KR20190030701A - 클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템 및 방법 - Google Patents

클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템 및 방법 Download PDF

Info

Publication number
KR20190030701A
KR20190030701A KR1020197003306A KR20197003306A KR20190030701A KR 20190030701 A KR20190030701 A KR 20190030701A KR 1020197003306 A KR1020197003306 A KR 1020197003306A KR 20197003306 A KR20197003306 A KR 20197003306A KR 20190030701 A KR20190030701 A KR 20190030701A
Authority
KR
South Korea
Prior art keywords
service
encapsulation
micro
data
secure micro
Prior art date
Application number
KR1020197003306A
Other languages
English (en)
Inventor
라틴더 폴 싱 아후자
마뉴엘 네드발
Original Assignee
쉴드엑스 네트웍스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 쉴드엑스 네트웍스, 인크. filed Critical 쉴드엑스 네트웍스, 인크.
Publication of KR20190030701A publication Critical patent/KR20190030701A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1002
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/123Evaluation of link metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/124Shortest path evaluation using a combination of metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/125Shortest path evaluation based on throughput or bandwidth
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

데이터 센터의 네트워크 트래픽에서 위협들을 감시하고 보고하기 위해 네트워크 보안과 관련되는 시스템들 및 방법들이 개시된다. 예를 들어, 일 실시예는 제1 보안 마이크로서비스에 의해, 제1 캡슐화 맥락 및 제1 캡슐화된 데이터를 캡슐화하는 제1 채널 데이터 캡슐화 패킷을 수신하는 단계, 제1 캡슐화 맥락을 사용하여 제1 캡슐화된 데이터에 대해 보안 서비스를 수행하는 단계, 제1 보안 마이크로서비스에 의해 제2 채널 데이터 캡슐화 패킷을 제2 보안 마이크로서비스에 송신하는 단계 - 제2 채널 캡슐화 패킷은 보안 서비스들에 대한 요청을 포함함 -, 제1 보안 마이크로서비스에 의해 제2 보안 마이크로서비스 맥락, 제2 보안 마이크로서비스 타임스탬프, 및 제2 보안 마이크로서비스 로드를 포함하는 제2 보안 마이크로서비스로부터 응답을 수신하는 단계의 방법을 개시한다. 제1 보안 마이크로서비스는 제1 채널 데이터 캡슐화 패킷에 대한 응답에 포함되는 타임스탬프 및 로드를 추가로 발생시킨다.

