KR102312718B1 - 클라우드 서비스 보안 시스템 - Google Patents
클라우드 서비스 보안 시스템 Download PDFInfo
- Publication number
- KR102312718B1 KR102312718B1 KR1020200032255A KR20200032255A KR102312718B1 KR 102312718 B1 KR102312718 B1 KR 102312718B1 KR 1020200032255 A KR1020200032255 A KR 1020200032255A KR 20200032255 A KR20200032255 A KR 20200032255A KR 102312718 B1 KR102312718 B1 KR 102312718B1
- Authority
- KR
- South Korea
- Prior art keywords
- unit
- cloud service
- virtual resource
- cloud
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
본 발명은 클라우드 서비스 보안 시스템에 관한 것으로서, 복수의 클라우드 서비스와 연동되어 상기 클라우드 서비스 관련 정보가 입력되는 멀티 클라우드 어댑터; 상기 멀티 클라우드 어댑터로의 API 호출을 통해 상기 클라우드 서비스 관련 정보를 수집하여 분석하는 분석 유닛; 및 상기 분석 유닛의 분석 결과를 모니터링하거나 상기 분석 유닛의 분석 설정을 제어하는 관리 유닛; 을 포함하는 것을 특징으로 한다.
이에 의해, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하여 분석함으로써, 각 클라우드 서비스에서 제공되는 가상 자원에 대한 클라우드 서비스 별 통합 관리를 구현할 수 있다.
또한, 분석 대상 정보를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있다.
이에 의해, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하여 분석함으로써, 각 클라우드 서비스에서 제공되는 가상 자원에 대한 클라우드 서비스 별 통합 관리를 구현할 수 있다.
또한, 분석 대상 정보를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있다.
Description
본 발명은 클라우드 서비스 보안 시스템에 관한 것으로서, 보다 상세하게는, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하고 이를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있는 클라우드 서비스 보안 시스템에 관한 것이다.
컴퓨터 네트워크의 기술발전에 따라 각 사용자 단말의 독립적인 하드웨어 성능에 의존하던 기존의 컴퓨팅 환경은 네트워크 상의 모든 컴퓨팅 자원을 활용하여 사용자 단말의 요청에 따라 해당 서비스를 제공하는 클라우드 컴퓨팅(Cloud Computing) 형태로 진화하고 있다.
최근에는 네트워크의 효율적인 구성과 활용을 위해 소프트웨어 정의 네트워크(Software-defined Network, SDN) 기술을 적용한 네트워크 보안 기능 가상화(NSFV) 기술이 개발되고 있다.
기존에는 네트워크 보안 장비들의 하드웨어와 소프트웨어가 한 곳에 위치하고 있어 소프트웨어가 하드웨어에 의존하게 되는 구조였다.
이러한 구조에서는 신규 소프트웨어를 네트워크 보안 장비에 적용하기 위해서 하드웨어도 같이 구축해야 하는 단점이 존재하였다.
하지만 네트워크 보안 기능 가상화(NSFV) 기술을 적용하면 하드웨어와 소프트웨어를 분리할 수 있어 위와 같은 단점을 해결할 수 있다. 즉, 신규 소프트웨어를 네트워크 보안 장비에 적용할 때 별도로 새롭게 하드웨어 장비를 구축할 필요가 없어, 네트워크 보안 장비에 대한 투자비용과 운용 비용 등을 절감할 수 있다.
네트워크 보안 기능 가상화(NSFV)는 네트워크 보안 장비의 구성요소인 하드웨어와 소프트웨어를 분리하고, 범용 서비스 가상화 기반에서 네트워크 보안 기능을 가상화해 제공하는 기술을 의미한다.
즉, 물리적인 네트워크 보안 장비의 기능을 가상화하여 가상 머신(Virtual Machine) 서버 또는 범용 프로세서를 탑재한 하드웨어에서 실행하는 방식이다. 네트워크 보안 기능 가상화 기술은 다양한 네트워크 보안 장비들을 고성능 서버, 스토리지와 가상화 스위치를 통해 컨트롤하여 네트워크 보안 장비 운영 비용 등을 절감하고, 효율성을 높이며, 보안 서비스 대응 및 유해 트래픽 탐지 등에 신속하게 대처할 수 있다.
