KR102454075B1 - 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술 - Google Patents

가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술 Download PDF

Info

Publication number
KR102454075B1
KR102454075B1 KR1020177020803A KR20177020803A KR102454075B1 KR 102454075 B1 KR102454075 B1 KR 102454075B1 KR 1020177020803 A KR1020177020803 A KR 1020177020803A KR 20177020803 A KR20177020803 A KR 20177020803A KR 102454075 B1 KR102454075 B1 KR 102454075B1
Authority
KR
South Korea
Prior art keywords
nfv
security
monitoring
data
nfv security
Prior art date
Application number
KR1020177020803A
Other languages
English (en)
Other versions
KR20170115046A (ko
Inventor
카필 수드
발러리 제이. 영
무타이아 벤카타차람
마누엘 네드발
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20170115046A publication Critical patent/KR20170115046A/ko
Application granted granted Critical
Publication of KR102454075B1 publication Critical patent/KR102454075B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/25Flow control; Congestion control with rate being modified by the source upon detecting a change of network conditions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

네트워크 기능 가상화(NVF) 보안 서비스 제어기 및 하나 이상의 NFV 보안 서비스 에이전트들을 포함하는 NFV 보안 아키텍처의 보안 모니터링 서비스를 수행하기 위한 기술. NFV 보안 서비스 제어기는 보안 모니터링 정책을 NFV 보안 서비스 에이전트에 송신하고 NFV 보안 서비스 에이전트에서 보안 모니터링 정책을 시행하도록 구성된다. NFV 보안 서비스 에이전트는 원격 측정 데이터를 모니터링하고 보안 위협 분석을 위한 NFV 보안 아키텍처의 NFV 보안 모니터링 분석 시스템으로의 송신을 위해 원격 측정의 적어도 일부를 패키징하도록 구성된다. 다른 실시예가 설명되고 청구된다.