Description

클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템 및 방법
본원에 설명되는 실시예들은 일반적으로 네트워크 보안에 관한 것이다. 특히, 설명되는 실시예들은 일반적으로 클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템들 및 방법들에 관한 것이다.
클라우드 컴퓨팅 서비스들의 확장은 다양한 클라이언트 애플리케이션들을 실행하기 위해 컴퓨팅 용량을 제공하도록 서버들의 수집들을 초래했다. 일부 클라이언트-서버 연결들은 사설 네트워크들을 사용한다. 다른 클라이언트-서버 연결들은 사설 네트워크들에 의해 직접 연결되었던 것처럼 공중 네트워크를 통해 데이터를 교환하기 위해 가상 사설 네트워크들을 사용한다. 클라우드 컴퓨팅 서비스들의 확장에 따라 서버들을 호스팅하기 위해 데이터 센터들의 확장이 도래되었다. 일부 호스팅된 서버들은 멀티 테넌트 데이터 센터들에 수용되고, 자원들을 다른, 잠재적으로 관련없는 서버들과 공유한다.
데이터 보안 및 감시 네트워크 트래픽은 그러한 데이터 센터들 내의 요건이다. 서버들과 클라이언트 애플리케이션들 사이의 데이터 이동은 보안을 위해 감시될 필요가 있다. 멀티 테넌트 시나리오에서 포함하는, 그러한 데이터 센터 내의 데이터 흐름을 감시할 시에 처리될 하나의 문제는 데이터를 멀티 테넌트 보안 시스템 내의 정확한 서버에 어떻게 라우팅하느냐이다. 충돌들은 동일한 IP 및 MAC 어드레스들을 갖는 다수의 서버 간에 발생할 수 있다. 그러한 데이터 센터에서 처리될 다른 문제는 보안 마이크로서비스들의 계층 내의 정확한 보안 마이크로서비스들을 통해 패킷들을 어떻게 라우팅하느냐이다.
본원에 개시되는 실시예들의 다양한 장점들은 이하의 명세서 및 첨부된 청구항들을 판독함으로써, 그리고 이하의 도면들을 참조함으로써 본 기술분야의 통상의 기술자에게 분명해질 것이다.
도 1은 메모리로부터 네트워크 보안 시스템 마이크로서비스들을 로딩하고 프로세서에 의해 그들을 실행하기 위한 컴퓨터 하드웨어를 예시하는 블록도이다.
도 2는 일 실시예에 따른 보안 마이크로서비스들을 사용하여 3배 스케일 아웃 요건(three-time scale out requirement)을 구현하는 스케일가능 보안 아키텍처의 일 실시예를 충족시키는 것을 예시한다.
도 3은 일 실시예에 따른 마이크로서비스를 스케일 아웃함으로써 임의적 스케일 아웃 요건을 충족시키는 것을 예시한다.
도 4는 일 실시예에 따른 라우팅 네트워크를 통해 애플리케이션과 하나 이상의 서버 사이에서 트래픽을 감시하기 위해 보안 서비스를 예시하는 블록도이다.
도 5는 데이터 패킷 캡슐화를 예시한다.
도 6은 클라이언트-서버 데이터 채널들에서 채널 데이터 캡슐화 방법을 사용하는 프로세스의 일 실시예이다.
도 7은 일 실시예에 따른 보안 마이크로서비스들의 계층을 통과한 후에 서버를 가로지르는 애플리케이션 데이터를 예시하는 블록 흐름도이다.
이하의 설명에서, 다수의 구체적 상세들이 제시된다. 그러나, 개시의 실시예들이 이러한 구체적 상세들 없이 실시될 수 있다는 점이 이해된다. 다른 사례들에서, 널리 공지된 회로들, 구조들 및 기술들은 이러한 설명의 이해를 모호하게 하지 않도록 상세히 도시되지 않았다.
명세서에서 "하나의 실시예", "일 실시예", "예시적 실시예" 등에 대한 참조는 설명되는 실시예가 특정 특징, 구조, 또는 특성을 포함할 수 있지만, 모든 실시예가 특정 특징, 구조, 또는 특성을 반드시 포함할 필요가 없는 것을 표시한다. 더욱이, 그러한 구문들은 동일한 실시예를 반드시 언급하고 있는 것은 아니다. 게다가, 특정 특징, 구조, 또는 특성이 일 실시예와 관련하여 설명될 때, 명시적으로 설명되든 안되든 다른 실시예들과 관련하여 그러한 특징, 구조, 또는 특성에 영향을 미치는 것이 본 기술분야의 통상의 기술자의 지식 내에 있는 것으로 제출된다.
클라우드 컴퓨팅의 확장 및 다수의 서버를 호스팅하는 데이터 센터들은 본원에 개시되는 실시예들에 의해 처리되는 다수의 도전을 제공한다. 예를 들어, 애플리케이션들 및 서버들이 공중 네트워크를 통해 통신할 때, 그들의 인터넷 프로토콜(Internet Protocol)(IP) 어드레스들은 동일한 IP 어드레스들을 갖는 다른 디바이스들과 충돌할 수 있다. 또한, 모든 패킷을 전송 제어 프로토콜(transmission control protocol)/IP(TCP/IP) 헤더로 캡슐화하는 것은 패킷들보다는 오히려, 데이터 채널들을 캡슐화하는, 본원에 개시되는 실시예들만큼 효율적이지 않다. 더욱이, 데이터가 TCP/IP 패킷들을 통해 송신되는 경우, 헤더 정보는 데이터 센터 내의 제1 수신자에 의해 손실되고, 데이터가 다양한 보안 마이크로서비스들을 통해 이동하는 경로를 제어하는 어떠한 부가 맥락(additional contextual) 또는 라우팅 정보도 없다. 일 예로서, 물리적 인터페이스를 식별하는 매체 액세스 제어(media access control)(MAC) 어드레스를 포함하는 헤더 정보는 데이터 스트림이 네트워크 어드레스 변환(network address translation)(NAT) 경계를 교차함에 따라 손실될 수 있다.
부가적으로, 클라우드 아키텍처들은 프로그램들 간에 정보를 송신하는 상이한 물리적 서버들 상의 프로세스들에 의한 분산 처리에 점점 더 의존한다. 처리된 데이터를 송신할 때, 하나의 프로세스의 소스 데이터에 이용가능한 라우팅 정보는 그러한 처리된 데이터가 다른 프로세스에 송신됨에 손실될 수 있다. 일 예로서, 콘텐츠 스캐닝 서비스는 네트워크 트래픽을 감시하는 TCP/IP 리어셈블리 서비스 다음에 동작한다. TCP/IP 리어셈블리 서비스의 출력은 패킷들을 더 이상 포함하지 않고(오히려 그것은 패킷들에 의해 전송되는 데이터 스트림을 포함함) 따라서 일부 라우팅 정보, 또는 그러한 라우팅 정보로부터 유도되는 정보를, 후속 처리 요소들에 제공하지 않을 수 있다.
본원에 개시되는 실시예들에 따르면, 보안 서비스의 분산 마이크로서비스들 간에 균일한 통신 수단을 제공하기 위해 채널 데이터 캡슐화를 이용하는 시스템들, 방법들, 및 장치들의 실시예들이다. 채널 데이터 캡슐화는 이하를 비제한된 방식으로 포함하는 많은 유리한 사용들을 허용한다: 네트워크 라우팅 로드의 감소, 마이크로서비스들의 동적 스케일링, 및 보안 서비스의 구성요소들인 마이크로서비스들의 전개에 관한 제약들의 제거.
본원에 개시되는 실시예들에 따르면, 네트워크 패킷들은 데이터 채널들에 할당되고, 적어도 하나 이상의 네트워크 패킷, 캡슐화 맥락, 및 캡슐화 헤더를 포함하는 채널 데이터 캡슐화 패킷에 캡슐화된다. 채널 데이터 캡슐화 패킷은 하나보다 많은 네트워크 패킷을 휴대할 수 있다. 채널 데이터 캡슐화 패킷은 데이터 채널들 및 그들의 성질들을 식별하고, 충돌하는 서버 어드레스들을 다루는 정보를 포함한다. 채널 데이터 캡슐화 패킷은 어느 보안 마이크로서비스(들)에 채널 데이터 캡슐화 패킷의 데이터가 라우팅되어야 하는지를 결정하는 라우팅 정보 및 보안 맥락을 포함한다. 일부 실시예들에서, 부가 정보, 예컨대 로딩 정보 및 타임스탬프는 채널 데이터 캡슐화 패킷에 포함된다. 채널 데이터 캡슐화 패킷은 데이터 센터 보안 마이크로서비스(들)가 데이터를 보안 마이크로서비스들의 계층 내의 다음 적절한 보안 마이크로서비스에 라우팅하는 것을 허용하는 정보를 포함한다. 일 예로서, TCP/IP 마이크로서비스는 캡슐화 맥락에 적어도 부분적으로 기초하여, 채널 데이터 캡슐화 패킷을 암호화/복호화 마이크로서비스, 또는 DPI 마이크로서비스에 라우팅할 것이다.
캡슐화된 채널 데이터는 패킷들 또는 패킷들을 처리하는 것으로부터 유도되는 정보로 구성된다. 일부 실시예들에서, 동일한 캡슐화는 패킷들을 패킷 분석 서비스에 전송하고 그 후에 리어셈블리된 데이터 스트림을 추가 보안 서비스에 전송하기 위해 사용된다. 리어셈블리된 데이터를 캡슐화 맥락으로 캡슐화함으로써, 원래의 소스 패킷들로부터 유도되는 정보는 그러한 서비스들에 이용가능한 소스 패킷들의 사용 없이 후처리된 데이터에 대해 동작하는 서비스들에 의해 이용될 수 있다.
채널 데이터를 캡슐화하는 것은 캡슐화된 데이터를 전송하기 위해 요구되는 라우팅 헤더 정보로 구성되는 캡슐화 헤더의 사용을 통해 달성된다. 이러한 헤더는 캡슐화된 채널 데이터의 수신기를 식별하기에 충분한 이더넷, IP, 또는 다른 헤더로 구성될 수 있다. 데이터 센터 내에서, 호스트 네트워크들(IP 기반)을 관리 하이퍼바이저 네트워크들(또한 IP 기반)로 캡슐화하는 것은 일반적이다. 일 예로서, 소프트웨어 정의 네트워킹은 가상 머신들 간에 연결성을 제공하기 위해 IP-오버-IP 캡슐화를 사용할 수 있다.
수신된 데이터를 처리하고 동일한 채널 데이터 캡슐화 방식을 사용하여 처리된 데이터를 송신하는 마이크로서비스들에 걸쳐 유지될 수 있는 캡슐화 맥락의 포함은 맥락과 연관되는 정책들이 각각의 계층 레벨에서 정책 상태를 유지하는 것 없이 보안 서비스들의 계층에 걸쳐 유지되는 것을 허용한다. 캡슐화 맥락은 또한 보안 액션들을 정의하기 위해 사용될 수 있다. 마이크로서비스는 보안 동작이 캡슐화 맥락에 기초하여 수행되는 것을 결정할 수 있다. 일 예로서, DPI 마이크로서비스는 어떤 정도의 스캐닝이 캡슐화 맥락에 기초하여 요구되는지를 결정할 수 있지만 DPI 마이크로서비스는 원래의 패킷들에 대한 지식이 없다.
캡슐화된 채널 데이터는 타임스탬프 및 로드 메트릭을 포함하는 성질들로 태깅될 수 있다. 타임스탬프는 마이크로서비스 처리의 지속, 마이크로서비스 처리가 시작된 시간 또는 캡슐화된 채널 데이터를 처리하는 것과 연관되는 다른 일시적 성질을 참조할 수 있다. 로드 메트릭은 캡슐화된 채널 데이터의 마이크로서비스 처리의 상대 또는 절대 로딩을 참조할 수 있다. 그 안에 포함되는 콘텐츠보다는 오히려 캡슐화된 채널을 태깅함으로써, 라우팅 및 처리 둘 다에서의 효율은 마이크로서비스들 간에 로드 밸런싱을 위해 요구되는 실시간 정보를 유지하면서, 달성된다.
도 1은 마이크로서비스들을 사용하여 스케일가능 마이크로서비스 아키텍처의 구성요소들의 일 실시예를 예시하는 블록도이다. 네트워크 보안 시스템 마이크로서비스들은 메모리(예를 들어, 랜덤 액세스 메모리(Random Access Memory)(RAM)와 같은 휘발성 메모리 및/또는 디스크와 같은 비휘발성 메모리)에 저장되고 하나 이상의 하드웨어 프로세서 또는 프로세서 코어에 의해 실행된다. 특정 보안 서비스를 수행하기 위해 컴퓨터 실행가능 명령어들로 구성되는 네트워크 보안 시스템 마이크로서비스들은 이용가능 물리적 서버들에 걸친 구성에 기초하여 전개된다. 전형적으로, 각각의 마이크로서비스는 가상 섀시(106)의 백플레인을 통해 구성 및 작업들을 수신하고 상태, 통계들 및 다른 정보를 백플레인에 반환한다. 마이크로서비스의 공통 성질은 다른 마이크로서비스들로부터의 메모리의 분리 및 보호이다. 이러한 방식으로, 개별 마이크로서비스는 다른 물리적 서버로 이동되거나 다른 마이크로서비스들에 영향을 주는 것 없이 비정상적으로 종결될 수 있다.
보안 시스템에 의해 처리되는 데이터는 데이터 평면을 사용하여 마이크로서비스로부터 다른(상위 계층) 마이크로서비스로 전달된다. 일부 실시예들에서, 그러한 전달 동안, 하위 마이크로서비스는 어느 상위 계층 마이크로서비스가 이용되는지에 관한 결정을 (구성, 현재 통계들 및 다른 정보에 기초하여) 한다. 그러한 결정은 상위 계층 마이크로서비스들이 효율적으로 이용되는 것을 보장하기 위해 로드 밸런싱 결정을 구성할 수 있다. 다른 실시예들에서, 어느 마이크로서비스가 이용되는지의 결정은 보다 중앙의 엔티티에 의해 이루어진다.
예시된 바와 같이, 네트워크 보안 시스템은 메모리(104)(예를 들어, 랜덤 액세스 메모리(RAM)와 같은 휘발성 메모리 및/또는 디스크와 같은 비휘발성 메모리)에 저장되는 마이크로서비스들을 실행하기 위해 하드웨어 프로세서(102)(중앙 처리 유닛(central processing unit)(CPU) 또는 그것의 하나 이상의 코어, 그래픽 처리 유닛(graphics processing unit)(GPU) 또는 그것의 하나 이상의 코어, 또는 가속 처리 유닛(accelerated processing unit)(APU) 또는 그것의 하나 이상의 코어와 같음)를 이용한다. 네트워크 인터페이스(128)(예를 들어, 유선 또는 무선인 패브릭 또는 인터커넥트)는 데이터 센터와 통신하는 수단을 제공한다. 네트워크 보안 시스템은 아래에 추가로 설명되는 바와 같이, 마이크로서비스들을 사용하여, 트래픽을 검사하고, 위협들을 검출하고, 데이터 센터를 다른 방법으로 보호할 수 있다.
상기 능력들을 제공하는 네트워크 보안 시스템의 실시예들은 이제 더 상세히 논의된다. 네트워크 보안 시스템은 보안을 데이터 센터에 추가하고, 데이터 센터의 보안을 향상시킨다. 일 실시예에서, 네트워크 보안 시스템은 시드 소프트웨어 애플리케이션의 형태로 전달(예를 들어, 다운로드)된다. 시드 소프트웨어 애플리케이션은 데이터 센터 내의 호스트 상에 네트워크 보안 시스템의 마이크로서비스들을 인스턴스화한다. 본원에 사용되는 바와 같이, 마이크로서비스 컨테이너는 마이크로서비스가 실행하는 곳, 대부분 현저히 가상 머신을 언급한다. 전개되면, 네트워크 보안 시스템은 하드웨어 프로세서(102)(위에 상세히 설명된 바와 같음), 메모리(104), 및 네트워크 인터페이스(128)를 이용한다. 많은 시나리오들에서, 보안은 기존 하드웨어를 사용하여 그리고/또는 특정 기능성을 위한 특정 랙 디바이스들을 구매해야 하는 것 없이 추가/구성될 수 있다. 시드 소프트웨어 애플리케이션은 매우 다양한 호스트들 중 어느 하나 상에 설치될 수 있다 - 그들은 저속 또는 고속이거나, 저비용 또는 고비용이거나, 상품화 또는 맞춤화되거나, 지리적으로 분산되거나, 중복 방식의 일부이거나, 또는 규칙적 백업들을 가진 시스템의 일부이다.
개시되면, 또한 아래에 추가로 설명되는 바와 같이, 네트워크 보안 시스템은 일부 실시예들에서, 어떤 네트워크 세그먼트들이 존재하는지, 다양한 네트워크 세그먼트들의 보안 요건들, 및 어떤 호스트들 및 하드웨어 자원들이 이용가능한지, 및 필요에 따라 부가 구성 정보를 발견하기 위해 데이터 센터를 탐색하도록 네트워크 인터페이스(128)를 이용할 것이다. 일 실시예에서, 데이터 센터 자체는 하이퍼바이저들을 가진 수개의 머신들, 또는 물리적 하드웨어를 포함하고, 네트워크 보안 시스템(100)은 그러한 내부 가상 머신들 중 하나 이상 또는 물리적 하드웨어와 통신하고 이들을 보호하기 위해 마이크로서비스들을 제공한다. 데이터 센터 발견을 수행한 후에, 네트워크 보안 시스템은 일부 실시예들에서, 이때 사용자 인터페이스를 통해, 또는 기존 기업 관리 소프트웨어와의 연결들에 의해 선택되는 이용가능 보안 도구들을 제공하거나 제안할 것이다. 일 실시예에서, 구성되면, 네트워크 보안 시스템은 "인라인"으로 배치되어, 데이터 센터로 향하게 되는 실질적으로 모든 패킷들을 수신하여, 네트워크 보안 시스템이 데이터 센터 전에 의심 트래픽을 인터셉트하고 차단하는 것을 허용한다. 데이터 센터의 이해에서, 네트워크 보안 시스템(100)은 입구에서가 아닌 데이터 센터 도처에서 트랙픽을 검사하기 위해 마이크로서비스들을 전개한다. 일부 실시예들에서, 네트워크 보안 시스템은 "카피 전용" 구성으로 전개되며, 그것은 트래픽을 감시하고, 위협들을 검출하고, 경보들을 발생시키지만, 데이터 센터에 도달하기 전에 트래픽을 인터셉트하지 않는다.
도 1을 다시 참조하면, 도시되지 않지만, 하드웨어 프로세서(102)는 일 실시예에서 하나 이상의 레벨의 캐시 메모리를 포함한다. 도시된 바와 같이, 메모리(104)는 마이크로서비스 자체인 가상 섀시(106)뿐만 아니라, 마이크로서비스들(108, 110, 112, 114, 116, 118, 120, 및 122(108 내지 122))을 그 안에 저장했다. 일 실시예에서, 마이크로서비스들은 크기가 작으며, 상대적으로 작은 수의 명령어들로 구성된다. 일 실시예에서, 마이크로서비스들은 서로 독립적이다. 예시된 바와 같이, 마이크로서비스들(108 내지 122)은 메모리로부터 로딩되고 하드웨어 프로세서(102)에 의해 실행되는 마이크로서비스들이다. 그러한 마이크로서비스들은 도 2 및 도 3에 대해 아래에 추가로 설명되는 바와 같이, 데이터 경로 보안 마이크로서비스들, 예를 들어 TCP/IP, SSL, DPI, 또는 DPL 검사 마이크로서비스들을 포함한다. 마이크로서비스들은 또한 도 2 및 도 3에 대해 아래에 추가로 설명되는 수개의 예를 들자면, 관리 마이크로서비스들, 예를 들어 마이크로서비스들을 관리하는 섀시 컨트롤러, 구성 마이크로서비스, 인프라스트럭처 발견 마이크로서비스, 데이터를 저장하는 데이터베이스 마이크로서비스, 및 외부 보안 클라우드로부터 정책 갱신들을 수신하는 정책 갱신 마이크로서비스, 및 다양한 소스들로부터 정책 데이터를 수신하고 마이크로서비스들에 의해 사용되는 이진 정책 출력들을 생산하는 컴파일러를 포함할 수 있다.
네트워크 보안 시스템은 데이터 센터로/로부터 네트워크 인터페이스(128)를 통해 트래픽을 수신한다. 일 실시예에서, 네트워크 보안 시스템은 인라인으로 배치되어 트래픽을 검사하고, 그것이 데이터 센터에 도달하거나 데이터 센터를 출발하기 전에 위협을 잠재적으로 인터셉트한다. 대체 실시예들에서, 네트워크 보안 시스템은 데이터 센터 내로, 또는 데이터 센터 외로 향하는 트래픽을 감시하며, 그 경우에 네트워크 보안 시스템은 위협들을 검출하고 경보들을 발생시키지만, 데이터를 차단하지 않는다. 그 다음, 하드웨어 프로세서(102)는 데이터 상에 다양한 데이터 보안 마이크로서비스들을 실행한다. 예를 들어, 도 2 및 도 3에 대해 아래에 추가로 설명되는 바와 같이, 전형적으로 트래픽은 우선 세그먼트 마이크로서비스, 그 다음 TCP/IP 검사 마이크로서비스, 그 다음 SSL 마이크로서비스, 그 다음 DPI 마이크로서비스, 그 다음 NOX 마이크로서비스, 및 그 다음 DLP 마이크로서비스에 이르고 이들을 통과한다. 그러나, 그러한 서비스들 중 하나 이상은 인에이블되지 않을 수 있다. 일부 실시예들에서, 세그먼트 마이크로서비스는 네트워크 세그먼트 내에 상주하고 데이터 패킷들을 위한 엔트리 포인트의 역할을 하고 추가 분석을 위해 패킷들을 적절한 마이크로서비스들에 전송한다. 본원에 사용되는 바와 같은 데이터 경로 마이크로서비스들은 TCP, TLS, DPI, NOX, 또는 DLP와 같은, 네트워크 트래픽을 검사하고 분석하는 다양한 마이크로서비스들을 언급한다. TCP 마이크로서비스는 예를 들어, 임의의 층 4 내지 6 네트워크 패킷을 처리할 수 있는 패킷 취급 마이크로서비스를 언급하고 파이어월링의 부분을 포함한다. TLS 마이크로서비스는 예를 들어, 전송 층 보안 마이크로서비스를 언급하며, 이 마이크로서비스는 연결들을 복호화/재암호화한다. DPI 마이크로서비스는 예를 들어, 심층 패킷 검사 마이크로서비스를 언급하고 층 7 검사를 취급한다. NOX 마이크로서비스는 예를 들어, 네트워크 객체 추출기 마이크로서비스를 언급하고, 개별 패킷들로부터 객체들을 어셈블리하고 그들을 다른 서비스들에 전달하기 위해 DPI와 함께 동작한다. DLP 마이크로서비스는 예를 들어, 데이터 손실 방지 마이크로서비스를 언급하며, 이 마이크로서비스는 데이터 손실을 검출하고 방지한다. 다른 한편, 제어 경로 마이크로서비스들은 관리 평면에서 인스턴스화되고 관리 평면을 구성하는, 팩토리, 컴파일러, 구성, 인프라스트럭처 발견, 데이터베이스, 메신저, 스케일러, 및 섀시 컨트롤러와 같은 다양한 마이크로서비스들이다. 상술한 마이크로서비스들에 의해 검출되는 위협들은 일 실시예에서, 섀시 컨트롤러 마이크로서비스에 보고될 것이며, 이 마이크로서비스는 교정 액션을 취한다.
일 실시예에서, 마이크로서비스들(108 내지 122)은 네트워크 인터페이스(128)를 통해, 인터넷으로부터 로딩되는 컴퓨터 실행가능 명령어들을 사용하여 구현된다. 예를 들어, 일 실시예에서, 마이크로서비스들은 웹 사이트 또는 온라인 스토어 사이트로부터 다운로드되는 컴퓨터 실행가능 명령어들로 구현된다. 일부 실시예들에서, 마이크로서비스들(108 내지 122)은 메모리(104)로 로딩되는 컴퓨터 실행가능 명령어들로 구현된다. 다양한 실시예들에서, 마이크로서비스들은 다른 디스크 드라이브, CD, CDROM, DVD, USB 플래시 드라이브들, 플래시 메모리, 보안 디지털(Secure Digital)(SD) 메모리 카드, 메모리 카드를 제한 없이 포함하는, 디지털 매체들과 같은 비일시적 컴퓨터 판독가능 매체 상에 로딩되고 비일시적 컴퓨터 판독가능 매체로부터 수신되는 컴퓨터 실행가능 명령어들로 구현된다. 디지털 매체로부터 수신되는 마이크로서비스들은 하나의 사례에서 메모리(104)로 저장된다. 실시예들은 이러한 맥락에서 제한되지 않는다. 추가 실시예들에서, 디지털 매체는 프로세서 및 메모리와 같은 하드웨어 요소들의 조합을 구성하는 데이터 소스이다.
대부분의 실시예들에서, 네트워크 보안 시스템은 데이터 센터 컴퓨터 상에 실행한다. 그러나, 대체 실시예들에서, 네트워크 보안 시스템은 저비용에서 고비용까지, 및 저전력에서 고전력까지의 범위인 매우 다양한 대체 컴퓨팅 플랫폼들 중 어느 하나 상에 설치되고 실행한다. 일부 실시예들에서, 네트워크 보안 시스템은 저비용 일용품 서버 컴퓨터 상에, 또는, 일부 실시예들에서, 저비용 랙 장착 서버 상에 설치되고 실행한다. 예시된 바와 같이, 하드웨어 프로세서(102)는 단일 코어 프로세서이다. 대체 실시예들에서, 하드웨어 프로세서(102)는 다중 코어 프로세서이다. 대체 실시예들에서, 하드웨어 프로세서(102)는 대량 병렬 프로세서이다.
일부 실시예들에서, 가상 섀시(106) 및 마이크로서비스들(108 내지 122)은 보호되는 데이터 센터에 사용되는 매우 다양한 하드웨어 플랫폼들 중 어느 것 상에 호스팅될 수 있다. 아래의 표 1은 다수의 예시적 데이터 센터 환경들을 열거하고 설명하며, 그 중 어느 하나는 가상 섀시(106) 및 마이크로서비스들(108 내지 122)을 호스팅한다:
Figure pct00001
일부 예들에서, 네트워크 보안 시스템은 상위 트래픽 또는 로드를 수용하기 위해 이용가능 자원들을 사용하여 스케일 아웃한다. 예시적 실시예에서, 하드웨어 프로세서(102) 및 메모리(104)는 필요에 따라 동적으로 스케일 아웃 또는 스케일 인된다: 부가 CPU들 및 메모리는 스케일 아웃되면 추가되고, 일부 CPU들 및/또는 메모리는 스케일 인되면 전원 차단된다. 이러한 스케일 아웃은 기존 할당을 이용하는 상위 트래픽을 수용할 수 있는 보안 계층의 그러한 부분들에 부가 CPU들 및 메모리를 할당하지 않으면서 요구되는 보안 계층의 그러한 부분들에 부가 CPU들 및 메모리를 할당하기 위해 수행된다.
마이크로서비스의 공통 성질은 다른 마이크로서비스들로부터 메모리의 분리 및 보호이다. 이러한 방식으로, 개별 마이크로서비스는 다른 물리적 서버로 이동하거나 다른 마이크로서비스들에 영향을 주는 것 없이 비정상적으로 종결될 수 있다. 마이크로서비스들은 스레드들이 일반적으로 공유 메모리 공간 내에서 동작하고 스포닝(spawning)된 운영 시스템의 경계들 내에 존재한다는 점에서 스레드들과 구별될 수 있다.
도 2는 일 실시예에 따른 마이크로서비스들을 사용하여 3배 스케일 아웃 요건을 충족시키는 것을 예시한다. 이러한 예에서, 단일 마이크로서비스(DPI)만이 부가 자원들을 필요로 한다. 도시된 바와 같이, DLP 마이크로서비스(204), NOX 마이크로서비스(206), DPI 마이크로서비스(208), SSL/TLS 마이크로서비스(210), TCP/IP 마이크로서비스(212), 및 세그먼트 마이크로서비스(214)를 포함하는, 스케일가능 마이크로서비스 아키텍처(200)를 이용함으로써, 보안 서비스 계층의 각각의 층은 다음 계층 레벨에 처리된 데이터의 공급을 로드 밸런싱하기 위해 독립적으로 스케일되고 구성된다. 도시된 바와 같이, 데이터 센터(216)는 데이터 센터 랙(218)을 포함하며, 데이터 센터 랙은 물리적 서버 A(220), 물리적 서버 B(222), 및 물리적 서버 C(224)를 포함한다. 도시된 바와 같이, 데이터 센터 랙(226)은 물리적 서버 X(228), 물리적 서버 Y(230), 및 물리적 서버 Z(232)를 포함한다. DPI 마이크로서비스들(208)은 3X로 스케일 아웃되고, 이러한 사례에서 물리적 서버 B(222) 및 물리적 서버 C(224) 상의 마이크로서비스들 4 내지 6로서 수행되도록 할당되었다. 스케일가능 보안 아키텍처의 나머지 마이크로서비스들은 물리적 서버들 A, X, Y, 및 Z(220, 228, 230, 및 232)에 의해 구현되는 것으로 도시된다. 구성 마이크로서비스(202)는 보안 서비스들을 수신하는 각각의 물리적 서버 상의 소프트웨어 구성요소로서 전개되는 구성 백플레인 및 데이터 평면을 생성한다. 이러한 생성 프로세스는 예약된 어드레스 공간의 부분들을 보안되는 서버들의 내 및 외의 네트워크 통신을 위한 게이트웨이들로서 이용하기 위해 라우팅 규칙들을 구성하고, 네트워크 어드레스 공간(서브넷과 같음)을 예약하고 가상 환경들을 구성하는 형태를 취한다. 따라서, 백플레인 및 데이터 평면 둘 다는 보안 시스템에 의해 관리되는 가상 네트워크들로 간주될 수 있다. 그 다음, 모든 보안 마이크로서비스들은 그들 자체 간에 패킷들, 콘텐츠, 상태 및 다른 정보를 송신하기 위해 이러한 네트워크들을 이용할 수 있다. 백플레인 및 데이터 평면의 성질들은 보안 시스템 외부로부터의 패킷 트래픽을 거부하고 물리적 서버 및 가상 환경 구성에 관계없이 마이크로서비스들 사이에 정보를 라우팅하도록 구성된다.
도 3은 일 실시예에 따른 임의적 스케일 아웃 요건을 충족시키는 것을 예시한다. 도시된 바와 같이, 스케일가능 보안 아키텍처(300)는 구성 마이크로서비스(302), DLP(2X) 마이크로서비스(304)(2배 스케일 아웃을 요구함), NOX 마이크로서비스(306), DPI(3X) 마이크로서비스(308)(3배 스케일 아웃을 요구함), SSL/TLS 마이크로서비스(310), TCP/IP(3X) 마이크로서비스(312)(3배 스케일 아웃을 요구함), 및 세그먼트 마이크로서비스(314)를 포함한다. 도시된 바와 같이, 구성 마이크로서비스(316)는 최저 계층으로부터 최고 계층으로 (318, 320, 322, 324, 326, 및 328) 11 마이크로서비스들을 프로비저닝하고, 그들을 구성하여 백플레인을 통해 서로 통신한다. 마이크로서비스들은 데이터 센터(330) 내의 물리적 서버들에 의해 구현된다.
도 4는 일 실시예에 따른 시스템 레벨 블록도이다. 하나 이상의 보안 서비스(410)는 일 실시예에 따른 라우팅 네트워크(408)를 통해 애플리케이션(416)과 하나 이상의 서버(404 및 406) 사이에서 트래픽을 감시한다. 보안 서비스(410)는 애플리케이션(416) 및 서버들(404 및 406)로부터/로 트래픽을 고정시키기 위해 사용되는 마이크로서비스들의 그룹이다. 이러한 마이크로서비스들은 서버(404) 또는 서버(406)와 같은 하나의 물리적 서버에 한정될 필요는 없다. 예를 들어, 보안 서비스(410)의 하나 이상의 마이크로서비스는 서버(404) 상에 실행될 수 있고 보안 서비스(410)의 다른 마이크로서비스들은 서버(406) 상에 실행된다. 일부 실시예들에서, 보안 서비스(410)는 보호하고 있지 않는 서버 상에 실행된다.
라우팅 네트워크(408)는 서버(404), 서버(406), 보안 서비스(410), 및 애플리케이션(416) 간에 연결성을 제공하고, 본원에 개시되는 실시예들에 의해 이용되는 캡슐화 프로토콜들을 지원할 수 있다. 일부 실시예들에서, 라우팅 네트워크(408)는 서버들(404 및 406)의 하이퍼바이저 구성에 응답하여 부분적으로 구성된다.
채널 데이터 캡슐화 패킷들에 포함되는 라우팅 정보에 의해, 아래에 추가로 설명되는 바와 같이, 애플리케이션(416)과 서버(404) 및/또는 서버(406) 사이의 데이터 이동은 정확한 서버에 라우팅되고, 애플리케이션(416)과 다른 서버 사이의 데이터 이동으로부터 분리되어 유지된다. 따라서, 본질적으로 사설 네트워크(412)인 것은 보안 서비스(410)를 실행하는 서버와 서버(404) 사이에 생성된다. 유사하게, 본질적으로 사설 네트워크(414)인 것은 보안 서비스(410)를 실행하는 서버와 서버(406) 사이에 생성된다.
도 5는 일 실시예에 따른 데이터 채널 캡슐화 패킷을 예시한다. 예시된 바와 같이, 채널 데이터 캡슐화 패킷(500)은 2개의 서버 패킷, 즉 서버 패킷 헤더(504), 서버 패킷 데이터(506), 및 서버 패킷 체크섬(508)을 포함하는, 서버 패킷(502), 및 서버 패킷 헤더(512), 서버 패킷 데이터(514), 및 서버 패킷 체크섬(516)을 포함하는, 서버 패킷(510)을 캡슐화한다. 채널 데이터 캡슐화 패킷(500)은 캡슐화 식별자(518), 캡슐화 헤더(520), 캡슐화 맥락(522), 캡슐화 서비스 로드(524), 및 캡슐화 타임스탬프(526)를 추가로 포함한다. 캡슐화 서비스 로드는 수신 보안 마이크로서비스가 로드 밸런싱 결정에서 복수의 상위 계층 마이크로서비스로부터 선택할 수 있게 하는 그러한 방식으로 응답을 하위 계층 레벨의 보안 마이크로서비스에 송신할 때 보안 마이크로서비스의 현재 로딩을 통신하기 위해 사용된다. 캡슐화 타임스탬프는 응답의 일부로서 보안 마이크로서비스에 송신되는 레이턴시를 서비스 로드와 동일한 방식으로 (직접적으로 또는 간접적으로) 제공한다. 일부 실시예들에서, 서비스 로드 및 레이턴시 둘 다는 로드 밸런싱 결정에서 이용된다. 채널 데이터 캡슐화 패킷(500)은 또한 캡슐화 체크섬(528)을 포함한다. 일부 실시예들에서, 캡슐화 헤더(520) 및 캡슐화 식별자(518)는 캡슐화 체크섬(528)을 계산할 때 사용된다. 캡슐화 체크섬은 채널 데이터 캡슐화 패킷을 통해 무결성 체크를 제공한다. 일부 실시예들에서, 체크섬은 캡슐화 헤더만을 커버한다. 물론, 2개의 서버 패킷(502 및 510)이 도시되지만, 이것은 예시적 목적들을 위한 것일 뿐이고 임의의 수의 서버 패킷들이 지원된다.
채널 데이터 캡슐화 패킷(500)이 많은 서버 패킷, 예를 들어 5 내지 100개의 서버 패킷을 캡슐화할 때, 이것은 개별 데이터 패킷들보다는 오히려, 효과적으로 데이터 채널의 송신이다. 그와 같이, 채널 데이터 캡슐화 패킷(500)은 높은 수의 서버 패킷들이 캡슐화될 때 효율을 촉진한다. 예를 들어, 단일은 라우팅 결정은 라우팅을 하나씩 결정하는 것보다는 오히려, 다수의 서버 패킷을 위해 이루어질 수 있다. 더욱이, 단일 로드 밸런싱 결정은 채널 데이터를 라우팅하는 마이크로서비스를 선택하기 위해 이루어질 수 있다. 더욱이, 더 적지만, 더 큰 데이터 패킷들을 송신하는 것은 백플레인에 대한 경쟁을 감소시킨다.
일부 실시예들에서, 서버 패킷들(502 및 510)은 라우팅 네트워크(408)에 의해 수신된 실질적으로 유사한 TCP/IP 포맷이다. 대체 실시예들에서, 서버 패킷들(502 및 510)은 새로운 패킷 헤더 및 패킷 체크섬으로 캡슐화된다.
캡슐화 식별자(518)는 부가 정보, 예컨대 서버 패킷이 수신된 포트 번호, 서버 패킷이 수신된 보안 마이크로서비스의 인터페이스 번호, 및 애플리케이션과 서버 사이의 데이터 채널을 식별하기 위해 함께 사용되는 부가 정보를 포함한다. 따라서, 멀티 테넌트 클라우드 컴퓨팅 데이터 센터 내의 2개의 서버가 동일한 IP 어드레스를 공유하지만, 그들의 데이터 채널들은 그들의 캡슐화 헤더들(520)에 기초하여 구별될 수 있다.
캡슐화 식별자(518)는 캡슐화된 패킷들(예를 들어, 서버 패킷들(502 및 510))이 어떻게 라우팅되는지에 관한 정보를 제공한다. 예를 들어, 일 실시예에서, 캡슐화 식별자(518)는 서버 패킷들(502 및 510)이 가상 근거리 네트워크(virtual local area network)(VLAN) 도메인에 따라 라우팅되는 것을 표시하는 정보를 포함한다. 일부 실시예들에서, 캡슐화 식별자(518)는 네트워크 환경 내에서 데이터 채널을 구별하기 위해 사용된다.
캡슐화 헤더(520)는 서버 패킷 헤더들(504 및 512)에 더하거나, 이 헤더들과 일치하는 여러 종류의 정보를 포함한다. 예를 들어, 캡슐화 헤더(520)는 채널 데이터 캡슐화 패킷에 포함되는 서버 패킷들의 번호를 포함할 수 있다. 일부 실시예들에서, 서버 패킷 헤더들(504 및 512)은 보안 서비스에 진입한 때 그러한 데이터 패킷들과 연관되는 헤더들과 실질적으로 동일하다. 일 실시예에서, 서버 패킷 헤더들(504 및 512)은 VLAN 헤더들이다. 일 실시예에서, 서버 패킷 헤더들(504 및 512)은 TCP/IP 헤더들이다.
캡슐화 맥락(522)은 라우팅 정책을 넘어 애플리케이션을 갖는 정책으로 구성된다. 예를 들어, 캡슐화 맥락(522)은 일 실시예에서, 패킷을 라우팅하는 법 및 라우팅하는 곳을 설명할 뿐만 아니라, 서버 패킷들이 처리됨에 따라 패킷 맥락을 처리하는 것을 표시한다.
도 6은 클라이언트-서버 데이터 채널들에서 채널 데이터 캡슐화 방법을 사용하는 프로세스의 일 실시예이다. 제1 보안 마이크로서비스는 데이터 및 맥락을 포함하는 보안 서비스들에 대한 캡슐화된 요청을 수신한다(602). 데이터는 처리되는 하나 이상의 패킷, 데이터의 스트림으로서의 리어셈블리된 패킷들, 데이터의 리어셈블리된 스트림으로부터의 추출된 객체들 또는 콘텐츠 또는 보안 서비스들이 수행되는 다른 데이터로 구성될 수 있다. 그 다음, 맥락은 부가 데이터를 서비스의 결과의 형태로 발생시키는 보안 서비스를 수행하기 위해 이용된다(604). 예를 들어, TCP/IP 서비스는 리어셈블리된 데이터 스트림에 대응하는 데이터를 발생시킬 수 있다. 발생된 데이터는 수신된 맥락과 함께 추가 처리를 위한 제2 마이크로서비스에 송신된다(606).
제1 보안 마이크로서비스는 응답, 맥락, 타임스탬프 및 로드를 포함하는 캡슐화된 데이터 내의 제2 보안 마이크로서비스로부터 보안 서비스 처리(606)를 위한 요청에 대한 응답을 수신한다(608). 일부 실시예들에서, 응답은 요청된 서비스 처리의 일부로서 발생되는 부가 데이터를 포함한다. 608에서의 맥락은 602에서 수신되는 것과 동일한 맥락일 수 있거나 제2 보안 마이크로서비스들에 의한 처리의 결과로서 수정될 수 있다. 타임스탬프는 606과 608 사이의 처리의 지속을 표현한다. 일부 실시예들에서, 새로운 타임스탬프는 현재 시간(경과된 시간)으로부터의 수신된 타임스탬프의 차이에 기초하여 제1 보안 마이크로서비스에 의해 계산된다. 일부 실시예들에서, 타임스탬프는 타임스탬프 값을 발생시킨 제2 보안 마이크로서비스에 의해 계산되는 바와 같은 시간의 지속이다. 수신된 로드 값은 보안 서비스들을 위한 요청이 처리된 시간 동안 제2 보안 마이크로서비스의 로딩을 표현한다. 타임스탬프 및 로드 값은 610에서 기록된다. 일부 실시예들에서, 타임스탬프 및 로드 값은 제1 보안 마이크로서비스에 의한 장래 보안 서비스 요청들을 위해 로드 밸런싱 결정들에 사용된다.
제2 보안 마이크로서비스로부터의 서비스에 대한 요청에 응답을 수신했으면, 제1 보안 마이크로서비스는 그 자체의 타임스탬프 및 로드를 발생시켰고(612) 발생된 타임스탬프 및 로드를 포함하는 보안 서비스들을 위한 원래의 요청에 대한 응답에 송신한다(602). 이러한 응답은 또한 도 5에 설명되는 캡슐화된 형태를 취하고(614) 또한 제2 보안 마이크로서비스로부터 수신된 바와 같은 맥락을 포함한다. 일부 실시예들에서, 제1 보안 마이크로서비스는 제1 보안 마이크로서비스 내의 처리, 제2 보안 마이크로서비스로부터의 응답 또는 둘의 조합에 기초항 614에서 송신되는 맥락을 수정한다.
도 7은 일 실시예에 따른 보안 마이크로서비스들의 계층을 통과한 후에 서버를 가로지르는 애플리케이션 데이터를 예시하는 블록 흐름도이다. 예시된 바와 같이, 흐름은 보안 서비스(704)가 애플리케이션(702)로부터 네트워크 데이터 패킷을 수신하는 것으로 시작된다. 보안 서비스(704)는 패킷을 인터페이스 마이크로서비스(708)에 전송하며(706), 인터페이스 마이크로서비스는 채널 데이터 캡슐화 패킷(710)을 발생시키고, 채널 데이터 캡슐화 패킷은 3개의 패킷 A, B, 및 C, 및 맥락 X를 캡슐화한다. 도시된 바와 같이, 채널 데이터 캡슐화 패킷(710)은 3개의 패킷을 캡슐화하지만, 대체 실시예들에서, 캡슐화된 패킷들의 수는 제한 없이, 변화될 수 있다. 일부 실시예들에서, 맥락 X는 패킷들 A, B 및 C의 헤더들에 적어도 기초하여 발생된다. 일부 실시예들에서, 맥락 X는 패킷들의 소스 및/또는 목적지에 대한 IP 어드레스들, 포트들 및 맥 어드레스들과 같은 패킷 헤더 필드들의 룩업을 통해 발생된다. 일부 실시예들에서, 맥락 X의 발생은 가상화 환경으로부터 획득되는 인터페이스 식별자를 이용하는 것을 포함한다. 맥락 X의 발생은 표 내의 헤더 필드들 및 다른 데이터의 룩업, 헤더 필드들 및 다른 데이터의 해시 또는 다른 방법을 통해 달성될 수 있으며 그것에 의해 공통 보안 정책이 적용되는 패킷들은 맥락의, 비트 필드와 같은, 공통 맥락 또는 공통 부분을 가질 것이다.
맥락 X는 패킷들 A, B 및 C를 발생시킬 책임이 있는 트래픽 스트림들, 소스 머신들 또는 애플리케이션들을 설명하는 식별자로 간주될 수 있다. 이러한 식별자는 직접적이거나(표 룩업으로서 사용되는 ID와 같음), 간접적이거나(데이터 구조에 액세스하기 위해 사용되는 포인터와 같음) 패킷들 A, B 및 C를 취급하기 위해 요구되는 정책들 및 처리에 관한 마이크로서비스들에 명령하는 일부 다른 방법일 수 있다. 일 예로서, 맥락 X는 IP 어드레스들, TCP 포트들, 인터페이스 명칭들(또는 맥 어드레스들) 또는 다른 패킷 성질들과 같은 헤더 필드들의 해시, 최장 프리픽스 매치 또는 룩업을 수행함으로써 발생될 수 있다. 그 다음, 발생된 맥락은 어느 규칙들이 패킷들 A, B 및 C(및 동일한 트래픽 스트림의 일부인 다른 패킷들)로부터 데이터를 스캐닝할 때 이용되는지를 결정하기 위해, DPI 서비스와 같은, 보안 서비스들에 의해 사용될 수 있다. 이러한 정보는 인다이렉션(indirection)(다른 서비스에 의한 표 또는 데이터 구조 룩업과 같음)에 의해 이용가능하거나 그러한 정보의 임의의 조합에 기초하여 프로그램에 따라 발생되는, 맥락 내에(비트 필드 또는 다른 정보로서) 내장될 수 있다.
인터페이스 마이크로서비스(708)는 채널 데이터 캡슐화 패킷(710)을 TCP/IP 마이크로서비스(714)에 송신한다(712). 도시된 바와 같이, 채널 데이터 캡슐화 패킷(716)은 맥락 X 및 콘텐츠 Y를 포함하며, 그것은 채널 데이터 캡슐화 패킷(710)의 패킷들 A, B, 및 C에 대응한다. 채널 데이터 캡슐화 패킷(716)의 보안 처리를 수행한 후에, TCP/IP 마이크로서비스(714)는 그것을 DPI 마이크로서비스(720)에 송신한다(718). 도시된 바와 같이, 채널 데이터 캡슐화 패킷(722)은 맥락 X 및 콘텐츠 Y를 포함하며, 그것은 채널 데이터 캡슐화 패킷(710)의 패킷들 A, B, 및 C에 대응한다. 채널 데이터 캡슐화 패킷(722)의 보안 처리를 수행한 후에, DPI 마이크로서비스(720)는 채널 데이터 캡슐화 패킷을 발생시키며, 이 캡슐화 패킷은 도시된 바와 같이, 맥락 X, DPI 로드 Z, 및 DPI 타임스탬프 T를 포함한다. 캡슐화된 채널 데이터는 타임스탬프 및 로드 메트릭을 포함하는 성질들로 태깅될 수 있다. 타임스탬프는 마이크로서비스 처리의 지속, 마이크로서비스 처리가 시작된 시간 또는 캡슐화된 채널 데이터를 처리하는 것과 연관되는 다른 일시적 성질을 참조할 수 있다. 로드 메트릭은 캡슐화된 채널 데이터의 마이크로서비스 처리의 상대 또는 절대 로딩을 참조할 수 있다.
도시된 바와 같이, DPI 마이크로서비스(720)는 경로(726)를 통해, 채널 데이터 캡슐화 패킷(724)을 TCP/IP 마이크로서비스(714)에 송신하며, TCP/IP 마이크로서비스는 장래 로드 밸런싱 결정들을 통지하기 위해 DPI 로드 및 DPI 타임스탬프 정보를 사용한다. 도시된 바와 같이, TCP/IP 마이크로서비스(714)는 채널 데이터 캡슐화 패킷(728)을 발생시키며, 이 캡슐화 패킷은 맥락 X, TCPI/IP 로드 Z, 및 TCP/IP 타임스탬프 T를 포함한다. 도시된 바와 같이, TCP/IP 마이크로서비스(714)는 경로(730)를 통해, 채널 데이터 캡슐화 패킷(728)을 인터페이스 마이크로서비스(708)에 송신하며, 인터페이스 마이크로서비스는 장래 로드 밸런싱 결정들을 통지하기 위해 TCP/IP 로드 및 TCP/IP 타임스탬프 정보를 사용한다. 흐름은 인터페이스 마이크로서비스(708)가 경로(732)를 통해, 패킷들을 보안 서비스(704)에 송신하며, 보안 서비스가 그들을 서버(734)에 송신할 때 완료된다.
보안 서비스(704)의 이득들은 모든 통신에 대한 동일한 채널 데이터 캡슐화 프로토콜을 이용하는 각각의 마이크로서비스의 능력을 포함하며, 그것에 의해 채널 데이터 캡슐화 헤더를 통해 라우팅가능한 데이터 센터 네트워크의 전체에 걸쳐 스케일링을 허용한다. 마이크로서비스들 사이의 통신들은 원래의 패킷들에 더 이상 액세스하지 않는 모든 후속 마이크로서비스들에 인터페이스 마이크로서비스(708)에서 발생되는 맥락 X를 유지한다. 경로들(726 및 730)를 통해 복귀되는 채널 데이터 캡슐화 패킷들(724 및 728)에 로드 및 타임스탬프 데이터를 제공함으로써, 마이크로서비스들은 로드 밸런싱 결정들을 하기 위해 이용되는 실시간 로딩 및 처리 레이턴시 정보를 수신하고 유지할 수 있다.
상술한 명세서에서, 구체적인 예시적 실시예들이 개시되었다. 그러나, 다양한 수정들 및 변경들이 첨부된 청구항들에 제시된 바와 같이 발명의 더 넓은 사상 및 범위로부터 벗어나는 것 없이 그것에 이루어질 수 있다는 점은 분명할 것이다. 따라서, 명세서 및 도면들은 제한적 의미보다는 오히려 예시적 의미로 간주되어야 한다.
본원에 개시되는 일부 실시예들이 하드웨어 실행 유닛들 및 논리 회로들의 맥락에서 데이터 취급 및 분배를 수반하지만, 다른 실시예들은 머신에 의해 수행될 때, 머신으로 하여금 적어도 하나의 실시예와 일치하는 기능들을 수행하게 하는, 비일시적 머신 판독가능 유형의 매체 상에 저장되는 데이터 또는 명령어들로서 달성될 수 있다. 일 실시예에서, 본 개시의 실시예들과 연관되는 기능들은 컴퓨터 실행가능 명령어들로 구체화된다. 명령어들은 명령어들로 프로그램되는 일반 목적 또는 특수 목적 하드웨어 프로세서로 하여금 적어도 하나의 실시예의 단계들을 수행하게 하기 위해 사용될 수 있다. 본 발명의 실시예들은 적어도 하나의 실시예에 따른 하나 이상의 동작을 수행하기 위해 컴퓨터(또는 다른 전자 디바이스들)를 프로그램하도록 사용될 수 있는 명령어들을 저장하는 머신 또는 컴퓨터 판독가능 매체를 포함할 수 있는 컴퓨터 프로그램 제품 또는 소프트웨어로서 제공될 수 있다. 대안적으로, 실시예들의 단계들은 단계들을 수행하는 고정 기능 로직을 포함하는 특정 하드웨어 구성요소들에 의해 수행되거나, 프로그램된 컴퓨터 구성요소들 및 고정 기능 하드웨어 구성요소들의 임의의 조합에 의해 수행될 수 있다.
적어도 하나의 실시예를 수행하기 위해 회로들을 프로그램하도록 사용되는 명령어들은 DRAM, 캐시, 플래시 메모리, 또는 다른 스토리지와 같은, 시스템 내의 메모리 내에 저장될 수 있다. 더욱이, 명령어들은 네트워크를 통해 또는 다른 컴퓨터 판독가능 매체들로서 분배될 수 있다. 따라서, 머신 판독가능 매체는 정보를 머신(예를 들어, 컴퓨터)에 의해 판독가능한 형태로 저장하거나 송신하는 임의의 메커니즘을 포함할 수 있지만, 전파된 신호들(예를 들어, 반송파들, 적외선 신호들, 디지털 신호들 등)의 전기, 광, 음향 또는 다른 형태들에 의해 인터넷을 통한 정보의 송신에 사용되는 플로피 디스켓들, 광 디스크들, 콤팩트 디스크, 판독 전용 메모리(CD-ROMs), 및 자기 광 디스크들, 판독 전용 메모리(Read-Only Memory)(ROMs), 랜덤 액세스 메모리(RAM), 소거가능 프로그램가능 판독 전용 메모리(Erasable Programmable Read-Only Memory)(EPROM), 전기적 소거가능 프로그램가능 판독 전용 메모리(Electrically Erasable Programmable Read-Only Memory)(EEPROM), 자기 또는 광학 카드들, 플래시 메모리, 또는 유형의 머신 판독가능 스토리지에 제한되지 않는다. 따라서, 비일시적 컴퓨터 판독가능 매체는 전자 명령어들 또는 정보를 머신(예를 들어, 컴퓨터)에 의해 판독가능한 형태로 저장하거나 송신하는데 적절한 임의의 타입의 유형의 머신 판독가능 매체를 포함한다.

Claims (20)

  1. 방법으로서,
    제1 보안 마이크로서비스에 의해, 제1 캡슐화 맥락(encapsulation context) 및 제1 캡슐화된 데이터를 캡슐화하는 제1 채널 데이터 캡슐화 패킷을 수신하는 단계;
    상기 제1 캡슐화 맥락을 사용하여 상기 제1 캡슐화된 데이터에 대해 보안 서비스를 수행하는 단계;
    상기 제1 보안 마이크로서비스에 의해, 제2 채널 데이터 캡슐화 패킷을 제2 보안 마이크로서비스에 송신하는 단계 - 상기 제2 채널 캡슐화 패킷은 보안 서비스들에 대한 요청을 포함함 -;
    상기 제1 보안 마이크로서비스에 의해, 제2 보안 마이크로서비스 맥락, 제2 보안 마이크로서비스 타임스탬프, 및 제2 보안 마이크로서비스 로드를 포함하는 상기 제2 보안 마이크로서비스로부터 응답을 수신하는 단계;
    상기 제1 보안 마이크로서비스에 의해, 타임스탬프 및 로드를 발생시키는 단계; 및
    상기 제1 보안 마이크로서비스에 의해, 응답을 상기 제1 채널 데이터 캡슐화 패킷에 송신하는 단계
    를 포함하며;
    상기 응답은 상기 제1 보안 마이크로서비스에 의해 발생되는 상기 타임스탬프 및 로드를 포함하는 방법.
  2. 제1항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 네트워크 환경 내에서 상기 제1 데이터 채널 캡슐화 패킷과 연관되는 데이터 채널을 구별하기 위해 캡슐화 식별자를 포함하는 방법.
  3. 제2항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 캡슐화 헤더를 포함하는 방법.
  4. 제3항에 있어서, 상기 캡슐화 헤더는 상기 제1 캡슐화 맥락 및 제1 캡슐화 서비스 로드의 상기 제1 채널 데이터 캡슐화 패킷 내에 위치를 정의하는 방법.
  5. 제4항에 있어서, 상기 캡슐화 헤더는 타임스탬프를 추가로 정의하고, 상기 제1 보안 마이크로서비스는 상기 제2 보안 마이크로서비스 타임스탬프 및 상기 제2 보안 마이크로서비스 로드를 기록하는 방법.
  6. 제3항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 캡슐화 체크섬을 추가로 포함하는 방법.
  7. 제6항에 있어서, 상기 제1 보안 마이크로서비스는 상기 캡슐화 체크섬을 계산할 때 상기 캡슐화 식별자 및 상기 캡슐화 헤더를 사용하는 방법.
  8. 시스템으로서,
    메모리; 및
    제1 보안 마이크로서비스를 구현하기 위해 명령어들을 실행하는 프로세서
    를 포함하며, 상기 제1 보안 마이크로서비스는,
    제1 캡슐화 맥락 및 제1 캡슐화된 데이터를 캡슐화하는 제1 채널 데이터 캡슐화 패킷을 수신하고;
    상기 제1 캡슐화 맥락을 사용하여 상기 제1 캡슐화된 데이터에 대해 보안 서비스를 수행하고;
    제2 채널 데이터 캡슐화 패킷을 제2 보안 마이크로서비스에 송신하며 - 상기 제2 채널 데이터 캡슐화 패킷은 보안 서비스들에 대한 요청을 포함함 -;
    제2 보안 마이크로서비스 맥락, 제2 보안 마이크로서비스 타임스탬프, 및 제2 보안 마이크로서비스 로드를 포함하는 상기 제2 보안 마이크로서비스로부터 응답을 수신하고;
    타임스탬프 및 로드를 발생시키고;
    응답을 상기 제1 채널 데이터 캡슐화 패킷에 송신하고;
    상기 응답은 상기 제1 보안 마이크로서비스에 의해 발생되는 상기 타임스탬프 및 상기 로드를 포함하는 시스템.
  9. 제8항에 있어서,
    상기 제1 채널 데이터 캡슐화 패킷은 네트워크 환경 내에서 상기 제1 데이터 채널 캡슐화 패킷과 연관되는 데이터 채널을 구별하기 위해 캡슐화 식별자를 포함하는 시스템.
  10. 제9항에 있어서,
    상기 제1 채널 데이터 캡슐화 패킷은 캡슐화 헤더를 포함하는 시스템.
  11. 제10항에 있어서, 상기 캡슐화 헤더는 상기 제1 캡슐화 맥락 및 제1 캡슐화 서비스 로드의 상기 제1 채널 데이터 캡슐화 패킷 내에 위치를 정의하는 시스템.
  12. 제11항에 있어서, 상기 캡슐화 헤더는 타임스탬프를 추가로 정의하는 시스템.
  13. 제10항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 캡슐화 체크섬을 추가로 포함하는 시스템.
  14. 제13항에 있어서, 상기 제1 보안 마이크로서비스는 상기 캡슐화 체크섬을 계산할 때 상기 캡슐화 식별자 및 상기 캡슐화 헤더를 사용하는 시스템.
  15. 제8항에 있어서, 상기 제1 보안 마이크로서비스는 상기 제2 보안 마이크로서비스 타임스탬프 및 상기 제2 보안 마이크로서비스 로드를 기록하는 시스템.
  16. 프로세서에 의해 실행될 때, 상기 프로세서로 하여금 방법을 수행하게 하는 컴퓨터 실행가능 명령어들을 포함하는 비일시적 컴퓨터 판독가능 매체로서, 상기 방법은,
    제1 보안 마이크로서비스에 의해, 제1 캡슐화 맥락 및 제1 캡슐화된 데이터를 캡슐화하는 제1 채널 데이터 캡슐화 패킷을 수신하는 단계;
    상기 제1 캡슐화 맥락을 사용하여 상기 제1 캡슐화된 데이터에 대해 보안 서비스를 수행하는 단계;
    상기 제1 보안 마이크로서비스에 의해 제2 채널 데이터 캡슐화 패킷을 제2 보안 마이크로서비스에 송신하는 단계 - 상기 제2 채널 데이터 캡슐화 패킷은 보안 서비스들에 대한 요청을 포함함 -;
    상기 제1 보안 마이크로서비스에 의해 제2 보안 마이크로서비스 맥락, 제2 보안 마이크로서비스 타임스탬프, 및 제2 보안 마이크로서비스 로드를 포함하는 상기 제2 보안 마이크로서비스로부터 응답을 수신하는 단계;
    상기 제1 보안 마이크로서비스에 의해, 타임스탬프 및 로드를 발생시키는 단계; 및
    상기 제1 보안 마이크로서비스에 의해, 응답을 상기 제1 채널 데이터 캡슐화 패킷에 송신하는 단계
    를 포함하며;
    상기 응답은 상기 제1 보안 마이크로서비스에 의해 발생되는 상기 타임스탬프 및 로드를 포함하는 비일시적 컴퓨터 판독가능 매체.
  17. 제16항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 네트워크 환경 내에서 상기 제1 데이터 채널 캡슐화 패킷과 연관되는 데이터 채널을 구별하기 위해 캡슐화 식별자를 포함하는 비일시적 컴퓨터 판독가능 매체.
  18. 제16항에 있어서, 상기 제1 채널 데이터 캡슐화 패킷은 캡슐화 헤더를 포함하는 비일시적 컴퓨터 판독가능 매체.
  19. 제18항에 있어서, 상기 캡슐화 헤더는 상기 제1 캡슐화 맥락 및 상기 제1 캡슐화 데이터의 상기 제1 채널 데이터 캡슐화 패킷 내에 위치를 정의하는 비일시적 컴퓨터 판독가능 매체.
  20. 제18항에 있어서, 상기 캡슐화 헤더는 타임스탬프를 추가로 정의하는 비일시적 컴퓨터 판독가능 매체.
KR1020197003306A 2016-07-29 2017-07-28 클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템 및 방법 KR20190030701A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/224,339 US10142356B2 (en) 2016-07-29 2016-07-29 Channel data encapsulation system and method for use with client-server data channels
US15/224,339 2016-07-29
PCT/US2017/044347 WO2018022980A1 (en) 2016-07-29 2017-07-28 Channel data encapsulation system and method for use with client-server data channels

Publications (1)

Publication Number Publication Date
KR20190030701A true KR20190030701A (ko) 2019-03-22

Family

ID=59558519

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197003306A KR20190030701A (ko) 2016-07-29 2017-07-28 클라이언트-서버 데이터 채널들에서 사용하기 위한 채널 데이터 캡슐화 시스템 및 방법

Country Status (6)

Country Link
US (2) US10142356B2 (ko)
EP (1) EP3491799B1 (ko)
JP (1) JP2019525600A (ko)
KR (1) KR20190030701A (ko)
CN (1) CN109845218B (ko)
WO (1) WO2018022980A1 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
US11722367B2 (en) 2014-09-30 2023-08-08 Nicira, Inc. Method and apparatus for providing a service with a plurality of service nodes
US11496606B2 (en) 2014-09-30 2022-11-08 Nicira, Inc. Sticky service sessions in a datacenter
US10609091B2 (en) 2015-04-03 2020-03-31 Nicira, Inc. Method, apparatus, and system for implementing a content switch
US10489275B2 (en) 2016-10-20 2019-11-26 Cisco Technology, Inc. Agentless distributed monitoring of microservices through a virtual switch
US10659496B2 (en) * 2017-03-28 2020-05-19 ShieldX Networks, Inc. Insertion and configuration of interface microservices based on security policy changes
US10805181B2 (en) 2017-10-29 2020-10-13 Nicira, Inc. Service operation chaining
US10797910B2 (en) 2018-01-26 2020-10-06 Nicira, Inc. Specifying and utilizing paths through a network
US20190268353A1 (en) * 2018-02-23 2019-08-29 ShieldX Networks, Inc. Systems and methods for preventing malicious network traffic from accessing trusted network resources
US10911493B2 (en) * 2018-03-14 2021-02-02 ShieldX Networks, Inc. Identifying communication paths between servers for securing network communications
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
US10880392B2 (en) 2018-04-12 2020-12-29 Pearson Management Services Limited System and method for automated hybrid network creation
US11595250B2 (en) 2018-09-02 2023-02-28 Vmware, Inc. Service insertion at logical network gateway
US10673708B2 (en) * 2018-10-12 2020-06-02 International Business Machines Corporation Auto tuner for cloud micro services embeddings
JP7070372B2 (ja) * 2018-11-27 2022-05-18 日本電信電話株式会社 トラフィックモニタリング方法、トラフィックモニタリング装置、及びプログラム
US10826874B2 (en) 2018-11-29 2020-11-03 Mastercard International Incorporated Direct production network access using private networks and encapsulation
US11360796B2 (en) 2019-02-22 2022-06-14 Vmware, Inc. Distributed forwarding for performing service chain operations
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11283717B2 (en) 2019-10-30 2022-03-22 Vmware, Inc. Distributed fault tolerant service chain
US11050640B1 (en) 2019-12-13 2021-06-29 Cisco Technology, Inc. Network throughput assurance, anomaly detection and mitigation in service chain
US11223494B2 (en) 2020-01-13 2022-01-11 Vmware, Inc. Service insertion for multicast traffic at boundary
US11659061B2 (en) 2020-01-20 2023-05-23 Vmware, Inc. Method of adjusting service function chains to improve network performance
US11153406B2 (en) 2020-01-20 2021-10-19 Vmware, Inc. Method of network performance visualization of service function chains
US11277331B2 (en) 2020-04-06 2022-03-15 Vmware, Inc. Updating connection-tracking records at a network edge using flow programming
US11611625B2 (en) 2020-12-15 2023-03-21 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US20230061902A1 (en) * 2021-08-24 2023-03-02 International Business Machines Corporation Intelligent dataset slicing during microservice handshaking
US20230086068A1 (en) * 2021-09-22 2023-03-23 Ridgeline, Inc. Enabling an action based on a permission identifier for real-time identity resolution in a distributed system

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9736209B2 (en) * 2000-03-17 2017-08-15 Facebook, Inc. State change alerts mechanism
US8060581B2 (en) 2000-07-19 2011-11-15 Akamai Technologies, Inc. Dynamic image delivery system
CN1703885A (zh) * 2002-10-15 2005-11-30 高通股份有限公司 在通信系统中使用微隧道的方法和装置
US8532119B2 (en) * 2004-07-30 2013-09-10 Brocade Communications Systems, Inc. Interfabric routing header for use with a backbone fabric
US11323508B2 (en) * 2009-05-22 2022-05-03 Comcast Interactive Media, Llc Web service system and method
EP2605453B1 (en) 2011-12-16 2014-11-12 Alcatel Lucent Method and apparatus for monitoring transmission characteristics in a network
US9106508B2 (en) 2012-04-30 2015-08-11 International Business Machines Corporation Providing services to virtual overlay network traffic
US9990499B2 (en) * 2013-08-05 2018-06-05 Netflix, Inc. Dynamic security testing
US11496606B2 (en) 2014-09-30 2022-11-08 Nicira, Inc. Sticky service sessions in a datacenter
EP3210350B1 (en) 2014-10-21 2020-05-20 Twilio, Inc. Method for providing a miro-services communication platform
US10129078B2 (en) * 2014-10-30 2018-11-13 Equinix, Inc. Orchestration engine for real-time configuration and management of interconnections within a cloud-based services exchange
US10893100B2 (en) 2015-03-12 2021-01-12 International Business Machines Corporation Providing agentless application performance monitoring (APM) to tenant applications by leveraging software-defined networking (SDN)
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10234305B2 (en) * 2015-08-27 2019-03-19 Here Global B.V. Method and apparatus for providing a targeted map display from a plurality of data sources
US9792259B2 (en) * 2015-12-17 2017-10-17 Software Ag Systems and/or methods for interactive exploration of dependencies in streaming data
US10255413B2 (en) 2016-02-04 2019-04-09 International Business Machines Corporation Microservices inter-operational trust management
US10498857B2 (en) 2016-03-29 2019-12-03 Amazon Technologies, Inc. System interaction monitoring and component scaling
US9716617B1 (en) 2016-06-14 2017-07-25 ShieldX Networks, Inc. Dynamic, load-based, auto-scaling network security microservices architecture
US10348838B2 (en) 2016-07-22 2019-07-09 Cisco Technology, Inc. Scaling service discovery in a micro-service environment
US20180165604A1 (en) * 2016-12-09 2018-06-14 U2 Science Labs A Montana Systems and methods for automating data science machine learning analytical workflows

Also Published As

Publication number Publication date
EP3491799A1 (en) 2019-06-05
US20180034833A1 (en) 2018-02-01
US10581884B2 (en) 2020-03-03
CN109845218B (zh) 2022-03-08
EP3491799B1 (en) 2021-01-13
WO2018022980A1 (en) 2018-02-01
CN109845218A (zh) 2019-06-04
US20190124096A1 (en) 2019-04-25
JP2019525600A (ja) 2019-09-05
US10142356B2 (en) 2018-11-27

Similar Documents

Publication Publication Date Title
US10581884B2 (en) Channel data encapsulation system and method for use with client-server data channels
US10630710B2 (en) Systems and methods of stateless processing in a fault-tolerant microservice environment
US11171969B2 (en) Systems and methods for real-time configurable load determination
US10642982B2 (en) Systems and methods for adding microservices into existing system environments
US10579407B2 (en) Systems and methods for deploying microservices in a networked microservices system
US11082515B2 (en) Technologies for offloading data object replication and service function chain management
US20190273718A1 (en) Intercepting network traffic routed by virtual switches for selective security processing
US10666617B2 (en) Intercepting network traffic routed by virtual switches for selective security processing
US10484418B2 (en) Systems and methods for updating security policies for network traffic
US10911493B2 (en) Identifying communication paths between servers for securing network communications
US10944723B2 (en) Systems and methods for managing endpoints and security policies in a networked environment
US10826916B2 (en) Agent-less network traffic inspection using an overlay network
US20200351306A1 (en) Configuring security policies in response to detecting a pivot of an intrusion
US20200351286A1 (en) Configuring an island virtual switch for provisioning of network security services
US20190268353A1 (en) Systems and methods for preventing malicious network traffic from accessing trusted network resources