知財求人 - 知財ポータルサイト「IP Force」
▶ レベル スリー コミュニケーションズ,エルエルシーの特許一覧
特表2024-502013エッジコンピューティング環境における強化されたセキュリティを提供するためのシステムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-17
(54)【発明の名称】エッジコンピューティング環境における強化されたセキュリティを提供するためのシステムおよび方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240110BHJP
G06F 21/56 20130101ALI20240110BHJP
【FI】
G06F21/55
G06F21/56 320
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023539874
(86)(22)【出願日】2021-12-29
(85)【翻訳文提出日】2023-08-23
(86)【国際出願番号】 US2021065505
(87)【国際公開番号】W WO2022147118
(87)【国際公開日】2022-07-07
(31)【優先権主張番号】63/132,166
(32)【優先日】2020-12-30
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】508140877
【氏名又は名称】レベル スリー コミュニケーションズ,エルエルシー
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】スミス、クリストファー
(72)【発明者】
【氏名】ベンジャミン、マイケル
(72)【発明者】
【氏名】ブレクル、ピーター
(57)【要約】
本開示の例は、エッジコンピューティング環境における強化されたセキュリティを提供するためのシステムおよび方法を説明する。第1の態様は、第1の展開位置におけるアプリケーションに動的に適用されるセキュリティ機能を第2の展開位置におけるアプリケーションへ移動する方法を説明する。第2の態様は、展開されたアプリケーションのインスタンスをローカルに拡張/縮小する方法を説明する。第3の態様は、検出された悪意ある行為に関連付けられたネットワークトラフィックを第1のアプリケーション展開環境からセキュリティ保護された第2のアプリケーション展開環境へリダイレクトする方法を説明する。第4の態様は、マルチステージネットワークトラフィックフィルタリングを実行する方法を説明する。
【特許請求の範囲】
【請求項1】
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
【請求項2】
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに備える、請求項1に記載の方法。
【請求項3】
前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに備える、請求項1または2に記載の方法。
【請求項4】
前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに備え、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階をさらに備え、
ここで、前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第2のエッジコンピューティング環境は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含み、前記アプリケーションの前記第1のインスタンスの攻撃者を識別する段階
をさらに備え、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を有する、
請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記少なくとも一部のトラフィックのフィルタリングを実行するために前記第2のエッジコンピューティング環境の第1のコンポーネントを決定する段階;
前記第1のコンポーネントを用いて前記少なくとも一部のトラフィックをフィルタリングする段階;
前記第2のエッジコンピューティング環境の性能データをモニタリングする段階;および
前記第2のエッジコンピューティング環境の前記性能データに基づいて、前記少なくとも一部のトラフィックのフィルタリングを前記第2のエッジコンピューティング環境の第2のコンポーネントに始めさせる段階
を含む、
請求項1から8のいずれか一項に記載の方法。
【請求項10】
少なくとも1つのプロセッサ;および前記プロセッサに動作可能に接続され、コンピュータ実行可能命令を格納したメモリ
を備えるシステムであって、
前記コンピュータ実行可能命令は、前記少なくとも1つのプロセッサにより実行された場合、
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を含む、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を含む方法を前記システムに実行させる、
システム。
【請求項11】
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、前記方法は、アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに含む、請求項10に記載のシステム。
【請求項12】
前記方法は、前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに含む、請求項10または11に記載のシステム。
【請求項13】
前記方法は、前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
請求項10から12のいずれか一項に記載のシステム。
【請求項14】
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、請求項10から13のいずれか一項に記載のシステム。
【請求項15】
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を含み、ここで、前記ソース識別データは、ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
請求項10から14のいずれか一項に記載のシステム。
【請求項16】
前記方法は、前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
請求項10から15のいずれか一項に記載のシステム。
【請求項17】
前記アプリケーションの第2のインスタンスをインスタンス化する段階は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含む第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスをインスタンス化する段階を含む、請求項10から16のいずれか一項に記載のシステム。
【請求項18】
前記方法は、前記アプリケーションの前記第1のインスタンスの攻撃者を識別する段階
をさらに含み、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を含む、
請求項17に記載のシステム。
【請求項19】
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させる段階;
前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させることに関連する動的情報を収集する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、収集された前記動的情報に基づいて動的に決定される;
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階;
前記性能データは前記閾値を超えている、という判断に基づいて、前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
【請求項20】
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
請求項19に記載の方法。
【発明の詳細な説明】
【背景技術】
【0001】
関連出願の相互参照
本願は、2020年12月30日に出願され、「エッジコンピューティング環境における強化されたセキュリティを提供するためのシステムおよび方法」と題する米国仮特許出願第63/132,166号の利益を主張する。当該特許出願は、参照により、その全体が本明細書に組み込まれる。
本願は、2020年12月30日に出願され、「エッジコンピューティング環境における強化されたセキュリティを提供するためのシステムおよび方法」と題する米国仮特許出願第63/132,166号の利益を主張する。当該特許出願は、参照により、その全体が本明細書に組み込まれる。
【0002】
エッジコンピューティングは、ネットワークの(例えば、ユーザおよびデバイスが情報を消費する)「エッジ」から地理的または論理的に遠く離れていることがある一元化された位置に依存するのではなく、情報処理およびデータ格納が地理的および/または論理的にこのエッジの近くに位置する分散コンピューティングパラダイムである。概して、エッジコンピューティングにより、応答時間が改善され、データ要求の帯域幅が節約される。追加的に、エッジコンピューティングは、データ要求をローカルに(エッジにおいて)処理することによりコスト節約を提供し、これにより、より高価な集中型またはクラウドベースの位置で処理されなければならないデータの量を低減し得る。エッジコンピューティングの様々な利点にもかかわらず、エッジ環境は、サイバー攻撃など、悪意ある行為により深刻な影響を受け得る。
【0003】
これらおよび他の一般的な考慮事項に関して、本明細書において開示される態様がなされている。また、比較的具体的な問題が論じられ得るが、これらの例は背景技術または本開示における他の箇所において特定される具体的な問題の解決に限定されるべきではないことを理解されたい。
【発明の概要】
【0004】
本開示の例は、第1の展開位置におけるアプリケーションに動的に適用されるセキュリティ機能を第2の展開位置におけるアプリケーションへ移動するためのシステムおよび方法を説明する。態様において、アプリケーションの第1のインスタンスは、第1のアプリケーション展開位置に関連付けられたエッジコンピューティング環境において展開され得る。1つまたは複数のセキュリティ機能は、アプリケーションの第1のインスタンスが第1のアプリケーション展開位置において展開されている間、アプリケーションの第1のインスタンスに動的に適用され得る。アプリケーションの第1のインスタンスに動的に適用されるセキュリティ機能が決定されてよく、アプリケーションの第2のインスタンスが第2のアプリケーション展開位置においてインスタンス化されてよい。次に、アプリケーションの第1のインスタンスに動的に適用されるセキュリティ機能は、アプリケーションの第2のインスタンスに適用され得る。いくつかの態様において、次に、アプリケーションの第1のインスタンスは、アクセス不可能にされてよく、その結果、アプリケーションの第1のインスタンスに向けられたネットワークトラフィックは、アプリケーションの第2のインスタンスへリダイレクトされる。他の態様において、アプリケーションの第1のインスタンスは、アクティブおよび/またはアクセス可能なままであってよく、その結果、ネットワークトラフィックは、アプリケーションの第1のインスタンスおよびアプリケーションの第2のインスタンスにより受信および処理されてよい。
【0005】
本開示の例はさらに、マルチステージネットワークトラフィックフィルタリングを実行するためのシステムおよび方法を説明する。態様において、アプリケーションのインスタンスが、エッジコンピューティング環境において展開され得る。アプリケーションのインスタンスは、エッジコンピューティング環境のいずれか1つまたはいくつかのコンポーネントを用いてアプリケーションにより受信されるネットワークトラフィックのフィルタリングを実行するように構成されたネットワークトラフィックフィルタリングシステムに関連付けられ得る。アプリケーションに向けられたネットワークトラフィックを受信すると、フィルタリングシステムは、ネットワークトラフィックを評価して、ネットワークトラフィックがフィルタリングされるべきかどうかを判断し得る。フィルタリングシステムは、ネットワークトラフィックがフィルタリングされるべきと判断した場合、1つまたは複数の形式の決定ロジックを用いて、エッジコンピューティング環境のどのコンポーネントがフィルタリングを実行するかを決定し得る。次に、フィルタリングシステムは、エッジコンピューティング環境の決定されたコンポーネントにネットワークトラフィックをフィルタリングさせ得る。態様において、エッジコンピューティング環境の性能データも評価されてよく、その評価に基づいて、ネットワークトラフィックのフィルタリングを始めるためのエッジコンピューティング環境の第2のコンポーネントが選択されてよい。
【0006】
この発明の概要は、発明を実施するための形態において以下でさらに説明される概念から選択したものを簡略化された形式で紹介するために提供される。この発明の概要は、特許請求される主題の重要な機能または必須の機能を識別するようには意図されておらず、特許請求される主題の範囲を限定するために用いられるようにも意図されていない。例の追加の態様、特徴および/または利点は、後続の説明において部分的に記載され、部分的に、説明から明らかになり、または本開示の実施により認識され得る。
【図面の簡単な説明】
【0007】
以下の図を参照して、非限定的かつ非網羅的な例を説明する。
【0008】
【図1】エッジコンピューティング環境における強化されたセキュリティを提供するための例示的なシステムを示す。
【0009】
【図2】エッジコンピューティング環境における強化されたセキュリティを提供するための例示的な処理環境を示す。
