WO2010100825A1 - セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム - Google Patents
セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム Download PDFInfo
- Publication number
- WO2010100825A1 WO2010100825A1 PCT/JP2010/000652 JP2010000652W WO2010100825A1 WO 2010100825 A1 WO2010100825 A1 WO 2010100825A1 JP 2010000652 W JP2010000652 W JP 2010000652W WO 2010100825 A1 WO2010100825 A1 WO 2010100825A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- security
- traffic
- security device
- function
- devices
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Definitions
- the present invention relates to a security management apparatus, method and program, and a security distribution system, and more particularly to a technique for causing a plurality of security apparatuses to execute processing related to a series of security functions to be applied to traffic.
- networks communication networks in companies and data centers (hereinafter simply referred to as networks) continue to increase in speed.
- UTM Unified h Threat Management
- IDS Intrusion Detection y System
- IPS intrusion Prevention System
- anti-virus anti-spam
- anti-spyware content filtering
- WAFc WebC
- the processing load of the security device becomes a problem. This is because other processing performance is degraded due to the execution of processes related to a plurality of security functions, and the security device itself becomes a bottleneck of network performance.
- Patent Document 1 discloses that network performance is improved by using hardware equipped with both a processor that executes protocol processing of a network and a security engine that executes security processing with high load. A method to improve is described. That is, the security policy input by the administrator is deployed to the security engine in each hardware mounted on the distributed network device, and security processing is distributed and executed.
- the security processing that has been centrally arranged at one place such as the entrance of the network is distributed at a plurality of end points (clients, servers, etc.), so that improvement of network performance can be expected.
- Patent Document 2 describes a security distribution system that roughly executes a plurality of security processes using a plurality of security devices.
- a series of security functions to be applied to traffic by one security device is determined. Then, the one security device issues a query for inquiring whether or not each security function can be applied to other security devices on the route until the traffic reaches the destination network device, and responds to the response. Accordingly, it is determined which security function is applied to which security device. Each security device marks the traffic to apply all security functions before reaching the destination network device.
- a physical computing resource such as a server often remains constantly.
- These surplus resources consume standby power even though they are not actually used. Therefore, from the viewpoint of network performance and power utilization efficiency, it is desirable to realize distributed execution of security processing by utilizing surplus resources.
- Patent Document 2 has the following first and second problems.
- the first problem is that the granularity of security processing cannot be adjusted at all.
- the reason is that a plurality of security functions are simply distributed and executed by a plurality of security devices.
- the second problem is that the processing delay increases and the network performance decreases. This is because it is necessary to transmit and receive a query and its response between security devices when applying the security function. That is, when there are many small surplus resources and these surplus resources are used in combination, the number of queries issued between the security devices increases, and as a result, execution of the security processing itself is delayed.
- an object of the present invention is to provide a security management device, method, program, and security distribution system that can efficiently utilize surplus resources and reduce delays in security processing.
- a security management device selects a security device that distributes and arranges a series of security functions to be applied to traffic based on surplus resource information of each of a plurality of security devices. And a management module that determines the size of a rule set used by each selected security device for execution of processing related to each security function, and each of the selected security devices required for execution of processing related to each security function. An allocation module for instructing to secure resources and notifying a rule set for each of the determined sizes, and a control module for controlling traffic transfer between the selected security devices are provided.
- the security distribution system includes a plurality of security devices and a security management device that manages each security device.
- the security management device selects a security device that distributes and arranges a series of security functions to be applied to traffic based on surplus resource information of each security device, and the selected security device performs processing related to each security function. Determines the size of the rule set used for execution, instructs each selected security device to secure resources necessary for execution of the processing related to each security function, and notifies the rule set for each determined size And control traffic forwarding between the selected security devices.
- a security management method provides a security management method in a device that manages a plurality of security devices.
- a security device that distributes a series of security functions to be applied to traffic is selected, and the selected security device performs processing related to each security function.
- Determine the size of the rule set to be used for execution instruct the selected security devices to secure resources necessary for execution of processing related to each security function, and set the rule sets for the determined sizes. Notify and control traffic forwarding between the selected security devices.
- a security management program provides a security device that distributes and arranges a series of security functions to be applied to traffic on a device that manages a plurality of security devices based on surplus resource information of each security device. And a process for determining the size of a rule set used by each selected security device for execution of the process related to each security function, and for each selected security apparatus to execute the process related to each security function. An instruction to secure resources is given, and a process of notifying a rule set for each determined size and a process of controlling traffic forwarding between the selected security devices are executed.
- the first effect is that surplus resources can be used efficiently. This is because the basic processing related to the security function is the matching processing with the rule, and the granularity of the security processing is flexibly changed by adjusting the size of the rule set.
- the second effect is that the delay of security processing can be reduced.
- the reason for this is to avoid forwarding queries to redundant security devices in addition to the need to issue queries between security devices.
- Embodiments 1 and 2 of a security management apparatus and a security distribution system to which the security management apparatus according to the present invention is applied are shown in FIGS. 1 to 4, 5A and 5B, 6 to 9, 10A and 10B, This will be described with reference to FIGS. 11A and 11B, FIG. 12, and FIG. In the drawings, the same components are denoted by the same reference numerals, and redundant description is omitted as necessary for the sake of clarity.
- a security distribution system 1 includes routers 10_1 to 10_4 (hereinafter collectively referred to as reference numeral 10) that transfer traffic 2 addressed to clients and servers (both not shown) inside the network from outside the network.
- a plurality of (four in the illustrated example) security devices 20_1 to 20_4 (hereinafter may be collectively referred to as reference numeral 20) respectively connected to the routers 10_1 to 10_4,
- the security management device 30 manages the devices 20_1 to 20_4.
- the security management device 30 and the security device 20 are connected by a communication path 101.
- the security management device 30 and the router 10 are connected by a communication path 102.
- the security devices 20_1 to 20_4 are virtual machines configured by utilizing surplus resources of physical machines, or virtual machines such as jails in FreeBSD, VServers in Linux, containers in Solaris, and the like constructed using the surplus resources.
- OS Operating System
- the security management device 30 can use the surplus resources of the controllable physical machine as the security device 20.
- the security management device 30 includes a management module 31, an allocation module 32, and a control module 33.
- the management module 31 distributes and arranges a series of security functions 3_A to 3_C (hereinafter sometimes collectively referred to as reference numeral 3) to be applied to the traffic 2 based on the surplus resource information of the respective security devices 20_1 to 20_4. Select a security device.
- the management module 31 selects the security devices 20_1 and 20_2 as security devices for placing the security function 3_A, selects the security devices 20_2 to 20_4 as security devices for placing the security function 3_B, and the security device. 20_4 is selected as the security device in which the security function 3_C is arranged.
- the management module 31 may target only a part of the security devices in the security distribution system 1 as a distribution target of security functions.
- the security functions 3_A to 3_C correspond to any of the security functions of, for example, a firewall, IDS, IPS, WAF, content filter, anti-virus, anti-spam, and anti-spyware.
- the management module 31 determines the size of the rule set (set consisting of one or more rules) 4 used by the security devices 20_1 to 20_4 for executing the processing related to the security functions 3_A to 3_C.
- the management module 31 divides the rule set 4_A used for executing the process related to the security function 3_A into two rule sets 4_A1 and 4_A2, and sets the rule set 4_B used for executing the process related to the security function 3_B to 3 It is determined that the rule set 4_B1 to 4_B3 is divided into two rule sets 4_B1 to 4_B3, and the rule set 4_C used for executing the processing related to the security function 3_C is not divided. For example, when 1000 rules are used as the rule set 4_A, the management module 31 sets the rule set 4_A1 as a set consisting of 300 rules, and sets the rule set 4_A2 as a set consisting of the remaining 700 rules.
- the rule is a matching condition used for matching processing with traffic 2 and an action applied to traffic that matches the matching condition (Allow means passing traffic, Deny means traffic rejection (discard)), Jump indicating a security function to be applied to (Finish) and Finish indicating completion of processing in the security distributed system 1).
- the matching process refers to a process for comparing the traffic 2 and the rule elements extracted from the rule set 4. This matching process may be applied to the entire rule set 4 or may be applied to a subset of the rule set 4.
- the allocation module 32 instructs the security devices 20_1 to 20_4 selected by the management module 31 to secure resources necessary for executing the processing related to the security functions 3_A to 3_C, and determines by the management module 31.
- the rule sets 4_A1, 4_A2, 4_B1 to 4_B3, and 4_C for each size are notified. That is, the assignment module 32 instructs the security device 20_1 to secure the necessary resources for the security function 3_A, instructs the security device 20_2 to secure the necessary resources for the security functions 3_A and 3_B, and instructs the security device 20_3 to secure the security function 3_B. Instructing the securing of resources and instructing the security device 20_4 to secure the necessary resources of the security functions 3_B and 3_C.
- the allocation module 32 notifies the security device 20_1 of the rule set 4_A1, notifies the security device 20_2 of the rule sets 4_A2 and 4_B1, notifies the security device 20_3 of the rule set 4_B2, and notifies the security device 20_4 of the rule set 4_B3 and 4_C is notified.
- control module 33 controls the transfer of the traffic 2 between the security devices 20_1 to 20_4 selected by the management module 31. More specifically, the control module 33 instructs the security devices 20_1 to 20_4 to transfer the traffic 2 and instructs the routers 10_1 to 10_4 to execute policy routing, as will be described later.
- policy routing refers to routing in which route selection is performed by user policy settings regardless of route information dynamically registered by various routing protocols.
- the security management device 30 changes the granularity of security processing to be executed by the security device 20 by adjusting the number of rules. For this reason, surplus resources can be utilized efficiently.
- the security management device 30 controls the transfer of traffic 2 between the security devices. Therefore, it is not necessary to issue a query between the security devices described above, and forwarding of traffic 2 to redundant security devices can be avoided. Accordingly, it is possible to reduce security processing delay.
- the security management device 30 is preferably configured as shown in FIG. More specifically, the management module 31 includes, in addition to the surplus resource information of the security device 20, conditions specified by a user (not shown) (a series of security functions to be applied to the traffic 2 and each security function)
- the security function allocation policy 5 and the rule division policy 6 are determined based on performance requirements such as throughput and the number of simultaneous connections to be satisfied.
- a security device (number) that distributes a series of security functions and a security function that is arranged in each security device are set.
- the rule division policy 6 the size of the rule set used for each security function is set.
- the assignment module 32 includes a function arrangement module 321 and a rule arrangement module 322.
- the function placement module 321 distributes and arranges a series of security functions in each security device in accordance with the security function placement policy 5 determined by the management module 31. More specifically, the function placement module 321 gives a resource securing instruction 7 to the security device 20 to secure necessary resources for the security function.
- the rule arrangement management module 322 notifies the security device 20 of the rule set 4 divided according to the rule division policy 6 determined by the management module 31.
- security devices in which security functions are distributed are classified into the following two types 1 and 2.
- Type 1 is a security device in which only a security function that does not require termination of TCP (Transmission Control Protocol) is arranged.
- type 2 is a security device in which at least one security function that requires TCP termination is arranged.
- end of TCP refers to constructing a stream from a plurality of received traffic (packet sequences).
- control module 33 includes a path control module 331 that performs policy routing setting 8 for the router 10.
- control module 33 further includes a destination change module 332 for instructing the security apparatus 20 of a traffic transfer destination.
- the destination changing module 332 registers an SID (Security Identifier) 9 assigned for each security function as a traffic transfer destination in the action table 21 of the security device 20.
- SID Security Identifier
- the destination change module 332 registers the traffic transfer method 15 for the SID 9 in the transfer table 22 of the security device 20.
- the destination change module 332 performs the traffic transfer method 15 according to the number m of type 1 security devices and the number of type 2 security devices existing between the security device 20 and the transfer destination device of traffic 2. Based on n, it is determined as shown in (A) to (D) below.
- the transfer destination device is a security device in which a security function to be applied next is arranged, an address translation router, or a device such as a client or a server to which the traffic 2 is finally delivered.
- the address translation router is a router having a NAT (Network Address Translation) function and an IP (Internet (Protocol) masquerading function. If the security distribution system 1 does not have a security function for terminating TCP, an address translation router is unnecessary.
- the destination change module 332 notifies the security device 20 of destination information (IP address and port number) corresponding to SID9.
- management module 31, the allocation module 32, and the control module 33 described above may be realized by hardware or may be realized by software (program).
- a CPU (Central Processing Unit) 34 in the security management apparatus 30 controls the network interface 35 connected to the communication paths 101 and 102 shown in FIG. Or a management program 37 describing processing equivalent to the management module 31, an allocation program 38 describing processing equivalent to the allocation module 32, and a control module 33.
- a control program 39 describing an equivalent process is executed.
- the management module 31 operates as one process of the security management apparatus 30, and the allocation module 32 and the control module 33 operate as child processes of the management module 31, respectively. Each process communicates by inter-process communication using a socket or the like.
- the security device 20 is preferably configured as shown in FIG. More specifically, the security device 20 includes an action table 21 for each arranged security function, a transfer table 22, a security function execution module 23, and a destination management module 24.
- the Default entry is an action applied to traffic that does not match any of the matching conditions as a result of matching processing by the security function execution module 23.
- the Allow entry is an action applied to traffic for which Allow is obtained as a result of the matching process.
- the Jump entry is an action applied to the traffic from which the Jump is obtained as a result of the matching process.
- the Finish entry is an action for completing the security process without applying the subsequent security function (the security function applied after the security function that executed the matching process).
- the SID 9 corresponding to the Finish entry is an address translation router.
- SID9 is represented by a set of an identifier “Y” in the same security function as an identifier “X” of the security function.
- the SID of the security function 3_A arranged in the security device 20_1 shown in FIG. 1 is “1-0”
- the SID of the security function 3_A arranged in the security device 20_2 is “1-1”.
- the SID of the security function 3_B arranged in the security device 20_2 is “2-0”
- the SID of the security function 3_B arranged in the security device 20_3 is “2-1”
- the SID of the function 3_B is “2-2”
- the SID of the security function 3_C arranged in the security device 20_4 is “3-0”.
- the traffic transfer method 15 described above is registered for each SID 9 in the transfer table 22.
- the security function execution module 23 secures necessary resources for the security function in accordance with the resource securing instruction 7 from the security management device 30, and the rule set 4 notified from the security management device 30 by the secured resource. Is used to execute the matching process for the traffic 2 input from the router 10.
- the destination management module 24 reads out the SID 9 corresponding to the action 11 obtained as a result of the matching process by the security function execution module 23 from the action table 21 and refers to the transfer table 22 to refer to the traffic corresponding to the SID 9.
- the traffic 2 is transferred according to the transfer method 15.
- the destination management module 24 executes the processing shown in any of (E) to (H) below according to the traffic transfer method 15.
- security function execution module 23 and the destination management module 24 may be realized by hardware or by a program.
- the CPU 25 in the security device 20 controls the network interface 26 with the communication path 101 and the router 10 shown in FIG.
- the security function execution program 28 describing the process equivalent to the security function execution module 23 and the destination management program 29 describing the process equivalent to the destination management module 24 stored in the medium 27 are respectively executed.
- the rule set 4, the action table 21, and the transfer table 22 are formed in the memory (or secondary storage device) 27 so that the CPU 25 can refer to the rule set 4.
- the security function 3 operates as a kernel space program or user space process of an OS (not shown) installed in the security device 20.
- FIGS. 7 to 9, FIGS. 10A and 10B, and FIGS. 11A and 11B will be described in detail with reference to FIGS. 7 to 9, FIGS. 10A and 10B, and FIGS. 11A and 11B.
- FIG. 7 shows an example of security function arrangement processing in the security management device 30.
- the management module 31 in the security management device 30 adds the surplus resource information of the security devices 20_1 to 20_4 to the conditions specified by the user (a series of security functions to be applied to the traffic 2).
- security function allocation policy 5 and rule division policy 6 are determined based on performance requirements such as throughput and the number of simultaneous connections that each security function should satisfy (step S1).
- Security functions to be applied to traffic 2 security functions 3_A to 3_C.
- -Performance requirement Throughput 1 Gbps, number of simultaneous connections: not specified.
- the management module 31 calculates the required resource amount of each security function 3_A to 3_C based on the above conditions. As a result, the following required resource amount is obtained.
- -Security function 3_A 2 CPU resources of 1 GHz or more, memory amount of 128 MB, network performance of 1 Gbps or more.
- Security function 3_B 3 CPU resources of 2 GHz or more, memory amount of 192 MB, network performance of 1 Gbps or more.
- Security function 3_C 1 CPU resource of 2 GHz or more, memory amount of 128 MB, network performance of 1 Gbps or more.
- management module 31 determines that the following resources can be used from the surplus resource information of the security devices 20_1 to 20_4.
- Security device 20_1 1 CPU (1.6 GHz), memory capacity 64 MB, network performance 1 Gbps or more.
- Security device 20_2 2 CPU (2.4 GHz), memory amount 128 MB, network performance 1 Gbps or more.
- Security device 20_3 1 CPU (2.0 GHz), memory capacity 64 MB, network performance 1 Gbps or more.
- Security device 20_4 2 CPU (2.4 GHz), memory amount 192 MB, network performance 3 Gbps or more.
- the management module 31 determines the security function arrangement policy 5 and the rule division policy 6 as follows, for example, based on the required resource amount and the available resources, and the function arrangement module 321 and the rules in the assignment module 32 Each is provided to the placement module 322.
- Rule division policy 6 -The rule set 4_A1 is arranged in the security device 20_1.
- the rule sets 4_A2 and 4_B1 are arranged in the security device 20_2.
- -The rule set 4_B2 is arranged in the security device 20_3.
- the rule sets 4_B3 and 4_C are arranged in the security device 20_4.
- the function placement module 321 gives a resource securing instruction 7 to each of the security devices 20_1 to 20_4 in accordance with the security function placement policy 5 determined in step S1 (step S2).
- rule placement module 322 notifies the security devices 20_1 to 20_4 of the rule sets 4_A1, 4_A2, and 4_B1, 4_B2, and 4_B3 and 4_C that are divided according to the rule division policy 6 determined in step S1 (step S1). S3).
- control module 33 sets a route and a destination.
- the path control module 331 performs a default path setting for the type 1 security device. That is, the path control module 331 performs an initial setting of policy routing for the router 10 connected to the type 1 security device (step S4).
- the destination change module 332 registers the SID of the security function to be applied next in each entry in the action table 21 of the type 1 security device (step S5).
- the destination change module 332 registers the SID of the security function to be applied next in each entry in the action table 21 of the type 2 security device (step S6).
- the destination change module 332 performs a default destination setting. That is, the destination change module 332 registers the SID of the security function to be applied next in the Default entry in the action table 21. Next, the destination change module 332 registers the SID of the next security function for the Allow entry in the action table 21. Next, the destination change module 332 adds a Jump entry in the action table 21 for each security function that can be jumped. Finally, the destination change module 332 registers the address translation router in the Finish entry in the action table 21.
- the destination change module 332 includes the number m of type 1 security devices and the security of type 2 existing between each of the security devices 20_1 to 20_4 and the transfer destination device. Based on the number n of devices, the traffic transfer method 15 in each of the security devices 20_1 to 20_4 is determined and registered in the transfer table 22 (step S7).
- the above-mentioned numbers m and n may be obtained by selecting one route.
- several candidate routes may be selected to obtain the numbers m and n, respectively, and one route with the smallest number m or n may be selected.
- the destination change module 332 notifies each security device 20_1 to 20_4 of destination information (IP address and port number) corresponding to the SID registered in the transfer table 22 (step S8). ).
- This destination information is managed by the destination management module 24 in each of the security devices 20_1 to 20_4.
- the security function execution module 23 in the security device 20 executes the matching process for the traffic 2 input from the router 10 to acquire the action 11 and gives it to the destination management module 24 (step S11). ).
- the destination management module 24 reads SID9 from the action table 21 using the action 11 as a key (step S12).
- the destination management module 24 reads the traffic forwarding method 15 from the forwarding table 22 using the SID 9 as a key (step S13).
- the destination management module 24 transfers the traffic 2 to the router 10 (step S15).
- the traffic 2 is transferred to an appropriate security device in which the security function to be applied next is arranged.
- the security device 20 continues to execute the process related to the security function corresponding to the SID 9.
- the destination management module 24 transmits the policy routing setting request 12 to the route control module 331 in the security management device 30 (step S16). S17).
- the path control module 331 changes the policy routing setting in the router 10 existing between the transfer destination devices (step S18). As a result, the traffic 2 is transferred to an appropriate security device in which a security function to be applied next is arranged. Thereafter, the destination management module 24 proceeds to the above step S15 and transfers the traffic 2 to the router 10.
- step S19 When “change destination” is set in the traffic transfer method 15 (step S19), the destination management module 24 changes the destination of the traffic 2 (step S20). As a result, the traffic 2 is transferred to an appropriate security device in which a security function to be applied next is arranged. Thereafter, the destination management module 24 proceeds to the above step S15 and transfers the traffic 2 to the router 10.
- step S21 When “route change & destination change” is set in the traffic forwarding method 15 (step S21), the destination management module 24 changes the policy routing setting in the same manner as steps S17 and S18 described above (steps S22 and S23). The destination of traffic 2 is changed in the same manner as in step S20 above (step S24). Thereafter, the destination management module 24 proceeds to the above step S15 and transfers the traffic 2 to the router 10.
- the IPS function 3_2 “2-0” and “
- the TCP is terminated first by the WAF function 3_3 in the security device 20_5.
- the IP address of the security device 20_5 and the port number on which the WAF function 3_3 waits are set as the destination of the traffic 2 input to the security device 20_1 via the router 10_1. That is, the security devices 20_5 to 20_8 are type 2 security devices, and traffic 2 from the routers 10_5 to 10_8 is input by designating the IP address and the port number, respectively.
- the security devices 20_1 to 20_4 are type 1 security devices, and traffic 2 is input by policy routing of the routers 10_1 to 10_4, respectively.
- the traffic 2 is address-converted by the address translation router 10_9 after being inspected by the security devices 20_1 to 20_8, and finally reaches the server 200.
- the forwarding process of traffic (here, the packet is targeted) in the type 1 security apparatus is performed as follows.
- the firewall function 3_1 executes the Default action.
- the security device 20_1 refers to its own action table 21_1 shown in FIG. 10A, and acquires the SID 9 ("1-1" in this example) corresponding to the Default entry.
- the firewall function 3_1 executes the corresponding action.
- the security device 20_1 refers to the action table 21_1 and acquires the destination SID 9 (“2-0” in this example) corresponding to the Allow entry.
- the traffic 2 reaches the security device 20_3 through the route 302 that sequentially passes through the routers 10_1 to 10_3, and thus the IPS function 3_2 is applied.
- the WAF function 3_3 executes the Default action. That is, the security device 20_5 refers to its own action table 21_5 shown in FIG. 11A and acquires SID 9 (“3-1” in this example) corresponding to the Default entry.
- the WAF function 3_3 executes the corresponding action.
- the security device 20_5 refers to the action table 21_5 and acquires the destination SID 9 (“4-0” in this example) corresponding to the Allow entry.
- the traffic 2 reaches the security device 20_7 through the route 304 that sequentially passes through the routers 10_5 to 10_7, and thus the anti-virus function 3_4 is applied.
- the security device 20_5 executes both the above-described policy routing setting change request and destination change processing. Now, since the SID 9 corresponding to the Finish entry in the action table 21_5 is “address change router”, the traffic 2 reaches the address translation router 10_9 through the route 305 that sequentially passes through the routers 10_5 to 10_7. It will be transferred to the server 200.
- the management module 31 determines the security function to be arranged in each security device and the size of the rule set for each security function in accordance with the size of the surplus resource
- the function Since the arrangement module 321 arranges security functions in each security device according to the security function arrangement policy, and the rule arrangement module 322 notifies each security device of the rule set according to the rule division policy. Surplus resources can be used efficiently.
- the configuration is such that the routing control module 331 changes the policy routing for traffic or the destination change module 332 changes the destination according to the matching result with the rule set in each security function. Therefore, it is possible to avoid forwarding traffic to an unnecessary security device or an unnecessary security function, thereby reducing a delay in security processing.
- the security device 30a according to the present embodiment shown in FIG. 12 has a function that allows the management module 31 to monitor whether or not the security device 20 satisfies the performance requirement 13 of the security function in addition to the functions described above. Different from the first embodiment.
- the security device 20 further includes a performance monitoring module 400 that notifies the management module 31 of a warning 14 indicating that when the performance requirement 13 is not satisfied.
- the performance monitoring module 400 is configured so that the security device 20 transmits performance requirements (throughput, the number of simultaneous connections, etc.) transmitted from the management module 31 after steps S1 to S8 similar to FIG. It is periodically determined whether or not 13 is satisfied (step S9).
- the performance monitoring module 400 issues a warning 14 to the management module 31 and requests relocation of the security function.
- the management module 31 that has received the warning 14 returns to the above step S1 and re-executes the security function arrangement process.
- the management module 31 can periodically monitor the surplus resource information even when the performance monitoring module 400 does not issue the warning 14, and can derive the security function allocation policy 5 and the rule division policy 6 with better conditions. It is determined whether it is. As a result, when the security function allocation policy 5 and the rule division policy 6 are always good (step S10), the management module 31 returns to step S1 and re-executes the security function allocation process.
- each security function can be rearranged, and thus dynamic distribution (load distribution) of security functions can be realized.
- 31 includes a performance monitoring module 400 for notifying the warning 14 and the management module 31 notified of the warning 14 relocates the security function, so that the size of the surplus resource dynamically changes. Even in this case, it is possible to efficiently use surplus resources.
- the performance monitoring module 400 notifies the management module 31 of a warning 14 when the performance requirement 13 cannot be satisfied, thereby relocating the security function. Therefore, it is not necessary to issue a query between security devices, and no extra delay occurs when security processing is applied.
- the present invention is applied to a security management apparatus, method, and program, and a security distributed system.
- processing related to a series of security functions to be applied to traffic is applied to a plurality of security apparatuses. Applicable for distributed execution.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
余剰リソースを効率的に活用し且つセキュリティ処理の遅延を低減するため、セキュリティ管理装置(30)を構成する管理モジュール(31)は、複数のセキュリティ装置(20_1~20_4)各々の余剰リソース情報に基づき、トラヒック(2)に適用すべき一連のセキュリティ機能(3_A~3_C)を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する。割当モジュール(32)は、前記選択された各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合(例えば、4_A1、4_A2、4_B1~4_B3、及び4_C)を通知する。制御モジュール(33)は、前記選択されたセキュリティ装置同士間のトラフィック転送を制御する。
Description
本発明は、セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムに関し、特にトラヒックに適用すべき一連のセキュリティ機能に係る処理を、複数のセキュリティ装置に分散実行させる技術に関する。
ネットワーク技術の進歩に伴って、企業やデータセンター内の通信ネットワーク(以下、単にネットワークと呼称する)は高速化を続けている。
このようなネットワークにおいては、利便性が高まる一方で、安全性に対する脅威が年々増加しており、セキュリティに対する関心もさらに高まっている。近年、脅威の巧妙化に伴い、ネットワークの安全性向上に向けた対策は、単一のセキュリティ機能だけでは無く、複数のセキュリティ機能を組み合わせて実現されるようになって来た。
例えばUTM(Unified Threat Management)は、ファイアウォール、侵入検知システム(IDS: Intrusion Detection System)、侵入防止システム(IPS: Intrusion Prevention System)、アンチウィルス、アンチスパム、アンチスパイウェア、コンテンツフィルタリング、及びWAF(Web Application Firewall)等の各種セキュリティ機能を統合したセキュリティゲートウェイとして利用されている。
複数のセキュリティ機能を1つのセキュリティ装置に搭載した場合、セキュリティ装置の処理負荷が問題となる。これは、複数のセキュリティ機能に係る処理の実行に因って他の処理性能が低下してしまい、当該セキュリティ装置自体がネットワーク性能のボトルネックとなってしまうためである。
この問題に対処する技術として、例えば特許文献1には、ネットワークのプロトコル処理を実行するプロセッサと、負荷の高いセキュリティ処理を実行するセキュリティエンジンの両者を搭載したハードウェアを用い、以てネットワーク性能を向上させる方式が記載されている。すなわち、管理者によって投入されたセキュリティポリシーを、分散配置されたネットワーク装置に搭載した各ハードウェア内のセキュリティエンジンに配備し、以てセキュリティ処理を分散実行させている。
上記の方式によれば、従来、ネットワークの入口等の一箇所に集中配置されていたセキュリティ処理が、複数の端点(クライアントやサーバ等)に分散配置されるため、ネットワーク性能の向上が期待できる。
しかしながら、今後も巧妙化していく脅威に対して、セキュリティ機能は、さらに複雑な解析処理を要求されることになる。従って、上記の方式では、やがて端点におけるセキュリティ処理の負荷が課題になる。
また、一部のセキュリティ処理をハードウェアにて処理する場合であっても、セキュリティ処理の量が多くなるにつれ、ソフトウェアに頼らざるを得ない処理が増加してしまう。その結果、ハードウェア利用の効果は相対的に小さくなってしまう。
以上の通り、ハードウェア技術の進化に頼ってネットワーク性能を維持し続けるのは困難である。従って、セキュリティ処理の負荷増大という問題を根本的に解決するには、別の対策を講じる必要がある。
このような対策の一例として、特許文献2には、大略、複数のセキュリティ装置を用いて、複数のセキュリティ処理を分散実行するセキュリティ分散システムが記載されている。
より具体的には、まず、一のセキュリティ装置(或いは宛先ネットワーク装置)がトラヒックに適用すべき一連のセキュリティ機能を判別する。そして、当該一のセキュリティ装置は、宛先ネットワーク装置にトラヒックが到達するまでの経路上に在る他のセキュリティ装置に対して、各セキュリティ機能を適用可能か否か問い合わせるクエリを発行し、その応答に応じて、どのセキュリティ装置にどのセキュリティ機能を適用させるか決定する。各セキュリティ装置は、トラヒックに対して、宛先ネットワーク装置に到達する迄の間に全てのセキュリティ機能が適用されるようマーク付けする。
ところで、企業やデータセンター内のネットワークにおいては、サーバ等の物理的な演算リソース(以下、単にリソースと呼称する)が定常的に余っていることが多い。これらの余剰リソースは、実際には使用されていないにも関わらず、待機電力を消費している。従って、ネットワーク性能及び電力利用効率の観点から見れば、余剰リソースの活用により、セキュリティ処理の分散実行を実現するのが望ましい。
また、リソースの空き状況や性能要求に応じて、セキュリティ処理の粒度(すなわち、処理単位の大きさ)を柔軟に調整するのが望ましい。これは、余剰リソースのサイズが必ずしも大きく無く、小さな余剰リソースも使用した方が効率的なためである。
しかしながら、上記の特許文献2には、下記に示す第1及び第2の課題がある。
まず、第1の課題は、セキュリティ処理の粒度を何ら調整できないことである。その理由は、複数のセキュリティ機能を単に複数のセキュリティ装置に分散実行させるためである。
従って、余剰リソースのサイズを超えるセキュリティ処理の実行には、新たなサーバの立ち上げ等による必要リソースの確保が必要となり、電力利用効率を何ら向上させることができない。
また、第2の課題は、処理遅延が増大し、ネットワーク性能が低下してしまうことである。その理由は、セキュリティ機能の適用に際して、セキュリティ装置同士間でクエリ及びその応答の送受信が必要なためである。すなわち、小さな余剰リソースが多く存在し、これらの余剰リソースを組み合わせて利用する場合には、セキュリティ装置同士間でのクエリ発行回数が増大し、その結果、セキュリティ処理自体の実行が遅延してしまう。
従って、本発明は、余剰リソースを効率的に活用し、且つセキュリティ処理の遅延を低減することが可能なセキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムを提供することを目的とする。
上記の目的を達成するため、本発明の一態様に係るセキュリティ管理装置は、複数のセキュリティ装置各々の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する管理モジュールと、前記選択された各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する割当モジュールと、前記選択されたセキュリティ装置同士間のトラフィック転送を制御する制御モジュールとを備える。
また、本発明の一態様に係るセキュリティ分散システムは、複数のセキュリティ装置と、各セキュリティ装置を管理するセキュリティ管理装置とを備える。前記セキュリティ管理装置は、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定した各サイズ分のルール集合を通知し、前記選択したセキュリティ装置同士間のトラフィック転送を制御する。
また、本発明の一態様に係るセキュリティ管理方法は、複数のセキュリティ装置を管理する装置におけるセキュリティ管理方法を提供する。このセキュリティ管理方法は、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知し、前記選択したセキュリティ装置同士間のトラフィック転送を制御する。
さらに、本発明の一態様に係るセキュリティ管理プログラムは、複数のセキュリティ装置を管理する装置に、各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する処理と、前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する処理と、前記選択したセキュリティ装置同士間のトラフィック転送を制御する処理とを実行させる。
本発明によれば、下記に示す第1及び第2の効果を達成することができる。
まず、第1の効果は、余剰リソースを効率的に活用できることにある。その理由は、セキュリティ機能に係る基本的な処理がルールとのマッチング処理であることに着目し、ルール集合のサイズ調整によってセキュリティ処理の粒度を柔軟に変更するためである。
また、第2の効果は、セキュリティ処理の遅延を低減できることにある。その理由は、セキュリティ装置同士間でのクエリ発行が不要であることに加えて、トラヒックの冗長なセキュリティ装置への転送を回避するためである。
以下、本発明に係るセキュリティ管理装置及びこれを適用するセキュリティ分散システムの実施の形態1及び2を、図1~図4、図5A及び図5B、図6~図9、図10A及び図10B、図11A及び図11B、図12、並びに図13を参照して説明する。なお、各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。
[実施の形態1]
図1に示す本実施の形態に係るセキュリティ分散システム1は、ネットワーク外部からのネットワーク内部のクライアントやサーバ(共に図示せず)宛てのトラヒック2を転送するルータ10_1~10_4(以下、符号10で総称することがある)と、これらのルータ10_1~10_4にそれぞれ接続された複数(図示の例では4つ)のセキュリティ装置20_1~20_4(以下、符号20で総称することがある)と、これらのセキュリティ装置20_1~20_4を管理するセキュリティ管理装置30とで構成される。ここで、セキュリティ管理装置30とセキュリティ装置20は、通信路101により接続されている。また、セキュリティ管理装置30とルータ10は、通信路102により接続されている。さらに、セキュリティ装置20_1~20_4は、物理マシンの余剰リソースを活用して構成された仮想マシン、又は当該余剰リソースを活用して構築された、FreeBSDにおけるjail、LinuxにおけるVServer、Solarisにおけるコンテナ等の仮想OS(Operating System)である。すなわち、セキュリティ管理装置30は、制御可能な物理マシンの余剰リソースを、セキュリティ装置20として利用することができる。
図1に示す本実施の形態に係るセキュリティ分散システム1は、ネットワーク外部からのネットワーク内部のクライアントやサーバ(共に図示せず)宛てのトラヒック2を転送するルータ10_1~10_4(以下、符号10で総称することがある)と、これらのルータ10_1~10_4にそれぞれ接続された複数(図示の例では4つ)のセキュリティ装置20_1~20_4(以下、符号20で総称することがある)と、これらのセキュリティ装置20_1~20_4を管理するセキュリティ管理装置30とで構成される。ここで、セキュリティ管理装置30とセキュリティ装置20は、通信路101により接続されている。また、セキュリティ管理装置30とルータ10は、通信路102により接続されている。さらに、セキュリティ装置20_1~20_4は、物理マシンの余剰リソースを活用して構成された仮想マシン、又は当該余剰リソースを活用して構築された、FreeBSDにおけるjail、LinuxにおけるVServer、Solarisにおけるコンテナ等の仮想OS(Operating System)である。すなわち、セキュリティ管理装置30は、制御可能な物理マシンの余剰リソースを、セキュリティ装置20として利用することができる。
また、セキュリティ管理装置30は、管理モジュール31と、割当モジュール32と、制御モジュール33とを備えている。
この内、管理モジュール31は、各セキュリティ装置20_1~20_4の余剰リソース情報に基づき、トラヒック2に適用すべき一連のセキュリティ機能3_A~3_C(以下、符号3で総称することがある)を分散配置するセキュリティ装置を選択する。図示の例では、管理モジュール31は、セキュリティ装置20_1及び20_2を、セキュリティ機能3_Aを配置するセキュリティ装置として選択し、セキュリティ装置20_2~20_4を、セキュリティ機能3_Bを配置するセキュリティ装置として選択し、セキュリティ装置20_4を、セキュリティ機能3_Cを配置するセキュリティ装置として選択する。なお、管理モジュール31は、セキュリティ分散システム1内の一部のセキュリティ装置のみを、セキュリティ機能の分散配置対象とすることもある。
ここで、セキュリティ機能3_A~3_Cは、例えば、ファイアウォール、IDS、IPS、WAF、コンテンツフィルタ、アンチウィルス、アンチスパム、アンチスパイウェアのいずれかのセキュリティ機能に相当する。
そして、管理モジュール31は、各セキュリティ装置20_1~20_4が各セキュリティ機能3_A~3_Cに係る処理の実行に用いるルール集合(1個以上のルールから成る集合)4のサイズを決定する。図示の例では、管理モジュール31は、セキュリティ機能3_Aに係る処理の実行に用いるルール集合4_Aを2つのルール集合4_A1及び4_A2に分割し、セキュリティ機能3_Bに係る処理の実行に用いるルール集合4_Bを3つのルール集合4_B1~4_B3に分割し、セキュリティ機能3_Cに係る処理の実行に用いるルール集合4_Cを分割しないことを決定する。例えば、ルール集合4_Aとして1000個のルールが用いられる場合、管理モジュール31は、ルール集合4_A1を300個のルールから成る集合とし、ルール集合4_A2を残りの700個のルールから成る集合とする。
ここで、ルールは、トラヒック2とのマッチング処理に用いるマッチング条件と、このマッチング条件に合致するトラヒックに対して適用するアクション(トラヒック通過を意味するAllow、トラヒック拒否(廃棄)を意味するDeny、次に適用すべきセキュリティ機能を示すJump、及びセキュリティ分散システム1での処理完了を意味するFinish等)とから成る。また、マッチング処理とは、トラヒック2と、ルール集合4から取り出したルール要素とを比較する処理を指す。このマッチング処理は、ルール集合4全体に適用することもあれば、ルール集合4の部分集合に対して適用することもある。
また、割当モジュール32は、管理モジュール31により選択された各セキュリティ装置20_1~20_4に、各セキュリティ機能3_A~3_Cに係る処理の実行に必要なリソースを確保するよう指示すると共に、管理モジュール31により決定された各サイズ分のルール集合4_A1、4_A2、4_B1~4_B3、及び4_Cを通知する。すなわち、割当モジュール32は、セキュリティ装置20_1にセキュリティ機能3_Aの必要リソースの確保を指示し、セキュリティ装置20_2にセキュリティ機能3_A及び3_Bの必要リソースの確保を指示し、セキュリティ装置20_3にセキュリティ機能3_Bの必要リソースの確保を指示し、セキュリティ装置20_4にセキュリティ機能3_B及び3_Cの必要リソースの確保を指示する。また、割当モジュール32は、セキュリティ装置20_1にルール集合4_A1を通知し、セキュリティ装置20_2にルール集合4_A2及び4_B1を通知し、セキュリティ装置20_3にルール集合4_B2を通知し、セキュリティ装置20_4にルール集合4_B3及び4_Cを通知する。
さらに、制御モジュール33は、管理モジュール31により選択されたセキュリティ装置20_1~20_4同士間におけるトラフィック2の転送を制御する。より具体的には、制御モジュール33は、後述する如く、セキュリティ装置20_1~20_4に対してトラフィック2の転送先を指示すると共に、ルータ10_1~10_4に対してポリシールーティングの実行を指示する。ここで、ポリシールーティングとは、各種のルーティングプロトコルによって動的に登録された経路情報に関係無く、ユーザのポリシー設定によって経路選択を行うルーティングのことである。
このように、セキュリティ分散システム1においては、セキュリティ管理装置30が、ルール数の調整により、セキュリティ装置20に実行させるセキュリティ処理の粒度を変更する。このため、余剰リソースを効率的に活用することができる。
また、セキュリティ管理装置30が、セキュリティ装置同士間におけるトラフィック2の転送を制御する。このため、上述したセキュリティ装置同士間でのクエリ発行は不要であり、トラヒック2の冗長なセキュリティ装置への転送を回避できる。従って、セキュリティ処理の遅延を低減できる。
以下、本実施の形態の具体的な構成及び動作を、図2~図4、図5A及び図5B、図6~図9、図10A及び図10B、並びに図11A及び図11Bを参照して説明する。
まず、セキュリティ管理装置30は、図2に示す如く構成すると好適である。より具体的には、管理モジュール31は、セキュリティ装置20の余剰リソース情報に加えて、ユーザ(図示せず)から指定された条件(トラヒック2に適用すべき一連のセキュリティ機能、及び各セキュリティ機能が満たすべき、スループットや同時コネクション数等の性能要件)に基づき、セキュリティ機能配置方針5と、ルール分割方針6とを決定する。ここで、セキュリティ機能配置方針5には、一連のセキュリティ機能を分散配置するセキュリティ装置(台数)と、各セキュリティ装置に配置するセキュリティ機能とが設定される。また、ルール分割方針6には、各セキュリティ機能に用いるルール集合のサイズが設定される。
また、割当モジュール32は、機能配置モジュール321と、ルール配置モジュール322とを有する。この内、機能配置モジュール321は、管理モジュール31により決定されたセキュリティ機能配置方針5に従って、各セキュリティ装置に一連のセキュリティ機能を分散配置する。より具体的には、機能配置モジュール321は、セキュリティ装置20に対してリソース確保指示7を与え、以てセキュリティ機能の必要リソースを確保させる。
一方、ルール配置管理モジュール322は、管理モジュール31により決定されたルール分割方針6に従って分割したルール集合4を、セキュリティ装置20へ通知する。
以上のようにセキュリティ機能が分散配置されたセキュリティ装置は、次の2種類のタイプ1及び2に分類される。
タイプ1は、TCP(Transmission Control Protocol)の終端が不要なセキュリティ機能のみが配置されたセキュリティ装置である。一方、タイプ2は、TCPの終端が必要なセキュリティ機能が少なくとも1つ配置されたセキュリティ装置である。ここで、TCPの終端とは、受信した複数のトラヒック(パケット列)からストリームを構築することである。
タイプ1のセキュリティ装置から他のセキュリティ装置へのトラヒック2の転送に際しては、両セキュリティ装置間に存在するルータにポリシールーティングを行わせる必要がある。このため、制御モジュール33は、ルータ10に対するポリシールーティング設定8を行う経路制御モジュール331を含む。
一方、タイプ2のセキュリティ装置から他のセキュリティ装置へのトラヒック2の転送に際しては、トラヒック2の宛先(より具体的には、IPアドレス及びポート番号)を変更する必要がある。このため、制御モジュール33は、セキュリティ装置20に対してトラヒック転送先を指示する宛先変更モジュール332をさらに含む。
より具体的には、宛先変更モジュール332は、セキュリティ装置20が有するアクションテーブル21に、トラヒック転送先として、セキュリティ機能毎に付与したSID(Security Identifier)9を登録する。ここで、同一のセキュリティ機能を異なるセキュリティ装置に配置した場合、SID9には互いに異なる値が設定されるものとする。
また、宛先変更モジュール332は、セキュリティ装置20が有する転送テーブル22に、SID9に対するトラヒックの転送方法15を登録する。
より具体的には、宛先変更モジュール332は、トラヒック転送方法15を、セキュリティ装置20とトラヒック2の転送先装置の間に存在する、タイプ1のセキュリティ装置の個数mとタイプ2のセキュリティ装置の個数nとに基づき、下記(A)~(D)に示す如く決定する。ここで、転送先装置とは、次に適用すべきセキュリティ機能を配置したセキュリティ装置、アドレス変換ルータ、又は最終的にトラヒック2を届けるべきクライアントやサーバ等の装置のことである。なお、アドレス変換ルータは、NAT(Network Address Translation)機能やIP(Internet Protocol)マスカレード機能を有するルータである。セキュリティ分散システム1にTCPを終端するセキュリティ機能を配置しない場合は、アドレス変換ルータは不要である。
(A)m="0"且つn="0"が成立する場合(すなわち、同一セキュリティ装置内へのトラフィック転送の場合)、トラヒック転送方法15には何も設定しない。
(B)m>"0"且つn="0"が成立する場合、トラヒック転送方法15に"経路変更"を設定する。ここで、"経路変更"は、ルータ10に対するポリシールーティング設定8が必要であることを示す。
(C)m="0"且つn>"0"が成立する場合、トラヒック転送方法15に"宛先変更"を設定する。ここで、"宛先変更"は、トラヒック2の宛先変更が必要であることを示す。
(D)m>"0"且つn>"0" が成立する場合、トラヒック転送方法15に"経路変更&宛先変更"を設定する。
(B)m>"0"且つn="0"が成立する場合、トラヒック転送方法15に"経路変更"を設定する。ここで、"経路変更"は、ルータ10に対するポリシールーティング設定8が必要であることを示す。
(C)m="0"且つn>"0"が成立する場合、トラヒック転送方法15に"宛先変更"を設定する。ここで、"宛先変更"は、トラヒック2の宛先変更が必要であることを示す。
(D)m>"0"且つn>"0" が成立する場合、トラヒック転送方法15に"経路変更&宛先変更"を設定する。
なお、宛先変更モジュール332は、セキュリティ装置20に対して、SID9に対応する宛先情報(IPアドレス及びポート番号)を通知する。
また、上記の管理モジュール31、割当モジュール32、及び制御モジュール33は、ハードウェアにより実現しても良いし、ソフトウェア(プログラム)により実現しても良い。
後者の場合、図3に示すように、セキュリティ管理装置30内のCPU(Central Processing Unit)34が、図1に示した通信路101及び102に接続されたネットワークインタフェース35を制御すると共に、メモリ(又は二次記憶装置、すなわち記憶媒体)36に格納された、管理モジュール31と同等の処理を記述した管理プログラム37と、割当モジュール32と同等の処理を記述した割当プログラム38と、制御モジュール33と同等の処理を記述した制御プラグラム39とをそれぞれ実行する。この場合、管理モジュール31は、セキュリティ管理装置30の1プロセスとして動作し、割当モジュール32及び制御モジュール33は、それぞれ管理モジュール31の子プロセスとして動作する。各プロセスは、ソケット等を利用したプロセス間通信によって通信する。
一方、セキュリティ装置20は、図4に示す如く構成すると好適である。より具体的には、セキュリティ装置20は、配置されたセキュリティ機能毎のアクションテーブル21と、転送テーブル22と、セキュリティ機能実行モジュール23と、宛先管理モジュール24とを備えている。
この内、アクションテーブル21には、図5Aに示す如く、アクション11とSID9の組からなるエントリが登録されている。
Defaultエントリは、セキュリティ機能実行モジュール23によるマッチング処理の結果、いずれのマッチング条件にも合致しなかったトラヒックに適用されるアクションである。Allowエントリは、マッチング処理の結果、Allowが得られたトラヒックに適用されるアクションである。Jumpエントリは、マッチング処理の結果、Jumpが得られたトラヒックに適用されるアクションである。Finishエントリは、後段のセキュリティ機能(マッチング処理を実行したセキュリティ機能よりも後に適用されるセキュリティ機能)を適用せずに、セキュリティ処理を完了させるアクションある。Finishエントリに対応するSID9は、アドレス変換ルータとなる。
ここで、SID9は、セキュリティ機能の識別子"X"と同一セキュリティ機能内の識別子"Y"の組で表される。例えば、図1に示したセキュリティ装置20_1に配置されたセキュリティ機能3_AのSIDは"1-0"、セキュリティ装置20_2に配置されたセキュリティ機能3_AのSIDは"1-1"となる。同様にして、セキュリティ装置20_2に配置されたセキュリティ機能3_BのSIDは"2―0"、セキュリティ装置20_3に配置されたセキュリティ機能3_BのSIDは"2―1"、セキュリティ装置203_4に配置されたセキュリティ機能3_BのSIDは"2―2"、セキュリティ装置20_4に配置されたセキュリティ機能3_CのSIDは"3-0"となる。
また、転送テーブル22には、図5Bに示す如く、SID9毎に上述したトラヒック転送方法15が登録されている。
図4に戻って、セキュリティ機能実行モジュール23は、セキュリティ管理装置30からのリソース確保指示7に従ってセキュリティ機能の必要リソースを確保すると共に、確保したリソースにより、セキュリティ管理装置30から通知されたルール集合4を用いてルータ10から入力されたトラヒック2のマッチング処理を実行する。
さらに、宛先管理モジュール24は、アクションテーブル21から、セキュリティ機能実行モジュール23によるマッチング処理の結果として得られたアクション11に対応するSID9を読み出すと共に、転送テーブル22を参照して、SID9に対応するトラヒック転送方法15に応じてトラヒック2を転送する。
より具体的には、宛先管理モジュール24は、トラヒック転送方法15に応じて、下記(E)~(H)のいずれかに示す処理を実行する。
(E)トラヒック転送方法15に何も設定されていない場合、トラヒック2をそのままルータ10へ転送する。
(F)トラヒック転送方法15に"経路変更"が設定されている場合、セキュリティ管理装置30に対してポリシールーティング設定要求12を送信する。セキュリティ管理装置30によるポリシールーティング設定8(図2参照)が完了したらトラヒック2をルータ10へ転送する。
(G)トラヒック転送方法15に"宛先変更"が設定されている場合、トラヒック2の宛先を変更した後、ルータ10へ転送する。
(H)トラヒック転送方法15に"経路変更&宛先変更"が設定されている場合、ポリシールーティング設定要求12の送信とトラヒック2の宛先変更を行い、両者が完了したらトラヒック2をルータ10へ転送する。
(F)トラヒック転送方法15に"経路変更"が設定されている場合、セキュリティ管理装置30に対してポリシールーティング設定要求12を送信する。セキュリティ管理装置30によるポリシールーティング設定8(図2参照)が完了したらトラヒック2をルータ10へ転送する。
(G)トラヒック転送方法15に"宛先変更"が設定されている場合、トラヒック2の宛先を変更した後、ルータ10へ転送する。
(H)トラヒック転送方法15に"経路変更&宛先変更"が設定されている場合、ポリシールーティング設定要求12の送信とトラヒック2の宛先変更を行い、両者が完了したらトラヒック2をルータ10へ転送する。
なお、上記のセキュリティ機能実行モジュール23及び宛先管理モジュール24は、ハードウェアにより実現しても良いし、プログラムにより実現しても良い。
後者の場合、図6に示すように、セキュリティ装置20内のCPU25が、図1に示した通信路101及びルータ10とのネットワークインタフェース26を制御すると共に、メモリ(又は二次記憶装置、すなわち記憶媒体)27に格納された、セキュリティ機能実行モジュール23と同等の処理を記述したセキュリティ機能実行プログラム28と、宛先管理モジュール24と同等の処理を記述した宛先管理プログラム29とをそれぞれ実行する。また、ルール集合4、並びにアクションテーブル21及び転送テーブル22は、CPU25から参照可能なようメモリ(又は二次記憶装置)27に形成する。この場合、セキュリティ機能3は、セキュリティ装置20に搭載されたOS(図示せず)のカーネル空間プログラムやユーザ空間プロセスとして動作する。
次に、本実施の形態の動作を、図7~図9、図10A及び図10B、並びに図11A及び図11Bを参照して詳細に説明する。
図7は、セキュリティ管理装置30におけるセキュリティ機能の配置処理例を示している。
図7に示すように、まず、セキュリティ管理装置30内の管理モジュール31が、セキュリティ装置20_1~20_4の余剰リソース情報に加えて、ユーザから指定された条件(トラヒック2に適用すべき一連のセキュリティ機能、及び各セキュリティ機能が満たすべき、スループットや同時コネクション数等の性能要件)に基づき、セキュリティ機能配置方針5と、ルール分割方針6とを決定する(ステップS1)。
この決定処理を、下記の条件がユーザから指定された場合を例に取って具体的に説明する。
[ユーザ指定条件]
・トラヒック2に適用すべきセキュリティ機能:セキュリティ機能3_A~3_C。
・性能要件:スループット1Gbps、同時コネクション数:指定無し。
・トラヒック2に適用すべきセキュリティ機能:セキュリティ機能3_A~3_C。
・性能要件:スループット1Gbps、同時コネクション数:指定無し。
管理モジュール31は、上記の条件に基づき、各セキュリティ機能3_A~3_Cの必要リソース量を算出する。この結果、下記の必要リソース量が得られたとする。
[必要リソース量]
・セキュリティ機能3_A:1GHz以上のCPUリソース2個、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_B:2GHz以上のCPUリソース3個、メモリ量192MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_C:2GHz以上のCPUリソース1個、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_A:1GHz以上のCPUリソース2個、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_B:2GHz以上のCPUリソース3個、メモリ量192MB、ネットワーク性能1Gbps以上。
・セキュリティ機能3_C:2GHz以上のCPUリソース1個、メモリ量128MB、ネットワーク性能1Gbps以上。
また、管理モジュール31が、セキュリティ装置20_1~20_4の余剰リソース情報から、下記のリソースを活用可能と判断したとする。
[活用可能リソース]
・セキュリティ装置20_1:1CPU(1.6Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_2:2CPU(2.4Ghz)、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_3:1CPU(2.0Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_4:2CPU(2.4Ghz)、メモリ量192MB、ネットワーク性能3Gbps以上。
・セキュリティ装置20_1:1CPU(1.6Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_2:2CPU(2.4Ghz)、メモリ量128MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_3:1CPU(2.0Ghz)、メモリ量64MB、ネットワーク性能1Gbps以上。
・セキュリティ装置20_4:2CPU(2.4Ghz)、メモリ量192MB、ネットワーク性能3Gbps以上。
この場合、管理モジュール31は、上記の必要リソース量と活用可能リソースに基づき、例えば下記の通りにセキュリティ機能配置方針5及びルール分割方針6を決定し、割当モジュール32内の機能配置モジュール321及びルール配置モジュール322にそれぞれ与える。
[セキュリティ機能配置方針5]
・セキュリティ装置20_1にセキュリティ機能3_A(SID="1-0")を配置。
・セキュリティ装置20_2にセキュリティ機能3_A(SID="1-1")及び3_B(SID="2-0")を配置。
・セキュリティ装置20_3にセキュリティ機能3_B(SID="2-1")を配置。
・セキュリティ装置20_4にセキュリティ機能3_B(SID="2-2")及び3_C(SID="3-0")を配置。
・セキュリティ装置20_1にセキュリティ機能3_A(SID="1-0")を配置。
・セキュリティ装置20_2にセキュリティ機能3_A(SID="1-1")及び3_B(SID="2-0")を配置。
・セキュリティ装置20_3にセキュリティ機能3_B(SID="2-1")を配置。
・セキュリティ装置20_4にセキュリティ機能3_B(SID="2-2")及び3_C(SID="3-0")を配置。
[ルール分割方針6]
・セキュリティ装置20_1にルール集合4_A1を配置。
・セキュリティ装置20_2にルール集合4_A2及び4_B1を配置。
・セキュリティ装置20_3にルール集合4_B2を配置。
・セキュリティ装置20_4にルール集合4_B3及び4_Cを配置。
・セキュリティ装置20_1にルール集合4_A1を配置。
・セキュリティ装置20_2にルール集合4_A2及び4_B1を配置。
・セキュリティ装置20_3にルール集合4_B2を配置。
・セキュリティ装置20_4にルール集合4_B3及び4_Cを配置。
そして、機能配置モジュール321は、上記のステップS1で決定されたセキュリティ機能配置方針5に従って、セキュリティ装置20_1~20_4にリソース確保指示7をそれぞれ与える(ステップS2)。
また、ルール配置モジュール322は、上記のステップS1で決定されたルール分割方針6に従って分割したルール集合4_A1、4_A2及び4_B1、4_B2、並びに4_B3及び4_Cを、セキュリティ装置20_1~20_4へそれぞれ通知する(ステップS3)。
次に、制御モジュール33が経路及び宛先の設定を行う。
まず、経路制御モジュール331は、タイプ1のセキュリティ装置に対するDefaultの経路設定を行う。すなわち、経路制御モジュール331は、タイプ1のセキュリティ装置に接続されたルータ10に対して、ポリシールーティングの初期設定を行う(ステップS4)。
これと並行して、宛先変更モジュール332は、タイプ1のセキュリティ装置が有するアクションテーブル21中の各エントリに、次に適用するセキュリティ機能のSIDを登録する(ステップS5)。
そして、宛先変更モジュール332は、タイプ2のセキュリティ装置が有するアクションテーブル21中の各エントリに、次に適用するセキュリティ機能のSIDを登録する(ステップS6)。
より具体的には、まず宛先変更モジュール332は、Defaultの宛先設定を行う。すなわち、宛先変更モジュール332は、アクションテーブル21中のDefaultエントリに、次に適用するセキュリティ機能のSIDを登録する。次いで、宛先変更モジュール332は、アクションテーブル21中のAllowエントリに対して次のセキュリティ機能のSIDを登録する。次いで、宛先変更モジュール332は、Jump可能なセキュリティ機能毎に、アクションテーブル21中にJumpエントリを追加する。最後に、宛先変更モジュール332は、アクションテーブル21中のFinishエントリに、アドレス変換ルータを登録する。
そして、宛先変更モジュール332は、上記(A)~(D)に示した通り、各セキュリティ装置20_1~20_4と転送先装置の間に存在する、タイプ1のセキュリティ装置の個数mとタイプ2のセキュリティ装置の個数nとに基づき、各セキュリティ装置20_1~20_4におけるトラヒック転送方法15を決定し、転送テーブル22に登録する(ステップS7)。
なお、或るセキュリティ装置から転送先装置への経路が複数存在する場合、1つの経路を選択して上記の個数m及びnを求めても良い。また、候補となる幾つかの経路を選択して個数m及びnをそれぞれ求め、個数m又はnが最小となる1つの経路を選択しても良い。
上記のステップS7と並行して、宛先変更モジュール332は、各セキュリティ装置20_1~20_4に対して、転送テーブル22に登録したSIDに対応する宛先情報(IPアドレス及びポート番号)を通知する(ステップS8)。この宛先情報は、各セキュリティ装置20_1~20_4内の宛先管理モジュール24にて管理される。
次に、セキュリティ管理装置30及びセキュリティ装置20の協調動作によるトラヒックの転送処理例を、図8、図9、図10A及び図10B、並びに図11A及び図11Bを参照して説明する。
図8に示すように、まずセキュリティ装置20内のセキュリティ機能実行モジュール23が、ルータ10から入力されたトラヒック2に対するマッチング処理を実行してアクション11を取得し、宛先管理モジュール24に与える(ステップS11)。
宛先管理モジュール24は、アクション11をキーとして、アクションテーブル21からSID9を読み出す(ステップS12)。
そして、宛先管理モジュール24は、SID9をキーとして、転送テーブル22からトラフィック転送方法15を読み出す(ステップS13)。
トラフィック転送方法15に何も設定されていない場合(ステップS14)、宛先管理モジュール24は、トラヒック2をルータ10へ転送する(ステップS15)。ここで、上記のステップS4でルータ10に対するポリシールーティングの初期設定が行われているため、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。なお、SID9が同一セキュリティ装置内に在る場合、セキュリティ装置20は、SID9に対応するセキュリティ機能に係る処理を続けて実行する。
トラフィック転送方法15に"経路変更"が設定されている場合(ステップS16)、宛先管理モジュール24は、セキュリティ管理装置30内の経路制御モジュール331に対して、ポリシールーティング設定要求12を送信する(ステップS17)。
この要求12を受けた経路制御モジュール331は、転送先装置迄の間に存在するルータ10におけるポリシールーティング設定を変更する(ステップS18)。これにより、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
トラフィック転送方法15に"宛先変更"が設定されている場合(ステップS19)、宛先管理モジュール24は、トラヒック2の宛先を変更する(ステップS20)。これにより、トラヒック2は、次に適用すべきセキュリティ機能が配置された適切なセキュリティ装置へ転送されることとなる。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
トラフィック転送方法15に"経路変更&宛先変更"が設定されている場合(ステップS21)、宛先管理モジュール24は、上記のステップS17及びS18と同様にポリシールーティング設定を変更し(ステップS22及びS23)、上記のステップS20と同様にトラヒック2の宛先を変更する(ステップS24)。この後、宛先管理モジュール24は、上記のステップS15に進んで、トラヒック2をルータ10へ転送する。
以下、上記のトラヒック転送処理を、図9、図10A及び図10B、並びに図11A及び図11Bを参照してより詳細に説明する。
まず前提として、図9は、8台のセキュリティ装置20_1~20_8に、ファイアウォール機能3_1、IPS機能3_2、WAF機能3_3、及びアンチウィルス機能3_4を分散配置した場合のトラヒック転送処理例を扱っている。より具体的には、セキュリティ装置20_1及び20_2に、ファイアウォール機能3_1(SID="1-0"及び"1-1")をそれぞれ配置している。また、セキュリティ装置20_3及び20_4に、IPS機能3_2(SID="2-0"及び"2-1")をそれぞれ配置している。また、セキュリティ装置20_5及び20_6に、WAF機能3_3(SID="3-0"及び"3-1")をそれぞれ配置している。さらに、セキュリティ装置20_7及び20_8に、アンチウィルス機能3_4(SID="4-0"及び"4-1")をそれぞれ配置している。
また、TCPを最初に終端するのはセキュリティ装置20_5におけるWAF機能3_3とする。この場合、セキュリティ装置20_1にルータ10_1を介して入力されるトラヒック2の宛先には、セキュリティ装置20_5のIPアドレスとWAF機能3_3が待ち受けるポート番号とが設定される。すなわち、セキュリティ装置20_5~20_8は、タイプ2のセキュリティ装置であり、IPアドレス及びポート番号の指定により、ルータ10_5~10_8からのトラフィック2がそれぞれ入力される。
一方、セキュリティ装置20_1~20_4は、タイプ1のセキュリティ装置であり、ルータ10_1~10_4のポリシールーティングによりトラヒック2がそれぞれ入力される。
また、トラヒック2は、セキュリティ装置20_1~20_8による検査後、アドレス変換ルータ10_9にてアドレス変換され、最終的にサーバ200に到達する。
まず、タイプ1のセキュリティ装置におけるトラヒック(ここではパケットが対象)の転送処理は、次のように行われる。
セキュリティ装置20_1を例に取ると、まず、セキュリティ装置20_1に配置されたファイアウォール機能3_1(SID="1-0")は、ルータ10_1から入力されたトラヒック2に対するマッチング処理を実行する。
この結果、トラヒック2がいずれのマッチング条件にも合致しなかった場合、ファイアウォール機能3_1は、Defaultアクションを実行する。すなわち、セキュリティ装置20_1は、図10Aに示す自身のアクションテーブル21_1を参照し、Defaultエントリに対応するSID9(この例では"1-1")を取得する。
そして、セキュリティ装置20_1は、SID9="1-1"をキーとして、図10Bに示す転送テーブル22_1からトラヒック転送方法15を取得する。今、SID9="1-1"に対応するトラヒック転送方法15は空欄であるため、セキュリティ装置20_1は通常の経路301を使用して、トラヒック2を転送する。
一方、トラヒック2がいずれかのマッチング条件に合致した場合、ファイアウォール機能3_1は、対応するアクションを実行する。
アクションがAllowである場合、セキュリティ装置20_1は、アクションテーブル21_1を参照し、Allowエントリに対応する宛先SID9(この例では"2-0")を取得する。
そして、セキュリティ装置20_1は、SID9="2-0"をキーとして、転送テーブル22_1からトラヒック転送方法15を取得する。今、SID9="2-0"に対応するトラヒック転送方法15は"経路変更"に設定されているため、セキュリティ装置20_1は、セキュリティ管理装置30に対してポリシールーティング設定の変更を依頼する。この時、セキュリティ装置20_1は、セキュリティ管理装置30に、トラヒック情報(例えば、パケットヘッダ)とSID9とを渡す。
セキュリティ管理装置30内の経路制御モジュール331は、SID9がどのセキュリティ装置に対応するのかを機能配置モジュール321に問い合わせる。そして、経路制御モジュール331は、SID9="2-0"に対応するセキュリティ装置20_3迄の間に存在するルータ10_1~10_3に対して、トラヒック2をセキュリティ装置20_2に転送させるためのポリシールーティング設定(設定変更)を行う。ポリシールーティング設定が完了した後、セキュリティ装置20_1は、トラヒック2をルータ10_1へ転送する。
これにより、トラフィック2は、ルータ10_1~10_3を順に経由する経路302を通ってセキュリティ装置20_3に到達し、以てIPS機能3_2が適用されることとなる。
なお、アクションがJump又はFinishである場合も、トラヒック転送方法15が"経路変更"であれば同様の処理が行われる。
次に、タイプ2のセキュリティ装置におけるトラヒック(ここでは同一コネクションに流れる複数のパケットが対象)の転送処理例を説明する。
セキュリティ装置20_5を例に取ると、まず、WAF機能3_3(SID="3-0")は、ルータ10_5から入力されたトラヒック2に対するマッチング処理を実行する。
この結果、トラヒック2がいずれのマッチング条件にも合致しなかった場合、WAF機能3_3は、Defaultアクションを実行する。すなわち、セキュリティ装置20_5は、図11Aに示す自身のアクションテーブル21_5を参照し、Defaultエントリに対応するSID9(この例では"3-1")を取得する。
そして、セキュリティ装置20_5は、SID9="3-1"をキーとして、図11Bに示す転送テーブル22_5からトラヒック転送方法15を取得する。今、SID9="3-1"に対応するトラヒック転送方法15は空欄であるため、セキュリティ装置20_5は、通常の宛先を使用してトラヒック2を転送する。この場合、トラフィック2は、ルータ10_5及び10_6を順に経由する経路303を通ってセキュリティ装置20_6に到達し、以てWAF機能3_3が、異なるルール集合を用いて継続実行されることとなる。
一方、トラヒック2がいずれかのマッチング条件に合致した場合、WAF機能3_3は、対応するアクションを実行する。
アクションがAllowである場合、セキュリティ装置20_5は、アクションテーブル21_5を参照し、Allowエントリに対応する宛先SID9(この例では"4-0")を取得する。
そして、セキュリティ装置20_5は、SID9="4-0"をキーとして、転送テーブル22_5からトラヒック転送方法15を取得する。今、SID9="4-0"に対応するトラヒック転送方法15は"宛先変更"に設定されているため、セキュリティ装置20_5は、SID9="4-0"に対応するセキュリティ装置20_7のIPアドレスと、アンチウィルス機能3_4が待ち受けるポート番号とを、トラヒック2の新たな宛先として設定する。宛先設定が完了した後、セキュリティ装置20_5は、トラヒック2をルータ10_5へ転送する。
これにより、トラフィック2は、ルータ10_5~10_7を順に経由する経路304を通ってセキュリティ装置20_7に到達し、以てアンチウィルス機能3_4が適用されることとなる。
なお、アクションがJump又はFinishである場合も、トラヒック転送方法15が"経路変更"であれば同様の処理が行われる。また、トラヒック転送方法15が"経路変更&宛先変更"である場合、セキュリティ装置20_5は、上記のポリシールーティング設定の変更依頼及び宛先変更の両処理を実行する。今、アクションテーブル21_5中のFinishエントリに対応するSID9が"アドレス変更ルータ"であるため、トラフィック2は、ルータ10_5~10_7を順に経由する経路305を通ってアドレス変換ルータ10_9に到達し、以てサーバ200へ転送されることとなる。
以上説明した実施の形態1によれば、管理モジュール31が、余剰リソースのサイズに合わせて、各セキュリティ装置に配置するセキュリティ機能と、それらのセキュリティ機能毎のルール集合のサイズを決定した後、機能配置モジュール321が、セキュリティ機能配置方針に従って、セキュリティ機能を各セキュリティ装置に配置し、ルール配置モジュール322が、ルール分割方針に従って、ルール集合を各セキュリティ装置に通知する、という構成になっているため、余剰リソースを効率的に活用することができる。
また、各セキュリティ機能でのルール集合とのマッチング結果によって、経路制御モジュール331がトラヒックに対するポリシールーティングの変更を行い、或いは宛先変更モジュール332が宛先の変更を行う、という構成になっているため、不要なセキュリティ装置又は不要なセキュリティ機能へのトラヒックの転送を避けることができ、以てセキュリティ処理の遅延を低減できる。
[実施の形態2]
図12に示す本実施の形態に係るセキュリティ装置30aは、管理モジュール31が、上述した機能に加えて、セキュリティ装置20にセキュリティ機能の性能要件13を満たしているか否か監視させる機能を有する点が上記の実施の形態1と異なる。また、セキュリティ装置20は、性能要件13を満たしていない場合に、その旨を示す警告14を管理モジュール31へ通知する性能監視モジュール400をさらに有する。
図12に示す本実施の形態に係るセキュリティ装置30aは、管理モジュール31が、上述した機能に加えて、セキュリティ装置20にセキュリティ機能の性能要件13を満たしているか否か監視させる機能を有する点が上記の実施の形態1と異なる。また、セキュリティ装置20は、性能要件13を満たしていない場合に、その旨を示す警告14を管理モジュール31へ通知する性能監視モジュール400をさらに有する。
動作においては、図13に示すように、性能監視モジュール400は、セキュリティ装置20が、図7と同様のステップS1~S8の後に管理モジュール31から送信された性能要件(スループットや同時コネクション数等)13を満たしているか否かを定期的に判定する(ステップS9)。
この結果、性能要件13を満たせなくなった場合、性能監視モジュール400は、管理モジュール31に対する警告14を発行し、以てセキュリティ機能の再配置を要求する。
警告14を受けた管理モジュール31は、上記のステップS1に戻って、セキュリティ機能の配置処理を再実行する。
また、管理モジュール31は、性能監視モジュール400により警告14が発行されない場合であっても、定期的に余剰リソース情報を監視し、より良い条件のセキュリティ機能配置方針5及びルール分割方針6が導出可能であるかを判定する。この結果、定常的に良いセキュリティ機能配置方針5及びルール分割方針6が存在する場合(ステップS10)、管理モジュール31は、上記のステップS1に戻って、セキュリティ機能の配置処理を再実行する。
これにより、いずれかのセキュリティ装置にリソース不足等が発生した場合であっても、各セキュリティ機能を再配置することができ、以てセキュリティ機能の動的な分散配置(負荷分散)を実現できる。
以上説明した実施の形態2によれば、上記の実施の形態1と同様の効果に加えて、各セキュリティ装置が性能要件13を満たしているか否かを監視し、満たしていない場合に、管理モジュール31に対して警告14を通知する性能監視モジュール400を備える構成となっており、警告14を通知された管理モジュール31がセキュリティ機能の再配置を行うため、余剰リソースのサイズが動的に変化する場合であっても、効率的に余剰リソースを活用することができる。
また、上記の実施の形態1と同様の効果に加えて、性能監視モジュール400が、性能要件13を満たせなくなった場合に警告14を管理モジュール31に通知することによって、セキュリティ機能の再配置が行われる、という構成になっているため、セキュリティ装置同士間でのクエリ発行等が不要であり、セキュリティ処理の適用に際して余計な遅延が生じない。
なお、上記の実施の形態によって本発明は限定されるものではなく、請求の範囲の記載に基づき、当業者によって種々の変更が可能なことは明らかである。
この出願は、2009年3月5日に出願された日本出願特願2009-052321を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システムに適用され、特に企業やデータセンター内の通信ネットワークにおいて、トラヒックに適用すべき一連のセキュリティ機能に係る処理を複数のセキュリティ装置に分散実行させる用途に適用される。
1 セキュリティ分散システム
2 トラヒック
3, 3_A~3_C セキュリティ機能
3_1 ファイアウォール機能
3_2 IPS機能
3_3 WAF機能
3_4 アンチウィルス機能
4, 4_A1, 4_A2, 4_B1~4_B3, 4_C ルール集合
5 セキュリティ機能配置方針
6 ルール分割方針
7 リソース確保指示
8 ポリシールーティング設定
9 SID
10, 10_1~10_8 ルータ
10_9 アドレス変更ルータ
11 アクション
12 ポリシールーティング設定要求
13 性能要件
14 警告
15 トラヒック転送方法
20, 20_1~20_8 セキュリティ装置
21 アクションテーブル
22 転送テーブル
23 セキュリティ機能実行モジュール
24 宛先管理モジュール
25, 34 CPU
26, 36 メモリ(又は二次記憶装置)
27 セキュリティ機能実行プログラム
28 宛先管理プログラム
30, 30a セキュリティ管理装置
31 管理モジュール
32 割当モジュール
33 制御モジュール
35 ネットワークインタフェース
37 管理プログラム
38 割当プログラム
39 制御プログラム
101, 102 通信路
200 サーバ
301~305 経路
321 機能配置モジュール
322 ルール配置モジュール
331 経路制御モジュール
332 宛先変更モジュール
400 性能監視モジュール
2 トラヒック
3, 3_A~3_C セキュリティ機能
3_1 ファイアウォール機能
3_2 IPS機能
3_3 WAF機能
3_4 アンチウィルス機能
4, 4_A1, 4_A2, 4_B1~4_B3, 4_C ルール集合
5 セキュリティ機能配置方針
6 ルール分割方針
7 リソース確保指示
8 ポリシールーティング設定
9 SID
10, 10_1~10_8 ルータ
10_9 アドレス変更ルータ
11 アクション
12 ポリシールーティング設定要求
13 性能要件
14 警告
15 トラヒック転送方法
20, 20_1~20_8 セキュリティ装置
21 アクションテーブル
22 転送テーブル
23 セキュリティ機能実行モジュール
24 宛先管理モジュール
25, 34 CPU
26, 36 メモリ(又は二次記憶装置)
27 セキュリティ機能実行プログラム
28 宛先管理プログラム
30, 30a セキュリティ管理装置
31 管理モジュール
32 割当モジュール
33 制御モジュール
35 ネットワークインタフェース
37 管理プログラム
38 割当プログラム
39 制御プログラム
101, 102 通信路
200 サーバ
301~305 経路
321 機能配置モジュール
322 ルール配置モジュール
331 経路制御モジュール
332 宛先変更モジュール
400 性能監視モジュール
Claims (14)
- 複数のセキュリティ装置各々の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する管理モジュールと、
前記選択された各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択された各セキュリティ装置に対して、前記決定された各サイズ分のルール集合を通知する割当モジュールと、
前記選択されたセキュリティ装置同士間のトラフィック転送を制御する制御モジュールと、
を備えたセキュリティ管理装置。 - 請求項1において、
前記トラフィック転送が、ルータを介して行われ、
前記制御モジュールが、前記選択されたセキュリティ装置の内で、複数のトラヒックからのストリームの構築が不要なセキュリティ機能を配置する第1のセキュリティ装置と、前記第1のセキュリティ装置からのトラヒックの転送先となる第2のセキュリティ装置との間に存在するルータに、ポリシールーティングを行わせる経路制御モジュールを含むことを特徴としたセキュリティ管理装置。 - 請求項2において、
前記制御モジュールが、前記選択されたセキュリティ装置の内で、前記ストリームの構築が必要なセキュリティ機能を配置する第3のセキュリティ装置から他のセキュリティ装置へのトラヒック転送に際して、前記第3のセキュリティ装置に、トラヒックの宛先を前記他のセキュリティ装置へ変更させる宛先変更モジュールをさらに含むことを特徴としたセキュリティ管理装置。 - 請求項3において、
前記宛先変更モジュールが、前記第1のセキュリティ装置に、前記第2のセキュリティ装置へのトラフィック転送に際して、前記ポリシールーティングの実行が必要である旨を通知し、前記第3のセキュリティ装置に、前記他のセキュリティ装置へのトラフィック転送に際して、前記宛先の変更が必要である旨を指示することを特徴としたセキュリティ管理装置。 - 請求項1~4のいずれか一項において、
前記管理モジュールが、前記選択した各セキュリティ装置に、各セキュリティ機能の性能要件を満たしているか否かを監視させ、いずれかのセキュリティ装置から前記性能要件を満たせない旨の警告を受けた場合に、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ管理装置。 - 複数のセキュリティ装置と、
各セキュリティ装置を管理するセキュリティ管理装置と、を備え、
前記セキュリティ管理装置が、
各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、
前記選択した各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択した各セキュリティ装置に対して、前記決定した各サイズ分のルール集合を通知し、
前記選択したセキュリティ装置同士間のトラフィック転送を制御するセキュリティ分散システム。 - 請求項6において、
前記選択した各セキュリティ装置が、
複数のトラヒックからのストリームの構築が不要なセキュリティ機能が配置された場合、トラヒック転送に際し、前記セキュリティ管理装置に対して、自装置と前記セキュリティ管理装置から指示された転送先のセキュリティ装置との間に存在するルータによるポリシールーティングの実行を要求し、
前記ストリームの構築が必要なセキュリティ機能が配置された場合、トラヒック転送に際して、トラヒックの宛先を、前記セキュリティ管理装置から指示された転送先のセキュリティ装置に変更することを特徴としたセキュリティ分散システム。 - 請求項6又は7において、
前記選択した各セキュリティ装置が、前記セキュリティ管理装置から指示された各セキュリティ機能の性能要件を満たしているか否かを監視し、前記性能要件を満たしていない場合に、その旨を前記セキュリティ管理装置へ警告し、
前記セキュリティ管理装置が、前記警告に応じて、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ分散システム。 - 複数のセキュリティ装置を管理する装置におけるセキュリティ管理方法であって、
各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定し、
前記選択した各セキュリティ装置に対して、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記選択した各セキュリティ装置に対して、前記決定した各サイズ分のルール集合を通知し、
前記選択したセキュリティ装置同士間のトラフィック転送を制御するセキュリティ管理方法。 - 請求項9において、
前記トラフィック転送がルータを介して行われる場合、前記選択したセキュリティ装置の内で、複数のトラヒックからのストリームの構築が不要なセキュリティ機能を配置する第1のセキュリティ装置と、前記第1のセキュリティ装置からのトラヒックの転送先となる第2のセキュリティ装置との間に存在するルータに、ポリシールーティングを行わせることを特徴としたセキュリティ管理方法。 - 請求項10において、
前記選択したセキュリティ装置の内で、前記ストリームの構築が必要なセキュリティ機能を配置する第3のセキュリティ装置から他のセキュリティ装置へのトラヒック転送に際して、トラヒックの宛先を、前記第3のセキュリティ装置によって、前記他のセキュリティ装置へ変更することを特徴としたセキュリティ管理方法。 - 請求項11において、
前記第1のセキュリティ装置に、前記第2のセキュリティ装置へのトラフィック転送に際して、前記ポリシールーティングの実行が必要である旨を通知し、前記第3のセキュリティ装置に、前記他のセキュリティ装置へのトラフィック転送に際して、前記宛先の変更が必要である旨を指示することを特徴としたセキュリティ管理方法。 - 請求項9~12のいずれか一項において、
前記選択した各セキュリティ装置に、各セキュリティ機能の性能要件を満たしているか否かを監視させ、いずれかのセキュリティ装置から前記性能要件を満たせない旨の警告を受けた場合に、前記一連のセキュリティ機能を分散配置するセキュリティ装置を再選択すると共に、前記ルール集合のサイズを再決定することを特徴としたセキュリティ管理方法。 - 複数のセキュリティ装置を管理する装置に、
各セキュリティ装置の余剰リソース情報に基づき、トラヒックに適用すべき一連のセキュリティ機能を分散配置するセキュリティ装置を選択すると共に、前記選択した各セキュリティ装置が各セキュリティ機能に係る処理の実行に用いるルール集合のサイズを決定する処理と、
前記選択した各セキュリティ装置に、各セキュリティ機能に係る処理の実行に必要なリソースを確保するよう指示すると共に、前記決定された各サイズ分のルール集合を通知する処理と、
前記選択したセキュリティ装置同士間のトラフィック転送を制御する処理と、
を実行させるためのセキュリティ管理プログラムを格納した記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011502608A JP5482783B2 (ja) | 2009-03-05 | 2010-02-03 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009052321 | 2009-03-05 | ||
JP2009-052321 | 2009-03-05 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2010100825A1 true WO2010100825A1 (ja) | 2010-09-10 |
Family
ID=42709398
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2010/000652 WO2010100825A1 (ja) | 2009-03-05 | 2010-02-03 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5482783B2 (ja) |
WO (1) | WO2010100825A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231059A (ja) * | 2014-06-03 | 2015-12-21 | 富士通株式会社 | 経路設定装置及び経路設定方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006521776A (ja) * | 2003-03-28 | 2006-09-21 | ジュニパー ネットワークス, インコーポレイテッド | インテリジェント統合ネットワークセキュリティ装置 |
JP2008527921A (ja) * | 2005-01-12 | 2008-07-24 | シマンテック | データストリームのセキュリティタギングによる分散トラフィックスキャニング |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3821379B2 (ja) * | 2002-05-28 | 2006-09-13 | 株式会社エヌ・ティ・ティ・ドコモ | サービス提供方法及びサービス提供システム |
US7430760B2 (en) * | 2003-12-05 | 2008-09-30 | Microsoft Corporation | Security-related programming interface |
-
2010
- 2010-02-03 WO PCT/JP2010/000652 patent/WO2010100825A1/ja active Application Filing
- 2010-02-03 JP JP2011502608A patent/JP5482783B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006521776A (ja) * | 2003-03-28 | 2006-09-21 | ジュニパー ネットワークス, インコーポレイテッド | インテリジェント統合ネットワークセキュリティ装置 |
JP2008527921A (ja) * | 2005-01-12 | 2008-07-24 | シマンテック | データストリームのセキュリティタギングによる分散トラフィックスキャニング |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231059A (ja) * | 2014-06-03 | 2015-12-21 | 富士通株式会社 | 経路設定装置及び経路設定方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2010100825A1 (ja) | 2012-09-06 |
JP5482783B2 (ja) | 2014-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3932041B1 (en) | Remote smart nic-based service acceleration | |
EP2845372B1 (en) | Two level packet distribution with stateless first level packet distribution to a group of servers and stateful second level packet distribution to a server within the group | |
US7644159B2 (en) | Load balancing for a server farm | |
EP2901650B1 (en) | Securing software defined networks via flow deflection | |
US8782239B2 (en) | Distributed router computing at network nodes | |
WO2013150925A1 (ja) | ネットワークシステム、コントローラ、及びパケット認証方法 | |
US20120075991A1 (en) | Network system, control method thereof and controller | |
US7561587B2 (en) | Method and system for providing layer-4 switching technologies | |
JP4041038B2 (ja) | 高位レイヤ処理方法及びシステム | |
Badshah et al. | An improved method to deploy cache servers in software defined network-based information centric networking for big data | |
Iqbal et al. | Minimize the delays in software defined network switch controller communication | |
WO2010069261A1 (zh) | 边界网关协议路由处理方法、装置和系统 | |
Rzepka et al. | PARD: Hybrid proactive and reactive method eliminating flow setup latency in SDN | |
Manzanares-Lopez et al. | An MPTCP-compatible load balancing solution for pools of servers in OpenFlow SDN networks | |
Cui et al. | PLAN: a policy-aware VM management scheme for cloud data centres | |
JP5482783B2 (ja) | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム | |
CN110300073A (zh) | 级联端口的目标选择方法、聚合装置及存储介质 | |
Wang et al. | Tualatin: Towards network security service provision in cloud datacenters | |
Sanjeetha et al. | Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks | |
US20100195647A1 (en) | Method and apparatus for packet processing | |
EP4109862B1 (en) | Data transmission method, system, device, and storage medium | |
Wu et al. | OpenFlow-Based Global Load Balancing in Fat-Tree Networks | |
Luo et al. | Design and implementation of a scalable sdn-of controller cluster | |
US20230291685A1 (en) | Mechanism to manage bidirectional traffic for high availability network devices | |
KR20170040089A (ko) | 인프라스트럭처-리스 환경에서 IoT 장치들의 자율 네트워킹 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10748429 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2011502608 Country of ref document: JP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 10748429 Country of ref document: EP Kind code of ref document: A1 |