IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ シスコ テクノロジー,インコーポレイテッドの特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-10-25
(45)【発行日】2023-11-02
(54)【発明の名称】相乗的なDNSセキュリティ更新
(51)【国際特許分類】
   H04L 61/4511 20220101AFI20231026BHJP
   H04L 12/22 20060101ALI20231026BHJP
   H04L 12/66 20060101ALI20231026BHJP
【FI】
H04L61/4511
H04L12/22
H04L12/66
【請求項の数】 24
(21)【出願番号】P 2021521332
(86)(22)【出願日】2019-11-18
(65)【公表番号】
(43)【公表日】2022-02-10
(86)【国際出願番号】 US2019061966
(87)【国際公開番号】W WO2020112402
(87)【国際公開日】2020-06-04
【審査請求日】2022-04-26
(31)【優先権主張番号】62/774,102
(32)【優先日】2018-11-30
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/567,435
(32)【優先日】2019-09-11
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】508041127
【氏名又は名称】シスコ テクノロジー,インコーポレイテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100140431
【弁理士】
【氏名又は名称】大石 幸雄
(72)【発明者】
【氏名】ヴァルリ,ヴァムシダール
(72)【発明者】
【氏名】プラブ,ヴィナイ
(72)【発明者】
【氏名】エヴァンズ,サラ アデレード
(72)【発明者】
【氏名】ランガスワーミー,スーラジ
【審査官】安藤 一道
(56)【参考文献】
【文献】特開2016-152594(JP,A)
【文献】特開2017-204722(JP,A)
【文献】特開2004-030286(JP,A)
【文献】特開2015-115794(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 61/4511
H04L 12/22
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
コンピュータ実装方法であって、
ソフトウェア定義のワイドエリアネットワーク(SD-WAN)のネットワークコントローラアプライアンスを介して、エッジネットワークデバイスによって検知された脅威に関連付けられた脅威シグネチャを含む、前記エッジネットワークデバイスからのアップストリーム更新を受信することであって、前記アップストリーム更新は禁止の統合脅威防御(UTD)の結果のストリームの一部として受信される、受信することと、
前記検知された脅威を禁止の統合脅威防御(UTD)結果としてローカルドメインネームシステム(DNS)ブラックリストに追加するために、一時的な更新をトリガすることと、
前記脅威シグネチャを含むダウンストリーム更新を、前記脅威を認識していない他のエッジネットワークデバイスを含むデバイスグループにプッシュすることと、
前記禁止のUTD結果のストリームに関連付けられた前処理され、要約されたDNSブラックリストを、関連付けられたクラウドセキュリティシステムに送信することと、を含む、コンピュータ実装方法。
【請求項2】
複数のエッジネットワークデバイスにわたって前記脅威が検知されたときに、前記検知された脅威を前記ローカルDNSブラックリストに追加するために、前記一時的な更新がトリガされるルールベースのモデルを展開することと、をさらに含む、請求項1に記載のコンピュータ実装方法。
【請求項3】
前記検知された脅威が、前記エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシーによって検知され、ドメインネームシステムセキュリティプラットフォームを有する関連付けられたクラウドセキュリティシステムによって検知されなかった、請求項1または2に記載のコンピュータ実装方法。
【請求項4】
前記ローカルに実装された高度なセキュリティポリシーが、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)のポリシーのうちの1つである、請求項3に記載のコンピュータ実装方法。
【請求項5】
前記他のエッジネットワークデバイスが前記エッジネットワークデバイスのパートナーVPNに関連付けられている、請求項1~4のいずれか一項に記載のコンピュータ実装方法。
【請求項6】
前記アップストリーム更新および前記ダウンストリーム更新が、OMPメッセージ内のアドレスファミリーの新しいメッセージタイプである、請求項1~のいずれか一項に記載のコンピュータ実装方法。
【請求項7】
前記デバイスグループが、ローカルに実装された高度なセキュリティポリシーが有効化されていない前記SD-WAN内の他のエッジネットワークデバイスに限定される、請求項1~のいずれか一項に記載のコンピュータ実装方法。
【請求項8】
前記脅威シグネチャが、IPアドレス、ポート、プロトコル、およびパケット長を含む他の属性を含むプロトコルヘッダフィールドを含む、請求項1~のいずれか一項に記載のコンピュータ実装方法。
【請求項9】
システムであって、
1つ以上のプロセッサと、
1つ以上の非一時的コンピュータ可読媒体であって、前記1つ以上の非一時的コンピュータ可読媒体は、動作の実行を実行または制御するために前記1つ以上のプロセッサによって実行可能である、前記1つ以上の非一時的コンピュータ可読媒体に格納されたコンピュータ可読命令を含み、前記動作が、
ソフトウェア定義のワイドエリアネットワークのネットワークコントローラアプライアンスを介して、エッジネットワークデバイスによって検知された脅威に関連付けられた脅威シグネチャを含む、前記エッジネットワークデバイスからのアップストリーム更新を受信することであって、前記アップストリーム更新は禁止の統合脅威防御(UTD)の結果のストリームの一部として受信される、受信することと、
前記検知された脅威を禁止の統合脅威防御(UTD)結果としてローカルドメインネームシステム(DNS)ブラックリストに追加するために、一時的な更新をトリガすることと、
前記脅威シグネチャを含むダウンストリーム更新を、前記脅威を認識していない他のエッジネットワークデバイスにプッシュすることと、
前記禁止のUTD結果のストリームに関連付けられた前処理され、要約されたDNSブラックリストを、関連付けられたクラウドセキュリティシステムに送信することと、を含む、1つ以上の非一時的コンピュータ可読媒体と、を備える、システム。
【請求項10】
前記動作が、
複数のエッジネットワークデバイスにわたって前記脅威が検知された場合にのみ、前記検知された脅威を前記ローカルDNSブラックリストに追加するために、前記一時的な更新がトリガされる、ルールベースのモデルを展開することをさらに含む、請求項に記載のシステム。
【請求項11】
前記検知された脅威が、前記エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシーによって検知され、ドメインネームシステムセキュリティプラットフォームを有する関連付けられたクラウドセキュリティシステムによって検知されなかった、請求項または10に記載のシステム。
【請求項12】
前記ローカルに実装された高度なセキュリティポリシーが、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)のポリシーのうちの1つである、請求項11に記載のシステム。
【請求項13】
前記アップストリーム更新および前記ダウンストリーム更新が、OMPメッセージである、請求項12のいずれか一項に記載のシステム。
【請求項14】
エッジネットワークデバイスであって、
1つ以上のプロセッサと、
1つ以上の非一時的コンピュータ可読媒体であって、前記1つ以上の非一時的コンピュータ可読媒体は、動作の実行を実行または制御するために前記1つ以上のプロセッサによって実行可能である、前記1つ以上の非一時的コンピュータ可読媒体に格納されたコンピュータ可読命令を含み、前記動作が、
ドメインに関して、前記エッジネットワークデバイス上のローカルドメインネームシステム(DNS)ブラックリスト/ホワイトリストをクエリすることと、
前記ドメインが前記ローカルDNSブラックリスト/ホワイトリスト上にないという第1の回答に応じて、前記ドメインに関するクエリを、関連付けられたクラウドセキュリティシステムでの高度なDNSセキュリティにプッシュすることと、
前記ドメインが前記高度なDNSセキュリティでクリアされるという第2の回答に応じて、前記エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシーをクエリすることと、
前記ローカルに実装された高度なセキュリティポリシーを介して、関連付けられたドメインに関する脅威またはクリアランスを検知することと、
前記検知された脅威またはクリアランスに関連付けられたシグネチャを含む、前記エッジネットワークデバイスからのアップストリーム更新を、ソフトウェア定義のワイドエリアネットワークのネットワークコントローラアプライアンスに送信することと、を含む、1つ以上の非一時的コンピュータ可読媒体と、を備える、エッジネットワークデバイス。
【請求項15】
前記動作が、
前記脅威に関して、前記関連付けられたクラウドセキュリティシステムのDNSブラックリスト/ホワイトリストを更新するように、前記関連付けられたクラウドセキュリティシステムに通知することをさらに含む、請求項14に記載のエッジネットワークデバイス。
【請求項16】
前記動作が、
前記検知された脅威を無効化し、前記ドメインを前記ローカルDNSホワイトリスト上に配置するために、前記ネットワークコントローラアプライアンスから更新を受信することをさらに含む、請求項14または15に記載のエッジネットワークデバイス。
【請求項17】
前記高度なセキュリティポリシーが、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)のポリシーのうちの1つである、請求項16に記載のエッジネットワークデバイス。
【請求項18】
前記アップストリーム更新が、OMPメッセージである、請求項1417のいずれか一項に記載のエッジネットワークデバイス。
【請求項19】
装置であって、
ソフトウェア定義のワイドエリアネットワーク(SD-WAN)のネットワークコントローラアプライアンスを介して、エッジネットワークデバイスによって検知された脅威に関連付けられた脅威シグネチャを含む、前記エッジネットワークデバイスからのアップストリーム更新を受信するための手段であって、前記アップストリーム更新は禁止の統合脅威防御(UTD)の結果のストリームの一部として受信される、受信するための手段と、
前記検知された脅威を禁止の統合脅威防御(UTD)結果としてローカルドメインネームシステム(DNS)ブラックリストに追加するために、一時的な更新をトリガするための手段と、
前記脅威シグネチャを含むダウンストリーム更新を、前記脅威を認識していない他のエッジネットワークデバイスを含むデバイスグループにプッシュするための手段と、
前記禁止のUTD結果のストリームに関連付けられた前処理され、要約されたDNSブラックリストを、関連付けられたクラウドセキュリティシステムに送信する手段と、を備える、装置。
【請求項20】
請求項2~8のいずれか一項に記載の方法を実施するための手段をさらに備える、請求項19に記載の装置。
【請求項21】
エッジネットワークデバイスであって、
ドメインに関して、前記エッジネットワークデバイス上のローカルドメインネームシステム(DNS)ブラックリスト/ホワイトリストをクエリするための手段と、
前記ドメインが前記ローカルDNSブラックリスト/ホワイトリスト上にないという第1の回答に応じて、前記ドメインに関するクエリを、関連付けられたクラウドセキュリティシステムでの高度なDNSセキュリティにプッシュするための手段と、
前記ドメインが前記高度なDNSセキュリティでクリアされるという第2の回答に応じて、前記エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシーをクエリするための手段と、
前記ローカルに実装された高度なセキュリティポリシーを介して、関連付けられたドメインに関する脅威またはクリアランスを検知するための手段と、
前記検知された脅威またはクリアランスに関連付けられたシグネチャを含む、前記エッジネットワークデバイスからのアップストリーム更新を、ソフトウェア定義のワイドエリアネットワークのネットワークコントローラアプライアンスに送信するための手段と、を備える、エッジネットワークデバイス。
【請求項22】
前記脅威に関して、前記関連付けられたクラウドセキュリティシステムのDNSブラックリスト/ホワイトリストを更新するように、前記関連付けられたクラウドセキュリティシステムに通知するための手段、および/または、前記検知された脅威を無効化し、前記ドメインを前記ローカルDNSホワイトリスト上に配置するために、前記ネットワークコントローラアプライアンスから更新を受信するための手段をさらに備え、任意選択的に、前記高度なセキュリティポリシーが、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)のポリシーのうちの1つであり、任意選択的に、前記アップストリーム更新がOMPメッセージである、請求項21に記載のエッジネットワークデバイス。
【請求項23】
コンピュータによって実行されると、前記コンピュータに、請求項1~のいずれか一項に記載の方法のステップを実行させる命令を含む、コンピュータプログラム。
【請求項24】
コンピュータによって実行されると、前記コンピュータに、請求項1~8のいずれか一項に記載の方法のステップを実行させる命令を含む、コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2019年9月11日に出願された「SYNERGISTIC DNS SECURITY UPDATE」と題された米国特許出願第16/567,435号の利益および優先権を主張し、これは、2018年11月30日に出願された「SYNERGISTIC DNS SECURITY UPDATE」と題された米国特許出願第62/774,102号の利益を主張し、それらの内容は参照により全体が本明細書に組み込まれる。
【0002】
本実施形態は、概して、エッジネットワークデバイス上のローカルセキュリティポリシーを介した脅威検知に基づいて、ネットワーク内で相乗的なドメインネームシステム(DNS)セキュリティ更新を提供するシステムおよび方法に関する。
【背景技術】
【0003】
エンタープライズネットワークの展望は絶えず進化している。モバイルおよびモノのインターネット(IoT)デバイスのトラフィック、サービスとしてのソフトウェア(SaaS)アプリケーション、およびクラウドの採用に対する需要が高まっている。さらに、セキュリティのニーズが高まっており、特定のアプリケーションでは、適切な動作のために優先順位付けおよび最適化が必要になる場合がある。この複雑さが増すにつれて、高い可用性および拡張性を提供しながら、コストおよび運用費用を削減することが求められている。
【0004】
従来のWANアーキテクチャは、この進化する状況下で大きな課題に直面している。従来のWANアーキテクチャは通常、複数のマルチプロトコルラベルスイッチング(MPLS)トランスポート、またはアクティブ/バックアップ方式で使用されるインターネットまたはロングタームエボリューション(LTE)リンクとペアになったMPLSで構成され、ほとんどの場合、インターネットまたはSaaSトラフィックがインターネットアクセス用の中央データセンターまたは地域ハブに返送される。これらのアーキテクチャの問題には、不十分な帯域幅、高い帯域幅コスト、アプリケーションダウンタイム、SaaSパフォーマンスの低下、複雑な動作、クラウド接続の複雑なワークフロー、長い展開時間およびポリシーの変更、アプリケーションの可視性の制限、ネットワークの保護の難しさが含まれる。
【0005】
近年、これらの課題に対処するために、ソフトウェア定義のワイドエリアネットワーク(SD-WAN)ソリューションが開発された。SD-WANは、ソフトウェア定義ネットワーク(SDN)のより広範なテクノロジーの一部である。SDNは、ネットワーク管理への集中型アプローチであり、これは、基礎となるネットワークインフラストラクチャをアプリケーションから除外できる。このデータプレーン転送とコントロールプレーンの分離により、ネットワークオペレータはネットワークのインテリジェンスを一元化し、さらなるネットワークの自動化、運用の簡素化、一元化されたプロビジョニング、監視、およびトラブルシューティングを提供し得る。SD-WANは、SDNのこれらの原則をWANに適用できる。
【0006】
SD-WANを保護するために、クラウド配信される安全なインターネットゲートウェイを使用して、インターネット上の脅威に対する第1の防衛線を提供できる。クラウド配信される安全なインターネットゲートウェイには、ドメインネームシステム(DNS)セキュリティプラットフォーム、インターネットまたはプライベートネットワークに接続されたコンピュータ、サービス、または他のリソース用の階層型分散ネーミングシステムを含み得る。DNSは、様々な情報を、参加しているエンティティの各々に割り当てられたドメインネームに関連付ける。最も顕著に、それはより容易に記憶されるドメインネームを、基礎となるネットワークプロトコルでコンピュータサービスおよびデバイスを位置特定し、識別するために必要な数値のIPアドレスに変換する。
【0007】
Cisco UmbrellaなどのDNSセキュリティプラットフォームは、ネットワーク上のすべてのデバイスにわたるインターネットアクティビティを完全に可視化し、脅威がネットワークに到達する前にブロックし得る。DNSセキュリティプラットフォームは、接続が確立される前に、フィッシング、マルウェア感染を阻止し、悪意のある宛先への要求をプ積極的にブロックできる。より具体的には、DNSは、ドメインネームを割り当て、各ドメインに権限のあるネームサーバを指定することにより、それらのネームをインターネットリソースにマッピングする責任を委任する。ネットワーク管理者は、割り振られたネームスペースのサブドメインに対する権限を他のネームサーバに委任してもよい。このメカニズムは、分散型でフォールトトレラントなサービスを提供し、単一の大規模な中央データベースを回避するように設計されている。
【0008】
様々なDNSセキュリティプラットフォーム(Cisco Umbrella、OpenDNSなど)は、DNSに加えて追加のセキュリティ機能を提供する。多くの場合、これらのDNSセキュリティプラットフォームはクラウドサービスとして提供されてもよい。これらのDNSセキュリティプラットフォームは、例えば、インターネットのインフラストラクチャを使用して、接続が確立される前に悪意のある宛先をブロックするように構成されてもよい。プラットフォームはDNSを使用して、すべてのポートおよびプロトコル、さらにはIPへの直接接続を介した脅威を阻止してもよい。プラットフォームは、すべてのウェブトラフィックをプロキシする代わりに、より詳細なURLおよびファイル検査のために、リスクの高いドメインに要求をルーティングしてもよい。プラットフォームは、遅延またはパフォーマンスへの影響なしに効果的に保護できる。デバイスが他の方法で感染した場合でも、プラットフォームは攻撃者のサーバへの接続を妨げてもよい。プラットフォームは、データ抜き取りおよびランサムウェア暗号化の実行をさらに停止できる。
【0009】
DNSセキュリティプラットフォームは、定期的に更新されるリモートでホストされた信頼できる情報源に依存していることが多く、新たな脅威に動的に対応する準備ができていない。例えば、DNSセキュリティプラットフォームは、脅威に関連付けられたIPおよび/またはドメインのリストを維持してもよく、フローがセキュリティプラットフォームを通過すると、アプリケーションの実際の動作に基づいて脅威を検知する統合脅威防御(UTD)ポリシーによって処理される。計算量の多いUTDプロセスの結果は、ローカルまたはリモートのセキュリティDNSポリシーの更新には使用されない。UTDによって生成される情報は非常に豊富なデータセットであり、直接収集すると、深刻な規模の課題が発生する。
【0010】
UmbrellaなどのDNSセキュリティプラットフォームはそれぞれ、計算量がはるかに多く、また、より正確である、IPS/IDS、アプリファイアウォールおよびAMPを含む他の複数の機能などの、URLが脅威に関連付けられている情報を更新するための独自のロジックを有し得る。いくつかの階層アーキテクチャでは、DNSセキュリティプラットフォームを通過したが、他のセキュリティ機能によってフラグが立てられた脅威に関する情報をノード間で集約できる。したがって、DNSセキュリティプラットフォームが情報を集約して、新たな脅威に対するネットワーク内のすべてのノードの応答性を改善し、計算量の多いセキュリティチェックの重複を回避し、DNSセキュリティプラットフォームのリモートサーバによって維持される信頼スコアを改善できることが望ましく、有利である。
【図面の簡単な説明】
【0011】
本開示ならびにその特徴および利点のより完全な理解を提供するために、添付の図面と併せて、以下の説明を参照する。
図1A】一実施形態による、高レベルネットワークアーキテクチャの例を示す。
図1B】一実施形態による、DNSセキュリティシステムの高レベルアーキテクチャの例を示す。
図2】一実施形態による、ネットワークトポロジーの例を示す。
図3】一実施形態による、オーバーレイネットワークを管理するためのプロトコルの動作を示す図の例を示す。
図4A】一実施形態による、ローカルワイドエリアネットワーク(WAN)においてDNSセキュリティ更新がどのように実行され得るかを示すソフトウェア定義のワイドエリアネットワーク(SD-WAN)の図を示す。
図4B】一実施形態による、エッジネットワークデバイス上で実行できるセキュリティポリシーのポリシー階層を示す図である。
図5A】一実施形態による、SD-WAN内のネットワークコントローラアプライアンスを介してセキュリティポリシーを伝播するためのプロセスのフロー図の例を示す。
図5B】一実施形態による、SD-WAN内のエッジネットワークデバイスを介してセキュリティポリシーを伝播するためのプロセスのフロー図の別の例を示す。
図6】一実施形態による、ネットワークデバイスの一例を示す。
図7A】いくつかの実施形態による、システムの例を示す。
図7B】いくつかの実施形態による、システムの例を示す。
【発明を実施するための形態】
【0012】
以下に記載される詳細な説明は、実施形態の様々な構成の説明として意図されており、本開示の主題を実施し得る唯一の構成を表すことを意図するものではない。添付の図面は本明細書に組み込まれ、詳細な説明の一部を構成する。詳細な説明は、本開示の主題のより完全な理解を提供することを目的とした特定の詳細を含む。しかしながら、本開示の主題は、本明細書に記載された特定の詳細に限定されず、これらの詳細なしで実施され得ることは明らかかつ明白であろう。場合によっては、本開示の主題の概念を曖昧にすることを回避するために、構造および構成要素がブロック図の形で示されている。
【0013】
概要
本発明の態様は独立請求項に記載されており、好ましい特徴は従属請求項に記載されている。1つの態様の特徴は、単独で、または他の態様と組み合わせて、各態様に適用することができる。
【0014】
システムおよび方法は、相乗的なDNSセキュリティ更新を提供する。システムは、禁止の統合脅威防御(UTD)結果を収集することと、複数のSD-WANエッジにわたって脅威が検知されたときにローカルセキュリティブラックリストへの更新をトリガするルールベースのモデルを展開することであって、更新が脅威シグネチャを含む、展開することと、脅威をまだ認識していない他のデバイスに更新をプッシュすることと、を行うように構成されてもよい。
【0015】
一実施形態による、コンピュータ実装方法は、ソフトウェア定義のワイドエリアネットワーク(SD-WAN)のネットワークコントローラアプライアンス132を介して、エッジネットワークデバイス142aによって検知された脅威に関連付けられた脅威シグネチャ105を含む、エッジネットワークデバイス142aからのアップストリーム更新107aを受信することと、検知された処理を禁止の統合脅威防御(UTD)結果としてローカルドメインネームシステム(DNS)ブラックリストに追加するために、一時的な更新をトリガすることと、脅威シグネチャ105を含むダウンストリーム更新107bを、脅威をまだ認識していない他のエッジネットワークデバイス142bを含むデバイスグループにプッシュすることと、を含み得る。
【0016】
コンピュータ実装方法は、複数のエッジネットワークデバイス142にわたって脅威が検知されたときに、検知された脅威をローカルDNSブラックリストに追加するために、一時的な更新がトリガされるルールベースのモデルを展開することをさらに含み得る。検知された脅威は、エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシー103bによって検知することができ、ドメインネームシステムセキュリティプラットフォームを有する関連付けられたクラウドセキュリティシステム101によって検知されなかった。ローカルに実装された高度なセキュリティポリシー103bは、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)のポリシーのうちの1つであり得る。他のエッジネットワークデバイス142bは、エッジネットワークデバイス142aのパートナーVPNに関連付けられ得る。
【0017】
コンピュータ実装方法は、ネットワークコントローラアプライアンス132で禁止の統合脅威防御(UTD)結果のストリームを収集することと、禁止のUTD結果のストリームに関連付けられた、前処理され、要約されたDNSブラックリストを、関連付けられたクラウドセキュリティシステム101に送信することと、をさらに含み得る。アップストリーム更新およびダウンストリーム更新は、OMPメッセージのアドレスファミリーの新しいメッセージタイプであり得る。デバイスグループは、ローカルに実装された高度なセキュリティポリシー103bが有効化されていないSD-WAN内の他のエッジネットワークデバイスに制限される。脅威シグネチャ105は、IPアドレス、ポート、プロトコル、およびパケット長を含む他の属性を含むプロトコルヘッダフィールドを含み得る。
【0018】
一実施形態によるシステムは、1つ以上のプロセッサと、1つ以上の非一時的コンピュータ可読媒体であって、1つ以上の非一時的コンピュータ可読媒体は、動作の実行を実行または制御するために1つ以上のプロセッサによって実行可能である、1つ以上の非一時的コンピュータ可読媒体に格納されたコンピュータ可読命令を含み、動作が、ソフトウェア定義のワイドエリアネットワークのネットワークコントローラアプライアンス132を介して、エッジネットワークデバイス142aによって検知された脅威に関連付けられた脅威シグネチャ105を含む、エッジネットワークデバイス142aからのアップストリーム更新107aを受信することと、検知された処理を禁止の統合脅威防御(UTD)結果としてローカルドメインネームシステム(DNS)ブラックリストに追加するために、一時的な更新をトリガすることと、脅威シグネチャ105を含むダウンストリーム更新107bを、脅威をまだ認識していない他のエッジネットワークデバイス142bを含むデバイスグループにプッシュすることと、を含み得る、1つ以上の非一時的コンピュータ可読媒体と、を備え得る。
【0019】
一実施形態によるエッジネットワークデバイス142は、1つ以上のプロセッサと、1つ以上の非一時的コンピュータ可読媒体であって、1つ以上の非一時的コンピュータ可読媒体は、動作の実行を実行または制御するために1つ以上のプロセッサによって実行可能である、1つ以上の非一時的コンピュータ可読媒体に格納されたコンピュータ可読命令を含み、動作が、ドメインに関して、エッジネットワークデバイス142上のローカルドメインネームシステム(DNS)ブラックリスト/ホワイトリストをクエリすることと、ドメインがローカルDNSブラックリスト/ホワイトリスト上にないという第1の回答に応じて、ドメインに関するクエリを、関連付けられたクラウドセキュリティシステム101での高度なDNSセキュリティ414にプッシュすることと、ドメインが高度なDNSセキュリティ414でクリアされるという第2の回答に応じて、エッジネットワークデバイス142上でローカルに実装された高度なセキュリティポリシー103bをクエリすることと、ローカルに実装された高度なセキュリティポリシー103bを介して、関連付けられたドメインに関する脅威またはクリアランスを検知することと、検知された脅威またはクリアランスに関連付けられたシグネチャ105を含むエッジネットワークデバイス107aからのアップストリーム更新を、ソフトウェア定義のワイドエリアネットワークのネットワークコントローラアプライアンス132に送信することと、を含む、1つ以上の非一時的コンピュータ可読媒体と、を備え得る。エッジネットワークデバイス142の動作は、以下のステップ、脅威に関して、クラウドセキュリティシステム101のDNSブラックリスト/ホワイトリストを更新するように、関連付けられたクラウドセキュリティシステム101に通知することと、検知された脅威を無効化し、ドメインをローカルDNSホワイトリスト上に配置するために、ネットワークコントローラアプライアンス132から更新を受信することネットワークコントローラアプライアンスから更新を受信することと、をさらに含み得る。
【0020】
例示的な実施形態
図1Aは、本技術の態様を実装するためのネットワークアーキテクチャ100Aの例を示している。ネットワークアーキテクチャ100Aの実施例は、Cisco(登録商標)ソフトウェア定義のワイドエリアネットワーク(SD-WAN)アーキテクチャである。しかしながら、当業者は、ネットワークアーキテクチャ100Aおよび本開示で論じられる任意の他のシステムについて、同様のまたは代替的な構成での追加またはより少ない構成要素があり得ることを理解するであろう。本開示で提供される図および実施例は、簡潔かつ明確であることを目的とする。他の実施形態は、異なる数および/またはタイプの要素を含み得るが、当業者は、そのような変形が本開示の範囲から逸脱しないことを理解するであろう。
【0021】
この例では、ネットワークアーキテクチャ100Aは、オーケストレーションプレーン102と、管理プレーン120と、制御プレーン130と、データプレーン140と、を備え得る。オーケストレーションプレーン102は、オーバーレイネットワークにおけるエッジネットワークデバイス142(例えば、スイッチ、ルータなど)の自動オンボーディングを支援し得る。オーケストレーションプレーン102は、1つ以上の物理または仮想ネットワークオーケストレータアプライアンス104を含み得る。ネットワークオーケストレータアプライアンス(複数可)104は、エッジネットワークデバイス142の初期認証を実行し、制御プレーン130とデータプレーン140のデバイスとの間の接続を調整し得る。いくつかの実施形態では、ネットワークオーケストレータアプライアンス104(複数可)はまた、ネットワークアドレス変換(NAT)の後方に位置するデバイスの通信を可能にし得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WANvBondアプライアンスは、ネットワークオーケストレーターアプライアンス(複数可)104として動作し得る。
【0022】
管理プレーン120は、ネットワークの中央構成および監視を担当し得る。管理プレーン120は、1つ以上の物理または仮想ネットワーク管理アプライアンス122を含み得る。いくつかの実施形態では、ネットワーク管理アプライアンス(複数可)122は、グラフィカルユーザインターフェースを介してネットワークの集中管理を提供して、ユーザがエッジネットワークデバイス142およびリンク(例えば、インターネットトランスポートネットワーク160、アンダーレイおよびオーバーレイネットワーク内のMPLSネットワーク162、4G/LTEネットワーク164)を監視し、構成し、かつ維持することを可能にし得る。ネットワーク管理アプライアンス(複数可)122は、マルチテナンシーをサポートし、異なるエンティティ(例えば、企業、企業内の部門、部門内のグループなど)に関連付けられた論理的に分離されたネットワークの集中管理を可能にし得る。あるいは、またはさらに、ネットワーク管理アプライアンス(複数可)122は、単一のエンティティのための専用のネットワーク管理システムであり得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WANvManageアプライアンスは、ネットワーク管理アプライアンス(複数可)122として動作し得る。
【0023】
コントロールプレーン130は、ネットワークトポロジーを構築し、かつ維持し、トラフィックが流れる場所を決定し得る。コントロールプレーン130は、1つ以上の物理または仮想ネットワークコントローラアプライアンス(複数可)132を含み得る。ネットワークコントローラアプライアンス(複数可)132は、各ネットワークデバイス142への安全な接続を確立し、制御プレーンプロトコル(例えば、オーバーレイ管理プロトコル(OMP)(以下でさらに詳細に説明する)、オープンショートパスファースト(OSPF)、インターミディエイト・システム・トゥ・インターミディエイト・システム(IS-IS)、ボーダーゲートウェイプロトコル(BGP)、マルチキャストルーティングプロトコル(PIM)、インターネットグループ管理プロトコル(IGMP)、インターネット制御通知プロトコル(ICMP)、アドレス解決プロトコル(ARP)、双方向フォワーディング検出(BFD)、リンク集約制御プロトコル(LACP)など)を介してルートおよびポリシー情報を配信し得る。いくつかの実施形態では、ネットワークコントローラアプライアンス(複数可)132は、ルートリフレクタとして動作し得る。ネットワークコントローラアプライアンス(複数可)132はまた、エッジネットワークデバイス142間およびエッジネットワークデバイス142の間のデータプレーン140内の安全な接続を調整し得る。例えば、いくつかの実施形態では、ネットワークコントローラアプライアンス(複数可)132は、ネットワークデバイス142(複数可)の間で暗号鍵情報を配信し得る。これにより、ネットワークは、インターネット鍵交換(IKE)なしで、安全なネットワークプロトコルまたはアプリケーション(例えば、インターネットプロトコルセキュリティ(IPSec)、トランスポート層セキュリティ(TLS)、セキュアシェル(SSH)など)をサポートし、ネットワークのスケーラビリティを有効化すすることが可能になり得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WANvSmartコントローラは、ネットワークコントローラアプライアンス(複数可)132として動作し得る。
【0024】
データプレーン140は、制御プレーン130からの決定に基づいてパケットの転送を担当し得る。データプレーン140は、物理または仮想ネットワークデバイスであり得るエッジネットワークデバイス142を含み得る。エッジネットワークデバイス142は、1つ以上のデータセンターまたはコロケーションセンター150、キャンパスネットワーク152、ブランチオフィスネットワーク154、ホームオフィスネットワーク154内などの、またはクラウド(例えば、サービスとしてのインフラストラクチャ(IaaS)、サービスとしてのプラットフォーム(PaaS)、SaaS、および他のクラウドサービスプロバイダーネットワーク)内などの組織の様々なネットワーク環境のエッジで動作し得る。エッジネットワークデバイス142は、1つ以上のインターネットトランスポートネットワーク160(例えば、デジタル加入者回線(DSL)、ケーブルなど)、MPLSネットワーク162(または他のプライベートパケット交換ネットワーク(例えば、メトロイーサネット、フレームリレー、非同期転送モード(ATM)など)、モバイルネットワーク164(例えば、3G、4G/LTE、5Gなど)、または他のWAN技術(例えば、同期光ネットワーク(SONET)、同期デジタル階層(SDH)、高密度波長分割多重(DWDM)、または他の光ファイバ技術、リース回線(例えば、Tl/El、T3/E3など)、公衆交換電話網(PSTN)、統合サービスデジタルネットワーク(ISDN)、または他のプライベート回線交換ネットワーク、超小型衛星通信地球局(VSAT)または他の衛星ネットワークなど)を介すなどした、1つ以上のWANトランスポートを介したサイトの間の安全なデータプレーン接続を提供し得る。エッジネットワークデバイス142は、他のタスクの中でもとりわけ、トラフィック転送、セキュリティ、暗号化、サービス品質(QoS)、およびルーティング(例えば、BGP、OSPF)を担当し得る。いくつかの実施形態では、物理または仮想Cisco(登録商標)SD-WANvEdgeルータは、エッジネットワークデバイス142として動作し得る。
【0025】
図1Bは、ネットワークアーキテクチャ100Aで動作するように構成されたDNSクラウドセキュリティシステム101を含むネットワークアーキテクチャ100Bを示している。エッジネットワークデバイス142(142a、142b)は、ローカルに実装された様々なセキュリティサービス103を有し得る。例えば、エッジネットワークデバイス142は、基本的なDNSセキュリティポリシーとしてローカルドメインネームシステム(DNS)ブラックリスト/ホワイトリスト103aを実装することができ、これはまた、特定の企業に固有のカスタマイズを可能にし得る。様々なローカルに実装されたセキュリティサービス103は、統合脅威防御(UTD)、IPSec/SSL侵入検知および防止システム(IPS/IDS)、高度なマルウェア防御(AMP)、ウイルス対策保護(AV)、データ損失防止(DLP)、アプリケーションファイアウォール(AppFW)、または暗号化トラフィック分析(ETA)などのより多くのローカルに実装された高度なセキュリティポリシー103bを含み得、これらは、プラットフォームの機能に基づいて、選択したエッジネットワークデバイス142で埋め込まれ、有効化され得る。これらの高度なセキュリティポリシーは、クラウドセキュリティサービス101が脅威として識別しなかった可能性のある脅威を識別し得る。また、DNSクラウドセキュリティシステム101は、エッジネットワークデバイス142上のUTDポリシーを時々更新し得る(109)。高度なDNSセキュリティ414を備えたエッジネットワークデバイス142は、エッジネットワークデバイス142をDNSセキュリティチェックの対象とし、有効な/悪意のないドメインが解決されたIPアドレスをDNS応答として受信するときに、インターネットドメインへのDNS要求(ローカルドメインがバイパスされてもよい)をDNSクラウドセキュリティシステム101にリダイレクトし得る。DNSクラウドセキュリティシステム101は、DNSクラウドセキュリティシステム101がアプリケーショントラフィックを追加のセキュリティチェックを対象としたい場合、プロキシIPアドレスを与えてもよい。トンネルを介したアプリケーションセキュリティがエッジネットワークデバイス142上に構成されている場合、エッジネットワークデバイス142上で受信された選択されたアプリケーショントラフィック(直接インターネットアクセストラフィック)は、ファイアウォール、IPSなどの追加のセキュリティ関数のためのDNSクラウドセキュリティシステム101にトンネリングされ得る。
【0026】
さらに、ネットワークコントローラアプライアンス132は、禁止または許可のUTD結果を収集し、信頼性スコアの強化および更新に使用するために、前処理され、要約されたDNSブラックリスト/ホワイトリスト111をDNSクラウドセキュリティシステム101に断続的に送信し得る。
【0027】
1つ以上のネットワークコントローラアプライアンス132は、ネットワークアーキテクチャ100Aを管理するように構成されてもよく、以下でさらに詳細に説明するように、特別なオーバーレイ管理プロトコル(OMP)を使用することによってすべての制御およびデータポリシーの管理を担当してもよい。脅威は、ローカルに実装されたセキュリティサービス103によって検知され得、脅威シグネチャ105は、アップストリームOMPメッセージ107aを介してネットワークコントローラアプライアンス132にアップストリームで送信し得る。ネットワークコントローラアプライアンス132は、(それがサービスを提供している企業に固有である可能性がある)脅威シグネチャ105を追加し得、他のエッジネットワークデバイス142bに伝播するダウンストリームOMPメッセージ107bを介して脅威シグネチャ105をダウンストリームにプッシュし得る。アップストリームおよびダウンストリームOMPメッセージ107a、107は、OMPメッセージ内のアドレスファミリーの新しいメッセージタイプであり得る。他のエッジネットワークデバイス142bは、高度なセキュリティポリシーのうちの1つまたはいくつかを実行することができなかった可能性があり、そうでなければ、そのような脅威を検知することができなかった可能性がある。
【0028】
DNSクラウドセキュリティシステム101のセキュリティサーバからトラフィックを再ルーティングすることにより、DNSクラウドセキュリティシステム101を拡張するための優れた機能が提供され、SD-WAN固有のネットワークコントローラアプライアンス層130は、顧客のネットワークトポロジー、デバイスタイプおよび機能、ならびに特定のエッジネットワークデバイス142で見られるアプリケーションを考慮に入れ得る。脅威シグネチャは、IPアドレス、ポート、プロトコル、および/またはパケット長などの他の属性などのプロトコルヘッダフィールドを含み得る。これらの脅威シグネチャを受信するエッジネットワークデバイス142は、アクセス制御リスト(ACL)を使用するトラフィックの基本的な分類を使用し得、一致が見つかった場合、エッジネットワークデバイス142は、トラフィックをDNSクラウドセキュリティにリダイレクトする代わりに脅威を防ぐことができこれにより、帯域幅コストが節約され、DNSクラウドセキュリティシステム101のスケーラビリティが改善される。
【0029】
ネットワークアーキテクチャ100Aの動作に関する追加の詳細は、Cisco(登録商標)Systems, Inc.の「Cisco(登録商標)SD-WAN Design Guide」(2018年10月)および、Cisco(登録商標)Systems, Inc.の「Cisco(登録商標)SD-WAN Deployment Guide」(2018年10月)、で説明されており、これらは参照により本明細書に組み込まれる。
【0030】
図2は、ネットワークアーキテクチャ100Aの様々な態様を示すためのネットワークトポロジー200の例を示している。ネットワークトポロジー200は、管理ネットワーク202、一対のネットワークサイト204Aおよび204B(集合的に、204)(例えば、データセンター(複数可)150、キャンパスネットワーク(複数可)152、ブランチオフィスネットワーク(複数可)154、ホームオフィスネットワーク(複数可)156、クラウドサービスプロバイダネットワー(複数可)など)、および一対のインターネットトランスポートネットワーク160Aおよび160B(総称して、160)を含み得る。管理ネットワーク202は、1つ以上のネットワークオーケストレータアプライアンス104、1つ以上のネットワーク管理アプライアンス122、および1つ以上のネットワークコントローラアプライアンス132を含み得る。この例では、管理ネットワーク202は単一のネットワークとして示されているが、当業者は、管理ネットワーク202の各要素が任意の数のネットワークに分散され、かつ/またはサイト204と同じ場所に位置し得ることを理解するであろう。この例では、管理ネットワーク202の各要素には、トランスポートネットワーク160Aまたは160Bのいずれかを介して到達し得る。
【0031】
各サイトは、1つ以上のサイトネットワークデバイス208に接続された1つ以上のエンドポイント206を含み得る。エンドポイント206は、汎用コンピューティングデバイス(例えば、サーバ、ワークステーション、デスクトップコンピュータなど)、モバイルコンピューティングデバイス(例えば、ラップトップ、タブレット、携帯電話など)、ウェアラブルデバイス(例えば、時計、眼鏡または他のヘッドマウントディスプレイ(HMD)、イヤーデバイスなど)を含み得る。エンドポイント206はまた、農業機械(例えば、家畜追跡および管理システム、給水デバイス、無人航空機(UAV)など)、コネクテッドカーおよび他の車両、スマートホームセンサーおよびデバイス(例えば、警報システム、セキュリティカメラ、照明、電化製品、メディアプレーヤー、HVAC機械、ユーティリティメーター、窓、自動ドア、ドアベル、ロックなど)、オフィス機械(例えば、デスクトップ電話、コピー機、ファックス機など)、ヘルスケアデバイス(例えば、ペースメーカー、生体認証センサー、医療機械など)、産業用機械(例えば、ロボット、工場機械、建設機械、産業用センサーなど)、小売機械(例えば、自動販売機、POS(販売時点情報管理)デバイス、RFID(無線周波数識別)タグなど)、スマートシティデバイス(例えば、街灯、パーキングメーター、廃棄物管理センサーなど)、輸送およびロジスティック機械(例えば、回転式改札口、レンタカートラッカー、ナビゲーションデバイス、在庫モニターなど)などのモノのインターネット(IoT)デバイスまたは機械を含み得る。
【0032】
サイトネットワークデバイス208は、物理または仮想スイッチ、ルータ、および他のネットワークデバイスを含み得る。この例では、サイト204Aは1対のサイトネットワークデバイスを含むように示され、サイト204Bは単一のサイトネットワークデバイスを含むように示されているが、サイトネットワークデバイス208は、多層(例えば、コア、配信、アクセス層)、スパインアンドリーフ、メッシュ、ツリー、バス、ハブおよびスポークなどを含む任意のネットワークトポロジー内の任意の数のネットワークデバイスを備え得る。例えば、いくつかの実施形態では、1つ以上のデータセンターネットワークは、Cisco(登録商標)アプリケーションセントリックインフラストラクチャ(ACI)アーキテクチャを実装してもよく、かつ/または1つ以上のキャンパスネットワークは、Cisco(登録商標)ソフトウェア定義アクセス(SD-アクセスまたはSDA)アーキテクチャを実装してもよい。サイトネットワークデバイス208は、エンドポイント206を1つ以上のエッジネットワークデバイス142に接続することができ、エッジネットワークデバイス142を使用して、トランスポートネットワーク160に直接接続し得る。
【0033】
いくつかの実施形態では、「カラー」を使用して個々のWANトランスポートネットワークを識別することができ、異なるWANトランスポートネットワークに異なるカラー(例えば、mpls、private1、ビズインターネット、メトロイーサネット、lteなど)を割り当てることができる。この例では、ネットワークトポロジー200は、インターネットトランスポートネットワーク160Aのための「ビズインターネット」と呼ばれるカラー、および、インターネットトランスポートネットワーク160Bのための「パブリックインターネット」と呼ばれるカラーを利用し得る。
【0034】
いくつかの実施形態では、各エッジネットワークデバイス142は、ネットワークコントローラアプライアンス(複数可)132へのデータグラムトランスポート層セキュリティ(DTLS)またはTLS制御接続を形成し、各トランスポートネットワーク160を介して任意のネットワーク制御アプライアンス132に接続し得る。いくつかの実施形態では、エッジネットワークデバイス142はまた、IPSecトンネルを介して他のサイト内のエッジネットワークデバイスに安全に接続し得る。いくつかの実施形態では、BFDプロトコルをこれらのトンネルの各々内で使用して、損失、待ち時間、ジッタ、およびパス障害を検知し得る。
【0035】
エッジネットワークデバイス142上では、カラーを使用して、個々のWANトランスポートトンネルを識別し、または区別し得る(例えば、単一のエッジネットワークデバイス上で同じカラーを2回使用することはできない)。カラー自体も重要な意味を持つ。例えば、メトロイーサネット、mpls、private1、private2、private3、private4、private5、private6のカラーは、プライベートネットワークのために、または、トランスポートIPエンドポイントのNATアドレス指定がない場所で使用できるプライベートカラーと見なすことができる(例えば、同じカラーの2つのエンドポイント間にNATがない場合があるため)。エッジネットワークデバイス142がプライベートカラーを使用する場合、ネイティブ、プライベート、アンダーレイIPアドレスを使用して他のエッジネットワークデバイスへのIPSecトンネルを構築しようとしてもよい。パブリックカラーは、3g、biz、インターネット、ブルー、ブロンズ、custom1、custom2、custom3、デフォルト、ゴールド、グリーン、LTE、パブリックインターネット、レッド、シルバーを含み得る。パブリックカラーは、(NATが関与している場合)ポストNAT IPアドレスへのトンネルを構築するためにエッジネットワークデバイス142によって使用されてもよい。エッジネットワークデバイス142がプライベートカラーを使用し、他のプライベートカラーと通信するためにNATを必要とする場合、構成のキャリア設定は、エッジネットワークデバイス142がプライベートIPアドレスを使用するかパブリックIPアドレスを使用するかを指示し得る。この設定を使用すると、一方または両方がNATを使用しているときに、2つのプライベートカラーでセッションを確立し得る。
【0036】
図3は、ネットワーク(例えば、ネットワークアーキテクチャ100)のオーバーレイを管理するためにいくつかの実施形態で使用され得るOMPの動作を示す図300の例を示す。この例では、OMPメッセージ/更新にセキュリティの新しいカテゴリのメッセージを含めることができ、DNS脅威はセキュリティのサブカテゴリである。エッジネットワークデバイス142a、302Aおよび302B(総称して、302)によって検知された脅威シグネチャ105は、ネットワークコントローラアプライアンス132とエッジネットワークデバイス142Aおよび142Bとの間をそれぞれ往来して送信され得、ルートプレフィックス、ネクストホップルート、暗号鍵、ポリシー情報などの制御プレーン情報は、それぞれの安全なDTLSまたはTLS接続304Aおよび304Bを介して交換され得る。ネットワークコントローラアプライアンス132は、ルートリフレクタと同様に動作し得る。例えば、ネットワークコントローラアプライアンス132は、エッジネットワークデバイス142からルートを受信し、それらに任意のポリシーを処理し、適用し、かつ、オーバーレイ内の他のエッジネットワークデバイス142にルートをアドバタイズし得る。ポリシーが定義されていない場合、エッジネットワークデバイス142はフルメッシュトポロジーと同様に挙動し、各エッジネットワークデバイス142は別のサイトで別のエッジネットワークデバイス142に直接接続して、各サイトから完全なルーティング情報を受信し得る。
【0037】
OMPは、次の3種類のルートをアドバタイズし得る
・エッジネットワークデバイス142のローカルサイトまたはサービス側から学習したプレフィックスに対応し得るOMPルート。プレフィックスは、静的ルートもしくは接続ルートとして、またはOSPFまたはBGPプロトコルなどの内部から発信し、オーバーレイ全体で伝送できるようにOMPに再配信できる。OMPルートは、トランスポートロケーション(TLOC)情報(BGPネクストホップIPアドレスに類似している可能性がある)などの属性や、発信元、発信者、設定、サイト識別子、タグ、および仮想プライベートネットワーク(VPN)などの他の属性をアドバタイズできる。OMPルートは、それが指すTLOCがアクティブな場合、転送テーブルにインストールされてもよい。
【0038】
・トランスポートネットワーク160に接続するエッジネットワークデバイス142上の論理トンネル終端点に対応し得るTLOCルート。いくつかの実施形態では、TLOCルートは、一意に識別され、IPアドレス、リンクカラー、およびカプセル化(例えば、汎用ルーティングカプセル化(GRE)、IPSecなど)を含む3つ組によって表され得る。システムIPアドレス、カラー、およびカプセル化に加えて、TLOCルートは、TLOCプライベートおよびパブリックIPアドレス、キャリア、設定、サイト識別子、タグ、および重みなどの属性を伝送することもできる。いくつかの実施形態では、アクティブなBFDセッションがそのTLOCに関連付けられている場合、TLOCは、特定のエッジネットワークデバイス142上でアクティブ状態にあり得る。
【0039】
・エッジネットワークデバイス142のローカルサイトに接続され、サービス挿入で使用するために他のサイトにアクセス可能であってもよいサービス(例えば、ファイアウォール、分散型サービス拒否(DDoS)緩和策、ロードバランサー、侵入防止システム(IPS)、侵入検知システム(IDS)、WANオプティマイザーなど)を表すことができるサービスルート。さらに、これらのルートにはVPNを含まれ得、VPNラベルを更新タイプで送信して、リモートサイトでサービスされているVPNをネットワークコントローラアプライアンス132に通知できる。
【0040】
図3の例では、OMPは、エッジネットワークデバイス142とネットワークコントローラアプライアンス132との間に確立されたDTLS/TLSトンネル304上で実行されていることが示されている。さらに、図300は、WANトランスポートネットワーク160Aを介してTLOC308Aと308Cとの間に確立されたIPSecトンネル306A、および、WANトランスポートネットワーク160Bを介してTLOC308BとTLOC308Dとの間に確立されたIPSecトンネル306Bを示す。IPSecトンネル306Aおよび306Bが確立されると、それらの各々にわたってBFDを有効化し得る。サービスルートを介して送信される更新は、IPSecトンネル306Aおよび306Bでカバーされる。ローカル脅威が検知された場合の更新には、次の2つのタイプがある。(1)フローレベル(任意選択的)-フローパス内の複数のポイントでの二重検査を回避するためのフローベースまたはアプリケーションベースのローカルセキュリティ脅威の伝播、およびMPLSラベルの形式のメタデータは、フローレベルでIPSecトンネル306Aおよび306Bにわたって遠端に送信され、ポリシーチェーンを再度通過するのを防ぐことができる。(2)コントローラレベル-DNS更新は、OMP内でネットワークコントローラアプライアンス132に送信され、その結果、他のエッジネットワークデバイス142は、脅威情報を備えたそれらのローカルキャッシュで更新され得る。
【0041】
図4Aは、一実施形態による、ローカルワイドエリアネットワーク(WAN)401においてDNSセキュリティ更新がどのように実行され得るかを示すソフトウェア定義のワイドエリアネットワーク(SD-WAN)400の図を示す。一実施形態では、ローカルWAN401内の第1のエッジネットワークデバイス142aは、トラフィックをローカルドメインネームシステム(DNS)ブラックリスト103a、DNSクラウドセキュリティシステム101を介した高度なDNSセキュリティ414、およびローカルに実装された高度なセキュリティポリシー103bの対象とすることが可能であってもよい。第2のエッジネットワークデバイス142bはローカルドメインネームシステム(DNS)ブラックリスト103aのみを実行することが可能であってもよく、第3のエッジネットワークデバイス142cはローカルDNSブラックリスト/ホワイトリスト103a、およびDNSクラウドセキュリティシステム101を介した高度なDNSセキュリティ414のみを実行することが可能であってもよい。
【0042】
エンドポイント206aを介したユーザは、特定のドメインにアクセスするための要求403を第1のエッジネットワークデバイス142aに送信することができ、ドメインに関連付けられたトラフィックは、そのドメインが悪意のあるものかどうかをクエリするために、第1のエッジネットワークデバイス142aのローカルDNSブラックリスト/ホワイトリスト103aの対象となり得る。ドメインがローカルDNSブラックリスト103aにリストされている場合、トラフィックはブロックされ得、ドメインがリストされていない場合、エッジネットワークデバイス142aは、ドメインをDNSクラウドセキュリティシステム101での高度なDNSセキュリティ414にプッシュ405し得る。再び特定のドメインが、悪意があると見なされない場合、第1のエッジネットワークデバイス142aはローカルに実装された高度なセキュリティポリシー103bを有するので、第1のエッジネットワークデバイス142aはローカルに実装された高度なセキュリティポリシー103bを通じてトラフィックをより深いセキュリティ関数の対象とすることができる。ローカルに実装された高度なセキュリティポリシー103bが、特定のドメインがブロックされるべきであると判断した場合、エッジネットワークデバイス142aは、更新407をネットワーク管理アプライアンス122に送信し得る。
【0043】
ネットワーク管理アプライアンス122は、DNSクラウドセキュリティシステム101でチェックし(411)、ローカルに実装された高度なセキュリティポリシー103bの判定が、DNSクラウドセキュリティシステム101での高度なDNSセキュリティ414の判定と一致するかどうかを決定し得る。そうでない場合、DNSクラウドセキュリティシステム101は、そのセキュリティポリシーを更新するかどうかを決定し得る。高度なDNSセキュリティ414はまた、ドメインがクリアされたことを示し、ドメインをホワイトリストに追加し得る。次に、ネットワーク管理アプライアンス122は、ドメインをブラックリストに追加するかホワイトリストに追加するかどうかに関わらず、ローカルに実装された高度なセキュリティポリシー103bを実行する機能を持たない他のエッジネットワークデバイス142b、12bcに、ドメインに関するセキュリティポリシー更新409を伝播し得る。DNSクラウドセキュリティシステム101はまた、ドメインがもはや悪意がないことを経時的に決定し、ネットワーク管理アプライアンス122を更新して411、別のセキュリティポリシー更新409をエッジネットワークデバイス142に伝播してもよい。さらに、ドメインの脅威が十分に深刻である場合、DNSクラウドセキュリティシステム101は、それがサービスを提供する他のネットワーク415に対して、ドメインに関するセキュリティポリシー更新413を送信してもよい。
【0044】
図4Bは、一実施形態による、エッジネットワークデバイス142上で実行できるセキュリティポリシーのポリシー階層を示す図450を示す。ローカルに実装された高度なセキュリティポリシー103bを実行できるエッジネットワークデバイス142の場合、検知された脅威は、他のすべてのエッジネットワークデバイス142を備え得る以下の特定のデバイスグループに伝播され得る。ローカルに実装された高度なセキュリティポリシー103bが有効化されていないエッジネットワークデバイス142b、142cのみ、ローカルDNSブラックリスト/ホワイトリスト103aが有効化されているエッジネットワークデバイス142b、142c、142eのみ、またはエッジネットワークデバイスのその他のカスタマイズされたサブセット142。
【0045】
図5Aおよび5Bは、一実施形態による、SD-WANを介してセキュリティポリシーを伝播するためのプロセス500A、500Bのフロー図の例をそれぞれ示す。当業者は、本明細書で論じられる任意のプロセスについて、特に明記しない限り、様々な実施形態の範囲内で、同様のまたは代替的な順序で、または並行して実行される追加の、より少ない、または代替的なステップがあり得ることを理解する。例えば、ステップ502において、1つ以上のネットワークコントローラアプライアンス132は、特定のエッジネットワークデバイス142aのローカルに実装された高度なセキュリティポリシー103bによって検知された脅威に関連付けられた脅威シグネチャ105を含み得るアップストリームメッセージ107aを受信し得る。新たな脅威への応答を改善するために、ステップ504において、展開されたルールベースのモデルに基づいて、脅威が1つまたは複数のエッジネットワークデバイス142にわたって検知されると、一時的な更新がトリガされて、脅威が受信されると、脅威をローカルDNSブラックリストにネットワークコントローラアプライアンス132によって収集された禁止のUTD結果として追加する。
【0046】
ステップ506において、ネットワークコントローラアプライアンス132は、学習された脅威の脅威シグネチャ105を含み得るダウンストリームメッセージ107bを、同じネットワーク内の、もしくはその脅威を検知していないパートナーVPNに関連付けられた他のエッジネットワークデバイス142bおよび/またはブランチに伝播し、プッシュし得る。すべてのエッジネットワークデバイス142は、それが検知した脅威に関連するイベントをネットワークコントローラアプライアンス132に送信し得る。これらのイベントは、Elastic Searchデータベースに保存でき、デバイスID、脅威ID、IPアドレスなどに基づいてクエリできる。ElasticSearchデータベースは、ネットワークコントローラアプライアンス132によって使用され、どのエッジネットワークデバイス142がこの脅威を報告していないかを判断できる。例えば、脅威シグネチャ105は、パートナーVPNに関連付けられたすべてのデバイスに送信され得る。したがって、1つ以上のネットワークコントローラアプライアンス132(例えば、クラウド内に位置するコントローラの1つ以上のインスタンス)は、エッジに隣接するネットワークレベルの監視および分析を可能にし得る。
【0047】
さらに、1つ以上のネットワークコントローラアプライアンス132は、エッジネットワークデバイス142とDNSクラウドセキュリティシステム101の中央サーバとの間のバッファとして動作し得る。ステップ508において、ネットワークコントローラアプライアンス132は、禁止のUTD結果のストリームを収集し、かつ処理し、ステップ509において、信頼性スコアの強化および更新に使用するために、前処理され、要約されたDNSブラックリストをDNSクラウドセキュリティシステム101に送信し得る。ネットワークコントローラアプライアンス132は、DNSクラウドセキュリティシステム101に対して、ホワイトリスト/ブラックリスト内のドメイン/サブドメイン文字列(キー)のリストおよび変更セット(DNSクラウドセキュリティシステムとの最後の同期からの新しい変更)を維持し得る。前の同期時からの変更のみがDNSクラウドセキュリティシステムに送信される。これにより、新しいセキュリティの脅威への対応が改善され、スケーラブルなデータパイプラインが構築される。これは、DNSクラウドセキュリティシステム101の一元化されたリストを改善するために様々な顧客間で活用され、または、様々なネットワーク100の脅威パターンを識別するために使用される分析モジュールにおいて活用され得る。
【0048】
検知された脅威またはクリアランスを特定のエッジネットワークデバイス142aに関するセキュリティポリシーを伝播するために、最初にステップ512で、エッジネットワークデバイス142aは、ドメインに関してエッジネットワークデバイス142a上のローカルDNSブラックリスト/ホワイトリスト103aにクエリすることができる。ステップ514において、エッジネットワークデバイス142aは、ドメインがローカルDNSブラックリスト/ホワイトリスト103aにないという第1の応答に応じて、ドメインに関するクエリを、DNSクラウドセキュリティシステム101の高度なDNSセキュリティ414にプッシュし得る。ステップ516において、エッジネットワークデバイス142aは、ドメインが高度なDNSセキュリティ414でクリアされているという第2の応答に応じて、エッジネットワークデバイス上でローカルに実装された高度なセキュリティポリシーをクエリし得る。ステップ518において、エッジネットワークデバイス142aは、ローカルに実装された高度なセキュリティポリシーを介して、ドメインに関する脅威を検知し得る。ステップ520において、特定のエッジネットワークデバイス142aは、エッジネットワークデバイス142aによって検知された脅威またはクリアランスに関連付けられたシグネチャ105を含み得るアップストリームメッセージ107aを、ソフトウェア定義のワイドエリアネットワーク400のネットワークコントローラアプライアンス132に送信し得る。任意選択的に、エッジネットワークデバイス142aは、DNSクラウドセキュリティシステム101にそのサーバを更新するように直接通知し得る。
【0049】
図6は、ネットワークデバイス600(例えば、スイッチ、ルータ、ネットワークアプライアンスなど)の例を示している。ネットワークデバイス600は、マスター中央処理ユニット(CPU)602、インターフェース604、およびバス606(例えば、PCIバス)を含み得る。適切なソフトウェアまたはファームウェアの制御下で動作する場合、CPU602は、パケット管理、エラー検知、および/またはルーティング関数の実行を担当し得る。CPU602は、好ましくは、オペレーティングシステムおよび任意の適切なアプリケーションソフトウェアを含むソフトウェアの制御下でこれらすべての関数を達成する。CPU602は、マイクロプロセッサのMotorolaファミリーまたはマイクロプロセッサのMIPSファミリーからのプロセッサなどの1つ以上のプロセッサ608を含んでもよい。代替的な実施形態において、プロセッサ608は、ネットワークデバイス600の動作を制御するために特別に設計されたハードウェアであり得る。一実施形態では、メモリ610(不揮発性RAMおよび/またはROMなど)もまた、CPU602の一部を形成し得る。ただし、メモリをシステムに結合することができる多くの異なる方式がある。
【0050】
インターフェース604は、インターフェースカード(ラインカードと呼ばれることもある)として提供され得る。インターフェース604はネットワーク上のデータパケットの送受信を制御し得、ネットワークデバイス600で使用される他の周辺機器をサポートし得ることもある。提供され得るインターフェースの中には、イーサネットインターフェース、フレームリレーインターフェース、ケーブルインターフェース、DSLインターフェース、トークンリングインターフェースなどがある。さらに、高速トークンリングインターフェース、ワイヤレスインターフェース、イーサネットインターフェース、ギガビットイーサネットインターフェース、非同期転送モード(ATM)インターフェース、高速シリアルインターフェース(HSSI)、パケットオーバーSONET(POS)インターフェース、光ファイバ分散データインタフェース(FDDI)など、様々な非常に高速なインターフェースが提供されてもよい。インターフェース604は、適切な媒体との通信に適したポートを含んでもよい。インターフェース604はまた、場合によっては独立したプロセッサを、場合によっては揮発性RAM含んでもよい。独立したプロセッサは、パケット交換、メディア制御、管理などの通信集約型タスクを制御してもよい。通信集約型タスクのために別個のプロセッサを提供することにより、インターフェース604は、CPU602がルーティング計算、ネットワーク診断、セキュリティ関数などを効率的に実行することを可能にしてもよい。
【0051】
図6に示されるシステムは、一実施形態のネットワークデバイスの例であるが、本技術が実装され得る唯一のネットワークデバイスアーキテクチャであることを意味するものではない。例えば、通信ならびにルーティング計算および他のネットワーク関数を処理し得る単一のプロセッサを有するアーキテクチャもまた、使用され得る。さらに、他のタイプのインターフェースおよび媒体もまた、ネットワークデバイス600とともに使用され得る。
【0052】
ネットワークデバイスの構成に関わらず、本明細書で説明するローミング、ルート最適化、およびルーティング関数のための汎用ネットワーク動作およびメカニズムのためのプログラム命令を格納するように構成された1つ以上のメモリまたはメモリモジュール(メモリ610を含む)を使用してもよい。プログラム命令は、オペレーティングシステムおよび/または1つ以上のアプリケーションの動作を制御してもよい。1つのメモリまたは複数のメモリはまた、モビリティバインディング、登録、および関連付けテーブルなどのテーブルを格納するように構成されてもよい。
【0053】
図7Aおよび図7Bは、様々な実施形態によるシステムを示している。様々な実施形態を実施するとき、より適切なシステムが当業者には明らかであろう。当業者はまた、他のシステムが可能であることを容易に理解するであろう。
【0054】
図7Aは、システムの構成要素がバス705を使用して互いに電気的に通信しているバスコンピューティングシステム700の例を示している。コンピューティングシステム700は、読み取り専用メモリ(ROM)720およびランダムアクセスメモリ(RAM)725などのシステムメモリ715を含む様々なシステム構成要素をプロセッサ710に結合してもよい処理ユニット(CPUまたはプロセッサ)710およびシステムバス705を含み得る。コンピューティングシステム700は、プロセッサ710に直接接続されているか、近接しているか、またはプロセッサ710の一部として統合された高速メモリのキャッシュ712を含み得る。コンピューティングシステム700は、プロセッサ710による高速アクセスのために、メモリ715、ROM720、RAM725および/またはストレージデバイス730からキャッシュ712にデータをコピーし得る。このようにして、キャッシュ712は、データを待機している間のプロセッサの遅延を回避するという性能向上を提供し得る。これらおよび他のモジュールは、プロセッサ710を制御して、様々なアクションを実行し得る。他のシステムメモリ715も同様に利用可能であってもよい。メモリ715は、異なる性能特性を備えた複数の異なるタイプのメモリを含み得る。プロセッサ710は、任意の汎用プロセッサ、プロセッサ710を制御するように構成されたストレージデバイス730に格納されたモジュール1 732、モジュール2 734、およびモジュール3 736のようなハードウェアモジュールまたはソフトウェアモジュール、ならびに、ソフトウェア命令が実際のプロセッサ設計に組み込まれている専用プロセッサを含み得る。プロセッサ710は、本質的に、複数のコアまたはプロセッサ、バス、メモリコントローラ、キャッシュなどを含む完全に自己充足型のコンピューティングシステムであってもよい。マルチコアプロセッサは、対称または非対称であってもよい。
【0055】
コンピューティングデバイス700とのユーザ対話を可能にするために、入力デバイス745は、音声用マイク、ジェスチャまたはグラフィック入力用のタッチスクリーン、キーボード、マウス、モーション入力、音声などの任意の数の入力メカニズムを表すことができる。出力デバイス735はまた、当業者に知られている出力メカニズムのうちの1つ以上であり得る。場合によっては、マルチモーダルシステムは、ユーザがコンピューティングデバイス700と通信するために複数のタイプの入力を提供することを可能にし得る。通信インターフェース740は、一般に、ユーザ入力およびシステム出力を統御し、かつ管理し得る。特定のハードウェア構成での動作に制限がなくてもよいため、ここでの基本機能は、開発時に改善されたハードウェアまたはファームウェア構成に簡単に置き換えてもよい。
【0056】
ストレージデバイス730は、不揮発性メモリであり得、磁気カセット、フラッシュメモリカード、ソリッドステートメモリデバイス、デジタル多用途ディスク、カートリッジ、ランダムアクセスメモリ、読み取り専用メモリ、およびそれらのハイブリッドなど、コンピュータによってアクセス可能であるデータを格納し得るハードディスクまたは他のタイプのコンピュータ可読媒体であり得る。
【0057】
ストレージデバイス730は、プロセッサ710を制御するためのソフトウェアモジュール732、734、736を含み得る。他のハードウェアまたはソフトウェアモジュールが企図される。ストレージデバイス730は、システムバス705に接続され得る。いくつかの実施形態において、特定の関数を実行するハードウェアモジュールは、その関数を実行するために、プロセッサ710、バス705、出力デバイス735などの必要なハードウェア構成要素に関連して、コンピュータ可読媒体に格納されたソフトウェア構成要素を含み得る。
【0058】
図7Bは、一実施形態によって使用され得るチップセットコンピューティングシステム750の例示的なアーキテクチャを示す。コンピューティングシステム750は、識別された計算を実行するように構成されたソフトウェア、ファームウェア、およびハードウェアを実行することが可能な任意の数の物理的に、かつ/または論理的に異なるリソースを表すプロセッサ755を含み得る。プロセッサ755は、プロセッサ755への入力、およびプロセッサ755からの出力を制御し得るチップセット760と通信し得る。この例では、チップセット760は、ディスプレイなどの出力デバイス765に情報を出力し得、磁気媒体、固体媒体、および他の適切な記憶媒体を含み得るストレージデバイス770に情報を読み書きし得る。チップセット760はまた、RAM775からデータを読み取り、RAM775にデータを書き込むことができる。チップセット760とインターフェースするために、様々なユーザインターフェース構成要素785とインターフェースするためのブリッジ780を提供し得る。ユーザインターフェース構成要素785は、キーボード、マイクロフォン、タッチ検知および処理回路、マウスなどのポインティングデバイスなどを含み得る。コンピューティングシステム750への入力は、機械生成および/または人間生成の様々なソースのいずれかに由来し得る。
【0059】
チップセット760はまた、異なる物理インターフェースを有し得る1つ以上の通信インターフェース790とインターフェースし得る。通信インターフェース790は、有線および無線LAN、ブロードバンド無線ネットワーク、ならびにパーソナルエリアネットワークのためのインターフェースを含み得る。本明細書に開示される技術を生成し、表示し、かつ使用するための方法のいくつかのアプリケーションは、物理インターフェースを介して順序付けられたデータセットを受信することを含み得る、またはストレージデバイス770もしくはRAM775内に格納されたデータを分析するプロセッサ755によってマシン自体によって生成され得る。さらに、コンピューティングシステム750は、ユーザインターフェース構成要素785を介してユーザから入力を受信し、プロセッサ755を使用してこれらの入力を解釈することによってブラウジング関数などの適切な関数を実行し得る。
【0060】
コンピューティングシステム700および750は、それぞれ2つ以上のプロセッサ710および755を有することができ、またはより大きな処理能力を提供するために一緒にネットワーク化されたコンピューティングデバイスのグループまたはクラスタの一部であり得ることが理解されよう。
【0061】
要約すると、実施形態のシステムおよび方法は、ソフトウェア定義のワイドエリアネットワーク(SD-WAN)の下で動作するエンタープライズネットワークのための相乗的なドメインネームシステムDNSセキュリティ更新を提供する。システムは、許可および/または禁止の統合脅威防御(UTD)結果を収集することと、複数のSD-WANエッジネットワークデバイスにわたって脅威またはクリアランスが検知されたときにローカルセキュリティブラックリスト/ホワイトリストへの更新をトリガするルールベースのモデルを展開することであって、更新がシグネチャを含む、展開することと、脅威またはクリアランスをまだ認識していない他のデバイスに更新をプッシュすることと、を行うように構成されてもよい。
【0062】
説明を明確にするために、場合によっては、様々な実施形態は、ソフトウェアで具体化される方法におけるデバイス、デバイス構成要素、ステップもしくはルーチン、またはハードウェアとソフトウェアの組み合わせを含む機能ブロックを含む個々の機能ブロックを含むものとして提示され得る。
【0063】
いくつかの実施形態では、コンピュータ可読ストレージデバイス、媒体、およびメモリは、ビットストリームなどを含むケーブルまたは無線信号を含むことができる。しかしながら、言及される場合、非一時的コンピュータ可読記憶媒体は、エネルギー、搬送波信号、電磁波、および信号自体などの媒体を明示的に除外する。
【0064】
上記の例による方法は、コンピュータ可読媒体に格納されているか、他の場合にはそれから利用可能であるコンピュータ実行可能命令を使用して実装することができる。そのような命令は、例えば、特定の機能または機能のグループを実行するために、汎用コンピュータ、専用コンピュータ、または専用処理デバイスを引き起こすか、あるいは構成する命令およびデータを含むことができる。使用されるコンピュータリソースの部分は、ネットワーク経由でアクセス可能であり得る。コンピュータの実行可能命令は、例えば、バイナリ、アセンブリ言語、ファームウェア、またはソースコードなどの中間フォーマット命令であり得る。命令、使用される情報、および/または説明された例による方法中に作成された情報を格納するために使用され得るコンピュータ可読媒体の例には、磁気ディスクまたは光ディスク、フラッシュメモリ、不揮発性メモリを備えたUSBデバイス、ネットワークストレージデバイスなどが含まれる。
【0065】
これらの開示による方法を実装するデバイスは、ハードウェア、ファームウェア、および/またはソフトウェアを含むことができ、様々なフォームファクタのいずれかを取ることができる。このようなフォームファクタのいくつかの例は、サーバ、ラックマウントデバイス、デスクトップコンピュータ、ラップトップコンピュータなどの汎用コンピューティングデバイス、またはタブレットコンピュータ、スマートフォン、携帯情報端末、ウェアラブルデバイスなどの汎用モバイルコンピューティングデバイスを含む。本明細書で説明される機能はまた、周辺機器またはアドインカードで具体化され得る。このような機能は、さらなる例として、単一のデバイスで実行される異なるチップまたは異なるプロセスの間の回路基板上に実装することもできる。
【0066】
命令、そのような命令を伝達するための媒体、それらを実行するためのコンピューティングリソース、およびそのようなコンピューティングリソースをサポートするための他の構造は、これらの開示に記載された機能を提供するための手段である。
【0067】
添付の特許請求の範囲の範疇の態様を説明するために、様々な例および他の情報を使用したが、当業者であれば、多種多様な実装形態を導出するために、これらの例を使用することができるように、かかる例における特定の特徴または構成に基づいて、特許請求の範囲のいかなる制限も示唆されるべきではない。さらに、一部の主題は、構造的特徴および/または方法ステップの例に固有の言語で説明されている場合があるが、添付の特許請求の範囲で定義される主題は、必ずしもこれらの説明された特徴または行為に限定されないことを理解されたい。例えば、かかる機能は、ここで特定されている構成要素以外の構成要素で、異なって配布し、または実行することができる。むしろ、説明された特徴およびステップは、添付の特許請求の範囲の範疇のシステムおよび方法の構成要素の例として開示される。
図1A
図1B
図2
図3
図4A
図4B
図5A
図5B
図6
図7A
図7B