KR20210096687A - 클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법 - Google Patents

클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20210096687A
KR20210096687A KR1020217023564A KR20217023564A KR20210096687A KR 20210096687 A KR20210096687 A KR 20210096687A KR 1020217023564 A KR1020217023564 A KR 1020217023564A KR 20217023564 A KR20217023564 A KR 20217023564A KR 20210096687 A KR20210096687 A KR 20210096687A
Authority
KR
South Korea
Prior art keywords
cloud
cloud environment
data set
control
plane
Prior art date
Application number
KR1020217023564A
Other languages
English (en)
Inventor
조 베이커
리안 플레스너
댄 와이스
닉 굿윈
로라 하이덕
다니엘 키르쉬
Original Assignee
쓰레트 스택, 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 쓰레트 스택, 인코퍼레이티드 filed Critical 쓰레트 스택, 인코퍼레이티드
Publication of KR20210096687A publication Critical patent/KR20210096687A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

클라우드-기반 제어-평면-이벤트 모니터링 방법은 제1 클라우드 환경 및 제2 클라우드 환경과 연관된 클라우드-기반 요소로부터 제어-평면 이벤트를 수신하는 단계를 포함한다. 수신된 제어-평면 이벤트는 제1 클라우드 환경 및 제2 클라우드 환경과 연관된 클라우드-기반 요소로부터 입수되어 제1 클라우드 환경 및 제2 클라우드 환경과 연관된 클라우드-기반 요소로부터의 제어-평면 이벤트로부터 다중-소스 데이터 세트를 생성한다. 그 후, 다중-소스 데이터 세트는 공통 이벤트 데이터 세트를 생성하기 위해 제1 클라우드 환경 및 제2 클라우드 환경의 속성에 기초하여 평가된다. 그 후, 공통 이벤트 데이터 세트는 결과를 생성하기 위해 규칙 세트를 사용하여 프로세싱된다.

Description

클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법
본원에서 사용되는 섹션 표제는 편제의 목적일 뿐이며, 어떠한 방식으로든 본 출원에 설명되는 주제를 제한하는 것으로 해석되어서는 안된다.
관련 출원 섹션
본 출원은 2018년 12월 24일자로 출원되고 발명의 명칭이 "클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법"인 동시 계류 중인 미국 가특허 출원 제62/784,643호의 정규 출원이다. 미국 특허 출원 제62/784,643호의 전체 내용은 참조로 본원에 통합된다.
도입
데이터 및 소프트웨어 어플리케이션의 클라우드로의 이동은 컴퓨터 시스템이 소프트웨어 어플리케이션 및 서비스를 사용자에게 제공하는 방식을 근본적으로 변화시켰다. 예를 들어, 통상의 기업 네트워크의 네트워크 에지가 가상 경계로 대체되어, 컴퓨터가 정보를 프로세싱하는 방식과 데이터가 컴퓨터에 의해 액세스되는 방식을 변화시켰다. 그 결과, 하드웨어 보안 어플라이언스 및 네트워크 가시성 디바이스가 통상적으로 배치되었던 진입 및 진출 지점이 제거되었다. 클라우드에서의 기본 프로세싱 아키텍처가 다를 뿐만 아니라, 클라우드에서의 프로세스, 어플리케이션 및 서비스의 규모 및 성장 모델도 다르다. 예를 들어, 클라우드-기반 컴퓨터 시스템 자원은 매우 빠른 시간 스케일로 확장 및 축소될 수 있다. 또한 클라우드-기반 컴퓨터 시스템은 고도로 분산될 수 있으므로 이벤트를 추적하고 정확하게 시퀀싱하는 것이 상당히 더 어렵다. 또한, 보안 및 취약성 위협 모델은 또한 고정된 인프라스트럭처 기업 네트워크와 비교할 때 클라우드-기반 컴퓨터 시스템에서 필연적으로 다르다. 따라서, 클라우드 상에서 네트워크화된 정보와 시스템을 모니터링하고 보호하는 통상의 방법과 시스템은 더 이상 적합하지 않다.
바람직하고 예시적인 실시예에 따른 본 교시는 추가 이점과 함께 첨부된 도면과 함께 취해진 이하의 상세한 설명에서 더욱 구체적으로 설명된다. 본 기술 분야의 통상의 기술자는 이하에 설명되는 도면이 단지 예시적인 목적을 위한 것임을 이해할 것이다. 도면은 반드시 축적대로는 아니며, 대신 일반적으로 본 교시의 원리를 예시하는 데 중점을 둔다. 도면은 어떠한 방식으로든 출원인의 교시의 범위를 제한하는 것으로 의도되지 않는다.
도 1은 본 교시에 따른 제어 평면(control plane) 이벤트 데이터를 모니터링하는 방법의 실시예의 단계를 나타낸다.
도 2는 본 교시에 따른 제어 평면 이벤트 데이터를 모니터링하는 시스템의 실시예의 블록도를 나타낸다.
도 3은 본 교시에 따른 다중 클라우드 스택을 포함하는 제어-평면 이벤트 모니터링 시스템의 실시예를 나타낸다.
도 4는 본 교시에 따른 다중 클라우드-기반 도구 및 서비스를 포함하는 클라우드 스택을 포함하는 제어-평면 이벤트 모니터링 시스템의 실시예를 나타낸다.
도 5는 2개의 상이한 클라우드 서비스 공급자로부터의 클라우드 자원을 포함하는 인프라스트럭처를 실행하는 안전한 클라우드-기반 환경을 나타낸다.
도 6a는 본 교시에 따른 제어-평면 이벤트 모니터링 프로세서의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경을 포함하는 클라우드 인프라스트럭처에 대한 공격의 지점을 나타낸다.
도 6b는 도 6a과 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제2 지점을 나타낸다.
도 6c는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제3 지점을 나타낸다.
도 6d는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제4 지점을 나타낸다.
도 6e는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제5 지점을 나타낸다.
이제 첨부 도면에 나타낸 바와 같은 예시적인 실시예를 참조하여 본 교시가 더욱 상세히 설명될 것이다. 본 교시가 다양한 실시예 및 예와 함께 설명되지만, 본 교시가 이러한 실시예로 제한되는 것으로 의도되지는 않는다. 반대로, 본 교시는 본 기술 분야의 통상의 기술자에 의해 이해되는 바와 같이, 다양한 대안, 수정 및 균등물을 포함한다. 본원의 교시에 접근하는 본 기술 분야의 통상의 기술자는 본원에 설명된 바와 같이 본 개시의 범위 내에 있는 다른 사용 분야뿐만 아니라 추가 구현, 수정 및 실시예를 인식할 것이다.
명세서에서 "일 실시예" 또는 "실시예"에 대한 언급은 실시예와 관련하여 설명되는 특정의 특징, 구조 또는 특성이 본 교시의 적어도 하나의 실시예에 포함된다는 것을 의미한다. 명세서의 다양한 곳에서 "일 실시예에서"라는 문구의 출현은 반드시 모두 동일한 실시예를 지칭하는 것은 아니다.
본 교시의 방법의 개별 단계는 본 교시가 동작 가능하게 유지되는 한 임의의 순서로 및/또는 동시에 수행될 수 있음을 이해해야 한다. 또한, 본 교시의 장치 및 방법은 본 교시가 동작 가능하게 유지되는 한 임의의 수 또는 모든 설명된 실시예를 포함할 수 있음을 이해해야 한다.
클라우드 인프라스트럭처에 대한 증가하는 의존도는 많은 조직이 그들의 클라우드-기반 인프라스트럭처를 구성하기 위해 복수의 클라우드 공급자로부터의 클라우드 자원을 활용한다는 것을 의미한다. 따라서, 클라우드-기반 인프라스트럭처 상에서 실행되는 컴퓨팅 시스템 및 서비스의 무결성은 인프라스트럭처가 복수의 서비스 공급자를 포함하는 경우에도 보장되어야 한다.
또한, 민감한 데이터가 상주하고 인프라스트럭처의 다른 부분은 보안되지 않거나 모니터링되는 경우에만 컴퓨터 보안 자원을 할당하는 것은 충분하지 않다. 이 접근법은 악의적인 행위자에 의해 악용될 수 있는 민감한 데이터에 대한 덜 명확한 경로를 간과한다. 전체 인프라스트럭처를 모니터링하는 것은 공격을 조기에 검출할 가능성을 높이고 특히 시스템 에지에서 정찰을 검출하는 것이 점점 어려워질 때 조사 시간을 감소시킨다. 공격자는 항상 많은 양의 데이터를 찾기보다는 종종 소량의 매우 구체적인 데이터를 찾기 때문에, 이러한 위협이 검출되지 않을 수 있다. 데이터는 악의적인 행위자에 의해 복사 및 붙여 넣기 또는 심지어 스크린샷 촬영에 의해 추출될 수 있다. 따라서, 단지 파일 자체에 대한 변경이 아니라 파일 내의 데이터에 대한 액세스 모니터링을 포함하여 복수의 계층의 모니터링 및 후속 위협 검출을 추가하는 것이 중요하다.
따라서, 클라우드를 위해 클라우드-기반 정보 시스템을 위해 특별히 구축된 새로운 모니터링 및 보안 시스템 및 방법이 필요하다. 신용 카드 프로세싱, 금융 거래, 기업 지배 구조(corporate governance), 컨텐츠 전달, 헬스 케어 및 기업 네트워크 보안을 포함하여 클라우드를 사용하는 많은 어플리케이션은 디지털 데이터의 모니터링 및 보호뿐만 아니라 해당 데이터 프로세싱의 무결성에 대한 보장을 필요로 한다. 결제 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard: PCI DSS), 건강 보험 양도 및 책임에 관한 법률(Health Insurance Portability and Accountability Act: HIPAA), 서비스 조직 통제(Service Organization Controls: SOC), 정보 보안 관리에 대한 국제 표준화 기구 표준(ISO 27001), 디지털 권한 관리(Digital Rights Management: DRM) 및 사베인즈-옥슬리 법(Sarbanes-Oxley: SOX)과 같은 규정, 보고 및 표준 준수는 모두 데이터의 신중하고 추적 가능한 책임뿐만 아니라 편리한 데이터 프로세싱 및 데이터에 대한 액세스를 요구한다.
본 교시에 따른 클라우드-기반 제어-평면-이벤트 모니터링 시스템 및 방법의 일부 실시예는 침입, 이상, 취약성, 경향, 잘못된 구성 및 호스트와 인프라스트럭처 제어 평면에 걸친 다른 항목에 대해 클라우드, 다중-클라우드, 하이브리드 및 컨테이너화된 인프라스트럭처를 모니터링하는 데 사용된다. 하나의 핵심적인 특징은 시스템이 모니터링되는 클라우드-기반 인프라스트럭처의 일부인 2개의 상이한 클라우드 환경에 걸쳐 동작하거나 지속되는 통상적인 위협을 모니터링할 수 있다는 것이다. 하나의 이유로, 상이한 인프라스트럭처에 의한 다양한 이벤트의 보고의 이벤트 및 방법은 균일하지 않으므로, 알려진 모니터링 시스템에 대해 이러한 다중-클라우드 동작의 검출은 가능하지 않다. 이와 같이, 결론적인 정책 위반 또는 경보 트리거를 생성하기 위해 상이한 클라우드 환경으로부터 수신된 이벤트를 직접 상관, 프로세싱, 비교 및/또는 카테고리화하는 것은 가능하지 않다. 본 교시의 방법 및 시스템은 정책 위반 및/또는 경보가 생성될 수 있도록 하나 초과의 클라우드 환경으로부터 수신된 제어 평면 이벤트를 수집, 입수 및 정규화한다. 본 교시의 방법 및 시스템은 또한 정책 위반 및/또는 경보에 기초하는 프로세스에 대한 변경 및 인프라스트럭처의 재구성을 포함하는 액션을 생성할 수 있다.
따라서, 클라우드-기반 시스템은 예를 들어, 복수의 서비스 공급자에 걸쳐 확장되는 인프라스트럭처 및/또는 단일 서비스 공급자 내에 상이한 플랫폼을 포함하는 인프라스트럭처를 포함하여 복수의 도메인에 걸쳐 확장되는 클라우드-기반 인프라스트럭처를 모니터링할 수 있는 방법 및 시스템을 모니터링하는 것이 매우 바람직하다.
본원에 사용되는 도메인은 공통 제어 평면을 공유하는 클라우드-기반 요소의 세트이다. 모니터링 시스템은 예를 들어, 역할 및/또는 개별 사용자에 기초하여 이벤트의 시간 시퀀스 추적, 사용자 추적 및 파일 시스템에 대한 액세스 추적을 포함하여 다양한 기능을 제공할 수 있다. 모니터링 시스템은 또한 클라우드의 가상 자원에 걸쳐 이전할 때, 특정 어플리케이션, 시스템 또는 프로세스의 추적 인스턴스를 제공할 수 있다.
본원에서 사용되는 "클라우드-기반 요소"라는 용어는 클라우드에서 사용되는 하드웨어, 소프트웨어 및 하드웨어와 소프트웨어의 조합을 지칭할 수 있다. 예를 들어, 클라우드-기반 요소는 클라우드-기반 하드웨어 상에서 실행되는 소프트웨어를 지칭할 수 있다. 클라우드-기반 요소는 또한 클라우드에 위치된 하드웨어 디바이스를 지칭할 수 있다. 클라우드-기반 요소는 또한 가상 머신 또는 다른 가상 컴퓨팅 동작을 지칭할 수 있다. 클라우드-기반 요소는 또한 소프트웨어와 소프트웨어가 실행되는 하드웨어-기반 컴퓨팅 디바이스 모두를 지칭할 수 있다. 본원에 사용되는 소프트웨어는 프로세스, 어플리케이션 및/또는 서비스를 제공하는 실행 가능 코드의 집합을 지칭한다. 또한, 본원에서 사용되는 클라우드-기반 요소는 클라우드 상에서 실행되는 다양한 서비스 및/또는 플랫폼일 수 있다.
본 교시의 일 양태는 예를 들어, 가상 머신, 서버, 데스크탑, 랩탑 및 휴대용 디바이스를 포함하여 임의의 컴퓨팅 플랫폼 상에서 실행될 수 있는 클라우드-네이티브 모니터링 어플리케이션 묶음이다. 본 교시의 시스템 및 방법을 실행하는 컴퓨팅 플랫폼은 전용이거나 공유될 수 있다.
본 교시의 클라우드-기반 제어-평면 이벤트 모니터링 시스템의 다른 양태는 몇몇 공공 클라우드 공급자로부터의 제어 평면 이벤트를 공통 포맷으로 변환하여 사전-규정된 규칙 세트에 따라 이벤트의 평가를 가능하게 할 수 있는 것이다. 이러한 평가를 지원하기 위해, 본 교시의 클라우드-기반 제어-평면 이벤트 모니터링 시스템은 특정 클라우드 내의 몇몇 서비스 또는 복수의 공공 클라우드 공급자로부터의 제어 평면 이벤트를 공통 포맷으로 변환하여, 사전-규정된 규칙 세트에 따라 이벤트의 평가를 가능하게 한다.
본 교시의 클라우드-기반 제어-평면 이벤트 모니터링 시스템의 다른 양태는 다른 제어 평면을 갖는 클라우드-기반 인프라로부터 제어 평면 이벤트를 변환할 수 있는 것이다. 이러한 클라우드-기반 인프라스트럭처는 예를 들어, 공공 클라우드, 사설 클라우드 및 하이브리드(공공 및 사설) 클라우드 인프라스트럭처를 포함할 수 있다. 상이한 클라우드 환경으로부터의 제어 평면 이벤트의 변환은 취약성 및 위협, 보안 이벤트, 잘못된 구성, 허가되지 않은 액세스, 정책 위반 및 복수의 모니터링되는 클라우드 환경 내부 및 이에 걸쳐 발생되는 다른 조건을 포함하여 인프라스트럭처와 관련된 다양한 중요한 조건의 식별을 허용한다.
최근 컴퓨터 업계는 공공 클라우드에서 점점 더 정교해지는 악성 기술을 사용하는 악의적인 행위자를 관찰했다. 이러한 악의적인 행위자가 생성한 위협은 클라우드 서비스 및 배포 모델의 고유한 특성을 활용하여 위반을 시작하거나 이를 숨긴다. 예를 들어, 단순한 공격에서, 악의적인 행위자는 액세스 키를 훔쳐서 개방형 S3 버킷 또는 암호 화폐를 채굴하기 위해 새로운 EC2를 시작할 수 있는 능력과 같은 민감한 데이터 또는 중요한 자원에 대한 직접적인 경로를 찾는다. 보다 정교한 공격에서, 악의적인 행위자는 복수의 단계를 통합하고 타겟의 인프라스트럭처를 통과할 수 있는 위협을 제시한다. 이러한 위협은 클라우드 인프라스트럭처 제어 평면으로부터 호스트로 전후로 이동할 수 있다. 위협은 또한 하나의 클라우드 공급자가 관리하는 타겟에 의해 사용되는 인프라스트럭처(제1 클라우드 환경)로부터 제2 클라우드 공급자가 관리하는 타겟에 의해 사용되는 인프라스트럭처(제2 클라우드 환경)로 이전할 수 있다. 일부 경우에, 다수의 상이한 클라우드 환경이 관련될 수 있다. 상이한 클라우드 환경의 예는 Amazon AWS 클라우드, Microsoft Azure 클라우드, Google 클라우드 등을 포함한다. 사설 및 공용/사설 클라우드는 또한 공격의 일부인 클라우드 환경일 수 있다.
별개의 클라우드 환경은 클라우드 환경 내에서 클라우드-기반 요소를 관리하고 제어하기 위해 별개의 제어 평면이 사용되는 환경이라는 것을 이해해야 한다. 따라서, 2개의 상이한 클라우드 환경은 2개의 상이한 서비스 공급자에 상주하는 2개 세트의 클라우드-기반 자원 및/또는 동일한 서비스 공급자에 의해 소유된 상이한 서비스 도메인에 각각 상주하는 2개 세트의 클라우드-기반 자원을 포함하는 2개의 상이한 클라우드 환경을 포함할 수 있다.
많은 서비스 공급자는 컴퓨팅, 저장소, 데이터베이스, 네트워킹 및 클라우드 이전 서비스의 어레이를 포함하는 클라우드-기반 요소를 제공한다. 또한, 검색, 부하 밸런싱 및 소프트웨어 개발 도구와 같은 도구 및 어플리케이션과 같은 다양한 클라우드-기반 요소를 이용할 수 있다. 아마존 웹 서비스(Amazon Web Services: AWS)는 탄력적 컴퓨팅 클라우드(EC2), 관계형 데이터베이스 서비스(RDS), 단순 저장 서비스(S3)를 포함한 복수의 서비스를 제공한다. 아마존(Amazon)은 또한 아이덴티티 및 액세스 관리(identity and access management: IAM)와 같은 서비스를 제공한다. 마찬가지로, 구글(Google)은 때로 구글 클라우드(Google Cloud)라고 하는 클라우드 서비스를 제공한다. 이들 및 다른 서비스 공급자는 관리형 데이터베이스, 객체, 블록 및 파일 스토리지를 포함한 다양한 클라우드 저장 서비스를 제공한다.
이러한 많은 서비스 또는 이러한 서비스의 집합은 동일한 서비스 공급자에 의해 실행되더라도 특정 서비스에서 또는 특정 서비스 내에서 취해진 액션과 관련된 이벤트를 생성하는 제어 평면을 포함한다. 다른 경우에, 제어 평면은 자원 및 서비스의 묶음을 둘러싼다. 따라서, 특정 클라우드 환경은 서비스가 공통 서비스 공급자에 의해 제공되더라도 서비스에 대해 별도의 제어 평면이 사용되는 환경이다. 아마존, 구글, 마이크로소프트 및 다른 업체와 같은 상이한 서비스 공급자 상에서 실행되는 서비스는 별도의 제어 평면을 사용하므로, 또한 상이한 클라우드 환경으로 고려된다. 인프라스트럭처를 모니터링하는 시스템 및 방법의 일부로서 제어 평면 이벤트를 사용하는 이점은 제어 평면 이벤트가 통상적으로 데이터 평면 이벤트 및 관리 이벤트 모두를 포함한다는 것이다. 이와 같이, 제어 평면 이벤트는 클라우드-기반 환경 및 클라우드-기반 환경의 하드웨어, 소프트웨어 및 서비스가 시간 경과에 따라 어떻게 그리고 왜 변하는지에 대한 많은 정보를 제공한다.
복수의 클라우드 환경을 모니터링하는 데 있어 복잡한 점은 각각의 클라우드 공급자가 제어 평면 이벤트에 대해 상이하고 다양한 데이터 포맷, 정보 컨텐츠 및 속성을 활용한다는 것이다. 각각의 클라우드 공급자는 또한 제어 평면 이벤트에 대해 상이한 내보내기 방법을 활용할 수 있다. 이러한 차이는 상이한 클라우드 공급자에 걸친 인프라스트럭처의 변화를 일관된 방식으로 통합하고 비교하기가 어렵게 한다. 마찬가지로, 특정 클라우드 공급자 내의 상이한 플랫폼이 상이한 제어 평면을 사용하여 동작할 수 있고/있으며 다양한 데이터 포맷 및 내보내기 방법으로 캡슐화된 이벤트를 포함할 수 있다. 따라서, 이러한 상이한 클라우드 환경은 인프라스트럭처 상에서 발생하는 일에 대한 통합된 그림을 제공하기 위해 제어 평면에 의해 제공된 이벤트가 입수되고 정규화되는 것을 필요로 한다.
본 교시의 제어-평면 이벤트 모니터링 시스템 및 방법은 조직이 단일 관점에서 복수의 클라우드 공급자 및 플랫폼에 걸쳐 확장되는 클라우드-기반 인프라스트럭처에 대한 인프라스트럭처 활동을 모니터링하고 이에 대해 조치할 수 있게 한다. 일부 실시예에서, 각각의 클라우드 공급자 및/또는 플랫폼은 독점적인 방식으로 사용자의 인프라스트럭처를 모니터링하고 유지한다. 또한, 각각의 클라우드 공급자 및/또는 플랫폼은 사용자가 다양한 방식으로 인프라스트럭처 및 관련 이벤트를 수신하고/수신하거나 보게 한다. 예를 들어, 사용자는 다양한 콘솔, 웹 액세스 및/또는 API를 볼 수 있다. 최종 사용자가 복수의 클라우드 공급자로부터의 클라우드 요소 및/또는 복수의 플랫폼으로부터의 클라우드 요소를 포함하는 클라우드-기반 인프라스트럭처를 유지하는 경우, 인프라스트럭처를 보는 것은 교차 공급자, 일부 경우에, 교차-플랫폼 인프라스트럭처를 보고 모니터링하기 위해 몇몇 다른 도구를 사용하는 것을 포함한다. 본 교시의 제어-평면 이벤트 모니터링 시스템 및 방법은 복수의 뷰(view)에 대한 필요성을 제거할 수 있다.
본 교시의 제어 평면 이벤트 모니터링 시스템 및 방법의 하나의 특징은 경보 출력 생성 및 출력으로서 정책 위반 결정을 포함하여 사용자에게 유용한 출력을 제공할 수 있는 공통 뷰로 알려진 시스템의 상이한 모니터링을 통합한다는 것이다. 즉, 본 교시의 제어 평면 이벤트 모니터링 시스템 및 방법의 다양한 실시예는 상이한 클라우드 서비스 공급자 및/또는 클라우드 플랫폼과 연관된 상이한 제어 평면으로부터의 클라우드-기반 이벤트 수집을 통합하여, 이러한 서비스 공급자 및/또는 플랫폼을 가로지르는 이벤트-기반 경보 및 정책 위반을 생성하도록 프로세싱될 수 있다.
도 1은 본 교시에 따른 제어 평면 이벤트 데이터를 모니터링하는 방법(100)의 실시예의 단계를 나타낸다. 제1 단계(102)에서, 클라우드 공급자 및/또는 플랫폼 이벤트 데이터가 수집된다. 이러한 수집 단계(102)는 수동 수신 및 제어 평면 이벤트 데이터를 수신 및/또는 검색하는 다양한 다른 방법을 포함할 수 있다. 이러한 수집 단계(102)는 예를 들어, 웹 사이트, 데이터베이스 또는 다른 저장소에서 이벤트 데이터를 검색하는 것을 포함할 수 있다. 매우 다양한 이벤트 데이터가 본 방법의 다양한 실시예의 수집 단계(102)에서 수집될 수 있다. 제어 평면 이벤트 데이터는 예를 들어, 인프라스트럭처 변경, 인스턴스 추가/제거, 감사 구성, 권한 변경, 사용자 변경, 정책 변경 및/또는 액세스 변경에 대한 정보를 포함한다. 이벤트 데이터는 또한 예를 들어, CPU 사용량, 디스크 I/O, 메모리, 네트워크 트래픽, 어플리케이션 에러, 어플리케이션 상태, 작업 부하 상태, 인스턴스 상태 및 클라우드 자원, 클라우드 서비스 및 클라우드 어플리케이션의 동작과 연관된 다른 이벤트와 같은 클라우드 자원에 대한 메트릭을 포함할 수 있다. 제어 평면 이벤트 데이터는 Amazon CloudTrail, 다양한 Google Cloud API, Microsoft Azure 등과 같은 대규모 공공 클라우드 공급자가 제공하는 정보를 포함할 수 있다.
제어 평면 이벤트 데이터는 많은 방식으로 수집될 수 있다. 예를 들어, 제어 평면 이벤트 데이터는 파일로부터 판독될 수 있다. 제어 평면 데이터는 또한 네트워크로부터 수신될 수 있다. 제어 평면 이벤트 데이터는 또한 본 방법의 수집 단계(102)를 구현하는 프로세서에 의해 클라우드 공급자로부터 요청될 수 있고/있거나 제어 평면 데이터는 클라우드 공급자에 의해 본 방법의 수집 단계(102)를 실행하는 프로세서로 전송될 수 있다. 제어 평면 이벤트 데이터는 특정 시간에 제공되거나 검색될 수 있고/있거나 제어-평면 이벤트 데이터는 거의 실시간 기반으로 제공되거나 검색될 수 있다. 일부 실시예에서, 수집 단계는 소프트웨어 에이전트로부터 정보를 수신한다. 또한, 일부 실시예에서, 수집 단계는 운영 체제로부터 정보를 수신한다.
제2 단계(104)에서, 수집된 데이터가 입수되어 다중-소스 데이터 세트를 형성한다. 입수된 데이터는 이후 단계에서 추가로 프로세싱될 수 있는 다중-소스 데이터 세트를 형성하기 위해 본 방법의 다양한 단계(100)를 실행하는 플랫폼으로 가져오는 데이터이다. 예를 들어, 수집 단계(102)에서 수집기에 의해 파일이 수신될 수 있고, 그 후 입수 단계(104)에서 파일은 입수 단계(104)에서 프로세서로 판독되고 다른 수집된 데이터와 결합되어 다중-소스 데이터 세트를 생성한다.
제3 단계(106)에서, 다중-소스 데이터 세트는 규칙 및 정책 세트에 대해 평가된다. 이러한 평가는 예를 들어, 별개의 속성 비교, 동일 속성을 단일 속성으로 카테고리화 및/또는 이벤트 데이터 정규화를 포함한다. 이벤트 데이터의 정규화는 각각의 클라우드 소스의 별개 제어 평면에 의해 생성된 이벤트 데이터의 알려진 속성에 기초한다. 평가 단계(106)는 다중-소스 데이터 세트에서 수집된 이벤트 데이터를 다운스트림 이벤트 프로세싱과 호환되는 공통 이벤트 데이터 포맷으로 통합하는 결과를 가져온다. 이러한 평가 프로세스는 각각의 특정 제어 평면에 대한 제어 평면 이벤트의 핵심적인 알려진 속성(포맷, 컨텐츠 등)을 사용하므로, 예를 들어, 공통 이벤트 유형 및 보완 이벤트 유형을 찾을 수 있으므로, 복수의 소스로부터의 제어 평면 이벤트의 공통 이벤트로의 변환을 허용한다. 평가 단계(106)의 일부 실시예는 유사한 속성을 갖는 2개의 소스로부터 이벤트를 취하고 이를 공통 속성으로 결합함으로써 수집된 이벤트 데이터에서 이벤트를 통합시키는 결과를 가져온다. 제3 단계(106)에 의해 생성되고 후속 프로세싱에 사용되는 이러한 데이터를 공통 이벤트 데이터라고 한다.
예를 들어, 2개의 상이한 서비스 공급자 클라우드로부터의 인스턴스에 대한 설명은 2개의 상이한 포맷 및/또는 상이한 필드 및/또는 상이한 데이터를 포함하여 각각의 공급자로부터의 "인스턴스 설명" 이벤트에 포함될 수 있다. 이러한 2개의 소스로부터의 "인스턴스 설명" 이벤트에 대한 입수 단계(104)의 결과인 다중-소스 데이터는 수신될 때 "인스턴스 설명" 이벤트를 포함할 것이다. 평가 단계(106)에서, 다중-소스 데이터는 이러한 2개의 "인스턴스 설명" 이벤트가 동일한 필드를 갖는 공통 구조의 2개의 이벤트로 렌더링되고 데이터가 원래 제어 평면 이벤트로부터 이러한 공통 이벤트 구조로 변환되도록 프로세싱된다. 이는 양쪽 클라우드에 대한 인스턴스 설명이 공통 이벤트 구조를 사용하여 추가로 프로세싱될 수 있게 한다.
제4 단계(108)에서, 공통 이벤트 데이터는 다수의 작업을 수행하는 다운스트림 이벤트 프로세싱에서 프로세싱된다. 예를 들어, 제4 단계(108)는 경보를 생성하고, 정책 위반을 식별하고, 보고서를 발행하고, 위협을 수습하고/수습하거나 비준수 인프라스트럭처를 준수 구성으로 수정할 수 있다. 공통 이벤트 데이터의 제4 단계(108)에서의 프로세싱은 사용자가 결정을 내리거나 조치를 취할 수 있도록 하는 경보 및/또는 정책 위반의 결과를 가져온다. 공통 이벤트 데이터의 제4 단계(108)에서의 프로세싱은 또한 경보 또는 정책 위반과 연관된 다양한 문제를 수습하기 위해 클라우드-기반 요소의 프로세스 및/또는 구성 또는 재구성에 대한 자동 변경의 결과를 가져올 수 있다.
제4 단계의 결과는 최종 사용자에 대한 경보, 보고 및 분석을 가능하게 하는 컴퓨터 프로세스를 생성한다. 그 결과는 예를 들어, 인프라스트럭처 구성, 준수 보장, 취약성 및 위협의 확립에서의 변경을 생성할 수 있다. 프로세싱 단계 4(108)는 공통 이벤트 데이터로부터 도출된 특정 프로세싱된 데이터 및 합성된 정보를 각각 생성하는 일련의 프로세싱 단계를 포함할 수 있다. 이는 다음 스테이지를 공급하는 각각의 파이프라인 스테이지의 출력이 공통 이벤트 데이터이기 때문에 프로세싱이 임의의 순서로 적용될 수 있다는 이점을 갖는 파이프라인 프로세서 아키텍처라고 할 수 있다. 예를 들어, 파이프라인 프로세서는 2017년 12월 17일자로 출원되고 발명의 명칭이 "클라우드-기반 운영 체제 이벤트 및 데이터 액세스 모니터링을 위한 시스템 및 방법"이고 현재 양수인에게 양도된 미국 특허 출원 제15/846,780호에 개시된 파이프라인 프로세서일 수 있다. 각각의 스테이지는 또한 정제된 공통 이벤트 데이터를 생성할 수 있다. 프로세싱 단계 4(108)의 다양한 스테이지는 예를 들어, 맞춤형 규칙 세트, 취약성 및 악용 분석, 보안 위협 및 취약성의 식별을 충족하는 이벤트에 기초하는 원시 이벤트 로그, 경보 및 통지뿐만 아니라 시간-시퀀싱된 원시이벤트 로그의 아카이브를 생성할 수 있다.
도 2는 본 교시에 따라 제어 평면 이벤트 데이터를 모니터링하는 시스템(200)의 실시예의 블록도를 나타낸다. 다중 클라우드 환경, 클라우드 1(202), 클라우드 2(204) 및 클라우드 3(206)은 수집 시스템(208, 210)에 연결된다. 클라우드 1(202) 및 클라우드 2(204)는 수집 시스템 1(208)에 연결된다. 클라우드 3은 수집 시스템 2(210)에 연결된다. 수집 시스템(208, 210)은 클라우드 환경(202, 204, 206)으로부터 제어 평면 이벤트를 수신했다. 다양한 실시예에서, 클라우드 환경 및 수집 시스템의 수는 다양하다.
수집 시스템(208, 210)은 프로세서(212)에 연결된다. 프로세서는 다양한 프로세서 시스템의 형태를 취할 수 있다. 예를 들어, 프로세서(212)는 단일 프로세서 또는 다중 프로세서일 수 있다. 프로세서(212)는 하드웨어 기반일 수 있거나 프로세서는 가상 머신 프로세서일 수 있다. 프로세서(212)는 또한 클라우드-기반 프로세서일 수 있다. 예를 들어, 프로세서(212)는 클라우드 인프라스트럭처 상에서 실행될 수 있는 서비스일 수 있다. 일부 실시예에서, 프로세서(212)는 데이터베이스(214)에 연결된다. 데이터베이스(214)는 단일 데이터베이스일 수 있거나 데이터베이스는 복수의 데이터베이스를 포함할 수 있다. 데이터베이스(들)(214)는 고객 데이터, 인프라스트럭처 데이터, 정책 데이터 및/또는 취약성 데이터를 포함할 수 있다. 데이터베이스(들)(214)는 개인 또는 공공 데이터베이스일 수 있다. 일부 실시예에서, 데이터베이스(214)는 국가 취약성 데이터베이스이다.
프로세서(212)는 하나 이상의 사용자 입력/출력 디바이스(216)에 연결된다. 사용자 입력/출력 디바이스(들)(212)는 예를 들어 웹 사이트, 컴퓨터, 어플리케이션, 관리 시스템, 또는 클라우드 인프라스트럭처를 관리 및/또는 모니터링 및/또는 수정 및/또는 운영하기 위한 다양한 알려진 디바이스 중 임의의 것을 포함할 수 있다. 단순화를 위해, 도 2는 본 교시의 모니터링 시스템의 가능한 요소의 서브세트만을 나타낸다. 모니터링 시스템(200)의 일부 실시예는 다수의 다른 클라우드 환경, 수집기 데이터베이스, 프로세서 및 사용자 I/O를 갖는 대규모 시스템을 포함한다.
도 1 및 도 2를 모두 참조하면, 프로세서(212)는 본 방법(100)의 단계의 일부 또는 전부를 실행한다. 클라우드 환경(202, 204, 206)은 수집기(208, 210)에 의해 단계 1(102)에서 수신 및/또는 검색되는 제어 평면 이벤트 데이터를 생성한다. 프로세서(212)는 다양한 실시예에서 입수 단계 2(104) 및/또는 평가 단계 3(106)의 전부 또는 일부를 실행한다. 프로세서(212)는 또한 공통 이벤트 데이터 프로세싱의 하류의 단계 4(108)를 실행하고 경보 및 다른 출력을 생성할 수 있다. 프로세서(212)는 또한 데이터베이스(214)로부터 검색되고/검색되거나 입수 단계 2(104), 평가 단계 3(106) 및 경보 단계(108)의 결과 중 임의의 것으로부터 검색된 정보를 사용할 수 있다. 프로세서(212)는 공통 이벤트 데이터의 다운스트림 프로세싱의 결과를 사용자 I/O(216)로 전송한다. 일부 실시예에서, 사용자 I/O는 프로세싱 단계 4(108)의 일부 또는 전부를 수행한다.
일부 실시예에서, 수집기(208, 210) 중 하나 이상은 프로세서(212)의 일부인 수집 프로세서이다. 일부 실시예에서, 프로세서(212)는 입수 단계 2(104)를 수행하는 입수 프로세서, 평가 단계 3(106)을 수행하는 평가 프로세서 및 단계 4(108)에서의 프로세싱의 적어도 일부를 실행하는 프로세서를 포함한다. 이러한 다양한 프로세서는 동일하거나 상이한 물리적 및/또는 가상 프로세서일 수 있다.
도 3은 본 교시에 따른 복수의 클라우드 스택을 포함하는 제어-평면 이벤트 모니터링 시스템(300)의 실시예를 나타낸다. 제어 평면 이벤트 모니터 프로세서(302)는 복수의 클라우드 스택(304, 306, 308)에 연결된다. 클라우드 스택은 컴퓨터 자원, 서비스, 어플리케이션 및/또는 사용자에 의해 사용 및/또는 제어되는 기능을 포함하는 클라우드-기반 요소의 세트이다. 따라서, 클라우드 스택은 본 교시의 모니터링 방법 및 시스템에 대한 클라우드 환경을 나타낸다. 일부 실시예에서, 클라우드 스택의 사용자는 비즈니스의 IT 조직이지만, 인간 및 머신-기반 사용자를 포함한 다양한 사용자가 가능하다. 제어-평면 이벤트 모니터링 시스템(300)의 다양한 실시예는 제어 평면 이벤트 모니터(302)를 다양한 수의 클라우드 스택(304, 306, 308)에 연결한다.
본 교시의 시스템 및 방법의 하나의 특징은 해당 인프라스트럭처의 클라우드-기반 요소가 다른 클라우드 환경에 상주하는 경우에도 사용자의 클라우드-기반 인프라스트럭처의 통합된 그림을 제공한다는 것이다. 따라서, 일부 실시예에서, 특정 어플리케이션 또는 기능, 또는 어플리케이션 및/또는 기능의 묶음은 사용자에 의해 소비되고 모든 클라우드 스택(304, 306, 308)의 클라우드-기반 요소를 활용한다. 다양한 실시예에서, 특정 어플리케이션 또는 기능 또는 어플리케이션 및/또는 기능이 묶음은 모니터링 및/또는 보안된다. 또한, 다양한 실시예에서, 특정 어플리케이션 또는 기능, 또는 어플리케이션 및/또는 기능의 묶음은 준수를 위해 검사된다. 또한, 다양한 실시예에서, 종단 시스템(end system; 310)은 특정 어플리케이션 또는 기능, 또는 어플리케이션 및/또는 기능의 묶음을 관리한다.
제어 평면 이벤트 모니터 프로세서(302)의 출력은 종단 시스템(310)에 연결된다. 일부 실시예에서, 종단 시스템(310)은 클라우드 스택(304, 306, 308)의 클라우드-기반 요소를 사용하는 고객에 속한다. 예를 들어, 클라우드 스택(304)은 클라우드 스택(304)의 클라우드-기반 요소에 의해 제공되는 서비스에 대한 관리 및 제어를 수행하는 제어 평면(302)을 포함한다. 제어 평면(312)은 예를 들어, 어플리케이션에 액세스하는 사용자의 허가 및 인증의 보안 서비스 및 관리를 수행한다. 제어 평면(312)은 또한 런 타임 구성 요소를 제어하고 그 수명 사이클을 관리할 수 있다. 제어 평면(312)은 또한 하드웨어 및 소프트웨어 부하 밸런싱을 수행하고 서비스 요청을 적절한 클라우드-기반 요소로 라우팅할 수 있다. 제어 평면(312)은 또한 스케줄링된 업무 및 작업을 관리할 수 있다. 또한, 제어 평면(312)은 서비스와 연관된 시스템 파일을 저장할 수 있다.
본원에 설명되는 제어 평면(312)의 하나의 특징은 클라우드 스택(304)의 복수의 레벨을 사용하여 수행되는 주어진 동작의 많은 양태를 건드리는 것이다. 따라서, 제어 평면(312)에 의해 생성되는 제어-평면 이벤트는 클라우드 스택(304)의 진행 중인 활동에 대한 정보의 풍부한 소스를 제공한다. 그러나, 하나의 클라우드 스택(304)에 의해 생성된 제어 평면 이벤트는 다른 클라우드 스택의 제어 평면에 의해 생성된 제어 평면 이벤트와 상이하다. 예를 들어, 액세스 방법, 포맷, 컨텐츠, 캡처된 이벤트, 시퀀싱, 원격 측정, 로깅, 경보, 저장, 에러 처리 및 다양한 제어 평면에 의해 제공되는 이벤트의 다른 특징에서 차이가 발생한다.
예를 들어, 클라우드 스택(304)은 호스트(314)를 포함한다. 호스트(314)는 물리적 컴퓨터 서버 및/또는 서비스 및 어플리케이션을 실행하는 하나 이상의 관련 운영 체제이다. 즉, 호스트(314)는 가상 머신 및/또는 물리적 머신일 수 있다. 컨테이너(316)는 어플리케이션을 실행하는 데 필요한 모든 것을 포함하는 규정된 소프트웨어 단위이다. 복수의 컨테이너(316)가 종종 호스트(314) 상에서 실행된다. 어플리케이션은 복수의 컨테이너(316) 상에서 실행될 수 있다. 컨테이너 오케스트레이터(orchestrator)(318)는 복수의 컨테이너를 조직하는 데 사용된다. 클라우드 스택(304)의 제어 평면(312)은 스택의 임의 레벨에서 임의의 요소(312, 314, 316, 318)가 사용될 때 제어-평면 이벤트를 생성한다. 요소(312, 314, 316, 318)는 클라우드 스택(304)의 일례를 나타낸다. 본 교시의 제어-평면 이벤트 모니터 시스템 및 방법은 다양한 다른 상이한 요소를 포함하는 다양한 다른 알려진 클라우드 스택과 함께 동작할 수 있음을 이해해야 한다. 예를 들어, 하나의 클라우드 스택의 요소는 다른 클라우드 스택의 요소와 다를 수 있다.
종단 시스템(310)은 제어 평면 이벤트 모니터 프로세서(302)의 출력을 사용하여 다수의 클라우드 자원 가시성 및 관리 기능 중 하나 이상을 수행한다. 예를 들어, 종단 시스템(310)은 클라우드 환경의 요소로부터 이용 가능한 다양한 자동화된 작업을 배열 및/또는 조정하는 오케스트레이션 어플리케이션(320)을 포함할 수 있다. 종단 시스템(310)은 또한 조직이 클라우드-기반 인프라스트럭처를 관리하는 데 도움이 되는 제3자 신뢰 검출 및 응답 파트너의 일부인 외부 관리 시스템(322)을 포함할 수 있다. 종단 시스템(310)은 또한 클라우드-기반 인프라스트럭처를 직접 관리하고 제어하는 내부 관리 시스템(324)을 포함할 수 있다.
도 4는 본 교시에 따른 복수의 클라우드-기반 도구 및 서비스를 포함하는 클라우드 스택을 포함하는 제어-평면 이벤트 모니터링 시스템(400)의 실시예를 나타낸다. 클라우드 스택(402)은 최종 사용자 시스템(406)에 공통 이벤트 데이터를 제공하는 제어-평면 이벤트 모니터링 프로세서(404)에 입력을 제공한다. 클라우드 스택(402)은 제어-평면 이벤트 모니터링 프로세서(404)에 연결될 수 있는 복수의 가능한 클라우드 스택 중 단지 하나일 뿐이다. 도 3 및 도 4를 참조하면, 일부 실시예에서, 클라우드 스택(402)은 클라우드 스택(306)과 동일할 수 있고, 최종 사용자 시스템(406)은 도 3과 관련하여 설명된 종단 시스템(310)과 동일할 수 있다.
스택(402)의 제어 평면(408)은 계정 관리 서비스(410), 지배 서비스(412), 네트워크 구성 서비스(414), 데이터 저장 서비스(416), 컴퓨트 프로비저닝(compute provisioning) 서비스(418) 및 호스팅된 개발자 도구(420)로부터 제어-평면 이벤트 모니터링 프로세서(404)로 이벤트 정보를 제공한다. 그 후, 제어-평면 이벤트 모니터링 프로세서(404)는 공통 이벤트 데이터를 생성하고 해당 이벤트 데이터를 최종 사용자 시스템(406)에 제공한다. 공통 이벤트 데이터는 또한 제어-평면 이벤트 모니터링 프로세서(404) 또는 다른 프로세서에 의해 추가로 프로세싱되어 경보를 생성하고/생성하거나 정책 위반을 결정할 수 있다. 이러한 경보 및/또는 결정된 정책 위반은 최종 사용자 시스템(406)에 공급된다. 일부 실시예에서, 프로세서(404)는 공통 이벤트 데이터를 생성하고 종단 시스템(406)은 경보를 생성하고 정책 위반 또는 다른 결과를 결정한다.
도 3 및 도 4를 참조하면, 생성된 경보 및/또는 결정된 정책 위반 또는 다른 프로세싱된 결과는 클라우드 스택(304)에 의해 생성된 하나 이상의 제어 평면 이벤트 및 클라우드 스택(402)에 의해 생성된 하나 이상의 제어 평면 이벤트를 프로세싱함으로써 도출될 수 있다. 따라서, 경보 또는 위반은 2개의 다른 클라우드로부터의 정보에 기초하여 생성된다.
본원에서 설명되는 바와 같이, 제어-평면 이벤트의 정규화는 복수의 상이한 제어 평면으로부터 공통 이벤트 데이터를 생성한다. 공통 이벤트 데이터는 통상적으로 이벤트 ID, 이벤트 피드, 이벤트 유형 및 이벤트 소스와 같은 다양한 속성을 포함한다. 일부 실시예에서 공통 이벤트 데이터는 이벤트와 연관된 영역, 에지 위치 및/또는 가용성 구역과 같은 속성을 포함한다. 공통 이벤트 데이터는 IP 주소 및 다른 네트워킹 파라미터와 같은 정보를 포함할 수 있다. 또한, 공통 이벤트 데이터는 계정 번호, 조직 식별자, 사용자 및 사용자 역할을 포함할 수 있다. 또한 공통 이벤트 데이터는 이벤트 시간 및 이벤트와 연관된 타임스탬프와 관련된 다른 속성을 포함할 수 있다. 공통 이벤트 데이터의 추가 속성은 특정 유형의 이벤트와 연관된다.
본 교시의 방법의 일부 실시예에서, 특정 제어 평면에 의해 제공되는 동일한 종류의 활동을 나타내는 2개의 상이한 이벤트로부터의 제어 평면 이벤트 데이터는 공통 이벤트 데이터에서 단일 이벤트로 변환된다. 일부 경우에, 특정 제어 평면으로부터의 단일 이벤트는 공통 이벤트 데이터에서 하나 초과의 이벤트로 변환된다. 일부 방법에서, 공통 이벤트는 하나 초과의 제어 평면 이벤트로부터의 정보를 나타낸다.
예를 들어, 도 4를 참조하면, 다음의 제어 평면 이벤트가 제어 평면(408)으로부터 프로세서(404)에 의해 수신될 수 있다: 1) eventName, "DescribeInstances"; 2) eventName, "GenerateDataKey"; 3) eventName, "GetStackPolicy"; 4) eventName, "DescribeInstanceHealth"; 5) eventName, "AssumeRole"; 6) eventName, "DescribeLifecycleHooks"; 7) eventName, "DescribeVolumes"; 8) eventName, "DescribeSnapshots"; 9) eventName, "ListResourceRecordSets"; 및 10) eventName, "DescribeAutoScalingGroup". 이러한 명명된 이벤트 각각에 대해, 프로세서(404)는 제어 평면(408)에 의해 제공된 이벤트를 공통 이벤트 데이터의 일부인 연관된 정규화된 이벤트로 변환한다. 이러한 이벤트는 AWS CloudTrail의 컨텍스트에서 설명되지만, 다른 제어 평면으로의 확장은 간단하다.
도 5는 2개의 상이한 클라우드 서비스 공급자(502, 504)로부터의 클라우드 자원을 포함하는 인프라스트럭처를 실행하는 보안 클라우드-기반 환경(500)을 나타낸다. 제1 클라우드 서비스 공급자(502)를 위한 클라우드 자원은 컴퓨트 프로세서(506), 저장소(508), 데이터베이스(510) 및 네트워킹(512)을 포함한다. 마찬가지로, 제2 클라우드 서비스 공급자(504)를 위한 클라우드 자원은 컴퓨트 프로세서(514), 저장소(516), 데이터베이스(518) 및 네트워킹(520)을 포함한다. 제1 클라우드 서비스 공급자(502)를 위한 인프라스트럭처는 가용성 구역(522), 영역(524) 및 에지 위치(526)를 포함한다. 마찬가지로, 제2 클라우드 서비스 공급자(504)를 위한 인프라스트럭처는 가용성 구역(528), 영역(530) 및 에지 위치(532)를 포함한다. 보안 환경(500)은 호스트 운영 체제(536) 상에서 실행되는 컨테이너(534), 구성 관리(538) 및 이벤트 모니터링(540)을 포함한다. 보안 환경(500)을 제공하기 위해, 다수의 기능이 추적된다. 이는 예를 들어, 사용자 활동(544), 파일 활동(546) 및 네트워크 프로세스 연결(548)을 포함한다. NIST 국가 취약성 데이터베이스(National Vulnerability Data Base: NVD) 취약성(542)도 추적된다. 구성 관리(538) 및 제어 평면 이벤트 모니터(540) 프로세스가 보안 환경(500)을 제공하기 위해 사용된다. 제어 평면 이벤트 모니터(540)는 2개의 상이한 클라우드 서비스 공급자(502, 504)로부터의 제어 평면 이벤트를 프로세싱하고 공통 제어 평면 이벤트를 생성한다. 제어 평면 이벤트 모니터(540)는 사용자 활동(544)의 추적, 파일 활동(546)의 추적 및/또는 네트워크 프로세스 연결(548)의 트랙을 생성하기 위해 공통 제어 평면 이벤트를 추가로 프로세싱한다. 제어 평면 이벤트 모니터(540)는 보안 환경(500)에 영향을 미치는 알려진 취약성을 결정하기 위해 NIST 국가 취약성 데이터베이스(NVD) 취약성(542)을 사용하여 공통 제어 평면 이벤트를 추가로 프로세싱한다. 제어 평면 이벤트 모니터(540)는 2개의 상이한 클라우드 서비스 공급자(502, 504) 모두에서의 이벤트로부터의 결과인 경보 및 취약성을 포함하여, 경보를 생성하고 프로세싱된 공통 제어 평면 이벤트에 기초하여 취약성을 결정한다. 이러한 정보는 제어 평면 이벤트 모니터(540)에 의해 제공된 정보에 기초하여 자원을 재구성하기 위해 구성 관리(538)로 전송될 수 있다.
본 교시의 시스템 및 방법의 하나의 특징은 다른 클라우드 환경에서 위협 및/또는 활동에 영향을 미치는 위협 및/또는 활동을 하나의 클라우드 환경에서 발견할 수 있다는 것이다. 또한, 하나의 환경에서 모니터링되는 액션은 해당 환경 내에서 무해한 것으로 평가될 수 있지만, 두 환경이 공통 클라우드 인프라스트럭처의 일부인 경우 다른 환경에서 중요한 결과를 갖는다. 알려진 시스템은 하나의 클라우드 환경만을 모니터링하고 해당 환경에만 관련된 이벤트에 대한 프로세싱을 수행한다. 이러한 알려진 시스템은 환경을 가로지르는 활동을 놓친다. 예를 들어, 하나의 환경의 어느 곳에서의 액세스 레벨의 변경은 잠재적으로 다른 환경에 구멍을 열 수 있다. 또한, 두 클라우드 공급자에서 동시에 발생하는 위반이 검출될 수 있다. 이러한 위반은 각각의 도메인을 개별적으로 모니터링하여도 검출되지 못할 수도 있으며, 두 환경으로부터의 공통 이벤트 데이터를 모니터링하고 프로세싱하여 더 빨리 검출되고 수습될 수 있다.
도 6a는 본 교시에 따른 제어-평면 이벤트 모니터링 프로세서(606)의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경(602, 604)을 포함하는 클라우드 인프라스트럭처에 대한 공격의 지점(600)을 나타낸다. 제1 공공 클라우드(602) 및 제2 공공 클라우드(604) 각각의 제어 평면(미도시)은 제어 평면 이벤트 모니터링 프로세서(606)에 연결된다. 제어 평면은 각각의 클라우드 환경(602, 604)으로부터 프로세서(606)에 이벤트 데이터를 제공한다.
도 6b는 도 6a과 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서(626)의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경(622, 624)을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제2 지점(620)을 나타낸다. 이러한 제2 지점(620)에서 제1 클라우드 환경(622)의 프로세스는 악의의 행위자의 결과로서 진화되었으며, 이는 다른 클라우드-기반 환경(624)에 대한 제한된 액세스를 또한 제공하는 크리덴셜을 찾음으로써 클라우드-기반 환경(622)을 손상시키는 공격자 및/또는 직원일 수 있다. 제1 클라우드 환경(622)의 제어 평면은 업데이트될 제어-평면 이벤트 모니터링 프로세서(626)에 제공되는 이러한 손상과 연관된 이벤트를 생성할 것이다. 일부 실시예에서, 이러한 이벤트는 예를 들어, 제1 클라우드 환경(622)에서의 액세스 제어 프로세스와 연관된 이벤트일 수 있다.
도 6c는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서(628)의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경(642, 644)을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제3 지점(640)을 나타낸다. 이러한 제3 지점(640)에서, 제1 클라우드 환경(642)의 프로세스는 이제 클라우드-기반 환경(642)에 대한 모니터링을 비활성화하는 악성 행위자의 결과로서 진화했다. 이러한 비활성화 활동은 제1 클라우드 환경(642)으로의 가시성을 제한하여, 하나의 환경만을 모니터링하는 데이터 평면 스킴 또는 제어 평면 스킴인 알려진 이벤트 모니터링 스킴은 효과가 없다. 이제, 제어-평면 이벤트 모니터링 프로세서(648)에 의해 수신되는 제2 클라우드 환경(644)으로부터의 제어 평면 이벤트만이 공격과 연관된 이벤트를 생성할 것이다.
도 6d는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세서(666)의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경(662, 664)을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제4 지점(660)을 나타낸다. 이러한 제4 지점(660)에서, 제1 및 제2 클라우드 환경(662, 664)의 프로세스는 도 6b와 관련하여 설명된 첨부 지점 2(620)에서 획득된 제1 클라우드-기반 환경(662)으로부터의 크리덴셜을 사용하여 제2 클라우드-기반 환경(664)으로부터의 데이터 유출을 이제 시도하는 악의의 행위자의 결과로서 진화되었다. 이러한 유출 활동은 도 6c와 관련하여 설명된 제3 첨부 지점(630)에서 발생한 비활성으로 인해 제1 클라우드-기반 환경(662)에서 발생하는 제어 평면 이벤트에 의해 발견될 수 없을 것이다.
도 6e는 도 6a와 관련하여 설명된 제어-평면 이벤트 모니터링 프로세싱(686)의 실시예를 사용하여 검출되는 2개의 클라우드-기반 환경(682, 684)을 포함하는 클라우드 인프라스트럭처에 대한 공격의 제5 지점(680)을 나타낸다. 이러한 제5 지점(680)에서, 제어-평면 이벤트 모니터링 프로세서(686)는 도 6b와 관련하여 설명된 공격의 제2 지점(620)에서 제1 클라우드 환경(682)으로부터 획득된 크리덴셜을 사용하여 악의의 행위자의 액세스를 검출한다. 제어-평면 이벤트 모니터링 프로세서(686)의 검출은 제2 클라우드 환경(684)에서의 데이터 유출과 연관된 제2 클라우드-기반 환경(684)으로부터의 제어 평면 이벤트의 수신과 공격 시퀀스에서 더 이른 제1 클라우드-기반 환경(682)으로부터의 제어 평면 이벤트의 수신에 기초한다. 2개의 상이한 환경으로부터의 제어 평면 이벤트는 공통 이벤트 포맷으로 정규화되어 제1 클라우드의 크리덴셜 액세스와 제2 클라우드로부터의 데이터 유출을 상관시키거나 이들 사이에 연결을 만들기 위해 함께 프로세싱될 수 있다. 알려진 시스템은 하나 또는 다른 활동만을 검출하므로, 관리자에게 정교한 교차-클라우드-기반-환경 공격에 대해 경고할 수 없다. 따라서, 본 교시의 제어-평면 이벤트 모니터링 시스템 및 방법은 2개의 다른 서비스 공급자 도메인에 있는 호스트를 가로지르는 횡방향 이동을 수반하는 공격을 검출할 수 있다.
본 교시의 클라우드-기반 제어-평면-이벤트 모니터링 시스템 및 방법의 일부 실시예에 의해 식별될 수 있는 다른 예시적인 공격은 악의적인 행위자가 액세스 키 및 지속적인 권한을 통해 액세스를 얻는 것이다. 예를 들어, 이러한 공격의 일부 양태는 Amazon 클라우드 서비스의 맥락에서 설명되지만, 본 기술 분야의 통상의 기술자는 다른 클라우드 환경에 대한 본 시스템 및 방법의 적용이 간단하다는 것을 이해할 것이다. 초보적인 것부터 정교한 것까지 이러한 특성의 공격에서, 악의적인 행위자의 첫 번째 단계는 훔친 API 키를 사용하여 액세스를 얻는 것이다. 공격자가 사용하는 통상적인 방법은 예를 들어, 직원이 실수로 액세스 키를 업로드하는 GitHub와 같은 오픈-소스 코드 웹사이트로부터 멀웨어(malware) 또는 파밍(farming)을 통해 직원 랩탑으로부터 훔치는 것을 포함한다. 악의적인 행위자가 액세스 키가 작동함을 확인하면, 악의의 행위자는 통상적으로 보안 또는 운영에 있어서의 누군가가 도난당한 액세스 키를 종료하더라도 액세스를 다시 얻을 수 있는지를 확실히 하기를 원한다. 이를 위해, 악의의 행위자는 새로운 키를 생성하거나, 역할을 맡거나 다른 방법을 사용하여 액세스를 다시 얻는 방법을 생성한다. 본원에 설명된 제어 평면 이벤트 데이터의 수집 및 입수 및 후속 프로세싱을 통해, 시스템은 예를 들어, 액세스 키 생성, 비활성화, 삭제 또는 나열, 최종 사용된 액세스 키 검색, 사용자 생성 또는 역할 나열과 같은 액세스 키 관리와 연관된 특정 API 호출에 기초하여 경고할 수 있다.
일단 악의적인 행위자가 인프라스트럭처 API를 통해 해당 환경에 성공적으로 진입하면, 악의적인 행위자는 통상적으로 RDS 데이터베이스 또는 S3 버킷과 같은 필요한 자원에 직접 액세스할 수 있는지 확인하려고 한다. 그렇지 않다는 것을 발견하면, 악의적인 행위자는 다른 경로로 이동한다. 이 경우, 행위자는 네트워크의 임의의 다른 합법적인 호스트와 같이 신뢰되는 환경 내에서 EC2 인스턴스를 시작한다. 이러한 시나리오는 방화벽이나 서브넷을 통해 들어오는 임의의 네트워크 연결을 신뢰할 수 있다고 가정하는 것이 위험한 이유 중 하나이다. 악의적인 행위자는 이제 해당 환경의 네트워크에 교두보를 확립하여, 정찰을 수행하고 그들이 위반한 근거리 네트워크를 스캐닝할 수 있다. 이러한 경우, 본 교시의 클라우드-기반 제어-평면-이벤트 모니터링 시스템 및 방법은 DescribeKeyPairs, DescribeNetworkAcls, DescribeRouteTables, 및 RunInstances를 포함하는 API 호출에 대한 경보를 전송할 수 있다. 악의적인 행위자가 제어 평면 로깅을 중지하거나 현재 이벤트 로그를 삭제하기를 원하는 경우, DeleteTrail, StopLogging 또는 Update Trail과 같은 API 호출을 사용할 것이며, 이는 모두 모니터링 스킴에 의해 검출될 것이다. 또한, 공격자가 EC2 인스턴스를 시작하면, curl/wget 호출을 갖는 인스턴스와 연관된 메타 데이터에 액세스할 수 있으며, 이는 경보 전송을 트리거링할 것이다.
그 후, 악의적인 행위자는 초기 로그(rogue) EC2 인스턴스로부터 횡방향으로 이동하여, 네트워크의 다른 호스트를 손상시킬 때 스캐닝 및 악용할 수 있다. EC2 인스턴스는 시작할 때 IAM 권한을 부여받아 S3 또는 RDS와 같은 관리형 서비스에 대한 합법적인 액세스를 부여한다. 따라서, 네트워크 상에서 각각의 새로운 호스트가 손상된 후, 악의적인 행위자는 그 권한을 확인할 것이다. 이러한 활동은 예측하지 못한 프로세스 실행, 네트워크 활동, 의심스러운 커맨드, /tmp로부터 실행되는 소프트웨어, 설치 중인 커널 모듈 등과 같은 위협 스택 호스트 레벨 경보(Threat Stack host level alert)를 트리거링할 것이다.
악의의 행위자는 또한 충분한 권한을 가지고 호스트에 착륙하여 RDS로부터 데이터를 추출할 수 있다. 이는 필요한 IAM 권한을 갖는 호스트에서 한 번 수행된다. 그 후, 악의적인 행위자는 타겟 데이터를 갖는 데이터베이스에 액세스하는 데 필요한 RDS API 호출을 수행할 수 있다. 악의적인 행위자가 소량의 데이터만을 훔치는 경우, 이러한 데이터는 터미널을 통해 또는 손상된 호스트의 체인을 통해 직접 유출되어 가능하게는 임의의 데이터 손실 방지 도구를 피할 수 있다. 공격자가 언제나 호스트로 더 깊이 잠수하려고 하는 것은 아니다.
이러한 공격에서 횡방향 이동의 유형이 종종 검출하기 어려운 하나의 이유는 가장 잘 알려진 호스트-레벨 보안 모니터링 기술이 악의적인 행위자가 호스트에 더 깊이 머무르고 이에 대한 특권을 상승시키길 원할 것이라고 가정하기 때문이다. 따라서, 이러한 알려진 모니터링 시스템은 수십 년간의 Linux/Unix 경험 위에서 이러한 유형의 거동에 대한 강력한 제어를 생성한다. 그러나, 대신에 악의적인 행위자는 호스트 계층에서 벗어나 인프라스트럭처 제어 평면으로 다시 이동하려고 시도했으며, 이는 대부분의 블루 팀(blue team)이 찾지 않고 루트가 될 필요가 없는 활동이다. 이와 같이, 본 교시의 제어-평면 이벤트 모니터링 시스템 및 방법은 공격을 성공적으로 및/또는 효율적으로 검출하도록 상관되어야 하는 적어도 2개의 다른 클라우드 환경을 포함하는 클라우드 인프라스트럭처에서 "횡방향 이동" 및 활동을 포함하는 이러한 공격을 검출할 수 있는 중요한 도구이다.
본 교시의 하나의 특징은 평가 단계가 공통 이벤트 데이터 세트의 이벤트 프로세싱에 기초하여 위협 평가를 생성할 수 있다는 것이다. 위협은 다양한 메트릭에 기초하여 평가된다. 공통 이벤트 데이터 세트는 복수의 클라우드 환경으로부터의 이벤트를 포함하므로, 위협 평가는 복수의 클라우드 환경에 걸쳐 있다. 메트릭은 예를 들어, 권한 변경 빈도, 하드웨어 구성 변경 유형의 빈도 및 사용자 변경 빈도를 포함한다. 위협은 임계값을 초과하는 메트릭 또는 메트릭의 조합에 기초하여 결정된다.
본 교시의 하나의 특징은 하나 초과의 클라우드 환경을 포함하는 클라우드 기반 인프라스트럭처의 취약성이 식별될 수 있다는 것이다. 취약성은 공개된 다양한 취약성 데이터베이스의 데이터를 사용하여 공통 이벤트 데이터 세트의 이벤트를 프로세싱함으로써 식별될 수 있다. 예를 들어, 국가 취약성 데이터베이스가 사용될 수 있다. 또한, 공통 이벤트 데이터 세트의 이벤트를 사용하여 침입 검출, 변조 및 소프트웨어 준수가 평가될 수 있다.
본 교시의 다른 특징은 복수의 클라우드 환경에서 복수의 제어 평면으로부터의 이벤트를 프로세싱하기 때문에, 결과적인 공통 이벤트 데이터 세트에서 노이즈를 감소시킬 수 있다는 것이다. 이는 종래 기술의 단일-클라우드 이벤트 모니터로부터의 이벤트 데이터를 사용하여 가능한 것보다 더 높은 무결성 및/또는 취약성과 위협의 더 효율적인 식별을 포함하여 더 나은 결과를 가져온다.
본 교시의 다른 특징은 컨테이너를 활용하는 어플리케이션에 대해 작동한다는 것이다. 컨테이너 및 컨테이너 오케스트레이션 사용의 폭발적인 증가뿐만 아니라 관리형 컨테이너 및 서버-리스(server-less) 인프라스트럭처와 같은 추상화된 인프라스트럭처의 인기 증가는 보다 유연하고 효율적인 환경을 반영한다. 그러나, 많은 조직이 컨테이너를 활용함에 따라, 제어 및 가시성을 상실하고 결과적으로 보안 및 위협 검출이 어려워진다. 클라우드-기반 정보 시스템에 대한 작업 부하 관리의 하나의 최근 경향은 소프트웨어 어플리케이션을 컨테이너로 캡슐화하는 것이다. 컨테이너는 특정 프로세스 또는 어플리케이션을 실행하는 데 필요한 기본 소프트웨어만 포함하도록 설계된다. 컨테이너는 CPU, 저장소 또는 메모리와 같은 자원에 대한 액세스를 가상화한다. 컨테이너는 특정 소프트웨어, 프로세스 또는 어플리케이션의 실행을 위해 관리하기 쉬운 완전-캡슐화된 환경을 제공하는 데 중점을 둔다는 점에서 통상의 가상화 기술과는 다르다.
컨테이너의 사용은 때때로 많은 어플리케이션이 단일 가상 서버에 배치될 수 있도록 함으로써 컴퓨트 밀도를 증가시키기 때문에 바람직하다. 그러나, 이러한 컨테이너의 특징은 또한 공격 표면을 증가시킨다. 공격자는 종종 단일 컨테이너를 손상시키고 횡방향으로 이동한다. 즉, 하나의 감염된 컨테이너는 특히 다른 컨테이너가 부적절하게 구성된 경우 이벤트의 체인으로 이어질 수 있다. 통상적으로, 사용자는 다양한 레벨의 가시성과 복잡성을 포함하는 이종 클라우드 인프라스트럭처에 의존한다. 일부 경우에, 사용자는 예를 들어, 소프트웨어 개발 및 IT 운영(DevOps) 프로세스에 초기에 보안을 통합하고 소급적으로 해결하기 어려울 수 있는 방식으로 시스템의 손상을 피한다. 제어 평면 이벤트의 모니터링은 컨테이너에 의존하는 클라우드-기반 인프라스트럭처를 모니터링하는 전체 시스템에서 사용될 수 있는 컨테이너의 시작 및 중지와 같은 컨테이너 양태로 가시성을 제공한다. 이러한 제어 평면 이벤트 모니터링은 CPU, 저장소 및 메모리 사용량과 같은 컨테이너 내부 양태에 대한 정보를 제공하는, 예를 들어, 에이전트-기반 모니터와 같은 다른 모니터링 시스템을 보완할 수 있다. 제어 평면 이벤트는 예를 들어, 재배선, 새로운 시스템의 스핀 업(spin up), 메모리 추가, 새로운 디스크, 사용자 추가 등과 같이 컨테이너를 지원하는 클라우드-기반 데이터 센터 인프라스트럭처의 물리적 하드웨어와 관련된 중요한 정보를 추가한다.
본 교시의 제어 평면 이벤트 모니터링을 위한 시스템 및 방법의 다른 특징은 클라우드-네이티브(즉, 클라우드를 위해 특별히 설계된), 플랫폼-독립적인, 포괄적인 모니터링 어플리케이션 세트를 제공한다는 것이다. 본 교시의 모니터링 방법의 결과 및 모니터링 시스템의 출력은 클라우드-기반 인프라스트럭처에서 진행 중인 이벤트와 관련하여 사용자에게 합성되고 컨텍스트화된(contextualized) 데이터를 제공할 수 있다. 일례에서, 시스템 및 방법으로부터의 결과와 출력은 알려진 보안 어플리케이션의 포괄적인 세트를 지원할 수 있기 때문에 광범위한 활동에 걸쳐 사이버 위협을 수습하는 데 도움이 된다.
본 교시의 시스템의 또 다른 특징은 비용-효과적인 방식으로 클라우드-기반 컴퓨팅 아키텍처에 분산된 프로세싱 자산을 활용한다는 것이다. 결과적으로, 시스템은 모니터링되는 정보 시스템이 성장함에 따라 비용-효과적인 모듈식 방식으로 확장된다. 이는 적어도 부분적으로, 정보 시스템 수요가 확장됨에 따라 확장될 수 있고 정보 시스템 수요가 감소할 때 축소될 수 있는 클라우드-기반 프로세싱 자원에 의존하기 때문이다. 또한, 해당 시스템은 구성 가능한 소프트웨어-어플리케이션-기반 모니터링 접근법을 지원하여 새로운 컴퓨터 인프라스트럭처 관리, 준수, 보안 위협 및 새로운 모니터링 어플리케이션의 추가를 또한 쉽게 수용한다. 이는 보안 및 모니터링을 위한 개별 지점 해결책이 특수하고 비싼 하드웨어를 필요로 하고 더 작은 보안 및 모니터링 어플리케이션의 묶음을 제공하는 알려진 시스템과 대조된다.
균등물
출원인의 교시가 다양한 실시예와 관련하여 설명되었지만, 출원인의 교시는 이러한 실시예로 제한되는 것으로 의도되지 않는다. 반대로, 출원인의 교시는 본 기술 분야의 통상의 기술자에 의해 이해될 바와 같이, 본 교시의 사상 및 범위를 벗어나지 않고 그 안에서 이루어질 수 있는 다양한 대안, 수정 및 균등물을 포함한다.

Claims (33)

  1. 클라우드-기반 제어-평면-이벤트 모니터링 방법으로서,
    a) 제1 클라우드 환경과 연관된 클라우드-기반 요소로부터 제어-평면 이벤트들을 수신하는 단계;
    b) 제2 클라우드 환경과 연관된 클라우드-기반 요소로부터 제어-평면 이벤트들을 수신하는 단계;
    c) 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경과 연관된 클라우드-기반 요소들로부터의 상기 제어-평면 이벤트들로부터 다중-소스 데이터 세트를 생성하는 단계;
    d) 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경의 속성들에 기초하여 상기 다중-소스 데이터 세트를 평가하여 공통 이벤트 데이터 세트를 생성하는 단계; 및
    e) 결과를 생성하기 위해 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  2. 제1항에 있어서,
    상기 결과는 경보를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  3. 제1항에 있어서,
    상기 결과는 정책 위반을 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  4. 제1항에 있어서,
    잡음이 있는 정규화된 데이터를 제거하기 위해 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계를 더 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  5. 제1항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경의 속성들에 기초하여 상기 다중-소스 데이터 세트를 평가하는 단계는 상기 다중-소스 데이터 소스의 적어도 2개의 이벤트의 별개의 속성들을 비교하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  6. 제1항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경의 속성들에 기초하여 상기 다중-소스 데이터 세트를 평가하는 단계는 상기 다중-소스 데이터 세트의 제1 이벤트의 속성을 공통 이벤트 속성으로 카테고리화하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  7. 제6항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경의 속성들에 기초하여 상기 다중-소스 데이터 세트를 평가하는 단계는 상기 다중-소스 데이터 세트의 제2 이벤트의 속성을 공통 이벤트 속성으로 카테고리화하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  8. 제1항에 있어서,
    상기 결과를 생성하기 위해 상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계는 위협 평가를 생성하기 위해 위협 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  9. 제1항에 있어서,
    상기 결과를 생성하기 위해 상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계는 취약성 평가를 생성하기 위해 취약성 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  10. 제1항에 있어서,
    상기 결과를 생성하기 위해 상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계는 준수 평가를 생성하기 위해 준수 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  11. 제1항에 있어서,
    상기 클라우드-기반 요소들 중 적어도 하나는 클라우드-기반 컴퓨터인, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  12. 제1항에 있어서,
    상기 클라우드-기반 요소들 중 적어도 하나는 클라우드-기반 가상 머신인, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  13. 제1항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 각각의 하나와 연관된 상기 클라우드-기반 요소들로부터 상기 제어-평면 이벤트들을 수신하는 단계는 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 각각의 하나의 상기 클라우드-기반 요소들 중 적어도 하나의 운영 체제 커널로부터 실시간 연속 이벤트 정보를 수신하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  14. 제1항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 각각의 하나와 연관된 상기 클라우드-기반 요소들로부터 상기 제어-평면 이벤트들을 수신하는 단계는 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 각각의 하나의 상기 클라우드-기반 요소들 중 적어도 하나의 운영 체제 커널 상에서 실행되는 컨테이너화(containerization) 플랫폼으로부터 실시간 연속 이벤트 정보를 수신하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  15. 제1항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경과 연관된 상기 클라우드-기반 요소들로부터 상기 제어-평면 이벤트들을 수신하는 단계는 상기 제1 클라우드 환경과 동일한 운영 체제 상에서 실행되는 에이전트로부터 실시간 연속 이벤트 정보를 수신하는 단계를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 방법.
  16. 클라우드-기반 제어-평면-이벤트 모니터링 시스템으로서,
    a) 제1 클라우드 환경 및 제2 클라우드 환경과 연관된 클라우드-기반 요소들로부터 제어-평면 이벤트들을 수신하는 입력들을 갖는 수집 프로세서;
    b) 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경과 연관된 상기 클라우드-기반 요소들로부터 수신된 상기 제어-평면 이벤트들을 입수하여 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경과 연관된 상기 클라우드-기반 요소들로부터의 상기 제어-평면 이벤트들로부터 다중-소스 데이터 세트를 생성하는 입수 프로세서;
    c) 상기 제1 클라우드 환경 및 상기 제2 클라우드 환경의 속성들에 기초하여 상기 다중-소스 데이터 세트를 평가하고 공통 이벤트 데이터 세트를 생성하는 평가 프로세서; 및
    d) 결과를 생성하기 위해 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 프로세서를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  17. 제16항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경과 연관된 상기 클라우드-기반 요소들을 더 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  18. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 가상 머신을 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  19. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 가상 머신을 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  20. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 중앙 처리 장치를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  21. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 컴퓨팅 서비스들의 어레이를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  22. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 저장 서비스들의 어레이를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  23. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 네트워킹 서비스들의 어레이를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  24. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 클라우드 이전(migration) 서비스들의 어레이를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  25. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 부하 밸런싱 도구들을 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  26. 제17항에 있어서,
    상기 제1 클라우드 환경 및 상기 제2 클라우드 환경 중 적어도 하나와 연관된 상기 클라우드-기반 요소들은 소프트웨어 개발 도구들을 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  27. 제16항에 있어서,
    상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 상기 프로세서는 경보를 생성하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  28. 제16항에 있어서,
    상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 상기 프로세서는 정책 위반을 생성하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  29. 제16항에 있어서,
    상기 규칙 세트를 사용하여 상기 공통 이벤트 데이터 세트를 프로세싱하는 상기 프로세서는 잡음이 있는 정규화된 데이터를 제거하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  30. 제16항에 있어서,
    상기 공통 이벤트 데이터 세트를 프로세싱하는 상기 프로세서는 파이프라인 프로세서를 포함하는, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  31. 제16항에 있어서,
    상기 수집 프로세서 및 상기 입수 프로세서는 동일한 프로세서인, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  32. 제16항에 있어서,
    상기 수집 프로세서 및 상기 평가 프로세서는 동일한 프로세서인, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
  33. 제16항에 있어서,
    상기 입수 프로세서 및 상기 평가 프로세서는 동일한 프로세서인, 클라우드-기반 제어-평면-이벤트 모니터링 시스템.
KR1020217023564A 2018-12-24 2019-12-18 클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법 KR20210096687A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862784643P 2018-12-24 2018-12-24
US62/784,643 2018-12-24
US16/297,059 US10951496B2 (en) 2018-12-24 2019-03-08 System and method for cloud-based control-plane event monitor
US16/297,059 2019-03-08
PCT/US2019/067087 WO2020139654A1 (en) 2018-12-24 2019-12-18 System and method for cloud-based control-plane event monitor

Publications (1)

Publication Number Publication Date
KR20210096687A true KR20210096687A (ko) 2021-08-05

Family

ID=71099362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217023564A KR20210096687A (ko) 2018-12-24 2019-12-18 클라우드-기반 제어-평면 이벤트 모니터를 위한 시스템 및 방법

Country Status (5)

Country Link
US (2) US10951496B2 (ko)
EP (1) EP3903467A4 (ko)
KR (1) KR20210096687A (ko)
CN (1) CN113228587B (ko)
WO (1) WO2020139654A1 (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10440153B1 (en) 2016-02-08 2019-10-08 Microstrategy Incorporated Enterprise health score and data migration
US11283900B2 (en) 2016-02-08 2022-03-22 Microstrategy Incorporated Enterprise performance and capacity testing
US10817157B2 (en) 2018-12-20 2020-10-27 Nutanix, Inc. User interface for database management services
US11010336B2 (en) 2018-12-27 2021-05-18 Nutanix, Inc. System and method for provisioning databases in a hyperconverged infrastructure system
US11816066B2 (en) 2018-12-27 2023-11-14 Nutanix, Inc. System and method for protecting databases in a hyperconverged infrastructure system
US11263111B2 (en) 2019-02-11 2022-03-01 Microstrategy Incorporated Validating software functionality
US11409644B2 (en) 2019-03-11 2022-08-09 Microstrategy Incorporated Validation of mobile device workflows
US11308219B2 (en) 2019-07-19 2022-04-19 F5, Inc. System and method for multi-source vulnerability management
US11637748B2 (en) 2019-08-28 2023-04-25 Microstrategy Incorporated Self-optimization of computing environments
US11210189B2 (en) 2019-08-30 2021-12-28 Microstrategy Incorporated Monitoring performance of computing systems
US11354216B2 (en) * 2019-09-18 2022-06-07 Microstrategy Incorporated Monitoring performance deviations
US11360881B2 (en) 2019-09-23 2022-06-14 Microstrategy Incorporated Customizing computer performance tests
US11210262B2 (en) * 2019-09-25 2021-12-28 Sap Se Data ingestion application for internet of devices
US11438231B2 (en) * 2019-09-25 2022-09-06 Microstrategy Incorporated Centralized platform management for computing environments
US11966774B2 (en) 2019-10-25 2024-04-23 Microstrategy Incorporated Workflow generation using multiple interfaces
US11604705B2 (en) 2020-08-14 2023-03-14 Nutanix, Inc. System and method for cloning as SQL server AG databases in a hyperconverged system
US11907167B2 (en) 2020-08-28 2024-02-20 Nutanix, Inc. Multi-cluster database management services
US11640340B2 (en) 2020-10-20 2023-05-02 Nutanix, Inc. System and method for backing up highly available source databases in a hyperconverged system
US11604806B2 (en) 2020-12-28 2023-03-14 Nutanix, Inc. System and method for highly available database service
US20220294818A1 (en) * 2021-03-11 2022-09-15 Virtustream Ip Holding Company Llc Management of multi-cloud workloads using relative risk ranking of cloud assets
US11892918B2 (en) 2021-03-22 2024-02-06 Nutanix, Inc. System and method for availability group database patching
US11929917B2 (en) * 2021-07-30 2024-03-12 Cisco Technology, Inc. Systems and methods for determining problematic paths between interest points in a multi-cloud environment
US11907750B2 (en) 2021-11-16 2024-02-20 VMware LLC Rate limiting of cloud account change events and state management
CN115033455B (zh) * 2022-06-18 2023-03-17 珠海市鸿瑞信息技术股份有限公司 基于tcp状态数据的设备风险监测系统及方法

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7530104B1 (en) * 2004-02-09 2009-05-05 Symantec Corporation Threat analysis
US9202225B2 (en) * 2010-05-28 2015-12-01 Red Hat, Inc. Aggregate monitoring of utilization data for vendor products in cloud networks
BR112014018142A8 (pt) * 2012-04-30 2017-07-11 Hewlett Packard Development Co Sistema de gestão automática de eventos para uma rede na nuvem, método para administrar eventos para serviços na nuvem e sistema de gerenciamento de eventos em nuvem
GB2502274B (en) * 2012-05-21 2017-04-19 Sony Corp Telecommunications systems and methods
US10397073B2 (en) * 2013-03-15 2019-08-27 Cisco Technology, Inc. Supporting programmability for arbitrary events in a software defined networking environment
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
CN103685575B (zh) * 2014-01-06 2018-09-07 洪高颖 一种基于云架构的网站安全监控方法
US20150317169A1 (en) 2014-05-04 2015-11-05 Midfin Systems Inc. Constructing and operating high-performance unified compute infrastructure across geo-distributed datacenters
EP3262815B1 (en) * 2015-02-24 2020-10-14 Cisco Technology, Inc. System and method for securing an enterprise computing environment
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
KR102052810B1 (ko) 2015-05-08 2019-12-05 사이트릭스 시스템스, 인크. 보안 소켓 계층 통신의 보안을 향상시키기 위한 시스템 및 방법
EP4202681A1 (en) 2015-10-13 2023-06-28 Schneider Electric Industries SAS Software defined automation system and architecture
US10110418B2 (en) * 2015-11-03 2018-10-23 Rancher Labs, Inc. Cloud computing service architecture
US10498605B2 (en) * 2016-06-02 2019-12-03 Zscaler, Inc. Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups
US10142362B2 (en) * 2016-06-02 2018-11-27 Zscaler, Inc. Cloud based systems and methods for determining security risks of users and groups
US10120746B1 (en) * 2016-06-14 2018-11-06 Amazon Technologies, Inc. Throttling system and method
US10380142B2 (en) * 2016-11-28 2019-08-13 Sap Se Proxy views for extended monitoring of database systems
US10791134B2 (en) 2016-12-21 2020-09-29 Threat Stack, Inc. System and method for cloud-based operating system event and data access monitoring
US10868742B2 (en) * 2017-03-29 2020-12-15 Juniper Networks, Inc. Multi-cluster dashboard for distributed virtualization infrastructure element monitoring and policy control
US11416870B2 (en) * 2017-03-29 2022-08-16 Box, Inc. Computing systems for heterogeneous regulatory control compliance monitoring and auditing
CN108334399A (zh) * 2018-01-10 2018-07-27 天津理工大学 一种基于云探针的多源异构云状态数据获取方法
US10873604B1 (en) * 2018-06-19 2020-12-22 Architecture Technology Corporation Methods and systems for reconfiguring network devices
US10812521B1 (en) * 2018-08-10 2020-10-20 Amazon Technologies, Inc. Security monitoring system for internet of things (IOT) device environments
US11218376B2 (en) * 2018-11-16 2022-01-04 Cisco Technology, Inc. Algorithmic problem identification and resolution in fabric networks by software defined operations, administration, and maintenance

Also Published As

Publication number Publication date
WO2020139654A1 (en) 2020-07-02
CN113228587A (zh) 2021-08-06
EP3903467A4 (en) 2022-09-07
CN113228587B (zh) 2023-05-23
US10951496B2 (en) 2021-03-16
US11469976B2 (en) 2022-10-11
US20200204465A1 (en) 2020-06-25
US20210184948A1 (en) 2021-06-17
EP3903467A1 (en) 2021-11-03

Similar Documents

Publication Publication Date Title
US11469976B2 (en) System and method for cloud-based control-plane event monitor
US11637855B2 (en) Systems and methods for managing cyber vulnerabilities
US11055411B2 (en) System and method for protection against ransomware attacks
KR102495750B1 (ko) 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
El Kafhali et al. Security threats, defense mechanisms, challenges, and future directions in cloud computing
Hong et al. Systematic identification of threats in the cloud: A survey
US10454950B1 (en) Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US8990948B2 (en) Systems and methods for orchestrating runtime operational integrity
US20210089647A1 (en) Asset-based security systems and methods
Hassan et al. Latest trends, challenges and solutions in security in the era of cloud computing and software defined networks
Shajan et al. Survey of security threats and countermeasures in cloud computing
US10938849B2 (en) Auditing databases for security vulnerabilities
Xiao-tao et al. Research on service-oriented cloud computing information security mechanism
Mailewa et al. A Novel Method for Moving Laterally and Discovering Malicious Lateral Movements in Windows Operating Systems: A Case Study
Kumar Intrusion detection and prevention system in enhancing security of cloud environment
Vazão et al. Implementing and evaluating a GDPR-compliant open-source SIEM solution
Berrezzouq et al. Issues and threats of data stored in cloud
Essaadi et al. Using NMAP for Data Collection in Cloud Platform
Chaudhari et al. Securing the Skies-A Critical Analysis of Cloud Infrastructure Vulnerabilities
Almadhoor et al. Detecting Malware Infection on Infrastructure Hosted in IaaS Cloud using Cloud Visibility and Forensics
WO2022229731A1 (en) Systems and methods for side scanning
US20200169580A1 (en) Identifying and circumventing security scanners