구체적으로 네트워크 보안 기능 가상화 기술을 적용하면 새로운 장비를 설치하지 않아도 되는 장점이 있어 효율성을 증대시킬 수 있으며, 신규 보안 장비의 투자비용 및 유지비용 또한 절감할 수 있다. 뿐만 아니라 네트워크 보안 기능 가상화 기술은 소프트웨어 기반으로 구동이 가능하도록 만들어진 구조적인 특성으로 인해, 신규 보안 서비스 및 애플리케이션을 보다 빨리 출시할 수 있어 급변하는 시장 상황에 적절하게 대응할 수 있다.
그러나, 이러한 클라우딩 컴퓨팅 환경에서는 외부의 해킹 공격 등의 보안 위협으로부터 자산을 보호할 수 있는 보안 문제가 가장 핵심 이슈로 부각되고 있으나, 기존의 보안관제시스템은 서비스 제공자의 고정 보안 장비에만 의존하여 단편적으로 발생하는 보안 이벤트를 수집 및 관리하였다.
특히, 종래 기술은 특정 서버와 같은 물리적 보안 장비를 기준으로 하는 보안이벤트 수집 및 분석에만 치중하기 때문에, 사용자 및 테넌트별 사용되는 네트워크 보안 기능 가상화 기반의 보안 정보가 수시로 변화하는 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협에 효과적으로 대응할 수 없었다.
따라서, 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협을 관리할 수 있는 네트워크 보안 기능 가상화 기반의 보안 정보 관리 기술의 개발이 필요하다.
이러한 기술 개발 필요에 따라 대한민국 공개특허공보 공개번호 제10-2018-0086919호(명칭:네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법, 공개일:2018.08.01.)가 개시되었다.
상기 선행문헌은 클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 분석 요청 수신부, 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 연관성 분석부, 상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 보안 정책 설정부, 그리고 설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 보안 정책 전송부를 포함하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치를 기재하고 있다.
그러나, 선행문헌의 경우, 분석 단위가 테넌트 또는 사용자 단위로 지정되어 클라우드 서비스에서 제공되는 가상 자원에 대한 보안만을 수행한다는 문제점 및 다수의 가상화된 클라우드 서비스에서의 통합적인 가상 자원 관리 및 보안, 클라우드 서비스 자체의 취약점 분석이 미비하다는 문제점이 있었다.
본 발명의 목적은, 상기 문제점을 해결하기 위하여 창작된 것으로서, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하여 분석함으로써, 각 클라우드 서비스에서 제공되는 가상 자원에 대한 클라우드 서비스 별 통합 관리를 구현할 수 있는 클라우드 서비스 보안 시스템을 제공하는 데 있다.
본 발명의 또 다른 목적은, 분석 대상 정보를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있는 클라우드 서비스 보안 시스템을 제공하는 데 있다.
그 외 본 발명의 세부적인 목적은 이하에 기재되는 구체적인 내용을 통하여 이 기술 분야의 전문가나 연구자에게 자명하게 파악되고 이해될 것이다.
상기 목적은, 본 발명에 따라, 복수의 클라우드 서비스와 연동되어 상기 클라우드 서비스 관련 정보가 입력되는 멀티 클라우드 어댑터; 상기 멀티 클라우드 어댑터로의 API 호출을 통해 상기 클라우드 서비스 관련 정보를 수집하여 분석하는 분석 유닛; 및 상기 분석 유닛의 분석 결과를 모니터링하거나 상기 분석 유닛의 분석 설정을 제어하는 관리 유닛; 을 포함하는 클라우드 서비스 보안 시스템에 의해 달성될 수 있다.
여기서, 상기 분석 유닛은, 상기 클라우드 서비스에서 제공하는 가상 자원에 대한 분석을 수행하는 자원 분석 엔진; 및 상기 클라우드 서비스의 보안 설정에 대한 분석을 수행하는 취약점 분석 엔진; 을 포함한다.
또한, 상기 자원 분석 엔진은, 상기 가상 자원에 대한 정보를 솔루션의 형식에 적합하도록 파싱하는 파싱부; 상기 파싱부로부터 파싱된 가상 자원에 대한 정보를 기 설정된 가상 자원에 대한 관리 정책과 비교하여 관리 정책에 위배되는 가상 자원의 정보를 탐지하는 탐지부; 및 상기 파싱부 및 탐지부로부터 생성된 가상 자원 관련 정보를 상기 관리 유닛으로 전달하는 제1제어부; 를 포함한다.
여기서, 상기 탐지부는 기 설정된 가상 자원에 대한 관리 정책에 따라 정책 위반 가상 자원 또는 정책 변경 가상 자원 또는 성능 임계치 초과 가상 자원 또는 최근 1일 이내에 생성된 가상 자원 중 어느 하나 이상에 대한 가상 자원을 탐지하도록 마련될 수 있다.
한편, 상기 취약점 분석 엔진은, 상기 클라우드 서비스의 보안 설정 정보를 수집하는 수집부; 각 클라우드 서비스에서 발생할 수 있는 상황별 최대의 취약점 보안 설정 정보를 저장하는 취약점 DB; 및 상기 수집부에서 수집된 보안 설정 정보와 상기 취약점 DB에 저장된 보안 설정 정보를 비교하여 해당 클라우드 서비스의 보안 취약 여부를 검사하며, 검사 내역을 상기 관리 유닛으로 전달하는 제2제어부; 를 포함한다.
또한, 상기 관리 유닛은 상기 제1제어부를 통해 수신된 가상 자원 관련 정보를 출력시키는 제1 UI부를 포함하며, 상기 제1 UI부를 통해 상기 가상 자원에 대한 관리 정책을 설정하거나 가상 자원에 대한 중요도를 산정하여 상기 탐지부에 적용시키도록 마련될 수 있다.
여기서, 상기 가상 자원에 대한 중요도는 각 가상 자원별 기밀성, 가용성, 무결성에 따라 차등적으로 설정 및 적용될 수 있다.
또한, 상기 관리 유닛은 상기 제2제어부를 통해 수신된 클라우드 서비스의 보안 취약 검사 내역을 출력시키는 제2 UI부를 포함하며, 상기 제2 UI부를 통해 상기 취약점 DB의 클라우드 서비스 별 취약점 보안 설정 정보를 갱신하도록 마련될 수 있다.
본 발명에 의해, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하여 분석함으로써, 각 클라우드 서비스에서 제공되는 가상 자원에 대한 클라우드 서비스 별 통합 관리를 구현할 수 있다.
또한, 분석 대상 정보를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있다.
도 1 은 본 발명에 따른 클라우드 서비스 보안 시스템의 블럭도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "제1~", "제2~", "포함하다" 또는 "구비한다" 등의 용어는 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하 도면을 참조하여, 본 발명의 바람직한 실시예들을 보다 상세하게 설명한다.
도 1 은 본 발명에 따른 클라우드 서비스 보안 시스템의 블럭도이다.
도 1 을 참조하면, 본 발명에 따른 클라우드 서비스 보안 시스템은, 멀티 클라우드 어댑터(100), 분석 유닛(200) 및 관리 유닛(300)을 포함하여 구성된다.
멀티 클라우드 어댑터(100)는, 도 1 에서와 같이, 다수의 클라우드 서비스(A Cloud Service, B Cloud Service, C Cloud Service 등)와 연동되어 상기 클라우드 서비스 관련 정보(클라우드 서비스 자체의 보안 설정 정보, 클라우드 서비스에서 사용되고 있는 가상 자원 관련 정보 등)를 수신하고 이를 후술할 분석 유닛(200)으로 전송하되 분석 유닛(200)에 의한 API 호출을 통해 전송하도록 마련될 수 있다.
여기서, 멀티 클라우드 어댑터(100)는 포맷이 상이한 다수의 클라우드 서비스에 대한 통합적 관리를 구현하기 위하여 수집된 다양한 정보를 동일한 구조 상에서 관리가 가능하도록 정보 포맷을 통일시키는 부수적인 역할도 수행할 수 있다.
분석 유닛(200)은 본 발명의 특징적인 구성으로, 도 1 에서와 같이, 상기 멀티 클라우드 어댑터(100)로의 API 호출을 통해 상기 클라우드 서비스 관련 정보를 수집하여 분석하는 역할을 수행한다.
여기서, 상기 클라우드 서비스 관련 정보는 로그(log) 형태로 수집되며, 예를 들면, 클라우드 보안 솔루션 로그, 가상 자원 로그, 네트워크 플로우 로그, 취약점 점검 로그 등의 다양한 로그 형태로 수집될 수 있다.
한편, 상기 분석 유닛(200)은 자원 분석 엔진(210)과 취약점 분석 엔진(250)을 포함할 수 있다.
상기 자원 분석 엔진(210)은, 도 1 에서와 같이, 상기 클라우드 서비스에서 제공하는 가상 자원에 대한 분석을 수행하는 구성으로, 상기 가상 자원에 대한 정보를 솔루션의 형식에 적합하도록 파싱하는 파싱부(211); 상기 파싱부(211)로부터 파싱된 가상 자원에 대한 정보를 기 설정된 가상 자원에 대한 관리 정책과 비교하여 관리 정책에 위배되는 가상 자원의 정보를 탐지하는 탐지부(212); 및 상기 파싱부(211) 및 탐지부(212)로부터 생성된 가상 자원 관련 정보를 상기 관리 유닛(300)으로 전달하는 제1제어부(213); 를 포함한다.
상기 파싱부(211)는 API를 통해 수집된 로그를 솔루션(본 발명의 자원 분석 엔진을 통하여 구현하고자 하는 다양한 목적, 예를 들면 가상 자원 목록 관리, 가상 자원 상태 모니터링 등) 형식에 적합하도록 파싱하도록 마련되며, 수집된 로그와 파싱된 로그의 비교를 통해 수집된 로그의 누락이 있는 지의 여부를 체크하는 부수적 역할도 수행한다.
상기 탐지부(212)는 후술할 관리 유닛(300)으로부터 설정되는 가상 자원 관리 정책(기 설정된 가상 자원에 대한 관리 정책)과 상기 파싱부(211)에서 전송된 파싱 로그를 비교하여 상기 가상 자원 관리 정책에 위배되는 가상 자원의 정보를 탐지하는 역할을 수행하는 구성으로, 구체적으로, 기 설정된 가상 자원에 대한 관리 정책에 따라 정책 위반 가상 자원 또는 정책 변경 가상 자원 또는 성능 임계치 초과 가상 자원 또는 최근 1일 이내에 생성된 가상 자원 중 어느 하나 이상에 대한 정책 위반에 대한 가상 자원을 탐지하도록 마련될 수 있다.
제1제어부(213)는 상기 파싱부(211) 및 탐지부(212)로부터 생성된 가상 자원 관련 정보를 상기 관리 유닛(300)으로 전달하는 역할을 수행함과 동시에 후술할 관리 유닛(300)으로부터 입력된 가상 자원에 대한 관리 정책 및 가상 자원에 대한 중요도를 반영하여 상기 파싱부(211) 및 탐지부(212)에 적용시키도록 마련될 수 있다.
취약점 분석 엔진(250)은 상기 클라우드 서비스의 보안 설정에 대한 분석을 수행하는 구성으로, 상기 클라우드 서비스의 보안 설정 정보를 수집하는 수집부(251); 각 클라우드 서비스에서 발생할 수 있는 상황별 최대의 취약점 보안 설정 정보를 저장하는 취약점 DB(252); 및 상기 수집부(251)에서 수집된 보안 설정 정보와 상기 취약점 DB(252)에 저장된 보안 설정 정보를 비교하여 해당 클라우드 서비스의 보안 취약 여부를 검사하며, 검사 내역을 상기 관리 유닛(300)으로 전달하는 제2제어부(253); 를 포함한다.
수집부(251)는 클라우드 서비스의 보안 설정 정보를 수집하는 구성으로 분석 엔진 별 API를 통해 수집되는 로그 중 클라우드 보안 솔루션 로그 및 취약점 점검 로그의 정보를 추출 및 수집하도록 마련될 수 있지만 이는 본 발명의 특징인 가상 자원 정보와 클라우드 서비스의 보안 설정 정보를 명확하게 분리하기 위함으로 이에 한정되는 것은 아니며, 분석 유닛(200) 내의 로그 수집을 담당하는 단일의 수집구성에서 각 분석 엔진(가상 자원 분석 엔진 및 취약점 분석 엔진)이 요구하는 특정 로그 들의 정보 전달로 구현될 수도 있음은 물론이다.
취약점 DB(252)는 후술할 관리 유닛(300)으로부터 설정되는 취약점 체크리스트를 데이터베이스화 한 구성이며, 상기 각 클라우드 서비스에서 발생할 수 있는 상황별 최대의 취약점 보안 설정의 의미는 취약점이 가장 많은 상태(초기 시나리오)를 의미하며 후술할 관리 유닛(300)의 설정에 따라 취약점 DB(252)에 저장된 취약점 체크리스트의 보안 설정을 클라우드 서비스별, 가상 자원별 등으로 상이하게 설정할 수도 있다.
제2제어부(253)는 상기 수집부(251)에서 수집된 보안 설정 정보와 상기 취약점 DB(252)에 저장된 보안 설정 정보를 비교하여 해당 클라우드 서비스의 보안 취약 여부를 검사하며, 검사 내역을 상기 관리 유닛(300)으로 전달하는 구성이다.
한편, 상기 관리 유닛(300)은 상기 분석 유닛(200)의 분석 결과를 모니터링하거나 상기 분석 유닛(200)의 분석 설정을 제어하는 역할을 수행하는 구성이다.
여기서, 상기 관리 유닛(300)은 상기 제1제어부(213)를 통해 수신된 가상 자원 관련 정보를 출력시키는 제1 UI부(미도시)를 포함하며, 상기 제1 UI부를 통해 상기 가상 자원에 대한 관리 정책을 설정하거나 가상 자원에 대한 중요도를 산정하여 상기 탐지부에 적용시키도록 마련될 수 있다.
여기서, 상기 가상 자원에 대한 중요도는 각 가상 자원별 기밀성, 가용성, 무결성에 따라 차등적으로 설정 및 적용될 수 있다.
또한, 상기 관리 유닛(300)은 상기 제2제어부(253)를 통해 수신된 클라우드 서비스의 보안 취약 검사 내역을 출력시키는 제2 UI부(미도시)를 포함하며, 상기 제2 UI부를 통해 상기 취약점 DB(252)의 클라우드 서비스 별 취약점 보안 설정 정보를 갱신하도록 마련될 수 있다.
정리하면, 상기 관리 유닛(300)은 상기 분석 유닛(200)에서 전송된 정보를 수신, 출력, 변경 할 수 있는 컴퓨터로 판독 가능한 프로그램(대시 보드 등) 및 이러한 프로그램이 설치된 컴퓨팅 장치로 마련될 수 있으며, 이러한 관리 유닛(300)에 의해 각종 보안 설정 조건 변경 및 가상 자원 중요도 산정, 정책 위반, 어뷰징 관리 등의 가상 자원 및 클라우드 서비스에 대한 전반적인 관리 및 모니터링이 구현될 수 있는 것이다.
전술한 바와 같이, 본 발명에 따른 클라우드 서비스 보안 시스템은, 복수의 클라우드 서비스에서 제공되는 정보를 멀티 클라우드 어댑터(Multi Cloud Adapter)를 통해 통합적으로 수집하여 분석함으로써, 각 클라우드 서비스에서 제공되는 가상 자원에 대한 클라우드 서비스 별 통합 관리를 구현할 수 있다.
또한, 분석 대상 정보를 각 클라우드 서비스에서 제공하는 가상 자원 정보와 클라우드 서비스에 적용되고 있는 보안 설정 정보로 분리하여 분석함으로써 각 클라우드 서비스에서 제공되는 가상 자원의 목록 및 상태 모니터링, 가상 자원의 정책 위반 탐지 등의 통합적 관리를 구현함과 동시에 클라우드 서비스 자체의 보안 취약점을 효율적으로 탐지하여 대응할 수 있다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 멀티 클라우드 어댑터
200 : 분석 유닛
210 : 자원 분석 엔진
211 : 파싱부 212: 탐지부
213 : 제1제어부
250 : 취약점 분석 엔진
251 : 수집부 252 : 취약점 DB
253 : 제2제어부
300 : 관리 유닛
200 : 분석 유닛
210 : 자원 분석 엔진
211 : 파싱부 212: 탐지부
213 : 제1제어부
250 : 취약점 분석 엔진
251 : 수집부 252 : 취약점 DB
253 : 제2제어부
300 : 관리 유닛
Claims (8)
- 복수의 클라우드 서비스와 연동되어 상기 클라우드 서비스 관련 정보가 입력되는 멀티 클라우드 어댑터;
상기 멀티 클라우드 어댑터로의 API 호출을 통해 상기 클라우드 서비스 관련 정보를 수집하여 분석하는 분석 유닛; 및
상기 분석 유닛의 분석 결과를 모니터링하거나 상기 분석 유닛의 분석 설정을 제어하는 관리 유닛을 포함하고,
상기 멀티 클라우드 어댑터는 상기 복수의 클라우드 서비스 관련 정보의 포맷을 동일하게 하여 상기 복수의 클라우드 서비스 관련 정보를 입력받고,
상기 분석 유닛은 상기 클라우드 서비스에서 제공하는 가상 자원에 대한 분석을 수행하는 자원 분석 엔진 및 상기 클라우드 서비스의 보안 설정에 대한 분석을 수행하는 취약점 분석 엔진을 포함하며,
상기 자원 분석 엔진은 상기 가상 자원에 대한 정보를 파싱하는 파싱부, 상기 파싱부로부터 파싱된 가상 자원에 대한 정보를 기 설정된 가상 자원에 대한 관리 정책과 비교하여 관리 정책에 위배되는 가상 자원의 정보를 탐지하는 탐지부 및 상기 파싱부 및 탐지부로부터 생성된 가상 자원 관련 정보를 상기 관리 유닛으로 전달하는 제1제어부를 포함하고,
상기 탐지부는 기 설정된 가상 자원에 대한 관리 정책에 따라 정책 위반 가상 자원 또는 정책 변경 가상 자원 또는 성능 임계치 초과 가상 자원 또는 최근 1일 이내에 생성된 가상 자원 중 어느 하나 이상에 대한 가상 자원을 탐지하도록 마련되며,
상기 취약점 분석 엔진은 상기 클라우드 서비스의 보안 설정 정보를 수집하는 수집부, 각 클라우드 서비스에서 발생할 수 있는 상황별 최대의 취약점 보안 설정 정보를 저장하는 취약점 DB 및 상기 수집부에서 수집된 보안 설정 정보와 상기 취약점 DB에 저장된 보안 설정 정보를 비교하여 해당 클라우드 서비스의 보안 취약 여부를 검사하여, 검사 내역을 상기 관리 유닛으로 전달하는 제2제어부를 포함하고,
상기 관리 유닛은 상기 제1제어부를 통해 수신된 가상 자원 관련 정보를 출력시키는 제1 UI부를 포함하여 상기 제1 UI부를 통해 상기 가상 자원에 대한 관리 정책을 설정하거나 가상 자원에 대한 중요도를 산정하여 상기 탐지부에 적용시키며-상기 가상 자원에 대한 중요도는 각 가상 자원별 기밀성, 가용성, 무결성에 따라 차등적으로 설정 및 적용됨-, 상기 제2제어부를 통해 수신된 클라우드 서비스의 보안 취약 검사 내역을 출력시키는 제2 UI부를 포함하여 상기 제2 UI부를 통해 상기 취약점 DB의 클라우드 서비스 별 취약점 보안 설정 정보를 갱신하도록 하는 것을 특징으로 하는 클라우드 서비스 보안 시스템. - 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200032255A KR102312718B1 (ko) | 2020-03-16 | 2020-03-16 | 클라우드 서비스 보안 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200032255A KR102312718B1 (ko) | 2020-03-16 | 2020-03-16 | 클라우드 서비스 보안 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210115873A KR20210115873A (ko) | 2021-09-27 |
| KR102312718B1 true KR102312718B1 (ko) | 2021-10-14 |
Family
ID=77926064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200032255A KR102312718B1 (ko) | 2020-03-16 | 2020-03-16 | 클라우드 서비스 보안 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102312718B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102619841B1 (ko) * | 2021-11-25 | 2024-01-04 | 한국전자통신연구원 | 장비 독립적인 취약 설정 점검 방법 및 장치 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101547498B1 (ko) * | 2013-08-08 | 2015-08-26 | 삼성전자주식회사 | 하이브리드 클라우드 환경에서 데이터를 분산하는 방법 및 장치 |
| KR20150053513A (ko) * | 2013-11-08 | 2015-05-18 | 한국전자통신연구원 | 클라우드 서비스 브로커 장치 및 이를 이용한 클라우드 서비스 제공 방법 |
| EP3985576B1 (en) * | 2015-05-04 | 2023-09-13 | Hasan, Syed Kamran | Method and device for managing security in a computer network |
| KR102088308B1 (ko) | 2017-01-24 | 2020-03-12 | 한국전자통신연구원 | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 |
| KR101980568B1 (ko) * | 2017-04-24 | 2019-05-22 | (주)유엠로직스 | 3-tier 클라우드 보안통제 브로커의 메타 데이터 기반 보안통제 중복수행 방지 방법 |
-
2020
- 2020-03-16 KR KR1020200032255A patent/KR102312718B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR20210115873A (ko) | 2021-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US10855718B2 (en) | Management of actions in a computing environment based on asset classification | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US9537897B2 (en) | Method and apparatus for providing analysis service based on behavior in mobile network environment | |
| EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
| US9690606B1 (en) | Selective system call monitoring | |
| US8819807B2 (en) | Apparatus and method for analyzing and monitoring sap application traffic, and information protection system using the same | |
| CN105075212B (zh) | 用于数据中心安全的混合防火墙 | |
| WO2010058523A1 (en) | Method of monitoring device forming information processing system, information apparatus and information processing system | |
| US20070282951A1 (en) | Cross-domain solution (CDS) collaborate-access-browse (CAB) and assured file transfer (AFT) | |
| KR20080037909A (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| EP3476101B1 (en) | Method, device and system for network security | |
| US20160004863A1 (en) | Method for detecting attacks on virtual machines | |
| US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
| KR102343501B1 (ko) | 머신 러닝 기반의 클라우드 서비스 보안 시스템 | |
| KR102162995B1 (ko) | 가상 및 리얼 머신 기반의 악성코드 탐지 시스템 및 방법 | |
| CN111277422B (zh) | 微服务的处理方法、装置、系统和计算机可读存储介质 | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| JP2021027505A (ja) | 監視装置、監視方法、および監視プログラム | |
| KR102312718B1 (ko) | 클라우드 서비스 보안 시스템 | |
| KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
| CN112235300B (zh) | 云虚拟网络漏洞检测方法、系统、装置及电子设备 | |
| KR101174635B1 (ko) | 자동화된 악성코드 긴급대응 시스템 및 방법 | |
| KR101060596B1 (ko) | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |