ホーム > 特許ランキング > ASTRONSECURITY
知財求人 - 知財ポータルサイト「IP Force」
特開2023-164212クラウドセキュリティートポロジー可視化装置、並びにこれを用いた統合クラウドワークロード運営及びセキュリティー管理システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023164212
(43)【公開日】2023-11-10
(54)【発明の名称】クラウドセキュリティートポロジー可視化装置、並びにこれを用いた統合クラウドワークロード運営及びセキュリティー管理システム
(51)【国際特許分類】
G06F 11/32 20060101AFI20231102BHJP
G06F 11/30 20060101ALI20231102BHJP
G06F 21/57 20130101ALI20231102BHJP
【FI】
G06F11/32 180
G06F11/30 155
G06F11/30 140A
G06F21/57 370
【審査請求】有
【請求項の数】13
【出願形態】OL
(21)【出願番号】P 2022080216
(22)【出願日】2022-05-16
(11)【特許番号】
(45)【特許公報発行日】2022-08-18
(31)【優先権主張番号】10-2022-0053883
(32)【優先日】2022-04-30
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】522192920
【氏名又は名称】アストロンセキュリティー
【氏名又は名称原語表記】ASTRONSECURITY
(74)【代理人】
【識別番号】100166006
【弁理士】
【氏名又は名称】泉 通博
(74)【代理人】
【識別番号】100154070
【弁理士】
【氏名又は名称】久恒 京範
(74)【代理人】
【識別番号】100153280
【弁理士】
【氏名又は名称】寺川 賢祐
(72)【発明者】
【氏名】チョー クンソク
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GA12
5B042MA08
5B042MA14
5B042MC40
(57)【要約】
【課題】クラウドの運営及びセキュリティーに関する全般的な状況を視覚化する可視化装置を提供する。
【解決手段】クラウドセキュリティートポロジー可視化装置は、クラウド事業者から、API連動を介して第1情報を収集する第1情報収集部と、第1情報に基づいて、対象クラウドで使用するオブジェクト、ネットワーク等に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPCのサブネット、セキュリティーグループ及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成する第1画面構成部と、エージェント連動を介して第2情報を収集する第2情報収集部と、第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成する第2画面構成部と、第1画面及び第2画面を統合してユーザー端末に出力する出力部を備える。
【選択図】図1
【解決手段】クラウドセキュリティートポロジー可視化装置は、クラウド事業者から、API連動を介して第1情報を収集する第1情報収集部と、第1情報に基づいて、対象クラウドで使用するオブジェクト、ネットワーク等に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPCのサブネット、セキュリティーグループ及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成する第1画面構成部と、エージェント連動を介して第2情報を収集する第2情報収集部と、第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成する第2画面構成部と、第1画面及び第2画面を統合してユーザー端末に出力する出力部を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
クラウド事業者から、API(Application Programming Interface)連動を介して、少なくとも使用するクラウドのネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループを含む第1情報を収集するための第1情報収集部と、
前記第1情報収集部が収集した前記第1情報に基づいて、前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記クラウド事業者から、エージェント(Agent)連動を介して少なくともリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部と、
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備える、
クラウドセキュリティートポロジー可視化装置。
前記第1情報収集部が収集した前記第1情報に基づいて、前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記クラウド事業者から、エージェント(Agent)連動を介して少なくともリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部と、
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備える、
クラウドセキュリティートポロジー可視化装置。
【請求項2】
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項3】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項4】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンを前記対象クラウド別に異なるように構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項5】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバーに関する情報、前記可用領域、及び前記オートスケーリンググループのうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項6】
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、無欠性点検結果のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項7】
クラウド事業者からAPI(Application Programming Interface)連動を介して少なくとも使用するクラウドのアカウント情報、リソース情報、ファイアウォール情報、及びネットワーク情報を含む第1情報を収集するための第1情報収集部と、
前記第1情報収集部が収集した前記第1情報に基づいて前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記ネットワーク、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域に対する情報を追加して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備え、
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
クラウドセキュリティートポロジー可視化装置。
前記第1情報収集部が収集した前記第1情報に基づいて前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記ネットワーク、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域に対する情報を追加して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備え、
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
クラウドセキュリティートポロジー可視化装置。
【請求項8】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する、
請求項7に記載のクラウドセキュリティートポロジー可視化装置。
請求項7に記載のクラウドセキュリティートポロジー可視化装置。
【請求項9】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンをクラウド別に異なるように構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項10】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項11】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項12】
請求項1ないし請求項6の何れか一項に記載のクラウドセキュリティートポロジー可視化装置と、
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を前記第1画面及び前記第2画面とは別にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して前記ユーザー端末に表示するためのクラウド状態表示部と、
を備える、
統合クラウドワークロード運営及びセキュリティー管理システム。
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を前記第1画面及び前記第2画面とは別にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して前記ユーザー端末に表示するためのクラウド状態表示部と、
を備える、
統合クラウドワークロード運営及びセキュリティー管理システム。
【請求項13】
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を監視するためのクラウド異常監視部をさらに備え、
前記クラウド異常監視部は、少なくともユーザーアカウント、前記ホスト、前記無欠性、前記アプリケーション、前記リソース、前記サービスの変化、及び前記ファイアウォールのうち一つ以上の異常を感知すると、前記状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する、
請求項12に記載の統合クラウドワークロード運営及びセキュリティー管理システム。
前記クラウド異常監視部は、少なくともユーザーアカウント、前記ホスト、前記無欠性、前記アプリケーション、前記リソース、前記サービスの変化、及び前記ファイアウォールのうち一つ以上の異常を感知すると、前記状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する、
請求項12に記載の統合クラウドワークロード運営及びセキュリティー管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クラウドセキュリティートポロジー可視化装置、並びにこれを用いた統合クラウドワークロード運営及びセキュリティー管理システムに関する。
【背景技術】
【0002】
クラウド事業者(プロバイダ)は、保有するハードウェアでインフラ、プラットフォーム、及びアプリケーションを抽象化し、API(Application Programming Interface)管理、クラウド基盤の運営体制、開発テンプレートライブラリーなどのクラウドサービスを提供する(例えば、Alibaba Cloud、Microsoft Azure、Google Cloud、Amazon Web Services(AWS)、Oracle Cloud Infrastructure、IBM Cloud、Naver、Kakao、KT、NHNなど)。
【0003】
即ち、クラウドコンピューティングは、インターネット(クラウド)を介してサーバー、ストレージ、データベース、ネットワーキング、ソフトウェア、分析、インテリジェンスなどのコンピューティングサービスを提供するもので、ユーザーは、クラウドコンピューティングを介してフレキシブルにリソースの提供を受けることでほしいIT(Information technology)資源を迅速に確保することが可能である。
【0004】
企業の立場から見ると、クラウドコンピューティングを用いると、運営費用を節減しながらインフラをより効率的に運営できるのみならず、ビジネスへの要求の変化に合わせて規模を調整できると言うメリットがある。
【0005】
一方、このようなクラウドコンピューティングは既存の物理的環境を論理的環境に替えているので、急なクラウドサーバーの生成、削除、または変更に繋がり、運営及びセキュリティー上の問題が発生する場合に管理者がリアルタイムでこれを確認して対応することが難しいし、様々なセキュリティー上の脆弱点を内包しているとの問題がある。
【0006】
ここで、クラウドサーバーとは、ネットワーク(通常、インターネット)を介してホスティング及び提供され、仮想化を介して複数のユーザーがオンデマンドでアクセス可能に構成された中央集中式サーバーを意味し、広い意味でのホストから狭い意味での仮想サーバー、ドッカ―(Docker)、コンテナ(Container)などの概念を含む。
【0007】
このような問題に対応するために、特許文献1では、クラウド事業者システムとのAPI通信を介して用いるVPC(Virtual Private Cloud)に対するAPIを収集及び分析し、VPC構成情報とセキュリティーポリシー情報を分類することで当該VPCを構成するオブジェクトを識別し、オブジェクト間の関係を把握してセキュリティートポロジーを生成するシステムを提案している。しかしながら、特許文献1に記載された技術では、クラウドサーバー内部の状態情報をユーザーが把握できないとの問題がある。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】韓国特許公報10-2164915
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明は上記に鑑みてなされたものであり、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能なクラウドセキュリティートポロジー可視化装置を提供することを一つの目的とする。
【0010】
さらに、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能な可視性基盤の統合クラウドワークロード運営及びセキュリティー管理システムを提供することをもう一つの目的とする。
【0011】
本発明の解決課題は以上で言及されたものに限定されず、言及されていない他の解決課題は下記の記載から当該技術分野における通常の知識を有した者に明確に理解できるであろう。
【課題を解決するための手段】
【0012】
本発明の少なくとも一つの実施例においては、クラウド事業者から、API(Application Programming Interface)連動を介して、少なくとも使用するクラウドのネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループを含む第1情報を収集するための第1情報収集部と、前記第1情報収集部が収集した前記第1情報に基づいて、前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、前記クラウド事業者から、エージェント(Agent)連動を介して少なくともリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部と、前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成するための第2画面構成部と、前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、を備える、クラウドセキュリティートポロジー可視化装置を提供する。
【0013】
本明細書において、「無欠性」とは、権限のない主体によってデータの変更が行われていないことを意味する。また、可用領域は、各リージョン内に隔離された位置であり、個別データセンターで構成されたものである。
【0014】
本発明の少なくとも一つの実施例において、前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する。
【0015】
本発明の少なくとも一つの実施例において、前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する。
【0016】
本発明の少なくとも一つの実施例において、前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンを前記対象クラウド別に異なるように構成する。
【0017】
本発明の少なくとも一つの実施例において、前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバーに関する情報、前記可用領域、及び前記オートスケーリンググループのうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する。
【0018】
本発明の少なくとも一つの実施例において、前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、無欠性点検結果のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する。
【0019】
本発明の少なくとも一つの実施例においては、クラウド事業者からAPI(Application Programming Interface)連動を介して少なくとも使用するクラウドのアカウント情報、リソース情報、ファイアウォール情報、及びネットワーク情報を含む第1情報を収集するための第1情報収集部と、前記第1情報収集部が収集した前記第1情報に基づいて前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、前記ネットワーク、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域に対する情報を追加して第2画面を構成するための第2画面構成部と、前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、を備え、前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCのそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCのそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、クラウドセキュリティートポロジー可視化装置を提供する。
【0020】
本発明の少なくとも一つの実施例において、前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する。
【0021】
本発明の少なくとも一つの実施例において、前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンをクラウド別に異なるように構成する。
【0022】
本発明の少なくとも一つの実施例において、前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する。
【0023】
本発明の少なくとも一つの実施例において、前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する。
【0024】
本発明の少なくとも一つの実施例においては、前記クラウドセキュリティートポロジー可視化装置と、前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を前記第1画面及び前記第2画面とは別にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して前記ユーザー端末に表示するためのクラウド状態表示部と、を備える、統合クラウドワークロード運営及びセキュリティー管理システムを提供する。
【0025】
本発明の少なくとも一つの実施例において、前記統合クラウドワークロード運営及びセキュリティー管理システムは、前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を監視するためのクラウド異常監視部をさらに備え、前記クラウド異常監視部は、少なくともユーザーアカウント、前記ホスト、前記無欠性、前記アプリケーション、前記リソース、前記サービスの変化、及び前記ファイアウォールのうち一つ以上の異常を感知すると、前記状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する。
【0026】
本明細書でそれぞれの実施例は互いに独立的に記載されている場合であっても、それぞれの実施例は相互組合せが可能であり、組合せによる実施例も本発明の権利範囲に含まれる。
【0027】
上述した要約は単に説明のためのものであり、如何なる形でも限定を意図するものではない。上述した説明様態、実施例、及び特徴に加え、追加の様態、実施例、及び特徴が図面及び詳細な説明を参照することで明確になるはずである。
【発明の効果】
【0028】
本発明の少なくとも一つの実施例によれば、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能なクラウドセキュリティートポロジー可視化装置を提供できるという効果を奏する。
【0029】
さらに、本発明の少なくとも一つの実施例によれば、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能な可視性基盤の統合クラウドワークロード運営及びセキュリティー管理システムを提供できるという効果を奏する。
【0030】
本発明の効果は以上で言及されたものなどに限定されず、言及されていない他の効果は下記の記載から当該技術分野における通常の知識を有した者に明確に理解できるはずである。
【図面の簡単な説明】
【0031】
【図1】本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置の模式図である。
【0032】
【図2】本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置で用いるアイコンを説明するための模式図である。
【0033】
【図3】本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置で複数のVPCに対するセキュリティートポロジー画面を表わす模式図である。
【0034】
【図4】本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置の動作を説明するためのフローチャートである。
【0035】
【図5】本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置の模式図である。
【0036】
【図6】本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システムの模式図である。
【0037】
【図7】本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システムの動作を説明するためのフローチャートである。
【0038】
【図8】本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システムのセキュリティートポロジー及び監視画面を表わす模式図である。
【発明を実施するための形態】
【0039】
以下、添付図面を参照し、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置及びこれを用いた統合クラウドワークロード運営及びセキュリティー管理システムについて詳しく説明する。
【0040】
図1は、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100の模式図である。
【0041】
本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの間の構成情報、構成図、接続状態、設定値など、クラウド運営及びセキュリティー(保安)に関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が危険要因を迅速に感知できるようにするためのものである。
【0042】
一般的なクラウドでの可視性不足は、ネットワークの構成図の不在、クラウドサーバー間の接続構成図の不在、ファイアウォールポリシーによる許容・遮断情報の把握の難しさなどによるものであり、可視性が不足する場合人がいちいち確認しながら運営を行うので、把握しにくく、長い時間がかかることになる。
【0043】
そこで、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、状態を正確に表現したトポロジー(配置図)を提供することで、運営の便宜を図るのみならず、運営時間及びセキュリティー対応時間を大幅に減らすことが可能である。
【0044】
図1に示すように、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウド事業者101からAPI(Application Programming Interface)連動を介してネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループを含む第1情報を収集するための第1情報収集部110、第1情報収集部110が収集した第1情報に基づいて対象クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット(Subnet)、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコンかして第1画面を構成するための第1画面構成部120、クラウド事業者101からエージェント(Agent)連動を介してリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部130、第1画面構成部120によって構成された第1画面に対し、第2情報収集部130が収集した第2情報に基づいてクラウドサーバー状態、エージェント状態、ホストファイアウォール状態、モニタリングアラーム、無欠性点検結果を反映して第2画面を構成するための第2画面構成部140、及び第1画面構成部120が構成した第1画面及び第2画面構成部140が構成した第2画面を統合してユーザー端末105に出力するための出力部150で構成される。オートスケーリングは、サーバー内の計算リソースの量を動的に調整することであり、オートスケーリンググループは、計算リソースの量の動的な調整に使用可能な複数のインスタンスの集合体である。「相互動作及び連関関係を分析」するとは、例えば、可視化する対象である対象クラウドが使用するオブジェクト、ネットワーク、クラウドサーバー、可用領域、及びオートスケーリンググループの接続関係を特定したり、クラウドファイアウォールポリシーの適用状態を特定したりすることである。
【0045】
クラウドサーバーは、物理的サーバーに仮想で生成したOS(Operating System)上に存在する資源である。クラウドサーバーを分析するためにはまずクラウド事業者が提供するAPIを分析し、APIを介して受信したデータを記憶媒体に格納する。
【0046】
APIを介して受信する情報は、ユーザーまたは管理者別のアカウント情報、ログイン情報、クラウドリソース情報、仮想サーバー情報、ネットワーク構成情報、ファイアウォール情報、ファイアウォールポリシー情報(許容及び遮断)、仮想サーバー状態情報、オートスケーリング情報などを含む。
【0047】
さらに、個別クラウドサーバーにエージェント(Agent)を設置してすべての状態値をデータベースに格納する。エージェントを介して得られる値はクラウドサーバーのハードウェアに関する情報、設置されたソフトウェアに関する情報、運営中のクラウドサーバーのリソース情報、クラウドサーバーに設置されたプロセスに関する情報、クラウドサーバーのファイル変更に関する情報、クラウドサーバーにログインしたユーザーのアカウントに関する情報、クラウドサーバーに適用されたファイアウォールに関する情報などを含む。
【0048】
本発明の少なくとも一つの実施例において、クラウドセキュリティートポロジー可視化装置100の第1情報収集部110が収集する第1情報は、クラウド事業者101からAPI連動を介して得られるアカウント情報(クラウドアカウント情報)、リソース情報(クラウドサーバー情報及びネットワーク所属情報)、ファイアウォール情報(クラウドファイアウォールの種類及びポリシー)、ネットワーク情報(リージョン(Region)、可用領域(Available Zone)、VPC(Virtual Private Cloud)、及びサブネット(Subnet))、及びオートスケーリング情報(自動生成されたクラウドサーバー情報)などを含む。
【0049】
即ち、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウド事業者101のクラウドAPIシステム102との通信を介して第1情報を受信し、基本的なトポロジーを生成することで、論理的ネットワークの区分、ネットワークに所属するクラウドサーバーの確認、及びファイアウォールポリシーの分析を介してのクラウドサーバー間の接続状態の確認を可能とし、同一のファイアウォールポリシーの影響を受けるクラウドサーバーの区分及びクラウドファイアウォールポリシーの確認を可能とし、クラウド仮想サーバー別のファイアウォールポリシーの衝突及びポリシー重複のチェック及びポリシー別の接続状態のシミュレーションを可能とする。
【0050】
本発明の少なくとも一つの実施例において、クラウドセキュリティートポロジー可視化装置100の第2情報収集部130が収集する第2情報は、クラウド事業者101からエージェント連動を介して得られるリソース情報(クラウドサーバー資源情報及び資源状態情報)、状態情報(クラウドサーバーのプロセス関連情報、アップダウン情報、トラフィック情報、及び設置アプリケーション情報)、無欠性情報(ファイルの偽変造情報及び設定ファイル変更情報)、ログ情報(各種のログデータ、システムログ、及びイベントログ)、システムアカウント情報(クラウドサーバーアカウント情報、ログイン情報)、ホストファイアウォール情報(ホストファイアウォールポリシー)などを含む。
【0051】
即ち、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウド事業者101のクラウドサーバー103に設置されたエージェント104との通信を介して第2情報を受信し、基本的なトポロジー上で各種のセキュリティー及び運営状態の確認、ホストファイアウォールポリシーの分析を介してのクラウドサーバー間の接続状態の確認、及びクラウドサーバーのアップダウン状態、リソース状態、無欠性状態、ログ情報、システムアカウント情報、ホストファイアウォール遮断ログ、及びリソース別のアプリケーション情報の確認を可能とする。
【0052】
本明細書では、必要な各サーバーに事前にエージェントが設置されていることを前提とし、エージェントパッケージのダウンロード、設置、及び構成に関する詳細な説明は省略する。
【0053】
セキュリティートポロジーを生成するためのクラウドシステムの分析において、クラウドシステムに関する諸情報をAPIを介して収集する場合、クラウドシステムの正確な構成情報、接続情報、クラウドシステム内のファイアウォールポリシー情報の確認が可能であり、オートスケーリングなどのクラウドの特性に合わせた構成状態の実現が可能であり、ファイアウォールの許容・遮断ポリシーの適用が可能であるとのメリットがある反面、クラウドサーバーの内部の各種の状態に対する情報を把握しにくいと言うデメリットがある。
【0054】
一方、別途のエージェントを介して情報を確保して活用すると、クラウドサーバーの内部の状態情報を把握できると言うメリットがある反面、クラウドシステムの正確な構成情報、接続情報などを把握しにくいと言うデメリットがある。
【0055】
本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウドシステムに関する諸情報をAPIを介して収集する方式と別途のエージェントを介して追加情報を確保する方式を結合することで、クラウドの正確な構成情報、接続情報、クラウドサーバーの内部の状態情報などをすべて把握することが可能である。
【0056】
これを介して、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100は、クラウドのセキュリティー及び運営のための総合的な状態確認を可能とする。
【0057】
本発明の少なくとも一つの実施例において、第1画面構成部120は、VPCを構成するサブネット、セキュリティーグループ、クラウドサーバーの数及び接続分析を介して第1画面に表示する内容及びアイコンを構成することができる。
【0058】
本発明の少なくとも一つの実施例において、第1画面構成部120は、VPCを構成するサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係を表示するためのアイコンをクラウド別に異なるように構成することができる。
【0059】
本発明の少なくとも一つの実施例において、第1情報収集部110が収集した第1情報に含まれたネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループのうち少なくとも一つ以上の情報に変動が発生すると、第1画面構成部120は、動的に変動内容を反映して第1画面を構成することができる。
【0060】
本発明の少なくとも一つの実施例において、第2情報収集部130が収集した第2情報に基づいてクラウドサーバー状態、エージェント状態、ホストファイアウォール状態、モニタリングアラーム、無欠性点検結果のうち少なくとも一つ以上の情報に変動が発生すると、第2画面構成部140は、動的に変動内容を反映して第2画面を構成することができる。
【0061】
図2は、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100で用いるアイコンを説明するための模式図である。
【0062】
図2に示すように、クラウドセキュリティートポロジー可視化装置100で用いるアイコンは、例えば、ホストアイコン201、インスタンス状態アイコン202、エージェント状態アイコン203、ホストファイアウォール状態アイコン204、異常発生アラームアイコン205、ホスト選択表示アイコン206、異常ホスト選択表示アイコン207、NACL(Network Access Control List)アイコン208、NACL選択表示アイコン209、SG(Security Group)選択表示アイコン210、ルーターアイコン211、ゲートウェイアイコン212、及びオートスケーリング表示アイコン213を含む。
【0063】
インスタンス状態アイコン202、エージェント状態アイコン203、ホストファイアウォール状態アイコン204などの状態アイコンは異なる色を用いて作動、非作動、正常、エラー、未設置、未使用などの状態を表すことができる。
【0064】
図3は、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置で複数のVPCに対するセキュリティートポロジー画面を表わす模式図である。
【0065】
本発明の少なくとも一つの実施例において、複数のVPCが存在する場合、第1画面構成部120及び第2画面構成部140は、それぞれ複数の第1画面及び複数の第2画面を構成し、出力部150は、複数の第1画面及び複数の第2画面をそれぞれ統合して複数のウィンドウ(窓)を介してユーザー端末105に出力する。
【0066】
図3では、第1VPCに対する第1トポロジー301、第2VPCに対する第2トポロジー302、第3VPCに対する第3トポロジー303、及び第4VPCに対する第4トポロジー304を四つのウィンドウを介して同時に表示する例を示す。
【0067】
図4は、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置100の動作を説明するためのフローチャートである。
【0068】
図4に示すように、クラウドセキュリティートポロジー可視化装置100は、クラウド情報収集工程(ステップS410)、クラウド構造及びデータ分析工程(ステップS420)、画面構成基準整理工程(ステップS430)、基本画面構成工程(ステップS440)、拡大画面構成工程(ステップS450)、追加情報表現工程(ステップS460)、及びリアルタイムアップデート工程(ステップS470)を介して第1画面及び第2画面を生成する。
【0069】
クラウド情報収集工程(ステップS410)では、クラウドシステム(AWS、AZure、GCPなど)のホスト情報を収集し、クラウドで提供するAPIを介してネットワーク(GateWay、Router、VPC、Subnet)、クラウドファイアウォール(Network ACL、Security Group)ポリシー、クラウドサーバー、AZ(可用領域)、オートスケーリンググループ(自動複製グループ)などに対する詳細情報を収集し、クラウドサーバーに設置されたエージェントを介してサーバー及びリソース使用料、無欠性点検内訳、ホストファイアウォールなどの情報を収集する。
【0070】
クラウド構造及びデータ分析工程(ステップS420)では、クラウドで使用するオブジェクト、ネットワーク(GateWay、Router、VPC、Subnet)、クラウドファイアウォール(Network ACL、Security Group)ポリシー、クラウドサーバー、AZ(可用領域)、オートスケーリンググループ(自動複製グループ)などに対する相互動作及び連関関係を分析した後、データ表現のためのデータ構成を行い、ホストで収集された情報に対しても分析作業を介してデータ構成を行い、ファイアウォールポリシー分析を介してトラフィック情報なしでも各クラウドサーバーのネットワーク接続区間を確認し、オートスケーリンググループ(自動複製グループ)情報を表示することで、リアルタイムでスケールアップ・ダウンされる場合でも当該グループに正確に表現されるように構成する。
【0071】
画面構成基準整理工程(ステップS430)では、VPCを構成する小規模のネットワークグループ(Subnet)、セキュリティーグループ(Security Group)、クラウドサーバーの数及び接続分析を介して基本画面の表現内容を決定し、表現する情報が多くない場合にはより詳細な内容を表現するように構成し、表現する情報が多い場合には基本的な情報及びグループ化を介して画面を構成し、拡大画面も表現する情報が多い場合には複数のステップで拡大画面を構成する。
【0072】
基本画面構成工程(ステップS440)では、VPCのサブネット、Security Group、クラウドサーバー間の関係などを把握する用途として、Subnet情報及びクラウドサーバーとSecurity Group情報を表現する。
【0073】
拡大画面構成工程(ステップS450)では、ネットワーク(GateWay、Router、VPC、Subnet)、ファイアウォール(Network ACL、Security Group)ポリシー、クラウドサーバー、AZ(可用領域)、オートスケーリンググループ(自動複製グループ)などに対する詳細情報まで把握できるようにクラウドサーバー状態、エージェント状態、ホストファイアウォール状態、モニタリングアラーム、無欠性点検結果などに対する情報も共に表現する。
【0074】
追加情報表現工程(ステップS460)では、クラウドファイアウォール(Network ACL及びSecurity Group)が幾つかの構成になり、それぞれの単位オブジェクトを選択する場合、トポロジー上でどのような構成及び接続リンクをもっているのかを表現し、クラウドファイアウォール、ホストファイアウォールのオブジェクトのクリック時にIN/OUTポリシー表示及び編集機能を提供し(リアルタイムポリシー適用)、ポリシー編集機能を介してより明確なポリシーを立てることを可能とし、ユーザーエラーを最小化し、クラウドサーバーでネットワーク通信許容区間に対して接続線及び詳細通信情報を表示し、接続線は通信方向及びポリシー個数まで表現されるように構成し、複数のクラウドサーバーの表現のためにグループ化した状態で表現し、クリック時に開いた画面で詳細情報を確認し、複数のVPCトポロジーを比較できるようにマルチ比較画面を提供し、クラウドサーバーに適用されたファイアウォールポリシー間の衝突状態、重複状態の点検及び表現、クラウドサーバーに適用されたファイアウォールポリシーに対するシミュレーション機能などを提供する。
【0075】
リアルタイムアップデート工程(ステップS470)では、ステップS410からステップS460の必要な工程を繰り返してネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループのうち少なくとも一つ以上の情報に変動が発生すると、動的に変動内容を反映して基本画面を構成し、クラウドサーバー状態、エージェント状態、ホストファイアウォール状態、モニタリングアラーム、無欠性点検結果のうち少なくとも一つ以上の情報に変動が発生すると、動的に変動内容を反映して拡大画面の構成及び追加情報の表現を行う。
【0076】
図5は、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置500の模式図である。
【0077】
図5に示すように、本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置500は、クラウド事業者からAPI連動を介してアカウント情報、リソース情報、ファイアウォール情報、及びネットワーク情報を含む第1情報を収集するための第1情報収集部510、第1情報収集部510が収集した第1情報に基づいてクラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPCのサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部520、第1画面構成部520によって構成された第1画面に対してネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する情報を追加して第2画面を構成するための第2画面構成部530、及び第1画面構成部520が構成した第1画面及び第2画面構成部530が構成した第2画面を統合してユーザー端末105に出力するための出力部540で構成される。
【0078】
本発明の少なくとも一つの実施例において、複数のVPCが存在する場合、第1画面構成部520及び第2画面構成部530は、それぞれ複数の第1画面及び複数の第2画面を構成し、出力部540は、複数の第1画面及び複数の第2画面をそれぞれ統合して複数のウィンドウを介してユーザー端末105に出力する。
【0079】
本発明の少なくとも一つの実施例において、クラウドセキュリティートポロジー可視化装置500の第1情報収集部510が収集する第1情報は、クラウド事業者101からAPI連動を介して得られるアカウント情報(クラウドアカウント情報)、リソース情報(クラウドサーバー情報及びネットワーク所属情報)、ファイアウォール情報(クラウドファイアウォールの種類及びポリシー)、及びネットワーク情報(リージョン(Region)を含むことができる。
【0080】
本発明の少なくとも一つの実施例において、クラウドセキュリティートポロジー可視化装置500の第1情報収集部510が収集する第1情報は、オートスケーリング情報(自動生成されたクラウドサーバー情報)をさらに含むことができる。
【0081】
即ち、本発明の少なくとも一つの実施例に係るクラウドセキュリティートポロジー可視化装置500は、クラウド事業者101のクラウドAPIシステム102との通信を介して第1情報を受信して基本的なセキュリティートポロジーを生成することで、論理的ネットワークの区分、ネットワークに所属されたクラウドサーバーの確認、及びファイアウォールポリシーの分析を介してクラウドサーバー間の接続状態を確認可能とし、同一のファイアウォールポリシーの影響を受けるクラウドサーバーの区分及びクラウドファイアウォールポリシーの確認を可能とし、クラウド仮想サーバー別のファイアウォールポリシー衝突及びポリシー重複並びにポリシー別接続状態のシミュレーションを可能とする。
【0082】
このような基本的なセキュリティートポロジーは、クラウドワークロード(Cloud Workload)の最小限の運営及びセキュリティーのための可視性を提供することができる。
【0083】
本発明の少なくとも一つの実施例において、第1画面構成部520は、VPCを構成するサブネット、セキュリティーグループ、クラウドサーバーの数及び接続分析を介して第1画面に表示する内容及びアイコンを構成することができる。
【0084】
本発明の少なくとも一つの実施例において、第1画面構成部520は、VPCを構成するサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係を表示するためのアイコンをクラウド別に異なるように構成することができる。
【0085】
本発明の少なくとも一つの実施例において、第1情報収集部510が収集した第1情報に含まれたネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域のうち少なくとも一つ以上の情報に変動が発生すると、第1画面構成部520は、動的に変動内容を反映して第1画面を構成することができる。
【0086】
本発明の少なくとも一つの実施例において、第1情報収集部510が収集した第1情報に含まれたネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域のうち少なくとも一つ以上の情報に変動が発生すると、第2画面構成部530は、動的に変動内容を反映して第2画面を構成することができる。
【0087】
図6は、本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システム600の模式図である。
【0088】
ここで、クラウドワークロードは、クラウドリソースで実行可能な特定のアプリケーション、サービス、機能、または特定の作業量で、クラウドサーバー、データベース、コンテナ、アプリケーションなどがこれに含まれる。
【0089】
図6に示すように、本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システム600は、セキュリティートポロジー可視化装置610、少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を表示するためのクラウド状態表示部620、及び少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を監視するためのクラウド異常監視部630で構成される。
【0090】
【0091】
本発明の少なくとも一つの実施例において、クラウド状態表示部620は、第1情報収集部110が収集した第1情報及び第2情報収集部130が収集した第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を第1画面構成部120が構成した第1画面及び第2画面構成部140が構成した第2画面とは別にユーザー端末105に表示する(図8参照)。
【0092】
本発明の少なくとも一つの実施例において、クラウド異常監視部630は、第1情報収集部110が収集した第1情報及び第2情報収集部130が収集した第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を監視する。
【0093】
クラウド異常監視部620は、ユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち少なくとも一つ以上の異常を感知すると、第1画面構成部120が構成した第1画面及び第2画面構成部140が構成した第2画面とは別にクラウド状態表示部620が表示した状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する。
【0094】
図7は、本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システム600の動作を説明するためのフローチャートである。
【0095】
ステップS711で、セキュリティートポロジー可視化装置610は、クラウド事業者システムとのAPI連動及びエージェント連動を介して特定のVPCに対してセキュリティートポロジーを生成して出力する。
【0096】
ステップS712で、ユーザー端末105は、セキュリティートポロジー可視化装置610から受信したセキュリティートポロジーをディスプレイ(不図示)に表示する。
【0097】
ステップS713で、クラウド状態表示部620は、少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を含むホストの状態を可視化する。
【0098】
ステップS714で、クラウド状態表示部620は、セキュリティートポロジー画面とは別にホストの状態を示す状態画面を表示する。
【0099】
ステップS715で、クラウド異常監視部620は、リソースモニタリング、異常兆候の識別、及び原因分析を行う。
【0100】
ステップS716で、異常を探知すると(Yes)、クラウド異常監視部620は、ステップS717で異常探知を可視化し、異常を探知しないと(No)、ステップS715に戻って監視を続ける。
【0101】
ステップS718で、クラウド異常監視部620は、ホストの状態表示に対応して異常探知内容を表示する。
【0102】
図8は、本発明の少なくとも一つの実施例に係る統合クラウドワークロード運営及びセキュリティー管理システム600のセキュリティートポロジー及び監視画面を表わす模式図である。
【0103】
図8に示すように、本発明の少なくとも一つの実施例に係るセキュリティートポロジー及び監視画面はセキュリティートポロジー表示ウィンドウ810と状態表示ウィンドウ820で構成される。
【0104】
セキュリティートポロジー表示ウィンドウ810には、本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置で生成された特定のVPCに対するセキュリティートポロジー画面が表示され、状態表示ウィンドウ820には、本発明の少なくとも一つの実施例に係るクラウド状態表示部620で生成された少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上に対する状態表示画面が表示される。
【0105】
図8に示す例では、状態表示ウィンドウ820がアカウント監視821、ホスト監視822、無欠性監視823、アプリケーション監視824、状態監視825、及びファイアウォール監視826を含んでいる。各項目の右側に表示された数字は発生(イベント)回数を表すことができる。
【0106】
図8には図示されてないが、本発明の少なくとも一つの実施例において、クラウド異常監視部630によって状態表示ウィンドウ820のアカウント監視821、ホスト監視822、無欠性監視823、アプリケーション監視824、状態監視825、及びファイアウォール監視826のうち何れかの項目に異常が探知されると、該当する項目にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を用いて状態を表示する。
【0107】
本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置及び統合クラウドワークロード運営及びセキュリティー管理システムは、API方式とエージェント方式を結合したハイブリッド方式を用いて精密なクラウドセキュリティー管理が可能なクラウドワークロードセキュリティーソリューションで、可視性基盤のセキュリティー管理を実現し、クラウドネイティブ環境に最適なセキュリティーを提供することができる。
【0108】
さらに、本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置及び統合クラウドワークロード運営及びセキュリティー管理システムは、グロバルクラウドとドメスティッククラウドの支援及びプライベートクラウド(Private Cloud)とオンプレミス(On-Premise)サーバーの支援を介してのマルチクラウド統合環境を提供することができる。
【0109】
即ち、本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置及び統合クラウドワークロード運営及びセキュリティー管理システムは、API方式のクラウドネイティブセキュリティーとエージェント方式のシステムセキュリティーを支援し、可視性及び異常行為探知に差別化された機能を提供することができる。
【0110】
即ち、アカウント監視(アカウント管理、変化監視、及び行為追跡)、ネイティブファイアウォール管理及び制御(ファイアウォールのポリシー変化、重複、及びエラー感知)、及びセキュリティートポロジーなどのAPI連動を介してのセキュリティーとシステムアカウント監視、リソース及びアプリケーション監視、偽変造、資源、及び状態監視、システムログ及びファイアウォールログ監視、及びホストファイアウォール管理及び制御などのエージェント連動を介してのセキュリティーで異常行為監視(クラウド、アカウント、アプリケーション、偽変造、状態、ログなどの監視)が可能である。
【0111】
従って、本発明の少なくとも一つの実施例に係るセキュリティートポロジー可視化装置及び統合クラウドワークロード運営及びセキュリティー管理システムは、グロバル及びドメスティッククラウドを支援し、オンプレミスサーバーが結合されたハイブリッド環境で統合的なセキュリティー管理が可能であり、APIとエージェントの二種類の方式を介して精密にセキュリティーデータを収集して分析し、異常兆候状況を迅速に判断することが可能である。
【0112】
以上説明したように、本発明の少なくとも一つの実施例によれば、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能なクラウドセキュリティートポロジー可視化装置を提供することができる。
【0113】
さらに、本発明の少なくとも一つの実施例によれば、クラウドサーバー、仮想ネットワーク装備、クラウドファイアウォールなどの構成情報、構成図、接続状態、設定値などを含むクラウドの運営及びセキュリティーに関する全般的な状況を視覚化し、アップデートされた情報をリアルタイムで反映して管理者が迅速に危険要因を感知することが可能な可視性基盤の統合クラウドワークロード運営及びセキュリティー管理システムを提供することができる。
【0114】
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
【符号の説明】
【0115】
100:クラウドセキュリティートポロジー可視化装置
101:クラウド事業者
102:クラウドAPIシステム
103:クラウドサーバー
104:エージェント
105:ユーザー端末
110:第1情報収集部
120:第1画面構成部
130:第2情報収集部
140:第2画面構成部
150:出力部
201~210:アイコン
301~304:セキュリティートポロジー画面
500:クラウドセキュリティートポロジー可視化装置
510:第1情報収集部
520:第1画面構成部
530:第2画面構成部
540:出力部
600:統合クラウドワークロード運営及びセキュリティー管理システム
610:セキュリティートポロジー可視化装置
620:クラウド状態表示部
630:クラウド異常監視部
101:クラウド事業者
102:クラウドAPIシステム
103:クラウドサーバー
104:エージェント
105:ユーザー端末
110:第1情報収集部
120:第1画面構成部
130:第2情報収集部
140:第2画面構成部
150:出力部
201~210:アイコン
301~304:セキュリティートポロジー画面
500:クラウドセキュリティートポロジー可視化装置
510:第1情報収集部
520:第1画面構成部
530:第2画面構成部
540:出力部
600:統合クラウドワークロード運営及びセキュリティー管理システム
610:セキュリティートポロジー可視化装置
620:クラウド状態表示部
630:クラウド異常監視部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【手続補正書】
【提出日】2022-07-04
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
クラウド事業者から、API(Application Programming Interface)連動を介して、少なくとも使用するクラウドのネットワーク情報、クラウドファイアウォールポリシー、クラウドサーバーに関する情報、可用領域、及びオートスケーリンググループを含む第1情報を収集するための第1情報収集部と、
前記第1情報収集部が収集した前記第1情報に基づいて、前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記クラウド事業者から、エージェント(Agent)連動を介して少なくともクラウドサーバーのリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部と、
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備える、
クラウドセキュリティートポロジー可視化装置。
前記第1情報収集部が収集した前記第1情報に基づいて、前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、可用領域、及びオートスケーリンググループに対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記クラウド事業者から、エージェント(Agent)連動を介して少なくともクラウドサーバーのリソース情報、状態情報、無欠性情報、ログ情報、システムアカウント情報、及びホストファイアウォール情報を含む第2情報を収集するための第2情報収集部と、
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、及び無欠性点検結果を反映して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備える、
クラウドセキュリティートポロジー可視化装置。
【請求項2】
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項3】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項4】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンを対象クラウド別に異なるように構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項5】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバーに関する情報、前記可用領域、及び前記オートスケーリンググループのうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項6】
前記第2情報収集部が収集した前記第2情報に基づいてクラウドサーバーの状態、エージェントの状態、ホストファイアウォールの状態、モニタリングアラーム、無欠性点検結果のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する、
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
請求項1に記載のクラウドセキュリティートポロジー可視化装置。
【請求項7】
クラウド事業者からAPI(Application Programming Interface)連動を介して少なくとも使用するクラウドのアカウント情報、リソース情報、ファイアウォール情報、及びネットワーク情報を含む第1情報を収集するための第1情報収集部と、
前記第1情報収集部が収集した前記第1情報に基づいて前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記ネットワーク、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域に対する情報を追加して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備え、
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
クラウドセキュリティートポロジー可視化装置。
前記第1情報収集部が収集した前記第1情報に基づいて前記クラウドで使用するオブジェクト、ネットワーク、クラウドファイアウォールポリシー、クラウドサーバー、及び可用領域に対する相互動作及び連関関係を分析し、分析結果に基づいて特定のVPC(Virtual Private Cloud)のサブネット、セキュリティーグループ、及び複数のクラウドサーバー間の関係をアイコン化して第1画面を構成するための第1画面構成部と、
前記ネットワーク、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域に対する情報を追加して第2画面を構成するための第2画面構成部と、
前記第1画面構成部によって構成された前記第1画面及び前記第2画面構成部によって構成された前記第2画面を統合してユーザー端末に出力するための出力部と、
を備え、
前記クラウドに複数のVPCが存在する場合、前記第1画面構成部及び前記第2画面構成部は、前記複数のVPCそれぞれに対して第1画面及び第2画面を構成し、前記出力部は、前記複数のVPCそれぞれに対して前記第1画面及び前記第2画面を統合して複数のウィンドウを介して前記ユーザー端末に出力する、
クラウドセキュリティートポロジー可視化装置。
【請求項8】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、前記クラウドサーバーの数及び接続分析を介して前記第1画面に表示する内容及びアイコンを構成する、
請求項7に記載のクラウドセキュリティートポロジー可視化装置。
請求項7に記載のクラウドセキュリティートポロジー可視化装置。
【請求項9】
前記第1画面構成部は、前記VPCを構成する前記サブネット、前記セキュリティーグループ、及び前記複数のクラウドサーバー間の関係を表示するためのアイコンをクラウド別に異なるように構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項10】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第1画面構成部は動的に前記変動の内容を反映して前記第1画面を構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項11】
前記第1情報収集部が収集した前記第1情報に含まれた前記ネットワーク情報、前記クラウドファイアウォールポリシー、前記クラウドサーバー、及び前記可用領域のうち少なくとも一つ以上の情報に変動が発生すると、前記第2画面構成部は動的に前記変動の内容を反映して前記第2画面を構成する、
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
請求項7または8に記載のクラウドセキュリティートポロジー可視化装置。
【請求項12】
請求項1ないし請求項6の何れか一項に記載のクラウドセキュリティートポロジー可視化装置と、
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を前記第1画面及び前記第2画面とは別にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して前記ユーザー端末に表示するためのクラウド状態表示部と、
を備える、
統合クラウドワークロード運営及びセキュリティー管理システム。
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上の状態を示す状態画面を前記第1画面及び前記第2画面とは別にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して前記ユーザー端末に表示するためのクラウド状態表示部と、
を備える、
統合クラウドワークロード運営及びセキュリティー管理システム。
【請求項13】
前記第1情報収集部が収集した前記第1情報及び前記第2情報収集部が収集した前記第2情報に基づいて少なくともユーザーアカウント、ホスト、無欠性、アプリケーション、リソース、サービスの変化、及びファイアウォールのうち一つ以上を監視するためのクラウド異常監視部をさらに備え、
前記クラウド異常監視部は、少なくともユーザーアカウント、前記ホスト、前記無欠性、前記アプリケーション、前記リソース、前記サービスの変化、及び前記ファイアウォールのうち一つ以上の異常を感知すると、前記状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する、
請求項12に記載の統合クラウドワークロード運営及びセキュリティー管理システム。
前記クラウド異常監視部は、少なくともユーザーアカウント、前記ホスト、前記無欠性、前記アプリケーション、前記リソース、前記サービスの変化、及び前記ファイアウォールのうち一つ以上の異常を感知すると、前記状態画面にアイコン、テキスト、数字、及び記号のうち少なくとも一つ以上を介して異常状態を表示する、
請求項12に記載の統合クラウドワークロード運営及びセキュリティー管理システム。