KR20150126463A - 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법 - Google Patents

가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법 Download PDF

Info

Publication number
KR20150126463A
KR20150126463A KR1020140053334A KR20140053334A KR20150126463A KR 20150126463 A KR20150126463 A KR 20150126463A KR 1020140053334 A KR1020140053334 A KR 1020140053334A KR 20140053334 A KR20140053334 A KR 20140053334A KR 20150126463 A KR20150126463 A KR 20150126463A
Authority
KR
South Korea
Prior art keywords
virtual machine
policy
logical group
management unit
machine logical
Prior art date
Application number
KR1020140053334A
Other languages
English (en)
Other versions
KR101572025B1 (ko
Inventor
이슬기
신영상
황동욱
박해룡
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020140053334A priority Critical patent/KR101572025B1/ko
Publication of KR20150126463A publication Critical patent/KR20150126463A/ko
Application granted granted Critical
Publication of KR101572025B1 publication Critical patent/KR101572025B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)

Abstract

물리적 컴퓨팅 환경의 정책관리의 단순 확장에서 벗어나 클라우드 컴퓨팅 환경 특성을 적용한 가상화 환경에서의 가상 머신 정책을 관리하기 위한 시스템 및 방법이 개시된다.
이를 위해, 본 발명은 클라우드 컴퓨팅 환경에서 생성된 가상머신간 정책을 병합하고 목록화하여 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하는 가상머신 정책 관리부; 분할된 상기 가상머신 논리적 그룹별로 할당된 정책을 가상머신(VM) 단위로 변경하는 정책 변환 관리부; 및 변경된 상기 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하는 보안 정책 관리부를 포함하여 가상머신의 동적 변화에 유연하게 대응할 수 있다.

Description

가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법{Policy Management System and Method Based on Virtual Machine Logical Group}
본 발명은 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 물리적 컴퓨팅 환경의 정책관리의 단순 확장에서 벗어나 클라우드 컴퓨팅 환경 특성을 적용한 가상화 환경에서의 가상 머신 정책을 관리하기 위한 시스템 및 방법에 관한 것이다.
클라우드 컴퓨팅 환경의 기반이 되는 기술 중 하나인 가상화 가상화 기술이 적용되면서 새로운 이슈사항들이 발생하게 되었다 . 즉, 클라우드 컴퓨팅 환경이 도입되며 주목해야 할 점은 보안취약점뿐만 아니라 관리적인 측면에서의 정책관리 개선이 필요하였다.
이는 물리호스트 하나당 다수의 가상머신이 존재하는 이유로 기존에 사용되었던 정책관리 기술을 이용하면 물리호스트 레벨의 정책관리만이 가능하게 되어 가상머신을 대상으로 정책을 관리할 관리할 수 없는 문제점이 발생하였다.
기존 정책관리 기술을 확장 응용하여 가상화 환경에 맞추어 개발할 수 있었지만 가상머신의 동적 변화에 효과적으로 대응 할 수 있어야 한다는 가상화 환경의 정책관리 요구사항에 부적합하였다.
상기 가상화 환경은 다수의 가상머신이 손쉬운 동적 변화를 발생한다는 특징을 가지고 있었기 때문에 규모가 큰 대형 클라우드 데이터 센터에서 가상머신은 수천대 이상 존재할 수 있으며 각각의 가상머신들에서 서로 다른 동적 변화가 발생하게 되면 관리 복잡성이 증가하기 때문에 효율적인 관리가 어려운 문제점이 있었다.
게다가, 종래에는 물리적인 컴퓨팅 환경에서 정책관리 기술을 적용하였는데 이는 물리적 호스트 단위로 정책을 관리할 수 밖에 없었다. 이와 같이, 물리적 호스트 단위로 정책을 관리하게 되면, 가상머신이 이동 했을 때 기존의 정책을 다시 적용할 수 없기 때문에 가상머신의 이동을 인지하여 가상머신에 할당된 정책을 재송신해야 되는 문제점이 발생하였다.
1. 한국공개특허 제2013-0022508호, 공개일자 : 2013년 03월 07일, 발명의 명칭 : 클라우드 컴퓨팅 서버 시스템의 가상머신 정책 설정 시스템, 가상머신 정책 설정 방법 및 가상머신 정책 제공 방법. 2. 한국등록특허 제1132443호, 등록일자 : 2012년 03월 26일, 발명의 명칭 : 관리정책을 기반으로 서비스 가상머신을 관리할 수 있는 단말장치 및 그 방법.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 가상머신을 논리적으로 그룹화한 가상머신 논리적 그룹(VM-Zone)을 이용하여 물리적인 제약을 극복할 수 있는 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 물리적 호스트상에 위치하는 가상머신의 논리적 그룹별 적용 정책을 분할과 병합하여 관리할 수 있는 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법을 제공하는데 그 다른 목적이 있다.
특히, 본 발명은 논리적 그룹에 그룹에 속한 가상머신을 찾아 어느 물리 호스트에 위치해 있는지를 확인하여 정책을 병합하여 관리할 수 있는 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법을 제공하는데 또 다른 목적이 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.
본 발명의 일 관점에 따르면, 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위한 시스템으로서, 클라우드 컴퓨팅 환경에서 생성된 가상머신간 정책을 병합하고 목록화하여 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하는 가상머신 정책 관리부; 분할된 상기 가상머신 논리적 그룹별로 할당된 정책을 가상머신(VM) 단위로 변경하는 정책 변환 관리부; 및 변경된 상기 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하는 보안 정책 관리부를 포함하는 가상머신 논리적 그룹에 기반한 정책 관리 시스템이 제공된다.
여기서, 본 발명의 일 관점에 따른 상기 가상머신 정책 관리부는 상기 가상머신 논리적 그룹별로 가상머신 논리적 그룹 정보를 구성하고, 상기 가상머신 논리적 그룹 정보를 상기 정책에 활용할 수 있다.
또한, 본 발명의 일 관점에 따른 상기 정책 관리 시스템은 상기 가상머신 논리적 그룹에서 정상적인 가상머신들을 추출하여 격리 가상머신 논리적 그룹 정보를 구성하고, 상기 격리 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 격리 정책 관리부를 더 포함하여 이루어질 수 있다.
또한, 본 발명의 일 관점에 따른 상기 정책 변환 관리부는 상기 가상머신 정책 관리부에서 요청하는 정책적용 요청 형식 정보에 대응하여 상기 정책을 가상머신(VM) 단위로 변경할 수 있다.
또한, 본 발명의 다른 일 관점에 따르면, 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위한 방법으로서, (a) 클라우드 컴퓨팅 환경에서 생성된 가상머신간 정책을 가상머신 정책 관리부에서 병합하고 목록화하여 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하는 단계; (b) 분할된 상기 가상머신 논리적 그룹별로 할당된 정책을 정책 변환 관리부에서 가상머신(VM) 단위로 변경하는 단계; 및 (c) 변경된 상기 가상머신 단위의 정책을 보안 정책 관리부에서 물리적 호스트 기준으로 병합하는 단계를 포함하는 가상머신 논리적 그룹에 기반한 정책 관리 방법이 제공된다.
여기서, 본 발명의 다른 일 관점에 따르면, 상기 (a) 단계는 상기 가상머신 논리적 그룹별로 가상머신 논리적 그룹 정보를 가상머신 정책 관리부에서 구성하고, 상기 가상머신 논리적 그룹 정보를 상기 정책에 활용할 수 있다.
또한, 본 발명의 다른 일 관점에 따른 상기 정책 관리 방법은 (d) 상기 가상머신 논리적 그룹에서 정상적인 가상머신들을 격리 정책 관리부에서 추출하여 격리 가상머신 논리적 그룹 정보를 구성하고, 상기 격리 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 단계를 더 포함하여 이루어질 수 있다.
또한, 본 발명의 다른 일 관점에 따른 상기 (c) 단계는 상기 (a) 단계에서 요청하는 정책적용 요청 형식 정보에 대응하여 상기 정책을 정책 변환 관리부에서 가상머신(VM) 단위로 변경할 수 있다.
이상과 같이 본 발명에 따르면, 가상머신 논리적 그룹에서의 이동과 같은 가상머신 정보의 변화를 인지하고 논리적 그룹에 속한 가상머신의 정책을 분할하고 물리 호스트별로 정책을 결합하여 적용함으로써 가상머신의 동적 변화에 유연하게 대응할 수 있는 효과가 있다.
특히, 본 발명은 복수개의 가상머신 논리적 그룹(VM-Zone)으로 정책을 분할하고, 이를 물리적 호스트 기준으로 병합함으로써, 보안 정책에 유연하게 대처하여 클라우드 환경에서의 침해 사고를 사전에 방지할 수 있는 효과가 있다.
도 1은 본 발명의 제1 실시예에 따른 클라우드 컴퓨팅 환경에서 정책을 관리하기 위한 정책 관리 시스템(100)을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제1 일 실시예에 따른 가상머신 논리적 그룹(VM-Zone)의 분할 관계를 설명하기 위한 도면이다.
도 3은 본 발명의 제1 실시예에 따른 분할된 정책의 물리 호스트별 결합 상태를 나타낸 도면이다.
도 4 및 도 5는 본 발명의 제1 실시예에 따른 물리 호스트별 결합 상태에 따른 네트워크 트래픽 차단 결과를 나타낸 도면이다.
도 6은 본 발명의 제1 실시예에 따른 가상 머신의 다른 물리호스트로 이동에 따른 정책을 다시 결합하여 전송하는 상태를 나타낸 도면이다.
도 7은 본 발명의 제1 실시예에 따른 가상머신이 가상머신 논리적 그룹의 이동에 따른 정책 변경 상태를 나타낸 도면이다.
도 8은 본 발명의 제2 실시예에 따른 클라우드 컴퓨팅 환경에서 가상머신의 정책 관리 방법(S100)을 예시적으 나타낸 도면이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
제1 실시예
도 1은 본 발명의 제1 실시예에 따른 클라우드 컴퓨팅 환경에서 정책을 관리하기 위한 정책 관리 시스템(100)을 예시적으로 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 발명의 제1 실시예에 따른 정책 관리 시스템(100)은 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위하여 가상머신 정책 관리부(110), 정책 변환 관리부(120), 격리 정책 관리부(130), 보안 정책 관리부(140) 및 데이터베이스(150)를 포함하여 구성된다.
먼저, 본 발명에 따른 가상머신 정책 관리부(110)는 가상머신 그룹 단위로 설정한 정책에서 실제 가상머신으로 정책을 전송하려면 가상머신 논리적 그룹 정보(예: IP 주소 , 가상머신 가상머신 UUID 등)를 이용하여 그룹 정책을 분할하여야 한다.
이를 위해, 본 발명에 따른 가상머신 정책 관리부(110)는 가상머신 그룹 간 정책 설정이 되어 있을 때 그룹에 속하는 가상머신 논리적 그룹 정보를 확인하여 가상머신간 정책을 병합하고 목록화하는 과정을 거쳐 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할한다.
예를 들면, 도 2에 도시된 바와 같이 가상머신 그룹 A과 그룹 B간의 네트워크 통신을 차단함으로써, 그룹 A에 속한 가상머신들을 조회하여 해당 가상 머신의 IP 주소 혹은 UUID 정보등을 확인하여 정책을 분할하게 된다. 이때, 상기 IP 주소 혹은 UUID 정보를 포함하고 있는 가상머신 논리적 그룹 정보는 위와 같이 정책 분할에 활용되고자, 하기의 표 (1)과 같은 VM Zone 구성 정보 및 각 보안 정책들을 구성할 수 있다.
분류 항목 설명 비고


VM Zone
정보

 VMZone ID VM Zone 식별자 숫자
VMZone Name VM Zone 이른 문자열
VMZone Type VM Zone 유형 문자열(Trust/Untrust, Isolation, 사용자 지정 등)
VMZone Priority VM Zone 우선순위 숫자(0:관리자 ~ 5)

VM Zone
정보
 Date Time 날짜 및 시간 YYYY-MM-DD hh:mm:ss
Description VM Zone 설명 문자열
관리 VM
정보


 VM UUID 가상머신 식별자 문자열(구분자: ",")
VS UUID 가상화시스템 식별자 문자열
Group ID VM / VS 그룹 식별자 문자열(reserved)
Group Name VM / VS 그룹 이름 문자열(reserved)
보안 정책
정보
 Cloud Policy Type
클라우드 보안정책 유형 숫자
Cloud Policy IDs 클라우드 보안정책 식별자 숫자(시그니처 ID)
다음으로, 본 발명에 따른 정책 변환 관리부(120)는 앞서 설명한 가상머신 정책 관리부(110)에 의해 분할된 가상머신 논리적 그룹별로 할당된 정책을 가상머신(VM) 단위로 변경한다. 바람직하게는 앞서 설명한 가상머신 정책 관리부(110)에서 요청하는 정책적용 요청 형식 정보에 대응하여 정책을 가상머신(VM) 단위로 변경할 수 있다. 이때, 상기 정책적용 요청 형식 정보는 하기의 표 (2)와 같이 나타낼 수 있다.
분류 항목 설명 비고

VM Zone
정보
 VMZone ID VM Zone 식별자 숫자
VMZone Name 문자열 VM Zone 이름 문자열
VMZone Type
VM Zone 유형 문자열(Trust/Untrust, Isolation, 사용자 지정 등)


보안 정책
정보		 Cloud Policy Type
클라우드 보안정책 유형 1x: 탐지/대응 정책
2x: 정보수집 정책
3x: 동작제어 정책
4x: 자원할당제어 정책
Cloud Policy ID 클라우드 보안정책 식별자 숫자(시그니처 ID)
Cloud Policy Total Count 클라우드 보안정책 총 개수 숫자
처리 정보
 Action Type
정책 처리 유형 0: Apply
1: Add
2: Delete
3: Edit
Apply Option
정책 적용 및 해제 0: 해제
1: 적용
정책 내용 XML Message Content 클라우드 보안정책 내용 문자열(가변길이)
다음으로, 본 발명에 따른 격리 정책 관리부(130)는 앞서 설명한 가상머신 정책 관리부(110)에서 분할된 가상머신 논리적 그룹에서 정상적인 가상머신들을 추출하고, 추출된 정상적인 가상머신들을 가상머신 논리적 그룹과 격리하여 상세분석 및 트래픽 모니터링 강화 등 특정 가상머신을 관리하기 위한 격리 가상머신 논리적 그룹 정보로 구성한다. 상기 격리 가상머신 논리적 그룹 정보는 하기의 표 (3)과 같이 나타낼 수 있다.
분류 항목 설명 비고
격리 Zone
정보




 VMZone ID VM Zone 식별자 숫자
VMZone Name VM Zone 이름 문자열
VMZone Type
VM Zone 유형 문자열(Trust/Untrust, Isolation, 사용자 지정 등)
VMZone Priority VM Zone 우선순위 숫자(0:관리자 ~ 5)
Date Time 날짜 및 시간 YYYY-MM-DD hh:mm:ss
Description VM Zone 설명 문자열
관리 VM
정보


 VM UUID 가상머신 식별자 문자열(구분자: ",")
VS UUID 가상화시스템 식별자 문자열
Group ID VM / VS 그룹 식별자 문자열(reserved)
Group Name VM / VS 그룹 이름 문자열(reserved)
보안 정책 정보
 Cloud Policy Type
클라우드 보안정책 유형 숫자
Cloud Policy IDs 클라우드 보안정책 식별자 숫자(시그니처 ID)
격리 조건
정보
 Isolation Type 격리 조건 유형 문자열
Isolation IDs 격리 조건 식별자 숫자(격리조건 ID)
격리해제 조건
정보
 De-Isolation Type 격리해제 조건 유형 문자열
De-Isolation ID 격리해제 조건 식별자 숫자(격리해제 조건 ID)
그리고 나서, 본 발명에 따른 격리 정책 관리부(130)는 표 (3)의 격리 가상머신 논리적 그룹 정보를 이용하여 가상머신 논리적 그룹에 적용할 정책을 관리하게 된다.
한편, 앞서 설명한 가상머신 정책 관리부(110)에 의해 가상머신 그룹 정책 분할 이후 각각의 물리 호스트로 전송하게 되면 가상머신의 빈번한 이동으로 인하여 정책의 잦은 전송이 발생하게 된다.
이를 방지하고자, 본 발명에 따른 보안 정책 관리부(140)는 앞서 설명한 정책 변환 관리부(120)에 의해 변경된 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하거나 격리 정책 관리부(130)에 의해 정책 변환 관리부(120)의 정책에 반영된 결과를 물리적 호스트 기준으로 병합하여 클라우드 에이젼트(200)로 전송하게 된다.
이러한 예는 도 3에 나타내었다. 예를 들면, VM_1 → 4VM_4인 경우 , 보안 서비스에서 Source를 대상으로 작동하는지, Destination을 대상으로 작동하는지의 여부를 확인하여 물리 호스트를 결정한다고 하면, 도 3에서는 Source를 대상으로 작동한다고 가정하고 물리 호스트를 결정할 경우, VM_1과 VM_2에 해당하는 정책 4개가 하나로 묶여 좌측 물리 호스트로 전송되고, VM_3에 해당하는 정책 2개가 묶여 우측 물리 호스트로 전송할 수 있을 것이다.
이와 같이, 물리적 호스트 기준으로 정책이 병합(결합)하게 되면, 클라우드 에이젼트(200)로의 전송 횟수를 줄일 수 있고, 이뿐만 아니라 하이퍼바이저 기반으로 네트워크 보안관리를 하게 될 경우 성능의 향상을 기대할 수 있을 것이다.
또 다른 예로서, 도 4 및 도 5에서와 같이, 가상머신 논리적 그룹별로 할당된 정책(예:보안 정책)을 가상머신(VM) 단위로 변환하고, 상기 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하게 되면, Zone_1에서 Zone_2로의 네트워크 트래픽을 쉽게 차단시킬 수 있게 된다.
이상에서 설명된 가상머신 정책 관리부(110), 정책 변환 관리부(120), 격리 정책 관리부(130) 및 보안 정책 관리부(140)에서 처리한 데이터는 데이터베이스(150)에 저장된다. 상기 데이터베이스는 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라, 파일 시스템에 기반한 데이터 기록 등을 포함하는 넓은 의미의 데이터베이스도 포함하여 지칭하며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서 말하는 데이터베이스에 포함된다.
정책의 재전송 예
도 6은 정책 변환 관리부(130)에 의해 변경된 가상 머신이 다른 물리호스트로 이동한 경우, 정책을 다시 결합하여 전송하는 상태를 나타낸 것으로서, 앞서 설명한 가상머신별 정책 분할과 물리 호스트별 정책 결합을 재수행함으로써, 가상머신의 동적 변화에 대응할 수 있게 된다.
반면, 도 7은 가상머신이 가상머신 논리적 그룹의 이동에 따른 정책 변경 상태를 나타낸 것으로서, 즉, VM_3V가 Virtual Machine Group A에서 Group B로 이동하여 VM_3과 관계된 가상 머신들의 정책이 일괄적으로 수정된다. 이는 앞서 설명한 도 3에서와 같이 Source를 대상으로 보안정책을 적용한다고 가정하면, 좌측 물리 호스트에 변경된 정책 6개가 물리적 호스트 기준의 병합에 적용될 수 있다.
제2 실시예
도 8은 본 발명의 제2 실시예에 따른 클라우드 컴퓨팅 환경에서 가상머신의 정책 관리 방법(S100)을 예시적으 나타낸 도면이다.
도 8에 도시된 바와 같이, 본 발명의 제2 실시예에 따른 클라우드 컴퓨팅 환경에서 가상머신의 정책 관리 방법(S100)은 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위하여 S110 단계 내지 S140 단계를 포함하여 이루어진다.
먼저, 본 발명에 따른 S110 단계에서는 가상머신 그룹 단위로 설정한 정책에서 실제 가상머신으로 정책을 전송하고자 가상머신 논리적 그룹 정보(예: IP 주소 , 가상머신 가상머신 UUID 등)를 이용하여 그룹 정책을 분할하여야 한다. 이를 위해, 본 발명에 따른 S110 단계에서는 가상머신 그룹 간 정책 설정이 되어 있을 때 그룹에 속하는 가상머신 논리적 그룹 정보를 확인하여 가상머신간 정책을 가상머신 정책 관리부(110)에서 병합하고 목록화하는 과정을 거쳐 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하게 된다.
예를 들면, 도 2에 도시된 바와 같이 가상머신 그룹 A과 그룹 B간의 네트워크 통신을 차단함으로써, 그룹 A에 속한 가상머신들을 조회하여 해당 가상 머신의 IP 주소 혹은 UUID 정보등을 확인하여 정책을 분할하게 된다.
이때, 상기 IP 주소 혹은 UUID 정보를 포함하고 있는 가상머신 논리적 그룹 정보는 위와 같이 정책 분할에 활용되고자, 앞서 도시한 표 (1)과 같은 VM Zone 구성 정보 및 각 보안 정책들을 구성할 수 있다.
이후, 본 발명에 따른 S120 단계에서는 앞서 설명한 S110 단계에 의해 분할된 가상머신 논리적 그룹별로 할당된 정책을 정책 변환 관리부(120)에서 가상머신(VM) 단위로 변경하게 된다.
바람직하게는, 상기 가상머신 정책 관리부(110)에서 요청하는 정책적용 요청 형식 정보에 대응하여 정책을 정책 변환 관리부(120)에서 가상머신(VM) 단위로 변경할 수 있다. 이때, 상기 정책적용 요청 형식 정보는 앞서 도시한 표 (2)와 같이 나타낼 수 있다.
이후, 본 발명에 따른 S130 단계에서는 앞서 설명한 S110 단계에서 분할된 가상머신 논리적 그룹의 정상적인 가상머신들을 격리 정책 관리부(130)에서 추출하고, 추출된 정상적인 가상머신들을 가상머신 논리적 그룹과 격리하여 상세분석 및 트래픽 모니터링 강화 등 특정 가상머신을 관리하기 위한 격리 가상머신 논리적 그룹 정보로 구성하게 된다.
상기 격리 가상머신 논리적 그룹 정보는 앞서 도시한 표 (3)과 같이 나타낼 수 있다. 따라서, 표 (3)의 격리 가상머신 논리적 그룹 정보를 이용하여 가상머신 논리적 그룹에 적용할 정책을 격리 정책 관리부(130)에서 관리하게 된다.
한편, 앞서 설명한 S110 단계에 의해 가상머신 그룹 정책 분할 이후 각각의 물리 호스트로 전송하게 되면, 가상머신의 빈번한 이동으로 인하여 정책의 잦은 전송이 발생하게 된다.
이를 방지하고자, 본 발명에 따른 S140 단계에서는 앞서 설명한 S120 단계에 의해 변경된 가상머신 단위의 정책을 보안 정책 관리부(140)에서 물리적 호스트 기준으로 병합하거나 S130 단계에 의해 S120 단계의 정책에 반영된 결과를 물리적 호스트 기준으로 보안 정책 관리부(140)에서 병합하여 클라우드 에이젼트(미도시)로 전송하게 된다.
이러한 예는 앞서 도시한 도 3에 나타내었다. 예를 들면, VM_1 → 4VM_4인 경우 , 보안 서비스에서 Source를 대상으로 작동하는지, Destination을 대상으로 작동하는지의 여부를 확인하여 물리 호스트를 결정한다고 하면, 도 3에서는 Source를 대상으로 작동한다고 가정하고 물리 호스트를 결정할 경우, VM_1과 VM_2에 해당하는 정책 4개가 하나로 묶여 좌측 물리 호스트로 전송하고, VM_3에 해당하는 정책 2개가 묶여 우측 물리 호스트로 전송할 수 있을 것이다.
이와 같이, 물리적 호스트 기준으로 정책이 병합(결합)하게 되면, 클라우드 에이젼트(미도시)로의 전송 횟수를 줄일 수 있을 뿐만 아니라 하이퍼바이저 기반으로 네트워크 보안관리를 하게 될 경우에 성능의 향상을 기대할 수 있을 것이다.
또 다른 예로서, 앞서 도시한 도 4 및 도 5에서와 같이, 가상머신 논리적 그룹별로 할당된 정책(예:보안 정책)을 가상머신(VM) 단위로 변환하고, 상기 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하게 되면, Zone_1에서 Zone_2로의 네트워크 트래픽을 쉽게 차단하는데 적용될 수 있게 된다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
100 : 정책 관리 시스템 110 : 가상머신 정책 관리부
120 : 정책 변환 관리부 130 : 격리 정책 관리부
140 : 보안 정책 관리부 150 : 데이터베이스
200 : 클라우드 에이젼트

Claims (8)

  1. 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위한 시스템으로서,
    클라우드 컴퓨팅 환경에서 생성된 가상머신간 정책을 병합하고 목록화하여 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하는 가상머신 정책 관리부;
    분할된 상기 가상머신 논리적 그룹별로 할당된 정책을 가상머신(VM) 단위로 변경하는 정책 변환 관리부; 및
    변경된 상기 가상머신 단위의 정책을 물리적 호스트 기준으로 병합하는 보안 정책 관리부;
    를 포함하는 가상머신 논리적 그룹에 기반한 정책 관리 시스템.
  2. 제1항에 있어서,
    상기 가상머신 정책 관리부는,
    상기 가상머신 논리적 그룹별로 가상머신 논리적 그룹 정보를 구성하고, 상기 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 시스템.
  3. 제2항에 있어서,
    상기 가상머신 논리적 그룹에서 정상적인 가상머신들을 추출하여 격리 가상머신 논리적 그룹 정보를 구성하고, 상기 격리 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 격리 정책 관리부;
    를 더 포함하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 시스템.
  4. 제3항에 있어서,
    상기 정책 변환 관리부는,
    상기 가상머신 정책 관리부에서 요청하는 정책적용 요청 형식 정보에 대응하여 상기 정책을 가상머신(VM) 단위로 변경하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 시스템.
  5. 클라우드 컴퓨팅 환경에서 가상머신 논리적 그룹에 기반하여 정책을 관리하기 위한 방법으로서,
    (a) 클라우드 컴퓨팅 환경에서 생성된 가상머신간 정책을 가상머신 정책 관리부에서 병합하고 목록화하여 복수개의 가상머신 논리적 그룹(VM-Zone)으로 분할하는 단계;
    (b) 분할된 상기 가상머신 논리적 그룹별로 할당된 정책을 정책 변환 관리부에서 가상머신(VM) 단위로 변경하는 단계; 및
    (c) 변경된 상기 가상머신 단위의 정책을 보안 정책 관리부에서 물리적 호스트 기준으로 병합하는 단계;
    를 포함하는 가상머신 논리적 그룹에 기반한 정책 관리 방법.
  6. 제4항에 있어서,
    상기 (a) 단계는,
    상기 가상머신 논리적 그룹별로 가상머신 논리적 그룹 정보를 가상머신 정책 관리부에서 구성하고, 상기 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 방법.
  7. 제6항에 있어서,
    (d) 상기 가상머신 논리적 그룹에서 정상적인 가상머신들을 격리 정책 관리부에서 추출하여 격리 가상머신 논리적 그룹 정보를 구성하고, 상기 격리 가상머신 논리적 그룹 정보를 상기 정책에 활용하는 단계;
    를 더 포함하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 방법.
  8. 제7항에 있어서,
    상기 (c) 단계는,
    상기 (a) 단계에서 요청하는 정책적용 요청 형식 정보에 대응하여 상기 정책을 정책 변환 관리부에서 가상머신(VM) 단위로 변경하는 것을 특징으로 하는 가상머신 논리적 그룹에 기반한 정책 관리 방법.
KR1020140053334A 2014-05-02 2014-05-02 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법 KR101572025B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140053334A KR101572025B1 (ko) 2014-05-02 2014-05-02 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140053334A KR101572025B1 (ko) 2014-05-02 2014-05-02 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20150126463A true KR20150126463A (ko) 2015-11-12
KR101572025B1 KR101572025B1 (ko) 2015-11-26

Family

ID=54609899

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140053334A KR101572025B1 (ko) 2014-05-02 2014-05-02 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101572025B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101691578B1 (ko) 2016-06-01 2016-12-30 주식회사 모비젠 가상화 환경에서의 가상화된 장치들에 대한 모니터링 데이터 수집 장치, 방법 및 그 방법을 실행하기 위한 프로그램을 기록하고 있는 컴퓨터 판독가능한 기록매체
KR101724339B1 (ko) * 2016-04-11 2017-04-10 숭실대학교산학협력단 Sfc 환경에서의 안드로이드 가상머신 장애 극복 장치, 시스템 및 방법, 그 방법을 수행하기 위한 기록 매체

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4607156B2 (ja) 2007-07-23 2011-01-05 株式会社エヌ・ティ・ティ・データ 仮想マシン管理サーバ、及びプログラム
JP2012208541A (ja) 2011-03-29 2012-10-25 Mitsubishi Electric Corp 仮想マシン管理装置、仮想マシン管理方法及び仮想マシン管理プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101724339B1 (ko) * 2016-04-11 2017-04-10 숭실대학교산학협력단 Sfc 환경에서의 안드로이드 가상머신 장애 극복 장치, 시스템 및 방법, 그 방법을 수행하기 위한 기록 매체
KR101691578B1 (ko) 2016-06-01 2016-12-30 주식회사 모비젠 가상화 환경에서의 가상화된 장치들에 대한 모니터링 데이터 수집 장치, 방법 및 그 방법을 실행하기 위한 프로그램을 기록하고 있는 컴퓨터 판독가능한 기록매체

Also Published As

Publication number Publication date
KR101572025B1 (ko) 2015-11-26

Similar Documents

Publication Publication Date Title
CN110710168B (zh) 跨隔离的网络堆栈的智能线程管理
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
CN103119907B (zh) 提供用于访问控制的智能组的系统和方法
US11438242B2 (en) Method for providing PaaS service, management system, and cloud computing service architecture
WO2021051878A1 (zh) 基于用户权限的云资源获取方法、装置及计算机设备
US9141785B2 (en) Techniques for providing tenant based storage security and service level assurance in cloud storage environment
EP1528746B1 (en) Disk control unit
CN103139159B (zh) 云计算架构中的虚拟机之间的安全通信
EP3547134A1 (en) Container cluster management
CN103379089B (zh) 基于安全域隔离的访问控制方法及其系统
US9465641B2 (en) Selecting cloud computing resource based on fault tolerance and network efficiency
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
WO2016040485A1 (en) System and method for providing an integrated firewall for secure network communication in a multi-tenant environment
US10447703B2 (en) VNF package operation method and apparatus
CN109379347B (zh) 一种安全防护方法及设备
JP2008041093A (ja) 多数の論理パーティションにわたって仮想入力/出力操作を分散させるためのシステム及び方法
US10397353B2 (en) Context enriched distributed logging services for workloads in a datacenter
CN106296530B (zh) 针对非聚合基础设施的信任覆盖
US20180278459A1 (en) Sharding Of Network Resources In A Network Policy Platform
WO2019154175A1 (zh) 一种访问资源服务的方法及系统
KR20130085617A (ko) 클라우드 데이터센터에서의 식별자와 위치자를 분리하는 기술을 적용하기 위한 매핑 시스템 및 네트워크 및 방법
CN107547258B (zh) 一种网络策略的实现方法和装置
KR101572025B1 (ko) 가상머신 논리적 그룹에 기반한 정책 관리 시스템 및 방법
CN113810420A (zh) 一种安全防护方法及安全防护系统
CN114070637B (zh) 基于属性标签的访问控制方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181120

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190903

Year of fee payment: 5