知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特許7514851セキュリティサービスエンジンを用いてセキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-03
(45)【発行日】2024-07-11
(54)【発明の名称】セキュリティサービスエンジンを用いてセキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体
(51)【国際特許分類】
G06F 21/57 20130101AFI20240704BHJP
G06F 21/55 20130101ALN20240704BHJP
【FI】
G06F21/57 370
G06F21/55
【請求項の数】
8
(21)【出願番号】P 2021546368
(86)(22)【出願日】2020-03-10
(65)【公表番号】
(43)【公表日】2022-05-11
(86)【国際出願番号】 US2020021898
(87)【国際公開番号】W WO2020185782
(87)【国際公開日】2020-09-17
【審査請求日】2023-03-06
(31)【優先権主張番号】16/354,121
(32)【優先日】2019-03-14
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】リウ,チョン
(72)【発明者】
【氏名】グオ,ゴー
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2017-152762(JP,A)
【文献】特開2019-012914(JP,A)
【文献】特開2004-258777(JP,A)
【文献】米国特許出願公開第2015/0040231(US,A1)
【文献】特開2002-247033(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 21/55
H04L 9/40
(57)【特許請求の範囲】
【請求項1】
プロセッサにより実行される方法であって、
プロビジョニングされたセキュリティサービスポリシー定義に対応するセキュリティゲートウェイ要素(SGE)のためにセキュリティ構成を確立することと、
前記セキュリティサービスポリシー定義に含まれるポリシーに基づいて、前記SGE上のサービスセキュリティエンジン(SSE)がホストする複数のSGEセキュリティサービスマネージャを構成することと、
前記SSEが、リアルタイムにソフトウェアベースのサービスとして前記複数のSGEセキュリティサービスマネージャの各々を実行して、前記SGE上の前記セキュリティサービスポリシー定義の前記ポリシーを施行することと、
前記複数のSGEセキュリティサービスマネージャのうちの1つ以上が前記SGEの動作に対応するセキュリティ脆弱性を検知する場合、前記SGEの前記セキュリティ構成を修復することとを備え、
前記複数のSGEセキュリティサービスマネージャのうちの1つは、前記SGEを介してトラバースする入力および出力ネットワークトラフィックの分析に基づいて、前記SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークトラフィックセキュリティ分析マネージャを含み、
前記セキュリティ構成を修復することは、前記SGEが取扱うように構成された最大ネットワークトラフィック帯域幅に達した、またはこれを超えた際に、ネットワークトラフィックパケットを自動的に拒否することを含む、方法。
【請求項2】
前記SGEは、セッションボーダーコントローラ(SBC)、ファイアウォール、ウェブサービスゲートウェイ、または仮想プライベートネットワーク(VPN)サーバを含む、請求項1に記載の方法。
【請求項3】
前記複数のSGEセキュリティサービスマネージャのうちの1つは、前記SGEから取得されるハードウェアコンポーネント情報およびソフトウェアコンポーネント情報に基づいて、前記SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEコンポーネントセキュリティマネージャを含む、請求項1あるいは2に記載の方法。
【請求項4】
前記複数のSGEセキュリティサービスマネージャのうちの1つは、前記SGEの管理ポートおよびサービスポートのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークセキュリティ状態マネージャを含む、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記複数のSGEセキュリティサービスマネージャのうちの1つは、前記SGEの現在のセキュリティ構成に基づいて、前記SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEセキュリティ構成マネージャを含む、請求項1~4のいずれか一項に記載の方法。
【請求項6】
前記複数のSGEセキュリティサービスマネージャのうちの1つは、動作中の前記SGEから収集されるデータおよび統計の系統的分析によって、前記SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成された分析セキュリティサービスマネージャを含む、請求項1~5のいずれか一項に記載の方法。
【請求項7】
請求項1~6のいずれか一項に記載の方法をコンピュータに実行させるためのプログラム。
【請求項8】
請求項7に記載のプログラムを格納するメモリと、
前記プログラムを実行するためのプロセッサとを備える、システム。
【発明の詳細な説明】
【技術分野】
【0001】
優先権の主張
本願は、2019年3月14日に出願された米国特許出願連続第16/354,121号の優先権利益を主張し、その開示の全体を本明細書に引用により援用する。
本願は、2019年3月14日に出願された米国特許出願連続第16/354,121号の優先権利益を主張し、その開示の全体を本明細書に引用により援用する。
【0002】
技術分野
本明細書で説明する主題は、セキュリティインテリジェンスをセキュリティゲートウェイ要素(SGE)に実現して、SGEにおいてネットワーク監視および修復サービスを提供することに関する。より特定的に、本明細書で説明する主題は、セキュリティサービスエンジンを用いてセキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための方法、システムおよびコンピュータ可読媒体に関する。
本明細書で説明する主題は、セキュリティインテリジェンスをセキュリティゲートウェイ要素(SGE)に実現して、SGEにおいてネットワーク監視および修復サービスを提供することに関する。より特定的に、本明細書で説明する主題は、セキュリティサービスエンジンを用いてセキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための方法、システムおよびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
セッションボーダーコントローラなどのセキュリティゲートウェイ要素は、通信ネットワークにおいて展開され、かつ、インターネットプロトコル通信トラフィックフローの管理および調整を行うように構成されたネットワーク要素である。セキュリティゲートウェイ要素は通常、セキュリティゲートウェイ要素をトラバースするインターネットプロトコル(IP)通信セッションを制御するために、企業ネットワークなどの通信ネットワークの境界で展開される。セキュリティゲートウェイ要素は、サービス不能攻撃に対して保護し、料金の詐欺およびサービスの窃盗に対して防御し、悪意あるパケットトラフィックに対して保護し、かつ、シグナリングメッセージおよびメディアトラフィックメッセージを暗号化するように構成可能である。これらのセキュリティの特徴を実現するために、セキュリティゲートウェイ要素は従来、安全な構成、サードパーティソフトウェア管理、およびリアルタイムネットワークトラフィック制御に準拠しなければならない。現在、安全な構成は一般に、安全な構成ガイドをシステムアドミニストレータに提供することによって実現される。しかしながら、そのようなアプローチは決して、セキュリティゲートウェイ要素が安全な態様で実際に構成されていると保証するものではない。同様に、サードパーティソフトウェア管理の一般的なアプローチでは、セキュリティゲートウェイ要素に存在する各ソフトウェアコンポーネントを手動で確認し、既存のセキュリティ脆弱性がないと保証する。しかしながら、そのような手動のセキュリティチェックは、非常に時間がかかり、リソース集約的である。さらに、セキュリティゲートウェイ要素のダイナミックトラフィックフロー制御は、プロビジョニングされたセキュリティ構成からのパラメータによって管理可能である一方で、そのようなアプローチでは、リアルタイムに実際のネットワークトラフィックフロー条件に適用可能な不適切なメカニズムが提供される。
セッションボーダーコントローラなどのセキュリティゲートウェイ要素は、通信ネットワークにおいて展開され、かつ、インターネットプロトコル通信トラフィックフローの管理および調整を行うように構成されたネットワーク要素である。セキュリティゲートウェイ要素は通常、セキュリティゲートウェイ要素をトラバースするインターネットプロトコル(IP)通信セッションを制御するために、企業ネットワークなどの通信ネットワークの境界で展開される。セキュリティゲートウェイ要素は、サービス不能攻撃に対して保護し、料金の詐欺およびサービスの窃盗に対して防御し、悪意あるパケットトラフィックに対して保護し、かつ、シグナリングメッセージおよびメディアトラフィックメッセージを暗号化するように構成可能である。これらのセキュリティの特徴を実現するために、セキュリティゲートウェイ要素は従来、安全な構成、サードパーティソフトウェア管理、およびリアルタイムネットワークトラフィック制御に準拠しなければならない。現在、安全な構成は一般に、安全な構成ガイドをシステムアドミニストレータに提供することによって実現される。しかしながら、そのようなアプローチは決して、セキュリティゲートウェイ要素が安全な態様で実際に構成されていると保証するものではない。同様に、サードパーティソフトウェア管理の一般的なアプローチでは、セキュリティゲートウェイ要素に存在する各ソフトウェアコンポーネントを手動で確認し、既存のセキュリティ脆弱性がないと保証する。しかしながら、そのような手動のセキュリティチェックは、非常に時間がかかり、リソース集約的である。さらに、セキュリティゲートウェイ要素のダイナミックトラフィックフロー制御は、プロビジョニングされたセキュリティ構成からのパラメータによって管理可能である一方で、そのようなアプローチでは、リアルタイムに実際のネットワークトラフィックフロー条件に適用可能な不適切なメカニズムが提供される。
【0004】
したがって、セキュリティサービスエンジンを用いて、セキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体が必要である。
【発明の概要】
【発明が解決しようとする課題】
【0005】
概要
本明細書で説明する主題は、セキュリティサービスエンジン(SSE)を用いて、セキュリティゲートウェイ要素(SGE)上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体を含む。ある方法は、プロビジョニングされたセキュリティサービスポリシー定義に対応するSGEのためにセキュリティ構成を確立することと、セキュリティサービスポリシー定義に含まれるポリシーに基づいて、SGE上のSSEがホストする複数のSGEセキュリティサービスマネージャを構成することとを備える。方法はさらに、SSEが、リアルタイムにソフトウェアベースのサービスとして複数のSGEセキュリティサービスマネージャの各々を実行して、SGE上のセキュリティサービスポリシー定義のポリシーを施行することと、複数のSGEセキュリティサービスマネージャのうちの1つ以上がSGEの動作に対応するセキュリティ脆弱性を検知する場合、SGEのセキュリティ構成を修復することとを備える。
本明細書で説明する主題は、セキュリティサービスエンジン(SSE)を用いて、セキュリティゲートウェイ要素(SGE)上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体を含む。ある方法は、プロビジョニングされたセキュリティサービスポリシー定義に対応するSGEのためにセキュリティ構成を確立することと、セキュリティサービスポリシー定義に含まれるポリシーに基づいて、SGE上のSSEがホストする複数のSGEセキュリティサービスマネージャを構成することとを備える。方法はさらに、SSEが、リアルタイムにソフトウェアベースのサービスとして複数のSGEセキュリティサービスマネージャの各々を実行して、SGE上のセキュリティサービスポリシー定義のポリシーを施行することと、複数のSGEセキュリティサービスマネージャのうちの1つ以上がSGEの動作に対応するセキュリティ脆弱性を検知する場合、SGEのセキュリティ構成を修復することとを備える。
【0006】
方法の一例では、SGEは、セッションボーダーコントローラ(SBC)、ファイアホール、ウェブサービスゲートウェイ、または仮想プライベートネットワーク(VPN)サーバを含む。
【0007】
方法の一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEから取得されたハードウェアコンポーネント情報およびソフトウェアコンポーネント情報に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEコンポーネントセキュリティマネージャを含む。
【0008】
方法の一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEの管理ポートおよびサービスポートのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークセキュリティ状態マネージャを含む。
【0009】
方法の一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEの現在のセキュリティ構成に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEセキュリティ構成マネージャを含む。
【0010】
方法の一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEを介してトラバースする入力および出力ネットワークトラフィックの分析に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークトラフィックセキュリティ分析マネージャを含む。
【0011】
方法の一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、動作中のSGEから収集されるデータおよび統計の系統的分析によって、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成された分析セキュリティサービスマネージャを含む。
【0012】
セキュリティサービスエンジンを用いて、セキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するためのシステムは、少なくとも1つのプロセッサおよびメモリを含むセッションゲートウェイ要素を備える。システムはさらに、メモリに格納されたセキュリティサービスエンジンを備え、セキュリティサービスエンジンは、少なくとも1つのプロセッサによって実行されると、プロビジョニングされたセキュリティサービスポリシー定義に対応するSGEのためにセキュリティ構成を確立し、セキュリティサービスポリシー定義に含まれるポリシーに基づいてSSEがホストする複数のSGEセキュリティサービスマネージャを構成し、リアルタイムにソフトウェアベースのサービスとして複数のSGEセキュリティサービスマネージャの各々を実行して、SGE上のセキュリティサービスポリシー定義のポリシーを施行し、かつ、複数のSGEセキュリティサービスマネージャのうちの1つ以上がSGEの動作に対応するセキュリティ脆弱性を検知する場合、SGE上のセキュリティ構成を修復するように構成される。
【0013】
システムの一例では、SGEは、セッションボーダーコントローラ、ファイアウォール、ウェブサービスゲートウェイ、または仮想プライベートネットワークを含む。
【0014】
システムの一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEから取得されるハードウェアコンポーネント情報およびソフトウェアコンポーネント情報に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEコンポーネントセキュリティマネージャを含む。
【0015】
システムの一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEの管理ポートおよびサービスポートのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークセキュリティ状態マネージャを含む。
【0016】
システムの一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEの現在のセキュリティ構成に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたSGEセキュリティ構成マネージャを含む。
【0017】
システムの一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、SGEを介してトラバースする入力および出力ネットワークトラフィックの分析に基づいて、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成されたネットワークトラフィックセキュリティ分析マネージャを含む。
【0018】
システムの一例では、複数のSGEセキュリティサービスマネージャのうちの1つは、動作中のSGEから収集されるデータおよび統計の系統的分析によって、SGEのセキュリティ脆弱性を評価するセキュリティサービスを容易にするように構成された分析セキュリティサービスマネージャを含む。
【0019】
本明細書で説明する主題は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの任意の組合せで実現可能である。したがって、本明細書で用いる「機能(function)」、「ノード(node)」、または「エンジン(engine)」という用語は、説明される特徴を実現するための、ソフトウェアおよび/またはファームウェアコンポーネントも含み得る。ある例示的な実現例では、本明細書で説明する主題は、コンピュータのプロセッサによって実行されると、コンピュータを制御してステップを行わせるコンピュータ実行可能命令を格納した、非一時的なコンピュータ可読媒体を用いて実現可能である。本明細書で説明する主題を実現するのに好適な例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラム可能論理デバイス、および特定用途向け集積回路といった、非一時的コンピュータ可読媒体を含む。これに加えて、本明細書で説明する主題を実現するコンピュータ可読媒体は、1つのデバイスもしくはコンピューティングプラットフォームに設けられてもよい、または、複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
【図面の簡単な説明】
【0020】
【図1】本明細書で説明する主題のある実施形態に係る、セキュリティサービスエンジンを用いて、セキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための例示的なネットワークを示すブロック図である。
【図2】本明細書で説明する主題のある実施形態に係る、セキュリティセッションエンジンがプロビジョニングされた例示的なセキュリティゲートウェイ要素を示すブロック図である。
【図3】本明細書で説明する主題のある実施形態に係る、中央セキュリティサーバと通信する例示的なセキュリティゲートウェイ要素を示すブロック図である。
【図4】本明細書で説明する主題のある実施形態に係る、例示的なネットワーク状態セキュリティサービスプロセスを示すフローチャートである。
【図5】本明細書で説明する主題のある実施形態に係る、例示的な安全な構成サービスプロセスを示すフローチャートである。
【図6】本明細書で説明する主題のある実施形態に係る、例示的なリアルタイムセキュリティ分析サービスプロセスを示すフローチャートである。
【図7】本明細書で説明する主題のある実施形態に係る、例示的な分析セキュリティサービスプロセスを示すフローチャートである。
【図8】本明細書で説明する主題のある実施形態に係る、セキュリティサービスエンジンを用いて、セキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0021】
詳細な説明
セキュリティサービスエンジン(SSE)を用いて、セキュリティゲートウェイ要素(SGE)上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体を開示する。いくつかの実施形態では、開示される主題は、セキュリティゲートウェイ要素のセキュリティ構成を評価し、かつ、セキュリティ構成に対応するセキュリティスコアを割当てるように構成されたセキュリティサービスを提供するセキュリティインテリジェンスエンジンがプロビジョニングされた、セッションボーダーコントローラなどのセキュリティゲートウェイ要素を含む。また、セキュリティインテリジェンスエンジンは、弱いセキュリティ構成が検知された際に報告または警告を発行するように構成可能である。セキュリティインテリジェンスエンジンはさらに、セキュリティゲートウェイ要素上にプロビジョニングされる任意のサードパーティソフトウェアに対応するバージョン情報を収集するように構成される。セキュリティゲートウェイ要素は、ダイバージョンデータを取得した後で、現在プロビジョニングされているソフトウェアアプリケーション(複数可)と関連するセキュリティ脆弱性があるかどうかを確認可能である。
セキュリティサービスエンジン(SSE)を用いて、セキュリティゲートウェイ要素(SGE)上のセキュリティ脆弱性を評価するための方法、システム、およびコンピュータ可読媒体を開示する。いくつかの実施形態では、開示される主題は、セキュリティゲートウェイ要素のセキュリティ構成を評価し、かつ、セキュリティ構成に対応するセキュリティスコアを割当てるように構成されたセキュリティサービスを提供するセキュリティインテリジェンスエンジンがプロビジョニングされた、セッションボーダーコントローラなどのセキュリティゲートウェイ要素を含む。また、セキュリティインテリジェンスエンジンは、弱いセキュリティ構成が検知された際に報告または警告を発行するように構成可能である。セキュリティインテリジェンスエンジンはさらに、セキュリティゲートウェイ要素上にプロビジョニングされる任意のサードパーティソフトウェアに対応するバージョン情報を収集するように構成される。セキュリティゲートウェイ要素は、ダイバージョンデータを取得した後で、現在プロビジョニングされているソフトウェアアプリケーション(複数可)と関連するセキュリティ脆弱性があるかどうかを確認可能である。