【0010】
【図3】第1の展開位置におけるアプリケーションに動的に適用されるセキュリティ機能を第2の展開位置におけるアプリケーションへ移動する例示的な方法を示す。
【0011】
【図4】展開されたアプリケーションのインスタンスをローカルに拡張/縮小する例示的な方法を示す。
【0012】
【図5】検出された悪意ある行為に関連付けられたネットワークトラフィックを第1のアプリケーション展開環境からセキュリティ保護された第2のアプリケーション展開環境へリダイレクトする例示的な方法を示す。
【0013】
【図6】マルチステージネットワークトラフィックフィルタリングを実行する例示的な方法を示す。
【0014】
【図7】本実施形態のうちの1つまたは複数が実装され得る適切な動作環境の1つの例を示す。
【発明を実施するための形態】
【0015】
多くのネットワークベースのコンピューティング解決手段では、データの処理および格納は、データを最終的に消費するデバイスおよびアプリケーションから地理的または論理的に遠く離れていることがある一元化された位置で行われる。エッジコンピューティングは、(とりわけ)モノのインターネット(IoT)デバイスの指数関数的な成長に対処するために開発されたものであり、これらの一元化された位置におけるデータ処理および格納ロードに寄与する。エッジコンピューティングでは、データ処理およびデータ格納の少なくとも一部を、一元化された位置から消費デバイスおよびアプリケーションに地理的および/または論理的に近い位置(「エッジ位置」)へ移動させる。データ処理およびデータ格納をエッジ位置へこのように移動させることで、特にリアルタイムデータが使用/予想される場合に、アプリケーション性能およびユーザエクスペリエンスに影響を及ぼし得るデータレイテンシ問題が軽減される。また、データ処理およびデータ格納をエッジ位置へこのように移動させることで、データの帯域幅コストが低減する。これは、データが消費デバイスおよびアプリケーションからデータ処理および格納位置まで移動しなければならない距離に基づき得る。
【0016】
エッジ位置は、1つまたは複数のタスクを実行するための機能およびサービスを含み得る。例えば、1つまたは複数のアプリケーションのインスタンスは、1つまたは複数のエッジ位置においてインスタンス化され得る。アプリケーションは、様々なユーザおよびユーザデバイスからのデータ要求を処理し得る。概して、セキュリティ情報(セキュリティポリシー、構成設定等)は、各アプリケーションインスタンスに適用され得る。セキュリティ情報は、「静的」セキュリティ情報および「動的」セキュリティ情報を含み得る。アプリケーションがそれぞれのエッジ位置においてインスタンス化され、またはそれぞれのエッジ位置へ展開される場合、静的セキュリティ情報は、アプリケーションに適用され得る。例えば、各アプリケーションは、デフォルトセキュリティ構成を用いてインスタンス化/展開され得る。デフォルトセキュリティ構成は、アプリケーションまたはアプリケーションタイプの各々に適用されるセキュリティオプションのセットを定義し得る。代替的に、静的セキュリティ情報は、アプリケーションがそれぞれのエッジ位置においてインスタンス化され、またはそれぞれのエッジ位置へ展開された後、アプリケーションに提供され得る。例えば、集中型のクラウドベース環境は、様々なエッジ位置におけるアプリケーションに定期的なセキュリティ更新を提供し得る。定期的なセキュリティ更新は概して、様々なエッジ位置におけるいくつかの(または全ての)アプリケーションに適用可能であってよい。いずれのシナリオでも、アプリケーションの各インスタンス、またはアプリケーションタイプは、同じデフォルトセキュリティ構成を含み得る。
【0017】
動的セキュリティ情報は、アプリケーションがエッジ位置においてインスタンス化され、またはエッジ位置へ展開された後、単一のアプリケーションに適用され得る。動的セキュリティ情報は、特定のアプリケーション、アプリケーションのインスタンス、またはアプリケーションタイプのために構成されたセキュリティオプションのセットを定義し得る。例えば、アプリケーションの第1のインスタンスおよび第2のインスタンスは、1つまたは複数のエッジ位置へ展開され得る。アプリケーションの第1のインスタンスをターゲットにしているサイバー攻撃の検出に応答して、1つまたは複数のIPアドレス、それに関連付けられたデバイストラフィック、何らかの一意のまたは動的に導出された識別子、または攻撃デバイスについての他の方法は、アプリケーションの第1のインスタンスにより動的にブロックされ得る。追加的に、検出された特定のタイプのサイバー攻撃に対するセキュリティ保護が、アプリケーションの第1のインスタンスへ動的に割り当てられ得る。アプリケーションの第1のインスタンスに適用されるセキュリティがアプリケーションの第2のインスタンスに自動的に適用されないので、動的セキュリティ情報は、アプリケーションの第1のインスタンスの現在のセキュリティ状態を表す。特に、エッジコンピューティング環境のための従来のセキュリティ手順では、アプリケーションの第1のインスタンスの動的セキュリティ情報をアプリケーションの第2のインスタンスへ動的かつ自動的に適用することが可能ではない。結果として、多くのアプリケーションの動的セキュリティ情報は、アプリケーションの新しいインスタンスに適用されないことが多いので、新しいインスタンスは、既知のおよび前に試みられた攻撃に対して脆弱なままである。
【0018】
エッジコンピューティング環境におけるそのような問題に対処するために、本開示は、第1のアプリケーションインスタンスの現在のセキュリティ状態を第2のアプリケーションインスタンスへ移動するための様々なシステムおよび方法を提供する。態様において、アプリケーション(またはそのインスタンス)が修正され得る。例えば、アプリケーションのインスタンスは、第1のエッジ位置から第2のエッジ位置へ移動またはコピーされ得る。代替的に、アプリケーションは、エッジ位置において拡張または縮小されてよく、その結果、アプリケーションの1つまたは複数のインスタンスは、展開または除去され得る。アプリケーションのそのような修正は、例えば、ユーザ挙動パターンの修正、ユーザ位置および/またはユーザ人口の修正、サイバー攻撃または悪意ある行為の検出、修正されたリソース利用の検出、アプリケーション機能または処理フローの修正、事業の成長または再配置等に応答して実行され得る。そのような修正が行われる場合、動的セキュリティ情報(および/または静的セキュリティ情報)が、アプリケーションの新しいインスタンスに適用され得る。例えば、動的セキュリティ情報は、第1のインスタンスから、または、第1のインスタンスからの動的セキュリティ情報がコピーされたレポジトリから取得され得る。次に、取得された動的セキュリティ情報は、第1のインスタンスおよび新しいインスタンスが同じ(または実質的に同様の)動的セキュリティ情報を共有するように、新しいインスタンスに適用され得る。したがって、アプリケーションの既存のインスタンスの動的セキュリティ情報(および/または静的セキュリティ情報)は、新しいインスタンスが展開される場合、アプリケーションの新しいインスタンスに自動的に適用される。
【0019】
いくつかの態様において、エッジ位置に位置するエッジデバイスおよび/またはアプリケーションは、検出された異常についてのアクティブセキュリティ措置を用いて構成され得る。例えば、アプリケーションへのアクセスを提供しているエッジデバイスは、アプリケーションに向けられたネットワークトラフィックをモニタリング/評価するように構成され得る。アプリケーションに向けられた疑わしいサイバー攻撃または他の悪意ある行為を検出すると、エッジデバイスまたはアプリケーションは、疑わしいネットワークトラフィックをセカンダリコンピューティング環境へリダイレクトさせ得る。セカンダリコンピューティング環境は、セキュアであってよく、ネットワークトラフィックに抵抗するように、および/またはネットワークトラフィックをモニタリングするように構成されてよい。セカンダリコンピューティング環境は、アプリケーションの第2のインスタンスを含み得る。代替的に、アプリケーションのインスタンスは、疑わしいネットワークトラフィックが検出されると、セカンダリコンピューティング環境へ展開され得る。セカンダリコンピューティング環境への疑わしいネットワークトラフィックのリダイレクト時(またはその前)に、アプリケーションの動的セキュリティ情報は、セカンダリコンピューティング環境において展開されるアプリケーションのインスタンスに適用され得る。したがって、セカンダリコンピューティング環境において展開されたインスタンスのセキュリティ状態は、疑わしいネットワークトラフィックがリダイレクトされる場合にエッジデバイス上に展開されたアプリケーションのセキュリティ状態と同じ(または実質的に同様)であり得る。
【0020】
検出された異常についてのアクティブセキュリティ措置の別の例として、エッジデバイスは、マルチステージネットワークトラフィックフィルタリングメカニズムを含み得る。フィルタリングメカニズムは、エッジコンピューティング環境にアクセス可能な様々なコンポーネントを用いて、アプリケーションにより受信されるネットワークトラフィックのフィルタリングを実行するように構成され得る。アプリケーションに向けられたネットワークトラフィックを受信すると、フィルタリングメカニズムは、ネットワークトラフィックを評価して、ネットワークトラフィックがフィルタリングされるべきかどうかを判断し得る。フィルタリングメカニズムは、ネットワークトラフィックがフィルタリングされるべきと判断した場合、1つまたは複数の形式の決定ロジックを用いて、エッジコンピューティング環境のどのコンポーネントがフィルタリングを実行するかを決定し得る。例えば、フィルタリングメカニズムは、エッジコンピューティング環境の様々なコンポーネントにより登録されるセキュリティポリシーを用いて、ネットワークトラフィックがハードウェアレベルでフィルタリングされるべきか、またはソフトウェアレベルでフィルタリングされるべきかを判断し得る。
【0021】
それに応じて、本開示は、とりわけ、限定されるわけではないが、第1のアプリケーションの現在のセキュリティ状態を動的かつ自動的に判断して第2のアプリケーションに適用すること、エッジコンピューティング環境における展開されたアプリケーションのインスタンスを動的かつ自動的に拡張/縮小すること、悪意あるエンティティをセキュリティ保護された第2のアプリケーション展開環境へ動的にリダイレクトすること、およびエッジコンピューティング環境におけるマルチステージネットワークトラフィックフィルタリングを実行することを含む複数の技術的利益を提供する。
【0022】
図1は、第1の展開位置におけるアプリケーションに動的に適用されるセキュリティ機能を第2の展開位置におけるアプリケーションへ移動する例示的なシステムの概要を示す。提示される例示的なシステム100は、統合システムを形成するためにインタラクトする相互依存的コンポーネントの組み合わせである。システム100のコンポーネントは、システムのハードウェアコンポーネントに実装される、および/またはシステムのハードウェアコンポーネントにより実行されるハードウェアコンポーネントまたはソフトウェアコンポーネントであってよい。システム100は、システム100の動作に関する制約、リソースおよびファシリティに従って実行するためのソフトウェアコンポーネントの動作環境を提供し得る。1つの例において、動作環境および/またはソフトウェアコンポーネントは、図7に示される単一の処理デバイスにより提供され得る。別の例において、システムの動作環境およびソフトウェアコンポーネントは、複数のデバイスにわたって分散され得る。例えば、入力がユーザデバイスに入れられてよく、1つまたは複数のネットワークデバイスおよび/またはサーバデバイスなど、ネットワーク内の他のデバイスを用いて、情報が処理またはアクセスされてよい。
【0023】
図1において、システム100は、プロバイダネットワーク102、エッジ環境104A、104Bおよび104C(総称して、「エッジ環境104」)、およびユーザデバイス108A、108B、108C、108Dおよび108E(総称して、「ユーザデバイス108」)を備える。システム100などのシステムのスケールは、異なり得ると共に、図1において説明されているものよりも多いかまたは少ないコンポーネントを含み得ることを、当業者であれば理解するであろう。例えば、いくつかの例において、エッジ環境104およびプロバイダネットワーク102の機能およびコンポーネントは、単一の処理システムまたは環境へ統合され得る。代替的に、エッジ環境104の機能およびコンポーネントは、複数のエッジ環境、ユーザデバイスおよび/またはクラウドネットワークにわたって分散され得る。
【0024】
プロバイダネットワーク102は、例えば、インターネット、プライベートネットワーク、ワイドエリアネットワーク(WAN)等、1つまたは複数のネットワークを介して様々なコンピューティングサービス(例えば、アプリケーション、ストレージ、処理能力)を配信するように構成され得る。プロバイダネットワーク102は、多数のハードウェアおよび/またはソフトウェアコンポーネントを備えてよく、1つまたは複数のコンピューティングモデル(例えば、ソフトウェアアズアサービス(SaaS)、プラットフォームアズアサービス(PaaS)、インフラストラクチャアズアサービス(IaaS))の対象になってよい。態様において、プロバイダネットワーク102は、エッジコンピューティングアーキテクチャの一部として実装され得る。例えば、プロバイダネットワーク102は、オーケストレーションメカニズムへのアクセスを提供し得る。オーケストレーションメカニズムは、デバイス、そのコンポーネントまたはサービス等であってよい。オーケストレーションメカニズムは、1つまたは複数のエンティティに関連付けられた1つまたは複数のアプリケーションへのアクセスを提供するユーザインタフェースを提供し得る。本明細書において用いられる場合、エンティティは、組織または会社、人またはユーザ、またはグループ等を指し得る。ユーザインタフェースは、ユーザレベル(例えば、非管理者)および/または管理者レベルのアクセスおよび特権をアプリケーションに提供し得る。アプリケーションは、地理的に分散された複数のユーザにアクセス可能であってよい。複数のユーザのための改善されたユーザエクスペリエンス(例えば、改善された応答時間および減少した帯域幅使用量)を容易にすべく、アプリケーションの計算およびデータ格納の要件の少なくとも一部は、エッジ環境104など、アプリケーションに要求を提供するユーザに(地理的に、および/または論理的に)より近い位置へ移動または分散され得る。
【0025】
エッジ環境104は、1つまたは複数のネットワークを介して様々なコンピューティングサービスを特定の地理的な領域またはエリア(例えば、国、州、都市、近隣、建物)のユーザへ配信するように構成され得る。エッジ環境104は、1つまたは複数のユーザに地理的に(および/または論理的に)近い領域またはエリアに確立され、または位置し得る。例えば、第1のエッジ環境は、第1の都市におけるユーザの第1のセットに地理的に近接して確立されてよく、第2のエッジ環境は、第2の都市におけるユーザの第2のセットに地理的に近接して確立されてよい。第1のエッジ環境は、ユーザの第1のセットにより提供されるデータ要求のための増加した応答時間を提供してよく、第2のエッジ環境は、ユーザの第2のセットにより提供されるデータ要求のための増加した応答時間を提供してよい。エッジ環境104は、エッジノード106A、106Bおよび106C、106D、106Eおよび106F(総称して、「エッジノード106」)を備え得る。エッジノード106は、プロバイダネットワーク102など、企業またはサービスプロバイダコアネットワークへのエントリポイントを提供し、または2つのネットワーク間のデータフローを制御してよい。概して、エッジノード106は、特定の役割を遂行するように設計されてよく、プロバイダネットワーク102により提供される1つまたは複数のアプリケーションに関連する特定のタスクを実現するためのアプリケーションおよび/またはサービスを用いて構成されてよい。エッジノード106の例は、サーバデバイス、ルータ、ルーティングスイッチ、統合アクセスデバイス、マルチプレクサ等を含み得る。
【0026】
ユーザデバイス108は、プロバイダネットワーク102および/またはエッジ環境104により提供されるアプリケーション/サービスとインタラクトするように構成された様々なエンドユーザデバイスおよび/またはモノのインターネット(IoT)デバイスを表し得る。例えば、ユーザデバイス108は、プロバイダネットワーク102により提供される1つまたは複数のアプリケーションにデータ要求を提供してよく、プロバイダネットワーク102により提供される1つまたは複数のアプリケーションから結果データを受信してよい。ユーザデバイス108により提供されるデータ要求の応答時間および/または帯域幅使用量は、ユーザデバイス108および対応するエッジ環境の間の距離に応じて異なり得る。例えば、ユーザデバイス108およびエッジ環境の間の距離が減ったときに、データ要求を遂行するための応答時間が増えてよく、および/または、データ要求のための帯域幅使用量が減ってよい。結果として、第1のユーザデバイスが第2のユーザデバイスよりもエッジ環境に地理的により近い場合、第1のデバイスによりエッジ環境に提供されるデータ要求のための応答時間は、第2のデバイスによりエッジ環境に提供されるデータ要求のための応答時間よりも速くてよい。代替的に、地理的領域内の全てのデバイスにより提供されるデータ要求のための応答時間はおおよそ、特定の時間範囲と同様または特定の時間範囲内であってよい。ユーザデバイス108の例は、限定されるわけではないが、パーソナルコンピュータ(PC)、モバイルデバイス(例えば、スマートフォン、タブレット、ラップトップ、パーソナルデジタルアシスタント(PDA(登録商標)))およびウェアラブルデバイス(例えば、スマートウォッチ、スマートアイウェア、フィットネストラッカー、スマート衣類、身体装着型デバイス)を含む。それに応じて、ユーザデバイス108は、入力を受信または収集するためのセンサ、アプリケーションおよび/またはサービスを含み得る。例示的なセンサは、マイク、タッチベースセンサ、キーボード、ポインティング/選択ツール、光/磁気スキャナ、加速度計、磁力計、ジャイロスコープ等を含む。収集される入力は、例えば、音声入力、タッチ入力、文字ベース入力、ジェスチャ入力、ビデオ入力および/または画像入力を含み得る。
【0027】
図2は、本明細書において説明される、第1のアプリケーションの現在のセキュリティ状態を第2のアプリケーションへ移動するための例示的な処理環境200を示す。処理環境200により実装される技術は、図1のシステム100において説明される技術およびデータを含み得る。図2および後続の図における例がエッジコンピューティング環境の文脈で論じられるが、クラウドコンピューティング環境など、他の文脈にもこれらの例が適用可能であることが想定されている。いくつかの例において、処理環境200の1つまたは複数のコンポーネント(またはその機能)は、複数のデバイスにわたって分散され得る。他の例において、単一のデバイスは、処理環境200のコンポーネントを備え得る。
【0028】
態様において、処理環境200のいくつかまたは全ては、図1のエッジコンピューティング環境104A、104Bおよび104Cなど、エッジコンピューティング環境に実装され得る。エッジコンピューティング環境は、1つまたは複数のユーザまたはユーザグループに地理的に近接して位置し得る。処理環境200は、コアネットワークまたはコアコンピューティング環境のための地理的に局在するアプリケーションおよび/またはサービスを提供し得る。例えば、コアネットワーク(図1におけるプロバイダネットワーク102など)により提供されるアプリケーション(またはそのインスタンス)は、処理環境200へ移動されてよく、または処理環境200においてインスタンス化されてよい。コアネットワークと比較すると、処理環境200は、処理環境200の近くに位置するユーザのための改善された処理能力、データ格納および/またはデータセキュリティを提供し得る。図2において、処理環境200は、アプリケーション202、入力検出コンポーネント204、セキュリティ評価エンジン206、アプリケーションインスタンス化エンジン208、セキュリティ適用エンジン210、リダイレクトコンポーネント212およびフィルタリングエンジン214を備える。処理環境200のスケールは、異なり得ると共に、追加の、または図2において説明されるものよりも少ないコンポーネントを含み得ることを、当業者であれば理解するであろう。
【0029】
アプリケーション202は、コアネットワークまたはコアコンピューティング環境により提供される1つまたは複数のアプリケーション、サービスまたはそれらの組み合わせであってよい。いくつかの例において、アプリケーション202(またはその態様)は、コアネットワークまたはコアコンピューティング環境から処理環境200へオフロードされ得る。アプリケーション202の例は、限定されるわけではないが、スマート製造アプリケーション、ビデオ分析アプリケーション、販売時点(POS)トランザクションアプリケーション、小売ロボット工学アプリケーション、AI/MLサービスおよび機能、ビッグデータ分析アプリケーション、災害復旧サービス、データ格納サービス、ワードプロセッシングアプリケーション、スプレッドシートアプリケーション、シミュレート現実アプリケーション(例えば、仮想現実、複合現実、拡張現実)、ウェブブラウザアプリケーション、メッセージングアプリケーション、ワークフローアプリケーション、メディアプレーヤ/処理アプリケーションおよびゲームアプリケーションを含む。
【0030】
入力検出コンポーネント204は、アプリケーション202および1つまたは複数のユーザ、デバイスまたはシステムの間のインタラクションを受信および/または検出するように構成され得る。いくつかの例において、入力検出コンポーネント204は、処理環境200のエッジコンピューティングデバイス(エッジノード106など)のバックグラウンド処理として実装され得る。バックグラウンド処理は、アプリケーション202により送信/受信されるデータ、および/またはアプリケーション202のリソース利用パラメータをモニタリングし得る。リソース利用パラメータの例は、負荷平均、CPU使用量、メモリ使用量、スワップ領域使用量、ページスワップ、ディスク使用量等を含み得る。他の例において、入力検出コンポーネント204は、アプリケーション202とインタラクトするためのユーザインタフェースとして実装され得る。ユーザインタフェースは、ユーザがアプリケーション202をレビューすること、アプリケーション202を修正すること、またはそうでなければアプリケーション202とインタラクトすること、および/またはアプリケーション202を操作することを可能にするユーザレベル(例えば、非管理者)のアクセスおよび特権を提供し得る。そのようなユーザインタフェースは、アプリケーション202を含むエッジコンピューティングデバイスに実装され得る。代替的に、ユーザインタフェースは、コアネットワークにおける、またはそうでなければアプリケーション202を含むエッジコンピューティング環境の外部のデバイスに実装され得る。そのようなユーザインタフェースは、管理者レベルのアクセスおよび特権をアプリケーション202に提供し得る。例えば、オーケストレーションデバイスは、コアネットワークへのアクセスを有するコンピューティング環境内に位置し得る。オーケストレーションデバイスは、コアネットワークのグローバルビューおよびエッジコンピューティング環境の各々を有する管理者ユーザインタフェースを提供し得る。管理者ユーザインタフェースは、ユーザ(システムまたはネットワーク管理者など)がアプリケーション(またはそのインスタンス)を第1の展開位置から第2の展開位置へ移動すること、1つまたは複数の展開位置におけるアプリケーションの新しいインスタンスをインスタンス化すること、展開位置からアプリケーションのインスタンスを除去すること、セキュリティ機能をアプリケーションに追加/アプリケーションから除去すること等を可能にし得る。いずれの実装シナリオでも、入力検出コンポーネント204は、アプリケーションを移動、コピーまたはインスタンス化するための要求または命令を受信または検出し得る。要求/命令は、1つまたは複数のリソース利用パラメータおよび/またはユーザインタフェース入力を評価することにより識別され得る。評価は、例えば、パターンマッチング、正規表現、ファジーマッチング、閾値分析等、1つまたは複数のデータ比較技術の使用を含み得る。
【0031】
セキュリティ評価エンジン206は、アプリケーション(またはそのインスタンス)に適用されるセキュリティ機能を識別するように構成され得る。例において、セキュリティ評価エンジン206は、入力検出コンポーネント204により受信または検出される入力に応答して呼び出され得る。例えば、アプリケーションを移動、コピーまたはインスタンス化するための要求または命令が受信または検出された場合、セキュリティ評価エンジン206が呼び出され得る。セキュリティ評価エンジン206を呼び出すことは、命令/コマンドおよび1つまたは複数のパラメータをセキュリティ評価エンジン206に提供することを含み得る。パラメータのうちの少なくとも1つは、アプリケーションを(アプリケーションの名前または識別子を介して)、アプリケーション展開位置を、および/または、アプリケーションに適用されるかまたはアプリケーションから除去される1つまたは複数のセキュリティ機能を識別し得る。例示的なセキュリティ機能は、限定されるわけではないが、アプリケーションセキュリティ制御、情報セキュリティ制御、ネットワークセキュリティ制御、エンドポイントセキュリティ制御およびインターネットセキュリティ制御を含む。セキュリティ評価エンジン206は、呼び出されると、識別されたアプリケーションに現在適用されているセキュリティ機能を評価し得る。
【0032】
態様において、アプリケーションのセキュリティ機能は、少なくとも静的セキュリティ機能または動的セキュリティ機能へ分類され、またはそうでなければ整理可能であってよい。静的セキュリティ機能は、アプリケーションがエッジ位置などの展開位置においてインスタンス化され、または展開位置へ展開される場合にアプリケーションに適用されるセキュリティ機能を指し得る。静的セキュリティ機能は、デフォルトセキュリティ構成、または、デバイスまたはデバイスタイプのグループに一様に適用されるセキュリティ構成を表し得る。例えば、静的セキュリティ機能は、アンチウイルス/アンチマルウェアプロバイダにより定期的に提供され、かつ、概して、複数のデバイスに適用可能であるセキュリティ更新を表し得る。動的セキュリティ機能は、特定のアプリケーションまたはアプリケーションインスタンスに適用されるセキュリティ機能を指し得る。動的セキュリティ機能は、アプリケーションが展開位置へ展開されている間、また、例えば、サイバー攻撃、ネットワーク挙動の予想されるユーザの逸脱、リソース利用パラメータの上昇等、特定のアプリケーションのためのネットワークアクティビティの検出に応答して、アプリケーションに適用され得る。例において、動的セキュリティ機能は、アプリケーション/インスタンスの展開位置に基づき、および/またはアプリケーション/インスタンスのためのネットワークアクティビティに基づき、アプリケーションおよび/またはアプリケーションのインスタンス間で異なり得る。それに応じて、動的セキュリティ機能は、単一のアプリケーションまたはアプリケーションインスタンスの現在のセキュリティ状態を表す。
【0033】
セキュリティ評価エンジン206は、識別されたアプリケーションに現在適用されているセキュリティ機能を評価した後、評価されたセキュリティ機能の構成設定を格納し得る。例えば、セキュリティ評価エンジン206は、静的セキュリティ機能を第1の構成ファイルに格納し、動的セキュリティ機能を第2の構成ファイルに格納し得る。代替的に、静的セキュリティ機能および動的セキュリティ機能は、同じ構成ファイルまたはデータ構造に格納され得る。いくつかの態様において、構成設定は、処理環境200にローカルに格納され得る。他の態様において、構成設定の少なくとも一部は、処理環境200の外部の集中型データレポジトリへ伝送されてよく、この集中型データレポジトリにより格納されてよい。例えば、構成設定は、様々なエッジ位置に位置するエッジデバイスによりアクセス可能であるコアネットワークまたはコアコンピューティング環境へ伝送され得る。
【0034】
アプリケーションインスタンス化エンジン208は、アプリケーションのインスタンスを展開位置に追加するように、および/または展開位置から除去するように構成され得る。例において、アプリケーションインスタンス化エンジン208は、1つまたは複数のアプリケーション(またはそのインスタンス)を追加または除去するための要求または命令を受信し得る。要求または命令は、コアネットワークにおける、またはそうでなければエッジコンピューティング環境の外部のデバイスから受信され得る。例えば、要求または命令は、入力検出コンポーネント204に関して上で説明したように、オーケストレーションデバイスの管理者ユーザインタフェースから伝送され得る。代替的に、要求または命令は、アプリケーション202のリソース利用パラメータをモニタリングするためのモニタリングプロセスから受信され得る。アプリケーションインスタンス化エンジン208は、要求または命令を受信すると、それに応じて、1つまたは複数のアプリケーションを追加および/または除去し得る。例えば、アプリケーションインスタンス化エンジン208は、第1のエッジ位置におけるアプリケーションをインスタンス化し、第2のエッジ位置からアプリケーションを除去し得る。別の例として、アプリケーションインスタンス化エンジン208は、アプリケーションの第1のインスタンスを備えるエッジ位置におけるアプリケーションの第2のインスタンスをインスタンス化し得る。
【0035】
セキュリティ適用エンジン210は、セキュリティ機能をアプリケーションに適用するように構成され得る。いくつかの態様において、セキュリティ適用エンジン210は、アプリケーションインスタンス化エンジン208が新しいネットワークアプリケーションインスタンスをインスタンス化した位置に実装され得る。他の態様において、セキュリティ適用エンジン210は、コアネットワークにおける、またはそうでなければエッジコンピューティング環境の外部のデバイス内に実装され得る。いずれの場合にも、セキュリティ適用エンジン210は、セキュリティ評価エンジン206により識別されるセキュリティ機能へのアクセスを有し得る。1つの例において、セキュリティ評価エンジン206(第1のアプリケーションインスタンスの展開位置に実装される)は、アプリケーションのセキュリティ機能をセキュリティ適用エンジン210(第2のアプリケーションインスタンスの展開位置に実装される)に提供し得る。代替的に、セキュリティ評価エンジン206は、セキュリティオブジェクト(例えば、セキュリティトークンまたはキー、パスワードまたは認証クレデンシャル)、およびセキュリティ機能(例えば、一意リソース識別子(URI)またはハイパーリンク)の位置をセキュリティ適用エンジン210に提供し得る。次に、セキュリティ適用エンジン210は、セキュリティオブジェクトおよび位置を用いて、セキュリティ機能を取得し得る。第2の例において、セキュリティ適用エンジン210は、集中型データレポジトリからセキュリティ機能を取得し得る。集中型データレポジトリは、セキュリティ適用エンジン210にローカルに、またはセキュリティ適用エンジン210から遠く離れて位置し得る。例えば、セキュリティ評価エンジン206は、新しいネットワークアプリケーションインスタンスの展開位置に実装されてよく、集中型データレポジトリは、コアネットワークに実装されてよい。
【0036】
セキュリティ適用エンジン210は、セキュリティ機能をアプリケーションの1つまたは複数のインスタンスに動的に適用し得る。例えば、セキュリティ適用エンジン210は、アプリケーションインスタンス化エンジン208によりインスタンス化されたアプリケーションの第2のインスタンスにアプリケーションの第1のインスタンスの動的および/または静的セキュリティ機能を適用し得る。動的および/または静的セキュリティ機能は、第2のインスタンスがインスタンス化される時点で(例えば、リアルタイムで)、アプリケーションの第2のインスタンスに適用され得る。代替的に、動的および/または静的セキュリティ機能は、第2のインスタンスが展開された後、アプリケーションの第2のインスタンスに適用され得る。結果として、アプリケーションの第2のインスタンスの現在のセキュリティ状態は、(例えば、第1のインスタンスのセキュリティ機能がセキュリティ評価エンジン206により識別されたときに)アプリケーションの第1のインスタンスの現在のセキュリティ状態と同じ(または実質的に同様)であってよい。さらに、アプリケーションの他のインスタンスは、他のエッジコンピューティング環境上のシステム100内に存在し得る。例えば、アプリケーションの第3のインスタンスは、第3のエッジコンピューティング環境上で以前にインスタンス化されていることがある。アプリケーションの第3のインスタンスは、第1のおよび第2のインスタンスと同じ静的セキュリティ機能を実装してよい;しかしながら、異なる動的セキュリティ機能が第3のインスタンスおよび/または第3のエッジコンピューティング環境の動的性能データにより第3のインスタンスに適用済みであることがあるので、第3のインスタンスに適用される動的セキュリティ機能は異なり得る。
【0037】
リダイレクトコンポーネント212は、受信したネットワークトラフィックをリダイレクトするように構成され得る。態様において、リダイレクトコンポーネント212は、アプリケーション202に向けられたネットワークトラフィックへのアクセスを有し得る。例えば、リダイレクトコンポーネント212は、処理環境200のゲートウェイデバイス(例えば、ルータまたはファイアウォール)により実装され得る。ゲートウェイデバイスは、アプリケーション202のためのポート転送またはポートマッピングサービスを提供し得る。そのような例において、入力検出コンポーネント204および/またはアプリケーションインスタンス化エンジン208により要求/命令が受信または検出された場合、コマンドがリダイレクトコンポーネント212へ送信され得る。コマンドは、処理環境200のコンポーネントにより自動的に送信されてよく、またはユーザ(例えば、ネットワーク管理者)により手動で提供されてよい。コマンドは、アプリケーション202のネットワークトラフィックの少なくとも一部を代替的な宛先へリダイレクトするようゲートウェイデバイスを構成し得る。例えば、アプリケーションを第1のエッジ位置から第2のエッジ位置へ移動するためのユーザ要求に基づいて、リダイレクトコンポーネント212は、アプリケーションのネットワークトラフィックを第1のエッジ位置から第2のエッジ位置におけるアプリケーションへリダイレクトし得る。
【0038】
フィルタリングエンジン214は、ネットワークトラフィックをフィルタリングするように構成され得る。態様において、フィルタリングエンジン214は、アプリケーション202に向けられたネットワークトラフィックがフィルタリングされるべきかどうかを判断するためのロジックを含み得る。ロジックは、アプリケーション202の1つまたは複数のリソース利用パラメータ、および/またはアプリケーション202に対する予想されるユーザまたはネットワーク挙動に基づき得る。例えば、サイバー攻撃が行われていると判断すると、フィルタリングエンジン214は、サイバー攻撃に関連付けられたネットワークトラフィックがフィルタリングされるべきと判断し得る。ロジックは、1つまたは複数のアルゴリズムまたはモデルへ組み込まれ得る。本明細書において用いられる場合、モデルは、予測的または統計的なユーティリティまたはプログラムを指すことがあり、このユーティリティまたはプログラムは、1つまたは複数の文字シーケンス、クラス、オブジェクト、結果セットまたはイベントにわたる確率分布を決定するために、および/または1つまたは複数の予測子から応答値を予測するために用いられ得る。モデルは、1つまたは複数のルールセット、機械学習(ML)またはニューラルネットワーク等に基づいてよく、またはこれらを組み込んでよい。
【0039】
フィルタリングエンジン214は、エッジコンピューティング環境のどのコンポーネント(存在する場合)がフィルタリングを実行するべきかを決定するためのロジックも含み得る。ロジックは、コンポーネントセキュリティ能力をセキュリティポリシーに関連付けるために、1つまたは複数のコンポーネント登録データ構造を利用し得る。例えば、エッジコンピューティングの様々なコンポーネント(例えば、イーサネット(登録商標)スイッチ、ネットワークインタフェースカード、ハイパーバイザスイッチ、デバイスオペレーティングシステム)が、それぞれのセキュリティ能力および/または実行コストを登録ユーティリティに登録し得る。実行コストは、1つまたは複数のアクションを実行するためのリソース利用および/または財務コストを示し得る。登録ユーティリティは、コンポーネントのセキュリティ能力および/または実行コストに基づき、各コンポーネントをセキュリティポリシーに割り当て、またはそうでなければ関連付け得る。セキュリティポリシーは、例えば、実行されるセキュリティアクションのセット、各セキュリティアクションを呼び出すための基準、および/またはセキュリティアクションの実行が可能なコンポーネントを定義し得る。登録ユーティリティおよび/またはフィルタリングエンジン214は、コンポーネントの現在の状態(例えば、利用可能な容量またはリソースロード)をモニタリングし得る。フィルタリングエンジン214は、アプリケーションに向けられたネットワークトラフィックがフィルタリングされるべきである、と判断した場合、ネットワークトラフィックに関連付けられたリソース利用パラメータに少なくとも基づいて、登録ユーティリティからセキュリティポリシーを選択し得る。フィルタリングエンジン214は、選択されたセキュリティポリシー、コンポーネントの現在の状態および/またはコンポーネントの実行コストに基づいて、フィルタリングを実行するためのコンポーネントを選択し得る。次に、選択されたコンポーネントは、フィルタリングを実行し得る。
【0040】
本明細書において開示される態様により使用され得る様々なシステムを説明してきたが、本開示は、ここで、本開示の様々な態様により実行され得る1つまたは複数の方法を説明する。態様において、方法300-600は、図1のシステム100または図2の処理環境200など、例示的なシステムにより実行され得る。しかしながら、方法300-600は、そのような例に限定されない。他の態様において、方法300-600は、単一のデバイスにより実行され得る。少なくとも1つの態様において、方法300-600は、ウェブサービス/分散ネットワークサービス(例えば、クラウドサービス)など、分散ネットワークの1つまたは複数のコンポーネントにより実行され得る。
【0041】
図3は、第1の展開位置におけるアプリケーションに動的に適用されるセキュリティ機能を第2の展開位置におけるアプリケーションへ移動する例示的な方法300を示す。方法300は、エッジコンピューティング環境内の1つまたは複数のデバイスおよび/またはコアネットワーク内の複数のデバイスにより実装され得る。例えば、方法300は、例えばエッジ環境104といったエッジ位置に展開されるエッジノード106など、エッジコンピューティングデバイスにより実装され得る。このデバイス(または、エッジコンピューティング環境またはコアネットワークに関連付けられた代替的なデバイス)は、アプリケーション202など、アプリケーションの第1のインスタンス(第1のアプリケーションインスタンス)を備え得る。1つまたは複数のセキュリティ構成および/またはセキュリティ機能が、第1のアプリケーションインスタンスに固有であり得るように、第1のアプリケーションインスタンスに適用され得る。
【0042】
方法300は、要求または命令が受信される動作302において始まる。態様において、エッジコンピューティング環境および/またはコアネットワークに関連付けられた管理コンポーネントは、第1のアプリケーションインスタンスに関連付けられた要求/命令を受信し得る。要求/命令は、第1のアプリケーションインスタンスまたはアプリケーションの代替的なインスタンスの修正、再配置、インスタンス化または除去に関連し得る。例えば、ユーザは、コアネットワークのオーケストレーションコンポーネントにアクセスし得る。オーケストレーションコンポーネントは、第1のアプリケーションインスタンスのための管理者ユーティリティまたは管理者サービスを提供し得る。ユーザは、オーケストレーションコンポーネントの1つまたは複数のインタフェースを介して、第1のアプリケーションインスタンスをデンバーの第1のエッジ位置からシアトルの第2のエッジ位置へ移動するための要求を提供し得る。別の例として、第1のアプリケーションインスタンスを備えるエッジコンピューティングデバイスは、入力検出コンポーネント204など、モニタリングコンポーネントをさらに備え得る。モニタリングコンポーネントは、第1のアプリケーションインスタンスに関連付けられたリソース利用パラメータをモニタリングし得る。モニタリングされたリソース利用パラメータに許容可能な境界を超えさせてしまう条件(例えば、サイバー攻撃、ネットワークトラフィックの増加、予期せぬネットワーク挙動)をモニタリングコンポーネントが検出した場合、モニタリングコンポーネントは、第1のアプリケーションインスタンスを第1のエッジ位置から第2のエッジ位置へ移動させ得る。代替的に、モニタリングコンポーネントは、第1のアプリケーションインスタンスが第1のエッジ位置から第2のエッジ位置へコピーされる旨のインジケーションまたは通知を生成し得る。
【0043】
動作304において、アプリケーションに動的に適用されるセキュリティ構成/機能(「動的セキュリティ機能」)が識別され得る。態様において、動作302における要求/命令の受信に応答して、セキュリティ評価エンジン206など、セキュリティ評価メカニズムが呼び出され得る。セキュリティ評価メカニズムは、第1のアプリケーションインスタンスを評価して、第1のアプリケーションインスタンスに適用される動的セキュリティ機能を識別し得る。動的セキュリティ機能は、第1のアプリケーションインスタンスに関連付けられた疑わしいまたは予期せぬネットワークアクティビティの検出に応答して第1のアプリケーションインスタンスに適用されるセキュリティ機能を表し得る。動的セキュリティ機能の例は、限定されるわけではないが、DDoS軽減機能(例えば、チャレンジ-レスポンス認証、データ検査、ホワイトリストおよび/またはブラックリストに入っているIPアドレス)、ファイアウォール分析機能(例えば、パケット検査、ネットワークレベルトラフィックブロック/パススルー、アプリケーションレベルネットワークトラフィックブロック/パススルー)、ユーザ分析機能(例えば、ユーザ挙動履歴分析、ユーザエイリアスまたは既知のアソシエイト、ユーザの許可リストおよび/または拒否リスト、アカウントおよび役割)およびデータ損失防止機能(例えば、TCPストリーム/ペイロード分析、セキュリティ決定分析)を含む。例えば、アプリケーションの第1のインスタンスがサイバー攻撃を受けていることの検出に応答して、攻撃デバイスに一意に関連付けられた1つまたは複数のIPアドレスまたはトラフィックが動的にブロックされてよく、検出された特定のタイプのサイバー攻撃に対するセキュリティ保護が、アプリケーションの第1のインスタンスに適用されてよい。これらのセキュリティ措置は、アプリケーションの第1のインスタンスの動的セキュリティ機能として識別され得る。
【0044】
動的セキュリティ機能を識別するために、セキュリティ評価メカニズムは、第1のアプリケーションインスタンスの1つまたは複数の現在のセキュリティ構成ファイル/設定および/または第1のアプリケーションインスタンスの以前に適用されたセキュリティ構成ファイル/設定を評価し得る。評価は、1つまたは複数の検索ユーティリティまたはディスクイメージング/クローニングユーティリティ等の使用を含み得る。代替的に、セキュリティ評価メカニズムは、現在のセキュリティ状態または1つまたは複数の過去のセキュリティ状態について第1のアプリケーションインスタンスをクエリするコマンドまたは命令セットを実行し得る。セキュリティ評価メカニズムは、識別された動的セキュリティ機能を1つまたは複数の格納位置(例えば、エッジデバイスのローカルメモリ、コアネットワークデバイスのローカルメモリ、エッジデバイスまたはコアネットワークデバイスの構成ファイル、エッジコンピューティング環境の中央レポジトリ)に格納し得る。例において、第1のエッジ環境が機能しなくなり、第2のエッジ環境における第2のアプリケーションインスタンスが第1のエッジ環境へのアクセスなしでインスタンス化される必要がある場合に最近の動的セキュリティ機能が用いられ得るように、動的セキュリティ機能は、定期的に評価され、コアネットワーク内に格納され得る。
【0045】
いくつかの態様において、セキュリティ評価メカニズムはさらに、第1のアプリケーションインスタンスを評価して、第1のアプリケーションインスタンスに適用される静的セキュリティ機能を識別し得る。静的セキュリティ機能は、デフォルトセキュリティ構成、または、デバイスまたはデバイスタイプのグループに一様に適用されるセキュリティ構成を表し得る。静的セキュリティ機能は、第1のアプリケーションインスタンスに関連付けられた現在と過去のネットワークアクティビティにかかわらず、第1のアプリケーションインスタンスに適用され得る。セキュリティ評価メカニズムは、第1のアプリケーションインスタンスの現在のおよび/または以前に適用されたセキュリティ構成ファイル/設定を評価することにより、静的セキュリティ機能を識別し得る。代替的に、セキュリティ評価メカニズムは、アプリケーションに関連付けられたコアネットワークまたはコアコンピューティング環境により提供されるグローバルまたはデフォルトセキュリティ構成ファイル/設定を評価し得る。
【0046】
動作306において、アプリケーションの第2のインスタンス(「第2のアプリケーションインスタンス」)がインスタンス化され得る。態様において、動作302において受信された要求/命令に基づいて、アプリケーションインスタンス化エンジン208など、インスタンス化コンポーネントが呼び出され得る。インスタンス化コンポーネントは、第2のエッジ位置における第2のアプリケーションインスタンスをインスタンス化し得る。第2のアプリケーションインスタンスの機能は、第1のアプリケーションインスタンスの機能と同じ(または同様)であってよい。しかしながら、インスタンス化時点で、第2のアプリケーションインスタンスは、第1のアプリケーションインスタンスの動的セキュリティ機能を含んでいなくてよい。代わりに、第2のアプリケーションインスタンスは、静的セキュリティ機能のみを含んでいてよく、またはセキュリティ機能を含んでいなくてよい。代替的な態様において、インスタンス化コンポーネントは、第1のアプリケーションインスタンスを第1のエッジ位置から第2のエッジ位置へ移動(例えば、コピー/ペースト)し得る。第1のアプリケーションインスタンスを移動することは、第1のアプリケーションインスタンスへのネットワークトラフィックを一時停止すること、第1のアプリケーションインスタンスのアプリケーションおよび対応するファイル(例えば、アプリケーションファイル、構成ファイル、データファイル)をデータパッケージへコピーすること、データパッケージを第2のエッジ位置へ伝送すること、およびデータパッケージを第2のエッジ位置にペースト/インストールすることを含み得る。第2のエッジ位置への第1のアプリケーションインスタンスのペースト/インストール時に、第1のアプリケーションインスタンスは、第1のエッジ位置における第1のアプリケーションインスタンスの動的および/または静的セキュリティ機能の両方を含み得る(が、その必要はない)。
【0047】
動作308において、第1のアプリケーションインスタンスの動的セキュリティ機能が第2のアプリケーションインスタンスに適用され得る。態様において、セキュリティ適用エンジン210など、セキュリティインストールメカニズムは、第1のアプリケーションインスタンスの動的セキュリティ機能および/または静的セキュリティ機能を受信し、またはこれらにアクセスし得る。セキュリティインストールメカニズムは、少なくとも動的セキュリティ機能を第2のアプリケーションインスタンスへリアルタイムで(例えば、第2のアプリケーションインスタンスのインスタンス化時に)適用し得る。いくつかの例において、動的セキュリティ機能を第2のアプリケーションインスタンスに適用することは、構成オプションのセットを第2のアプリケーションインスタンスにアップロードまたは設定することを含み得る。他の例において、動的セキュリティ機能を第2のアプリケーションインスタンスに適用することは、一連のセキュリティ更新/機能を第2のアプリケーションに順次適用することを含み得る。いずれの例でも、第2のアプリケーションインスタンスへの第1のアプリケーションインスタンスの動的セキュリティ機能(および/または静的セキュリティ機能)の適用時に、第1のアプリケーションインスタンスおよび第2のアプリケーションインスタンスは、同じ(または実質的に同様の)セキュリティ状態を共有する。
【0048】
任意選択的な動作310において、第1のアプリケーションインスタンスが除去され得る。態様において、第1のアプリケーションインスタンスの少なくとも動的セキュリティ機能が第2のアプリケーションインスタンスに適用された後、インスタンス化コンポーネントは、第1のアプリケーションインスタンスを除去または無効化し得る。その後、第1のアプリケーションインスタンスに向けられたネットワークトラフィックは、リダイレクトコンポーネント212など、リダイレクトメカニズムにより、第2のアプリケーションインスタンスへリダイレクトされ得る。他の例において、第2のアプリケーションインスタンスは、(置換ではなく)追加のインスタンスとして意図されてよく、この場合、第1のアプリケーションインスタンスおよび第2のアプリケーションインスタンスの両方が、通常のロード共有手順毎に、アプリケーションのロードを共有するように維持および利用され得る。
【0049】
図4は、展開されたアプリケーションのインスタンスをローカルに拡張/縮小する例示的な方法400を示す。方法400は、エッジコンピューティングデバイス、ユーザデバイスまたはコアネットワーク/コンピューティング環境など、エッジコンピューティング環境における1つまたは複数のデバイスにより実装され得る。デバイスは、第1のエッジ位置に展開されるアプリケーションの第1のインスタンス(「第1のアプリケーションインスタンス」)を含み得る。1つまたは複数のセキュリティ構成/セキュリティ機能は、適用されたセキュリティ構成/機能が第1のアプリケーションインスタンスに固有であるように、第1のアプリケーションインスタンスに適用され得る。
【0050】
方法400は、第1のアプリケーションインスタンスに関連付けられた性能データが収集され得る動作402において始まる。態様において、第1のアプリケーションインスタンスを備えるデバイスは、入力検出コンポーネント204など、モニタリングコンポーネントをさらに備えてよく、またはモニタリングコンポーネントによりアクセス可能であってよい。モニタリングコンポーネントは、第1のアプリケーションインスタンスにより受信されるネットワークトラフィックのネットワーク性能データ、および/または第1のアプリケーションインスタンスに関連付けられたリソース利用パラメータなど、第1のアプリケーションインスタンスの性能データをモニタリングおよび/または収集し得る。例示的なネットワーク性能データは、とりわけ、送信元IPアドレスまたは地理的領域から受信されるネットワーク要求の数、1つまたは複数のネットワークまたはエンドポイントデバイスにより受信されるネットワーク要求の数、ネットワーク要求の傾向、1つまたは複数のデバイスのシステムロード、およびネットワークレイテンシを含み得る。リソース利用パラメータの例は、負荷平均、CPU使用量、メモリ使用量、スワップ領域使用量、ページスワップ、ディスク使用量等を含み得る。
【0051】
動作404において、第1のアプリケーションインスタンスの性能データが評価され得る。態様において、収集された性能データは、例えば、決定木、ロジスティック回帰、サポートベクタマシン(SVM)、k近傍法(KNN)アルゴリズム、ニューラルネットワーク、単純ベイズ分類器、線形回帰、k平均法クラスタリング等、1つまたは複数の人工知能(AI)、機械学習(ML)または他のロジックメカニズムを用いて評価され得る。評価は、性能データにおける1つまたは複数のパラメータを閾値または予め定義された値と比較することを含み得る。例えば、収集された性能データは、第1のアプリケーションインスタンスを備えるデバイスに実装されたMLモデルに提供され得る。MLモデルは、性能データをパースして、第1のアプリケーションインスタンスの現在のCPU使用量値を識別し得る。MLモデルは、現在のCPU使用量値を第1のアプリケーションインスタンス、デバイスまたはコアネットワーク/コンピューティング環境により予め定義されたCPU使用量閾値と比較し得る。CPU使用量閾値は、許容可能なまたは予想されるCPU使用量値範囲を示し得る。
【0052】
判断動作406において、評価された性能データに基づき、判断が行われ得る。性能データは閾値/予め定義された値と一致していない、または閾値/予め定義された値を超えていない、と動作404の評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法400は、動作402へ戻る。しかしながら、性能データは閾値/予め定義された値と一致している、または閾値/予め定義された値を超えている、と評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法400は、動作408へ進む。本明細書において用いられる場合、閾値を「超える」は、文脈に応じて特定の閾値を上回っているかまたは下回っていると判断される特定の測定されたパラメータを含み得る。
【0053】
動作408において、アプリケーションの第2のインスタンス(「第2のアプリケーションインスタンス」)がインスタンス化され得る。態様において、性能データが閾値/予め定義された値と一致している、またはこれらを超えていると判断された場合、アプリケーションインスタンス化エンジン208など、インスタンス化コンポーネントが呼び出され得る。インスタンス化コンポーネントは、第1のエッジ位置における第2のアプリケーションインスタンスをインスタンス化し得る。代替的に、インスタンス化コンポーネントは、1つまたは複数の第2のエッジ位置における第2のアプリケーションインスタンスをインスタンス化し得る。いくつかの例において、第2のアプリケーションインスタンスの能力は、第1のアプリケーションインスタンスの能力と同じ(または同様)であってよい。他の例において、第2のアプリケーションインスタンスの能力は、第1のアプリケーションインスタンスの能力とは明らかに異なり得る。例えば、第2のアプリケーションインスタンスは、著しくより高い処理能力、および増加したワークロードボリュームを処理するための追加の機能を含み得る。いずれの例でも、インスタンス化時に、第2のアプリケーションインスタンスは、第1のアプリケーションインスタンスの1つまたは複数のセキュリティ機能を含んでいなくてよい。例えば、インスタンス化時に、第2のアプリケーションインスタンスは、いかなるセキュリティ機能も含んでいなくてよく、または第1のアプリケーションインスタンスの静的セキュリティ機能のみを含んでいてよい。
【0054】
動作410において、第1のアプリケーションインスタンスに適用されるセキュリティ構成またはセキュリティ機能セットが識別され得る。態様において、セキュリティ評価エンジン206など、セキュリティ評価メカニズムは、第1のアプリケーションインスタンスに適用される動的セキュリティ機能を識別するために用いられ得る。動的セキュリティ機能は、第1のアプリケーションインスタンスに関連付けられた疑わしいまたは予期せぬネットワークアクティビティの検出に応答して第1のアプリケーションインスタンスに適用されるセキュリティ機能を表し得る。代替的に、動的セキュリティ機能は、第1のアプリケーションインスタンスがエッジ位置へ展開されている間に行われる1つまたは複数のセキュリティ判断に応答して第1のアプリケーションインスタンスに動的に適用されるセキュリティ機能を表し得る。セキュリティ評価メカニズムは、第1のアプリケーションインスタンスに適用される静的セキュリティ機能を識別するためにも用いられ得る。静的セキュリティ機能は、デフォルトセキュリティ構成、または、デバイスまたはデバイスタイプのグループに一様に適用されるセキュリティ構成を表し得る。動的および/または静的セキュリティ機能を識別することは、第1のアプリケーションインスタンスの1つまたは複数の現在のおよび/または以前に適用されたセキュリティ構成ファイル/設定を評価することを含み得る。セキュリティ評価メカニズムは、識別された動的および/または静的セキュリティ機能を1つまたは複数の格納位置に格納し得る。
【0055】
動作412において、第1のアプリケーションインスタンスのセキュリティ機能が第2のアプリケーションインスタンスに適用され得る。態様において、セキュリティ適用エンジン210など、セキュリティインストールメカニズムが、識別された動的および/または静的セキュリティ機能を第2のアプリケーションインスタンスにリアルタイムで(例えば、第2のアプリケーションインスタンスのインスタンス化時に)適用し得る。セキュリティ機能を第2のアプリケーションインスタンスに適用することは、構成オプションのセットを第2のアプリケーションインスタンスにアップロードまたは設定すること、一連のセキュリティ更新/機能を第2のアプリケーションに順次適用すること、または動的および静的セキュリティ機能を第2のアプリケーションに特定の順序で適用することを含み得る。第2のアプリケーションインスタンスへの動的および/または静的セキュリティ機能の適用時に、第1のアプリケーションインスタンスおよび第2のアプリケーションインスタンスは、同じ(または実質的に同様の)セキュリティ状態を共有する。例えば、1つまたは複数のIPアドレスが第1のアプリケーションインスタンスにより以前にブロックされていた場合、第2のアプリケーションインスタンスのセキュリティ状態は、1つまたは複数のIPアドレスが第2のアプリケーションインスタンスによってもブロックされるようなものになる。
【0056】
任意選択的な動作414において、第1のアプリケーションインスタンスのネットワークトラフィックおよび/または1つまたは複数のワークロードが、第2のアプリケーションインスタンスへリダイレクトされ得る。態様において、セキュリティ機能が第2のアプリケーションインスタンスに適用された後、リダイレクトコンポーネント212など、リダイレクトメカニズムは、第1のアプリケーションインスタンスのネットワークトラフィックの少なくとも一部を第2のアプリケーションインスタンスへリダイレクトし得る。例えば、第2のアプリケーションインスタンスの能力が第1のアプリケーションインスタンスにおおよそ等しい場合、第1のアプリケーションインスタンスのネットワークトラフィックのおおよそ半分が第2のアプリケーションインスタンスへリダイレクトされ得る。代替的に、第2のアプリケーションの能力が第1のアプリケーションインスタンスの能力を超えている場合、第1のアプリケーションインスタンスのネットワークトラフィックのより大きい割合が第2のアプリケーションインスタンスへリダイレクトされ得る。いくつかの態様において、1つまたは複数のワークロード(またはその一部)は、第1のアプリケーションインスタンスから第2のアプリケーションインスタンスへ移動され得る。例えば、第2のアプリケーションインスタンスの能力が第1のアプリケーションインスタンスの能力を超えている場合、第2のアプリケーションインスタンスの向上した処理能力を活用するために、特にプロセッサに負担がかかるワークロードが、第2のアプリケーションインスタンスへ移動され得る。
【0057】
態様において、セキュリティ機能が第2のアプリケーションインスタンスに適用された後、モニタリングコンポーネントは、第1のアプリケーションインスタンスおよび/または第2のアプリケーションインスタンスの性能データを収集し得る。収集された性能データは、動作404に関して開示されるように、評価され得る。第1のアプリケーションインスタンスおよび/または第2のアプリケーションインスタンスの性能データはもはや、閾値/予め定義された値と一致していない、または閾値/予め定義された値を超えていない、と後に判断された場合、第1のアプリケーションインスタンスまたは第2のアプリケーションインスタンスのうちの少なくとも1つを除去する決定が行われ得る。例えば、第1のアプリケーションインスタンスのCPU使用量はもはやCPU使用量閾値を超えていない、または特定の期間(例えば、5分)にわたってCPU使用量閾値を超えていない、と動作404の評価メカニズムが判断した場合、インスタンス化コンポーネントは、第2のアプリケーションインスタンスを除去または無効化し得る。
【0058】
図5は、検出された悪意ある行為に関連付けられたネットワークトラフィックを第1のアプリケーション展開環境からセキュリティ保護された第2のアプリケーション展開環境へリダイレクトする例示的な方法500を示す。方法500は、エッジコンピューティングデバイス、ユーザデバイス、IoTデバイスまたはコアネットワーク/コンピューティング環境など、エッジコンピューティング環境(例えば、第1のアプリケーション展開環境)内の1つまたは複数のデバイスにより実装され得る。デバイスは、第1のエッジ位置に展開されるアプリケーションの第1のインスタンス(「第1のアプリケーションインスタンス」)を含み得る。1つまたは複数のセキュリティ構成/セキュリティ機能は、適用されたセキュリティ構成/機能が第1のアプリケーションインスタンスに固有であるように、第1のアプリケーションインスタンスに適用され得る。
【0059】
方法500は、第1のアプリケーションインスタンスに関連付けられた性能データが収集され得る動作502において始まる。態様において、第1のアプリケーションインスタンスを備えるデバイスは、入力検出コンポーネント204など、モニタリングコンポーネントをさらに備えてよく、またはモニタリングコンポーネントによりアクセス可能であってよい。モニタリングコンポーネントは、第1のアプリケーションインスタンスにより受信されるネットワークトラフィックのネットワーク性能データ、および/または第1のアプリケーションインスタンスに関連付けられたリソース利用パラメータなど、第1のアプリケーションインスタンスの性能データをモニタリングおよび/または収集し得る。
【0060】
動作504において、第1のアプリケーションインスタンスの性能データが評価され得る。態様において、収集された性能データは、方法400の動作404に関して開示されるように、1つまたは複数の人工知能(AI)、機械学習(ML)または他のロジックメカニズムを用いて評価され得る。評価は、性能データにおける1つまたは複数のパラメータを閾値または予め定義された値と比較することを含み得る。例えば、収集された性能データは、第1のアプリケーションインスタンスを備えるデバイスに実装されたAIモデルに提供され得る。AIモデルは、性能データをパースして、送信元IPアドレスから受信されるネットワーク要求の数が最後の15分で3000%増えたことを識別し得る。この情報に基づいて、AIモデルは、DoS攻撃などのサイバー攻撃が行われている、と判断し得る。
【0061】
判断動作506において、評価された性能データに基づき、判断が行われ得る。性能データは閾値/予め定義された値を超えていない、または悪意ある挙動を示す可能性が低い、と動作504の評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法500は、動作502へ戻る。しかしながら、性能データは閾値/予め定義された値と一致している、または閾値/予め定義された値を超えている、または悪意ある挙動を示す可能性がある、と評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法500は、動作508へ進む。
【0062】
任意選択的な動作508において、第1のアプリケーションインスタンスに適用されるセキュリティ構成またはセキュリティ機能セットが識別され得る。態様において、セキュリティ評価エンジン206など、セキュリティ評価メカニズムは、第1のアプリケーションインスタンスに適用される動的および/または静的セキュリティ機能を識別するために用いられ得る。動的セキュリティ機能は、第1のアプリケーションインスタンスに関連付けられた疑わしいまたは予期せぬネットワークアクティビティの検出に応答して第1のアプリケーションインスタンスに適用されるセキュリティ機能を表し得る。代替的に、動的セキュリティ機能は、第1のアプリケーションインスタンスがエッジ位置へ展開されている間に行われる1つまたは複数のセキュリティ判断に応答して第1のアプリケーションインスタンスに動的に適用されるセキュリティ機能を表し得る。セキュリティ評価メカニズムは、第1のアプリケーションインスタンスに適用される静的セキュリティ機能を識別するためにも用いられ得る。静的セキュリティ機能は、デフォルトセキュリティ構成、または、デバイスまたはデバイスタイプのグループに一様に適用されるセキュリティ構成を表し得る。動的および/または静的セキュリティ機能を識別することは、第1のアプリケーションインスタンスの1つまたは複数の現在のおよび/または以前に適用されたセキュリティ構成ファイル/設定を評価することを含み得る。
【0063】
任意選択的な動作510において、第1のアプリケーションインスタンスのセキュリティ機能が第2のアプリケーションインスタンスに適用され得る。態様において、セキュリティ適用エンジン210など、セキュリティインストールメカニズムが、識別された動的および/または静的セキュリティ機能をセキュリティ保護されたコンピューティング環境(例えば、第2のアプリケーション展開環境)に適用し得る。セキュリティ保護されたコンピューティング環境は、ホストデバイスまたはオペレーティングシステムに害を与えるリスクなく未検査のまたは信用できないプログラムまたはコードを実行するためのセキュリティメカニズムを提供し得る。例えば、未検証のまたは信用できないエンティティ(例えば、サードパーティ、サプライヤ、ユーザまたはウェブサイト)からのプログラムまたはコードは、意図しないまたは望ましくない影響についてプログラムまたはコードをモニタリングするために、セキュリティ保護されたコンピューティング環境で実行され得る。システム障害を軽減し、および/またはソフトウェア脆弱性が拡散するのを防ぐために、セキュリティ保護されたコンピューティング環境は、プログラムまたはコードの実行のための密に制御されるリソースのセットを提供し得る。さらに、セキュリティ保護されたコンピューティング環境は、未検証のまたは信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防止または制限し得る。
【0064】
態様において、セキュリティ保護されたコンピューティング環境は、アプリケーションの既存の第2のインスタンス(「第2のアプリケーションインスタンス」)を備え得る。代替的に、第2のアプリケーションインスタンスは、第1のアプリケーションインスタンスのセキュリティ機能が識別された後、アプリケーションインスタンス化エンジン208など、インスタンス化コンポーネントによりインスタンス化され得る。いずれの場合にも、セキュリティ適用エンジン210など、セキュリティインストールメカニズムが、第1のアプリケーションインスタンスの識別された動的および/または静的セキュリティ機能を第2のアプリケーションインスタンスにリアルタイムで適用し得る。
【0065】
動作512において、第1のアプリケーションインスタンスのネットワークトラフィックが、第2のアプリケーションインスタンスへリダイレクトされ得る。態様において、セキュリティ機能が第2のアプリケーションインスタンスに適用された後、リダイレクトコンポーネント212など、リダイレクトメカニズムは、第1のアプリケーションインスタンスのネットワークトラフィックの少なくとも一部をセキュリティ保護されたコンピューティング環境における第2のアプリケーションインスタンスへリダイレクトし得る。ネットワークトラフィックは、リダイレクトが行われたことをネットワークトラフィックに関連付けられたユーザまたはデバイスが認識していないように、セキュリティ保護されたコンピューティング環境へリダイレクトされ得る。例えば、攻撃者のネットワークトラフィックは、攻撃者へのリダイレクトの通知またはインジケーションを提供することなく、第1のアプリケーションインスタンスから第2のアプリケーションインスタンスへリダイレクトされ得る。
【0066】
任意選択的な動作514において、第2のアプリケーションインスタンスに関連付けられた性能データが収集される。態様において、セキュリティ保護されたコンピューティング環境のモニタリングコンポーネントは、第2のアプリケーションインスタンスにより受信されるネットワークトラフィックのネットワーク性能データ、および/または第2のアプリケーションインスタンスに関連付けられたリソース利用パラメータなど、第2のアプリケーションインスタンスの性能データをモニタリングし得る。第2のアプリケーションインスタンスの性能データは、ネットワークトラフィックに関連付けられたユーザまたはデバイスの攻撃ベクトルまたは方法論を識別するために用いられ得る。次に、識別された攻撃ベクトルまたは方法論の知識が、1つまたは複数の攻撃軽減技術を実装または識別するために用いられ得る。
【0067】
図6は、マルチステージネットワークトラフィックフィルタリングを実行する例示的な方法600を示す。方法600は、エッジコンピューティングデバイス、ユーザデバイスまたはコアネットワーク/コンピューティング環境など、エッジコンピューティング環境における1つまたは複数のデバイスにより実装され得る。デバイスは、エッジ位置に実装されてよく、アプリケーションの少なくとも1つのインスタンス(「アプリケーションインスタンス」)を備えてよい。1つまたは複数のセキュリティ構成/セキュリティ機能は、適用されたセキュリティ構成/機能がアプリケーションインスタンスに固有であるように、アプリケーションインスタンスに適用され得る。
【0068】
方法600は、アプリケーションインスタンスに関連付けられた性能データが収集される動作602において始まる。態様において、アプリケーションインスタンスを備えるデバイスは、入力検出コンポーネント204など、モニタリングコンポーネントをさらに備えてよく、またはモニタリングコンポーネントによりアクセス可能であってよい。モニタリングコンポーネントは、アプリケーションインスタンスにより受信されるネットワークトラフィックのネットワーク性能データ、および/またはアプリケーションインスタンスに関連付けられたリソース利用パラメータなど、第1のアプリケーションインスタンスの性能データをモニタリングおよび/または収集し得る。
【0069】
動作604において、アプリケーションインスタンスの性能データが評価され得る。態様において、収集された性能データは、方法400の動作404に関して開示されるように、1つまたは複数の人工知能(AI)、機械学習(ML)または他のロジックメカニズムを用いて評価され得る。評価は、性能データにおける1つまたは複数のパラメータを閾値または予め定義された値と比較することを含み得る。例えば、受信されたネットワークトラフィック/挙動を分類するためのロジックルールセットが、収集された性能データに適用され得る。ロジックルールセットは、性能データおよび/またはネットワークトラフィックにおける1つまたは複数の性能パラメータおよび/またはソース識別データオブジェクトを識別し得る。ソース識別データオブジェクトの例は、ユーザ識別子(例えば、ユーザ名、ユーザ識別子、アカウント識別子)、デバイス識別子(例えば、デバイス名、IPアドレス、媒体アクセス制御(MAC)アドレス)、発信ネットワーク/領域データ(例えば、ネットワーク追跡情報、パケットヘッダ情報)等を含み得る。性能パラメータおよび/またはソース識別データオブジェクトは、1つまたは複数の閾値、許可リストまたは拒否リストと比較され得る。許可リストは、アクセスが承認されているエンティティ、ユーザ識別子、デバイス識別子またはネットワーク等のリストを含み得る。対照的に、拒否リストは、アクセスが拒否または制限されているエンティティ、ユーザ識別子、デバイス識別子またはネットワーク等のリストを含み得る。例えば、ネットワークトラフィックにおけるIPアドレスは、ブロックされているまたは疑わしいIPアドレスの拒否リストに対して評価され得る。
【0070】
判断動作606において、評価された性能データに基づき、判断が行われ得る。性能データは閾値/予め定義された値を超えていない、または悪意ある挙動を示す可能性が低い、と動作604の評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法600は、動作602へ戻る。例えば、特定の量のネットワークトラフィックに関連付けられたIPアドレスが拒否リスト内に見つからない場合、ネットワークトラフィックは、フィルタリングされなくてよい。しかしながら、性能データは閾値/予め定義された値と一致している、または閾値/予め定義された値を超えている、または悪意ある挙動を示す可能性がある、と評価メカニズム(またはエッジコンピューティング環境の代替的な決定コンポーネント)が判断した場合、方法600は、動作608へ進む。
【0071】
動作608において、受信されたネットワークトラフィックをフィルタリングするためのコンポーネントが選択され得る。態様において、デバイスおよび/またはエッジコンピューティング環境の1つまたは複数のコンポーネントが、コンポーネント登録サービス/ユーティリティに登録され得る。コンポーネント登録サービス/ユーティリティは、デバイスにローカルに実装されてよく、またはデバイスによりリモートでアクセスされてよい。コンポーネント登録サービス/ユーティリティに登録するために、コンポーネントはそれぞれ、例えば、有効化されている機能/機能性、利用可能な容量(例えば、処理容量、格納容量、ワークロード容量)、セキュリティ能力、アクション/イベント実行コスト、適用可能な制限または使用量情報(例えば、サービスまたはライセンス契約)等、情報をコンポーネント登録サービス/ユーティリティに提供し得る。コンポーネントにより提供される登録情報に基づいて、コンポーネント登録サービス/ユーティリティは、各コンポーネントをセキュリティポリシーに割り当て、またはそうでなければ関連付け得る。セキュリティポリシーは、実行されるセキュリティアクションのセット、各セキュリティアクションを呼び出すための基準、および/またはセキュリティアクションの実行が可能なコンポーネントを定義し得る。
【0072】
態様において、評価された性能データは、フィルタリングエンジン214など、コンポーネント選択メカニズムに提供され(またはそうでなければコンポーネント選択メカニズムを検索するために用いられ)得る。コンポーネント選択メカニズムは、評価された性能データを用いて、1つまたは複数の適用可能なセキュリティポリシーをコンポーネント登録サービス/ユーティリティから選択し得る。例えば、評価された性能データは、SYNフラッドなど、特定のサイバー攻撃を示すネットワークトラフィックをアプリケーションインスタンスが現在受信していることを示し得る。コンポーネント選択メカニズムは、評価された性能データをパースして、SYNフラッド攻撃を示す用語または他の内容を識別し得る。SYNフラッド攻撃の識別に応答して、コンポーネント選択メカニズムは、1つまたは複数のパターンマッチング技術(例えば、正規表現、ワイルドカード、文脈自由文法)を用いて、関連するセキュリティポリシーを求めてコンポーネント登録サービス/ユーティリティを検索し得る。例えば、コンポーネント登録サービス/ユーティリティは、ネットワークインタフェースカードがSYNフラッド攻撃を(例えば、1メガバイト(MB)当たり)第1のコストでフィルタリングできることを示す第1のセキュリティポリシー、および、デバイスハイパーバイザがSYNフラッド攻撃を第1のコストよりも高い(1MB当たりより高価な)第2のコストでフィルタリングできることを示す第2のセキュリティポリシーを含み得る。結果として、コンポーネント選択メカニズムは、ネットワークインタフェースカードを選択し得る。この選択は、実行されるべきタスクおよび/または関連する詳細(例えば、攻撃IPアドレス、攻撃タイプ、要求されたフィルタリングのタイプ、フィルタリングの持続時間、リダイレクトIPアドレス)を指定するネットワークインタフェースカードへ通知、コマンドまたは命令セットを送信することを含み得る。
【0073】
動作610において、選択されたコンポーネントが、受信されたネットワークトラフィックをフィルタリングし得る。例えば、上記の例から続けると、選択されたネットワークインタフェースカードは、受信されたネットワークトラフィックに関連付けられたIPアドレスの示された範囲に対してパケットブロックを実行し得る。いくつかの態様において、複数のコンポーネントが、コンポーネント選択メカニズムにより選択され得る。複数のコンポーネントの各々は、複数のコンポーネントの現在の状態に基づいてネットワークトラフィックの少なくとも一部をフィルタリングすることを選択し得る。例えば、ネットワークインタフェースカードおよびデバイスハイパーバイザは、進行中のSYNフラッド攻撃をフィルタリングするために選択され得る。選択の時点で、ネットワークインタフェースカードは、各コンポーネントに関連付けられたコストにまずは基づいてフィルタリングを実行するために選択され得る。ネットワークインタフェースカードリソースが許容可能な使用量レベルを超え、または利用不可能になってしまう原因となるイベントが、ネットワークインタフェースカードがネットワークトラフィックをフィルタリングしている間に発生し得る。結果として、コンポーネント選択メカニズムは、ネットワークインタフェースカードの代わりに(またはネットワークインタフェースカードに加えて)ネットワークトラフィックのフィルタリングを始めるようデバイスハイパーバイザに命令し得る。
【0074】
図7は、本明細書において説明されるルーティング範囲制限技術のための例示的な適切な動作環境を示す。その最も基本的な構成において動作環境700は、典型的には、少なくとも1つの処理ユニット702およびメモリ704を含む。コンピューティングデバイスの正確な構成およびタイプに応じて、(本明細書において開示される技術を実行するための命令を格納した)メモリ704は、揮発性(RAMなど)、不揮発性(例えば、ROM、フラッシュメモリ等)またはこれら2つの何らかの組み合わせのものであってよい。この最も基本的な構成は、図7において破線706により示されている。さらに、環境700は、磁気または光ディスクまたはテープを含むがこれらに限定されないストレージデバイス(リムーバブル(708)および/またはノンリムーバブル(710))も含み得る。同様に、環境700は、例えば、キーボード、マウス、ペン、音声入力等、入力デバイス714、および/または、例えば、ディスプレイ、スピーカ、プリンタ等、出力デバイス716も有し得る。この環境には、例えば、LAN、WAN、ポイントツーポイント等、1つまたは複数の通信接続712も含まれ得る。実施形態において、これらの接続は、ポイントツーポイント通信、接続指向通信、コネクションレス通信等を容易にするように動作可能であってよい。
【0075】
動作環境700は、典型的には、少なくとも何らかの形態のコンピュータ可読媒体を含む。コンピュータ可読媒体は、処理ユニット702、または動作環境を備える他のデバイスによりアクセスされ得る任意の利用可能な媒体であり得る。限定ではなく例として、コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を備え得る。コンピュータ記憶媒体は、例えばコンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータといった情報の格納のための任意の方法または技術において実装される、揮発性および不揮発性、リムーバブルおよびノンリムーバブルの媒体を含む。コンピュータ記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD-ROM、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気ストレージデバイス、または所望の情報を格納するために用いられ得る任意の他の非一時的媒体を含む。コンピュータ記憶媒体は、通信媒体を含まない。
【0076】
通信媒体は、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータを、例えば搬送波または他の搬送メカニズムといった変調されたデータ信号に具現化し、任意の情報配信媒体を含む。「変調されたデータ信号」という用語は、信号内の情報をエンコードするように設定または変更された特徴のうちの1つまたは複数を有する信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続など、有線媒体、および、音響、RF、赤外線、マイクロ波および他の無線媒体など、無線媒体を含む。上記のもののいずれの組み合わせも、コンピュータ可読媒体の範囲内に含まれるべきである。
【0077】
動作環境700は、1つまたは複数のリモートコンピュータへの論理接続を用いてネットワーク接続環境において動作する単一のコンピュータであってよい。リモートコンピュータは、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイスまたは他の共通のネットワークノードであってよく、典型的には、上で説明された要素の多くまたは全て、およびそのようには言及されていない他のものを含む。論理接続は、利用可能な通信媒体によりサポートされる任意の方法を含み得る。そのようなネットワーキング環境は、オフィス規模、企業規模のコンピュータネットワーク、イントラネットおよびインターネットにおいてよく見られる。
【0078】
本明細書ソフトウェアにおいて説明される実施形態は、本明細書において開示されるシステムおよび方法をハードウェアまたはソフトウェアおよびハードウェアの組み合わせを用いて実装および実行するために使用され得る。特定の機能を実行するものとして特定のデバイスが本開示の全体を通じて記載されてきたが、これらのデバイスは、例示の目的で提供されており、本開示の範囲から逸脱することなく、本明細書において開示される機能を実行するために他のデバイスが使用され得ることを、当業者であれば理解するであろう。
【0079】
本開示は、可能な実施形態のうちのいくつかのみが示された添付図面を参照して、本技術のいくつかの実施形態を説明している。しかしながら、他の態様は、多くの異なる形態で具現化されてよく、本明細書において記載された実施形態に限定されるものと解釈されるべきはない。むしろ、これらの実施形態は、本開示が十分かつ完全であり、かつ、可能な実施形態の範囲を当業者へ完全に伝えるように、提供された。
【0080】
本明細書において特定の実施形態が説明されているが、本技術の範囲は、それらの特定の実施形態に限定されない。当業者であれば、本技術の範囲および趣旨内である他の実施形態または改良を認識するであろう。したがって、具体的な構造、動作または媒体は、例示的な実施形態としてのみ開示されている。本技術の範囲は、以下の特許請求の範囲およびその中のあらゆる均等物により定義される。
[他の可能な項目]
[項目1]
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
[項目2]
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、
アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに備える、項目1に記載の方法。
[項目3]
前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに備える、項目1に記載の方法。
[項目4]
前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに備え、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
項目1に記載の方法。
[項目5]
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、項目1に記載の方法。
[項目6]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目1に記載の方法。
[項目7]
前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階
をさらに備え、
ここで、前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
項目1に記載の方法。
[項目8]
前記第2のエッジコンピューティング環境は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含み、
前記第1のアプリケーションインスタンスの攻撃者を識別する段階
をさらに備え、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を有する、
項目1に記載の方法。
[項目9]
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、
前記少なくとも一部のトラフィックのフィルタリングを実行するために前記第2のエッジコンピューティング環境の第1のコンポーネントを決定する段階;
前記第1のコンポーネントを用いて前記少なくとも一部のトラフィックをフィルタリングする段階;
前記第2のエッジコンピューティング環境の性能データをモニタリングする段階;および
前記第2のエッジコンピューティング環境の前記性能データに基づいて、前記少なくとも一部のトラフィックのフィルタリングを前記第2のエッジコンピューティング環境の第2のコンポーネントに始めさせる段階
を含む、
項目1に記載の方法。
[項目10]
少なくとも1つのプロセッサ;および
前記プロセッサに動作可能に接続され、コンピュータ実行可能命令を格納したメモリ
を備えるシステムであって、
前記コンピュータ実行可能命令は、前記少なくとも1つのプロセッサにより実行された場合、
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を含む、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を含む方法を前記システムに実行させる、
システム。
[項目11]
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、前記方法は、
アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに含む、項目10に記載のシステム。
[項目12]
前記方法は、前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに含む、項目10に記載のシステム。
[項目13]
前記方法は、前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
項目10に記載のシステム。
[項目14]
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、項目10に記載のシステム。
[項目15]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を含み、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目10に記載のシステム。
[項目16]
前記方法は、
前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
項目10に記載のシステム。
[項目17]
前記アプリケーションの第2のインスタンスをインスタンス化する段階は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含む第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスをインスタンス化する段階を含む、項目10に記載のシステム。
[項目18]
前記方法は、
前記第1のアプリケーションインスタンスの攻撃者を識別する段階
をさらに含み、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を含む、
項目17に記載のシステム。
[項目19]
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させる段階;
前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させることに関連する動的情報を収集する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、収集された前記動的情報に基づいて動的に決定される;
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階;
前記性能データは前記閾値を超えている、という判断に基づいて、前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
[項目20]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目19に記載の方法。
[他の可能な項目]
[項目1]
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
[項目2]
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、
アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに備える、項目1に記載の方法。
[項目3]
前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに備える、項目1に記載の方法。
[項目4]
前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに備え、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
項目1に記載の方法。
[項目5]
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、項目1に記載の方法。
[項目6]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目1に記載の方法。
[項目7]
前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階
をさらに備え、
ここで、前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
項目1に記載の方法。
[項目8]
前記第2のエッジコンピューティング環境は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含み、
前記第1のアプリケーションインスタンスの攻撃者を識別する段階
をさらに備え、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を有する、
項目1に記載の方法。
[項目9]
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、
前記少なくとも一部のトラフィックのフィルタリングを実行するために前記第2のエッジコンピューティング環境の第1のコンポーネントを決定する段階;
前記第1のコンポーネントを用いて前記少なくとも一部のトラフィックをフィルタリングする段階;
前記第2のエッジコンピューティング環境の性能データをモニタリングする段階;および
前記第2のエッジコンピューティング環境の前記性能データに基づいて、前記少なくとも一部のトラフィックのフィルタリングを前記第2のエッジコンピューティング環境の第2のコンポーネントに始めさせる段階
を含む、
項目1に記載の方法。
[項目10]
少なくとも1つのプロセッサ;および
前記プロセッサに動作可能に接続され、コンピュータ実行可能命令を格納したメモリ
を備えるシステムであって、
前記コンピュータ実行可能命令は、前記少なくとも1つのプロセッサにより実行された場合、
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、前記第1のエッジコンピューティング環境における前記アプリケーションの前記第1のインスタンスの動作に固有の動的情報に基づいて動的に決定される;
前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を含む、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を含む方法を前記システムに実行させる、
システム。
[項目11]
前記システムは、前記システムの第3のエッジコンピューティング環境において動作するアプリケーションの第3のインスタンスを含み、前記方法は、
アプリケーションの前記第3のインスタンスに前記静的セキュリティ機能を適用する段階;および
前記アプリケーションの前記第3のインスタンスに第3の動的セキュリティ機能を適用する段階、ここで、前記第3の動的セキュリティ機能は、前記第3のエッジコンピューティング環境における前記アプリケーションの前記第3のインスタンスの動作に固有の動的情報に基づいている
をさらに含む、項目10に記載のシステム。
[項目12]
前記方法は、前記第1のエッジコンピューティング環境から前記アプリケーションの前記第1のインスタンスを除去する段階をさらに含む、項目10に記載のシステム。
[項目13]
前記方法は、前記アプリケーションの前記第2のインスタンスをインスタンス化する段階の前に、
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスのインスタンス化は、前記性能データは前記閾値を超えているという判断に基づいている、
項目10に記載のシステム。
[項目14]
前記第1の動的セキュリティ機能は、DDoS軽減機能、ファイアウォール分析機能、ユーザ分析機能およびデータ損失防止機能のうちの1つまたは複数を含む、項目10に記載のシステム。
[項目15]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を含み、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目10に記載のシステム。
[項目16]
前記方法は、
前記第1の動的セキュリティ機能をコアシステムストレージに定期的に格納する段階
をさらに含み、
ここで、前記アプリケーションの前記第2のインスタンスに前記第1の動的セキュリティ機能を適用する段階は、前記コアシステムストレージから前記第1の動的セキュリティ機能をコピーする段階を含む、
項目10に記載のシステム。
[項目17]
前記アプリケーションの第2のインスタンスをインスタンス化する段階は、信用できないエンティティがセキュリティ保護されたコンピューティング環境を検査するのを防ぐ前記セキュリティ保護されたコンピューティング環境を含む第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスをインスタンス化する段階を含む、項目10に記載のシステム。
[項目18]
前記方法は、
前記第1のアプリケーションインスタンスの攻撃者を識別する段階
をさらに含み、
ここで、少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階は、識別された前記攻撃者からのトラフィックのみをリダイレクトする段階を含む、
項目17に記載のシステム。
[項目19]
システムの第1のエッジコンピューティング環境において動作するアプリケーションの第1のインスタンスに静的セキュリティ機能を適用する段階;
前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させる段階;
前記アプリケーションの前記第1のインスタンスを前記第1のエッジコンピューティング環境において動作させることに関連する動的情報を収集する段階;
前記アプリケーションの前記第1のインスタンスに第1の動的セキュリティ機能を適用する段階、ここで、前記第1の動的セキュリティ機能は、収集された前記動的情報に基づいて動的に決定される;
前記アプリケーションの前記第1のインスタンスまたは前記第1のエッジコンピューティング環境に関連する性能データを評価する段階;および
前記性能データは閾値を超えている、と判断する段階;
前記性能データは前記閾値を超えている、という判断に基づいて、前記システムの第2のエッジコンピューティング環境における前記アプリケーションの第2のインスタンスをインスタンス化する段階であって、
前記第1の動的セキュリティ機能を識別する段階;および
前記第2のエッジコンピューティング環境における前記アプリケーションの前記第2のインスタンスに前記静的セキュリティ機能および前記第1の動的セキュリティ機能を適用する段階
を有する、インスタンス化する段階;および
少なくとも一部のトラフィックを前記アプリケーションの前記第1のインスタンスから前記アプリケーションの前記第2のインスタンスへリダイレクトする段階
を備える方法。
[項目20]
前記第1の動的セキュリティ機能を適用する段階は、前記アプリケーションの前記第1のインスタンスがサイバー攻撃を受けている、と判断する段階、攻撃デバイスのソース識別データを識別する段階、前記攻撃デバイスからトラフィックを動的にブロックする段階、および検出された前記サイバー攻撃に対するセキュリティ保護を適用する段階を有し、ここで、前記ソース識別データは、
ユーザ名、ユーザ識別子またはアカウント識別子のうちの1つまたは複数を含むユーザ識別情報;
デバイス名、IPアドレスまたは媒体アクセス制御(MAC)アドレスのうちの1つまたは複数を含むデバイス識別情報;または
ネットワーク追跡情報またはパケットヘッダ情報のうちの1つまたは複数を含む発信ネットワーク/領域情報
のうちの1つまたは複数を含む、
項目19に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】