KR20190014424A - Security association apparatus and security service method thereof - Google Patents
Security association apparatus and security service method thereof Download PDFInfo
- Publication number
- KR20190014424A KR20190014424A KR1020170098239A KR20170098239A KR20190014424A KR 20190014424 A KR20190014424 A KR 20190014424A KR 1020170098239 A KR1020170098239 A KR 1020170098239A KR 20170098239 A KR20170098239 A KR 20170098239A KR 20190014424 A KR20190014424 A KR 20190014424A
- Authority
- KR
- South Korea
- Prior art keywords
- address
- security
- access request
- specific
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너 기술에 관한 것으로서, 더욱 상세하게는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 보안연동장치 및 보안연동장치의 보안 서비스 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an application container technology to be executed in a cloud environment, and more particularly, to a security interworking device and a security service method of a security interworking device that solve a security problem that may occur in interlocking between an application container and a legacy server will be.
어플리케이션 서비스는, 어플리케이션 서비스를 위해 제작/배포된 어플리케이션(이하, App)이 사용자단말에 설치되는 기본 구조 하에서, 사용자단말에서 실행되는 App 및 그 App과의 통신을 기반으로 어플리케이션 서비스를 실행/제공하는 서버(이하, App서버)의 구성으로 서비스된다.The application service is a program for executing / providing an application service based on an App executed in the user terminal and communication with the application, under the basic structure in which an application (hereinafter referred to as an App) produced / distributed for the application service is installed in the user terminal Server (hereinafter referred to as an App server).
한편, 최근에도 새로운 어플리케이션 서비스들의 개발이 계속되고 있으며, 수 많은 어플리케이션 서비스들의 대량 등장 및 서비스 고속화 요구 등을 만족시키기 위해, 향후에는 기존의 서버 기반으로 운영되는 어플리케이션 방식에서 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식으로 진화할 것이다.Meanwhile, the development of new application services has been continuing recently, and in order to satisfy a large number of application services and a demand for high-speed service, in the future, Application-oriented approach.
도 1을 참조하여, 기존의 서버 기반으로 운영되는 어플리케이션 방식을 간단하게 설명하면, 사용자단말에서 실행되는 App과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 물리적인 App서버로 볼 수 있다.Referring to FIG. 1, a conventional application based on a server will be briefly described. A subject providing an application service to a user terminal based on communication with an application running on the user terminal is a physical application server .
즉, App서버1은 어플리케이션 서비스1을 제공하는 물리적 서버이며, App서버2는 어플리케이션 서비스2를 제공하는 물리적 서버이다.That is, the App server 1 is a physical server that provides the application service 1, and the App server 2 is a physical server that provides the application service 2.
예컨대, 이에, App서버1에서는 어플리케이션 서비스1을 실행 및 사용자단말에 제공하며, 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)들은 해당 행위의 대상이 되는 서버(10, 레거시서버)로의 접근 요청/응답 회신을 통해 수행하게 된다.For example, in the App server 1, the application service 1 is executed and provided to the user terminal. Actions (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 are transmitted to the
이러한 물리적 서버인 App서버1,2는, 통상적으로 고정된 IP주소를 사용한다.App servers 1 and 2, which are physical servers, typically use a fixed IP address.
한편, 레거시서버(10) 특히 보안이 중요한 레거시서버(10)는, 보안을 위해 접근 허용된 App서버의 IP주소에 대해서만 접근을 허용(오픈)하는 방화벽을 관리함으로써, 접근 허용된 App서버의 접근 요청 만이 레거시서버(10)에 정상적으로 수신되어 레거시서버(10)에서 필요한 행위를 수행하도록 연동을 허용하고 있다.Meanwhile, the
이에, 레거시서버(10)의 방화벽이 App1서버의 IP주소에 대해서 접근을 허용(오픈)하고 App2서버의 IP주소에 대해서 접근을 차단하도록 관리되는 경우, App서버1의 접근 요청은 방화벽을 통과해 레거시서버(10)에 정상적으로 수신되지만 App서버2의 접근 요청은 방화벽을 통과하지 못해 레거시서버(10)에 수신되지 않는 것이다.Accordingly, when the firewall of the
즉, 기존의 기존의 서버 기반으로 운영되는 어플리케이션 방식에서는, App서버(고정 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버의 방화벽 만으로도 충분히 통제할 수 있었다.In other words, in the existing application method based on the server, the security problem that can occur in the interworking between the App server (fixed IP address) and the legacy server can be sufficiently controlled by the firewall of the legacy server alone.
한편, 도 2를 참조하여, 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식을 간단하게 설명하면, 사용자단말에서 실행되는 App과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 컨테이너 기반으로 동작하는 어플리케이션(이하, App 컨테이너)으로 볼 수 있다. Referring to FIG. 2, a container-based application method in a cloud environment is briefly described. A subject providing an application service to a user terminal based on communication with an application executed in the user terminal is a container- (Hereinafter referred to as an App container).
컨테이너(Container)는, 어플리케이션 소프트웨어를 특수한 포맷으로 묶어서 사용하는 소프트웨어 패키징/배포 기술이다.Containers are software packaging / distribution technologies that use application software in a special format.
이에, 컨테이너 기반으로 동작하는 어플리케이션 즉 App 컨테이너는, 여러 대의 서버들로 구성된 클라우드 환경에서 컨테이너 형태로 운영/동작하여 어플리케이션 서비스를 제공하는 것이다.Accordingly, an application that operates on a container basis, that is, an application container, operates / operates in a container form in a cloud environment composed of a plurality of servers to provide application services.
클라우드 환경에서 실행되는 App 컨테이너의 경우 IP주소가 유동적이며, 특히 기술적인 특성 상 App 컨테이너가 비정상 종료되더라도 빠르게 복구/재실행된다는 장점이 있지만 App 컨테이너가 재실행될 때마다 IP주소가 바뀌는 현상을 피할 수 없다.The App container running in a cloud environment has an IP address that is flexible, especially because of its technical nature, but even if the App container is abnormally terminated, it can be quickly restored / replayed, but the IP address change every time the App container is re- .
따라서, 향후 보편화될 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버의 방화벽 만으로도 통제할 수 없는 문제점이 예상된다.Therefore, it is expected that there is a problem that the security problem that can occur in the link between the App container (dynamic IP address) and the legacy server can not be controlled only by the firewall of the legacy server in the container type based application method in the future cloud environment do.
이에, 본 발명에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결할 수 있는 방안을 제안하고자 한다.Accordingly, the present invention proposes a method for solving a security problem that may occur in an application container (dynamic IP address) and a legacy server.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 효과적으로 해결하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to effectively solve a security problem that may occur in interlocking between an application container and a legacy server executed in a cloud environment.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 보안연동장치는, 클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인부; 상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인부; 및 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부를 포함한다.In order to achieve the above object, according to a first aspect of the present invention, there is provided a security interworking apparatus comprising: a request confirmation unit for confirming an access request from an application container executed in a cloud environment to a specific server; An authority checking unit for checking the use authority of the application container with respect to the specific server based on the access request; And a transfer control unit for determining whether or not the IP address in the access request is changed to a specific IP address permitted to be accessed by the firewall managed by the specific server according to the identified access right.
바람직하게는, 상기 권한확인부는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고, 상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인할 수 있다.Preferably, the authority checking unit identifies an application container that is using the IP address in the access request, in cooperation with a control node managing IP address use of each application container executed in the cloud environment, It is possible to confirm the usage right for the specific server assigned to the container.
바람직하게는, 상기 전달제어부는, 상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control unit may change the IP address in the access request to the specific IP address and transmit the IP address to the specific server when the determined usage right is the access permission authority.
바람직하게는, 상기 특정 IP주소는, 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소일 수 있다.Preferably, the specific IP address may be a static IP address of the security interworking device allowing access from a firewall managed by the specific server.
바람직하게는, 어플리케이션 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 및 권한 레벨을 관리하는 보안테이블을 저장하는 저장부를 더 포함하며; 상기 권한확인부는, 상기 접근 요청을 기초로, 상기 보안테이블로부터 상기 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한 및 이용 레벨을 확인할 수 있다.Preferably, the information processing apparatus further includes a storage unit for storing a security table for managing usage rights and authority levels assigned to the respective servers by application containers; The authority checking unit may check a usage right and a usage level for the specific server assigned to the application container from the security table based on the access request.
바람직하게는, 상기 전달제어부는, 상기 확인된 이용 권한 및 이용 레벨에 기초하여, 상기 이용 권한이 접근허용권한이고 상기 접근 요청에 의해 상기 특정 서버에서 수행되는 행위가 상기 이용 레벨의 허용범위에 속하는 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control unit determines that the usage right is the access permission authority and that the action performed by the specific server in the access request falls within the allowable range of the usage level , The IP address in the access request may be changed to the specific IP address and transmitted to the specific server.
바람직하게는, 상기 특정 서버로부터 상기 접근 요청에 따른 응답 회신이 수신되는 경우, 상기 응답 회신에 포함된 정보에 근거하여 상기 접근 요청의 어플리케이션 컨테이너를 인지하고, 상기 응답 회신을 상기 인지한 어플리케이션 컨테이너로 전달하는 송수신인터페이스부를 더 포함할 수 있다.Preferably, when receiving a response response based on the access request from the specific server, the application server recognizes the application container of the access request based on the information included in the response reply, And a transmission / reception interface unit for transmitting the transmission / reception interface unit.
바람직하게는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너는, 불특정 시점에 발생되는 특정 이벤트에 의해, 사용 중인 IP주소가 변경될 수 있다.Preferably, the IP address being used may be changed by a specific event occurring at an unspecified time point in each application container executed in the cloud environment.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 보안연동장치의 보안 서비스 방법은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인단계; 상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인단계; 및 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어단계를 포함한다.According to a second aspect of the present invention, there is provided a security service method for a security interworking device, comprising: a request confirmation step of confirming an access request from an application container executed in a cloud environment to a specific server; An authority checking step of checking the use authority of the application container for the specific server based on the access request; And a transfer control step of determining whether or not the IP address in the access request is changed to a specific IP address permitted by the firewall managed by the specific server according to the identified usage right.
바람직하게는, 상기 권한확인단계는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고, 상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인할 수 있다.Preferably, the authority checking step identifies an application container that is using the IP address in the access request, in cooperation with a control node managing IP address use of each application container executed in the cloud environment, It is possible to confirm the usage right for the specific server assigned to the application container.
바람직하게는, 상기 전달제어단계는, 상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control step may change the IP address in the access request to the specific IP address and transmit the IP address to the specific server when the determined usage right is the access permission authority.
바람직하게는, 상기 특정 IP주소는, 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소일 수 있다.Preferably, the specific IP address may be a static IP address of the security interworking device allowing access from a firewall managed by the specific server.
이에, 본 발명의 보안연동장치 및 보안연동장치의 보안 서비스 방법에 의하면, 클라우드 환경에서 실행되는 어플리케이션 컨테이너(App 컨테이너)와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제함으로써, 어플리케이션 컨테이너(App 컨테이너)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.According to the security service method of the security interworking apparatus and the security interworking apparatus of the present invention, interworking between the application container (App container) running in the cloud environment and the legacy server can be controlled with high reliability without changing the security system of the legacy server , And solves a security problem that may occur in an application container (App container) and a legacy server.
도 1은 기존의 서버 기반으로 운영되는 어플리케이션 방식에서 App서버 및 레거시서버 간 보안 체계를 보여주는 예시도이다.
도 2는 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서 App 컨테이너 및 레거시서버 간 보안 체계의 문제점을 보여주는 예시도이다.
도 3은 본 발명의 바람직한 실시예에 따라 App 컨테이너 및 레거시서버 간 보안 체계의 문제점이 해결되는 예시도이다.
도 4는 본 발명의 바람직한 실시예에 따른 보안연동장치의 구성을 보여주는 예시도이다.
도 5는 본 발명의 바람직한 실시예에 따른 보안연동장치의 보안 서비스 방법의 제어 흐름을 보여주는 예시도이다.FIG. 1 is an exemplary diagram illustrating a security scheme between an App server and a legacy server in an application method that is based on a conventional server.
FIG. 2 is an exemplary diagram illustrating a problem of a security scheme between an App container and a legacy server in an application method operated in a container based on a cloud environment.
FIG. 3 is a diagram illustrating an example in which a problem of a security scheme between an App container and a legacy server is solved according to a preferred embodiment of the present invention.
4 is an exemplary diagram illustrating the configuration of a security interworking device according to a preferred embodiment of the present invention.
5 is an exemplary diagram illustrating a control flow of a security service method of a security interworking device according to a preferred embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.
본 발명은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 기술에 관한 것이다.TECHNICAL FIELD The present invention relates to a technology for solving a security problem that may occur in interlocking between an application container and a legacy server executed in a cloud environment.
이에, 먼저 도 2를 참조하여, 클라우드 환경에서 실행되는 App 컨테이너 및 레거시서버 간에 발생하는 기존의 보안 체계가 갖는 문제점을 간단히 설명하겠다.First, with reference to FIG. 2, a brief description will be given of the problems of existing security schemes occurring between an App container and a legacy server executed in a cloud environment.
도 2에 도시된 바와 같이, 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, 사용자단말에서 실행되는 어플리케이션(이하, App)과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 컨테이너 기반으로 동작하는 어플리케이션(이하, App 컨테이너)이다.As shown in FIG. 2, in an application method operated in a container-based manner in a cloud environment, a subject providing an application service to a user terminal based on communication with an application (hereinafter referred to as an App) (Hereinafter referred to as an " App container ").
컨테이너(Container)는, 어플리케이션 소프트웨어를 특수한 포맷으로 묶어서 사용하는 소프트웨어 패키징/배포 기술이다.Containers are software packaging / distribution technologies that use application software in a special format.
이에, 컨테이너 기반으로 동작하는 어플리케이션, 예컨대 App 컨테이너1,2,3,4 각각은, 여러 대의 서버들로 구성된 클라우드 환경에서 컨테이너 형태로 운영/동작하여 어플리케이션 서비스를 제공하는 것이다.Accordingly, each of the applications running on the container, for example, the App containers 1, 2, 3, and 4, operates / operates in a container form in a cloud environment composed of a plurality of servers to provide application services.
이처럼 클라우드 환경에서 실행되는 App 컨테이너는, 기술적인 특성 상 사용하는 IP주소가 유동적이다.In this way, the App container running in a cloud environment has a dynamic IP address that is used due to its technical characteristics.
구체적으로, App 컨테이너는, 비정상 종료되더라도 빠르게 복구/재실행되는 장점을 가지며, 이때 재실행될 때마다 사용하는 IP주소가 변경되는 것이다.Specifically, the App container has the advantage of being quickly restored / replayed even if it is abnormally terminated, and the IP address used changes every time it is re-executed.
한편, 도 1에 도시된 있는, 기존의 서버 기반으로 운영되는 어플리케이션 방식에서는, App서버가 고정 IP주소를 사용하기 때문에, App서버(IP주소)와 레거시서버(10) 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버(10)의 방화벽 만으로도 충분히 통제할 수 있었다.1, since an App server uses a fixed IP address in an application method based on an existing server, it is possible to prevent a conflict between an App server (IP address) and a
헌데, 전술한 바와 같이, 도 2에 도시된 바 있는 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, App 컨테이너의 IP주소가 불특정 시점에 발생되는 재실행 시마다 사용 중인 IP주소가 변경되는 등 유동적이기 때문에, App 컨테이너(유동 IP주소)와 레거시서버(10) 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버(10)의 방화벽 만으로는 통제할 수 없다.As described above, in the application method operated in the container based on the cloud environment shown in FIG. 2, since the IP address of the App container is changed at the time of re-execution when the IP address of the App container is generated at the unspecified time, , A security problem that may occur in the interworking between the App container (dynamic IP address) and the
구체적으로 설명하자면, App 컨테이너1이 어플리케이션 서비스1을 제공하는 주체이고, App 컨테이너2가 어플리케이션 서비스2를 제공하는 주체이고, App 컨테이너3이 어플리케이션 서비스3을 제공하는 주체이고, App 컨테이너4가 어플리케이션 서비스4를 제공하는 주체라고 가정한다.Specifically, it is assumed that the App container 1 is the entity providing the application service 1, the App container 2 is the entity providing the application service 2, the App container 3 is the entity providing the application service 3, 4 as a subject.
그리고, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.It is assumed that the
이러한 경우, 기존의 레거시서버(10)의 방화벽 만으로 통제하는 보안 체계에 따르면, 레거시서버(10)의 방화벽이 App 컨테이너1,2의 IP주소에 대해서 접근을 허용(오픈)하고 App 컨테이너3,4의 IP주소에 대해서 접근을 차단하도록 관리될 것이다.In this case, according to the security scheme of controlling only the existing firewall of the
헌데, 레거시서버(10)의 방화벽이 App 컨테이너1,2의 IP주소가 언제 어떻게 변하는지 알 수 없기 때문에, App 컨테이너1의 변경된 IP주소가 레거시서버(10)의 방화벽이 오픈하는 IP주소가 아닐 수 있고 이 경우 App 컨테이너1의 접근 요청은 방화벽을 통과하지 못해 레거시서버(10)에 수신되지 않는 문제가 있다. However, since the firewall of the
즉, 연동 허용된 App 컨테이너1,2 및 레거시서버(10) 간에 연동이 실패하는, 보안 상의 문제가 발생할 수 있다.That is, a security problem may occur that the interworking between the application containers 1 and 2 and the
그렇다고 레거시서버(10)로의 App 컨테이너1의 정당한 접근 요청 수신이 실패되는 것을 막기 위해, 레거시서버(10)의 방화벽이 과도하게 많은 IP주소를 오픈하는 경우, 연동이 허용되지 않은 App 컨테이너3,4에서 방화벽이 오픈하는 IP주소를 사용하게 될 수 있기 때문에 보안 체계의 기능이 사실 상 무의미하다.If the firewall of the
즉, 연동 허용되지 않은 App 컨테이너3,4 및 레거시서버(10) 간에 정당하지 않은 연동이 일시적으로 이루어지는, 보안 상의 문제가 발생할 수 있다.That is, unauthorized interworking between the non-cooperatively allowed App containers 3 and 4 and the
이처럼, 클라우드 환경에서 실행되는 App 컨테이너의 경우, App 컨테이너의 IP주소가 유동적이라는 특성으로 인해, 레거시서버의 방화벽에 의존하는 기존의 보안 체계로는 App 컨테이너(유동 IP주소)와 레거시서버(10) 사이의 연동 허용/차단을 신뢰도 높게 충분히 통제할 없는 보안 상의 문제가 있다.As described above, in the case of an App container executed in a cloud environment, an existing security system that relies on a firewall of a legacy server due to the property that an IP address of the App container is flexible is called an App container (a floating IP address) There is a security problem in that it does not sufficiently control the permission / interception of interlocking between the devices.
이에, 본 발명에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결할 수 있는 방안을 제안하고자 한다.Accordingly, the present invention proposes a method for solving a security problem that may occur in an application container (dynamic IP address) and a legacy server.
더 구체적으로는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 방안을 실현하는 보안연동장치를 제안하고자 한다.More specifically, the present invention proposes a security interworking device that realizes a solution to solve a security problem that can occur in an interoperation between an App container (a dynamic IP address) and a legacy server.
이하에서는, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안연동장치에 대하여 설명하겠다.Hereinafter, a security interlocking apparatus according to a preferred embodiment of the present invention will be described with reference to FIG. 3 and FIG.
먼저, 도 3을 참조하여 설명하면, 본 발명의 보안연동장치(100)는, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버(10) 사이에 위치하여, App 컨테이너 및 레거시서버(10) 사이의 연동을 지원하는 역할을 한다.3, the
이에, 보안연동장치(100)는, App 컨테이너로부터 레거시서버(10)로 전달되는 접근 요청(또는, 네트워크 요청)을 중계하되, 레거시서버(10)와의 연동이 허용된 App 컨테이너에 대해서만 유동적인 IP주소를 사용하더라도 레거시서버(10)와의 연동이 실패 없이 이루어질 수 있도록 게이트웨이 역할을 하는, 보안 서비스를 제공한다.Accordingly, the
이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안연동장치의 구성을 보다 구체적으로 설명하겠다.Hereinafter, the configuration of a security interworking device according to a preferred embodiment of the present invention will be described in more detail with reference to FIG.
도 4에 도시된 바와 같이 본 발명의 보안연동장치(100)는, 클라우드 환경에서 실행되는 어플리케이션 컨테이너(이하, App 컨테이너)로부터 특정 서버(이하, 레거시서버)로의 접근 요청을 확인하는 요청확인부(110)와, 상기 접근 요청을 기초로, 상기 레거시서버에 대한 상기 App 컨테이너의 이용 권한을 확인하는 권한확인부(120)와, 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 레거시서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부(140)를 포함한다.As shown in FIG. 4, the
이하에서는, 도 3에 도시된 App 컨테이너1,2,3,4를 언급하여 설명하겠다.Hereinafter, the App containers 1, 2, 3, and 4 shown in FIG. 3 will be described.
요청확인부(110)는, 클라우드 환경에서 실행되는 App 컨테이너로부터 레거시서버(10)로의 접근 요청을 확인한다.The
예를 들어, App 컨테이너1이 어플리케이션 서비스1을 제공하는 중에 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)를 수행하고자 해당 행위의 대상이 되는 레거시서버(10)로의 접근 요청을 발생한다고 가정하겠다.For example, in order to perform an action (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 while the application container 1 provides the application service 1, the access request to the
이 경우, 요청확인부(110)는, App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청을 수신하여, 확인할 수 있다.In this case, the
권한확인부(120)는, 상기 접근 요청을 기초로, 레거시서버(10)에 대한 App 컨테이너1의 이용 권한을 확인한다.The
보다 구체적으로 설명하면, 권한확인부(120)는, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별한다.More specifically, the
앞서 설명한 바와 같이, 클라우드 환경에서 실행되는 App 컨테이너는, 기술적인 특성 상 사용하는 IP주소가 유동적이다.As described above, the IP container used in the cloud environment is flexible in terms of the technical characteristics.
특히, 클라우드 환경에서 실행되는 각 App 컨테이너는, 불특정 시점에 발생되는 특정 이벤트에 의해 사용 중인 IP주소가 변경된다.In particular, each application container that runs in the cloud environment changes the IP address in use by a specific event occurring at an unspecified time.
구체적으로는, 각 App 컨테이너는, App 컨테이너가 비정상 종료되는 경우 빠르게 복구/재실행되는데, 이처럼 불특정한 시점에 발생하게 되는 재실행(특정 이벤트) 시마다 사용 중인 IP주소가 변경되는 것이다.Specifically, each App container is quickly restored / replayed when the App container is abnormally terminated. In this case, the IP address being used changes every time a replay (specific event) occurs at an unspecified time.
이때, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)가 존재한다.At this time, there is a control node (not shown) for controlling / managing the use of the IP address of each App container executed in the cloud environment.
권한확인부(120)는, 요청확인부(110)에서 확인한 금번 접근 요청을 기초로, 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있다.The
App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청에는, App 컨테이너1가 사용 중인 유동적인 IP주소가 사용되었을 것이다.In the access request transmitted from the App container 1 to the
따라서, 권한확인부(120)는, 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있고, 이 경우 App 컨테이너1을 식별할 것이다.Accordingly, the
즉, 권한확인부(120)는, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소가 변경되기 때문에, 접근 요청 내 IP주소 만으로는 접근 요청의 주체인 App 컨테이너를 식별할 수 없으므로, 제어노드(미도시)와 연동하여 App 컨테이너를 식별해내는 것이다.That is, since the IP address of each App container executed in the cloud environment is changed, the
권한확인부(120)는, 이처럼 식별된 App 컨테이너1에 기 부여된 레거시서버(10)에 대한 이용 권한을 확인한다.The
구체적으로, 보안연동장치(100)는, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한을 관리하는 보안테이블을 저장하는 저장부(130)를 더 포함할 수 있다.Specifically, the
저장부(130)에 저장되는 보안테이블은, 보안연동장치(100)가 보안 서비스를 제공하는 각 서버에 대하여, App 컨테이너 별로 부여된 이용 권한을 저장/관리하는 정보테이블이다.The security table stored in the
이에, 보안연동장치(100)가 보안 서비스를 제공하는 레거시서버(10)을 언급하여 설명하면, 보안테이블에는, 레거시서버(10)에 대하여 App 컨테이너1,2,3,4 별로 부여된 이용 권한이 저장/관리될 것이다.Hereinafter, the
이하에서는 설명의 편의 상, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.Hereinafter, it is assumed that
이 경우, 저장부(130)에 저장되는 보안테이블에는, 레거시서버(10)에 대하여, App 컨테이너1,2 별로 부여된 접근허용권한의 이용 권한 및 App 컨테이너3,4 별로 부여된 접근차단의 이용 권한이 저장/관리될 것이다.In this case, the security table stored in the
이에, 권한확인부(120)는, 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너1을 식별한 후, 보안테이블에 근거하여 레거시서버(10)에 대한 App 컨테이너1의 이용 권한(접근허용권한)을 확인할 수 있다.Then, the
전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한에 따라, 금번 접근 요청 내 IP주소에 대하여 레거시서버(10)가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정한다.The
구체적으로, 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한이 접근허용권한인 경우, 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경을 결정한다.Specifically, when the access right identified by the
즉, 전술과 같이 권한확인부(120)에서 확인된 App 컨테이너1의 이용 권한이 접근허용권한인 경우, 전달제어부(140)는, App 컨테이너1로부터의 금번 접근 요청 내 IP주소(유동)를 특정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)할 수 있다.That is, when the access right of the App container 1 confirmed by the
이때, 레거시서버(10)가 관리하는 방화벽에서 접근 허용하는 특정 IP주소란, 레거시서버(10)에서 관리하는 방화벽이 접근을 허용(오픈)하도록 설정된 고정IP주소이면 될 것이며, 더 구체적으로는 보안연동장치(100)가 사용하는 고정 IP주소일 수 있다.In this case, the specific IP address permitted to be accessed by the firewall managed by the
즉, 전달제어부(140)는, 이용 권한이 접근허용권한으로 확인되는 App 컨테이너1,2로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.That is, for the access request from the App containers 1 and 2 for which the use right is confirmed as the access permission authority, the
이렇게 되면, 레거시서버(10)의 방화벽이 보안연동장치(100)의 고정 IP주소에 대해서 접근을 허용(오픈)하므로, App 컨테이너1,2로부터의 접근 요청은 기존의 보안 체계에 따라 방화벽을 통과하여 레거시서버(10)에 정상적으로 수신될 것이다.In this case, since the firewall of the
여기서, 본 발명의 보안연동장치(100)는, App 컨테이너 및 레거시서버(10) 간의 접근 요청/응답 회신의 송수신을 중계하기 위한 송수신인터페이스부(150)를 더 포함한다.Here, the
송수신인터페이스부(150)는, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우, 금번 응답 회신에 포함된 정보에 근거하여 금번 응답 회신에 대응되는 접근 요청의 어플리케이션 컨테이너를 인지하고, 금번 응답 회신을 인지한 어플리케이션 컨테이너로 전달한다.
구체적으로, 송수신인터페이스부(150)는, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우, 금번 응답 회신에 포함된 정보 특히 응답 회신(패킷)에 기 포함되어 있는 original source 정보에 근거하여, 금번 응답 회신에 대응되는 접근 요청을 발생한 App 컨테이너(예: App 컨테이너1)를 인지할 수 있다.Specifically, when a response response based on the access request is received from the
이에, 송수신인터페이스부(150)는, 금번 응답 회신에 대응되는 접근 요청의 어플리케이션 컨테이너 예컨대 App 컨테이너1을 인지하면, 금번 응답 회신을 해당하는 App 컨테이너1로 전달(중계)할 수 있다.Accordingly, the transmission /
한편, 송수신인터페이스부(150)는, 전술한 방식 외에도, 양 기기(App 컨테이너/레거시서버) 간의 송수신을 중계 및 게이트웨이 역할을 하는 기존의 기술에서, 송수신되는 신호(접근 요청/응답 회신)을 상호 대응시켜 전달하는 다양한 방식 중 어느 것을 채택하여도 무방할 것이다.In addition to the above-described method, the transmission /
한편, 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한이 접근차단인 경우, 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경 없이, 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다.If the access right identified by the
즉, 전달제어부(140)는, 이용 권한이 접근차단으로 확인되는 App 컨테이너3,4로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 변경하지 않고, 레거시서버(10)로 전달(중계)하는 것이다.That is, the
이렇게 되면, 레거시서버(10)의 방화벽이 접근을 허용(오픈)하지 않는 App 컨테이너3,4로부터의 접근 요청은, 기존의 보안 체계에 따라 방화벽을 통과하지 못하고 차단될 것이다.In this case, access requests from the App containers 3 and 4, in which the firewall of the
이상에서 설명한 바와 같이, 본 발명의 보안연동장치(100)는, App 컨테이너로부터 레거시서버(10)로 전달되는 접근 요청(또는, 네트워크 요청)을 중계하되, 레거시서버(10)와의 연동이 허용된 접근허용권한의 App 컨테이너의 접근 요청에 대해서는 IP주소를 레거시서버(10)의 방화벽에서 접근 허용하는 IP주소로 변경하는 간단한 절차를 통해, App 컨테이너가 유동적인 IP주소를 사용하더라도 App 컨테이너 및 레거시서버(10) 간의 연동이 실패 없이 이루어질 수 있도록 한다.As described above, the
더 나아가, 저장부(130)에 저장되는 보안테이블은, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 뿐 아니라 이용 레벨을 더 관리할 수 있다.Furthermore, the security table stored in the
여기서, 이용 레벨은, 정의하기에 따라 달리 구분될 수 있으며, 예를 들면 접근 요청에 따라 레거시서버(10)에서 수행되는 행위의 허용범위를 기준으로 상/중/하의 3개 이용 레벨로 구분하여 정의할 수 있다.Here, the usage level may be differently defined according to the definition. For example, the usage level may be divided into three usage levels of upper, middle, and lower based on the allowable range of the action performed by the
이러한 실시예에 따르면, 권한확인부(120)는, 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너1을 식별한 후, 보안테이블에 근거하여 레거시서버(10)에 대한 App 컨테이너1의 이용 권한(접근허용권한) 및 이용 레벨을 확인할 수 있다.According to this embodiment, the
그리고 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한 및 이용 레벨에 기초하여, 이용 권한이 접근허용권한이고 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 이용 레벨의 허용범위에 속하는 경우, 금번 접근 요청 내 IP주소를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여 레거시서버(10)로 전달(중계)할 수 있다.The
예를 들어, App 컨테이너1의 이용 레벨은 상 이용 레벨이고 이때의 허용범위는 정보 획득, 정보 저장, 정보 변경이라고 가정하며, App 컨테이너2의 이용 레벨은 하 이용 레벨이고 이때의 허용범위는 정보 획득이라고 가정한다.For example, it is assumed that the usage level of the App container 1 is the usage level, and the allowable range at this time is information acquisition, information storage, and information change. The usage level of the App container 2 is the lower level, .
이 경우, 전달제어부(140)는, 이용 권한이 접근허용권한, 이용 레벨인 상 이용 레벨로 확인되는 App 컨테이너1로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 상 이용 레벨의 허용범위(정보 획득, 정보 저장, 정보 변경)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.In this case, for the access request from the App container 1 in which the usage right is identified as the access permission level and the usage level, that is, the usage level, the action according to the access request is the allowable range of the usage level (Relay) the IP address (flow) of the access request to the specific IP address, that is, the fixed IP address of the
한편, 전달제어부(140)는, 이용 권한이 접근허용권한, 이용 레벨이 하 이용 레벨로 확인되는 App 컨테이너2로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 하 이용 레벨의 허용범위(정보 획득)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.On the other hand, for the access request from the App container 2 in which the use right is the access right and the use level is found to be the lower use level, the
이렇게 되면, 본 발명의 보안연동장치(100)는, 레거시서버(10)와의 연동이 허용된 접근허용권한의 App 컨테이너의 접근 요청에 대해서는 이용 레벨 별로 차등을 두어 IP주소를 변경함으로써, 유동적인 IP주소를 사용하는 App 컨테이너 및 레거시서버(10) 간의 연동이 이용 레벨에 따라 차등화하여 이루어질 수 있도록 한다.In this case, the
이상에서 설명한 바와 같이, 본 발명에 따르면, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제하는 것이 가능해짐으로써, App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.As described above, according to the present invention, it becomes possible to control the interlock between the App container and the legacy server executed in the cloud environment with high reliability without changing the security system of the legacy server, And solves security problems that may occur in interworking.
이하에서는, 도 5를 참조하여 본 발명의 다양한 실시예에 따른 보안연동장치의 보안 서비스 방법을 설명하겠다. Hereinafter, a security service method of a security interworking device according to various embodiments of the present invention will be described with reference to FIG.
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한을 관리하는 보안테이블을 저장/관리한다(S100).The security service method of the
보안테이블은, 보안연동장치(100)가 보안 서비스를 제공하는 각 서버에 대하여, App 컨테이너 별로 부여된 이용 권한을 저장/관리하는 정보테이블이다.The security table is an information table for storing / managing a usage right assigned for each App container for each server that the
이에, 보안연동장치(100)가 보안 서비스를 제공하는 레거시서버(10)을 언급하여 설명하면, 보안테이블에는, 레거시서버(10)에 대하여 App 컨테이너1,2,3,4 별로 부여된 이용 권한이 저장/관리될 것이다.Hereinafter, the
이하에서는 설명의 편의 상, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.Hereinafter, it is assumed that
이 경우, 보안테이블에는, 레거시서버(10)에 대하여, App 컨테이너1,2 별로 부여된 접근허용권한의 이용 권한/이용 레벨 및 App 컨테이너3,4 별로 부여된 접근차단의 이용 권한/이용 레벨이 저장/관리될 것이다.In this case, in the security table, the use authority / use level of the access permission authority assigned to each of the App containers 1 and 2 and the use authority / use level of the access blocking agent assigned to each of the App containers 3 and 4 Stored / managed.
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 클라우드 환경에서 실행되는 App 컨테이너로부터 레거시서버(10)로의 접근 요청을 확인한다(S110).The security service method of the
예를 들어, App 컨테이너1이 어플리케이션 서비스1을 제공하는 중에 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)를 수행하고자 해당 행위의 대상이 되는 레거시서버(10)로의 접근 요청을 발생한다고 가정하겠다.For example, in order to perform an action (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 while the application container 1 provides the application service 1, the access request to the
이 경우, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청을 수신하여, 확인할 수 있다.In this case, the security service method of the
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, S110단계에서 접근 요청이 확인되면, 확인한 금번 접근 요청을 기초로, 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있다(S120).In the security service method of the
App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청에는, App 컨테이너1가 사용 중인 유동적인 IP주소가 사용되었을 것이다.In the access request transmitted from the App container 1 to the
따라서, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있고, 이 경우 App 컨테이너1을 식별할 것이다.Accordingly, the security service method of the
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이처럼 식별된 App 컨테이너1에 기 부여된 레거시서버(10)에 대한 이용 권한 및 이용 레벨을 확인한다(S130).In the security service method of the
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 보안테이블에 근거하여, S120단계에서 식별한 App 컨테이너1의 이용 권한(예: 접근허용권한) 및 이용 레벨(예: 상)을 확인할 수 있다(S130).The security service method of the
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 확인된 이용 권한이 접근허용권한이 아닌 접근차단인 경우(S140 No), 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경 없이, 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다(S200).In the security service method of the
이에, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 예컨대 이용 권한이 접근차단으로 확인되는 App 컨테이너3,4로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 변경하지 않고, 레거시서버(10)로 전달(중계)하는 것이다.Accordingly, the security service method of the
한편, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 확인된 이용 권한이 접근허용권한인 경우(S140 Yes), 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하는지 판단한다(S150).Meanwhile, in the security service method of the
본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하지 않는 경우(S150 No) 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다(S200).In the security service method of the
반면, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하는 경우(S150 Yes), 금번 접근 요청 내 IP주소를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여 레거시서버(10)로 전달(중계)할 수 있다(S160).On the other hand, in the security service method of the
예를 들어, App 컨테이너1의 이용 레벨은 상 이용 레벨이고 이때의 허용범위는 정보 획득, 정보 저장, 정보 변경이라고 가정하며, App 컨테이너2의 이용 레벨은 하 이용 레벨이고 이때의 허용범위는 정보 획득이라고 가정한다.For example, it is assumed that the usage level of the App container 1 is the usage level, and the allowable range at this time is information acquisition, information storage, and information change. The usage level of the App container 2 is the lower level, .
이 경우, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이용 권한이 접근허용권한, 이용 레벨인 상 이용 레벨로 확인되는 App 컨테이너1로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 상 이용 레벨의 허용범위(정보 획득, 정보 저장, 정보 변경)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.In this case, in the security service method of the
한편, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이용 권한이 접근허용권한, 이용 레벨이 하 이용 레벨로 확인되는 App 컨테이너2로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 하 이용 레벨의 허용범위(정보 획득)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.Meanwhile, in the security service method of the
그리고, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우(S170), 금번 응답 회신을 해당하는 App 컨테이너로 전달(중계)한다.In the security service method of the
즉, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 수신된 응답 회신에 포함된 정보 특히 original source 정보로부터 금번 응답 회신에 대응되는 접근 요청을 발생한 App 컨테이너(예: App 컨테이너1)를 인지하고, 금번 응답 회신을 앞서 인지한 App 컨테이너1로 전달(중계)할 수 있다(S180).That is, in the security service method of the
이상에서 설명한 바와 같이, 본 발명에 따르면, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제하는 것이 가능해짐으로써, App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.As described above, according to the present invention, it becomes possible to control the interlock between the App container and the legacy server executed in the cloud environment with high reliability without changing the security system of the legacy server, And solves security problems that may occur in interworking.
이상에서 설명한 바와 같이 본 발명에 따른 보안 서비스 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.As described above, the security service method according to the present invention can be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.
본 발명에 따른 보안연동장치 및 보안연동장치의 보안 서비스 방법에 따르면, 레거시서버 측의 보안 체계 변경 없이도 App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the security interworking apparatus and the security interworking apparatus security service method according to the present invention, the security problem that may occur in interworking between the App container and the legacy server is solved without changing the security scheme of the legacy server, It is not only the use of the related technology but also the possibility of commercialization or operation of the applied device is sufficient, and it is possible that the device can be practically and practically used.
100 : 보안연동장치
110 : 요청확인부 120 : 권한확인부
130 : 저장부 140 : 전달제어부
150 : 송수신인터페이스부100: Security interlocking device
110: request confirmation unit 120:
130: storage unit 140:
150: Transmitting /
Claims (12)
상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인부; 및
상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부를 포함하는 것을 특징으로 하는 보안연동장치.A request confirmation unit for confirming a request for access to a specific server from an application container executed in a cloud environment;
An authority checking unit for checking the use authority of the application container with respect to the specific server based on the access request; And
And a transfer control unit for determining whether to change the IP address in the access request to a specific IP address permitted to be accessed by a firewall managed by the specific server according to the identified usage right.
상기 권한확인부는,
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고,
상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The authority-
An application container in use of the IP address in the access request in cooperation with a control node managing IP address use of each application container executed in the cloud environment,
And confirms a usage right for the specific server assigned to the identified application container.
상기 전달제어부는,
상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The delivery control unit,
And when the determined usage right is the access permission authority, changing the IP address in the access request to the specific IP address and delivering the changed IP address to the specific server.
상기 특정 IP주소는,
상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소인 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The specific IP address may be,
Wherein the secure interworking device is a static IP address of the security interworking device which permits access from a firewall managed by the specific server.
어플리케이션 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 및 권한 레벨을 관리하는 보안테이블을 저장하는 저장부를 더 포함하며;
상기 권한확인부는,
상기 접근 요청을 기초로, 상기 보안테이블로부터 상기 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한 및 이용 레벨을 확인하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Further comprising: a storage unit for storing security tables for managing usage rights and authority levels assigned to the respective servers by application containers;
The authority-
And confirms the usage right and usage level for the specific server assigned to the application container from the security table based on the access request.
상기 전달제어부는,
상기 확인된 이용 권한 및 이용 레벨에 기초하여, 상기 이용 권한이 접근허용권한이고 상기 접근 요청에 의해 상기 특정 서버에서 수행되는 행위가 상기 이용 레벨의 허용범위에 속하는 경우,
상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치.6. The method of claim 5,
The delivery control unit,
When the use right is the access permission authority and the action performed by the specific server by the access request belongs to the allowable range of the use level,
And changes the IP address in the access request to the specific IP address and delivers the IP address to the specific server.
상기 특정 서버로부터 상기 접근 요청에 따른 응답 회신이 수신되는 경우, 상기 응답 회신에 포함된 정보에 근거하여 상기 접근 요청의 어플리케이션 컨테이너를 인지하고, 상기 응답 회신을 상기 인지한 어플리케이션 컨테이너로 전달하는 송수신인터페이스부를 더 포함하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Receiving a response response based on the access request from the specific server, recognizing an application container of the access request based on the information included in the response reply, and transmitting the response reply to the recognized application container Further comprising: a security association module.
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너는,
불특정 시점에 발생되는 특정 이벤트에 의해, 사용 중인 IP주소가 변경되는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Each application container executing in the cloud environment,
And the IP address being used is changed by a specific event generated at an unspecified time point.
상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인단계; 및
상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어단계를 포함하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.A request confirmation step of confirming an access request from an application container executed in a cloud environment to a specific server;
An authority checking step of checking the use authority of the application container for the specific server based on the access request; And
And a transfer control step of determining whether or not the IP address in the access request is changed to a specific IP address permitted to be accessed by a firewall managed by the specific server according to the identified usage right, Of security services.
상기 권한확인단계는,
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고,
상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
Wherein the authority checking step comprises:
An application container in use of the IP address in the access request in cooperation with a control node managing IP address use of each application container executed in the cloud environment,
And confirms a usage right for the specific server assigned to the identified application container.
상기 전달제어단계는,
상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
The delivery control step includes:
And if the determined use right is the access permission authority, changing the IP address in the access request to the specific IP address and delivering the changed IP address to the specific server.
상기 특정 IP주소는,
상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소인 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
The specific IP address may be,
Wherein the secure interworking device is a static IP address of the security interworking device which permits access from a firewall managed by the specific server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170098239A KR102034520B1 (en) | 2017-08-02 | 2017-08-02 | Security association apparatus and security service method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170098239A KR102034520B1 (en) | 2017-08-02 | 2017-08-02 | Security association apparatus and security service method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190014424A true KR20190014424A (en) | 2019-02-12 |
KR102034520B1 KR102034520B1 (en) | 2019-10-21 |
Family
ID=65369328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170098239A KR102034520B1 (en) | 2017-08-02 | 2017-08-02 | Security association apparatus and security service method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102034520B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023113081A1 (en) * | 2021-12-13 | 2023-06-22 | 에스지에이솔루션즈 주식회사 | Method, apparatus, and computer-readable recording medium for controlling execution of container workload in scheme of event streaming in cloud environment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013134711A (en) * | 2011-12-27 | 2013-07-08 | Nis Plus Co Ltd | Medical cloud system |
US20140244851A1 (en) * | 2013-02-26 | 2014-08-28 | Zentera Systems, Inc. | Secure virtual network platform for enterprise hybrid cloud computing environments |
-
2017
- 2017-08-02 KR KR1020170098239A patent/KR102034520B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013134711A (en) * | 2011-12-27 | 2013-07-08 | Nis Plus Co Ltd | Medical cloud system |
US20140244851A1 (en) * | 2013-02-26 | 2014-08-28 | Zentera Systems, Inc. | Secure virtual network platform for enterprise hybrid cloud computing environments |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023113081A1 (en) * | 2021-12-13 | 2023-06-22 | 에스지에이솔루션즈 주식회사 | Method, apparatus, and computer-readable recording medium for controlling execution of container workload in scheme of event streaming in cloud environment |
Also Published As
Publication number | Publication date |
---|---|
KR102034520B1 (en) | 2019-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9106406B2 (en) | Communication apparatus and key managing method | |
CN102741853B (en) | The system and method that should be used for preventing loss of data is wrapped up for utilizing virtual machine | |
CN102947797B (en) | The online service using directory feature extending transversely accesses and controls | |
US9572025B2 (en) | Method, server, computer program and computer program product for communicating with secure element | |
US9100172B2 (en) | Method for interworking with trustzone between normal domain and secure domain, and management method of trusted application download, management server, device and system using it | |
RU2611241C2 (en) | Method of routing in mobile terminal, emulating contactless payment card | |
CN101366242B (en) | A partitioning communication system | |
US20170208147A1 (en) | Network infrastructure management | |
US20110138475A1 (en) | Systems and method for providing trusted system functionalities in a cluster based system | |
CN105049412A (en) | Secure data exchange method, device and equipment among different networks | |
CN103780580A (en) | Method, server and system for providing capability access strategy | |
CN112673350B (en) | Method and apparatus for enabling coordinated execution of actions in a distributed computing system having non-trusted entities | |
KR101591289B1 (en) | A Methods and Apparatus of separated software upgrade of Device and Gateway by over the air in the Machine to machine communication | |
CN111885031A (en) | Fine-grained access control method and system based on session process | |
CN112153055B (en) | Authentication method and device, computing equipment and medium | |
KR20190014424A (en) | Security association apparatus and security service method thereof | |
KR101522139B1 (en) | Method for blocking selectively in dns server and change the dns address using proxy | |
KR101059058B1 (en) | Apparatus, method and system for service access control based on user location | |
CN108366087A (en) | A kind of ISCSI service implementing methods and device based on distributed file system | |
CN114301682B (en) | Data processing method, device and terminal equipment | |
KR101703491B1 (en) | Method for providing security service in cloud system and the cloud system thereof | |
US11231969B2 (en) | Method for auditing a virtualised resource deployed in a cloud computing network | |
CN103077134A (en) | Method and device for achieving multi-pipe data transmission in embedded system | |
KR101489759B1 (en) | Method for controlling file transfer protocol using storage apparatus | |
US20210286906A1 (en) | Memory device, data transfer device and method for transferring data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |