KR20180009333A - 보안 모니터링 가상 네트워크 기능의 보안 개인화를 위한 기술 - Google Patents

보안 모니터링 가상 네트워크 기능의 보안 개인화를 위한 기술 Download PDF

Info

Publication number
KR20180009333A
KR20180009333A KR1020177032823A KR20177032823A KR20180009333A KR 20180009333 A KR20180009333 A KR 20180009333A KR 1020177032823 A KR1020177032823 A KR 1020177032823A KR 20177032823 A KR20177032823 A KR 20177032823A KR 20180009333 A KR20180009333 A KR 20180009333A
Authority
KR
South Korea
Prior art keywords
security
vnf
nfv
security monitoring
policy
Prior art date
Application number
KR1020177032823A
Other languages
English (en)
Other versions
KR102255004B1 (ko
Inventor
카필 수드
마누엘 네드발
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20180009333A publication Critical patent/KR20180009333A/ko
Application granted granted Critical
Publication of KR102255004B1 publication Critical patent/KR102255004B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/61Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링 가상 네트워크 기능(VNF)의 보안 개인화를 위한 기술들은 NFV 보안 서비스 제어기, VNF 관리자 및 보안 모니터링 VNF를 포함하는 다양한 보안 모니터링 컴포넌트를 포함한다. 보안 모니터링 VNF는 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하고 보안 모니터링 VNF와 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 프로비저닝 데이터 중 적어도 일부를 사용하여 상호 인증된 키 교환 절차를 수행하도록 구성된다. 보안 모니터링 VNF는 보안 통신 경로를 통해 VNF 관리자로부터 개인화 데이터를 수신하고 개인화 데이터에 기초하여 보안 모니터링 VNF의 하나 이상의 기능을 구성하기 위한 개인화 동작을 수행하도록 추가로 구성된다. 다른 실시예들이 설명되고 청구된다.

Description

보안 모니터링 가상 네트워크 기능의 보안 개인화를 위한 기술
관련 출원에 대한 상호 참조
본 출원은 2015년 9월 25일자로 출원된 미국 특허 출원 제14/866,565호(발명의 명칭 "TECHNOLOGIES FOR SECURE PERSONALIZATION OF A SECURITY MONITORING VIRTUAL NETWORK FUNCTION")에 대한 우선권을 주장하고, 2015년 6월 16일자로 출원된 미국 가특허 출원 제62/180,433호(발명의 명칭 "TECHNOLOGIES FOR SECURE PERSONALIZATION OF A SECURITY MONITORING VIRTUAL NETWORK FUNCTION")에 대한 35 U.S.C.§119(e) 하의 우선권을 주장한다.
네트워크 운영자들 및 서비스 제공자들은 일반적으로 고성능 컴퓨팅(high-performance computing)(HPC) 및 클라우드 컴퓨팅 환경들과 같은 복잡한 대규모 컴퓨팅 환경들을 관리하기 위해 다양한 네트워크 가상화 기술들에 의존한다. 예를 들어, 네트워크 운영자들 및 서비스 제공자 네트워크들은 네트워크 서비스들(예를 들어, 방화벽 서비스들, 네트워크 어드레스 변환(network address translation)(NAT) 서비스들, 로드 밸런싱 서비스들, 딥 패킷 검사(deep packet inspection)(DPI) 서비스들, 송신 제어 프로토콜(transmission control protocol)(TCP) 최적화 서비스들 등)를 배치하기 위해 네트워크 기능 가상화(network function virtualization)(NFV) 배치에 의존할 수 있다. 이런 NFV 배치는 일반적으로 NFV 인프라구조를 사용하여 다양한 가상 머신들(virtual machines)(VMs)이 네트워크 트래픽 상에서 가상화된 네트워크 기능들(virtualized network functions)(VNFs)로 일반적으로 불리는 가상화된 네트워크 서비스들을 수행하고 다양한 VM들에 걸쳐 네트워크 트래픽을 관리하도록 조율한다.
종래의 가상화되지 않은 배치와는 달리, 가상화된 배치는 네트워크 기능들을 기본 하드웨어와 분리함으로써, 범용 프로세서들을 갖춘 기성품 서버들 상에서 매우 동적이며 일반적으로 실행될 수 있는 네트워크 기능들 및 서비스들을 가져온다. 이와 같이, VNF들은 네트워크 트래픽 상에서 수행될 특정한 기능들 또는 네트워크 서비스들에 기초하여 필요에 따라 스케일-인/아웃(scaled-in/out)될 수 있다. 그러나 종래의 가상화되지 않은 배치의 기능 컴포넌트들 간의 네트워크 트래픽의 처리를 모니터링하기 위한 노출된 인터페이스들(예를 들어, 프로브들을 통한 액세스 인터페이스들)에 액세스하는 전통적인 수단은 VNF 배치에서의 액세스와 구별되지 않는다. 예를 들어, ETSI(European Telecommunications Standards Institute)의 NFV용 산업 규격 그룹(Industry Specification Group)은 이러한 액세스/모니터링 인터페이스들이 모호해질 수 있는 다수의 가상화된 모델을 발표했다. 또한, 다양한 배치에서(예를 들어, VNF 내, VNF들 사이 등에서) 이용 가능한 다수의 상이한 액세스 인터페이스는 VNF들에 대한 원하는 정보를 탐색하는 것을 어렵게 할 수 있다. 예를 들어, 일부 배치는 처리 전력을 최적화하고 시그널링으로 인한 대기 시간을 줄이기 위해 벤더 독점의 비표준화된 인터페이스들을 구현할 수 있어, 액세스 가용성을 제한할 수 있다.
본 명세서에 설명된 개념들은 첨부된 도면에서 제한적인 것이 아니라 예로서 도시된다. 도시의 간명화를 위해, 도면들에 도시되는 요소들은 반드시 축척으로 도시되지는 않는다. 적절한 것으로 간주되는 경우, 도면들 사이에서 대응하거나 유사한 요소들을 지시하기 위해 참조 라벨들이 반복된다.
도 1은 네트워크 기능 가상화(NFV) 인프라구조의 하나 이상의 컴퓨팅 노드를 포함하는 NFV 보안 아키텍처에서 처리되는 네트워크 통신의 보안을 모니터링하기 위한 시스템의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 2는 도 1의 시스템의 NFV 인프라구조의 컴퓨팅 노드들 중 하나의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 3은 도 1의 시스템의 엔드포인트 디바이스의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 4는 도 1의 시스템의 NFV 보안 아키텍처의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 5는 도 1 및 도 4의 NFV 보안 아키텍처의 NFV 보안 서비스 제어기의 환경의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 6은 도 4의 NFV 보안 아키텍처의 NFV 보안 서비스 에이전트의 환경의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 7은 도 5의 NFV 보안 서비스 제어기에 의해 실행될 수 있는 보안 모니터링 서비스들을 관리하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다;
도 8은 도 5의 NFV 보안 서비스 제어기에 의해 실행될 수 있는 보안 모니터링 정책을 업데이트하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다;
도 9는 도 4의 NFV 보안 서비스 에이전트들 중 하나를 초기화하기 위한 통신 흐름의 적어도 하나의 실시예에 대한 간략화된 흐름도이다;
도 10은 도 4의 NFV 보안 서비스 에이전트들 중 하나 이상에 의해 실행될 수 있는 도 1의 NFV 네트워크 아키텍처의 보안을 모니터링하기 위한 방법의 적어도 하나의 실시예에 대한 간략화된 흐름도이다;
도 11은 도 1의 NFV 네트워크 아키텍처의 서비스 기능 체인(service function chaining)(SFC)의 보안을 모니터링하기 위한 통신 흐름의 적어도 하나의 실시예에 대한 간략화된 흐름도이다;
도 12는 도 1 및 도 4의 NFV 보안 아키텍처의 보안 모니터링 VNF의 환경의 적어도 하나의 실시예에 대한 간략화된 블록도이다;
도 13은 도 1의 NFV 네트워크 아키텍처의 보안 VNF 개인화 및 정책 프로토콜을 프로비저닝하기 위한 통신 흐름의 적어도 하나의 실시예에 대한 간략화된 흐름도이다; 및
도 14는 도 12의 보안 VNF 개인화 및 정책 프로토콜을 업데이트하기 위한 통신 흐름의 적어도 하나의 실시예에 대한 간략화된 흐름도이다.
본 개시내용의 개념들은 다양한 변경 및 대안의 형태가 가능하지만, 그 특정 실시예들은 도면에 예로서 도시되고, 본 명세서에서 상세히 설명될 것이다. 그러나 본 개시내용의 개념들을 개시되는 특정한 형태들로 제한하고자 하는 의도는 없으며, 오히려 그 의도는 본 개시내용 및 첨부된 청구항들에 따른 모든 변경들, 균등물들 및 대안들을 커버하는 것으로 이해해야 한다.
본 명세서에서 일 실시예(one embodiment)", 실시예(an embodiment)", "예시적인 실시예(an illustrative embodiment)" 등에 대한 언급은 설명된 실시예가 특정한 피처, 구조 또는 특성을 포함할 수 있지만, 모든 실시예가 반드시 그런 특정한 피처, 구조 또는 특성을 포함할 수도 있거나 포함하지 않을 수도 있다는 것을 지시한다. 또한, 이러한 문구들은 반드시 동일한 실시예를 지칭하는 것은 아니다. 또한, 특정한 피처, 구조 또는 특성이 실시예와 관련하여 설명될 때, 명시적인 설명 여부에 관계없이 다른 실시예들과 관련하여 그러한 피처, 구조 또는 특성을 달성하는 것이 본 기술분야의 통상의 기술자의 지식 범위 내에 있다는 것이 제안된다. 또한, "A, B 및 C 중 적어도 하나"의 형태로 리스트에 포함된 아이템들은 (A); (B); (C): (A 및 B); (A 및 C); (B 및 C); 또는 (A, B 및 C)를 의미할 수 있음을 이해해야 한다. 마찬가지로, "A, B 또는 C 중 적어도 하나"의 형태로 나열된 아이템들은 (A); (B); (C): (A 및 B); (A 및 C); (B 및 C); 또는 (A, B 및 C)를 의미할 수 있다.
개시된 실시예들은, 일부 경우에, 하드웨어, 펌웨어, 소프트웨어 또는 이들의 임의의 조합으로 구현될 수 있다. 개시된 실시예는 또한 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 하나 이상의 일시적 또는 비일시적인 머신 판독 가능(예를 들어, 컴퓨터 판독 가능) 저장 매체에 의해 운반되거나 저장되는 명령어들로서 구현될 수 있다. 머신 판독가능 저장 매체는 머신에 의해 판독 가능한 형태로 정보를 저장하거나 송신하기 위한 임의의 저장 디바이스, 메커니즘 또는 다른 물리적 구조체(예를 들어, 휘발성 또는 비휘발성 메모리, 매체 디스크(media disc) 또는 다른 매체 디바이스(media device))로서 구현될 수 있다.
도면들에서, 일부 구조 또는 방법 피처들은 특정 배열들 및/또는 순서들(orderings)로 도시될 수 있다. 그러나 이러한 특정 배열들 및/또는 순서들은 요구되지 않을 수 있다는 점이 이해되어야 한다. 오히려, 일부 실시예들에서, 이러한 피처들은 예시적인 도면들에 도시된 것과는 상이한 방식 및/또는 순서로 배열될 수 있다. 추가적으로, 특정한 도면 내에 구조 또는 방법 피처의 포함은 이러한 피처가 모든 실시예들에서 요구된다고 암시하는 것을 의미하지는 않으며, 일부 실시예들에서는 포함되지 않을 수도 있거나 다른 피처들과 결합될 수도 있다.
이제 도 1을 참조하면, 예시적인 실시예에서, 네트워크 통신의 보안을 모니터링하기 위한 시스템(100)은 엔드포인트 디바이스(118)와 다른 엔드포인트 디바이스(120) 간의 네트워크 통신을 처리하기 위한 네트워크 기능 가상화(NFV) 보안 아키텍처(116)를 포함한다. NFV 보안 아키텍처(116)는, NFV 오케스트레이터(orchestrator)(104), 가상 인프라구조 관리자(virtual infrastructure manager)(VIM)(106) 및 NFV 인프라구조(108)를 포함하는 다수의 네트워크 처리 컴포넌트를 포함한다. 일부 실시예들에서, NFV 보안 아키텍처(116)는 네트워크 트래픽 데이터(예를 들어, 네트워크 트래픽 페이로드, 네트워크 패킷 헤더 등)에 대한 처리 기능들(예를 들어, 분석, 네트워크 기능들 등)을 수행하기 위한 추가적인 및/또는 대안적인 네트워크 처리 컴포넌트들(물리적 및/또는 가상의)을 포함할 수 있다.
게다가, NFV 보안 아키텍처(116)는 NFV 보안 서비스 제어기(102)를 포함하는 다수의 보안 모니터링 컴포넌트를 포함한다. 사용시, NFV 보안 서비스 제어기(102)는 원격 측정 데이터의 능동 및/또는 수동 모니터링을 수행하는 다양한 보안 모니터링 컴포넌트를 NFV 보안 아키텍처(116)에 걸쳐 관리한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는, NFV 보안 서비스 제어기(102)에 의해 관리되는 보안 정책(예를 들어, 도 4의 하이퍼바이저(462) 참조)에 기초하여 모니터링할 다수의 NFV 보안 서비스 에이전트(예를 들어, 도 4의 NVF 보안 서비스 에이전트(468) 참조)를 인스턴스화한다(instantiate). NFV 보안 서비스 에이전트들은 분석을 위해 원격 측정 데이터를 수집, 패키징 및 안전하게 송신하도록 추가적으로 구성된다.
NFV 보안 서비스 에이전트들 각각에 의해 수집된 원격 측정 데이터는 보안 분석이 수행될 수 있는 임의의 타입의 데이터로서 구체화되거나 아니면 포함할 수 있다. 예를 들어, 예시적인 원격 측정 데이터는 NFV 보안 서비스 에이전트가 상주하는 컴포넌트 각각의 컴포넌트 레벨 구성, 동작 및 정책 데이터를 포함하고, 해당 컴포넌트에 대해 처리된 네트워크 트래픽 데이터를 포함한다. 아래에서 보다 상세히 논의되는 바와 같이, NFV 보안 서비스 에이전트들은 정보를 패키징하고 패키징된 정보를 NFV 보안 모니터링 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438) 참조)으로 안전하게 전송하도록 구성된다. 사용시, NFV 보안 모니터링 분석 시스템은 원격 측정 데이터에 임의의 위협들(threats) 및/또는 이상들(anomalies)이 존재하는지를 결정한다. NFV 보안 모니터링 분석 시스템은 검출된 임의의 위협들 및/또는 이상들을 처리하기 위한 교정 보안 정책(remediation security policy)을 NFV 보안 서비스 제어기(102)에 추가적으로 제공한다. 이에 응답하여, NFV 보안 서비스 제어기(102)는 교정 보안 정책에 기초하여 NFV 보안 서비스 에이전트들에 대한 보안 정책을 업데이트하고 NFV 보안 서비스 에이전트들에 걸쳐 업데이트된 보안 정책을 시행한다.
아래에서 더 상세히 설명되는 바와 같이, NFV 인프라구조(108)는 가상 네트워크 기능(VNF) 인스턴스들로서 동작하도록 구성되는 다수의 가상 머신(VM)을 관리(예를 들어, 생성, 이동, 파괴 등)할 수 있는 하나 이상의 컴퓨팅 노드(110)를 포함한다. VNF 인스턴스들 또는 VNF들 각각은 일반적으로, 네트워크 트래픽 상에서 네트워크 서비스들(예를 들어, 방화벽 서비스, 네트워크 어드레스 변환(NAT) 서비스들, 로드 밸런싱 서비스들, 딥 패킷 검사(DPI) 서비스들, 송신 제어 프로토콜(TCP) 최적화 서비스들, 침입 탐지 서비스들 등)을 수행하기 위해 상이한 소프트웨어 및/또는 프로세스를 실행할 수 있는 하나 이상의 VM에 의존한다. 또한, 특정 네트워크 서비스를 제공하기 위해, 다수의 VNF는 서비스 기능 체인 또는 VNF 포워딩 그래프(즉, 원하는 네트워크 서비스를 구현하기 위해 순서화된 시퀀스로 수행되는 일련의 VNF들)로서 생성될 수 있다.
NFV 보안 아키텍처(116)의 네트워크 및 보안 모니터링 컴포넌트들은 가상 진화 패킷 코어(virtual Evolved Packet Core)(vEPC) 인프라구조, 가상화된 고객 구내 장비(virtualized Customer Premise Equipment)(vCPE) 인프라구조, 또는 임의의 다른 타입의 운영자 가상화된 인프라구조들과 같은 다양한 가상화 네트워크 아키텍처들에 배치될 수 있다. NFV 보안 아키텍처(116)가 배치되는 네트워크 아키텍처에 따라, NFV 보안 아키텍처(116)는 하나 이상의 NFV 보안 서비스 제어기(102), 하나 이상의 NFV 오케스트레이터(104), 하나 이상의 VIM(106) 및/또는 하나 이상의 NFV 인프라구조(108)를 포함할 수 있음을 이해해야 한다.
NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트들을 관리하는 것과 같은, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 하드웨어, 소프트웨어 및/또는 펌웨어로서 구체화되거나 아니면 포함할 수 있다. 이하 더 상세히 설명되는 바와 같이, NFV 보안 서비스 제어기(102)는 보안 모니터링 오케스트레이터로서 기능하도록 구성된다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책들, 보안 통신 경로 정책들, 구성 파라미터들 및 기능 기술자(function descriptor)들을 포함할 수 있는 다양한 모니터링 규칙들을 포함하는 보안 모니터링 정책을 송신하도록 구성되며, 기능 기술자들은 NFV 보안 아키텍처(116)(예를 들어, 도 4의 NFV 보안 서비스 에이전트들) 전체에 걸친 보안 모니터링 컴포넌트들에게 어느 원격 측정 데이터를 모니터링할지와 보안 모니터링 컴포넌트들을 구성하는 방법을 지시한다. NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116) 전체에 걸쳐 송신된 보안 모니터링 정책들을 시행하도록 추가적으로 구성된다. 다양한 보안 기능들은 서비스 기능 체인(service function chaining)(SFC) 프로비저닝을 안전하게 하는 것, SFC 보안 구성 및 모니터링을 시행하는 것, 기밀 보호된 토큰들을 제공하는 것, 보호된 정책 송신을 관리하는 것, 및 VNF 간 SFC 경로 보호를 제공하는 것을 포함할 수 있지만 이에 제한되지 않는다.
보안 모니터링 정책들을 검색 및/또는 업데이트하기 위해, NFV 보안 서비스 제어기(102)는 하나 이상의 외부 보안 시스템(예를 들어, Intel® Security Controller), 보안 데이터베이스(도 4의 NFV 보안 데이터베이스(412) 참조), 및/또는 보안 정책 엔진들과 인터페이스하도록 구성될 수 있다. 외부 보안 시스템들과 통신하기 위해, NFV 보안 서비스 제어기(102)는 애플리케이션 프로그래밍 인터페이스(API) 및/또는 보안 정책을 외부 보안 서비스 조율 시스템들에 전달할 수 있다. 일부 실시예들에서, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 다양한 네트워크 및 보안 모니터링 컴포넌트들에 걸쳐 메시지들을 인증하기 위한 신뢰된 제3자(trusted third party)로서 작용할 수 있다.
또한, NFV 보안 서비스 제어기(102)는 하나 이상의 보안 모니터링 VNF 또는 가상 보안 기능(VSF) VNF들을 관리하여, 가상 보안 디바이스들의 세트를 생성하기 위한 가상화된 환경들에 배치하도록 구성된다. 따라서, NFV 보안 서비스 제어기(102)는 전술한 보안 정책에 따라 NFV 보안 아키텍처(116)에 걸쳐 일관된 상태를 유지하도록 구성될 수 있다. 보안 모니터링 VNF(예를 들어, 이하에서 더 상세히 설명되는 도 4의 보안 모니터링 VNF(446) 참조)는 NFV 보안 서비스 제어기(102)와 상호 작용할 수 있는 특수 목적의 보안 가상 어플라이언스이다.
예를 들어, 보안 모니터링 VNF들은 방화벽들, 침입 탐지/방지 시스템들, 안티-맬웨어, 샌드박스들, 보안 아이덴티티 관리자들, 데이터 손실 방지, 또는 NFV 보안 아키텍처(116)의 컴포넌트들을 배치하는 임의의 다른 보안 기능들일 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제어기(102)에 의해 조율될 수 있는 보안 기능들의 카탈로그를 노출시키며, 보안 모니터링 VNF들을 VIM(106)에 등록하고, 보안 모니터링 VNF들의 인스턴스들을 관리하고, 보안 모니터링 VNF들을 이들과 관련된 VNF 관리자들(예를 들어, 도 4의 VNF 관리자(432))과 페어링하고, 보안 모니터링 VNF들을 개인화하고, 보안 정책을 관리하고, 무결성 표명, 크리덴셜 관리를 수행할 뿐만 아니라, 다수의 보안 모니터링 VNF들의 분산된 어플라이언스로의 클러스터링을 용이하게 하고, 보안 모니터링 VNF들에서 장애 및 교정을 모니터링하도록 구성될 수 있다. 보안 모니터링 VNF들이 VNF들이기 때문에, 각 보안 모니터링 VNF는, 보안 모니터링 VNF들이 보안 인스턴스화시(예를 들어, 보안 모니터링 VNF의 보안 부트스트래핑시) 정책 및 다른 데이터(예를 들어, 맬웨어에 대한 서명들 등)를 수신하기 위해 접속할 수 있는 특정한 VNF 관리자와 연관되어 있음을 이해해야 한다.
일부 실시예들에서, 보안 모니터링 VNF들은 균일한 클러스터로서 취급될 수 있다. 이와 같이, 어떤 보안 모니터링 VNF 인스턴스가 특정 타입의 작업부하 트래픽을 보고 있는지에 관계없이, VNF 관리자에서 균일한 결과가 정의될 수 있다. 결과적으로, 업데이트된 정책은 개별 보안 모니터링 VNF들에 전파될 수 있다. 이러한 실시예들에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 VNF들의 무결성을 표명하고, 크리덴셜들, 디바이스 설정들 및/또는 다른 동작 양태들을 포함하는 보안 모니터링 VNF 인스턴스들 사이의 다른 공통점들을 관리할 수 있다. 일부 실시예들에서, 이러한 무결성 표명 및 관리는 자동화된 방식으로 수행될 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 NFVI(예컨대, 도 4의 NFVI(440)) 내의 다수의 물리적 호스트에 걸쳐 또는 분산된 NFVI들을 통해 배치된 다수의 보안 모니터링 VNF 인스턴스를 관리할 수 있다.
동적 프로비저닝이 이용되는 그러한 실시예들에서, 보안 모니터링 VNF 인스턴스들은 VIM(106)에 의해 스케일 인/아웃 방식으로 배치될 수 있음을 이해해야 한다. 대안적으로, 사전 프로비저닝 보안 모니터링이 이용되는 그러한 실시예들에서, 보안 모니터링 VNF 인스턴스들은 정적으로 NFV 인프라구조(108)에 배치될 수 있다. 추가적으로, 배치 정책은 어떤 타입의 보안 모니터링 VNF 인스턴스들, 얼마나 많은 보안 모니터링 VNF 인스턴스들 등이 NFV 인프라구조(108)에 동적으로 배치되거나 사전 배치되는지를 결정하는데 사용될 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 보안 모니터링 VNF 인스턴스들이 배치 정책에 따라 배치되는 것을 보장하도록 구성된다.
NFV 보안 서비스 제어기(102)는 보안 모니터링 VNF들의 헬스를 모니터링하고, 보안 모니터링 VNF의 헬스가 NFV 보안 아키텍처(116)의 하나 이상의 컴포넌트의 보안 무결성을 손상시킬 수 있다고 결정할 때 시정 조치(예를 들어, 새로운 보안 모니터링 VNF를 생성하는 것, 기존의 VNF를 종료하는 것, 보안 정책을 업데이트하는 것 등)를 취하도록 추가로 구성될 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 보안 모니터링 VNF들로부터 장애 검출 및 시정 옵션들을 수신하도록 구성될 수 있다. 이와 같이, NFV 보안 서비스 제어기(102)는 자동으로 취해질 조치를 구성할 수 있다.
일부 실시예들에서, NFV 보안 서비스 제어기(102)는 NFV 관리 및 조율(management and orchestration)(MANO) 아키텍처 프레임워크와 같은 NFV 오케스트레이터(104)와 함께 위치할 수 있음을 이해해야 한다. 일부 실시예들에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제어기(102)의 무결성 및 보안을 보장하기 위해 NFV 보안 아키텍처(116)의 다른 네트워크 및 보안 모니터링 컴포넌트들보다 높은 보안 특권을 가질 수 있음을 추가로 이해해야 한다.
NFV 오케스트레이터(104)는, VNF 관리자(도 4 참조)를 통해 VNF들의 라이프사이클을 관리하는 것(예를 들어, 인스턴스화, 스케일-아웃/인, 성능 측정, 이벤트 상관, 종료 등), 글로벌 리소스들을 관리하는 것, NFV 인프라구조(108)의 리소스 요청들을 검증 및 인증하는 것, 새로운 VNF들의 온-보딩(on-boarding), 및/또는 VNF들에 대한 다양한 정책 및 패키지를 관리하는 것과 같은, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 회로 및/또는 하드웨어, 소프트웨어 및/또는 펌웨어 컴포넌트들로서 구체화될 수 있다. 예를 들어, NFV 오케스트레이터(104)는 특정한 VNF에 영향을 주는 운영자로부터의 리소스 요청들을 수신하도록 구성될 수 있다. 사용시, NFV 오케스트레이터(104)는 VNF를 가동시키거나 리소스 요청들에 순응하게 하기 위해, 운영자 요청들에 기초하여, 임의의 적용 가능한 처리, 저장 및/또는 네트워크 구성 조정을 관리한다. 동작시, NFV 오케스트레이터(104)는 필요에 따라, NFV 오케스트레이터(104)에 의해 조정될 수 있는 용량 및 활용을 VNF에서 모니터링할 수 있다.
VIM(106)은, 한 운영자의 인프라구조 서브-도메인 내의 NFV 인프라구조(108) 계산, 저장 및 네트워크 리소스들(예를 들어, 물리적 또는 가상의)을 제어하고 관리하는 것 뿐만 아니라, 성능 측정 및 이벤트들의 수집 및 포워딩과 같은 본 명세서에서 설명된 기능들을 수행할 수 있는 임의의 타입의 하드웨어, 소프트웨어 및/또는 펌웨어로서 구체화되거나, 아니면 포함할 수 있다. 일부 실시예들에서, NFV 오케스트레이터(104)는 NFV MANO 아키텍처 프레임워크에서와 같이 VIM(106)과 함께 위치할 수 있음을 이해해야 한다.
NFV 인프라구조(108)는 가상화 소프트웨어뿐만 아니라 하나 이상의 서버 또는 다른 컴퓨팅 노드와 같은 임의의 타입의 가상 및/또는 물리적 처리 및 저장 리소스들로서 구체화되거나 아니면 포함할 수 있다. 예를 들어, 예시적인 NFV 인프라구조(108)는 하나 이상의 컴퓨팅 노드(110)를 포함한다. 예시적인 컴퓨팅 노드들(110)은 컴퓨팅 노드(1)(112)로 지정되는 제1 컴퓨팅 노드, 및 컴퓨팅 노드(N)(114)(즉, 컴퓨팅 노드들(110)의 "N 번째" 컴퓨팅 노드, 여기서 "N"은 양의 정수이고 하나 이상의 추가적인 컴퓨팅 노드(110)를 지정한다)로 지정되는 제2 컴퓨팅 노드를 포함한다.
컴퓨팅 노드(110)는 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 계산 또는 컴퓨터 디바이스로서 구체화될 수 있으며, 서버(예를 들어, 독립형, 랙-장착형, 블레이드 등), 네트워크 어플라이언스(예를 들어, 물리적 또는 가상의), 고성능 컴퓨팅 디바이스, 웹 어플라이언스, 분산형 컴퓨팅 시스템, 컴퓨터, 프로세서 기반 시스템, 멀티프로세서 시스템, 스마트폰, 태블릿 컴퓨터, 랩톱 컴퓨터, 노트북 컴퓨터 및/또는 모바일 컴퓨팅 디바이스를 제한 없이 포함한다. 도 2에 도시된 바와 같이, 실시예에서, 컴퓨팅 노드들(110) 각각은 프로세서(202), 입/출력(I/O) 서브시스템(206), 메모리(208), 데이터 저장 디바이스(214), 보안 클록(216) 및 통신 회로(218)를 예시적으로 포함한다. 물론, 컴퓨팅 노드(110)는 다른 실시예들에서 서버에서 통상적으로 발견되는 것과 같은 다른 또는 추가적인 컴포넌트들(예를 들어, 다양한 입/출력 디바이스)을 포함할 수 있다. 게다가, 일부 실시예들에서, 예시적인 컴포넌트들 중 하나 이상은 다른 컴포넌트에 통합되거나 아니면 그의 일부를 형성할 수 있다. 예를 들어, 메모리(208) 또는 그 부분들은 일부 실시예들에서 프로세서(202) 내에 통합될 수 있다.
프로세서(202)는 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 프로세서로서 구체화될 수 있다. 예를 들어, 프로세서(202)는 단일 또는 다중 코어 프로세서(들), 디지털 신호 프로세서, 마이크로제어기, 또는 다른 프로세서 또는 처리/제어 회로로서 구체화될 수 있다. 예시적인 프로세서(202)는 하나 이상의 신뢰 실행 환경(trusted execution environment)(TEE) 서포트들(204) 또는 보안 인클레이브 서포트들(secure enclave supports)를 포함하며, 이는 신뢰 실행 환경을 확립할 때 컴퓨팅 노드(110)에 의해 이용될 수 있다. 일부 실시예들에서, TEE 서포트들(204)은 실행 코드가 인증되도록 측정, 검증 아니면 결정될 수 있는 신뢰 실행 환경에 대한 하드웨어 보강 보안을 제공함을 이해해야 한다. 예를 들어, TEE 서포트들(204)은 Intel® 소프트웨어 가드 확장(Software Guard Extensions)(SGX) 기술로서 구체화될 수 있다. TEE 서포트들(204)이 프로세서(202)에 예시적으로 도시되어 있지만, 일부 실시예들에서는 컴퓨팅 노드(110)의 다른 컴포넌트들 중 하나 이상이 TEE 서포트들(204)을 포함할 수 있음을 이해해야 한다. 또한, 일부 실시예들에서, 컴퓨팅 노드(110)의 프로세서(202)는 신뢰 실행 환경을 확립하기 위해 TEE 서포트들(204)을 이용하도록 구성된 보안 코프로세서(co-processor), 관리 용이성 엔진(manageability engine), 또는 보안 엔진(예를 들어, 아래에서 논의되는 보안 엔진(224))을 포함할 수 있다.
메모리(208)는 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 휘발성 또는 비휘발성 메모리 또는 데이터 스토리지로서 구체화될 수 있다. 동작시, 메모리(208)는, 운영 체제들, 애플리케이션들, 프로그램들, 라이브러리들, 및 드라이버들과 같은, 컴퓨팅 노드(110)의 동작 동안에 사용되는 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(208)는, 프로세서(202), 메모리(208), 및 컴퓨팅 노드(110)의 다른 컴포넌트들과의 입/출력 동작들을 용이하게 하는 회로 및/또는 컴포넌트들로서 구체화될 수 있는 I/O 서브시스템(206)을 통해 프로세서(202)에 통신 가능하게 결합된다. 예를 들어, I/O 서브시스템(206)은, 메모리 제어기 허브들, 입/출력 제어 허브들, 펌웨어 디바이스들, 통신 링크들(즉, 점-대-점 링크들, 버스 링크들, 와이어들, 케이블들, 광 가이드들, 인쇄 회로 기판 트레이스들 등) 및/또는 입/출력 동작들을 용이하게 하기 위한 다른 컴포넌트들 및 서브시스템들로서 구체화될 수 있거나, 아니면 포함할 수 있다.
예시적인 메모리(208)는 보안 메모리(210)를 포함한다. 일부 실시예들에서, 보안 메모리(210)는 메모리(208)의 보안 파티션으로서 구현될 수 있고; 반면에 다른 실시예들에서, 보안 메모리(210)는 컴퓨팅 노드(110)의 개별 하드웨어 컴포넌트 상에 구체화되거나 포함될 수 있다. 본 명세서에 설명된 바와 같이, 보안 메모리(210)는 컴퓨팅 노드(110)에 프로비저닝된 다양한 데이터를 저장할 수 있다. 예를 들어, 보안 메모리(210)는 칩셋 및/또는 신뢰 실행 환경의 제조업자에 의해 프로비저닝될 수 있는 컴퓨팅 노드(110)의 보안 키(예를 들어, 증명 키(attestation key), 개인 직접 익명 증명(private direct anonymous attestation)(DAA) 키, 향상된 보안 식별(Enhanced Privacy Identification)(EPID) 키 또는 임의의 다른 타입의 보안/암호 키)를 저장할 수 있다. 보안 메모리(210)는 또한, 예를 들어 컴퓨팅 노드(110)의 OEM(original equipment manufacturer)에 의해 그 안에 프로비저닝된 컴퓨팅 노드(110)의 패스워드, PIN 또는 다른 고유 식별자를 저장할 수 있다. 물론, 보안 메모리(210)는 특정한 실시예에 의존하는 다양한 다른 데이터(예를 들어, 그룹 명칭들, 디바이스 식별자들, 화이트리스트들, 예상된 PIN 값들 등)를 저장할 수 있음을 이해해야 한다. 일부 실시예들에서, 프로비저닝된 데이터는 보안 메모리(210)의 판독 전용 메모리에 저장될 수 있다.
예시적인 메모리(208)는 기본 입/출력 시스템(basic input/output system)(BIOS)(212)을 추가적으로 포함한다. BIOS(212)는 부트 프로세스 동안 컴퓨팅 노드(110)를 초기화하기 위한 명령어들(예를 들어, 컴퓨팅 노드(110)의 부팅 중에 사용되는 BIOS 드라이버)를 포함한다. 일부 실시예들에서, 컴퓨팅 노드(110)는 메인 플랫폼 펌웨어를 통해, 또는 통합 확장 가능 펌웨어 인터페이스(Unified Extensible Firmware Interface)("UEFI")) 사양(이는 (Unified EFI Forum)에 의해 여러 버전이 공개됨) 기반의 플랫폼 BIOS(212) 또는 Intel® 플랫폼 칩셋의 확장과 같은 사전 부트 펌웨어(pre-boot firmware)를 통해, VNF들의 조율을 용이하게 할 수 있다.
데이터 저장 디바이스(214)는, 예를 들어 메모리 디바이스들 및 회로들, 메모리 카드들, 하드 디스크 드라이브들, 솔리드 스테이트 드라이브들 또는 다른 데이터 저장 디바이스들과 같은, 데이터의 단기 또는 장기 저장을 위해 구성된 임의의 타입의 디바이스 또는 디바이스들로서 구체화될 수 있다. 사용시, 이하에서 설명되는 바와 같이, 데이터 저장 디바이스(214) 및/또는 메모리(208)는 보안 모니터링 정책들, 구성 정책들 또는 다른 유사한 데이터를 저장할 수 있다.
보안 클록(216)은 보안 타이밍 신호를 제공할 수 있고 아니면 본 명세서에서 설명된 기능들을 수행할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있다. 예를 들어, 예시적인 실시예에서, 보안 클록(216)은 컴퓨팅 노드(110)의 다른 클록 소스들과는 별개이며 기능적으로 독립적인 타이밍 신호를 생성할 수 있다. 따라서, 그러한 실시예들에서, 보안 클록(216)은, 예를 들어 컴퓨팅 노드(110) 상에서 실행되는 소프트웨어와 같은 다른 엔티티들에 의한 변경에 면역되거나 내성을 가질 수 있다. 일부 실시예들에서, 보안 클록(216)은 독립형 컴포넌트(들) 또는 회로로서 구체화될 수 있는 반면, 다른 실시예들에서 보안 클록(216)은 다른 컴포넌트(예를 들어, 프로세서(202))의 보안 부분과 통합되거나 이를 형성할 수 있음을 이해해야 한다. 예를 들어, 일부 실시예들에서, 보안 클록(216)은 온-칩 오실레이터를 통해 구현될 수 있고/있거나 관리 용이성 엔진(ME)의 보안 클록으로 구체화될 수 있다. 보안 클록(216)은 다른 컴퓨팅 노드들(110)의 보안 클록들에 동기화될 수 있고 세분성(granularity)은 별개의 메시지 타이밍을 구별할 수 있는 정도일 수 있음을 추가로 이해해야 한다.
컴퓨팅 노드(110)의 통신 회로(218)는 컴퓨팅 노드(110), 다른 컴퓨팅 노드(110), NFV 오케스트레이터(104), VIM(106), 엔드포인트 디바이스들(118, 120), 및/또는 다른 접속된 네트워크 가능 컴퓨팅 노드 사이의 통신을 가능하게 할 수 있는 임의의 통신 회로, 디바이스 또는 그것의 모음으로서 구체화될 수 있다. 통신 회로(218)는 임의의 하나 이상의 통신 기술(예를 들어, 유선 또는 무선 통신) 및 연관된 프로토콜들(예를 들어, Ethernet, Bluetooth®, Wi-Fi®, WiMAX, GSM, LTE 등)을 사용하여 그러한 통신을 실행하도록 구성될 수 있다. 예시적인 통신 회로(218)는 네트워크 인터페이스 카드(network interface card)(NIC)(220) 및 스위치(222)를 포함한다. NIC(220)는 하나 이상의 애드-인 보드(add-in-board)들, 도터카드(daughtercard)들, 네트워크 인터페이스 카드들, 제어기 칩들, 칩셋들, 또는 컴퓨팅 노드(110)에 의해 사용될 수 있는 다른 디바이스들로서 구체화될 수 있다. 예를 들어, NIC(220)는 PCI 익스프레스(Express)와 같은 확장 버스를 통해 I/O 서브시스템(206)에 결합된 확장 카드로서 구체화될 수 있다. 스위치(222)는, 네트워크 스위치 동작들을 수행할 수 있거나 아니면 이더넷 스위치 칩, PCI 익스프레스 스위칭 칩 등과 같은, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있다.
전술한 바와 같이, 컴퓨팅 노드(110)는 또한 컴퓨팅 노드(110) 상에 신뢰 실행 환경(TEE)을 확립할 수 있는 임의의 하드웨어 컴포넌트(들) 또는 회로로서 구체화될 수 있는 보안 엔진(224)을 포함할 수 있다. 특히, 보안 엔진(224)은 컴퓨팅 노드(110)에 의해 실행되는 다른 코드로부터 안전하고 독립적인, 코드의 실행 및/또는 데이터의 액세스를 지원할 수 있다. 보안 엔진(224)은 신뢰 플랫폼 모듈(Trusted Platform Module)(TPM)(예를 들어, 물리적 또는 가상의), 관리 용이성 엔진, 대역 외(OOB) 프로세서 또는 다른 보안 엔진 디바이스 또는 디바이스들의 모음으로서 구체화될 수 있다. 일부 실시예들에서, 보안 엔진(224)은 컴퓨팅 노드(110)의 시스템-온-칩(SoC)에 통합된 수렴 보안 및 관리 용이성 엔진(converged security and manageability engine)(CSME)으로서 구체화될 수 있다.
다시 도 1을 참조하면, 예시적인 NFV 보안 아키텍처(116)는 2개의 엔드포인트 디바이스(118, 120) 사이에 통신 가능하게 결합된다. 예시적인 시스템(100)에서, 제1 엔드포인트 디바이스는 엔드포인트 디바이스(1)(118)로 지정되고, 제2 엔드포인트 디바이스는 엔드포인트 디바이스(2)(120)로 지정된다. 그러나, 임의의 수의 엔드포인트 디바이스가 NFV 보안 아키텍처(116)를 통해 접속될 수 있다는 것을 이해해야 한다. 엔드포인트 디바이스들(118, 120)은 무선 또는 유선 기술을 사용하여 네트워크(도시되지 않음)를 통해 NFV 보안 아키텍처(116)와 통신 가능하게 결합되어, 엔드포인트 디바이스(1)가 엔드포인트 디바이스(2)와 통신할 수 있고 그 반대도 성립하는 엔드-투-엔드 통신 시스템을 형성한다. 따라서, NFV 보안 아키텍처(116)는 엔드포인트 디바이스들(118, 120) 사이에서 송신된 네트워크 통신 트래픽(즉, 네트워크 패킷들)을 모니터링하고 처리할 수 있다.
엔드포인트 디바이스들(118, 120)이 통신하는 네트워크는 GSM(Global System for Mobile Communications) 또는 LTE(Long-Term Evolution)와 같은 셀룰러 네트워크들, 전화 네트워크들, 디지털 가입자 라인(digital subscriber line)(DSL) 네트워크들, 케이블 네트워크들, 로컬 또는 광역 네트워크들, 글로벌 네트워크들(예를 들어, 인터넷), 또는 이들의 임의의 조합을 포함하는 임의의 타입의 무선 또는 유선 네트워크로서 구체화될 수 있다. 예를 들어, 일부 실시예들에서, 네트워크는 vEPC 아키텍처를 갖는 NFV 기반의 LTE 네트워크로서 구체화될 수 있다. 네트워크는 중앙 집중형 네트워크(centralized network)로서 기능할 수 있고, 일부 실시예들에서는 다른 네트워크(예를 들어, 인터넷)에 통신 가능하게 결합될 수 있다는 것을 이해해야 한다. 따라서, 네트워크는 엔드포인트 디바이스들(118, 120)과 NFV 보안 아키텍처(116) 간의 통신을 용이하게 하기 위해 필요에 따라, 라우터들, 스위치들, 네트워크 허브들, 서버들, 저장 디바이스들, 계산 디바이스들 등과 같은, 가상의 및 물리적인 다양한 네트워크 디바이스들을 포함할 수 있다.
엔드포인트 디바이스들(118, 120)은 제한 없이, 스마트폰, 모바일 컴퓨팅 디바이스, 태블릿 컴퓨터, 랩톱 컴퓨터, 노트북 컴퓨터, 컴퓨터, 서버(예를 들어, 독립형, 랙-장착형, 블레이드 등), 네트워크 어플라이언스(예를 들어, 물리적 또는 가상의), 웹 어플라이언스, 분산형 컴퓨팅 시스템, 프로세서 기반 시스템, 및/또는 멀티프로세서 시스템을 포함하는, 본 명세서에 설명된 기능들을 수행할 수 있는 임의의 타입의 계산 또는 컴퓨터 디바이스로서 구체화될 수 있다. 도 3에 도시된 바와 같이, 도 2의 컴퓨팅 노드(110)와 유사하게, 예시적인 엔드포인트 디바이스(예를 들어, 도 1의 엔드포인트 디바이스들(118, 120) 중 하나)는 프로세서(302), 입/출력(I/O) 서브시스템(304), 메모리(306), 데이터 저장 디바이스(308), 하나 이상의 주변 디바이스(310), 및 통신 회로(312)를 포함한다. 이와 같이, 유사한 컴포넌트들의 추가 설명은, 컴퓨팅 노드(110)에 관하여 위에서 제공된 대응하는 컴포넌트들의 설명이 엔드포인트 디바이스들(118, 120)의 대응하는 컴포넌트에 동일하게 적용된다는 것을 이해하면서 설명의 명확성을 위해 본 명세서에서 반복되지 않는다.
물론, 엔드포인트 디바이스들(118, 120)은 다른 실시예들에서의 통신 인프라구조에서 동작할 수 있는 모바일 컴퓨팅 디바이스에서 공통적으로 발견되는 것과 같은 다른 또는 추가적인 컴포넌트들(예를 들어, 다양한 입/출력 디바이스들)을 포함할 수 있다. 게다가, 일부 실시예들에서, 예시적인 컴포넌트들 중 하나 이상은 다른 컴포넌트에 통합되거나 아니면 그의 일부를 형성할 수 있다. 주변 디바이스들(310)은 임의의 수의 입/출력 디바이스들, 인터페이스 디바이스들, 및/또는 다른 주변 디바이스들을 포함할 수 있다. 예를 들어, 일부 실시예들에서, 주변 디바이스들(310)은 디스플레이, 터치 스크린, 그래픽 회로, 키보드, 마우스, 스피커 시스템, 및/또는 다른 입/출력 디바이스들, 인터페이스 디바이스들, 및/또는 주변 디바이스들을 포함할 수 있다.
이제 도 4를 참조하면, NFV 보안 아키텍처(116)의 보안을 모니터링하기 위한 도 1의 NFV 보안 아키텍처(116)의 예시적인 실시예는, 도 1의 NFV 보안 서비스 제어기(102), NFV 오케스트레이터(104), VIM(106) 및 NFV 인프라구조(108)를 포함한다. 예시적인 실시예(116)의 각각의 보안 모니터링 컴포넌트는 대응하는 보안 모니터링 컴포넌트를 고유하게 식별하는 글로벌 고유 보안 식별자(globally unique security identifier)를 포함한다. 글로벌 고유 보안 식별자는, 예를 들어 보안 모니터링 컴포넌트의 매체 액세스 제어(media access control)(MAC) 어드레스, 보안 모니터링 컴포넌트에 할당된 인터넷 프로토콜(IP) 어드레스, 보안 모니터링 컴포넌트의 보안 메모리(210)에 임베드된 식별자(예를 들어, BIOS(212)(UEFI) 식별자, 보안 모니터링 컴포넌트의 운영 체제의 식별자 등)에 기초할 수 있다. 글로벌 고유 보안 식별자는, 예를 들어 보안 엔진(224)(예를 들어, ME, 수렴 보안 및 관리 용이성 엔진(CSME), 혁신 엔진(innovation engine), 보안 파티션, 보안 코프로세서 또는 별도의 프로세서 코어 등) 상의 펌웨어 TPM과 같은 물리적 TPM 또는 소프트웨어 기반의 신뢰 모듈 내에서 보호되고/되거나, 보안 위치(예를 들어, 보안 메모리 (210))에 저장될 수 있다. 임의의 보안 모니터링 컴포넌트들 또는 그것의 기능성은 보안 환경(예를 들어, 프로세서(202)의 TEE 서포트들(204))에서 인스턴스화될 수 있다. 이와 같이, 모든 인스턴스화는 글로벌 고유 보안 식별자에 의해 식별될 수 있다. 또한, 일부 실시예들에서, 글로벌 고유 보안 식별자는 인스턴스화시 유스 케이스 메시징(use-case messaging)에 바인딩될 수 있다.
추가적으로, 각각의 고유 사용 인스턴스는 고유 사용 식별자를 포함한다. 따라서, NFV 보안 아키텍처(116) 내의 다수의 사용 및 흐름은, 예를 들어 감사, 인증, 제어, 디버깅 등을 위해 고유하게 식별될 수 있다. 전술한 바와 같이, 일부 실시예들에서, NFV 보안 아키텍처(116)는 NFV 보안 서비스 제어기(102), NFV 오케스트레이터(104) 및 VIM(106) 중 하나 이상의 인스턴스를 포함할 수 있다. 이러한 실시예들에서, 컴포넌트들의 다수의 인스턴스는 동일한 외부 식별자를 사용하도록 미러링될 수 있고, 미러링된 컴포넌트들을 구별하기 위해 고유 내부 식별자(예를 들어, 인스턴스 보안 식별자)를 추가적으로 포함한다.
또한, NFV 보안 아키텍처(116)의 각각의 논리적 컴포넌트는 SFC 정책, VNF 간 통신 키들, VIM 제어기(424) 정책들 등과 같은 특정 용도들을 처리하기 위해 둘 이상의 물리적 및/또는 논리적 컴포넌트(들)로 분리될 수 있다. 이러한 실시예들에서, 물리적 및/또는 논리적 컴포넌트들은 설치 이전에 검증될 수 있는, 운영자 또는 클라우드 제공자에 의한 글로벌 고유 식별자(globally unique identifier)(GUID)와 함께 서명될 수 있다. 서명은 공개 키(예컨대, 인증서 키, 퓨즈 키, 디바이스 특정 키 등)가 NFV 인프라구조(108)에 임베드되고 NFV 보안 서비스 에이전트들에 의해 액세스될 수 있는 개인 키를 사용하여 수행될 수 있다. 따라서, 검증은 물리적 및/또는 논리적 컴포넌트들의 환경의 엄격한 제어 내에서 NFV 보안 서비스 에이전트들에 의해 수행될 수 있다.
NFV 보안 서비스 제어기(102)는 보안 통신 채널(406)을 통해 NFV 오케스트레이터(104)에 통신 가능하게 결합된다. 전술한 바와 같이, 일부 실시예들에서, NFV 보안 서비스 제어기(102) 및 NFV 오케스트레이터(104)는, 예를 들어 MANO 아키텍처 프레임워크에 함께 위치할 수 있다. 또한, NFV 보안 서비스 제어기(102)는 보안 통신 채널(414)을 통해 VIM(106)에 통신 가능하게 결합되고, NFV 오케스트레이터(104)는 보안 통신 채널(416)을 통해 VIM(106)에 통신 가능하게 결합된다. 보안 통신 채널들(406, 414, 416) 뿐만 아니라, NFV 보안 아키텍처(116)의 다른 보안 통신 채널들은 NFV 보안 아키텍처(116)의 통신 채널들(예를 들어, 보안 통신 채널들(406, 414, 416))을 확립하기 위한 신뢰 루트(root of trust)(RoT)를 확립하기 위해 NFV 보안 서비스 제어기(102)에 의해 사용되는 보안 키들(예를 들어, 세션 키들 및/또는 다른 암호 키들)로 보호될 수 있다. 일부 실시예들에서, 보안 키들은 주기적으로 리프레시될 수 있는 쌍으로 된 세션 키들로서 구체화될 수 있다. 이와 같이, NFV 보안 서비스 제어기(102)는 인증 서버로서 작용하도록 구성될 수 있다.
NFV 보안 아키텍처(116)는 통신 채널(404)을 통해 NFV 오케스트레이터(104)에 통신 가능하게 결합되는 동작 지원 시스템들 및 비즈니스 지원 시스템들(operations support systems and business support systems)(OSS/BSS)(402)을 추가적으로 포함한다. OSS/BSS(402)는 본 명세서에 설명된 기능들을 수행할 수 있는, 예를 들어 전화 네트워크에서 다양한 엔드-투-엔드 통신 서비스들을 지원할 수 있는 임의의 타입의 계산 또는 컴퓨팅 노드로서 구체화될 수 있다. 일부 실시예들에서, OSS/BSS(402)는, 예를 들어 네트워크 인벤토리, 서비스 프로비저닝, 네트워크 구성 및 장애 관리와 같은 관리 기능들뿐만 아니라, OSS/BSS(402)에 의해 지원될 수 있는 엔드-투-엔드 통신 서비스들을 지원하기 위한 다양한 비즈니스 기능들, 예를 들어 제품 관리, 고객 관리, 매출 관리, 주문 관리 등을 지원하도록 구성될 수 있다.
전술한 바와 같이, 사용시 NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트들에 걸쳐 보안 모니터링 정책들을 제공하고 시행한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책들을 각각의 보안 통신 채널들을 통해 NFV 오케스트레이터(104) 및 VIM(106)에 송신한다. NFV 보안 서비스 제어기(102)는 보안 통신 채널(418)을 통해 NFV 보안 모니터링 분석 시스템(438)에 통신 가능하게 추가로 결합된다.
이하 추가로 설명될 NFV 보안 모니터링 분석 시스템(438)은, NFV 보안 모니터링 분석 시스템(438)이 현재 시행되고 있는 보안 모니터링 정책에 따라 수신된 원격 측정 데이터의 분석에서 보안 위협, 예를 들어 공격(예를 들어, 서비스 거부(denial-of-service)(DoS) 공격, 중간자(man-in-the-middle) 공격, 도청, 데이터 수정 공격 등) 또는 이상을 검출했는지에 기초하여 NFV 보안 서비스 제어기(102)에 교정 정책(즉, 업데이트된 보안 모니터링 정책)을 제공한다. 따라서, NFV 보안 서비스 제어기(102)는 위협을 처리하거나 이상을 확인하기 위해 취해질 수 있는 시정 조치에 의한 것과 같은, 교정 정책에 기초하여 보안 모니터링 정책에 대한 임의의 업데이트를 시행하도록 구성된다. 예를 들어, 시정 조치에는 특정 네트워크 트래픽(즉, 특정 네트워크 패킷들)을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 검사(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한하거나 스로틀링(throttling)하는 등을 포함할 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 그 후 보안 정책 업데이트를 VIM(106)의 NFV 보안 서비스 제공자(420)로 송신할 수 있다.
추가적으로, 예시적인 NFV 보안 서비스 제어기(102)는, 감사 데이터베이스(410), NFV 카탈로그 데이터베이스(412) 및 VSF 카탈로그 데이터베이스와 같은 3개의 논리적 보안 데이터베이스와 인터페이스한다. 감사 데이터베이스(410)는 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트들에 관한 보안 감사 정보를 포함하는 보안 데이터베이스로서 구체화된다. 보안 감사 정보는 구성 변경 로그들, 네트워크 트레이스들, 디버그 트레이스들, 애플리케이션 트레이스들 등을 포함할 수 있다. 예시적인 NFV 보안 아키텍처(116)에서, 감사 데이터베이스(410)는 NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트 및 다른 네트워크, 예를 들어 NFV 보안 아키텍처(116)에 걸쳐 분배된 다양한 NFV 보안 서비스 에이전트들 및 VIM(106)과 인터페이스하도록 추가적으로 구성된다(이는 이하에서 추가로 상세히 논의될 것임). 일부 실시예들에서, 감사 데이터베이스(410)와 인터페이스하는 예시적인 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트들은 보안 저장을 위한 감사 데이터베이스(410)에서 수신된 원격 측정 데이터를 타임스탬프(timestamp)하기 위해 보안 클록(예를 들어, 도 2의 보안 클록(216))을 사용할 수 있다. 따라서, NFV 보안 서비스 제어기(102)는 원격 측정 데이터의 타임스탬프에 기초하여 원격 측정 데이터를 감사(즉, 원격 측정 데이터를 검증 및 시퀀싱)할 수 있다.
NFV 보안 데이터베이스(412)는 NFV 보안 아키텍처(116)에 걸쳐(즉, NFV 보안 아키텍처(116)에 걸쳐) 보안 모니터링을 배치하는데 사용되는 보안 데이터베이스로서 구체화된다. 따라서, NFV 보안 데이터베이스(412)는, 예를 들어 NFV 가입자/테넌트(tenant)들, SFC 정책들, SFC 경로 보호 정책들, VIM(106)(예컨대, VIM 제어기(424))에 대한 제어기 정책들, NFV 보안 모니터링 정책들 및 구성들, NFV 보안 프로비저닝 크리덴셜들(예를 들어, SFC들을 보호하기 위한) 서비스 기능 체인들, VNF 간 정책들, 하나 이상의 클라우드 운영 체제 보안 정책들, 및/또는 테넌트-특정 보안 정책들과 같은 보안 데이터 구조들을 포함할 수 있다.
VSF 카탈로그 데이터베이스(492)는 보안 모니터링 VNF들뿐만 아니라 보안 모니터링 VNF들에 관한 메타데이터 및 정보를 추가 및 제거하기 위한 명령어들의 카탈로그들을 포함하는 보안 데이터베이스로서 구체화된다. 즉, VSF 카탈로그 데이터베이스(492)는 보안 모니터링 VNF들을 위한 리포지토리로서의 역할을 할 수 있다. VSF 카탈로그 데이터베이스(492)는 보안 모니터링 VNF가 VSF 카탈로그 데이터베이스(492)에 "체크-인"될 때 조율을 위해 이용 가능하게 될 수 있음을 이해해야 한다.
전술한 바와 같이, 사용시에, NFV 오케스트레이터(104)는 NFV 인프라구조(108) 내의 VNF들의 라이프사이클을 관리하고, 이는 인스턴스화, 스케일링-아웃/인, 성능 측정, 이벤트들의 상관, 종료 등을 포함한다. 그렇게 하기 위해, NFV 오케스트레이터(104)는, NFV 인프라구조(108)의 리소스들에 기초하여 NFV 인프라구조(108)의 VNF들(VNF 인스턴스들(440) 참조)의 초기화 및 구성(즉, 스케일링 및 배치)를 관리하기 위한 명령어들을 보안 통신 채널(434)을 통해 VNF 관리자(432)에 제공하도록 구성된다. VNF 관리자(432)는, NFV 인프라구조(108)에 대한 구성 및 이벤트 보고를 위한 전체 조정 및 적응을 수행하도록 추가로 구성된다. VNF 관리자(432)는 VNF의 무결성을 업데이트 및 보장하도록 추가적으로 구성된다. 그렇게 하기 위해, VNF 관리자(432)는 보안 통신 채널(430)을 통해 VIM(106)과 협의하여 특정한 VNF 인스턴스들을 인스턴스화하기 위해 이용 가능한 물리적 리소스들을 결정하도록 구성된다. VIM(106)은 임의의 적합한 기술들, 알고리즘들 및/또는 메커니즘들을 사용하여 이러한 결정을 할 수 있음을 이해해야 한다. 일부 실시예들에서, 단일 VNF 관리자(432)는 하나 이상의 VNF 인스턴스를 관리할 책임이 있을 수 있음을 또한 이해해야 한다. 다시 말해, 일부 실시예들에서, VNF 관리자(432)는 VNF 인스턴스들 각각에 대해 인스턴스화될 수 있다.
또한, 전술한 바와 같이, 사용시, VIM(106)은 보안 통신 채널(474)을 통해 안전하게 송신된 메시지를 통해 NFV 인프라구조(108)의 가상 및 하드웨어 계산, 저장, 및 네트워크 리소스들의 할당을 제어하고 관리한다. 추가적으로, VIM(106)은 NFV 인프라구조(108) 계산, 저장 및 네트워크 리소스들(예를 들어, 물리적 및 가상의)의 이벤트들 및 성능 측정을 수집하여 감사 데이터베이스(410)에 안전하게 포워딩하도록 구성될 수 있다. 예시적인 VIM(106)은 NFV 보안 서비스 제공자(420), VIM 제어기(424) 및 다수의 VIM 컴포넌트(428)를 포함한다. NFV 보안 서비스 제공자(420)는 보안 통신 채널(414)을 통해 NFV 보안 서비스 제어기(102)로부터 보안 모니터링 정책을 수신하고, NFV 인프라구조(108)의 다양한 보안 모니터링 컴포넌트에 걸쳐 보안 모니터링 정책을 구현하고, NFV 보안 서비스 제어기(102)로부터 수신된 보안 모니터링 정책에 기초한 VNF 인스턴스들(예를 들어, VNF 인스턴스들(440)의 서비스 기능 체인 VNF들(452))을 제공하도록 구성된다.
추가적으로, NFV 보안 서비스 제공자(420)는 NFV 인프라구조(108) 및 VIM(106)의 NFV 보안 서비스 에이전트들 중 하나 이상과 안전하게 통신하도록 구성된다. VIM 제어기(424)는, 네트워크 정책 제어기, 또는, 예를 들어 소프트웨어 정의된 네트워킹(software defined networking)(SDN) 제어기 또는 OpenStack Neutron과 같은 네트워킹 서비스 제어기로서 기능하도록 구성된다. VIM 컴포넌트들(428)은, 예를 들어 VNF 이미지 관리 제어기들(예를 들어, VNF 인스턴스들(440)을 설치 및 프로비저닝하기 위한 OpenStack Nova)과 같은, VNF 인스턴스들 및/또는 활성화 서비스들을 설치하는데 필요할 수 있는, VIM(106)의 임의의 추가적인 물리적 및/또는 가상의 계산, 저장, 및 네트워크 리소스들을 포함할 수 있다. 예시적인 VIM 제어기(424)는, 예를 들어 정책 기반 정보와 같은 VIM 제어기(424)의 원격 측정 데이터를 수집하고, 그뿐만 아니라 다른 VIM 컴포넌트들(428)로부터도 수집하도록 구성되는 NFV 보안 서비스 에이전트(426)를 포함한다.
NFV 인프라구조(108)는 VNF들이 배치될 수 있는 컴퓨팅 노드들(110)의 하드웨어 및 소프트웨어 컴포넌트들(즉, 가상의 계산, 저장 및 네트워크 리소스들, 가상화 소프트웨어, 하드웨어 계산, 저장 및 네트워크 리소스들 등) 모두를 포함한다. NFV 인프라구조(108)의 물리적 및/또는 가상의 컴포넌트들은 상이한 위치들, 데이터 센터들, 지리(geographies), 제공자들 등에 걸쳐 있을 수 있음을 이해해야 한다. 추가적으로, NFV 인프라구조(108)의 컴포넌트들이 통신 및 인터페이스하기 위해 사용하는 네트워크는 NFV 인프라구조(108)에 포함되는 것으로 간주될 수 있음을 추가로 이해해야 한다.
예시적인 NFV 인프라구조(108)는 하나 이상의 플랫폼(480), 도 2의 BIOS(212), 하이퍼바이저(462), 및 하나 이상의 VNF 인스턴스(440)를 포함한다. 예시적인 플랫폼(480)은, 플랫폼(1)(482)로 지정된 제1 플랫폼, 및 플랫폼(N)(482)(즉, "N 번째" 플랫폼, 여기서 "N"은 양의 정수이고 하나 이상의 추가 플랫폼을 지정함)으로 지정된 제2 플랫폼을 포함한다. 각각의 플랫폼(480)은 도 2의 I/O 서브시스템(206), NIC(220) 및/또는 스위치(222)를 포함한다. 예시적인 플랫폼(1)(482)은 NFV 보안 서비스 에이전트(486)를 추가적으로 포함한다. NFV 보안 서비스 에이전트(486)는 보안 통신 채널(488)을 통해 하드웨어 레벨에서(즉, I/O 서브시스템(206), NIC(220) 및/또는 스위치(222)로부터) 원격 측정 데이터를 수집하도록 구성된다. 따라서, NFV 보안 서비스 에이전트(486)에 의해 수집된 원격 측정 데이터는 NIC 구성 정보, 다양한 하드웨어 결함들, 에러들 및/또는 이상들, 및 네트워크 패킷 거동들(network packet behaviors)(예를 들어, 드롭된 패킷들)을 포함할 수 있다. 수집시, 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
하이퍼바이저(462) 또는 가상 머신 모니터(virtual machine monitor)(VMM)는 사용시, 일반적으로 VNF 인스턴스들(440) 각각을 실행하기 위한 하나 이상의 가상 머신(VM) 및/또는 컨테이너를 통해 VNF 인스턴스들(440)을 실행한다. 일부 실시예들에서, VNF 인스턴스들(440)은 가상 스위치(vSwitch), 가상 라우터(vRouter), 방화벽, 네트워크 어드레스 변환(NAT), DPI, 진화된 패킷 코어(EPC), 이동성 관리 엔티티(mobility management entity)(MME), 패킷 데이터 네트워크 게이트웨이(PGW), 서빙 게이트웨이(SGW), 과금 기능, 및/또는 다른 가상 네트워크 기능을 포함할 수 있다. 일부 실시예들에서, 특정한 VNF 인스턴스(440)는 단일 플랫폼(예를 들어, 플랫폼(482)) 상에서 또는 상이한 플랫폼들(예를 들어, 플랫폼(482) 및 플랫폼(484))에 걸쳐 실행될 수 있는 다수의 서브인스턴스를 가질 수 있다. 환언하면, 가상화될 때, 특정한 플랫폼과 함께 배치된 물리적 하드웨어에 의해 전통적으로 처리되는 네트워크 기능들은 하나 이상의 플랫폼(480)에 걸쳐 다수의 VNF 인스턴스(440)로서 분배될 수 있다. VNF 인스턴스들(440) 각각은 임의의 수의 VNF를 포함할 수 있으며, 이들 각각은 하나 이상의 VNF 컴포넌트(VNFCs)(도시되지 않음)를 포함할 수 있다. VNF 인스턴스들(440)은 임의의 적절한 가상 네트워크 기능들로서 구체화될 수 있으며; 마찬가지로, VNFC들은 임의의 적절한 VNF 컴포넌트들로서 구체화될 수 있음을 이해해야 한다. VNFC들은 하나 이상의 VNF 인스턴스(440)의 기능성을 전달하기 위해 협력하는 프로세스들 및/또는 인스턴스들이다. 예를 들어, 일부 실시예들에서, VNFC들은 VNF 인스턴스들(440)의 서브-모듈들일 수 있다.
VNF 인스턴스들(440)과 유사하게, VNFC들이 하나 이상의 플랫폼(480)에 걸쳐 분배될 수 있음을 이해해야 한다. 또한, 특정한 VNF 인스턴스들(440)이 다수의 플랫폼(480)에 걸쳐 분배될 수 있고 플랫폼들(480) 중 하나에 확립된 VNF 인스턴스(440)의 일부를 여전히 형성할 수 있음을 이해해야 한다. 일부 실시예들에서, VNF 인스턴스들(440) 및/또는 VNFC들은 동일한 플랫폼(예를 들어, 플랫폼(482) 또는 플랫폼(484)) 상에서 또는 동일한 데이터 센터 내에서 그러나 상이한 플랫폼들(480) 상에서 실행될 수 있다. 또한, 일부 실시예들에서, VNF 인스턴스들(440) 및/또는 VNFC들은 상이한 데이터 센터들에 걸쳐 실행될 수 있다.
하이퍼바이저(462)는 NFV 인프라구조(108)의 다양한 가상화된 하드웨어 리소스들(예를 들어, 가상 메모리, 가상 운영 체제들, 가상 네트워킹 컴포넌트들 등)를 확립 및/또는 활용하도록 구성된다. 추가적으로, 하이퍼바이저(462)는 VNF 인스턴스들(440) 및/또는 VNFC들에 걸친 통신을 용이하게 할 수 있다. 예시적인 하이퍼바이저(462)는 보안 통신 채널(466)을 통해 NFV 보안 서비스 에이전트(468)에 통신 가능하게 결합된 가상 라우터(464)를 포함한다. NFV 보안 서비스 에이전트(468)는 NFV 보안 서비스 제공자(420)를 통해 NFV 보안 서비스 제어기(102)로부터 보안 모니터링 정책을 수신 및 구현하도록 구성된다. 즉, NFV 보안 서비스 에이전트(468)는 보안 모니터링 정책에 기초하여 능동적 및/또는 수동적 보안 모니터링을 수행하도록 구성된다. 또한, NFV 보안 서비스 에이전트(468)는 NFV 보안 서비스 에이전트(468)의 활성화시, 모니터링 및/또는 수집을 위한 네트워크 트래픽을 보안 모니터링 정책에 매핑하도록 구성된다.
예시적인 NFV 보안 서비스 에이전트(468)는 이하에서 더 설명될 SFC 에이전트, 및 보안 모니터링 수집 에이전트(472)를 포함한다. 보안 모니터링 수집 에이전트(472)는 NFV 보안 서비스 에이전트가 상주하는 NFV 보안 아키텍처(116)의 컴포넌트에 대한 원격 측정 정보를 수집하도록 구성된다. 예시적인 NFV 보안 서비스 에이전트(468)에서, 컴포넌트는 하이퍼바이저(462)이지만, NFV 보안 서비스 에이전트(486)의 경우, 컴포넌트는 플랫폼(482)이다. NFV 보안 서비스 에이전트(468)만이 보안 모니터링 수집 에이전트(472) 및 SFC 에이전트(470)를 표시하지만, NFV 보안 아키텍처(116)에 걸쳐 분배된 NFV 보안 서비스 에이전트들(예를 들어, NFV 보안 서비스 에이전트(426), NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458), NFV 보안 서비스 에이전트(460) 및 NFV 보안 서비스 에이전트(486)) 각각은 보안 모니터링 수집 에이전트 및/또는 SFC 에이전트의 인스턴스를 포함할 수 있음을 이해해야 한다. NFV 보안 서비스 에이전트(468)의 보안 모니터링 수집 에이전트(472)는 BIOS 레벨(즉, BIOS(212) 및/또는 하이퍼바이저(462))에서 원격 측정 데이터를 수집하도록 구성된다. 보안 모니터링 수집 에이전트(472)에 의해 수집된 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
예시적인 VNF 인스턴스들(440)은 가상 네트워킹 디바이스(예를 들어, vSwitch, vRouter, 방화벽, NAT, DPI, EPC, MME, PGW, SGW 등)로서 수행하도록 구성된 네트워크 VNF(442), 전용 모니터링 에이전트로서 기능하도록 구성된 보안 모니터링 VNF(446), 및 특정한 가상 기능 또는 서비스를 수행할 수 있는 하나 이상의 서비스 기능 체인 VNF(452)를 포함하는 서비스 기능 체인(450)을 포함한다. 다른 실시예들에서, 추가적인 및/또는 대안적인 VNF 인스턴스들이 배치될 수 있음을 이해해야 한다. 이와 같이, 도 4의 예시적인 NFV 보안 아키텍처(116)가 단일 보안 모니터링 VNF(446)만을 도시할지라도, 복수의 단일 보안 모니터링 VNF(446)가 다른 실시예들에서 배치될 수 있음을 이해해야 한다.
서비스 기능 체인(450)의 예시적인 서비스 기능 체인 VNF들(452)은, VNF(1)(454)로 지정된 제1 서비스 기능 체인 VNF 및 VNF(N)(456)(즉, "N 번째" 서비스 기능 체인 VNF, 여기서 "N"은 양의 정수이고 하나 이상의 추가적인 서비스 기능 체인 VNF 인스턴스들을 지정함)로 지정된 제2 서비스 기능 체인 VNF를 포함한다. 또한, 예시적인 서비스 기능 체인 VNF들(452) 각각은 NFV 보안 서비스 에이전트(즉, VNF(1)(454)의 NFV 보안 서비스 에이전트(458) 및 VNF(N)(456)의 NFV 보안 서비스 에이전트(460))의 인스턴스를 포함한다. NFV 보안 서비스 에이전트들(458, 460) 각각은 가상 환경 레벨에서 원격 측정 데이터를 수집하도록(즉, NFV 보안 서비스 에이전트가 상주하는 서비스 기능 체인 VNF들(452) 각각으로부터 VNF 원격 측정 데이터를 수집하도록) 구성된다. 서비스 기능 체인(450)의 예시적인 서비스 기능 체인 VNF들(452) 각각은 NFV 보안 서비스 에이전트(458, 460)를 포함하지만, 일부 실시예들에서, 단일 NFV 보안 서비스 에이전트(예를 들어, 보안 모니터링 VNF(446)의 NFV 보안 서비스 에이전트(448))는 원격 측정 데이터를 모니터링하고 수집하는데 사용될 수 있음을 이해해야 한다.
네트워크 VNF(442)는 인텔® 데이터 평면 개발 킷(Intel® DPDK)과 같은 사용자 데이터 평면에서 네트워크 트래픽을 처리하기 위한 패킷 프로세서(444)를 포함할 수 있다. 보안 모니터링 VNF(446)는 가상 환경 레벨에서 원격 측정 데이터를 수집하도록(즉, VNF 인스턴스들(440) 각각으로부터 VNF 원격 측정 데이터를 수집하도록) 구성된 NFV 보안 서비스 에이전트(security services agent)(SSA)(448)를 포함할 수 있다. NFV 보안 서비스 에이전트(448)의 보안 모니터링 수집 에이전트(도시되지 않음)에 의해 수집된 원격 측정 데이터는, 예를 들어 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신된다.
NFV 보안 모니터링 분석 시스템(438)은 보안 통신 채널(490)을 통해 다양한 NFV 보안 서비스 에이전트로부터 NFV 인프라구조(108)와 관련된 원격 측정 데이터를 안전하게 획득하고, 보안 통신 채널(436)을 통해 VNF 관리자(432)와 관련된 VNF 구성 데이터를 안전하게 획득하도록 구성된다. VNF 구성 데이터는 각각의 NFV에 의해 제공되는, 다수의 인스턴스화된 NFV, 다수의 활성화된 NFV, 기능 또는 서비스, 또는 기능 또는 서비스의 일부 등을 포함할 수 있다. 따라서, NFV 보안 모니터링 분석 시스템(438)은 원격 측정 데이터 및 VNF 구성 데이터를 분석하여 임의의 위협들 및/또는 이상들이 존재하는지를 검출할 수 있다. 일부 실시예들에서, NFV 보안 모니터링 분석 시스템(438)은 원격 측정 데이터 및 VNF 구성 데이터를 분석하여 보안 위협들이 식별될 수 있는 원격 측정 패턴들을 개발할 수 있다. NFV 보안 모니터링 분석 시스템(438)은 보안 위협을 검출한 것에 응답하여 시행을 위한 교정 정책(즉, 업데이트된 보안 모니터링 정책)을 보안 모니터링 컴포넌트들에 전달하도록 추가로 구성된다.
예시적인 NFV 보안 아키텍처(116)는 NFV 인프라구조(108) 내에서 실행되는 서비스 기능 체인들의 보안을 모니터링하도록 구체적으로 구성되는 다수의 보안 모니터링 컴포넌트를 포함한다. 서비스 기능 체인(SFC) 보안 모니터링 컴포넌트들은 NFV 보안 서비스 제어기(102)의 SFC 보안 제어기(408), VIM(106)의 NFV 보안 서비스 제공자(420)의 SFC 보안 제공자(422), 및 NFV 인프라구조(108) 전체에 분배된 다수의 SFC 에이전트를 포함한다. NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트들은 보안 통신을 위해 상호 인증되며, 안전하고 검증된 부트시 구축될 수 있다. 따라서, NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트들은 상이한 지리에 걸쳐, 상이한 호스팅 데이터 센터들에 걸쳐, 및/또는 신뢰되지 않은 네트워크를 통해 배치될 수 있다. 또한, NFV 보안 아키텍처(116)의 SFC 보안 모니터링 컴포넌트들은 NFV 보안 아키텍처(116) 내에 안전하게 프로비저닝될 수 있다.
SFC 보안 모니터링 컴포넌트들은, 예를 들어 vEPC 아키텍처 내에서와 같이, 다양한 VNF의 맨 위에서 실행되는 제어, 관리 및/또는 데이터 평면들 상에서 수행될 수 있다. 일부 실시예들에서, 런타임 SFC-특정 보안 모니터링 정책은 하나의 평면 상에서 발생하는 이벤트들에 의해 트리거될 수 있는 반면, 보안 모니터링 정책에 기초하여 수행되는 보안 모니터링은 해당 평면 및/또는 다른 평면들 중 하나 또는 둘 다에서 개시될 수 있다. 예를 들어, 이벤트는 악성 또는 기형의 네트워크 패킷에 의해서와 같이 제어 평면에서 트리거될 수 있으며, 교정 정책은 제어, 관리 및 데이터 평면들에 걸친 이벤트 트리거링 네트워크 패킷의 매치를 위한 SFC 모니터링 및 네트워크 데이터 패킷 수집을 포함할 수 있다.
SFC 보안 제어기(408)는 NFV 인프라구조(108)에 걸쳐 SFC 보안 정책들을 조율하도록 구성된다. 그렇게 하기 위해, SFC 보안 제어기(408)는 NFV 보안 데이터베이스(412)와 통신하여 SFC 보안 정책들 및 크리덴셜들에 액세스하도록 구성된다. SFC 보안 정책들 및 크리덴셜들은, 예를 들어 운송 정책들(즉, 메시지들, 보안 키들 등의 보안 운송을 위한) 및 VNF의 보안 프로비저닝 및/또는 NFV 인프라구조(108)의 다양한 노드에서의 설치시에 보안 모니터링 양태들에 대한 정책들과 같은 임의의 타입의 보안 정책들을 포함할 수 있다. SFC 보안 정책들 및 크리덴셜들은 SFC들을 통한 통신 및/또는 SFC들의 VNF들 내부의 통신에 대한 정책들, 예를 들어 통신이 소프트웨어(즉, 가상의) 네트워크 인터페이스 카드들, 스위치들 및/또는 라우터들의 하드웨어를 통해 송신될 것인지 여부를 추가적으로 포함할 수 있다. SFC 보안 정책 및 크리덴셜들은 흐름 식별자, 테넌트 식별자, 가입자 식별자(예를 들어, 국제 모바일 가입자 신원(International Mobile Subscriber Identity)(IMSI)), 지리적 위치, 규제 도메인 등에 기초할 수 있다.
일부 실시예들에서, 특정 정책들은 OSS/BSS(402), 및/또는 3GPP(3rd Generation Partnership Project) 보안 인프라구조와 같은 기존 보안 인프라구조를 통해 SFC 보안 제어기(408)에 구성될 수 있다. 일부 실시예들에서, 런타임 정책들(예를 들어, 특정 가입자 흐름들, 테넌트들, 애플리케이션 태그들 등을 모니터링하는 것)의 경우, 그 정책들은 기존 보안 인프라구조를 사용하여 전달될 수 있음을 이해해야 한다. 전술한 바와 같이, NFV 보안 아키텍처(116)의 보안 모니터링 컴포넌트들은 상호 인증될 수 있다. 다른 실시예들에서, SFC 보안 제어기(408)는 SFC 에이전트 및/또는 다른 원격 측정 수집 컴포넌트들 사이에 보안 키들을 전달할 수 있다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 기존 보안 인프라구조는 다양한 VNF-간(inter-VNF) 또는 SFC-당(per-SFC) 통신 또는 정책 시행에 사용될 수 있는 보안 키들을 전달할 수도 있다. 추가적으로, SFC 보안 제어기(408)는 SFC 보안 정책들을 보안 통신 채널(414)을 통해 하나 이상의 SFC 보안 제공자(422)에게 안전하게 제공하도록 추가로 구성된다.
NFV 보안 서비스 제어기(102)와 유사하게, SFC 보안 제어기(408)는 NFV 보안 모니터링 분석 시스템(438)에서 수신된 분석된 원격 측정 데이터에 기초하여 NFV 보안 모니터링 분석 시스템(438)으로부터 교정 보안 모니터링 정책을 안전하게 수신하도록 구성되고, 그 프로세스는 이하에서 추가로 설명된다. 또한, NFV 보안 서비스 제어기(102)에 의해 수신된 교정 정책과 유사하게, SFC 보안 제어기(408)에 의해 수신된 교정 보안 모니터링 정책은 NFV 보안 모니터링 분석 시스템(438)에 의해 수행되는 원격 측정 데이터의 분석에 기초하여 NFV 보안 모니터링 분석 시스템(438)에 의해 의심되는 네트워크 트래픽에서 취하기 위한 시정 조치를 포함할 수 있다. 시정 조치는 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 검사(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한 또는 스로틀링하는 것, 또는 추가로 근본 원인을 식별하거나 보안 위협을 확인하기 위해 의심되는 네트워크 트래픽에서 취할 수 있는 임의의 다른 조치를 포함할 수 있다.
SFC 보안 제어기(408)는 SFC 보안 제어기(408)에 통신 가능하게 결합되는 예시적인 NFV 보안 서비스 제공자(420)의 하나 이상의 SFC 보안 제공자(422)로 보안 모니터링 정책 업데이트를 전달하도록 추가로 구성된다. SFC 보안 제공자(422)는 VIM 제어기(424)를 포함하는 VIM(106)의 다양한 네트워크 및 보안 모니터링 컴포넌트들을 통해 보안 모니터링 정책 업데이트를 송신하도록 구성된다. SFC 보안 제공자(422)는 임의의 적절한 보안 모니터링 조치들을 포함하는 보안 모니터링 정책 업데이트를, NFV 인프라구조(108) 전체에 걸쳐 분배되어 있는 NFV 보안 서비스 에이전트들 내의 다양한 SFC 에이전트를 통해 송신하도록 추가적으로 구성된다.
예시적인 NFV 인프라구조(108)가 NFV 보안 서비스 에이전트(468)의 SFC 에이전트(470)만을 포함할지라도, SFC 에이전트는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들 중 임의의 하나 이상 내에서 인스턴스화될 수 있다는 것을 이해해야 한다. SFC 에이전트들(예컨대, SFC 에이전트(470))은 원격 측정 데이터의 추출을 수행하고 보안 모니터링 정책에 기초하여 추출된 원격 측정 데이터를 안전하게 전달하기 위해 NFV 인프라구조(108)의 다양한 보안 모니터링 컴포넌트들과 통신하도록 구성된다. 원격 측정 데이터 추출(즉, 수집)은 NFV 인프라구조(108) 내에서, 예를 들어 SFC 에이전트와 접속되는, Open vSwitch, Open vRouter, DPDK, 하드웨어 NIC(예컨대, NIC(220)), 하드웨어 스위치(예를 들어, 스위치(222)), 또는 하드웨어 라우터 등에서 적절한 후크들을 사용하여 개시될 수 있다.
예시적인 NFV 보안 서비스 에이전트(468)의 보안 모니터링 수집 에이전트(472)와 유사하게, SFC 에이전트들 각각은 해당 SFC 에이전트에 특정한 수집 에이전트(도시되지 않음)를 추가적으로 포함할 수 있고/있거나 SFC 에이전트가 상주하는 NFV 보안 서비스 에이전트의 보안 모니터링 수집 에이전트에 의존할 수 있음을 이해해야 하며, 이는 예시의 명확성을 유지하기 위해 도시되지 않는다. 즉, SFC 에이전트에 의한 수동적 및/또는 능동적 보안 모니터링 동안 추출된 원격 측정 데이터는 NFV 인프라구조(108) 상에서 실행중인 SFC 에이전트의 수집 에이전트(예를 들어, 수정된 sFlow 등)에 의해 수집될 수 있다.
전술한 바와 같이, 원격 측정 데이터는 보안 분석이 수행될 수 있는 임의의 타입의 데이터로서 구체화될 수 있다. 예를 들어, 원격 측정 데이터는 NFV 인프라구조(108) 내의 다양한 하드웨어 리소스들(예를 들어, 계산, 저장 및 네트워크), 가상화 소프트웨어 및 가상 리소스들(예를 들어, 계산, 저장 및 네트워크)로부터의 구성 및 헬스 데이터뿐만 아니라 보안 통계를 포함할 수 있다. 추가적으로 또는 대안적으로, 원격 측정 데이터는 특정 흐름의 네트워크 패킷들(즉, 모니터링될 특정한 흐름의 식별자에 의해 결정되고/되거나 패키징 및 송신을 위해 수집됨)의 전체 또는 부분(예를 들어, 헤더, 페이로드 등), 디바이스, 노드, 관리 도메인, 지리 및/또는 임의의 관리적으로 구성된 흐름 등을 포함할 수 있다. 그렇게 하기 위해, SFC 에이전트에는 네트워크 패킷, 디바이스, 노드, 지리 등을 고유하게 식별하는 식별자가 제공될 수 있다. 또한, 원격 측정 데이터는, 예를 들어 특정한 SFC에 특정하거나, SFC 흐름들을 통합하거나, 또는 터널링된 SFC 흐름들일 수 있다. 추가적으로 또는 대안적으로, 원격 측정 데이터는, 예를 들어 가상 로컬 영역 네트워크(virtual local area network)(VLAN) 및 계층 2(L2) 또는 계층 3(L3) 터널링된 패킷들과 같은, 전체 SFC 트래픽 패킷 흐름들 또는 SFC 트래픽 패킷 흐름들의 서브세트를 포함할 수 있다.
SFC 에이전트들은, 예를 들어 보안 VM, 물리적 계층 NIC들, 스위치들, 라우터들 및/또는 패브릭들과 같은, NFV 인프라구조(108)의 임의의 보안 모니터링 컴포넌트들 및/또는 통신 채널들로부터 원격 측정 데이터를 추출할 수 있다. 예를 들어, 일부 실시예들에서, VNF 인스턴스들(440) 중 하나의 NFV 보안 서비스 에이전트(예를 들어, NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458) 또는 NFV 보안 서비스 에이전트(460)) 내에서 인스턴스화되고 활성화되는 SFC 에이전트는 원격 측정 데이터를 추출하기 위해 Intel® DPDK 사용자 평면 애플리케이션(예를 들어, vSwitch, vRouter, EPC 시스템들 등)과 통신할 수 있다. 다른 예에서, 일부 실시예들에서, SFC 에이전트(470)는 원격 측정 데이터를 추출하기 위해 가상 라우터(464)(예를 들어, 가상 라우터(464)의 Open vSwitch)와 통신할 수 있다.
사용시, SFC 에이전트들은 원격 측정 데이터를 패키징하고 이를 보안 통신 채널(490)을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 전달한다. SFC 보안 제어기(408)는 다양한 SFC 에이전트들과 NFV 보안 모니터링 분석 시스템(438) 사이에서 수신되고 이들에 의해 구성되는 보호 크리덴셜들을 제공하고 구성한다. 그렇게 하기 위해, SFC 에이전트들은 수동 키 프로비저닝, 사전 공유 키들, 및/또는 SFC 보안 제어기(408)의 다른 상호 인증 기능을 사용하는 부트스트래핑을 사용할 수 있다. 또한, 통신 채널(490)은, 예를 들어 적정하게 구성된 유한한 키 수명을 갖는 고유한 쌍으로 된 랜덤 키 세션과 같은 하나 이상의 보안 키에 의해 보호될 수 있다.
이제 도 5를 참조하면, 사용시, NFV 보안 서비스 제어기(102)는 동작 중에 환경(500)을 확립한다. NFV 보안 서비스 제어기(102)의 예시적인 환경(500)은 보안 통신 모듈(510), 보안 모니터링 정책 관리 모듈(520), 보호된 송신 제어 모듈(530), NFV 보안 서비스 에이전트 제어 모듈(540) 및 원격 측정 데이터 감사 모듈(550)을 포함한다. 예시적인 환경(500)은 보안 감사 정보를 저장하는 감사 데이터베이스(410), 및 보안 모니터링 정책을 저장하는 도 4의 NFV 보안 데이터베이스(412)에 통신 가능하게 결합된다. 환경(500)의 모듈들, 로직, 및 다른 컴포넌트들 각각은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로서 구체화될 수 있다. 예를 들어, 환경(500)의 다양한 모듈들, 로직 및 다른 컴포넌트들은 NFV 보안 서비스 제어기(102)의 하드웨어 컴포넌트들 중 일부를 형성하거나 아니면 그 하드웨어 컴포넌트들에 의해 확립될 수 있다. 이와 같이, 일부 실시예들에서, 환경(500)의 모듈들 중 임의의 하나 이상은 회로 또는 전기적 디바이스들의 모음(예를 들어, 보안 통신 회로, 보안 관리 회로, 보호된 송신 제어 회로, NFV 보안 서비스 에이전트 제어 회로 및 원격 측정 데이터 감사 회로 등)으로서 구체화될 수 있다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 하나 이상의 예시적인 모듈은 스탠드얼론(standalone) 또는 독립형 모듈들로서 구체화될 수 있는, 다른 모듈 및/또는 하나 이상의 예시적인 모듈 및/또는 서브모듈의 일부를 형성할 수 있다.
보안 통신 모듈(510)은 NFV 보안 서비스 제어기(102)로/로부터 데이터(예를 들어, 메시지들, 보안 모니터링 정책들 등)의 보안 송신을 용이하게 하도록 구성된다. 그렇게 하기 위해, 보안 통신 모듈(510)은 외부 보안 시스템들(예를 들어, 외부 보안 제어기, 도 4의 OSS/BSS(402) 등)로부터 보안 정책 정보를 안전하게 수신하도록 구성된다. 추가적으로, 보안 통신 모듈(510)은 보안 통신 채널(418)을 통해 NFV 보안 모니터링 분석 시스템(438)으로부터 교정 보안 정책을 수신하도록 구성된다.
보안 통신 모듈(510)은 업데이트된 보안 정책을 보안 통신 채널(414)을 통해 NFV 보안 서비스 제공자(420)로 안전하게 송신하도록 구성된다. 유사하게, 보안 통신 모듈(510)은 NFV 보안 서비스 제어기(102)와 NFV 보안 데이터베이스(412) 사이뿐만 아니라 NFV 보안 서비스 제어기(102)와 감사 데이터베이스(410) 사이에서 데이터의 보안 송신을 용이하게 하도록 구성된다. 보안 통신 모듈(510)에 의해 송신된 모든 보안 메시지에 대해, 보안 통신 모듈(510)은 인증 키뿐만 아니라 송신을 수행하고 있는 NFV 보안 서비스 제어기(102)의 인스턴스의 고유 식별자를 포함한다. 그렇게 하기 위해, 보안 통신 모듈(510)은 주기적으로 리프레시되는 쌍으로 된 세션 키들을 사용하는 것과 같은, 다양한 키 관리 기능들, 암호화 기능들, 보안 통신 채널 관리 및/또는 다른 보안 기능들을 수행할 수 있다. 따라서, 메시지를 수신하는 보안 모니터링 컴포넌트는 NFV 보안 서비스 제어기(102)를 통해 메시지를 인증할 수 있다.
보안 모니터링 정책 관리 모듈(520)은 수신된 보안 모니터링 정책에 기초하여 NFV 보안 아키텍처(116)에 걸친 보안 모니터링 정책의 관리를 조율하도록 구성된다. 그렇게 하기 위해, 보안 모니터링 정책 관리 모듈(520)은 보안 모니터링 정책 분배 모듈(522) 및 보안 모니터링 정책 시행 모듈(524)을 포함한다. 보안 모니터링 정책 분배 모듈(522)은 보안 모니터링 컴포넌트 정책들, 구성들 및 기능들을 포함하는 보안 모니터링 정책을, NFV 보안 아키텍처(116)에 걸쳐 분배된 NFV 보안 서비스 에이전트들과 같은 NFV 보안 아키텍처(116) 전체에 걸친 다양한 보안 모니터링 컴포넌트들에 송신하도록 구성된다.
보안 모니터링 정책 시행 모듈(524)은 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트에 송신된 보안 모니터링 정책들을 시행하도록 구성된다. 그렇게 하기 위해, 보안 모니터링 정책 시행 모듈(524)은, NFV 보안 서비스 에이전트들이 보안 모니터링 정책에 따라 구성되었는지를 검증할 뿐만 아니라 보안 모니터링 정책에 따라 원격 측정 데이터를 모니터링 및 수집함으로써 보안 모니터링 정책을 시행하도록 구성된다. 예를 들어, 보안 모니터링 정책 시행 모듈(524)은 NFV 인프라구조(108)의 VNF 인스턴스에서, 예를 들어 VNF 런타임 또는 NFV 인프라구조(108)에서의 VNF의 온 보딩에서 보안 모니터링 정책을 검증하여, VNF 인스턴스들이 올바르게 구성되고 현재 실행중인 NFV 보안 서비스 에이전트들이 보안 모니터링 정책과 일치하는 원격 측정 데이터를 모니터링 및 수집하는 것을 보장하도록 구성될 수 있다. 추가적으로, 보안 모니터링 정책 시행 모듈(524)은 보안 모니터링 정책에 기초하여 복수의 VNF 인스턴스(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452))를 포함하는 서비스 기능 체인(예를 들어, 도 4의 서비스 기능 체인(450))의 토폴로지를 검증할 수 있다.
보호된 송신 제어 모듈(530)은 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452)과 같은 VNF들에 대한 보호된 송신 정책들을 셋업하도록(예를 들어, 보안 통신 채널 보호를 위해 보안을 적용하도록) 구성된다. 전술한 바와 같이, NFV 보안 서비스 제어기(102)는 보안 통신 채널들을 보호하기 위한 인증 서버로서 작용하도록 구성될 수 있다. 따라서, 보호된 송신 제어 모듈(530)은 인증 서버로서 수행하도록(즉, NFV 보안 아키텍처(116)의 보안 통신 채널들 전체에 걸쳐 송신되고 수신된 메시지들에 대한 인증을 수행하도록) 구성된 메시지 인증 모듈(534)을 추가적으로 포함할 수 있다. 예를 들어, 보호된 송신 제어 모듈(530)은 (예를 들어, 공유 메모리를 통해) 통신 채널들을 보호하기 위한 신뢰 루트(RoT)를 확립하기 위해 하나 이상의 보안 키(예를 들어, 퓨즈 키들, 세션 키들 또는 임의의 타입의 암호화 키들)를 이용할 수 있다. 일부 실시예들에서, 보안 키들은 주기적으로 리프레시될 수 있는 쌍으로 된 세션 키들로서 구체화될 수 있다. 유사하게, 보호된 송신 제어 모듈(530)은 보안 모니터링 컴포넌트와 감사 데이터베이스(410) 사이의 보안 통신 채널들을 보호하도록 구성된다.
NFV 보안 서비스 에이전트 제어 모듈(540)은, VIM(106) 및 NFV 인프라구조(108) 전체에 걸쳐 다양한 보안 기능을 전달하도록 구성되는 NFV 보안 서비스 에이전트들(도 4 참조)를 관리하도록 구성된다. 그렇게 하기 위해, NFV 보안 서비스 에이전트 제어 모듈(540)은 NFV 보안 서비스 에이전트들의 부팅 이전에, 적절한 VNF 관리자에게 접속하는 것과 같은 특정한 작업들을 수행하기 위해 런타임시 NFV 보안 서비스 에이전트들에 의해 추출될 수 있는 적절한 보안 및 정책 구성 정보를 시드(seed)한다. 예를 들어, NFV 보안 아키텍처(116)가 서비스 기능 체인의 다수의 인스턴스화된 VNF(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452))를 포함하는 실시예에서, NFV 보안 서비스 에이전트 제어 모듈(540)은, 서비스 기능 체인의 VNF들을 활성화하고, 서비스 기능 체인의 하나 이상의 VNF 상에서 NFV 보안 서비스 에이전트의 부트스트랩을 실행함으로써 NFV 보안 서비스 에이전트들의 배치(즉, 스핀-업 및 인스턴스화)를 개시하고, 부트스트랩 정보(예를 들어, NFV 보안 서비스 에이전트를 인스턴스화하기 위해 부트스트랩에 의해 사용될 수 있는 부트스트랩 구성 파라미터들, 해당 특정한 NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 및/또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보 등)를 수신하도록 구성된다.
NFV 보안 서비스 에이전트 제어 모듈(540)은 인스턴스화된 NFV 보안 서비스 에이전트를 대응하는 VNF 관리자(432)에게 통지하도록 추가로 구성된다. NFV 보안 서비스 에이전트들은 보호된 송신 제어 모듈(530)과 보안 통신 채널을 확립하기 위해 상호 인증된 키 교환을 수행하도록 구성될 수 있으며, NFV 보안 서비스 에이전트 제어 모듈(540)은 NFV 보안 서비스 에이전트들을 개인화하는데(예를 들어, 명칭, 보안 정책 그룹들, 테넌트별 정책들을 설정하고, 특정한 NFV 보안 서비스 에이전트가 상주하는 VNF 인스턴스의 VNF 관리자(432)와의 보안 세션 확립을 위한 키 자료를 분배하는 등에) 사용할 수 있다.
원격 측정 데이터 감사 모듈(550)은 감사 데이터베이스(410)에 저장된 원격 측정 데이터에 대한 감사를 수행하도록 구성된다. 그렇게 하기 위해, 원격 측정 데이터 감사 모듈(550)은 원격 측정 데이터와 연관된 타임스탬프를 분석하도록 구성된다. 전술한 바와 같이, 원격 측정 데이터는 감사 데이터베이스(410)에 송신되기 전에 보안 클록(예를 들어, 도 2의 보안 클록(216))에 의해 타임스탬프화된다. 따라서, 원격 측정 데이터 감사 모듈(550)은 원격 측정 데이터를 감사의 일부로서 검증 및 시퀀싱하도록 추가로 구성된다.
이제 도 6을 참조하면, 사용시, 각각의 NFV 보안 서비스 에이전트(예컨대, 도 4의 NFV 보안 서비스 에이전트들(426, 448, 458, 460, 468, 486))는 동작 중에 환경(600)을 확립한다. 대응하는 NFV 보안 서비스 에이전트의 예시적인 환경(600)은 보안 통신 모듈(610), 원격 측정 데이터 모니터링 모듈(620), 원격 측정 데이터 패키징 모듈(630), 및 부트스트랩 실행 모듈(640)을 포함한다. 예시적인 환경(600)은 NFV 보안 서비스 에이전트에 보안 모니터링 정책을 저장하는 보안 정책 데이터베이스(602), 및 NFV 보안 서비스 에이전트에 원격 측정 데이터를 저장하는 원격 측정 데이터베이스(604)를 추가적으로 포함한다. 일부 실시예들에서, 보안 모니터링 정책 및/또는 원격 측정 데이터는, 예를 들어 NFV 보안 데이터베이스(412) 및/또는 감사 데이터베이스(410)와 같은 NFV 보안 서비스 에이전트 외부에 저장될 수 있음을 이해해야 한다.
환경(600)의 모듈들, 로직 및 다른 컴포넌트들 각각은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로서 구체화될 수 있다. 예를 들어, 환경(600)의 다양한 모듈들, 로직 및 다른 컴포넌트들은 NFV 보안 서비스 에이전트의 하드웨어 컴포넌트들 중 일부를 형성하거나, 아니면 그 하드웨어 컴포넌트들에 의해 확립될 수 있다. 이와 같이, 일부 실시예들에서, 환경(600)의 임의의 하나 이상의 모듈은 회로 또는 전기적 디바이스의 모음(예를 들어, 보안 통신 회로, 원격 측정 데이터 모니터링 회로, 원격 측정 데이터 패키징 회로 및 부트스트랩 실행 회로 등)으로서 구체화될 수 있다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 하나 이상의 예시적인 모듈은 다른 모듈의 일부를 형성할 수 있고/있거나, 하나 이상의 예시적인 모듈들 및/또는 서브 모듈들은 스탠드얼론 또는 독립형 모듈로서 구체화될 수 있다.
보안 통신 모듈(610)은 NFV 보안 서비스 에이전트로/로부터 데이터(예를 들어, 메시지들, 원격 측정 데이터 등)의 보안 송신을 용이하게 하도록 구성된다. 예를 들어, 도 4에 도시된 바와 같이, NFV 인프라구조(108)의 NFV 보안 서비스 에이전트들은 NFV 보안 서비스 제어기(102)에 의해 제공되는 보호 크리덴셜들을 사용하여 원격 측정 데이터를 NFV 보안 모니터링 분석 시스템(438) 및 감사 데이터베이스(410)에 송신하도록 구성된다. 원격 측정 데이터 모니터링 모듈(620)은 NFV 보안 서비스 에이전트가 위치하는 컴포넌트 및/또는 레벨의 원격 측정 데이터를 모니터링하도록 구성된다. 원격 측정 데이터 모니터링 모듈(620)은 원격 측정 데이터를 능동적 및/또는 수동적으로 모니터링하도록 추가적으로 구성된다. 원격 측정 데이터는 가상의 및/또는 물리적 구성 데이터뿐만 아니라, 보안 통계, 완전한 네트워크 패킷들, 네트워크 패킷 헤더들, 또는 특정한 흐름, 특정 디바이스, 특정 진화된 노드 B(일명, E-UTRAN Node B, eNodeB, 및 eNB), 특정한 지리 또는 임의의 관리적으로 구성된 흐름과와 연관된 모든 네트워크 패킷들을 포함할 수 있다.
원격 측정 데이터 패키징 모듈(630)은 원격 측정 데이터 모니터링 모듈(620)에서 모니터링되는 원격 측정 데이터와 같은 원격 측정 데이터를 수집 및 패키징하도록 구성된다. 따라서, 수집 및 패키징된 원격 측정 데이터는 NFV 인프라구조(108) 또는 VIM(106)의 하드웨어 리소스들(예를 들어, 계산, 저장 및 네트워크), 가상화 소프트웨어 및/또는 가상 리소스들(예를 들어, 계산, 저장 및 네트워크)의 정보, 예를 들어 VNF 구성 설정들, I/O 서브시스템(206) 설정들, NIC(220) 설정들, 스위치(222) 설정들, 가상 라우터(464) 설정들, 가상 스위치 설정들, 가상 게이트웨이 설정들, vEPC 설정들, 제어기 설정들, 네트워크 트래픽 정보, 완전 및/또는 부분 네트워크 패킷들 등을 포함하는 임의의 타입의 데이터일 수 있다. 또한, 원격 측정 데이터 패키징 모듈(630)은 패키징된 원격 측정 데이터를, 예를 들어 보안 통신 모듈(610)을 통해 전용 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438))에 안전하게 전달하도록 구성된다.
원격 측정 데이터 모니터링 모듈(620) 및/또는 원격 측정 데이터 패키징 모듈(630)은 특정 원격 측정 데이터를 모니터링 및/또는 수집하기 위한 에이전트-특정 서브-모듈들을 추가적으로 포함할 수 있다. 예를 들어, 예시적인 원격 측정 데이터 모니터링 모듈(620)은 NFV 인프라구조(108)의 서비스 기능 체인(예를 들어, 서비스 기능 체인(450))에 특정한 원격 측정 데이터를 모니터링하기 위한 SFC 원격 측정 데이터 모니터링 모듈(622)을 포함한다. 유사하게, 예시적인 원격 측정 데이터 패키징 모듈(630)은, 예를 들어 SFC 원격 측정 데이터 모니터링 모듈(622)에 의해 모니터링되고 있는 네트워크 인프라구조의 서비스 기능 체인에 특정한 원격 측정 데이터를 수집 및 패키징하기 위한 SFC 원격 측정 데이터 패키징 모듈(632)을 포함한다. 추가적으로, 원격 측정 데이터 패키징 모듈(630) 및 SFC 원격 측정 데이터 패키징 모듈(632)은 각각, 보안 저장을 위한 감사 데이터베이스(410)로의 송신을 위한 원격 측정 데이터를 타임스탬프하기 위해 보안 클록(예를 들어, 도 2의 보안 클록(216))을 사용하도록 구성된다.
부트스트랩 실행 모듈(640)은 NFV 보안 서비스 에이전트를 배치하기 위해 부트스트랩을 실행하도록 구성되며, 그 부트스트랩은 NFV 보안 서비스 에이전트를 컴퓨팅 노드(예를 들어, 컴퓨팅 노드들(110) 중 하나) 상에 로딩한다. 부트스트랩 실행 모듈(640)은, 예를 들어 VNF 인스턴스(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나), 하이퍼바이저(462) 및 플랫폼들(480) 중 하나를 포함하는 NFV 보안 아키텍처(116)의 네트워크 처리 컴포넌트들 중 임의의 하나 상에 부트스트랩을 실행하도록 추가로 구성된다.
이제 도 7을 참조하면,사용시, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)의 보안 모니터링 서비스들을 관리하기 위한 방법(700)을 실행할 수 있다. 방법(700)은 블록 702에서 시작하고, 여기서 NFV 보안 서비스 제어기(102)는 보안 통신 채널(예를 들어, VIM(106)에 대한 도 4의 통신 채널(414))을 통해 NFV 인프라구조(108) 내에서 인스턴스화되는 보안 모니터링 정책을 VNF들에 송신한다. 전술한 바와 같이, 보안 모니터링 정책은, VNF들이 모니터링할 원격 측정 데이터와 VNF들의 리소스들 및 기능성을 구성하는 방법을 결정하는 데 사용하는, 다양한 모니터링 규칙을 포함한다. 사용시, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제어기(102)를 고유하게 식별하는 식별자를 이용하여 보안 통신 채널(414)을 통해 보안 모니터링 정책을 NFV 보안 서비스 제공자(420)에 송신한다. 일부 실시예들에서, NFV 보안 서비스 제어기(102)는 NFV 오케스트레이터(104)를 통해 도 4의 외부 제어기 또는 OSS/BSS(402)와 같은 외부 소스로부터 보안 모니터링 정책을 수신할 수 있다.
블록 704에서, NFV 보안 서비스 제어기(102)는 VNF들에서 보안 모니터링 정책을 검증한다. 예를 들어, NFV 보안 서비스 제어기(102)는 VNF 런타임 또는 NFV 인프라구조(108)에서의 VNF 온-보딩에서 보안 모니터링 정책을 검증할 수 있다. 블록 706에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책에 기초하여, 다수의 VNF 사이에서 이들 간의 경로들(즉, 통신 경로들)을 포함하는 SFC 토폴로지를 설치한다. 일부 실시예들에서, NFV 보안 서비스 제어기(102)는 블록 708에서, 보안 모니터링 정책에 기초하여 경로들에 걸쳐 송신된 통신을 보호하기 위해 경로들에 보안을 적용할 수 있다.
블록 710에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책의 준수를 보장하기 위해 보안 모니터링 정책에 기초하여 SFC 토폴로지를 검증한다. 블록 712에서, NFV 보안 서비스 제어기(102)는 SFC의 VNF들(예컨대, 도 4의 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452))에 대한 보호된 송신 정책들을 셋업한다. 블록 714에서, NFV 보안 서비스 제어기(102)는 SFC의 VNF들 각각을 활성화한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 보안 통신 채널을 통해 활성화 신호를 VNF들 각각으로 송신할 수 있다. 추가적으로, 활성화 신호는, 인증을 요구하는 NFV 보안 서비스 제어기(102)로부터 송신된 다른 신호들(즉, 메시지들)과 유사하게, VNF들이 활성화 신호를 인증할 수 있도록 고유 식별자를 포함한다.
블록 716에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트의 배치(즉, 스핀-업 및 인스턴스화)를 개시한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트에 대한 부트스트랩을 실행한다. 전술한 바와 같이, NFV 보안 서비스 에이전트들은 보안 모니터링 동작을 수행하기 위해 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배될 수 있다. 따라서, NFV 보안 서비스 에이전트는 SFC의 VNF들 중 하나와 같은, 도 4의 NFV 보안 아키텍처(116)의 다수의 보안 모니터링 컴포넌트에서 인스턴스화될 수 있다.
블록 718에서, NFV 보안 서비스 제어기(102)는 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되었는지를 결정한다. 그렇지 않다면, 방법(700)은 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되기를 계속 기다리기 위해 블록 718로 루프백한다. NFV 보안 서비스 제어기(102)가, 부트스트랩 정보가 인스턴스화된 NFV 보안 서비스 에이전트로부터 수신되었다고 결정하면, 방법(700)은 블록 720으로 진행하며, 여기서 NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트가 인스턴스화 되었다는 것을 VNF의 관리자에게 통지한다. 통지는 VNF의 인스턴스에 대응하는 고유 식별자와, NFV 보안 서비스 에이전트의 인스턴스에 대응하는 다른 고유 식별자를 포함한다. 따라서 VNF 관리자는 그 후 고유 식별자들에 기초하여 인스턴스화된 NFV 보안 서비스 에이전트와 통신하고 이를 관리할 수 있다. 블록 722에서, NFV 보안 서비스 제어기(102)는 인스턴스화된 NFV 보안 서비스 에이전트를 활성화한다. 블록 724에서, NFV 보안 서비스 제어기(102)는 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들에 걸쳐 보안 모니터링 정책을 시행한다.
이제 도 8을 참조하면, 사용시, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 업데이트하기 위한 방법(800)을 실행할 수 있다. 방법(800)은 블록 802에서 시작하며, 여기서 NFV 보안 서비스 제어기(102)는 교정 정책이 NFV 보안 모니터링 분석 시스템(438)으로부터 수신되었는지를 결정한다. 전술한 바와 같이, VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들은 임의의 위협들 및/또는 이상들이 검출되는지를 결정하기 위해 분석을 위한 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신되는 원격 측정 데이터를 수집하도록 구성된다. 따라서, NFV 보안 모니터링 분석 시스템(438)이 그러한 보안 위협(예를 들어, 공격 또는 이상)을 검출하는 경우, NFV 보안 모니터링 분석 시스템(438)은 교정 정책을 트리거했던 검출된 보안 위협을 해결하거나 추가로 분석하기 위한 교정 정책을 안전하게 송신한다. NFV 보안 서비스 제어기(102)가 교정 정책이 수신되지 않았다고 결정하면, 방법(800)은 교정 정책이 수신될 때까지 블록 802로 루프백한다.
NFV 보안 서비스 제어기(102)가 교정 정책을 수신하면, 블록 804에서, NFV 보안 서비스 제어기(102)는 블록 802에서 수신된 교정 정책에 기초하여 현재의 보안 모니터링 정책을 업데이트한다. 블록 806에서, NFV 보안 서비스 제어기(102)는 보안 통신 채널(예를 들어, VIM(106)에 대한 도 4의 통신 채널(414))을 통해 보안 모니터링 정책 업데이트를 NFV 보안 서비스 제공자(420)에 송신한다. 따라서, 보안 모니터링 정책 업데이트는 그 후 NFV 보안 서비스 제공자(420)로부터 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들로 추가로 송신될 수 있다.
일부 실시예들에서, 블록 808에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 갖는, NFV 보안 서비스 제어기(102)에 고유한 식별자를 보안 통신 채널을 통해 NFV 보안 서비스 제공자(420)에 추가적으로 송신한다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 블록 810에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 정책을 갖는 교정 정책에 응답하여 취해질 하나 이상의 시정 조치들을 보안 통신 채널을 통해 NFV 보안 서비스 제공자(420)에 추가적으로 송신한다. 예를 들어, 시정 조치(들)은 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 검사(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽의 레이트를 제한하거나 스로틀링하는 것 등을 포함할 수 있다. 블록 812에서, NFV 보안 서비스 제어기(102)는 VIM(106) 및/또는 NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들을 통해 업데이트된 보안 모니터링 정책을 시행한다.
이제 도 9를 참조하면, NFV 보안 서비스 에이전트를 초기화하기 위한 통신 흐름(900)의 실시예는 도 4의 NFV 보안 아키텍처(116)의 다양한 보안 모니터링 컴포넌트를 포함한다. 예시적인 통신 흐름(900)은 NFV 오케스트레이터(104), NFV 보안 서비스 제어기(102), NFV 보안 서비스 제공자(420), NFV 인프라구조(108), NFV 보안 서비스 에이전트들(예를 들어, NFV 보안 서비스 에이전트(426), NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458), NFV 보안 서비스 에이전트(460) 및 NFV 보안 서비스 에이전트(486)) 중 하나, 및 VNF 관리자(432)를 포함한다. 예시적인 통신 흐름(900)은 다수의 데이터 흐름을 추가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다.
데이터 흐름들(902 내지 910)은 NFV 보안 아키텍처(116) 내의 보안 모니터링 VNF 인스턴스들을 사용하여 NFV 보안 아키텍처(116)의 보안 모니터링을 프로비저닝하기 위한 데이터 흐름들의 시퀀스를 제공한다. 데이터 흐름(902)에서, NFV 오케스트레이터(104)는 OSS/BSS(402)로부터 수신된 보안 모니터링 정책을 NFV 보안 서비스 제어기(102)에 송신한다. 데이터 흐름(904)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 NFV 보안 서비스 제어기의 고유 식별자를 갖는 커맨드를 NFV 보안 서비스 제공자(420)로 안전하게 송신한다. 데이터 흐름(906)에서, NFV 보안 서비스 제공자(420)는 NFV 보안 서비스 에이전트를 배치(즉, 스핀 업 및 인스턴스화)하기 위해 NFV 보안 서비스 제어기 및/또는 NFV 보안 서비스 제공자의 고유 식별자를 갖는 커맨드를 NFV 인프라구조(108)로 안전하게 송신한다.
데이터 흐름(908)에서, NFV 인프라구조(108)는 NFV 보안 서비스 에이전트를 스핀 업한다. 전술한 바와 같이, NFV 보안 서비스 에이전트들은 NFV들(예를 들어, NFV 보안 서비스 에이전트(448), NFV 보안 서비스 에이전트(458) 및 NFV 보안 서비스 에이전트(460)), 하이퍼바이저(462)(예를 들어, NFV 보안 서비스 에이전트(468)) 및 플랫폼(480)(예를 들어, NFV 보안 서비스 에이전트(486))을 포함하는 NFV 인프라구조(108) 내의 다양한 위치에서 스핀 업될 수 있다. 데이터 흐름(910)에서, NFV 보안 서비스 에이전트는 인스턴스화된다(즉, NFV 보안 서비스 에이전트의 부트스트랩이 개시된다).
데이터 흐름들(912 내지 916)은 보안 기능 착수 및 NFV 보안 서비스 에이전트들의 개인화시 정보를 시딩하기 위한 데이터 흐름들의 시퀀스를 제공한다. 데이터 흐름(912)에서, NFV 보안 서비스 에이전트는 부트스트랩 실행 프로세스를 거친다. 데이터 흐름(914)에서, NFV 보안 서비스 에이전트는 부트스트랩 정보를 NFV 보안 서비스 제어기(102)로 안전하게 송신한다. 데이터 흐름(916)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 관리할 책임이 있는 VNF 관리자(432)에게 통지한다. 통지는 NFV 보안 서비스 에이전트의 인스턴스에 대응하는 고유 식별자뿐만 아니라, NFV 보안 서비스 에이전트(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나, 하이퍼바이저(462), 플랫폼들(480) 중 하나 등)에 대한 컴포넌트에 대응하는 다른 고유 식별자를 포함할 수 있다.
데이터 흐름들(918 내지 922)은 VNF들과 보안 모니터링 VNF들 사이의 보안 정책 연관을 정의하기 위한 데이터 흐름들의 시퀀스를 제공한다. 데이터 흐름(918)에서, 인스턴스화된 NFV 보안 서비스 에이전트는 VNF 관리자(432)와 관리 세션을 확립한다. 그렇게 하기 위해, NFV 보안 서비스 에이전트는 인터넷 프로토콜(IP) 어드레스, 도메인 네임 서버(DNS), 전체 도메인 네임(fully qualified domain name)(FQDN), URL(uniform resource locator) 등과 같은 VNF 관리자(432)의 제공된 고유 식별자 및 고유하게 식별하는 초기 루트 보안 크리덴셜을 사용하여 VNF 관리자(432)와 관리 세션을 확립할 수 있고, NFV 보안 서비스 에이전트와 VNF 관리자(432) 사이의 상호 인증에 사용될 수 있다.
데이터 흐름(920)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 제공자(420)에서 보안 모니터링 정책(다양한 프로토콜 타입들, 터널들 등)을 시행한다. NFV 보안 서비스 제어기(102)에서의 정책들의 매핑은 시스템 관리자, 보안 관리자, 테넌트, 머신 학습 엔진, 및/또는 임의의 다른 기술 및/또는 인가된 요원 중 하나에 의해 수행될 수 있다는 것을 이해해야 한다. 데이터 흐름(922)에서, NFV 보안 서비스 제공자(420)는 NFV 보안 서비스 에이전트에서 보안 모니터링 정책의 NFV 보안 서비스 에이전트 부분을 시행한다.
데이터 흐름들(924 및 926)은 작업부하 트래픽을 보안 정책에 매핑하기 위한 데이터 흐름들의 시퀀스를 제공한다. 예를 들어, NFV 보안 서비스 에이전트는 트래픽을 보안 모니터링 VNF 인스턴스로 핸드 오프하기 전에 VNF 그룹의 보안 정책으로의 매핑을 변환하기 위해 가상 스위치와 상호 작용할 수 있다. 이러한 실시예들에서, VNF 그룹은 작업부하 트래픽 타입(예를 들어, VLAN, 멀티프로토콜 라벨 스위칭(MPLS), GPRS(general packet radio service) 터널링 프로토콜(GTP) 등), 및 보안 모니터링 VNF들에 의해 시행될 연관된 보안 정책들에 기초할 수 있다. 따라서, 매핑은 새로운 테넌트들 합류, 기존 테넌트들 이탈, 트래픽 엔지니어링, 작업부하 밸런싱 등을 포함하는 임의의 수의 이유로 인해 변경될 수 있다. 결과적으로, OSS/BSS 시스템은 그런 변경을 NFV 보안 서비스 제어기(102)에 전달할 수 있다. 이와 같이, NFV 보안 서비스 제어기(102)는 그 후 NFV 보안 서비스 에이전트들(예를 들어, 보안 모니터링 VNF들의 NFV 보안 서비스 에이전트)에 새로운 보안 정책의 분배를 자동화할 수 있다.
데이터 흐름(924)에서, NFV 보안 서비스 제어기(102)는 NFV 보안 서비스 에이전트를 활성화한다. 그렇게 하기 위해, NFV 보안 서비스 제어기(102)는 활성화 신호를 보안 통신 채널을 통해 NFV 보안 서비스 에이전트에 제공한다. 추가적으로, 인증될 필요가 있는 NFV 보안 서비스 제어기(102)에 의해 송신된 다른 메시지들과 일치하여, 활성화 신호는 고유 식별자를 포함할 수 있다. 데이터 흐름(926)에서, NFV 보안 서비스 에이전트는 네트워크 트래픽을 보안 모니터링 정책에 매핑한다. 따라서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 따라 원격 측정 데이터를 모니터링하고 수집할 수 있다. 네트워크 트래픽 매핑의 검사는 NFV 보안 서비스 에이전트에 전달된 보안 정책들에 기초하여 NFV 보안 서비스 제어기(102)에 의해 수행될 수 있다는 것을 이해해야 한다.
이제 도 10을 참조하면, 사용시 NFV 보안 서비스 에이전트들 중 하나는 NFV 보안 아키텍처(116)의 보안을 모니터링하기 위한 방법(1000)을 실행할 수 있다. 방법(1000)은 블록 1002에서 시작하고, 여기서 NFV 보안 서비스 에이전트는 인스턴스화 요청이 수신되었는지를 결정한다. 그렇지 않다면, 방법(1000)은 블록 1002으로 루프백하여 인스턴스화 요청을 계속 대기한다. 블록 1002에서 인스턴스화 요청이 수신된 경우, 방법(1000)은 블록 1004로 진행한다. 블록 1004에서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 에이전트를 배치하기 위해 부트스트랩 프로세스를 실행하고, 부트스트랩 프로세스는 컴퓨팅 노드(예를 들어, 컴퓨팅 노드들(110) 중 하나) 상에 NFV 보안 서비스 에이전트를 로딩한다. 따라서, 부트스트랩 프로세스는 NFV 인프라구조(108), 및/또는 NFV 보안 서비스 에이전트가 배치되는 NFV 인프라구조(108)의 컴포넌트에 기초한 최적화, 예를 들어 NFV 인프라구조(108)에 걸친 NFV 보안 서비스 에이전트들의 가속화, 확장성, 신속한 배치 등을 허용할 수 있다.
블록 1006에서, NFV 보안 서비스 에이전트는 부트스트랩 정보를 NFV 보안 서비스 제어기(102)에 송신한다. 부트스트랩 정보는, 예를 들어 부트스트랩에 의해 NFV 보안 서비스 에이전트를 인스턴스화하기 위해 사용될 수 있는 부트스트랩 구성 파라미터들, 특정한 NFV 보안 서비스 에이전트 인스턴스에 대한 개인화 정보, 및/또는 NFV 보안 서비스 에이전트 인스턴스의 라이센스 정보를 포함할 수 있다. 블록 1008에서, NFV 보안 서비스 에이전트는 VNF 관리자(예를 들어, VNF 관리자(432))와 관리 세션을 확립한다. 따라서, 관리 세션이 확립되는 VNF 관리자는 NFV 보안 서비스 에이전트의 관리 제어를 맡을 수 있다. 블록 1010에서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 제공자(420)를 통해 NFV 보안 서비스 제어기(102)로부터 능동 및/또는 수동 모니터링을 위한 보안 모니터링 정책을 수신한다. 따라서, NFV 보안 서비스 에이전트는 NFV 보안 서비스 에이전트와 관련된 보안 모니터링 정책의 일부만을 수신할 수 있다.
블록 1012에서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 모니터링 및/또는 수집을 위한 네트워크 트래픽 데이터를 매핑한다. 즉, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 모니터링할 네트워크 트래픽을 매핑한다. 블록 1014에서, NFV 보안 서비스 에이전트는 보안 모니터링 정책에 기초하여 보안 모니터링(예를 들어, 매핑된 네트워크 트래픽의 보안 모니터링)을 수행한다. 그렇게 하기 위해, 블록 1016에서, NFV 보안 서비스 에이전트는 제어, 관리 및/또는 데이터 평면(들)에 대한 보안 모니터링을 수행한다. 일부 실시예들에서, 보안 모니터링 정책에 기초하여, 모니터링은 수동 또는 자동화된 이상 검출에 기초하는, 프로비저닝된 원격 측정 모니터링 또는 특정 모니터링 정책 전달 및 활성화를 갖는 연속 모니터링일 수 있다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 모니터링은 관리자(administrator)에 의해 지정된 기준에 기초하여 관리자에 의해 트리거될 수 있다.
블록 1018에서, NFV 보안 서비스 에이전트는 원격 측정 데이터를 수집한다. 수집된 원격 측정 데이터는 가상의 및/또는 물리적 네트워크 통계, 네트워크 헬스 모니터링 정보, 네트워크 패킷들(예를 들어, 네트워크 패킷들, 랜덤 네트워크 패킷들 등의 전체 흐름들) 및/또는 임의의 다른 컴포넌트 구성 또는 네트워크 패킷 관련 데이터를 포함할 수 있다. 일부 실시예에서, NFV 보안 서비스 에이전트는 보호된 로컬 스토리지에서 원격 측정 데이터를 수집하도록 구성된 보안 모니터링 수집 에이전트(예컨대, 도 4의 보안 모니터링 수집 에이전트(472))를 통해 원격 측정 데이터를 수집할 수 있다. 블록 1020에서, NFV 보안 서비스 에이전트는 수집된 원격 측정 데이터, 보안 전송 키, 및 보호된 송신을 위한 NFV 보안 서비스 에이전트의 고유 식별자를 패키징한다. 블록 1022에서, NFV 보안 서비스 에이전트는 패키징된 원격 측정 데이터, 보안 전송 키 및 고유 식별자를 보안 통신 채널(예를 들어, 도 4의 보안 통신 채널(490))을 통해, 위협들 및/또는 이상들에 대한 원격 측정 데이터를 분석하도록 구성된 NFV 보안 모니터링 분석 시스템(예를 들어, 도 4의 NFV 보안 모니터링 분석 시스템(438))에 안전하게 송신한다.
일부 실시예들에서, 방법들(700, 800 및/또는 1000) 중 임의의 하나 이상은 컴퓨터 판독 가능 매체 상에 저장된 다양한 명령어들로서 구체화될 수 있으며, 이는 프로세서(202), 네트워크 인터페이스 제어기(220), 및/또는 컴퓨팅 노드(110)가 각각의 방법(700, 800 및/또는 1000)을 수행하게 하는 컴퓨팅 노드(110)의 다른 컴포넌트들에 의해 실행될 수 있다. 컴퓨터 판독 가능 매체는 메모리(208), 데이터 스토리지(214), 네트워크 인터페이스 제어기(220)의 로컬 메모리, 컴퓨팅 노드(110)의 다른 메모리 또는 데이터 저장 디바이스들, 컴퓨팅 노드(110)의 주변 디바이스에 의해 판독 가능한 휴대용 매체, 및/또는 기타 매체를 포함하지만 이에 제한되지 않는 컴퓨팅 노드(110)에 의해 판독될 수 있는 임의의 타입의 매체로서 구체화될 수 있다.
이제 도 11을 참조하면, (예를 들어, 도 4의 예시적인 서비스 기능 체인 VNF들(452)에서) NFV 보안 아키텍처(116)의 서비스 기능 체인(SFC)의 보안을 모니터링하기 위한 통신 흐름(1100)의 실시예가 도시되어 있다. 전술한 바와 같이, 다수의 보안 모니터링 컴포넌트는 NFV 인프라구조(예를 들어, NFV 인프라구조(108)) 내에서 실행되는 서비스 기능 체인들의 보안을 모니터링하기 위한 추가적인 및/또는 대안적인 보안 모니터링 컴포넌트들로 구체적으로 구성되거나 이들을 포함할 수 있다. 예를 들어, 도 4의 예시적인 NFV 보안 아키텍처(116)의 SFC-특정 보안 모니터링 컴포넌트들은, NFV 보안 서비스 제어기(102)의 SFC 보안 제어기(408), VIM(106)의 NFV 보안 서비스 제공자(420)의 SFC 보안 제공자(422), 및 NFV 인프라구조(108) 전체에 걸쳐 분배된 다수의 SFC 에이전트(예를 들어, SFC 에이전트(470))를 NFV 인프라구조(108)의 가상의 및 물리적인 다양한 네트워크 모니터링 및/또는 처리 컴포넌트들에 포함한다. 또한, 전술한 바와 같이, SFC 에이전트(470)가 NFV 보안 서비스 에이전트(468)에 표시되어 있지만, NFV 인프라구조(108) 전체에 걸쳐 분배된 NFV 보안 서비스 에이전트들 각각은 SFC 에이전트를 포함할 수 있음을 이해해야 한다. 따라서, 일부 실시예들에서, SFC 에이전트는 SFC의 VNF(예를 들어, 서비스 기능 체인(450)의 서비스 기능 체인 VNF들(452) 중 하나)에 상주할 수 있다.
예시적인 통신 흐름(1100)는 SFC 에이전트(470), 보안 모니터링 수집 에이전트(472), NFV 보안 모니터링 분석 시스템(438), SFC 보안 제어기(408) 및 SFC 보안 제공자(422)를 포함한다. 예시적인 통신 흐름(1100)는 다수의 데이터 흐름를 추가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다. 데이터 흐름(1102)에서, SFC 에이전트(470)는 설치, 활성화 및 필터링 정책과, SFC 에이전트(470)의 고유 식별자를 보안 모니터링 수집 에이전트(472)에 안전하게 송신한다. 설치, 활성화 및 필터링 정책은, SFC 에이전트(470)의 설치, 활성화 및 보호와 관련된 다양한 명령어 및 정보뿐만 아니라, 보안 모니터링 수집 에이전트(472)가 관련 네트워크 트래픽을 필터링하는 데 사용할 수 있는 다양한 명령어 및 정보를 포함한다. 예를 들어, 보안 모니터링 수집 에이전트(472)는 설치, 활성화 및 필터링 정책에 의해 지시된 네트워크 트래픽만을 모니터링하기 위해 네트워크 트래픽을 필터링할 수 있다. 따라서, 데이터 흐름(1104)에서, 보안 모니터링 수집 에이전트(472)는 설치, 활성화 및 필터링 정책에 기초하여 원격 측정 데이터를 모니터링 및 수집한다.
데이터 흐름(1106)에서, 보안 모니터링 수집 에이전트(472)는 NFV 보안 모니터링 분석 시스템(438)으로의 보안 송신을 위해 수집된 원격 측정 데이터를 패키징한다. 데이터 흐름(1108)에서, 보안 모니터링 수집 에이전트(472)는 패키징된 원격 측정 데이터를 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템(438)에 안전하게 송신한다. 추가적으로, 패키징된 원격 측정 데이터는 SFC 에이전트(470)의 고유 식별자를 또한 포함할 수 있다. 데이터 흐름(1110)에서, NFV 보안 모니터링 분석 시스템(438)은 패키징된 원격 측정 데이터를 수신하고 수신된 원격 측정 데이터에 대한 보안 위협 분석을 수행한다. 데이터 흐름(1112)에서, NFV 보안 모니터링 분석 시스템(438)은 공격 또는 이상과 같은 보안 위협의 검출시 보안 통신 채널을 통해 NFV 보안 모니터링 분석 시스템(438)의 교정 정책 및 고유 식별자를 안전하게 송신한다. 교정 정책은, 위협에 대처하거나 이상을 검증하는 것 중 어느 하나와 같은 보안 위협의 검출에 응답하여 취할 수 있는 하나 이상의 시정 조치를 포함할 수 있다. 예를 들어, 시정 조치(들)는 특정 네트워크 트래픽을 차단하는 것, 특정 네트워크 트래픽을 딥 패킷 검사(DPI) VNF 인스턴스로 스트리밍하는 것, 네트워크 트래픽을 레이트 제한 또는 스로틀링하는 것 등을 포함할 수 있다.
데이터 흐름(1114)에서, SFC 보안 제어기(408)는 교정 정책 및 거기에 포함된 하나 이상의 시정 조치에 기초하여 현재 보안 정책을 업데이트한다. 데이터 흐름(1116)에서, SFC 보안 제어기(408)는 SFC 보안 제어기(408)의 인스턴스에 고유한 식별자를 갖는 업데이트된 보안 정책을 보안 통신 채널을 통해 SFC 보안 제공자(422)로 안전하게 송신한다. 일부 실시예들에서, SFC 보안 제어기(408)는 VIM(106)의 토폴로지 및 분배에 따라 둘 이상의 SFC 보안 제공자(422)와 보안 통신할 수 있음을 이해해야 한다. 따라서, SFC 보안 제어기(408)가 통신하는(예를 들어, 보안 모니터링 정책을 제공하는) SFC 보안 제공자들(422) 중 어느 하나는 보안 모니터링 정책에 의존적일 수 있다. 예를 들어, 단일 SFC 정책(즉, SFC에 특정한 보안 모니터링 정책)은, 서비스 기능 체인이 다수의 POP(Points of Presence)에 걸쳐있는 경우, 상이한 POP(예를 들어, 액세스 포인트)들에서 다수의 SFC 보안 제공자(422)로 전달될 수 있다. 즉, 각각의 POP는 별도의 VIM(106) 및 별도의 SFC 보안 제공자(422)를 실행할 수 있다.
데이터 흐름(1118)에서, SFC 보안 제공자(422)는 VIM(106)(예컨대, VIM 제어기(424), 다른 VIM 컴포넌트들(428) 등)에 걸쳐 업데이트된 보안 정책을 전달한다. 데이터 흐름(1120)에서, SFC 보안 제공자(422)는 업데이트된 보안 정책 및 SFC 보안 제공자(422)의 인스턴스에 고유한 식별자를 SFC 에이전트(470)로 안전하게 송신한다.
이제 도 12를 참조하면, 사용시, 보안 모니터링 VNF(예컨대, 도 4의 보안 모니터링 VNF(446))는 동작 중에 환경(1200)을 확립한다. NFV 보안 서비스 제어기(102)의 예시적인 환경(1200)은 프로비저닝 관리 모듈(1210), 개인화 관리 모듈(1220), 정책 업데이트 관리 모듈(1230) 및 보안 모니터링 모듈(1240)을 포함한다. 환경(1200)의 모듈들, 로직, 및 다른 컴포넌트들 각각은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로서 구체화될 수 있다.
예를 들어, 환경(1200)의 다양한 모듈들, 로직 및 다른 컴포넌트들은 보안 모니터링 VNF(446)의 하드웨어 컴포넌트들 중 일부를 형성하거나, 아니면 그 하드웨어 컴포넌트들에 의해 확립될 수 있다. 이와 같이, 일부 실시예들에서, 환경(500)의 모듈들 중 임의의 하나 이상은 회로 또는 전기적 디바이스의 모음(예를 들어, 프로비저닝 관리 회로(1210), 개인화 관리 회로(1220), 정책 업데이트 관리 회로(1230) 및 보안 모니터링 회로(1240) 등)로서 구체화될 수 있다. 추가적으로 또는 대안적으로, 일부 실시예들에서, 하나 이상의 예시적인 모듈은 스탠드얼론(standalone) 또는 독립형 모듈들로서 구체화될 수 있는, 다른 모듈 및/또는 하나 이상의 예시적인 모듈 및/또는 서브모듈의 일부를 형성할 수 있다.
예시적인 환경(1200)은 보안 모니터링 VNF의 하나 이상의 기능(예를 들어, 보안 기능들)을 구성하는데 사용 가능한 데이터를 포함하는 개인화 데이터(예를 들어, 보안 구성 데이터), 보안 모니터링 VNF(446)의 파라미터들의 초기 세트, NFV 보안 아키텍처(116)의 메타데이터, 다른 VNF들에 관한 접속 정보(예를 들어, 네트워크 VNF(442), VNF 인스턴스들(440)의 서비스 기능 체인 VNF들(452) 등), 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및/또는 서비스 품질(QoS) 파라미터들 및 정책들을 저장하기 위한 개인화 데이터베이스(1202)를 더 포함한다. 일부 실시예들에서, 개인화 데이터베이스(1202)는, 예를 들어 보안 모니터링 VNF(446)의 고유 식별자, 보안 모니터링 VNF(446)가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜과 같은 프로비저닝 관련 데이터를 추가적으로 포함할 수 있다. 예시적인 환경(1200)은 보안 모니터링 VNF(446)의 보안 정책 정보 및 보안 모니터링 정보(예를 들어, 로그들, 경고들, 통계 등)를 저장하기 위한 보안 정책 데이터베이스(1204)를 추가적으로 포함한다. 보안 정책 정보는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책, 네트워크 서비스 처리 정책 등을 포함할 수 있다. 일부 실시예들에서, 임의의 하나 이상의 모듈 및/또는 서브 모듈은 개인화 데이터베이스(1202) 및/또는 보안 정책 데이터베이스(1204)에서 데이터를 저장 및/또는 검색하도록 구성될 수 있음을 이해해야 한다.
프로비저닝 관리 모듈(1210)은 NFV 보안 서비스 제어기(102)로부터 프로비저닝 데이터(예를 들어, VNF의 식별자, 플랫폼의 식별자, 보안 크리덴셜 등)를 수신하고 상호 인증된 키 교환 절차를 수행하여 보안 모니터링 VNF(446)와 VNF 관리자(예컨대, VNF 관리자(432)) 사이의 보안 통신 경로(예를 들어, 보안 통신 채널(434)을 확립하도록 구성된다. 그렇게 하기 위해, 보안 모니터링 VNF(446)는 NFV 보안 서비스 제어기(102)로부터 수신된 프로비저닝 데이터와 함께 포함된 보안 크리덴셜을 사용할 수 있다. 일부 실시예들에서, 프로비저닝 데이터는 대역 외(OOB) 통신 기술을 사용하여 수신될 수 있다.
개인화 관리 모듈(1220)은 프로비저닝 관리 모듈(1210)에 의해 확립된 보안 통신 경로와 같은 보안 모니터링 VNF의 하나 이상의 기능(예를 들어, 보안 기능들)을 구성하기 위해 사용 가능한 개인화 데이터를 VNF 관리자(432)로부터 보안 통신 경로를 통해 수신하도록 구성된다. 개인화 관리 모듈(1220)은 VNF 관리자(432)로부터 수신된 개인화 데이터에 기초하여 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하도록 추가로 구성된다. 추가적으로, 개인화 관리 모듈(1220)은 개인화 동작 상태 및 정책 업데이트 동작 상태를 VNF 관리자(432)로 송신하도록 추가로 구성된다. 개인화 동작 상태 및 정책 업데이트 동작 상태는 그 후 NFV 보안 서비스 제어기(102)로 송신될 수 있으며, NFV 보안 서비스 제어기(102)는 그 후 보안 모니터링 VNF(446)에 의해 모니터링되는 네트워크 트래픽에 대한 네트워크 전역 보안 정책(network-wide security policy)을 활성화할지를 결정할 수 있다.
정책 업데이트 관리 모듈(1230)은 프로비저닝 관리 모듈(1210)에 의해 확립된 보안 통신 경로와 같은 보안 통신 경로를 통해 VNF 관리자(432)로부터 정책 정보를 수신하도록 구성된다. 정책 업데이트 관리 모듈(1230)은 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하도록 추가로 구성된다. 보안 모니터링 모듈(1240)은 보안 모니터링 정보를 결정하기 위해 네트워크 작업부하 트래픽을 모니터링하고 보안 통신 정보를 보안 통신 경로를 통해 VNF 관리자(432)로 송신하도록 구성된다. 일부 실시예들에서, 보안 모니터링 정보는 보안 모니터링 수집 에이전트(예컨대, 도 4의 보안 모니터링 수집 에이전트(472))를 통해 보안 모니터링 VNF로부터 VNF 관리자(432)로 안전하게 송신될 수 있다. 보안 모니터링 정보는 로그들, 경고들 및 통계와 같은 네트워크 작업부하 트래픽과 관련된 다양한 데이터를 포함할 수 있다.
이제 도 13을 참조하면, 보안 VNF 개인화 및 정책 프로토콜을 프로비저닝하기 위한 통신 흐름(1300)의 실시예가 도시되어 있다. 예시적인 통신 흐름(1300)은 보안 모니터링 VNF(446), OSS/BSS(402), NFV 보안 서비스 제어기(102) 및 VNF 관리자(432)를 포함한다. 예시적인 통신 흐름(1300)은 다수의 데이터 흐름을 추가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다.
전술한 바와 같이, 보안 모니터링 VNF(446)의 (예를 들어, 보안 부트스트래핑을 통한) 보안 인스턴스화는 동적으로 인스턴스화된 보안 모니터링 VNF(446)와 그 각각의 VNF 관리자(예컨대, 도 4의 VNF 관리자(432)) 사이의 보안 채널을 가능하게 한다. 일부 실시예들에서, 보안 채널은 국부적으로 인스턴스화될 수 있음을 이해해야 한다. 보안 모니터링 VNF(446)는 도 13의 통신 흐름들 이전에 그들 각각의 VNF 관리자(예를 들어, 도 4의 VNF 관리자(432))와의 관리 세션을 확립하기 위해 이전에 프로비저닝 되었음을 추가로 이해해야 한다. 추가적으로, 보안 모니터링 VNF(446)는 또한 프로비저닝 이후 및 도 13의 통신 흐름들 이전에 활성화되었음을 이해해야 한다.
따라서, 지금 활성화된 보안 모니터링 VNF(446)는 개인화될 수 있으며, 이는 VNF 벤더 특정 개인 정보(예를 들어, 보안 크리덴셜들)를 안전하게 전달하는 것, 파리미터들의 초기 세트로 보안 구성을 수행하는 것, 적용 가능한 메타데이터 및 상태 정보로 프로비저닝하는 것, VNF-간 접속들(예를 들어, SFC에서)에 대한 상태를 확립하는 것뿐만 아니라 임의의 다른 VNF 특정 정보로 시딩(seeding)하는 것을 포함할 수 있다. 또한, 개인화는 보안 모니터링 VNF(446)가 수행하도록 구성되어야 하는 기능에 특정한 정책들 및/또는 거동 파라미터들의 착수 세트의 보안 전달을 포함할 수 있다. 이러한 정책들 및 파라미터들은 동적일 수 있으며 배치 보안 정책 및 절차들에 종속적일 수 있다. 일부 실시예들에서, 정책들은 초기 사후 보안 부트스트랩에서 및/또는 보안 모니터링 VNF(446)의 활성 실행 동안에 전달될 수 있음을 이해해야 한다. 일부 실시예들에서, 개인화 및 정책 프로토콜들은 동적이고 자동화될 수 있음을 추가로 이해해야 한다. 예를 들어, 오케스트레이션 구동 시스템에서, 보안 모니터링 VNF들(446) 각각은 상술한 프로토콜들 및 절차들을 사용하여 동적으로 그리고 안전하게 설치될 수 있다.
전술한 바와 같이, 보안 모니터링 VNF(446)는, VNF 관리자(432)의 고유 식별자(예를 들어, IP 어드레스, DNS, FQDN, URL 등), 및 NFV 보안 서비스 제어기(102)가 보안 모니터링 VNF(446) 인스턴스를 프로비저닝하는데 사용한 보안 크리덴셜을 보안 모니터링 VNF(446)가 수신했던 시간 동안 이전에 인스턴스화되고 프로비저닝되었다. 데이터 흐름(1302)에서, NFV 보안 서비스 제어기(102)는 보안 모니터링 VNF(446)의 식별자 및 플랫폼의 식별자(예를 들어, 도 4의 플랫폼들(480) 중 하나의 식별자) 뿐만 아니라 NFV 보안 서비스 제어기(102)가 보안 모니터링 VNF(446)를 프로비저닝하기 위해 사용했던 보안 크리덴셜을 VNF 관리자(432)에게 프로비저닝한다. 프로비저닝 단계(즉, 데이터 흐름 2)는 보안 모니터링 VNF(446)와 보안 모니터링 VNF(446)를 관리하는 대응하는 VNF 관리자 사이의 안전하고 신뢰성 있는 확립된 통신 채널에 대한 전제조건일 수 있음을 이해해야 한다. 일부 실시예들에서, 프로비저닝 단계는 보안 대역 외(OOB) 프로비저닝 기술을 사용하여 수행될 수 있다.
데이터 흐름(1304)에서, 보안 모니터링 VNF(446) 및 VNF 관리자(432)는 전술한 바와 같이 프로비저닝될 수 있는 보안 크리덴셜들을 사용하여 상호 인증된 키 교환 절차를 수행한다. 상호 인증 보안 프로토콜의 선택은 NFV 배치의 보안 정책(예를 들어, 전송 계층 보안(transport layer security)(TLS))을 사용하여 확립될 수 있다. 데이터 흐름(1306)에서는, 데이터 흐름(1304)에서 확립된 안전하고 신뢰성 있는 채널을 사용하여, 보안 모니터링 VNF(446)가 보안 모니터링 정보(예를 들어, 로그들, 경고들, 통계 등)를 VNF 관리자(432)로 안전하게 송신한다. 일부 실시예들에서, 보안 모니터링 VNF(446)는 보안 모니터링 정보를 송신하기 위해 VNF 관리자(432)를 이용하여 전용 채널(예를 들어, 관리 채널)을 개방할 수 있다. 데이터 흐름(1308)에서, 하나 이상의 보안 모니터링 VNF(446)는 테넌트, 서비스 및/또는 네트워크와 연관되도록 OSS/BSS(402)에서 프로비저닝될 수 있다. 그러한 연관은 새로운 테넌트, 서비스 또는 네트워크의 보안 정책에 기반할 수 있으며, 따라서 그와 같이 프로비저닝될 수 있다. 일부 실시예들에서, 테넌트 또는 서비스/네트워크 관리자는 적절한 보안 모니터링 VNF들(446)을 하나 이상의 작업부하에 할당할 수 있다.
데이터 흐름(1310)에서, OSS/BSS(402)는 정책들이 NFV 보안 서비스 제어기(102)에서 설정될 수 있도록 이런 새로운 테넌트, 서비스 또는 네트워크 프로비저닝을 NFV 보안 서비스 제어기(102)에 통신한다. 일부 실시예들에서, 통신은 도 4의 예시적인 NFV 보안 아키텍처(116)의 NFV 오케스트레이터(104)와 같은 중개자를 통해 이루어질 수 있다. 따라서, 그러한 실시예들에서, NFV 오케스트레이터(104)는 OSS/BSS(402)로부터 NFV 보안 서비스 제어기(102)로 정책들(예를 들어, 보안 정책들)을 안전하게 통신하는 것을 담당할 수 있다. 보안 정책들은, 예를 들어 테넌트의 식별자를 사용하여 식별될 수 있으며, 도 4의 예시적인 NFV 보안 아키텍처(116)에 표시된 것과 같은 구성 가능한 보안 그룹들 및/또는 다른 프로그램 가능 구조 및/또는 데이터베이스와 연관될 수 있다. NFV 오케스트레이터(104) 및 NFV 보안 서비스 제어기(102)는 그 사이에서 정보를 안전하게 송신하기 위해 보안 상호 인증된 채널을 가질 수 있음을 이해해야 한다.
데이터 흐름(1312)에서, NFV 보안 서비스 제어기(102)는 테넌트, 서비스 또는 네트워크, 및 연관된 보안 그룹(들) 또는 다른 보안 정책 정보에 대한 새로운 정책을 프로비저닝하거나 업데이트할 수 있다. 따라서, 일부 실시예들에서, 새로운 정책은 도 4의 NFV 보안 데이터베이스(412)와 같은 데이터베이스에 저장될 수 있다. 일부 실시예들에서, 민감한 정보를 포함하는 보안 정책은 그 보안 정책에 기초하여, 암호화를 사용하여 민감한 정보 내에 안전하게 저장되고 그 후 안전하게 액세스될 수 있다.
데이터 흐름(1314)에서, NFV 보안 서비스 제어기(102)는 데이터 흐름(1312)에서, 업데이트되거나 프로비저닝된 정책에 기초하여 보안 모니터링 VNF(446)에 대한 정책을 설정한다. 일부 실시예들에서는, 그렇게 해서, NFV 보안 서비스 제어기(102)가 VNF 인스턴스들 각각을 관리할 책임이 있은 VNF 관리자들 모두를 통해 보안 정책을 분배한다는 것을 이해해야 한다. 정책 분배는 신뢰할 수 있는 프로토콜을 통해 수행될 수 있다. 따라서, 이러한 실시예에서, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)에 걸쳐 상태를 유지하고 정책 일관성 및 전달 보증을 보장할 수 있다. 하이브리드 VNF 네트워크 아키텍처들과 같은 일부 실시예들에서, NFV 보안 서비스 제어기(102)는 물리적 네트워크 기능들 및/또는 가상 네트워크 기능들을 관리하는 VNF 관리자들에게 보안 정책을 전달할 수 있다. 데이터 흐름(1316)에서, VNF 관리자(432)는 보안 모니터링 VNF(446)에 대한 개인화 데이터를 보안 모니터링 VNF(446)로 푸시한다. 이러한 개인화 데이터 분배는 신뢰할 수 있는 프로토콜을 통해 수행될 수 있다.
개인화 데이터는 새로운 테넌트, 서비스 및/또는 네트워크 프로비저닝에 의해 영향을 받는 추가적인 보안 모니터링 VNF 인스턴스들로 푸시될 수 있다는 것을 이해해야 한다. 따라서, 각각의 보안 모니터링 VNF 인스턴스들의 VNF 관리자들 각각은 상태를 유지하고 모든 보안 모니터링 VNF 인스턴스들이 개인화 데이터를 수신했음을 보장할 수 있다. 개인화 데이터는, 보안 구성 데이터, 보안 모니터링 VNF 파라미터들의 초기 세트, 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 정보, 트래픽 엔지니어링 데이터, 서비스 품질(QoS) 파라미터들 및 정책들 등을 포함하는, 새로이 인스턴스화된 보안 모니터링 VNF가 작업부하 트래픽을 처리할 필요가 있을 수 있는 프로비저닝을 수행하기 위한 데이터를 포함할 수 있다.
데이터 흐름(1318)에서, VNF 관리자(432)는 보안 모니터링 VNF(446)가 보안 모니터링 VNF(446)의 로컬 정책들을 업데이트할 수 있도록 테넌트, 서비스 및/또는 네트워크 보안 정책을 보안 모니터링 VNF(446)로 푸시한다. 네트워크 보안 정책은 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책, 네트워크 서비스 처리 정책 등을 포함하는 임의의 보안 관련 정책들을 포함할 수 있다. 이러한 네트워크 보안 정책 분배는 신뢰할 수 있는 프로토콜을 통해 수행될 수 있음을 이해해야 한다. 따라서, VNF 관리자(432)는 상태를 유지하고 보안 모니터링 VNF(446)가 네트워크 보안 정책 및/또는 개인화 데이터를 수신했음을 보장할 수 있다.
데이터 흐름(1320)에서, 보안 모니터링 VNF(446)는 개인화 및 정책 업데이트(들)가 성공적임을 나타내는 지시를 NFV 보안 서비스 제어기(102)에 제공할 수 있다. 데이터 흐름(1322)에서, VNF 관리자(432)는 개인화 및/또는 정책 업데이트들이 성공적으로 수행되었다는 지시로 개인화 및 보안 정책을 업데이트할 때(예를 들어, 데이터 흐름(1320)에서와 같이 보안 모니터링 VNF(446)로부터 지시를 수신할 때) NFV 보안 서비스 제어기(102)에 다시 보고한다. 따라서, NFV 보안 서비스 제어기(102)는 VNF 관리자(432)에게 발생할 수 있는 모든 장애들 및/또는 에러들을 다시 보고할 수 있다. NFV 보안 서비스 제어기(102)는 임의의 보고된 장애(들) 및/또는 에러(들)를 처리할 수 있고, 보고된 장애들 및/또는 에러들에 응답하여 NFV 보안 아키텍처(116)의 보안 관리자에게 경보 및/또는 상태 업데이트를 발행할 수 있음을 이해해야 한다. 추가적으로 또는 대안적으로, NFV 보안 서비스 제어기(102)는 경보들 및/또는 상태 업데이트들뿐만 아니라 장애들 및/또는 에러들을 안전하게 로그할 수 있다.
데이터 흐름(1324)에서, VNF 관리자(432)로부터 성공적인 응답들을 수신할 때, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)를 통해 확장되는 작업부하 트래픽에 대한 보안 정책을 활성화할 수 있다. 따라서, 테넌트에 대한 작업부하 트래픽을 가능하게 하고 활성화하기 위해, NFV 보안 서비스 제어기(102)는 SDN 제어기들, Openstack 중성자 플러그인들(Neutron plugins), 다양한 가상의 및 물리적 스위치/라우터 관리자들 등과 같은 네트워크-전역 트래픽 스위칭 요소들과 안전하게 통신할 수 있다.
정상적인 NFV 동작에서, 보안 모니터링 VNF들은 위에 정의된 프로토콜들에 따라 개인화 및 정책 정보로 인스턴스화되고 트리거될 수 있다. 동적이고 자동화된 NFV 배치에서, 기존의 서비스들, 테넌트들 및/또는 네트워크 정책들은 보안 정책에 명시된 바와 같이, 임의의 물리적/하이브리드 네트워크 기능들을 포함하여, 균일하게 분배된 방식으로 업데이트되고 NFV 보안 아키텍처(116)에 걸쳐 업데이트되고 안전하고 일관되게 푸시될 수 있다. 이러한 보안 및 모니터링 업데이트들은 테넌트들의 추가 또는 제거, 테넌트 작업부하 마이그레이션, 테넌트의 서비스 레벨 계약(service level agreement)(SLA) 및 QoS에 대한 업데이트, 지리 기반 업데이트, 규정 요건 업데이트, 장애 등으로 인해 트리거될 수 있다. 전술한 바와 같이, 보안 정책에 대한 업데이트들은 보안 위협(예를 들어, 맬웨어 탐지, 네트워크 DoS 공격들 및/또는 기타 이러한 보안 위협들)을 완화하기 위해 NFV의 헬스 위험에 응답하여 시정 조치로서 취해질 수 있다.
이제 도 14를 참조하면, 보안 VNF 개인화 및 정책 프로토콜을 업데이트하기 위한 통신 흐름(1400)의 실시예가 도시되어 있다. 도 13의 통신 흐름(1300)과 유사하게, 예시적인 통신 흐름(1400)은 보안 모니터링 VNF(446), OSS/BSS(402), NFV 보안 서비스 제어기(102) 및 VNF 관리자(432)를 포함한다. 예시적인 통신 흐름(1400)은 다수의 데이터 흐름을 추가적으로 포함하며, 그 중 일부는 실시예에 따라 개별적으로 또는 함께 실행될 수 있다.
업데이트 통신 흐름(1400)이 수행되기 전에, 도 13에 기술된 바와 같이, VNF 개인화 및 정책 프로토콜의 초기 프로비저닝이 성공적으로 실행되었음을 이해해야 한다. 데이터 흐름(1402)에서, 보안 모니터링 VNF와 VNF 관리자(432) 사이의 보안 통신 채널(예를 들어, 도 13의 통신 흐름(1300)에서 확립된 보안 통신 채널)이 검증된다. 전술한 바와 같이, 보안 모니터링 VNF(446) 및 VNF 관리자(432)는 이들 사이에서 통신하는 보안 상호 인증된 채널을 확립할 수 있다. 따라서, 확립된 통신 채널은 일부 실시예들에서 사용될 수 있다. 그러나 일부 다른 실시예들에서, NFV 보안 배치 정책은 보안 크리덴셜들이 여전히 현재이고 활성임을 보장하기 위해 새로운 보안 채널이 업데이트 절차에 대해 셋업되어야 한다고 정의할 수 있다.
데이터 흐름(1404)에서, OSS/BSS(402)에 의해 캡처 및/또는 중계되는 시스템 이벤트는 보안 VNF 개인화 및 정책 업데이트 절차를 트리거할 수 있다. 전술한 바와 같이, 업데이트 절차는 네트워크 또는 시스템 위협, 다른 보안 정책 업데이트들 등에 응답하여 테넌트들의 추가/제거를 검출함으로써 트리거될 수 있다. 시스템 이벤트들은 자동화, 수동, 시간 구동 및/또는 동적일 수 있음을 이해해야 한다. 데이터 흐름(1406)에서, 새로운 정책은 OSS/BSS(402)로부터(예를 들어, NFV 오케스트레이터(104)를 통해) NFV 보안 서비스 제어기(102)로 전달된다. 데이터 흐름(1408)에서, NFV 보안 서비스 제어기(102)는 새로운 보안 정책들, 보안 그룹들 및 다른 연관된 구성들을 NFV 보안 데이터베이스(412)와 같은 보안 데이터베이스로 업데이트한다.
데이터 흐름(1410)에서, NFV 보안 서비스 제어기(102)는 보안 정책 업데이트를 VNF 관리자(432)로 송신한다. NFV 보안 서비스 제어기(102)는 영향받은 VNF 관리자들 모두를 송신한다는 것을 이해해야 한다. 따라서, NFV 보안 서비스 제어기(102)는 NFV 보안 아키텍처(116)에 배치된 VNF들 및/또는 보안 모니터링 VNF들 모두에 대한 VNF 관리자들을 추적할 수 있다. 데이터 흐름(1412)에서, VNF 관리자(432)는 새로운 정책 업데이트를 보안 모니터링 VNF(446)로 푸시한다. 새로운 정책 업데이트는 추가적으로 영향받은 보안 모니터링 VNF 인스턴스들로 푸시될 수 있다는 것을 이해해야 한다. 새로운 정책 업데이트를 수신할 때, 보안 모니터링 VNF(446)는 현재 실행을 포기하고, 종료하고, 모든 트래픽을 차단하고, 다른 트리거가 수신될 때까지 실행을 계속할 수 있다.
일부 실시예들에서, 데이터 흐름(1414)에서, 보안 모니터링 VNF(446)는 정책이 성공적으로 업데이트되었음을 나타내는 지시를 NFV 보안 서비스 제어기(102)로 송신할 수 있다. 데이터 흐름(1416)에서, VNF 관리자(432)는 업데이트 동작의 상태(예를 들어, 성공, 실패, 에러 등)로 NFV 보안 서비스 제어기(102)에 지시를 제공한다. 따라서, NFV 보안 서비스 제어기(102)는 또한 정책 업데이트 동안 발생할 수 있는 모든 장애들 및/또는 에러들을 VNF 관리자(432)에게 보고할 수 있다. NFV 보안 서비스 제어기(102)는 임의의 보고된 장애(들) 및/또는 에러(들)를 처리할 수 있고, 보고된 장애들 및/또는 에러들에 응답하여 NFV 보안 아키텍처(116)의 보안 관리자에게 경보 및/또는 상태 업데이트를 발행할 수 있음을 이해해야 한다. 추가적으로 또는 대안적으로, NFV 보안 서비스 제어기(102)는 경보들 및/또는 상태 업데이트들뿐만 아니라 장애들 및/또는 에러들을 안전하게 로그할 수 있다.
이러한 보안 정책 업데이트들은 전체 NFV 보안 아키텍처(116)(예를 들어, NFV, 물리적 및/또는 하이브리드 네트워크들)에 걸쳐 하나 이상의 다른 보안 모니터링 VNF인스턴스로 푸시되었음을 이해해야 한다. 데이터 흐름(1418)에서, 새로운 정책들은, 정책 업데이트가 성공적으로 완료되었음을 나타내는 상태를 수신할 때, 보안 정책에 기초하여 NFV 보안 서비스 제어기(102)에 의해 네트워크 전역에서 활성화될 수 있다. 정책 업데이트 프로토콜의 성공적인 실행은 물리적 보안 기능들을 갖춘 혼합 배치들을 포함하는 NFV 배치의 안전하고 일관된 새로운 상태를 보장해야 한다는 것을 이해해야 한다.
예들
본 명세서에 개시된 기술들의 예시적인 예들이 아래에 제공된다. 기술들의 실시예는 이하에 설명되는 예들 중 임의의 하나 이상 및 임의의 조합을 포함할 수 있다.
예 1은 네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링을 수행하기 위한 보안 모니터링 가상 네트워크 기능(VNF)을 포함하며, 보안 모니터링 VNF는 하나 이상의 프로세서; 및 복수의 명령어를 저장하는 하나 이상의 메모리 디바이스를 포함하고, 복수의 명령어는 하나 이상의 프로세서에 의해 실행될 때, 보안 모니터링 VNF로 하여금, 보안 모니터링 VNF와의 네트워크 통신에서 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하게 하고; 보안 모니터링 VNF와 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 프로비저닝 데이터 중 적어도 일부를 사용하여 VNF 관리자와 상호 인증된 키 교환 절차를 수행하게 하고; 보안 통신 경로를 통해 VNF 관리자로부터 개인화 데이터를 수신하게 하고 - 개인화 데이터는 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - ; 개인화 데이터에 기초하여 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하게 한다.
예 2는 예 1의 주제를 포함하고, 복수의 명령어는 추가로, 보안 모니터링 VNF가 보안 통신 경로를 통해 VNF 관리자로부터 정책 정보를 수신하게 하고; 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하게 한다.
예 3은 예 1 및 예 2 중 어느 하나의 주제를 포함하며, 정책 정보는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 포함한다.
예 4는 예들 1-3 중 어느 하나의 주제를 포함하고, 프로비저닝 데이터를 수신하는 것은 대역 외 통신을 사용하여 프로비저닝 데이터를 수신하는 것을 포함한다.
예 5는 예들 1-4 중 어느 하나의 주제를 포함하고, 프로비저닝 데이터는 보안 모니터링 VNF의 고유 식별자, 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함한다.
예 6은 예들 1-5 중 어느 하나의 주제를 포함하며, 상호 인증된 키 교환 절차를 수행하는 것은 보안 크리덴셜을 사용하여 상호 인증된 키 교환 절차를 수행하는 것을 포함한다.
예 7은 예들 1-6 중 어느 하나의 주제를 포함하며, 복수의 명령어는 추가로, 보안 모니터링 VNF가 보안 모니터링 정보를 보안 통신 경로를 통해 VNF 관리자로 송신하게 하고, 보안 모니터링 정보는 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함한다.
예 8은 예들 1-7 중 어느 하나의 주제를 포함하며, 개인화 데이터는 보안 구성 데이터, 보안 모니터링 VNF의 파라미터들의 초기 세트, NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 포함한다.
예 9는 예들 1-8 중 어느 하나의 주제를 포함하고, 복수의 명령어는 추가로, 보안 모니터링 VNF가 개인화 동작 상태 및 정책 업데이트 동작 상태를 VNF 관리자로 송신하게 하고, 개인화 동작 상태 및 정책 업데이트 동작 상태는 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 NFV 보안 서비스 제어기에 의해 사용 가능하다.
예 10은 네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링 가상 네트워크 기능(VNF)의 보안 개인화를 위한 방법을 포함하며, 이 방법은 보안 모니터링 VNF에 의해, 보안 모니터링 VNF와의 네트워크 통신에서 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하는 단계; 보안 모니터링 VNF에 의해, 보안 모니터링 VNF와 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 프로비저닝 데이터 중 적어도 일부를 사용하여 VNF 관리자와 상호 인증된 키 교환 절차를 수행하는 단계; 보안 모니터링 VNF에 의해, 보안 통신 경로를 통해 VNF 관리자로부터 개인화 데이터를 수신하는 단계 - 개인화 데이터는 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - ; 및 보안 모니터링 VNF에 의해, 개인화 데이터에 기초하여 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하는 단계를 포함한다.
예 11은 예 10의 주제를 포함하며, 보안 모니터링 VNF에 의해, 보안 통신 경로를 통해 VNF 관리자로부터 정책 정보를 수신하는 단계; 및 보안 모니터링 VNF에 의해, 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하는 단계를 더 포함한다.
예 12는 예 10 및 예 11 중 어느 하나의 주제를 포함하며, 정책 정보를 수신하는 단계는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 수신하는 단계를 포함한다.
예 13은 예들 10-12 중 어느 하나의 주제를 포함하며, 프로비저닝 데이터를 수신하는 단계는 대역 외 통신을 사용하여 프로비저닝 데이터를 수신하는 단계를 포함한다.
예 14는 예들 10-13 중 어느 하나의 주제를 포함하며, 프로비저닝 데이터는 보안 모니터링 VNF의 고유 식별자, 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함한다.
예 15는 예들 10-14 중 어느 하나의 주제를 포함하며, 상호 인증된 키 교환 절차를 수행하는 단계는 보안 크리덴셜을 사용하여 상호 인증된 키 교환 절차를 수행하는 단계를 포함한다.
예 16은 예들 10-15 중 어느 하나의 주제를 포함하고, 보안 모니터링 VNF에 의해, 보안 모니터링 정보를 보안 통신 경로를 통해 VNF 관리자로 송신하는 단계를 더 포함하며, 보안 모니터링 정보는 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함한다.
예 17은 예들 10-16 중 어느 하나의 주제를 포함하며, 개인화 데이터를 수신하는 단계는 보안 구성 데이터, 보안 모니터링 VNF의 파라미터들의 초기 세트, NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 수신하는 단계를 포함한다.
예 18은 예들 10-17 중 어느 하나의 주제를 포함하며, 보안 모니터링 VNF에 의해, 개인화 동작 상태 및 정책 업데이트 동작 상태를 VNF 관리자로 송신하는 단계를 더 포함하고, 개인화 동작 상태 및 정책 업데이트 동작 상태는 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 NFV 보안 서비스 제어기에 의해 사용 가능하다.
예 19는 프로세서; 및 프로세서에 의해 실행될 때 컴퓨팅 디바이스로 하여금 예들 10-18 중 어느 하나의 방법을 수행하게 하는 복수의 명령어를 저장하는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.
예 20은 컴퓨팅 디바이스에서 실행되는 결과에 응답하여 예들 10-18 중 어느 하나의 방법을 수행하는 복수의 명령어를 저장하는 하나 이상의 머신 판독 가능 저장 매체를 포함한다.
예 21은 네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링을 수행하기 위한 보안 모니터링 가상 네트워크 기능(VNF)을 포함하며, 보안 모니터링 VNF는 보안 모니터링 VNF와의 네트워크 통신에서 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하고 보안 모니터링 VNF와 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 프로비저닝 데이터 중 적어도 일부를 사용하여 VNF 관리자와 상호 인증된 키 교환 절차를 수행하는 프로비저닝 관리 회로; 및 보안 통신 경로를 통해 VNF 관리자로부터 개인화 데이터를 수신하고 - 개인화 데이터는 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - , 개인화 데이터에 기초하여 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하는 개인화 관리 회로를 포함한다.
예 22는 예 21의 주제를 포함하며, 보안 통신 경로를 통해 VNF 관리자로부터 정책 정보를 수신하고 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하는 정책 업데이트 관리 회로를 더 포함한다.
예 23은 예 21 및 예 22 중 어느 하나의 주제를 포함하며, 정책 정보는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 포함한다.
예 24는 예들 21-23 중 어느 하나의 주제를 포함하며, 프로비저닝 데이터를 수신하는 것은 대역 외 통신을 사용하여 프로비저닝 데이터를 수신하는 것을 포함한다.
예 25는 예들 21-24 중 어느 하나의 주제를 포함하며, 프로비저닝 데이터는 보안 모니터링 VNF의 고유 식별자, 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함한다.
예 26은 예들 21-25 중 어느 하나의 주제를 포함하며, 상호 인증된 키 교환 절차를 수행하는 것은 보안 크리덴셜을 사용하여 상호 인증된 키 교환 절차를 수행하는 것을 포함한다.
예 27은 예들 21-26 중 어느 하나의 주제를 포함하고, 보안 모니터링 정보를 보안 통신 경로를 통해 VNF 관리자로 송신하는 보안 모니터링 회로를 더 포함하고, 보안 모니터링 정보는 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함한다.
예 28은 예들 21-27 중 어느 하나의 주제를 포함하며, 개인화 데이터는 보안 구성 데이터, 보안 모니터링 VNF의 파라미터들의 초기 세트, NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 포함한다.
예 29는 예들 21-28 중 어느 하나의 주제를 포함하고, 개인화 관리 회로는 추가로 개인화 동작 상태 및 정책 업데이트 동작 상태를 VNF 관리자로 송신하고, 개인화 동작 상태 및 정책 업데이트 동작 상태는 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 NFV 보안 서비스 제어기에 의해 사용 가능하다.
예 30은 네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링을 수행하기 위한 보안 모니터링 가상 네트워크 기능(VNF)을 포함하며, 보안 모니터링 VNF는 보안 모니터링 VNF와의 네트워크 통신에서 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하는 프로비저닝 관리 회로; 보안 모니터링 VNF와 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 프로비저닝 데이터 중 적어도 일부를 사용하여 VNF 관리자와 상호 인증된 키 교환 절차를 수행하기 위한 수단; 보안 통신 경로를 통해 VNF 관리자로부터 개인화 데이터를 수신하는 개인화 관리 회로 - 개인화 데이터는 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - ; 및 보안 모니터링 VNF에 의해, 개인화 데이터에 기초하여 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하기 위한 수단을 포함한다.
예 31은 예 30의 주제를 포함하며, 보안 통신 경로를 통해 VNF 관리자로부터 정책 정보를 수신하는 정책 업데이트 관리 회로; 및 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하기 위한 수단을 더 포함한다.
예 32는 예 30 및 예 31 중 어느 하나의 주제를 포함하며, 정책 정보를 수신하기 위한 수단은 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 수신하기 위한 수단을 포함한다.
예 33은 예들 30-32 중 어느 하나의 주제를 포함하고, 프로비저닝 데이터를 수신하기 위한 수단은 대역 외 통신을 사용하여 프로비저닝 데이터를 수신하기 위한 수단을 포함한다.
예 34는 예들 30-33 중 어느 하나의 주제를 포함하고, 프로비저닝 데이터는 보안 모니터링 VNF의 고유 식별자, 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함한다.
예 35는 예들 30-34 중 어느 하나의 주제를 포함하며, 상호 인증된 키 교환 절차를 수행하기 위한 수단은 보안 크리덴셜을 사용하여 상호 인증된 키 교환 절차를 수행하기 위한 수단을 포함한다.
예 36은 예들 30-35 중 어느 하나의 주제를 포함하고, 보안 모니터링 정보를 보안 통신 경로를 통해 VNF 관리자로 송신하기 위한 수단을 더 포함하고, 보안 모니터링 정보는 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함한다.
예 37은 예들 30-36 중 어느 하나의 주제를 포함하며, 개인화 데이터를 수신하기 위한 수단은 보안 구성 데이터, 보안 모니터링 VNF의 파라미터들의 초기 세트, NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 수신하기 위한 수단을 포함한다.
예 38은 예들 30-37 중 어느 하나의 주제를 포함하고, 개인화 동작 상태 및 정책 업데이트 동작 상태를 VNF 관리자로 송신하기 위한 수단을 더 포함하고, 개인화 동작 상태 및 정책 업데이트 동작 상태는 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 NFV 보안 서비스 제어기에 의해 사용 가능하다.

Claims (21)

  1. 네트워크 기능 가상화(network functions virtualization)(NFV) 아키텍처에서 보안 모니터링을 수행하기 위한 보안 모니터링 가상 네트워크 기능(virtual network function)(VNF)으로서,
    상기 보안 모니터링 VNF와의 네트워크 통신에서 상기 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하고, 상기 보안 모니터링 VNF와 상기 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 상기 프로비저닝 데이터 중 적어도 일부를 사용하여 상기 VNF 관리자와 상호 인증된 키 교환 절차를 수행하는 프로비저닝 관리 회로; 및
    상기 보안 통신 경로를 통해 상기 VNF 관리자로부터 개인화 데이터를 수신하고 - 상기 개인화 데이터는 상기 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - , 상기 개인화 데이터에 기초하여 상기 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하는 개인화 관리 회로
    를 포함하는 보안 모니터링 VNF.
  2. 제1항에 있어서, 상기 보안 통신 경로를 통해 상기 VNF 관리자로부터 정책 정보를 수신하고, 상기 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하는 정책 업데이트 관리 회로를 더 포함하는, 보안 모니터링 VNF.
  3. 제2항에 있어서, 상기 정책 정보는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 포함하는, 보안 모니터링 VNF.
  4. 제1항에 있어서, 상기 프로비저닝 데이터를 수신하는 것은 대역 외 통신을 사용하여 상기 프로비저닝 데이터를 수신하는 것을 포함하는, 보안 모니터링 VNF.
  5. 제1항에 있어서, 상기 프로비저닝 데이터는 상기 보안 모니터링 VNF의 고유 식별자, 상기 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함하는, 보안 모니터링 VNF.
  6. 제5항에 있어서, 상기 상호 인증된 키 교환 절차를 수행하는 것은 상기 보안 크리덴셜을 사용하여 상기 상호 인증된 키 교환 절차를 수행하는 것을 포함하는, 보안 모니터링 VNF.
  7. 제1항에 있어서, 보안 모니터링 정보를 상기 보안 통신 경로를 통해 상기 VNF 관리자로 송신하는 보안 모니터링 회로를 더 포함하고, 상기 보안 모니터링 정보는 상기 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함하는, 보안 모니터링 VNF.
  8. 제1항에 있어서, 상기 개인화 데이터는 보안 구성 데이터, 상기 보안 모니터링 VNF의 파라미터들의 초기 세트, 상기 NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 포함하는, 보안 모니터링 VNF.
  9. 제1항에 있어서, 상기 개인화 관리 회로는 추가로, 개인화 동작 상태 및 정책 업데이트 동작 상태를 상기 VNF 관리자로 송신하고, 상기 개인화 동작 상태 및 상기 정책 업데이트 동작 상태는 상기 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 상기 NFV 보안 서비스 제어기에 의해 사용 가능한, 보안 모니터링 VNF.
  10. 네트워크 기능 가상화(NFV) 아키텍처에서 보안 모니터링 가상 네트워크 기능(VNF)의 보안 개인화를 위한 방법으로서,
    상기 보안 모니터링 VNF에 의해, 상기 보안 모니터링 VNF와의 네트워크 통신에서 상기 NFV 아키텍처의 NFV 보안 서비스 제어기로부터 프로비저닝 데이터를 수신하는 단계;
    상기 보안 모니터링 VNF에 의해, 상기 보안 모니터링 VNF와 상기 NFV 아키텍처의 VNF 관리자 사이에 보안 통신 경로를 확립하기 위해 상기 프로비저닝 데이터 중 적어도 일부를 사용하여 상기 VNF 관리자와 상호 인증된 키 교환 절차를 수행하는 단계;
    상기 보안 모니터링 VNF에 의해, 상기 보안 통신 경로를 통해 상기 VNF 관리자로부터 개인화 데이터를 수신하는 단계 - 상기 개인화 데이터는 상기 보안 모니터링 VNF의 하나 이상의 보안 기능을 구성하는데 사용 가능한 데이터를 포함함 - ; 및
    상기 보안 모니터링 VNF에 의해, 상기 개인화 데이터에 기초하여 상기 보안 모니터링 VNF를 구성하기 위한 개인화 동작을 수행하는 단계
    를 포함하는 방법.
  11. 제10항에 있어서,
    상기 보안 모니터링 VNF에 의해, 상기 보안 통신 경로를 통해 상기 VNF 관리자로부터 정책 정보를 수신하는 단계; 및
    상기 보안 모니터링 VNF에 의해, 상기 보안 모니터링 VNF의 보안 정책을 업데이트하기 위한 정책 업데이트 동작을 수행하는 단계
    를 더 포함하는 방법.
  12. 제11항에 있어서, 상기 정책 정보를 수신하는 단계는 테넌트 특정 보안 처리 정책, 보안 트래픽 정책, 보안 그룹 정책 및 네트워크 서비스 처리 정책 중 적어도 하나를 수신하는 단계를 포함하는 방법.
  13. 제10항에 있어서, 상기 프로비저닝 데이터를 수신하는 단계는 대역 외(out-of-band) 통신을 사용하여 상기 프로비저닝 데이터를 수신하는 단계를 포함하는 방법.
  14. 제10항에 있어서, 상기 프로비저닝 데이터는 상기 보안 모니터링 VNF의 고유 식별자, 상기 보안 모니터링 VNF가 실행되고 있는 플랫폼의 고유 식별자 및 보안 크리덴셜을 포함하는 방법.
  15. 제14항에 있어서, 상기 상호 인증된 키 교환 절차를 수행하는 단계는 상기 보안 크리덴셜을 사용하여 상기 상호 인증된 키 교환 절차를 수행하는 단계를 포함하는 방법.
  16. 제10항에 있어서, 상기 보안 모니터링 VNF에 의해, 보안 모니터링 정보를 상기 보안 통신 경로를 통해 상기 VNF 관리자로 송신하는 단계를 더 포함하고, 상기 보안 모니터링 정보는 상기 보안 모니터링 VNF의 로그들, 경고들 및 통계 중 적어도 하나를 포함하는 방법.
  17. 제10항에 있어서, 상기 개인화 데이터를 수신하는 단계는 보안 구성 데이터, 상기 보안 모니터링 VNF의 파라미터들의 초기 세트, 상기 NFV 아키텍처의 메타데이터, 다른 VNF들에 관한 접속 정보, 벤더 특정 정보, 성능 데이터, 작업부하 트래픽 엔지니어링 데이터, 및 서비스 품질(QoS) 파라미터들 및 정책들 중 적어도 하나를 수신하는 단계를 포함하는 방법.
  18. 제10항에 있어서, 상기 보안 모니터링 VNF에 의해, 개인화 동작 상태 및 정책 업데이트 동작 상태를 상기 VNF 관리자로 송신하는 단계를 더 포함하고, 상기 개인화 동작 상태 및 상기 정책 업데이트 동작 상태는 상기 보안 모니터링 VNF에 의해 모니터링되는 네트워크 트래픽에 대해 네트워크 전역 보안 정책을 활성화할지를 결정하기 위해 상기 NFV 보안 서비스 제어기에 의해 사용 가능한, 방법.
  19. 컴퓨팅 디바이스로서,
    프로세서; 및
    상기 프로세서에 의해 실행될 때 상기 컴퓨팅 디바이스로 하여금 제10항 내지 제18항 중 어느 한 항의 방법을 수행하게 하는 복수의 명령어를 저장하는 메모리
    를 포함하는 컴퓨팅 디바이스.
  20. 컴퓨팅 디바이스에서 실행되는 결과에 응답하여 제10항 내지 제18항 중 어느 한 항의 방법을 수행하는 복수의 명령어를 저장하는 하나 이상의 머신 판독 가능 저장 매체.
  21. 제10항 내지 제18항 중 어느 한 항의 방법을 수행하기 위한 수단을 포함하는 컴퓨팅 노드.
KR1020177032823A 2015-06-16 2016-05-16 보안 모니터링 가상 네트워크 기능의 보안 개인화를 위한 기술 KR102255004B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562180433P 2015-06-16 2015-06-16
US62/180,433 2015-06-16
US14/866,565 US9742790B2 (en) 2015-06-16 2015-09-25 Technologies for secure personalization of a security monitoring virtual network function
US14/866,565 2015-09-25
PCT/US2016/032672 WO2016204903A1 (en) 2015-06-16 2016-05-16 Technologies for secure personalization of a security monitoring virtual network function

Publications (2)

Publication Number Publication Date
KR20180009333A true KR20180009333A (ko) 2018-01-26
KR102255004B1 KR102255004B1 (ko) 2021-05-24

Family

ID=57545395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177032823A KR102255004B1 (ko) 2015-06-16 2016-05-16 보안 모니터링 가상 네트워크 기능의 보안 개인화를 위한 기술

Country Status (7)

Country Link
US (3) US9742790B2 (ko)
EP (3) EP3985533A1 (ko)
KR (1) KR102255004B1 (ko)
CN (2) CN107637018B (ko)
PL (1) PL3311547T3 (ko)
TW (1) TWI690173B (ko)
WO (1) WO2016204903A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Families Citing this family (131)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11416325B2 (en) 2012-03-13 2022-08-16 Servicenow, Inc. Machine-learning and deep-learning techniques for predictive ticketing in information technology systems
US10740692B2 (en) 2017-10-17 2020-08-11 Servicenow, Inc. Machine-learning and deep-learning techniques for predictive ticketing in information technology systems
US10600002B2 (en) 2016-08-04 2020-03-24 Loom Systems LTD. Machine learning techniques for providing enriched root causes based on machine-generated data
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US11271948B2 (en) 2017-05-22 2022-03-08 Amdocs Development Limited System, method, and computer program for verifying virtual network function (VNF) package and/or network service definition integrity
CN105210337B (zh) * 2014-03-24 2019-06-11 华为技术有限公司 一种nfv系统的业务实现方法及通信单元
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
CN107690773B (zh) * 2015-05-01 2021-02-26 马维尔亚洲私人有限公司 用于经由芯片间跳频总线的安全数据传送的系统和方法
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10116571B1 (en) * 2015-09-18 2018-10-30 Sprint Communications Company L.P. Network Function Virtualization (NFV) Management and Orchestration (MANO) with Application Layer Traffic Optimization (ALTO)
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US10255094B2 (en) * 2015-10-22 2019-04-09 Genband Us Llc Utilizing physical systems and virtual systems for virtual network functions
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US9967288B2 (en) 2015-11-05 2018-05-08 International Business Machines Corporation Providing a common security policy for a heterogeneous computer architecture environment
JP6778748B2 (ja) * 2015-11-24 2020-11-04 エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー 仮想ネットワーク機能及びネットワークアプリケーションを管理し調整する方法及びネットワーク
US11831654B2 (en) * 2015-12-22 2023-11-28 Mcafee, Llc Secure over-the-air updates
JP6604220B2 (ja) * 2016-02-02 2019-11-13 富士通株式会社 管理装置、管理システム、及びスケーリング方法
US10547692B2 (en) * 2016-02-09 2020-01-28 Cisco Technology, Inc. Adding cloud service provider, cloud service, and cloud tenant awareness to network service chains
US10374922B2 (en) * 2016-02-24 2019-08-06 Cisco Technology, Inc. In-band, health-based assessments of service function paths
KR101759429B1 (ko) * 2016-03-24 2017-07-31 숭실대학교산학협력단 멀티 도메인 환경에서 도메인과 대응되는 피어 및 이의 제어 방법
EP3229418B1 (en) * 2016-04-07 2019-01-09 Telefonica, S.A. A method to assure correct data packet traversal through a particular path of a network
US10819630B1 (en) 2016-04-20 2020-10-27 Equinix, Inc. Layer three instances for a cloud-based services exchange
CN107360120B (zh) * 2016-05-10 2019-06-11 华为技术有限公司 虚拟网络功能的审计方法和装置
KR101846079B1 (ko) * 2016-07-15 2018-04-05 주식회사 케이티 Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드
US20180034703A1 (en) * 2016-07-26 2018-02-01 Cisco Technology, Inc. System and method for providing transmission of compliance requirements for cloud-based applications
US10789119B2 (en) 2016-08-04 2020-09-29 Servicenow, Inc. Determining root-cause of failures based on machine-generated textual data
US10963634B2 (en) * 2016-08-04 2021-03-30 Servicenow, Inc. Cross-platform classification of machine-generated textual data
CN109565500B (zh) * 2016-08-05 2021-10-29 上海诺基亚贝尔股份有限公司 按需安全性架构
US20180077080A1 (en) * 2016-09-15 2018-03-15 Ciena Corporation Systems and methods for adaptive and intelligent network functions virtualization workload placement
CN108370368B (zh) * 2016-09-20 2020-04-21 华为技术有限公司 安全策略部署方法与装置
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
WO2018068202A1 (en) * 2016-10-11 2018-04-19 Nokia Technologies Oy Virtualized network function security wrapping orchestration in the cloud environment
US10469359B2 (en) * 2016-11-03 2019-11-05 Futurewei Technologies, Inc. Global resource orchestration system for network function virtualization
US10505870B2 (en) * 2016-11-07 2019-12-10 At&T Intellectual Property I, L.P. Method and apparatus for a responsive software defined network
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN108418776B (zh) * 2017-02-09 2021-08-20 上海诺基亚贝尔股份有限公司 用于提供安全业务的方法和设备
US10659496B2 (en) * 2017-03-28 2020-05-19 ShieldX Networks, Inc. Insertion and configuration of interface microservices based on security policy changes
US20180285563A1 (en) * 2017-03-31 2018-10-04 Intel Corporation Techniques for service assurance using fingerprints associated with executing virtualized applications
EP3616362A4 (en) * 2017-04-24 2021-01-13 Apple Inc. NETWORK FUNCTIONVIRTUALIZATION INFRASTRUCTURE PERFORMANCE
US10656987B1 (en) * 2017-04-26 2020-05-19 EMC IP Holding Company LLC Analysis system and method
US10819606B2 (en) 2017-04-27 2020-10-27 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a converged network
US10749796B2 (en) 2017-04-27 2020-08-18 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a software defined network
US10673751B2 (en) 2017-04-27 2020-06-02 At&T Intellectual Property I, L.P. Method and apparatus for enhancing services in a software defined network
US10257668B2 (en) 2017-05-09 2019-04-09 At&T Intellectual Property I, L.P. Dynamic network slice-switching and handover system and method
US10382903B2 (en) 2017-05-09 2019-08-13 At&T Intellectual Property I, L.P. Multi-slicing orchestration system and method for service and/or content delivery
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
CN109150567B (zh) * 2017-06-19 2022-09-13 中兴通讯股份有限公司 虚拟网络功能模块的监控方法、设备和可读存储介质
CN109257240B (zh) * 2017-07-12 2021-02-23 上海诺基亚贝尔股份有限公司 一种监测虚拟化网络功能单元性能的方法和装置
US10070344B1 (en) 2017-07-25 2018-09-04 At&T Intellectual Property I, L.P. Method and system for managing utilization of slices in a virtual network function environment
US10530740B2 (en) * 2017-07-26 2020-01-07 At&T Intellectual Property I, L.P. Systems and methods for facilitating closed loop processing using machine learning
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10594735B2 (en) 2017-09-28 2020-03-17 At&T Intellectual Property I, L.P. Tag-based security policy creation in a distributed computing environment
CN109639449B (zh) * 2017-10-09 2021-09-03 中兴通讯股份有限公司 虚拟化流镜像策略自动化管理的方法、设备及介质
US11050781B2 (en) * 2017-10-11 2021-06-29 Microsoft Technology Licensing, Llc Secure application monitoring
US10872145B2 (en) * 2017-10-25 2020-12-22 International Business Machines Corporation Secure processor-based control plane function virtualization in cloud systems
US10104548B1 (en) 2017-12-18 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for dynamic instantiation of virtual service slices for autonomous machines
US10432524B2 (en) 2017-12-20 2019-10-01 At&T Intellectual Property I, L.P. Parallelism for virtual network functions in service function chains
US10863376B2 (en) * 2018-01-18 2020-12-08 Intel Corporation Measurement job creation and performance data reporting for advanced networks including network slicing
US11418386B2 (en) * 2018-03-06 2022-08-16 At&T Intellectual Property I, L.P. Virtual network function creation system
US10917436B2 (en) * 2018-03-20 2021-02-09 Cisco Technology, Inc. On-demand security policy provisioning
US10819573B2 (en) * 2018-03-20 2020-10-27 Ciena Corporation Hierarchical coherency for network function virtualization
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US11388272B2 (en) * 2018-03-30 2022-07-12 Intel Corporation Technologies for network packet processing between cloud and telecommunications networks
KR102500137B1 (ko) * 2018-03-30 2023-02-15 삼성전자주식회사 네트워크 기능 가상화 환경에서 네트워크 자원 관리를 위한 장치 및 방법
WO2019183980A1 (en) * 2018-03-31 2019-10-03 Intel Corporation Technologies for securing network function virtualization images
EP3561617A1 (en) * 2018-04-24 2019-10-30 Siemens Aktiengesellschaft Automation component configuration
US10608907B2 (en) 2018-05-11 2020-03-31 At&T Intellectual Property I, L.P. Open-loop control assistant to guide human-machine interaction
US11991186B2 (en) * 2018-05-22 2024-05-21 Nokia Technologies Oy Attack source tracing in SFC overlay network
US11194609B1 (en) 2018-05-23 2021-12-07 Open Invention Network Llc Onboarding VNFs which include VNFCs that are composed of independently manageable software modules
CN110661641B (zh) * 2018-06-29 2021-07-16 华为技术有限公司 一种虚拟网络功能vnf部署方法及装置
EP3609131A1 (en) * 2018-08-07 2020-02-12 Siemens Aktiengesellschaft Operational constraints for operational functions of field devices
US10243793B1 (en) * 2018-08-13 2019-03-26 Nefeli Networks, Inc. Modular system framework for software network function automation
US11233778B2 (en) * 2018-08-15 2022-01-25 Juniper Networks, Inc. Secure forwarding of tenant workloads in virtual networks
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US20220050897A1 (en) * 2018-09-18 2022-02-17 Visa International Service Association Microservice adaptive security hardening
CN109257222B (zh) * 2018-09-27 2019-11-15 中国联合网络通信有限公司广东省分公司 一种基于业务编排器的城域网网络架构
WO2020083026A1 (en) * 2018-10-23 2020-04-30 Huawei Technologies Co., Ltd. SECURED METADATA SHARING AMONG VNFs
US10819743B2 (en) * 2018-11-05 2020-10-27 Nanning Fugui Precision Industrial Co., Ltd. Anti-replay processing method and device utilizing the same
TWI708158B (zh) * 2018-11-06 2020-10-21 國家中山科學研究院 邊緣網路資安偵防系統與方法
US20200153679A1 (en) * 2018-11-08 2020-05-14 Huawei Technologies Co., Ltd. Method for enhancing status communications in a sdn-based communication system
RU188796U1 (ru) * 2018-11-15 2019-04-23 Общество с ограниченной ответственностью "БУЛАТ" Абонентское сетевое устройство с виртуализированными сетевыми функциями
US11032311B2 (en) * 2018-12-11 2021-06-08 F5 Networks, Inc. Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof
CN111404860A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种安全业务链实现方法、装置和计算机可读存储介质
US11251942B2 (en) 2019-01-09 2022-02-15 Alibaba Group Holding Limited Secure communication channel between encryption/decryption component and trusted execution environment
US20200236131A1 (en) * 2019-01-18 2020-07-23 Cisco Technology, Inc. Protecting endpoints with patterns from encrypted traffic analytics
US10936422B1 (en) 2019-03-22 2021-03-02 T-Mobile lnnovations LLC Recovery of virtual network function (VNF) boot functionality
US11494214B2 (en) * 2019-03-28 2022-11-08 Amazon Technologies, Inc. Verified isolated run-time environments for enhanced security computations within compute instances
US11012294B2 (en) 2019-04-17 2021-05-18 Nefeli Networks, Inc. Inline data plane monitor placement and operation for network function virtualization
US10965523B1 (en) 2019-05-06 2021-03-30 Sprint Communications Company L.P. Virtual network element provisioning
US11526613B2 (en) * 2019-07-03 2022-12-13 Microsoft Technology Licensing, Llc Execution environment and gatekeeper arrangement
SG10201906806XA (en) * 2019-07-23 2021-02-25 Mastercard International Inc Methods and computing devices for auto-submission of user authentication credential
US11405321B2 (en) * 2019-07-23 2022-08-02 At&T Mobility Ii Llc 5G filters for virtual network functions
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11095610B2 (en) * 2019-09-19 2021-08-17 Blue Ridge Networks, Inc. Methods and apparatus for autonomous network segmentation
US11509534B2 (en) 2019-10-23 2022-11-22 Juniper Networks, Inc. Collection of error packet information for network policy enforcement
CN110912731B (zh) * 2019-10-29 2022-07-26 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的系统和方法
WO2021091273A1 (en) 2019-11-08 2021-05-14 Samsung Electronics Co., Ltd. Method and electronic device for determining security threat on radio access network
US11218360B2 (en) 2019-12-09 2022-01-04 Quest Automated Services, LLC Automation system with edge computing
CN112953806B (zh) * 2019-12-10 2022-04-01 中国电信股份有限公司 业务类型及安装路径确定方法、装置和系统、存储介质
US11146623B2 (en) * 2020-01-15 2021-10-12 Vmware, Inc. Intelligent distribution of virtual network function images
US11588731B1 (en) 2020-01-17 2023-02-21 Equinix, Inc. Cloud-to-cloud interface
US11722477B2 (en) 2020-01-21 2023-08-08 Forcepoint Llc Automated renewal of certificates across a distributed computing security system
KR20210108791A (ko) 2020-02-26 2021-09-03 삼성전자주식회사 가상화된 네트워크 기능을 실행하는 방법 및 장치
US11379256B1 (en) * 2020-02-28 2022-07-05 Cisco Technology, Inc. Distributed monitoring agent deployed at remote site
US11288018B2 (en) * 2020-03-25 2022-03-29 Verizon Patent And Licensing Inc. Method and system for deploying a virtual distributed unit on a network device
US11520615B1 (en) * 2020-03-31 2022-12-06 Equinix, Inc. Virtual network function virtual domain isolation
US11057274B1 (en) * 2020-04-09 2021-07-06 Verizon Patent And Licensing Inc. Systems and methods for validation of virtualized network functions
CN111565176B (zh) * 2020-04-24 2022-04-08 上海沪景信息科技有限公司 智能伪装主机方法、系统、设备及可读存储介质
US11216553B1 (en) * 2020-05-14 2022-01-04 Rapid7, Inc. Machine scanning system with distributed credential storage
US11611517B2 (en) * 2020-05-29 2023-03-21 Equinix, Inc. Tenant-driven dynamic resource allocation for virtual network functions
CN112087329B (zh) * 2020-08-27 2022-06-07 重庆大学 一种网络服务功能链部署方法
US11436127B1 (en) 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
TWI742878B (zh) * 2020-10-14 2021-10-11 中華電信股份有限公司 管理通用虛擬網路服務鏈路的方法及系統
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
TWI780537B (zh) * 2020-12-10 2022-10-11 中華電信股份有限公司 智慧化調整監控告警服務的系統、方法及電腦可讀媒介
US11522708B2 (en) * 2020-12-18 2022-12-06 Dell Products, L.P. Trusted local orchestration of workspaces
CN112839045B (zh) * 2021-01-14 2023-05-30 中盈优创资讯科技有限公司 对策略进行编排的实现方法及装置
US11991077B2 (en) * 2021-03-01 2024-05-21 Juniper Networks, Inc. Data interfaces with isolation for containers deployed to compute nodes
US11516185B2 (en) * 2021-03-13 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for enabling cloud-based management services using an on-sii e management cloud engine
US11526617B2 (en) 2021-03-24 2022-12-13 Bank Of America Corporation Information security system for identifying security threats in deployed software package
US11683345B2 (en) * 2021-07-09 2023-06-20 Zscaler, Inc. Application identity-based enforcement of datagram protocols
WO2023015312A1 (en) * 2021-08-05 2023-02-09 Artema Labs, Inc Methods for securely adding data to a blockchain using dynamic time quanta and version authentication
CN114268507B (zh) * 2021-12-30 2023-12-05 天翼物联科技有限公司 一种基于sgx的网络云安全优化方法、系统及相关介质
TWI797962B (zh) * 2022-01-17 2023-04-01 中華電信股份有限公司 基於SASE的IPv6雲邊緣網路安全連線方法
WO2023177419A1 (en) * 2022-03-15 2023-09-21 Rakuten Mobile, Inc. Network aware compute resource management use case for o-ran non-rt ric
CN115941365A (zh) * 2023-03-15 2023-04-07 北京城建智控科技股份有限公司 终端网络安全的防护方法、一体机和服务器
CN116566752B (zh) * 2023-07-11 2023-09-12 苏州浪潮智能科技有限公司 安全引流系统、云主机及安全引流方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100005504A1 (en) * 2008-07-01 2010-01-07 International Business Machines Corporation Method of automating and personalizing systems to satisfy securityrequirements in an end-to-end service landscape
US20140229945A1 (en) * 2013-02-12 2014-08-14 Contextream Ltd. Network control using software defined flow mapping and virtualized network functions
WO2015031866A1 (en) * 2013-08-30 2015-03-05 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8281387B2 (en) * 2006-06-30 2012-10-02 Intel Corporation Method and apparatus for supporting a virtual private network architecture on a partitioned platform
US8429650B2 (en) * 2008-11-14 2013-04-23 Oracle International Corporation System and method of security management for a virtual environment
US20100125897A1 (en) * 2008-11-20 2010-05-20 Rahul Jain Methods and apparatus for establishing a dynamic virtual private network connection
US8462780B2 (en) * 2011-03-30 2013-06-11 Amazon Technologies, Inc. Offload device-based stateless packet processing
US20140019745A1 (en) * 2012-07-12 2014-01-16 David S. Dodgson Cryptographic isolation of virtual machines
US9503475B2 (en) * 2012-08-14 2016-11-22 Ca, Inc. Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
CN103458003B (zh) * 2013-08-15 2016-11-16 中电长城网际系统应用有限公司 一种自适应云计算环境虚拟安全域访问控制方法和系统
US9350632B2 (en) * 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
CN104579732B (zh) * 2013-10-21 2018-06-26 华为技术有限公司 虚拟化网络功能网元的管理方法、装置和系统
US9760428B1 (en) * 2013-12-19 2017-09-12 Amdocs Software Systems Limited System, method, and computer program for performing preventative maintenance in a network function virtualization (NFV) based communication network
US9853869B1 (en) * 2015-01-27 2017-12-26 Amdocs Software Systems Limited System, method, and computer program for automatically instructing a virtual network function (VNF) to operate in accordance with one of a plurality of function definitions
EP2911347B1 (en) * 2014-02-24 2019-02-13 Hewlett-Packard Enterprise Development LP Providing policy information
US10664297B2 (en) * 2014-02-24 2020-05-26 Hewlett Packard Enterprise Development Lp Activating pre-created VNFCs when a monitored performance level of a VNF exceeds a maximum value attainable by the combined VNFCs that form a VNF
US9948493B2 (en) * 2014-04-03 2018-04-17 Centurylink Intellectual Property Llc Network functions virtualization interconnection gateway
US10505796B2 (en) * 2014-06-25 2019-12-10 Hewlett Packard Enterprise Development Lp Network function virtualization
CN106464540B (zh) * 2014-06-26 2019-11-19 华为技术有限公司 虚拟网络功能策略管理的系统与方法
CN105282195A (zh) * 2014-06-27 2016-01-27 中兴通讯股份有限公司 网络服务提供、策略规则评估、服务组件选择方法及装置
CN104125214B (zh) * 2014-06-30 2017-07-28 北京邮电大学 一种实现软件定义安全的安全架构系统及安全控制器
US10491594B2 (en) * 2014-08-22 2019-11-26 Nokia Technologies Oy Security and trust framework for virtualized networks
EP3216194B1 (en) * 2014-11-04 2020-09-30 Telefonaktiebolaget LM Ericsson (publ) Network function virtualization service chaining
US9742807B2 (en) * 2014-11-19 2017-08-22 At&T Intellectual Property I, L.P. Security enhancements for a software-defined network with network functions virtualization
CN104580208B (zh) * 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
WO2016128049A1 (en) * 2015-02-12 2016-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Method for running a virtual machine
EP3257212A1 (en) * 2015-02-13 2017-12-20 Nokia Solutions and Networks Oy Security mechanism for hybrid networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100005504A1 (en) * 2008-07-01 2010-01-07 International Business Machines Corporation Method of automating and personalizing systems to satisfy securityrequirements in an end-to-end service landscape
US20140229945A1 (en) * 2013-02-12 2014-08-14 Contextream Ltd. Network control using software defined flow mapping and virtualized network functions
WO2015031866A1 (en) * 2013-08-30 2015-03-05 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023090755A1 (ko) * 2021-11-18 2023-05-25 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
CN110752961A (zh) 2020-02-04
US10367840B2 (en) 2019-07-30
CN110752961B (zh) 2022-09-06
EP3311547A1 (en) 2018-04-25
PL3311547T3 (pl) 2022-07-25
EP3985533A1 (en) 2022-04-20
US20160373474A1 (en) 2016-12-22
EP3985948A1 (en) 2022-04-20
EP3311547B1 (en) 2022-04-27
TW201711425A (zh) 2017-03-16
KR102255004B1 (ko) 2021-05-24
US20180159880A1 (en) 2018-06-07
CN107637018A (zh) 2018-01-26
US9742790B2 (en) 2017-08-22
TWI690173B (zh) 2020-04-01
US10721258B2 (en) 2020-07-21
CN107637018B (zh) 2021-06-15
EP3311547A4 (en) 2018-11-21
WO2016204903A1 (en) 2016-12-22
US20200028868A1 (en) 2020-01-23

Similar Documents

Publication Publication Date Title
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10572650B2 (en) Technologies for independent service level agreement monitoring
US10380346B2 (en) Technologies for secure bootstrapping of virtual network functions
Reynaud et al. Attacks against network functions virtualization and software-defined networking: State-of-the-art

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant