바와 같이, 망 상에서 제공되는 클라우드 서비스를 코어망 및 코어망 보다 사용자(단말)에 가까운 위치의 엣지(Edge)에서 분산 제공하는 하이브리드(Hybrid)한 서비스 환경(이하, 분산형 클라우드 서비스 환경)이 등장하였다.Such cloud services are evolving rapidly in recent years, and as a part thereof, as illustrated in FIG. 1, cloud services provided on a network are distributed at an edge of a location closer to a user (terminal) than a core network and a core network. A hybrid service environment (hereinafter, a distributed cloud service environment) to provide has emerged.
본 발명은, 망 상에서 구성하는 가상의 네트워크 즉 가상 네트워크에 대한 보안 제어기술에 관한 것이다.The present invention relates to a security control technology for a virtual network, ie, a virtual network, configured on a network.
따라서, 본 발명은, 클라우드 서비스를 코어망에서만 제공하는 서비스 환경(이하, 클라우드 서비스 환경)에서의 가상 네트워크 뿐 아니라, 전술한 분산형 클라우드 서비스 환경에서의 가상 네트워크까지도 적용이 가능한 보안 시술을 제안/실현하고자 한다.Therefore, the present invention proposes a security procedure that can be applied not only to a virtual network in a service environment (hereinafter, a cloud service environment) that provides cloud services only in a core network, but also to a virtual network in the aforementioned distributed cloud service environment. I want to realize it.
도 1에 도시된 바와 같이, 분산형 클라우드 서비스 환경은, 사용자 즉 단말(10)과, 코어망(1)에 위치하며, 단말(10)에서 실행되는 어플리케이션에 따른 데이터 연산 처리를 수행하여 클라우드 서비스를 제공하는 코어컴퓨팅노드(200)와, 단말(10) 및 코어컴퓨팅노드(200) 사이에 위치하며, 단말(10)에서 실행되는 어플리케이션에 따른 데이터 연산 처리 중 일부 데이터 연산 처리를 선택적으로 수행하여 클라우드 서비스를 코어컴퓨팅노드(200)와 분산 제공하는 엣지컴퓨팅노드(100)를 포함한다.As shown in FIG. 1, a distributed cloud service environment includes a user, that is, a
이에, 코어컴퓨팅노드(200)는, 단말(10)에서 실행되는 어플리케이션에 의한 특정 서비스에 대하여 클라우드 서비스를 제공하며, 엣지컴퓨팅노드(100)는 이러한 클라우드 서비스를 코어컴퓨팅노드(200)와 분산 제공하게 된다.Accordingly, the
한편, 일반적인 클라우드 서비스 환경은, 별도의 도면을 도시하지 않았지만, 도 1에서 엣지컴퓨팅노드(100)를 제외하고 코어컴퓨팅노드(200)만으로 구성된 환경으로 보아도 무방하다.On the other hand, the general cloud service environment, although not shown in the separate drawings, except for the
그리고, 도 1에서는 서비스 이용 주체(달리 말하면, 접근 주체)를 사용자의 단말(10)로 도시하였지만, 이는 설명의 편의를 위한 일 실시예일 뿐이며, 별도의 서버(미도시)일 수도 있다.In addition, although FIG. 1 illustrates the service use subject (in other words, the access subject) as the
한편, 네트워크에서 채용하는 보안 방식은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 환경에서, 보안 툴(예: Firewall 등)을 기반으로 접근을 허용/제한하는 방식이다.On the other hand, the security method employed in the network is a method of allowing / restricting access based on a security tool (eg, a firewall, etc.) in an environment that opens visibility and accessibility of network elements.
이러한, 기존의 일반적인 네트워크 보안 방식을 가상 네트워크 환경에 그대로 적용하는 경우, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 다양한 보안 취약점을 가지게 된다.In case of applying the existing general network security method to the virtual network environment, various security vulnerabilities such as Denial of Service attack exposure to Application connection port, risk of losing control of server due to Credential Theft, Connection Hijacking, APT / Lateral Movement exposure Will have
최근에는, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술이 대두되고 있다.In recent years, network slicing (network slicing) technology has emerged that separates a physical common network infrastructure into a plurality of independent virtual networks and provides independent data services for each service characteristic.
이러한 네트워크 슬라이싱 기술에서는, 망 상에서 공통 네트워크 인프라를 사용하여 데이터 서비스 별로 동적으로 가상 네트워크를 구성하기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.In such a network slicing technology, since a virtual network is dynamically configured for each data service using a common network infrastructure on a network, each segment of the virtual network has an environmental characteristic of dynamically changing.
따라서, 특히 동적으로 구성/변경되는 가상 네트워크의 환경 특성을 감안하면, 가상 네트워크의 각 세그먼트에 대한 전술의 보안 취약점이 더욱 치명적일 수 있다.
이에, 본 발명에서는, 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 새로운 보안 제어 기술을 제안하고자 한다.Therefore, in view of the environmental characteristics of the virtual network, which is dynamically configured / modified, in particular, the aforementioned security vulnerability for each segment of the virtual network may be more critical.
Accordingly, the present invention, in consideration of the characteristics of the virtual network environment that is dynamically configured / changed, to propose a new security control technology that can improve security vulnerabilities and further enhance security.
삭제delete
도 1에 도시된 본 발명의 가상 네트워크 보안 장치(300)는, 특정 서비스를 제공하기 위해 구성된 가상 네트워크에 대하여, 보안 기능을 제어하는 역할을 한다.The virtual
도 1에 도시된 바와 같은 분산형 클라우드 서비스 환경에서는, 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200)를 가상 네트워크라고 할 수 있고, 이 경우 가상 네트워크 보안 장치(300)는 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200)에 대하여 보안 기능을 제어할 수 있다.In the distributed cloud service environment as illustrated in FIG. 1, the
이하에서는, 도 2를 참조하여 본 발명의 일 실시예에 따른 가상 네트워크 보안 장치의 구성 및 기능을 구체적으로 설명하겠다.Hereinafter, the configuration and function of a virtual network security device according to an embodiment of the present invention will be described in detail with reference to FIG. 2.
도 2에 도시된 바와 같이, 본 발명의 가상 네트워크 보안 장치(300)는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성제어부(이하, Dynamic 네트워크구성제어부(310))와, 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부(이하, Dynamic Perimeter 보안제어부(320))을 포함한다.As shown in FIG. 2, the virtual
Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성한다.The dynamic
즉, Dynamic 네트워크구성제어부(310)는, 특정 서비스를 제공하기 위한 가상 네트워크를 망 상에 구성하는 역할을 한다.That is, the dynamic
구체적으로, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상의 물리적인 공통 네트워크 인프라에서 필요한 네트워크자원(Information Technology 자원)을 선택하고 선택한 네트워크자원을 이용하여 특정 서비스를 위한 가상 네트워크를 구성하게 된다.In detail, the dynamic
이때, Dynamic 네트워크구성제어부(310)는, 특정 서비스의 구현이 결정되면 특정 서비스에 정의된 테넌트 정책을 획득하게 되는데, 이러한 테넌트 정책을 제공하는 주체는 한정되지 않는다.At this time, the dynamic
여기서, 테넌트 정책은, 기본적으로 특정 서비스를 가상 네트워크 기반의 클라우드 서비스 형태로 제공하기 위해, 요구되는 다양한 요소 별 설정정보(설정값) 등이 정의되어 있을 것이다.Here, in the tenant policy, basically, configuration information (setting values) for various elements required for providing a specific service in the form of a virtual network-based cloud service will be defined.
예를 들면, 테넌트 정책에는, 특정 서비스를 위한 가상 네트워크를, 일반적인 클라우드 서비스 형태(환경)로 구성할 것인지 또는 분산형 클라우드 서비스 형태(환경)으로 구성할 것인지 정의되고, 특성 서비스를 위해 요구되는 하드웨어/소프트웨어 리소스들의 스펙정보가 정의되는 등, 특정 서비스를 구현하기 위한 가상 네트워크 구성에 필요한 모든 정보(이하, 서비스셋팅정보)가 정의되어 있을 것이다.For example, the tenant policy defines whether a virtual network for a specific service is configured in a general cloud service form (environment) or a distributed cloud service form (environment), and the hardware required for the characteristic service. All the information (hereinafter, service setting information) necessary for configuring a virtual network for implementing a specific service, such as specification information of software resources is defined.
도 2에서는, 코어컴퓨팅노드(200')로 구성된 일반적인 클라우드 서비스 환경을 일 예로서 도시하고 있다.In FIG. 2, a general cloud service environment including a
이 경우, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 일반적인 클라우드 서비스 형태(환경)로 구성하는 것으로 인지하고 서비스셋팅정보를 인지/기초하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성한 경우로 이해하면 된다.In this case, the dynamic network
구체적으로 설명하면, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에서 고정 운영되는 특정 처리 기능의 프로세서(프로세싱 H/W)를 선택할 수 있다.Specifically, the dynamic
예컨대, Dynamic 네트워크구성제어부(310)는, 도 2에 도시된 바와 같이, 처리 가속화를 위한 특정한 하드웨어칩(또는 카드, 또는 소자), 예를 들면 다수의 Virtual Swith(210)를 선택할 수 있다.For example, as illustrated in FIG. 2, the dynamic network
또는, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에서 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)를 선택하고 선택한 프로세서(프로세싱 H/W)에 특정 처리 기능을 설정할 수 있다.Alternatively, the dynamic
예컨대, Dynamic 네트워크구성제어부(310)는, 도 2에 도시된 바와 같이, 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)들(210)을 선택하고, 선택한 프로세서(프로세싱 H/W)들(210)에 처리 가속화를 위한 Virtual Swith가 갖는 기능을 설정할 수 있다.For example, as shown in FIG. 2, the dynamic network
그리고, Dynamic 네트워크구성제어부(310)는, 하드웨어 리소스 즉 Virtual Swith(210) 상에서 동작하게 될 소프트웨어 기능을 설정함으로써, 특정 서비스를 위한 가상 네트워크를 구성할 수 있다. The dynamic network
예를 들면, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에 특정 서비스를 위한 네트워크 기능 및 스토리지(220)을 할당한다.For example, the dynamic
즉, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')가 특정 서비스를 제공하기 위한 네트워크 통신이 가능하도록 하는 네트워크 기능과, 네트워크 통신 및 자신의 저장소와의 연동을 지원하는 스토리지 기능을, 할당하는 것이다.That is, the dynamic network
그리고, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에, 선택(및 설정)한 하드웨어 리소스 즉 Virtual Swith(210) 상에서 네트워크 기능 및 스토리지(220)를 활용하여 동작하게 될 소프트웨어 기능을 설치한다.In addition, the dynamic network
구체적으로, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에, 네트워크자원(210) 즉 하드웨어 리소스 상에서 네트워크 기능 및 스토리지(230)를 활용하여 동작하게 될 소프트웨어 기능(230)을 설치할 수 있다.Specifically, the dynamic
도 2에서는, 소프트웨어 기능(230)으로서, v EPC(Virtual Evolved Packet Core), FW(Fire Wall), LB(Load Balancing), 및 특정 서비스를 제공하기 위한 대부분의 서비스(Service)를 설치하고 있다.In FIG. 2, as a
이렇게, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원(즉 하드웨어/소프트웨어 리소스)를 이용하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성할 수 있다.As such, the dynamic
이러한 Dynamic 네트워크구성제어부(310)는, 물리적인 공통 네트워크 인프라에서 하드웨어/소프트웨어 리소스를 이용 및 가상 네트워크를 구성하는 노드로서, 클라우드 기술 기반의 물리/가상 자원을 관리 및 운영하는 VIM(Virtual Infrastructure Manager)에 해당될 수 있고, 또는 VIM과 연동하는 별도의 노드일 수 있다.The dynamic
이와 같이 Dynamic 네트워크구성제어부(310)가 특정 서비스를 위한 가상 네트워크를 동적으로 구성하는 기술은, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술에 따른 것이다.In this way, the dynamic network
따라서, 네트워크 슬라이싱 기술에 따른 Dynamic 네트워크구성제어부(310)에 의해 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')는, 망 상에서 공통 네트워크 인프라를 사용하여 특정 서비스 만을 위해 동적으로 구성되었기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.Therefore, the virtual network, that is, the core computing node 200 'dynamically configured by the dynamic network
이에, Dynamic 네트워크구성제어부(310)는, SDN(Software Defined Network) Controller로 정의할 수 있다.Accordingly, the dynamic
Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어한다.Dynamic Perimeter
구체적으로 설명하면, 가상 네트워크의 각 세그먼트란, 가상 네트워크 내에서 상호 통신 포트를 통해 입/출력이 이루어지는 단위의 구성 요소를 의미하며, 도 2를 언급하여 설명하면, 각 하드웨어 리소스(프로세싱 H/W) 상에서 동작되는 각 소프트웨어 기능을 의미할 수 있다.Specifically, each segment of the virtual network means a component of a unit in which input / output is made through an intercommunication port in the virtual network. Referring to FIG. 2, each hardware resource (processing H / W) is described. May refer to each software function that is operated on.
도 2에 도시된 바와 같이, Dynamic 네트워크구성제어부(310)가 구성한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트에는, 동적 보안기능이 구현된다.As illustrated in FIG. 2, a dynamic security function is implemented in each segment of the virtual network configured by the dynamic
여기서, 각 세그먼트에 구현되는 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 네트워크보안제어부(310)의 제어에 따라 특정 접근에 대해서만 접근을 허용한다.Here, the dynamic security function implemented in each segment is based on a specific security setting (All deny setting) that blocks all access, and allows access only for a specific access under the control of the
일 예를 들면, 도 2에 도시된 바와 같이, 가상 네트워크를 구성하는 소프트웨어 리소스 즉 FW, LB, Service에 해당하는 각 세그먼트에는, FW의 경우 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 나머지 LB, Service 각각의 경우 SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.For example, as shown in FIG. 2, each segment corresponding to a software resource constituting a virtual network, that is, FW, LB, or Service, has a dynamic security function in the form of Soft Defined Perimeter (SDP) G / W in the case of FW. In the case of each of the remaining LBs and services, the dynamic security function can be implemented in the form of SDP enabled kernel with SDP applied.
다른 예로, 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 가장 앞단에 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 소프트웨어 리소스 내 FW, LB, Service에 해당하는 각 세그먼트에는, SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.As another example, the dynamic security function is implemented in the form of Soft Defined Perimeter (SDP) G / W at the front of the access path of the software resource constituting the virtual network, and each segment corresponding to the FW, LB, and Service in the software resource is SDP. Dynamic security can be implemented in the form of SDP Enabled kernel.
이러한 동적 보안기능은, Dynamic 네트워크구성제어부(310)가 구성한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트 마다, 각기 해당 세그먼트에 적합한 기법(또는 형태)로 구현될 수 있으며, 그 구현 기법에 제한을 두지 않는다.Such a dynamic security function may be implemented by a technique (or a form) suitable for each segment for each segment constituting the virtual network configured by the dynamic
이에, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.Accordingly, the dynamic perimeter
보다 구체적으로 설명하면, 예컨대 특정 서비스에 정의된 테넌트 정책에는, 앞서 설명한 서비스셋팅정보 외에도, 테넌트 별/유저 별로 접근을 허용/제한하는데 필요한 모든 정보(이하, 보안제어정보)가 정의될 수 있다.More specifically, for example, in the tenant policy defined for a specific service, in addition to the service setting information described above, all information (hereinafter, security control information) necessary for allowing / restricting access for each tenant / user may be defined.
일 예로서, 테넌트 정책에는, 특정 서비스에 대하여 인증된 접근 주체에게 특정 서비스로의 모든 접속을 허용하는, 테넌트 별 보안제어정보가 정의될 수 있다.As an example, in the tenant policy, tenant-specific security control information may be defined to allow an access subject authenticated with respect to a specific service to all the specific services.
이 경우, Dynamic Perimeter 보안제어부(320)는, 테넌트 정책 특히 테넌트 별 보안제어정보를 기반으로, 특정 서비스에 대하여 인증된 접근 주체에게 특정 서비스로의 접속에 필요한 접속정보를 제공한다.In this case, the dynamic perimeter
접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 특정 서비스로의 접속에 필요한 접속정보를 제공한다.Referring to the
그리고, Dynamic Perimeter 보안제어부(320)는, 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능(240)을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 한다.When the dynamic perimeter
예컨대, Dynamic Perimeter 보안제어부(320)는, 세그먼트 별로 구현된 동적 보안기능(240)의 보안설정을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, the dynamic perimeter
이렇게 되면, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스 단위 즉 테넌트 단위로 실현할 수 있다.In this case, the virtual
한편, 다른 예로서, 테넌트 정책에는, 특정 서비스에 대하여 인증된 접근 주체에게 접근 주체가 갖는 접근권한의 레벨 별로 특정 서비스로의 접속을 상이하게 허용하는, 유저 별 보안제어정보가 정의될 수 있다.Meanwhile, as another example, in the tenant policy, security control information for each user may be defined to allow an access subject authenticated with respect to a specific service to access a specific service differently according to the level of access authority the access subject has.
이 경우, 테넌트 정책은, 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며, 접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 것이 바람직하다.In this case, the tenant policy configures a virtual network by setting data paths between segments for a plurality of service functions provided by a specific service, and for each of the plurality of service functions for each level of access authority granted to an access subject. It is desirable to allow access differently.
보다 구체적으로 설명하면, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 서비스셋팅정보에는, 특정 서비스에서 제공하는 다수의 서비스 기능을 구현하기 위해, 각 서비스 가능 별로 각 세그먼트 간 데이터 경로를 설정하도록 하는 정보가 포함될 수 있다.More specifically, in the tenant policy defined in a specific service, more precisely, the service setting information described above, in order to implement a plurality of service functions provided by a specific service, a data path between each segment may be set for each service available. Information may be included.
그리고, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 유저 별 보안제어정보에는, 접근권한의 레벨 별로 특정 서비스에서 제공하는 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 정보가 포함될 것이다.In addition, the tenant policy defined in the specific service, more specifically, the security control information for each user described above, will include information for allowing access to each of a plurality of service functions provided by the specific service for each level of access authority.
예를 들면, 접근권한의 레벨을 상/중/하로 가정할 경우, 접근권한 상 레벨의 접근 주체에게는 특정 서비스에서 제공하는 다수의 서비스 모두에 대한 접근을 허용(특정 서비스로의 모든 접속 허용)하고, 접근권한 중 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능에 대한 접근 만을 허용하고, 접근권한 하 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 정보 열람/검색과 관련된 서비스 기능에 대한 접근 만을 허용할 수 있다.For example, if the level of access is assumed to be high / medium / low, the access subject of the high level of access is allowed to access all of the multiple services provided by a particular service (all access to a specific service). In this case, the access sphere at the level of access authority is allowed only access to the remaining service functions except the service functions related to information deletion / modification among the multiple services provided by the specific service, and the access sphere at the lower level of access authority is provided at the specific service. Among the plurality of services, only the access to the service functions related to the viewing / searching of the information information may be allowed.
이 경우, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공한다.In this case, the dynamic perimeter
접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공할 수 있다.Referring to the
예를 들어, 단말(10)이 접근권한 중 레벨인 경우라면, Dynamic Perimeter 보안제어부(320)는, 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)으로의 접속에 필요한 접속정보 만을 제공할 수 있다.For example, if the terminal 10 is at the level of the access authority, the dynamic perimeter
그리고, Dynamic Perimeter 보안제어부(320)는, 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 중, 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 하는 한다.When the dynamic
예컨대, Dynamic Perimeter 보안제어부(320)는, 세그먼트 별로 구현된 동적 보안기능(240)에서, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능의 보안설정 만을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, the dynamic perimeter
이렇게 되면, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스에 대해 유저 단위로 실현할 수 있다.In this case, the virtual
이와 같이, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있다.As such, the dynamic perimeter
이러한 Dynamic Perimeter 보안제어부(320)는, 가상 네트워크에 대하여 보안 기능을 제어하는 노드로서, VIM에 해당될 수 있고, 또는 VIM과 연동하는 별도의 노드일 수 있다.The dynamic perimeter
이상에서 설명한 바와 같이, 본 발명은, 네트워크 슬라이싱 기술에 따라 테넌트 정책을 기반으로 동적 구성되는 가상 네트워크의 각 세그먼트 별로, 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델) 하에서, 테넌트 정책을 기반으로 각 세그먼트의 동적 보안기능을 개별 제어하는 방식으로, 각 세그먼트 단위로 개별 보안을 적용함으로써, 네트워크 요소에 대한 접근성을 오픈하지 않을 수 있다.As described above, the present invention provides network isolation for implementing a dynamic security function based on a specific security setting for each segment of a virtual network that is dynamically configured based on a tenant policy according to a network slicing technology. Under the structure (model), access to network elements may not be opened by applying individual security in each segment by controlling the dynamic security function of each segment based on tenant policy.
특히, 네트워크 슬라이싱 기술에 따라 동적 구성되는 가상 네트워크의 각 세그먼트는 특성 상 다이나믹하게 변경될 수 있는데, 본 발명에서는 각 세그먼트 별로 동적 보안기능을 구현하기 때문에 이러한 세그먼트 변경 상황에도 유동적으로 대응할 수 있다.In particular, each segment of the virtual network that is dynamically configured according to the network slicing technology can be changed dynamically in accordance with the characteristics, the present invention can flexibly respond to such a segment change situation because the dynamic security function for each segment is implemented.
더 나아가, 본 발명은, 전술의 네트워크 격리 구조(모델) 하에서, 접근 주체에게 인증 시에만 필요한 최소한의 접속정보를 제공함으로써 네트워크 요소에 대한 가시성을 오픈하지 않을 수 있다.Furthermore, the present invention may not open the visibility to the network element by providing the access subject with the minimum connection information necessary only for authentication, under the network isolation structure (model) described above.
이처럼 본 발명은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 기존의 일반적인 네트워크 보안 방식과 달리, 가상 네트워크의 각 세그먼트 별로 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델)을 기반으로, 가시성 및 접근성을 오픈하지 않고도 가상 네트워크 환경의 특성 즉 각 세그먼트가 다이나믹하게 변경될 수 있는 특성을 감안하여 유동적 대응이 가능하면서도 노출은 최소화하는 새로운 보안 제어 기술을 실현하고 있다.As described above, the present invention provides a network isolation that implements a dynamic security function based on a specific security setting for each segment of the virtual network, unlike an existing general network security method that opens visibility and accessibility to network elements. Based on the structure (model), considering the characteristics of the virtual network environment, that is, the characteristics of each segment can be changed dynamically without opening visibility and accessibility, new security control technology that enables flexible response and minimizes exposure is realized. have.
이에, 본 발명은, 기존의 일반적인 네트워크 보안 방식과 비교하면, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 우려되는 보안 취약점을 개선하여, 보안을 보다 강화시킬 수 있는 효과를 도출한다.Accordingly, the present invention provides security vulnerabilities such as exposure of Denial of Service attack on Application connection port, risk of loss of server control due to Credential Theft, connection hijacking, and exposure of APT / Lateral Movement, compared to the existing general network security methods. By improving, the effect of strengthening the security is derived.
한편, 도 2에서는, 특정 서비스를 위해 구성하는 가상 네트워크로서, 일반적인 클라우드 서비스 형태(환경)의 코어컴퓨팅노드(200')를 구성한 경우로 설명하고 있다.2 illustrates a case where a
이와 다르게, 도 3에서는, 특정 서비스를 위해 구성하는 가상 네트워크로서, 분산형 클라우드 서비스 형태(환경)의 엣지컴퓨팅노드 및 코어컴퓨팅노드를 구성한 경우를 간략하게 도시하고 있다.In contrast, FIG. 3 briefly illustrates an edge computing node and a core computing node in the form of a distributed cloud service (environment) as a virtual network configured for a specific service.
도 3에 도시된 바와 같이, 분산형 클라우드 서비스 형태(환경)로 가상 네트워크를 구성하는 경우 역시, 전술의 일반적인 클라우드 서비스 형태(환경)의 가상 네트워크를 구성하는 경우라 다르지 않게, 본 발명이 적용될 것이다.As shown in FIG. 3, when the virtual network is configured in a distributed cloud service form (environment), the present invention may be applied not to be different from the case of configuring a virtual network in the general cloud service form (environment) described above. .
간단히 설명하면, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 분산형 클라우드 서비스 형태(환경)로 구성하는 것으로 인지하고 서비스셋팅정보를 인지/기초하여 특정 서비스를 위한 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)를 구성할 것이다.In brief, the dynamic network
이때, 도 3에서는 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)를 구성하는 과정을 구체적으로 설명 및 도시하지 않고, 간략하게 각 노드 별로 SDP G/W, FW, 나머지를 Resource Pool로 통칭하여 도시하였다.In this case, in FIG. 3, the process of configuring the virtual network, that is, the
그리고, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.In addition, the dynamic perimeter
이때 역시, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스 단위 즉 테넌트 단위로 실현할 수 있고, 각 데이터 서비스에 대해 유저 단위로 실현할 수도 있다.At this time, the virtual
이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 가상 네트워크 보안 방법을 설명하겠다.Hereinafter, a virtual network security method according to a preferred embodiment of the present invention will be described with reference to FIG. 4.
여기서, 설명의 편의를 위해 전술한 도 2에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Here, for the convenience of description, the configuration shown in FIG. 2 described above will be described with reference to the corresponding reference numerals.
본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스의 구현이 결정되면 특정 서비스에 정의된 테넌트 정책을 획득한다(S100).According to the virtual network security method of the present invention, when the implementation of the specific service is determined, the virtual
이에, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상의 물리적인 공통 네트워크 인프라에서 필요한 네트워크자원(Information Technology 자원)을 선택하고 선택한 네트워크자원을 이용하여 특정 서비스를 위한 가상 네트워크를 구성하게 된다(S110).Accordingly, according to the virtual network security method of the present invention, the virtual
도 2를 참조하여 구체적으로 설명하면, 가상 네트워크 보안 장치(300)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 코어컴퓨팅노드(200')에서 고정 운영되는 특정 처리 기능의 프로세서(프로세싱 H/W)를 선택할 수 있다.Specifically, referring to FIG. 2, the virtual
예컨대, 가상 네트워크 보안 장치(300)는, 도 2에 도시된 바와 같이, 처리 가속화를 위한 특정한 하드웨어칩(또는 카드, 또는 소자), 예를 들면 다수의 Virtual Swith(210)를 선택할 수 있다.For example, as shown in FIG. 2, the virtual
또는, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에서 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)를 선택하고 선택한 프로세서(프로세싱 H/W)에 특정 처리 기능을 설정할 수 있다.Alternatively, the virtual
예컨대, 가상 네트워크 보안 장치(300)는, 도 2에 도시된 바와 같이, 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)들(210)을 선택하고, 선택한 프로세서(프로세싱 H/W)들(210)에 처리 가속화를 위한 Virtual Swith가 갖는 기능을 설정할 수 있다.For example, the virtual
그리고, 가상 네트워크 보안 장치(300)는, 하드웨어 리소스 즉 Virtual Swith(210) 상에서 동작하게 될 소프트웨어 기능을 설정함으로써, 특정 서비스를 위한 가상 네트워크를 구성할 수 있다. The virtual
예를 들면, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에 특정 서비스를 위한 네트워크 기능 및 스토리지(220)을 할당한다.For example, the virtual
즉, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')가 특정 서비스를 제공하기 위한 네트워크 통신이 가능하도록 하는 네트워크 기능과, 네트워크 통신 및 자신의 저장소와의 연동을 지원하는 스토리지 기능을, 할당하는 것이다.That is, the virtual
그리고, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에, 선택(및 설정)한 하드웨어 리소스 즉 Virtual Swith(210) 상에서 네트워크 기능 및 스토리지(220)를 활용하여 동작하게 될 소프트웨어 기능을 설치한다.The virtual
구체적으로, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에, 네트워크자원(210) 즉 하드웨어 리소스 상에서 네트워크 기능 및 스토리지(230)를 활용하여 동작하게 될 소프트웨어 기능(230)을 설치할 수 있다.In detail, the virtual
그리고, 가상 네트워크 보안 장치(300)는, 테넌트 정책을 기반으로, 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정할 수 있다.The virtual
그리고, 가상 네트워크 보안 장치(300)는, 각 세그먼트 별로, 동적 보안기능(240)을 구현할 수 있다.The virtual
이렇게, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원(즉 하드웨어/소프트웨어 리소스)를 이용하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성할 수 있다.Thus, according to the virtual network security method of the present invention, the virtual
그리고, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 각 세그먼트 별로 구현된 동적 보안기능(240)에 대하여 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 설정한다(S120).In addition, according to the virtual network security method of the present invention, the virtual
이렇게 되면, 각 세그먼트에 구현되는 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 후술의 보안 제어에 따라 특정 접근에 대해서만 접근을 허용한다.In this case, the dynamic security function implemented in each segment is based on a specific security setting (All deny setting) that blocks all access, and allows access only for a specific access according to the security control described below.
일 예를 들면, 도 2에 도시된 바와 같이, 가상 네트워크를 구성하는 소프트웨어 리소스 즉 FW, LB, Service에 해당하는 각 세그먼트에는, FW의 경우 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 나머지 LB, Service 각각의 경우 SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다. For example, as shown in FIG. 2, each segment corresponding to a software resource constituting a virtual network, that is, FW, LB, or Service, has a dynamic security function in the form of Soft Defined Perimeter (SDP) G / W in the case of FW. In the case of each of the remaining LBs and services, the dynamic security function can be implemented in the form of SDP enabled kernel with SDP applied.
다른 예로, 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 가장 앞단에 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 소프트웨어 리소스 내 FW, LB, Service에 해당하는 각 세그먼트에는, SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.As another example, the dynamic security function is implemented in the form of Soft Defined Perimeter (SDP) G / W at the front of the access path of the software resource constituting the virtual network, and each segment corresponding to the FW, LB, and Service in the software resource is SDP. Dynamic security can be implemented in the form of SDP Enabled kernel.
이러한 동적 보안기능은, 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트 마다, 각기 해당 세그먼트에 적합한 기법(또는 형태)로 구현될 수 있으며, 그 구현 기법에 제한을 두지 않는다.Such a dynamic security function may be implemented by a technique (or a form) suitable for each segment for each segment constituting the virtual network, that is, the core computing node 200 ', and the implementation technique is not limited.
그리고, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트 정책을 기반으로, 앞서 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.In addition, according to the virtual network security method of the present invention, the virtual
보다 구체적으로 설명하면, 예컨대 특정 서비스에 정의된 테넌트 정책에는, 앞서 설명한 서비스셋팅정보 외에도, 테넌트 별/유저 별로 접근을 허용/제한하는데 필요한 모든 정보(이하, 보안제어정보)가 정의될 수 있다.More specifically, for example, in the tenant policy defined for a specific service, in addition to the service setting information described above, all information (hereinafter, security control information) necessary for allowing / restricting access for each tenant / user may be defined.
이하에서는, 설명의 편의 상, 테넌트 정책에 유저 별 보안제어정보가 정의된 경우로 가정하여 설명하겠다.Hereinafter, for convenience of description, it will be assumed that the security control information for each user is defined in the tenant policy.
이 경우, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 유저 별 보안제어정보에는, 접근권한의 레벨 별로 특정 서비스에서 제공하는 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 정보가 포함될 것이다.In this case, the tenant policy defined in the specific service, more specifically, the security control information for each user described above, will include information allowing different access to each of a plurality of service functions provided by the specific service for each level of access authority.
예를 들면, 접근권한의 레벨을 상/중/하로 가정할 경우, 접근권한 상 레벨의 접근 주체에게는 특정 서비스에서 제공하는 다수의 서비스 모두에 대한 접근을 허용(특정 서비스로의 모든 접속 허용)하고, 접근권한 중 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능에 대한 접근 만을 허용하고, 접근권한 하 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 정보 열람/검색과 관련된 서비스 기능에 대한 접근 만을 허용할 수 있다.For example, if the level of access is assumed to be high / medium / low, the access subject of the high level of access is allowed to access all of the multiple services provided by a particular service (all access to a specific service). In this case, the access sphere at the level of access authority is allowed only access to the remaining service functions except the service functions related to information deletion / modification among the multiple services provided by the specific service, and the access sphere at the lower level of access authority is provided at the specific service. Among the plurality of services, only the access to the service functions related to the viewing / searching of the information information may be allowed.
이 경우, 가상 네트워크 보안 장치(300)는, 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공한다.In this case, the virtual
접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, 가상 네트워크 보안 장치(300)는 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공할 수 있다(S140).Referring to the
예를 들어, 단말(10)이 접근권한 중 레벨인 경우라면, 가상 네트워크 보안 장치(300)는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)으로의 접속에 필요한 접속정보 만을 제공할 수 있다.For example, when the terminal 10 is at the level of the access right, the virtual
이렇게 되면, 본 발명에서 제안하는 보안 제어 기술(기법)의 경우, 접근 주체에게 인증 시에만 필요한 최소한의 접속정보를 제공하는 방식으로 가시성을 제공함으로써, 불특정 주체에게 네트워크 요소에 대한 가시성을 오픈하지 않을 수 있다.In this case, the security control technique (technique) proposed in the present invention does not open the visibility of the network element to the unspecified subject by providing visibility to the access subject by providing the minimum access information necessary only for authentication. Can be.
그리고, 가상 네트워크 보안 장치(300)는 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 중, 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 하는 한다(S150).When the virtual
예컨대, 가상 네트워크 보안 장치(300)는 세그먼트 별로 구현된 동적 보안기능(240)에서, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능의 보안설정 만을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, the virtual
이렇게 되면, 본 발명에서 제안하는 보안 제어 기술(기법)의 경우, 네트워크 슬라이싱 기술에 따라 테넌트 정책을 기반으로 동적 구성되는 가상 네트워크의 각 세그먼트 별로, 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델) 하에서, 테넌트 정책을 기반으로 각 세그먼트의 동적 보안기능을 개별 제어하는 방식으로, 각 세그먼트 단위로 개별 보안을 적용함으로써, 네트워크 요소에 대한 접근성을 불특정 주체에 오픈하지 않고 제한적으로 접근성을 제공할 수 있다.In this case, in the case of the security control technique (technique) proposed in the present invention, for each segment of the virtual network dynamically configured based on the tenant policy according to the network slicing technique, a dynamic based on a specific security setting (All deny setting) Under the network isolation structure (model) that implements the security function, the individual security is applied to each segment by controlling the dynamic security function of each segment based on the tenant policy. It can provide limited access without opening.
특히, 네트워크 슬라이싱 기술에 따라 동적 구성되는 가상 네트워크의 각 세그먼트는 특성 상 다이나믹하게 변경될 수 있는데, 본 발명에서는 각 세그먼트 별로 동적 보안기능을 구현하기 때문에 이러한 세그먼트 변경 상황에도 유동적으로 대응할 수 있다.In particular, each segment of the virtual network that is dynamically configured according to the network slicing technology can be changed dynamically in accordance with the characteristics, the present invention can flexibly respond to such a segment change situation because the dynamic security function for each segment is implemented.
이상에서 설명한 바와 같이, 본 발명에 따르면, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 기존의 일반적인 네트워크 보안 방식과 달리, 가상 네트워크의 각 세그먼트 별로 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델)을 기반으로, 가시성 및 접근성을 오픈하지 않고도 가상 네트워크 환경의 특성 즉 각 세그먼트가 다이나믹하게 변경될 수 있는 특성을 감안하여 유동적 대응이 가능하면서도 노출은 최소화하는 새로운 보안 제어 기술을 실현하고 있다.As described above, according to the present invention, unlike conventional network security schemes that open up visibility and accessibility of network elements, dynamic security based on a specific security setting for each segment of the virtual network is provided. Based on the network isolation structure (model) that implements the function, it is possible to respond flexibly while minimizing the exposure, considering the characteristics of the virtual network environment, that is, each segment can be changed dynamically without opening visibility and accessibility. Security control technology is realized.
이에, 본 발명은, 기존의 일반적인 네트워크 보안 방식과 비교하면, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 우려되는 보안 취약점을 개선하여, 보안을 보다 강화시킬 수 있는 효과를 도출한다.Accordingly, the present invention provides security vulnerabilities such as exposure of Denial of Service attack on Application connection port, risk of loss of server control due to Credential Theft, connection hijacking, and exposure of APT / Lateral Movement, compared to the existing general network security methods. By improving, the effect of strengthening the security is derived.
본 발명의 실시예에 따른 가상 네트워크 보안 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The virtual network security method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above-described embodiments, and the present invention belongs to the present invention without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will have the technical idea of the present invention to the extent that various modifications or changes are possible.
본 발명에 따른 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법에 의하면, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the virtual network security device and the virtual network security method according to the present invention, in view of the characteristics of the virtual network environment that is dynamically configured / changed using a common network infrastructure in the network, it is possible to improve the security weakness and to further enhance security In this regard, the invention is an industrially applicable invention because the possibility of marketing or operating the applied device is not only sufficient for the use of the related technology as well as the possibility of practically making it clear as it exceeds the limitation of the existing technology. .
10: 단말
100 : 엣지컴퓨팅노드
200 : 코어컴퓨팅노드
300 : 가상 네트워크 보안 장치10: terminal
100: edge computing node
200: core computing node
300: virtual network security device
Claims (9)
상기 가상 네트워크의 세그먼트 별로, 세그먼트의 기능 또는 상기 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 상에서 세그먼트의 위치에 따라 개별 구현되는 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부를 포함하는 것을 특징으로 하는 가상 네트워크 보안 장치.A network configuration controller configured to configure a virtual network for the specific service using a network resource selected on a network based on a tenant policy defined in a specific service; And
For each segment of the virtual network, a dynamic security function that is individually implemented is controlled according to the function of the segment or the position of the segment on the access path of the software resource constituting the virtual network, so that the specific service is individually divided by the segment of the virtual network. Virtual network security device comprising a network security control unit for applying security.
상기 가상 네트워크는,
상기 특정 서비스에 대하여 클라우드 서비스를 제공하는 코어컴퓨팅노드와, 상기 클라우드 서비스를 상기 코어컴퓨팅노드와 분산 제공하는 엣지컴퓨팅노드를 포함하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method of claim 1,
The virtual network,
And a core computing node for providing a cloud service to the specific service, and an edge computing node for distributing and providing the cloud service with the core computing node.
상기 동적 보안기능은,
모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어부의 제어에 따라 특정 접근에 대해서만 접근을 허용하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method of claim 1,
The dynamic security function,
A virtual network security device based on a specific security setting (All deny setting) to block all access, characterized in that the access is allowed only for a specific access under the control of the network security control unit.
상기 네트워크보안제어부는,
상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method of claim 1,
The network security control unit,
Providing access information required for access to the specific service to an authorized access subject for the specific service,
And controlling access to the access from the access subject by controlling a dynamic security function implemented for each segment of the virtual network configured for the specific service.
상기 테넌트 정책은,
상기 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며,
접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method of claim 1,
The tenant policy is,
To configure a virtual network by setting a data path between each segment for each of a plurality of service functions provided by the specific service,
And virtually allowing access to each of the plurality of service functions according to the level of access rights granted to an access subject.
상기 네트워크보안제어부는,
상기 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 중, 상기 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method of claim 5,
The network security control unit,
Providing only the access information necessary for access to a specific service function to allow access to a level of access authority granted to the access subject, among the plurality of service functions, to the access subject authenticated with respect to the specific service;
Among the segments of the virtual network configured for the specific service, only the dynamic security function implemented in the segment for setting the data path of the specific service function is controlled to allow access to the access from the access subject. Virtual network security device.
상기 가상 네트워크의 세그먼트 별로, 세그먼트의 기능 또는 상기 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 상에서 세그먼트의 위치에 따라 개별 구현되는 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어단계를 포함하는 것을 특징으로 하는 가상 네트워크 보안 방법.A network configuration step of configuring a virtual network for the specific service using a network resource selected on a network based on a tenant policy defined in a specific service; And
For each segment of the virtual network, a dynamic security function that is individually implemented is controlled according to the function of the segment or the position of the segment on the access path of the software resource constituting the virtual network, so that the specific service is individually divided by the segment of the virtual network. Virtual network security method comprising the step of applying a security network security.
상기 동적 보안기능은,
모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어단계에서의 제어에 따라 특정 접근에 대해서만 접근을 허용하는 것을 특징으로 하는 가상 네트워크 보안 방법.The method of claim 7, wherein
The dynamic security function,
A virtual network security method, which is based on a specific security setting (All deny setting) that blocks all accesses, and allows access only for a specific access according to the control in the network security control step.
상기 네트워크보안제어단계는,
상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 방법.The method of claim 7, wherein
The network security control step,
Providing access information required for access to the specific service to an authorized access subject for the specific service,
And controlling access to the access from the access subject by controlling a dynamic security function for each segment of the virtual network configured for the specific service.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170131664A KR102030764B1 (en) | 2017-10-11 | 2017-10-11 | Security device and method for virtual network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170131664A KR102030764B1 (en) | 2017-10-11 | 2017-10-11 | Security device and method for virtual network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190040834A KR20190040834A (en) | 2019-04-19 |
| KR102030764B1 true KR102030764B1 (en) | 2019-10-10 |
Family
ID=66283484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170131664A KR102030764B1 (en) | 2017-10-11 | 2017-10-11 | Security device and method for virtual network |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102030764B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102319089B1 (en) | 2020-11-02 | 2021-10-29 | 주식회사 윈스 | Apparatus and method for traffic security processing in 5g mobile edge computing slicing service |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300159B (en) * | 2019-06-10 | 2021-08-31 | 华侨大学 | Sensing cloud data safe low-cost storage method based on edge computing |
| KR102548855B1 (en) * | 2021-06-28 | 2023-06-29 | 주식회사 이수시스템 | Hr content multi-tenant support methods utilizing intermediate language interpreting and computer programs stored in recording media for executing the same |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130085474A (en) * | 2011-12-06 | 2013-07-30 | 한국전자통신연구원 | System and method for access control of device and service source between in home network middleware |
| US9215177B2 (en) * | 2013-06-24 | 2015-12-15 | Wmware, Inc. | System and method for distribution of policy enforcement point |
-
2017
- 2017-10-11 KR KR1020170131664A patent/KR102030764B1/en active IP Right Grant
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102319089B1 (en) | 2020-11-02 | 2021-10-29 | 주식회사 윈스 | Apparatus and method for traffic security processing in 5g mobile edge computing slicing service |
| US11991522B2 (en) | 2020-11-02 | 2024-05-21 | Wins Co., Ltd. | Apparatus and method for traffic security processing in 5G mobile edge computing slicing service |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20190040834A (en) | 2019-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11991051B2 (en) | Providing mobile device management functionalities | |
| EP3462759B1 (en) | Secure single sign-on and conditional access for client applications | |
| US11070641B2 (en) | Optimizing web applications using a rendering engine | |
| JP6782307B2 (en) | Dynamic access to hosted applications | |
| US11194600B2 (en) | Secure digital workspace using machine learning and microsegmentation | |
| KR102036758B1 (en) | Fast smart card logon and federated full domain logon | |
| EP3081022B1 (en) | Systems and methods for securing sensitive data on a mobile device by self-destroying it | |
| US9444842B2 (en) | Security mediation for dynamically programmable network | |
| KR101824980B1 (en) | Secure client drive mapping and file storage system for mobile device management type security | |
| KR101798471B1 (en) | Image analysis and management | |
| US10397352B2 (en) | Network infrastructure management | |
| CN108847990B (en) | Method, device and medium for providing management function of mobile device | |
| KR101738400B1 (en) | Mobile device locking with context | |
| US11924167B2 (en) | Remote session based micro-segmentation | |
| JP4907603B2 (en) | Access control system and access control method | |
| US20170068568A1 (en) | Management of unmanaged user accounts and tasks in a multi-account mobile application | |
| US11062041B2 (en) | Scrubbing log files using scrubbing engines | |
| US11470119B2 (en) | Native tag-based configuration for workloads in a virtual computing environment | |
| KR102030764B1 (en) | Security device and method for virtual network | |
| US9686237B2 (en) | Secure communication channel using a blade server | |
| EP3090338A2 (en) | Providing mobile device management functionalities | |
| US20210263596A1 (en) | Automated Keyboard Mapping for Virtual Desktops | |
| WO2023030854A1 (en) | Securing pods in a container orchestration environment | |
| JP2021521574A (en) | Connecting to an anonymous session on a client device via a helper | |
| Rivera et al. | Expressing and managing network policies for emerging HPC systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |