KR102034883B1 - 보안 오케스트레이션 시스템 - Google Patents

보안 오케스트레이션 시스템 Download PDF

Info

Publication number
KR102034883B1
KR102034883B1 KR1020170167044A KR20170167044A KR102034883B1 KR 102034883 B1 KR102034883 B1 KR 102034883B1 KR 1020170167044 A KR1020170167044 A KR 1020170167044A KR 20170167044 A KR20170167044 A KR 20170167044A KR 102034883 B1 KR102034883 B1 KR 102034883B1
Authority
KR
South Korea
Prior art keywords
security
keeper
box
tower
watchtower
Prior art date
Application number
KR1020170167044A
Other languages
English (en)
Other versions
KR20190067046A (ko
Inventor
김종원
신준식
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020170167044A priority Critical patent/KR102034883B1/ko
Publication of KR20190067046A publication Critical patent/KR20190067046A/ko
Application granted granted Critical
Publication of KR102034883B1 publication Critical patent/KR102034883B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Abstract

본 발명의 일 실시 예에 따른 보안 오케스트레이션 시스템은 인프라 전체를 관리하는 논리적인 개체인 타워, 타워와는 별도로 복수의 박스들에 대한 보안성을 제공하는 감시초소, 상기 감시초소 및 타워와 연결되어 있으며 상기 감시초소로부터 지시를 받아 박스에 대한 보안성을 제공하기 위한 키퍼 및 상기 감시초소와 키퍼를 이용하여 인프라의 보안만을 관리하는 제3자 보안관리자를 포함한다.

Description

보안 오케스트레이션 시스템 {A security orchestration system}
본 발명은 보안 오케스트레이션 시스템에 관한 발명이다. 구체적으로 본 발명은 계층화된 보안 오케스트레이션 시스템에 관한 발명이다.
오케스트레이션이란 인프라/서비스 운영자가 정의한 정책 또는 프로파일에 따라 "모니터링-데이터연산-프로비저닝"의 사이클을 자동화하여 IT 인프라/서비스 전체를 지속적으로 개선해 나가는 기술을 말한다.
클라우드가 IT 인프라의 기반 핵심 기술이 되면서, IT 인프라의 규모가 거대/복잡해지고 있다. 날이 갈수록 거대/복잡해지는 IT 인프라를 소프트웨어 도구로 활용하여 모니터링-프로비저닝 절차를 연결함으로써, 자원을 보다 안정적이고 효율적으로 활용하는 오케스트레이션 기술이 매우 중요해지고 있다.
기존의 오케스트레이션 기술의 경우, 단일 타워와 다수의 서버 에이전트의 구도로 구성되어 있어 확장성에 제한이 있는 문제가 있었다. 각 에이전트는 서버의 호스트 운영체제에서 직접 실행되고, 따라서, 호스트 운영체제의 보안/안정성에 크게 의존하는 경향이 있었다. 또한, 서비스 자원에 대한 보안성만 강조하여 관리 개체에 대한 보안성은 고려하지 않았다.
서버-사용자의 연결을 위해 사용자 인증 뿐 아니라 서버의 접속 지점에 대한 보안도 필요한데, 따라서, IT 인프라의 확장에도 변경없이 동일하게 적용가능하며, 관리자/서버/사용자 입장에서 모두 보안을 보장할 수 있는 안전한 통한 오케스트레이션의 기술이 필요하다.
본 발명은 서비스 환경과 독립적인 보안 셀 및 보안 셀에 배치되는 키퍼를 통해 경제성 및 유연성이 향상된 보안 오케스트레이션 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은 변조 불가능한 하드웨어 칩으로부터 인증된 도킹 포인트를 통해 서비스 환경의 감염을 차단하는 안전한 박스 접근 제어 방법을 제공하는 것을 목적으로 한다.
본 발명의 일 실시 예에 따른 보안 오케스트레이션 시스템은 인프라 전체를 관리하는 논리적인 개체인 타워, 타워와는 별도로 복수의 박스들에 대한 보안성을 제공하는 감시초소, 상기 감시초소 및 타워와 연결되어 있으며 상기 감시초소로부터 지시를 받아 박스에 대한 보안성을 제공하기 위한 키퍼 및 상기 감시초소와 키퍼를 이용하여 인프라의 보안만을 관리하는 제3자 보안관리자를 포함한다.
본 발명은 서비스 환경과 독립적인 보안 셀 및 보안 셀에 배치되는 키퍼를 통해 경제성 및 유연성이 향상될 수 있다.
또한, 본 발명은 변조 불가능한 하드웨어 칩으로부터 인증된 도킹 포인트를 통해 서비스 환경의 감염을 차단해 안전한 박스 접근 제어가 가능하다.
도 1은 본 발명의 일 실시 예에 따른 클러스터 오케스트레이션의 전체적인 컨셉을 나타내는 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조를 나타낸다.
도 3은 보안 셀 및 키퍼 구축 단계를 나타낸다.
이하에서는 도면을 참조하여 본 발명의 구체적인 실시예를 상세하게 설명한다. 그러나 본 발명의 사상은 이하의 실시예에 제한되지 아니하며, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에 포함되는 다른 실시예를 구성요소의 부가, 변경, 삭제, 및 추가 등에 의해서 용이하게 제안할 수 있을 것이나, 이 또한 본 발명 사상의 범위 내에 포함된다고 할 것이다.
첨부 도면은 발명의 사상을 이해하기 쉽게 표현하기 위하여 전체적인 구조를 설명함에 있어서는 미소한 부분은 구체적으로 표현하지 않을 수도 있고, 미소한 부분을 설명함에 있어서는 전체적인 구조는 구체적으로 반영되지 않을 수도 있다. 또한, 설치 위치 등 구체적인 부분이 다르더라도 그 작용이 동일한 경우에는 동일한 명칭을 부여함으로써, 이해의 편의를 높일 수 있도록 한다. 또한, 동일한 구성이 복수 개가 있을 때에는 어느 하나의 구성에 대해서만 설명하고 다른 구성에 대해서는 동일한 설명이 적용되는 것으로 하고 그 설명을 생략한다.
본 발명을 설명하기에 앞서, 본 발명과 관련된 주요 배경 기술을 설명한다.
IO Visor: 리눅스 파운데이션의 공식 프로젝트로서, eBPF(enhance Berkeley packet filter) 기능을 활용하여, 박스의 I/O 이벤트를 처리하는 코드를 리눅스 실행 중에 동적으로 삽입, 실행할 수 있는 기술임. 주로 네트워킹, 트레이싱(모니터링), 보안을 주요 타겟으로 함
Landlock: 리눅스 커널의 eBPF 기능을 활용하여 특정 어플리케이션이 호출 가능한 시스템 콜을 강제하는 샌드박스 보안 기술임
Multi-core Hypervisor: 가상화, 컨테이너와 달리 한 박스 내 하드웨어(CPU 코어, 네트워크 포트 등)를 여러 가상 머신에 "공유"하는 것이 아니라, 한 박스 내에 두 개 이상의 독립된 환경을 만들고 하드웨어를 "할당"하는 방식임
Block Chain: 모든 거래 건을 공개 장부에 기록하고 이 건을 블록체인 시스템에 포함된 다수의 노드로부터 공개적으로 검증받아 거래 내역의 위조, 부인을 방지하는 보안 기술
도 1은 본 발명의 일 실시 예에 따른 클러스터 오케스트레이션의 전체적인 컨셉을 나타내는 블록도이다.
본 발명의 일 실시 에에 따른 클러스터 오케스트레이션 시스템의 구성을 차례로 설명한다.
타워(Tower, 1)는 인프라 전체를 중앙에서 관리하는 논리적인 개체이다. 타워(1)는 Provisioning(P)/ Orchestration(O)/ Visibility(V)/ Intelligence(I)/ Security(S) 센터들고 구성되며, 각 센터가 제공하는 기능들을 활용하여 인프라의 운영 및 관리를 수행한다.
결과적으로 여러 센터를 묶어 놓은 것이 타워(1)로서, 특정 장소에 모든 센터 박스들이 모여 있을 수도 있고(물리적 타워), 분산된 박스에 있는 센터들을 논리적으로 클러스터링한 형태가 될 수도 있다(논리적 타워). 일반적으로, 단일 또는 복수의 기능(P/O/V/I/S)을 제공하는 요소가 센터라고 지칭되나, 본 발명에서의 타워(1)는 5가지 모든 기능을 물리적/논리적으로 전부 묶은 것을 지칭하는 것으로 일반적인 의미의 센터의 사위 개념으로 정의할 수 있다.
감시초소(Post, 2)는 인프라 운영/관리 주체와는 별도로, 다수의 박스들에 대한 보안성을 제공하는 개체이다. 타워(1)는 인프라를 직접 운영하는 주체가 구축/관리하는 것이나, 감시초소(2)는 보안 솔루션을 제공하는 제 3의 업체가 구축 및 관리하는 것이다.
여기서 말하는 제3의 업체는 인프라의 운영주체와 독립적인 제3자로서, 각 박스(4)에 독립된 보안 셀(security cell, 6))을 확보하고, 키퍼(Keeper, 3)를 배포하는 역할을 수행한다. 그리고 제3의 업체는 키퍼(3)가 제공하는 보안 모니터링 및 프로비저닝을 활용하여 박스(4)의 보안성을 제공한다.
또한, 감시초소(2)는 타워(1)와는 협업/견제관계를 이루며, 키퍼(3)를 통해 수집한 모니터링 정보를 타워(1)에 제공하며, 동시에 박스(4)뿐 아니라, 타워(1)의 감염 여부를 실시간으로 확인한다.
또한, 감시초소(2)는 박스(4) 감염 시 이를 보안 센터로 보고하며, 타워(1) 감염 시 키퍼(3)를 통해 박스(4)와 타워(1)간의 상호작용을 차단하고 다른 대체 타워로 연결한다. 이 과정에서 감시초소(2)는 다른 타워와 연결될 때까지 임시 타워의 역할을 수행할 수도 있다.
본 발명에서 설명하는 감시초소(2)와 유사한 것으로 기존의 보안 업체에서 제공하는 security operation center가 있는데, 이는 각 박스에 직접 설치되는 에이전트, 안티바이러스 등의 솔루션 업데이트, 보안 모니터링을 중앙에서 해주는 역할에 제한된다. 하지만, 본 발명에서 제안하는 감시초소(2)는 이러한 수동적인 기능에 더하여 원격 박스(4)에 보안 셀(6)을 구축하고, 키퍼(3)를 배포함과 동시에 키퍼(3)가 오케스트레이션도 관리한다. 더하여, 본 발명의 감시초소(2)는 중앙의 타워(1)와 협업/견제하는 역할을 수행하기 때문에, 기존의 security center를 크게 확장하는 개념으로 볼 수 있다.
키퍼(3)는 서비스 셀(5)의 보안성을 제공하기 위한 모니터링/프로비저닝을 직접 수행하는 개체이다. 키퍼(3)는 박스 내에 안전하게 확보된 독립적인 공간인 보안 셀(6)에 위치하여, 상위 타워(1)/감시초소(2)와의 상호작용을 통해 박스의 오케스트레이션을 위한 모니터링/프로비저닝을 수행한다.
키퍼(3)는 타워(1) 및 감시초소(2)와 동시에 연결되어 있으며, 기본적으로는 감시초소의 지시를 받는다. 본 발명의 키퍼(3)는 일반적으로 사용하는 에이전트(관리/운영 기능을 박스안에서 대행함) 또는 보안 모듈(박스 안을 모니터링 하거나 보안 기능을 설정함)과 유사성이 있으나, 본 발명의 키퍼(3)는 서비스가 실행되는 박스와 독립된 공간인 보안 셀(6)에서 박스(4)를 안전하게 지켜주는 제3자 보안 기능을 제공한다.
박스(4)는 외부 사용자(9)가 어플리케이션을 실행하기 위한 자원을 제공하는 장비이다(예를 들면, 서버, 스위치를 포함하는 IT 기기). 박스(4)는 본 발명에서 제안하는 보안 기술의 적용 대상이다.
박스(4)는 키퍼(3)를 위해 내부 자원(예를 들어 CPU, Memory, NIC, 주변기기를 지칭함)의 일부를 독립적인 보안 셀(6)로 분할한다. 이를 통해 박스(4) 내에는 서비스 셀(5)과 보안 셀(6)이 함께 위치하게 되며, 서비스 셀(5)과 보안 셀(6)은 물리적으로 분리되어 있다.
인프라 운영자(7)는 다수의 박스, 클러스터로 구성된 멀티사이트 인프라를 관리하는 주체이다. 인프라 운영자(7)는 사용자(9)가 개발한 어플리케이션(또는 서비스)를 실행/운영하기 위한 인프라 자원을 제공한다. 인프라 운영자(9)는 멀티사이트 인프라의 효율적인 운영을 위해 다양한 소프트웨어 도구들이 준비된 타워를 통해 인프라를 자동화 기반으로 운영한다. 인프라 운영자(9)는 타워(1)만 직접 상호 작용한다.
제3자 보안 관리자(8)는 인프라 운영자(7)와는 별개로 인프라의 보안 측면만을 관리하는 주체이다. 감시초소(2)와 키퍼(3)의 박스(4)에 대한 프로비저닝 권한은 보안을 위해 필요한 특정 범위/명령으로 제한되며, 이 외 서비스 환경에 영향을 미치는 프로비저닝 권한은 없다. 이에 반하여 제3자 보안관리자는 감시초소(2)와 키퍼(3)를 활용하여 박스(4)를 대상으로 보안 측면의 프로비저닝/모니터링을 수행하며, 수집한 모니터링 정보를 인프라 운영자(7)에게 제공한다.
사용자(9)는 인프라 자원을 할당받아 사용하고자 하는 주체이다. 사용자(9)는 자원 할당 받을 때 운영자와 상호작용하며, 자원 할당 후에는 도킹 포인트(10)를 통해 박스 자원을 직접 사용한다.
제3자 보안(3rd-party security)는 인프라 관리주체인 타워(1)와는 다른 중립적인 제3자(감시초소, 키퍼)를 통해 관리대상(박스)의 외부에서 대상을 모니터링/프로비저닝함으로써 보안성을 제공하는 기술을 말한다.
이때, 키퍼(3)는 단일 박스를, 감시초소(2)는 복수의 박스들의 집합인 단일 클러스터를, 타워(1)는 복수의 클러스터들의 집합인 인프라 전체를 관리한다. 키퍼(3), 감시초소(2), 타워(1)간 제어 네트워크는 모두 보안성이 확보된 네트워킹으로 연결되어 있다. 키퍼(3)는 서비스 셀(5), 감시초소(2)는 키퍼(3)/타워(1), 타워(1)는 감시초소(2)의 보안 상태를 감시한다. 타워(1) 감시초소(2)는 상호 협력/견제를 동시에 수행하며, 이를 통해 타워(1) 또는 감시초소(2)가 공격/감염되었을 때 감염되지 않은 다른 개체가 이를 신속하게 탐지 후 확산 방지 또는 복구가 가능하다.
본 발명에서 제안하는 제3자 보안 기술을 적용하는 경우 아래서 설명하는 실시 예와 같이 박스, 키퍼, 감시초소, 타워 중 어느 요소가 감염되더라도 신속하게 이를 탐지하고 자동으로 대처할 수 있다.
일 실시 예에서, 서비스 셀(5)이 감염되는 경우, 키퍼(3)가 서비스 셀(5)의 감염을 방지하여 감시초소(2)로 알람을 전송한다. 감시초소(2)는 알람을 타워(1)의 보안 센터로 전송함으로써 운영자(7)가 이를 발견할 수 있도록 한다.
또 다른 실시 예에서, 키퍼(3)가 감염되었을 경우, 감시초소(2)가 키퍼(3)에 감염되었음을 감지하여 타워(1)의 보안 센터로 알람을 전송한다. 타워(1)는 키퍼(3)를 포함한 보안 셀을 제거한 후, 다시 보안 셀을 새롭게 구축하고 감시초소(2)를 통해 키퍼(3)를 재 배포 한다.
또 다른 실시 예에서, 감시초소(2)가 감염되었을 경우, 타워(1)의 보안 센터가 감시초소(2)의 감염여부를 탐지하고, 이를 운영자(7) 및 제3 보안 관리자(8)에게 알람 후 감염된 감시초소(2)에 연결된 키퍼(3)들을 다른 감시초소(2)에 연결한다.
또 다른 실시 예에서, 타워(1)가 감염되었을 경우, 감시초소(2)가 타워(1)의 감염여부를 탐지하고, 이를 운영자(7)에게 알람 후 키퍼(3)를 통해 박스(4)와 타워(1)간 연결을 강제로 차단한다.
도킹 포인트(10)는 사용자(9)가 박스(4)의 자원을 활용하기 위한 접근 통로 개념이다. 본 발명에서 설명하는 도킹 포인트(10)는 단순한 원격 접속 인증/암호화가 아니라, 도킹 포인트(10)에 대한 인증, 접근, 사용자/서비스 권한 제어, 제3자 기반의 도킹 포인트 모니터링/프로비저닝 기술을 모두 포함한다. 도킹 포인트(10)가 위치한 환경인 서비스 셀과 독립적인 보안 셀에 위치한 키퍼(3)가 도킹 포인트(10)를 관리한다.
본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 원격 접속 인증/암호화를 이용한다. 원격 접속 인증/암호화는 박스에 접근하고자하는 사용자(9)가 정당한 사용자임을 확인하고, 인증된 사용자와의 데이터 전송을 암호화하는 기술이다. 일반적으로 SSH/PKI 등이 원격 접속 인증/암호화를 위해 널리 사용되고 있으나, 도킹 포인트 자체는 특정 기술로 제한되지 않는다.
또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 하드웨어 칩(11)으로부터 인증된 도킹 포인트를 사용한다. 변조 불가능한 하드웨어 칩을 기반으로 펌웨어->부트로더->OS를 순차적으로 인증하는 체인 인증서(chain of trust) 기술을 도킹 포인트까지 확장한다. 여기서 말하는 chain of trust 기술은 안전한 OS 부팅을 위해 널리 활용되는 기술로서, 키퍼(3)가 도킹 포인트 할당 시 chain of trust를 통해 도킹 포인트의 변조를 탐지 가능하며 변조된 도킹 포인트를 할당하지 않는다. 따라서, 하드웨어 칩(11)이 접속 지점인 도킹 포인트 자체의 안전성을 보장한다.
또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 도킹 포인트 별 자원 접근 권한을 제어한다. 도킹 포인트(10)를 통해 사용자 또는 어플리케이션은 박스의 자원에 접근한다. 이때, 어플리케이션이 호출 가능한 시스템 콜을 제한하는 샌드박스 보안기술(예를 들면 Landlock) 기술이 적용되어 도킹 포인트 별로 사용된다.
여기서 말하는 샌드박스 보안기술이란, (리눅스) 운영체제 상에서 동작하는 어플리케이션이 호출할 수 있는 시스템 콜의 범위를 제한하는 기술이다. 시스템 콜이란 어플리케이션이 운영체제 커널의 기능을 사용하기 위해 호출하는 함수로써, 시스템 콜을 제한한다는 의미는 운영체제가 관리하는 하드웨어 (CPU, RAM, 네트워크 인터페이스 카드 등등) / 소프트웨어 (파일, 다른 프로그램 등)에 대한 접근을 강력하게 제한할 수 있음을 뜻한다. 다만 본래 샌드박스 보안기술은 어플리케이션 단위로 적용하나, 본 발명에서는 적용 대상을 "도킹 포인트를 통해 접속한 유저" 단위로 변경하는 것에서 차이가 있다.
기존의 외부 접속 기술의 경우 신뢰할 수 있는 사용자인지 인증하고 안전한 커뮤니케이션을 제공하는 것에만 집중하고 있는바, 일단 인증된 사용자가 박스 내부에서 하는 동작을 제한할 수 없었다. 이에 따라 기존의 경우 인증만 통과하면 박스 내부에서 해킹이나 공격이 가능하였다.
반면에 본 발명의 경우 샌드박스 보안 기술을 통해 운영자/보안관리자는 사용자의 행위를 보다 강력하게 제한할 수 있는데, 구체적으로, 신뢰할 수 있는 사용자만 선택적으로 연결하는 것 뿐 아니라, 사용자의 박스 내부 동작을 제한할 수 있다.
또한, 도킹 포인트 자체를 위조, 변조, 임의 생성함으로써 보안 매커니즘을 회피할 수도 있는데, 이를 방지하기 위해 변조 불가능한 하드웨어 칩으로부터 부트로더, 운영체제, 도킹 포인트를 단계적으로 인증하는 체인 인증이 함께 적용된다.
다시 말해서, 시스템 콜의 제한은 박스 내에서 실행 가능한 커널 수준의 명령을 제한하는 것이고, 이는 자원 접근 권한을 강력하게 제어하는 효과를 제어하므로 원격 사용자 및 어플리케이션의 이상 행동을 원천 차단할 수 있다.
또한, 본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 키퍼를 통해 도킹 포인트를 관제한다. 사용자(9)는 타워(1)/감시초소(2)에 도킹 포인트(10)를 요청하게 되고, 이 요청이 키퍼(3)에게 전달된다. 키퍼(3)는 자신이 관리하는 박스의 도킹 포인트(10)를 사용자에게 자동으로 할당한다. 키퍼(3)는 도킹 포인트 할당 내용, 도킹 포인트 상태 정보, 도킹 포인트를 통해 송수신되는 데이터를 포함하는 보안 데이터를 수집 가능하다. 다시 말해서, 운영자(7)와 제3자 보안 관리자(8)는 키퍼(3)를 통해 원격에 위치한 보안 셀(6)의 보안 상태를 실시간으로 확인하며, 손쉽게 새로운 사용자에게 도킹 포인트를 할당 가능하다.
본 발명의 일 실시 예에 따른 도킹 포인트 기반의 박스 접근 제어 방법은 원격 사용자 인증 및 통신 암호화하고, 도킹 포인트 및 박스 내부 변조를 chain of trust를 통해 원천 차단하고, 사용자 어플리케이션의 박스 내 자원 접근을 제어하고, 키퍼를 통해 도킹 포인트의 프로비저닝/모니터링을 자동화 할 수 있는 기술적 효과가 있다.
또한, 기존 보안 센터-에이전트로 구성된 보안 솔루션들은 다수 존재하나, 이 경우 에이전트가 서비스 실행 환경에 직접 배치되어 실행되므로, 서비스 환경이 감염되면 에이전트의 안정성을 보장할 수 없다. 하지만, 본 발명에서 제안하는 키퍼의 경우 서비스 셀과는 독립적인 보안 셀에서 동작하므로 서비스 환경이 감염되어도 보안 셀의 안정성을 보장할 수 있다.
박스 밖에서 보안을 제공하는 방화벽, IDS, DPI 등의 솔루션들의 경우 보통 독립적인 전담 장비들을 미리 구매/확보/설치해야한다. 그러나 본 발명에서 제한하는 오케스트레이션 시스템의 경우 동적으로 박스 자원의 일부를 분할하여 독립적인 보안 셀로 확보한 후 키퍼를 배포하므로 추가 장비 구매를 필요할 없다. 따라서, 기존 솔루션 매커니즘을 그대로 유지하면서, 경제성/유연성을 크게 향상시킬 수 있다.
도 2는 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조를 나타낸다.
도 2에 도시된 바와 같이, 본 발명의 일 실시 예에 따른 다계층 오케스트레이션 구조는 타워(1)-감시초소(2)-키퍼(3)로 구성되어 있다. 각각의 제어 주체는 서로 다른 대상을 관리하며, 각각의 제어 주제들은 서로 연결되어 상호 협력/견제를 수행한다.
도 3은 보안 셀 및 키퍼 구축 단계를 나타낸다.
도 3에 도시된 바와 같이, 먼저 타워의 지시에 따라 감시초소와 박스간의 연결이 구성된다. 두번째로 감시초소를 통해 박스 내에 서비스 셀과 구분되는 보안 셀을 구성한다. 세번째로 보안 셀에 키퍼가 배포된다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
또한, 상기 컴퓨터는 단말기의 제어부를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

Claims (8)

  1. 인프라 전체를 관리하는 논리적인 개체인 타워;
    타워와는 별도로 복수의 박스들에 대한 보안성을 제공하는 감시초소;
    상기 감시초소 및 타워와 연결되어 있으며 상기 감시초소로부터 지시를 받아 박스에 대한 보안성을 제공하기 위한 키퍼;
    상기 감시초소와 키퍼를 이용하여 인프라의 보안만을 관리하는 제3자 보안관리자; 및
    사용자가 상기 박스의 자원을 활용하기 위한 접근 통로인 도킹 포인트를 포함하는
    보안 오케스트레이션 시스템.
  2. 제 1 항에 있어서,
    상기 박스는 어플리케이션이 실행되는 서비스 셀 및 박스에 대한 보안성을 제공하기 위한 보안 셀을 포함하며,
    상기 서비스 셀과 보안 셀은 물리적으로 분리된
    보안 오케스트레이션 시스템.
  3. 제 2 항에 있어서,
    상기 키퍼는 상기 보안 셀에 위치하는
    보안 오케스트레이션 시스템.
  4. 제 1 항에 있어서,
    상기 키퍼는 서비스 셀의 보안 상태를 감시하고, 상기 감시초소는 상기 키퍼 및 타워의 보안 상태를 감시하고, 상기 타워는 감시초소의 보안 상태를 감시하는
    보안 오케스트레이션 시스템.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 도킹 포인트는 체인 인증서를 통해 변조 불가능한 하드웨어 칩으로부터 순차적으로 인증되는
    보안 오케스트레이션 시스템.
  7. 제 1 항에 있어서,
    상기 도킹 포인트별로 샌드박스 보안기술이 사용되어 어플리케이션이 호출 가능한 시스템 콜이 제한되는
    보안 오케스트레이션 시스템.
  8. 제 1 항에 있어서,
    상기 키퍼는 요청에 따라 박스의 도킹 포인트를 할당하는
    보안 오케스트레이션 시스템.
KR1020170167044A 2017-12-06 2017-12-06 보안 오케스트레이션 시스템 KR102034883B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170167044A KR102034883B1 (ko) 2017-12-06 2017-12-06 보안 오케스트레이션 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170167044A KR102034883B1 (ko) 2017-12-06 2017-12-06 보안 오케스트레이션 시스템

Publications (2)

Publication Number Publication Date
KR20190067046A KR20190067046A (ko) 2019-06-14
KR102034883B1 true KR102034883B1 (ko) 2019-10-21

Family

ID=66846797

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170167044A KR102034883B1 (ko) 2017-12-06 2017-12-06 보안 오케스트레이션 시스템

Country Status (1)

Country Link
KR (1) KR102034883B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102436833B1 (ko) * 2019-12-09 2022-08-26 광주과학기술원 에지박스를 위한 보안시스템 및 그 보안시스템의 운용방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065618A1 (en) * 2014-09-02 2016-03-03 Symantec Corporation Method and Apparatus for Automating Security Provisioning of Workloads
WO2017178068A1 (en) * 2016-04-15 2017-10-19 Nokia Solutions And Networks Oy Mechanism for modyfying security setting of a network service including virtual network parts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065618A1 (en) * 2014-09-02 2016-03-03 Symantec Corporation Method and Apparatus for Automating Security Provisioning of Workloads
WO2017178068A1 (en) * 2016-04-15 2017-10-19 Nokia Solutions And Networks Oy Mechanism for modyfying security setting of a network service including virtual network parts

Also Published As

Publication number Publication date
KR20190067046A (ko) 2019-06-14

Similar Documents

Publication Publication Date Title
CN113228587B (zh) 用于基于云的控制平面事件监视的系统和方法
Gholami et al. Security and privacy of sensitive data in cloud computing: a survey of recent developments
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
US10361998B2 (en) Secure gateway communication systems and methods
CN107430647B (zh) 提供软件定义基础架构内的安全性的方法和系统
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
US20100269166A1 (en) Method and Apparatus for Secure and Reliable Computing
WO2002008870A2 (en) Distributive access controller
TWI744797B (zh) 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品
EP2862119B1 (en) Network based management of protected data sets
US11481478B2 (en) Anomalous user session detector
US8826275B2 (en) System and method for self-aware virtual machine image deployment enforcement
US10599856B2 (en) Network security for data storage systems
CN113407949A (zh) 一种信息安全监控系统、方法、设备及存储介质
RU2557476C2 (ru) Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений
KR102034883B1 (ko) 보안 오케스트레이션 시스템
Smith et al. Security issues in on-demand grid and cluster computing
CN105120010B (zh) 一种云环境下虚拟机防窃取方法
KR102229438B1 (ko) 클라우드 컴퓨팅 및 블록체인 기반의 스마트 홈 시스템
Kumar et al. Ensuring security for virtualization in cloud services
Tupakula et al. Trust enhanced security for tenant transactions in the cloud environment
Toumi et al. Toward a trusted framework for cloud computing
Hao et al. Research on virtualization security technology in cloud computing environment
KR102214162B1 (ko) 서버 후킹을 통한 사용자 기반 객체 접근 제어 시스템
Benzina Towards designing secure virtualized systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant