KR20160067913A - 클라우드 데이터 손실 방지 통합 - Google Patents

클라우드 데이터 손실 방지 통합 Download PDF

Info

Publication number
KR20160067913A
KR20160067913A KR1020167011634A KR20167011634A KR20160067913A KR 20160067913 A KR20160067913 A KR 20160067913A KR 1020167011634 A KR1020167011634 A KR 1020167011634A KR 20167011634 A KR20167011634 A KR 20167011634A KR 20160067913 A KR20160067913 A KR 20160067913A
Authority
KR
South Korea
Prior art keywords
file
cloud service
data
computer
loss prevention
Prior art date
Application number
KR1020167011634A
Other languages
English (en)
Inventor
치라그 샤
사친 비자얀
Original Assignee
페이팔, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 페이팔, 인코포레이티드 filed Critical 페이팔, 인코포레이티드
Publication of KR20160067913A publication Critical patent/KR20160067913A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Computer Security & Cryptography (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Quality & Reliability (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Retry When Errors Occur (AREA)

Abstract

통합 저장 시스템을 제공하는 시스템, 방법 및 컴퓨터 판독 가능 매체가 제공된다. 예를 들어, 실시예는 기업 컴퓨터 시스템에 의해, 기업을 대신하여 데이터를 저장하는 클라우드 서비스로부터의 활동 통지를 검출할 수 있다. 활동 통지는 클라우드 서비스에 의해 수행되는 활동(예를 들어, 파일을 생성 또는 수정)과 관련되는 파일명을 명시할 수 있다. 기업 컴퓨터 시스템은 그 후에 활동 통지에 의해 명시되는 파일명을 사용하여 클라우드 서비스로부터 파일(또는 파일의 컨텐츠)을 다운로드할 수 있다. 파일을 다운로드한 후에, 기업 컴퓨터 시스템은 파일을 데이터 손실 방지 규칙에 대하여 분석할 수 있다. 데이터 손실 방지 규칙으로부터의 결과에 기초하여, 기업 컴퓨터 시스템은 조치 응답을 클라우드 서비스에 통신할 수 있다. 조치 응답은 클라우드 서비스에게 클라우드 서비스에 의해 저장되어 있는 파일에 대해 조치를 수행하라고 지시할 수 있다.

Description

클라우드 데이터 손실 방지 통합{CLOUD DATA LOSS PREVENTION INTEGRATION}
관련 출원
본 국제출원은 2013년 12월 21일에 제출된 "SYSTEMS AND METHODS FOR CLOUD DATA LOSS PREVENTION INTEGRATION"라는 명칭의 미국 특허 출원 제 14/138,050 호의 출원일자의 이점을 주장하고 2013년 10월 3일에 제출된 "CLOUD DATA LOSS PREVENTION INTEGRATION"라는 명칭의 미국 예비출원 제 61/886,430 호의 이점을 주장한다. 상기 출원의 각각의 전체 내용은 본원에 참조로서 통합된다.
본 출원은 데이터 프로세싱(data processing)에 관한 것이다. 특히, 예의 실시예는 클라우드 서비스(cloud service)를 기업의 정보 시스템과 통합하는 시스템 및 방법에 관한 것일 수 있다.
종래의 클라우드 서비스 제공자는 클라우드 서비스 제공자에 의해 호스팅(hosting)되는 컴퓨터 자원 상에 데이터를 저장하기 위해 기업과 같은 사용자에게 클라우드 서비스를 제공할 수 있다. 이 방식에서, 회사의 데이터는 클라우드를 포함하는 분산 및 접속되어 있는 다수의 자원에 의해 저장되고 이 자원으로부터 액세스될 수 있다. 클라우드 스토리지(cloud storage)는: 액세스 능력 및 신뢰성의 증대; 배치의 신속성; 데이터 백업, 아카이브(archive) 및 재난 복구에 대한 강력한 보호; 및 고가의 하드웨어를 구매, 관리 및 유지보수하지 않아도 되는 결과로서의 전체 저장 비용의 하락의 이점을 제공할 수 있다.
종래의 클라우드 스토리지 시스템은 세 개의 유형이 있다. 제 1 유형의 클라우드 스토리지 시스템은 공용 클라우드 스토리지(public cloud storage)로 칭해질 수 있다. 공용 클라우드 스토리지에서, 기업 및 스토리지 서비스 제공자는 별개의 실체(entity)이다. 데이터를 저장하는 데 사용되는 계산 자원은 스토리지 서비스 제공자에 의해 관리되고 기업의 데이터 센터의 일부가 아니다. 그러므로 클라우드 스토리지 제공자는 클라우드 스토리지 시스템 내에 저장되는 기업의 데이터를 관리하는 데 사용되는 계산 자원을 전적으로 관리한다.
클라우드 스토리지 시스템의 제 2 유형은 사설 클라우드 스토리지(private cloud storage)라 칭해질 수 있다. 사설 클라우드 스토리지에서, 기업 및 클라우드 스토리지 제공자는 기업의 데이터 센터 내에 통합된다. 이것은 스토리지 제공자가 기업의 데이터 센터 내에 기반구조(infrastructure)를 가짐을 의미할 수 있다. 사설 클라우드 스토리지는 클라우드 스토리지의 장점을 계속 제공하면서 보안 및 성능 우려점들에 대한 잠재성을 해소하는데 도움을 준다.
클라우드 스토리지 시스템의 제 3 유형은 하이브리드 클라우드 스토리지(hybrid cloud storage)라 칭해질 수 있다. 하이브리드 클라우드 스토리지에서, 일부 중요 데이터는 기업의 사설 클라우드에 상주하고 반면에 다른 데이터는 공용 클라우드 스토리지 제공자에 저장되고 이로부터 액세스될 수 있다. 그러므로, 하이브리드 클라우드 스토리지 시스템은 공용 및 사설 클라우드 스토리지 시스템의 어떤 결합일 수 있다.
현재, 자신의 저장 시스템에 대하여 클라우드 전략을 채택한 기업은 일반적으로 기업의 필요에 따라 이 세 유형의 클라우드 스토리지 시스템 중 하나 이상을 채택한다.
본 발명은 첨부 도면의 도에서, 예로, 그리고 제한하지 않게 도시된다:
도 1은 하나의 실시예에 따른, 통합 스토리지 시스템을 도시하는 시스템도;
도 2는 예의 실시예에 따른, 도 1의 통합 스토리지 시스템의 데이터 흐름도;
도 3a 및 도 3b는 예의 실시예에 따른, 통합 데이터 손실 방지(data loss protection; DLP) 지원을 제공하는 방법을 도시하는 흐름도;
도 4는 예의 실시예에 따른, 클라우드 서비스에 저장되는 파일의 요구시(on-demand) 스캔을 수행하는 통합 스토리지 시스템의 데이터 흐름도;
도 5a 및 도 5b는 예의 실시예에 따른, 요구시 스캔을 수행하는 방법을 도시하는 흐름도; 및
도 6은 머신의 도식적 표현을, 상기 머신로 하여금 본원에서 논의되는 방법 중 임의의 하나 이상을 수행하도록 하는 명령어의 세트가 실행되는 컴퓨터 시스템의 예의 형태로 도시하는 도면.
예의 실시예들이 특정한 예를 참조하여 기술되었을지라도, 본 발명의 더 광의의 범위를 벗어나지 않고 다양한 수정 및 변형이 본 실시예들에 대해 행해질 수 있음이 인정되어야 한다. 따라서, 명세서 및 도면은 제한하는 것보다는 예시적인 의미로 간주되어야 한다.
예의 실시예는 기업의 데이터 손실 방지(data loss prevention; "DLP") 정책(또는 정책들)을 클라우드 서비스에 저장되어 있는 데이터와 통합하는 것에 관한 것일 수 있다. 후술되는 바와 같이, DLP 정책은 기밀 데이터(예를 들어, 신용 카드 번호, 사회 보장 번호(social security number) 등)를 식별하거나, 이 데이터가 기업을 통해 또는 기업 밖으로 이동될 때 이 데이터를 추적하거나, 또는 공개 정책을 만들고 시행함으로써 데이터가 허가 없이 노출되는 것을 방지하는 프로세스일 수 있다. 그러나, 일부 경우에, 기업, 또는 이 기업의 피고용인은 Box.com®과 같은 클라우드 서비스에 데이터를 저장할 수 있다. 그와 같은 경우에는 예의 실시예는 데이터가 클라우드 서비스에 의해 기업 외부에 저장되는 DLP 정책을 시행하는 것에 관한 것일 수 있다.
예를 들어, 예의 실시예는 기업 컴퓨터 시스템에 의해, 기업을 대신하여 데이터를 저장하고 있는 클라우드 서비스로부터 활동 통지(activity notification)를 검색할 수 있다. 활동 통지는 클라우드 서비스에 의해 수행되는 활동(예를 들어, 파일을 생성하거나 수정하는)과 관련되는 파일명을 명시할 수 있다. 기업 컴퓨터 시스템은 그 후에 활동 통지에 의해 명시되는 파일명을 사용하여 클라우드 서비스로부터 파일(또는 파일의 컨텐츠)을 다운로드할 수 있다. 파일을 다운로드한 후에, 기업 컴퓨터 시스템은 파일을 데이터 손실 방지 규칙에 대하여 분석할 수 있다. 데이터 손실 방지 규칙으로부터의 결과에 기초하여, 기업 컴퓨터 시스템은 조치 응답(action response)을 클라우드 서비스에 통신할 수 있다. 조치 응답은 클라우드 서비스에게 클라우드 서비스에 의해 저장되어 있는 파일에 대해 조치를 수행할 것을 지시한다.
이에 따라, 예의 실시예는 활동이 기업의 파일에 대해 수행되지만 클라우드 서비스에 의해 저장될 때 기업 컴퓨터 시스템에 통지함으로써 클라우드 서비스가 DLP 프로세스를 개시하는 사건 구동식(event-driven) 시스템을 사용할 수 있다. 본원에서 더 상세하게 후술될 다른 예의 실시예에서, 기업의 컴퓨터 시스템은 파일을 하나 이상의 DLP 규칙에 대해 분석하는 프로세스를 개시할 수 있다. 기업은 사용자 셰어(share)의 요구시 스캔을 수행하기 위하여 파일을 하나 이상의 DLP 규칙에 대해 분석하는 프로세스를 개시할 수 있다.
이제 상기 및 다른 실시예가 예로 그러나 제한하지 않게 설명된다.
사건 기반 통합 스토리지 시스템의 시스템 개요
도 1은 하나의 실시예에 따른, 통합 스토리지 시스템(100)을 도시하는 시스템도이고, 여기서 기업(102)은 클라우드 서비스(104A 내지 104C)의 임의의 조합과 같은, 하나 이상의 클라우드 서비스와 통합되어 있다.
기업(102)은 데이터를 관리, 프로세싱, 저장 또는 통신하는 실체(예를 들어, 기업, 기관, 회사, 사람 또는 임의의 다른 적절한 실체)에 의해 가동되는 컴퓨터 시스템일 수 있다. 이의 데이터 저장 필요성을 전적으로 또는 부분적으로 성취하기 위하여, 기업(102)은 클라우드 서비스(104A 내지 104C) 중 하나 이상에 통신적으로 결합될 수 있다.
클라우드 서비스(104A 내지 104C)는 기업의 사용자(예를 들어, 피고용인, 부서, 팀 등)에게 클라우드 스토리지 서비스를 제공할 수 있다. 이에 따라, 클라우드 서비스(104A 내지 104C)는 기업이 "소유"하는 데이터가 클라우드 서비스(104A 내지 104C)에 의해 관리되는 계산 자원 상에 적어도 부분적으로 저장되는 클라우드 서비스를 제공할 수 있다. 데이터를 저장하는 클라우드 서비스의 제공자의 예는 서너 개 거론하자면, BOX.COM®, SKYDRIVE®, YAMMER®, SALESFORCE® 및 DROPBOX®를 포함한다.
일반적인 저장 필요성 외에, 기업(102)은 데이터 손실 우려를 처리하기 위해 데이터 손실 보호 정책을 배치할 수 있다. 본원에서 사용되는 바와 같이, DLP는 기밀 데이터를 식별하거나, 이 데이터가 기업(102)의 컴퓨터 시스템을 통해 또는 이 컴퓨터 시스템 외부로 이동될 때 이 데이터를 추적하거나 또는 공개 정책을 만들고 시행함으로써 데이터가 허가 없이 공개되는 것을 방지하는 임의의 해법 또는 프로세스로서 광의로 규정된다. 일부 실시예에서, DLP는 데이터 저장 장소에 저장될 수 있는 기밀 데이터를 식별하고, 그와 같이 구성되어 있는 경우, 적절한 교정 조치를 취하기 위하여 상기 데이터 저장 장소에 있는 데이터를 스캔하는 요구시(on-demand) 또는 스케줄 기반 해법을 포함할 수 있다. 기밀 데이터의 예는 사회 보장 번호, 금융 데이터(예를 들어, 신용 카드 번호, 자기 띠 데이터(magnetic stripe data) 등), 사용자명 및 비밀번호 쌍, 소유자 정보, 라이센스 데이터(예를 들어, 저작물) 또는 데이터가 악용되는 경우 기업을 손상시킬 수 있는 임의의 다른 데이터를 포함할 수 있다.
도 1과 관련하여, DLP는 기업(102) 및 클라우드 서비스(104A 내지 104C)의 구성요소 또는 모듈의 통합을 통해 기업(102)에 제공될 수 있다. 예를 들어, 도 1에 도시되는 바와 같이, 기업(102)은 작업 스케줄러(job scheduler)(112), DLP 백엔드 서버(backend server)(114) 및 DLP 엔진(116)을 포함할 수 있고, 반면에 클라우드 서비스(104A 내지 104C)는 각각 통지 포트를 포함할 수 있다. 예를 들어, 통지 포트(118A 내지 118C)가 참조된다.
작업 스케줄러(112)는 데이터(예를 들어, 파일) 업로드 및 수정에 관한 "통지"를 교신 및 발행하도록 클라우드 서비스(104A 내지 104C)에 대한 청취자 서비스(listener service) 역할을 하도록 구성되는 컴퓨터 구현 모듈일 수 있고, 통지를 수신하는 것에 응답하여, 작업 스케줄러(112)는 작업 대기열(job queue)에 활동 통지에 대응하는 작업을 추가할 수 있다. 클라우드 서비스(104A 내지 104C)에 의해 발행되는 통지를 수신하기 위하여, 작업 스케줄러(112)는 산업 표준 애플리케이션 프로그래밍 인터페이스(application programming interface; "API") 유형 및 하이퍼텍스트 전송 프로토콜(Hypertext Transfer Protocol; "HTTP")/HTTP 시큐어(HTTP Secure; "HTTPS"), 구성 상태 전송(Representational State Transfer; "REST"), 단순 객체 접근 프로토콜(Simple Object Access Protocol; "SOAP") 등과 같은 공통 프로토콜에 기초하여 API를 제공할 수 있다. 일부 경우에 클라우드 서비스(104A 내지 104C)로부터 송신되는 통지는 보안 소켓 계층(Secure Socket Layer; "SSL")/전송 계층 보안(Transport Layer Security; "TLS")와 같은 보안 통신 프로토콜을 통해 보호를 받을 수 있다. 이에 따라, 작업 스케줄러(112)는 이 보안 통신 프로토콜을 사용하여 통신하도록 구성될 수 있다. 게다가, 작업 스케줄러(112)는 OAuth, SSL/TLS, 보안 보장 생성 언어(Security Assertion Markup Language; "SAML")와 같은 산업 표준의 지원을 통해 API 레벨에서 인증/허가 요건을 시행하도록 구성될 수 있다.
DLP 백엔드 서버(114)는 작업 스케줄러(112)로부터의 작업을 프로세싱하고 그 후에 조치 응답을 클라우드 서비스에 통신하도록 구성되는 컴퓨터 구현 모듈일 수 있다. 예를 들어, 작업 스케줄러로부터의 작업을 프로세싱하는 것의 일부로서, DLP 백엔드 서버(114)는 작업에 대응하는 파일을 식별하고, 클라우드 서비스로부터 식별된 파일을 획득하고, 그리고 DLP 분석을 위해 이 파일을 DLP 엔진(116)으로 통신할 수 있다. DLP 엔진(116)이 DLP 분석을 완료한 후에, DLP 백엔드 서버(114)는 조치 응답을 클라우드 서비스에 역으로 통신할 수 있다. 조치 응답은 클라우드 서비스에게 클라우드 서비스에 의해 저장되어 있는 파일에 대해 특정 조치를 수행할 것을 지시할 수 있다.
DLP 엔진(116)은 파일을 하나 이상의 DLP 규칙에 대하여 검증하도록 구성되는 컴퓨터 구현 모듈일 수 있다. DLP 규칙은 파일이 기업의 DLP 정책을 위반할 때의 조건을 명시하는 데이터 및/또는 논리일 수 있다. DLP 규칙은 또한 검출된 하나 이상의 DLP 규칙의 위반에 응답하여 클라우드 서비스에 의해 수행될 수 있는 조치를 명시할 수 있다. 예로서 제한하지 않게, 그와 같은 조치는 클라우드 서비스로부터 파일을 제거하거나, 기업 사용자에게 위반에 관하여 메시지를 보내거나, 위반 상태에 있을 수 있는 파일의 임의의 백업 또는 교정본을 제거하거나, 또는 파일 또는 기업 사용자를 포함하는 임의의 다른 적절한 동작을 포함할 수 있다.
클라우드 서비스(104A 내지 104C)와 관련하여, 통지 포트(118A 내지 118C)는 각각 활동 통지를 작업 스케줄러(112)로 통신하고 백엔드 서버(114)로부터 통지 응답을 수신하도록 구성되는 컴퓨터 구현 모듈일 수 있다. 예를 들어, 클라우드 서비스(104A)는 기업에 속하는 파일이 클라우드 서비스(102A)에 의해 제공되는 클라우드 스토리지 서비스에서 생성 또는 수정될 때마다 통지 포트(118A)를 통해 활동 통지를 작업 스케줄러(112)로 통신하도록 구성될 수 있다. 활동 통지는 다음의 필드들 중 임의의 수의 필드를 포함하는 데이터 메시지일 수 있다:
클라우드 서비스 ID: 이 필드는 통지를 송신하는 제공자를 식별하고 통지 응답에 대한 복귀 목적지를 식별한다. 일부 경우에, 클라우드 서비스 ID는 균일 자원 로케이터(uniform resource locator; "URL"), 고유 코드 및 다양한 클라우드 서비스를 고유하게 식별할 수 있는 임의의 다른 적절한 데이터로서 표현될 수 있다. 예로 그리고 제한하지 않고, 클라우드 서비스 ID는 http://dropbox.com, http://app.box.com 또는 클라우드 서비스 제공자와 연관되는 임의의 다른 식별자를 명시할 수 있다. 클라우드 서비스 제공자와 연관되는 고유 자원 로케이터("URL")를 명시하는 것 외에, 클라우드 서비스 ID는 포트 번호와 같이, 통지 포트(118A)에 할당되는 식별자를 더 포함할 수 있다.
파일 ID: 이 필드는 활동 통지가 생성되고 있는 파일에 대한 파일 식별자를 식별한다. 예를 들어, 기업 사용자가 식별자 "Foo.doc"를 가지는 파일을 생성하는 경우, 파일 ID 필드는 "Foo.doc"를 명시할 수 있다. 파일 ID 필드에 의해 명시되는 파일 식별자는 반드시 파일명일 필요가 없음이 인정되어야 한다. 어떤 경우에는, 파일 식별자는 클라우드 서비스 제공자에 의해 관리유지되는 파일에 할당되는 고유 생성 번호 또는 코드일 수 있다.
기업 사용자 ID: 이 필드는 파일 ID 필드에 의해 명시되는 파일에 대한 활동을 개시한 기업 사용자를 식별한다. 기업 사용자 ID는 클라우드 서비스 제공자 내의 계정에 할당된 사용자명일 수 있다.
파일 경로: 이 필드는 DLP 분석을 위해 파일의 검색에 대한 정보를 명시한다. 일부 경우에, 파일 경로 필드는 파일 ID 필드에 의해 명시되는 파일을 검색하거나 그렇지 않으면 이 파일에 액세스하는 데 사용될 수 있는 디렉토리 구조를 명시하는 데이터를 포함할 수 있다.
파일 활동: 이 필드는 통지를 트리거(trigger)하는 파일 활동을 식별한다. 파일 활동의 예는 클라우드 스토리지 시스템 내의 새 파일의 업로드, 기존 파일의 컨텐츠의 수정, 파일과 연관되는 허가 변경, 파일명의 변경, 파일의 삭제 또는 파일 시스템에 의해 지원되는 임의의 다른 파일 동작을 포함할 수 있다.
조치: 이는 활동 통지에 포함되는 경우 빈칸일 수 있는 선택 필드이다. 이 필드의 목적은 DLP 분석 후에 클라우드 서비스 제공자가 수행할 조치를 명시하기 위해 기업(102)에 필드를 제공하는 것일 수 있다. 그러므로, 활동 필드는 기업(102)에 의해 명시되는 데이터를 포함하는 필드일 수 있다.
활동 통지(예를 들어, 작업 스케줄러(112))를 기업(102)에 송신하는 것 외에, 통지 포트(118A)는 또한 백엔드 서버(114)에 의해 통신되는 통지 응답을 수신하도록 구성될 수 있다. 일부 경우에, 통지 응답은 활동 통지에 의해 명시되는 필드 일부 또는 모두를 포함할 수 있다. 예를 들어, 통지 응답은 클라우드 서비스 ID, 파일 ID, 기업 사용자 ID, 파일 경로, 파일 활동 및 조치를 명시하는 하나 이상의 필드를 포함할 수 있다. 이 필드의 컨텐츠 및 값은 통지 응답이 대응하는 활동 통지에 의해 명시되는 값일 수 있다. 그러나, 일부 필드는 DLP 엔진(116)에 의해 명시되는 교정 조치를 명시하기 위해 백엔드 서버에 의해 업데이트될 수 있다. 교정 조치는 통지 응답의 조치 필드에 의해 명시될 수 있다. 상술한 바와 같이, 조치의 예는 클라우드 서비스로부터 파일을 제거하거나, 기업 사용자에게 위반에 관하여 메시지를 보내거나, 위반 상태에 있을 수 있는 파일의 어떠한 백업 또는 개정본도 제거하거나, 또는 파일 또는 기업 사용자를 수반하는 임의의 다른 적절한 동작을 포함할 수 있으나 이로 제한되지 않는다.
사건 기반 통합 스토리지 시스템에 대한 예의 데이터 플로우
도 2는 예의 실시예에 따른, 도 1의 통합 스토리지 시스템(100)의 데이터 흐름도이다. 일부 실시예에서, 데이터 플로우는 하나 이상의 프로세서에 의해 구현되는데, 이는 도 1에 도시되는 모듈 또는 구성요소 중 하나 이상에 의해서 실행될 수 있기 때문이다. 이에 따라, 도 2는 이를 참조하여 설명된다.
단계 1에서, 클라우드 서비스(104A)는 활동 통지를 작업 스케줄러(112)로 푸싱(pushing)한다. 활동 통지는 클라우드 서비스(104A)에 의해 유지관리되는 파일이 기업 사용자에 의해 업로드되었거나 변경되었음을 표시하는 데이터를 포함하는 필드를 포함할 수 있다. 상술한 바와 같이, 통지는 무엇보다도, 클라우드 서비스 식별자, 파일 식별자, 기업 사용자 식별자, 파일 경로 또는 파일 활동을 명시하는 데이터 필드를 포함할 수 있다. 활동 통지가 클라우드 고객(102) 및 클라우드 서비스(104A 내지 104C) 중 하나 이상 사이에서 표준화되는 데이터를 포함할 수 있음이 인정되어야 한다. 더욱이, 이 통지는 예를 들어, SSL 인증을 사용하여 신뢰성 있고 안전한 방식으로 통신될 수 있다.
단계 1의 일부로서, 작업 스케줄러(112)는 백엔드 서버(114)에 의해 검색될 활동 통지를 검증하고 작업의 형태로 큐잉(queue)한다. 상술한 바와 같이, 활동 통지, 그리고 순차적으로 작업은 클라우드 서비스(104a)로부터 파일을 검색하는 데 필요한 모든 기본 세부사항을 포함한다. 용어 작업 및 활동 통지는 일부 실시예에서 동일한 데이터 객체를 칭하고, 반면에 다른 실시예에서 이 용어들은 상이한 데이터 객체를 칭할 수 있으며 여기서 작업은 대응하는 활동 통지로부터 값을 도출하는 하나 이상의 데이터 필드를 가지는 데이터 유형인 것이 인정되어야 한다.
단계 2에서, 백엔드 서버(114)는 작업 스케줄러(112)로부터 작업을 풀링(pulling)하고, 단계 3에서, 백엔드 서버(114)는 클라우드 서비스(104a)로부터 파일을 획득하기 위해(예를 들어, 풀링 또는 다운로드에 의해) 클라우드 서비스(104A)에 접속된다. 일부 경우에, 백엔드 서버(114)는 활동 통지에 의해 명시되는 데이터 필드(예를 들어, 파일 ID, 클라우드 서비스 ID, 파일 경로 등)를 사용하여 파일을 풀링할 수 있다. 일부 실시예는 파일을 요청하고 클라우드 서비스(104a)로부터 이 파일을 수신하기 위해 SSL 인증과 같은 신뢰성 있고 안전한 통신 프로토콜을 사용할 수 있음이 인정되어야 한다.
단계 4에서, 백엔드 서버(114)는 DLP 분석을 위해 파일을 DLP 엔진(116)으로 통신한다(예를 들어, 인터넷 컨텐츠 적응 프로토콜(Internet Content Adaptation Protocol("ICAP"))과 같은 통신 프로토콜을 사용하는 것을 통해). 일부 실시예에서, 단계 4는 백엔드 서버(114)가 파일을 임시로 저장하는데 사용되었을 수도 있는 임의의 스토리지 디바이스로부터 파일의 컨텐츠를 지우는 것을 더 포함할 수 있다.
단계 5에서, DLP 엔진(116)은 파일 및 파일 컨텐츠를 하나 이상의 DLP 규칙에 대하여 분석하고 조치 응답을 선택한다. 일부 경우에, DLP 규칙은 조건 및 트리거된 응답을 명시하는 데이터 또는 논리일 수 있다. 파일의 컨텐츠 및/또는 파일의 메타데이터가 DLP 규칙에 의해 명시되는 조건에 정합하면, DLP 엔진(116)은 백엔드 서버(114)에 조치 응답을 통신할 수 있다. 그러나, 파일(예를 들어, 파일의 컨텐츠 또는 메타데이터)가 DLP 규칙 중 임의의 규칙의 조건과도 정합하지 않으면, DLP 엔진(116)은 "조치 없음" 조치 응답을 선택할 수 있다.
단계 6에서, 백엔드 서버(114)는 선택된 조치 응답을 명시하는 DLP 분석 응답을 DLP 엔진(116)으로부터 수신한다. 선택된 조치 응답을 수신하는 것에 응답하여, 백엔드 서버(114)는 이전에 단계 1에서 수신된 활동 통지에 대한 통지 응답에 선택된 조치 응답을 삽입한다. 상술한 바와 같이, 통지 응답은 활동 통지로부터 도출되는 데이터 메시지일 수 있다. 이에 따라, 단계 6은 무엇보다도 단순히 선택된 DLP 조치에 대응하는 값으로 활동 통지의 조치 필드를 업데이트하는 것을 포함할 수 있다.
단계 7에서, 백엔드 서버(114)는 통지 포트(118A)를 통해 클라우드 서비스(104A)에 접속되어 메타데이터 및 조치를 포함할 수 있는 통지 응답을 통지 포트(118a)로 푸싱한다.
단계 8에서, 클라우드 서비스(104a)는 통지 응답의 조치 필드의 값에 대응하는 교정 조치를 수행한다. 예를 들어, 클라우드 서비스(104a)는 활동 통지에 의해 표현되는 활동에 대응하는 파일을 삭제할 수 있다.
도 2에 도시되는 단계가 예의 실시예를 도시하므로 본 명세서에 의해 예상되는 다른 실시예의 범위를 제한하는 것으로 해석되지 않아야 함이 인정되어야 한다. 예를 들어, 용어 "단계"는 임의의 특정한 동작 시퀀스 또는 순서를 필요로 하는 것으로 해석되지 않아야 함이 인정되어야 한다. 도 2는 예로 그리고 제한하지 않게 "푸싱" 및 "풀링" 동작을 명시적으로 언급하는 것임이 더 인정되어야 한다. 그러므로, 본 명세서는 다른 실시예가 데이터를 "푸싱"하거나 "풀링"하는 다른 적절한 시퀀스를 사용할 수 있음을 고려한다.
도 3a 및 도 3b는 예의 실시예에 따른, DLP 지원을 통합하는 방법(300A), 방법(300B)을 도시하는 흐름도이다. 일부 실시예에서, 방법(300A), 방법(300B)은 도 2에 도 상세하게 도시된 동작들의 특징일 수 있다.
방법(300A)은 클라우드 서비스 제공자(102A)가 활동 통지를 작업 스케줄러(112)에 통신하는 동작 302에서 시작할 수 있다. 활동 통지는 클라우드 서비스(102a)에 의해 수행되는 파일 시스템 동작을 소정의 파일 또는 디렉토리에 관하여 표현할 수 있다. 상술한 바와 같이, 일부 경우에서, 활동 통지는 클라우드 서비스 제공자를 명시하는 데이터, 활동에 대응하는 파일명, 파일 경로, 활동 식별자, 기업 사용자 ID 등을 포함할 수 있다. 도 3이 도시하는 바와 같이, 동작 302는 활동 통지를 작업 스케줄러(112)로 푸싱한다; 그러나, 다른 실시예는 작업 스케줄러(112)가 클라우드 서비스(102A)의 통지 포트(118A)로부터 활동 통지를 풀링하도록 동작할 수 있다.
동작 304에서, 작업 스케줄러(112)는 클라우드 서비스(102A)에 의해 통신되는 활동 통지를 수신할 수 있다. 작업 통지를 수신하면, 작업 스케줄러(112)는 활동 통지가 신뢰성 있는 소스로부터 송신되었는지를 검증할 수 있다. 일부 실시예에서, 신뢰성 있는 소스는 보안 통신을 설정(예를 들어, SSL/TLS를 통해)하는 데 사용되는 인증을 통하여 검증된다. 다른 실시예에서, 통신과 함께 통과되는 보안 토큰(secure token)이 인증을 위해 사용될 수 있음이 인정되어야 한다.
동작 306에서, 작업 스케줄러(112)는 활동 통지의 데이터 필드를 검증할 수 있다. 예를 들어, 작업 스케줄러(112)는 데이터 필드 중 하나 이상의 무효 값을 포함하는지를 결정함으로써 활동 통지의 데이터 필드를 검증할 수 있다. 예를 들어, 활동 통지가 파일명을 분실한 경우, 작업 스케줄러(112)는 활동 통지로부터의 하나 이상의 데이터 필드가 무효하다는 것을 알릴 수 있다. 다른 예로서, 활동 통지가 디렉토리 경로를 부정확한 포맷으로 포함하면, 작업 스케줄러(112)는 디렉토리 경로가 부정확하다는 것을 알릴 수 있고, 일부 경우에, 예상되는 포맷을 명시할 수 있다.
활동 통지로부터의 데이터 필드 중 하나 이상이 무효이면, 작업 스케줄러(112)는 동작 308에서, 에러 메시지를 클라우드 서비스(102A)로 통신할 수 있다. 에러 메시지는 어떤 데이터 필드가 무효인지, 그리고 상기 데이터 필드가 왜 무효인지를 식별하는 기술(description)을 포함할 수 있다. 동작 310에서, 클라우드 서비스(102A)는 예를 들어 원래의 제출본으로부터 분실한 정보를 입력함으로써 에러를 해소할 수 있다.
다시 동작 306으로 돌아와서, 다른 한편으로, 데이터 필드가 무효 대신에 유효하다고 작업 스케줄러(112)가 결정하면, 작업 스케줄러(112)는 동작 312에서 활동 통지를 표현하는 작업을, 작업 스케줄러에 또는 DLP 엔진(116)에 의해 프로세싱되어야 할 작업 모음을 관리하는 임의의 다른 적절한 데이터 구조에 추가한다. 작업은 활동 통지에 의해 명시되는 데이터 필드 중 하나 이상을 가질 수 있다.
동작 314에서, 백엔드 서버(114)는 작업 스케줄러(112)로부터 작업을 획득한다. 그 후에, 동작 316에서, 백엔드 서버(114)는 클라우드 서비스(102a)로부터 검출되는 활동에 관련되는 파일을 획득할 수 있다. 일부 실시예에서, 클라우드 서비스(102)로부터 파일을 획득하는 것은 백엔드 서버(114)가 작업으로부터 데이터를 파싱(parsing)하고 그 후에 데이터를 사용하여 클라우드 서비스(102A)에 의해 노출되는 파일 시스템 인터페이스를 통해 파일에 액세스하는 것을 포함할 수 있다. 예를 들어, 백엔드 서버(114)는 파일 요청을 클라우드 서비스(102A)에 통신할 수 있고, 여기서 파일 요청은 무엇보다도, 파일명, 파일 경로, 기업 사용자 ID 등을 포함할 수 있다. 파일 요청으로부터의 정보를 사용하여, 클라우드 서비스(102A)는 동작 317에서, 파일(또는 파일들)을 백엔드 서버(114)로 송신할 수 있다.
방법(300A, 300B)의 나머지를 도시하는 도 3b로 전환하면, 동작 318은 DLP 분석 단계를 시작할 수 있다. 예를 들어, 동작 318에서, 백엔드 서버(114)는 DLP 분석을 위해 파일(또는 파일들)을 DLP 엔진(116)으로 통과시킬 수 있다. 일단 DLP 엔진(116)이 파일(또는 파일들)을 수신하면, 백엔드 서버(114)는 스토리지로부터 파일(또는 파일들)을 삭제할 수 있다. 그러므로, 클라우드 서버(102A)로부터의 백엔드 서버(114)로부터 획득되는 파일(또는 파일들)은 메모리 내에서 단지 제한된 시간 동안에만 유지된다.
일단 DLP 엔진(116)이 백엔드 서버(114)로부터 파일(또는 파일들)을 수신하면, DLP 엔진(116)은 하나 이상의 DLP 규칙에 기초하여 파일(또는 파일들)을 분석할 수 있다. 이것이 동작 320으로 도시되어 있다. 상술한 바와 같이, 예의 DLP 규칙은 파일이 기업의 정책을 위반할 수 있는 조건을 명시할 수 있다. DLP 규칙은 파일(또는 파일들)이 기업의 정책을 위반하는 것을 검출하는 것에 응답하여 클라우드 서비스(102A)가 수행해야 하는 조치를 더 명시할 수 있다. DLP 규칙의 예의 실시예는 사회 보장 번호, 금융 데이터(예를 들어, 신용 카드 번호, 자기 스트라이프 데이터 등), 사용자명 및 비밀번호 쌍, 소유자 정보, 라이센스 데이터(예를 들어, 저작물) 또는 데이터가 악용되는 경우 기업을 손상시킬 수 있는 임의의 다른 데이터와 같은 기밍 데이터를 식별하도록 구성되는 데이터 또는 논리를 포함할 수 있다.
동작 322에서, 백엔드 서버(114)는 DLP 엔진(116)으로부터 선택된 조치를 수신한다. 일부 경우에, 선택된 조치는 선택된 조치가 동작 318에서 DLP 엔진(116)으로 넘어간 파일을 분석하는 데 사용되는 작업으로 역으로 매핑(mapping)되는 방식으로 수신될 수 있다. 예를 들어, 파일을 DLP 엔진(116)으로 넘기는 것은 결과(예를 들어, 선택되는 조치)에 기초하여 차단되는 함수 호출일 수 있다. 다른 경우에, 선택되는 조치는 파일을 DLP 엔진(116)으로 송신한 메시지로 매핑되는 식별자, 파일에 대응하는 작업에 매핑되는 식별자, 활동 통지에 매핑되는 식별자 또는 임의의 다른 메시지와 함께 백엔드 서버(114)로 통신될 수 있다.
동작 324에서, 백엔드 서버(114)는 그 후에 통지 결과를 생성하고 통지 결과는 그 후에 클라우드 서비스(102A)로 통신된다. 통지 결과는 DLP 엔진(116)에 의해 선택되는 조치를 포함할 수 있다. 통지 결과는 또한 파일명, 파일 경로, 기업 사용자 ID 등을 명시하는 데이터 필드와 같은, 활동 통지에 의해 명시되는 하나 이상의 데이터 필드를 포함할 수 있다.
동작 326에서, 클라우드 서비스(104A)는 백엔드 서버(114)로부터 통지 결과를 수신한다. 그리고 나서, 동작 328에서, 클라우드 서비스(102A)는 통지 결과로부터 선택되는 조치를 식별하고 그 후에 활동 통지를 개시한 파일에 대해 선택된 조치를 수행한다. 예를 들어, 클라우드 서비스(102A)는 통지 결과에 의해 명시되는 파일을 제거할 수 있거나 또는 부적절한 활동의 사용자에게 경고를 보낼 수 있다. 일부 경우에, 클라우드 서비스(102A)가 선택된 조치를 수행한 후에, 클라우드 서비스는 선택된 조치를 수행했음을 기업에게 통지할 수 있다. 이것은 동작 330으로 도시된다.
도 3이 도시하는 바와 같이, 클라우드 서비스(102A), 작업 스케줄러(112), 백엔드 서버(114) 및 DLP 엔진(116)은 각각 방법(300A, 300B)을 수행하는 것의 일부로서 하나 이상의 리포트를 생성할 수 있다. 예를 들어, 클라우드 서비스(102A)는 조치의 유형에 따라 조직될 수 있는 바에 따른, 수행되는 파일 조치의 수에 대해 추적하고 리포팅하는 클라우드 서비스 리포트(340)를 생성하도록 구성될 수 있다. 예를 들어, 클라우드 서비스 리포트(340)는 X 개의 파일들이 제거되었고, X 개의 경고가 사용자에 대해 생성되었고, 기타 등등을 표현하는 데이터를 포함할 수 있다.
작업 스케줄러(112)는 수신되는 활동 통지의 수(가능한 경우 소정의 시간 기간에 걸친), 현재 큐잉되어 있는 작업의 수, 소정의 시간 기간에 걸쳐 프로세싱되는 작업들의 수, 비준수 통지의 수 등 중에서 하나 이상을 추적하고 보고하는 작업 스케줄러 리포트(342)를 생성하도록 구성된다. 일부 실시예에서, 작업 스케줄러(112)는 데이터가 클라우드 서비스 식별자, 기업 사용자, 파일, 활동 통지 내의 비준수 에러의 유형 등과 같은 다양한 유형의 데이터에 따라 조직되도록 작업 스케줄러 리포트(342)를 생성할 수 있다.
백엔드 서버(114)는 파일 활동의 수, 생성되는 조치 및 에러 중에서 하나 이상을 추적하고 보고하는 서비스 리포트(344)를 생성하도록 구성될 수 있다. 일부 실시예에서, 백엔드 서버(114)는 데이터가 사용자 ID, 파일명, 조치 유형, 에러 유형 등에 따라 조직되도록 서비스 리포트(344)를 생성할 수 있다.
DLP 엔진(116)은 사고(incident)의 수, 사용자, 클라우드 서비스 제공자, 파일, 활동 유형 등 중에서 하나 이상을 추적하고 보고하는 DLP 리포트를 생성하도록 구성될 수 있다.
도 3a 및 도 3b에 도시되는 방법(300A, 300B)은 일부 실시예에 의해 클라우드 서비스를 활용하여 데이터 파일 및 컨텐츠를 저장하는 시스템에서 DLP 정책을 시행하는 데 사용될 수 있음이 인정되어야 한다. 일부 경우에, 기업이 DLP 정책을 시행하는 데 사용되는 컴퓨터 자원을 제한하려고 하는 경우에 일부 실시예는 방법(300A, 300B)을 수행할 수 있다. 그것이 그러할 수 있는 것은 파일 동작이 DLP 분석을 트리거할 수 있는 파일에 대해 수행될 때 기업의 컴퓨터 시스템이 통지를 받기 때문이다.
요구시 스캔을 수행하기 위한 통합 스토리지 시스템
지금까지, 본 출원의 많은 부분은 클라우드 서비스에 의해 저장되어 있는 파일에 대해 기업의 DLP 프로세스를 개시하기 위하여 이 클라우드 서비스가 활동 통지를 송신하는 사건 기반 방법에 초점을 맞췄다. 그러나, 본 발명은 일부 경우에 기업이 클라우드 서비스에 의해 저장되어 있는 파일에 대해 기업의 DLP 프로세스를 개시할 수 있음을 더 고려한다. 예를 들어, 일부 실시예는 기업이 사용자 셰어(share)를 마운팅(mounting)하고 그 후에 마운팅된 사용자 셰어에 대해 스캔을 진행함으로써 DLP 프로세스를 개시하도록 동작할 수 있다. 일부 경우에서, 이 스캔은 요구 시에 수행되거나 주기적으로(예를 들어, 매일, 주간으로, 격주로, 월간으로 그리고 기타 등등) 진행되도록 스케줄링(scheduling)될 수 있다. 기업 구동 방법이 이제 기술된다.
도 4는 예의 실시예에 따른, 클라우드 서비스 상에 저장되어 있는 파일에 대한 기업 구동 스캔을 구현하는 통합 스토리지 시스템(400)의 데이터 흐름도이다. 도 4에 도시되는 바와 같이, 통합 스토리지 시스템(400)은 클라우드 서비스(104A), 시행 서버(402) 및 DLP 발견 서버(404)를 포함할 수 있다. 시행 서버(402)는 발견 스캔 태스크(task)를 생성하고, 수정하고 그리고 다른 방식으로 관리하기 위한 인터페이스를 제공하도록 구성되는 컴퓨터 구현 모듈일 수 있다. DLP 발견 서버(404)는 발견 스캔 태스크를 실행하고 이 결과를 보고하도록 구성되는 모듈일 수 있다. 시행 서버(402) 및 DLP 발견 서버(404)는 도 1의 기업(102)의 컴퓨터 시스템의 일부를 형성할 수 있다.
단계 1에서, 시행 서버(402)는 기존 발견 스캔 태스크의 커스텀화(customization) 또는 새로운 발견 스캔 태스크의 개발을 촉진한다. 예를 들어, 시행 서버(402)는: 사용자 셰어의 목록에 사용자 셰어를 추가하거나, 발견 스캔의 일부로서 진행될 DLP 규칙을 규정하거나 또는 그렇지 않으면 선택하거나, 사고 리포트를 보거나 또는 발견 스캔을 스케줄링하거나 요청하는 것 등을 행하기 위하여 DLP 관리자에게 하나 이상의 사용자 인터페이스(user interface; "UI")를 제공할 수 있다.
단계 2에서, 시행 서버(402)는 발견 스캔 태스크의 실행을 위해 적절한 DLP 발견 서버(404)에 발견 스캔 태스크를 배치한다. 일부 경우에, 기업은 통합 스토리지 시스템(400)에 의해 실행되는 발견 스캔 태스크를 분산시키고 이 태스크 부하의 균형을 유지하도록 구성되는 다수의 DLP 발견 서버를 포함할 수 있다.
단계 3에서, DLP 발견 서버(404)는 발견 스캔 태스크에서 제 1 사용자 셰어를 마운팅한다. 제 1 사용자 셰어를 마운팅함으로써 사용자 셰어가 DLP 발견 서버(404) 상에서 실행되는 운영 시스템의 파일 시스템을 통하여 액세스되는 것이 가능해진다. 일부 경우에, DLP 발견 서버(404)는 클라우드 서비스(104A)에 의해 노출되는 WebDAV 기능을 사용하여 사용자 셰어를 마운팅할 수 있다. 웹 기반 분산형 문서 공동 작성(Web based Distributed Authoring and Versioning)의 줄임말인 WebDAV는 사용자가 원격 웹 서버 상에서 협업으로 파일을 편집 및 관리하도록 하는 HTTP에 대한 플랫폼 독립적 확장형의 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force; "IETF") 표준 세트이다. WebDAV는 메타데이터에 대한 확장 마크업 언어(Extensible Markup Language; "XML") 속성을 특징으로 하여, 이름공간 조작 및 원격 파일 관리에 대해 락(lock)을 건다-이는 저작자가 서로의 변경을 중복기록(overwrite)하는 것을 방지한다-.
단계 4에서, DLP 발견 서버(404)가 사용자 셰어를 마운팅한 후에, DLP 발견 서버(404)는 클라우드 서비스(104A) 상의 사용자 셰어로부터 파일을 풀링하고 적절한 때 사고 리포트를 생성하기 위해 파일을 구성되어 있는 정책 및 규칙에 대하여 조사한다.
단계 5에서, 파일을 구성되어 있는 정책 및 규칙에 대하여 조사한 후에, DLP 발견 서버(404)는 사용자 셰어를 마운트 해제(unmount)하고나서 목록 내의 다음 셰어를 마운팅하기 위해 단계 1로 회귀한다. 일부 실시예에서, DLP 발견 서버(404)는 목록 내의 다음 셰어를 마운팅하는 시도를 행하기 전에 구 사용자 셰어가 성공적으로 마운트 해제되었는지를 검증하는 하나 이상의 테스트를 수행한다.
단계 6에서, DLP 발견 서버(404)에 의해 사고가 검출될 때 이 사고는 사고 데이터베이스(420)로 송신되고 필요할 때 사고를 검토하고 교정하기 위해 시행 서버(402)에서 뷰잉(viewing)될 수 있다.
도 5a 및 도 5b는 예의 실시예에 따른, 요구시 스캔을 수행하는 방법(500A, 500B)을 도시하는 흐름도이다. 도 5a 및 도 5b가 도시하는 바와 같이, 방법(500A, 500B)의 동작은 시행 서버(402), DLP 발견 서버(404) 및 클라우드 서비스(104A)에 의해 수행될 수 있다. 일부 실시예에서, 방법(500A, 500B)은 도 4에서 상세하게 도시된 동작의 특징이 된다.
방법(500A)은 발견 스캔 태스크가 실행되도록 스케줄링되어 있음을 시행 서버(402)가 검출하는 동작 502에서 시작할 수 있다. 예를 들어, DLP 관리자는 클라우드 서비스(104A) 내에 저장되어 있는 사용자 셰어를 스캔하기 위하여 발견 스캔 태스크를 생성하였다. 일부 예에서, 발견 스캔 태스크는 개시 시간과 연관될 수 있다. 그러므로, 동작 502의 일부로서, 시행 서버(402)는 발견 스캔 태스크가 실행되도록 스케줄링되어 있음을 검출하기 위해 클럭은 발견 스캔 태스크 동안의 특정한 개시 시간과 비교할 수 있다. 다른 경우에, DLP 관리자는 단지 요구시에 발견 스캔 태스크가 실행될 것을 요구할 수 있다. 그러므로, 동작 502의 일부로서, 시행 서버(402)는 발견 스캔 태스크가 실행되도록 스케줄링되어 있음을 검출하기 위하여 발견 스캔 태스크를 진행하라는 요청을 수신할 수 있다.
발견 스캔 태스크가 실행되도록 스케줄링되어 있음을 검출하는 것에 응답하여, 시행 서버(402)는 동작 504에서 DLP 발견 서버(404)에 발견 스캔 태스크를 배포할 수 있다. 일부 경우에, 발견 스캔 태스크는 기업의 내부 네트워크를 통하여 통신될 수 있다.
동작 506에서, DLP 발견 서버(404)는 발견 스캔 태스크를 수신한다. DLP 발견 서버(404)는 임의의 수의 데이터 구조 및 스케줄링 알고리즘을 사용하여 발견 스캔 태스크를 큐잉할 수 있다. 설명을 명확하게 하기 위해, 발견 스캔 태스크는 선입선출(first-in-first-out) 대기열에 큐잉될 수 있다. 다른 경우에, 발견 스캔 태스크는 스케줄링 알고리즘을 가중하는 우선순위를 사용하여 큐잉될 수 있다.
동작 508에서, DLP 발견 서버(404)는 스캔할 사용자 셰어의 목록을 로딩함으로써 발견 스캔 태스크를 초기화할 수 있다. 사용자 셰어의 목록을 로딩하는 것은 DLP 발견 서버(404)가 발견 스캔 태스크를 실행하는 것의 일부로서 스캔될 사용자 셰어를 식별하기 위하여 발견 스캔 태스크를 파싱하는 것을 포함할 수 있다.
동작 510에서, DLP 발견 서버(404)는 발견 스캔 태스크에 기재된 첫번째 사용자 셰어가 마운팅될 것을 요청하기 위하여 클라우드 서비스(104A)에 마운트 요청을 송신할 수 있다. 일부 실시예에서, 클라우드 서비스(104A)에 마운트 요청을 송신하는 것은 첫번째 사용자 셰어 태스크를 식별하기 위해 DLP 발견 서버(404)가 발견 스캔 태스크를 파싱하는 것을 포함할 수 있다. 사용자 셰어 태스크는 인가/인증 크레덴셜(credential), 클라우드 서비스 식별자, 사용자 셰어 식별자 등을 명시하는 데이터 필드를 포함할 수 있다. 제 1 사용자 셰어 태스크에 의해 명시되는 데이터 필드로부터, DLP 발견 서버(404)는 사용자 셰어를 마운팅하기 위해 WebDAV 호출을 생성할 수 있고, 여기서 사용자 셰어를 마운팅하기 위한 WebDAV 호출은 크레덴셜과 같이, 제 1 사용자 셰어 태스크에 의해 명시되는 하나 이상의 필드를 포함할 수 있다. WebDAV 호출은 그 후에 제 1 사용자 스캔 태스크의 클라우드 서비스 식별자에 대응하여 클라우드 서비스에 통신할 수 있다.
설명을 하기 위한, 그러한 제한하지 않을 목적으로, 클라우드 서비스(104A)에 송신되는 마운트 요청의 하나의 예가 다음 또는 유사한 마운트 명령어를 사용하여 표현될 수 있다: mount.davfs-uid=userID http://cloudserviceID.com lacalDir. 'mount.davfs'는 DLP 발견 서버(404)의 운영 시스템에 의해 사용되는 국지의 파일 시스템 상에 사용자 셰어를 마운팅하는 운영 시스템 명령어일 수 있다. 'uid=userID'는 사용자 셰어의 사용자를 명시하는 이름 값 쌍일 수 있다. 이름 값 쌍의 'userID' 부분은 userID 필드에서 사용자 셰어 태스크에 명시될 수 있다. 'http://cloudserviceID.com'은 클라우드 서비스를 식별하는 마운트 요청의 파라미터일 수 있다(예를 들어, http://cloudserviceID.com). 'localDir'는 WebDAV 자원이 마운팅된 마운트 지점을 명시하는 파라미터일 수 있다. localDir는 절대 또는 상대 경로로서 표현될 수 있다.
마운트 요청을 수신하면, 클라우드 서비스(104A)는 사용자의 허가 및 크레덴셜을 검증할 수 있는데, 이것이 마운트 명령어 내에서 송신될 수 있기 때문이다. 이것은 동작 512로서 도시된다. 결정 514에서, 클라우드 서비스(104A)는 크레덴셜이 유효한지를 결정할 수 있다. 유효하지 않으면, 클라우드 서비스(104A)는 동작 516에서, 마운트 명령어가 실패했음을 통지한다. 그렇지 않으면, 클라우드 서비스(104A)는 결정 518을 수행하고 사용자가 사용자 셰어에 액세스하는 것을 허가를 받았는지를 결정한다. 사용자가 사용자 셰어에 대한 액세스 허가를 받지 않았으면, 클라우드 서비스(104A)는 DLP 발견 서버(404)에게 마운트 명령어를 통해 송신된 허가에 에러가 있었음을 통지할 수 있다. 이것은 동작 520으로 도시된다. 한편, 사용자가 사용자 셰어에 액세스하는 허가를 받았으면, 클라우드 서비스(104A)는 동작 522에서, DLP 발견 서버(404)가 DLP 발견 서버(404)의 국지의 파일시스템에 사용자 셰어를 마운팅하는 것을 가능하게 한다.
방법(500A, 500B)의 나머지를 도시하는 도 5b로 전환하면, DLP 발견 서버(404)는 그 후에 DLP가 사용자 셰어를 마운팅할 때 동작 524에서 사용자 셰어를 스캐닝하는 것을 시작할 수 있다. 동작 524는 마운트 명령어가 성공적으로 완료되었다는 표시를 DLP 발견 서버(404)가 수신하는 것을 포함할 수 있다.
일단 DLP 발견 서버(404)가 DLP 발견 서버(404)의 국지의 파일시스템에 사용자 셰어를 성공적으로 마운팅하면, DLP 발견 서버(404)는 동작 526에서, 클라우드 서비스(104A)의 사용자 셰어에 저장되어 있는 파일을 풀링한다. 클라우드 서비스(104A)의 사용자 셰어에 저장되는 있는 파일을 풀링하는 것은 DLP 발견 서버(404)가 파일을 식별하고 식별된 파일의 컨텐츠를 판독하기 위한 파일시스템 명령어를 발행하는 것을 포함할 수 있다.
동작 528에서, DLP 발견 서버(404)는 사용자 셰어로부터 획득되는 파일을 DLP 규칙에 대하여 분석할 수 있다. 일부 경우에, 사용자 셰어 태스크 또는 발견 스캔 태스크는 스캔에 사용될 수 있는 DLP 규칙을 명시하는 하나 이상의 데이터 필드를 포함할 수 있다. 그와 같은 경우에, DLP 규칙은 사용자 셰어 태스크 또는 발견 스캔 태스크에 의해 명시되는 규칙으로 제한될 수 있다. 일부 실시예에서, DLP 발견 서버(404)는 스캔 시에 진행되어야 할 DLP 규칙을 선택할 수 있다. 예를 들어, DLP 발견 서버(404)는 동작 528에서 분석되는 모든 파일에 대하여 진행되는 DLP 규칙들의 모음을 관리할 수 있다.
DLP 규칙에 대한 사용자 셰어의 파일의 분석에 기초하여, DLP 발견 서버(404)는 하나 이상의 위반을 검출할 수 있다. 이것은 동작 530으로 도시된다. 또한 동작 530의 일부로서, DLP 발견 서버(404)는 사고를 일으킬 수 있다. 사고는 DLP 규칙의 위반을 특징짓는 기록일 수 있다. 그와 같은 사고는 사용자(예를 들어, 사용자 식별자), 파일명, 클라우드 서비스(예를 들어, 클라우드 서비스 식별자), 파일에 대한 디렉토리, 위반을 표현하는 데이터, 타임 스탬프, 사용자 셰어 태스크 또는 발견 스캔 태스크와 연관되는 식별자를 명시할 수 있다. 사고는 동작 532에서 사고 데이터베이스(420)에 저장된다.
결정 534에서, DLP 발견 서버(404)는 동작 510에서 선택된 사용자 셰어 내의 모든 파일이 스캔되었는지를 결정한다. 예 이면 DLP 발견 서버(404)는 동작 534에서, 사용자 셰어를 마운트 해제하고; 그렇지 않으면, DLP 발견 서버(404)는 동작 526 및 후속 동작을 다시 실행함으로써 방법(500B)을 계속한다.
동작 536에서 사용자 셰어를 마운트 해제한 후, DLP 발견 서버(404)는 결정 538에서, 사용자 셰어가 국지의 파일시스템으로부터 성공적으로 마운트 해제되었는지를 결정한다. 사용자 셰어가 국지의 파일시스템으로부터 성공적으로 마운트 해제되지 않았으면, DLP 발견 서버(404)는 동작 536에서 방법(500B)을 계속할 수 있고; 그렇지 않으면, DLP 발견 서버(404)는 결정 540에서, 스캔되어야 하는 더 많은 사용자 셰어가 있는지를 결정할 수 있는데, 이는 발견 스캔 태스크에서 표시될 수 있기 때문이다. 스캔될 사용자 셰어가 더 이상 존재하지 않는다고 DLP 발견 서버(404)가 결정하면, DLP 발견 서버는 스캔이 완료된 것을 알린다. 이는 동작 542로 도시된다. 스캔이 완료되었음을 알리는 것은 DLP 발견 서버(404)가 시행 서버(402)로 스캔이 완료되었다는 메시지를 송신하는 것을 포함할 수 있다. 메시지는 스캔이 성공적으로 완료되었거나 사고를 지니고 완료되었음을 나타낼 수 있다. 스캔될 사용자 셰어가 더 있다고 DLP 발견 서버(404)가 결정하면, DLP 발견 서버(404)는 동작 524에서 방법(500B)을 계속할 수 있다.
도 5b가 도시하는 바와 같이, 동작 544에서, 시행 서버(402)는 발견 스캔 태스크의 실행 동안 검출되는 사고를 요약하는 사고 리포트를 생성할 수 있다. 예를 들어, 일부 경우에, 사고 리포트는 사고 데이터베이스에 저장되어 있는 사고 기록으로부터 발견되거나 또는 그와는 달리 도출되는 데이터를 포함할 수 있다. 사고 리포트는 사용자 식별자, 사고 유형, 파일명, 디렉토리, 교정 조치 등에 기초하여 사고 기록에서 발견되는 데이터를 조직할 수 있다.
도 5a 및 도 5b에서 도시되는 방법(500A, 500B)은 클라우드 서비스를 활용하여 데이터 파일 및 컨텐츠를 저장하는 시스템에서 DLP 정책을 시행하기 위하여 일부 실시예에 의해 사용될 수 있음이 인정되어야 한다. 일부 경우에, 일부 실시예는 기업이 기업의 DLP 정책의 시행을 지원하기 위해 클라우드 서비스에 의해 요구되는 DLP 기능을 제한하고자 하는 경우 방법(500A, 500B)을 수행할 수 있다. 예를 들어, 일부 경우에, 기업 시스템은 사용자 셰어를 마운팅하고, 파일을 다운로드하고, 그리고 그 후에 다운로드된 파일에 대하여 스캔을 수행하는 데 WebDAV 기능을 사용할 수 있다.
예시의 컴퓨터 시스템
도 6은 머신의 도식적 표현을 머신로 하여금 본원에서 논의되는 방법 중 임의의 하나 이상을 수행하도록 하는 명령어의 세트가 실행될 수 있는 컴퓨터 시스템(600)의 예의 형태로 도시한다. 대안의 실시예에서, 머신은 단독형 디바이스로서 동작하거나 다른 머신에 접속(예를 들며, 네트워크화)될 수 있다. 네트워크화된 배치에서, 머신은 서버-클라이언트 네트워크 환경에서 서버 또는 클라이언트 머신의 자격으로, 또는 피어 투 피어(peer-to-peer)(또는 분산형) 네트워크 환경에서 피어 머신로서 동작할 수 있다. 머신은 개인용 컴퓨터(PC), 태블릿 PC, 셋톱박스(set-top box; STB), 개인용 디지털 보조장치(Personal Digital Assistant; PDA), 셀룰러 전화기, 웹 어플라이언스(web appliance), 네트워크 라우터, 스위치 또는 브릿지, 또는 상기 머신에 의해 취해질 조치를 명시하는 명령어의 세트(순차식 또는 다른 방식)를 실행할 수 있는 임의의 머신일 수 있다. 게다가, 단지 단일 머신만이 도시될지라도, 용어 "머신"는 또한 본원에서 논의되는 방법 중 임의의 하나 이상을 수행하는 명령어의 세트(또는 다수의 세트)를 개별적으로 또는 공동으로 실행하는 임의의 머신들의 집합을 포함하는 것으로 취해질 수 있을 것이다.
예의 컴퓨터 시스템(600)은 프로세서(602)(예를 들어, 중앙 처리 장치(central processing unit; CPU), 그래픽 처리 장치(graphics processing unit; GPU) 또는 이 둘 모두), 주 메모리(604) 및 정적 메모리(606)를 포함하고, 이들은 서로 버스(608)를 통해 통신된다. 컴퓨터 시스템(600)은 비디오 디스플레이 유닛(610)(예를 들어, 액정 디스플레이(liquid crystal display; LCO) 또는 음극선관(cathode ray tube; CRT))를 더 포함할 수 있다. 컴퓨터 시스템(600)은 또한 문자 입력 디바이스(612)(예를 들어, 키보드), 사용자 인터페이스(user interface; UI), 내비게이션 디바이스(614)(예를 들어, 마우스), 디스크 드라이브 유닛(616), 신호 생성 디바이스(618)(예를 들어, 스피커) 및 네트워크 인터페이스 디바이스(620)를 포함한다.
디스크 드라이브 유닛(616)은 본원에서 기술되는 방법 또는 기능 중 임의의 하나 이상을 구현하거나 이들에 의해 사용되는 하나 이상의 명령어의 세트 및 데이터 구조(예를 들어, 소프트웨어(624))가 저장되는 머신 판독 가능 매체(622)를 포함한다. 소프트웨어(624)는 또한 컴퓨터 시스템(600)에 의해 소프트웨어가 실행되는 동안 주 메모리(604) 및/또는 프로세서(602) 내에 전적으로 또는 적어도 부분적으로 상주할 수 있고, 주 메모리(604) 및 프로세서(602)는 또한 머신 판독 가능 매체를 구성한다.
소프트웨어(624)는 게다가 다수의 널리 공지되어 있는 전송 프로토콜 중 임의의 하나(예를 들어, HTTP)를 사용하여 네트워크 인터페이스 디바이스(620)를 매개로 네트워크(626)를 통하여 전송 또는 수신될 수 있다.
머신 판독 가능 매체(622)가 예의 실시예에서 단일 매체인 것으로 도시되지만, 용어 "머신 판독 가능 매체"는 하나 이상의 명령어의 세트를 저장하는 단일 매체 또는 다중 매체(예를 들어, 중앙집중형 또는 분산형 데이터베이스 및/또는 연관되는 캐시(cache) 및 서버)를 포함하는 것으로 취해져야 한다. 용어 "머신 판독 가능 매체"는 또한 머신이 실행하기 위한 명령어의 세트를 저장, 인코딩 또는 운반할 수 있고 머신로 하여금 본 발명의 방법 중 임의의 하나 이상을 수행하도록 하는, 또는 그와 같은 명령어의 세트에 의해 또는 이 세트와 연관되는 데이터 구조를 저장, 인코딩 또는 운반할 수 있는 임의의 매체를 포함하는 것으로 취해질 수 있을 것이다. 용어 "머신 판독 가능 매체"는 따라서 고체 메모리, 광 및 자기 매체 및 반송파 신호를 포함하나 이로 제한되지 않는 것으로 취해질 수 있을 것이다.

Claims (21)

  1. 컴퓨터로 구현되는 시스템으로서,
    하나 이상의 프로세서에 의해 구현되고 기업을 대신하여 데이터를 저장하는 클라우드 서비스(cloud service)로부터 활동 통지(an activity notification)를 검출하도록 구성되는 작업 스케줄러(job scheduler)―상기 활동 통지는 파일명을 명시함―와,
    상기 하나 이상의 프로세서에 의해 구현되고 상기 활동 통지에 의해 명시되는 상기 파일명을 사용하여 상기 클라우드 서비스로부터 파일을 다운로드하도록 구성되는 백엔드 서버(backend server)와,
    상기 하나 이상의 프로세서에 의해 구현되고 상기 파일을 데이터 손실 방지 규칙에 대하여 분석하도록 구성되는 데이터 손실 방지 엔진(data loss prevention engine)을 포함하고,
    상기 백엔드 서버는 상기 파일의 분석의 결과에 응답하여, 상기 클라우드 서비스에 조치 응답(an action response)을 통신하도록 더 구성되고, 상기 조치 응답은 상기 클라우드 서비스에게 상기 클라우드 서비스에 의해 저장되어 있는 상기 파일에 대해 조치를 수행할 것을 지시하는
    컴퓨터로 구현되는 시스템.
  2. 제 1 항에 있어서,
    상기 작업 스케줄러는 상기 활동 통지를 수신하는 것에 응답하여, 상기 클라우드 서비스로부터 상기 파일을 다운로드하기 전에 대기열(a queue) 내에 상기 활동 통지를 저장하도록 더 구성되는
    컴퓨터로 구현되는 시스템.
  3. 제 1 항에 있어서,
    상기 활동 통지는 클라우드 서비스 식별자, 기업 사용자 식별자, 파일 경로 또는 파일 활동 중 적어도 하나를 더 명시하는
    컴퓨터로 구현되는 시스템.
  4. 제 3 항에 있어서,
    상기 백엔드 서버는 상기 파일명 및 상기 기업 사용자 식별자를 포함하는 파일 요청을 상기 클라우드 서비스에 송신함으로써 상기 클라우드 서비스로부터 상기 파일을 다운로드하도록 구성되는
    컴퓨터로 구현되는 시스템.
  5. 제 3 항에 있어서,
    상기 백엔드 서버는 상기 클라우드 서비스 식별자를 사용하여 상기 클라우드 서비스를 선택하는 것에 기초하여 상기 클라우드 서비스에 파일 요청을 송신함으로써 상기 클라우드 서비스로부터 상기 파일을 다운로드하도록 구성되는
    컴퓨터로 구현되는 시스템.
  6. 제 5 항에 있어서,
    상기 클라우드 서비스 식별자는 균일 자원 로케이터(uniform resource locator)인
    컴퓨터로 구현되는 시스템.
  7. 제 1 항에 있어서,
    상기 조치 응답은 상기 활동 통지에 의해 명시되는 상기 파일명을 포함하는
    컴퓨터로 구현되는 시스템.
  8. 제 1 항에 있어서,
    상기 백엔드 서버는,
    상기 다운로드된 파일을 상기 데이터 손실 방지 엔진으로 송신하고,
    상기 다운로드된 파일이 상기 데이터 손실 방지 엔진으로 송신된 후에 상기 다운로드된 파일의 카피를 삭제하도록 더 구성되는
    컴퓨터로 구현되는 시스템.
  9. 제 1 항에 있어서,
    상기 데이터 손실 방지 엔진은 상기 파일이 사회 보장 번호(social security number)를 나타내는 데이터를 포함하는지 여부를 결정하기 위하여 상기 데이터 손실 방지 규칙을 사용하여 상기 파일을 분석하도록 구성되는
    컴퓨터로 구현되는 시스템.
  10. 제 1 항에 있어서,
    상기 데이터 손실 방지 엔진은 상기 파일이 금융 데이터(financial data)를 나타내는 데이터를 포함하는지 여부를 결정하기 위해 상기 데이터 손실 방지 규칙을 사용하여 상기 파일을 분석하도록 구성되는
    컴퓨터로 구현되는 시스템.
  11. 컴퓨터로 구현되는 방법으로서,
    기업을 대신하여 데이터를 저장하는 클라우드 서비스로부터, 파일명을 명시하는 활동 통지를 검출하는 단계와,
    상기 활동 통지에 의해 명시되는 상기 파일명을 사용하여 상기 클라우드 서비스로부터 파일을 다운로드하는 단계와,
    하나 이상의 프로세서에 의해, 상기 파일을 데이터 손실 방지 규칙에 대하여 분석하는 단계와,
    상기 데이터 손실 방지 규칙으로부터의 결과에 기초하여, 상기 클라우드 서비스에 조치 응답을 통신하는 단계를 포함하고,
    상기 조치 응답은 상기 클라우드 서비스에게 상기 클라우드 서비스에 의해 저장되어 있는 상기 파일에 대해 조치를 수행하도록 지시하는
    컴퓨터로 구현되는 방법.
  12. 제 11 항에 있어서,
    상기 활동 통지를 수신하는 것에 응답하여, 상기 클라우드 서비스로부터 상기 파일을 다운로드하기 전에 대기열 내에 상기 활동 통지를 저장하는 단계를 더 포함하는
    컴퓨터로 구현되는 방법.
  13. 제 11 항에 있어서,
    상기 활동 통지는 클라우드 서비스 식별자, 기업 사용자 식별자, 파일 경로 또는 파일 활동 중 적어도 하나를 더 명시하는
    컴퓨터로 구현되는 방법.
  14. 제 13 항에 있어서,
    상기 클라우드 서비스로부터 상기 파일을 다운로드하는 단계는 상기 파일명 및 상기 기업 사용자 식별자를 포함하는 파일 요청을 상기 클라우드 서비스에 송신하는 단계를 더 포함하는
    컴퓨터로 구현되는 방법.
  15. 제 13 항에 있어서,
    상기 클라우드 서비스로부터 상기 파일을 다운로드하는 단계는 상기 클라우드 서비스 식별자를 사용하여 상기 클라우드 서비스를 선택하는 것에 기초하여 파일 요청을 상기 클라우드 서비스에 송신하는 단계를 더 포함하는
    컴퓨터로 구현되는 방법.
  16. 제 15 항에 있어서,
    상기 클라우드 서비스 식별자는 균일 자원 로케이터(uniform resource locator)인
    컴퓨터로 구현되는 방법.
  17. 제 11 항에 있어서,
    상기 조치 응답은 상기 활동 통지에 의해 명시되는 상기 파일명을 포함하는
    컴퓨터로 구현되는 방법.
  18. 제 11 항에 있어서,
    상기 다운로드하는 단계는 백엔드 서버에 의해 수행되고, 상기 파일을 상기 데이터 손실 방지 규칙에 대하여 분석하는 단계는 데이터 손실 방지 엔진에 의해 수행되고,
    상기 방법은,
    상기 백엔드 서버에 의해, 상기 다운로드된 파일을 상기 데이터 손실 방지 엔진으로 송신하는 단계와,
    상기 백엔드 서버에 의해, 상기 다운로드된 파일이 상기 데이터 손실 방지 엔진으로 송신된 후에 상기 다운로드된 파일을 삭제하는 단계를 더 포함하는
    컴퓨터로 구현되는 방법.
  19. 제 11 항에 있어서,
    상기 데이터 손실 방지 규칙은 상기 파일이 기밀 데이터(confidential data)를 나타내는 데이터를 포함하는지 여부를 결정하고, 상기 데이터 손실 방지 규칙은 데이터가 기밀인지 여부를 결정하는 기준을 포함하고, 상기 기준은 상기 기업에 의해 정의되는
    컴퓨터로 구현되는 방법.
  20. 프로세서에 의해 실행될 때, 상기 프로세서로 하여금 동작을 수행하도록 하는 실행 가능 명령어가 내부에 저장된 컴퓨터 판독 가능 매체로서,
    상기 동작은,
    기업을 대신하여 데이터를 저장하는 클라우드 서비스로부터, 파일명을 명시하는 활동 통지를 검출하는 것과,
    상기 활동 통지에 의해 명시되는 상기 파일명을 사용하여 상기 클라우드 서비스로부터 파일을 다운로드하는 것과,
    상기 파일을 데이터 손실 방지 규칙에 대하여 분석하는 것과,
    상기 데이터 손실 방지 규칙으로부터의 결과에 기초하여, 조치 응답을 상기 클라우드 서비스로 통신하는 것을 포함하고,
    상기 조치 응답은 상기 클라우드 서비스에게 상기 클라우드 서비스에 의해 저장되어 있는 상기 파일에 대해 조치를 수행할 것을 지시하는
    컴퓨터 판독 가능 매체.
  21. 프로세서에 의해 실행될 때, 상기 프로세서로 하여금 제 11 항 내지 제 19 항 중 어느 한 항의 방법을 수행하도록 하는 실행 가능한 명령어를 포함하는
    머신 판독 가능 매체.
KR1020167011634A 2013-10-03 2014-10-03 클라우드 데이터 손실 방지 통합 KR20160067913A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361886430P 2013-10-03 2013-10-03
US61/886,430 2013-10-03
US14/138,050 US9460405B2 (en) 2013-10-03 2013-12-21 Systems and methods for cloud data loss prevention integration
US14/138,050 2013-12-21
PCT/US2014/059181 WO2015051331A1 (en) 2013-10-03 2014-10-03 Cloud data loss prevention integration

Publications (1)

Publication Number Publication Date
KR20160067913A true KR20160067913A (ko) 2016-06-14

Family

ID=52777677

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167011634A KR20160067913A (ko) 2013-10-03 2014-10-03 클라우드 데이터 손실 방지 통합

Country Status (7)

Country Link
US (1) US9460405B2 (ko)
EP (2) EP3499849B1 (ko)
KR (1) KR20160067913A (ko)
CN (1) CN105793814A (ko)
AU (1) AU2014331618B2 (ko)
CA (1) CA2925910A1 (ko)
WO (1) WO2015051331A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101855632B1 (ko) * 2017-11-23 2018-05-04 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법
WO2022005029A1 (ko) * 2020-06-30 2022-01-06 (주) 데이타뱅크 클라우드 기반의 채팅 서비스 임대 시스템 및 그 방법

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9716724B1 (en) * 2014-02-24 2017-07-25 Skyhigh Networks, Inc. Cloud data loss prevention system
US9986033B2 (en) * 2015-03-17 2018-05-29 Panzura, Inc. Facilitating access to remote cloud services
US10114966B2 (en) * 2015-03-19 2018-10-30 Netskope, Inc. Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS)
US9736219B2 (en) 2015-06-26 2017-08-15 Bank Of America Corporation Managing open shares in an enterprise computing environment
US11403418B2 (en) 2018-08-30 2022-08-02 Netskope, Inc. Enriching document metadata using contextual information
GB2551735B (en) * 2016-06-28 2020-10-14 Sophos Ltd Cloud storage scanner
US10305729B2 (en) * 2016-09-02 2019-05-28 Nokia Of America Corporation Systems and methods of providing an edge cloud storage and caching system operating over a local area network
US10979237B2 (en) 2016-10-28 2021-04-13 Microsoft Technology Licensing, Llc Managing notifications related to collaboratively edited electronic documents based on user roles
US10331885B2 (en) 2016-12-02 2019-06-25 Microsoft Technology Licensing, Llc Identification of entity performing operation on local file(s) and notification to reduce misuse risk
US11005890B2 (en) * 2017-03-30 2021-05-11 Mcafee, Llc Secure software defined storage
US10178096B2 (en) 2017-03-31 2019-01-08 International Business Machines Corporation Enhanced data leakage detection in cloud services
KR102047342B1 (ko) * 2018-11-20 2019-11-26 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법
US11416641B2 (en) 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
US11226983B2 (en) * 2019-06-18 2022-01-18 Microsoft Technology Licensing, Llc Sub-scope synchronization
CN110290193A (zh) * 2019-06-18 2019-09-27 深圳市赛柏特通信技术有限公司 一种企业网连入云服务系统及方法
US20210026982A1 (en) * 2019-07-25 2021-01-28 Commvault Systems, Inc. Sensitive data extrapolation system
US11475158B1 (en) 2021-07-26 2022-10-18 Netskope, Inc. Customized deep learning classifier for detecting organization sensitive data in images on premises
US11934312B2 (en) 2021-12-07 2024-03-19 Capital One Services, Llc On-demand scanning for changes in cloud object storage systems
US20230412693A1 (en) * 2022-06-15 2023-12-21 Microsoft Technology Licensing, Llc Network-aware endpoint data loss prevention for web transactions

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7738383B2 (en) * 2006-12-21 2010-06-15 Cisco Technology, Inc. Traceroute using address request messages
US8613040B2 (en) * 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
US8752180B2 (en) 2009-05-26 2014-06-10 Symantec Corporation Behavioral engine for identifying patterns of confidential data use
US8799322B2 (en) * 2009-07-24 2014-08-05 Cisco Technology, Inc. Policy driven cloud storage management and cloud storage policy router
US8321560B1 (en) 2009-08-13 2012-11-27 Symantec Corporation Systems and methods for preventing data loss from files sent from endpoints
EP4006728A1 (en) * 2010-07-09 2022-06-01 State Street Corporation Systems and methods for private cloud computing
US8432570B1 (en) 2010-07-30 2013-04-30 Symantec Corporation Using bit arrays in incremental scanning of content for sensitive data
US9455892B2 (en) * 2010-10-29 2016-09-27 Symantec Corporation Data loss monitoring of partial data streams
US9026644B2 (en) * 2011-03-10 2015-05-05 Verizon Patent And Licensing Inc. Anomaly detection and identification using traffic steering and real-time analytics
US9119017B2 (en) 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
US9268545B2 (en) * 2011-03-31 2016-02-23 Intel Corporation Connecting mobile devices, internet-connected hosts, and cloud services
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9152202B2 (en) * 2011-06-16 2015-10-06 Microsoft Technology Licensing, Llc Mobile device operations with battery optimization
US8700561B2 (en) 2011-12-27 2014-04-15 Mcafee, Inc. System and method for providing data protection workflows in a network environment
KR20130093806A (ko) * 2012-01-10 2013-08-23 한국전자통신연구원 클라우드 컴퓨팅 환경에서의 개인 정보 유출 알림 시스템 및 방법
US20140372462A1 (en) * 2012-01-20 2014-12-18 Trustee for the MMW Family Trust Data management system and method
US8713684B2 (en) 2012-02-24 2014-04-29 Appthority, Inc. Quantifying the risks of applications for mobile devices
US8806606B2 (en) * 2012-02-28 2014-08-12 Verizon Patent And Licensing Inc. Service aggregation in a cloud services center
US20130298199A1 (en) * 2012-05-02 2013-11-07 Elwha Llc Control of Transmission to a Target Device with a Cloud-Based Architecture
US20140006060A1 (en) * 2012-06-27 2014-01-02 Hartford Fire Insurance Company System and method for processing data related to worksite analyses
CN102724327B (zh) * 2012-06-29 2016-04-13 百度在线网络技术(北京)有限公司 用于浏览器的实时网页浏览服务提供系统和方法
US9473532B2 (en) * 2012-07-19 2016-10-18 Box, Inc. Data loss prevention (DLP) methods by a cloud service including third party integration architectures
CN102932326B (zh) * 2012-09-19 2015-05-20 无锡华御信息技术有限公司 安全云计算系统
US8990642B2 (en) * 2013-02-22 2015-03-24 International Business Machines Corporation Managing error logs in a distributed network fabric

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101855632B1 (ko) * 2017-11-23 2018-05-04 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법
WO2022005029A1 (ko) * 2020-06-30 2022-01-06 (주) 데이타뱅크 클라우드 기반의 채팅 서비스 임대 시스템 및 그 방법
KR20220001685A (ko) * 2020-06-30 2022-01-06 (주)데이타뱅크 클라우드 기반의 채팅 서비스 임대 시스템 및 그 방법

Also Published As

Publication number Publication date
EP3053022A1 (en) 2016-08-10
WO2015051331A1 (en) 2015-04-09
CA2925910A1 (en) 2015-04-09
US9460405B2 (en) 2016-10-04
EP3499849A1 (en) 2019-06-19
AU2014331618B2 (en) 2017-09-21
CN105793814A (zh) 2016-07-20
EP3053022B1 (en) 2018-11-21
EP3053022A4 (en) 2017-05-03
AU2014331618A1 (en) 2016-04-28
US20150100357A1 (en) 2015-04-09
EP3499849B1 (en) 2023-08-16

Similar Documents

Publication Publication Date Title
US9460405B2 (en) Systems and methods for cloud data loss prevention integration
US10268835B2 (en) Hosted application gateway architecture with multi-level security policy and rule promulgations
US11716356B2 (en) Application gateway architecture with multi-level security policy and rule promulgations
JP5043950B2 (ja) ウェブ・サービス環境における同期化ポリシー制御のための方法およびシステム
US10936739B1 (en) Dynamically granting and enforcing rights on a protected document
US9542563B2 (en) Accessing protected content for archiving
US9176720B1 (en) Installation of third-party web applications into a container
US20150059004A1 (en) System, method, and computer program product for creation, transmission,and tracking of electronic document
US8341694B2 (en) Method and system for synchronized access control in a web services environment
US10824756B2 (en) Hosted application gateway architecture with multi-level security policy and rule promulgations
US11861342B2 (en) Enhanced cloud-computing environment deployment
CN109240837B (zh) 一种通用云存储服务api的构建方法
US9202080B2 (en) Method and system for policy driven data distribution
US20170235924A1 (en) System and Network for Controlling Content and Accessibility
Zhang et al. Security Policy
NZ616730B (en) System, method, and computer program product for creation, transmission, and tracking of electronic package

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application