Description

가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술
관련 출원에 대한 상호 참조
본 출원은 2015년 5월 11일자로 출원된 미국 특허 출원 제14/709,168호(발명의 명칭 "TECHNOLOGIES FOR SCALABLE SECURITY ARCHITECTURE OF VIRTUALIZED NETWORKS")에 대한 우선권을 주장하고, 2015년 2월 4일자로 출원된 미국 가특허 출원 제62/112,151호(발명의 명칭 "SCALABLE SECURITY ARCHITECTURE AND TECHNOLOGIES FOR VIRTUALIZED NETWORKS IN SERVICE PROVIDER DEPLOYMENTS")에 대한 35 U.S.C.§119(e) 하의 우선권을 주장한다.
네트워크 운영자 및 서비스 제공자는 일반적으로 고성능 컴퓨팅(high-performance computing)(HPC) 및 클라우드 컴퓨팅 환경과 같은 복잡한 대규모 컴퓨팅 환경을 관리하기 위해 다양한 네트워크 가상화 기술에 의존한다. 예를 들어, 네트워크 운영자 및 서비스 제공자 네트워크는 네트워크 서비스(예를 들어, 방화벽 서비스, 네트워크 어드레스 변환(network address translation)(NAT) 서비스, 로드 밸런싱 서비스, 딥 패킷 분석(Deep Packet Inspection)(DPI) 서비스, 송신 제어 프로토콜(transmission control protocol)(TCP) 최적화 서비스 등)를 배치하기 위해 네트워크 기능 가상화(network function virtualization)(NFV) 배치에 의존할 수 있다. 이런 NFV 배치는 일반적으로 NFV 인프라구조를 사용하여 다양한 가상 머신(virtual machine)(VM)이 네트워크 트래픽 상에서 가상화된 네트워크 기능들(virtualized network functions)(VNFs)로 일반적으로 불리는 가상화된 네트워크 서비스들을 수행하고 다양한 VM에 걸쳐 네트워크 트래픽을 관리하도록 조율한다.
종래의 가상화되지 않은 배치와는 달리, 가상화된 배치는 네트워크 기능을 기본 하드웨어와 분리함으로써, 범용 프로세서를 갖춘 기성 서버 상에서 매우 동적이며 일반적으로 실행할 수 있는 네트워크 기능 및 서비스를 가져온다. 이와 같이, VNF는 네트워크 트래픽 상에서 수행될 특정 기능 또는 네트워크 서비스에 기초하여 필요에 따라 스케일-인/아웃(scaled-in/out)될 수 있다. 그러나 기존의 가상화되지 않은 배치의 기능 컴포넌트들 간의 네트워크 트래픽의 처리를 모니터링하기 위한 노출된 인터페이스들(예를 들어, 프로브를 통한 액세스 인터페이스들)에 액세스하는 전통적인 수단은 VNF 배치에서의 액세스와 구별되지 않는다. 예를 들어, ETSI(European Telecommunications Standards Institute)의 NFV용 산업 사양 그룹(Industry Specification Group)은 이러한 액세스/모니터링 인터페이스가 모호해질 수 있는 다수의 가상화된 모델을 발표했다. 또한, 다양한 배치에서(예를 들어, VNF 내, VNF들 사이 등에서) 이용 가능한 다수의 상이한 액세스 인터페이스는 VNF에 대한 원하는 정보를 탐색하는 것을 어렵게 할 수 있다. 예를 들어, 일부 배치는 처리 전력을 최적화하고 시그널링으로 인한 대기 시간을 줄이기 위해 벤더 독점의 비표준화된 인터페이스를 구현할 수 있어, 액세스 가용성을 제한할 수 있다.
본 명세서에 설명된 개념은 첨부된 도면에서 한정적인 것이 아니라 예로서 도시된다. 도시의 간명화를 위해, 도면에 도시되는 요소들은 반드시 축척으로 도시되지는 않는다. 적절한 것으로 간주되는 경우, 도면들 사이에서 대응하거나 유사한 요소들을 지시하기 위해 참조 라벨들이 반복된다.
도 1은 네트워크 기능 가상화(NFV) 인프라구조의 하나 이상의 컴퓨팅 노드를 포함하는 NFV 보안 아키텍처에서 처리되는 네트워크 통신의 보안을 모니터링하기 위한 시스템의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 2는 도 1의 시스템의 NFV 인프라구조의 컴퓨팅 노드들 중 하나의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 3은 도 1의 시스템의 엔드포인트 디바이스의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 4는 도 1의 시스템의 NFV 보안 아키텍처의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 5는 도 1 및 도 4의 NFV 보안 아키텍처의 NFV 보안 서비스 제어기의 환경의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 6은 도 4의 NFV 보안 아키텍처의 NFV 보안 서비스 에이전트의 환경의 적어도 하나의 실시예에 대한 간략화된 블록도이다.
도 7은 도 5의 NFV 보안 서비스 제어기에 의해 실행될 수 있는 보안 모니터링 서비스를 관리하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
도 8은 도 5의 NFV 보안 서비스 제어기에 의해 실행될 수 있는 보안 모니터링 정책을 업데이트하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
도 9는 도 4의 NFV 보안 서비스 에이전트들 중 하나를 초기화하기 위한 통신 플로우의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
도 10은 도 4의 NFV 보안 서비스 에이전트들 중 하나 이상에 의해 실행될 수 있는 도 1의 NFV 네트워크 아키텍처의 보안을 모니터링하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
도 11은 도 1의 NFV 네트워크 아키텍처의 서비스 기능 체인(service function chaining)(SFC)의 보안을 모니터링하기 위한 통신 플로우의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
본 개시내용의 개념은 다양한 변경 및 대안의 형태가 가능하지만, 그의 특정 실시예는 도면에 예로서 도시되었으며, 본 명세서에서 상세히 설명될 것이다. 그러나 본 개시내용의 개념을 개시되는 특정 형태로 한정하고자 하는 의도는 없으며, 오히려 본 개시내용 및 첨부된 청구범위에 따른 모든 변경, 균등물 및 대안을 커버하는 것을 의도한다는 것으로 이해해야 한다.
본 명세서에서 일 실시예(one embodiment)", 실시예(an embodiment)", "예시적인 실시예(an illustrative embodiment)" 등에 대한 언급은 설명된 실시예가 특정 피처, 구조 또는 특성을 포함할 수 있지만, 모든 실시예가 반드시 그 특정 피처, 구조 또는 특성을 포함할 수도 있거나 포함하지 않을 수도 있다는 것을 지시한다. 또한, 이러한 문구들은 반드시 동일한 실시예를 지칭하는 것은 아니다. 또한, 특정 피처, 구조 또는 특성이 실시예와 관련하여 설명될 때, 명시적인 설명 여부에 관계없이 다른 실시예와 관련하여 그러한 피처, 구조 또는 특성을 달성하는 것이 통상의 기술자의 지식 범위 내에 있다는 것이 주장된다. 또한, "A, B 및 C 중 적어도 하나"의 형태로 리스트에 포함된 아이템은 (A); (B); (C): (A 및 B); (A 및 C); (B 및 C); 또는 (A, B 및 C)를 의미할 수 있음을 이해해야 한다. 마찬가지로, "A, B 또는 C 중 적어도 하나"의 형태로 나열된 아이템은 (A); (B); (C): (A 및 B); (A 및 C); (B 및 C); 또는 (A, B 및 C)를 의미할 수 있다.
개시된 실시예들은, 일부 경우에, 하드웨어, 펌웨어, 소프트웨어 또는 이들의 임의의 조합으로 구현될 수 있다. 개시된 실시예는 또한 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 하나 이상의 일시적 또는 비일시적인 머신 판독 가능(예를 들어, 컴퓨터 판독 가능) 저장 매체에 의해 운반되거나 저장되는 명령어로서 구현될 수 있다. 머신 판독가능 저장 매체는 머신에 의해 판독 가능한 형태로 정보를 저장하거나 송신하기 위한 임의의 저장 디바이스, 메커니즘 또는 다른 물리적 구조체(예를 들어, 휘발성 또는 비휘발성 메모리, 매체 디스크(media disc) 또는 다른 매체 디바이스(media device))로서 구현될 수 있다.
도면들에서, 일부 구조 또는 방법 피처들은 특정 배열들 및/또는 순서들(orderings)로 도시될 수 있다. 그러나 이러한 특정 배열들 및/또는 순서들은 요구되지 않을 수 있다는 점이 이해되어야 한다. 오히려, 일부 실시예에서, 이러한 피처들은 예시적인 도면들에 도시된 것과는 상이한 방식 및/또는 순서로 배열될 수 있다. 부가적으로, 특정 도면 내에 구조 또는 방법 피처의 포함은 이러한 피처가 모든 실시예에서 요구된다고 암시하는 것을 의미하지는 않으며, 일부 실시예에서는 포함되지 않을 수도 있고 다른 피처들과 결합될 수도 있다.
이제 도 1을 참조하면, 예시적인 실시예에서, 네트워크 통신의 보안을 모니터링하기 위한 시스템(100)은 엔드포인트 디바이스(118)와 다른 엔드포인트 디바이스(120) 간의 네트워크 통신을 처리하기 위한 네트워크 기능 가상화(NFV) 보안 아키텍처(116)를 포함한다. NFV 보안 아키텍처(116)는, NFV 오케스트레이터(orchestrator)(104), 가상 인프라구조 관리자(virtual infrastructure manager)(VIM)(106) 및 NFV 인프라구조(108)를 포함하는 다수의 네트워크 처리 컴포넌트를 포함한다. 일부 실시예에서, NFV 보안 아키텍처(116)는 네트워크 트래픽 데이터(예를 들어, 네트워크 트래픽 페이로드, 네트워크 패킷 헤더 등)에 대한 처리 기능(예를 들어, 분석, 네트워크 기능 등)을 수행하기 위한 부가적인 및/또는 대안적인 네트워크 처리 컴포넌트들(물리적 및/또는 가상)을 포함할 수 있다.
게다가, NFV 보안 아키텍처(116)는 NFV 보안 서비스 제어기(102)를 포함하는 다수의 보안 모니터링 컴포넌트를 포함한다. 사용시, NFV 보안 서비스 제어기(102)는 원격 측정 데이터의 능동 및/또는 수동 모니터링을 수행하는 다양한 보안 모니터링 컴포넌트를 NFV 보안 아키텍처(116)에 걸쳐 관리한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는, NFV 보안 서비스 제어기(102)에 의해 관리되는 보안 정책에 기초하여 모니터링할 다수의 NFV 보안 서비스 에이전트(예를 들어, 도 4의 NVF 보안 서비스 에이전트(468) 참조)를 인스턴스화한다(instantiate)(예를 들어, 도 4의 하이퍼바이저(462) 참조). NFV 보안 서비스 에이전트는 분석을 위해 원격 측정 데이터를 수집, 패키징 및 안전하게 송신하도록 부가적으로 구성된다.
NFV 보안 서비스 에이전트들 각각에 의해 수집된 원격 측정 데이터는 보안 분석이 수행될 수 있는 임의의 타입의 데이터로서 구체화되거나 아니면 포함할 수 있다. 예를 들어, 예시적인 원격 측정 데이터는 NFV 보안 서비스 에이전트가 상주하는 컴포넌트 각각의 컴포넌트 레벨 구성, 동작 및 정책 데이터를 포함하고, 해당 컴포넌트에 대해 처리된 네트워크 트래픽 데이터를 포함한다. 아래에서 보다 상세히 논의되는 바와 같이, NFV 보안 서비스 에이전트는 정보를 패키징하고 패키징된 정보를 NFV 보안 모니터링 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438) 참조)으로 안전하게 송신하도록 구성된다. 사용시, NFV 보안 모니터링 분석 시스템은 원격 측정 데이터에 임의의 위협(threat) 및/또는 이상(anomaly)이 존재하는지를 결정한다. NFV 보안 모니터링 분석 시스템은 검출된 임의의 위협 및/또는 이상을 처리하기 위한 교정 보안 정책(remediation security policy)을 NFV 보안 서비스 제어기(102)에 부가적으로 제공한다. 이에 응답하여, NFV 보안 서비스 제어기(102)는 교정 보안 정책에 기초하여 NFV 보안 서비스 에이전트에 대한 보안 정책을 업데이트하고 NFV 보안 서비스 에이전트에 걸쳐 업데이트된 보안 정책을 시행한다.
아래에서 더 상세히 설명되는 바와 같이, NFV 인프라구조(108)는 가상 네트워크 기능(VNF) 인스턴스로서 동작하도록 구성되는 다수의 가상 머신(VM)을 관리(예를 들어, 생성, 이동, 파괴 등)할 수 있는 하나 이상의 컴퓨팅 노드(110)를 포함한다. VNF 인스턴스들 또는 VNF들 각각은 일반적으로, 네트워크 트래픽 상에서 네트워크 서비스(예를 들어, 방화벽 서비스, 네트워크 어드레스 변환(NAT) 서비스, 로드 밸런싱 서비스, 딥 패킷 분석(DPI) 서비스, 송신 제어 프로토콜(TCP) 최적화 서비스, 침입 탐지 서비스 등)를 수행하기 위해 상이한 소프트웨어 및/또는 프로세스를 실행할 수 있는 하나 이상의 VM에 의존한다. 또한, 소정의 네트워크 서비스를 제공하기 위해, 다수의 VNF는 서비스 기능 체인 또는 VNF 포워딩 그래프(즉, 원하는 네트워크 서비스를 구현하기 위해 순서화된 시퀀스로 수행되는 일련의 VNF)로서 생성될 수 있다.
NFV 보안 아키텍처(116)의 네트워크 및 보안 모니터링 컴포넌트는 가상 진화 패킷 코어(virtual Evolved Packet Core)(vEPC) 인프라구조, 가상화된 고객 구내 장비(virtualized Customer Premise Equipment)(vCPE) 인프라구조, 또는 임의의 다른 타입의 운영자 가상화된 인프라구조와 같은 다양한 가상화 네트워크 아키텍처에 배치될 수 있다. NFV 보안 아키텍처(116)가 배치되는 네트워크 아키텍처에 따라, NFV 보안 아키텍처(116)는 하나 이상의 NFV 보안 서비스 제어기(102), 하나 이상의 NFV 오케스트레이터(104), 하나 이상의 VIM(106) 및/또는 하나 이상의 NFV 인프라구조(108)를 포함할 수 있음을 이해해야 한다.
NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트를 관리하는 것과 같은, 본 명세서에 설명된 기능을 수행할 수 있는 임의의 타입의 하드웨어, 소프트웨어 및/또는 펌웨어로서 구체화되거나 아니면 포함할 수 있다. 이하 더 상세히 설명되는 바와 같이, NFV 보안 서비스 제어기(102)는 보안 모니터링 오케스트레이터로서 기능하도록 구성된다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책들, 보안 통신 경로 정책들, 구성 파라미터들 및 기능 기술자(function descriptor)들을 포함할 수 있는 다양한 모니터링 규칙들을 포함하는 보안 모니터링 정책을 송신하도록 구성되며, 기능 기술자들은 NFV 보안 아키텍처(116)(예를 들어, 도 4의 NFV 보안 서비스 에이전트들) 전체에 걸친 보안 모니터링 컴포넌트들에게 어느 원격 측정 데이터를 모니터링할지와 보안 모니터링 컴포넌트를 구성하는 방법을 지시한다. NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116) 전체에 걸쳐 송신된 보안 모니터링 정책들을 시행하도록 부가적으로 구성된다. 다양한 보안 기능들은 서비스 기능 체인(service function chaining)(SFC) 프로비저닝을 안전하게 하는 것, SFC 보안 구성 및 모니터링을 시행하는 것, 기밀 보호된 토큰을 제공하는 것, 보호된 정책 송신을 관리하는 것, 및 VNF 간 SFC 경로 보호를 제공하는 것을 포함할 수 있지만 이에 제한되지 않는다.
보안 모니터링 정책을 검색 및/또는 업데이트하기 위해, NFV 보안 서비스 제어기(102)는 하나 이상의 외부 보안 시스템(예를 들어, Intel® Security Controller), 보안 데이터베이스(도 4의 NFV 보안 데이터베이스(412) 참조), 및/또는 보안 정책 엔진과 인터페이스하도록 구성될 수 있다. 외부 보안 시스템과 통신하기 위해, NFV 보안 서비스 제어기(102)는 애플리케이션 프로그래밍 인터페이스(API) 및/또는 보안 정책을 외부 보안 서비스 조율 시스템에 전달할 수 있다. 일부 실시예에서, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 다양한 네트워크 및 보안 모니터링 컴포넌트에 걸쳐 메시지들을 인증하기 위한 신뢰된 제3자(trusted third party)로서 작용할 수 있다. 일부 실시예에서, NFV 보안 서비스 제어기(102)는 NFV 관리 및 조율(management and orchestration)(MANO) 아키텍처 프레임워크와 같은 NFV 오케스트레이터(104)와 함께 위치할 수 있음을 이해해야 한다. 일부 실시예에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제어기(102)의 무결성 및 보안을 보장하기 위해 NFV 보안 아키텍처(116)의 다른 네트워크 및 보안 모니터링 컴포넌트보다 높은 보안 특권을 가질 수 있음을 추가로 이해해야 한다.
NFV 오케스트레이터(104)는, VNF 관리자(도 4 참조)를 통해 VNF의 라이프사이클을 관리하는 것(예를 들어, 인스턴스화, 스케일-아웃/인, 성능 측정, 이벤트 상관, 종료 등), 글로벌 리소스를 관리하는 것, NFV 인프라구조(108)의 리소스 요청을 검증 및 인증하는 것, 새로운 VNF의 온-보딩(on-boarding), 및/또는 VNF에 대한 다양한 정책 및 패키지를 관리하는 것과 같은, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 회로 및/또는 하드웨어, 소프트웨어 및/또는 펌웨어 컴포넌트들로서 구체화될 수 있다. 예를 들어, NFV 오케스트레이터(104)는 특정 VNF에 영향을 주는 운영자로부터의 리소스 요청을 수신하도록 구성될 수 있다. 사용시, NFV 오케스트레이터(104)는 VNF를 가동시키거나 리소스 요청에 순응하게 하기 위해, 운영자 요청에 기초하여, 임의의 적용 가능한 처리, 저장 및/또는 네트워크 구성 조정을 관리한다. 동작시, NFV 오케스트레이터(104)는 필요에 따라, NFV 오케스트레이터(104)에 의해 조정될 수 있는 용량 및 활용을 찾기 위해 VNF를 모니터링할 수 있다.
VIM(106)은, 한 운영자의 인프라구조 서브-도메인 내의 NFV 인프라구조(108) 계산, 저장 및 네트워크 리소스(예를 들어, 물리적 및 가상)를 제어하고 관리하는 것 뿐만 아니라, 성능 측정 및 이벤트의 수집 및 포워딩과 같은 본 명세서에서 설명된 기능들을 수행할 수 있는 임의의 타입의 하드웨어, 소프트웨어 및/또는 펌웨어로서 구체화되거나, 아니면 포함할 수 있다. 일부 실시예에서, NFV 오케스트레이터(104)는 NFV MANO 아키텍처 프레임워크에서와 같이 VIM(106)과 함께 위치할 수 있음을 이해해야 한다.
NFV 인프라구조(108)는 가상화 소프트웨어뿐만 아니라 하나 이상의 서버 또는 다른 컴퓨팅 노드와 같은 임의의 타입의 가상 및/또는 물리적 처리 및 저장 리소스로서 구체화되거나 아니면 포함할 수 있다. 예를 들어, 예시적인 NFV 인프라구조(108)는 하나 이상의 컴퓨팅 노드(110)를 포함한다. 예시적인 컴퓨팅 노드(110)는 컴퓨팅 노드(1)(112)로 지정되는 제1 컴퓨팅 노드, 및 컴퓨팅 노드(N)(114)(즉, 컴퓨팅 노드(110)의 "N 번째" 컴퓨팅 노드, 여기서 "N"은 양의 정수이고 하나 이상의 부가적인 컴퓨팅 노드(110)를 지정한다)로 지정되는 제2 컴퓨팅 노드를 포함한다.
컴퓨팅 노드(110)는 본 명세서에 설명된 기능을 수행할 수 있는 임의의 타입의 계산 또는 컴퓨터 디바이스로서 구체화될 수 있으며, 서버(예를 들어, 독립형, 랙-장착형, 블레이드 등), 네트워크 어플라이언스(예를 들어, 물리적 또는 가상), 고성능 컴퓨팅 디바이스, 웹 어플라이언스, 분산형 컴퓨팅 시스템, 컴퓨터, 프로세서 기반 시스템, 멀티프로세서 시스템, 스마트폰, 태블릿 컴퓨터, 랩톱 컴퓨터, 노트북 컴퓨터 및/또는 모바일 컴퓨팅 디바이스를 제한 없이 포함한다. 도 2에 도시된 바와 같이, 실시예에서, 컴퓨팅 노드들(110) 각각은 프로세서(202), 입/출력(I/O) 서브시스템(206), 메모리(208), 데이터 저장 디바이스(214), 보안 클록(216) 및 통신 회로(218)를 예시적으로 포함한다. 물론, 컴퓨팅 노드(110)는 다른 실시예에서 서버에서 통상적으로 발견되는 것과 같은 다른 또는 부가적인 컴포넌트(예를 들어, 다양한 입/출력 디바이스)를 포함할 수 있다. 게다가, 일부 실시예에서, 예시적인 컴포넌트 중 하나 이상은 다른 컴포넌트에 통합되거나 아니면 그의 일부를 형성할 수 있다. 예를 들어, 메모리(208) 또는 그 부분들은 일부 실시예에서 프로세서(202) 내에 통합될 수 있다.
프로세서(202)는 본 명세서에 설명된 기능을 수행할 수 있는 임의의 타입의 프로세서로서 구체화될 수 있다. 예를 들어, 프로세서(202)는 단일 또는 다중 코어 프로세서(들), 디지털 신호 프로세서, 마이크로제어기, 또는 다른 프로세서 또는 처리/제어 회로로서 구체화될 수 있다. 예시적인 프로세서(202)는 하나 이상의 신뢰 실행 환경(trusted execution environment)(TEE) 서포트들(204) 또는 보안 인클레이브 서포트들(secure enclave supports)를 포함하며, 이는 신뢰 실행 환경을 확립할 때 컴퓨팅 노드(110)에 의해 이용될 수 있다. 일부 실시예에서, TEE 서포트들(204)은 실행 코드가 인증되도록 측정, 검증 아니면 결정될 수 있는 신뢰 실행 환경에 대한 하드웨어 보강 보안을 제공함을 이해해야 한다. 예를 들어, TEE 서포트들(204)은 Intel® 소프트웨어 가드 확장(Software Guard Extensions)(SGX) 기술로서 구체화될 수 있다. TEE 서포트들(204)이 프로세서(202)에 예시적으로 도시되어 있지만, 일부 실시예에서는 컴퓨팅 노드(110)의 다른 하나 이상의 컴포넌트가 TEE 서포트들(204)을 포함할 수 있음을 이해해야 한다. 또한, 일부 실시예에서, 컴퓨팅 노드(110)의 프로세서(202)는 신뢰 실행 환경을 확립하기 위해 TEE 서포트들(204)을 이용하도록 구성된 보안 코프로세서(co-processor), 관리 용이성 엔진(manageability engine), 또는 보안 엔진(예를 들어, 아래에서 논의되는 보안 엔진(224))을 포함할 수 있다.
메모리(208)는 본 명세서에 설명된 기능을 수행할 수 있는 임의의 타입의 휘발성 또는 비휘발성 메모리 또는 데이터 스토리지로서 구체화될 수 있다. 동작시, 메모리(208)는, 운영 체제, 애플리케이션, 프로그램, 라이브러리, 및 드라이버와 같은, 컴퓨팅 노드(110)의 동작 동안에 사용되는 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(208)는, 프로세서(202), 메모리(208), 및 컴퓨팅 노드(110)의 다른 컴포넌트와의 입/출력 동작을 용이하게 하는 회로 및/또는 컴포넌트로서 구체화될 수 있는 I/O 서브시스템(206)을 통해 프로세서(202)에 통신 가능하게 결합된다. 예를 들어, I/O 서브시스템(206)은, 메모리 제어기 허브, 입/출력 제어 허브, 펌웨어 디바이스, 통신 링크(즉, 점-대-점 링크, 버스 링크, 와이어, 케이블, 광 가이드, 인쇄 회로 기판 트레이스 등) 및/또는 입력/출력 동작을 용이하게 하기 위한 다른 컴포넌트 및 서브시스템으로서 구체화될 수 있거나, 아니면 포함할 수 있다.
예시적인 메모리(208)는 보안 메모리(210)를 포함한다. 일부 실시예에서, 보안 메모리(210)는 메모리(208)의 보안 파티션으로서 구체화될 수 있고; 반면에 다른 실시예에서, 보안 메모리(210)는 컴퓨팅 노드(110)의 개별 하드웨어 컴포넌트 상에 구체화되거나 포함될 수 있다. 본 명세서에 설명된 바와 같이, 보안 메모리(210)는 컴퓨팅 노드(110)에 프로비저닝된 다양한 데이터를 저장할 수 있다. 예를 들어, 보안 메모리(210)는 칩셋 및/또는 신뢰 실행 환경의 제조업자에 의해 프로비저닝될 수 있는 컴퓨팅 노드(110)의 보안 키(예를 들어, 증명 키(attestation key), 개인 직접 익명 증명(private direct anonymous attestation)(DAA) 키, 향상된 보안 식별(Enhanced Privacy Identification)(EPID) 키 또는 임의의 다른 타입의 보안/암호 키)를 저장할 수 있다. 보안 메모리(210)는 또한, 예를 들어 컴퓨팅 노드(110)의 OEM(original equipment manufacturer)에 의해 그 안에 프로비저닝된 컴퓨팅 노드(110)의 패스워드, PIN 또는 다른 고유 식별자를 저장할 수 있다. 물론, 보안 메모리(210)는 특정 실시예에 의존하는 다양한 다른 데이터(예를 들어, 그룹 명칭, 디바이스 식별자, 화이트리스트, 예상된 PIN 값 등)를 저장할 수 있음을 이해해야 한다. 일부 실시예에서, 프로비저닝된 데이터는 보안 메모리(210)의 판독 전용 메모리에 저장될 수 있다.
예시적인 메모리(208)는 기본 입/출력 시스템(basic input/output system)(BIOS)(212)을 부가적으로 포함한다. BIOS(212)는 부트 프로세스 동안 컴퓨팅 노드(110)를 초기화하기 위한 명령어(예를 들어, 컴퓨팅 노드(110)의 부팅 중에 사용되는 BIOS 드라이버)를 포함한다. 일부 실시예에서, 컴퓨팅 노드(110)는 메인 플랫폼 펌웨어, 또는 통합 확장 가능 펌웨어 인터페이스(Unified Extensible Firmware Interface)("UEFI")) 사양(이는 통합된 EFI 포럼(Unified EFI Forum)에 의해 여러 버전이 공개됨) 기반의 플랫폼 BIOS(212) 또는 Intel® 플랫폼 칩셋의 확장과 같은 사전 부트 펌웨어(pre-boot firmware)를 통해, VNF들의 조율을 용이하게 할 수 있다.
데이터 저장 디바이스(214)는, 예를 들어 메모리 디바이스 및 회로, 메모리 카드, 하드 디스크 드라이브, 솔리드 스테이트 드라이브 또는 다른 데이터 저장 디바이스와 같은, 데이터의 단기 또는 장기 저장을 위해 구성된 임의의 타입의 디바이스 또는 디바이스들로서 구체화될 수 있다. 사용시, 이하에서 설명되는 바와 같이, 데이터 저장 디바이스(214) 및/또는 메모리(208)는 보안 모니터링 정책, 구성 정책 또는 다른 유사한 데이터를 저장할 수 있다.
보안 클록(216)은 보안 타이밍 신호를 제공할 수 있고 아니면 본 명세서에서 설명된 기능을 수행할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있다. 예를 들어, 예시적인 실시예에서, 보안 클록(216)은 컴퓨팅 노드(110)의 다른 클록 소스와는 별개이며 기능적으로 독립적인 타이밍 신호를 생성할 수 있다. 따라서, 그러한 실시예에서, 보안 클록(216)은, 예를 들어 컴퓨팅 노드(110) 상에서 실행되는 소프트웨어와 같은 다른 엔티티들에 의한 변경에 면역되거나 내성을 가질 수 있다. 일부 실시예에서, 보안 클록(216)은 독립형 컴포넌트(들) 또는 회로로서 구체화될 수 있는 반면, 다른 실시예에서 보안 클록(216)은 다른 컴포넌트(예를 들어, 프로세서(202))의 보안 부분과 통합되거나 이를 형성할 수 있음을 이해해야 한다. 예를 들어, 일부 실시예에서, 보안 클록(216)은 온-칩 오실레이터를 통해 구현될 수 있고/있거나 관리 용이성 엔진(ME)의 보안 클록으로 구체화될 수 있다. 보안 클록(216)은 다른 컴퓨팅 노드(110)의 보안 클록에 동기화될 수 있고 세분성(granularity)은 별개의 메시지 타이밍을 구별할 수 있는 정도일 수 있음을 추가로 이해해야 한다.
컴퓨팅 노드(110)의 통신 회로(218)는 컴퓨팅 노드(110), 다른 컴퓨팅 노드(110), NFV 오케스트레이터(104), VIM(106), 및 엔드포인트 디바이스들(118, 120), 및/또는 다른 접속된 네트워크 가능 컴퓨팅 노드 사이의 통신을 가능하게 할 수 있는 임의의 통신 회로, 디바이스 또는 그것의 모음으로서 구체화될 수 있다. 통신 회로(218)는 임의의 하나 이상의 통신 기술(예를 들어, 유선 또는 무선 통신) 및 연관된 프로토콜(예를 들어, Ethernet, Bluetooth®, Wi-Fi®, WiMAX, GSM, LTE 등)을 사용하여 그러한 통신을 실행하도록 구성할 수 있다. 예시적인 통신 회로(218)는 네트워크 인터페이스 카드(network interface card)(NIC)(220) 및 스위치(222)를 포함한다. NIC(220)는 하나 이상의 애드-인 보드(add-in-board), 도터카드(daughtercard), 네트워크 인터페이스 카드, 제어기 칩, 칩셋, 또는 컴퓨팅 노드(110)에 의해 사용될 수 있는 다른 디바이스로서 구체화될 수 있다. 예를 들어, NIC(220)는 PCI 익스프레스(Express)와 같은 확장 버스를 통해 I/O 서브시스템(206)에 결합된 확장 카드로서 구체화될 수 있다. 스위치(222)는, 네트워크 스위치 동작을 수행할 수 있거나 아니면 이더넷 스위치 칩, PCI 익스프레스 스위칭 칩 등과 같은, 본 명세서에 설명된 기능을 수행할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있다.
전술한 바와 같이, 컴퓨팅 노드(110)는 또한 컴퓨팅 노드(110) 상에 신뢰 실행 환경(TEE)을 확립할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있는 보안 엔진(224)을 포함할 수 있다. 특히, 보안 엔진(224)은 컴퓨팅 노드(110)에 의해 실행되는 다른 코드로부터 안전하고 독립적인, 코드의 실행 및/또는 데이터의 액세스를 지원할 수 있다. 보안 엔진(224)은 신뢰 플랫폼 모듈(Trusted Platform Module)(TPM), 관리 용이성 엔진(manageability engine)(ME), 대역 외 프로세서 또는 다른 보안 엔진 디바이스 또는 디바이스들의 모음으로서 구체화될 수 있다. 일부 실시예에서, 보안 엔진(224)은 컴퓨팅 노드(110)의 시스템-온-칩(SoC)에 통합된 수렴 보안 및 관리 용이성 엔진(converged security and manageability engine)(CSME)으로서 구체화될 수 있다.
다시 도 1을 참조하면, 예시적인 NFV 보안 아키텍처(116)는 2개의 엔드포인트 디바이스(118, 120) 사이에 통신 가능하게 결합된다. 예시적인 시스템(100)에서, 제1 엔드포인트 디바이스는 엔드포인트 디바이스(1)(118)로 지정되고, 제2 엔드포인트 디바이스는 엔드포인트 디바이스(2)(120)로 지정된다. 그러나, 임의의 수의 엔드포인트 디바이스가 NFV 보안 아키텍처(116)를 통해 접속될 수 있다는 것을 이해해야 한다. 엔드포인트 디바이스들(118, 120)은 무선 또는 유선 기술을 사용하여 네트워크(도시되지 않음)를 통해 NFV 보안 아키텍처(116)와 통신 가능하게 결합되어, 엔드포인트 디바이스(1)가 엔드포인트 디바이스(2)와 통신할 수 있고 그 반대도 성립하는 엔드-투-엔드 통신 시스템을 형성한다. 따라서, NFV 보안 아키텍처(116)는 엔드포인트 디바이스들(118, 120) 사이에서 송신된 네트워크 통신 트래픽(즉, 네트워크 패킷들)을 모니터링하고 처리할 수 있다.
엔드포인트 디바이스들(118, 120)이 통신하는 네트워크는 GSM(Global System for Mobile Communications) 또는 LTE(Long-Term Evolution)와 같은 셀룰러 네트워크, 전화 네트워크, 디지털 가입자 라인(digital subscriber line)(DSL) 네트워크, 케이블 네트워크, 로컬 또는 광역 네트워크, 글로벌 네트워크(예를 들어, 인터넷), 또는 이들의 임의의 조합을 포함하는 임의의 타입의 무선 또는 유선 네트워크로서 구체화될 수 있다. 예를 들어, 일부 실시예에서, 네트워크는 vEPC 아키텍처를 갖는 NFV 기반의 LTE 네트워크로서 구체화될 수 있다. 네트워크는 중앙 집중형 네트워크(centralized network)로서 기능할 수 있고, 일부 실시예에서는 다른 네트워크(예를 들어, 인터넷)에 통신 가능하게 결합될 수 있다는 것을 이해해야 한다. 따라서, 네트워크는 엔드포인트 디바이스들(118, 120)과 NFV 보안 아키텍처(116) 간의 통신을 용이하게 하기 위해 필요에 따라, 라우터, 스위치, 네트워크 허브, 서버, 저장 디바이스, 계산 디바이스 등과 같은, 가상 및 물리적인 다양한 네트워크 디바이스들을 포함할 수 있다.
엔드포인트 디바이스들(118, 120)은 제한 없이, 스마트폰, 모바일 컴퓨팅 디바이스, 태블릿 컴퓨터, 랩톱 컴퓨터, 노트북 컴퓨터, 컴퓨터, 서버(예를 들어, 독립형, 랙-장착형, 블레이드 등), 네트워크 어플라이언스(예를 들어, 물리적 또는 가상), 웹 어플라이언스, 분산형 컴퓨팅 시스템, 프로세서 기반 시스템, 및/또는 멀티프로세서 시스템을 포함하는, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 계산 또는 컴퓨터 디바이스로서 구체화될 수 있다. 도 3에 도시된 바와 같이, 도 2의 컴퓨팅 노드(110)와 유사하게, 예시적인 엔드포인트 디바이스(예를 들어, 도 1의 엔드포인트 디바이스들(118, 120) 중 하나)는 프로세서(302), 입/출력(I/O) 서브시스템(304), 메모리(306), 데이터 저장 디바이스(308), 하나 이상의 주변 디바이스(310), 및 통신 회로(312)를 포함한다. 이와 같이, 유사한 컴포넌트들의 추가 설명은, 컴퓨팅 노드(110)에 관하여 위에서 제공된 대응하는 컴포넌트들의 설명이 엔드포인트 디바이스(118, 120)의 대응하는 컴포넌트에 동일하게 적용된다는 것을 이해하면서 설명의 명확성을 위해 본 명세서에서 반복되지 않는다.
물론, 엔드포인트 디바이스들(118, 120)은 다른 실시예에서의 통신 인프라구조에서 동작할 수 있는 모바일 컴퓨팅 디바이스에서 공통적으로 발견되는 것과 같은 다른 또는 부가적인 컴포넌트들(예를 들어, 다양한 입력/출력 디바이스들)을 포함할 수 있다. 게다가, 일부 실시예에서, 예시적인 컴포넌트들 중 하나 이상은 다른 컴포넌트에 통합되거나 아니면 그의 일부를 형성할 수 있다. 주변 디바이스들(310)은 임의의 수의 입력/출력 디바이스, 인터페이스 디바이스, 및/또는 다른 주변 디바이스를 포함할 수 있다. 예를 들어, 일부 실시예에서, 주변 디바이스들(310)은 디스플레이, 터치 스크린, 그래픽 회로, 키보드, 마우스, 스피커 시스템, 및/또는 다른 입력/출력 디바이스들, 인터페이스 디바이스들, 및/또는 주변 디바이스들을 포함할 수 있다.
이제 도 4를 참조하면, NFV 보안 아키텍처(116)의 보안을 모니터링하기 위한 도 1의 NFV 보안 아키텍처(116)의 예시적인 실시예는, 도 1의 NFV 보안 서비스 제어기(102), NFV 오케스트레이터(104), VIM(106) 및 NFV 인프라구조(108)를 포함한다. 예시적인 실시예(116)의 각각의 보안 모니터링 컴포넌트는 대응하는 보안 모니터링 컴포넌트를 고유하게 식별하는 글로벌 고유 보안 식별자(globally unique security identifier)를 포함한다. 글로벌 고유 보안 식별자는, 예를 들어 보안 모니터링 컴포넌트의 매체 액세스 제어(media access control)(MAC) 어드레스, 보안 모니터링 컴포넌트에 할당된 인터넷 프로토콜(IP) 어드레스, 보안 모니터링 컴포넌트의 보안 메모리(210)에 임베드된 식별자(예를 들어, BIOS(212)(UEFI) 식별자, 보안 모니터링 컴포넌트의 운영 체제의 식별자 등)에 기초할 수 있다. 글로벌 고유 보안 식별자는, 예를 들어 보안 엔진(224)(예를 들어, 관리 용이성 엔진(ME), 수렴 보안 및 관리 용이성 엔진(CSME), 혁신 엔진(innovation engine)(IE), 보안 파티션, 보안 코프로세서 또는 별도의 프로세서 코어 등) 상의 펌웨어 TPM과 같은 물리적 TPM 또는 소프트웨어 기반의 신뢰 모듈 내에서 보호되고/되거나, 보안 위치(예를 들어, 보안 메모리 (210))에 저장될 수 있다. 임의의 보안 모니터링 컴포넌트 또는 그것의 기능성은 보안 환경(예를 들어, 프로세서(202)의 TEE 서포트들(204))에서 인스턴스화될 수 있다. 이와 같이, 모든 인스턴스화는 글로벌 고유 보안 식별자에 의해 식별될 수 있다. 또한, 일부 실시예에서, 글로벌 고유 보안 식별자는 인스턴스화시 유스 케이스 메시징(use-case messaging)에 바인딩될 수 있다.
또한, 각각의 고유 사용 인스턴스는 고유 사용 식별자를 포함한다. 따라서, NFV 보안 아키텍처(116) 내의 다수의 사용 및 플로우는, 예를 들어 감사, 인증, 제어, 디버깅 등을 위해 고유하게 식별될 수 있다. 전술한 바와 같이, 일부 실시예에서, NFV 보안 아키텍처(116)는 NFV 보안 서비스 제어기(102), NFV 오케스트레이터(104) 및 VIM(106)의 하나 이상의 인스턴스를 포함할 수 있다. 이러한 실시예에서, 컴포넌트들의 다수의 인스턴스는 동일한 외부 식별자를 사용하도록 미러링될 수 있고, 미러링된 컴포넌트들을 구별하기 위해 고유 내부 식별자(예를 들어, 인스턴스 보안 식별자)를 부가적으로 포함한다.
또한, NFV 보안 아키텍처(116)의 각각의 논리적 컴포넌트는 SFC 정책, VNF 간 통신 키, VIM 제어기(424) 정책 등과 같은 특정 용도를 처리하기 위해 둘 이상의 물리적 및/또는 논리적 컴포넌트로 분리될 수 있다. 이러한 실시예에서, 물리적 및/또는 논리적 컴포넌트는 설치 이전에 검증될 수 있는, 운영자 또는 클라우드 제공자에 의한 글로벌 고유 식별자(globally unique identifier)(GUID)와 함께 서명될 수 있다. 서명은 공개 키(예컨대, 인증서 키, 퓨즈 키, 디바이스 특정 키 등)가 NFV 인프라구조(108)에 임베드되고 NFV 보안 서비스 에이전트에 의해 액세스될 수 있는 개인 키를 사용하여 수행될 수 있다. 따라서, 검증은 물리적 및/또는 논리적 컴포넌트의 환경의 엄격한 제어 내에서 NFV 보안 서비스 에이전트에 의해 수행될 수 있다.
NFV 보안 서비스 제어기(102)는 보안 통신 채널(406)을 통해 NFV 오케스트레이터(104)에 통신 가능하게 결합된다. 전술한 바와 같이, 일부 실시예에서, NFV 보안 서비스 제어기(102) 및 NFV 오케스트레이터(104)는, 예를 들어 MANO 아키텍처 프레임워크에 함께 위치할 수 있다. 또한, NFV 보안 서비스 제어기(102)는 보안 통신 채널(414)을 통해 VIM(106)에 통신 가능하게 결합되고, NFV 오케스트레이터(104)는 보안 통신 채널(416)을 통해 VIM(106)에 통신 가능하게 결합된다. 보안 통신 채널들(406, 414, 416) 뿐만 아니라, NFV 보안 아키텍처(116)의 다른 보안 통신 채널들은 NFV 보안 아키텍처(116)의 통신 채널들(예를 들어, 보안 통신 채널들(406, 414, 416))을 확립하기 위한 신뢰 루트(root of trust)(RoT)를 확립하기 위해 NFV 보안 서비스 제어기(102)에 의해 사용되는 보안 키들(예를 들어, 세션 키들 및/또는 다른 암호 키들)로 보호될 수 있다. 일부 실시예에서, 보안 키는 주기적으로 리프레시될 수 있는 쌍으로 된 세션 키들(pairwise session keys)로서 구현될 수 있다. 이와 같이, NFV 보안 서비스 제어기(102)는 인증 서버로서 작용하도록 구성될 수 있다.
NFV 보안 아키텍처(116)는 통신 채널(404)을 통해 NFV 오케스트레이터(104)에 통신 가능하게 결합되는 동작 지원 시스템 및 비즈니스 지원 시스템(operations support systems and business support systems)(OSS/BSS)(402)을 부가적으로 포함한다. OSS/BSS(402)는 본 명세서에 설명된 기능들을 수행할 수 있는, 예를 들어 전화 네트워크에서 다양한 엔드-투-엔드 통신 서비스를 지원할 수 있는 임의의 타입의 계산 또는 컴퓨팅 노드로서 구체화될 수 있다. 일부 실시예에서, OSS/BSS(402)는, 예를 들어 네트워크 인벤토리, 서비스 프로비저닝, 네트워크 구성 및 장애 관리와 같은 관리 기능들뿐만 아니라, OSS/BSS(402)에 의해 지원될 수 있는 엔드-투-엔드 통신 서비스를 지원하기 위한 다양한 비즈니스 기능, 예를 들어 제품 관리, 고객 관리, 매출 관리, 주문 관리 등을 지원하도록 구성될 수 있다.
전술한 바와 같이, 사용시 NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트에 걸쳐 보안 모니터링 정책들을 제공하고 시행한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 각각의 보안 통신 채널을 통해 NFV 오케스트레이터(104) 및 VIM(106)에 송신한다. NFV 보안 서비스 제어기(102)는 보안 통신 채널(418)을 통해 NFV 보안 모니터링 분석 시스템(438)에 통신 가능하게 추가로 결합된다.
이하 추가로 설명될 NFV 보안 모니터링 분석 시스템(438)은, NFV 보안 모니터링 분석 시스템(438)이 현재 시행되고 있는 보안 모니터링 정책에 따라 수신된 원격 측정 데이터의 분석에서 보안 위협, 예를 들어 공격(예를 들어, 서비스 거부(denial-of-service)(DoS) 공격, 중간자(man-in-the-middle) 공격, 도청, 데이터 수정 공격 등) 또는 이상을 검출했는지에 기초하여 NFV 보안 서비스 제어기(102)에 교정 정책(즉, 업데이트된 보안 모니터링 정책)을 제공한다. 따라서, NFV 보안 서비스 제어기(102)는 위협을 처리하거나 이상을 확인하기 위해 취해질 수 있는 교정 액션에 의한 것과 같은, 교정 정책에 기초하여 보안 모니터링 정책에 대한 임의의 업데이트를 시행하도록 구성된다. 예를 들어, 교정 액션은 특정 네트워크 트래픽(즉, 특정 네트워크 패킷)을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 분석(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한하거나 스로틀링(throttling)하는 등을 포함할 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 그 후 보안 정책 업데이트를 VIM(106)의 NFV 보안 서비스 제공자(420)에 송신할 수 있다.
게다가, 예시적인 NFV 보안 서비스 제어기(102)는, 감사 데이터베이스(410) 및 NFV 보안 데이터베이스(412)와 같은 2개의 논리적 보안 데이터베이스와 인터페이스한다. 감사 데이터베이스(410)는 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트에 관한 보안 감사 정보를 포함하는 보안 데이터베이스이다. 보안 감사 정보는 구성 변경 로그, 네트워크 트레이스, 디버그 트레이스, 애플리케이션 트레이스 등을 포함할 수 있다. 예시적인 NFV 보안 아키텍처(116)에서, 감사 데이터베이스(410)는 NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트 및 다른 네트워크, 예를 들어 NFV 보안 아키텍처(116)에 걸쳐 분배된 다양한 NFV 보안 서비스 에이전트 및 VIM(106)과 인터페이스하도록 부가적으로 구성된다(이는 이하에서 추가로 논의될 것임). 일부 실시예에서, 감사 데이터베이스(410)와 인터페이스하는 예시적인 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트는 보안 저장을 위한 감사 데이터베이스(410)에서 수신된 원격 측정 데이터를 타임스탬프(timestamp)하기 위해 보안 클록(예를 들어, 도 2의 보안 클록(216))을 사용할 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 원격 측정 데이터의 타임스탬프에 기초하여 원격 측정 데이터를 감사(즉, 원격 측정 데이터를 검증 및 시퀀스)할 수 있다.
NFV 보안 데이터베이스(412)는 NFV 보안 아키텍처(116)에 걸쳐(즉, NFV 보안 아키텍처(116)에 걸쳐) 보안 모니터링을 배치하는데 사용되는 보안 데이터베이스로서 구체화된다. 따라서, NFV 보안 데이터베이스(412)는, 예를 들어 NFV 가입자/테넌트(tenant), SFC 정책, SFC 경로 보호 정책, VIM(106)(예컨대, VIM 제어기(424))에 대한 제어기 정책, NFV 보안 모니터링 정책 및 구성, NFV 보안 프로비저닝 자격 증명(예를 들어, SFC 보호용) 서비스 기능 체인, VNF 간 정책, 하나 이상의 클라우드 운영 체제 보안 정책, 및/또는 테넌트-특정 보안 정책과 같은 보안 데이터 구조들을 포함할 수 있다.
전술한 바와 같이, 사용시에, NFV 오케스트레이터(104)는 NFV 인프라구조(108) 내의 VNF의 라이프사이클을 관리하고, 이는 인스턴스화, 스케일-아웃/인, 성능 측정, 이벤트 상관, 종료 등을 포함한다. 그렇게 하기 위해, NFV 오케스트레이터(104)는, NFV 인프라구조(108)의 리소스에 기초하여 NFV 인프라구조(108)의 VNF(VNF 인스턴스(440) 참조)의 초기화 및 구성(즉, 스케일링 및 배치)를 관리하기 위한 명령어를 보안 통신 채널(434)을 통해 VNF 관리자(432)에 제공하도록 구성된다. VNF 관리자(432)는, NFV 인프라구조(108)에 대한 구성 및 이벤트 보고를 위한 전체 조정 및 적응을 수행하도록 추가로 구성된다. VNF 관리자(432)는 VNF의 무결성을 업데이트 및 보장하도록 추가로 구성된다. 그렇게 하기 위해, VNF 관리자(432)는 보안 통신 채널(430)을 통해 VIM(106)과 협의하여 특정 VNF 인스턴스를 인스턴스화하기 위해 이용 가능한 물리적 리소스를 결정하도록 구성된다. VIM(106)은 임의의 적합한 기술, 알고리즘 및/또는 메커니즘을 사용하여 이러한 결정을 할 수 있음을 이해해야 한다. 일부 실시예에서, 단일 VNF 관리자(432)는 하나 이상의 VNF 인스턴스를 관리할 책임이 있을 수 있음을 또한 이해해야 한다. 다시 말해, 일부 실시예에서, VNF 관리자(432)는 VNF 인스턴스들 각각에 대해 인스턴스화될 수 있다.
또한, 전술한 바와 같이, 사용시, VIM(106)은 보안 통신 채널(474)을 통해 안전하게 송신된 메시지를 통해 NFV 인프라구조(108)의 가상 및 하드웨어 계산, 저장, 및 네트워크 리소스의 할당을 제어하고 관리한다. 게다가, VIM(106)은 NFV 인프라구조(108) 계산, 저장 및 네트워크 리소스(예를 들어, 물리적 및 가상)의 이벤트 및 성능 측정을 수집하여 감사 데이터베이스(410)에 안전하게 포워딩하도록 구성될 수 있다. 예시적인 VIM(106)은 NFV 보안 서비스 제공자(420), VIM 제어기(424) 및 다수의 VIM 컴포넌트(428)를 포함한다. NFV 보안 서비스 제공자(420)는 보안 통신 채널(414)을 통해 NFV 보안 서비스 제어기(102)로부터 보안 모니터링 정책을 수신하고, NFV 인프라구조(108)의 다양한 보안 모니터링 컴포넌트에 걸쳐 보안 모니터링 정책을 구현하고, NFV 보안 서비스 제어기(102)로부터 수신된 보안 모니터링 정책에 기초한 VNF 인스턴스(예를 들어, VNF 인스턴스들(440)의 서비스 기능 체인 VNF들(452))를 제공하도록 구성된다.
게다가, NFV 보안 서비스 제공자(420)는 VIM(106) 및 NFV 인프라구조(108)의 하나 이상의 NFV 보안 서비스 에이전트와 안전하게 통신하도록 구성된다. VIM 제어기(424)는, 네트워크 정책 제어기, 또는, 예를 들어 소프트웨어 정의된 네트워킹(Software Defined Networking)(SDN) 제어기 또는 OpenStack Neutron과 같은 네트워킹 서비스 제어기로서 기능하도록 구성된다. VIM 컴포넌트들(428)은, 예를 들어 VNF 이미지 관리 제어기들(예를 들어, VNF 인스턴스(440)를 설치 및 프로비저닝하기 위한 OpenStack Nova)과 같은, VNF 인스턴스 및/또는 활성화 서비스를 설치하는데 필요할 수 있는, VIM(106)의 임의의 부가적인 물리적 및/또는 가상 계산, 저장, 및 네트워크 리소스를 포함할 수 있다. 예시적인 VIM 제어기(424)는, 예를 들어 정책 기반 정보와 같은 VIM 제어기(424)의 원격 측정 데이터를 수집하고, 그뿐만 아니라 다른 VIM 컴포넌트(428)로부터도 수집하도록 구성되는 NFV 보안 서비스 에이전트(426)를 포함한다.
NFV 인프라구조(108)는 VNF가 배치될 수 있는 컴퓨팅 노드(110)의 하드웨어 및 소프트웨어 컴포넌트(즉, 가상 계산, 저장 및 네트워크 리소스, 가상화 소프트웨어, 하드웨어 계산, 저장 및 네트워크 리소스 등) 모두를 포함한다. NFV 인프라구조(108)의 물리적 및/또는 가상 컴포넌트는 상이한 위치, 데이터 센터, 지리(geographies), 제공자 등에 걸쳐 있을 수 있음을 이해해야 한다. 또한, NFV 인프라구조(108)의 컴포넌트가 통신 및 인터페이스하기 위해 사용하는 네트워크는 NFV 인프라구조(108)에 포함되는 것으로 간주될 수 있음을 추가로 이해해야 한다.
예시적인 NFV 인프라구조(108)는 하나 이상의 플랫폼(480), 도 2의 BIOS(212), 하이퍼바이저(462), 및 하나 이상의 VNF 인스턴스(440)를 포함한다. 예시적인 플랫폼(480)은, 플랫폼(1)(482)로 지정된 제1 플랫폼, 및 플랫폼(N)(482)(즉, "N 번째" 플랫폼, 여기서 "N"은 양의 정수이고 하나 이상의 추가 플랫폼을 지정함)으로 지정된 제2 플랫폼을 포함한다. 각각의 플랫폼(480)은 도 2의 I/O 서브시스템(206), NIC(220) 및/또는 스위치(222)를 포함한다. 예시적인 플랫폼(1)(482)은 NFV 보안 서비스 에이전트(486)를 부가적으로 포함한다. NFV 보안 서비스 에이전트(486)는 보안 통신 채널(488)을 통해 하드웨어 레벨에서(즉, I/O 서브시스템(206), NIC(220) 및/또는 스위치(222)로부터) 원격 측정 데이터를 수집하도록 구성된다. 따라서, 보안 모니터링 수집 에이전트(486)에 의해 수집된 원격 측정 데이터는 NIC 구성 정보, 다양한 하드웨어 결함들, 에러들 및/또는 이상들, 및 네트워크 패킷 행위들(network packet behaviors)(예를 들어, 드롭된 패킷들)을 포함할 수 있다. 수집시, 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
하이퍼바이저(462) 또는 가상 머신 모니터(virtual machine monitor)(VMM)는 사용시, 일반적으로 각각의 VNF 인스턴스(440)를 실행하기 위한 하나 이상의 가상 머신(VM)을 통해 VNF 인스턴스(440)를 실행한다. 일부 실시예에서, VNF 인스턴스(440)는 가상 스위치(vSwitch), 가상 라우터(vRouter), 방화벽, 네트워크 어드레스 변환(NAT), DPI, 진화된 패킷 코어(EPC), 이동성 관리 엔티티(mobility management entity)(MME), 패킷 데이터 네트워크 게이트웨이(PGW), 서빙 게이트웨이(SGW), 과금 기능, 및/또는 다른 가상 네트워크 기능을 포함할 수 있다. 일부 실시예에서, 특정 VNF 인스턴스(440)는 단일 플랫폼(예를 들어, 플랫폼(482)) 상에서 또는 상이한 플랫폼(예를 들어, 플랫폼(482) 및 플랫폼(484))에 걸쳐 실행될 수 있는 다수의 서브인스턴스를 가질 수 있다. 환언하면, 가상화될 때, 특정 플랫폼과 함께 배치된 물리적 하드웨어에 의해 전통적으로 처리되는 네트워크 기능은 하나 이상의 플랫폼(480)에 걸쳐 다수의 VNF 인스턴스(440)로서 분배될 수 있다. VNF 인스턴스들(440) 각각은 임의의 수의 VNF를 포함할 수 있으며, 이들 각각은 하나 이상의 VNF 컴포넌트(VNFC)(도시되지 않음)를 포함할 수 있다. VNF 인스턴스들(440)은 임의의 적절한 가상 네트워크 기능들로서 구체화될 수 있으며; 마찬가지로, VNFC는 임의의 적절한 VNF 컴포넌트로서 구체화될 수 있음을 이해해야 한다. VNFC는 하나 이상의 VNF 인스턴스(440)의 기능성을 전달하기 위해 협력하는 프로세스들 및/또는 인스턴스들이다. 예를 들어, 일부 실시예에서, VNFC는 VNF 인스턴스들(440)의 서브-모듈 일 수 있다.
VNF 인스턴스들(440)과 유사하게, VNFC들이 하나 이상의 플랫폼(480)에 걸쳐 분배될 수 있음을 이해해야 한다. 또한, 특정 VNF 인스턴스(440)가 다수의 플랫폼(480)에 걸쳐 분배될 수 있고 플랫폼들(480) 중 하나에 확립된 VNF 인스턴스(440)의 일부를 여전히 형성할 수 있음을 이해해야 한다. 일부 실시예에서, VNF 인스턴스(440) 및/또는 VNFC는 동일한 플랫폼(예를 들어, 플랫폼(482) 또는 플랫폼(484)) 상에서 또는 동일한 데이터 센터 내에서 그러나 상이한 플랫폼들(480) 상에서 실행될 수 있다. 또한, 일부 실시예에서, VNF 인스턴스(440) 및/또는 VNFC는 상이한 데이터 센터에 걸쳐 실행될 수 있다.
하이퍼바이저(462)는 NFV 인프라구조(108)의 다양한 가상화된 하드웨어 리소스(예를 들어, 가상 메모리, 가상 운영 체계, 가상 네트워킹 컴포넌트 등)를 확립 및/또는 활용하도록 구성된다. 게다가, 하이퍼바이저(462)는 VNF 인스턴스들(440) 및/또는 VNFC들에 걸친 통신을 용이하게 할 수 있다. 예시적인 하이퍼바이저(462)는 보안 통신 채널(466)을 통해 NFV 보안 서비스 에이전트(468)에 통신 가능하게 결합된 가상 라우터(464)를 포함한다. NFV 보안 서비스 에이전트(468)는 NFV 보안 서비스 제어기(420)를 통해 NFV 보안 서비스 제어기(102)로부터 보안 모니터링 정책을 수신 및 구현하도록 구성된다. 즉, NFV 보안 서비스 에이전트(468)는 보안 모니터링 정책에 기초하여 능동적 및/또는 수동적 보안 모니터링을 수행하도록 구성된다. 또한, NFV 보안 서비스 에이전트(468)는 NFV 보안 서비스 에이전트(468)의 활성화시, 모니터링 및/또는 수집을 위한 네트워크 트래픽을 보안 모니터링 정책에 매핑하도록 구성된다.
예시적인 NFV 보안 서비스 에이전트(468)는 이하에서 더 설명될 SFC 에이전트, 및 보안 모니터링 수집 에이전트(472)를 포함한다. 보안 모니터링 수집 에이전트(472)는 NFV 보안 서비스 에이전트가 상주하는 NFV 보안 아키텍처(116)의 컴포넌트에 대한 원격 측정 정보를 수집하도록 구성된다. 예시적인 NFV 보안 서비스 에이전트(468)에서, 컴포넌트는 하이퍼바이저(462)이지만, NFV 보안 서비스 에이전트(486)의 경우, 컴포넌트는 플랫폼(482)이다. NFV 보안 서비스 에이전트(468)만이 보안 모니터링 수집 에이전트(472) 및 SFC 에이전트(470)를 표시하지만, NFV 보안 아키텍처(116)에 걸쳐 분배된 NFV 보안 서비스 에이전트들(예를 들어, NFV 보안 서비스 에이전트(426), NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458), NFV 보안 서비스 에이전트(460) 및 NFV 보안 서비스 에이전트(486)) 각각은 보안 모니터링 수집 에이전트 및/또는 SFC 에이전트의 인스턴스를 포함할 수 있다. NFV 보안 서비스 에이전트(468)의 보안 모니터링 수집 에이전트(472)는 BIOS 레벨(즉, BIOS(212) 및/또는 하이퍼바이저(462))에서 원격 측정 데이터를 수집하도록 구성된다. 보안 모니터링 수집 에이전트(472)에 의해 수집된 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
예시적인 VNF 인스턴스들(440)은 가상 네트워킹 디바이스(예를 들어, vSwitch, vRouter, 방화벽, NAT, DPI, EPC, MME, PGW, SGW 등), 전용 모니터링 에이전트로서 기능하도록 구성된 모니터링 서비스 VNF(446), 및 특정 가상 기능 또는 서비스를 수행할 수 있는 하나 이상의 서비스 기능 체인 VNF(452)를 포함하는 서비스 기능 체인(450)으로서 수행하도록 구성된 네트워크 VNF(442)를 포함한다.
서비스 기능 체인(450)의 예시적인 서비스 기능 체인 VNF(452)는, VNF(1)(454)로 지정된 제1 서비스 기능 체인 VNF 및 VNF(N)(456)(즉, "N 번째" 서비스 기능 체인 VNF, 여기서 "N"은 양의 정수이고 하나 이상의 추가 서비스 기능 체인 VNF 인스턴스를 지정함)로 지정된 제2 서비스 기능 체인 VNF을 포함한다. 또한, 예시적인 서비스 기능 체인 VNF들(452) 각각은 NFV 보안 서비스 에이전트(즉, VNF(1)(454)의 NFV 보안 서비스 에이전트(458) 및 VNF(N)(456)의 NFV 보안 서비스 에이전트(460))의 인스턴스를 포함한다. NFV 보안 서비스 에이전트들(458, 460) 각각은 가상 환경 레벨에서 원격 측정 데이터를 수집하도록(즉, NFV 보안 서비스 에이전트가 상주하는 서비스 기능 체인 VNF들(452) 각각으로부터 VNF 원격 측정 데이터를 수집하도록) 구성된다. 서비스 기능 체인(450)의 예시적인 서비스 기능 체인 VNF들(452) 각각은 NFV 보안 서비스 에이전트(458, 460)를 포함하지만, 일부 실시예에서, 단일 NFV 보안 서비스 에이전트(예를 들어, 모니터링 서비스 VNF(446)의 NFV 보안 서비스 에이전트(448))는 원격 측정 데이터를 모니터링하고 수집하는데 사용될 수 있음을 이해해야 한다.
네트워크 VNF(442)는 인텔® 데이터 플레인 개발 킷(Intel® DPDK)과 같은 사용자 데이터 평면에서 네트워크 트래픽을 처리하기 위한 패킷 프로세서(444)를 포함할 수 있다. 모니터링 서비스 VNF(446)는 가상 환경 레벨에서 원격 측정 데이터를 수집하도록(즉, 각각의 VNF 인스턴스들(440) 각각으로부터 VNF 원격 측정 데이터를 수집하도록) 구성된 NFV 보안 서비스 에이전트(security services agent)(SSA)(448)를 포함할 수 있다. NFV 보안 서비스 에이전트(448)의 보안 모니터링 수집 에이전트(도시되지 않음)에 의해 수집된 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
NFV 보안 모니터링 분석 시스템(438)은 보안 통신 채널(490)을 통해 다양한 NFV 보안 서비스 에이전트로부터 NFV 인프라구조(108)와 관련된 원격 측정 데이터를 안전하게 획득하고, 보안 통신 채널(436)을 통해 VNF 관리자(432)와 관련된 VNF 구성 데이터를 안전하게 획득하도록 구성된다. VNF 구성 데이터는 각각의 NFV에 의해 제공되는, 다수의 인스턴스화된 NFV, 다수의 활성화된 NFV, 기능 또는 서비스, 또는 기능 또는 서비스의 일부 등을 포함할 수 있다. 따라서, NFV 보안 모니터링 분석 시스템(438)은 원격 측정 데이터 및 VNF 구성 데이터를 분석하여 임의의 위협 및/또는 이상이 존재하는지를 검출할 수 있다. 일부 실시예에서, NFV 보안 모니터링 분석 시스템(438)은 원격 측정 데이터 및 VNF 구성 데이터를 분석하여 보안 위협이 식별될 수 있는 원격 측정 패턴을 개발할 수 있다. NFV 보안 모니터링 분석 시스템(438)은 보안 위협을 검출한 것에 응답하여 시행을 위한 교정 정책(즉, 업데이트된 보안 모니터링 정책)을 보안 모니터링 컴포넌트에 전달하도록 추가로 구성된다.
예시적인 NFV 보안 아키텍처(116)는 NFV 인프라구조(108) 내에서 실행되는 서비스 기능 체인의 보안을 모니터링하도록 구체적으로 구성되는 다수의 보안 모니터링 컴포넌트를 포함한다. 서비스 기능 체인(SFC) 보안 모니터링 컴포넌트는 NFV 보안 서비스 제어기(102)의 SFC 보안 제어기(408), VIM(106)의 NFV 보안 서비스 제공자(420)의 SFC 보안 제공자(422), 및 NFV 인프라구조(108) 전체에 분배된 다수의 SFC 에이전트를 포함한다. NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트는 보안 통신을 위해 상호 인증되며, 안전하고 검증된 부트시 구축될 수 있다. 따라서, NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트는 상이한 지리에 걸쳐, 상이한 호스팅 데이터 센터에 걸쳐, 및/또는 신뢰되지 않은 네트워크를 통해 배치될 수 있다. 또한, NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트는 NFV 보안 아키텍처(116) 내에 안전하게 프로비저닝될 수 있다.
SFC 보안 모니터링 컴포넌트는, 예를 들어 vEPC 아키텍처 내에서와 같이, 다양한 VNF의 맨 위에서 실행되는 제어, 관리 및/또는 데이터 평면들 상에서 수행될 수 있다. 일부 실시예에서, 런타임 SFC-특정 보안 모니터링 정책은 하나의 평면 상에서 발생하는 이벤트에 의해 트리거될 수 있는 반면, 보안 모니터링 정책에 기초하여 수행되는 보안 모니터링은 해당 평면 및/또는 다른 평면들 중 하나 또는 둘 다에서 개시될 수 있다. 예를 들어, 이벤트는 악성 또는 조작된 네트워크 패킷에 의해서와 같이 제어 평면에서 트리거될 수 있으며, 교정 정책은 제어, 관리 및 데이터 평면들에 걸친 이벤트 트리거링 네트워크 패킷의 매치를 위한 SFC 모니터링 및 네트워크 데이터 패킷 수집을 포함할 수 있다.
SFC 보안 제어기(408)는 NFV 인프라구조(108)에 걸쳐 SFC 보안 정책을 조율하도록 구성된다. 그렇게 하기 위해, SFC 보안 제어기(408)는 NFV 보안 데이터베이스(412)와 통신하여 SFC 보안 정책 및 자격증명에 액세스하도록 구성된다. SFC 보안 정책 및 자격증명은, 예를 들어 운송 정책들(즉, 메시지, 보안 키 등의 보안 운송을 위한) 및 VNF의 보안 프로비저닝 및/또는 NFV 인프라구조(108)의 다양한 노드에서의 설치시에 보안 모니터링 양태들에 대한 정책들과 같은 임의의 타입의 보안 정책들을 포함할 수 있다. SFC 보안 정책 및 자격증명은 SFC들을 통한 통신 및/또는 SFC들의 VNF들 내부의 통신에 대한 정책들, 예를 들어 통신이 소프트웨어(즉, 가상) 네트워크 인터페이스 카드, 스위치 및/또는 라우터의 하드웨어를 통해 송신될 것인지를 부가적으로 포함할 수 있다. SFC 보안 정책 및 자격증명은 플로우 식별자, 테넌트 식별자, 가입자 식별자(예를 들어, 국제 모바일 가입자 신원(International Mobile Subscriber Identity)(IMSI)), 지리적 위치, 규제 도메인 등에 기초할 수 있다.
일부 실시예에서, 특정 정책은 OSS/BSS(402), 및/또는 3GPP(3rd Generation Partnership Project) 보안 인프라구조와 같은 기존 보안 인프라구조를 통해 SFC 보안 제어기(408)에 구성될 수 있다. 일부 실시예에서, 런타임 정책(예를 들어, 특정 가입자 플로우, 테넌트, 애플리케이션 태그 등을 모니터링하는)의 경우, 그 정책은 기존 보안 인프라구조를 사용하여 전달될 수 있음을 이해해야 한다. 전술한 바와 같이, NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트는 상호 인증될 수 있다. 다른 실시예에서, SFC 보안 제어기(408)는 SFC 에이전트 및/또는 다른 원격 측정 수집 컴포넌트 사이에 보안 키를 전달할 수 있다. 부가적으로 또는 대안적으로, 일부 실시예에서, 기존 보안 인프라구조는 다양한 VNF-간(inter-VNF) 또는 SFC-당(per-SFC) 통신 또는 정책 시행에 사용될 수 있는 보안 키를 전달할 수도 있다. 게다가, SFC 보안 제어기(408)는 SFC 보안 정책을 보안 통신 채널(414)을 통해 하나 이상의 SFC 보안 제공자(422)에게 안전하게 제공하도록 추가로 구성된다.
NFV 보안 서비스 제어기(102)와 유사하게, SFC 보안 제어기(408)는 NFV 보안 모니터링 분석 시스템(438)에서 수신된 분석된 원격 측정 데이터에 기초하여 NFV 보안 모니터링 분석 시스템(438)으로부터 교정 보안 모니터링 정책을 안전하게 수신하도록 구성되고, 그 프로세스는 이하에서 추가로 설명된다. 또한, NFV 보안 서비스 제어기(102)에 의해 수신된 교정 정책과 유사하게, SFC 보안 제어기(408)에 의해 수신된 교정 보안 모니터링 정책은 NFV 보안 모니터링 분석 시스템(438)에 의해 수행되는 원격 측정 데이터의 분석에 기초하여 NFV 보안 모니터링 분석 시스템(438)에 의해 의심되는 네트워크 트래픽에서 취하기 위한 교정 액션을 포함할 수 있다. 교정 액션은 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 분석(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한 또는 스로틀링하는 것, 또는 추가로 근본 원인을 식별하거나 보안 위협을 확인하기 위해 의심되는 네트워크 트래픽에서 취할 수 있는 임의의 다른 액션을 포함할 수 있다.
SFC 보안 제어기(408)는 SFC 보안 제어기(408)에 통신 가능하게 결합되는 예시적인 NFV 보안 서비스 제공자(420)의 하나 이상의 SFC 보안 제공자(422)로 보안 모니터링 정책 업데이트를 전달하도록 추가로 구성된다. SFC 보안 제공자(422)는 VIM 제어기(424)를 포함하는 VIM(106)의 다양한 네트워크 및 보안 모니터링 컴포넌트를 통해 보안 모니터링 정책 업데이트를 송신하도록 구성된다. SFC 보안 제공자(422)는 임의의 적절한 보안 모니터링 액션을 포함하는 보안 모니터링 정책 업데이트를, NFV 인프라구조(108) 전체에 걸쳐 분배되어 있는 NFV 보안 서비스 에이전트 내의 다양한 SFC 에이전트를 통해 송신하도록 부가적으로 구성된다.
예시적인 NFV 인프라구조(108)가 NFV 보안 서비스 에이전트(468)의 SFC 에이전트(470)만을 포함할지라도, SFC 에이전트는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들 중 임의의 하나 이상 내에서 인스턴스화될 수 있다는 것을 이해해야 한다. SFC 에이전트(예컨대, SFC 에이전트(470))는 원격 측정 데이터의 추출을 수행하고 보안 모니터링 정책에 기초하여 추출된 원격 측정 데이터를 안전하게 전달하기 위해 NFV 인프라구조(108)의 다양한 보안 모니터링 컴포넌트와 통신하도록 구성된다. 원격 측정 데이터 추출(즉, 수집)은 NFV 인프라구조(108) 내에서, 예를 들어 SFC 에이전트와 접속되는, Open vSwitch, Open vRouter, DPDK, 하드웨어 NIC(예컨대, NIC(220)), 하드웨어 스위치(예를 들어, 스위치(222)), 또는 하드웨어 라우터 등에서 적절한 후크들을 사용하여 개시될 수 있다.
예시적인 NFV 보안 서비스 에이전트(468)의 보안 모니터링 수집 에이전트(472)와 유사하게, SFC 에이전트들 각각은 해당 SFC 에이전트에 특정한 수집 에이전트(도시되지 않음)를 부가적으로 포함할 수 있고/있거나 SFC 에이전트가 상주하는 NFV 보안 서비스 에이전트의 보안 모니터링 수집 에이전트에 의존할 수 있음을 이해해야 하며, 이는 예시의 명확성을 유지하기 위해 도시되지 않는다. 즉, SFC 에이전트에 의한 수동 및/또는 능동 보안 모니터링 동안 추출된 원격 측정 데이터는 NFV 인프라구조(108) 상에서 실행중인 SFC 에이전트의 수집 에이전트(예를 들어, 수정된 sFlow 등)에 의해 수집될 수 있다.
전술한 바와 같이, 원격 측정 데이터는 보안 분석이 수행될 수 있는 임의의 타입의 데이터로서 구체화될 수 있다. 예를 들어, 원격 측정 데이터는 NFV 인프라구조(108) 내의 다양한 하드웨어 리소스(예를 들어, 계산, 저장 및 네트워크), 가상화 소프트웨어 및 가상 리소스(예를 들어, 계산, 저장 및 네트워크)로부터의 구성 및 헬스 데이터뿐만 아니라 보안 통계를 포함할 수 있다. 부가적으로 또는 대안적으로, 원격 측정 데이터는 특정 플로우의 네트워크 패킷들(즉, 모니터링될 특정 플로우의 식별자에 의해 결정되고/되거나 패키징 및 송신을 위해 수집되는)의 전체 또는 부분(예를 들어, 헤더, 페이로드 등), 디바이스, 노드, 관리 도메인, 지리 및/또는 임의의 관리적으로 구성된 플로우 등을 포함할 수 있다. 그렇게 하기 위해, SFC 에이전트에는 네트워크 패킷, 디바이스, 노드, 지리 등을 고유하게 식별하는 식별자가 제공될 수 있다. 또한, 원격 측정 데이터는, 예를 들어 특정 SFC에 특정적일 수 있고, SFC 플로우 또는 터널링된 SFC 플로우를 통합할 수 있다. 부가적으로 또는 대안적으로, 원격 측정 데이터는, 예를 들어 가상 로컬 영역 네트워크(virtual local area network)(VLAN) 및 계층 2(L2) 또는 계층 3(L3) 터널링된 패킷들과 같은, 전체 SFC 트래픽 패킷 플로우 또는 SFC 트래픽 패킷 플로우들의 서브세트를 포함할 수 있다.
SFC 에이전트는, 예를 들어 보안 VM, 물리적 계층 NIC, 스위치, 라우터 및/또는 패브릭과 같은, NFV 인프라구조(108)의 임의의 보안 모니터링 컴포넌트 및/또는 통신 채널로부터 원격 측정 데이터를 추출할 수 있다. 예를 들어, 일부 실시예에서, VNF 인스턴스들(440) 중 하나의 NFV 보안 서비스 에이전트(예를 들어, NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458) 또는 NFV 보안 서비스 에이전트(460)) 내에서 인스턴스화되고 활성화되는 SFC 에이전트는 원격 측정 데이터를 추출하기 위해 Intel® DPDK 사용자 평면 애플리케이션(예를 들어, vSwitch, vRouter, EPC 시스템 등)과 통신할 수 있다. 다른 예에서, 일부 실시예에서, SFC 에이전트(470)는 원격 측정 데이터를 추출하기 위해 가상 라우터(464)(예를 들어, 가상 라우터(464)의 Open vSwitch)와 통신할 수 있다.
사용시, SFC 에이전트는 원격 측정 데이터를 패키징하고 이를 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 전달한다. SFC 보안 제어기(408)는 다양한 SFC 에이전트와 NFV 보안 모니터링 분석 시스템(438) 사이에서 수신되고 이들에 의해 구성되는 보호 자격증명을 제공하고 구성한다. 그렇게 하기 위해, SFC 에이전트는 수동 키 프로비저닝, 사전 공유 키, 및/또는 SFC 보안 제어기(408)의 다른 상호 인증 기능을 사용하는 부트스트래핑을 사용할 수 있다. 또한, 통신 채널(490)은, 예를 들어 적정하게 구성된 유한한 키 수명을 갖는 고유한 쌍으로 된 랜덤 키 세션과 같은 하나 이상의 보안 키에 의해 보호될 수 있다.
이제 도 5를 참조하면, 사용시, NFV 보안 서비스 제어기(102)는 동작 중에 환경(500)을 확립한다. NFV 보안 서비스 제어기(102)의 예시적인 환경(500)은 보안 통신 모듈(510), 보안 모니터링 정책 관리 모듈(520), 보호된 송신 제어 모듈(530), NFV 보안 서비스 에이전트 제어 모듈(540) 및 원격 측정 데이터 감사 모듈(550)을 포함한다. 예시적인 환경(500)은 보안 감사 정보를 저장하는 감사 데이터베이스(410), 및 보안 모니터링 정책을 저장하는 도 4의 NFV 보안 데이터베이스(412)에 통신 가능하게 결합된다. 환경(500)의 다양한 모듈은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로서 구체화될 수 있다. 예를 들어, 환경(500)의 다양한 모듈, 로직 및 다른 컴포넌트는 NFV 보안 서비스 제어기(102)의 하드웨어 컴포넌트의 일부를 형성하거나 아니면 그것에 의해 확립될 수 있다. 이와 같이, 일부 실시예에서, 환경(500)의 모듈들 중 임의의 하나 이상은 회로 또는 전기적 디바이스들의 모음(예를 들어, 보안 통신 회로, 보안 관리 회로, 보호된 송신 제어 회로, NFV 보안 서비스 에이전트 제어 회로 및 원격 측정 데이터 감사 회로 등)으로서 구체화될 수 있다. 부가적으로 또는 대안적으로, 일부 실시예에서, 하나 이상의 예시적인 모듈은 스탠드얼론(standalone) 모듈 또는 독립형 모듈로서 구체화될 수 있는, 다른 모듈, 및/또는 하나 이상의 예시적인 모듈 및/또는 서브 모듈의 일부를 형성할 수 있다.
보안 통신 모듈(510)은 NFV 보안 서비스 제어기(102)로/로부터 데이터(예를 들어, 메시지, 보안 모니터링 정책 등)의 보안 송신을 용이하게 하도록 구성된다. 그렇게 하기 위해, 보안 통신 모듈(510)은 외부 보안 시스템으로부터(예를 들어, 도 4의 OSS/BSS(402), 외부 보안 제어기 등으로부터) 보안 정책 정보를 안전하게 수신하도록 구성된다. 게다가, 보안 통신 모듈(510)은 보안 통신 채널(418)을 통해 NFV 보안 모니터링 분석 시스템(438)으로부터 교정 보안 정책을 수신하도록 구성된다.
보안 통신 모듈(510)은 업데이트된 보안 정책을 보안 통신 채널(414)을 통해 NFV 보안 서비스 제공자(420)로 안전하게 송신하도록 구성된다. 유사하게, 보안 통신 모듈(510)은 NFV 보안 서비스 제어기(102)와 NFV 보안 데이터베이스(412) 사이뿐만 아니라 NFV 보안 서비스 제어기(102)와 감사 데이터베이스(410) 사이에서 데이터의 보안 송신을 용이하게 하도록 구성된다. 보안 통신 모듈(510)에 의해 송신된 모든 보안 메시지에 대해, 보안 통신 모듈(510)은 인증 키뿐만 아니라 송신을 수행하고 있는 NFV 보안 서비스 제어기(102)의 인스턴스의 고유 식별자를 포함한다. 그렇게 하기 위해, 보안 통신 모듈(510)은 주기적으로 리프레시되는 쌍으로 된 세션 키들을 사용하는 것과 같은, 다양한 키 관리 기능, 암호화 기능, 보안 통신 채널 관리 및/또는 다른 보안 기능을 수행할 수 있다. 따라서, 메시지를 수신하는 보안 모니터링 컴포넌트는 NFV 보안 서비스 제어기(102)를 통해 메시지를 인증할 수 있다.
보안 모니터링 정책 관리 모듈(520)은 수신된 보안 모니터링 정책에 기초하여 NFV 보안 아키텍처(116)에 걸친 보안 모니터링 정책의 관리를 조율하도록 구성된다. 그렇게 하기 위해, 보안 모니터링 정책 관리 모듈(520)은 보안 모니터링 정책 분배 모듈(522) 및 보안 모니터링 정책 시행 모듈(524)을 포함한다. 보안 모니터링 정책 분배 모듈(522)은 보안 모니터링 컴포넌트 정책, 구성 및 기능을 포함하는 보안 모니터링 정책을, NFV 보안 아키텍처(116)에 걸쳐 분배된 NFV 보안 서비스 에이전트들과 같은 NFV 보안 아키텍처(116) 전체에 걸친 다양한 보안 모니터링 컴포넌트들에 송신하도록 구성된다.
보안 모니터링 정책 시행 모듈(524)은 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트에 송신된 보안 모니터링 정책을 시행하도록 구성된다. 그렇게 하기 위해, 보안 모니터링 정책 시행 모듈(524)은, NFV 보안 서비스 에이전트가 보안 모니터링 정책에 따라 구성되었는지를 검증할 뿐만 아니라 보안 모니터링 정책에 따라 원격 측정 데이터를 모니터링 및 수집함으로써 보안 모니터링 정책을 시행하도록 구성된다. 예를 들어, 보안 모니터링 정책 시행 모듈(524)은 NFV 인프라구조(108)의 VNF 인스턴스에서, 예를 들어 VNF 런타임 또는 NFV 인프라구조(108)에서의 VNF의 온 보딩에서 보안 모니터링 정책을 검증하여, VNF 인스턴스가 올바르게 구성되고 현재 실행중인 NFV 보안 서비스 에이전트가 보안 모니터링 정책과 일치하는 원격 측정 데이터를 모니터링 및 수집하는 것을 보장하도록 구성될 수 있다. 게다가, 보안 모니터링 정책 시행 모듈(524)은 보안 모니터링 정책에 기초하여 복수의 VNF 인스턴스(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF(452))를 포함하는 서비스 기능 체인(예를 들어, 도 4의 서비스 기능 체인(450))의 토폴로지를 검증할 수 있다.
보호된 송신 제어 모듈(530)은 서비스 기능 체인(450)의 서비스 기능 체인 VNF(452)와 같은 VNF에 대한 보호된 송신 정책을 설정하도록(예를 들어, 보안 통신 채널 보호를 위해 보안을 적용하도록) 구성된다. 전술한 바와 같이, NFV 보안 서비스 제어기(102)는 보안 통신 채널을 보호하기 위한 인증 서버로서 작용하도록 구성될 수 있다. 따라서, 보호된 송신 제어 모듈(530)은 인증 서버로서 수행하도록(즉, NFV 보안 아키텍처(116)의 보안 통신 채널 전체에 걸쳐 송신되고 수신된 메시지들에 대한 인증을 수행하도록) 구성된 메시지 인증 모듈(534)을 부가적으로 포함할 수 있다. 예를 들어, 보호된 송신 제어 모듈(530)은 (예를 들어, 공유 메모리를 통해) 통신 채널을 보호하기 위한 신뢰 루트(RoT)를 확립하기 위해 하나 이상의 보안 키(예를 들어, 퓨즈 키, 세션 키 또는 임의의 타입의 암호화 키)를 이용할 수 있다. 일부 실시예에서, 보안 키는 주기적으로 리프레시될 수 있는 쌍으로 된 세션 키들로서 구체화될 수 있다. 유사하게, 보호된 송신 제어 모듈(530)은 보안 모니터링 컴포넌트와 감사 데이터베이스(410) 사이의 보안 통신 채널을 보호하도록 구성된다.
NFV 보안 서비스 에이전트 제어 모듈(540)은, VIM(106) 및 NFV 인프라구조(108) 전체에 걸쳐 다양한 보안 기능을 전달하도록 구성되는 NFV 보안 서비스 에이전트(도 4 참조)를 관리하도록 구성된다. 그렇게 하기 위해, NFV 보안 서비스 에이전트 제어 모듈(540)은 NFV 보안 서비스 에이전트의 부팅 이전에, 적절한 VNF 관리자에게 접속하는 것과 같은 특정 작업을 수행하기 위해 런타임시 NFV 보안 서비스 에이전트에 의해 추출될 수 있는 적절한 보안 및 정책 구성 정보(예를 들어, 어떤 VNF 관리자에게 접속할 것인가)를 시드(seed)한다. 예를 들어, NFV 보안 아키텍처(116)가 서비스 기능 체인의 다수의 인스턴스화된 VNF(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF(452))를 포함하는 실시예에서, NFV 보안 서비스 에이전트 제어 모듈(540)은, 서비스 기능 체인의 VNF를 활성화하고, 서비스 기능 체인의 하나 이상의 VNF 상에서 NFV 보안 서비스 에이전트의 부트스트랩을 실행함으로써 NFV 보안 서비스 에이전트의 배치(즉, 스핀-업 및 인스턴스화)를 개시하고, 부트스트랩 정보(예를 들어, NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용될 수 있는 부트스트랩 구성 파라미터, 해당 특정 NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 및/또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 등)를 수신하도록 구성된다.
NFV 보안 서비스 에이전트 제어 모듈(540)은 인스턴스화된 NFV 보안 서비스 에이전트를 대응하는 VNF 관리자(432)에게 통지하도록 추가로 구성된다. NFV 보안 서비스 에이전트는 보호된 송신 제어 모듈(530)과 보안 통신 채널을 확립하기 위해 상호 인증된 키 교환을 수행하도록 구성될 수 있으며, NFV 보안 서비스 에이전트 제어 모듈(540)은 NFV 보안 서비스 에이전트를 개인화하는데(예를 들어, 명칭, 보안 정책 그룹, 테넌트별 정책을 설정하고, 특정 NFV 보안 서비스 에이전트가 상주하는 VNF 인스턴스의 VNF 관리자(432)와의 보안 세션 확립을 위한 키 자료를 분배하는 등에) 사용할 수 있다.
원격 측정 데이터 감사 모듈(550)은 감사 데이터베이스(410)에 저장된 원격 측정 데이터에 대한 감사를 수행하도록 구성된다. 그렇게 하기 위해, 원격 측정 데이터 감사 모듈(550)은 원격 측정 데이터와 연관된 타임스탬프를 분석하도록 구성된다. 전술한 바와 같이, 원격 측정 데이터는 감사 데이터베이스(410)에 송신되기 전에 보안 클록(예를 들어, 도 2의 보안 클록(216))에 의해 타임스탬프화된다. 따라서, 원격 측정 데이터 감사 모듈(550)은 원격 측정 데이터를 감사의 일부로서 검증 및 시퀀스하도록 추가로 구성된다.
이제 도 6을 참조하면, 사용시, 각각의 NFV 보안 서비스 에이전트(예컨대, 도 4의 NFV 보안 서비스 에이전트들(426, 448, 458, 460, 468, 486))는 동작 중에 환경(600)을 확립한다. 대응하는 NFV 보안 서비스 에이전트의 예시적인 환경(600)은 보안 통신 모듈(610), 원격 측정 데이터 모니터링 모듈(620), 원격 측정 데이터 패키징 모듈(630), 및 부트스트랩 실행 모듈(640)을 포함한다. 예시적인 환경(600)은 NFV 보안 서비스 에이전트에 보안 모니터링 정책을 저장하는 보안 정책 데이터베이스(602), 및 NFV 보안 서비스 에이전트에 원격 측정 데이터를 저장하는 원격 측정 데이터베이스(604)를 부가적으로 포함한다.
환경(600)의 다양한 모듈들은 하드웨어, 펌웨어, 소프트웨어, 펌웨어, 또는 이들의 조합으로서 구체화될 수 있다. 예를 들어, 환경(600)의 다양한 모듈, 로직 및 다른 컴포넌트는 NFV 보안 서비스 에이전트의 하드웨어 컴포넌트의 일부를 형성하거나, 아니면 NFV 보안 서비스 에이전트의 하드웨어 컴포넌트에 의해 확립될 수 있다. 이와 같이, 일부 실시예에서, 환경(600)의 임의의 하나 이상의 모듈은 회로 또는 전기적 디바이스의 모음(예를 들어, 보안 통신 회로, 원격 측정 데이터 모니터링 회로, 원격 측정 데이터 패키징 회로 및 부트스트랩 실행 회로 등)으로서 구체화될 수 있다. 부가적으로 또는 대안적으로, 일부 실시예에서, 하나 이상의 예시적인 모듈은 다른 모듈의 일부를 형성할 수 있고/있거나, 하나 이상의 예시적인 모듈 및/또는 서브 모듈은 스탠드얼론 또는 독립형 모듈로서 구체화될 수 있다.
보안 통신 모듈(610)은 NFV 보안 서비스 에이전트로/로부터 데이터(예를 들어, 메시지, 원격 측정 데이터 등)의 보안 송신을 용이하게 하도록 구성된다. 예를 들어, 도 4에 도시된 바와 같이, NFV 인프라구조(108)의 NFV 보안 서비스 에이전트는 NFV 보안 서비스 제어기(102)에 의해 제공되는 보호 자격증명을 사용하여 원격 측정 데이터를 NFV 보안 모니터링 분석 시스템(438) 및 감사 데이터베이스(410)에 송신하도록 구성된다. 원격 측정 데이터 모니터링 모듈(620)은 NFV 보안 서비스 에이전트가 위치하는 컴포넌트 및/또는 레벨의 원격 측정 데이터를 모니터링하도록 구성된다. 원격 측정 데이터 모니터링 모듈(620)은 원격 측정 데이터를 능동적 및/또는 수동적으로 모니터링하도록 부가적으로 구성된다. 원격 측정 데이터는 가상 및/또는 물리적 구성 데이터뿐만 아니라, 보안 통계, 완전한 네트워크 패킷, 네트워크 패킷 헤더, 또는 특정 플로우, 특정 디바이스, 특정 진화된 노드 B(일명, E-UTRAN Node B, eNodeB, 및 eNB), 특정 지리 또는 임의의 관리적으로 구성된 플로우와 연관된 모든 네트워크 패킷을 포함할 수 있다.
원격 측정 데이터 패키징 모듈(630)은 원격 측정 데이터 모니터링 모듈(620)에서 모니터링되는 원격 측정 데이터와 같은 원격 측정 데이터를 수집 및 패키징하도록 구성된다. 따라서, 수집 및 패키징된 원격 측정 데이터는 NFV 인프라구조(108) 또는 VIM(106)의 하드웨어 리소스(예를 들어, 계산, 저장 및 네트워크), 가상화 소프트웨어 및/또는 가상 리소스(예를 들어, 계산, 저장 및 네트워크)의 정보, 예를 들어 VNF 구성 설정, I/O 서브시스템(206) 설정, NIC(220) 설정, 스위치(222) 설정, 가상 라우터(464) 설정, 가상 스위치 설정, 가상 게이트웨이 설정, vEPC 설정, 제어기 설정, 네트워크 트래픽 정보, 완전 및/또는 부분 네트워크 패킷 등을 포함하는 임의의 타입의 데이터일 수 있다. 또한, 원격 측정 데이터 패키징 모듈(630)은, 예를 들어 보안 통신 모듈(610)를 통해 패키징된 원격 측정 데이터를 전용 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438))에 안전하게 전달하도록 구성된다.
원격 측정 데이터 모니터링 모듈(620) 및/또는 원격 측정 데이터 패키징 모듈(630)은 특정 원격 측정 데이터를 모니터링 및/또는 수집하기 위한 에이전트-특정 서브-모듈들을 부가적으로 포함할 수 있다. 예를 들어, 예시적인 원격 측정 데이터 모니터링 모듈(620)은 NFV 인프라구조(108)의 서비스 기능 체인(예를 들어, 서비스 기능 체인(450))에 특정한 원격 측정 데이터를 모니터링하기 위한 SFC 원격 측정 데이터 모니터링 모듈(622)을 포함한다. 유사하게, 예시적인 원격 측정 데이터 패키징 모듈(630)은, 예를 들어 SFC 원격 측정 데이터 모니터링 모듈(622)에 의해 모니터링되고 있는 네트워크 인프라구조의 서비스 기능 체인에 특정한 원격 측정 데이터를 수집 및 패키징하기 위한 SFC 원격 측정 데이터 패키징 모듈(632)을 포함한다. 게다가, 원격 측정 데이터 패키징 모듈(630) 및 SFC 원격 측정 데이터 패키징 모듈(632)은 각각 보안 저장을 위해 감사 데이터베이스(410)로의 송신을 위한 원격 측정 데이터를 타임스탬프하기 위해 보안 클록(예를 들어, 도 2의 보안 클록(216))을 사용하도록 구성된다.
부트스트랩 실행 모듈(630)은 NFV 보안 서비스 에이전트를 배치하기 위해 부트스트랩을 실행하도록 구성되며, 부트스트랩은 NFV 보안 서비스 에이전트를 컴퓨팅 노드(예를 들어, 컴퓨팅 노드들(110) 중 하나) 상에 로딩한다. 부트스트랩 실행 모듈(630)은, 예를 들어 VNF 인스턴스(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나), 하이퍼바이저(462) 및 플랫폼들(480) 중 하나를 포함하는 NFV 보안 아키텍처(116)의 네트워크 처리 컴포넌트들 중 임의의 하나 상에 부트스트랩을 실행하도록 추가로 구성된다.
이제 도 7을 참조하면, 사용 중에, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 보안 모니터링 서비스를 관리하기 위한 방법(700)을 실행할 수 있다. 방법(700)은 블록 702에서 시작하고, 여기서 NFV 보안 서비스 제어기(102)는 보안 통신 채널(예를 들어, VIM(106)에 대한 도 4의 통신 채널(414))을 통해 NFV 인프라구조(108) 내에서 인스턴스화되는 보안 모니터링 정책을 VNF에 송신한다. 전술한 바와 같이, 보안 모니터링 정책은, VNF가 모니터링할 원격 측정 데이터와 VNF의 리소스 및 기능성을 구성하는 방법을 결정하는 데 사용하는, 다양한 모니터링 규칙을 포함한다. 사용시, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제어기(102)를 고유하게 식별하는 식별자를 이용하여 보안 통신 채널(414)을 통해 보안 모니터링 정책을 NFV 보안 서비스 제공자(420)에 송신한다. 일부 실시예에서, NFV 보안 서비스 제어기(102)는 NFV 오케스트레이터(104)를 통해 도 4의 외부 제어기 또는 OSS/BSS(402)와 같은 외부 소스로부터 보안 모니터링 정책을 수신할 수 있다.
블록 704에서, NFV 보안 서비스 제어기(102)는 VNF에서 보안 모니터링 정책을 검증한다. 예를 들어, NFV 보안 서비스 제어기(102)는 VNF 런타임 또는 NFV 인프라구조(108)에서의 VNF 온-보딩에서 보안 모니터링 정책을 검증할 수 있다. 블록 706에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책에 기초하여, 다수의 VNF 사이에서 이들 간의 경로(즉, 통신 경로)를 포함하는 SFC 토폴로지를 설치한다. 일부 실시예에서, NFV 보안 서비스 제어기(102)는 블록 708에서, 보안 모니터링 정책에 기초하여 경로에 걸쳐 송신된 통신을 보호하기 위해 경로에 보안을 적용할 수 있다.
블록 710에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책의 준수를 보장하기 위해 보안 모니터링 정책에 기초하여 SFC 토폴로지를 검증한다. 블록 712에서, NFV 보안 서비스 제어기(102)는 SFC의 VNF(예컨대, 도 4의 서비스 기능 체인(450)의 서비스 기능 체인 VNF(452))에 대한 보호된 송신 정책을 셋업한다. 블록 714에서, NFV 보안 서비스 제어기(102)는 SFC의 VNF들 각각을 활성화한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 통신 채널을 통해 활성화 신호를 VNF들 각각으로 송신할 수 있다. 게다가, 활성화 신호는, 인증을 요구하는 NFV 보안 서비스 제어기(102)로부터 송신된 다른 신호(즉, 메시지)와 유사하게, VNF가 활성화 신호를 인증할 수 있도록 고유 식별자를 포함한다.
블록 716에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트의 배치(즉, 스핀-업 및 인스턴스화)를 개시한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트에 대한 부트스트랩을 실행한다. 전술한 바와 같이, NFV 보안 서비스 에이전트는 보안 모니터링 동작을 수행하기 위해 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배될 수 있다. 따라서, NFV 보안 서비스 에이전트는 SFC의 VNF들 중 하나와 같은, 도 4의 NFV 보안 아키텍처(116)의 다수의 보안 모니터링 컴포넌트에서 인스턴스화될 수 있다.
블록 718에서, NFV 보안 서비스 제어기(102)는 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되었는지를 결정한다. 그렇지 않다면, 방법(700)은 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되기를 계속 기다리기 위해 블록 718로 루프백한다. NFV 보안 서비스 제어기(102)가, 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되었다고 결정하면, 방법(700)은 블록 720으로 진행하며, 여기서 NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트가 인스턴스화 되었다는 것을 VNF의 관리자에게 통지한다. 통지는 VNF의 인스턴스에 대응하는 고유 식별자와, NFV 보안 서비스 에이전트의 인스턴스에 대응하는 다른 고유 식별자를 포함한다. 따라서 VNF 관리자는 그 후 고유 식별자에 기초하여 인스턴스화된 NFV 보안 서비스 에이전트와 통신하고 이를 관리할 수 있다. 블록 722에서, NFV 보안 서비스 제어기(102)는 인스턴스화된 NFV 보안 서비스 에이전트를 활성화한다. 블록 724에서, NFV 보안 서비스 제어기(102)는 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트에 걸쳐 보안 모니터링 정책을 시행한다.
이제 도 8을 참조하면, 사용시, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 업데이트하기 위한 방법(800)을 실행할 수 있다. 방법(800)은 블록 802에서 시작하며, 여기서 NFV 보안 서비스 제어기(102)는 교정 정책이 NFV 보안 모니터링 분석 시스템(438)으로부터 수신되었는지를 결정한다. 전술한 바와 같이, VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트는 임의의 위협 및/또는 이상이 검출되는지를 결정하기 위해 분석을 위한 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신되는 원격 측정 데이터를 수집하도록 구성된다. 따라서, NFV 보안 모니터링 분석 시스템(438)이 그러한 보안 위협(예를 들어, 공격 또는 이상)을 검출하는 경우, NFV 보안 모니터링 분석 시스템(438)은 교정 정책을 트리거했던 검출된 보안 위협을 해결하거나 추가로 분석하기 위한 교정 정책을 안전하게 송신한다. NFV 보안 서비스 제어기(102)가 교정 정책이 수신되지 않았다고 결정하면, 방법(800)은 교정 정책이 수신될 때까지 블록 802로 루프백한다.
NFV 보안 서비스 제어기(102)가 교정 정책을 수신하면, 블록 804에서, NFV 보안 서비스 제어기(102)는 블록 802에서 수신된 교정 정책에 기초하여 현재의 보안 모니터링 정책을 업데이트한다. 블록 806에서, NFV 보안 서비스 제어기(102)는 보안 통신 채널(예를 들어, VIM(106)에 대한 도 4의 통신 채널(414))을 통해 보안 모니터링 정책 업데이트를 NFV 보안 서비스 제공자(420)에 송신한다. 따라서, 보안 모니터링 정책 업데이트는 그 후 NFV 보안 서비스 제공자(420)로부터 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트로 추가로 송신될 수 있다.
일부 실시예에서, 블록 808에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 갖는, NFV 보안 서비스 제어기(102)에 고유한 식별자를 보안 통신 채널을 통해 NFV 보안 서비스 제공자(420)에 부가적으로 송신한다. 부가적으로 또는 대안적으로, 일부 실시예에서, 블록 810에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 갖는 교정 정책에 응답하여 취해질 하나 이상의 교정 액션을 보안 통신 채널을 통해 NFV 보안 서비스 제공자(420)에 부가적으로 송신한다. 예를 들어, 교정 액션(들)은 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 분석(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한 또는 스로틀링하는 것 등을 포함할 수 있다. 블록 812에서, NFV 보안 서비스 제어기(102)는 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트에 걸쳐 업데이트된 보안 모니터링 정책을 시행한다.
이제 도 9를 참조하면, NFV 보안 서비스 에이전트를 초기화하기 위한 통신 플로우(900)의 실시예는 도 4의 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트를 포함한다. 예시적인 통신 플로우(900)은 NFV 오케스트레이터(104), NFV 보안 서비스 제어기(102), NFV 보안 서비스 제공자(420), NFV 인프라구조(108), NFV 보안 서비스 에이전트들(예를 들어, NFV 보안 서비스 에이전트(426), NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458), NFV 보안 서비스 에이전트(460) 및 NFV 보안 서비스 에이전트(486)) 중 하나, 및 VNF 관리자(432)를 포함한다. 예시적인 통신 플로우(900)은 다수의 데이터 플로우를 부가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다.
데이터 플로우(902)에서, NFV 오케스트레이터(104)는 OSS/BSS(402)로부터 수신된 보안 모니터링 정책을 NFV 보안 서비스 제어기(102)에 송신한다. 데이터 플로우(904)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 NFV 보안 서비스 제어기의 고유 식별자를 갖는 커맨드를 NFV 보안 서비스 제공자(420)로 안전하게 송신한다. 데이터 플로우(906)에서, NFV 보안 서비스 제공자(420)는 NFV 보안 서비스 에이전트를 배치(즉, 스핀 업 및 인스턴스화)하기 위해 NFV 보안 서비스 제어기 및/또는 NFV 보안 서비스 제공자의 고유 식별자를 갖는 커맨드를 NFV 인프라구조(108)로 안전하게 송신한다.
데이터 플로우(908)에서, NFV 인프라구조(108)는 NFV 보안 서비스 에이전트를 스핀 업한다. 전술한 바와 같이, NFV 보안 서비스 에이전트는 NFV들(예를 들어, NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458) 및 NFV 보안 서비스 에이전트(460)), 하이퍼바이저(462)(예를 들어, NFV 보안 서비스 에이전트(468)) 및 플랫폼(480)(예를 들어, NFV 보안 서비스 에이전트(486))를 포함하는 NFV 인프라구조(108) 내의 다양한 위치에서 스핀 업될 수 있다. 데이터 플로우(910)에서, NFV 보안 서비스 에이전트는 인스턴스화된다(즉, NFV 보안 서비스 에이전트의 부트스트랩이 개시된다). 데이터 플로우(912)에서, NFV 보안 서비스 에이전트는 부트스트랩 실행 프로세스를 거친다. 데이터 플로우(914)에서, NFV 보안 서비스 에이전트는 부트스트랩 정보를 NFV 보안 서비스 제어기(102)에 송신한다.
데이터 플로우(916)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 관리할 책임이 있는 VNF 관리자(432)에게 통지한다. 통지는 NFV 보안 서비스 에이전트의 인스턴스에 대응하는 고유 식별자뿐만 아니라, NFV 보안 서비스 에이전트(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나, 하이퍼바이저(462), 플랫폼들(480) 중 하나 등)에 대한 컴포넌트에 대응하는 다른 고유 식별자를 포함할 수 있다. 데이터 플로우(918)에서, 인스턴스화된 NFV 보안 서비스 에이전트는 VNF 관리자(432)와 관리 세션을 확립한다.
데이터 플로우(920)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제공자(420)에서 보안 모니터링 정책을 시행한다. 데이터 플로우(922)에서, NFV 보안 서비스 제공자(420)는 NFV 보안 서비스 에이전트에서 보안 모니터링 정책의 NFV 보안 서비스 에이전트 부분을 시행한다. 블록(924)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 활성화한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 활성화 신호를 보안 통신 채널을 통해 NFV 보안 서비스 에이전트에 제공한다. 게다가, 인증될 필요가 있는 NFV 보안 서비스 제어기(102)에 의해 송신된 다른 메시지와 일치하여, 활성화 신호는 고유 식별자를 포함할 수 있다. 데이터 플로우(926)에서, NFV 보안 서비스 에이전트는 네트워크 트래픽을 보안 모니터링 정책에 매핑한다. 따라서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 따라 원격 측정 데이터를 모니터링하고 수집할 수 있다.
이제 도 10을 참조하면, 사용시 NFV 보안 서비스 에이전트들 중 하나는 NFV 보안 아키텍처(116)의 보안을 모니터링하기 위한 방법(1000)을 실행할 수 있다. 방법(1000)은 블록 1002에서 시작하고, 여기서 NFV 보안 서비스 에이전트는 인스턴스화 요청이 수신되었는지를 결정한다. 그렇지 않다면, 방법(1000)은 블록 1002으로 루프백하여 인스턴스화 요청을 계속 대기한다. 블록 1002에서 인스턴스화 요청이 수신된 경우, 방법(1000)은 블록 1004로 진행한다. 블록 1004에서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 에이전트를 배치하기 위해 부트스트랩 프로세스를 실행하고, 부트스트랩 프로세스는 컴퓨팅 노드(예를 들어, 컴퓨팅 노드들(110) 중 하나) 상에 NFV 보안 서비스 에이전트를 로딩한다. 따라서, 부트스트랩 프로세스는 NFV 인프라구조(108) 및/또는 NFV 보안 서비스 에이전트가 배치되는 NFV 인프라구조(108)의 컴포넌트에 기초한 최적화, 예를 들어 NFV 인프라구조(108)에 걸친 NFV 보안 서비스의 가속화, 확장성, 신속한 배치 등을 허용할 수 있다.
블록 1006에서, NFV 보안 서비스 에이전트는 부트스트랩 정보를 NFV 보안 서비스 제어기(102)에 송신한다. 부트스트랩 정보는, 예를 들어 부트스트랩에 의해 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 사용될 수 있는 부트스트랩 구성 파라미터, 특정 NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 및/또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보를 포함할 수 있다. 블록 1008에서, NFV 보안 서비스 에이전트는 VNF 관리자(예를 들어, VNF 관리자(432))와 관리 세션을 확립한다. 따라서, 관리 세션이 확립되는 VNF 관리자는 NFV 보안 서비스 에이전트의 관리 제어를 맡을 수 있다. 블록 1010에서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 제어기(420)를 통해 NFV 보안 서비스 제어기(102)로부터 능동 및/또는 수동 모니터링을 위한 보안 모니터링 정책을 수신한다. 따라서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 에이전트와 관련된 보안 모니터링 정책의 일부만을 수신할 수 있다.
블록 1012에서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 모니터링 및/또는 수집을 위한 네트워크 트래픽 데이터를 매핑한다. 즉, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 모니터링할 네트워크 트래픽을 매핑한다. 블록 1014에서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 보안 모니터링(예를 들어, 매핑된 네트워크 트래픽의 보안 모니터링)을 수행한다. 그렇게 하기 위해, 블록 1016에서, NFV 보안 서비스 에이전트는 제어, 관리 및/또는 데이터 평면(들)에 대한 보안 모니터링을 수행한다. 일부 실시예에서, 보안 모니터링 정책에 기초하여, 모니터링은 수동 또는 자동화된 이상 검출에 기초하는, 프로비저닝된 원격 측정 모니터링 또는 특정 모니터링 정책 전달 및 활성화를 갖는 연속 모니터링일 수 있다. 부가적으로 또는 대안적으로, 일부 실시예에서, 모니터링은 관리자(administrator)에 의해 지정된 기준에 기초하여 관리자에 의해 트리거될 수 있다.
블록 1018에서, NFV 보안 서비스 에이전트는 원격 측정 데이터를 수집한다. 수집된 원격 측정 데이터는 가상 및/또는 물리적 네트워크 통계, 네트워크 헬스 모니터링 정보, 네트워크 패킷(예를 들어, 네트워크 패킷, 랜덤 네트워크 패킷 등의 전체 플로우) 및/또는 임의의 다른 컴포넌트 구성 또는 네트워크 패킷 관련 데이터를 포함할 수 있다. 일부 실시예에서, NFV 보안 서비스 에이전트는 보호된 로컬 스토리지에서 원격 측정 데이터를 수집하도록 구성된 보안 모니터링 수집 에이전트(예컨대, 도 4의 보안 모니터링 수집 에이전트(486))를 통해 원격 측정 데이터를 수집할 수 있다. 블록 1020에서, NFV 보안 서비스 에이전트는 수집된 원격 측정 데이터, 보안 전송 키, 및 보호된 송신을 위한 NFV 보안 서비스 에이전트의 고유 식별자를 패키징한다. 블록 1022에서, NFV 보안 서비스 에이전트는 패키징된 원격 측정 데이터, 보안 전송 키 및 고유 식별자를 보안 통신 채널(예를 들어, 도 4의 보안 통신 채널(490))을 통해, 위협 및/또는 이상에 대한 원격 측정 데이터를 분석하도록 구성된 NFV 보안 모니터링 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438))에 안전하게 송신한다.
이제 도 11을 참조하면, 실시예는 (예를 들어, 도 4의 예시적인 서비스 기능 체인 VNF(452)에서) NFV 보안 아키텍처(116)의 서비스 기능 체인(SFC)의 보안을 모니터링하기 위한 통신 플로우(1100)이다. 전술한 바와 같이, 다수의 보안 모니터링 컴포넌트는 NFV 인프라구조(예를 들어, NFV 인프라구조(108)) 내에서 실행되는 서비스 기능 체인의 보안을 모니터링하기 위한 부가적인 및/또는 대안적인 보안 모니터링 컴포넌트들로 구체적으로 구성되거나 이들을 포함할 수 있다. 예를 들어, 도 4의 예시적인 NFV 보안 아키텍처(116)의 SFC-특정 보안 모니터링 컴포넌트는, NFV 보안 서비스 제어기(102)의 SFC 보안 제어기(408), VIM(106)의 NFV 보안 서비스 제공자(420)의 SFC 보안 제공자(422), 및 NFV 인프라구조(108) 전체에 걸쳐 분배된 다수의 SFC 에이전트(예를 들어, SFC 에이전트(470))를 NFV 인프라구조(108)의 가상 및 물리적인 다양한 네트워크 모니터링 및/또는 처리 컴포넌트에 포함한다. 또한, 전술한 바와 같이, SFC 에이전트(470)가 NFV 보안 서비스 에이전트(468)에 표시되어 있지만, NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들 각각은 SFC 에이전트를 포함할 수 있음을 이해해야 한다. 따라서, 일부 실시예에서, SFC 에이전트는 SFC의 VNF(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나)에 상주할 수 있다.
예시적인 통신 플로우(1100)는 SFC 에이전트(470), 보안 모니터링 수집 에이전트(472), NFV 보안 모니터링 분석 시스템(438), SFC 보안 제어기(408) 및 SFC 보안 제공자(422)를 포함한다. 예시적인 통신 플로우(1100)는 다수의 데이터 플로우를 부가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다. 데이터 플로우(1102)에서, SFC 에이전트(470)는 설치, 활성화 및 필터링 정책과, SFC 에이전트(470)의 고유 식별자를 보안 모니터링 수집 에이전트(472)에 안전하게 송신한다. 설치, 활성화 및 필터링 정책은, SFC 에이전트(470)의 설치, 활성화 및 보호와 관련된 다양한 명령어 및 정보뿐만 아니라, 보안 모니터링 수집 에이전트(472)가 관련 네트워크 트래픽을 필터링하는 데 사용할 수 있는 다양한 명령어 및 정보를 포함한다. 예를 들어, 보안 모니터링 수집 에이전트(472)는 설치, 활성화 및 필터링 정책에 의해 지시된 네트워크 트래픽만을 모니터링하기 위해 네트워크 트래픽을 필터링할 수 있다. 따라서, 데이터 플로우(1104)에서, 보안 모니터링 수집 에이전트(472)는 설치, 활성화 및 필터링 정책에 기초하여 원격 측정 데이터를 모니터링 및 수집한다.
데이터 플로우(1106)에서, 보안 모니터링 수집 에이전트(472)는 NFV 보안 모니터링 분석 시스템(438)으로의 보안 전송을 위해 수집된 원격 측정 데이터를 패키징한다. 데이터 플로우(1108)에서, 보안 모니터링 수집 에이전트(472)는 패키징된 원격 측정 데이터를 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신한다. 게다가, 패키징된 원격 측정 데이터는 SFC 에이전트(470)의 고유 식별자를 또한 포함할 수 있다. 데이터 플로우(1110)에서, NFV 보안 모니터링 분석 시스템(438)은 패키징된 원격 측정 데이터를 수신하고 수신된 원격 측정 데이터에 대한 보안 위협 분석을 수행한다. 데이터 플로우(1112)에서, NFV 보안 모니터링 분석 시스템(438)은 공격 또는 이상과 같은 보안 위협의 검출시 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템(438)의 교정 정책 및 고유 식별자를 안전하게 송신한다. 교정 정책은, 위협에 대처하거나 이상을 검증하는 것과 같은 보안 위협의 검출에 응답하여 취할 수 있는 하나 이상의 교정 액션을 포함할 수 있다. 예를 들어, 교정 액션(들)은 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 분석(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한하거나 스로틀링하는 것 등을 포함할 수 있다.
데이터 플로우(1114)에서, SFC 보안 제어기(408)는 교정 정책 및 거기에 포함된 하나 이상의 교정 액션에 기초하여 현재 보안 정책을 업데이트한다. 데이터 플로우(1116)에서, SFC 보안 제어기(408)는 SFC 보안 제어기(408)의 인스턴스에 고유한 식별자를 갖는 업데이트된 보안 정책을 보안 통신 채널을 통해 SFC 보안 제공자(422)로 안전하게 송신한다. 일부 실시예에서, SFC 보안 제어기(408)는 VIM(106)의 토폴로지 및 분배에 따라 둘 이상의 SFC 보안 제공자(422)와 보안 통신할 수 있음을 이해해야 한다. 따라서, SFC 보안 제어기(408)가 통신하는(예를 들어, 보안 모니터링 정책을 제공하는) SFC 보안 제공자들(422) 중 어느 하나는 보안 모니터링 정책에 의존적일 수 있다. 예를 들어, 단일 SFC 정책(즉, SFC에 특정한 보안 모니터링 정책)은, 서비스 기능 체인이 다수의 POP(Points of Presence)에 걸쳐있는 경우, 상이한 POP(예를 들어, 액세스 포인트)들에서 다수의 SFC 보안 제공자(422)로 전달될 수 있다. 즉, 각각의 POP는 별도의 VIM(106) 및 별도의 SFC 보안 제공자(422)를 실행할 수 있다.
데이터 플로우(1118)에서, SFC 보안 제공자(422)는 VIM(106)(예컨대, VIM 제어기(424), 다른 VIM 컴포넌트들(428) 등)에 걸쳐 업데이트된 보안 정책을 전달한다. 데이터 플로우(1120)에서, SFC 보안 제공자(422)는 업데이트된 보안 정책 및 SFC 보안 제공자(422)의 인스턴스에 고유한 식별자를 SFC 에이전트(470)로 안전하게 송신한다.
예들
본 명세서에 개시된 기술의 예시적인 예가 아래에 제공된다. 기술의 실시예는 이하에 설명되는 예들 중 임의의 하나 이상 및 임의의 조합을 포함할 수 있다.
예 1은 네트워크 기능 가상화(network functions virtualization)(NFV) 보안 아키텍처의 보안 모니터링 서비스들을 관리하기 위한 NFV 보안 아키텍처의 NFV 보안 서비스 제어기를 포함하며, 상기 NFV 보안 서비스 제어기는, 보안 모니터링 정책을, NFV 보안 아키텍처의 가상 인프라구조 관리자(virtual infrastructure manager)(VIM)의 NFV 보안 서비스 제공자를 통해 NFV 보안 아키텍처의 가상 네트워크 기능(virtual network function)(VNF) 인프라구조에 분배된 하나 이상의 NFV 보안 서비스 에이전트에 송신하는 보안 모니터링 정책 분배 모듈 - 상기 보안 모니터링 정책은 NFV 보안 아키텍처의 원격 측정 데이터를 모니터링하고 NFV 보안 서비스 에이전트들의 구성 설정들을 조정하기 위해 NFV 보안 서비스 에이전트들에 의해 사용 가능한 모니터링 규칙들의 세트를 포함함 - ; 및 NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 송신된 보안 모니터링 정책을 시행하는 보안 모니터링 정책 시행 모듈을 포함한다.
예 2는 예 1의 주제를 포함하며, 보안 모니터링 정책을 송신하는 것은 식별자를 송신하는 것을 더 포함하고, 식별자는 NFV 보안 서비스 제어기에 고유하다.
예 3은 예 1 및 예 2 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책을 송신하는 것은 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 것을 포함한다.
예 4는 예 1 내지 예 3 중 어느 하나의 주제를 포함하며, 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 것은 보안 모니터링 정책을 NFV 보안 서비스 제어기와 NVF 보안 서비스 제공자 간의 통신에 전용인 보안 통신 채널을 통해 NVF 보안 서비스 제공자에 송신하는 것을 포함한다
예 5는 예 1 내지 예 4 중 어느 하나의 주제를 포함하며, 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 것은 하나 이상의 보안 키를 사용하여 통신 채널들을 보호하기 위해 신뢰 루트(root of trust)(RoT)를 확립하는 것을 포함한다.
예 6은 예 1 내지 예 5 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책은 보안 모니터링 컴포넌트 구성 정보 및 원격 측정 데이터 모니터링 명령어들을 포함하고, 보안 모니터링 정책을 시행하는 것은, (i) 하나 이상의 NFV 보안 서비스 에이전트가 보안 모니터링 컴포넌트 구성 정보의 기능으로서 구성되는지를 검증하는 것, 및 (ⅱ) 원격 측정 데이터를 원격 측정 데이터 모니터링 명령어들의 기능으로서 모니터링하는 것을 포함한다.
예 7은 예 1 내지 예 6 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책에 기초하여 서비스 기능 체인의 복수의 VNF와 연관된 복수의 서비스 에이전트로부터 구성 데이터를 수신하는 보안 통신 모듈; 서비스 기능 체인의 복수의 가상 네트워크 기능들 각각 사이의 통신 경로를 보호하는(secure) 보호된 송신 제어 모듈; 및 수신된 구성 데이터 및 보안 모니터링 정책에 기초하여 서비스 기능 체인의 복수의 가상 네트워크 기능의 토폴로지를 검증하는 NFV 보안 서비스 에이전트 제어 모듈을 더 포함한다.
예 8은 예 1 내지 예 7 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트 제어 모듈은 추가로, (i) 서비스 기능 체인의 복수의 가상 네트워크 기능을 활성화하고, (ⅱ) 하나 이상의 NFV 보안 서비스 에이전트의 NFV 보안 에이전트를 가상 네트워크 기능들 중 적어도 하나에서 인스턴스화하고, (ⅲ) 인스턴스화된 NFV 보안 서비스 에이전트를 가상 네트워크 기능들 중 적어도 하나에서 활성화한다.
예 9는 예 1 내지 예 8 중 어느 하나의 주제를 포함하며, 보안 통신 모듈은 NFV 보안 서비스 에이전트로부터 부트스트랩 정보를 수신하도록 추가로 구성되고, 부트스트랩 정보는 NFV 보안 서비스 에이전트의 초기화의 특성을 정의하고, NFV 보안 서비스 에이전트를 인스턴스화하는 것은 NFV 보안 서비스 제어기와 네트워크 통신하는 컴퓨팅 노드 상에 NFV 보안 서비스 에이전트를 로딩하기 위해 NFV 보안 서비스 제어기의 부트스트랩을 실행하는 것을 포함한다.
예 10은 예 1 내지 예 9 중 어느 하나의 주제를 포함하며, 부트스트랩 정보를 수신하는 것은 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용 가능한 부트스트랩 구성 파라미터들, NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 중 적어도 하나를 수신하는 것을 포함한다.
예 11은 예 1 내지 예 10 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책을 시행하는 것은 활성화된 NFV 보안 서비스 에이전트에서 보안 모니터링 정책을 시행하는 것을 포함한다.
예 12는 예 1 내지 예 11 중 어느 하나의 주제를 포함하며, 활성화된 NFV 보안 서비스 에이전트에서 보안 모니터링 정책을 시행하는 것은 활성화된 NFV 보안 서비스 에이전트에서 모니터링된 원격 측정 데이터가 보안 모니터링 정책의 모니터링 규칙들에 따르는지를 검증하는 것을 포함한다.
예 13은 예 1 내지 예 12 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 검증하는 것은 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상화 소프트웨어 데이터, 가상 컴포넌트 구성 데이터, 가상 리소스 데이터, 하드웨어 헬스 데이터, 하드웨어 리소스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되고 있는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 검증하는 것을 포함한다.
예 14는 예 1 내지 예 13 중 어느 하나의 주제를 포함하며, 보안 통신 모듈은, NFV 보안 모니터링 분석 시스템에 의한, 하나 이상의 NFV 보안 서비스 에이전트 중 하나에 의해 송신된 원격 측정 데이터 중 적어도 일부가 보안 위협으로서 식별되었다는 결정에 응답하여, NFV 보안 서비스 제어기에 통신 가능하게 결합된 NFV 보안 모니터링 분석 시스템으로부터 교정 정책을 수신하도록 추가로 구성된다.
예 15는 예 1 내지 예 14 중 어느 하나의 주제를 포함하고, 교정 정책에 기초하여 보안 모니터링 정책을 업데이트하는 보안 모니터링 정책 관리 모듈을 더 포함하고, 보안 모니터링 정책 분배 모듈은 업데이트된 보안 모니터링 정책을 NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 추가로 송신하고, 보안 모니터링 정책 시행 모듈은 NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 송신된 업데이트된 보안 모니터링 정책을 추가로 시행한다.
예 16은 예 1 내지 예 15 중 어느 하나의 주제를 포함하고, NFV 보안 서비스 제어기와 네트워크 통신하는 감사 데이터베이스에 저장된 원격 측정 데이터를 감사하는 원격 측정 데이터 감사 모듈을 더 포함하며, 원격 측정 데이터는 원격 측정 데이터를 감사 데이터베이스에 송신하는 NFV 보안 서비스 에이전트에 대응하는 보안 클록에 의해 타임스탬프화되고(timestamped), 원격 측정 데이터를 감사하는 것은 (i) 원격 측정 데이터를 검증하는 것, 및 (ⅱ) 원격 측정 데이터를 시퀀스(sequence)하는 것을 포함한다.
예 17은 네트워크 기능 가상화(NFV) 보안 아키텍처의 보안 모니터링 서비스들을 관리하기 위한 방법을 포함하며, 상기 방법은, NFV 보안 아키텍처의 NFV 보안 서비스 제어기에 의해, 보안 모니터링 정책을 NFV 보안 아키텍처의 가상 인프라구조 관리자(VIM)의 NFV 보안 서비스 제공자를 통해 NFV 보안 아키텍처의 가상 네트워크 기능(VNF) 인프라구조에 분배된 하나 이상의 NFV 보안 서비스 에이전트에 송신하는 단계 - 상기 보안 모니터링 정책은 NFV 보안 아키텍처의 원격 측정 데이터를 모니터링하고 NFV 보안 서비스 에이전트들의 구성 설정들을 조정하기 위해 NFV 보안 서비스 에이전트들에 의해 사용 가능한 모니터링 규칙들의 세트를 포함함 - ; 및 NFV 보안 서비스 제어기에 의해, NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 송신된 보안 모니터링 정책을 시행하는 단계를 포함한다.
예 18은 예 17의 주제를 포함하고, 보안 모니터링 정책을 송신하는 단계는 식별자를 송신하는 단계를 더 포함하고, 식별자는 NFV 보안 서비스 제어기에 고유하다.
예 19는 예 17 및 예 18 중 어느 하나의 주제를 포함하고, 보안 모니터링 정책을 송신하는 단계는 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 단계를 포함한다.
예 20은 예 17 내지 예 19 중 어느 하나의 주제를 포함하고, 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 단계는 보안 모니터링 정책을 NFV 보안 서비스 제어기와 NVF 보안 서비스 제공자 간의 통신에 전용인 보안 통신 채널을 통해 NVF 보안 서비스 제공자에 송신하는 단계를 포함한다
예 21은 예 17 내지 예 20 중 어느 하나의 주제를 포함하며, 보안 통신 채널을 통해 보안 모니터링 정책을 송신하는 단계는 하나 이상의 보안 키를 사용하여 통신 채널들을 보호하기 위해 신뢰 루트(RoT)를 확립하는 단계를 포함한다.
예 22는 예 17 내지 예 21 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책은 보안 모니터링 컴포넌트 구성 정보 및 원격 측정 데이터 모니터링 명령어들을 포함하고, 보안 모니터링 정책을 시행하는 단계는, (i) 하나 이상의 NFV 보안 서비스 에이전트가 보안 모니터링 컴포넌트 구성 정보의 기능으로서 구성되는지를 검증하는 단계, 및 (ⅱ) 원격 측정 데이터를 원격 측정 데이터 모니터링 명령어들의 기능으로서 모니터링하는 단계를 포함한다.
예 23은 예 17 내지 예 22 중 어느 하나의 주제를 포함하고, NFV 보안 서비스 제어기에 의해, 보안 모니터링 정책에 기초하여 서비스 기능 체인의 복수의 VNF와 연관된 복수의 서비스 에이전트로부터 구성 데이터를 수신하는 단계; NFV 보안 서비스 제어기에 의해, 서비스 기능 체인의 복수의 가상 네트워크 기능들 각각 사이의 통신 경로를 보호하는 단계; 및 NFV 보안 서비스 제어기에 의해, 수신된 구성 데이터 및 보안 모니터링 정책에 기초하여 서비스 기능 체인의 복수의 가상 네트워크 기능의 토폴로지를 검증하는 단계를 더 포함한다.
예 24는 예 17 내지 예 23 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 제어기에 의해, 서비스 기능 체인의 복수의 가상 네트워크 기능을 활성화하는 단계; NFV 보안 서비스 제어기에 의해, 하나 이상의 NFV 보안 서비스 에이전트의 NFV 보안 에이전트를 가상 네트워크 기능들 중 적어도 하나에서 인스턴스화하는 단계; 및 NFV 보안 서비스 제어기에 의해, 인스턴스화된 NFV 보안 서비스 에이전트를 가상 네트워크 기능들 중 적어도 하나에서 활성화하는 단계를 더 포함한다.
예 25는 예 17 내지 예 24 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 제어기에 의해, NFV 보안 서비스 에이전트로부터 부트스트랩 정보를 수신하는 단계를 더 포함하고, 부트스트랩 정보는 NFV 보안 서비스 에이전트의 초기화의 특성을 정의하고, NFV 보안 서비스 에이전트를 인스턴스화하는 단계는 NFV 보안 서비스 제어기와 네트워크 통신하는 컴퓨팅 노드 상에 NFV 보안 서비스 에이전트를 로딩하기 위해 NFV 보안 서비스 제어기의 부트스트랩을 실행하는 단계를 포함한다.
예 26은 예 17 내지 예 25 중 어느 하나의 주제를 포함하며, 부트스트랩 정보를 수신하는 단계는 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용 가능한 부트스트랩 구성 파라미터들, NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 중 적어도 하나를 수신하는 단계를 포함한다.
예 27은 예 17 내지 예 26 중 어느 하나의 주제를 포함하며, 보안 모니터링 정책을 시행하는 단계는 활성화된 NFV 보안 서비스 에이전트에서 보안 모니터링 정책을 시행하는 단계를 포함한다.
예 28은 예 17 내지 예 27 중 어느 하나의 주제를 포함하며, 활성화된 NFV 보안 서비스 에이전트에서 보안 모니터링 정책을 시행하는 단계는 활성화된 NFV 보안 서비스 에이전트에서 모니터링된 원격 측정 데이터가 보안 모니터링 정책의 모니터링 규칙들에 따르는지를 검증하는 단계를 포함한다.
예 29는 예 17 내지 예 28 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 검증하는 단계는, 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상화 소프트웨어 데이터, 가상 컴포넌트 구성 데이터, 가상 리소스 데이터, 하드웨어 헬스 데이터, 하드웨어 리소스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되고 있는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 검증하는 단계를 포함한다.
예 30은 예 17 내지 예 29 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 제어기에 의해, NFV 보안 모니터링 분석 시스템에 의한 하나 이상의 NFV 보안 서비스 에이전트 중 하나에 의해 송신된 원격 측정 데이터 중 적어도 일부가 보안 위협으로서 식별되었다는 결정에 응답하여, NFV 보안 서비스 제어기에 통신 가능하게 결합된 NFV 보안 모니터링 분석 시스템으로부터 교정 정책을 수신하는 단계를 더 포함한다.
예 31은 예 17 내지 예 30 중 어느 하나의 주제를 포함하고, NFV 보안 서비스 제어기에 의해, 교정 정책에 기초하여 보안 모니터링 정책을 업데이트하는 단계; NFV 보안 서비스 제어기에 의해, 업데이트된 보안 모니터링 정책을 NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 송신하는 단계; 및 NFV 보안 서비스 제어기에 의해, NFV 보안 아키텍처의 하나 이상의 보안 모니터링 컴포넌트에 송신된 업데이트된 보안 모니터링 정책을 시행하는 단계를 더 포함한다.
예 32는 예 17 내지 예 31 중 어느 하나의 주제를 포함하고, NFV 보안 서비스 제어기에 의해, NFV 보안 서비스 제어기와 네트워크 통신하는 감사 데이터베이스에 저장된 원격 측정 데이터를 감사하는 단계를 더 포함하고, 원격 측정 데이터는 원격 측정 데이터를 감사 데이터베이스에 송신하는 NFV 보안 서비스 에이전트에 대응하는 보안 클록에 의해 타임스탬프화되고, 원격 측정 데이터를 감사하는 단계는 (i) 원격 측정 데이터를 검증하는 단계, 및 (ⅱ) 원격 측정 데이터를 시퀀싱하는 단계를 포함한다.
예 33은 프로세서; 및 프로세서에 의해 실행될 때, 컴퓨팅 디바이스로 하여금 예 17 내지 예 32 중 어느 하나의 방법을 수행하게 하는 복수의 명령어가 저장되어 있는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.
예 34는, 실행되는 것에 응답하여 컴퓨팅 디바이스가 예 17 내지 예 32 중 어느 하나의 방법을 수행하는 것을 야기하는 복수의 명령어가 저장되어 있는 하나 이상의 머신 판독 가능 저장 매체를 포함한다.
예 35는 예 17 내지 예 32 중 어느 하나의 방법을 수행하기 위한 수단을 포함하는 컴퓨팅 디바이스를 포함한다.
예 36은 네트워크 기능 가상화(NFV) 보안 아키텍처의 보안 모니터링 서비스들을 관리하기 위한 NFV 보안 아키텍처의 NFV 보안 서비스 에이전트를 포함하고, 상기 NFV 보안 서비스 에이전트는, NFV 보안 아키텍처의 NFV 보안 서비스 제어기로부터 수신된 보안 모니터링 정책에 기초하여 네트워크 처리 컴포넌트의 원격 측정 데이터를 모니터링하는 원격 측정 모니터링 모듈 - NFV 보안 서비스 제어기는 NFV 보안 서비스 에이전트와 네트워크 통신하고, 보안 모니터링 정책은 NFV 보안 아키텍처의 원격 측정 데이터 및 NFV 보안 서비스 에이전트들의 구성 설정들을 모니터링하기 위해 NFV 보안 서비스 에이전트에 의해 사용 가능한 모니터링 규칙들의 세트를 포함함 - ; 보안 모니터링 정책에 기초하여 모니터링된 원격 측정 데이터의 적어도 일부를 패키징하는 원격 측정 데이터 패키징 모듈; 및 패키징된 원격 측정 데이터를 분석을 위해 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템에 송신하는 보안 통신 모듈 - 패키징된 원격 측정 데이터는 보안 모니터링 정책에 기초하여 송신됨 - 을 포함한다.
예 37은 예 36의 주제를 포함하며, 원격 측정 데이터를 모니터링하는 것은 제어 평면, 관리 평면 또는 데이터 평면 중 적어도 하나에서 원격 측정 데이터를 모니터링하는 것을 포함한다.
예 38은 예 36 및 예 37 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 모니터링하는 것은 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되고 있는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 모니터링하는 것을 포함한다.
예 39는 예 36 내지 예 38 중 어느 하나의 주제를 포함하며, 네트워크 패킷의 적어도 일부를 모니터링하는 것은, 플로우, 디바이스, 노드, 관리 도메인, 또는 지리(geography) 중 적어도 하나를 고유하게 식별하는 식별자에 기초하여 네트워크 패킷의 적어도 일부를 모니터링하는 것을 포함한다.
예 40은 예 36 내지 예 39 중 어느 하나의 주체를 포함하며, 모니터링된 원격 측정 데이터를 패키징하는 것은 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 네트워크 패킷의 적어도 일부 중 적어도 하나를 패키징하는 것을 포함한다.
예 41은 예 36 내지 예 40 중 어느 하나의 주체를 포함하며, 원격 측정 데이터 패키징 모듈은 패키징된 원격 측정 데이터를 추가로 갖는, NFV 보안 서비스 에이전트를 고유하게 식별하는 식별자를 추가로 패키징하고, 원격 측정 데이터 분배 모듈은 패키징된 원격 측정 데이터를 갖는 식별자를 추가로 송신한다.
예 42는 예 36 내지 예 41 중 어느 하나의 주제를 포함하며, 보안 통신 모듈이 NFV 보안 서비스 제어기로부터 인스턴스화 요청을 수신했다는 결정에 응답하여, NFV 보안 아키텍처의 네트워크 처리 컴포넌트 상에 NFV 보안 서비스 에이전트를 로딩하기 위해 부트스트랩 프로세스를 실행하는 부트스트랩 실행 모듈을 더 포함하고, 보안 통신 모듈은 부트스트랩 정보를 NFV 보안 서비스 제어기에 추가로 송신하고, 부트스트랩 정보는 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용 가능한 부트스트랩 구성 파라미터들, NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 중 적어도 하나를 수신하는 것을 포함한다.
예 43은 예 36 내지 예 42 중 어느 하나의 주제를 포함하며, 보안 통신 모듈은 추가로, (ⅰ) NFV 보안 서비스 제어기로부터 활성화 신호를 수신하고, (ⅱ) NFV 보안 아키텍처의 NFV 관리자와 관리 세션을 확립하고, NFV 관리자는 NFV 보안 서비스 에이전트와 통신 가능하게 결합된다.
예 44는 예 36 내지 예 43 중 어느 하나의 주제를 포함하고, 보안 통신 모듈은 NFV 보안 서비스 제어기로부터 보안 모니터링 정책을 추가로 수신한다.
예 45는 예 36 내지 예 44 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 제어기로부터 보안 모니터링 정책을 수신하는 것은 NFV 보안 서비스 에이전트 및 NFV 보안 서비스 제어기에 통신 가능하게 결합된 가상화 인터페이스 관리자의 NFV 보안 서비스 제공자로부터 보안 모니터링 정책을 수신하는 것을 포함한다.
예 46은 예 36 내지 예 45 중 어느 하나의 주제를 포함하며, 원격 측정 데이터 모니터링 모듈은 보안 모니터링 정책의 모니터링 규칙들에 기초하여 모니터링을 위해 네트워크 트래픽을 추가로 매핑한다.
예 47은 예 36 내지 예 46 중 어느 하나의 주제를 포함하며, 부트스트랩 정보를 NFV 보안 서비스 제어기에 송신하는 것은 부트스트랩 정보를 NFV 보안 서비스 에이전트 및 NFV 보안 서비스 제어기에 통신 가능하게 결합된 가상화 인터페이스 관리자의 NFV 보안 서비스 제공자에 송신하는 것을 포함한다.
예 48은 예 36 내지 예 47 중 어느 하나의 주제를 포함하며, 부트스트랩 프로세스를 실행하는 것은 NFV 보안 아키텍처의 컴퓨팅 노드 상에서 현재 실행중인 하이퍼바이저, 컴퓨팅 노드의 플랫폼, 또는 컴퓨팅 노드 상에서 현재 실행중인 가상 네트워크 기능 중 하나에서 부트스트랩 프로세스를 실행하는 것을 포함한다.
예 49는 예 36 내지 예 48 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 검증하는 것은, 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 검증하는 것을 포함한다.
예 50은 예 36 내지 예 49 중 어느 하나의 주제를 포함하며, 보안 통신 모듈은 NFV 보안 서비스 제어기로부터 업데이트된 보안 모니터링 정책을 추가로 수신하고, 업데이트된 보안 모니터링 정책은 검출된 보안 위협을 처리하기 위해 NFV 보안 서비스 에이전트에 의해 수행될 교정 액션을 포함하고, 원격 측정 데이터 모니터링 모듈은 검출된 보안 위협을 처리하기 위해 교정 액션을 추가로 수행한다.
예 51은 예 36 내지 예 50 중 어느 하나의 주제를 포함하며, 원격 측정 데이터 패키징 모듈은 패키징된 원격 측정 데이터에 타임스탬프를 추가로 적용하고, 보안 통신 모듈은 패키징된 원격 측정 데이터를 갖는 타임스탬프를 추가로 송신한다.
예 52는 네트워크 기능 가상화(NFV) 보안 아키텍처의 보안 모니터링 서비스들을 수행하기 위한 방법을 포함하며, 상기 방법은, NFV 보안 서비스 에이전트에 의해, NFV 보안 아키텍처의 NFV 보안 서비스 제어기로부터 수신된 보안 모니터링 정책에 기초하여 네트워크 처리 컴포넌트의 원격 측정 데이터를 모니터링하는 단계 - NFV 보안 서비스 제어기는 NFV 보안 서비스 에이전트와 네트워크 통신하고, 보안 모니터링 정책은 NFV 보안 아키텍처의 원격 측정 데이터 및 NFV 보안 서비스 에이전트들의 구성 설정들을 모니터링하기 위해 NFV 보안 서비스 에이전트에 의해 사용 가능한 모니터링 규칙들의 세트를 포함함 - ; NFV 보안 서비스 에이전트에 의해, 보안 모니터링 정책에 기초하여 모니터링된 원격 측정 데이터의 적어도 일부를 패키징하는 단계; 및 NFV 보안 서비스 에이전트에 의해, 패키징된 원격 측정 데이터를 분석을 위해 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템에 송신하는 단계 - 패키징된 원격 측정 데이터는 보안 모니터링 정책에 기초하여 송신됨 - 를 포함한다.
예 53은 예 52의 주제를 포함하며, 원격 측정 데이터를 모니터링하는 단계는 제어 평면, 관리 평면 또는 데이터 평면 중 적어도 하나에서 원격 측정 데이터를 모니터링하는 단계를 포함한다.
예 54는 예 52 및 예 53 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 모니터링하는 단계는 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되고 있는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 모니터링하는 단계를 포함한다.
예 55는 예 52 내지 예 54 중 어느 하나의 주제를 포함하며, 네트워크 패킷의 적어도 일부를 모니터링하는 단계는, 플로우, 디바이스, 노드, 관리 도메인, 또는 지리 중 적어도 하나를 고유하게 식별하는 식별자에 기초하여 네트워크 패킷의 적어도 일부를 모니터링하는 단계를 포함한다.
예 56은 예 52 내지 예 55 중 어느 하나의 주체를 포함하며, 모니터링된 원격 측정 데이터를 패키징하는 단계는 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 네트워크 패킷의 적어도 일부 중 적어도 하나를 패키징하는 단계를 포함한다.
예 57은 예 52 내지 예 56 중 어느 하나의 주체를 포함하며, 패키징된 원격 측정 데이터를 추가로 갖는, NFV 보안 서비스 에이전트를 고유하게 식별하는 식별자를 패키징하는 단계를 더 포함하고, 패키징된 원격 측정 데이터를 송신하는 단계는 식별자를 송신하는 단계를 더 포함한다.
예 58은 예 52 내지 예 57 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트에 의해, NFV 보안 서비스 제어기로부터 인스턴스화 요청을 수신하는 단계; NFV 보안 서비스 에이전트에 의해, NFV 보안 아키텍처의 네트워크 처리 컴포넌트 상에 NFV 보안 서비스 에이전트를 로딩하기 위해 부트스트랩 프로세스를 실행하는 단계; 및 NFV 보안 서비스 에이전트에 의해, 부트스트랩 정보를 NFV 보안 서비스 제어기에 송신하는 단계를 더 포함하고, 부트스트랩 정보는 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용 가능한 부트스트랩 구성 파라미터들, NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 중 적어도 하나를 수신하는 것을 포함한다.
예 59는 예 52 내지 예 58 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트에 의해, NFV 보안 서비스 제어기로부터 활성화 신호를 수신하는 단계; 및 NFV 보안 서비스 에이전트에 의해, NFV 보안 아키텍처의 NFV 관리자와 관리 세션을 확립하는 단계를 더 포함하고, NFV 관리자는 NFV 보안 서비스 에이전트와 통신 가능하게 결합된다.
예 60은 예 52 내지 예 59 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트에 의해, NFV 보안 서비스 제어기로부터 보안 모니터링 정책을 수신하는 단계를 더 포함한다.
예 61은 예 52 내지 예 60 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 제어기로부터 보안 모니터링 정책을 수신하는 단계는 NFV 보안 서비스 에이전트 및 NFV 보안 서비스 제어기에 통신 가능하게 결합된 가상화 인터페이스 관리자의 NFV 보안 서비스 제공자로부터 보안 모니터링 정책을 수신하는 단계를 포함한다.
예 62는 예 52 내지 예 61 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트에 의해, 보안 모니터링 정책의 모니터링 규칙들에 기초하여 모니터링을 위해 네트워크 트래픽을 매핑하는 단계를 더 포함한다.
예 63은 예 52 내지 예 62 중 어느 하나의 주제를 포함하며, 부트스트랩 정보를 NFV 보안 서비스 제어기에 송신하는 단계는 부트스트랩 정보를 NFV 보안 서비스 에이전트 및 NFV 보안 서비스 제어기에 통신 가능하게 결합된 가상화 인터페이스 관리자의 NFV 보안 서비스 제공자에 송신하는 단계를 포함한다.
예 64는 예 52 내지 예 63 중 어느 하나의 주제를 포함하며, 부트스트랩 프로세스를 실행하는 단계는 NFV 보안 아키텍처의 컴퓨팅 노드 상에서 현재 실행중인 하이퍼바이저, 컴퓨팅 노드의 플랫폼, 또는 컴퓨팅 노드 상에서 현재 실행중인 가상 네트워크 기능 중 하나에서 부트스트랩 프로세스를 실행하는 단계를 포함한다.
예 65는 예 52 내지 예 64 중 어느 하나의 주제를 포함하며, 원격 측정 데이터를 검증하는 단계는, 보안 통계, 하드웨어 구성 데이터, 소프트웨어 구성 데이터, 가상 컴포넌트 구성 데이터, 하드웨어 헬스 데이터, 또는 활성화된 NFV 보안 서비스 에이전트에서 모니터링되고 있는 네트워크 패킷의 적어도 일부 중 적어도 하나가 보안 모니터링 정책의 모니터링 규칙들에 따라 모니터링되고 있는지를 검증하는 단계를 포함한다.
예 66은 예 52 내지 예 65 중 어느 하나의 주제를 포함하며, NFV 보안 서비스 에이전트에 의해, NFV 보안 서비스 제어기로부터 업데이트된 보안 모니터링 정책을 수신하는 단계 - 업데이트된 보안 모니터링 정책은 검출된 보안 위협을 처리하기 위해 NFV 보안 서비스 에이전트에 의해 수행될 교정 액션을 포함함 - ; 및 NFV 보안 서비스 에이전트에 의해, 검출된 보안 위협을 처리하기 위해 교정 액션을 수행하는 단계를 더 포함한다.
예 67은 예 52 내지 예 66 중 어느 하나의 주제를 포함하며, 패키징된 원격 측정 데이터에 타임스탬프를 적용하는 단계를 더 포함하고, 패키징된 원격 측정 데이터를 송신하는 단계는 타임스탬프를 송신하는 단계를 더 포함한다.
예 68은 프로세서; 및 프로세서에 의해 실행될 때, 컴퓨팅 디바이스로 하여금 예 52 내지 예 67 중 어느 하나의 방법을 수행하게 하는 복수의 명령어가 저장되어 있는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.
예 69는, 실행되는 것에 응답하여 컴퓨팅 디바이스가 예 52 내지 예 67 중 어느 하나의 방법을 수행하는 것을 야기하는 복수의 명령어가 저장되어 있는 하나 이상의 머신 판독 가능 저장 매체를 포함한다.
예 70은 예 52 내지 예 67 중 어느 하나의 방법을 수행하기 위한 수단을 포함하는 컴퓨팅 디바이스를 포함한다.

Claims (31)

  1. 명령어들이 저장되어 있는 컴퓨터 판독가능 매체로서,
    상기 명령어들은, 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 네트워크 기능 가상화(network functions virtualization)(NFV) 보안 서비스 에이전트(security services agent)(SSA)(NFV SSA)를 수행하게 하고, 상기 NFV SSA는:
    보안 모니터링 정책을 수신하고;
    설정된 명칭, 보안 정책 그룹들, 및 테넌트별 정책들로 상기 NFV SSA를 구성하고;
    상기 보안 모니터링 정책에 기초하여 플랫폼의 원격 측정 데이터 또는 가상화된 네트워크 기능(virtualized network function)(VNF)의 원격 측정 데이터를 모니터링하고 - 상기 보안 모니터링 정책은 상기 플랫폼 또는 상기 가상화된 네트워크 기능의 원격 측정 데이터를 모니터링하기 위해 상기 NFV SSA에 의해 사용되는 모니터링 규칙들을 포함함 -;
    보안 제어기로부터의 구성을 사용하여 보안 채널의 일부를 형성하고;
    분석을 위해 상기 보안 채널을 통해 보안 모니터링 분석 시스템에 상기 보안 모니터링 정책에 기초하여 모니터링되는 상기 원격 측정 데이터의 적어도 일부를 제공하는, 컴퓨터 판독가능 매체.
  2. 제1항에 있어서, 상기 NFV SSA는 독립형 보안 엔진에서 실행되는, 컴퓨터 판독가능 매체.
  3. 제1항에 있어서, 상기 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 I/O 서브시스템, 네트워크 인터페이스 카드(NIC), 또는 스위치 중 하나 이상의 원격 측정 데이터를 모니터링하는 NFV SSA를 수행하게 하는 명령어들이 저장되어 있는, 컴퓨터 판독가능 매체.
  4. 제1항에 있어서, 상기 VNF의 원격 측정 데이터는 가상 라우터, 가상 스위치, 방화벽, 네트워크 어드레스 변환(NAT), 진화된 패킷 코어(EPC), 이동성 관리 엔티티(mobility management entity)(MME), 패킷 데이터 네트워크 게이트웨이(PGW), 서빙 게이트웨이(SGW), 또는 과금 기능과 관련된 하나 이상의 정보를 포함하는, 컴퓨터 판독가능 매체.
  5. 제1항에 있어서, 상기 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 방화벽 서비스들, 네트워크 어드레스 변환(network address translation)(NAT) 서비스들, 로드 밸런싱 서비스들, 딥 패킷 분석(deep packet inspection)(DPI) 서비스들, 송신 제어 프로토콜(transmission control protocol)(TCP) 최적화 서비스들, 침입 탐지 서비스들 중 하나 이상을 수행하는 VNF를 수행하게 하는 명령어들이 저장되어 있는, 컴퓨터 판독가능 매체.
  6. 제1항에 있어서, 상기 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 개인화 데이터, 및 상기 설정된 명칭, 상기 보안 정책 그룹들, 또는 상기 테넌트별 정책들 중 하나 이상을 수신하는 NFV SSA를 수행하게 하는 명령어들이 저장되어 있는, 컴퓨터 판독가능 매체.
  7. 제1항에 있어서, 상기 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 상기 NFV SSA를 배치하기 위해 부트스트랩을 실행하게 하는 명령어들이 저장되어 있는, 컴퓨터 판독가능 매체.
  8. 제1항에 있어서, 상기 VNF는 서비스 기능 체인을 포함하는, 컴퓨터 판독가능 매체.
  9. 제1항에 있어서, 상기 원격 측정 데이터는 보안 통계, 하드웨어 또는 가상 리소스들로부터의 구성 및 헬스 데이터, 헤더 부분, 페이로드 부분, 가상 로컬 영역 네트워크(virtual local area network)(VLAN), 계층 2(L2), 또는 계층 3(L3) 태그들과 연관된 플로우 부분 중 하나 이상을 포함하는, 컴퓨터 판독가능 매체.
  10. 제1항에 있어서, 상기 적어도 하나의 프로세서에 의해 실행될 때, 상기 적어도 하나의 프로세서로 하여금 적용 가능한 보안 모니터링 정책을 업데이트하는 NFV SSA를 수행하게 하는 명령어들이 저장되어 있는, 컴퓨터 판독가능 매체.
  11. 제1항에 있어서, 상기 적어도 하나의 프로세서는 PCI 익스프레스(express) 호환 인터페이스를 갖는 네트워크 인터페이스 제어기를 포함하는 플랫폼에 제공되는, 컴퓨터 판독가능 매체.
  12. 원격 측정 데이터를 모니터링하기 위한 컴퓨팅 플랫폼으로서,
    네트워크 인터페이스 수단;
    메모리 수단; 및
    상기 네트워크 인터페이스 수단 및 상기 메모리 수단에 결합된 적어도 하나의 프로세서 수단
    을 포함하고,
    상기 적어도 하나의 프로세서 수단은 네트워크 기능 가상화(NFV) 보안 서비스 에이전트(NFV SSA)를 수행하고, 상기 NFV SSA는:
    보안 모니터링 정책을 수신하고;
    설정된 명칭, 보안 정책 그룹들, 및 테넌트별 정책들로 상기 NFV SSA를 구성하고;
    상기 보안 모니터링 정책에 기초하여 플랫폼의 원격 측정 데이터 또는 가상화된 네트워크 기능(VNF)의 원격 측정 데이터를 모니터링하고 - 상기 보안 모니터링 정책은 상기 플랫폼 또는 상기 가상화된 네트워크 기능의 원격 측정 데이터를 모니터링하기 위해 사용되는 모니터링 규칙들을 포함함 -;
    보안 제어기로부터의 구성을 사용하여 보안 채널의 일부를 형성하고;
    분석을 위해 상기 보안 채널을 통해 보안 모니터링 분석 시스템에 상기 보안 모니터링 정책에 기초하여 모니터링되는 원격 측정 데이터의 적어도 일부를 제공하는, 컴퓨팅 플랫폼.
  13. 제12항에 있어서,
    상기 적어도 하나의 프로세서 수단은 상기 VNF를 수행하고, 상기 VNF를 수행하기 위해, 상기 적어도 하나의 프로세서 수단은 방화벽 서비스들, 네트워크 어드레스 변환(NAT) 서비스들, 로드 밸런싱 서비스들, 딥 패킷 분석(DPI) 서비스들, 송신 제어 프로토콜(TCP) 최적화 서비스들, 침입 탐지 서비스들 중 하나 이상을 수행하는, 컴퓨팅 플랫폼.
  14. 제12항에 있어서, 상기 NFV SSA를 수행하는 상기 적어도 하나의 프로세서 수단은 독립형 보안 엔진을 포함하는, 컴퓨팅 플랫폼.
  15. 제12항에 있어서, 상기 적어도 하나의 프로세서 수단에 결합된 I/O 서브시스템 수단, 상기 적어도 하나의 프로세서 수단에 결합된 네트워크 인터페이스 카드(NIC), 또는 상기 적어도 하나의 프로세서 수단에 결합된 스위칭 수단 중 하나 이상을 포함하고, 상기 NFV SSA를 수행하는 상기 적어도 하나의 프로세서 수단은 상기 I/O 서브시스템, 상기 NIC, 또는 스위치 중 하나 이상의 원격 측정 데이터를 모니터링하는, 컴퓨팅 플랫폼.
  16. 제12항에 있어서, 상기 VNF의 원격 측정 데이터는 가상 라우터, 가상 스위치, 방화벽, 네트워크 어드레스 변환(NAT), 진화된 패킷 코어(EPC), 이동성 관리 엔티티(MME), 패킷 데이터 네트워크 게이트웨이(PGW), 서빙 게이트웨이(SGW), 또는 과금 기능과 관련된 하나 이상의 정보를 포함하는, 컴퓨팅 플랫폼.
  17. 제12항에 있어서,
    상기 NFV SSA는 개인화 데이터, 및 상기 설정된 명칭, 상기 보안 정책 그룹들, 또는 상기 테넌트별 정책들 중 하나 이상을 수신하는, 컴퓨팅 플랫폼.
  18. 제12항에 있어서,
    상기 NFV SSA를 수행하는 상기 적어도 하나의 프로세서 수단은 상기 NFV SSA를 배치하기 위해 부트스트랩을 사용하는, 컴퓨팅 플랫폼.
  19. 제12항에 있어서,
    상기 VNF는 서비스 기능 체인을 포함하는, 컴퓨팅 플랫폼.
  20. 제12항에 있어서, 상기 원격 측정 데이터는 보안 통계, 하드웨어 또는 가상 리소스들로부터의 구성 및 헬스 데이터, 헤더 부분, 페이로드 부분, 가상 로컬 영역 네트워크(VLAN), 계층 2(L2), 또는 계층 3(L3) 태그들과 연관된 플로우 부분 중 하나 이상을 포함하는, 컴퓨팅 플랫폼.
  21. 제12항에 있어서, 상기 네트워크 인터페이스 수단은 상기 NFV SSA를 수행하는 상기 적어도 하나의 프로세서 수단을 포함하고, 상기 네트워크 인터페이스 수단은 PCI 익스프레스 호환 인터페이스를 포함하는, 컴퓨팅 플랫폼.
  22. 제12항에 있어서,
    상기 네트워크 인터페이스 수단과 통신하는 상기 보안 제어기; 및
    상기 네트워크 인터페이스 수단과 통신하는 상기 보안 모니터링 분석 시스템
    을 더 포함하는, 컴퓨팅 플랫폼.
  23. 네트워크 기능 가상화(NFV) 보안 서비스 에이전트(NFV SSA)를 실행하기 위한 방법으로서,
    보안 모니터링 정책을 수신하는 단계;
    설정된 명칭, 보안 정책 그룹들, 및 테넌트별 정책들로 상기 NFV SSA를 구성하는 단계;
    상기 보안 모니터링 정책에 기초하여 플랫폼의 원격 측정 데이터 또는 가상화된 네트워크 기능(VNF)의 원격 측정 데이터를 모니터링하는 단계 - 상기 보안 모니터링 정책은 상기 플랫폼 또는 상기 가상화된 네트워크 기능의 원격 측정 데이터를 모니터링하기 위해 상기 NFV SSA에 의해 사용되는 모니터링 규칙들을 포함함 -;
    보안 제어기로부터의 구성을 사용하여 보안 채널의 일부를 설정하는 단계; 및
    분석을 위해 상기 보안 채널을 통해 보안 모니터링 분석 시스템에 상기 보안 모니터링 정책에 기초하여 모니터링되는 원격 측정 데이터의 적어도 일부가 송신되게 하는 단계
    를 포함하는 방법.
  24. 제23항에 있어서, 상기 플랫폼의 원격 측정 데이터 또는 상기 가상화된 네트워크 기능(VNF)의 원격 측정 데이터를 모니터링하는 단계는 독립형 보안 엔진에서 발생하는, 방법.
  25. 제23항에 있어서, 상기 플랫폼의 원격 측정 데이터를 모니터링하는 단계는 I/O 서브시스템, 네트워크 인터페이스 카드(NIC), 또는 스위치 중 하나 이상의 플랫폼의 원격 측정 데이터를 모니터링하는 단계를 포함하는, 방법.
  26. 제23항에 있어서, 상기 VNF의 원격 측정 데이터는 가상 라우터, 가상 스위치, 방화벽, 네트워크 어드레스 변환(NAT), 진화된 패킷 코어(EPC), 이동성 관리 엔티티(MME), 패킷 데이터 네트워크 게이트웨이(PGW), 서빙 게이트웨이(SGW), 또는 과금 기능과 관련된 하나 이상의 정보를 포함하는, 방법.
  27. 제23항에 있어서, 상기 VNF를 수행하는 단계를 포함하고, 상기 VNF를 수행하는 단계는 방화벽 서비스들, 네트워크 어드레스 변환(NAT) 서비스들, 로드 밸런싱 서비스들, 딥 패킷 분석(DPI) 서비스들, 송신 제어 프로토콜(TCP) 최적화 서비스들, 침입 탐지 서비스들 중 하나 이상을 실행하는 단계를 포함하는, 방법.
  28. 제23항에 있어서, 개인화 데이터, 및 상기 설정된 명칭, 상기 보안 정책 그룹들, 또는 상기 테넌트별 정책들 중 하나 이상을 수신하는 단계를 포함하는, 방법.
  29. 제23항에 있어서, 상기 NFV SSA를 배치하기 위해 부트스트랩을 실행하는 단계를 포함하는, 방법.
  30. 제23항에 있어서, 상기 VNF는 서비스 기능 체인을 포함하는, 방법.
  31. 제23항에 있어서, 상기 원격 측정 데이터는 보안 통계, 하드웨어 또는 가상 리소스들로부터의 구성 및 헬스 데이터, 헤더 부분, 페이로드 부분, 가상 로컬 영역 네트워크(VLAN), 계층 2(L2), 또는 계층 3(L3) 태그들과 연관된 플로우 부분 중 하나 이상을 포함하는, 방법.
KR1020177020803A 2015-02-04 2015-12-29 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술 KR102454075B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562112151P 2015-02-04 2015-02-04
US62/112,151 2015-02-04
US14/709,168 US9560078B2 (en) 2015-02-04 2015-05-11 Technologies for scalable security architecture of virtualized networks
US14/709,168 2015-05-11
PCT/US2015/067887 WO2016126347A1 (en) 2015-02-04 2015-12-29 Technologies for scalable security architecture of virtualized networks

Publications (2)

Publication Number Publication Date
KR20170115046A KR20170115046A (ko) 2017-10-16
KR102454075B1 true KR102454075B1 (ko) 2022-10-14

Family

ID=56554962

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177020803A KR102454075B1 (ko) 2015-02-04 2015-12-29 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술

Country Status (6)

Country Link
US (3) US9560078B2 (ko)
EP (2) EP3657753A1 (ko)
KR (1) KR102454075B1 (ko)
CN (2) CN107251514B (ko)
TW (1) TWI604333B (ko)
WO (1) WO2016126347A1 (ko)

Families Citing this family (123)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US10764323B1 (en) * 2015-12-21 2020-09-01 Amdocs Development Limited System, method, and computer program for isolating services of a communication network in response to a distributed denial of service (DDoS) attack
US10749905B2 (en) 2017-07-31 2020-08-18 Amdocs Development Limited System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS)
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
CN110474960B (zh) * 2014-12-23 2021-07-09 华为技术有限公司 一种虚拟化网络中业务部署的方法和装置
WO2016146494A1 (en) * 2015-03-13 2016-09-22 Koninklijke Kpn N.V. Method and control system for controlling provisioning of a service in a network
US9509587B1 (en) * 2015-03-19 2016-11-29 Sprint Communications Company L.P. Hardware root of trust (HROT) for internet protocol (IP) communications
JP6538192B2 (ja) * 2015-04-03 2019-07-03 華為技術有限公司Huawei Technologies Co.,Ltd. ネットワーク管理のシステム、デバイス、および方法
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
CN106325563B (zh) * 2015-06-15 2021-06-04 联想企业解决方案(新加坡)有限公司 用于标识电子设备的数据存储设备及相应的方法
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US9973401B2 (en) * 2015-09-30 2018-05-15 Intel Corporation Service function path performance monitoring
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10033764B1 (en) * 2015-11-16 2018-07-24 Symantec Corporation Systems and methods for providing supply-chain trust networks
US11757946B1 (en) * 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10505990B1 (en) 2016-01-20 2019-12-10 F5 Networks, Inc. Methods for deterministic enforcement of compliance policies and devices thereof
US10601872B1 (en) 2016-01-20 2020-03-24 F5 Networks, Inc. Methods for enhancing enforcement of compliance policies based on security violations and devices thereof
US10374922B2 (en) * 2016-02-24 2019-08-06 Cisco Technology, Inc. In-band, health-based assessments of service function paths
US10572650B2 (en) * 2016-02-29 2020-02-25 Intel Corporation Technologies for independent service level agreement monitoring
KR101759429B1 (ko) * 2016-03-24 2017-07-31 숭실대학교산학협력단 멀티 도메인 환경에서 도메인과 대응되는 피어 및 이의 제어 방법
CN109075986B (zh) * 2016-05-06 2020-09-18 华为技术有限公司 一种网络功能实例的管理方法及相关设备
EP3455776B1 (en) 2016-05-10 2021-11-10 Firstpoint Mobile Guard Ltd. System for securing communication and information of mobile devices through a controlled cellular communication network
US10149193B2 (en) 2016-06-15 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for dynamically managing network resources
KR101846079B1 (ko) * 2016-07-15 2018-04-05 주식회사 케이티 Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드
EP3510722B1 (en) 2016-09-08 2021-07-21 Nec Corporation Network function virtualization system and verifying method
US20190372939A1 (en) * 2016-09-16 2019-12-05 Nokia Solutions And Networks Oy Malicious network activity mitigation
EP3506582B1 (en) * 2016-09-20 2021-03-03 Huawei Technologies Co., Ltd. Method and device for deploying security policy
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
WO2018068202A1 (en) * 2016-10-11 2018-04-19 Nokia Technologies Oy Virtualized network function security wrapping orchestration in the cloud environment
US10469359B2 (en) * 2016-11-03 2019-11-05 Futurewei Technologies, Inc. Global resource orchestration system for network function virtualization
US10505870B2 (en) 2016-11-07 2019-12-10 At&T Intellectual Property I, L.P. Method and apparatus for a responsive software defined network
CN108092934A (zh) * 2016-11-21 2018-05-29 中国移动通信有限公司研究院 安全服务系统及方法
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
US11470119B2 (en) * 2016-12-19 2022-10-11 Nicira, Inc. Native tag-based configuration for workloads in a virtual computing environment
US10430581B2 (en) * 2016-12-22 2019-10-01 Chronicle Llc Computer telemetry analysis
US10404456B2 (en) * 2016-12-29 2019-09-03 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trusted hosted MANO
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
CN107124303B (zh) * 2017-04-19 2020-08-04 电子科技大学 低传输时延的服务链优化方法
US10749796B2 (en) 2017-04-27 2020-08-18 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a software defined network
US10819606B2 (en) 2017-04-27 2020-10-27 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a converged network
US10673751B2 (en) 2017-04-27 2020-06-02 At&T Intellectual Property I, L.P. Method and apparatus for enhancing services in a software defined network
US10958990B2 (en) * 2017-05-03 2021-03-23 Intel Corporation Trusted platform telemetry mechanisms inaccessible to software
US10382903B2 (en) 2017-05-09 2019-08-13 At&T Intellectual Property I, L.P. Multi-slicing orchestration system and method for service and/or content delivery
US10257668B2 (en) 2017-05-09 2019-04-09 At&T Intellectual Property I, L.P. Dynamic network slice-switching and handover system and method
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
US10070344B1 (en) 2017-07-25 2018-09-04 At&T Intellectual Property I, L.P. Method and system for managing utilization of slices in a virtual network function environment
TWI630488B (zh) * 2017-08-04 2018-07-21 中華電信股份有限公司 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US20190044809A1 (en) * 2017-08-30 2019-02-07 Intel Corporation Technologies for managing a flexible host interface of a network interface controller
US10594735B2 (en) * 2017-09-28 2020-03-17 At&T Intellectual Property I, L.P. Tag-based security policy creation in a distributed computing environment
CN109639449B (zh) * 2017-10-09 2021-09-03 中兴通讯股份有限公司 虚拟化流镜像策略自动化管理的方法、设备及介质
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10637756B2 (en) 2017-11-13 2020-04-28 Cisco Technology, Inc. Traffic analytics service for telemetry routers and monitoring systems
CN109784085B (zh) * 2017-11-15 2023-10-27 中兴通讯股份有限公司 虚拟网络应用实现方法及管理系统、计算机可读存储介质
CN109818867B (zh) * 2017-11-21 2020-10-27 华为技术有限公司 一种配置方法及装置
CN109905258B (zh) * 2017-12-07 2020-11-17 华为技术有限公司 PaaS的管理方法、装置及存储介质
KR102423755B1 (ko) 2017-12-14 2022-07-21 삼성전자주식회사 패킷 전송을 제어하는 서버 및 방법
US20190190857A1 (en) * 2017-12-15 2019-06-20 Complete Innovations Inc. Snapshots buffering service
US10742532B2 (en) 2017-12-18 2020-08-11 Futurewei Technologies, Inc. Non-intrusive mechanism to measure network function packet processing delay
US10104548B1 (en) 2017-12-18 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for dynamic instantiation of virtual service slices for autonomous machines
CN108364223B (zh) * 2017-12-29 2021-01-26 创新先进技术有限公司 一种数据审计的方法及装置
CN110113177B (zh) * 2018-02-01 2020-12-04 中国移动通信有限公司研究院 NFV系统license的管理方法、装置和计算机可读存储介质
EP3747157B1 (en) * 2018-02-02 2023-10-18 Nokia Solutions and Networks Oy Using self-operation cases to identify and resolve issues causing network slice reselection
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11509643B2 (en) 2018-04-30 2022-11-22 Google Llc Enclave interactions
CN112005230B (zh) * 2018-04-30 2024-05-03 谷歌有限责任公司 通过统一的安全区接口管理安全区创建
CN112005237B (zh) 2018-04-30 2024-04-30 谷歌有限责任公司 安全区中的处理器与处理加速器之间的安全协作
US10686678B2 (en) 2018-05-25 2020-06-16 Hewlett Packard Enterprise Development Lp Device for orchestrating distributed application deployment with end-to-end performance guarantee
FR3081582A1 (fr) * 2018-06-18 2019-11-29 Orange Procede d'installation d'une fonction reseau virtualisee
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10243793B1 (en) 2018-08-13 2019-03-26 Nefeli Networks, Inc. Modular system framework for software network function automation
WO2020053792A1 (en) * 2018-09-14 2020-03-19 Telefonaktiebolaget Lm Ericsson (Publ) Malchain detection
CN110912726B (zh) * 2018-09-18 2023-04-07 中兴通讯股份有限公司 服务的提供方法、装置、系统、存储介质及电子装置
US10819743B2 (en) * 2018-11-05 2020-10-27 Nanning Fugui Precision Industrial Co., Ltd. Anti-replay processing method and device utilizing the same
RU188796U1 (ru) * 2018-11-15 2019-04-23 Общество с ограниченной ответственностью "БУЛАТ" Абонентское сетевое устройство с виртуализированными сетевыми функциями
US11232204B2 (en) * 2018-11-20 2022-01-25 Sap Se Threat detection using artifact change analysis
US10855757B2 (en) * 2018-12-19 2020-12-01 At&T Intellectual Property I, L.P. High availability and high utilization cloud data center architecture for supporting telecommunications services
CN111404764B (zh) * 2019-01-02 2021-11-19 中国移动通信有限公司研究院 一种电信云预集成部署测试方法及装置
US11251942B2 (en) 2019-01-09 2022-02-15 Alibaba Group Holding Limited Secure communication channel between encryption/decryption component and trusted execution environment
US11297100B2 (en) * 2019-01-14 2022-04-05 Red Hat, Inc. Concealed monitor communications from a task in a trusted execution environment
CN110022230B (zh) * 2019-03-14 2021-03-16 北京邮电大学 基于深度强化学习的服务链并行部署方法及装置
US10936422B1 (en) 2019-03-22 2021-03-02 T-Mobile lnnovations LLC Recovery of virtual network function (VNF) boot functionality
TWI702540B (zh) * 2019-03-22 2020-08-21 鼎新電腦股份有限公司 負載控制方法
US11012294B2 (en) 2019-04-17 2021-05-18 Nefeli Networks, Inc. Inline data plane monitor placement and operation for network function virtualization
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
KR102180038B1 (ko) * 2019-06-27 2020-11-17 국방과학연구소 전술 메쉬망 환경에서의 wan 노드 장치
CN110545228B (zh) * 2019-07-26 2020-11-20 北京邮电大学 服务功能链请求处理方法及系统
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11316884B2 (en) * 2019-09-03 2022-04-26 At&T Intellectual Property I, L.P. Software defined network white box infection detection and isolation
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11449896B2 (en) * 2019-09-30 2022-09-20 Mcafee, Llc Mitigation of deceptive advertisements
US11509534B2 (en) * 2019-10-23 2022-11-22 Juniper Networks, Inc. Collection of error packet information for network policy enforcement
WO2021105201A1 (en) * 2019-11-25 2021-06-03 Telefonaktiebolaget Lm Ericsson (Publ) TECHNIQUE FOR REPLACING VNFMs IN A VNF BASED ENVIRONMENT
US11218360B2 (en) 2019-12-09 2022-01-04 Quest Automated Services, LLC Automation system with edge computing
US20200287813A1 (en) * 2020-04-16 2020-09-10 Patrick KUTCH Method and apparatus for workload feedback mechanism facilitating a closed loop architecture
CN111901154B (zh) * 2020-07-04 2022-05-27 烽火通信科技股份有限公司 基于nfv的安全架构系统和安全部署及安全威胁处理方法
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
EP4218212A1 (en) * 2020-09-23 2023-08-02 ExtraHop Networks, Inc. Monitoring encrypted network traffic
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
US11522814B2 (en) 2020-11-24 2022-12-06 International Business Machines Corporation Virtualized fabric login server for storage area network
US11709699B2 (en) 2020-11-24 2023-07-25 International Business Machines Corporation Virtualized fabric name server for storage area network
US11683372B2 (en) 2020-11-24 2023-06-20 International Business Machines Corporation Virtualized fabric management server for storage area network
CN114760080B (zh) * 2020-12-28 2023-03-14 中国科学院沈阳自动化研究所 基于容器的工业云平台边缘计算安全防护系统及方法
US11516185B2 (en) * 2021-03-13 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for enabling cloud-based management services using an on-sii e management cloud engine
US11526617B2 (en) 2021-03-24 2022-12-13 Bank Of America Corporation Information security system for identifying security threats in deployed software package
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11683345B2 (en) * 2021-07-09 2023-06-20 Zscaler, Inc. Application identity-based enforcement of datagram protocols
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11728955B2 (en) 2021-11-01 2023-08-15 International Business Machines Corporation Dynamic telecom network agent filtering
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN115296873A (zh) * 2022-07-26 2022-11-04 北京科能腾达信息技术股份有限公司 一种计算机网络安全控制器、介质、设备及终端

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366771B1 (ko) 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법
KR101394424B1 (ko) * 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템

Family Cites Families (116)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3001594A (en) 1954-05-04 1961-09-26 De Long Corp Off-shore drill rig
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US7036146B1 (en) * 2000-10-03 2006-04-25 Sandia Corporation System and method for secure group transactions
US8001594B2 (en) * 2001-07-30 2011-08-16 Ipass, Inc. Monitoring computer network security enforcement
TW200423669A (en) * 2002-12-18 2004-11-01 Koninkl Philips Electronics Nv Dedicated encrypted virtual channel in a multi-channel serial communications interface
US7516476B1 (en) * 2003-03-24 2009-04-07 Cisco Technology, Inc. Methods and apparatus for automated creation of security policy
US7360237B2 (en) * 2004-07-30 2008-04-15 Lehman Brothers Inc. System and method for secure network connectivity
US7409719B2 (en) * 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
CN100433899C (zh) * 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
US7681226B2 (en) * 2005-01-28 2010-03-16 Cisco Technology, Inc. Methods and apparatus providing security for multiple operational states of a computerized device
CN101375546B (zh) * 2005-04-29 2012-09-26 甲骨文国际公司 用于欺骗监控、检测和分层用户鉴权的系统和方法
US8745199B1 (en) * 2005-06-01 2014-06-03 Netapp, Inc. Method and apparatus for management and troubleshooting of a processing system
JP4629775B2 (ja) * 2005-06-21 2011-02-09 エヌエックスピー ビー ヴィ PCIExpressデバイスのデータ完全性の並列検査方法
JP4770306B2 (ja) * 2005-07-12 2011-09-14 日本電気株式会社 端末セキュリティチェックサービス提供方法及びそのシステム
AU2007281166B2 (en) * 2006-08-03 2011-12-15 Citrix Systems, Inc. Systems and methods for application-based interception and authorization of SSL/VPN traffic
US7840687B2 (en) * 2007-07-11 2010-11-23 Intel Corporation Generic bootstrapping protocol (GBP)
US8984193B1 (en) * 2007-07-17 2015-03-17 Unisys Corporation Line speed sequential transaction packet processing
CN101755269B (zh) * 2007-07-20 2012-06-27 Nxp股份有限公司 具有安全虚拟机的设备
US8806037B1 (en) * 2008-02-29 2014-08-12 Netapp, Inc. Remote support automation for a storage server
US8837491B2 (en) * 2008-05-27 2014-09-16 Glue Networks Regional virtual VPN
US20090328030A1 (en) * 2008-06-27 2009-12-31 Microsoft Corporation Installing a management agent with a virtual machine
EP2278514B1 (en) * 2009-07-16 2018-05-30 Alcatel Lucent System and method for providing secure virtual machines
US8381284B2 (en) * 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US8621636B2 (en) * 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
CN102169484B (zh) * 2010-02-26 2014-08-13 威睿公司 虚拟化环境中综合的、相关的和动态的数据搜索
US8966623B2 (en) * 2010-03-08 2015-02-24 Vmware, Inc. Managing execution of a running-page in a virtual machine
CN102207885A (zh) * 2010-03-31 2011-10-05 国际商业机器公司 计算机系统的虚拟机管理器及其启动虚拟机的方法
US8812871B2 (en) * 2010-05-27 2014-08-19 Cisco Technology, Inc. Method and apparatus for trusted execution in infrastructure as a service cloud environments
US9274842B2 (en) * 2010-06-29 2016-03-01 Microsoft Technology Licensing, Llc Flexible and safe monitoring of computers
US8856317B2 (en) * 2010-07-15 2014-10-07 Cisco Technology, Inc. Secure data transfer in a virtual environment
US8565108B1 (en) * 2010-09-28 2013-10-22 Amazon Technologies, Inc. Network data transmission analysis
US20160344547A9 (en) * 2010-10-04 2016-11-24 Unisys Corporation Secure connection for a remote device through a virtual relay device
US8539546B2 (en) * 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
US8959569B2 (en) * 2011-03-18 2015-02-17 Juniper Networks, Inc. Security enforcement in virtualized systems
US20120254993A1 (en) * 2011-03-28 2012-10-04 Mcafee, Inc. System and method for virtual machine monitor based anti-malware security
US9317690B2 (en) * 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US8655978B2 (en) * 2011-07-05 2014-02-18 Jade Quantum Technologies, Inc. Diskless PC network communication agent system
CN102244622B (zh) * 2011-07-25 2015-03-11 北京网御星云信息技术有限公司 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统
US9497224B2 (en) * 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
US9298917B2 (en) * 2011-09-27 2016-03-29 Redwall Technologies, Llc Enhanced security SCADA systems and methods
WO2013049060A1 (en) * 2011-09-28 2013-04-04 Smith Micro Software, Inc. Self-adjusting mobile platform policy enforcement agent for controlling network access, mobility and efficient use of local and network resources
US9223978B2 (en) * 2011-10-28 2015-12-29 Confer Technologies, Inc. Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
US8689282B1 (en) * 2011-12-23 2014-04-01 Emc Corporation Security policy enforcement framework for cloud-based information processing systems
US8966573B2 (en) * 2012-07-20 2015-02-24 Ca, Inc. Self-generation of virtual machine security clusters
US9503475B2 (en) * 2012-08-14 2016-11-22 Ca, Inc. Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
US9419800B2 (en) * 2012-08-17 2016-08-16 Northrop Grumman Systems Corporation Secure network systems and methods
CN102801587B (zh) * 2012-08-29 2014-09-17 北京邮电大学 面向大规模网络的虚拟化监测系统与动态监测方法
US9275223B2 (en) * 2012-10-19 2016-03-01 Mcafee, Inc. Real-time module protection
US8910238B2 (en) * 2012-11-13 2014-12-09 Bitdefender IPR Management Ltd. Hypervisor-based enterprise endpoint protection
CN102984146A (zh) * 2012-11-23 2013-03-20 江苏乐买到网络科技有限公司 用于云计算的数据管理方法
MY167516A (en) * 2012-12-11 2018-09-04 Mimos Berhad A system and method for peer-to-peer entity authentication with nearest neighbours credential delegation
US8763085B1 (en) * 2012-12-19 2014-06-24 Trend Micro Incorporated Protection of remotely managed virtual machines
CN105247826B (zh) * 2013-01-11 2018-07-13 华为技术有限公司 网络设备的网络功能虚拟化
CN103973568B (zh) * 2013-02-05 2017-03-08 上海贝尔股份有限公司 用于在mpls核心网上转发sdn流的方法和设备
EP2782291A1 (en) * 2013-03-20 2014-09-24 Wolting Holding B.V. Compiler for and method of software defined networking
US9973375B2 (en) * 2013-04-22 2018-05-15 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
CN104219208B (zh) * 2013-06-03 2018-11-13 华为技术有限公司 一种数据输入的方法、装置
WO2014201160A1 (en) * 2013-06-11 2014-12-18 Huawei Technologies Co., Ltd. System and method for coordinated remote control of network radio nodes and core network elements
US9258237B1 (en) * 2013-06-17 2016-02-09 Juniper Networks, Inc. Enhancing DOCSIS services through network functions virtualization
US20140376555A1 (en) * 2013-06-24 2014-12-25 Electronics And Telecommunications Research Institute Network function virtualization method and apparatus using the same
JPWO2014208538A1 (ja) * 2013-06-25 2017-02-23 日本電気株式会社 通信システムと装置と方法とプログラム
US9300690B2 (en) * 2013-07-03 2016-03-29 Red Hat, Inc. Secure network labeling to control inter-process communications in a multi-tenant platform-as-a-service (PaaS) system
US20150018073A1 (en) * 2013-07-09 2015-01-15 Travis William Carrico Fantasy gaming
US9374768B2 (en) * 2013-07-31 2016-06-21 Broadcom Corporation Cellular broadcast enhancements for inter-system mobility
US10033595B2 (en) * 2013-08-27 2018-07-24 Futurewei Technologies, Inc. System and method for mobile network function virtualization
WO2015031866A1 (en) * 2013-08-30 2015-03-05 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds
EP2849064B1 (en) * 2013-09-13 2016-12-14 NTT DOCOMO, Inc. Method and apparatus for network virtualization
US20150113133A1 (en) * 2013-10-21 2015-04-23 Nyansa, Inc. System and method for observing and controlling a programmable network using closed loop control
WO2015061698A1 (en) * 2013-10-25 2015-04-30 Benu Networks, Inc. System and method for configuring a universal device to provide desired network hardware functionality
CN103685250A (zh) * 2013-12-04 2014-03-26 蓝盾信息安全技术股份有限公司 一种基于sdn的虚拟机安全策略迁移的系统及方法
US9813335B2 (en) * 2014-08-05 2017-11-07 Amdocs Software Systems Limited System, method, and computer program for augmenting a physical system utilizing a network function virtualization orchestrator (NFV-O)
US9760428B1 (en) * 2013-12-19 2017-09-12 Amdocs Software Systems Limited System, method, and computer program for performing preventative maintenance in a network function virtualization (NFV) based communication network
US9460286B1 (en) * 2013-12-19 2016-10-04 Amdocs Software Systems Limited System, method, and computer program for managing security in a network function virtualization (NFV) based communication network
US9838371B2 (en) * 2014-03-14 2017-12-05 Citrix Systems, Inc. Method and system for securely transmitting volumes into cloud
US9766943B2 (en) * 2014-04-15 2017-09-19 Nicira, Inc. Method and system for managing interconnection of virtual network functions
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법
EP2940968A1 (en) * 2014-04-30 2015-11-04 Hewlett-Packard Development Company, L.P. Network infrastructure management
US9672502B2 (en) * 2014-05-07 2017-06-06 Verizon Patent And Licensing Inc. Network-as-a-service product director
US10348825B2 (en) * 2014-05-07 2019-07-09 Verizon Patent And Licensing Inc. Network platform-as-a-service for creating and inserting virtual network functions into a service provider network
CN106489260B (zh) * 2014-05-12 2019-10-18 诺基亚通信有限责任两合公司 包括虚拟化网络功能的通信网络的控制方法及装置
US20150332357A1 (en) * 2014-05-16 2015-11-19 Centurylink Intellectual Property Llc System and Method for Service Provider Cloud Services
US10193769B2 (en) * 2014-05-16 2019-01-29 Centurylink Intellectual Property Llc Network services API
US9740513B2 (en) * 2014-06-05 2017-08-22 Futurewei Technologies, Inc. System and method for real time virtualization
EP2955631B1 (en) * 2014-06-09 2019-05-01 Nokia Solutions and Networks Oy Controlling of virtualized network functions for usage in communication network
WO2015199685A1 (en) * 2014-06-25 2015-12-30 Hewlett Packard Development Company, L.P. Network function virtualization
CN106464540B (zh) * 2014-06-26 2019-11-19 华为技术有限公司 虚拟网络功能策略管理的系统与方法
US9832168B2 (en) * 2014-07-01 2017-11-28 Cable Television Laboratories, Inc. Service discovery within multi-link networks
CN104202264B (zh) 2014-07-31 2019-05-10 华为技术有限公司 云化数据中心网络的承载资源分配方法、装置及系统
US9800673B2 (en) * 2014-08-20 2017-10-24 At&T Intellectual Property I, L.P. Service compiler component and service controller for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9473567B2 (en) * 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
CN106575323B (zh) * 2014-08-22 2019-12-17 诺基亚技术有限公司 用于虚拟化网络的安全性和信任框架
US9800615B2 (en) * 2014-09-09 2017-10-24 Bank Of America Corporation Real-time security monitoring using cross-channel event processor
US9531814B2 (en) * 2014-09-23 2016-12-27 Nuvem Networks, Inc. Virtual hosting device and service to provide software-defined networks in a cloud environment
US9444886B2 (en) * 2014-09-25 2016-09-13 At&T Intellectual Property I, L.P. Data analytics for adaptive networks
EP3207678B1 (en) * 2014-10-16 2018-09-19 Telefonaktiebolaget LM Ericsson (publ) Lawful intercept management modules and methods for li configuration of an internal interception function in a cloud based network
US9935937B1 (en) * 2014-11-05 2018-04-03 Amazon Technologies, Inc. Implementing network security policies using TPM-based credentials
US9742807B2 (en) * 2014-11-19 2017-08-22 At&T Intellectual Property I, L.P. Security enhancements for a software-defined network with network functions virtualization
US9584377B2 (en) * 2014-11-21 2017-02-28 Oracle International Corporation Transparent orchestration and management of composite network functions
US9992271B2 (en) * 2014-12-01 2018-06-05 Telefonaktiebolaget Lm Ericsson (Publ) ENF selection for NFVI
US10091063B2 (en) * 2014-12-27 2018-10-02 Intel Corporation Technologies for directed power and performance management
CN106031116B (zh) * 2015-01-19 2019-06-11 华为技术有限公司 一种ns与vnf的关联方法、装置及系统
EP3241318B1 (en) * 2015-01-20 2023-05-31 Huawei Technologies Co., Ltd. Method and apparatus for nfv management and orchestration
US10341384B2 (en) * 2015-07-12 2019-07-02 Avago Technologies International Sales Pte. Limited Network function virtualization security and trust system
US9942631B2 (en) * 2015-09-25 2018-04-10 Intel Corporation Out-of-band platform tuning and configuration
US10572650B2 (en) * 2016-02-29 2020-02-25 Intel Corporation Technologies for independent service level agreement monitoring
CN107153565B (zh) * 2016-03-03 2020-06-16 华为技术有限公司 配置资源的方法及其网络设备
US10498772B2 (en) * 2016-03-21 2019-12-03 Vireshwar K. Adhar Method and system for digital privacy management
CN114218133A (zh) * 2016-06-15 2022-03-22 华为技术有限公司 一种数据传输方法及装置
US10361970B2 (en) * 2016-08-15 2019-07-23 Fujitsu Limited Automated instantiation of wireless virtual private networks
CN110089070B (zh) * 2016-12-30 2022-08-02 英特尔公司 用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术
US10432524B2 (en) * 2017-12-20 2019-10-01 At&T Intellectual Property I, L.P. Parallelism for virtual network functions in service function chains
US11005722B2 (en) * 2017-12-21 2021-05-11 Verizon Patent And Licensing Inc. End-to-end network service designer tool
US10803187B2 (en) * 2017-12-22 2020-10-13 Oracle International Corporation Computerized methods and systems for implementing access control to time series data
GB2573283B (en) * 2018-04-26 2020-04-29 Metaswitch Networks Ltd Improvements relating to network functions virtualization
US11063847B2 (en) * 2018-08-21 2021-07-13 Fujitsu Limited Service function chain mapping using multiple parallel microservices instances
US10892994B2 (en) * 2019-05-14 2021-01-12 Vmware, Inc. Quality of service in virtual service networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101394424B1 (ko) * 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
KR101366771B1 (ko) 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법

Also Published As

Publication number Publication date
CN107251514A (zh) 2017-10-13
US9560078B2 (en) 2017-01-31
EP3254429A4 (en) 2018-07-25
US10397280B2 (en) 2019-08-27
US11533341B2 (en) 2022-12-20
KR20170115046A (ko) 2017-10-16
CN107251514B (zh) 2021-05-28
US20160226913A1 (en) 2016-08-04
WO2016126347A1 (en) 2016-08-11
EP3254429B1 (en) 2019-08-07
US20170142163A1 (en) 2017-05-18
TWI604333B (zh) 2017-11-01
US20200028880A1 (en) 2020-01-23
EP3254429A1 (en) 2017-12-13
TW201643765A (zh) 2016-12-16
CN110958227B (zh) 2023-07-11
EP3657753A1 (en) 2020-05-27
CN110958227A (zh) 2020-04-03

Similar Documents

Publication Publication Date Title
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
US10572650B2 (en) Technologies for independent service level agreement monitoring
US10380346B2 (en) Technologies for secure bootstrapping of virtual network functions

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)