【0022】
いくつかの実施形態では、サードパーティソフトウェアデータベースは、サードパーティサービスサーバ上で構築および維持が可能である。とりわけ、セキュリティサービスエンジンを、そのプロビジョンソフトウェアアプリケーションに関して新しいセキュリティの懸念または問題があるかどうかを確認するように構成可能である。たとえば、セキュリティサービスエンジンを、そのプロビジョンソフトウェアアプリケーションのバージョン情報を含むクエリメッセージをオラクルサーバに定期的に送るように構成可能である。いくつかの実施形態では、クエリメッセージを、セキュリティゲートウェイ要素上にプロビジョニングされた新しいソフトウェアアプリケーションに応じて送信可能である。
【0023】
また、セキュリティサービスエンジンは、信頼できるドメインまたは信頼できないドメインから受信されるネットワークトラフィックパケットを検査することによって、ダイナミックなトラフィックフロー制御を行うように構成可能である。特に、セキュリティサービスエンジンは、セキュリティゲートウェイ要素をトラバースしているネットワークトラフィックが疑わしいまたは悪意あるものかどうかを判断可能である。プロビジョンセキュリティ構成に対応するセキュリティポリシーに合わせて、セキュリティサービスエンジンは、悪意あるネットワークトラフィックのブロッキングが可能なダイナミック制御変更を行うことができる。また、セキュリティサービスエンジンは、検知された疑わしいトラフィックの存在を報告すること、およびセキュリティゲートウェイ要素におけるネットワークトラフィック制御の改善が可能なセキュリティ構成を勧告することが可能である。これに加えて、セキュリティサービスエンジンは、そのトラフィック制御能力を改善するために、新しい詐欺および脅威検知技術と直接通信するように構成可能である。
【0024】
図1は、ネットワークノード間のネットワークトラフィックフロー(たとえば、パケットおよび/またはフレームトラフィック)の通信を容易にするように構成された例示的なネットワーク通信環境100を示すブロック図である。図1に示すように、ネットワーク通信環境100の上部は、信頼できないドメインと特徴付けることが可能な1つ以上の外部ネットワーク104を含む。さらに、ネットワーク通信環境100の下部は、企業ネットワークおよび/または複数のホストされたサービスアプリケーションを含み得る、保護されたネットワーク102を含む信頼できるドメインを含む。本明細書で用いられるように、信頼できるネットワークは、保護されたネットワーク102および/または信頼できるドメインから生じるネットワークトラフィック通信が主として信頼できるおよび/または危険にさらされていないとみなされるように、セキュリティゲートウェイ要素(SGE)106によってサポートおよび監視されるネットワークである。とりわけ、保護されたネットワーク102および信頼できるドメインは、論理的に、SGE106によって実現される安全な境界110によって、外部ネットワーク104から分離される。
【0025】
図1に示すように、SGE106は、安全な境界110と一致してもよいネットワークエッジに位置し、保護されたネットワーク102にセキュリティサポートを提供する。いくつかの実施形態では、SGE106は、物理的セキュリティゲートウェイデバイス(たとえば、安全なインターネットゲートウェイ)、ファイアウォールデバイス、仮想プライベートネットワーク(VPN)サーバ、またはセッションボーダーコントローラ(SBC)などを含み得る。同様に、SGE106は、ネットワークトラフィックセキュリティゲートウェイ機能、ファイアウォール機能、安全なインターネットゲートウェイ機能、SBC機能、またはVPNサーバ機能を行うように構成された、ソフトウェアベースの機能として具体化されてもよい。
【0026】
図1に示すように、ネットワーク通信環境100は、SGE106に通信可能に接続されたシステム構成マネージャ(SCM)112を含む。いくつかの実施形態では、システム構成マネージャ112は、SGE106のセキュリティサービス構成の評価および/または管理を行うユーザインターフェース手段として、システムアドミニストレータによって使用可能である。システム構成マネージャ112は、システムアドミニストレータからセキュリティポリシーを受信し、続いて、SGE106への提供およびこれによる使用が可能な、対応するセキュリティサービスポリシー定義を生成するように適合されてもよい。たとえば、企業システム(たとえば、保護されたネットワーク102)のためのセキュリティ対策およびパラメータを定義するセキュリティポリシーは、最初にシステム構成マネージャ112に提供可能である。システム構成マネージャ112は、セキュリティサービスポリシー定義を生成するように適合されてもよく、セキュリティサービスポリシー定義は、入力としてSGE106に提供される。いくつかの実施形態では、セキュリティサービスポリシー定義は、SGE106上でセキュリティサービスエンジン(SSE)114を構成するために使用可能なさまざまなシステム構成パラメータまたは項目を含んでもよい。いくつかの実施形態では、SSE114は、セキュリティインテリジェンスをSGE106にサービスとして追加するソフトウェアベースのコンポーネントを含む。複数のホストされたセキュリティサービスマネージャを構成および使用することによって(以下で詳細に説明、および図2で図示するように)、SSE114は、セキュリティポリシーおよび/または規制を施行し、セキュリティ脆弱性を検知し、報告または警告を発行し、ガイダンスを提供し、かつ、修復アクションを開始するように構成可能である。とりわけ、SSE114および/またはそのホストされたセキュリティサービスマネージャは、SGE106が、動作中にリアルタイムに起こり得る悪意ある攻撃をダイナミックに検知し、かつこれらを予防できるように、機能し得る。以下で説明するように、セキュリティサービスエンジンは、メモリに格納可能であり、SGE106上の1つ以上のハードウェアプロセッサによって実行可能である。
【0027】
図2は、本明細書で説明する主題のある実施形態に係る、例示的なセキュリティゲートウェイ要素を示すブロック図である。図2に示すように、SGE106は、中央処理装置(たとえば、1つのコアまたは複数の処理コア)、マイクロプロセッサ、マイクロコントローラ、ネットワークプロセッサ、または特定用途向け集積回路(ASIC)などの、1つ以上のプロセッサ202を含んでもよい。また、SGE106は、メモリ204を含んでもよい。メモリ204は、ランダムアクセスメモリ(RAM)、フラッシュメモリ、および磁気ディスク記憶駆動装置などを含んでもよい。いくつかの実施形態では、メモリ204は、(たとえば、図1に示すSSE114に類似の)セキュリティサービスエンジン(SSE)206を格納するように構成されてもよい。とりわけ、メモリ204に格納されたSSE206は、1つ以上のプロセッサ202によって実行されると、SGE106のためにさまざまな監視、管理、および/または修復機能を行い得る。
【0028】
いくつかの実施形態では、SSE206は、サービスセキュリティポリシー定義を入力として受信するように構成されたセキュリティサービスポリシーマネージャ208を含む。いくつかの実施形態では、セキュリティサービスポリシーマネージャ208は、(以下で説明するように)セキュリティサービスポリシー定義を複数のSGEセキュリティサービスマネージャ210~218に分散および適用するように構成される。セキュリティサービスエンジン206はさらに、SSE206および/またはSGEセキュリティサービスマネージャがSGE106に存在するセキュリティ脆弱性を検知すると警告および/または報告を発行するように構成されたセキュリティ報告・修復マネージャ220を含む。
【0029】
本明細書で開示するように、(たとえば、セキュリティ構成マネージャから)プロビジョニングのために受信されるセキュリティサービスポリシー定義は、SGE106上にプロビジョニングされたセキュリティサービスの適切なビヘイビアを定義するように用いることができる。たとえば、セキュリティサービスポリシー定義は、セキュリティの問題が報告される態様、およびセキュリティの問題がSSE206に含まれるセキュリティ報告・修復マネージャ220によって修復される態様を確立可能である。さらに、セキュリティサービスポリシー定義は、セキュリティサービスエンジンによって行われるセキュリティ評価に基づいて、マネージャ220によって実行可能な1つ以上の修復アクションを定義可能である。たとえば、SSE206が、SGEコンポーネントセキュリティ確認マネージャ210を用いた後で、ソフトウェアサービスアプリケーションのバージョンが期限が切れていると識別される、またはSGE106に対して起こり得るセキュリティ脆弱性を呈示すると判断する場合、セキュリティサービスポリシー定義は、自動ソフトウェアアップグレード手順がセキュリティサービスエンジンを用いてセキュリティ報告・修復マネージャ220によって行われるべきであると示すソフトウェア更新ポリシーを含み得る。
【0030】
同様に、セキュリティサービスポリシー定義は、セキュリティゲートウェイ要素内のポートについての包括的定義および特定のポートポリシー定義を提供するネットワークポートセキュリティポリシーを含み得る。いくつかの実施形態では、特定のポートセキュリティサービスポリシー定義は、包括的なセキュリティサービスポリシー定義をオーバーライドする。とりわけ、SGEセキュリティサービスマネージャによって実行されるセキュリティ評価でシステム脆弱性が検知される場合、これらのポート定義は、報告アクションおよび修復アクションを定義する。たとえば、SSE206および/またはセキュリティ報告・修復マネージャ220は、検知されたセキュリティ脆弱性を報告し、警告をシステムアドミニストレータに発行することが可能である。そのような警告は、システム脆弱性が高リスクか、中程度のリスクか、または低リスクかを、セキュリティサービスエンジン内の特定のSGEセキュリティサービスマネージャによって確立される、事前に定義された閾値に基づいて特定可能である。SSE206および/またはセキュリティ報告・修復マネージャ220はまた、セキュリティ脆弱性を検知すると、特定のポートに対応する信頼レベルの格下げ、検知されたポートと関連するサービスの中止、および/またはフラグ付きポートの閉鎖を含むがこれらに限定されない修復アクションを開始するように構成可能である。いくつかの実施形態では、SGEセキュリティサービスマネージャの各々は、セキュリティ報告・修復マネージャ220に頼るのではなく、それ自体の別々のセキュリティ報告・修復マネージャコンポーネントを含む。
【0031】
さらに、セキュリティサービスポリシー定義は、SGEセキュリティ構成マネージャ214によって使用可能な構成セキュリティポリシーを含み得る。たとえば、セキュリティサービスエンジンおよび/またはSGEセキュリティ構成マネージャ214がSGE106に対応する弱いセキュリティ構成を検知する場合、SGEセキュリティ構成マネージャ214は、検知された脆弱な構成の報告、およびシステムアドミニストレータへの報告もしくは警告の発行(または、セキュリティ報告・修復マネージャ220にそれらを行うように指示)が可能である。発行された報告または警告は、構成の脆弱性が高リスクか、中程度のリスクか、または低リスクかを特定可能である。また、セキュリティサービスエンジンおよび/またはSGEセキュリティ構成マネージャ214は、疑わしい構成を検知すると、セキュリティ保護されていない構成を拒否すること、および/または、安全であると認識されている以前のシステム構成へ戻ることを含む修復アクションを開始するように構成され得る。
【0032】
また、セキュリティサービスポリシー定義は、ネットワークトラフィックセキュリティ分析マネージャ216が使用可能なリアルタイムトラフィックセキュリティポリシーを含み得る。たとえば、セキュリティサービスエンジンおよび/またはネットワークトラフィックセキュリティ分析マネージャ216が、SGE106をトラバースしているリアルタイムトラフィックがセキュリティリスクを提案していると検知および判断する場合、ネットワークトラフィックセキュリティ分析マネージャ216は、システムアドミニストレータに対して警告を発行する(または、マネージャ220にそうするように指示する)ことが可能である。そのような警告によって、リアルタイムトラフィックセキュリティリスクが高リスクか、中程度のリスクか、または低リスクかを特定可能である。検知されたリスクの程度に基づいて、セキュリティサービスエンジンは、マネージャ220を用いて適切な修復アクションを開始するように構成可能である。そのような修復アクションは、セキュリティゲートウェイ要素でのネットワークトラフィックの拒否、信頼レベルの格下げ、検知されたリアルタイムトラフィックセキュリティリスクと関連するサービスの中止、および/または、検知されたリアルタイムトラフィックをサービスするポートの閉鎖を含み得るが、これらに限定されない。
【0033】
以下の説明では、SGEセキュリティサービスマネージャ210~218の各々についての実施形態の機能および動作を、さらに詳細に説明する。
【0034】
図3は、本明細書で説明する主題のある実施形態に係る、中央セキュリティサーバと通信する例示的なセキュリティゲートウェイ要素を示すブロック図である。特に、図3は、通信ネットワーク304(たとえばインターネット)を介して中央セキュリティサーバ308と通信可能に接続されたSGE106を示す。いくつかの実施形態では、SGE106は、セキュリティサービスエンジン306と、SGEシステムサービスマネージャ310とを含む。SGE106はさらに、中央処理装置(CPU)およびネットワークインターフェースカード(NIC)といった、SGE106の機能を容易にする任意のハードウェアベースのユニットまたはデバイスを含み得るハードウェアコンポーネント312~314を含む。同様に、SGE106はまた、オペレーティングシステム、サービスアプリケーション、またはコーデックといった、SGE106の機能を容易にするソフトウェアベースのモジュールを含み得るソフトウェアコンポーネント316~318を含む。
【0035】
いくつかの実施形態では、セキュリティサービスエンジン306(および/またはSGEコンポーネントセキュリティマネージャ320)は、SGE106にあるハードウェアコンポーネントおよびソフトウェアコンポーネントに対応するセキュリティ脆弱性を評価するように構成される。とりわけ、セキュリティサービスエンジン306(および/またはSGEコンポーネントセキュリティマネージャ320)は、システムサービスマネージャ310に対してクエリを実行して、ハードウェアコンポーネント312~314とソフトウェアコンポーネント316~318とにそれぞれ対応するハードウェアコンポーネント情報とソフトウェアコンポーネント情報とを取得するように構成される。たとえば、セキュリティサービスエンジン306(および/またはSGEコンポーネントセキュリティマネージャ320)は、関連するハードウェア情報(たとえば、モデル識別番号および/またはバージョン番号)とソフトウェア情報(たとえば、ソフトウェア、ファームウェア、および/またはドライババージョン番号)とをリクエストしているシステムサービスマネージャ310に、クエリメッセージを送信してもよい。セキュリティサービスエンジン306(および/またはSGEコンポーネントセキュリティマネージャ320)は、システムサービスマネージャ310からこの情報を取得した後で、中央セキュリティサーバ308との接続を確立する。いくつかの実施形態では、中央セキュリティサーバ308は、既知のセキュリティの問題および/または共通脆弱性識別子(CVE)データにマッピングされるハードウェア識別情報とソフトウェア識別情報とを含む1つ以上のデータベースを維持および格納するように構成されたセッションボーダーコントローラセキュリティサーバを含み得る。中央セキュリティサーバ308に提供されるハードウェア情報およびソフトウェア情報がそのローカルデータベースに維持されるデータベースエントリおよび対応するセキュリティ脆弱性情報に一致する場合、中央セキュリティサーバ308は、評価されたハードウェアおよび/またはソフトウェア情報に関するセキュリティ脆弱性の問題を特定する報告を、セキュリティサービスエンジン306に発行するように構成される。そして、これに応じて、セキュリティサービスエンジン306および/またはSGEコンポーネントセキュリティマネージャ320は、ハードウェアおよび/またはソフトウェアコンポーネントと関連する、検知されたシステム脆弱性について、システムアドミニストレータに警告し得る。セキュリティサービスポリシー定義に基づいて、セキュリティサービスエンジン306(および/またはSGEコンポーネントセキュリティマネージャ320)は、SGE106上でプロビジョニングされるセキュリティ構成に含まれるセキュリティサービスポリシー定義に合わせて、報告・修復マネージャを用いてポップアップ警告を発行する、または中央セキュリティサーバ308から(またはサードパーティソース/サーバから)更新ソフトウェアパッチを自動的にダウンロードすることが可能である。
【0036】
いくつかの実施形態では、中央セキュリティサーバ308は、さまざまなセキュリティゲートウェイ要素関連情報を含むセキュリティ脆弱性データベース(SVDB)322を含む。たとえば、セキュリティ脆弱性データベース322は、ネットワーク内のSGE106にあるハードウェアおよびソフトウェアコンポーネントに対応する、サポートされたリリースバージョン情報をすべて含み得る。ハードウェアまたはソフトウェアコンポーネントのバージョンごとに、セキュリティ脆弱性データベース322は、サードパーティソフトウェアコンポーネント名情報とバージョン情報とのすべてを含む。さらに、ソフトウェアまたはハードウェアコンポーネントのバージョンごとに、セキュリティ脆弱性データベース322は、勧告されるセキュリティ暗号構成データなどのセキュリティポリシー情報を含む。これに加えて、セキュリティ脆弱性データベース322は、各ハードウェアおよびソフトウェアバージョンにマッピングされる既知のセキュリティ脆弱性情報を含むパッケージを含む。さらに、サードパーティコンポーネントごとに、セキュリティ脆弱性データベース322は、すべての既知のサードパーティCVE情報を含む。
【0037】
図2に戻って、セキュリティサービスエンジン206は、ネットワークセキュリティ状態マネージャ212を用いて、SGE106のポートおよび通信インターフェースにおけるセキュリティレベルの評価ならびに監視を行うように構成される。たとえば、ネットワークセキュリティ状態マネージャ212は、無保護のポートプロトコルおよびパラメータを検知し、かつ、ポートを開くべきかまたは閉じる必べきかを判断するように構成され得る。さらに、ネットワークセキュリティ状態マネージャ212はまた、アプリケーションもしくはサービスが割当てられているか、またはSGE106の正しいポートを使用しているかを判断するように構成可能である。同様に、ネットワークセキュリティ状態マネージャ212は、サービスまたはアプリケーションが正しいポート上で安全な態様で実行されているかどうかを判断可能である。セキュリティサービスエンジン206が上述のセキュリティ脆弱性のいずれかを検知する場合、セキュリティサービスエンジン206は、マネージャ220を実行して、SGE106をセキュリティ保護する修復アクションを開始するように構成される。
【0038】
図4は、本明細書で説明する主題のある実施形態に係る、例示的なネットワーク状態セキュリティサービスプロセスを示すフローチャートである。いくつかの実施形態では、図4に示す方法400は、SSE206のネットワークセキュリティ状態マネージャ212によって実行されるアルゴリズムであり、メモリに格納され、SGE106のハードウェアプロセッサによって実行されると、ブロック402~410のうちの1つ以上を行う。たとえば、図4では、セキュリティサービスエンジン206が、セキュリティサービスポリシー定義から取得されるネットワーク状態セキュリティポリシーの読出しおよびロードを行うように構成される(ブロック402)。その後、セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212は、SGE106に存在する管理ポートおよびサービスポートのすべてを繰り返し探索またはループするように構成され得る。たとえば、セキュリティサービスエンジン206は、ポートを選択し、かつ、選択されたポートが開いているかどうかを判断するように構成される(たとえば、ブロック406)。たとえば、管理インターフェース上のポート番号「80」は、安全でないハイパテキスト転送プロトコル(HTTP)であるため、開かれるべきではない。
【0039】
セキュリティサービスエンジン206はその後、選択されたポートで通信されるサービスまたはアプリケーションが安全であるかどうかを判断してもよい。たとえば、セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212は、選択されたポートでのサービスが正しいかどうかを確認し、サービスが選択されたポートで安全に実行されているかどうかを判断し得る(ブロック408)。たとえば、セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212は、セキュリティゲートウェイ要素上のHTTPS/TLSポートである、ポート「443」での通信に適していない暗号を検知可能である。セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212は、ブロック410におけるセキュリティポリシーの適用に進む。いくつかの実施形態では、セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212は、SGE106によって構成されるセキュリティサービスポリシー定義によって定義される修復アクションを(たとえばマネージャ220を用いて)実行する。いくつかの実施形態では、セキュリティサービスエンジン206および/またはネットワークセキュリティ状態マネージャ212はまた、セキュリティ報告・修復マネージャ220を用いて、検知されたセキュリティ脆弱性を報告し、さらに解決策をアドバイスする警告を発行し、および/または、セキュリティ脆弱性の結果に基づいて、適切な修復アクションを実行するように構成されてもよい。選択されたポートでセキュリティサービスエンジンによって実行される修復アクションは、選択されたポートでのサービスの通信の停止、および/または、必要であれば選択されたポートそのものの閉鎖を含み得るが、これらに限定されない。
【0040】
いくつかの実施形態では、セキュリティサービスエンジン206は、SGEセキュリティ構成マネージャ214を用いて、セキュリティゲートウェイ要素のセキュリティ構成の監視および評価を行うように構成される。いくつかの実施形態では、SGEセキュリティ構成マネージャ214は、SGE106が安全な構成であると保証するように構成される。図5は、本明細書で説明する主題のある実施形態に係る、例示的な安全な構成サービスプロセスを示すフローチャートである。いくつかの実施形態では、図5に示す方法500は、メモリに格納され、かつ、SGE106のハードウェアプロセッサによって実行されるとブロック502~506のうちの1つ以上を行うSSE206のSGEセキュリティ構成マネージャ214によって実行されるアルゴリズムを示す。いくつかの実施形態では、SGEセキュリティ構成マネージャ214は、セキュリティゲートウェイ要素上に構成セキュリティポリシーを最初にロードするように適合される(ブロック502)。ブロック504で、セキュリティ構成マネージャは、SGE106の管理インターフェースとの通信を開始するように適合される。特に、セキュリティ構成マネージャ214は、管理インターフェースに対してクエリを実行して、SSH構成が安全かどうかを判断し、かつ、HTTPS/TLS構成が安全かどうかを判断する。これに加えて、SGEセキュリティ構成マネージャ214は、SGE106のシグナリングインターフェースとの通信を開始して、TLS構成が安全かどうかを判断し、かつ、IPSec/IKE構成が安全かどうかを確かめるように適合される。同様に、SGEセキュリティ構成マネージャ214は、SGE106のメディアインターフェースとの通信を開始可能である。そのような例では、SGEセキュリティ構成マネージャ214は、メディアインターフェースにクエリを送信して、セキュアリアルタイムトランスポートプロトコル(SRTP)構成が安全かどうかを判断可能である。さらに、SGEセキュリティ構成マネージャ214は、システムワイドチェックを開始して、SGE106によって用いられる暗号が安全かどうかを判断可能である。
【0041】
ブロック506で、SGEセキュリティ構成マネージャ214は、報告を発行および/または修復アクションを開始するように構成される。たとえば、SGEセキュリティ構成マネージャ214は、検知された安全でない構成について詳しく述べる報告を発行することと、インターフェースおよび/またはSGE106のための正しいセキュリティ構成に関する勧告を行うこととが可能である。SGEセキュリティ構成マネージャ214および/またはセキュリティ報告・修復マネージャ220によって実行可能な追加の修復アクションは、安全でないセキュリティ構成の拒否、またはSGE106上の安全でないセキュリティ構成のための自動修復の開始を含む。
【0042】
いくつかの実施形態では、セキュリティサービスエンジン206は、ネットワークトラフィックセキュリティ分析マネージャ216を用いて、安全なゲートウェイ実体をトラバースするネットワークトラフィックフローに起因するセキュリティ脆弱性の監視および評価を行うように構成される。いくつかの実施形態では、SSE206および/またはネットワークトラフィックセキュリティ分析マネージャ216は、SGE106のネットワークトラフィックセキュリティを評価するように構成される。たとえば、ネットワークトラフィックセキュリティ分析マネージャ216は、セッション開始プロトコル(SIP)およびコールアドミッション制御(CAC)などの既存のコール分析方法を用いて、SGE106に存在するネットワークトラフィックセキュリティを評価するように構成可能である。図6は、本明細書で説明する主題のある実施形態に係る、例示的なリアルトラフィックセキュリティ分析サービスプロセスを示すフローチャートである。いくつかの実施形態では、図6に示す方法600は、メモリに格納され、かつ、SGE106のハードウェアプロセッサによって実行されるとブロック602~606のうちの1つ以上を行うSSE206のネットワークトラフィックセキュリティ分析マネージャ216によって実行されるアルゴリズムを示す。図6のブロック602に示すように、ネットワークトラフィックセキュリティ分析マネージャは、セキュリティゲートウェイ要素に提供されるトラフィックセキュリティサービスポリシー定義の読出しおよびロードを行うように構成される。ブロック604で、ネットワークトラフィックセキュリティ分析マネージャ216は、ネットワークトラフィック分析を適用するように適合される。上述のように、ネットワークトラフィックセキュリティ分析マネージャ216は、SIPおよびCACなどのプロトコルを用いたコール分析方法を用いるように構成可能である。いくつかの実施形態では、ネットワークトラフィックセキュリティ分析マネージャ216は、正規のヘッダ(たとえば、特定のプロトコルによってサポートされ、正しい/一致したタイプ/値およびヘッダ長さなどの、正しいフォーマットのヘッダ)を用いて入力ネットワークトラフィックおよび出力ネットワークトラフィックの両方に対してネットワークトラフィック分析を行うように構成される。
【0043】
ブロック606で、ネットワークトラフィックセキュリティ分析マネージャ216は、報告の発行および修復アクションの勧告を行うように構成される。たとえば、ネットワークトラフィックセキュリティ分析マネージャ216は、セキュリティ報告・修復マネージャ220に、ネットワークトラフィックセキュリティ分析マネージャ216によって識別されるセキュリティ脆弱性を特定する報告を発行し、SGE106のための正しいセキュリティ構成に関する勧告を提供するように指示可能である。いくつかの実施形態では、ネットワークトラフィックセキュリティ分析マネージャ216および/またはセキュリティ報告・修復マネージャ220は、SGE106が取扱うように構成された最大ネットワークトラフィック帯域幅(たとえば、バイト/秒)に達した、またはこれを超えた際に、ネットワークトラフィックパケットを自動的に拒否するように構成される。ネットワークトラフィックセキュリティ分析マネージャ216および/またはセキュリティ報告・修復マネージャ220によって実行可能な追加の修復アクションには、コールの拒否および/または特定のネットワークパケットトラフィックの中止が含まれる。
【0044】
いくつかの実施形態では、セキュリティサービスエンジン206は、分析セキュリティサービスマネージャ218を用いて、収集されるデータおよび統計を用いてセキュリティ脆弱性の監視および評価を行うように構成される。より詳細には、分析セキュリティサービスマネージャ218は、動作しているSGE106から収集されるデータおよび統計の系統的分析によって、セキュリティゲートウェイ要素のセキュリティ評価をインテリジェントに行うように構成される。いくつかの実施形態では、分析セキュリティサービスマネージャ218は、SGE106のコンポーネントおよびインターフェースによって収集されるSGE統計(たとえば、SIP統計およびパケットフロー統計など)、SGE106コントローラによって記録されるシステムログ、SGE106によって生成されるコール詳細記録(CDR)、SGE106によって検知されるシンプルネットワーク管理プロトコル(SNMP)トラップおよび警告、ならびにSGE106によって生成される履歴データ記録(HDR)などを分析するように構成される。図7は、本明細書で説明する主題の実施形態に係る、例示的な分析セキュリティサービスプロセスを示すフローチャートである。いくつかの実施形態では、図7に示す方法700は、メモリに格納され、かつ、SGE106のハードウェアプロセッサによって実行されるとブロック702~708のうちの1つ以上を行うSSE206の分析セキュリティサービスマネージャ218によって実行されるアルゴリズムを示す。図7のブロック702に示すように、分析セキュリティサービスマネージャ218は、分析が構成セキュリティおよびネットワーク状態セキュリティなどであり得るため、セキュリティサービスポリシー定義のすべての読出しおよびロードを行うように構成される。ブロック704で、分析セキュリティサービスマネージャ218は、いくつかの実施形態では特定のシステムログについてスクリプトグレップを含む分析エンジンのロードおよび実行を行うように構成され得る。ブロック706で、分析セキュリティサービスマネージャ218は、分析エンジンを、SIP統計、パケット統計、システムログ、CDR、およびSNMP警告といった、上述のSGEシステムデータに適用するように構成し得る。分析セキュリティサービスマネージャ218は、分析エンジンをSGEシステムデータに適用した後で、システム脆弱性が存在するかどうかを判断するように適合される。ブロック708で、分析セキュリティサービスマネージャ218は、報告および修復アクションを発行するように構成される。たとえば、分析セキュリティサービスマネージャ218は、セキュリティ報告・修復マネージャ220に、検知されたセキュリティ問題を報告し、かつ、システムアドミニストレータに送信される警告を発行するように指示し得る。セキュリティ報告・修復マネージャ220はまた、分析セキュリティサービスマネージャ218の代わりに、検知されたセキュリティ問題に対して勧告される解決策を提供し、かつ、修復アクションを実行して、検知されたセキュリティ脆弱性に対処するように指示されてもよい。いくつかの実施形態では、セキュリティ報告・修復マネージャ220および/または分析セキュリティサービスマネージャ218によって行われる修復アクションは、ポートの閉鎖、ポートを介して提供されるサービスの中止、特定の信頼レベルの変更、構成の拒否、および/または構成の自動変更などを含む。
【0045】
図8は、本明細書で説明する主題のある実施形態に係る、セキュリティサービスエンジンを用いて、セキュリティゲートウェイ要素上のセキュリティ脆弱性を評価するための例示的なプロセスまたは方法800を示すフローチャートである。いくつかの実施形態では、図8に示す方法800は、ハードウェアプロセッサによって実行されるとブロック802~808のうちの1つ以上を行う、メモリに格納されたアルゴリズムである。
【0046】
ブロック802で、プロビジョニングされたセキュリティサービスポリシー定義に対応するセキュリティゲートウェイ要素(SGE)のためのセキュリティ構成が確立される。いくつかの実施形態では、システムアドミニストレータが、ユーザインターフェースマネージャを介してセキュリティゲートウェイ要素へのセキュリティサービスポリシー定義のプロビジョニングを行う。たとえば、セキュリティサービスエンジンは、セキュリティサービスポリシー定義を受信し、セキュリティゲートウェイ要素のためのセキュリティ構成を確立し得る。
【0047】
ブロック804で、SGE上のサービスセキュリティエンジンがホストする複数のSGEセキュリティサービスマネージャが、セキュリティサービスポリシー定義に含まれるポリシーに基づいて構成される。いくつかの実施形態では、セキュリティサービスエンジンは、セキュリティサービスポリシー定義で定義されたポリシーを評価して、セキュリティサービスエンジンがホストする複数のSGEセキュリティサービスマネージャの確立および/または更新を行うように適合される。たとえば、セキュリティサービスエンジンは、セキュリティサービスポリシー定義のポリシーを用いて、セキュリティサービスエンジンがホストするSGEコンポーネントセキュリティチェックマネージャ、ネットワークセキュリティ状態マネージャ、SGEセキュリティ構成マネージャ、ネットワークトラフィックセキュリティ分析マネージャ、および分析セキュリティサービスマネージャを構成し得る。
【0048】
ブロック806で、複数のSGEセキュリティサービスマネージャの各々が、リアルタイムにソフトウェアベースのサービスとしてSSEによって実行されて、SGE上のセキュリティサービスポリシー定義のポリシーを施行する。いくつかの実施形態では、セキュリティサービスエンジンは、リアルタイムにセキュリティゲートウェイ要素上で動作するように構成される。特に、セキュリティサービスエンジンは、セキュリティゲートウェイ要素を対象にした起こり得る悪意ある攻撃の監視、検知、および予防を行うために、上述のSGEセキュリティサービスマネージャの各々を実行する。
【0049】
ブロック808で、複数のSGEセキュリティサービスマネージャのうちの1つ以上がSGEの動作に対応するセキュリティ脆弱性を検知する場合、SGEのセキュリティ構成は修復される。いくつかの実施形態では、セキュリティサービスマネージャのうちの少なくとも1つは、セキュリティゲートウェイ要素に対してセキュリティ評価を行い、続いて、リアルタイムにシステム脆弱性を検知する。検知されたセキュリティ脆弱性に応じて、セキュリティサービスエンジンは、修復アクションを開始するおよび/または報告を発行するように適合される。いくつかの実施形態では、セキュリティサービスエンジンは、検知されたシステム脆弱性について警告するために、そのセキュリティ報告マネージャを用いて、システムアドミニストレータに送られる報告メッセージを生成可能である。いくつかの実施形態では、セキュリティサービスマネージャの各々は、報告アクションを発行するように構成される、それ自体のセキュリティ報告マネージャを含む。同様に、セキュリティサービスエンジンは、検知されたセキュリティ脆弱性に基づいて、適切な修復アクションを開始するように構成される。
【0050】
本明細書で説明される主題の利点は、セキュリティサービスエンジンによって実行されるサービス(たとえば、サービスとしてのソフトウェア)として、セッションボーダーコントローラなどのセキュリティゲートウェイ要素にセキュリティインテリジェンスを実現することを含む。したがって、セキュリティサービスエンジンは、セキュリティポリシーおよび規制の施行、修復ガイダンスの発行、ならびにランタイムにおける起こり得る悪意ある攻撃のダイナミックな検知および予防が可能である。従来のセキュリティ構成ガイドへの依拠ならびにハードウェアおよびソフトウェアコンポーネントの手動の確認の代わりに、開示されたセキュリティサービスエンジンによってサポートされると、セキュリティゲートウェイ要素の評価、監視、および修復を自動的に行うことができる。とりわけ、説明される監視および修復技術によって、セキュリティゲートウェイ要素に対する変化を実現可能な速度が増加する。これに加えて、そのような対策によって、リアルタイムにセキュリティ脆弱性についてセキュリティゲートウェイ要素を評価することが保証される。これは、セキュリティゲートウェイ要素がサポートする企業ネットワークをセキュリティ保護するコスト、および検知されないセキュリティ侵害によって生じる損害に極めて大きなインパクトを有し得る。そのため、そのような態様でそれ自体をダイナミックに修復するように構成されるセキュリティゲートウェイ要素は、識別されたセキュリティ脆弱性に応答する、および/または、本明細書で説明する起こり得る悪意ある攻撃を予防して、より効率的な態様でコンピュータネットワーク上の侵害の可能性を減じることによって、コンピュータネットワークセキュリティの技術分野を改善することが可能である。
【0051】
本開示の主題のさまざまな詳細が本開示の主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、上述の説明は、例示のみを目的としたものであって、限定を目的としたものではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】