KR20110042070A - 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법 - Google Patents

새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법 Download PDF

Info

Publication number
KR20110042070A
KR20110042070A KR1020117002730A KR20117002730A KR20110042070A KR 20110042070 A KR20110042070 A KR 20110042070A KR 1020117002730 A KR1020117002730 A KR 1020117002730A KR 20117002730 A KR20117002730 A KR 20117002730A KR 20110042070 A KR20110042070 A KR 20110042070A
Authority
KR
South Korea
Prior art keywords
network
network resources
service landscape
resource
service
Prior art date
Application number
KR1020117002730A
Other languages
English (en)
Other versions
KR101475988B1 (ko
Inventor
시바람 고티무칼라
랩 티엣 훈
디나카란 조셉
쥬니어 린우드 휴 오버바이
웨슬리 맥밀란 데빈
마이클 베렌트
게르트 브라이터
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20110042070A publication Critical patent/KR20110042070A/ko
Application granted granted Critical
Publication of KR101475988B1 publication Critical patent/KR101475988B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • H04L41/5051Service on demand, e.g. definition and deployment of services in real time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Abstract

네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법(400)이 제공된다. 이 방법은 서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 분류화하는 단계(404)를 포함한다. 이 방법은, 또한 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책 규칙을 자동적으로 생성함으로써 네트워크 자원을 제공하는 것에 응답하는 단계(406)를 더 포함한다. 또한, 이 방법은, 서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함하도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스내의 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하는 단계(408)를 포함한다.

Description

새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법{METHOD OF DYNAMICALLY UPDATING NETWORK SECURITY POLICY RULES WHEN NEW NETWORK RESOURCES ARE PROVISIONED IN A SERVICE LANDSCAPE}
본 발명은 데이터 통신 네트워크 환경에서 서비스를 제공하는 분야에 관한 것으로, 더욱 상세히는, 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 기술에 관한 것이다.
정보 기술(IT;information technology)의 진보에 따른 한 결과는 소프트웨어 개발 및 배치에 대한 온디맨드 방식의 선불 유틸리티 모델의 출현이다. 이 모델에 따라, 애플리케이션 및 기타 IT 자원은 데이터 통신망 특히, 인터넷을 통해 서비스제공자에 의해 고객에게 제공된다. 특정한 모델은 소프트웨어 배치에 대한 SaaS(software-as-a-service) 모델이고 이것에 의해 애플리케이션은 인터넷을 통해 고객에게 제공되는 서비스로서 호스트된다. 이 모델의 이점들 중에는 고객 소유의 컴퓨터에서 애플리케이션을 설치하여 실행할 필요성을 제거하고 소프트웨어 유지관리에 있어서 고객의 어려움을 완화시키는 것이 있다. SaaS는 또한 저렴하고 주문식 요금 결정방식으로, 소프트웨어 구입에 대한 고객의 선지급 비용을 감소시킬 수 있다. 판매자에게는, SaaS는 판매자의 지적 재산권을 보호하기 위한 매카니즘일 수 있고 계속적인 수입 발생을 가져올 수 있다. SaaS 판매자는 자신 소유의 웹 서버 상에서 애플리케이션을 호스팅할 수 있거나, 써드파티 애플리케이션 서비스 제공자(ASP;application service provider)를 통해 애플리케이션을 제공할 수 있다.
상기와 같은 유틸리티 모델하에선, 데이터는 네트워크를 통해 교환되기 때문에, 보안은 중요한 고려사항이다. 네트워크 자원은 따라서 일반적으로 네트워크 자원들간의 트래픽을 위한 동작을 제어하는 보안 정책 규칙을 유지 관리하여야 한다. 이 규칙들은 일반적으로 로컬 인터넷 프로토콜(IP;Internet Protocol) 주소 및 포트뿐만 아니라 원격 IP 주소 및 포트를 포함하는 조건을 확립한다. 상기 보안 정책 규칙의 예들은 IBM® z/OS® AT-TLS(Application Transparent Transport Layer Security )에 의해, 그리고 데이터 스트림에서 각각의 IP 패킷을 인증 및/또는 암호화함으로써 IP통신을 보안화하기 위한 IPsec(IP security) 프로토콜 슈트에 의해, IP 패킷 을 필터링하는 데에 사용되는 것들이다. IBM 및 z/OS는 미합중국, 또는 기타 국가 또는 이들 모두에서 IBM사(International Business Machines Corporation)의 상표명이다.
새로운 네트워크 자원이 제공되고 서비스 랜드스케이프 인스턴스에 추가됨에 따라, 새로 제공된 네트워크 자원에서의 정책 규칙은 새로 제공된 네트워크 자원과, 원격에 위치된 적격의 네트워크 자원간에 통신이 허용되도록 생성되어야 한다. 또한, 네트워크 자원이 제공되었을 때, 서비스 랜드스케이프 인스턴스내의 기타 자원들은 새로 제공된 네트워크 자원과 기존의 네트워크 자원간에 통신될 수 있도록 갱신되어야 한다. 시스템 방화벽 및 침입 방어수단을 구성하는 등의 IT 인프라구조에 대한 보안 확립은 그러나, 구성에 상당한 정도로 수동적인 노력을 수반하고 일반적으로 플랫폼에 특정한 기술을 필요로 한다. 이 프로세스는, 수동작업으로 행해지면, 시간이 많이 소모되고, 오류가 발생하기 쉽고, 붕괴될 수 있다. 그러나, 서비스 랜드스케이프 인스턴스를 형성하는 네트워크로 연결된 시스템을 보호하기 위한 보안 확립은 새로운 온디맨드 서비스의 허용 및 배치에 있어서 중요한 요인일 수 있다.
발명의 배경 단락의 내용을 고려하여, 바람직하게, 새 네트워크 자원이 서비스 랜드스케이프에 제공되는 경우 네트워크 보안 정책 규칙을 동적으로 갱신하기 위한 효과적이고 효율적인 매커니즘이 제공된다.
본 발명의 한 실시예는 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법이다. 이 방법은 서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스에 네트워크 자원을 분류화하는 것을 포함한다. 이 방법은 또한 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책 규칙을 자동으로 발생시킴으로써 새로운 네트워크 자원의 제공에 응답하는 것을 포함한다. 이 방법은 또한 새로 제공된 네트워크 자원을 서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 포함하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스에 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하는 것을 더 포함한다.
본 발명의 다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 방법은 새로 제공된 네트워크 자원을 이미 존재하는 자원 데이터베이스에 추가함으로써 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하는 것을 포함할 수 있다. 이 방법은 또한 그룹 이름과 새로 제공된 네트워크 자원을 연관시키는 것을 포함하고, 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 지정하는 미리 구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응한다. 더욱 상세히는, 그룹 이름은 구성된 정책 규칙에서 네트워크 주소 대신에 지정될 수 있다.
본 발명의 다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템이다. 이 시스템은 프로세서가 실행할 수 있는 코드를 실행하기 위한 하나 이상의 프로세서를 포함할 수 있다. 이 시스템은 또한 서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스의 네트워크 자원을 분류화하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 분류화 모델을 포함할 수 있다. 또한, 이 시스템은 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책 규칙을 자동적으로 발생시킴으로써 네트워크 자원의 제공에 응답하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 규칙 발생 모듈을 포함할 수 있다. 이 시스템은 또한 새로 제공된 네트워크 자원을 서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 포함하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스에 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하기 위한 하나 이상의 프로세서상에서 실행되도록 구성된 정책 갱신 모듈을 더 포함할 수 있다.
본 발명의 또 다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템은 프로세서로 실행할 수 있는 코드를 실행하기 위한 하나 이상의 프로세서 및 네트워크 자원이 제공되는 경우 응답하기 위한 하나 이상의 프로세서에서 실행되도록 구성된 이름 연관화 모듈을 포함할 수 있다. 이름 연관화 모듈은 새로 제공된 네트워크 자원을 서비스 랜드스케이프 인스턴스의 이미 존재하는 자원 데이터베이스에 추가하도록 구성될 수 있다. 이 모듈은 또한 그룹 이름과 새로 제공된 네트워크 자원을 연관시키도록 구성될 수 있고, 이 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 정책을 지정하는 미리 구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응하고, 이 그룹 이름은 미리 구성된 정책 규칙에서 네트워크 주소 대신에 지정된다.
본 발명의 구성에 따르면, 네트워크 보안 정책 규칙을 동적으로 갱신하기 위한 효과적이고 효율적인 매커니즘을 제공할 수 있다.
도 1은 본 발명의 한 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템이 유익하게 이용될 수 있는 네트워크 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 한 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템을 개략적으로 나타낸 도면이다.
도 3은 본 발명의 한 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템을 개략적으로 나타낸 도면이다.
도 4는 본 발명의 다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 방법의 예시적인 단계들의 흐름도를 나타낸 도면이다.
도 5는 본 발명의 또다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 방법의 예시적인 단계들의 흐름도를 나타낸 도면이다.
이제 본 발명의 실시예는, 하기의 도면을 참조하여, 단지 예시적인 것으로써, 설명된다.
본 발명은 새 네트워크 자원이 서비스 랜드스케이프에 제공되는 경우 네트워크 보안 정책 규칙을 동적으로 갱신하기 위한 방법 및 시스템에 관해 설명된다. 하기에 기술한, 정의된 영어는 본원에서 발명의 다양한 실시예를 설명하기 위해 사용된다.
SaaS(Software-as-a-Service(서비스로서의 소프트웨어)). SaaS는 소프트웨어 배포 서비스 모델을 나타내고, 이 모델에선 소프트웨어 애플리케이션은 서비스 제공자에 의해 호스트되고, 서비스 가입자는 인터넷과 같은 공중 컴퓨터 통신망을 통해 또는 사설 컴퓨터 통신망을 통해 서비스를 액세스할 수 있다.
PaaS(Platform-as-a-Service(서비스로서의 플랫폼)). PaaS는 소프트웨어 기반 컴퓨터 프로그래머에 의해 사용될 수 있는 광범위한 기능을 제공하는 IDE(integrated development environment)와 같은, 개발/테스트 플랫폼을 제공하는 호스팅 소프트웨어에 중점을 둔 SaaS의 일부분 또는 임의 영역을 일컫는다.
Service Landscape(서비스 랜드스케이프) 서비스 랜드스케이프는 서비스를 전달하기 위한 SaaS 구조 모델로서, 그 예로는 다층(multi-tier) 웹 서비스(예로서, 웹서버, 애플리케이션 서버, 및 데이터베이스 서버를 포함하는 3층 구조) 전달 모델이 있다. 따라서, 서비스 랜드스케이프는 서비스(또는 애플리케이션 또는 솔루션)를 설명하기 위한 모델이다. 예를 들어, 서비스는 3층 서비스를 형성하는 노드의 셋트를 포함할 수 있는 데, 이 노드들 중 일부 노드는 http 서버로서 기능하고, 일부 노드는 애플리케이션 서버로서 기능하고, 일부 노드는 데이터베이스 서버로서 기능한다. 또한 서비스 랜드스케이프는 각각의 노드(예로서, CPU, 메모리, 디스크)에 대한 자원 요구조건도 설명할 수 있다.
Service Landscape Instance(서비스 랜드스케이프 인스턴스) 서비스 랜드스케이프 인스턴스는 다양한 IT 자원이 서비스 가입 서비스 레벨 협정((SLA;Service Level Agreement)에 따라 제공되는 서비스 랜드스케이프의 실현 또는 인스턴스화이다.
먼저, 도 1은 본 발명의 한 실시예에 따른, 네트워크 보안 정책 규칙을 갱신하기 위한 시스템(102)이 유익하게 이용될 수 있는 대표적인 네트워크 환경(100)을 개략적으로 나타낸 도면이다. 네트워크 환경(100)은 시스템(102)이 배치될 수 있는 서비스 랜드스케이프 인스턴스(104)를 포함한다. 상기 설명한 정의 내용에 부합하여, 서비스 랜드스케이프 인스턴스(104)는 예시적으로 3개의 컴퓨팅 디바이스(106a-c) 및 이 컴퓨팅 디바이스 중의 하나(106b)에 통신으로 링크된 적어도 하나의 데이터베이스(108)를 포함한다. 예시적으로 나타낸 바와 같이, 컴퓨팅 디바이스(106a-c)는 인터넷과 같은, 데이터 통신망(110)을 통해 통신으로 링크된다. 알 수 있는 바와 같이, 하나 이상의 기타 컴퓨팅 디바이스(112)는 컴퓨팅 디바이스들에 분포되거나 하나의 컴퓨팅 디바이스에 상주하는, Saas 또는 PaaS 애플리케이션과 같은 네트워크 자원에 액세스하기 위해 데이터 통신망(110)을 통해 하나 이상의 컴퓨팅 디바이스(106a-c)에 통신으로 링크될 수 있다.
서비스 랜드스케이프 인스턴스(104)는 예시적으로 3개의 컴퓨팅 디바이스(106a-c)를 포함하고 있지만, 다소의 컴퓨팅 디바이스가 서비스 랜드스케이프 인스턴스(104)에 포함될 수 있다는 것이 상기한 설명으로부터 용이하게 이해될 것이다. 더욱이, 명시적으로 나타내진 않았지만, 서비스 랜드스케이프 인스턴스(104)는 하나 이상의 컴퓨팅 디바이스(106a-c)에 상주하는 기타 네트워크 자원 또는 여러 애플리케이션(예로서, Saas 및/또는 PaaS)을 더 포함할 수 있다.
바람직하게는, 컴퓨팅 디바이스(106a-c)는 데이터 통신망(104)을 통해 원격 디바이스 또는 시스템에 의해 액세스될 수 있는 애플리케이션 및 기타 네트워크 자원을 호스팅하기 위한 서버들이다. 대안 실시예에서, 하나 이상의 컴퓨팅 디바이스(106a-c)는 다양한 유형의 범용 또는 애플리케이션에 특정한 컴퓨팅 디바이스를 포함할 수 있다. 또한 네트워크 환경(100)의 여러 요소들간의 통신 링크가, 명시적으로 도시하지 않은 여러 중간 노드를 포함할 수 있는, 데이터 통신망(104)을 지나는 유선 연결로 도시되어 있지만, 통신 링크들은 대안으로서 또는 추가적으로 무선 통신 링크를 포함할 수 있다.
또한 도 2를 참조하면, 시스템(102)의 더욱 상세한 개략도가 제공된다. 시스템(102)은 예시적으로 하나 이상의 프로세서(204)를 포함한다. 명시적으로 나타내진 않았지만, 하나 이상의 프로세서(204)는 각각 복수의 레지스터, 산술논리 유니스 및 제어 유닛을 포함할 수 있다. 이와 같이, 시스템(102)은 단일 쓰레드, 단일 프로세서 환경에서, 단일 쓰레드, 다중 프로세서 환경에서, 또는 다중 쓰레드, 다중 프로세서 환경에서, 프로세서가 실행할 수 있는 명령어를 처리하도록 구성될 수 있다. 더욱이, 하나 이상의 프로세서(204)는 단일 컴퓨팅 디바이스 또는 상이한 컴퓨팅 디바이스들에 존재할 수 있다. 시스템(102)이 분산 컴퓨팅 구조에 따라 다중 컴퓨팅 디바이스에 구현되는 경우에, 이 디바이스들은 공통 사이트에 함께 위치될 수 있다. 대안으로서, 컴퓨팅 디바이스는 서로 원격으로 위치될 수 있고 데이터 통신망(110)을 통해 통신하도록 구성될 수 있다. 선택적으로는, 시스템(102)은 프로세서가 실행할 수 있는 명령어 및 데이터 표현을 전자적으로 저장하기 위한 하나 이상의 주 메모리 요소(205)를 더 포함할 수 있다.
시스템(102)은 또한 예시적으로 분류화 모듈(206), 규칙 생성 모듈(208), 및 정책 생신 모듈(210)을 포함한다. 바람직하게는, 분류화 모듈(206), 규칙생성 모듈(208), 및 정책 갱신 모듈(210)은 본원에 설명된 절차 및 기능을 실행하기 위한 로직 기반 처리 회로 및 프로세서가 실행할 수 있는 코드의 조합으로 구현된다. 따라서, 분류화 모듈(206), 규칙 생성 모듈(208), 및 정책 갱신 모듈(210) 각각은 하나 이상의 프로세서(204)상에서 실행되도록 구성될 수 있다. 대안으로서, 그러나, 하나 이상의 분류화 모듈(206), 규칙 생성 모듈(208), 및 정책 생신 모듈(210)은 동일한 절차 및 기능을 실행하기 위해, 하나 이상의 프로세서(204)의 직접적인 제어에 의하진 않지만, 연계하여 협동적으로 동작하도록 구성된 하드와이어드 된 전용 회로로 구현될 수 있다.
동작적으로는, 분류화 모듈(206)은 특정한 서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스(104)의 네트워크 자원을 분류화한다. 특정 실시예에 따라, 분류화 모듈(206)은 각각의 네트워크 자원이 서비스 랜드스케이프 인스턴스(104)에서 수행하는 역할에 따라 그리고 서비스 랜드스케이프 모델에 기초하여 결정된 다층 계층 토폴로지에서 네트워크 자원에 의해 점유된 층(tier)에 따라 네트워크 자원을 분류화한다. 따라서, 서비스 랜드스케이프 인스턴스(104)의 네트워크 자원이 예를 들어, 애플리케이션 서버, 파일 전송 프로토콜(FTP) 서버, 및 데이터베이스 서버를 포함한다면, 각각의 서버는 서비스 랜드스케이프 인스턴스(104)내에서 고유한 기능을 수행하기 위한 분명한 역할을 갖는다. 분류화 모듈(206)은 따라서 서버의 특정 역할 또는 기능에 따라 애플리케이션 서버, 파일 전송 프로토콜(FTP) 서버, 및 데이터베이스 서버를 분류화한다.
이 실시예에 따라, 서비스 랜드스케이프 모델은 다층 계층 토포로지를 구축하는 데에 사용될 수 있기 때문에, 분류화 모듈(206)은 추가적으로 각각이 다층 계층구조에서 점유하는 특정 층에 따라 서비스 랜드스케이프 인스턴스(104)의 네트워크 자원을 분류화한다. 예를 들어, 한 층은, 신뢰할 순 없지만, 인터넷과 같은 보다 큰 네트워크에 대한 서비스 랜드스케이프 인스턴스의 외적인 서비스를 포함하고이에 노출시키는 이른바 DMZ, 물리 또는 논리 서브네트워크에 대응할 수 있다. 기타 층들로는 애플리케이션 서버 층 및 기업 정보 시스템(EIS;enterprise information system) 층들이 포함될 수 있다. 개별 네트워크 자원이 대응하는 특정 측과 무관하게, 분류화 모듈(206)은 서비스 랜드스케이프 모델의 표준규격에 따라 네트워크 자원을 분류화한다. 또 다른 실시예에 따라, 분류화 모듈(206)은 특정 네트워크 자원에 대응하는 IP 주소 또는 포트에 기초하여 서비스 랜드스케이프 인스턴스(104)의 각각의 네트워크 자원을 분류화할 수 있다.
더욱 일반적으로는, 시스템(102)의 전자 메모리에 유지될 수 있는, 서비스 랜드스케이프 모델은, 계층 토폴로지의 각각의 층에 있도록 허용되는 서비스 랜드스케이프 인스턴스(104)의 여러 자원의 상이한 범주(category)들을 지시 및 설명한다. 서비스 랜드스케이프 모델은 연결을 위한 보안 필요요건뿐만 아니라 다른 자원과 통신이 허용되는 서비스 랜드스케이프 인스턴스(104)내의 네트워크 자원을 설명할 수 있다. 따라서, 이 범주들 및 속성들의 임의의 조합에 기초하여, 서비스 랜드스케이프 모델에 의해 명령된 바와 같이, 분류화 모듈(206)은 서비스 랜드스케이프 인스턴스(104)를 구성하는 각각의 네트워크 자원을 분류화한다.
규칙 생성 모듈(208)은 새로운 네트워크 자원의 제공에 응답하여 동작한다. 규칙 생성 모듈(208)은 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책규칙을 자동적으로 발생시킴으로써 새로운 네트워크 자원의 제공에 응답한다. 새로 제공된 네트워크 자원의 보안 정책규칙은 이미 존재하는 다른 네트워크 자원의 IP 주소 및 포트에 대해 요구되는 보안 동작을 지정하는 규칙을 포함할 수 있고, 이미 존재하는 다른 네트워크 자원과 새로 제공된 네트워크 자원은 서비스 랜드스케이프 모델에 의해 결정된 바와 같이, 통신하는 것이 허용된다.
예를 들어, 데이터베이스 서버 제공에 있어서, 서비스 랜드스케이프 모델은 데이터베이스 서버가 서비스 랜드스케이프 인스턴스(104)내의 모든 애플리케이션 서버와 통신하는 것을 허용할 수 있다. 그러나, DMZ층 웹 서버와 같은, 하나 이상의 기타 네트워크 자원에 대한 임의의 연결은 금지될 수도 있다. 서비스 랜드스케이프 모델은 또한 새로 제공된 데이터베이스 서버와 애플리케이션 서버간의 통신을 위해 특정한 레벨의 네트워크 암호화를 필요로 하거나 필요로 하지 않을 수 있다. 서비스 랜드스케이프 모델에 의해 지시된 다양한 요구조건은 새로 제공된 네트워크 자원에 대한 적합한 보안 정책 규칙의 셋트를 자동적으로 발생시키도록 규칙 생성 모듈(208)에 의해 사용된다.
동작적으로는, 정책 갱신 모듈(210)은 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스(104)에 제공되는 경우 이미 존재하는 네트워크 자원의 적어도 일부의 보안 정책 규칙을 갱신한다. 더욱 상세히는, 정책 갱신 모듈(210)은 새로 제공된 네트워크 자원과 통신할 자격이 있는 이미 존재하는 네트워크 자원을 결정하도록 구성될 수 있다. 정책 갱신 모듈(210)은 그러면 랜드스케이프 서비스 모델에 기초하여, 원격 자원으로서 새로 제공된 네트워크 자원을 포함하기 위해 식별된 네트워크 자원에 대한 보안 정책 규칙을 갱신한다.
예를 들어, 데이터베이스 서버를 제공한 후, 서비스 랜드스케이프 모델은 모든 애플리케이션 서버가 데이터베이스 서버와 통신할 수 있지만, 강력한 네트워크 암호화가 요구된다고 지시할 수 있다. 따라서, 정책 갱신 모듈(210)은 새로 제공된 데이터베이스 서버에 연결되는 것이 허용된 서비스 랜드스케이프 인스턴스(104)내에 존재하는 네트워크 자원을 식별하고 각각의 네트워크 자원의 보안 정책 규칙을 갱신한다. 이 예에서, 상기 규칙은 새로 제공된 데이터베이스 서버와 통신하기 위해 서비스 랜드스케이프 모델하에서 요구되는 보안 동작을 지정한다.
시스템(102)은 상이한 실시예에 따라, 관리 도메인 제공 관리자를 포함할 수 있고 이 매니저를 이용하여 상이한 절차들이 새로운 네트워크 자원의 제공에 의해 영향을 받게 되는 서비스 랜드스케이프 인스턴스(104)내의 각각의 기존의 네트워크 자원의 실행시간 정책을 갱신하기 위해 구현될 수 있다. 한 실시예에서, 시스템(102)의 관리 도메인 제공 관리자는 새로운 또는 갱신된 보안 정책 규칙을 서비스 랜드스케이프 인스턴스(104)내의 각각의 채원진 네트워크 자원에 강제로 적용할 수 있다. 대안 실시예에서, 시스템(102)의 관리 도메인 제공 관리자는 그 대신 서비스 랜드스케이프 인스턴스(104)내의 각각의 영향을 받은 네트워크 자원에게 통지할 수 있고, 그러면 각각의 영향을 받은 네트워크 자원은 관리 도메인 제공 관리자에게 새로운 또는 갱신된 보안 정책 규칙을 요청할 수 있다. 또 다른 실시예에서, 서비스 랜드스케이프 인스턴스(104)내의 각각의 네트워크 자원은 관리 도메인 제공 관리자에게 보안 정책 규칙의 최신 사본을 요청할 수 있다. 이 요청은 규칙적인 시간 각격으로 또는 하루 중 어느 시간과 같은 규칙적인 정해진 시간에 전송될 수 있다. 대안으로서, 그러나, 상기 요청들은 무작위적으로 선택된 시간 또는 시간 간격으로 전송될 수 있다.
도 3은 대안 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책을 갱신하기 위한 시스템(300)을 개략적으로 나타낸다. 이 시스템(300)은 이미 설명된 네트워크 환경 타입에서 동작할 수 있다. 예시적으로, 시스템(300)은 프로세서가 실행할 수 있는 코드를 실행하기 위한 하나 이상의 프로세서(302)를 포함한다. 또다시, 하나 이상의 프로세서(302)는 동일한 컴퓨팅 디바이스에 또는 상이한, 통신으로 연결된 여러 컴퓨팅 디바이스에 존재할 수 있다. 시스템(300)은 또한 프로세서가 실행할 수 있는 명령어를 전자적으로 저장하기 위한 하나 이상의 메모리 요소(304)를 선택적으로 포함할 수 있다.
예시적으로, 시스템은 또한 네트워크 자원이 제공되는 경우 응답하기 위한 하나 이상의 프로세서상에서 실행하도록 구성된 이름 연관화 모듈(306)을 포함할 수 있다. 이름 연관화 모듈(306)은 새로 제공된 네트워크 자원을 서비스 랜드스케이프 인스턴스의 이미 존재하는 자원 데이터베이스(308)에 추가함으로써 네트워크 자원의 제공에 응답한다. 이름 연관화 모듈(306)은 또한 그룹 이름과 새로 제공된 네트워크 자원을 연관시키도록 구성된다. 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 규정하는 미리구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응하고, 상기 구성된 정책 규칙에서 네트워크 주소 대신에 지정될 수 있다.
서비스 랜드스케이프 모델이 변경된다면-새로운 애플리케이션이 서비스 랜드스케이프 인스턴스에 배치되는 경우에 발생될 수 있는 바와 같은-, 새로운 보안 정책 규칙은 서비스 랜드스케이프 인스턴스의 네트워크 자원들간에 통신을 허용하기 위해 요구된다. 그러나, 서비스 랜드스케이프 모델이 새로운 네트워크 자원이 자원 데이터베이스(308)에 추가되는 경우에도 변경되지 않는다면, 관리 도메인 구성 관리자로부터 영향을 받은 자원으로의 최종적인 정책의 재적재가 방지될 수 있다. 따라서, 이 실시예는 서비스 랜드스케이프 인스턴스내의 개별적인 네트워크 자원이 자원 데이터베이스(308)을 재판독함으로써 그리고 새로 제공된 자원을 상기 정책에서 식별된 자원 그룹에 추가함으로써 자신들의 정책의 로컬 버젼이 재구축되는 것을 허용한다. 자원 그룹은 서비스 랜드스케이프 모델에 기초하여, 또다시, 플레이스 홀더가 특정한 네트워크 자원에 대한 정책에 지정될 수 있도록 한다. 그후 로컬 자원은 구성된 정책을 로컬 시스템상에서 실행 시간 이용을 위해 적합한 형태로 변환하고, 이것은 자원 그룹에 추가되었었던 새로 제공된 자원에 대한 새로운 실행시간 규칙을 생성할 수 있다.
시스템(300)은 관리 도메인 제공 관리자를 포함할 수 있다. 새 보안 정책 규칙이 필요한 정책의 재적재하지 않고 생성되는 경우에, 상이한 절차가 네트워크 자원 실행시간 정책을 갱신하기 위해 실시될 수 있다. 한 실시예에 따라, 관리 도메인 제공 관리자는 각각의 네트워크 자원이 자원 데이터베이스(308)를 재판독하고 그 네트워크 자원의 정책의 실행시간 형태를 갱신하도록 새 자원 데이터베이스(308)를 서비스 랜드스케이프 인스턴스의 네트워크 자원에 강제로 적용할 수 있다. 따라서, 선택사항으로서, 시스템(300)은 새 자원 데이터베이스(308)를 네트워크 링크를 통해 서비스 랜드스케이프 인스턴스내의 다른 네트워크 자원에 강제 적용하기 위한 네트워크 인터페이스를 포함할 수 있다.
대안으로서, 관리 도메인 제공 관리자는 자원 데이터베이스(308)가 갱싱되었다는 것을 각각의 영향을 받은 네트워크 자원에 통지할 수 있고, 한편 각각의 영향을 받은 네트워크 자원은 따라서 그것의 정책의 실행시간 형태를 갱신하기 위해 최신 자원 데이터베이스(308)를 요청할 수 있다. 다른 실시예에서, 서비스 랜드스케이프 인스턴스의 네트워크 자원은 관리 도메인 제공 관리자에게 최신 자원 데이터 요청할 수 있다. 또다시, 그러한 요청은 규치적인 시간 간격 또는 하루 중 어느 시간 과 같은 규칙적인 정해진 시간에 전송될 수 있다. 또한, 대안으로서, 요청들은 무작위적으로 선택된 시간 또는 시간 간격으로 전송될 수 있다.
본 발명의 소정의 방법의 양상이 도 4에 예시되어 있다. 도 4는 본 발명의 또다른 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법(400)의 예시적인 단계들의 흐름도이다. 이 방법(400)은, 블록(402)에서 시작한 후, 예시적으로 블록(404)에서 서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스의 네트워크 자원을 분류화하는 단계를 포함한다. 이 방법(400)은 또한 블록(406)에서 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책 규칙을 자동적으로 생성함으로써 네트워크 자원을 제공하는 것에 응답하는 단계를 더 포함한다. 또한, 블록(408)에서, 서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함하도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스내의 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하는 단계를 포함한다. 이 방법은 예시적으로 나타낸 바와 같이 블록(410)에서 종료한다.
한 실시예에 따라, 블록(404)에서 네트워크 자원을 분류화하는 단계는 네트워크 자원이 서비스 랜드스케이프 인스턴스에서 하는 역할에 따라 그리고 서비스 랜드스케이프 모델에 기초하여 결정된 다층 계층 토폴로지에서 네트워크 자원에 의해 점유된 층에 따라 각각의 네트워크 자원을 분류화하는 단계를 포함한다. 다른 실시예에서, 블록(404)에서 네트워크 자원을 분류화하는 단계는 전송 제어 프로토콜(TCP;Transmission Control Protocol) 포트 번호, 사용자 데이터그램 프로토콜(UDP;User Datagram Protocol) 전송 타입 규격, 세션 개시 프로토콜(SIP;Sesssion Initiation Protocol) 전송 타입 규격, 인터넷 프로토콜(IP) IDs, 대응하는 IP 주소, 계층 2 MAC 주소, 및/또는 가상 LAN IDs중에서 적어도 하나에 기초하여 네트워크 자원을 분류화하는 단계를 포함한다.
이 방법(400)은 네트워크로 연결된 데이터베이스에서 컴퓨터로 실행할 수 있는 코드로 구현된 네트워크 자원의 적어도 일부를 안전하게 유지하는 단계를 더 포함할 수 있고, 상기 데이터베이스는 관리 도메인 제공 관리자가 액세스할 수 있도록 구성된다.
또 다른 실시예에서, 블록(406)에서 하나 이상의 보안 정책 규칙을 자동적으로 생성하는 단계는 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스내의 다른 네트워크 자원간에 허용된 연결에 대한 결정을 수행하는 것 및/또는 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스내의 다른 네트워크 자원간에 통신을 위한 네트워크 암호화의 레벨을 결정하는 것을 포함한다.
본 발명의 다른 실시예에 따라, 블록(408)에서 보안 정책 규칙을 갱신하는 단계는 새로 제공된 네트워크 자원과 통신할 수 있는 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 식별하는 것 및 서비스 랜드스케이프 모델에 의해 요구되는 보안 동작에 새로 제공된 네트워크 자원에 연결될 수 있도록 하는 정책 규칙을 갱신하는 단계룰 포함할 수 있다.
본 발명의 다른 실시예에 따라, 방법(400)은 네트워크 자원을 제공함으로써 영향을 받은 각각의 네트워크 자원의 실행시간 정책을 갱신하는 것을 더 포함할 수 있고, 각각의 네트워크 자원의 실행시간 정책 갱신은 하나 이상의 관리 도메인 제공 관리자를 통해 각각의 영향을 받은 네트워크 자원에 하나 이상의 보안 정책 규칙 및 갱신된 보안 정책 규칙을 강제 적용하는 것을 포함한다. 대안으로서, 방법(400)은 또한 관리 도메인 제공 관리자가 각각의 영향을 받은 네트워크 자원에 통지함으로써 네트워크 자원의 제공에 의해 영향을 받은 각각의 네트워크 자원의 실행시간 정책을 갱신하는 것을 포함할 수 있고, 자동적으로 생성된 하나 이상의 보안 정책 규칙 및 갱신된 보안 정책 규칙은 조합되어 새로운 정책을 정의하고, 영향을 받은 각각의 네트워크 자원은 새로운 정책을 관리 도메인 제공 관리자에게 요청할 수 있다. 또다른 실시예에서, 자동적으로 생성된 하나 이상의 보안 정책 규칙 및 갱신된 보안 정책 규칙은 조합되어 새로운 정책을 정의하고, 실행시간 정책 갱신은 서비스 랜드스케이프 인스턴스내의 적어도 하나의 네트워크 자원이 소정 시간에 또는 소정 기간 동안 관리 도메인 제공 관리자레게 새로운 정책의 최신 버전을 요청하는 것을 포함할 수 있다.
도 5는 대안 실시예에 따라, 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 이한 방법(500)에서의 예시적인 단계들의 흐름도이다. 이 방법(500)은, 블록(502)에서 시작 후, 블록(504)에서, 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하는 단계를 포함한다. 이 단계에서, 네트워크 자원은 새로 제공된 네트워크 자원을 이미 존재하는 네트워크 자원 데이터베이스에 추가함으로써 제공된다. 이 방법(500)은 또한 블록(506)에서, 그룹 이름과 새로 제공된 네트워크 자원을 연관시키는 단계를 포함한다. 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대한 요구되는 보안 동작을 지정하는 미리구성된 정책 규칙에서 참조되는 네트워크 자원의 집합에 대응한다. 이 실시예에 따라, 그룹 이름은 구성된 정책 규칙에서 네트워크 주소 대신에 규정된다. 이 방법(500)은 단계(508)에서 종료한다.
특정한 실시예에 따라 블록(504)에서, 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하는 단계는 새 애플리케이션을 서비스 랜드스케이프 인스턴스에 배치하는 단계 및 새 애플리케이션과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간의 통신을 위해 새로운 보안 정책 규칙을 포함하도록 서비스 랜드스케이프 모델을 재구성하는 단계를 포함한다.
대안 실시예에서, 블록(504)에서, 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하는 단계는 서비스 랜드스케이프 모델을 변경하지 않고 새로 제공된 네트워크 자원을 추가하는 단계와, 상기 제공하는 단계에 의해 영향을 받은 각각의 네트워크 자원에서 로컬 버전의 정책 규칙을 재구축하는 단계를 포함한다. 상기 재구축하는 단계는 네트워크 자원 데이터베이스를 재판독하는 것과 새로 제공된 네트워크 자원을 로컬 버전의 정책 규칙에 유지된 자원 그룹에 추가하는 것을 포함할 수 있다. 이 실시예에 따라, 방법(400)은 구성된 정책이 실행시간 사용에 적합한 형태로 변형되는 경우에 새로 제공된 네트워크 자원에 대응하는 새로운 실행시간 규칙을 각각의 영향을 받은 네트워크 자원에서 생성하는 것을 포함할 수 있다. 새로운 실행시간 규칙의 생성은 자원 데이터베이스의 재판독 및 구성된 정책의 실행시간 형태를 갱신하는 것을 허용하기 위해 관리 도메인 제공 관리자로부터 서비스 랜드스케이프 인스턴스내의 각각의 영향을 받은 네트워크 자원으로 새로 제공된 네 자원을 포함하는 자원 데이터베이스를 강제 적용하는 단계를 포함할 수 있다. 대안으로서, 실행시간 규칙을 생성하는 것은 자원 데이터베이스가 갱신되었다는 것을 각각의 영향을 받은 네트워크 자원에 통지하는 것, 및 적어도 하나의 영향을 받은 네트워크 자원에 대한 구성된 정책의 실행시간 형태의 갱신을 허용하도록 자원 데이터베이스의 현재 버전을 적어도 하나의 영향을 받은 네트워크 자원이 요청하는 단계를 포함할 수 있다. 또 다른 대안으로서, 실행시간 규칙은 적어도 하나의 영향을 받은 네트워크 자원의 구성된 정책의 실행시간 형태의 갱신을 허용하도록 현재 버전의 자원 데이터베이스를 관리 도메인 제공 관리자에게 요구하는 적어도 하나의 영향을 받은 네트워크 자원에 의해 생성될 수 있다.
본 발명은, 상기 설명한 바와 같이, 하드웨어, 소프트웨어, 또는 이들의 조합으로 실현될 수 있다. 본 발명은 한 컴퓨터 시스템에서 중앙집중 방식으로 또는 상이한 요소가 여러 상호 연결된 컴퓨터 시스템에 걸쳐 퍼져 있는 분산 방식으로 실현될 수 있다. 본원에 설명된 방법을 실행하기 위해 적응된 임의 종류의 컴퓨터 시스템 또는 기타 장치가 적합하다. 하드웨어와 소프트웨어의 일반적인 조합은 적재 및 실행되었을 때, 컴퓨터 프로그램이 본원에 설명된 방법을 실행하도록 범용 컴퓨터 시스템을 제어하는, 컴퓨터 프로그램을 갖춘 범용 컴퓨터 시스템일 수 있다.
본 발명은, 상기 설명한 바와 같이, 적재되어 컴퓨터에 의해 실행되었을 때 본원에 설명된 방법을 실행하는, 컴퓨터 프로그램 제품에 임베드된 컴퓨터 프로그램을 정의하는 컴퓨터로 판독가능한 코드를 갖는 자기 테이프 또는 광학식으로 판독가능한 디스크와 같은, 컴퓨터 프로그램 제품에 임베드될 수 있다. 본 발명의 관점에서 컴퓨터 프로그램은 정보 처리 능력을 갖는 시스템이 a) 다른 언어, 코드 또는 표기법으로의 변환, b) 상이한 요소 형태로의 재현중의 하나 또는 양자 모두를 수행한 후에 또는 즉시 특정한 기능을 수행하도록 하는 것을 의도한 명령어의 셋트임의의 언어 코드 또는 표기법으로 된 임의의 표현을 의미한다.
본 발명의 바람직한 실시예의 상기한 설명은 예시적인 목적으로 제공되었다. 이 설명은 본 발명을 개시된 형태 바로 그것에만 제한될 것을 의도하진 않는다. 즉, 수정 및 변형들이 상기 설명으로부터 용이하게 명백히 이해될 것이다. 따라서, 본 발명의 범위는 본원에 제공된 상세한 설명에 의해 제한되지 않음을 알아야 한다.
본 발명 및 발명의 다양한 실시태양은 하기의 절에 나타낸 실시예의 내용으로 요약될 수 있다.
1. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 자원 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법에 있어서, 이 방법은,
서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 분류화하는 단계;
네트워크 자원을 제공하는 것에 응답하여, 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책을 자동적으로 생성하는 단계; 및
서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스에서 미리 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하는 단계를 포함하는 것인, 방법.
2. 제1 실시태양에 있어서, 네트워크 자원을 분류화하는 단계는 서비스 랜드스케이프 인스턴스에서 네트워크 자원이 수행하는 역할에 따라 그리고 서비스 랜드스케이프 모델에 기초하여 결정된 다층 계층구조 토폴로지에서 네트워크 자원에 의해 점유된 층에 따라 각각의 네트워크 자원을 분류화하는 갓을 포함하는 것인, 방법.
3. 제1 실시태양에 있어서, 네트워크 자원을 분류화하는 단계는 서비스 랜드스케이프 모델에 설명된 전송 제어 프로토콜(TCP;Transmission Control Protocol) 포트 번호, 사용자 데이터그램 프로토콜(UDP;User Datagram Protocol) 전송 타입 규격, 세션 개시 프로토콜(SIP;Sesssion Initiation Protocol) 전송 타입 규격, 인터넷 프로토콜(IP) IDs, 대응하는 IP 주소, 계층 2 MAC 주소, 및/또는 가상 LAN IDs중에서 적어도 하나에 기초하여 네트워크 자원을 분류화하는 단계를 포함하는 것인, 방법.
4. 제1 실시태양에 있어서, 컴퓨터로 실행가능한 코드로 구현된 네트워크 자원의 적어도 일부분을 네트워크로 연결된 데이터베이스에 보안을 유지하여 유지시키는 단계를 더 포함하고, 상기 데이터베이스는 관리 도메인 제공 관리자가 액세스할 수 있는 것인, 방법.
5. 제1 실시태양에 있어서, 하나 이상의 보안 정책 규칙을 자동적으로 생성하는 단계는 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간에 허용된 연결을 결정하는 단계 및 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간의 통신을 위한 네트워크 암호화의 레벨을 결정하는 단계 중 적어도 하나를 수행하는 단계를 포함하는 것인, 방법.
6. 제1 실시태양에 있어서, 보안 정책 규칙을 갱신하는 단계는 새로 제공된 네트워크 자원과 통신할 수 있는 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 식별하는 단계 및 서비스 랜드스케이프 모델에 의해 요구되는 보안 동작에 따라 새로 제공된 네트워크 자원에 연결될 수 있도록 하는 보안 정책 규칙을 갱신하는 단계를 포함하는 것인, 방법.
7. 제1 실시태양에 있어서, 네트워크 자원의 제공에 의해 영향을 받은 각각의 네트워크 자원의 실행시간 정책을 갱신하는 단계를 더 포함하고, 실행시간 정책을 갱신하는 단계는 하나 이상의 보안 정책 규칙 및 갱신된 보안 정책 규칙을 관리 도메인 제공 관리자에 의해 각각의 영향을 받은 네트워크 자원에 강제로 적용하는 단계를 포함하는 것인, 방법.
8. 제1 실시태양에 있어서, 각각의 영향을 받은 네트워크 자원에게 통지하는 관리 도메인 제공 관리자에 의해 네트워크 자원의 제공에 의해 영향을 받은 각각의 네트워크 자원의 실행시간 정책을 갱신하는 단계를 더 포함하고, 자동적으로 생성된 하나 이상의 보안 정책 규칙 및 갱신된 정책 규칙은 조합되어 새로운 정책을 정의하고, 각각의 영향을 받은 네트워크 자원은 관리 도메인 제공 관리자에게 새로운 정책을 요청하는 것인, 방법.
9. 제1 실시태양에 있어서, 자동적으로 생성된 하나 이상의 보안 정책 규칙 및 갱신된 정책 규칙은 조합되어 새로운 정책을 정의하고, 상기 방법은 서비스 랜드스케이프 인스턴스내의 적어도 하나의 네트워크 자원이 소정 시간에 또는 소정 시간 간격으로 새로운 정책의 현재 버전을 관리 도메인 제공 관리자에게 요청하는 단계를 더 포함하는 것인, 방법.
10. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법에 있어서, 이 방법은,
새로 제공된 네트워크 자원을 이미 존재하는 네트워크 자원 데이터베이스에 추가함으로써 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하는 단계;
그룹 이름과 새로 제공된 네트워크 자원을 연관시키는 단계를 포함하고, 상기 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 지정하는 미리구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응하고, 상기 그룹 이름은 미리구성된 정책 규칙에서 네트워크 자원 대신에 지정되는 것인, 방법.
11. 제10 실시태양에 있어서, 상기 제공하는 단계는 새 애플리케이션을 서비스 랜드스케이프 인스턴스에 배치하는 단계 및 새 애플리케이션과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간의 통신을 위한 새 보안 정책 규칙을 포함하도록 서비스 랜드스케이프 모델을 재구성하는 단계를 포함하는 것인, 방법.
12. 제10 실시태양에 있어서, 상기 제공하는 단계는 서비스 랜드스케이프 인스턴스를 변경시키지 않고 새로 제공된 네트워크 자원을 추가하는 단계를 포함하고, 상기 방법은 또한 상기 제공하는 단계에 의해 영향을 받은 각각의 네트워크 자원에 정책 규칙의 로컬 버전을 재구축하는 단계를 더 포함하는 것인, 방법.
13. 제12 실시태양에 있어서, 상기 재구축하는 단계는 네트워크 자원 데이터베이스를 재판독하는 단계와 새로 제공된 네트워크 자원을 정책 규칙의 로컬 버전으로 유지된 자원 그룹에 추가하는 단계를 포함하는 것인, 방법.
14. 제13 실시태양에 있어서, 구성된 정책이 변환되어 실행시간 사용에 적합한 형태로 되는 경우 새로 제공된 네트워크 자원에 대응하는 새로운 실행시간 규칙을 각각의 영향을 받은 네트워크 자원에서 생성하는 단계를 더 포함하는 것인, 방법.
15. 제14 실시태양에 있어서, 새로 제공된 네트워크 자원을 포함하는 자원 데이터베이스를 자원 데이터베이스의 재판독 및 구성된 정책의 실행시간 형태를 갱신하는 것을 허용하기 위해 관리 도메인 제공 관리자를 통해 서비스 랜드스케이프 인스턴스내의 각각의 영향을 받은 네트워크 자원에 강제 적용하는 단계를 더 포함하는 것인, 방법.
16. 제14 실시태양에 있어서, 자원 데이터베이스가 갱신되었다는 것을 각각의 영향을 받은 네트워크 자원에게 통지하는 단계, 및 적어도 하나의 영향을 받은 네트워크 자원의 구성된 정책의 실행시간 형태가 갱신되는 것을 허용하기 위해 적어도 하나의 영향을 받은 네트워크 자원이 현재 버전의 자원 데이터베이스를 요청하는 단계를 더 포함하는 것인, 방법.
17. 제14 실시태양에 있어서, 적어도 하나의 영향을 받은 네트워크 자원은 적어도 하나의 영향을 받은 네트워크 자원의 구성된 정책의 실행시간 형태가 갱신되는 것을 허용하기 위해 현재 버전의 자원 데이터베이스를 관리 도메인 제공 관리자에게 요청하는 단계를 더 포함하는 것인, 방법.
18. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템에 있어서, 이 시스템은,
프로세서로 실행가능한 코드를 실행하기 위한 하나 이상의 프로세서;
서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 분류화하기 위해 하나 이상의 프로세서상에서 실행하도록 구성된 분류화 모듈;
새로 제공된 네트워크 자원에 대해 하나 이상의 보안 정책 규칙을 자동적으로 생성함으로써 네트워크 자원의 제공에 응답하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 규칙 생성 모듈; 및
서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함하도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스내의 이미존재하는 네트워크 자원의 보안 정책 규칙을 갱신하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 정책 갱신 모듈을 포함하는 것인, 시스템.
19. 제18 실시태양에 있어서, 서비스 랜드스케이프 인스턴스내의 네트워크 자원에 대한 범주를 제공하기 위해 서비스 랜드스케이프 모델을 구성하기 위한 구성 모듈을 더 포함하고, 상기 모델에 의해 지시된 계층 토폴로지의 각각의 층에 속해 있는 네트워크 자원은 분류화되고, 다른 네트워크 자원과 통신하도록 허용된 네트워크 자원은 식별되고, 그리고 상이한 네트워크 자원들간의 네트워크 통신에 대한 보안 필요요건이 지정되는 것인, 시스템.
20. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템에 있어서, 이 시스템은,
프로세서로 실행가능한 코드를 실행하기 위한 하나 이상의 프로세서;
새로 제공된 네트워크 자원을 서비스 랜드스케이프 인스턴스의 이미존재하는 자원 데이터베이스에 추가함으로써 네트워크 자원이 제공되는 경우 응답하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 이름 연관 모듈을 포함하고, 상기 모듈은 그룹 이름과 새로 제공된 네트워크 자원을 연관시키도록 구성되고, 상기 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 지정하는 이미 구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응하고, 상기 그룹 이름은 이미 구성된 정책 규칙에서 네트워크 주소 대신에 지정되는 것인, 시스템.
100: 네트워크 환경
104: 데이터 통신망
106a-c: 하나 이상의 컴퓨팅 디바이스

Claims (10)

  1. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법에 있어서,
    서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 분류화하는 단계;
    네트워크 자원을 제공하는 것에 응답하여, 새로 제공된 네트워크 자원에 대한 하나 이상의 보안 정책 규칙을 자동적으로 생성하는 단계; 및
    서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함하도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스 내의 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하는 단계
    를 포함하는 컴퓨터로 구현된 방법.
  2. 제1항에 있어서, 네트워크 자원을 분류화하는 단계는 서비스 랜드스케이프 인스턴스에서 네트워크 자원이 수행하는 역할에 따라 그리고 서비스 랜드스케이프 모델에 기초하여 결정된 다층 계층구조 토폴로지에서 네트워크 자원에 의해 점유된 층에 따라 각각의 네트워크 자원을 분류화하는 단계를 포함하는 것인, 방법.
  3. 제1항에 있어서, 네트워크 자원을 분류화하는 단계는 서비스 랜드스케이프 모델에 설명된 전송 제어 프로토콜(TCP;Transmission Control Protocol) 포트 번호, 사용자 데이터그램 프로토콜(UDP;User Datagram Protocol) 전송 타입 규격, 세션 개시 프로토콜(SIP;Sesssion Initiation Protocol) 전송 타입 규격, 인터넷 프로토콜(IP) ID, 대응하는 IP 주소, 계층 2 MAC 주소, 및/또는 가상 LAN ID 중에서 적어도 하나에 기초하여 네트워크 자원을 분류화하는 단계를 포함하는 것인, 컴퓨터로 구현된 방법.
  4. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 컴퓨터로 구현된 방법에 있어서,
    이미 존재하는 네트워크 자원 데이터베이스에 새로 제공된 네트워크 자원을 추가함으로써 서비스 랜드스케이프 인스턴스에 네트워크 자원을 제공하는 단계와,
    새로 제공된 네트워크 자원과 그룹 이름을 연관시키는 단계
    를 포함하며,
    상기 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 지정하는 미리 구성된 정책 규칙에서 참조되는 네트워크 자원의 집합에 대응하며,
    상기 그룹 이름은 구성된 정책 규칙에서 네트워크 주소 대신에 지정되는 것인 컴퓨터로 구현된 방법.
  5. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템에 있어서,
    프로세서로 실행가능한 코드를 실행하기 위한 하나 이상의 프로세서;
    서비스 랜드스케이프 모델에 기초하여 서비스 랜드스케이프 인스턴스내의 네트워크 자원을 분류화하기 위해 하나 이상의 프로세서상에서 실행하도록 구성된 분류화 모듈;
    새로 제공된 네트워크 자원에 대해 하나 이상의 보안 정책 규칙을 자동적으로 생성함으로써 네트워크 자원의 제공에 응답하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 규칙 생성 모듈; 및
    서비스 랜드스케이프 모델에 기초하여 원격 자원으로서 새로 제공된 네트워크 자원을 포함하도록 하기 위해 새로 제공된 네트워크 자원과 통신할 자격이 있는 것으로 결정된 서비스 랜드스케이프 인스턴스 내의 이미 존재하는 네트워크 자원의 보안 정책 규칙을 갱신하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 정책 갱신 모듈
    을 포함하는 시스템.
  6. 제5항에 있어서, 서비스 랜드스케이프 인스턴스내의 네트워크 자원에 대한 범주를 제공하기 위해 서비스 랜드스케이프 모델을 구성하기 위한 구성 모듈을 더 포함하고, 상기 모델에 의해 지시된 계층 토폴로지의 각각의 층에 허용되는 네트워크 자원은 분류화되고, 다른 네트워크 자원과 통신하도록 허용된 네트워크 자원은 식별되고, 그리고 상이한 네트워크 자원들간의 네트워크 통신에 대한 보안 필요요건이 지정되는 것인, 시스템.
  7. 제5항 또는 제6항에 있어서, 하나 이상의 보안 정책 규칙을 자동적으로 생성하기 위해, 규칙 생성 모듈은 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간에 허용된 연결을 결정하고 및 새로 제공된 네트워크 자원과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간의 통신을 위한 네트워크 암호화 레벨을 결정하는 것 중 적어도 하나를 수행하도록 구성된 것인, 시스템.
  8. 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 네트워크 보안 정책 규칙을 갱신하기 위한 시스템에 있어서,
    프로세서로 실행가능한 코드를 실행하기 위한 하나 이상의 프로세서; 및
    서비스 랜드스케이프 인스턴스의 이미 존재하는 자원 데이터베이스에 새로 제공된 네트워크 자원을 추가함으로써 네트워크 자원이 제공되는 경우에 응답하기 위해 하나 이상의 프로세서상에서 실행되도록 구성된 이름 연관 모듈
    을 포함하고,
    상기 이름 연관 모듈은 또한 그룹 이름과 새로 제공된 네트워크 자원을 연관시키도록 구성되고,
    상기 그룹 이름은 서비스 랜드스케이프 인스턴스의 네트워크 자원에 대해 요구되는 보안 동작을 지정하기 위한 이미 구성된 정책 규칙에서 설명되는 네트워크 자원의 집합에 대응하고,
    상기 그룹 이름은 이미 구성된 정책 규칙에서 네트워크 주소 대신에 지정되는 것인, 시스템.
  9. 제8항에 있어서, 상기 시스템은 새로 제공된 네트워크 자원을 이미 존재하는 네트워크 자원 데이터베이스에 추가함으로써 네트워크 자원을 서비스 랜드스케이프 인스턴스에 제공하도록 동작가능하고,
    상기 시스템은 새 애플리케이션을 서비스 랜드스케이프 인스턴스에 배치하고 새 애플리케이션과 서비스 랜드스케이프 인스턴스의 다른 네트워크 자원간의 통신을 위한 새 정책 규칙을 포함하도록 서비스 랜드스케이프 모델을 재구성함으로써 네트워크 자원을 제공하기 위한 컴포넌트를 포함하는 것인, 시스템.
  10. 컴퓨터 프로그램이 컴퓨터상에서 실행될 때 청구항 1 내지 청구항 4에 기재된 방법을 수행하도록 적응된 것인, 컴퓨터 코드 수단을 포함하는 컴퓨터 프로그램.
KR1020117002730A 2008-07-01 2009-06-30 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법 KR101475988B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/166,243 2008-07-01
US12/166,243 US8424053B2 (en) 2008-07-01 2008-07-01 Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape
PCT/EP2009/058182 WO2010000738A1 (en) 2008-07-01 2009-06-30 Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape

Publications (2)

Publication Number Publication Date
KR20110042070A true KR20110042070A (ko) 2011-04-22
KR101475988B1 KR101475988B1 (ko) 2014-12-23

Family

ID=40943729

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117002730A KR101475988B1 (ko) 2008-07-01 2009-06-30 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법

Country Status (7)

Country Link
US (1) US8424053B2 (ko)
EP (1) EP2304917A1 (ko)
JP (1) JP5444337B2 (ko)
KR (1) KR101475988B1 (ko)
CA (1) CA2729898C (ko)
TW (1) TWI468972B (ko)
WO (1) WO2010000738A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049579A (ko) * 2017-10-30 2019-05-09 성균관대학교산학협력단 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9043861B2 (en) * 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US9491052B2 (en) * 2010-03-26 2016-11-08 Bladelogic, Inc. Topology aware smart merge
US8788669B2 (en) 2011-01-03 2014-07-22 Novell, Inc. Policy and identity based workload provisioning
US8732665B2 (en) * 2011-06-28 2014-05-20 Microsoft Corporation Deploying environments for testing by providing instantaneous availability of prebuilt environments
US9088570B2 (en) * 2012-03-26 2015-07-21 International Business Machines Corporation Policy implementation in a networked computing environment
CN103686865B (zh) * 2012-09-26 2018-11-09 索尼公司 网络资源使用的决策装置和方法
WO2014107793A1 (en) * 2013-01-11 2014-07-17 Teknision Inc. Method and system for configuring selection of contextual dashboards
US9354983B1 (en) * 2013-03-15 2016-05-31 Entreda, Inc. Integrated it service provisioning and management
US9258315B2 (en) * 2014-01-13 2016-02-09 Cisco Technology, Inc. Dynamic filtering for SDN API calls across a security boundary
KR101601397B1 (ko) * 2014-03-13 2016-03-08 현대자동차주식회사 근거리 무선 통신을 활용한 와이파이 다이렉트 피투피 연결이 가능한 텔레매틱스 시스템
US9491198B2 (en) * 2014-07-10 2016-11-08 Sap Se Obligation enforcement for resource access control
US20160373319A1 (en) * 2014-09-24 2016-12-22 Jeremy Lynn Littlejohn Method and device for evaluating the system assets of a communication network
US9401933B1 (en) 2015-01-20 2016-07-26 Cisco Technology, Inc. Classification of security policies across multiple security products
US9680875B2 (en) 2015-01-20 2017-06-13 Cisco Technology, Inc. Security policy unification across different security products
US9521167B2 (en) 2015-01-20 2016-12-13 Cisco Technology, Inc. Generalized security policy user interface
US9531757B2 (en) 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US9571524B2 (en) 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US9787722B2 (en) 2015-05-19 2017-10-10 Cisco Technology, Inc. Integrated development environment (IDE) for network security configuration files
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US9948679B2 (en) 2015-08-21 2018-04-17 Cisco Technology, Inc. Object-relation user interface for viewing security configurations of network security devices
US9992232B2 (en) 2016-01-14 2018-06-05 Cisco Technology, Inc. Policy block creation with context-sensitive policy line classification
US10182055B2 (en) 2016-06-06 2019-01-15 Cisco Technology, Inc. Security policy efficacy visualization
US10601871B2 (en) * 2017-01-18 2020-03-24 International Business Machines Corporation Reconfiguration of security requirements for deployed components of applications
US10944723B2 (en) * 2017-11-17 2021-03-09 ShieldX Networks, Inc. Systems and methods for managing endpoints and security policies in a networked environment
DE112019007406T5 (de) 2019-05-30 2022-03-17 Hewlett Packard Enterprise Development Lp Weiterleitung von nvsvse-overfabric-paketen
US11777804B2 (en) 2019-06-11 2023-10-03 Hewlett Packard Enterprise Development Lp Automatic system provisioning for NVME-over-fabric storage
US11456917B2 (en) * 2020-06-01 2022-09-27 Cisco Technology, Inc. Analyzing deployed networks with respect to network solutions
US11757888B2 (en) 2021-06-15 2023-09-12 Fortinet, Inc. Systems and methods for fine grained forward testing for a ZTNA environment
CN114221808B (zh) * 2021-12-14 2024-02-06 平安壹钱包电子商务有限公司 安全策略部署方法、装置、计算机设备及可读存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738908B1 (en) 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
TW490629B (en) * 2000-12-12 2002-06-11 Kindly Network Corp Network resources utilization method beneficial to all parties
US7478418B2 (en) 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
US7308706B2 (en) 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US7945669B2 (en) * 2002-10-30 2011-05-17 Emc Corporation Method and apparatus for provisioning storage resources
US20080008202A1 (en) * 2002-10-31 2008-01-10 Terrell William C Router with routing processors and methods for virtualization
US7689676B2 (en) 2003-03-06 2010-03-30 Microsoft Corporation Model-based policy application
US7603464B2 (en) * 2003-06-04 2009-10-13 Sony Computer Entertainment Inc. Method and system for identifying available resources in a peer-to-peer network
CA2534630C (en) * 2003-07-17 2016-05-24 Interdigital Technology Corporation Signaling method for wlan network control
KR100714367B1 (ko) * 2004-03-24 2007-05-08 최성원 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법
JP4308086B2 (ja) * 2004-05-31 2009-08-05 富士通株式会社 自律制御プログラム及びその記録媒体、自律制御装置並びに自律制御方法
WO2006040812A1 (ja) * 2004-10-12 2006-04-20 Fujitsu Limited 運用管理プログラム、運用管理方法および運用管理装置
US7302533B2 (en) * 2005-03-11 2007-11-27 International Business Machines Corporation System and method for optimally configuring software systems for a NUMA platform
US7801128B2 (en) * 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049579A (ko) * 2017-10-30 2019-05-09 성균관대학교산학협력단 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
WO2019088671A1 (ko) * 2017-10-30 2019-05-09 성균관대학교 산학협력단 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치

Also Published As

Publication number Publication date
JP2011527781A (ja) 2011-11-04
US20100005505A1 (en) 2010-01-07
EP2304917A1 (en) 2011-04-06
US8424053B2 (en) 2013-04-16
CA2729898A1 (en) 2010-01-07
TW201015370A (en) 2010-04-16
JP5444337B2 (ja) 2014-03-19
KR101475988B1 (ko) 2014-12-23
WO2010000738A1 (en) 2010-01-07
CA2729898C (en) 2017-04-11
TWI468972B (zh) 2015-01-11

Similar Documents

Publication Publication Date Title
KR20110042070A (ko) 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법
CN110741603B (zh) 拓扑探测器
US11924068B2 (en) Provisioning a service
US10574513B2 (en) Handling controller and node failure scenarios during data collection
US9596141B2 (en) Representing software defined networks using a programmable graph model
Banikazemi et al. Meridian: an SDN platform for cloud network services
Strassner et al. Policy-based network management: solutions for the next generation
CN110710161B (zh) 生成网络的设备级逻辑模型
CN110785963B (zh) 从网络收集网络模型和节点信息
CN110710160B (zh) 生成用于网络策略分析的全网络逻辑模型的方法和系统
US20030069956A1 (en) Object oriented SNMP agent
US20140280802A1 (en) Capability identification and modification through hardware introspection and reflection
US20030069955A1 (en) SNMP agent object model
US8458763B2 (en) Method of automating and personalizing systems to satisfy security requirements in an end-to-end service landscape
AU2013266420B2 (en) Pluggable allocation in a cloud computing system
US11909597B1 (en) Connectivity management environment endpoint discovery via connectivity management system client
Greunke Distributed emulation in support of large networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181127

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191126

Year of fee payment: 6