KR20190040834A - Security device and method for virtual network - Google Patents

Security device and method for virtual network Download PDF

Info

Publication number
KR20190040834A
KR20190040834A KR1020170131664A KR20170131664A KR20190040834A KR 20190040834 A KR20190040834 A KR 20190040834A KR 1020170131664 A KR1020170131664 A KR 1020170131664A KR 20170131664 A KR20170131664 A KR 20170131664A KR 20190040834 A KR20190040834 A KR 20190040834A
Authority
KR
South Korea
Prior art keywords
access
network
virtual network
security
specific service
Prior art date
Application number
KR1020170131664A
Other languages
Korean (ko)
Other versions
KR102030764B1 (en
Inventor
김동현
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020170131664A priority Critical patent/KR102030764B1/en
Publication of KR20190040834A publication Critical patent/KR20190040834A/en
Application granted granted Critical
Publication of KR102030764B1 publication Critical patent/KR102030764B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention proposes a security device and a security method for a virtual network which realize a security control technology ameliorating security vulnerabilities and enhancing security in consideration of characteristics of a virtual network environment which is dynamically configured/changed using a common network infrastructure on the network.

Description

가상 네트워크 보안 장치 및 가상 네트워크 보안 방법{SECURITY DEVICE AND METHOD FOR VIRTUAL NETWORK}TECHNICAL FIELD [0001] The present invention relates to a virtual network security apparatus,

본 발명은 가상 네트워크 기술에 관한 것으로, 더욱 상세하게는 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 보안 제어 기술에 관한 것이다.The present invention relates to a virtual network technology, and more particularly, to a virtual network technology in which a security vulnerability can be improved and security can be further enhanced by considering a characteristic of a virtual network environment that is dynamically configured / changed using a common network infrastructure Control technology.

가상 네트워크란, 망 상에서 구성하는 가상의 네트워크로서, 대표적으로는 최근 급속도로 진화하고 있는 클라우드 서비스를 위해 많이 사용되고 있다.A virtual network is a virtual network constructed on a network, and is typically used for a cloud service that is evolving rapidly in recent years.

클라우드 서비스(또는 클라우드 컴퓨팅)는, 인터넷 기술을 활용하여 망 상에 구성한 가상 네트워크를 기반으로 데이터 서비스를 제공하는 기술로서, 사용자가 데이터 분류, 계산, 처리 및 분석 등 다양한 연산 처리의 기능(프로세스), 저장공간 등과 같은 네트워크자원(Information Technology 자원)을 필요한 만큼 빌려서 사용하는 개념의 기술이다.Cloud service (or cloud computing) is a technology that provides data service based on a virtual network configured on the network by utilizing Internet technology. It provides various functions (process) such as data classification, calculation, processing and analysis, , Storage space, and so on, as necessary.

이에 가상 네트워크 기반의 클라우드 서비스는, 사용자가 실제로 보유하고 있는 자원 수준에서는 수용할 수 없는 대용량의 데이터를 빠른 속도로 연산 처리할 수 있게 되고, 이를 기반으로 하는 고성능/고속의 데이터 서비스 이용을 가능하게 한다.Accordingly, the cloud service based on the virtual network is capable of processing a large amount of data that can not be accommodated at the resource level actually possessed by the user at a high speed, and is capable of using the high performance / high speed data service based on this do.

한편, 네트워크에서 채용하는 보안 방식은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 환경에서, 보안 툴(예: Firewall 등)을 기반으로 접근을 허용/제한하는 방식이다.On the other hand, the security method employed in the network is a method of allowing / limiting access based on a security tool (for example, a firewall) in an environment where the visibility and accessibility of network elements are opened.

이러한, 기존의 일반적인 네트워크 보안 방식을 가상 네트워크 환경에 그대로 적용하는 경우, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 다양한 보안 취약점을 가지게 된다.When applying the conventional general network security method to the virtual network environment, various security vulnerabilities such as exposure of Denial of Service attack on Application access port, risk of losing control of server due to Credential theft, connection hijacking, APT / lateral movement exposure, .

최근에는, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술이 대두되고 있다.In recent years, a network slicing technology has been emerging that divides a physical common network infrastructure into a plurality of independent virtual networks and provides independent data services adapted to respective service characteristics.

이러한 네트워크 슬라이싱 기술에서는, 망 상에서 공통 네트워크 인프라를 사용하여 데이터 서비스 별로 동적으로 가상 네트워크를 구성하기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.In this network slicing technique, a virtual network is dynamically configured for each data service using a common network infrastructure on a network, so that each segment of the virtual network has an environmental characteristic that is dynamically changed.

따라서, 특히 동적으로 구성/변경되는 가상 네트워크의 환경 특성을 감안하면, 가상 네트워크의 각 세그먼트에 대한 전술의 보안 취약점이 더욱 치명적일 수 있다.Thus, given the environmental characteristics of a virtual network that is particularly dynamically configured / changed, the above-described security vulnerability to each segment of the virtual network can be even more lethal.

이에, 본 발명에서는, 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 새로운 보안 제어 기술을 제안하고자 한다.Accordingly, the present invention proposes a new security control technique capable of improving the security vulnerability and enhancing the security in consideration of the characteristics of the virtual network environment dynamically configured / changed.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 보안 제어 기술을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide a security control method capable of improving a security vulnerability and enhancing security by considering characteristics of a virtual network environment dynamically configured / changed using a common network infrastructure Technology.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 가상 네트워크 보안 장치는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성제어부; 및 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부를 포함한다.According to a first aspect of the present invention, there is provided a virtual network security apparatus for managing a virtual network for a specific service using network resources selected on a network, based on a tenants policy defined in the specific service, A network configuration controller; And a network security controller for controlling a dynamic security function implemented for each segment of the virtual network on the basis of the tenant policy and applying individual security for each specific segment of the virtual network to the specific service.

바람직하게는, 상기 가상 네트워크는, 상기 특정 서비스에 대하여 클라우드 서비스를 제공하는 코어컴퓨팅노드와, 상기 클라우드 서비스를 상기 코어컴퓨팅노드와 분산 제공하는 엣지컴퓨팅노드를 포함할 수 있다.Advantageously, the virtual network may include a core computing node providing a cloud service for the specific service and an edge computing node distributing the cloud service to the core computing node.

바람직하게는, 상기 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어부의 제어에 따라 특정 접근에 대해서만 접근을 허용할 수 있다.Preferably, the dynamic security function is based on an all deny setting for blocking all accesses, and may allow access only to a specific access according to the control of the network security control unit.

바람직하게는, 상기 네트워크보안제어부는, 상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, the network security control unit provides access information required for connection to the specific service to an access subject authenticated to the specific service, and provides dynamic security function implemented by segments of the virtual network configured for the specific service So as to allow access to the access from the accessing entity.

바람직하게는, 상기 테넌트 정책은, 상기 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며, 접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용할 수 있다.Preferably, the tenant policy is configured to configure a virtual network by setting a data path between segments for each of a plurality of service functions provided by the specific service, and the plurality of service functions Different approaches to each can be allowed differently.

바람직하게는, 상기 네트워크보안제어부는, 상기 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 중, 상기 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, the network security control unit notifies the access subject authenticated for the specific service of access information necessary for access to a specific service function that allows access to the level of the access right given to the access subject among the plurality of service functions And only the dynamic security function implemented in the segment for setting the data path of the specific service function among the segments of the virtual network configured for the specific service is controlled to permit access to the access from the access subject .

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 가상 네트워크 보안 방법은, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성단계; 및 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어단계를 포함한다.According to a second aspect of the present invention, there is provided a method for securing a virtual network for a specific service based on a tenants policy defined in a specific service, Configure network configuration steps; And a network security control step of controlling a dynamic security function implemented for each segment of the virtual network based on the tenant policy to apply individual security for each specific segment of the virtual network to the specific service.

바람직하게는, 상기 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어단계에서의 제어에 따라 특정 접근에 대해서만 접근을 허용할 수 있다.Preferably, the dynamic security function is based on an all deny setting for blocking all accesses, and may allow access only to a specific access according to the control in the network security control step.

바람직하게는, 상기 네트워크보안제어단계는, 상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고, 상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 할 수 있다.Preferably, the network security control step may include providing access information required for connection to the specific service to an access subject authenticated for the specific service, and providing dynamic access control information for each specific segment of the virtual network, So that access to the access from the accessing entity can be allowed.

이에, 본 발명에 따른 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법에 의하면, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안한 새로운 보안 제어 기술을 실현함으로써, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 효과를 도출한다.Thus, according to the virtual network security apparatus and the virtual network security method of the present invention, a new security control technique that takes into consideration the characteristics of a virtual network environment that is dynamically configured / changed using a common network infrastructure on a network is realized, Improve security and enhance security.

도 1은 본 발명이 적용되는 가상 네트워크 기반으로 클라우드 서비스가 구현되는 일 예시를 보여주는 구성도이다.
도 2는 본 발명의 일 실시예에 따른 가상 네트워크 보안 장치의 구성 및 기능을 보여주는 예시도이다.
도 3은 본 발명에 따라 실현되는 보안 제어 기술이 분산형 클라우드 서비스에서 구현되는 구조를 보여주는 예시도이다.
도 4는 본 발명의 바람직한 실시예에 따른 가상 네트워크 보안 방법을 보여주는 제어 흐름도이다.1 is a block diagram illustrating an example in which a cloud service is implemented based on a virtual network to which the present invention is applied.
FIG. 2 is an exemplary diagram illustrating the configuration and functions of a virtual network security apparatus according to an exemplary embodiment of the present invention. Referring to FIG.
3 is an exemplary diagram illustrating a structure in which a security control technique realized according to the present invention is implemented in a distributed cloud service.
4 is a control flowchart illustrating a virtual network security method according to a preferred embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명이 적용되는 가상 네트워크 기반으로 클라우드 서비스가 구현되는 일 예시를 도시하고 있다.FIG. 1 illustrates an example in which a cloud service is implemented based on a virtual network to which the present invention is applied.

가상 네트워크는, 대표적으로는 최근 급속도로 진화하고 있는 클라우드 서비스를 위해 많이 사용되고 있다.Virtual networks are typically used for cloud services that are evolving rapidly in recent years.

클라우드 서비스(또는 클라우드 컴퓨팅)는, 인터넷 기술을 활용하여 망 상에 구성한 가상 네트워크를 기반으로 데이터 서비스를 제공하는 기술로서, 사용자가 데이터 분류, 계산, 처리 및 분석 등 다양한 연산 처리의 기능(프로세스), 저장공간 등과 같은 네트워크자원(Information Technology 자원)을 필요한 만큼 빌려서 사용하는 개념의 기술이다.Cloud service (or cloud computing) is a technology that provides data service based on a virtual network configured on the network by utilizing Internet technology. It provides various functions (process) such as data classification, calculation, processing and analysis, , Storage space, and so on, as necessary.

이러한 클라우드 서비스는, 최근 급속도로 진화하고 있으며, 그 일환으로 도 1에 도시된 바와 같이, 망 상에서 제공되는 클라우드 서비스를 코어망 및 코어망 보다 사용자(단말)에 가까운 위치의 엣지(Edge)에서 분산 제공하는 하이브리드(Hybrid)한 서비스 환경(이하, 분산형 클라우드 서비스 환경)이 등장하였다.Such a cloud service has evolved rapidly in recent years. As shown in FIG. 1, a cloud service provided on a network is dispersed from the edge of a location close to a user (terminal) to a core network and a core network, A hybrid service environment (hereinafter, a distributed cloud service environment) has emerged.

본 발명은, 망 상에서 구성하는 가상의 네트워크 즉 가상 네트워크에 대한 보안 제어기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security control technique for a virtual network constituted on a network, that is, a virtual network.

따라서, 본 발명은, 클라우드 서비스를 코어망에서만 제공하는 서비스 환경(이하, 클라우드 서비스 환경)에서의 가상 네트워크 뿐 아니라, 전술한 분산형 클라우드 서비스 환경에서의 가상 네트워크까지도 적용이 가능한 보안 시술을 제안/실현하고자 한다.Accordingly, the present invention proposes a security procedure that can be applied not only to a virtual network in a service environment (hereinafter, referred to as a cloud service environment) provided only in the core network but also to a virtual network in the distributed cloud service environment described above, I want to realize it.

도 1에 도시된 바와 같이, 분산형 클라우드 서비스 환경은, 사용자 즉 단말(10)과, 코어망(1)에 위치하며, 단말(10)에서 실행되는 어플리케이션에 따른 데이터 연산 처리를 수행하여 클라우드 서비스를 제공하는 코어컴퓨팅노드(200)와, 단말(10) 및 코어컴퓨팅노드(200) 사이에 위치하며, 단말(10)에서 실행되는 어플리케이션에 따른 데이터 연산 처리 중 일부 데이터 연산 처리를 선택적으로 수행하여 클라우드 서비스를 코어컴퓨팅노드(200)와 분산 제공하는 엣지컴퓨팅노드(100)를 포함한다.1, a distributed cloud service environment includes a user, that is, a terminal 10 and a core network 1, and performs data operation processing according to an application executed in the terminal 10, A core computing node 200 that is located between the terminal 10 and the core computing node 200 and selectively performs some data operation processing during data operation processing according to an application executed in the terminal 10 And an edge computing node 100 that distributes the cloud service to the core computing node 200.

이에, 코어컴퓨팅노드(200)는, 단말(10)에서 실행되는 어플리케이션에 의한 특정 서비스에 대하여 클라우드 서비스를 제공하며, 엣지컴퓨팅노드(100)는 이러한 클라우드 서비스를 코어컴퓨팅노드(200)와 분산 제공하게 된다.The core computing node 200 provides a cloud service for a specific service by an application executed in the terminal 10 and the edge computing node 100 distributes the cloud service to and from the core computing node 200 .

한편, 일반적인 클라우드 서비스 환경은, 별도의 도면을 도시하지 않았지만, 도 1에서 엣지컴퓨팅노드(100)를 제외하고 코어컴퓨팅노드(200)만으로 구성된 환경으로 보아도 무방하다.Meanwhile, although a general cloud service environment is not shown in FIG. 1, it may be regarded as an environment composed only of the core computing node 200 except for the edge computing node 100 in FIG.

그리고, 도 1에서는 서비스 이용 주체(달리 말하면, 접근 주체)를 사용자의 단말(10)로 도시하였지만, 이는 설명의 편의를 위한 일 실시예일 뿐이며, 별도의 서버(미도시)일 수도 있다.In FIG. 1, the service user (in other words, the access subject) is shown as the user terminal 10, but this is only an embodiment for convenience of explanation and may be a separate server (not shown).

한편, 네트워크에서 채용하는 보안 방식은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 환경에서, 보안 툴(예: Firewall 등)을 기반으로 접근을 허용/제한하는 방식이다.On the other hand, the security method employed in the network is a method of allowing / limiting access based on a security tool (for example, a firewall) in an environment where the visibility and accessibility of network elements are opened.

이러한, 기존의 일반적인 네트워크 보안 방식을 가상 네트워크 환경에 그대로 적용하는 경우, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 다양한 보안 취약점을 가지게 된다.When applying the conventional general network security method to the virtual network environment, various security vulnerabilities such as exposure of Denial of Service attack on Application access port, risk of losing control of server due to Credential theft, connection hijacking, APT / lateral movement exposure, .

최근에는, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술이 대두되고 있다.In recent years, a network slicing technology has been emerging that divides a physical common network infrastructure into a plurality of independent virtual networks and provides independent data services adapted to respective service characteristics.

이러한 네트워크 슬라이싱 기술에서는, 망 상에서 공통 네트워크 인프라를 사용하여 데이터 서비스 별로 동적으로 가상 네트워크를 구성하기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.In this network slicing technique, a virtual network is dynamically configured for each data service using a common network infrastructure on a network, so that each segment of the virtual network has an environmental characteristic that is dynamically changed.

따라서, 특히 동적으로 구성/변경되는 가상 네트워크의 환경 특성을 감안하면, 가상 네트워크의 각 세그먼트에 대한 전술의 보안 취약점이 더욱 치명적일 수 있다.Thus, given the environmental characteristics of a virtual network that is particularly dynamically configured / changed, the above-described security vulnerability to each segment of the virtual network can be even more lethal.

이에, 본 발명에서는, 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 새로운 보안 제어 기술을 제안하고자 한다.Accordingly, the present invention proposes a new security control technique capable of improving the security vulnerability and enhancing the security in consideration of the characteristics of the virtual network environment dynamically configured / changed.

도 1에 도시된 본 발명의 가상 네트워크 보안 장치(300)는, 특정 서비스를 제공하기 위해 구성된 가상 네트워크에 대하여, 보안 기능을 제어하는 역할을 한다.The virtual network security apparatus 300 of the present invention shown in FIG. 1 controls a security function for a virtual network configured to provide a specific service.

도 1에 도시된 바와 같은 분산형 클라우드 서비스 환경에서는, 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200)를 가상 네트워크라고 할 수 있고, 이 경우 가상 네트워크 보안 장치(300)는 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200)에 대하여 보안 기능을 제어할 수 있다.In the distributed cloud service environment as shown in FIG. 1, the edge computing node 100 and the core computing node 200 may be referred to as a virtual network. In this case, the virtual network security apparatus 300 may be a virtual network, The security function can be controlled for the node 100 and the core computing node 200.

이하에서는, 도 2를 참조하여 본 발명의 일 실시예에 따른 가상 네트워크 보안 장치의 구성 및 기능을 구체적으로 설명하겠다.Hereinafter, the configuration and functions of the virtual network security apparatus according to an embodiment of the present invention will be described in detail with reference to FIG.

도 2에 도시된 바와 같이, 본 발명의 가상 네트워크 보안 장치(300)는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성제어부(이하, Dynamic 네트워크구성제어부(310))와, 상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부(이하, Dynamic Perimeter 보안제어부(320))을 포함한다.As shown in FIG. 2, the virtual network security device 300 of the present invention is a virtual network security device that uses a network resource selected on a network, based on a tenant policy defined in a specific service, And a dynamic security function implemented for each segment of the virtual network based on the tenant policy to control the dynamic security function implemented by the segment according to the segment of the virtual network And a network security control unit (hereinafter referred to as a dynamic perimeter security control unit 320) for enabling individual security to be applied.

Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성한다.The dynamic network configuration controller 310 configures a virtual network for the specific service based on the tenant policy defined in the specific service, using the network resources selected on the network.

즉, Dynamic 네트워크구성제어부(310)는, 특정 서비스를 제공하기 위한 가상 네트워크를 망 상에 구성하는 역할을 한다.That is, the dynamic network configuration controller 310 configures a virtual network for providing a specific service on the network.

구체적으로, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상의 물리적인 공통 네트워크 인프라에서 필요한 네트워크자원(Information Technology 자원)을 선택하고 선택한 네트워크자원을 이용하여 특정 서비스를 위한 가상 네트워크를 구성하게 된다.Specifically, the dynamic network configuration controller 310 selects a necessary network resource (Information Technology resource) from a physical common network infrastructure on the network, based on the tenant policy defined in the specific service, And a virtual network for the network.

이때, Dynamic 네트워크구성제어부(310)는, 특정 서비스의 구현이 결정되면 특정 서비스에 정의된 테넌트 정책을 획득하게 되는데, 이러한 테넌트 정책을 제공하는 주체는 한정되지 않는다.At this time, when the implementation of the specific service is determined, the dynamic network configuration controller 310 acquires the tenant policy defined in the specific service. The subject providing the tenant policy is not limited.

여기서, 테넌트 정책은, 기본적으로 특정 서비스를 가상 네트워크 기반의 클라우드 서비스 형태로 제공하기 위해, 요구되는 다양한 요소 별 설정정보(설정값) 등이 정의되어 있을 것이다.Here, the tenant policy basically defines various required configuration information (setting values) for providing a specific service in the form of a cloud service based on a virtual network.

예를 들면, 테넌트 정책에는, 특정 서비스를 위한 가상 네트워크를, 일반적인 클라우드 서비스 형태(환경)로 구성할 것인지 또는 분산형 클라우드 서비스 형태(환경)으로 구성할 것인지 정의되고, 특성 서비스를 위해 요구되는 하드웨어/소프트웨어 리소스들의 스펙정보가 정의되는 등, 특정 서비스를 구현하기 위한 가상 네트워크 구성에 필요한 모든 정보(이하, 서비스셋팅정보)가 정의되어 있을 것이다.For example, a tenant policy defines whether a virtual network for a specific service is configured as a general cloud service type (environment) or a distributed cloud type service (environment), and a hardware required for the characteristic service (Hereinafter, service setting information) necessary for configuring a virtual network for implementing a specific service, such as the specification information of the software resources, is defined.

도 2에서는, 코어컴퓨팅노드(200')로 구성된 일반적인 클라우드 서비스 환경을 일 예로서 도시하고 있다.In FIG. 2, a typical cloud service environment configured by the core computing node 200 'is shown as an example.

이 경우, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 일반적인 클라우드 서비스 형태(환경)로 구성하는 것으로 인지하고 서비스셋팅정보를 인지/기초하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성한 경우로 이해하면 된다.In this case, the dynamic network configuration control unit 310 recognizes that it is configured as a general cloud service type (environment) based on the tenant policy defined in the specific service, recognizes the service setting information, That is, the core computing node 200 '.

구체적으로 설명하면, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에서 고정 운영되는 특정 처리 기능의 프로세서(프로세싱 H/W)를 선택할 수 있다.Specifically, the dynamic network configuration control unit 310 can select a processor (processing H / W) of a specific processing function fixedly operated in the core computing node 200 '.

예컨대, Dynamic 네트워크구성제어부(310)는, 도 2에 도시된 바와 같이, 처리 가속화를 위한 특정한 하드웨어칩(또는 카드, 또는 소자), 예를 들면 다수의 Virtual Swith(210)를 선택할 수 있다.For example, the dynamic network configuration control unit 310 can select a specific hardware chip (or card or device) for processing acceleration, for example, a plurality of virtual swithes 210, as shown in FIG.

또는, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에서 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)를 선택하고 선택한 프로세서(프로세싱 H/W)에 특정 처리 기능을 설정할 수 있다.Alternatively, the dynamic network configuration control unit 310 may select a processor (processing H / W) as a hardware resource that can be dynamically operated in the core computing node 200 'and perform a specific processing function on the selected processor (processing H / W) Can be set.

예컨대, Dynamic 네트워크구성제어부(310)는, 도 2에 도시된 바와 같이, 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)들(210)을 선택하고, 선택한 프로세서(프로세싱 H/W)들(210)에 처리 가속화를 위한 Virtual Swith가 갖는 기능을 설정할 수 있다.2, the dynamic network configuration control unit 310 selects a processor (processing H / W) 210 as a hardware resource that can be dynamically operated and selects a processor (processing H / W) The function of the virtual swith for accelerating the processing can be set in the memory 210. [

그리고, Dynamic 네트워크구성제어부(310)는, 하드웨어 리소스 즉 Virtual Swith(210) 상에서 동작하게 될 소프트웨어 기능을 설정함으로써, 특정 서비스를 위한 가상 네트워크를 구성할 수 있다. The dynamic network configuration controller 310 may configure a virtual network for a specific service by setting a software function to be operated on a hardware resource, that is, a Virtual Swith 210. [

예를 들면, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에 특정 서비스를 위한 네트워크 기능 및 스토리지(220)을 할당한다.For example, the dynamic network configuration control unit 310 allocates a network function and storage 220 for a specific service to the core computing node 200 '.

즉, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')가 특정 서비스를 제공하기 위한 네트워크 통신이 가능하도록 하는 네트워크 기능과, 네트워크 통신 및 자신의 저장소와의 연동을 지원하는 스토리지 기능을, 할당하는 것이다.In other words, the dynamic network configuration control unit 310 may be configured to allow the core computing node 200 'to perform a network function to enable network communication for providing a specific service, a storage function to support network communication and interworking with its own storage .

그리고, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에, 선택(및 설정)한 하드웨어 리소스 즉 Virtual Swith(210) 상에서 네트워크 기능 및 스토리지(220)를 활용하여 동작하게 될 소프트웨어 기능을 설치한다.The dynamic network configuration control unit 310 controls the core computing node 200 'to perform a network function on the selected (and set) hardware resource, that is, a virtual switch 210, and a software function .

구체적으로, Dynamic 네트워크구성제어부(310)는, 코어컴퓨팅노드(200')에, 네트워크자원(210) 즉 하드웨어 리소스 상에서 네트워크 기능 및 스토리지(230)를 활용하여 동작하게 될 소프트웨어 기능(230)을 설치할 수 있다.Specifically, the dynamic network configuration control unit 310 controls the core computing node 200 'to install a software function 230 that will operate on the network resource 210, that is, the network function on the hardware resource and the storage 230 .

도 2에서는, 소프트웨어 기능(230)으로서, v EPC(Virtual Evolved Packet Core), FW(Fire Wall), LB(Load Balancing), 및 특정 서비스를 제공하기 위한 대부분의 서비스(Service)를 설치하고 있다.In FIG. 2, as a software function 230, there are installed v EPC (Virtual Evolved Packet Core), FW (Fire Wall), LB (Load Balancing), and most services for providing a specific service.

이렇게, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원(즉 하드웨어/소프트웨어 리소스)를 이용하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성할 수 있다.In this way, the dynamic network configuration controller 310 can determine a virtual network for a specific service, that is, a core computing node (not shown) by using network resources selected on the network (200 ').

이러한 Dynamic 네트워크구성제어부(310)는, 물리적인 공통 네트워크 인프라에서 하드웨어/소프트웨어 리소스를 이용 및 가상 네트워크를 구성하는 노드로서, 클라우드 기술 기반의 물리/가상 자원을 관리 및 운영하는 VIM(Virtual Infrastructure Manager)에 해당될 수 있고, 또는 VIM과 연동하는 별도의 노드일 수 있다.The dynamic network configuration controller 310 is a virtual infrastructure manager (VIM) that manages and manages physical / virtual resources based on cloud technology as a node that utilizes hardware / software resources in a physical common network infrastructure and constitutes a virtual network, Or may be a separate node that interfaces with the VIM.

이와 같이 Dynamic 네트워크구성제어부(310)가 특정 서비스를 위한 가상 네트워크를 동적으로 구성하는 기술은, 물리적인 공통 네트워크 인프라를 다수의 독립된 가상 네트워크로 분리해, 각각의 서비스 특성에 맞춘 독립적인 데이터 서비스를 제공하는 네트워크 슬라이싱(Network Slicing) 기술에 따른 것이다.The dynamic network configuration controller 310 dynamically configures a virtual network for a specific service by separating the physical common network infrastructure into a plurality of independent virtual networks and extracts an independent data service corresponding to each service characteristic Based on the network slicing technique.

따라서, 네트워크 슬라이싱 기술에 따른 Dynamic 네트워크구성제어부(310)에 의해 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')는, 망 상에서 공통 네트워크 인프라를 사용하여 특정 서비스 만을 위해 동적으로 구성되었기 때문에, 가상 네트워크의 각 세그먼트가 다이나믹하게 변경되는 환경적 특성을 갖는다.Therefore, the virtual network configured dynamically by the dynamic network configuration controller 310 according to the network slicing technology, that is, the core computing node 200 ', is dynamically configured only for a specific service using a common network infrastructure on the network, Each segment of the network has an environmental characteristic that changes dynamically.

이에, Dynamic 네트워크구성제어부(310)는, SDN(Software Defined Network) Controller로 정의할 수 있다.Accordingly, the dynamic network configuration controller 310 can be defined as a SDN (Software Defined Network) controller.

Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어한다.The dynamic perimeter security controller 320 controls the dynamic security function implemented by each segment of the virtual network, that is, the core computing node 200 'dynamically configured by the dynamic network configuration controller 310, based on the tenant policy defined in the specific service .

구체적으로 설명하면, 가상 네트워크의 각 세그먼트란, 가상 네트워크 내에서 상호 통신 포트를 통해 입/출력이 이루어지는 단위의 구성 요소를 의미하며, 도 2를 언급하여 설명하면, 각 하드웨어 리소스(프로세싱 H/W) 상에서 동작되는 각 소프트웨어 기능을 의미할 수 있다.More specifically, each segment of the virtual network refers to a unit of a unit in which input / output is performed through a communication port in a virtual network. Referring to FIG. 2, each of the hardware resources Quot;) < / RTI >

도 2에 도시된 바와 같이, Dynamic 네트워크구성제어부(310)가 구성한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트에는, 동적 보안기능이 구현된다.As shown in FIG. 2, a dynamic security function is implemented in each segment constituting the virtual network constituted by the dynamic network configuration controller 310, that is, the core computing node 200 '.

여기서, 각 세그먼트에 구현되는 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 네트워크보안제어부(310)의 제어에 따라 특정 접근에 대해서만 접근을 허용한다.Here, the dynamic security function implemented in each segment is based on a specific security setting (all deny setting) for blocking all accesses, and allows access only to a specific access under the control of the network security control unit 310.

일 예를 들면, 도 2에 도시된 바와 같이, 가상 네트워크를 구성하는 소프트웨어 리소스 즉 FW, LB, Service에 해당하는 각 세그먼트에는, FW의 경우 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 나머지 LB, Service 각각의 경우 SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.For example, as shown in FIG. 2, in each segment corresponding to software resources constituting a virtual network, that is, FW, LB, and Service, a dynamic security function is provided in the form of SDP (Soft Defined Perimeter) , And the dynamic security function can be implemented in the form of an SDP enabled kernel to which SDP is applied in the case of the remaining LB and Service.

다른 예로, 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 가장 앞단에 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 소프트웨어 리소스 내 FW, LB, Service에 해당하는 각 세그먼트에는, SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.As another example, a dynamic security function is implemented in the form of SDP (Soft Defined Perimeter) G / W in front of an access path of a software resource constituting a virtual network, and each segment corresponding to FW, LB, Can be implemented as an SDP Enabled kernel.

이러한 동적 보안기능은, Dynamic 네트워크구성제어부(310)가 구성한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트 마다, 각기 해당 세그먼트에 적합한 기법(또는 형태)로 구현될 수 있으며, 그 구현 기법에 제한을 두지 않는다.This dynamic security function can be implemented in a technique (or a form) suitable for each segment constituting the virtual network constituted by the dynamic network configuration controller 310, that is, the core computing node 200 ' There is no limit to the technique.

이에, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.The dynamic perimeter security controller 320 determines whether the dynamic security controller 310 is a dynamic security controller that is dynamically configured according to a segment of the virtual network or the core computing node 200 ' Function, so that individual security can be applied to a specific service in a segment unit of the virtual network.

보다 구체적으로 설명하면, 예컨대 특정 서비스에 정의된 테넌트 정책에는, 앞서 설명한 서비스셋팅정보 외에도, 테넌트 별/유저 별로 접근을 허용/제한하는데 필요한 모든 정보(이하, 보안제어정보)가 정의될 수 있다.More specifically, for example, in addition to the service setting information described above, all the information (hereinafter, security control information) necessary for allowing / limiting access by each tenant / user can be defined in a tenant policy defined in a specific service.

일 예로서, 테넌트 정책에는, 특정 서비스에 대하여 인증된 접근 주체에게 특정 서비스로의 모든 접속을 허용하는, 테넌트 별 보안제어정보가 정의될 수 있다.As an example, a tenant policy may define tenant security control information that allows all accesses to a particular service to an access subject authorized for that particular service.

이 경우, Dynamic Perimeter 보안제어부(320)는, 테넌트 정책 특히 테넌트 별 보안제어정보를 기반으로, 특정 서비스에 대하여 인증된 접근 주체에게 특정 서비스로의 접속에 필요한 접속정보를 제공한다.In this case, the dynamic perimeter security controller 320 provides access information required for access to a specific service to the access subject authenticated for the specific service based on the tenant policy, especially the tenant security control information.

접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 특정 서비스로의 접속에 필요한 접속정보를 제공한다.The dynamic perimeter security control unit 320 refers to the user terminal 10 as the access subject. For example, only when the dynamic perimeter security control unit 320 performs the general authentication procedure for the terminal 10 attempting to access the specific service, And provides the terminal 10 with access information necessary for connection to a specific service.

그리고, Dynamic Perimeter 보안제어부(320)는, 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능(240)을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 한다.When providing the access information to the terminal 10, the dynamic perimeter security control unit 320 may provide the dynamic security function 240 implemented for each segment of the virtual network configured for the specific service, that is, the core computing node 200 ' So that access to the terminal 10 is permitted.

예컨대, Dynamic Perimeter 보안제어부(320)는, 세그먼트 별로 구현된 동적 보안기능(240)의 보안설정을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, the dynamic perimeter security control unit 320 controls the security setting of the dynamic security function 240, which is implemented for each segment, so that a pin hole is opened for access from the terminal 10 to permit access.

이렇게 되면, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스 단위 즉 테넌트 단위로 실현할 수 있다.In this case, the virtual network security device 300 can realize the security control technique (technique) proposed in the present invention by each data service unit, that is, a tenant unit including the aforementioned specific service realized by dynamically configuring a virtual network have.

한편, 다른 예로서, 테넌트 정책에는, 특정 서비스에 대하여 인증된 접근 주체에게 접근 주체가 갖는 접근권한의 레벨 별로 특정 서비스로의 접속을 상이하게 허용하는, 유저 별 보안제어정보가 정의될 수 있다.On the other hand, as another example, in the tenant policy, security control information for each user may be defined that allows access to a specific service differently according to the level of access authority possessed by the access subject to an access subject authenticated for the specific service.

이 경우, 테넌트 정책은, 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며, 접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 것이 바람직하다.In this case, the tenant policy makes it possible to configure a virtual network by setting a data path between segments for each of a plurality of service functions provided by a specific service, and for each of the plurality of service functions, It is desirable to allow different access.

보다 구체적으로 설명하면, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 서비스셋팅정보에는, 특정 서비스에서 제공하는 다수의 서비스 기능을 구현하기 위해, 각 서비스 가능 별로 각 세그먼트 간 데이터 경로를 설정하도록 하는 정보가 포함될 수 있다.More specifically, in order to implement a plurality of service functions provided by a specific service, a data path between each segment is set for each service available in the tenant policy defined in the specific service, or more precisely in the service setting information described above Information may be included.

그리고, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 유저 별 보안제어정보에는, 접근권한의 레벨 별로 특정 서비스에서 제공하는 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 정보가 포함될 것이다.In addition, the tenant policy defined in a specific service, or more precisely, the security control information per user described above, will include information allowing different access to each of a plurality of service functions provided by a specific service by level of access authority.

예를 들면, 접근권한의 레벨을 상/중/하로 가정할 경우, 접근권한 상 레벨의 접근 주체에게는 특정 서비스에서 제공하는 다수의 서비스 모두에 대한 접근을 허용(특정 서비스로의 모든 접속 허용)하고, 접근권한 중 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능에 대한 접근 만을 허용하고, 접근권한 하 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 정보 열람/검색과 관련된 서비스 기능에 대한 접근 만을 허용할 수 있다.For example, assuming that the level of access authority is upper / lower / lower, the access level upper level access subject is allowed to access all of a plurality of services provided by a specific service (all access to a specific service is permitted) , The access level of the access right level is allowed to access only the remaining service functions except for the service function related to the information deletion / modification among the plurality of services provided by the specific service, and the access level of the access level is provided to the specific service Only access to service functions related to information information retrieval / retrieval among a plurality of services can be permitted.

이 경우, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공한다.In this case, the dynamic perimeter security control unit 320 transmits to the dynamic perimeter security control unit 320 a connection request for access to a specific service function that allows the access subject authorized for the specific service to access the level of the access right granted to the access subject, Provide information only.

접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공할 수 있다.The dynamic perimeter security control unit 320 refers to the user terminal 10 as the access subject. For example, only when the dynamic perimeter security control unit 320 performs the general authentication procedure for the terminal 10 attempting to access the specific service, It is possible to provide only the access information necessary for connection to the specific service function that allows access to the level of the access authority granted to the terminal 10. [

예를 들어, 단말(10)이 접근권한 중 레벨인 경우라면, Dynamic Perimeter 보안제어부(320)는, 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)으로의 접속에 필요한 접속정보 만을 제공할 수 있다.For example, if the terminal 10 is at the middle access level, the dynamic perimeter security control unit 320 determines whether or not the terminal 10 has been authorized to access the terminal 10 only when the terminal 10 has been authenticated It is possible to provide only the access information necessary for connection to a specific service function (access to the service functions other than the service function related to deletion / modification of information) which allows access to the middle level of the access authority.

그리고, Dynamic Perimeter 보안제어부(320)는, 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 중, 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 하는 한다.When providing the access information to the terminal 10, the dynamic perimeter security controller 320 sets the data path of the specific service function among the segments of the virtual network configured for the specific service, that is, the core computing node 200 ' Only the dynamic security function implemented in the segment is allowed to access the terminal 10.

예컨대, Dynamic Perimeter 보안제어부(320)는, 세그먼트 별로 구현된 동적 보안기능(240)에서, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능의 보안설정 만을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, the dynamic perimeter security control unit 320 may include a specific service function (a service function related to deletion / modification of information) for permitting access to middle level of the access right given to the terminal 10 by the dynamic security function 240, The security function of the dynamic security function implemented in the segment for setting the data path of the service function except the service function of the terminal 10 is controlled so that the access from the terminal 10 is allowed by opening the pin hole.

이렇게 되면, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스에 대해 유저 단위로 실현할 수 있다.In this case, the virtual network security device 300 can realize the security control technique (technique) proposed by the present invention on a user-by-user basis for each data service including the above-mentioned specific service realized by dynamically configuring a virtual network have.

이와 같이, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있다.In this manner, the dynamic perimeter security controller 320 can apply the individual security to the specific service based on the tenant policy defined in the specific service, in units of segments of the virtual network.

이러한 Dynamic Perimeter 보안제어부(320)는, 가상 네트워크에 대하여 보안 기능을 제어하는 노드로서, VIM에 해당될 수 있고, 또는 VIM과 연동하는 별도의 노드일 수 있다.The dynamic perimeter security controller 320 is a node for controlling a security function for a virtual network, and may correspond to a VIM or may be a separate node linked with the VIM.

이상에서 설명한 바와 같이, 본 발명은, 네트워크 슬라이싱 기술에 따라 테넌트 정책을 기반으로 동적 구성되는 가상 네트워크의 각 세그먼트 별로, 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델) 하에서, 테넌트 정책을 기반으로 각 세그먼트의 동적 보안기능을 개별 제어하는 방식으로, 각 세그먼트 단위로 개별 보안을 적용함으로써, 네트워크 요소에 대한 접근성을 오픈하지 않을 수 있다.As described above, according to the present invention, network segmentation that implements a dynamic security function based on a specific security setting (All deny setting) for each segment of a virtual network dynamically configured based on a tenant policy according to a network slicing technique Under the structure (model), the dynamic security function of each segment is individually controlled based on the tenant policy, and individual security is applied to each segment, so that accessibility to the network element can be prevented.

특히, 네트워크 슬라이싱 기술에 따라 동적 구성되는 가상 네트워크의 각 세그먼트는 특성 상 다이나믹하게 변경될 수 있는데, 본 발명에서는 각 세그먼트 별로 동적 보안기능을 구현하기 때문에 이러한 세그먼트 변경 상황에도 유동적으로 대응할 수 있다.In particular, each segment of a virtual network that is dynamically configured according to the network slicing technique can be dynamically changed in characteristics. In the present invention, a dynamic security function is implemented for each segment, so that it can flexibly cope with such a segment change situation.

더 나아가, 본 발명은, 전술의 네트워크 격리 구조(모델) 하에서, 접근 주체에게 인증 시에만 필요한 최소한의 접속정보를 제공함으로써 네트워크 요소에 대한 가시성을 오픈하지 않을 수 있다.Furthermore, the present invention can not open the visibility to the network element by providing the access subject with minimum access information required only at the time of authentication under the network isolation structure (model) described above.

이처럼 본 발명은, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 기존의 일반적인 네트워크 보안 방식과 달리, 가상 네트워크의 각 세그먼트 별로 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델)을 기반으로, 가시성 및 접근성을 오픈하지 않고도 가상 네트워크 환경의 특성 즉 각 세그먼트가 다이나믹하게 변경될 수 있는 특성을 감안하여 유동적 대응이 가능하면서도 노출은 최소화하는 새로운 보안 제어 기술을 실현하고 있다.As described above, according to the present invention, unlike an existing general network security method that opens up visibility and accessibility to network elements, network isolation that implements a dynamic security function based on a specific deny setting for each segment of a virtual network Based on the structure (model), a new security control technology that minimizes exposure while allowing flexibility in response to the characteristics of the virtual network environment, that is, each segment can be dynamically changed without opening the visibility and accessibility, is realized have.

이에, 본 발명은, 기존의 일반적인 네트워크 보안 방식과 비교하면, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 우려되는 보안 취약점을 개선하여, 보안을 보다 강화시킬 수 있는 효과를 도출한다.Accordingly, the present invention provides a security vulnerability that may cause a denial of service attack on an application access port, a risk of losing control of a server due to a credential theft, connection hijacking, and APT / lateral movement exposure Thereby improving the security.

한편, 도 2에서는, 특정 서비스를 위해 구성하는 가상 네트워크로서, 일반적인 클라우드 서비스 형태(환경)의 코어컴퓨팅노드(200')를 구성한 경우로 설명하고 있다.On the other hand, FIG. 2 illustrates a case where a core computing node 200 'in a general cloud service type (environment) is configured as a virtual network configured for a specific service.

이와 다르게, 도 3에서는, 특정 서비스를 위해 구성하는 가상 네트워크로서, 분산형 클라우드 서비스 형태(환경)의 엣지컴퓨팅노드 및 코어컴퓨팅노드를 구성한 경우를 간략하게 도시하고 있다.Alternatively, FIG. 3 schematically shows a case where an edge computing node and a core computing node in a distributed cloud service type (environment) are configured as a virtual network configured for a specific service.

도 3에 도시된 바와 같이, 분산형 클라우드 서비스 형태(환경)로 가상 네트워크를 구성하는 경우 역시, 전술의 일반적인 클라우드 서비스 형태(환경)의 가상 네트워크를 구성하는 경우라 다르지 않게, 본 발명이 적용될 것이다.As shown in FIG. 3, in the case of configuring a virtual network in the form of a distributed cloud service (environment), the present invention is applied to the case of configuring a virtual network of the above-described general cloud service type (environment) .

간단히 설명하면, Dynamic 네트워크구성제어부(310)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 분산형 클라우드 서비스 형태(환경)로 구성하는 것으로 인지하고 서비스셋팅정보를 인지/기초하여 특정 서비스를 위한 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)를 구성할 것이다.The dynamic network configuration control unit 310 recognizes that the service is configured in a distributed cloud service type (environment) based on a tenant policy defined in a specific service, and recognizes / sets the service setting information for a specific service That is, the edge computing node 100 and the core computing nodes 200A and 200B.

이때, 도 3에서는 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)를 구성하는 과정을 구체적으로 설명 및 도시하지 않고, 간략하게 각 노드 별로 SDP G/W, FW, 나머지를 Resource Pool로 통칭하여 도시하였다.3, the process of configuring the virtual network, that is, the edge computing node 100 and the core computing nodes 200A and 200B is not specifically described and shown, but the SDP G / W, FW, Resource Pool.

그리고, Dynamic Perimeter 보안제어부(320)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, Dynamic 네트워크구성제어부(310)가 동적으로 구성된 가상 네트워크 즉 엣지컴퓨팅노드(100) 및 코어컴퓨팅노드(200A,B)의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.The dynamic perimeter security controller 320 controls the virtual network such as the edge computing node 100 and the core computing nodes 200A and 200B based on the tenant policy defined in the specific service, ) To control a dynamic security function implemented for each segment, thereby enabling individual security to be applied to a specific service in a segment unit of a virtual network.

이때 역시, 가상 네트워크 보안 장치(300)는, 본 발명에서 제안하는 보안 제어 기술(기법)을, 동적으로 가상 네트워크를 구성하여 실현되는 전술의 특정 서비스를 비롯한 각 데이터 서비스 단위 즉 테넌트 단위로 실현할 수 있고, 각 데이터 서비스에 대해 유저 단위로 실현할 수도 있다.At this time, the virtual network security device 300 can also realize the security control technique (technique) proposed in the present invention by each data service unit, that is, a tenant unit including the above-mentioned specific service realized by dynamically configuring a virtual network And may be realized for each data service on a user-by-user basis.

이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 가상 네트워크 보안 방법을 설명하겠다.Hereinafter, a virtual network security method according to a preferred embodiment of the present invention will be described with reference to FIG.

여기서, 설명의 편의를 위해 전술한 도 2에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Here, for convenience of explanation, the configuration shown in FIG. 2 will be described with reference to corresponding reference numerals.

본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스의 구현이 결정되면 특정 서비스에 정의된 테넌트 정책을 획득한다(S100).According to the virtual network security method of the present invention, when the implementation of a specific service is determined, the virtual network security device 300 acquires a tenant policy defined in a specific service (S100).

이에, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트 정책을 기반으로, 망 상의 물리적인 공통 네트워크 인프라에서 필요한 네트워크자원(Information Technology 자원)을 선택하고 선택한 네트워크자원을 이용하여 특정 서비스를 위한 가상 네트워크를 구성하게 된다(S110).Accordingly, according to the virtual network security method of the present invention, the virtual network security device 300 selects necessary network resources (Information Technology resources) in the physical common network infrastructure on the network based on the tenant policy defined in the specific service The selected network resource is used to configure a virtual network for a specific service (S110).

도 2를 참조하여 구체적으로 설명하면, 가상 네트워크 보안 장치(300)는, 특정 서비스에 정의된 테넌트 정책을 기반으로, 코어컴퓨팅노드(200')에서 고정 운영되는 특정 처리 기능의 프로세서(프로세싱 H/W)를 선택할 수 있다.2, the virtual network security apparatus 300 includes a processor (a processing H / W) of a specific processing function fixedly operated in the core computing node 200 'based on a tenant policy defined in a specific service, W) can be selected.

예컨대, 가상 네트워크 보안 장치(300)는, 도 2에 도시된 바와 같이, 처리 가속화를 위한 특정한 하드웨어칩(또는 카드, 또는 소자), 예를 들면 다수의 Virtual Swith(210)를 선택할 수 있다.For example, the virtual network security appliance 300 may select a particular hardware chip (or card, or device) for processing acceleration, e.g., multiple Virtual Swith 210, as shown in FIG.

또는, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에서 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)를 선택하고 선택한 프로세서(프로세싱 H/W)에 특정 처리 기능을 설정할 수 있다.Alternatively, the virtual network security device 300 may select a processor (processing H / W) as a hardware resource that can be dynamically operated in the core computing node 200 'and perform a specific processing function on the selected processor (processing H / W) Can be set.

예컨대, 가상 네트워크 보안 장치(300)는, 도 2에 도시된 바와 같이, 동적 운영될 수 있는 하드웨어 리소스로서의 프로세서(프로세싱 H/W)들(210)을 선택하고, 선택한 프로세서(프로세싱 H/W)들(210)에 처리 가속화를 위한 Virtual Swith가 갖는 기능을 설정할 수 있다.For example, the virtual network security apparatus 300 selects a processor (processing H / W) 210 as a hardware resource that can be dynamically operated, selects a processor (processing H / W) The function of the virtual swith for accelerating the processing can be set in the memory 210. [

그리고, 가상 네트워크 보안 장치(300)는, 하드웨어 리소스 즉 Virtual Swith(210) 상에서 동작하게 될 소프트웨어 기능을 설정함으로써, 특정 서비스를 위한 가상 네트워크를 구성할 수 있다. The virtual network security apparatus 300 can configure a virtual network for a specific service by setting a software function to be operated on a hardware resource, that is, a Virtual Swith 210.

예를 들면, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에 특정 서비스를 위한 네트워크 기능 및 스토리지(220)을 할당한다.For example, the virtual network security appliance 300 allocates network functions and storage 220 for a particular service to the core computing node 200 '.

즉, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')가 특정 서비스를 제공하기 위한 네트워크 통신이 가능하도록 하는 네트워크 기능과, 네트워크 통신 및 자신의 저장소와의 연동을 지원하는 스토리지 기능을, 할당하는 것이다.That is, the virtual network security apparatus 300 includes a network function for allowing the core computing node 200 'to perform network communication for providing a specific service, a storage function for supporting network communication and interworking with its own storage .

그리고, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에, 선택(및 설정)한 하드웨어 리소스 즉 Virtual Swith(210) 상에서 네트워크 기능 및 스토리지(220)를 활용하여 동작하게 될 소프트웨어 기능을 설치한다.The virtual network security apparatus 300 further includes a software function to be operated using the network function and the storage 220 on the selected (and set) hardware resource, that is, the Virtual Swith 210, .

구체적으로, 가상 네트워크 보안 장치(300)는, 코어컴퓨팅노드(200')에, 네트워크자원(210) 즉 하드웨어 리소스 상에서 네트워크 기능 및 스토리지(230)를 활용하여 동작하게 될 소프트웨어 기능(230)을 설치할 수 있다.In particular, the virtual network security appliance 300 may be configured to provide the core computing node 200 'with a network function 210, that is, a network function on the hardware resource, and a software function 230 to operate using the storage 230 .

그리고, 가상 네트워크 보안 장치(300)는, 테넌트 정책을 기반으로, 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정할 수 있다.The virtual network security apparatus 300 can set a data path between segments according to a plurality of service functions provided by a specific service based on a tenant policy.

그리고, 가상 네트워크 보안 장치(300)는, 각 세그먼트 별로, 동적 보안기능(240)을 구현할 수 있다.The virtual network security device 300 may implement the dynamic security function 240 for each segment.

이렇게, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원(즉 하드웨어/소프트웨어 리소스)를 이용하여 특정 서비스를 위한 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성할 수 있다.In this way, according to the virtual network security method of the present invention, the virtual network security device 300 can securely access the network resources (i.e., hardware / software resources) selected on the network based on the tenants policy defined in the specific service The core computing node 200 'can be configured.

그리고, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 각 세그먼트 별로 구현된 동적 보안기능(240)에 대하여 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 설정한다(S120).According to the virtual network security method of the present invention, the virtual network security device 300 sets a specific security setting (All deny setting) to block all accesses to the dynamic security function 240 implemented for each segment (S120).

이렇게 되면, 각 세그먼트에 구현되는 동적 보안기능은, 모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 후술의 보안 제어에 따라 특정 접근에 대해서만 접근을 허용한다.In this case, the dynamic security function implemented in each segment is based on an all deny setting that blocks all accesses, and allows access only to a specific access according to the security control described later.

일 예를 들면, 도 2에 도시된 바와 같이, 가상 네트워크를 구성하는 소프트웨어 리소스 즉 FW, LB, Service에 해당하는 각 세그먼트에는, FW의 경우 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 나머지 LB, Service 각각의 경우 SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다. For example, as shown in FIG. 2, in each segment corresponding to software resources constituting a virtual network, that is, FW, LB, and Service, a dynamic security function is provided in the form of SDP (Soft Defined Perimeter) , And the dynamic security function can be implemented in the form of an SDP enabled kernel to which SDP is applied in the case of the remaining LB and Service.

다른 예로, 가상 네트워크를 구성하는 소프트웨어 리소스의 접근 경로 가장 앞단에 SDP(Soft Defined Perimeter) G/W 형태로 동적 보안기능을 구현하고, 소프트웨어 리소스 내 FW, LB, Service에 해당하는 각 세그먼트에는, SDP가 적용된 SDP Enabled kernel 형태로 동적 보안기능을 구현할 수 있다.As another example, a dynamic security function is implemented in the form of SDP (Soft Defined Perimeter) G / W in front of an access path of a software resource constituting a virtual network, and each segment corresponding to FW, LB, Can be implemented as an SDP Enabled kernel.

이러한 동적 보안기능은, 가상 네트워크 즉 코어컴퓨팅노드(200')를 구성하는 각 세그먼트 마다, 각기 해당 세그먼트에 적합한 기법(또는 형태)로 구현될 수 있으며, 그 구현 기법에 제한을 두지 않는다.This dynamic security function can be implemented in a technique (or a form) suitable for each segment of the virtual network, that is, each segment constituting the core computing node 200 ', and does not limit the implementation technique.

그리고, 본 발명의 가상 네트워크 보안 방법에 따르면, 가상 네트워크 보안 장치(300)는 특정 서비스에 정의된 테넌트 정책을 기반으로, 앞서 동적으로 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 한다.In addition, according to the virtual network security method of the present invention, the virtual network security apparatus 300 may be configured to perform a security policy based on a tenant policy defined in a specific service, The dynamic security function is controlled so that individual security can be applied to a specific service in a segment unit of a virtual network.

보다 구체적으로 설명하면, 예컨대 특정 서비스에 정의된 테넌트 정책에는, 앞서 설명한 서비스셋팅정보 외에도, 테넌트 별/유저 별로 접근을 허용/제한하는데 필요한 모든 정보(이하, 보안제어정보)가 정의될 수 있다.More specifically, for example, in addition to the service setting information described above, all the information (hereinafter, security control information) necessary for allowing / limiting access by each tenant / user can be defined in a tenant policy defined in a specific service.

이하에서는, 설명의 편의 상, 테넌트 정책에 유저 별 보안제어정보가 정의된 경우로 가정하여 설명하겠다.Hereinafter, for convenience of explanation, it will be assumed that security control information for each user is defined in the tenant policy.

이 경우, 특정 서비스에 정의된 테넌트 정책, 보다 정확히는 앞서 설명한 유저 별 보안제어정보에는, 접근권한의 레벨 별로 특정 서비스에서 제공하는 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 정보가 포함될 것이다.In this case, the tenant policy defined in the specific service, or more precisely, the security control information for each user described above, will include information for differently allowing access to each of a plurality of service functions provided by a specific service by level of access authority.

예를 들면, 접근권한의 레벨을 상/중/하로 가정할 경우, 접근권한 상 레벨의 접근 주체에게는 특정 서비스에서 제공하는 다수의 서비스 모두에 대한 접근을 허용(특정 서비스로의 모든 접속 허용)하고, 접근권한 중 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능에 대한 접근 만을 허용하고, 접근권한 하 레벨의 접근 구체에게는 특정 서비스에서 제공하는 다수의 서비스 중 정보 정보 열람/검색과 관련된 서비스 기능에 대한 접근 만을 허용할 수 있다.For example, assuming that the level of access authority is upper / lower / lower, the access level upper level access subject is allowed to access all of a plurality of services provided by a specific service (all access to a specific service is permitted) , The access level of the access right level is allowed to access only the remaining service functions except for the service function related to the information deletion / modification among the plurality of services provided by the specific service, and the access level of the access level is provided to the specific service Only access to service functions related to information information retrieval / retrieval among a plurality of services can be permitted.

이 경우, 가상 네트워크 보안 장치(300)는, 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공한다.In this case, the virtual network security device 300 transmits to the virtual network access device 300 a connection necessary for access to a specific service function that allows the access subject authorized for the specific service to access the level of the access right granted to the access subject among the plurality of service functions Provide information only.

접근 주체로서 사용자의 단말(10)을 언급하여 예를 들면, 가상 네트워크 보안 장치(300)는 특정 서비스에 접근을 시도하는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공할 수 있다(S140).The virtual network security apparatus 300 refers to the terminal 10 of the user as the accessing entity and only when the virtual network security apparatus 300 performs the general authentication procedure for the terminal 10 attempting to access the specific service, (S140), only the access information necessary for connection to the specific service function that allows access to the level of the access right granted to the user 10 is permitted.

예를 들어, 단말(10)이 접근권한 중 레벨인 경우라면, 가상 네트워크 보안 장치(300)는 단말(10)에 대해 제반의 인증절차를 수행하여 인증된 경우에만, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)으로의 접속에 필요한 접속정보 만을 제공할 수 있다.For example, if the terminal 10 is at the middle access level, the virtual network security apparatus 300 may perform the authentication process for the terminal 10, It is possible to provide only the access information necessary for connection to a specific service function (access to service functions other than the service function related to information deletion / modification) allowing access to the middle level of authority.

이렇게 되면, 본 발명에서 제안하는 보안 제어 기술(기법)의 경우, 접근 주체에게 인증 시에만 필요한 최소한의 접속정보를 제공하는 방식으로 가시성을 제공함으로써, 불특정 주체에게 네트워크 요소에 대한 가시성을 오픈하지 않을 수 있다.In this case, in the case of the security control technique (technique) proposed by the present invention, visibility is provided in such a manner that the access subject is provided with the minimum access information required only at the time of authentication, so that the visibility of the network element is not opened to the non- .

그리고, 가상 네트워크 보안 장치(300)는 단말(10)에게 접속정보를 제공하게 되면, 특정 서비스를 위해 구성된 가상 네트워크 즉 코어컴퓨팅노드(200')의 세그먼트 중, 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 단말(10)로부터의 접근에 대해서 접근을 허용하도록 하는 한다(S150).When providing the access information to the terminal 10, the virtual network security device 300 sets a data path of a specific service function among the segments of the virtual network configured for the specific service, that is, the core computing node 200 ' Only the dynamic security function implemented in the segment is controlled so that access from the terminal 10 is permitted (S150).

예컨대, 가상 네트워크 보안 장치(300)는 세그먼트 별로 구현된 동적 보안기능(240)에서, 단말(10)에게 부여한 접근권한의 중 레벨에 접근 허용하는 특정 서비스 기능(정보 삭제/변경과 관련된 서비스 기능을 제외한 나머지 서비스 기능)의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능의 보안설정 만을 제어하여, 단말(10)로부터의 접근에 대해서 pin hole을 열어 접근을 허용하도록 하는 것이다.For example, in the dynamic security function 240 implemented for each segment, the virtual network security apparatus 300 may include a service function (information function related to information deletion / modification) that permits access to the middle level of the access authority granted to the terminal 10 Only the security setting of the dynamic security function implemented in the segment for setting the data path of the service function (the remaining service functions except for the service function) is opened, and the access from the terminal 10 is allowed by opening the pin hole.

이렇게 되면, 본 발명에서 제안하는 보안 제어 기술(기법)의 경우, 네트워크 슬라이싱 기술에 따라 테넌트 정책을 기반으로 동적 구성되는 가상 네트워크의 각 세그먼트 별로, 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델) 하에서, 테넌트 정책을 기반으로 각 세그먼트의 동적 보안기능을 개별 제어하는 방식으로, 각 세그먼트 단위로 개별 보안을 적용함으로써, 네트워크 요소에 대한 접근성을 불특정 주체에 오픈하지 않고 제한적으로 접근성을 제공할 수 있다.In this case, in the case of the security control technology (technique) proposed in the present invention, dynamic control is performed for each segment of a virtual network dynamically configured based on a tenant policy according to a network slicing technique, Under the network isolation structure (model) that implements the security function, the dynamic security function of each segment is individually controlled based on the tenant policy. By applying individual security to each segment, the accessibility to the network element can be applied to the unspecified subject You can provide limited accessibility without opening.

특히, 네트워크 슬라이싱 기술에 따라 동적 구성되는 가상 네트워크의 각 세그먼트는 특성 상 다이나믹하게 변경될 수 있는데, 본 발명에서는 각 세그먼트 별로 동적 보안기능을 구현하기 때문에 이러한 세그먼트 변경 상황에도 유동적으로 대응할 수 있다.In particular, each segment of a virtual network that is dynamically configured according to the network slicing technique can be dynamically changed in characteristics. In the present invention, a dynamic security function is implemented for each segment, so that it can flexibly cope with such a segment change situation.

이상에서 설명한 바와 같이, 본 발명에 따르면, 네트워크 요소에 대한 가시성과 접근성을 오픈하는 기존의 일반적인 네트워크 보안 방식과 달리, 가상 네트워크의 각 세그먼트 별로 특정 보안설정(All deny setting)을 기본으로 하는 동적 보안기능을 구현하는 네트워크 격리 구조(모델)을 기반으로, 가시성 및 접근성을 오픈하지 않고도 가상 네트워크 환경의 특성 즉 각 세그먼트가 다이나믹하게 변경될 수 있는 특성을 감안하여 유동적 대응이 가능하면서도 노출은 최소화하는 새로운 보안 제어 기술을 실현하고 있다.As described above, according to the present invention, unlike an existing general network security method that opens up visibility and accessibility to a network element, dynamic security that is based on a specific deny setting for each segment of a virtual network Based on the network isolation structure (model) that implements the function, it is possible to create a new virtual network environment that minimizes the exposure while minimizing the exposure while allowing flexibility in response to the characteristic of the virtual network environment, that is, each segment can be dynamically changed without opening the visibility and accessibility. Security control technology is realized.

이에, 본 발명은, 기존의 일반적인 네트워크 보안 방식과 비교하면, Application 접속 포트에 대한 Denial of Service 공격 노출, Credential 도난에 의한 서버 제어권 상실 위험, Connection Hijacking, APT/Lateral Movement 노출 등 우려되는 보안 취약점을 개선하여, 보안을 보다 강화시킬 수 있는 효과를 도출한다.Accordingly, the present invention provides a security vulnerability that may cause a denial of service attack on an application access port, a risk of losing control of a server due to a credential theft, connection hijacking, and APT / lateral movement exposure Thereby improving the security.

본 발명의 실시예에 따른 가상 네트워크 보안 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The virtual network security method according to an exemplary embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

본 발명에 따른 가상 네트워크 보안 장치 및 가상 네트워크 보안 방법에 의하면, 망 상에서 공통 네트워크 인프라를 사용하여 동적으로 구성/변경되는 가상 네트워크 환경의 특성을 감안하여, 보안 취약점을 개선하고 보안을 보다 강화시킬 수 있는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the virtual network security apparatus and the virtual network security method of the present invention, it is possible to improve the security vulnerability and enhance the security by considering the characteristics of the virtual network environment that is dynamically configured / changed using the common network infrastructure on the network It is not only the use of the related technology but also the possibility of commercialization or operation of the applied device as well as the possibility of being practically possible, .

10: 단말
100 : 엣지컴퓨팅노드
200 : 코어컴퓨팅노드
300 : 가상 네트워크 보안 장치10: Terminal
100: Edge Computing Node
200: Core Computing Node
300: Virtual network security device

Claims (9)

특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성제어부; 및
상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어부를 포함하는 것을 특징으로 하는 가상 네트워크 보안 장치.A network configuration controller configured to configure a virtual network for the specific service using network resources selected on the network based on a tenants policy defined in the specific service; And
And a network security controller for controlling a dynamic security function implemented for each segment of the virtual network on the basis of the tenant policy and applying individual security for each specific segment of the virtual network to the specific service Virtual network security device. 제 1 항에 있어서,
상기 가상 네트워크는,
상기 특정 서비스에 대하여 클라우드 서비스를 제공하는 코어컴퓨팅노드와, 상기 클라우드 서비스를 상기 코어컴퓨팅노드와 분산 제공하는 엣지컴퓨팅노드를 포함하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method according to claim 1,
The virtual network includes:
A core computing node providing a cloud service for the specific service; and an edge computing node distributing the cloud service to the core computing node. 제 1 항에 있어서,
상기 동적 보안기능은,
모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어부의 제어에 따라 특정 접근에 대해서만 접근을 허용하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method according to claim 1,
The dynamic security function includes:
Wherein all accesses are blocked based on a specific security setting (All deny setting), and access is permitted only to a specific access according to the control of the network security control unit. 제 1 항에 있어서,
상기 네트워크보안제어부는,
상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method according to claim 1,
The network security control unit,
Providing access information required for connection to the specific service to an access subject authorized for the specific service,
Wherein the control unit controls the dynamic security function implemented for each segment of the virtual network configured for the specific service to permit access to the access from the access subject. 제 1 항에 있어서,
상기 테넌트 정책은,
상기 특정 서비스에서 제공하는 다수의 서비스 기능 별로 각 세그먼트 간 데이터 경로를 설정하여 가상 네트워크를 구성하도록 하며,
접근 주체에 부여되는 접근권한의 레벨 별로 상기 다수의 서비스 기능 각각에 대한 접근을 상이하게 허용하는 것을 특징으로 하는 가상 네트워크 보안 장치.The method according to claim 1,
The tenant policy includes:
A data path between each segment is set for each of a plurality of service functions provided by the specific service to configure a virtual network,
Wherein the access control unit permits access to each of the plurality of service functions differently according to the level of access authority given to the access subject. 제 5 항에 있어서,
상기 네트워크보안제어부는,
상기 특정 서비스에 대하여 인증된 접근 주체에게, 상기 다수의 서비스 기능 중 상기 접근 주체에게 부여한 접근권한의 레벨에 접근 허용하는 특정 서비스 기능으로의 접속에 필요한 접속정보 만을 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 중, 상기 특정 서비스 기능의 데이터 경로를 설정하는 세그먼트에 구현된 동적 보안기능 만을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 장치.6. The method of claim 5,
The network security control unit,
Providing only the access information required for access to the specific service function that allows the access subject authorized for the specific service to access the level of the access right granted to the access subject among the plurality of service functions,
Wherein only the dynamic security function implemented in the segment for setting the data path of the specific service function among the segments of the virtual network configured for the specific service is controlled to permit access to the access from the access subject Virtual network security device. 특정 서비스에 정의된 테넌트(tenants) 정책을 기반으로, 망 상에서 선택한 네트워크자원을 이용하여 상기 특정 서비스를 위한 가상 네트워크를 구성하는 네트워크구성단계; 및
상기 테넌트 정책을 기반으로 상기 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 특정 서비스에 대하여 가상 네트워크의 세그먼트 단위로 개별 보안을 적용할 수 있게 하는 네트워크보안제어단계를 포함하는 것을 특징으로 하는 가상 네트워크 보안 방법.A network configuration step of configuring a virtual network for the specific service using network resources selected on the network based on a tenants policy defined in the specific service; And
And controlling a dynamic security function implemented for each segment of the virtual network based on the tenant policy so that individual security can be applied to the specific service in units of segments of the virtual network. How to secure a virtual network. 제 7 항에 있어서,
상기 동적 보안기능은,
모든 접근을 차단하는 특정 보안설정(All deny setting)을 기본으로 하며, 상기 네트워크보안제어단계에서의 제어에 따라 특정 접근에 대해서만 접근을 허용하는 것을 특징으로 하는 가상 네트워크 보안 방법.8. The method of claim 7,
The dynamic security function includes:
Wherein all accesses are blocked based on an all deny setting, and access is permitted only to a specific access according to the control in the network security control step. 제 7 항에 있어서,
상기 네트워크보안제어단계는,
상기 특정 서비스에 대하여 인증된 접근 주체에게 상기 특정 서비스로의 접속에 필요한 접속정보를 제공하고,
상기 특정 서비스를 위해 구성된 가상 네트워크의 세그먼트 별로 구현된 동적 보안기능을 제어하여, 상기 접근 주체로부터의 접근에 대해서 접근을 허용하도록 하는 것을 특징으로 하는 가상 네트워크 보안 방법.8. The method of claim 7,
The network security control step includes:
Providing access information required for connection to the specific service to an access subject authorized for the specific service,
Wherein the control unit controls the dynamic security function implemented for each segment of the virtual network configured for the specific service to allow access from the accessing entity.
KR1020170131664A 2017-10-11 2017-10-11 Security device and method for virtual network KR102030764B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170131664A KR102030764B1 (en) 2017-10-11 2017-10-11 Security device and method for virtual network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170131664A KR102030764B1 (en) 2017-10-11 2017-10-11 Security device and method for virtual network

Publications (2)

Publication Number Publication Date
KR20190040834A true KR20190040834A (en) 2019-04-19
KR102030764B1 KR102030764B1 (en) 2019-10-10

Family

ID=66283484

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170131664A KR102030764B1 (en) 2017-10-11 2017-10-11 Security device and method for virtual network

Country Status (1)

Country Link
KR (1) KR102030764B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110300159A (en) * 2019-06-10 2019-10-01 华侨大学 A kind of sensing cloud data safety low cost storage method based on edge calculations
KR20230001582A (en) * 2021-06-28 2023-01-05 주식회사 이수시스템 Hr content multi-tenant support methods utilizing intermediate language interpreting and computer programs stored in recording media for executing the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102319089B1 (en) 2020-11-02 2021-10-29 주식회사 윈스 Apparatus and method for traffic security processing in 5g mobile edge computing slicing service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130085474A (en) * 2011-12-06 2013-07-30 한국전자통신연구원 System and method for access control of device and service source between in home network middleware
KR20160012251A (en) * 2013-06-24 2016-02-02 브이엠웨어, 인코포레이티드 System and Method for Distribution of Policy Enforcement Point

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130085474A (en) * 2011-12-06 2013-07-30 한국전자통신연구원 System and method for access control of device and service source between in home network middleware
KR20160012251A (en) * 2013-06-24 2016-02-02 브이엠웨어, 인코포레이티드 System and Method for Distribution of Policy Enforcement Point

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110300159A (en) * 2019-06-10 2019-10-01 华侨大学 A kind of sensing cloud data safety low cost storage method based on edge calculations
CN110300159B (en) * 2019-06-10 2021-08-31 华侨大学 Sensing cloud data safe low-cost storage method based on edge computing
KR20230001582A (en) * 2021-06-28 2023-01-05 주식회사 이수시스템 Hr content multi-tenant support methods utilizing intermediate language interpreting and computer programs stored in recording media for executing the same

Also Published As

Publication number Publication date
KR102030764B1 (en) 2019-10-10

Similar Documents

Publication Publication Date Title
US11290346B2 (en) Providing mobile device management functionalities
US11575712B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
CA3073086C (en) Extending single-sign-on to relying parties of federated logon providers
US10713087B2 (en) Management of unmanaged user accounts and tasks in a multi-account mobile application
US11755349B2 (en) Secure digital workspace using machine learning and microsegmentation
EP3058502B1 (en) Secure client drive mapping and file storage system for mobile device management type security
JP4907603B2 (en) Access control system and access control method
US10397352B2 (en) Network infrastructure management
US8365294B2 (en) Hardware platform authentication and multi-platform validation
US10992642B2 (en) Document isolation
KR20170062529A (en) Fast smart card logon and federated full domain logon
US9686237B2 (en) Secure communication channel using a blade server
KR20160005112A (en) Mobile device locking with context
US20190020659A1 (en) Role-based access control with feature-level granularity
CN109413080B (en) Cross-domain dynamic authority control method and system
KR102030764B1 (en) Security device and method for virtual network
WO2015102608A2 (en) Providing mobile device management functionalities
US11681378B2 (en) Automated keyboard mapping for virtual desktops
CN111083088B (en) Cloud platform hierarchical management method and device based on multiple security domains
US11271899B2 (en) Implementing a multi-regional cloud based network using network address translation
US11385946B2 (en) Real-time file system event mapping to cloud events
US20230421549A1 (en) Secure scalable bi-directional command and control across networks
US20220400021A1 (en) Network multi-tenant architecture for distributed ledger systems
KR102214162B1 (en) A user-based object access control system using server's hooking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant