KR20140144295A - 유체 보안 계층을 제공하기 위한 장치 및 방법 - Google Patents

유체 보안 계층을 제공하기 위한 장치 및 방법 Download PDF

Info

Publication number
KR20140144295A
KR20140144295A KR1020147031568A KR20147031568A KR20140144295A KR 20140144295 A KR20140144295 A KR 20140144295A KR 1020147031568 A KR1020147031568 A KR 1020147031568A KR 20147031568 A KR20147031568 A KR 20147031568A KR 20140144295 A KR20140144295 A KR 20140144295A
Authority
KR
South Korea
Prior art keywords
security
security rule
rule
rules
location
Prior art date
Application number
KR1020147031568A
Other languages
English (en)
Inventor
나가 크리슈나 피 푸타스와미
팡 하오
안토니 마틴
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20140144295A publication Critical patent/KR20140144295A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

보안 관리 능력이 제시된다. 보안 관리 능력은 저장/적용 로케이션 사이에 개별 보안 규칙의 마이그레이션(migration)을 가능하게 한다. 보안 규칙의 마이그레이션은 보안 규칙이 적용되는 로케이션의 선택 및 보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 포함할 수 있다. 보안 규칙이 적용되는 로케이션의 선택은 보안 규칙 정책 및/또는 보안 규칙 로케이션 선택 정보에 기초하여 수행될 수 있다. 보안 규칙은 현재 위치(예를 들어, 보안 규칙이 현재 적용되는 위치, 관리 시스템 등)로부터 보안 규칙이 적용되는 선택된 위치로 마이그레이션된다. 이 방식으로, 유체 보안 계층이 제공될 수 있다. 유체 보안 계층은 보안 레벨, 성능, 비용 등 중 하나 이상에 대해 최적화될 수 있다.

Description

유체 보안 계층을 제공하기 위한 장치 및 방법{APPARATUS AND METHOD FOR PROVIDING A FLUID SECURITY LAYER}
본 발명은 일반적으로 통신에 관한 것으로서, 전적인 것은 아니지만, 더 구체적으로는 통신을 위한 보안을 제공하는 것에 관한 것이다.
클라우드-기반 데이터 센터(cloud-based data center)는 급속하게 기업과 개인 사용자들의 이들의 데이터를 호스팅하기 위한 선택이 되고 있다. 클라우드-기반 데이터 센터는 클라우드-기반 데이터 센터 내에 호스팅되는 증가하는 데이터량을 처리하기 위해(예를 들어, 다중-경로(multi-path) 능력, 더 높은 대역폭, 더 높은 확장성(scalability), 및 호스트를 증가시키기 위한 지원을 가능하게 하는 다른 특징을 제공하기 위해) 최근에 리엔지니어링되고 있지만, 클라우드-기반 데이터 센터를 위한 보안을 제공하는 다수의 보안 서비스는 기술적인 진보의 견지에서 뒤떨어져있다.
종래 기술의 다양한 결점은 보안 관리를 위해 실시예에 의해 처리된다.
일 실시예에서, 장치는 프로세서 및 프로세서에 통신가능하게 접속된 메모리를 포함하고, 프로세서는 보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하고 보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션(migration)을 개시하도록 구성된다.
일 실시예에서, 컴퓨터-판독 가능 저장 매체는 컴퓨터에 의해 실행될 때, 보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계 및 보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하는 단계를 포함하는 방법을 컴퓨터가 수행하게 하는 명령어를 저장한다.
일 실시예에서, 방법은 보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계 및 보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하는 단계를 포함한다.
본 명세서의 교시는 첨부 도면과 함께 이하의 상세한 설명을 고려함으로써 즉시 이해될 수 있다:
도 1은 보안 관리를 지원하도록 구성된 예시적인 클라우드 시스템의 고레벨 블록 다이어그램을 도시한다.
도 2는 보안 규칙 정책에 기초하여 보안 규칙의 로케이션을 선택하기 위한 방법의 일 실시예를 도시한다.
도 3은 본 명세서에 설명된 기능을 수행하는데 사용을 위해 적합한 컴퓨터의 고레벨 블록 다이어그램을 도시한다.
이해를 용이하게 하기 위해, 가능한 경우에 도면에 공통인 동일한 요소들을 지시하기 위해 동일한 도면 부호가 사용된다.
일반적으로, 보안 관리 능력이 본 명세서에 도시되고 설명되지만, 다양한 다른 능력이 또한 본 명세서에 제시될 수 있다.
적어도 몇몇 실시예에서, 보안 관리 능력은 보안 규칙이 저장되고/적용되는 저장/적용 로케이션들 사이의 개별 보안 규칙 및/또는 보안 규칙들의 그룹의 마이그레이션을 가능하게 한다. 저장/적용 로케이션은 데이터 센터(데이터 센터 로케이션이라 칭할 수도 있음) 내에, 데이터 센터(본 명세서에서 네트워크 로케이션 등이라 칭할 수도 있음) 사이의 통신 네트워크 내에, 뿐만 아니라 이들의 다양한 조합들에 위치될 수 있다. 저장/적용 로케이션은 본 명세서에서 더 일반적으로 로케이션이라 칭할 수도 있다.
적어도 몇몇 실시예에서, 보안 규칙의 마이그레이션은 보안 규칙이 적용되는 로케이션의 선택 및 보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 포함할 수 있다. 보안 규칙이 적용되는 로케이션의 선택은 보안 규칙 정책 및/또는 보안 규칙 로케이션 선택 정보에 기초하여 수행될 수 있다. 보안 규칙은 현재 로케이션(예를 들어, 보안 규칙이 현재 적용되는 로케이션, 관리 시스템 등)으로부터 보안 규칙이 적용되는 선택된 로케이션으로 마이그레이션된다. 이 방식으로, 유체 보안 계층이 제공될 수 있다. 유체 보안 계층은 보안 레벨, 성능, 비용 등, 뿐만 아니라 이들의 다양한 조합 중 하나 이상에 대해 최적화될 수 있다.
적어도 몇몇 실시예에서, 보안 관리 능력은 보안 규칙 정책 및/또는 다양한 유형의 보안 규칙 로케이션 선택 정보에 기초하는 보안 규칙의 마이그레이션을 가능하게 하여, 이에 의해 다양한 고려 사항(예를 들어, 소비자 요구, 데이터 센터 상황 등)에 기초하여 특정(그리고, 적어도 몇몇 경우에, 이상적) 로케이션에 특정 보안 규칙을 배치하는 견지에서 상당한 융통성을 제공하도록 구성된다.
적어도 몇몇 실시예에서, 보안 관리 능력은 데이터 센터 네트워크의 보안 특성을 열화시키지 않고 클라우드의 사용자가 데이터 센터 네트워크 내의 다양한 향상의 이익을 실현하는 것을 가능하게 하는(예를 들어, 다중-경로 능력을 사용하여, 더 높은 대역폭을 제공하여, 더 높은 확장성을 제공하여 등) 방식으로 클라우드-관련 통신을 위한 보안 전개를 가능하게 하도록 구성된다. 적어도 몇몇 실시예에서, 보안 관리 능력은 가상 머신의 이동을 거쳐 가상 머신의 입도(granularity) 내의 보안 모듈(예를 들어, 방화벽 등)을 관리할 필요성을 제거한다(예를 들어, 각각의 가상 머신이 고객 규칙의 세트(종종 연계된 고객의 모든 규칙)를 점검하고 그리고/또는 모든 고객 트래픽이 모든 고객 규칙을 호스팅하고 시행하는 가상 머신(들)으로 횡단하도록 필요로 하는 경우).
적어도 몇몇 실시예에서, 보안 관리 능력은 데이터 센터 내에 호스팅된 애플리케이션 및 서비스를 위한 개량(예를 들어, 예를 들어 얻어진 대역폭 및 응답 지연 시간의 견지에서와 같은 개량된 성능), 뿐만 아니라 데이터 센터의 전체 효능의 개량(예를 들어, 로드에 적응하고 다양한 보안 점검의 로케이션을 최적화함으로써)을 유도한다.
클라우드 데이터 센터의 통신에 적용된 보안 규칙을 관리하는 환경에서 주로 도시되고 설명되지만, 보안 관리 능력의 다양한 기능은 다양한 다른 유형의 통신(예를 들어, 클라우드 데이터 센터와 연계된 것들 이외의 통신)에 적용될 수 있는 보안 규칙을 관리하는데 사용을 위해 적용될 수도 있다는 것이 이해될 수 있을 것이다.
도 1은 보안 관리를 지원하도록 구성된 예시적인 클라우드 시스템의 고레벨 블록 다이어그램을 도시한다.
클라우드 시스템(100)은 제 1 데이터 센터(110A) 및 제 2 데이터 센터(110B)(집합적으로, 데이터 센터(110)), 통신 네트워크(120), 클라우드 시스템(100)의 다양한 요소를 가로질러 분포된 복수의 보안 모듈(130), 보안 규칙 콘트롤러(140), 및 보안 규칙(152) 및 보안 규칙 정책(154)을 포함하는 보안 규칙 데이터베이스(150)를 포함한다.
제 1 데이터 센터(110A)는 복수의 호스트(111A1 내지 111AN)(집합적으로, 호스트(111A))를 포함한다. 호스트(111A1 내지 111AN)는 각각의 하이퍼바이저(hypervisor)(112A1 내지 112AN)(집합적으로, 하이퍼바이저(112A))를 포함한다. 호스트(111A1 내지 111AN)는 각각의 복수의 가상 머신(114A1 내지 114AN)(집합적으로, 복수의 가상 머신(114A))을 또한 포함한다. 제 1 데이터 센터(110A)는 각각의 호스트(111)에 통신가능하게 접속된 데이터 센터 네트워크 디바이스(115A)를 또한 포함한다.
제 2 데이터 센터(110B)는 복수의 호스트(111B1 내지 111BN)(집합적으로, 호스트(111B))를 포함한다. 호스트(111B1 내지 111BN)는 각각의 하이퍼바이저(112B1 내지 112BN)(집합적으로, 하이퍼바이저(112B))를 포함한다. 호스트(111B1 내지 111BN)는 각각의 복수의 가상 머신(114B1 내지 114BN)(집합적으로, 복수의 가상 머신(114B))을 또한 포함한다. 제 2 데이터 센터(110B)는 각각의 호스트(111)에 통신가능하게 접속된 데이터 센터 네트워크 디바이스(115B)를 또한 포함한다. 호스트(111A, 111B)는 집합적으로 호스트(111)라 칭할 수도 있다. 하이퍼바이저(112A, 112B)는 집합적으로 하이퍼바이저(112)라 칭할 수도 있다.
통신 네트워크(120)는 제 1 데이터 센터(110A)와 제 2 데이터 센터(110B) 사이 그리고 보안 규칙 제어기(140)와 데이터 센터(110) 사이의 통신을 지원한다. 통신 네트워크(120)는 복수의 네트워크 디바이스(1221 내지 122M)(집합적으로, 네트워크 디바이스(122))를 포함한다. 통신 네트워크(120)는 데이터 센터(110A, 110B) 사이 및 보안 규칙 콘트롤러(140)와 데이터 센터(110) 사이의 통신을 지원하기 위해 적합한 임의의 유형의 통신 네트워크(들)를 포함할 수도 있다. 유사하게, 네트워크 디바이스(122)는 데이터 센터(110A, 110B) 사이 및 보안 규칙 콘트롤러(140)와 데이터 센터(110)(예를 들어, 라우터, 스위치 등) 사이의 통신을 지원하기 위해 적합한 임의의 유형의 통신 네트워크(들)를 포함할 수도 있다.
보안 모듈(130)은 보안 규칙(152)을 수신하고, 저장하고, 적용하도록 구성된다. 보안 모듈(130)은 보안 규칙(152)이 저장되고 이어서 적용될 수 있는 보안 규칙(152)을 위한 잠재적인 저장/적용 로케이션을 표현한다. 전술된 바와 같이, 보안 모듈(130)은 클라우드 시스템(100)의 다양한 요소들을 가로질러 분포된다. 데이터 센터(110A)에서, 하이퍼바이저(112A1 내지 112AN)는 각각의 보안 모듈(130A1 내지 130AN)을 포함하고, 데이터 센터 네트워크 디바이스(115A)는 보안 모듈(130SA)(집합적으로 보안 모듈(130A))을 포함한다. 데이터 센터(110B)에서, 하이퍼바이저(112B1 내지 112BN)는 각각의 보안 모듈(130B1 내지 130BN)을 포함하고, 데이터 센터 네트워크 디바이스(115B)는 보안 모듈(130SB)(집합적으로 보안 모듈(130B))을 포함한다. 네트워크 디바이스(1221 내지 122M)는 각각의 보안 모듈(130N1 내지 130NN)(집합적으로, 보안 모듈(130N))을 포함한다. 보안 모듈(130A, 130B, 130N)은 집합적으로 보안 모듈(130)이라 칭한다. 클라우드 시스템(100)의 다양한 로케이션에서의 보안 모듈(130)의 이용 가능성은 정책, 조건 등, 뿐만 아니라 이들의 다양한 조합에 기초하여 보안 규칙의 지능적 배치를 가능하게 하는 상당한 융통성을 제공한다.
보안 모듈(130)은 보안 모듈(130)이 각각 배치되는 요소를 횡단하는 통신에 보안 규칙(152)을 적용하도록 구성된다. 예를 들어, 호스트(111A1 내지 111AN)의 보안 모듈(130A1 내지 130AN)은 호스트(111A1 내지 111AN)(및 111A1 내지 111AN 상에 상주하는 가상 머신(114A1 내지 114AN))에 각각 송신된/으로부터 수신된 데이터에 보안 규칙(152)을 시행할 수 있다. 유사하게, 예를 들어, 호스트(111B1 내지 111BN)의 보안 모듈(130B1 내지 130BN)은 호스트(111B1 내지 111BN)(및 111B1 내지 111BN 상에 상주하는 가상 머신(114B1 내지 114BN))에 각각 송신된/으로부터 수신된 데이터에 보안 규칙(152)을 시행할 수 있다. 예를 들어, 보안 모듈(130SA)은 데이터 센터(110A)의 임의의 호스트(111A)에 송신된/로부터 수신된 데이터(예를 들어, 데이터 센터(110A) 내의 호스트(111A) 사이에 교환된 데이터, 데이터 센터(110A)의 호스트(111A)와 데이터 센터(110A)의 외부에 위치된 임의의 다른 디바이스(들) 사이에 교환된 데이터 등, 뿐만 아니라 이들의 다양한 조합)에 보안 규칙(152)을 시행할 수도 있다. 유사하게, 예를 들어, 보안 모듈(130SB)은 데이터 센터(110B)의 임의의 호스트(111B)에 송신된/로부터 수신된 데이터(예를 들어, 데이터 센터(110B) 내의 호스트(111B) 사이에 교환된 데이터, 데이터 센터(110B)의 호스트(111B)와 데이터 센터(110B)의 외부에 위치된 임의의 다른 디바이스(들) 사이에 교환된 데이터 등, 뿐만 아니라 이들의 다양한 조합)에 보안 규칙(152)을 시행할 수도 있다. 예를 들어, 네트워크 디바이스(1221 내지 122N)의 보안 모듈(130N1 내지 130NM)은 네트워크 디바이스(1221 내지 122N)를 각각 횡단하는 데이터(예를 들어, 데이터 센터(110) 중 하나의 임의의 호스트(111)로 송신된/로부터 수신된) 상에 보안 규칙(152)을 시행할 수 있다.
보안 모듈(130)은 통신 요소들 사이의 통신에 보안 규칙(152)을 적용하도록 구성된 임의의 적합한 유형의 보안 요소를 포함할 수 있다. 예를 들어, 보안 모듈(130)은 방화벽, 침입 탐지 시스템(Intrusion Detection System: IDS), 침입 방지 시스템(Intrusion Prevention System: IPS) 또는 보안 규칙을 유지하고 실행하도록 구성된 임의의 다른 유형(들)의 요소(들)를 포함할 수 있다.
보안 규칙 콘트롤러(140)는 보안 모듈(130)을 제어하도록 구성된다. 보안 규칙 콘트롤러(140)는 보안 모듈(130)로의 보안 규칙(152)의 분배를 제어하도록 구성되어, 이에 의해 보안 규칙 콘트롤러(140)가 보안 규칙(152)이 클라우드 시스템(100) 내에 적용되는 방식을 제어하는 것을 가능하게 한다. 보안 규칙 콘트롤러(140)는 이러한 기능을 제공하기 위해 통신 네트워크(120)에 그리고 또한 제 1 데이터 센터(110A) 및 제 2 데이터 센터(110B)에 통신가능하게 접속된다.
보안 규칙 콘트롤러(140)는 전술된 바와 같이 복수의 보안 규칙(152) 및 복수의 보안 규칙 정책(154)을 포함하는 보안 규칙 데이터베이스(150)를 포함하거나 다르게는 이에 대한 액세스를 갖는다.
보안 규칙 데이터베이스(150)는 하나 이상의 고객에 대한 보안 규칙(152) 및 보안 규칙 정책(154)을 포함할 수 있다.
보안 규칙(152)은 통신 요소(예를 들어, VM(114), 호스트(111), 네트워크 요소 등) 사이에 통신하도록 보안 요소(예를 들어, 보안 모듈(130))에 의해 적용될 수 있는 임의의 유형의 보안 규칙을 포함할 수 있다. 예를 들어, 보안 규칙(152)은 특정 포트(예를 들어, 포트(80), 포트(120) 등) 상의 트래픽을 차단하기 위한 규칙, 특정 포트(예를 들어, 포트(10), 포트(50) 등)로부터의 트래픽만을 허용하기 위한 규칙, 특정 포트(예를 들어, 포트(20), 포트(40) 등)로부터 나오는 레이트-제한 트래픽에 대한 규칙 등, 뿐만 아니라 이들의 다양한 조합과 같은 방화벽 규칙을 포함할 수 있다. 예를 들어, 보안 규칙(152)은 하나 이상의 침입 탐지 규칙(예를 들어, 접속을 거쳐 수신된 트래픽이 침입 탐지 검출 모니터링이 수행되는 소정의 패턴에 일치하면 접속을 플래그하는 등)을 포함할 수 있다. 예를 들어, 보안 규칙(152)은 하나 이상의 침입 방지 규칙(예를 들어, 접속을 거쳐 수신된 트래픽이 침입 방지 모니터링이 수행되는 소정의 패턴에 일치하면 접속을 드롭하는 등)을 포함할 수 있다. 보안 규칙(152)은 통신 요소들 사이의 통신을 보안하는데 사용을 위해 적용된 임의의 다른 적합한 유형의 규칙을 포함할 수 있다.
보안 규칙(152)은 임의의 적합한 수의 소스 요소로부터 임의의 적합한 수의 목적지 요소로의 통신을 포함할 수 있는 통신 요소들 사이의 통신에 적용될 수 있는 임의의 유형의 보안 규칙을 포함할 수 있다. 예를 들어, 보안 규칙(152)은 소스 가상 머신과 목적지 가상 머신 사이의(예를 들어, 동일한 호스트(111) 내의, 동일한 데이터 센터(110) 내의 상이한 호스트(111)와 연계된, 상이한 데이터 센터(110) 내의 등) 통신에 적용될 수 있다. 예를 들어, 보안 규칙(152)은 가상 머신과 네트워크 디바이스(예를 들어, 로드-밸런서(load-balancer) 또는 임의의 다른 적합한 네트워크 디바이스) 사이의 통신에 적용될 수 있다. 예를 들어, 보안 규칙(152)은 다수의 소스 통신 요소와 단일의 목적지 통신 요소 사이의 통신에 적용될 수 있다. 예를 들어, 보안 규칙(152)은 단일의 소스 통신 요소와 다수의 목적지 통신 요소 사이의 통신에 적용될 수 있다. 다른 변형예(예를 들어, 통신 요소의 수 및/또는 유형의 견지에서)가 가능하다는 것이 이해될 수 있을 것이다.
보안 규칙(152)은 임의의 적합한 방식으로 편성될 수도 있다. 보안 규칙 데이터베이스(150)의 보안 규칙(152)은 고객당 기초로 보안 규칙(152)의 분배 및 적용을 가능하게 하기 위해 고객당 기초로 편성될 수도 있다. 보안 규칙 데이터베이스(150)의 보안 규칙(152)은 고객의 그룹에 대해 편성될 수도 있다(예를 들어, 보안 규칙(152) 및/또는 보안 정책(154)이 다수의 고객 사이에 공유됨). 보안 규칙 데이터베이스(150)의 보안 규칙(152)은 임의의 다른 적합한 방식으로 편성될 수도 있다.
보안 규칙 데이터베이스(150)의 보안 규칙 정책(154)은 연계된 보안 규칙 정책(154)이 규정되는 보안 규칙(152)에 대한 로케이션을 선택하는데 사용될 수 있는 임의의 정책을 포함할 수 있다. 보안 규칙 정책(154)은 성능(예를 들어, 보안의 레벨, 지연 시간 등), 비용 등, 뿐만 아니라 이들의 다양한 조합과 같은 고려 사항에 기초하여 규정될 수 있다. 보안 규칙 정책(154)은 하나 이상의 고객의 필요성 및/또는 요구(예를 들어, 고객-특정 정책 파라미터)와 같은 더 특정한 고려 사항에 기초하여 규정될 수도 있다. 보안 규칙 정책(154)의 특정 예가 이하에 상세히 설명된다는 것이 주목된다.
보안 규칙 정책(154)은 임의의 적합한 방식으로 편성될 수 있다. 보안 규칙 데이터베이스(150)의 보안 규칙 정책(154)은 고객당 기초로 보안 규칙 정책(154)의 적용을 가능하게 하기 위해(그리고 또한 다수의 고객에 적용 가능한 더 일반적인 보안 규칙 정책(154)을 사용하는 대신에 또는 그에 추가하여 각각의 고객이 그 자신의 특정 보안 규칙 정책(154)을 규정하는 것을 가능하게 하기 위해) 고객당 기초로 편성될 수 있다. 보안 규칙 데이터베이스(150)의 보안 규칙 정책(154)은 고객의 그룹에 대해 편성될 수 있다(예를 들어, 보안 규칙 정책(154)이 다수의 고객들 사이에 공유되는 경우에). 보안 규칙 데이터베이스(150)의 보안 규칙 정책(154)은 임의의 다른 적합한 방식으로 편성될 수 있다.
보안 규칙(152) 및 보안 규칙 정책(154)은 임의의 적합한 입도로 서로 연계될 수도 있다. 일반적으로, 각각의 보안 규칙(152)은 그와 연계된 하나 이상의 보안 규칙 정책(154)을 갖고, 각각의 보안 규칙 정책(154)은 보안 규칙(152) 중 하나 이상을 위해 적용될 수 있다. 예를 들어, 보안 규칙(152)은 그와 연계된 단일의 보안 규칙 정책(154)을 가질 수 있고(예를 들어, 동일한 보안 규칙 정책(154)이 항상 보안 규칙(152)에 적용됨) 또는 그와 연계된 다수의 보안 규칙 정책(154)을 가질 수도 있음(예를 들어, 연계된 보안 규칙 정책(154)의 상이한 것들이 상이한 조건 하에서 보안 규칙에 대해 적용될 수 있음). 유사하게, 예를 들어, 보안 규칙(152)과 연계된 보안 규칙 정책(154)은 보안 규칙(152)과 함께 사용을 위해 전용될 수 있고 또는 다수의 보안 규칙(152)(예를 들어, 동일한 고객의 상이한 보안 규칙(152), 다수의 고객을 가로지르는 동일한 또는 유사한 보안 규칙(152), 상이한 고객의 상이한 보안 규칙(152) 등, 뿐만 아닐라 이들의 다양한 조합)과 함께 사용을 위해 구성될 수 있다.
보안 규칙 콘트롤러(140)는 클라우드 시스템(100)의 보안 모듈(130) 중 임의의 하나를 포함할 수도 있는 보안 규칙(152)의 개별의 것들이 적용되려고 하는 로케이션을 선택하도록 구성된다. 보안 규칙 콘트롤러(140)는 다양한 조건 하에서 보안 규칙(152)에 대한 로케이션을 선택하도록 구성된다. 보안 규칙 콘트롤러(140)는 보안 규칙(152)에 대해 선택된 로케이션으로의 보안 규칙(152)의 마이그레이션이 필요한지 여부를 판정하도록 구성된다. 보안 규칙 콘트롤러(140)는 보안 규칙 데이터베이스(150)로부터 보안 모듈(130)로의 보안 규칙(152)의 마이그레이션 및/또는 보안 모듈(130) 사이의 보안 규칙(152)의 마이그레이션을 포함할 수 있는, 보안 규칙(152)의 개별의 것들이 적용되는 선택된 로케이션으로의 보안 규칙(152)의 개별의 것들의 마이그레이션을 제어하도록 구성된다. 이 방식으로, 보안 규칙 콘트롤러(140)는 보안 규칙(152)이 필요에 따라 그리고/또는 요구에 따라 클라우드 시스템(100) 전체에 걸쳐 마이그레이션될 수도 있는 유체 보안 계층을 제공하도록 구성된다. 보안 규칙 콘트롤러(140)에 의해 수행된 이들 기능은 이하에 더 상세히 설명된다.
보안 규칙 콘트롤러(140)는 보안 규칙(152)이 적용될 로케이션을 선택하도록 구성된다. 일반적으로, 보안 규칙(140)에 대한 로케이션을 선택하는 것과 연계된 다양한 절충이 존재할 수 있다. 보안 규칙 콘트롤러(140)는 보안 규칙(152)이 적용되는 로케이션을 결정하기 위해 이러한 절충을 평가하도록 구성될 수 있다. 보안 규칙 콘트롤러(140)는 정책(예를 들어, 보안 규칙 정책(154), 보안 규칙 로케이션 선택 정보(예를 들어, 하나 이상의 하이퍼바이저(112)로부터의 통계, 하나 이상의 데이터 센터 네트워크 디바이스(115)로부터의 통계, 하나 이상의 네트워크 디바이스(122)로부터의 통계 등) 등, 뿐만 아니라 이들의 다양한 조합에 기초하여 이러한 절충을 평가할 수 있다. 일반적으로, 이러한 절충의 평가는 예를 고려함으로써 더 양호하게 이해될 수도 있다. 본 예에서, 제 1 가상 머신(예를 들어, 호스트(111A1)의 가상 머신(114A1) 중 하나)이 제 2 가상 머신(예를 들어, 호스트(111BN)의 가상 머신(114BN) 중 하나)에 데이터를 송신하는 것으로, 그리고 보안 규칙(152)이 제 1 가상 머신에 의해 송신되는 데이터가 제 2 가상 머신에 입력되도록 허용되는지 여부를 점검하기 위해 규정되는 것으로 가정한다. 본 예에서, 가상 머신(111A1)에 의해 송신되는 데이터가 가상 머신(111BN)에 허용되는지를 점검하기 위해, 보안 규칙은 호스트(111A1)의 하이퍼바이저(112A1), 호스트(111BN)의 하이퍼바이저(112BN), 또는 그 사이의 경로 상의 임의의 장소(예를 들어, 데이터 센터 네트워크 디바이스(115A), 가상 머신(111A1)과 가상 머신(111BN) 사이의 경로 상의 네트워크 디바이스(122) 중 하나 또는 데이터 센터 네트워크 디바이스(115B))에 배치될 수도 있다. 전술된 바와 같이, 보안 규칙(152)에 대한 이들 잠재적인 로케이션들의 각각의 다양한 장단점이 존재하고, 보안 규칙 콘트롤러(140)는 보안 규칙(152)에 대한 로케이션을 선택하기 위해 다양한 장단점을 평가하도록 구성된다. 옐ㄹ 들어, 데이터 소스에 비교적 근접하여(예를 들어, 하이퍼바이저(112A1)의 보안 모듈(130A1) 내에) 보안 규칙(152)을 배치하는 것은, 초과의 트래픽이 네트워크(예를 들어, 데이터 센터 네트워크 및/또는 통신 네트워크(120))에 진입하는 것을 방지하기 때문에 유리하지만, 또한 가상 머신(111BN)에 데이터를 송신하는 다수의 데이터 소스가 있을 수 있음에 따라 분배되고, 저장되고, 적용될 필요가 있는 보안 규칙(152)의 사본의 수의 증가를 유도한다(따라서, 이에 의해 보안 규칙(152)의 적용과 연계된 CPU 및 메모리 비용을 증가시킴). 대조적으로, 예를 들어, 데이터 목적지에 비교적 근접하여(예를 들어, 하이퍼바이저(112BN)의 보안 모듈(130BN) 내에) 보안 규칙(152)을 배치하는 것은, 분배되고, 저장되고, 적용될 필요가 있는 보안 규칙(152)의 사본의 수를 감소시키기 때문에(그리고, 따라서 이에 의해 보안 규칙(152)의 적용과 연계된 CPU 및 메모리 비용을 감소시킴) 유리하지만, 또한 모든 데이터가 데이터 소스로부터 데이터 목적지에 근접한 로케이션으로 이동해야 할 필요가 있기 때문에(예를 들어, 몇몇 이러한 데이터가 심지어 가상 머신(114BN)에 입력되도록 허용되지 않을 때에도), 네트워크(예를 들어, 데이터 센터 네트워크 및/또는 통신 네트워크(120)) 내의 초과의 트래픽의 증가를 유도한다. 부가적으로, 다른 옵션은, 이것이 소스 또는 목적지 부근에 보안 규칙(152)을 배치하는 장점과 단점 사이의 균형을 제공함에 따라, 다수의 소스로부터/다수의 목적지로의 트래픽이 집성되는 네트워크(예를 들어, 데이터 센터 네트워크 디바이스(115A), 가상 머신(111A1)과 가상 머신(111BN) 사이의 경로 상의 네트워크 디바이스(122) 중 하나 또는 데이터 센터 네트워크 디바이스(115B)) 내에 보안 규칙(152)을 배치하는 것이지만, 이는 보안 규칙 콘트롤러(140)가 가상 머신(114)이 토폴로지 및 데이터 소스 및 데이터 목적지의 로케이션을 계속 추적하는 것을 요구하기 때문에 보안 규칙 콘트롤러(140)에 부가의 연산 비용을 수반한다. 이와 같이, 다양한 팩터(예를 들어, 정책, 고객 선호도, 데이터 센터 조건, 네트워크 조건 등)에 따라, 보안 규칙 콘트롤러(140)는 보안 규칙(152)에 대한 잠재적인 로케이션을 평가하고 보안 규칙(152)에 대한 적절한 로케이션을 선택해야 한다. 보안 규칙 콘트롤러(140)가 보안 규칙(152)에 대한 로케이션을 선택할 수 있는 방식이 이하에 부가의 상세로 설명된다.
보안 규칙 콘트롤러(140)는 보안 규칙(152)이 보안 규칙(152)과 연계된 보안 규칙 정책(154)에 기초하여 적용되는 로케이션을 선택하도록 구성된다. 보안 규칙(152)과 연계된 보안 규칙 정책(154)은 보안 규칙(152)에 대한 로케이션을 선택하는데 있어서 보안 규칙 콘트롤러(140)에 의해 고려되는 보안 규칙 로케이션 선택 정보의 유형 및 보안 규칙 로케이션 선택 정보가 보안 규칙(152)에 대한 로케이션을 선택하는데 있어서 보안 규칙 콘트롤러(140)에 의해 분석되는 방식을 특정할 수 있다. 달리 말하면, 보안 규칙(152)을 위한 보안 규칙 정책(154)은 보안 규칙(152)과 연계된 관련 보안 규칙 로케이션 선택 정보에 기초하여 규정될 수 있다. 보안 규칙 콘트롤러(140)는 보안 규칙 정책(154)이 만족될 때 또는 보안 규칙 정책(154)이 침해될 때(예를 들어, 보안 규칙 정책(154)이 규정되는 방식에 따라) 보안 규칙(152)의 마이그레이션을 개시하도록 구성될 수 있다.
전술된 바와 같이, 보안 규칙 콘트롤러(140)는 보안 규칙(152)이 보안 규칙(152)과 연계된 보안 규칙 정책(154)에 기초하여 적용되는 로케이션을 선택하도록 구성된다. 보안 규칙(154)의 예가 이어지지만, 다양한 다른 유형의 보안 규칙 정책(154)이 보안 규칙(152)의 배치를 제어하기 위해 보안 규칙 콘트롤러(140)에 의해 규정되어 이용될 수 있다는 것이 이해될 수 있을 것이다.
일 실시예에서, 보안 규칙(152)을 위한 보안 규칙 정책(154)은 보안 규칙(152)의 적용에 의해 도입된 지연 시간을 감소시키는(그리고, 적어도 몇몇 경우에, 최소화하는) 목적을 지지하거나 성취하도록 구성된다. 일 이러한 실시예에서, 이는 보안 규칙(152)에 대해, 보안 규칙(152)이 적용되는 통신의 소스에 또는 소스 부근에 있는 로케이션 또는 보안 규칙(152)이 적용되는 통신의 목적지에 또는 목적지 부근에 있는 로케이션을 선택함으로써 성취될 수 있다. 단일의 데이터 센터(110) 내의 통신의 경우에, 예를 들어 보안 규칙(152)은 통신의 소스인 가상 머신(114)과 연계된 하이퍼바이저(112) 내의 보안 모듈(130)에 배치될 수 있고 또는 통신의 목적지인 가상 머신(114)과 연계된 하이퍼바이저(112) 내의 보안 모듈(130)에 배치될 수 있다(예를 들어, 그 데이터 센터(110)의 데이터 센터 네트워크 디바이스(115)와 연계된 보안 모듈(130)에 배치되는 것에 대조적으로). 소스 데이터 센터(110)와 목적지 데이터 센터(110) 사이의 통신의 경우에, 예를 들어 보안 규칙(152)은 통신의 소스인 가상 머신(114)과 연계된 하이퍼바이저(112) 내의 보안 모듈(130)에 배치될 수 있고 또는 통신의 목적지인 가상 머신(114)과 연계된 하이퍼바이저(112) 내의 보안 모듈(130)에 배치될 수 있다(예를 들어, 데이터 센터(110) 내에 통신 네트워크를 형성하는 네트워크 디바이스의 보안 모듈에 배치되는 또는 통신 네트워크(120)의 네트워크 디바이스의 보안 모듈에 배치되는 것에 대조적으로). 보안 규칙(152)이 배치되는 가상 머신(114)이 현재 로케이션으로부터 새로운 로케이션으로 이동하면, 보안 규칙 콘트롤러(140)는 가상 머신(114)의 새로운 로케이션에 비교적 근접한 로케이션으로의 보안 규칙(152)의 마이그레이션을 개시할 수 있고, 따라서 여전히 가상 머신(114)에 의한 통신에 대한 비교적 낮은 자연 시간의 레벨을 유지할 수 있다. 이 유형의 고객 선호도는 보안의 로케이션이 고정되는 데이터 센터를 성취하기가 매우 어려울 수 있다는 것이 주목된다.
일 실시예에서, 보안 규칙(152)에 대한 보안 규칙 모듈(154)은 보안 규칙이 프로세싱-집약적 보안 메커니즘(예를 들어, 침입 탐지 규칙, 침입 방지 규칙, 및 데이터 패킷을 프로세싱하는 다른 비교적 무거운 시스템 및 메커니즘)과 연계되는 경우에 보안 규칙(152)의 적용에 의해 도입된 지연 시간을 감소시키는(그리고, 적어도 몇몇 경우에, 최소화하는) 목적을 지지하거나 성취하도록 구성된다. 이 경우에, 보안 규칙(152)이 하이퍼바이저(112) 내에 배치되고 통신의 패킷을 검사하는 프로세싱-집약적 보안 메커니즘과 연계되면, 보안 규칙(152)에 기초하여 하이퍼바이저(112)로부터 패킷을 점검하는 비용은 비교적 높고 통신에 대해 따라서 시스템(100)에 대해 시간의 증가를 유도할 수 있다. 일 실시예에서, 보안 규칙(152)이 통신의 패킷을 검사하는 프로세싱-집약적 보안 메커니즘과 연계되는 것의 검출에 응답하여, 보안 규칙 콘트롤러(140)는 송신 가상 모신(114)의 상류측의 새로운 가상 머신(114)(명료화를 위해 생략됨)의 스포닝(spawning) 및 새로운 가상 머신(114)과 연계된 보안 모듈(130)로의 보안 모듈(152)의 마이그레이션의 개시(보안 규칙(152)의 무거운 패킷 프로세싱이 새로운 가상 머신(114)과 함께 수행될 수 있도록 그리고 따라서 송신 가상 머신(114)과 연계된 하이퍼바이저(112)가 더 이상 병목이 아니도록)를 개시하도록 구성될 수 있다. 이 방식으로, 전용 가상 머신(114)으로의 프로세싱-집약적 보안 규칙(152)의 오프로딩은 시간 지연을 비교적 낮게 유지하는 것을 가능하게 한다.
일 실시예에서, 보안 규칙(152)에 대한 보안 규칙 정책(154)은 보안 규칙(152)이 적용되는 데이터센터(들)의 전체 효율을 향상시킴으로써 보안 규칙(152)의 적용의 전체 비용을 감소시키는(그리고, 적어도 몇몇 경우에, 최소화함) 목적을 지지하거나 성취하도록 구성된다. 일 실시예에서, 보안 규칙 콘트롤러(140)는 2개의 유형의 리소스: 통신 네트워크 상에 송신된 트래픽의 비용 및 보안 규칙(152)이 보안 규칙(152)을 점검하는데 사용된 리소스(예를 들어, CPU, 메모리 등)를 분석하고 균형화함으로써 적용된다. 단일의 데이터 센터(110) 내의 통신과 연계된 보안 규칙(152)의 경우에, 통신 네트워크 상에 송신된 트래픽의 비용은 단일의 데이터 센터(110)의 데이터 센터 네트워크 상에 송신된 트래픽의 비용을 포함한다. 단일의 데이터 센터(110)의 내부 및 외부의 모두에 있는 단일의 데이터 센터(110)의 통신과 연계된 보안 규칙(152)의 경우에, 통신 네트워크 상에 송신된 트래픽의 비용은 단일의 데이터 센터(110)의 데이터 센터 네트워크 상에 송신된 트래픽의 비용 및 단일의 데이터 센터(110)의 외부의 통신을 지원하는 통신 네트워크 상에(예를 들어, 트래픽을 지원하는데 사용된 통신 네트워크(120)의 부분(들) 상에) 송신된 트래픽의 비용을 포함한다. 다수의 데이터 센터(110) 사이의 통신과 연계된 보안 규칙(152)의 경우에, 통신 네트워크 상에 송신된 트래픽의 비용은 각각의 데이터 센터(110)의 데이터 센터 네트워크 상에 송신된 트래픽의 비용 및 단일의 데이터 센터(110)의 외부의 통신을 지원하는 통신 네트워크 상에(예를 들어, 트래픽을 지원하는데 사용된 통신 네트워크(120)의 부분(들) 상에) 송신된 트래픽의 비용을 포함한다. 일 실시예에서, 이용 가능한 보안 모듈(130) - 이는 통신의 소스(들) 부근의 보안 모듈(130), 통신의 목적지(들) 부근의 보안 모듈(130) 및/또는 소스(들) 및 목적지(들)의 중간에 위치된 네트워크 디바이스 상의 보안 모듈(130)을 포함할 수 있음 - 사이의 보안 규칙(152)의 배치를 균형화함으로써, 보안 규칙(152)의 전체 적용 비용이 감소될 수 있다(그리고, 적어도 몇몇 경우에, 최소화됨). 일 실시예에서, 보안 규칙(152)의 전체 비용을 감소시키기 위해 보안 규칙(152)의 배치를 결정하는 이 분석은 데이터 센터 내의 가상 머신의 배치를 결정하는데 사용될 수 있는 것들과 같은 최적화 기술을 사용하여 수행될 수도 있다.
일 실시예에서, 보안 규칙(152)에 대한 보안 규칙 정책(154)은 보안 규칙(152)이 적어도 성능의 임계 레벨을 또한 유지하면서 적용되는 데이터센터(들)(110)의 전체 효율을 향상시킴으로써 보안 규칙(152)의 전체 적용의 비용을 감소시키는(그리고, 적어도 몇몇 경우에, 최소화함) 목적을 지지하거나 성취하도록 구성된다. 일 실시예에서, 보안 규칙 콘트롤러(140)는 또한 보안 규칙(152)에 의해 도입된 지연 시간이 규정된 최대 지연 시간 미만으로 유지되는 부가의 제약을 고려하면서 직전의 실시예에서 설명된 바와 같은 문제점을 해결함으로써 이 목적을 성취하도록 구성된다. 특정 유형의 성능 측정(즉, 지연 시간)에 대해 주로 설명되었지만, 보안 규칙 콘트롤러(140)는 다른 유형의 성능 측정(예를 들어, 지연 시간 측정 대신에 또는 추가하여 하나 이상의 다른 유형의 성능 측정)을 또한 고려하면서 직전의 실시예에서 설명된 것과 같은 문제점을 해결함으로써 이 목적을 성취하도록 구성된다.
더 일반적으로 보안 규칙 정책(154)인 것으로서 본 명세서에 주로 도시되고 설명되었지만, 일 실시예에서 보안 규칙 정책(154)은 고객의 특정 목적을 성취하기 위해(또는 적어도 성취하려고 시도하기 위해) 고객에 의해 그리고/또는 고객을 대신하여 규정된 고객 정책일 수 있다는 것이 주목된다. 이는 임의의 수의 보안 규칙 정책(154)에 대해 사실일 수도 있는 것이 주목된다.
전술된 바와 같이, 보안 규칙 콘트롤러(140)는 보안 규칙(152)이 보안 규칙 로케이션 선택 정보에 기초하여 적용되는 로케이션을 선택하도록 구성된다. 보안 규칙 로케이션 선택 정보의 예가 이어지지만, 다양한 다른 유형의 보안 규칙 로케이션 선택 정보가 보안 규칙(152)의 배치를 제어하기 위해 보안 규칙 콘트롤러(140)에 의해 얻어지고 이용될 수 있다는 것이 이해될 수 있을 것이다.
일 실시예에서, 보안 규칙 로케이션 선택 정보는 데이터 센터 상황 정보, 통신 네트워크 상황 정보(예를 들어, 보안 규칙(152)이 데이터 센터(들)(110)의 외부를 횡단하고 따라서 데이터 센터(들)(110)의 외부에 위치된 통신 네트워크(들)에 의해 지원된 통신에 대해 적용되도록 의도되는 경우에), 고객 선호도 정보 등, 뿐만 아니라 이들의 다양한 조합 중 하나 이상을 포함할 수 있다.
데이터 센터(110)에 대한 데이터 센터 상황 정보는 데이터 센터(110)의 하이퍼바이저(112)와 연계된 상황 정보(예를 들어, 로드 통계), 데이터 센터(110) 내의 통신을 지원하는 네트워크 디바이스와 연계된 상황 정보(예를 들어, 데이터 센터 네트워크에 대한 네트워크 혼잡 정보), 호스트(111)와 연계된 상황 정보, 호스트(111)의 가상 머신(114)과 연계된 상황 정보 등, 뿐만 아니라 이들의 다양한 조합을 포함할 수 있다. 단일의 데이터 센터(110)의 통신(예를 들어, 데이터 센터(110) 내에 위치된 가상 머신(114) 사이의 인트라 데이터 센터 통신, 데이터 센터(110)의 외부에 또한 전파되지만 임의의 다른 데이터 센터(110)와 연계되지는 않는 데이터 센터(110)의 통신 등)과 연계된 보안 규칙(152)의 경우에, 데이터 센터 상황 정보는 그 단일의 데이터 센터(110)와 연계된 상황 정보를 포함할 수 있다. 다수의 데이터 센터(110) 사이의 통신(예를 들어, 상이한 데이터 센터(110) 내에 위치된 가상 머신(114) 사이의 인트라 데이터 센터 통신)과 연계된 보안 규칙(152)의 경우에, 데이터 센터 상황 정보는 연계된 데이터 센터(110) 중 하나 이상(예를 들어, 단지 보안 규칙(152)이 적용되는 통신의 소스인 호스트(111)를 호스팅하는 소스 데이터 센터(110)만, 단지 보안 규칙(152)이 적용되는 통신의 목적지인 호스트(111)를 호스팅하는 목적지 데이터 센터(110)만, 소스 및 목적지 데이터 센터(110)의 모두 등)과 연계된 상황 정보를 포함할 수 있다.
고객 선호도 정보는 보안 규칙(152)의 적용에 관해 고객에 의해 특정될 수 있는 임의의 유형의 선호도를 포함할 수 있다. 고객 선호도 정보는 보안 규칙(152)의 개별의 것들에 대해, 보안 규칙(152)의 세트에 대해 등, 뿐만 아니라 이들의 다양한 조합에 대해 특정될 수 있다. 고객 선호도 정보는 하나 이상의 보안 규칙 정책(154)을 사용하여 특정되거나 다른 방식으로 표현될 수 있다(예를 들어, 이러한 보안 규칙 정책(154)이 보안 규칙(152)의 개별의 것들에 대해, 보안 규칙(152)의 세트들에 대해 등, 뿐만 아니라 이들의 다양한 조합에 대해 특정될 수도 있는 경우).
보안 규칙 콘트롤러(140)는 임의의 적합한 시간에(예를 들어, 주기적으로, 조건 또는 이벤트의 지시에 응답하여 등, 뿐만 아니라 이들의 다양한 조합) 보안 규칙(152)에 대한 로케이션을 선택하도록 구성될 수 있다. 일 실시예에서, 보안 규칙 콘트롤러(140)가 소정의 보안 규칙(152)에 대한 로케이션을 선택하려고 하는 지시를 검출할 때, 보안 규칙 콘트롤러(140)는 보안 규칙 정책 또는 보안 규칙과 연계된 정책에 액세스하고, 관련 보안 규칙 로케이션 선택 정보에 액세스하고, 보안 규칙(152)에 대한 로케이션을 선택한다. 일 실시예에서, 소정의 보안 규칙(152)에 대한 로케이션의 선택에 관련하는 보안 규칙 로케이션 선택 정보를 수신할 때, 보안 규칙 콘트롤러(140)는 보안 규칙(152)에 대한 로케이션을 선택하기 위해 소정의 보안 규칙과 연계된 보안 규칙 정책(154)에 따라 관련 보안 규칙 로케이션 선택 정보를 프로세싱한다. 이러한 실시예에서, 보안 규칙 콘트롤러(140)는 직렬로 및/또는 동시에 다수의 보안 규칙(152)에 대해 이러한 기능을 수행할 수 있는 것으로 주목된다(예를 들어, 로케이션 선택이 다수의 보안 규칙(152)에 대해 수행되려고 하는 지시가 존재하는 경우, 수신된 보안 규칙 로케이션 선택 정보가 다수의 보안 규칙(152)에 관련한다는 판정이 존재하는 경우 등, 뿐만 아니라 이들의 다양한 조합).
보안 규칙 콘트롤러(140)는, 적어도 보안 규칙(152)에 대한 로케이션의 선택이 보안 규칙(152)이 적용되는 현재 로케이션의 선택(즉, 보안 규칙 콘트롤러(140)가 보안 규칙(152)을 마이그레이션할 필요가 존재하지 않는 경우) 또는 보안 규칙(152)이 적용되는 새로운 로케이션의 선택(즉, 보안 규칙 콘트롤러(140)가 현재 로케이션으로부터 새로운 로케이션으로 보안 규칙(152)의 마이그레이션을 개시하는 경우)을 야기할 수 있기 때문에, 보안 규칙(152)에 대해 선택된 로케이션으로의 보안 규칙(152)의 마이그레이션이 필요한지 여부를 판정하도록 구성된다. 이에 따라, 보안 규칙 콘트롤러(140)는 보안 규칙(152)의 선택된 로케이션을 보안 규칙(152)의 현재 로케이션에 비교하여 보안 규칙(152)의 선택된 로케이션으로의 보안 규칙(152)의 마이그레이션을 개시할 필요가 있는지 여부를 판정하도록 구성될 수 있다.
보안 규칙 콘트롤러(140)는 보안 규칙(152)을 위한 보안 규칙 콘트롤러(140)에 의해 선택된 로케이션으로의 보안 규칙(152)의 마이그레이션을 제어하도록 구성된다. 보안 규칙 콘트롤러(140)는 임의의 적합한 방식으로 보안 규칙(152)의 마이그레이션을 제어할 수 있다. 보안 규칙 데이터베이스(150)로부터 보안 모듈(130)로의 보안 규칙(152)의 마이그레이션의 경우에, 보안 규칙 콘트롤러(140)는 규칙 데이터베이스(150)를 검색하고 보안 규칙(152)을 보안 모듈(130)에 전파할 수도 있다. 제 1 보안 모듈(130)(현재 보안 모듈(130))로부터 제 2 보안 모듈(130)(선택된 보안 모듈(130))로의 보안 규칙(152)의 마이그레이션의 경우에, 보안 규칙 콘트롤러(140)는 (1) 보안 규칙(152)을 선택된 보안 모듈(130)로 송신하도록 현재 보안 모듈(130)에 명령하는 메시지를 현재 보안 모듈(130)에 송신하거나 (2) 보안 규칙(152)을 삭제하고, 보안 규칙 데이터베이스(150)로부터 보안 규칙(152)을 검색하고, 보안 규칙(152)을 선택된 보안 모듈(130)에 전파하도록 현재 보안 모듈(130)에 명령하는 메시지를 현재 보안 모듈(130)에 송신하도록 검색할 수 있다. 일 실시예에서, 클라우드 시스템(100) 내의 보안 규칙(152)의 마이그레이션의 적어도 일부에 대해, 보안 규칙(152)의 마이그레이션은 라우터의 ACL 기능, 개방-흐름 인에이블링된 스위치의 흐름 제어 기능 등, 뿐만 아니라 이들의 다양한 조합 중 하나 이상을 사용하여 수행될 수 있다.
이 방식으로, 보안 규칙 콘트롤러(140)는 클라우드 시스템(100)의 보안 모듈(130)로의 보안 규칙(152)의 분배 및 클라우드 시스템의 보안 모듈(130) 사이의 보안 규칙(152)의 마이그레이션을 가능하게 한다. 보안 규칙 콘트롤러(152)는 정책, 데이터 센터 다이내믹스(dynamics), 네트워크 다이내믹스 등, 뿐만 아니라 이들의 조합 중 하나 이상에 기초하여 보안 모듈(130) 사이의 보안 규칙(152)의 마이그레이션을 가능하게 한다. 보안 모듈(130)은 보안 모듈(130)이 각각 배치된 요소를 횡단하는 통신에 보안 규칙(152)을 적용하도록 구성된다. 보안 규칙(152)이 보안 모듈(130)에 의해 적용될 수 있는 방식은 당 기술 분야의 숙련자에 의해 이해될 수 있을 것이다. 이 방식으로, 유체 보안 계층이 클라우드 시스템(100)의 보안을 향상시키기 위해 클라우드 시스템(100) 내에 프로비저닝되어 사용된다.
각각의 데이터 센터(110)는 특정 수 및 배열의 호스트(111), 하이퍼바이저(112), 데이터 센터 네트워크 디바이스(115), 및 보안 모듈(116)을 갖는 것으로서 도시되고 설명되어 있지만, 데이터 센터(110) 중 하나 또는 모두는 임의의 다른 적합한 수 및/또는 배열의 호스트(111), 하이퍼바이저(112), 데이터 센터 네트워크 디바이스(115) 및/또는 보안 모듈(116)을 사용하여 구현될 수 있다는 것이 주목된다. 각각의 데이터 센터(110)는 각각의 데이터 센터(110) 내의 네트워킹을 위해 단지 단일이 데이터 센터 네트워크 디바이스를 갖는 것으로서 도시되고 설명되었지만, 각각의 데이터 센터(110)는 임의의 적합한 수 및 배열의 네트워크 디바이스(예를 들어, 탑-오브-래크 스위치(top-of-rack switch), 어그리게이터(aggregator), 라우터 등, 뿐만 아니라 이들의 다양한 조합)를 포함하는 임의의 적합한 유형의 데이터 센터 네트워크를 사용할 수도 있는데, 즉 데이터 센터(110A, 110B)의 데이터 센터 네트워크 디바이스(115A, 115B)는 데이터 센터(110A, 110B) 내의 뿐만 아니라 데이터 센터(110A, 110B)로/로부터의 통신을 각각 지원할 수 있는 데이터 센터 통신 네트워크를 대표할 수도 있다는 것이 주목된다.
도 2는 보안 규칙 정책에 기초하여 보안 규칙을 위한 로케이션을 선택하기 위한 방법의 일 실시예를 도시한다.
도 2의 방법(200)은 하나 이상의 조건의 검출에 응답하여, 보안 규칙 등을 위한 로케이션을 선택하기 위해 평가될 수 있는 정보의 수신에 응답하여, 뿐만 아니라 이들의 다양한 조합들에 의해 주기적으로 호출될 수도 있다.
직렬로 수행되는 것으로서 주로 도시되고 설명되었지만, 방법(200)의 단계들은 도 2에 제시된 것과 동시에 그리고/또는 다른 순서로 수행될 수 있다는 것이 주목된다. 방법(200)의 동작은 도 1과 함께 고려될 때 더 양호하게 이해될 수 있다.
단계 210에서, 방법(200)이 시작한다.
단계 220에서, 로케이션은 보안 규칙과 연계된 보안 규칙 정책에 기초하여 보안 규칙에 대해 선택된다.
단계 230에서, 보안 규칙을 선택된 로케이션으로 마이그레이션하는지 여부에 대한 판정이 행해진다. 이는 선택된 로케이션이 보안 규칙이 유지되는 현재 로케이션에 동일한지에 여부에 대한 판정일 수도 있다. 이는 보안 규칙의 마이그레이션의 이익이 보안 규칙을 이동하는 비용을 가중하는지 여부를 판정하기 위한 비용/이익 분석을 포함할 수 있다. 판정이 보안 규칙을 선택된 로케이션으로 마이그레이션하지 않는 것으로 행해지면(예를 들어, 선택된 로케이션이 보안 규칙이 유지되는 현재 로케이션에 동일함), 방법(200)은 단계 250으로 진행하고, 여기서 방법(200)이 종료한다. 판정이 보안 규칙을 선택된 로케이션으로 마이그레이션하는 것으로 행해지면, 방법(200)은 단계 240으로 진행한다.
단계 240에서, 선택된 로케이션으로의 보안 규칙의 마이그레이션이 개시된다. 단계 240으로부터, 방법(200)은 단계 250으로 진행한다.
단계 250에서, 방법(200)은 종료한다.
도 3은 본 명세서에 설명된 기능을 수행하는데 사용을 위해 적합한 컴퓨터의 고레벨 블록 다이어그램을 도시한다.
컴퓨터(300)는 프로세서 요소(302)(예를 들어, 중앙 처리 유닛(CPU) 및/또는 다른 적합한 프로세서(들)) 및 메모리(304)(예를 들어, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM) 등)를 포함한다.
컴퓨터(300)는 협동 모듈/프로세스(305) 및/또는 다양한 입출력 디바이스(306)(예를 들어, 사용자 입력 디바이스(키보드, 키패드, 마우스 등과 같은), 사용자 출력 디바이스(디스플레이, 스피커 등과 같은), 입력 포트, 출력 포트, 수신기, 송신기 및 저장 디바이스(예를 들어, 테이프 드라이브, 플로피 드라이브, 하드 디스크 드라이브, 콤팩트 디스크 드라이브 등))를 또한 포함할 수 있다. 협동 프로세스(305)는 본 명세서에 설명된 기능을 구현하도록 메모리(304) 내에 로딩되고 프로세서(302)에 의해 실행될 수 있고, 따라서, 협동 프로세스(305)(연계된 데이터 구조체를 포함함)는 예를 들어 RAM 메모리, 자기 또는 광학 드라이브 또는 디스켓 등과 같은 컴퓨터 판독 가능 저장 매체 상에 저장될 수 있다.
도 3에 도시된 컴퓨터(300)는 본 명세서에 설명된 기능 요소들 및/또는 본 명세서에 설명된 기능 요소들의 부분을 구현하기 위해 적합한 일반적인 아키텍처 및 기능성을 제공한다는 것이 이해될 수 있을 것이다. 예를 들어, 컴퓨터(300)는 하나 이상의 호스트(111), 하이퍼바이저(112), 스위치(115), 네트워크 디바이스(122), 보안 모듈(130), 보안 규칙 콘트롤러(140), 보안 규칙 데이터베이스(150) 등 중 하나 이상을 구현하기 위해 적합한 일반적인 아키텍처 및 기능성을 제공한다.
본 명세서에 도시되고 설명된 기능은 소프트웨어에서(예를 들어, 특정 용도 컴퓨터 등을 구현하기 위해 범용 컴퓨터(예를 들어, 하나 이상의 프로세서에 의한 실행을 거쳐) 상에서 실행을 위해, 하나 이상의 프로세서 상에서의 소프트웨어의 구현을 거쳐) 구현될 수도 있고, 그리고/또는 하드웨어에서(예를 들어, 범용 컴퓨터, 하나 이상의 응용 주문형 집적 회로(ASIC) 및/또는 임의의 다른 하드웨어 등가물을 사용하여) 구현될 수도 있다는 것이 이해될 수 있을 것이다.
소프트웨어 방법으로서 본 명세서에 설명된 단계들 중 몇몇은 예를 들어 다양한 방법 단계들을 수행하도록 프로세서와 협동하는 회로로서 하드웨어 내에 구현될 수 있는 것이 고려된다. 본 명세서에 설명된 기능/요소의 부분들은, 컴퓨터 명령어가 컴퓨터에 의해 프로세싱될 때, 본 명세서에 설명된 방법 및/또는 기술들이 호출되거나 다른 방식으로 제공되도록 컴퓨터의 동작을 적응하는 컴퓨터 프로그램 제품으로서 구현될 수도 있다. 본 발명의 방법을 호출하기 위한 명령어는 고정식 또는 이동식 매체에 저장되고, 브로드캐스트 또는 다른 신호 베어링 매체(signal bearing medium) 내의 데이터 스트림을 거쳐 전송되고, 그리고/또는 명령어에 따라 동작하는 컴퓨팅 디바이스 내의 메모리 내에 저장될 수 있다.
다양한 실시예의 양태가 청구범위에 특정된다. 다양한 실시예의 이들 및 다른 양태는 이하의 번호 부기된 항에 특정된다.
1. 프로세서 및 프로세서에 통신가능하게 접속된 메모리를 포함하고,
프로세서는
보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하고,
보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하도록
구성되는
장치.
2. 항 1에 있어서,
보안 규칙과 연계된 정책은 보안 규칙의 적용과 연계된 지연 시간에 기초하는
장치.
3. 항 1에 있어서,
보안 규칙과 연계된 정책은 보안 규칙이 침입 탐지 시스템(IDS) 또는 침입 방지 시스템(IPS)과 연계될 때 보안 규칙의 적용과 연계된 지연 시간에 기초하는
장치.
4. 항 1에 있어서,
보안 규칙과 연계된 정책은 보안 규칙이 적용되는 데이터를 전송하는 것과 연계된 비용 및 보안 규칙의 적용을 위해 사용된 프로세싱 리소스의 양에 기초하는
장치.
5. 항 1에 있어서,
보안 규칙과 연계된 정책은 보안 규칙이 적용될 때 제공될 최소 성능의 레벨에 더 기초하는
장치.
6. 항 1에 있어서,
프로세서는 하나 이상의 하이퍼바이저와 연계된 하이퍼바이저 상황 정보, 네트워크 혼잡 정보, 및 사용자 선호도 정보 중 적어도 하나의 기초하여 보안 규칙을 위한 로케이션을 선택하도록 구성되는
장치.
7. 항 1에 있어서,
보안 규칙과 연계된 정책은 단지 보안 규칙과 함께 사용을 위해 전용되는
장치.
8. 항 1에 있어서,
보안 규칙과 연계된 정책은 적어도 하나의 다른 보안 규칙과 연계되는
장치.
9. 항 1에 있어서,
보안 규칙은 적어도 현재 로케이션에 저장되고, 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하기 위해, 프로세서는
현재 로케이션으로부터 선택된 로케이션으로 보안 규칙의 마이그레이션을 개시하도록 구성되는
장치.
10. 항 9에 있어서,
현재 로케이션은 하이퍼바이저, 네트워크 디바이스 또는 콘트롤러 중 하나를 포함하는
장치.
11. 항 9에 있어서,
선택된 로케이션은 하이퍼바이저 또는 네트워크 디바이스 중 하나인
장치.
12. 항 1에 있어서,
프로세서는
선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하기 전에, 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시해야 하는지 여부를 결정하도록 구성되는
장치.
13. 항 1에 있어서,
보안 규칙은 제 1 통신 요소와 제 2 통신 요소 사이의 통신을 위한 보안을 제공하도록 구성되는
장치.
14. 항 13에 있어서,
제 1 통신 요소는 가상 머신이고, 제 2 통신 요소는 가상 머신 또는 네트워크 디바이스인
장치.
15. 항 1에 있어서,
보안 규칙은 제 1 가상 머신과 제 2 가상 머신 사이의 통신을 위한 보안을 제공하도록 구성되는
장치.
16. 항 15에 있어서,
제 1 및 제 2 가상 머신은 단일의 데이터 센터 내에 위치되는
장치.
17. 항 16에 있어서,
선택된 로케이션은 제 1 가상 머신을 호스팅하는 호스트의 하이퍼바이저, 데이터 센터의 데이터 센터 네트워크의 네트워크 디바이스, 또는 제 2 가상 머신을 호스팅하는 호스트의 하이퍼바이저를 포함하는
장치.
18. 항 15에 있어서,
제 1 가상 머신은 제 1 데이터 센터 내에 위치되고, 제 2 가상 머신은 제 2 데이터 센터 내에 위치되는
장치.
19. 항 18에 있어서,
선택된 로케이션은 제 1 가상 머신을 호스팅하는 호스트의 하이퍼바이저, 제 1 데이터 센터의 데이터 센터 네트워크의 네트워크 디바이스, 제 1 데이터 센터와 제 2 데이터 센터 사이의 통신을 지원하는 통신 네트워크의 네트워크 디바이스, 제 2 데이터 센터의 데이터 센터 네트워크의 네트워크 디바이스 또는 제 2 가상 머신을 호스팅하는 호스트의 하이퍼바이저를 포함하는
장치.
20. 적어도 하나의 프로세서를 사용하여
보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계와,
보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하는 단계를 포함하는
방법.
21. 명령어를 컴퓨터-판독 가능 저장 매체로서,
상기 명령어는 컴퓨터에 의해 실행될 때, 상기 컴퓨터로 하여금,
보안 규칙이 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계와,
보안 규칙이 적용되는 선택된 로케이션으로의 보안 규칙의 마이그레이션을 개시하는 단계를 포함하는
방법을 수행하게 하는
컴퓨터-판독 가능 저장 매체.
본 발명의 교시를 구체화하는 다양한 실시예가 본 명세서에 상세히 도시되고 설명되었지만, 당 기술 분야의 숙련자들은 여전히 이들 교시를 구체화하는 다수의 다른 다양한 실시예를 즉시 발명할 수 있다.
111A1: 호스트 111AN: 호스트
111B1: 호스트 111BN: 호스트
120: 통신 네트워크 1221: 네트워크 디바이스
122M: 네트워크 디바이스 130N1: 보안 모듈
130NM: 보안 모듈 152: 보안 규칙

Claims (10)

  1. 프로세서 및 상기 프로세서에 통신가능하게 접속된 메모리를 포함하고,
    상기 프로세서는
    보안 규칙이 상기 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션(location)을 선택하고,
    상기 보안 규칙이 적용되는 선택된 로케이션으로의 상기 보안 규칙의 마이그레이션(migration)을 개시하도록
    구성되는
    장치.
  2. 제 1 항에 있어서,
    상기 보안 규칙과 연계된 정책은 상기 보안 규칙의 적용과 연계된 지연 시간에 기초하는
    장치.
  3. 제 1 항에 있어서,
    상기 보안 규칙과 연계된 정책은 상기 보안 규칙이 침입 탐지 시스템(Intrusion Detection System: IDS) 또는 침입 방지 시스템(Intrusion Prevention System: IPS)과 연계될 때 상기 보안 규칙의 적용과 연계된 지연 시간에 기초하는
    장치.
  4. 제 1 항에 있어서,
    상기 보안 규칙과 연계된 정책은 상기 보안 규칙이 적용되는 데이터를 전송하는 것과 연계된 비용 및 상기 보안 규칙의 적용을 위해 사용된 프로세싱 리소스의 양에 기초하는
    장치.
  5. 제 1 항에 있어서,
    상기 보안 규칙과 연계된 정책은 상기 보안 규칙이 적용될 때 제공될 최소 성능의 레벨에 더 기초하는
    장치.
  6. 제 1 항에 있어서,
    상기 프로세서는 하나 이상의 하이퍼바이저와 연계된 하이퍼바이저 상황 정보, 네트워크 혼잡 정보, 및 사용자 선호도 정보 중 적어도 하나의 기초하여 상기 보안 규칙을 위한 로케이션을 선택하도록 구성되는
    장치.
  7. 제 1 항에 있어서,
    상기 보안 규칙은 제 1 통신 요소와 제 2 통신 요소 사이의 통신을 위한 보안을 제공하도록 구성되는
    장치.
  8. 제 1 항에 있어서,
    상기 보안 규칙은 제 1 가상 머신과 제 2 가상 머신 사이의 통신을 위한 보안을 제공하도록 구성되고, 상기 제 1 가상 머신은 제 1 데이터 센터 내에 위치되고, 상기 제 2 가상 머신은 상기 제 1 데이터 센터 또는 제 2 데이터 센터 내에 위치되는
    장치.
  9. 적어도 하나의 프로세서를 사용하여
    보안 규칙이 상기 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계와,
    상기 보안 규칙이 적용되는 선택된 로케이션으로의 상기 보안 규칙의 마이그레이션을 개시하는 단계를 포함하는
    방법.
  10. 명령어를 포함하는 컴퓨터-판독 가능 저장 매체로서,
    상기 명령어는 컴퓨터에 의해 실행될 때, 상기 컴퓨터로 하여금,
    보안 규칙이 상기 보안 규칙과 연계된 정책에 기초하여 적용되는 로케이션을 선택하는 단계와,
    상기 보안 규칙이 적용되는 선택된 로케이션으로의 상기 보안 규칙의 마이그레이션을 개시하는 단계를 포함하는
    방법을 수행하게 하는
    컴퓨터-판독 가능 저장 매체.
KR1020147031568A 2012-05-11 2013-03-28 유체 보안 계층을 제공하기 위한 장치 및 방법 KR20140144295A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/469,176 US9548962B2 (en) 2012-05-11 2012-05-11 Apparatus and method for providing a fluid security layer
US13/469,176 2012-05-11
PCT/US2013/034270 WO2013169410A1 (en) 2012-05-11 2013-03-28 Apparatus and method for providing a fluid security layer

Publications (1)

Publication Number Publication Date
KR20140144295A true KR20140144295A (ko) 2014-12-18

Family

ID=48083678

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147031568A KR20140144295A (ko) 2012-05-11 2013-03-28 유체 보안 계층을 제공하기 위한 장치 및 방법

Country Status (6)

Country Link
US (1) US9548962B2 (ko)
EP (1) EP2847964B1 (ko)
JP (1) JP6178411B2 (ko)
KR (1) KR20140144295A (ko)
CN (1) CN104322029B (ko)
WO (1) WO2013169410A1 (ko)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10084818B1 (en) * 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US8966573B2 (en) * 2012-07-20 2015-02-24 Ca, Inc. Self-generation of virtual machine security clusters
US9621435B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Declarative and extensible model for provisioning of cloud based services
US9253113B2 (en) 2012-09-07 2016-02-02 Oracle International Corporation Customizable model for throttling and prioritizing orders in a cloud environment
US10521746B2 (en) 2012-09-07 2019-12-31 Oracle International Corporation Recovery workflow for processing subscription orders in a computing infrastructure system
US8972725B2 (en) 2012-09-07 2015-03-03 Oracle International Corporation Security infrastructure for cloud services
US9667470B2 (en) 2012-09-07 2017-05-30 Oracle International Corporation Failure handling in the execution flow of provisioning operations in a cloud environment
US10148530B2 (en) 2012-09-07 2018-12-04 Oracle International Corporation Rule based subscription cloning
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9917849B2 (en) * 2013-05-01 2018-03-13 Fortinet, Inc. Security system for physical or virtual environments
JP5911448B2 (ja) * 2013-05-10 2016-04-27 株式会社日立製作所 移行支援装置、移行支援方法およびプログラム
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법
US10164901B2 (en) * 2014-08-22 2018-12-25 Oracle International Corporation Intelligent data center selection
TW201624277A (zh) 2014-12-31 2016-07-01 萬國商業機器公司 協助虛擬機器即時遷移的方法
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US10142287B2 (en) * 2015-04-06 2018-11-27 Nicira, Inc. Distributed network security controller cluster for performing security operations
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
CN106603473B (zh) * 2015-10-19 2021-01-01 华为技术有限公司 网络安全信息的处理方法及网络安全信息的处理系统
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10681131B2 (en) 2016-08-29 2020-06-09 Vmware, Inc. Source network address translation detection and dynamic tunnel creation
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10560487B2 (en) * 2017-07-26 2020-02-11 International Business Machines Corporation Intrusion detection and mitigation in data processing
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002261829A (ja) 2001-02-27 2002-09-13 Mitsubishi Electric Corp 階層管理システム及び階層管理方法
US8296847B2 (en) * 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center
US7512071B2 (en) * 2004-06-15 2009-03-31 Sun Microsystems, Inc. Distributed flow enforcement
JP2006178554A (ja) * 2004-12-21 2006-07-06 Hitachi Ltd 分散ポリシー連携方法
CN100433899C (zh) 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
US8381209B2 (en) * 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
JP5104588B2 (ja) 2007-10-18 2012-12-19 富士通株式会社 マイグレーションプログラム、および仮想マシン管理装置
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US20100011432A1 (en) * 2008-07-08 2010-01-14 Microsoft Corporation Automatically distributed network protection
US8032660B2 (en) * 2008-12-30 2011-10-04 Intel Corporation Apparatus and method for managing subscription requests for a network interface component
US20100319004A1 (en) * 2009-06-16 2010-12-16 Microsoft Corporation Policy Management for the Cloud
US20110072487A1 (en) * 2009-09-23 2011-03-24 Computer Associates Think, Inc. System, Method, and Software for Providing Access Control Enforcement Capabilities in Cloud Computing Systems
JP5549189B2 (ja) 2009-11-18 2014-07-16 日本電気株式会社 仮想マシン管理装置、仮想マシン管理方法、及び仮想マシン管理プログラム
JP2011232840A (ja) * 2010-04-26 2011-11-17 Hitachi Ltd アクセス制御情報管理方法、計算機システム及びプログラム
US8813209B2 (en) * 2010-06-03 2014-08-19 International Business Machines Corporation Automating network reconfiguration during migrations
US20120011077A1 (en) * 2010-07-12 2012-01-12 Bhagat Bhavesh C Cloud Computing Governance, Cyber Security, Risk, and Compliance Business Rules System and Method
US8639793B2 (en) * 2010-10-29 2014-01-28 Cisco Technology, Inc. Disaster recovery and automatic relocation of cloud services
US8726348B2 (en) * 2010-12-15 2014-05-13 The Boeing Company Collaborative rules based security
US9531754B2 (en) * 2011-02-22 2016-12-27 Dome 9 Security Ltd. Methods, circuits, apparatus, systems and associated software applications for providing security on one or more servers, including virtual servers
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9246985B2 (en) * 2011-06-28 2016-01-26 Novell, Inc. Techniques for prevent information disclosure via dynamic secure cloud resources
US8914515B2 (en) * 2011-10-28 2014-12-16 International Business Machines Corporation Cloud optimization using workload analysis
US20130152076A1 (en) * 2011-12-07 2013-06-13 Cisco Technology, Inc. Network Access Control Policy for Virtual Machine Migration
US9626526B2 (en) * 2012-04-30 2017-04-18 Ca, Inc. Trusted public infrastructure grid cloud

Also Published As

Publication number Publication date
US20130305311A1 (en) 2013-11-14
JP2015517702A (ja) 2015-06-22
EP2847964A1 (en) 2015-03-18
CN104322029B (zh) 2017-10-10
JP6178411B2 (ja) 2017-08-09
EP2847964B1 (en) 2019-07-10
US9548962B2 (en) 2017-01-17
WO2013169410A1 (en) 2013-11-14
CN104322029A (zh) 2015-01-28

Similar Documents

Publication Publication Date Title
JP6178411B2 (ja) 流動性セキュリティ層を提供するための装置および方法
EP3323228B1 (en) Highly available service chains for network services
US10951691B2 (en) Load balancing in a distributed system
US10949233B2 (en) Optimized virtual network function service chaining with hardware acceleration
Kang et al. An SDN-enhanced load-balancing technique in the cloud system
Li et al. A survey of network function placement
US20170019303A1 (en) Service Chains for Network Services
US9380025B2 (en) Method and apparatus for ingress filtering
US20150263894A1 (en) Method and apparatus to migrate applications and network services onto any cloud
Govindarajan et al. A literature review on software-defined networking (SDN) research topics, challenges and solutions
US20150341223A1 (en) Automatic placement of clients in a distributed computer system based on at least physical network topology information
Yu et al. Fine-grained cloud resource provisioning for virtual network function
Li et al. OFScheduler: a dynamic network optimizer for MapReduce in heterogeneous cluster
US11799972B2 (en) Session management in a forwarding plane
KR20220126764A (ko) 분산형 저장 시스템들에서의 마스터 데이터 배치
US10951514B2 (en) Traffic distribution approaches in multipath TCP with monetary link-cost awareness
Iqbal et al. Minimize the delays in software defined network switch controller communication
de Oliveira et al. Virtualizing packet-processing network functions over heterogeneous openflow switches
EP4156630A1 (en) Generating candidate links and candidate paths before selecting links for an optimized optical network plan
Priyadarsini et al. A new approach for SDN performance enhancement
Padhy et al. Reconfiguration aware orchestration for network function virtualization with time-varied workload in virtualized datacenters
Kumar et al. Study and analysis of various load balancing techniques for software-defined network (a systematic survey)
Szymanski Low latency energy efficient communications in global-scale cloud computing systems
Shetty et al. Towards a network-aware vm migration: Evaluating the cost of vm migration in cloud data centers
Yi et al. SDN/NFV‐enabled performance estimation framework for SFC optimization

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application