TWI514178B - 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 - Google Patents
用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 Download PDFInfo
- Publication number
- TWI514178B TWI514178B TW104111970A TW104111970A TWI514178B TW I514178 B TWI514178 B TW I514178B TW 104111970 A TW104111970 A TW 104111970A TW 104111970 A TW104111970 A TW 104111970A TW I514178 B TWI514178 B TW I514178B
- Authority
- TW
- Taiwan
- Prior art keywords
- storage
- software
- defined network
- database
- server
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Description
本發明關於一種用於資料庫、應用程式,與儲存安全的系統,特別是關於一種用於軟體定義網路中資料庫、應用程式,與儲存安全的系統。
軟體定義網路的網路組織技術已越來越為世人所接受。原則上,軟體定義網路將網路設備,如路由器、分包交換器,以及LAN交換器,的資料與控制平面,以兩者間精良的應用程式介面(API)分開。相反地,在多數大型企業網路中,路由器與其它的網路設備同時含有資料與控制平面,這對較大規模的架構如大量終端系統、虛擬機器、及虛擬網路來說,調整網路設施與操作變得很困難。因而,OpenFlow規範漸漸成為用來實現軟體定義網路的標準。
資料庫或儲存安全和軟體定義網路安全是一樣的重要。關於軟體定義網路安全運作的詳細描述,請參見第1圖。第1圖顯示一種在一軟體定義網路1中的傳統資料庫/應用程
式安全方案(該軟體定義網路1也可是一個資料網路)。在軟體定義網路1中,通常有數個節點,比如路由器、交換器、應用程式伺服器,及主機。在第1圖中,為說明方便,一路由器2,兩個LAN交換器3與3'、三個應用程式伺服器4'、5,與6,及兩個主機7與8繪示於軟體定義網路1中。路由器2連接到網際網路11,主機7經由LAN交換器3連接到軟體定義網路1。應用程式伺服器4'進一步經由一儲存網路1'與一儲存伺服器4連接。儲存網路1'可以是一個光纖通道網絡或iSCSI網路,可連接到應用程式伺服器5,以便應用程式伺服器5能分享來自儲存伺服器4的服務。儲存網路1'也可具有一交換器3"(SAN交換器),該交換器3"將儲存網路1'與其它儲存網路連接但不經由乙太網路(Ethernet)。儲存伺服器4具有一磁碟陣列12,該磁碟陣列12有兩個硬碟,與一個固態硬碟。儲存伺服器4具有伺服器虛擬化的功能,以便一雲端服務13、一郵件資料庫14,與一視頻流資料庫15藉由分享磁碟陣列12資源而建立。應用程式伺服器4'提供的應用,比如,視頻流,可來自視頻流資料庫15到硬碟實體卷的映射。應用程式伺服器6具有一硬碟16,它是一個郵件伺服器,硬碟16用為電子郵件的資料庫,供儲存相關的資料。對軟體定義網路1的運作來說,一軟體定義網路控制伺服器9包含一軟體形式的軟體定義網路控制器(如果軟體定義網路1僅是一資料網路,軟體定義網路控制伺服器9就不是必要的)。軟體定義網路控制伺服器9可以依直接編程
來配置及控制網路,其架構能由應用程式與網路服務抽象化而來。
對稽核與安全的目的來說,軟體定義網路1進一步具有一安全單元10,其監聽軟體定義網路1中,某些或所有節點的埠。安全單元10檢查軟體定義網路1中傳輸的封包,以登錄或追蹤相關的資料庫活動。它可以在發現任何異常狀態時提供警告。每一節點具有各自的保護機制,網管人員可以操縱保護機制來調節節點對應該異常狀態。從而,軟體定義網路1能順利安全地運作。安全單元10也能是在軟體定義網路控制伺服器9運行的應用程式,而非一台獨立的機器。
不過,以整體安全而言,在傳統軟體定義網路1中還是存在一些問題值得關注,其中最顯著的就是安全漏洞。比如,假設磁碟陣列12中的硬碟與固態硬碟來自相同的製造商,它們可能會被設定每天自動地複製固態硬碟內容到某一硬碟中。安全漏洞可能會發生於硬碟的卷改變之後,儲存資料改變但安全單元10並未發覺,由儲存伺服器4提供的服務改變卷中的內容但無法被偵測。安全漏洞相似的狀況也發生在當一儲存卷映射到其它卷中時、當儲存卷錯誤地被指定給無權使用的用戶時,或上述的幾個狀況的組合。當然,這些問題有些可以通過單一供應商的解決方案來解決。然而,如果該些儲存設備是"跨平台"或"多平台",問題還是會存在。
另一個問題是關於可擴展性。如上所述,安全單元10是在一旁監測所有或選定的埠。如果來自用戶(主機)的存取請求在軟體定義網路1中或來自網際網路大量增加,對由儲存伺服器4提供儲存服務的應用程式伺服器4'來說,軟體定義網路1的流量太大,以至於安全單元10不可能聚集所有的封包並即時分析它們。即便所謂的"深度封包檢測",其架構也無法承受規模增長。
因此,為了解決上述的問題,需要一種用於資料庫、應用程式,與儲存安全的系統。特別是,該系統能用於軟體定義儲存的功能,並可運作於一軟體定義網路環境中。
本段文字提取和編譯本發明的某些特點。其它特點將被揭露於後續段落中。其目的在涵蓋附加的申請專利範圍之精神和範圍中,各式的修改和類似的排列。
為了解決以上問題,本發明提供一種用於軟體定義網路中資料庫、應用程式,與儲存安全的系統。該系統包括:一軟體定義網路控制伺服器,用以管理該軟體定義網路中所有的節點;一資料庫監視伺服器,用以接收在該軟體定義網路中傳輸的封包、登錄資料庫或來自該些封包的應用程式活動,及為稽查與安全考量追蹤該資料庫或應用程式活動;一儲存設施,具有複數個儲存設備,用以映射軟體定義儲存設備到該些儲存設備中的一個或多個卷,及依照來自該些節點
的請求提供應用程式及/或資料庫服務;及一儲存安全網關伺服器,具有一儲存安全模組,連接到該儲存設施與該軟體定義網路的一節點,用以監視該儲存設施的資料流量、與該軟體定義網路控制伺服器溝通、登錄應用程式與資料庫的運作到軟體定義儲存中、儲存應用程式與資料庫的運作,及提供一不正常訊息到該資料庫監視伺服器,該不正常訊息由一事件所觸發。
依照本發明,該儲存安全網關伺服器進一步包含一軟體定義儲存控制器模組,用以指定、配置與監視該儲存設施中的儲存設備。該儲存安全網關伺服器進一步與該軟體定義網路控制伺服器經由可編程埠通訊。該儲存安全網關伺服器進一步發送該儲存設施中改變的卷的紀錄到一緩衝存儲設備,其中該改變的卷由該事件所導致。該儲存安全網關伺服器進一步對該儲存設施改變的卷進行快照。該事件為一未授權請求要求資料複製、映射同步,或刪除、來自一未授權主機的一請求要求存取該儲存設備,或未定義資料流量發生在該儲存設施中二儲存設備間或在該儲存設施中一儲存設備與一外部儲存設備間。該儲存安全網關伺服器在該不正常訊息發出之前或之後,停止該事件的請求與該事件的處理流程。該儲存安全模組為運行在儲存安全網關伺服器或一硬體設備的應用程式軟體。
最好,該儲存設備為硬碟、固態硬碟,或前述二者的組合。該儲存安全網關伺服器進一步經由一乙太網連接線路,連接到該軟體定義網路。
本發明也提供另一種用於軟體定義網路中資料庫、應用程式,與儲存安全的系統。該系統包括:一軟體定義網路控制伺服器,具有資料庫監視軟體,用以管理該軟體定義網路中所有的節點、接收在該軟體定義網路中傳輸的封包、登錄資料庫或來自該些封包的應用程式活動,及為稽查與安全考量追蹤該資料庫或應用程式活動;一儲存設施,具有複數個儲存設備,用以映射軟體定義儲存設備到該些儲存設備中的一個或多個卷,及依照來自該些節點的請求提供應用程式及/或資料庫服務;及一儲存安全網關伺服器,具有一儲存安全模組,連接到該儲存設施與該軟體定義網路的一節點,用以監視該儲存設施的資料流量、與該軟體定義網路控制伺服器溝通、登錄應用程式與資料庫的運作到軟體定義儲存中、儲存應用程式與資料庫的運作,及提供一不正常訊息到該資料庫監視伺服器,該不正常訊息由一事件所觸發。
依照本發明,該儲存安全網關伺服器進一步包含一軟體定義儲存控制器模組,用以指定、配置與監視該儲存設施中的儲存設備。該儲存安全網關伺服器進一步與該軟體定義網路控制伺服器經由可編程埠通訊。該儲存安全網關伺服器進一步發送該儲存設施中改變的卷的紀錄到一緩衝存儲設備,
其中該改變的卷由該事件所導致。該儲存安全網關伺服器進一步對該儲存設施改變的卷進行快照。該事件為一未授權請求要求資料複製、映射同步,或刪除、來自一未授權主機的一請求要求存取該儲存設備,或未定義資料流量發生在該儲存設施中二儲存設備間或在該儲存設施中一儲存設備與一外部儲存設備間。該儲存安全網關伺服器在該不正常訊息發出之前或之後,停止該事件的請求與該事件的處理流程。該儲存安全模組為運行在儲存安全網關伺服器或一硬體設備的應用程式軟體。
最好,該儲存設備為硬碟、固態硬碟,或前述二者的組合。該儲存安全網關伺服器進一步經由一乙太網連接線路,連接到該軟體定義網路。
儲存安全網關伺服器能由觀察資料庫監視伺服器能接觸到的儲存設備的操作狀況,分擔資料庫監視伺服器的負擔,從而能篩選出安全漏洞的問題,儲存安全甚或是網路安全就能達成。此外,資料庫監視伺服器能持續接收封包,而安全漏洞問題篩選的工作是分散到一或多個儲存安全網關伺服器中,即便軟體定義網路變得越來越大且更多的節點加入其中,該架構亦可很順利地工作。可擴展性不會成為軟體定義網路的困擾。
1‧‧‧軟體定義網路
1'‧‧‧儲存網路
2‧‧‧路由器
3‧‧‧交換器
3'‧‧‧交換器
3"‧‧‧交換器
4‧‧‧儲存伺服器
4'‧‧‧應用程式伺服器
5‧‧‧應用程式伺服器
6‧‧‧應用程式伺服器
7‧‧‧主機
8‧‧‧主機
9‧‧‧軟體定義網路控制伺服器
10‧‧‧安全單元
11‧‧‧網際網路
12‧‧‧磁碟陣列
13‧‧‧雲端服務
14‧‧‧郵件資料庫
15‧‧‧視頻流資料庫
16‧‧‧硬碟
20‧‧‧系統
20a‧‧‧系統
21‧‧‧軟體定義網路
21'‧‧‧儲存網路
21"‧‧‧乙太網連接線路
200‧‧‧軟體定義網路控制伺服器
201‧‧‧軟體定義網路控制伺服器
210‧‧‧資料庫監視伺服器
220‧‧‧儲存安全網關伺服器
220'‧‧‧應用程式伺服器
221‧‧‧儲存安全模組
222‧‧‧軟體定義儲存控制器模組
230‧‧‧儲存設施
231‧‧‧第一硬碟
232‧‧‧第二硬碟
233‧‧‧固態硬碟
234‧‧‧雲端應用程式
235‧‧‧郵件資料庫
236‧‧‧視頻流資料庫
250‧‧‧應用程式伺服器
251‧‧‧第四硬碟
260‧‧‧第一主機
270‧‧‧第二主機
280‧‧‧第三主機
第1圖顯示在軟體定義網路中,一種傳統的資料庫/應用程式安全方案。
第2圖為依照本發明,一種用於資料庫、應用程式,與儲存安全的系統。
第3圖描述一儲存安全網關伺服器的架構。
第4圖為依照本發明,另一種用於資料庫、應用程式,與儲存安全的系統。
第5圖描述一軟體定義網路控制伺服器的架構。
本發明將藉由參照下列的實施方式而更具體地描述。
請見第2圖與第3圖,該些圖示描述依照本發明,在一軟體定義網路21中一種用於資料庫、應用程式,與儲存安全的系統20的實施例。系統20的元件由一虛線框所環繞。系統20包括一軟體定義網路控制伺服器200、一資料庫監視伺服器210、一儲存安全網關伺服器220,與一儲存設施230。在軟體定義網路21中,有可能具有其它的節點,比如主機、路由器、交換器,與轉接器。系統10能經由許多節點的連結,應用到軟體定義網路上。以下詳細說明每個元件的功能。
軟體定義網路控制伺服器200是用來操作軟體定義網路21的主要元件,它由指定往來節點間封包的流量,管理軟體定義網路21中所的節點。雖然第2圖僅顯示數個主機請求軟體定義儲存設備,對應用程式或資料庫服務進行存取,事實上,軟體定義網路中應有數以萬計的主機,由眾多的交換器與路由器連結。第2圖僅用於說明,聚焦在系統20在軟體定義網路21中如何運作及表現。
資料庫監視伺服器210能接收軟體定義網路21中傳輸的封包。它附於軟體定義網路21上,監聽所有或部分節點的埠。因此,資料庫監視伺服器210能登錄資料庫或來自封包的應用程式活動,進一步為稽核與安全的目的,追蹤該資料庫或應用程式活動。
儲存安全網關伺服器220具有兩個模組:一儲存安全模組221與一軟體定義儲存控制器模組222,如第3圖所示。一應用程式伺服器220'是軟體定義網路21中的一節點,並經由一儲存網路21'連接到儲存安全網關伺服器220。應用程式伺服器220'能依照來自軟體定義網路21其它節點(主機)的請求,提供數個服務。儲存安全網關伺服器220進一步直接連接儲存設施230,並經由應用程式伺服器220'連接軟體定義網路21。如昔知技術中所提到的,儲存網路21'可以是一個光纖通道網路或一個iSCSI網路。它連接到其它應用程式伺服器(未繪示),以便其它應用程式伺服器能分享來自儲存設施230的服務。軟
體定義儲存控制器模組222能指定、配置與監視儲存設施230中的儲存設備。該些儲存設備可能都是硬碟,也可能都是固態硬碟。最常見的是該些儲存設備是硬碟與固態硬碟的混合組合。在本實施例中有三個儲存設備:一第一硬碟231、一第二硬碟232,與一固態硬碟233。因此,儲存安全網關伺服器220扮演儲存控制伺服器的角色。儲存設施230能從儲存設備的一個卷或多個卷中映射為軟體定義儲存設備,且依照來自軟體定義網路21中節點的請求,提供給應用程式及/或資料庫服務。從而,應用程式伺服器220'能從儲存設施230中提供一特定的服務(應用程式或資料庫)。為了說明的目的,以一雲端應用程式234、一郵件資料庫235,與一視頻流資料庫236作為服務說明。
要強調的是雖然有三個儲存設備用來描述本發明,實作上,一個儲存設施可能具有數百到數千個儲存設備。儲存設施也可以是一個磁碟陣列(RAID)。
藉由儲存安全模組221,儲存安全網關伺服器220能監視儲存設施230中儲存設備的資料流量。比如,軟體定義網路21中的節點有二主機,一第一主機260與一第二主機270。它們被授權可對郵件服務電子,存取應用程式伺服器220',而應用程式伺服器220'獲得儲存安全網關伺服器220提供的儲存功能。當然,二主機是用來說明本發明,軟體定義網路21實際上應有很多數量的主機(或其它形式的節點)。第一硬碟231
與第二硬碟232指定給郵件資料庫235,用來儲存來自第一主機260與第二主機270的電子郵件。這些資料依照儲存安全網關伺服器220設定的原則,可能實體上儲存於第一硬碟231與第二硬碟232的特定卷中。例如,第一主機260指定給第一硬碟231的一第一卷,第二主機270指定給第二硬碟232的一第二卷。在儲存設備間傳輸的每一個封包,將由儲存安全網關伺服器220所監視。
儲存安全網關伺服器220進一步經由一乙太網連接線路21",連接到軟體定義網路21,以便儲存安全網關伺服器220能與資料庫監視伺服器210及軟體定義網路控制伺服器200溝通。當然,儲存安全網關伺服器220與軟體定義網路控制伺服器200間的連接可經應用程式伺服器220'而達成,視網路的設計而定。同時,它能登錄應用程式與資料庫運作,並儲存應用程式與資料庫的運作,前述的應用程式與資料庫(在此實施例中為電子郵件活動)映射到軟體定義儲存設備。最好,儲存安全網關伺服器220經軟體定義網路控制伺服器200的可編程埠(屬於作業系統或一應用程式服務),與軟體定義網路控制伺服器200進行通訊。
非常重要的是儲存安全網關伺服器220能提供一不正常訊息給資料庫監視伺服器210,這不正常訊息是由一事件所觸發。此處,事件可以由資料庫監視伺服器210與儲存安全網關伺服器220間的營運方針來界定。該營運方針定義發生於
儲存設備中,任何不正常(或未授權)的情況,前述的狀況無法由資料庫監視伺服器210藉"監測"封包而偵測出,因此造成安全漏洞。比如,來自第一主機260的一未授權請求要求第二硬碟232進行資料複製、資料同步映射,甚或是資料刪除。實際上,這可能是一個使用者要獲取其它電子郵件服務,比如備份他的電子郵件或移除所有很久之前收發的電子郵件。雖然第一主機260被授權存取儲存安全網關伺服器220,任何未授權命令或請求應在它危及儲存設施230運作前被注意到。該事件也可能是要求存取一未授權儲存設備的一個請求。比如,一未授權第三主機280想要存取固態硬碟233。此外,某些儲存設備間的預設動作,雖未被該營運方針允許,也能被視為該事件。比如,儲存設備製造商可能有提供他們儲存設備間相互資料備份的功能,比如,第二硬碟232與固態硬碟233相互備份資料。未定義資料流量發生在二儲存設備之間。未定義資料流量不僅存在於儲存設備之間,也可發生在儲存設施230之一儲存設備與一外部儲存設備間,比如,固態硬碟233與一第四硬碟251間。如果這樣的資料流量為儲存安全網關伺服器220所發現,該不正常訊息就應被觸發。
要強調的是在本實施例裡,雖然只有一個儲存安全網關伺服器220與一個儲存設施230使用於軟體定義網路21中,事實上,對任何的軟體定義網路來說,儲存設施的數量並不限定,數個儲存設施能同時在線運作並與資料庫監視伺服器
210互動。此外,除了管理員,資料庫監視伺服器210也能通知儲存安全網關伺服器220,來安排新的儲存設備組態給受該事件影響的一應用程式或資料庫。或者,依照該營運方針,儲存安全網關伺服器220能自動安排儲存設備組態並接著反饋這改變給資料庫監視伺服器210。比如,郵件資料庫235的反應時間超過其定義的時間,儲存安全網關伺服器220將交換儲存設備,由第二硬碟232變成固態硬碟233,而第一硬碟231仍用於郵件資料庫235。
在實施例的一個例子中,儲存安全網關伺服器220能進一步經由一應用程式伺服器250,發送儲存設施230中改變的卷的紀錄到一緩衝存儲設備,即第四硬碟251。事實上,緩衝存儲設備可以是任何連接到軟體定義網路21的儲存設備,甚至是儲存安全網關伺服器220內的一個儲存設備或儲存設施230中任何可用的儲存設備。前述改變的卷由該上述界定的事件所導致,該紀錄能被用於後續對該事件的分析。如果需要,該儲存安全網關伺服器220可進行推回(rolling back)作業。那麼,儲存安全網關伺服器220可快取儲存設施230改變的卷的影像,用於之後資料庫的推回作業。為了實現這樣的目的,儲存安全網關伺服器220可以提供應用程式介面(API),以與其它資料庫/應用程式工具或模組溝通,以保護整個儲存設施230。這樣的工具或模組能幫助重建儲存的影像,並測試出其它那些儲存設施230內的檔案或資料可能被非法存取。
如果事件涉關儲存安全嚴重的漏洞,儲存安全網關伺服器220能在該不正常訊息發出之前或之後,停止該事件的請求與該事件的處理流程。這樣能防止儲存設施230中的儲存設備受緊急事件的損害。
實作上,儲存安全模組221可以是運行在儲存安全網關伺服器220的應用程式軟體,或者是一個硬體設備,使儲存安全網關伺服器220的功能分散到兩個機器中。也就是說,有兩個伺服器連接到儲存設施230。一個用來運作儲存設施230及提供來自儲存設施230的服務(應用程式或資料庫),而另外一個負責儲存安全。
由以上描述可知,很明顯,儲存安全網關伺服器220的儲存安全模組221能由監視儲存設施230中儲存設備的操作狀況,分擔傳統資料庫監視伺服器的工作負擔,而該些儲存設備是傳統資料庫監視伺服器無法顧及的,從而就能篩選出安全漏洞的問題,達成儲存安全甚或是網路安全。此外,資料庫監視伺服器210能持續接收封包,而安全漏洞問題的篩選工作分佈到一或多個儲存安全網關伺服器220中。這架構能順利運作,即便軟體定義網路21變得越來越大,且更多的節點(比如主機)加入。可擴展性不會是系統10的困難挑戰。
依照本發明的精神,資料庫監視伺服器210無須是一台獨立的機器,它可以是在軟體定義網路控制伺服器作業系統中運作的軟體。在本實施例中,前述的架構描述於第4圖中,
軟體定義網路控制伺服器的詳細解說繪示於第5圖。使用第2圖中相同的元件,一系統20a包含了一軟體定義網路控制伺服器201、該儲存安全網關伺服器220,及儲存設施230。儲存安全網關伺服器220與儲存設施230的功能及運作方式圖同前所述,無須重複說明。軟體定義網路控制伺服器201具有一資料庫監視軟體。從而,軟體定義網路控制伺服器201能不僅管理軟體定義網路21中所有的節點,也能接受軟體定義網路21中傳輸的封包、登錄資料庫或來自封包的應用程式活動,並為了稽核與安全考量,追蹤該資料庫或應用程式活動。易言之,軟體定義網路控制伺服器201合併了前一實施例中的軟體定義網路控制伺服器200與資料庫監視伺服器210。
本發明提供了幾個額外的好處。先前的資料庫效能調整工具偵測儲存設備的指令與回應時間。資料庫管理員,以經驗並耗時費工分析登錄/追蹤資料後,手動嘗試重新分佈資料紀錄及/或儲存塊大小來增進其效能。而藉由新提出的架構,儲存安全網關伺服器與軟體定義網路控制伺服器進行通訊,並接收及分析結果。儲存安全網關伺服器能基於該營運方針,自動執行重新分佈資料庫到不同的儲存層(諸如由硬碟到固態硬碟)或其它的運作中。該儲存安全網關伺服器能備用作為QoS工具,以達成軟體定義儲存或軟體定義網路的需求。此外,本發明可促使資料虛擬實現(整個系統影像或環境)。藉由儲存安全網關伺服器定義的軟體定義儲存與營
運方針之快照功能,能於遇到問題的一個關注時間點,立即建構資料虛擬實現,而不是僅對最新的系統環境與資料登錄進行推回作業。
雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
20‧‧‧系統
21‧‧‧軟體定義網路
21'‧‧‧儲存網路
21"‧‧‧乙太網連接線路
200‧‧‧軟體定義網路控制伺服器
210‧‧‧資料庫監視伺服器
220‧‧‧儲存安全網關伺服器
220'‧‧‧應用程式伺服器
221‧‧‧儲存安全模組
222‧‧‧軟體定義儲存控制器模組
230‧‧‧儲存設施
231‧‧‧第一硬碟
232‧‧‧第二硬碟
233‧‧‧固態硬碟
234‧‧‧雲端應用程式
235‧‧‧郵件資料庫
236‧‧‧視頻流資料庫
250‧‧‧應用程式伺服器
251‧‧‧第四硬碟
260‧‧‧第一主機
270‧‧‧第二主機
280‧‧‧第三主機
Claims (20)
- 一種用於軟體定義網路中資料庫、應用程式,與儲存安全的系統,包含:一軟體定義網路控制伺服器,用以管理與控制該軟體定義網路中所有的節點的存取;一資料庫監視伺服器,用以接收在該軟體定義網路中傳輸的封包、登錄資料庫或來自該些封包的應用程式活動,及為稽查與安全考量追蹤該資料庫或應用程式活動;一儲存設施,具有複數個儲存設備,用以映射軟體定義儲存設備到該些儲存設備中的一個或多個卷,及依照來自該些節點的請求對應用程式及/或資料庫進行存取;及一儲存安全網關伺服器,具有一儲存安全模組,連接到該儲存設施與該軟體定義網路的一節點,用以監視該儲存設施的資料流量、與該軟體定義網路控制伺服器溝通、登錄應用程式與資料庫的運作到軟體定義儲存中、儲存應用程式與資料庫的運作,及提供一不正常訊息到該資料庫監視伺服器,該不正常訊息由一事件所觸發。
- 如申請專利範圍第1項所述之系統,其中該儲存安全網關伺服器進一步包含一軟體定義儲存控制器模組,用以指定、配置與監視該儲存設施中的儲存設備。
- 如申請專利範圍第1項所述之系統,其中該儲存安全網關伺服器進一步與該軟體定義網路控制伺服器經由可編程埠通訊。
- 如申請專利範圍第1項所述之系統,其中該儲存安全網關伺服器進一步發送該儲存設施中改變的卷的紀錄到一緩衝存儲設備,其中該改變的卷由該事件所導致。
- 如申請專利範圍第4項所述之系統,其中該儲存安全網關伺服器進一步對該儲存設施改變的卷進行快照。
- 如申請專利範圍第1項所述之系統,其中該事件為一未授權請求要求資料複製、映射同步,或刪除、來自一未授權主機的一請求要求存取該儲存設備,或未定義資料流量發生在該儲存設施中二儲存設備間或在該儲存設施中一儲存設備與一外部儲存設備間。
- 如申請專利範圍第1項所述之系統,其中該儲存安全網關伺服器在該不正常訊息發出之前或之後,停止該事件的請求與該事件的處理流程。
- 如申請專利範圍第1項所述之系統,其中該儲存安全模組為運行在儲存安全網關伺服器或一硬體設備的應用程式軟體。
- 如申請專利範圍第1項所述之系統,其中該儲存設備為硬碟、固態硬碟,或前述二者的組合。
- 如申請專利範圍第1項所述之系統,其中該儲存安全網關 伺服器進一步經由一乙太網連接線路,連接到該軟體定義網路。
- 一種用於軟體定義網路中資料庫、應用程式,與儲存安全的系統,包含:一軟體定義網路控制伺服器,具有資料庫監視軟體,用以管理與控制該軟體定義網路中所有的節點的存取、接收在該軟體定義網路中傳輸的封包、登錄資料庫或來自該些封包的應用程式活動,及為稽查與安全考量追蹤該資料庫或應用程式活動;一儲存設施,具有複數個儲存設備,用以映射軟體定義儲存設備到該些儲存設備中的一個或多個卷,及依照來自該些節點的請求對應用程式及/或資料庫進行存取;及一儲存安全網關伺服器,具有一儲存安全模組,連接到該儲存設施與該軟體定義網路的一節點,用以監視該儲存設施的資料流量、與該軟體定義網路控制伺服器溝通、登錄應用程式與資料庫的運作到軟體定義儲存中、儲存應用程式與資料庫的運作,及提供一不正常訊息到該資料庫監視伺服器,該不正常訊息由一事件所觸發。
- 如申請專利範圍第11項所述之系統,其中該儲存安全網關伺服器進一步包含一軟體定義儲存控制器模組,用以指定、 配置與監視該儲存設施中的儲存設備。
- 如申請專利範圍第11項所述之系統,其中該儲存安全網關伺服器進一步與該軟體定義網路控制伺服器經由可編程埠通訊。
- 如申請專利範圍第11項所述之系統,其中該儲存安全網關伺服器進一步發送該儲存設施中改變的卷的紀錄到一緩衝存儲設備,其中該改變的卷由該事件所導致。
- 如申請專利範圍第14項所述之系統,其中該儲存安全網關伺服器進一步對該儲存設施改變的卷進行快照。
- 如申請專利範圍第11項所述之系統,其中該事件為一未授權請求要求資料複製、映射同步,或刪除、來自一未授權主機的一請求要求存取該儲存設備,或未定義資料流量發生在該儲存設施中二儲存設備間或在該儲存設施中一儲存設備與一外部儲存設備間。
- 如申請專利範圍第11項所述之系統,其中該儲存安全網關伺服器在該不正常訊息發出之前或之後,停止該事件的請求與該事件的處理流程。
- 如申請專利範圍第11項所述之系統,其中該儲存安全模組為運行在儲存安全網關伺服器或一硬體設備的應用程式軟體。
- 如申請專利範圍第11項所述之系統,其中該儲存設備為硬碟、固態硬碟,或前述二者的組合。
- 如申請專利範圍第11項所述之系統,其中該儲存安全網關伺服器進一步經由一乙太網連接線路,連接到該軟體定義網路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104111970A TWI514178B (zh) | 2015-04-14 | 2015-04-14 | 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104111970A TWI514178B (zh) | 2015-04-14 | 2015-04-14 | 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI514178B true TWI514178B (zh) | 2015-12-21 |
| TW201636876A TW201636876A (zh) | 2016-10-16 |
Family
ID=55407884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104111970A TWI514178B (zh) | 2015-04-14 | 2015-04-14 | 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI514178B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW528975B (en) * | 2001-12-19 | 2003-04-21 | Hon Hai Prec Ind Co Ltd | Distributed project management system and the method thereof |
| TW200500893A (en) * | 2003-03-31 | 2005-01-01 | Intel Corp | Methods and systems for managing security policies |
| TW201235860A (en) * | 2011-02-25 | 2012-09-01 | Hon Hai Prec Ind Co Ltd | Cloud storage/access device and method thereof |
| US20120272303A1 (en) * | 2010-01-20 | 2012-10-25 | Zte Corporation | Method and device for enhancing security of user security model |
-
2015
- 2015-04-14 TW TW104111970A patent/TWI514178B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW528975B (en) * | 2001-12-19 | 2003-04-21 | Hon Hai Prec Ind Co Ltd | Distributed project management system and the method thereof |
| TW200500893A (en) * | 2003-03-31 | 2005-01-01 | Intel Corp | Methods and systems for managing security policies |
| US20120272303A1 (en) * | 2010-01-20 | 2012-10-25 | Zte Corporation | Method and device for enhancing security of user security model |
| TW201235860A (en) * | 2011-02-25 | 2012-09-01 | Hon Hai Prec Ind Co Ltd | Cloud storage/access device and method thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201636876A (zh) | 2016-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3695568B1 (en) | Systems and methods for controlling switches to record network packets using a traffice monitoring network | |
| US7631351B2 (en) | System and method for performing storage operations through a firewall | |
| US9674268B2 (en) | System and method for providing data and application continuity in a computer system | |
| US7275103B1 (en) | Storage path optimization for SANs | |
| US9450853B2 (en) | Secure cloud management agent | |
| US7793138B2 (en) | Anomaly detection for storage traffic in a data center | |
| US9680708B2 (en) | Method and apparatus for cloud resource delivery | |
| US20060095705A1 (en) | Systems and methods for data storage management | |
| US20130019302A1 (en) | System and method for supporting subnet management packet (smp) firewall restrictions in a middleware machine environment | |
| US9571356B2 (en) | Capturing data packets from external networks into high availability clusters while maintaining high availability of popular data packets | |
| Stephanow et al. | Towards continuous certification of Infrastructure-as-a-Service using low-level metrics | |
| US8782462B2 (en) | Rack system | |
| CN109558366A (zh) | 一种基于多处理器架构的防火墙 | |
| US20170026244A1 (en) | Low latency flow cleanup of openflow configuration changes | |
| TWI709865B (zh) | 運維數據讀取裝置及其讀取方法 | |
| US8261099B1 (en) | Method and system for securing network data | |
| US20160294948A1 (en) | System for database, application, and storage security in software defined network | |
| WO2013146808A1 (ja) | コンピュータシステム、及び通信経路変更方法 | |
| US11218391B2 (en) | Methods for monitoring performance of a network fabric and devices thereof | |
| WO2016106661A1 (zh) | 一种存储装置的访问控制方法、存储装置以及控制系统 | |
| TWI514178B (zh) | 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統 | |
| US20230168816A1 (en) | Systems, methods and computer readable media for software defined storage security protection | |
| Dell | ||
| US20160239231A1 (en) | Storage system, storage control device, and computer-readable recording medium | |
| JP2008090702A (ja) | 計算機、計算機システム |