KR102102085B1 - Internet server to management operating system image for security - Google Patents
Internet server to management operating system image for security Download PDFInfo
- Publication number
- KR102102085B1 KR102102085B1 KR1020190158476A KR20190158476A KR102102085B1 KR 102102085 B1 KR102102085 B1 KR 102102085B1 KR 1020190158476 A KR1020190158476 A KR 1020190158476A KR 20190158476 A KR20190158476 A KR 20190158476A KR 102102085 B1 KR102102085 B1 KR 102102085B1
- Authority
- KR
- South Korea
- Prior art keywords
- image
- security
- information
- host
- user
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
Description
본 발명은 클라우딩 컴퓨팅(clouding computing)에서 이용되는 보안 OS(Operating System) 이미지를 생성하고 또는 생성한 보안 OS 이미지에 대해 보안을 위해 감시하는 관리 방법 그리고, 이 관리 방법을 이용하는 인터넷 서버에 관한 것이다.The present invention relates to a management method for generating a secure operating system (OS) image used in cloud computing, or to monitor a security OS image for security, and an Internet server using the management method. .
클라우드 컴퓨팅은 사용자가 클라우드 호스팅(cloud hosting)을 통해 손쉽게 새로운 호스트를 생성할 수 있으며, 오토스케일링(Auto-Scaling) 기능을 통해 호스트가 복제되는 등 편리함을 제공한다. 클라우드 호스팅은 클라우드 서버 내에 가상의 공간을 할당하여 해당 사용자에게 허가하고, 할당한 가상의 공간에 CPU, 램, HDD 등을 해당 사용자에게 권한을 부여하는 것이며, 가상의 공간에 형성된 가상의 서버를 호스트라 한다. Cloud computing allows users to easily create new hosts through cloud hosting, and provides convenience such as cloning of hosts through auto-scaling. Cloud hosting allocates virtual space within the cloud server, grants it to the user, and authorizes the user with CPU, RAM, HDD, etc. to the allocated virtual space, and hosts the virtual server formed in the virtual space It says.
이러한 클라우드 컴퓨팅에서 호스트를 생성하는 방법은 도 1과 같다. 도 1은 종래의 클라우드 컴퓨팅에서 호스트를 생성하는 방법을 보인 도면이다.A method of generating a host in such cloud computing is shown in FIG. 1. 1 is a view showing a method of generating a host in a conventional cloud computing.
도 1에 도시된 바와 같이, 호스트를 생성하기 위해서 메인서버(10)는 가상의 공간을 할당하고 가상의 공간에 보관중인 OS 이미지 중 하나를 이용하여 빠르고 편리하게 호스트를 생성한다. 이에 따라 하나의 OS 이미지를 통해 다수의 호스트를 생성하는 것으로, 호스트#1, 호스트#2와 같이 동일한 역할을 수행하는 호스트의 복제가 가능하다. As shown in FIG. 1, in order to create a host, the
상기에서 OS 이미지는 OS를 구동하기 위해 필요한 패키지, 즉, 완전한 OS를 만들기 위해서 필요한 인터페이스, 커널 등을 가지고 있는 파일(예: iso 파일 등) 또는 패키지이다.In the above, the OS image is a package (eg, an iso file) or a package having an interface, a kernel, etc. necessary to create a complete OS.
그러나 OS 이미지를 이용한 쉽고 빠른 호스트 생성은 도 1에 도시된 바와 같이, 해킹 등이나 악의적 행위에 의해 OS 이미지가 오염되는 경우에, 오염된 OS 이미지가 아무런 검증없이 배포되고, 그에 따라 호스트#3, 호스트#4와 같이 위험성을 가진 오염된 OS 이미지에 의해 생성된 다수의 호스트가 생성될 수 있는 문제가 있다.However, as shown in FIG. 1, easy and fast host generation using the OS image, when the OS image is contaminated by hacking or malicious behavior, the contaminated OS image is distributed without any verification, and accordingly
이러한 문제는 현재의 클라우드 컴퓨팅에서 OS 이미지에 대한 검증 절차나 보안 감시가 이루어지지 않고 있기 때문이며, 이에 따라 OS 이미지에 대한 보안성 강화가 요구된다.This problem is because verification procedures or security monitoring of OS images are not performed in the current cloud computing, and accordingly, it is required to strengthen security of OS images.
본 발명이 해결하고자 하는 과제는 보안 검증이 가능한 OS 이미지를 생성하는 보안 OS 이미지 관리 방법을 제공하는 것이다.The problem to be solved by the present invention is to provide a secure OS image management method for generating an OS image capable of security verification.
또한 본 발명이 해결하고자 하는 과제는 OS 이미지를 배포하거나 OS 이미지를 이용하여 신규 호스트를 생성하는 경우에 보안적으로 안전한 OS 이미지를 이용할 수 있게 하는 보안 OS 이미지 관리 방법을 제공하는 것이다.In addition, a problem to be solved by the present invention is to provide a secure OS image management method that enables a securely secure OS image to be used when an OS image is distributed or a new host is created using the OS image.
또한 본 발명이 해결하고자 하는 과제는 보안 OS 이미지 생성 방법 및 보안 감시 방법을 수행하는 인터넷 서버를 제공하는 것이다.In addition, the problem to be solved by the present invention is to provide an Internet server that performs a secure OS image generation method and a security monitoring method.
상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시 예가 사용될 수 있다.In addition to the above problems, embodiments according to the present invention may be used to achieve other problems not specifically mentioned.
상기 과제를 해결하기 위한 본 발명의 일 실시 예에 따른 인터넷 서버는 사용자의 입력에 대응하는 명령 신호를 출력하는 사용자 입력부, 저장된 복수의 원본 OS 이미지 중에서 사용자가 원하는 원본 OS 이미지를 사용자가 선택할 수 있게 하고, 사용자가 선택한 원본 OS 이미지의 식별정보를 파악하는 OS 이미지 선택부, 저장된 복수의 응용 소프트웨어 중에서 사용자가 원하는 소프트웨어를 사용자가 선택할 수 있게 하고, 사용자가 선택한 각 소프트웨어에 대한 식별정보와 버전 정보를 파악하는 소프트웨어 선택부, 저장된 복수의 방화벽 정책 중에서 사용자가 원하는 방화벽 정책을 사용자가 선택할 수 있게 하고, 사용자가 선택한 방화벽 정책의 정보를 파악하는 방화벽 정책부, 상기 OS 이미지 선택부, 소프트웨어 선택부와, 방화벽 정책부를 통해 제1 정보를 수신하고, 상기 제1 정보를 포함하는 보안 템플릿을 생성하는 보안템플릿 생성부, 그리고 상기 보안템플릿 생성부에 의해 생성된 보안 템플릿에 포함된 상기 제1 정보와 사용자가 선택한 OS 이미지를 포함하여 보안 OS 이미지를 생성하고, 생성한 보안 OS 이미지를 상기 보안 템플릿과 매칭시켜 저장하는 보안OS이미지 생성부를 포함하며, 상기 제1 정보는 사용자가 선택한 원본 OS 이미지의 정보, 사용자가 선택한 각 소프트웨어의 정보와 사용자가 선택한 방화벽 정책의 정보를 포함한다.The Internet server according to an embodiment of the present invention for solving the above problem is a user input unit for outputting a command signal corresponding to the user's input, the user can select the original OS image desired by the user from among a plurality of stored original OS images The OS image selection unit that identifies the identification information of the original OS image selected by the user, enables the user to select the software desired by the user among a plurality of stored application software, and displays identification information and version information for each software selected by the user. A software selection unit to grasp, a firewall policy unit to enable a user to select a desired firewall policy from among a plurality of stored firewall policies, and a firewall policy unit to grasp information of a firewall policy selected by the user, the OS image selection unit, a software selection unit, First through the firewall policy department Security including a security template generation unit for receiving a beam and generating a security template including the first information, and the OS information selected by the user and the first information included in the security template generated by the security template generation unit It includes a secure OS image generator that generates an OS image and matches and stores the generated secure OS image with the security template, wherein the first information includes information of the original OS image selected by the user and information of each software selected by the user. Contains the firewall policy information selected by the user.
상기 과제를 해결하기 위한 본 발명의 다른 실시 예에 따른 인터넷 서버는 사용자와의 접속을 관리하고 사용자로부터 입력되는 명령에 대응하는 명령신호를 생성하는 사용자 인터페이스부, 상기 사용자 인터페이스부를 통해 수신되는 사용자의 호스트 생성 요청에 대응하여 기 저장된 정보를 이용하여 가상의 제1 호스트를 생성하고, 상기 제1 호스트에 사용자가 요청하는 OS 이미지 설치, 적어도 하나의 응용 소프트웨어 설치와, 방화벽 정책을 설정하는 호스트 생성부, 상기 제1 호스트가 생성되는 경우에 상기 호스트 생성부로부터 제1 정보를 수신하고, 수신한 제1 정보를 포함하는 보안 템플릿을 생성하는 보안템플릿 생성부, 상기 보안템플릿 생성부에 의해 생성된 보안 템플릿에 포함된 상기 제1 정보와 사용자가 선택한 OS 이미지를 포함하여 보안 OS 이미지를 생성하고, 생성한 보안 OS 이미지를 상기 보안 템플릿과 매칭시켜 저장하는 보안OS이미지 생성부, 그리고 상기 제1 호스트에서 보안 OS 이미지를 사용하는 이벤트가 발생하는 경우에 상기 제1 호스트에서 사용중인 보안 OS 이미지에 포함된 제1 정보와 해당 보안 OS 이미지에 매칭하여 저장된 보안 템플릿에 포함된 제1 정보를 비교하여 일치하는지를 확인하고, 일치하지 않는 경우에 경고 동작을 수행하는 보안 검사부를 포함하며, 상기 제1 정보는 사용자가 선택한 원본 OS 이미지의 정보, 사용자가 선택한 각 소프트웨어의 정보와 사용자가 선택한 방화벽 정책의 정보를 포함한다.The Internet server according to another embodiment of the present invention for solving the above problems is a user interface unit that manages a connection with a user and generates a command signal corresponding to a command input from the user. In response to a host creation request, a host generation unit that creates a virtual first host using pre-stored information, installs an OS image requested by a user on the first host, installs at least one application software, and sets a firewall policy When the first host is generated, a security template generation unit receiving the first information from the host generation unit and generating a security template including the received first information, the security generated by the security template generation unit Secure OS, including the first information included in the template and the OS image selected by the user A security OS image generation unit that generates an image and matches and stores the generated security OS image with the security template, and when an event using the security OS image occurs in the first host, the first host is in use. It includes a security checker that compares the first information included in the secure OS image with the first information contained in the stored security template by matching the corresponding secure OS image, and checks if they match, and performs an alert operation when they do not match. The first information includes information of the original OS image selected by the user, information of each software selected by the user, and information of a firewall policy selected by the user.
본 발명의 또 다른 실시 예에 따른 인터넷 서버는 기존 클라우드 업체에서 관리하는 관리서버의 제2 연동부와 연동하여 상기 관리서버에서 발생되는 호스트 생성 또는 복제, 원본 OS 이미지의 변동, 각 소프트웨어의 변동에 관한 이벤트를 감지하는 제1 연동부, 상기 제1 연동부를 통해 상기 관리서버에서 제1 호스트를 생성한 것을 감지하면, 상기 제1 호스트에 보안 에이전트를 설치하고, 설치된 보안 에이전트로부터 상기 제1 호스트에 대한 제1 정보를 수집하는 보안 에이전트부, 상기 제1 호스트가 생성되는 경우에 상기 보안 에이전트부로부터 제1 정보를 수신하고, 수신한 제1 정보를 포함하는 보안 템플릿을 생성하는 보안템플릿 생성부, 상기 보안템플릿 생성부에 의해 생성된 보안 템플릿에 포함된 상기 제1 정보와 사용자가 선택한 OS 이미지를 포함하여 보안 OS 이미지를 생성하고, 생성한 보안 OS 이미지를 상기 보안 템플릿과 매칭시켜 저장하는 보안OS이미지 생성부, 그리고 상기 제1 호스트에서 보안 OS 이미지를 사용하는 이벤트가 발생하는 경우에 상기 제1 호스트에서 사용중인 보안 OS 이미지에 포함된 제1 정보와 해당 보안 OS 이미지에 매칭하여 저장된 보안 템플릿에 포함된 제1 정보를 비교하여 일치하는지를 확인하고, 일치하지 않는 경우에 경고 동작을 수행하는 보안 검사부를 포함하며, 상기 제1 정보는 사용자가 선택한 원본 OS 이미지의 정보, 사용자가 선택한 각 소프트웨어의 정보와 사용자가 선택한 방화벽 정책의 정보를 포함한다.Internet server according to another embodiment of the present invention in conjunction with the second interlocking unit of the management server managed by the existing cloud companies to create or duplicate hosts generated in the management server, changes in the original OS image, changes in each software A first interworking unit that detects a related event, and upon detecting that the management server has generated a first host through the first interworking unit, installs a security agent on the first host, and installs a security agent on the first host. A security agent unit that collects first information about the security template, a security template generation unit that receives the first information from the security agent unit when the first host is generated, and generates a security template including the received first information; Contains the first information included in the security template generated by the security template generation unit and the OS image selected by the user To create a secure OS image and match the generated security OS image with the security template and store it, and the first host when an event using the secure OS image occurs in the first host A security checker that compares the first information included in the secure OS image in use with the first information contained in the stored security template by matching the corresponding secure OS image, and checks if it matches, and performs a warning operation when it does not match. The first information includes information of the original OS image selected by the user, information of each software selected by the user, and information of a firewall policy selected by the user.
상기 보안템플릿 생성부와 상기 보안OS이미지 생성부는 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트가 발생하는 경우에, 변경된 정보가 상기 제1 호스트의 보안 OS 이미지와 보안 템플릿에 반영되도록 한다.When the event of upgrading the OS and software installed on the first host occurs or the event of changing the firewall policy set on the host occurs, the security template generation unit and the security OS image generation unit change the information to the first It should be reflected in the host's secure OS image and security template.
상기 보안 검사부는 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트를 수신하는 경우에, 변경되는 정보의 이전 버전 정보를 상기 보안 템플릿의 제1 정보와 비교하여 일치하는지를 검사한다.When the event of upgrading the OS and software installed on the first host occurs or an event for changing a firewall policy set on the host is received, the security check unit may transmit information about the previous version of the changed information to the first of the security template. Compare with the information and check if it matches.
본 발명의 실시 예에 따른 보안 OS 이미지 관리 방법은 사용자의 요청에 따라 제1 호스트를 생성하는 단계, 상기 제1 호스트에 원본 OS 이미지와 각 응용 소프트웨어를 설치하고 방화벽 정책을 설정하는 단계, 상기 제1 호스트에 대한 제1 정보를 수집하는 단계, 상기 제1 정보가 포함된 보안 템플릿을 생성하는 단계, 그리고 생성한 보안 템플릿에 포함된 제1 정보와 상기 원본 OS 이미지를 이용하여 보안 OS 이미지를 생성하고 저장하는 단계를 포함한다. The method for managing a secure OS image according to an embodiment of the present invention includes generating a first host according to a user's request, installing an original OS image and each application software on the first host, and setting a firewall policy, 1 Collecting first information about the host, generating a security template including the first information, and generating a secure OS image using the original OS image and the first information included in the generated security template And storing.
본 발명의 다른 실시 예에 따른 보안 OS 이미지 관리 방법은 기존 클라우드 업체에서 관리하는 관리서버에서 제1 호스트를 생성하는 것을 감지하는 단계, 상기 제1 호스트에 보안 에이전트를 설치하는 단계, 상기 보안 에이전트를 통해 제1 정보를 수집하는 단계, 상기 제1 정보가 포함된 보안 템플릿을 생성하는 단계, 그리고 생성한 보안 템플릿에 포함된 제1 정보와 상기 원본 OS 이미지를 이용하여 보안 OS 이미지를 생성하고 저장하는 단계를 포함한다.According to another embodiment of the present invention, a method for managing a secure OS image includes detecting that a first host is generated in a management server managed by an existing cloud company, installing a security agent on the first host, and installing the security agent. Collecting the first information through, generating a security template containing the first information, and using the first information and the original OS image included in the generated security template to create and store a secure OS image Includes steps.
본 발명의 다른 실시 예에 따른 보안 OS 이미지 관리 방법은 상기 제1 호스트에서 보안 OS 이미지를 사용하는 이벤트가 발생하는 경우에 상기 제1 호스트에서 사용중인 보안 OS 이미지에 포함된 제1 정보와 해당 보안 OS 이미지에 매칭하여 저장된 보안 템플릿에 포함된 제1 정보를 비교하여 일치하는지를 확인하고, 일치하지 않는 경우에 경고 동작을 수행하는 단계를 더 포함할 수 있다.According to another embodiment of the present invention, a method for managing a secure OS image includes first information and corresponding security included in the secure OS image being used by the first host when an event using the secure OS image occurs in the first host. The method may further include comparing the first information included in the stored security template to match the OS image to check whether the images match, and performing a warning operation when they do not match.
본 발명의 다른 실시 예에 따른 보안 OS 이미지 관리 방법은 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트를 수신하는 경우에, 변경되는 정보의 이전 버전 정보를 상기 보안 템플릿의 제1 정보와 비교하여 일치하는지를 검사하는 단계를 더 포함할 수 있다.According to another embodiment of the present invention, a method for managing a secure OS image is performed when an event for upgrading an OS and software installed on the first host occurs or an event for changing a firewall policy set on the host is received. The method may further include comparing the previous version information with the first information of the security template to check whether it matches.
본 발명의 다른 실시 예에 따른 보안 OS 이미지 관리 방법은 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트가 발생하는 경우에, 변경된 정보가 상기 제1 호스트의 보안 OS 이미지와 보안 템플릿에 반영하는 단계를 더 포함할 수 있다.In the secure OS image management method according to another embodiment of the present invention, when an event for upgrading an OS and software installed on the first host occurs or an event for changing a firewall policy set on the host occurs, the changed information is The method may further include reflecting the secure OS image and security template of the first host.
본 발명의 실시 예에 따르면, 보안 템플릿을 통해 호스트 내의 OS 및 응용 소프트웨어 정보들의 어떤 부분이 변경 됐는지를 실시간 확인이 가능하다.According to an embodiment of the present invention, it is possible to check in real time which part of OS and application software information in a host has been changed through a security template.
또한, 보안 템플릿을 통해 호스트에 대한 방화벽 정책이 변경될 경우에도 실시간 확인이 가능하고, 이를 통해 외부의 해킹이나 사용자의 실수에 의한 오류 등을 감지할 수 있다.In addition, it is possible to check in real time even when the firewall policy for the host is changed through the security template, and through this, it is possible to detect an external hack or an error due to a user's mistake.
또한, 해킹이나 오류 등이 발생할 경우 원인을 제거한 후 보안 OS 이미지를 이용하여 재설치 할 수 있으며, 빠른 시간 내에 보안사고 및 장애 등을 복구할 수 있게 한다.In addition, if a hack or error occurs, the cause can be removed and reinstalled using a secure OS image, so that security accidents and failures can be recovered in a short time.
또한, 신규 호스트 생성시에 이용되는 OS 이미지의 오염 여부를 실시간 감시하여 오염된 OS 이미지에 의한 피해를 방지할 수 있다.In addition, it is possible to prevent damage caused by a contaminated OS image by real-time monitoring whether the OS image used when creating a new host is contaminated.
도 1은 종래의 클라우드 컴퓨팅에서 호스트를 생성하는 방법을 보인 도면이다.
도 2는 본 발명 전반에 대한 개념도이다.
도 3은 본 발명의 제1 실시 예에 따른 메인서버의 블록 구성도이다.
도 4는 본 발명의 제1 실시 예에 따른 보안 OS 이미지 생성 방법을 보인 순서도이다.
도 5는 본 발명의 제2 실시 예에 따른 메인서버의 블록 구성도이다.
도 6은 본 발명의 제2 실시 예에 따른 보안 OS 이미지 생성 방법을 보인 순서도이다.
도 7은 본 발명의 제3 실시 예에 따른 메인서버의 블록 구성도이다.
도 8은 본 발명의 제3 실시 예에 따른 보안 OS 이미지 생성 방법을 보인 순서도이다.
도 9는 본 발명의 제1 실시 예에 따른 보안 OS 이미지 관리 방법에서 보안감시방법을 보인 순서도이다.
도 10은 본 발명의 제2 실시 예에 따른 보안 OS 이미지 관리 방법에서 보안감시방법을 보인 순서도이다.1 is a view showing a method of generating a host in a conventional cloud computing.
2 is a conceptual diagram of the present invention in general.
3 is a block diagram of a main server according to a first embodiment of the present invention.
4 is a flowchart illustrating a method for generating a secure OS image according to a first embodiment of the present invention.
5 is a block diagram of a main server according to a second embodiment of the present invention.
6 is a flowchart showing a method for generating a secure OS image according to a second embodiment of the present invention.
7 is a block diagram of a main server according to a third embodiment of the present invention.
8 is a flowchart illustrating a method for generating a secure OS image according to a third embodiment of the present invention.
9 is a flowchart illustrating a security monitoring method in the secure OS image management method according to the first embodiment of the present invention.
10 is a flowchart illustrating a security monitoring method in a secure OS image management method according to a second embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체에서 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한, 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art to which the present invention pertains may easily practice. The present invention can be implemented in many different forms and is not limited to the embodiments described herein. In the drawings, parts not related to the description are omitted in order to clearly describe the present invention, and the same reference numerals are used for the same or similar elements throughout the specification. In addition, in the case of a well-known technology, a detailed description thereof is omitted.
본 명세서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. In the present specification, when a part “includes” a certain component, it means that the component may further include other components, not to exclude other components, unless otherwise stated.
이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 보안 OS 이미지 관리 방법 및 이 방법을 이용하는 인터넷 서버를 설명한다Hereinafter, a secure OS image management method according to an embodiment of the present invention and an Internet server using the method will be described with reference to the accompanying drawings.
우선 도 2를 참조로 하여 본 발명에 대한 개념을 설명한다. 도 2는 본 발명에 대한 개념도이다. 도 2에 도시된 바와 같이, 본 발명에 따른 개념은 신규 호스트를 생성하거나 복제할 때 이용되거나 배포되는 원본 OS 이미지에 대하여 보안성을 높이고 감시가 용이하도록 하기 위한 것이다.First, the concept of the present invention will be described with reference to FIG. 2. 2 is a conceptual diagram for the present invention. As illustrated in FIG. 2, the concept according to the present invention is to increase security and facilitate monitoring for an original OS image that is used or distributed when creating or replicating a new host.
이를 위해, 도 2에 도시된 바와 같이, 인터넷 서버 즉, 메인서버(100)는 원본 OS 이미지의 정보, 소프트웨어의 정보와 방화벽 정책의 정보를 포함하는 제1 정보를 이용하여 보안 템플릿(A)을 생성한 후, 보안 템플릿(A)의 제1 정보를 이용하여 보안 OS 이미지(B)를 생성한다.To this end, as shown in FIG. 2, the Internet server, that is, the
이렇게 생성된 보안 템플릿(A)과 보안 OS 이미지(B)는 서로 매칭시켜 안전하게 저장한다. 그리고 저장된 보안 OS 이미지(B)를 이용하여 신규 호스트를 생성하거나 복제하거나 또는 보안 OS 이미지를 배포하게 한다.The generated security template (A) and secure OS image (B) are matched with each other and stored safely. Then, a new host is created or cloned or a secure OS image is distributed using the stored secure OS image B.
여기서 보안 템플릿(A)과 보안 OS 이미지(B)를 매칭시킨다는 의미는 해당 보안 OS 이미지(B)를 누군가가 이용하는 경우에 해당 보안 템플릿을 이용한 보안 감시가 이루어지게 한다는 의미이다.Here, the meaning of matching the security template A and the security OS image B means that security monitoring using the security template is performed when someone uses the security OS image B.
상기 보안 감시는 저장된 보안 템플릿(A)에 포함된 제1 정보와 현재 이용되고 있는 보안 OS 이미지(B)에 포함된 제1 정보를 비교하여 오염 여부를 판단하는 것이다.The security monitoring is to compare the first information included in the stored security template (A) and the first information included in the currently used secure OS image (B) to determine whether or not it is contaminated.
상기에서 원본 OS 이미지의 정보는 원본 OS 이미지의 식별정보와 원본 OS 이미지의 설치 이력정보(예; 설치일자, 설치자, 설치 위치 등)를 포함한다. 상기에서 소프트웨어 정보는 각 응용 소프트웨어의 식별정보 및 버전 정보, 그리고 각 응용 소프트웨어의 설치 이력정보(예; 설치일자, 설치자, 설치 위치 등)를 포함한다. 그리고 방화벽 정책의 정보는 방화벽 정책의 식별정보와 설치 이력정보(예; 설치일자, 설치자, 설치 위치 등)를 포함한다.In the above, the original OS image information includes identification information of the original OS image and installation history information of the original OS image (eg, installation date, installer, installation location, etc.). In the above, the software information includes identification information and version information of each application software, and installation history information of each application software (eg, installation date, installer, installation location, etc.). The firewall policy information includes firewall policy identification information and installation history information (eg, installation date, installer, installation location, etc.).
따라서 보안 템플릿(A)에는 제1 정보가 포함되고, 보안 OS 이미지(B)에는 제1 정보와 더불어, 원본 OS 이미지, 각 응용 소프트웨어, 방화벽 정책이 포함된다.Therefore, the security template (A) includes the first information, and the security OS image (B) includes the original OS image, each application software, and a firewall policy in addition to the first information.
이하에서는 설명한 본 발명의 개념을 달성하기 위한 메인서버(100)의 구성 및 동작을 설명한다.Hereinafter, the configuration and operation of the
설명에 앞서 인터넷 서버 즉, 메인서버(100)는 크게 3가지 형태로 구성할 수 있다. 첫번째는 기존 클라우드 업체에서 관리하는 관리서버와 별개의 장치로 구성하되, 보안 템플릿(A)과 보안 OS 이미지(B)만을 생성하도록 하고, 생성한 보안 템플릿(A)과 보안 OS 이미지(B)를 관리서버에 제공하는 것이다. 이 경우에 보안 감시는 본 발명을 개발한 개발자측에서 보안 감시 프로그램을 관리서버측에 제공하거나, 관리서버측에서 독자적으로 보안 감시 프로그램을 개발하여 이용할 수 있다.Prior to the description, the Internet server, that is, the
두번째는 기존 클라우드 업체에서 관리하는 관리서버에 탑재되는 것이다. 즉, 관리서버에 보안 템플릿(A)과 보안 OS 이미지(B)를 생성하는 기능 및 보안감시 기능이 탑재되는 것이다.The second is to be mounted on a management server managed by an existing cloud company. That is, a function for generating a security template (A) and a security OS image (B) and a security monitoring function are mounted on the management server.
세번째는 기존 클라우드 업체에서 관리하는 관리서버와 별개의 장치로 구성하되, 관리서버와 연동하게 하는 것이다. The third is to configure a separate device from the management server managed by the existing cloud company, but to work with the management server.
이하에서는 도 3와 도 4를 참조로 하여 본 발명의 제1 실시 예에 따른 메인서버의 구성 및 보안 OS 이미지 생성 동작을 설명한다.Hereinafter, a configuration of a main server and a secure OS image generation operation according to the first embodiment of the present invention will be described with reference to FIGS. 3 and 4.
도 3은 본 발명의 제1 실시 예에 따른 메인서버의 블록 구성도이다. 도 3에 도시된 본 발명의 제1 실시 예에 따른 메인서버(100a)는 상기에서 설명한 첫번째 형태의 메인서버이다.3 is a block diagram of a main server according to a first embodiment of the present invention. The
도 3을 참고하면, 메인서버(100a)는 사용자 입력부(101), OS 이미지 선택부(102), 소프트웨어 선택부(103), 방화벽 정책부(104), 소프트웨어 저장부(105), 보안템플릿 생성부(140) 및 보안OS이미지 생성부(150)를 포함한다.Referring to FIG. 3, the
사용자 입력부(101)는 사용자의 입력에 대응하는 명령 신호를 출력한다.The
OS 이미지 선택부(102), 소프트웨어 선택부(103), 방화벽 정책부(104), 보안템플릿 생성부(140) 및 OS이미지 생성부(150)는 사용자가 사용자 입력부(101)를 통해 보안 OS 이미지를 생성할 것을 명령하는 경우에 동작한다.The OS
OS 이미지 선택부(102)는 소프트웨어 저장부(105)에 저장된 복수의 원본 OS 이미지 중에서 사용자가 원하는 원본 OS 이미지를 사용자가 선택할 수 있게 하고, 사용자가 선택한 원본 OS 이미지의 식별정보를 보안템플릿 생성부(140)에 제공한다.The OS
소프트웨어 선택부(103)는 소프트웨어 저장부(105)에 저장된 복수의 응용 소프트웨어 중에서 사용자가 원하는 소프트웨어(프로그램)를 사용자가 선택할 수 있게 하고, 사용자가 선택한 각 소프트웨어에 대한 식별정보와 버전 정보를 보안템플릿 생성부(140)에 제공한다.The
방화벽 정책부(104)는 소프트웨어 저장부(105)에 저장된 복수의 방화벽 정책 중에서 사용자가 원하는 방화벽 정책을 사용자가 선택할 수 있게 하고, 사용자가 선택한 방화벽 정책의 정보를 보안템플릿 생성부(140)에 제공한다.The
보안템플릿 생성부(140)는 OS 이미지 선택부(102), 소프트웨어 선택부(103), 방화벽 정책부(104)를 통해 제1 정보를 수신하게 되고, 그에 따라 제1 정보를 포함하는 보안 템플릿(A)을 생성한다.The security
보안OS이미지 생성부(150)는 보안템플릿 생성부(140)에 의해 생성된 보안 템플릿(A)에 포함된 제1 정보와 원본 OS 이미지를 포함하여 iso 파일 등과 같은 이미지 파일로 만들어 보안 OS 이미지(B)를 생성한다.The secure OS
그리고 보안OS이미지 생성부(150)는 보안 OS 이미지(B)를 생성하면 보안 템플릿(A)과 매칭시켜 자체 메모리(미도시)에 저장한다.In addition, when the secure
도 4는 본 발명의 제1 실시 예에 따른 보안 OS 이미지 생성 방법을 보인 순서도로서, 메인서버(100a)에서 수행되는 보안 OS 이미지를 생성하는 동작을 보인 순서도이다.4 is a flowchart illustrating a method for generating a secure OS image according to a first embodiment of the present invention, and is a flowchart illustrating an operation for generating a secure OS image performed in the
도 4를 참고하면, 메인서버(100a)는 사용자가 보안 OS 이미지 생성(B)을 요청하면, 사용자에게 복수의 원본 OS 이미지 리스트를 제공하고, 사용자가 하나의 원본 OS 이미지를 선택하게 하며, 사용자가 하나의 원본 OS 이미지를 선택하면 선택한 원본 OS 이미지의 식별정보와 설치이력정보를 파악한다(S401).Referring to Figure 4, the
그리고 메인서버(100a)는 사용자에게 원본 OS 이미지와 함께 사용할 응용 소프트웨어를 선택할 수 있게 소프트웨어 리스트를 제공하고, 이에 사용자가 적어도 하나의 소프트웨어를 선택하면 선택한 소프트웨어에 대한 식별정보와 버전정보 및 설치이력정보를 파악한다(S402).In addition, the
또한 메인서버(100a)는 사용자에게 방화벽 정책을 설정할 수 있도록 방화벽 정책 리스트를 제공하고, 이에 사용자가 하나의 방화벽 정책을 선택하면 선택한 방화벽 정책의 정보와 설치이력정보를 파악한다(S403).In addition, the
메인서버(100a)는 사용자가 원본 OS 이미지, 각종 소프트웨어 및 방화벽 정책을 선택하고 나면, 선택한 정보 즉 제1 정보를 이용하여 보안 템플릿(A)을 생성하고(S604), 생성한 보안 템플릿(A)에 포함된 제1 정보를 이용하여 원본 OS 이미지(B)를 생성한다(S605). 그런 다음 메인서버(100a)는 보안 OS 이미지(B)와 보안 템플릿(A)을 매칭시켜 저장한다(S606).After the user selects the original OS image, various software, and firewall policies, the
도 5는 본 발명의 제2 실시 예에 따른 메인서버의 블록 구성도이다. 도 5에 도시된 본 발명의 제2 실시 예에 따른 메인서버(100b)는 상기에서 설명한 두번째 형태의 메인서버이다.5 is a block diagram of a main server according to a second embodiment of the present invention. The
도 5를 참고하면, 본 발명의 제2 실시 예에 따른 메인서버(100b)는 사용자 인터페이스부(110), 호스트 생성부(120), 보안 에이전트부(130), 보안템플릿 생성부(140), 보안OS이미지 생성부(150), 보안 검사부(160), 설치정보 저장부(170) 및 보안정보 저장부(180)를 포함한다.5, the
사용자 인터페이스부(110)는 사용자와의 접속을 관리하고 사용자로부터 입력되는 명령에 대응하는 명령신호를 생성한다.The
호스트 생성부(120)는 사용자 인터페이스부(110)를 통해 수신되는 사용자의 호스트 생성 요청에 대응하여 설치정보 저장부(170)에 저장된 정보를 이용하여 가상의 호스트를 생성한다. 예컨대, 호스트 생성부(120)는 자원할당부(121)와 소프트웨어 설치부(122)를 포함할 수 있다. 자원할당부(121)는 메모리부(180) 내에 CPU, 설정 메모리 영역, 디스크 등의 하드웨어 자원을 할당한다. 소프트웨어 설치부(122)는 사용자가 요청하는 OS 이미지 설치, 적어도 하나의 응용 소프트웨어 설치, 방화벽(firewall) 정책을 설정한다. 여기서 방화벽 정책 설정은 보안 에이전트를 제1 호스트에 설치한 후에 진행된다.The
보안 에이전트부(130)는 신규 생성된 호스트에 보안 에이전트를 설치하고, 설치된 보안 에이전트로부터 신규 호스트에 대한 제1 정보를 수집한다. 보안 에이전트부(130)는 호스트 생성부(120)에서 보안템플릿 생성부(140)는 제1 정보를 직접 제공하는 것으로 설계하면 생략이 가능하다.The
보안템플릿 생성부(140)는 신규 호스트가 생성되는 경우에 보안 에이전트부(130)로부터 수집된 제1 정보를 이용하여 보안 템플릿(A)을 생성한다. 즉, 보안 템플릿(A)에는 제1 정보가 포함된다.The security
보안OS이미지 생성부(150)는 보안 템플릿을 이용하여 생성된다. 구체적으로 보안OS이미지 생성부(150)는 보안 템플릿에 포함된 제1 정보와 원본 OS 이미지를 포함하여 iso 파일 등과 같은 이미지 파일로 만들어 제1 호스트의 보안 OS 이미지(B)를 생성한다.The security OS
보안OS이미지 생성부(150)는 제1 호스트의 보안 OS 이미지(B)를 생성하면 제1 정보를 포함하는 보안 템플릿과 매칭시켜 보안정보 저장부(180)에 저장한다.When the secure OS
이렇게 생성한 제1 호스트의 보안 OS 이미지(B)를 이용하여 제2 호스트를 생성하는 경우에, 메인서버(100b)는 제1 호스트의 보안 OS 이미지(B)에 포함된 원본 OS 이미지를 이용하여 OS를 설치하고, 제1 호스트의 보안 OS 이미지에 포함된 각종 응용 소프트웨어의 식별정보와 버전 정보를 파악하여 해당 각 응용 소프트웨어가 제2 호스트에 설치될 수 있게 한다. 또한 메인서버(100b)는 제1 호스트의 보안 OS 이미지(B)에 포함된 방화벽 정책 정보를 파악하여 제1 호스트와 동일한 방화벽 정책이 제2 호스트에 설정되게 한다.When the second host is generated using the secure OS image B of the first host, the
보안 검사부(160)는 보안 OS 이미지(B)를 사용 또는 변경하는 이벤트가 발생하는 경우에 이벤트가 발생한 호스트의 보안 OS 이미지에 매칭된 보안 템플릿을 이용하여 보안 검사를 수행한다. 예컨대, 제1 호스트의 보안 OS 이미지(B)를 이용하여 제2 호스트를 생성하는 이벤트가 발생하는 경우에, 메인서버(100b)는 제1 호스트의 보안 OS 이미지(B)에 포함된 제1 정보와 해당 보안 템플릿(A)에 포함된 제1 정보를 비교하여 일치하는지를 확인하고, 일치하지 않는 경우에 경고 동작을 수행한다.When an event for using or changing the security OS image B occurs, the
한편, 메인서버(100b)는 보안 에이전트로부터 해당 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책 등을 변경하는 이벤트를 수신하는 경우에, 변경된 정보가 해당 호스트의 보안 OS 이미지(B)와 보안 템플릿(A)에 반영되도록 한다. 이때의 반영 방법은 보안 OS 이미지(B)와 보안 템플릿(A)을 새로 생성하여 저장하거나, 보안 OS 이미지(B)와 보안 템플릿(A)을 갱신하여 저장한다.On the other hand, when the
설치정보 저장부(170)는 각종 OS 이미지, 각종 소프트웨어, 다양한 방화벽 정책 등을 저장하고 있다.The installation
보안정보 저장부(180)는 제1 호스트에 대한 보안 OS 이미지(B)와 해당 보안 OS 이미지에 매칭된 보안 템플릿(B)을 저장하고 있다. 물론 설치정보 저장부(170)는 메인서버(100b)가 제2 호스트, 제3 호스트 등의 가상 서버를 생성하는 경우이면 제2 호스트, 제3 호스트에 대응하는 보안 OS 이미지(B)와 해당 보안 OS 이미지에 매칭된 보안 템플릿(A)을 저장한다.The security
도 6은 본 발명의 제2 실시 예에 따른 보안 OS 이미지 생성 방법에 대한 순서도이다.6 is a flowchart of a method for generating a secure OS image according to a second embodiment of the present invention.
도 6을 참고하면, 메인 서버(100b)는 사용자 접속을 감지하고(S601), 사용자의 요청에 따라 신규 호스트를 생성하기 위해 자원을 할당한다(S602). 그런 다음 메인서버(100b)는 사용자가 요청한 OS 이미지를 할당된 자원에 설치하고, 또한 사용자가 요청한 각종 소프트웨어를 할당된 자원에 설치하여 제1 호스트를 생성한다(S603).Referring to FIG. 6, the
제1 호스트가 생성되면, 메인서버(100b)는 제1 호스트에 보안 에이전트를 설치하고(S604), 보안 에이전트로부터 제1 호스트에 설치된 원본 OS 이미지의 식별정보, 원본 OS 이미지의 설치 이력정보, 각 응용 소프트웨어의 식별정보 및 버전 정보, 각 응용 소프트웨어의 설치 이력정보를 수집한다(S605). 여기서, S604 과정과 S605 과정은 호스트 생성부(121)를 통해 제1 정보를 직접 파악하는 경우이면 생략이 가능하다.When the first host is generated, the
그리고 메인서버(100b)는 사용자가 제1 호스트의 용도에 맞는 방화벽 정책을 선택하면 이에 대응하여 제1 호스트 내에서 사용자가 선택한 방화벽 정책을 설정하고, 보안 에이전트 또는 API(Application Program Interface)를 통해 해당 방화벽 정책에 대한 정보를 수집한다(S607). S607 과정은 호스트 생성부(121)를 통해 제1 정보를 직접 파악하는 경우이면 생략이 가능하다.In addition, when the user selects a firewall policy suitable for the purpose of the first host, the
메인서버(100b)는 이렇게 보안 에이전트 또는 API를 통해 수집된 제1 정보가 포함된 보안 템플릿(A)을 생성하고(S608), 생성한 보안 템플릿(A)에 포함된 제1 정보와 원본 OS 이미지를 이용하여 보안 OS 이미지(B)를 생성한다(S609).The
그런 다음 메인서버(100b)는 보안 OS 이미지(B)와 보안 템플릿(A)을 매칭시켜 저장한다(S610).Then, the
이하에서는 도 7과 도 8을 참고하여 본 발명의 제3 실시 예에 따른 메인서버 및 보안 OS 이미지 생성 동작을 설명한다.Hereinafter, the main server and the secure OS image generation operation according to the third embodiment of the present invention will be described with reference to FIGS. 7 and 8.
도 7은 본 발명의 제3 실시 예에 따른 메인서버의 블록 구성도이다. 도 7에 도시된 본 발명의 제3 실시 예에 따른 메인서버(100c)는 상기에서 설명한 세번째 형태의 메인서버이다.7 is a block diagram of a main server according to a third embodiment of the present invention. The
도 7을 참고하면, 본 발명의 제3 실시 예에 따른 메인서버(100c)는 보안 에이전트부(130), 보안템플릿 생성부(140), 보안OS이미지 생성부(150), 보안 검사부(160), 보안정보 저장부(170) 및 제1 연동부(11)를 포함한다.Referring to FIG. 7, the
본 발명의 제3 실시 예에 따른 메인서버(100c)는 본 발명의 제2 실시 예에 따른 메인서버(100b)와 유사하다. 다만, 본 발명의 제3 실시 예에 따른 메인서버(100c)는 본 발명의 제2 실시 예에 따른 메인서버(100b)에 비해서 사용자 호스트 생성부(120)와 설치정보 저장부(170)가 생략되고, 제1 연동부(11)가 추가된 형태이다.The
여기서 제1 연동부(11)는 기존 클라우드 업체에서 관리하는 관리서버(200)의 제2 연동부(12)와 연동하여 관리서버(200)에서 발생되는 호스트 생성(호스트 복제 포함), 원본 OS 이미지의 변동, 각 소프트웨어의 변동 등의 이벤트를 감지한다.Here, the
본 발명의 제3 실시 예에 따른 메인서버(100c)의 보안 에이전트부(130), 보안템플릿 생성부(140), 보안OS이미지 생성부(150), 보안 검사부(160)는 제1 연동부(11)의 제어에 따라 동작한다. 즉, 제1 연동부(11)에서 수신한 관리서버(200)의 이벤트에 따라 동작한다.The
도 8은 본 발명의 제3 실시 예에 따른 보안 OS 이미지 생성 방법에 대한 순서도이다.8 is a flowchart of a method for generating a secure OS image according to a third embodiment of the present invention.
도 8을 참고하면, 메인 서버(100c)는 제1 연동부(11)를 통해 관리서버(200)에서 제1 호스트를 생성하는 이벤트를 수신하면(S801), 관리서버(200)에 의해 생성된 제1 호스트에 보안 에이전트를 설치하고(S802), 보안 에이전트로부터 제1 호스트에 설치된 원본 OS 이미지의 식별정보, 원본 OS 이미지의 설치 이력정보, 각 응용 소프트웨어의 식별정보 및 버전 정보, 각 응용 소프트웨어의 설치 이력정보를 수집한다(S803). Referring to FIG. 8, when the
그리고 메인서버(100c)는 사용자가 관리서버(200)를 통해 제1 호스트의 용도에 맞는 방화벽 정책을 선택하면 이에 대응하여 보안 에이전트 또는 API(Application Program Interface)를 통해 해당 방화벽 정책에 대한 정보를 수집한다(S804). In addition, when the user selects a firewall policy suitable for the purpose of the first host through the
메인서버(100c)는 이렇게 보안 에이전트 또는 API를 통해 수집된 제1 정보를 이용하여 보안 템플릿(A)을 생성하고(S805), 생성한 보안 템플릿(A)에 포함된 제1 정보와 원본 OS 이미지를 이용하여 보안 OS 이미지(B)를 생성한다(S806).The
그런 다음 메인서버(100c)는 보안 OS 이미지(B)와 보안 템플릿(A)을 매칭시켜 저장한다(S807).Then, the
이하에서는 도 9와 도 10을 참고하여 본 발명의 실시 예에 따른 보안감시방법을 설명한다.Hereinafter, a security monitoring method according to an embodiment of the present invention will be described with reference to FIGS. 9 and 10.
도 9는 본 발명의 제1 실시 예에 따른 보안 OS 이미지 관리 방법에서 보안감시방법을 보인 순서도로서, 메인서버(100b, 100c) 에서의 동작을 보인 일 예이다. 9 is a flowchart illustrating a security monitoring method in the secure OS image management method according to the first embodiment of the present invention, and is an example of operation in the
도 9를 참고하면, 사용자가 자신의 호스트인 제1 호스트에 접속하여 원본 OS 이미지 또는 소프트웨어가 업그레이드하거나 방화벽 정책을 변경하는 등, 제1 정보를 변경하는 경우에, 해당 호스트에 설치된 보안 에이전트는 이러한 제1 정보의 변경을 감지하고 제1 정보에 대한 변경 이벤트를 메인서버(100b, 100c)에 알린다.Referring to FIG. 9, when a user accesses the first host, which is his host, and changes the first information, such as an original OS image or software upgrade or a firewall policy change, the security agent installed on the host is configured as such. The change of the first information is detected and the change event for the first information is notified to the
이에 메인서버(100b, 100c)의 보안 검사부(160)는 제1 호스트의 보안 에이전트로부터 수신딘 제1 정보에 대한 변경 이벤트를 통해 원본 OS 이미지 또는 소프트웨어가 업그레이드되는지 또는 방화벽 정책이 변경되는지를 파악한다(S901).Accordingly, the
보안 검사부(160)는 저장되어 있는 보안 템플릿(A)을 호출하고(S902), 호출한 보안 템플릿(A)에 포함된 제1 정보 중에서 현재 변경이 된 정보와 동일한 정보(예: OS 이미지, 소프트웨어, 방화벽 정책 중 적어도 하나)를 추출하고(S903), 추출한 정보와 제1 호스트에서 현재 변경된 정보를 비교한다(S904).The
보안 검사부(160)는 추출한 정보와 현재 변경된 정보와의 비교를 통해, 2개의 정보가 서로 일치하면(S905), 변경된 정보가 보안 템플릿(A)에 반영되도록 보안 템플릿(A)을 변경 또는 새로 생성하고 또한 변경(또는 새로 생성)된 보안 템플릿(A)을 이용하여 보안 OS 이미지(B)를 새로 생성하여 저장한다(S906).The
반면에 2개의 정보가 서로 일치하지 않으면(S905), 보안 검사부(160)는 제1 호스트에 경고음이나 경고 메시지를 전송하거나, 또는 기 등록된 전화번호로 경고 메시지를 전송하는 등의 경고 알림 동작을 수행한다(S907).On the other hand, if the two pieces of information do not match (S905), the
한편, 도 9를 참조로 한 설명에서 사용자가 원본 OS 이미지, 소프트웨어, 방화벽 정책 중 적어도 하나를 업그레이드하거나 변경하는 경우에 메인서버(100, 100a)는 S902 내지 S905 및 S907 과정과 같이 정보 비교 과정을 수행하지 않고 바로 S906 과정을 수행하도록 할 수 있다.Meanwhile, in the description with reference to FIG. 9, when the user upgrades or changes at least one of the original OS image, software, and firewall policy, the
도 10은 본 발명의 제2 실시 예에 따른 보안 OS 이미지 관리 방법에서 보안감시방법을 보인 순서도이다.10 is a flowchart illustrating a security monitoring method in a secure OS image management method according to a second embodiment of the present invention.
도 10을 참고하면, 메인서버(100b, 100c)의 보안 에이전트부(130)는 사용자 또는 관리자 또는 제3자가 보안 OS 이미지를 배포하거나 보안 OS 이미지를 이용하여 신규 호스트를 생성하는지를 상시 감시한다(S1001).Referring to FIG. 10, the
그리고 보안 에이전트부(130)는 사용자 또는 관리자 또는 제3자가 보안 OS 이미지를 이용(예; 배포 또는 신규 호스트 생성)하는 것을 감지하는 경우에 감지 이벤트를 보안 검사부(160)에 전송한다(S1002).Then, the
이에 보안 검사부(160)는 보안정보 저장부(180)에 저장된 보안 템플릿(A)을 호출하고(S1003), 호출한 보안 템플릿에 포함된 제1 정보를 추출한 후(S1004), 추출한 제1 정보와 현재 이용되고 있는 보안 OS 이미지(B)에 포함된 제1 정보와 비교한다(S1005).Accordingly, the
보안 검사부(160)는 상기 비교를 통해, 2개의 정보가 서로 일치하면(S1006), 별도의 대응 동작을 수행하지 않지만, 반면에 2개의 정보가 서로 일치하지 않으면(S1006), 경고음이나 경고 메시지를 전송하거나, 또는 기 등록된 전화번호로 경고 메시지를 전송하는 등의 경고 알림 동작을 수행한다(S1007).Through the comparison, the
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였으나, 본 발명의 권리범위가 이에 한정되는 것은 아니며 본 발명이 속하는 분야에서 통상의 지식을 가진 자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.The embodiments of the present invention have been described in detail above, but the scope of rights of the present invention is not limited thereto, and various modifications and improvements in the field to which the present invention pertains also include the rights of the present invention. Belongs to the scope.
10 : 종래의 메인서버 100, 100a, 100b, 100c : 본 발명의 메인서버
110 : 사용자 인터페이스부
120: 호스트 생성부 121 : 자원할당부
122 : 소프트웨어 설치부 130 : 보안 에이전트부
140 : 보안템플릿 생성부 150 : 보안OS이미지 생성부
160 : 보안 검사부 170 : 설치정보 저장부
180 : 보안정보 저장부 101 : 사용자 입력부
102 : OS이미지 선택부 103 : 소프트웨어 선택부
104 : 방화벽 정책부 105 : 소프트웨어 저장부10: conventional
110: user interface
120: host generation unit 121: resource allocation unit
122: software installation unit 130: security agent unit
140: security template generation unit 150: security OS image generation unit
160: security inspection unit 170: installation information storage unit
180: security information storage unit 101: user input unit
102: OS image selection unit 103: Software selection unit
104: firewall policy unit 105: software storage unit
Claims (12)
상기 제1 연동부를 통해 상기 관리서버에서 제1 호스트를 생성한 것을 감지하면, 상기 제1 호스트에 보안 에이전트를 설치하고, 설치된 보안 에이전트로부터 상기 제1 호스트에 대한 제1 정보를 수집하는 보안 에이전트부
상기 제1 호스트가 생성되는 경우에 상기 보안 에이전트부로부터 제1 정보를 수신하고, 수신한 제1 정보를 포함하는 보안 템플릿을 생성하는 보안템플릿 생성부,
상기 보안템플릿 생성부에 의해 생성된 보안 템플릿에 포함된 상기 제1 정보와 사용자가 선택한 OS 이미지를 포함하여 보안 OS 이미지를 생성하고, 생성한 보안 OS 이미지를 상기 보안 템플릿과 매칭시켜 저장하는 보안OS이미지 생성부, 그리고
상기 제1 호스트에서 보안 OS 이미지를 사용하는 이벤트가 발생하는 경우에 상기 제1 호스트에서 사용중인 보안 OS 이미지에 포함된 제1 정보와 해당 보안 OS 이미지에 매칭하여 저장된 보안 템플릿에 포함된 제1 정보를 비교하여 일치하는지를 확인하고, 일치하지 않는 경우에 경고 동작을 수행하는 보안 검사부를 포함하며,
상기 제1 정보는 사용자가 선택한 원본 OS 이미지의 정보, 사용자가 선택한 각 소프트웨어의 정보와 사용자가 선택한 방화벽 정책의 정보를 포함하는 인터넷 서버.A first linkage unit that detects events related to host creation or replication, changes in the original OS image, and changes in each software by interworking with the second linkage of the management server managed by the existing cloud company,
Upon detecting that the management server has created the first host through the first interworking unit, a security agent unit that installs a security agent on the first host and collects first information about the first host from the installed security agent
A security template generation unit receiving the first information from the security agent unit and generating a security template including the received first information when the first host is generated;
A security OS that generates a security OS image including the first information included in the security template generated by the security template generation unit and a user-selected OS image, and matches and stores the generated security OS image with the security template. An image generator, and
When an event using the secure OS image occurs in the first host, the first information included in the secure OS image being used by the first host and the first information included in the stored security template matching the secure OS image It compares and checks whether it matches, and if not, includes a security checker that performs a warning action.
The first information includes the information of the original OS image selected by the user, information of each software selected by the user, and information of the firewall policy selected by the user.
상기 보안템플릿 생성부와 상기 보안OS이미지 생성부는 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트가 발생하는 경우에, 변경된 정보가 상기 제1 호스트의 보안 OS 이미지와 보안 템플릿에 반영되도록 하는 인터넷 서버.In claim 5,
When the event of upgrading the OS and software installed on the first host occurs or the event of changing the firewall policy set on the host occurs, the security template generation unit and the security OS image generation unit change the information to the first An Internet server that is reflected in the host's secure OS image and security template.
상기 보안 검사부는 상기 제1 호스트에 설치된 OS 및 소프트웨어를 업그레이드하는 이벤트가 발생하거나, 호스트에 설정된 방화벽 정책을 변경하는 이벤트를 수신하는 경우에, 변경되는 정보의 이전 버전 정보를 상기 보안 템플릿의 제1 정보와 비교하여 일치하는지를 검사하는 인터넷 서버.In claim 5 or 6,
When the event of upgrading the OS and software installed on the first host occurs or an event of changing a firewall policy set on the host is received, the security check unit may transmit information on the previous version of the changed information to the first of the security template. An Internet server that checks for matches against information.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190158476A KR102102085B1 (en) | 2019-12-02 | 2019-12-02 | Internet server to management operating system image for security |
KR1020200011023A KR102357715B1 (en) | 2019-12-02 | 2020-01-30 | Method to management operating system image for security and internet server using the methods |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190158476A KR102102085B1 (en) | 2019-12-02 | 2019-12-02 | Internet server to management operating system image for security |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200011023A Division KR102357715B1 (en) | 2019-12-02 | 2020-01-30 | Method to management operating system image for security and internet server using the methods |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102102085B1 true KR102102085B1 (en) | 2020-04-17 |
Family
ID=70460952
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190158476A KR102102085B1 (en) | 2019-12-02 | 2019-12-02 | Internet server to management operating system image for security |
KR1020200011023A KR102357715B1 (en) | 2019-12-02 | 2020-01-30 | Method to management operating system image for security and internet server using the methods |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200011023A KR102357715B1 (en) | 2019-12-02 | 2020-01-30 | Method to management operating system image for security and internet server using the methods |
Country Status (1)
Country | Link |
---|---|
KR (2) | KR102102085B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102430988B1 (en) * | 2022-02-10 | 2022-08-11 | (주)제너럴데이타 | Method, device and system for controlling policy setting of host firewall based on artificial intelligence |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009176213A (en) * | 2008-01-28 | 2009-08-06 | Hitachi Software Eng Co Ltd | Network boot system |
KR20170022028A (en) * | 2015-08-19 | 2017-03-02 | 삼성에스디에스 주식회사 | Method and apparatus for security checking of image for container |
KR101893950B1 (en) * | 2018-02-06 | 2018-08-31 | 주식회사 이스트시큐리티 | Apparatus for centralization and security of file based on Wake-on-LAN, method thereof and computer recordable medium storing program to perform the method |
-
2019
- 2019-12-02 KR KR1020190158476A patent/KR102102085B1/en active IP Right Grant
-
2020
- 2020-01-30 KR KR1020200011023A patent/KR102357715B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009176213A (en) * | 2008-01-28 | 2009-08-06 | Hitachi Software Eng Co Ltd | Network boot system |
KR20170022028A (en) * | 2015-08-19 | 2017-03-02 | 삼성에스디에스 주식회사 | Method and apparatus for security checking of image for container |
KR101893950B1 (en) * | 2018-02-06 | 2018-08-31 | 주식회사 이스트시큐리티 | Apparatus for centralization and security of file based on Wake-on-LAN, method thereof and computer recordable medium storing program to perform the method |
Also Published As
Publication number | Publication date |
---|---|
KR102357715B1 (en) | 2022-02-03 |
KR20210068968A (en) | 2021-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7408725B2 (en) | Automatic operation management of computer systems | |
US10768955B1 (en) | Executing commands within virtual machine instances | |
CN113169952B (en) | Container cloud management system based on block chain technology | |
US11799742B2 (en) | Resolving configuration drift for computing resource stacks | |
US10379838B1 (en) | Update and rollback of code and API versions | |
EP3149591B1 (en) | Tracking application deployment errors via cloud logs | |
US11700264B2 (en) | Systems and methods for role-based computer security configurations | |
CN109388630B (en) | Database switching method, system, electronic device and computer readable medium | |
US11750642B1 (en) | Automated threat modeling using machine-readable threat models | |
US20160359911A1 (en) | Trusted public infrastructure grid cloud | |
JP6788178B2 (en) | Setting support program, setting support method and setting support device | |
CN109076063A (en) | Protection dynamic and short-term virtual machine instance in cloud environment | |
US20130219156A1 (en) | Compliance aware change control | |
US10402216B1 (en) | Live support integration in a virtual machine based development environment | |
JP2009527826A (en) | Trust evaluation | |
US7680826B2 (en) | Computer-readable recording medium storing security management program, security management system, and method of security management | |
CN113312656B (en) | Data rotation method, device, equipment and system | |
KR102102085B1 (en) | Internet server to management operating system image for security | |
JP6778722B2 (en) | Cloud scraping system and method using pre-scraped big data and computer program for that | |
US11983252B2 (en) | Software license manager security | |
US7860919B1 (en) | Methods and apparatus assigning operations to agents based on versions | |
US20210073676A1 (en) | Model improvement support system | |
US11388172B2 (en) | Cleared user facilitation and control system | |
CN108768916B (en) | Method and device for acquiring security configuration information | |
US11847483B2 (en) | Secure virtual machine software management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |