特表 2024-515401 クラウドネイティブアプリケーションのための動的にスケーラブルなアプリケーションファイアウォール配備

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-04-10

(54)【発明の名称】クラウドネイティブアプリケーションのための動的にスケーラブルなアプリケーションファイアウォール配備

(51)【国際特許分類】

   G06F 9/50 20060101AFI20240403BHJP

【ＦＩ】

G06F9/50 150D

【審査請求】未請求

【予備審査請求】有

(21)【出願番号】P 2023532736

(86)(22)【出願日】2021-12-28

(85)【翻訳文提出日】2023-05-30

(86)【国際出願番号】 US2021073133

(87)【国際公開番号】W WO2022147436

(87)【国際公開日】2022-07-07

(31)【優先権主張番号】17/139,103

(32)【優先日】2020-12-31

(33)【優先権主張国・地域又は機関】US

(81)【指定国・地域】

(71)【出願人】

【識別番号】517392861

【氏名又は名称】パロ アルト ネットワークス，インコーポレイテッド

【氏名又は名称原語表記】Ｐａｌｏ Ａｌｔｏ Ｎｅｔｗｏｒｋｓ，Ｉｎｃ．

【住所又は居所原語表記】３０００ Ｔａｎｎｅｒｙ Ｗａｙ，Ｓａｎｔａ Ｃｌａｒａ，Ｃａｌｉｆｏｒｎｉａ ９５０５４，Ｕｎｉｔｅｄ Ｓｔａｔｅｓ ｏｆ Ａｍｅｒｉｃａ

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(74)【代理人】

【識別番号】100135079

【弁理士】

【氏名又は名称】宮崎 修

(72)【発明者】

【氏名】レヴィン，リロン

(72)【発明者】

【氏名】シュナイツァー，アイザック

(72)【発明者】

【氏名】シャスター，エラッド

(72)【発明者】

【氏名】セガル，オリー

(57)【要約】

パブリックＩＰアドレスを介して公開されるクラウドアプリケーションの構成は、アプリケーションを内部に公開するためにプライベートＩＰアドレスを含める修正により複製される。元の構成は更新され、それにより、アプリケーションに送信された外部ネットワークトラフィックは、ウェブアプリケーションファイアウォール（ＷＡＦ）が実装されているクラウドクラスタのノードで実行されているエージェントにリダイレクトされ、該エージェント間で分散される。それぞれのＷＡＦがリダイレクトされたネットワークトラフィックを検査すべきであるエージェントのセットは、ネットワーク及びリソース利用率メトリックなどのクラスタメトリックに基づいて選択される。リダイレクトされたネットワークトラフィックは、アプリケーションに固有であるエージェントに割り振られたポートをターゲットにし、これにおいて、ポートはアプリケーションごとに割り振られ、ゆえに、エージェントの各々は複数のアプリケーションに対するＷＡＦ保護をサポートすることができる。ＷＡＦが通過することを許可したネットワークトラフィックは、エージェントからアプリケーションに、そのプライベートＩＰアドレスを介して向けられる。

【特許請求の範囲】

【請求項1】

クラウドクラスタの１つ以上のノード上で実行されている外部に公開されたクラウドアプリケーションを識別するステップであり、前記クラウドアプリケーションは第１の構成を有する、ステップと、
前記クラウドアプリケーションに仕向けられたネットワークトラフィックを、１つ以上のエージェントに割り振られた第１のポート上で前記１つ以上のエージェントにリダイレクトするために、前記第１の構成を修正するステップであり、前記エージェントの各々は、前記１つ以上のノードのうちのそれぞれのノードで実行され、前記クラウドアプリケーションのために利用可能であるウェブアプリケーションファイアウォールをインスタンス化している、ステップと、
前記エージェントにより収集された複数のメトリックのうちの第１のメトリックが、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの数を修正するための第１の基準を満たしているかを判断するステップと、
前記第１のメトリックが前記第１の基準を満たしていると判断したことに基づいて、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を修正するステップと、
を含む方法。

【請求項2】

前記第１の基準は、前記第１のメトリックの最大値に対応する閾値を含み、前記第１のメトリックが前記第１の基準を満たしているかを判断することは、前記第１のメトリックが前記閾値を超えているかを判断することを含み、前記エージェントの前記数を修正することは、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を増やすことを含む、請求項１に記載の方法。

【請求項3】

前記第１の基準は、前記第１のメトリックの最小値を含み、前記第１のメトリックが前記第１の基準を満たしているかを判断することは、前記第１のメトリックが前記最小値を下回っているかを判断することを含み、前記エージェントの前記数を修正することは、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を減らすことを含む、請求項１に記載の方法。

【請求項4】

前記第１の構成をコピーすることと、前記クラウドアプリケーションのパブリックネットワークアドレスを、前記クラウドアプリケーションに割り振られたプライベートネットワークアドレスに置き換えることに少なくとも部分的に基づいて、前記クラウドアプリケーションを、プライベートネットワークアドレスを用いて前記クラウドクラスタ内で内部に公開するために、前記クラウドアプリケーションのための第２の構成を生成するステップと、
前記ウェブアプリケーションファイアウォールを通過することを許可されたネットワークトラフィックを、前記クラウドアプリケーションの前記プライベートネットワークアドレスを介して前記クラウドアプリケーションに向けるために、前記エージェントの構成を修正するステップと、
をさらに含む、請求項１に記載の方法。

【請求項5】

前記クラウドアプリケーションを指定するラベルを前記エージェントの少なくともサブセットの各々のコンテナに関連づけるステップであり、前記ラベルは、前記エージェントの前記サブセットの各々でインスタンス化された前記ウェブアプリケーションファイアウォールが前記クラウドアプリケーションにとって利用可能であることを指定する、ステップ、をさらに含む請求項１に記載の方法。

【請求項6】

前記エージェントの前記数を修正することは、前記ラベルを前記エージェントの前記サブセットに加えてエージェントのコンテナに関連づけること、又は、前記ラベルを前記エージェントの前記サブセットの前記コンテナのうちの少なくとも第１のものから除去することを含む、請求項５に記載の方法。

【請求項7】

前記エージェントの前記数を修正することは、さらなるエージェントを配備したノードを前記クラウドクラスタに追加し、前記ラベルを前記さらなるエージェントのコンテナに関連づけること、又は、前記１つ以上のノードのうちの第１のもののステータスをアクティブからアイドルに変更することを含む、請求項５に記載の方法。

【請求項8】

前記１つ以上のノードで実行されている第２の外部に公開されたクラウドアプリケーションを識別したことに基づいて、前記第２のクラウドアプリケーションに仕向けられたネットワークトラフィックを、前記１つ以上のエージェントに割り振られた第２のポート上で前記１つ以上のエージェントにリダイレクトするために、前記第２のクラウドアプリケーションの構成を修正するステップであり、前記第２のポートは前記第１のポートと異なる、ステップ、をさらに含む請求項１に記載の方法。

【請求項9】

前記複数のメトリックは、前記１つ以上のノードの各々のメモリ使用率と、前記１つ以上のノードの各々の中央処理装置（ＣＰＵ）使用率と、前記クラウドアプリケーションに向けられたネットワークトラフィックの量とのうちの少なくとも１つを示すメトリックを含む、請求項１に記載の方法。

【請求項10】

プログラムコードを記憶させた１つ以上の非一時的マシン読取可能媒体であって、前記プログラムコードは、請求項１乃至９のうちいずれか１項に記載の方法を実行するためにプロセッサにより実行可能であるマシン命令を含む、１つ以上の非一時的マシン読取可能媒体。

【請求項11】

装置であって、
プロセッサと、
命令を記憶させたコンピュータ読取可能媒体であり、前記命令は、当該装置に、
外部に公開されたアプリケーションの識別に基づいて、前記アプリケーションに仕向けられたネットワークトラフィックを１つ以上のエージェントにリダイレクトするために前記アプリケーションの第１の構成を修正し、
前記１つ以上のエージェントの各々は、前記アプリケーションが実行されるクラウドクラスタの１つ以上のノードのうちのそれぞれのノードで実行され、
前記エージェントの各々は、ウェブアプリケーションファイアウォールをインスタンス化しており、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定し、
前記エージェントにより収集された複数のメトリックのうちの第１のメトリックが、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの数を増やし又は減らすための第１の基準を満たしているかを判断し、
前記第１のメトリックが前記第１の基準を満たしているという判断に基づいて、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を増やし又は減らす
ことをさせるために前記プロセッサにより実行可能である、コンピュータ読取可能媒体と、
を含む装置。

【請求項12】

当該装置に、
前記第１の構成に少なくとも部分的に基づいて、前記アプリケーションを、前記アプリケーションに割り振られたプライベートネットワークアドレスを用いて前記クラウドクラスタ内で内部にするために、前記アプリケーションのための第２の構成を生成し、
ネットワークトラフィックを、前記アプリケーションの前記プライベートネットワークアドレスを介して前記アプリケーションに向けるために、前記エージェントの構成を修正する
ことをさせるために前記プロセッサにより実行可能な命令をさらに含む、請求項１１に記載の装置。

【請求項13】

前記エージェントの少なくともサブセットに、前記アプリケーションに対応するラベルをラベル付けし、前記エージェントの前記サブセットの前記ラベル付けは、前記エージェントの前記サブセットによるウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する、ことを当該装置にさせるために前記プロセッサにより実行可能な命令をさらに含む請求項１１に記載の装置。

【請求項14】

前記第１のメトリックが前記第１の基準を満たしているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記第１のメトリックが前記第１のメトリックの最大値を超えているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な命令を含み、
前記エージェントの前記数を増やし又は減らすことを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記アプリケーションに対応する前記ラベルを前記エージェントの前記サブセットに加えて少なくとも第１のエージェントにラベル付けすることに少なくとも部分的に基づいて、ウェブアプリケーションのファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を増やすことを当該装置にさせるために前記プロセッサにより実行可能な命令を含む、請求項１３に記載の装置。

【請求項15】

前記第１のメトリックが前記第１の基準を満たしているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記第１のメトリックが前記第１のメトリックの最小値を下回っているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な命令を含み、
前記エージェントの前記数を増やし又は減らすことを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記アプリケーションに対応する前記ラベルを前記エージェントの前記サブセットのうちの少なくとも第１のエージェントから除去することに少なくとも部分的に基づいて、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を減らすことを当該装置にさせるために前記プロセッサにより実行可能な命令を含む、請求項１３に記載の装置。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、一般に、電気デジタルデータ処理と、承認されていないアクティビティに対してコンピュータ、そのコンポーネント、プログラム、又はデータを保護するためのセキュリティ配置に関する。

【背景技術】

【0002】

アプリケーション層プロセスを標的とする攻撃は、アプリケーション層攻撃と呼ばれる。アプリケーション層攻撃に対してアプリケーションを保護するために、アプリケーションとそのアプリケーションプログラミングインターフェース（ＡＰＩ）は、アプリケーションファイアウォール、又はウェブアプリケーションの場合にはウェブアプリケーションファイアウォール（web application firewall、ＷＡＦ）の配備を通じて安全にすることができる。クラウド環境で実行されているウェブアプリケーションでは、アプリケーション層攻撃に対する保護のためにクラウドベースのＷＡＦを配備することができる。クラウドアプリケーションは、アプリケーションがローカルではなくクラウドでホストされ、インターネットを介してアクセスできるという点で、従来のソフトウェアアプリケーションと異なる。クラウドコンピューティングへの増大傾向に起因して、アプリケーションは、一般的にクラウドネイティブであるように開発され、あるいはクラウド環境で実行されるように設計されている。疎結合のサービス／マイクロサービスを含むことができる、クラウドネイティブアプリケーションは、アプリケーションが実行され、コンテナオーケストレーションプラットフォームにより管理されるクラウドクラスタのノードに配備されるように設計された、コンテナ化されたアプリケーションである。

【0003】

コンテナオーケストレーションプラットフォームは一般に、外部に（すなわち、クラスタの外側のエンティティにとってアクセス可能にされる）又は内部に（すなわち、クラスタ内のエンティティにとってアクセス可能にされる）のいずれかでクラウドアプリケーションの公開を容易にする機能を提供する。例えば、クラウドアプリケーションは、クラウドプロバイダによる、クラウドアプリケーションの１つ以上のコンテナのグループへの、パブリックインターネットプロトコル（ＩＰ）アドレスの割り振りを通じて外部に公開することができる。その後、クラスタの外部のエンティティから発信されたネットワークトラフィックは、パブリックＩＰアドレスを介してクラウドアプリケーションにルーティングされ、クラスタの外部のロードバランサ（例えば、クラウドプロバイダにより制御されるロードバランサ）によりクラウドアプリケーションのコンテナにわたってロードバランシングされる。パブリックな公開が望まれない場合、クラウドアプリケーションは、クラウドアプリケーションの１つ以上のコンテナのグループへのプライベートＩＰアドレスの割り振りを通じて、クラスタ内のエンティティにとってアクセス可能にすることができる。その後、クラスタ内から発信されるネットワークトラフィックのロードバランシングは、コンテナオーケストレーションプラットフォーム自体により管理することができる。

【図面の簡単な説明】

【0004】

開示の実施形態は、添付図面を参照することによってより良く理解され得る。

【図1】クラウド環境で実行されているアプリケーションを安全にするためのＷＡＦの動的にスケーラブルな配備の一例示的な概念図を示す。

【図2】クラウドアプリケーションが実行されるクラスタ内の観測された状態に基づいて、クラウドアプリケーションを安全にするために利用可能な配備されたＷＡＦインスタンスを動的にスケーリングする一例示的な概念図を示す。

【図3】クラスタ上で実行されているクラウドアプリケーションのためにスケーラブルなＷＡＦ配備を実行する例示的な動作のフローチャートを示す。

【図4】クラスタノードにわたってクラウドアプリケーションのためのネットワークトラフィックの検査に利用可能なＷＡＦインスタンスを動的にスケーリングする例示的な動作のフローチャートを示す。

【図5】クラスタノードにわたってクラウドアプリケーションのためのネットワークトラフィックの検査に利用可能なＷＡＦインスタンスを動的にスケーリングする例示的な動作のフローチャートを示す。

【図6】クラウドアプリケーションを安全にするために利用可能なＷＡＦインスタンスを動的に配備及びスケーリングする例示的な動作のフローチャートを示す。

【図7】クラウド内のクラスタの１つ以上のノードで実行されているアプリケーションを安全にするためにＷＡＦを動的に配備する例示的な動作のフローチャートを示す。

【図8】ＷＡＦ保護のためにアプリケーションを指定するＷＡＦインスタンスを動的に配備及びスケーリングする例示的な動作のフローチャートを示す。

【図9】ＷＡＦ配備マネージャを備えた一例示的なコンピュータシステムを示す。

【発明を実施するための形態】

【0005】

以下の説明には、開示の態様を具現化する例示的なシステム、方法、手法、及びプログラムフローが含まれる。しかしながら、本開示は、これらの具体的な詳細なしに実施され得ることが理解される。例えば、本開示は、例示的な例において伝送制御プロトコル（ＴＣＰ）ポートを参照する。本開示の態様は、代わりに、ユーザデータグラムプロトコル（ＵＤＰ）ポートなどの他のトランスポート層プロトコルに使用されるポートに適用することができる。他の例では、よく知られた命令インスタンス、プロトコル、構造、及び手法は、説明を分かりにくくしないように、詳細に示されていない。

【0006】

概要

【0007】

クラウドネイティブアプリケーション（以降、「クラウドアプリケーション」又は「アプリケーション」）のコンテナが実行される基礎をなすインフラストラクチャに対して最小限の影響で、クラウドクラスタのノードにわたってＷＡＦを動的に配備及びスケーリングする手法を開発した。アプリケーションに向けられた（directed）トラフィックの検査のためのアクティブなＷＡＦインスタンスのスケーリングは、クラスタ内で観測された状態に基づいて自動化され、それにより、顧客は、それらのアプリケーションを効果的に安全にする（secure）ためにＷＡＦインスタンスのスケーリング又は分散を手動で管理する必要がない。本明細書で説明される解決策を用い、ＷＡＦはエージェントを介して実装及びインスタンス化され、これにおいて、エージェントはクラウドクラスタの各ノードで実行される。各エージェントコンテナに動的にラベルを付けて、ネットワークトラフィックの量及びノードリソース利用率などの観測された状態に基づいて、エージェントを介して配備されたＷＡＦが傍受されたネットワークトラフィックを検査すべきであるアプリケーションを示すことにより、各アプリケーションのために利用可能なＷＡＦインスタンスの数を、クラスタの状態に合うように動的にスケールアップ又はスケールダウンすることができる。

【0008】

外部に公開された（exposed）アプリケーションを検出した後、アプリケーションの複製構成が、アプリケーションがクラスタ内で内部に公開されるように、パブリックＩＰアドレスでなくアプリケーションにアクセスするためのプライベートＩＰアドレスを含める修正により、生成される。アプリケーションが外部に公開されている元の構成は更新され、それにより、外部ソースからアプリケーションに送信されたネットワークトラフィックは、クラスタのノードで実行されているエージェントにリダイレクトされ（redirected）、該エージェントにわたって分散される。ネットワークトラフィックがリダイレクトされることになるエージェントが選択され、アプリケーションを指定するラベルが、アプリケーションに向けられた測定されたネットワークトラフィック及び／又はクラウドクラスタの利用可能なノードにわたるリソース利用率に基づいて付加されることが可能である。例えば、より高い負荷は、全ての利用可能なエージェントの選択及び対応するラベル付けを促す場合があり、それにより、ネットワークトラフィックは、利用可能なリソースを圧倒することなくノードにわたって分散でき、一方で、アプリケーションがより低いトラフィックを経験している場合には、エージェントのサブセットが選択され、ラベル付けされる場合がある。固有のポートがエージェントに対して割り振られ、該ポート上で、エージェントはアプリケーションからリダイレクトされたネットワークトラフィックを受信することができ、これにおいて、ポートはアプリケーションごとに割り振られ、それにより、エージェントは、エージェントに割り当てられたポート番号とラベルの組み合わせに基づいて、異なるアプリケーションに対応するネットワークトラフィック間で区別することができる。ＷＡＦが通過することを許可したネットワークトラフィックは、次いで、外部にではなく内部にアプリケーションを公開するプライベートＩＰアドレスを介して、クラスタ内からアプリケーションに向けることができる。アプリケーションに仕向けられた（destined）ネットワークトラフィックをルーティングすることができる利用可能なＷＡＦインスタンスの数が、アプリケーションが実行されるノードのアプリケーション負荷及びリソース利用率と相関しているため、ＷＡＦインスタンスを動的にスケーリングすることは、クラスタ内のリソース利用率の節約に寄与する。リソース利用率は、さらなるアプリケーションのためにさらなるエージェントを配備するのと対照的に、異なるアプリケーションに固有のポート及びラベルの割り振りを通じて、ノードで実行されている複数のアプリケーションにＷＡＦ保護を提供するために１つのエージェントを活用した結果として、さらに節約される。

【0009】

例示的な説明

【0010】

図１は、クラウド環境で実行されているアプリケーションを安全にするためのＷＡＦの動的にスケーラブルな配備の一例示的な概念図を示す。アプリケーション１０１とアプリケーション１０３の２つのレプリカ各々がクラウド１０８に配備され、クラスタ１１５で実行される。アプリケーション１０１、１０３は、クラウドネイティブアプリケーションとすることができる。本明細書で用いられるとき、「クラウドネイティブアプリケーション」及び「クラウドアプリケーション」は、クラウド内で実行されるようにコンテナ化されたアプリケーションを指す。クラウド１０８は、パブリッククラウド、プライベートクラウド、又はクラウドサービスプロバイダにより提供されるプライベートクラウドでもよい。クラスタ１１５は、ワーカノード１０５Ａとワーカノード１０５Ｂを含む。ワーカノード１０５Ａ、１０５Ｂは、クラウド１０８でコンテナ化されたアプリケーションを実行するためのリソースを提供する物理マシン又は仮想マシンであってよい（例えば、コンテナランタイム）。クラスタ１１５の外部のロードバランサ１１６は、ワーカノード１０５Ａ、１０５Ｂ間でトラフィックを分散させる。ロードバランサ１１６は、クラウドサービスプロバイダにより制御される外部ロードバランサでもよい。

【0011】

クラスタ１１５は、マスタノード１２５をさらに含む。マスタノード１２５は、アプリケーション１０１、１０３の配備及びスケジューリングを管理するコンポーネント（例えば、制御プレーンコンポーネント）と、ワーカノード１０５Ａ、１０５Ｂの構成を含む。マスタノード１２５は、アプリケーション１０１、１０３の配備の構成（例えば、レプリカの数）を規定する構成ファイルなどのクラスタ１１５のデータのリポジトリ１２６をさらに維持する。ＷＡＦ配備マネージャ１０９は、マスタノード１２５上で実行される。ＷＡＦ配備マネージャ１０９は、クラスタ１１５内のＷＡＦインスタンスの配備及びスケーリングを管理し、これにおいて、ＷＡＦは、ワーカノード１０５Ａ、１０５Ｂの各々で実行されるアプリケーションセキュリティエージェント（「エージェント」）を介して配備される。具体的には、ワーカノード１０５Ａでエージェント１０７Ａが実行され、ワーカノード１０５Ｂでエージェント１０７Ｂが実行される。エージェント１０７Ａ、１０７Ｂは、マスタノード１２５によりワーカノード１０５Ａ、１０５Ｂに対して公開されたコンテナオーケストレーションプラットフォーム（container orchestration platform）のＡＰＩ１２７を介して、マスタノード１２５と通信することができる。

【0012】

この例では、エージェント１０７Ａ、１０７Ｂは、コンテナ化されたアプリケーションとしてワーカノード１０５Ａ、１０５Ｂのうちのそれぞれのワーカノードに配備される。アプリケーション１０１、１０３とエージェント１０７Ａ、１０７Ｂの各インスタンスは、それぞれのコンテナにパッケージ化される。ワーカノード１０５Ａにおいて、アプリケーション１０１、１０３とエージェント１０７Ａは、それぞれ、コンテナ１０４Ａ、コンテナ１０４Ｂ、及びコンテナ１０４Ｃにパッケージ化されている。ワーカノード１０５Ｂにおいて、アプリケーション１０１、１０３とエージェント１０７Ｂは、それぞれ、コンテナ１０４Ｄ、コンテナ１０４Ｅ、及びコンテナ１０４Ｆにパッケージ化されている。コンテナ１０４Ａ～Ｆの各々は、アプリケーション１０１、１０３又はエージェント１０７Ａ、１０７Ｂのうちそれぞれのもののプログラムコード、アプリケーション１０１、１０３又はエージェント１０７Ａ、１０７Ｂのうちそれぞれのものにより使用されるライブラリなどを含む。コンテナオーケストレーションプラットフォームは、アプリケーション１０１、１０３及びエージェント１０７Ａ、１０７Ｂが配備されるコンテナ１０４Ａ～Ｉのコンテナオーケストレーションを管理する。

【0013】

ＷＡＦ１３１Ａはエージェント１０７Ａを介してインスタンス化され、ＷＡＦ１３１Ｂはエージェント１０７Ｂを介してインスタンス化される。ＷＡＦ１３１Ａ、１３１Ｂは、エージェント１０７Ａ、１０７Ｂのうちのそれぞれのエージェントの機能の一部として（例えば、エージェント１０７Ａ、１０７Ｂの各々の一部として実行されるプロセスとして）実装することができる。ＷＡＦ１３１Ａ、１３１Ｂは、安全にすべき各アプリケーションのためのエージェント１０７Ａ、１０７Ｂに付加された（すなわち、該エージェントにインストールされているか又はその他の方法で該エージェントにとってアクセス可能である）ＷＡＦ構成１２０に基づいて、クラスタ１１５で実行されているアプリケーションからリダイレクトされたネットワークトラフィックを検査することができる。ＷＡＦ構成１２０は、ＷＡＦ１３１Ａ、１３１Ｂが安全にすることができるアプリケーションと、傍受されたネットワークトラフィックが評価される対応するルール又はポリシーを示す。したがって、ＷＡＦ１３１Ａ、１３１Ｂの各々は、ネットワークトラフィックが仕向けられているアプリケーションを判断することと、ネットワークトラフィックの検査に適用するためにＷＡＦ構成１２０内に維持された対応するルール又はポリシーのセットを選択することにより、複数のアプリケーションの保護をサポートすることができる。

【0014】

図１は、一連の文字Ａ～Ｄで注釈を付けられている。これらの文字は、動作の段階を表す。これらの段階は、この例のために順序付けられているが、これらの段階は、本開示を理解するのに役立つ１つの例を示しており、特許請求の範囲を制限するために使用されるべきではない。特許請求の範囲の範囲内にある対象事項は、動作の順序及び一部に関して変わる可能性がある。

【0015】

段階Ａにおいて、アプリケーション１０１が外部に公開されていることを検出したことに基づいて、ＷＡＦ配備マネージャ１０９は、アプリケーション１０１をクラスタ１１５内で内部に公開するために、アプリケーション１０３のための修正された構成１１１を生成する。外部に公開されたアプリケーションは、トラフィックをアプリケーションに向けるロードバランサ１１６に基づくなどの、外部エンティティからネットワークトラフィックを直接受信するアプリケーションである。アプリケーション１０１の配備されたインスタンスの構成１１３は、アプリケーション１０１のタイプ（type）が「外部（external）」であることを規定し、アプリケーション１０１にアクセスできるパブリックＩＰアドレスを含み、アプリケーション１０１が外部エンティティからネットワークトラフィックを受信することを示す。構成１１３は、受信したネットワークトラフィックが「ａｐｐＩＤ＿１０１」とラベル付けされたコンテナにルーティングされるべきであることをさらに示し、これは、コンテナ１０４Ａ、１０４Ｄに対応する。ＷＡＦ配備マネージャ１０９は、アプリケーション１０１をクラスタ１１５で実行されているものとして識別することと、構成１１３のタイプフィールド、ＩＰアドレスフィールドなどを分析することにより、アプリケーション１０１が外部に公開されていることを検出することができる。ＷＡＦ配備マネージャ１０９は、クラスタ１１５のために維持されたリポジトリ１２６から、分析のために構成１１３を取り出すことができる。次いで、ＷＡＦ配備マネージャ１０９は、構成１１３を複製し、ただし、アプリケーション１０１を内部に公開するために、アドレスフィールドに示されたパブリックＩＰアドレスをアプリケーション１０１に割り振られたプライベートＩＰアドレスに置き換えることにより、修正された構成１１１を生成する。結果として、アプリケーション１０１は、構成１１３により指定されたとおり外部に、及び修正された構成１１１により指定されたとおり内部に、の双方で公開される。

【0016】

段階Ｂにおいて、ＷＡＦ配備マネージャ１０９は、アプリケーション１０１に仕向けられたネットワークトラフィックをエージェント１０７Ａ、１０７Ｂにリダイレクトするように、クラスタ１１５内のエンティティを構成する。ネットワークトラフィックは、ＷＡＦ１３１Ａ、１３１ＢのうちのそれぞれのＷＡＦによる検査のために、エージェント１０７Ａ、１０７Ｂにリダイレクトされ、該エージェントにわたって分散される（例えば、内部でロードバランシングされる）。段階Ｂで発生する動作は、明確にするために、段階Ｂ１と段階Ｂ２の２つのサブ段階を含むものとして記載されている。しかしながら、サブ段階の順序及び／又はその中で実行される動作は、実装間で変わる可能性がある。

【0017】

段階Ｂ１において、ＷＡＦ配備マネージャ１０９は、アプリケーション１０１のトラフィックが配信されるエージェント１０７Ａ、１０７Ｂに、ポート１２３を割り振る。ＷＡＦ配備マネージャ１０９は、図１にポート番号３００３１として示されているポート（例えば、ＴＣＰポート）を、エージェント１０７Ａ、１０７Ｂに割り振る。ポート１２３は、エージェント１０７Ａ、１０７Ｂに対応するコンテナ１０４Ｃ、１０４ＦのＩＰアドレスに割り振られてもよい。ＷＡＦ配備マネージャ１０９は、ポート番号がアプリケーション１０１に固有であるように、ポート１２３をエージェント１０７Ａ、１０７Ｂに割り振り、すなわち、ＷＡＦ配備マネージャ１０９はアプリケーションごとにポートを割り振り、それにより、エージェント１０７Ａ、１０７Ｂは、ポートで受信したデータが仕向けられているアプリケーションを識別することができる。

【0018】

段階Ｂ２において、ＷＡＦ配備マネージャ１０９は、アプリケーション１０１に仕向けられたトラフィックがエージェント１０７Ａ、１０７Ｂにリダイレクトされ、ポート１２３をターゲットにするように、構成１１３を修正して、外部に公開されたアプリケーション１０１の修正された構成１１４を生成する。ＷＡＦ配備マネージャ１０９は、構成１１３に対する更新１２１を生成し、これは、アプリケーション１０１のコンテナに関連づけられたラベル（label）とポート（port）を、エージェントコンテナに割り当てられるラベルとポート１２３に置き換える。更新から結果として生じる修正された構成１１４において、アプリケーション１０１に関連づけられたラベル「ａｐｐＩＤ＿１０１」とターゲットにされたポートは、「ａｇｅｎｔ＿ａｐｐ１０１」として示される、アプリケーション１０１のトラフィックがリダイレクトされるエージェントコンテナに割り当てられるラベルの名前と、ターゲットポートとしてのポート１２３に置き換えられる。アプリケーション１０１のコンテナでなく、配備されたエージェントのコンテナに対応するポート１２３及びラベルを示す修正された構成１１４を生成した結果として、アプリケーション１０１の宛先アドレスを有する、クラスタ１１５の外部から発信しているロードバランシングされたトラフィックは、ラベル「ａｇｅｎｔ＿ａｐｐ１０１」及びターゲットＴＣＰポート３００３１を有するコンテナにリダイレクトされ、該コンテナにわたって分散される（例えば、内部でロードバランシングされる）。

【0019】

段階Ｃにおいて、ＷＡＦ配備マネージャ１０９は、ＷＡＦ検査のためにアプリケーション１０１のトラフィックがリダイレクトされるべき１つ以上のエージェントのセットを決定し、修正された構成１１４内に列挙されたラベルと一致するラベルを対応するコンテナに割り当てる。ＷＡＦ配備マネージャ１０９は、クラスタ１１５上で実行されているアプリケーションのために利用可能であるべきであるＷＡＦを配備及びスケーリングするために、ＷＡＦ配備ポリシー（「ポリシー」）１０６に基づいてエージェントのセットを決定することができる。ポリシー１０６に基づいて、ＷＡＦが実装されているエージェントに対応するコンテナにラベル付けすることで、ＷＡＦ配備マネージャ１０９は、ノードリソース使用率（usage）メトリック、ネットワークメトリックなどの様々な基準に基づいて、アプリケーションにとって利用可能なアクティブなＷＡＦインスタンスの数をスケーリングすることができる。この例では、ポリシー１０６は、アプリケーションのための初期ＷＡＦ配備において、エージェントコンテナの各々がアプリケーションに対応するラベルをラベル付けされるべきであることを示す。アプリケーション１０１のためのＷＡＦ配備は初期配備であり、ゆえに、ＷＡＦ配備マネージャ１０９は、それぞれのコンテナ１０４Ｃ、１０４Ｆにラベル１１９Ａ、１１９Ｂを割り当てる。ＷＡＦ配備マネージャ１０９は、エージェントのコンテナ又はコンテナ１０４Ｃ、１０４Ｆの各々のラベルを示すためにエージェント１０７Ａ、１０７Ｂの構成１３３を更新することにより（例えば、エージェント１０７Ａ、１０７Ｂのための構成ファイルのラベルフィールドを追加又は更新することにより）、ラベル１１９Ａ、１１９Ｂを割り当てることができる。

【0020】

段階Ｄにおいて、ＷＡＦ配備マネージャ１０９は、エージェント１０７Ａ、１０７Ｂの構成１３３を更新し、それにより、ポート１２３で受信され、ＷＡＦ１３１Ａ、１３１ＢのうちのそれぞれのＷＡＦを通過することを許可されたトラフィックは、修正された構成１１１で示されたプライベートＩＰアドレスを介してアプリケーション１０１に向けられる。更新において、構成１３３は、ＴＣＰポート３００３１又はポート１２３上でエージェント１０７Ａ、１０７Ｂにより受信したデータが、次に、「ａｐｐＩＤ＿１０１」とラベル付けされたコンテナ又はコンテナ１０４Ａ、１０４Ｄに、それらのプライベートＩＰアドレスを介して向けられるべきであることを示す。アプリケーション１０１のために２つの構成が生成されており、構成のうちの第１のものはアプリケーション１０１を外部に公開し、外部トラフィックがエージェント１０７Ａ、１０７Ｂにリダイレクトされるべきであることを規定し、構成のうちの第２のものはアプリケーション１０１を内部に公開するため（すなわち、修正された構成１１４と修正された構成１１１それぞれ）、ＷＡＦ１３１Ａ、１３１Ｂは、アプリケーション１０１の外部公開とアプリケーション１０１の内部公開との間に配備された「中間者」として機能する。

【0021】

アプリケーション１０１を外部に公開するための修正された構成１１４は、ロードバランサ１１６から受信したトラフィックが「ａｇｅｎｔ＿ａｐｐ１０１」とラベル付けされたコンテナに向けられるべきであることを示し、コンテナ１０４Ｃ、１０４Ｆは、それに応じてラベル付けされたため、アプリケーション１０１に仕向けられているクラスタ１１５の外部のエンティティから送信されたトラフィックは、それぞれのＷＡＦ１３１Ａ、１３１Ｂによる検査のためにエージェント１０７Ａ、１０７Ｂにリダイレクトされる。エージェント１０７Ａ、１０７Ｂは、異なる宛先アドレス（すなわち、アプリケーション１０１、１０３のＩＰアドレス）を有する傍受されたトラフィック間で区別することができ、なぜならば、各アプリケーションのリダイレクトされたネットワークトラフィックは、宛先アプリケーションに対して区別可能であるポートで受信されるためである。例えば、リダイレクトされたアプリケーション１０１のトラフィックはＴＣＰポート３００３１をターゲットとし、一方、リダイレクトされたアプリケーション１０３のトラフィックは異なるポートをターゲットにする。したがって、ＷＡＦ１３１Ａ、１３１Ｂは、トラフィックが配信されたポートに基づいて、検査のためにリダイレクトされたトラフィックを受信すると、ＷＡＦ構成１２０の異なるアプリケーションに対して維持されたルール、ポリシーなどのいずれを適用するかを決定することができる。傍受されたトラフィックの評価に選択的に適用することができる、クラスタ１１５で実行されている異なるアプリケーションを安全にするためのＷＡＦルール又はポリシーの複数のセットを維持することで、エージェント１０７Ａ、１０７Ｂの各々は、ＷＡＦごとの複数のアプリケーションの保護に対して、単一のＷＡＦインスタンスの配備をサポートすることができる。

【0022】

図２は、クラウドアプリケーションが実行されるクラスタ内の観測された状態に基づいて、クラウドアプリケーションを安全にするために利用可能な配備されたＷＡＦインスタンスを動的にスケーリングする一例示的な概念図を示す。図２は、図１の、エージェント１０７Ａ、１０７Ｂが配備されているワーカノード１０５Ａ、１０５Ｂとマスタノード１２５とを含むクラスタ１１５を示している。この例において、ＷＡＦ１３１Ａ、１３１Ｂは、トラフィックが仕向けられているアプリケーションに対応するＷＡＦ構成１２０に示されたルール、ポリシーなどに対して到来するネットワークトラフィックを評価することに基づいて、アプリケーション１０１とアプリケーション１０３の双方を安全にする。図１に示すように、エージェント１０７Ａ、１０７Ｂは、ラベル１１９Ａ、１１９Ｂでのラベル付けに基づいて、ＴＣＰポート３００３１でアプリケーション１０１からリダイレクトされたネットワークトラフィックを受信するために指定されている。エージェント１０７Ａ、１０７Ｂは、アプリケーション１０３のトラフィックがエージェント１０７Ａ、１０７Ｂにリダイレクトされ、ＴＣＰポート３００３６をターゲットにすることになることを示すために、「ａｇｅｎｔ＿ａｐｐ１０３」として示されたそれぞれのラベル２１９Ａ及びラベル２１９Ｂをさらにラベル付けされている。アプリケーション１０１と同様に、ラベル２１９Ａ、２１９Ｂ、及びＴＣＰポート３００３６を示す構成２１３は、アプリケーション１０３が外部に公開されることを規定し、図１を参照して説明されたように、構成２１３に基づいて生成された修正された構成２１１は、アプリケーション１０３を内部にさらに公開する。

【0023】

図２は、一連の文字Ａ～Ｃで注釈を付けられている。これらの文字は、動作の段階を表す。これらの段階は、この例のために順序付けられているが、これらの段階は、本開示を理解するのに役立つ１つの例を示しており、特許請求の範囲を制限するために使用されるべきではない。特許請求の範囲の範囲内にある対象事項は、動作の順序及び一部に関して変わる可能性がある。

【0024】

段階Ａにおいて、ＷＡＦ配備マネージャは、エージェント１０７Ａ、１０７Ｂからクラスタメトリック２２９を取得する。エージェント１０７Ａ、１０７Ｂは、ワーカノード１０５Ａ、１０５Ｂのネットワークトラフィック及び／又はリソース使用率（例えば、メモリ及び中央処理装置（ＣＰＵ）使用率）を監視し、関連するメトリックを収集することができる。エージェント１０７Ａ、１０７Ｂにより収集されたネットワークメトリック及び／又はノードリソース使用率メトリックを含むクラスタメトリック２２９は、スケジュールされた時間増分において、クラスタ１１５への更新イベント（例えば、ノードの追加／障害イベント）においてなどで、ＷＡＦ配備マネージャ１０９に周期的に報告されてもよく、あるいはＷＡＦ配備マネージャ１０９により要求されてもよい。クラスタメトリック２２９は、収集されたメトリックが対応するノード及び／又はアプリケーションを示すためにノード識別子（ＩＤ）及びアプリケーションＩＤを含むことができる。

【0025】

段階Ｂにおいて、ＷＡＦ配備マネージャ１０９は、ポリシー１０６に基づいてクラスタメトリック２２９を評価して、アプリケーション１０１又はアプリケーション１０３のためのＷＡＦインスタンスの数が、クラスタ１１５の状態に合わせるために修正されるべきかどうかを判断する。この例におけるポリシー１０６は、アプリケーションに対応するネットワークメトリック又はアプリケーションが実行されるノードのリソース使用率メトリックのうちのいずれかが閾値を超えている場合などで、アプリケーションにとって利用可能なＷＡＦインスタンスが、高いネットワークトラフィックに合わせるためにスケールアップされるべきであることを示す。ポリシー１０６は、アプリケーションに属するネットワークメトリック又はリソース使用率メトリックのうちのいずれかが最小配分値を下回っている場合などで、アプリケーションにとって利用可能なＷＡＦインスタンスが、アプリケーションが実行されているノードの低いネットワークトラフィック又は低いリソース使用率に基づいてスケールダウンされるべきであることをさらに示す。ＷＡＦ配備マネージャ１０９は、ポリシー１０６に基づいて各アプリケーションについて収集されたメトリックを評価して、クラスタ１１５内でアクティブなＷＡＦインスタンスが、ノード間でネットワークトラフィックを再分散させるためのラベル付けを通じて「リバランスされる（rebalanced）」べきかどうかを判断することができる。ポリシー１０６は、収集されたメトリックがポリシー１０６で示された閾値を超えているか又は下回っている度合いに基づいてなどの、ポリシーの満足度に基づいて、追加又は除去するＷＡＦインスタンスの数の増分を示すこともできる。

【0026】

段階Ｃにおいて、ＷＡＦ配備マネージャ１０９は、アプリケーション１０３のために利用可能なＷＡＦインスタンスが減らされるべきであると判断し、コンテナ１０４Ｆからラベル２１９Ｂを除去する。ＷＡＦ配備マネージャ１０９は、例えば、アプリケーション１０３が低いネットワークトラフィックを受信していることと、ワーカノード１０５Ｂがその最大の配分されたＣＰＵ又はメモリ使用率に近づいていることに基づいて、アプリケーション１０３のためのＷＡＦインスタンスがスケールダウンされるべきであると判断することができる。したがって、ＷＡＦ配備マネージャ１０９はコンテナ１０４Ｆからラベル２１９Ｂを除去し、それにより、エージェント１０７Ｂはもはやアプリケーション１０３を指定しない。結果として、アプリケーション１０３のトラフィックは、検査のためにエージェント１０７Ｂで実行されているＷＡＦ１３１Ｂにもはやリダイレクトされない。ＷＡＦ配備マネージャ１０９は、コンテナ１０４Ｆからラベル「ａｇｅｎｔ＿ａｐｐ１０３」を除去するために、エージェント１０７Ａ、１０７Ｂの構成に対する更新を生成することにより、ラベル２１９Ｂを除去することができる。したがって、ＷＡＦ配備マネージャ１０９は、クラスタ１１５のインフラストラクチャ又はクラスタ１１５で実行されている他のアプリケーションに対して最小限の影響～影響なしで、収集されたメトリックに従って、アプリケーションを安全にするために利用可能であるクラスタ１１５のノードで実行されているエージェントを介して配備されたＷＡＦインスタンスの数を動的にスケーリングすることができる。

【0027】

図３～図５は、クラスタの監視された状態に基づく、クラスタ上で実行されているクラウドアプリケーションのためのアクティブなＷＡＦインスタンスの自動化された配備及びスケーリングの例示的な動作のフローチャートを示す。例示的な動作は、前の図との整合性のために、ＷＡＦ配備マネージャを参照して説明される。プログラムコードのために選ばれた名前は、特許請求の範囲を制限するものではない。プログラムの構造と編成は、プラットフォーム、プログラマ／アーキテクトの好み、プログラミング言語などに起因して変わる可能性がある。さらに、コードユニットの名前（プログラム、モジュール、メソッド、関数など）は、同じ理由で変わる可能性があり、任意とすることができる。

【0028】

図３は、クラスタ上で実行されているクラウドアプリケーションのためにスケーラブルなＷＡＦ配備を実行する例示的な動作のフローチャートを示す。ＷＡＦ配備は、安全にされるクラウドアプリケーションに仕向けられたネットワークトラフィックを検査するためのＷＡＦインスタンスが、クラスタの１つ以上のノードで実行されているアプリケーション及び／又は既存のエージェントを再配備するのでなく、ＷＡＦが実装されているエージェントのコンテナにラベル付けすることに基づいて利用可能又は利用不可能にされ得るため、スケーラブルであると言われる。図３の説明は、ＷＡＦを実装することができるエージェントが、アプリケーションを実行することができるクラスタの１つ以上のノードの各々に配備されることを仮定している。ＷＡＦを介してアプリケーションを安全にすることに加えて、ノードに配備されたエージェントは、ネットワークトラフィック及びノードリソース使用率を監視し、クラスタで実行されているアプリケーションの実行の間に関連するネットワークメトリック及びノードリソース使用率メトリックを収集することができる。

【0029】

ブロック３０１において、ＷＡＦ配備マネージャが、第１の配備構成に関連づけられた外部に公開されたクラウドアプリケーションを識別する。ＷＡＦ配備マネージャは、クラスタで実行されているアプリケーションの公開を示す、ＷＡＦ配備マネージャにとってアクセス可能な構成ファイルを分析することに基づいて、クラウドアプリケーションを外部に（すなわち、クラスタの外部のロードバランサに）公開されているものとして識別することができる。例えば、アプリケーションは、ロードバランサを管理するクラウドプロバイダによるパブリックＩＰアドレスの割り振りに基づいて外部に公開することができる。ＷＡＦ配備マネージャは、クラスタ上で実行されているアプリケーションのための配備構成を規定する１つ以上の構成ファイルのタイプフィールド、ＩＰアドレスフィールドなどを分析し、その構成ファイルが「外部」のタイプ、パブリックＩＰアドレスなどを示すフィールドを有することに基づいて、外部に公開されたクラウドアプリケーションを識別することができる。

【0030】

ブロック３０３において、ＷＡＦ配備マネージャは、クラウドアプリケーションをクラスタ内で内部に公開するために、クラウドアプリケーションの配備のためのさらなる構成を生成する。ＷＡＦ配備マネージャは、クラウドアプリケーションの外部公開を示す構成ファイルをコピーし、クラウドアプリケーションにプライベートＩＰアドレスを割り振り、結果として生じたさらなる構成ファイルにおいてパブリックＩＰアドレスをプライベートＩＰアドレスに置き換えることができる。さらなる構成ファイルを生成するための第１の構成ファイルの複製は、クラウドアプリケーションが公開される２つのＩＰアドレスを結果としてもたらし、クラウドアプリケーションのコンテナをクラスタの外部のエンティティに公開するパブリックＩＰアドレスと、クラウドアプリケーションのコンテナをクラスタ内のエンティティに公開するプライベートＩＰアドレスである。

【0031】

ブロック３０５において、ＷＡＦ配備マネージャは、クラウドアプリケーションに固有である、クラスタのノードで実行されているエージェントの１つ以上のコンテナに対するポートを割り振る。エージェントは、エージェントを内部に公開するために、自身のＩＰアドレスに関連づけられたコンテナ化されたアプリケーションとして配備され得る。ＷＡＦ配備マネージャは、クラウドアプリケーションに固有である、エージェントＩＰアドレス上のポートを割り振り、それにより、ポートは、アプリケーションごとにエージェントコンテナに割り振られる。

【0032】

ブロック３０７において、ＷＡＦ配備マネージャは、クラウドアプリケーションに割り振られたプライベートＩＰアドレスを介して、ポートに配信されたトラフィックをクラウドアプリケーションにリダイレクトするために、エージェントの構成を更新する。ＷＡＦ配備マネージャは、割り振られたポートで受信したネットワークトラフィックが、クラウドアプリケーションを内部に公開するための構成に示されたクラウドアプリケーションのプライベートＩＰアドレスを介してクラウドアプリケーションにリダイレクトされるべきであることを規定するために、エージェントの構成に対する更新を生成することができる。例えば、エージェント構成に対する更新は、割り振られたポートを、クラスタ内でエージェントが公開されているポートとして示すことができる。エージェント構成に対する更新は、クラウドアプリケーションのプライベートＩＰアドレス及び／又はエージェントに割り当てられたアプリケーション特有のラベルに基づいて、クラウドアプリケーションをパッケージ化したコンテナを、出て行くネットワークトラフィックの宛先として指定することもできる。ＷＡＦ配備マネージャは、ポートで受信したネットワークトラフィックに対する１つ以上のｉｐｔａｂｌｅｓルールを作成して、トラフィックをクラウドアプリケーションに、そのプライベートＩＰアドレスを介して向けることもできる。

【0033】

ブロック３０９において、ＷＡＦ配備マネージャは、クラウドアプリケーションに対応するラベルをエージェントの１つ以上のコンテナに割り当てる。ラベルは、エージェントをパッケージ化するコンテナに（例えば、属性又は他のコンテナメタデータとして）追加又は付加することができる、クラウドアプリケーションに固有のラベルである。ラベルは、コンテナ間でそれらのタイプ／内容に基づいて識別又は区別するために、例えば、コンテナにパッケージ化されたアプリケーションを識別するためなどで、クラスタ内で使用することができる。アプリケーション／エージェント配備の構成は、ネットワークトラフィックがルーティングされるコンテナを制御するために、例えば、ネットワークトラフィックが向けられるべきＩＰアドレスに関連づけられたコンテナのサブセットを識別するためなどで、ラベルを活用することもできる。したがって、エージェントのラベル付けは、クラスタのノードで実行されているエージェントのセット又はサブセットを識別することと、クラウドアプリケーションに仕向けられたネットワークトラフィックがＷＡＦによる検査のためにリダイレクトされるべきＷＡＦをインスタンス化させることを容易にする。ＷＡＦ配備マネージャは、ラベルを割り当てるためのルール、ポリシーなどを維持し、そのルール又はポリシーに基づいて（例えば、エージェント構成ファイルを更新することにより）、クラウドアプリケーションに固有のラベルを１つ以上のエージェントコンテナに割り当てることができる。例えば、ラベルは、デフォルトで、又は外部に公開されたアプリケーションの最初の識別とその後のＷＡＦ配備において、クラスタ内のエージェントのコンテナの各々に割り当てることができる。図４でさらに説明されるように、ラベルは、観測されたネットワークトラフィックの量及び／又はノードリソース使用率に合わせるために、クラスタのノードにわたってアプリケーショントラフィックを検査するために利用可能であるべきＷＡＦインスタンスの数を増加又は減少させるために、動的に再配布することができる。

【0034】

ブロック３１１において、ＷＡＦ配備マネージャは、クラウドアプリケーションに仕向けられたネットワークトラフィックを、クラウドアプリケーションに対応するラベルに関連づけられた１つ以上のエージェントにリダイレクトするために、第１のアプリケーション構成を修正する。ＷＡＦ配備マネージャは、クラウドアプリケーションに対応する宛先アドレスを有する、クラスタの外部から発信されるネットワークトラフィックが、クラウドアプリケーションに対応するラベルを有するコンテナにリダイレクトされ、割り振られたポートをターゲットにするべきであることを規定する、クラウドアプリケーションの配備のための構成ファイルに対する更新を生成することができる（例えば、アプリケーションのコンテナに関連づけられた値を置き換えることができるラベルフィールドとターゲットポートフィールドを更新すること／追加することに基づく）。結果として、エージェントは、クラウドアプリケーションのためにインスタンス化されたＷＡＦによる検査のために、クラウドアプリケーションに送信されるネットワークトラフィックを効果的に傍受する。異なるアプリケーションに対して、異なるポート及びラベルがエージェントに割り振られ、割り当てられるため、リダイレクトされたネットワークトラフィックを受信すると、エージェント及び対応するＷＡＦ実装は、その後、トラフィックが配信されたポート番号とコンテナのラベル付けとに基づいて、関連するアプリケーションを決定する。ＷＡＦは、次いで、それに応じて、クラウドアプリケーションのために定義され、ネットワークトラフィックの検査のためにエージェントにより維持されるポリシー、ルールなどを適用することができる。

【0035】

図４～図５は、クラスタノードにわたってクラウドアプリケーション（以降、「アプリケーション」）のネットワークトラフィックの検査に利用可能なＷＡＦインスタンスを間で動的にスケーリングする例示的な動作のフローチャートを示す。例示的な動作は、アプリケーションが実行されるクラスタの１つ以上のノードの各々で実行されているエージェントを介してアプリケーションを安全にするためにＷＡＦがインスタンス化されることを仮定している。ＷＡＦは、エージェントの各々がＷＡＦの機能を実装し、アプリケーションを指定又はアプリケーションに対応するＷＡＦルール、ポリシーなどを維持することに基づいて、各エージェントを介してアプリケーションに対してインスタンス化することができる。エージェントはさらに、図３を参照して説明されているように、それぞれのＷＡＦによる検査のために、アプリケーションに仕向けられたネットワークトラフィックを傍受するように構成される。

【0036】

ブロック４０１において、ＷＡＦ配備マネージャは、エージェントにより収集されたノードリソース使用率（usage）メトリック及びネットワークメトリックを取得する。クラウドにおけるアプリケーションの実行の間、エージェントは、アプリケーションに送信されるネットワークトラフィックと、クラスタノードによるリソース使用率（例えば、ＣＰＵ及びメモリ使用率）を監視することができる。ＷＡＦ配備マネージャは、周期的に更新をポーリングし、又はエージェントから受信して、収集されたノードリソース使用率メトリックとネットワークメトリック（例えば、帯域幅、輻輳、レイテンシなど）を取得することができる。ＷＡＦ配備マネージャによる収集されたメトリックの取り出しは、スケジュールに従って、及び／又はノード障害イベントなどの収集イベントをトリガするクラスタ内の更新において実行されてもよい。ＷＡＦ配備マネージャは、アプリケーションの識別子に基づいて、アプリケーショントラフィックに基づいて収集されたネットワークメトリック、及びアプリケーションが現在配備されているノードのリソース使用率メトリックなどの、取得されたメトリックの中でアプリケーションに関連するメトリックを判断することができる。

【0037】

ブロック４０３において、ＷＡＦ配備マネージャは、取得されたメトリックを、アプリケーションを安全にするためのＷＡＦインスタンスの数を修正するための１つ以上の基準に対して評価する。収集されたメトリックの評価は、メトリックを収集すると、又は定義された時間の増分、収集イベントの数などの後に周期的に実行することができる。アプリケーションのためのＷＡＦインスタンスの数を修正することは、アプリケーションに固有のラベルを用いたそれぞれのエージェントのコンテナのラベル付けを介してアプリケーションを指定するＷＡＦをインスタンス化したクラスタ内のノードにわたるエージェントの数を増加又は減少させることを指す。アプリケーションが高いネットワークトラフィックを経験し、かつ／あるいは、その最大配分リソース使用率に近づき又は超えているノードで実行されている場合、より多数のエージェント／ＷＡＦがそのアプリケーションを指定してもよく、それにより、アプリケーションに仕向けられたネットワークトラフィックは、検査のためにより多数のＷＡＦに分散でき、ボトルネックが防止される。アプリケーションがより低いネットワークトラフィックを経験し、かつ／あるいは、最小限の数のアクティブノードにネットワークトラフィックを統合することによりリソース使用率を節約するためにキャパシティに近くないノードで実行される場合、より少数のエージェント／ＷＡＦがそのアプリケーションを指定してもよい。基準は、ネットワークメトリック及びノードリソース使用率メトリックの最大又は最小値の閾値に基づいてアプリケーションを指定するエージェント／ＷＡＦの数を増やすこと及び減らすことの双方について、区別可能な基準を含むことができる。例えば、基準は、アプリケーションが実行される１つ以上のノードのリソース使用率、及び／又はアプリケーションにより受信されるネットワークトラフィックの量（例えば、帯域幅、輻輳、レイテンシなどの観点から）が少なくとも第１の閾値を超えている場合、アプリケーションを指定するエージェント／ＷＡＦの数が増やされるべきであることを示す場合がある。基準は、さらに、アプリケーションが実行される１つ以上のノードのリソース使用率、及び／又はアプリケーションにより受信されるネットワークトラフィックの量が少なくとも第１の最小値を下回っている場合、アプリケーションを指定するエージェント／ＷＡＦの数が減らされるべきであることを示す場合がある。

【0038】

ブロック４０５において、ＷＡＦ配備マネージャは、基準のうちの少なくとも第１のものが満たされているかを判断する。ＷＡＦ配備マネージャは、収集されたメトリックの１つ以上が、最大値に対応する閾値を超えているか又は最小値に対応する閾値を下回っている場合、基準のうちの第１のものが満たされたと判断することができる。基準のいずれも満たされなかった場合、動作はブロック４０１に続く。少なくとも第１の基準が満たされた場合、動作はブロック４０７に続く。

【0039】

ブロック４０７において、ＷＡＦ配備マネージャは、アプリケーションを指定するＷＡＦインスタンスの数が増やされ又は減らされるべきであるかを判断する。この判断は、取得されたメトリックの評価に基づいて、基準のいずれが満たされたかに基づいて行うことができる。例えば、アプリケーションを指定するＷＡＦインスタンスの数は、取得されたメトリックが最大値に対応する閾値を超えていた場合に増やされ、あるいは取得されたメトリックが最小配分値を下回っていた場合に減らされるべきであると判断することができる。ＷＡＦインスタンスの数が増やされるべきである場合、動作は遷移点Ａに続き、これは図５のブロック５０９に続く。ＷＡＦインスタンスの数が減らされるべきである場合、動作は遷移点Ｃに続き、これは図５のブロック５１０に続く。

【0040】

ブロック５０９において、ＷＡＦ配備マネージャは、アプリケーションを指定すべきさらなるエージェント及びそれぞれのＷＡＦインスタンスの数を決定する。ＷＡＦ配備マネージャは、取得されたメトリックが１つ以上の閾値を超えていることに基づいて、いくつのさらなるＷＡＦがアプリケーションに利用可能にされるべきであるかを決定するための、さらなる基準、ルールなどを維持することができる。例えば、さらなる基準は、１つのさらなるＷＡＦインスタンスがデフォルトで利用可能にされるべきであることを示すことができ、かつ／あるいは、取得されたメトリックが初期基準を満たした（例えば、１つ以上の閾値を超えていた）度合いに基づいてさらなるインスタンスの数を示すことができる。一例として、さらなる基準は、閾値を超えていた取得されたメトリックが閾値より１～１０％大きい、閾値より１１～２０％大きいなどの場合に利用可能にされる、さらなるＷＡＦの数量を示すことができる。

【0041】

ブロック５１１において、ＷＡＦ配備マネージャは、１つ以上のノードがクラスタ内で追加され、又はアクティブにされるべきであるかを判断する。ＷＡＦ配備マネージャは、アプリケーションを指定するＷＡＦのスケールアップに合わせるために、さらなるノードが追加され、又はアクティブにされるべきであると決定することができる。例えば、現在アクティブなノードの数が、対応するエージェント／ＷＡＦがすでにアプリケーションを指定しているノードと、アプリケーションを指定すべきである決定されたさらなるＷＡＦインスタンスの数との合計より少ない場合、ＷＡＦ配備マネージャは、スケールアップに合わせるために、ノードが追加され、又はアクティブにされるべきであると判断することができる。一例として、クラスタが５つのノードとそれらの上で実行されているそれぞれのエージェント／ＷＡＦとを含み、エージェント／ＷＡＦのうちの４つがすでにアプリケーションを指定している場合、決定されたさらなるＷＡＦインスタンスの数が２以上である場合に、さらなるノードが追加又はアクティブ化されるべきである。ノードが追加されるべきである場合、動作はブロック５１３に続く。さらなるノードが追加される必要がない場合、動作はブロック５１５に続く。

【0042】

ブロック５１３において、エージェントを配備させた決定された数のノードがクラスタ内で追加され又はアクティブにされる。ＷＡＦ配備マネージャは、クラウドサービスプロバイダに（例えば、クラウドサービスプロバイダにより提供されるＡＰＩを介して）コマンド又は要求を通信して、さらなるノードをプロビジョニングし、新しいノードにエージェントを配備し、あるいはすでにエージェントを配備させているアイドルノードのステータスをアクティブ／利用可能に変更することができる。ＷＡＦ配備マネージャは、さらに、クラスタにさらなるノードを追加させ、又はアイドルノードのステータスをアクティブ／利用可能に変更する前に、許可（例えば、管理者からの）を要求することができる。

【0043】

ブロック５１５において、ＷＡＦ配備マネージャは、アプリケーションを指定すべきである決定されたさらなるＷＡＦインスタンスの数まで、さらなるエージェントのコンテナに、アプリケーションに固有のラベルを追加する。アプリケーション特有のラベルは、さらに、アプリケーションに関連づけられたＩＰアドレスに送信されるネットワークトラフィックが、それに応じてラベル付けされたコンテナに向けられるべきであることを指定するラベルフィールドの値として、アプリケーションの外部公開を示す構成に含まれる／含まれている場合がある。したがって、さらなるエージェントのコンテナに追加される、アプリケーションに固有のラベルは、アプリケーション構成に示されたラベルと一致するべきであり、それにより、宛先アドレスとしてアプリケーションのパブリックＩＰアドレスを有するネットワークトラフィックは、示されたラベルを有するエージェントのコンテナにリダイレクトされる。ラベルは、エージェントの構成に対する更新の生成を通じてエージェントコンテナに追加することができ、これにおいて、更新は、ラベルが追加されるべきコンテナを指定するための１つ以上のコンテナＩＤを含むことができる。動作は遷移点Ｂに続き、これは図４のブロック４０１に続く。

【0044】

ブロック５１０において、ＷＡＦ配備マネージャは、アプリケーションの指定が除去されるべきエージェント及びそれぞれのＷＡＦインスタンスの数を決定する。ＷＡＦインスタンスからアプリケーションの指定を除去することは、アプリケーションにとってＷＡＦを利用不可能にし、対応するエージェントのコンテナからアプリケーションに固有のラベルを除去すること、又はＷＡＦ及び対応するエージェントが実行されるノードをアイドルにすることを含むことができる。ＷＡＦ配備マネージャは、取得されたメトリックが１つ以上の最小値を満たしていないことに基づいて、いくつのＷＡＦがアプリケーションにとって利用不可能にされるべきであるかを決定するための、さらなる基準、ルールなどを維持することができる。例えば、さらなる基準は、１つのＷＡＦインスタンスがデフォルトで利用不可能にされるべきであることを示すことができ、かつ／あるいは、取得されたメトリックが初期基準を満たした（例えば、１つ以上の最小値を下回っていた）度合いに基づいて利用不可能にされるインスタンスの数を示すことができる。一例として、さらなる基準は、閾値を下回っていたメトリックが閾値より１～１０％少ない、閾値より１１～２０％少ないなどの場合に利用不可能にされる、ＷＡＦの数を示すことができる。

【0045】

ブロック５１２において、ＷＡＦ配備マネージャは、クラスタ内の１つ以上のノードがアイドルにされるべきであるかを判断する。ＷＡＦ配備マネージャは、ノードで実行されているＷＡＦ／エージェントからアプリケーションの指定を除去すると、ノードがもはやアクティブのままである必要がない場合、アプリケーションを指定するＷＡＦのスケールダウンに合わせるために、ノードがアイドルにされるべきであると決定することができる。アプリケーションのスケールダウンは、アプリケーションを指定するＷＡＦのスケールダウンに伴う場合がある。例えば、アプリケーションとエージェントが、ノード上で実行されている唯一のコンテナ化されたアプリケーションであり、アプリケーションとＷＡＦが双方ともスケールダウンされることになる場合、ＷＡＦ配備マネージャは、クラスタ内のリソースを節約するために、アプリケーションにとって利用可能なＷＡＦの数を減らすことの一部として、ノードがアイドルにされるべきであると決定することができる。ノードがアイドルにされるべきである場合、動作はブロック５１４に続く。ノードがアイドルにされるべきでない場合、動作はブロック５１６に続く。

【0046】

ブロック５１４において、ＷＡＦ配備マネージャは、決定された数のノードがアイドルに設定されるべきであることを示す。ＷＡＦ配備マネージャは、クラウドサービスプロバイダに（例えば、クラウドサービスプロバイダにより提供されるＡＰＩを介して）、ノードを識別するコマンド又は要求を通信して、ノードのステータスをアクティブ／利用可能からアイドルに変更することができる。ノードのステータスをアイドルに設定することは、さらに、ノードで実行されているエージェントを介してインスタンス化されたＷＡＦをアプリケーションにとって利用不可能にする。

【0047】

ブロック５１６において、ＷＡＦ配備マネージャは、アプリケーションの指定を除去すべき残りのＷＡＦインスタンスの数まで、アイドルに設定されていないノードで実行されているエージェント上のコンテナから、アプリケーションに対応するラベルを除去する。ラベルは、エージェントの構成に対する更新の生成を通じてエージェントコンテナから除去することができ、これにおいて、更新は、ラベルが除去されるべきコンテナを指定するための１つ以上のコンテナＩＤを含むことができる。更新はまた、除去されるラベルを識別するために、ラベルに関連づけられたアプリケーションに関連づけられたＩＤを示してもよく、なぜならば、エージェントコンテナは、異なるアプリケーションに対応する複数のラベルを保持することができるためである。動作は遷移点Ｄに続き、これは図４のブロック４０１に続く。

【0048】

図６～図８は、新しい技術を説明するための言語の欠点を説明する試みとして、より広い／異なる用語で革新的な技術を説明するフローチャートである。これらのフローチャートは、プログラムコードを編成及び開発するための多数の実装、並びに異なるハードウェア及び／又は仮想化への配備のための様々な選択肢があるため、特定の主体を参照していない。

【0049】

図６は、クラウドアプリケーションを安全にするために利用可能なＷＡＦインスタンスを動的に配備及びスケーリングする例示的な動作のフローチャートを示す。ブロック６０１において、クラウドクラスタの１つ以上のノードで実行されている外部に公開されたクラウドアプリケーションが識別される。クラウドアプリケーションは第１の構成を有する。

【0050】

ブロック６０３において、第１の構成は、クラウドアプリケーションに仕向けられたネットワークトラフィックを、１つ以上のエージェントに割り振られた第１のポート上で１つ以上のエージェントにリダイレクトするように、修正される。エージェントの各々は、１つ以上のノードのうちのそれぞれのノードで実行され、クラウドアプリケーションのために利用可能であるＷＡＦをインスタンス化している。クラウドアプリケーションを指定するラベルは、エージェントの少なくともサブセットのコンテナに関連づけることができ、これにおいて、エージェントのサブセットのラベル付けは、エージェントのサブセットの各々でインスタンス化されたＷＡＦがクラウドアプリケーションのために利用可能であることを指定する。ブロック６０５において、エージェントにより収集された複数のメトリックのうちの第１のメトリックが、クラウドアプリケーションのためにＷＡＦが利用可能であるエージェントの数を修正するための第１の基準を満たしているかが判断される。

【0051】

ブロック６０７において、第１のメトリックが第１の基準を満たしているという判断に基づいて、クラウドアプリケーションのためにＷＡＦが利用可能であるエージェントの数が修正される。エージェントの数は、エージェントの数を増やすために、クラウドアプリケーションを指定するラベルをエージェントのサブセットに加えてエージェントのコンテナに関連づけること、又は、エージェントの数を減らすために、ラベルをエージェントのサブセットのコンテナのうちの少なくとも第１のものから除去することを通じて、修正することができる。代わりに又はさらに、エージェントの数は、エージェントの数を増やすために、エージェントが配備され、アプリケーションを指定するようにラベル付けされているノードをクラスタに追加すること、又は、エージェントの数を減らすために、１つ以上のノードのうちの第１のもののステータスをアクティブからアイドルに変更することにより、修正することができる。

【0052】

図７は、クラウド内のクラスタの１つ以上のノードで実行されているアプリケーションを安全にするためにＷＡＦを動的に配備する例示的な動作のフローチャートを示す。ブロック７０１において、アプリケーションが外部に公開されているという判断に基づいて、アプリケーションをクラスタ内で内部に公開するために、アプリケーションに対して第１の構成が生成される。第１の構成は、アプリケーションを外部に公開するアプリケーションの第２の構成に少なくとも部分的に基づいて生成される。第１の構成は、アプリケーションに割り振られているパブリックネットワークアドレスを含むことができる。第２の構成は、第１の構成をコピーすることと、パブリックネットワークアドレスをアプリケーションに割り振られたプライベートネットワークアドレスに置き換えることに基づいて生成することができる。

【0053】

ブロック７０３において、アプリケーションを安全にするためのＷＡＦをインスタンス化した複数のエージェントのうちの少なくとも第１のエージェントが、アプリケーションに対応するラベルの、第１のエージェントとの関連づけに少なくとも部分的に基づいて選択される。複数のエージェントの各エージェントは、１つ以上のノードのうちのそれぞれのノードで実行される。ブロック７０５において、第１の構成は、アプリケーションに仕向けられたネットワークトラフィックを第１のエージェントにリダイレクトするために修正される。第１の構成は、外部ネットワークトラフィックの宛先として、複数のエージェントに関連づけられたネットワークアドレスに対して割り振られた第１のポートと、ラベルを示すように修正することができる。ブロック７０７において、第１のエージェントの構成は、第２の構成で示されたアプリケーションのネットワークアドレスに少なくとも部分的に基づいてネットワークトラフィックをアプリケーションに向けるために修正される。第１のエージェントの構成は、第２の構成で示されたアプリケーションのプライベートネットワークアドレスを示すように修正することができる。

【0054】

図８は、ＷＡＦ保護のためにアプリケーションを指定するＷＡＦインスタンスを動的に配備及びスケーリングする例示的な動作のフローチャートを示す。ブロック８０１において、外部に公開されたアプリケーションの識別に基づいて、アプリケーションの第１の構成が、アプリケーションに仕向けられたネットワークトラフィックを１つ以上のエージェントにリダイレクトするために修正される。１つ以上のエージェントの各々は、アプリケーションが実行されるクラウドクラスタの１つ以上のノードのうちのそれぞれのノードで実行される。エージェントの各々はまた、ＷＡＦをインスタンス化しており、ＷＡＦ保護のためにアプリケーションを指定する。エージェントの少なくともサブセットに、アプリケーションに対応するラベルをラベル付けすることができ、これにおいて、エージェントのサブセットのラベル付けは、エージェントのサブセットによるＷＡＦ保護のためにアプリケーションを指定する。

【0055】

ブロック８０３において、エージェントにより収集された複数のメトリックのうちの第１のメトリックが、ＷＡＦ保護のためにアプリケーションを指定するエージェントの数を増やし又は減らすための第１の基準を満たしているかが判断される。第１のメトリックが第１の基準を満たしているかどうかの判断は、第１のメトリックが第１のメトリックの最大値を超えている、及び／又は第１のメトリックの最小値を下回っているかどうかに基づくことができる。ブロック８０５において、第１のメトリックが第１の基準を満たしているという判断に基づいて、ＷＡＦ保護のためにアプリケーションを指定するエージェントの数が増やされ又は減らされる。ＷＡＦ保護のためにアプリケーションを指定するエージェントの数は、アプリケーションに対応するラベルを、エージェントのサブセットに加えて少なくとも第１のエージェントにラベル付けすることに少なくとも部分的に基づいて、増やすことができる。ＷＡＦ保護のためにアプリケーションを指定するエージェントの数は、エージェントのサブセットのうちの少なくとも第１のエージェントから、アプリケーションに対応するラベルを除去することに少なくとも部分的に基づいて、減らすことができる。

【0056】

バリエーション

【0057】

フローチャートは、例示の理解を助けるために提供されており、特許請求の範囲の範囲を制限するために使用されるものではない。フローチャートは、特許請求の範囲の範囲内で変わる可能性のある例示的な動作を示している。さらなる動作が実行される場合があり、より少ない動作が実行される場合があり、動作が並列に実行される場合があり、動作が異なる順序で実行される場合がある。例えば、ブロック３０７と３０９に示されている動作は、並列又は同時に実行することができる。フローチャート例示及び／又はブロック図の各ブロック、並びにフローチャート例示及び／又はブロック図内のブロックの組み合わせは、プログラムコードにより実装できることが理解されるであろう。プログラムコードは、汎用コンピュータ、専用コンピュータ、又は他のプログラマブルマシン若しくは装置のプロセッサに提供されてもよい。

【0058】

理解されるように、開示の態様は、システム、方法、又は１つ以上のマシン読取可能媒体に記憶されたプログラムコード／命令として具現化することができる。したがって、態様は、ハードウェア、ソフトウェア（ファームウェア、常駐ソフトウェア、マイクロコードなどを含む）、又はソフトウェア及びハードウェア態様の組み合わせの形態をとる場合があり、これらは全て、一般に本明細書において「回路」、「モジュール」、又は「システム」と呼ばれる場合がある。例示的な図解において個々のモジュール／ユニットとして提示されている機能は、プラットフォーム（オペレーティングシステム及び／又はハードウェア）、アプリケーションエコシステム、インターフェース、プログラマの好み、プログラミング言語、管理者の好みなどのいずれか１つに従って別様に編成することができる。

【0059】

１つ以上のマシン読取可能媒体の任意の組み合わせを利用することができる。マシン読取可能媒体は、マシン読取可能信号媒体又はマシン読取可能記憶媒体であってよい。マシン読取可能記憶媒体は、例えば、これらに限られないが、プログラムコードを記憶するために電子、磁気、光学、電磁、赤外線、又は半導体技術のいずれか１つ又はこれらの組み合わせを採用するシステム、装置、又はデバイスでもよい。マシン読取可能記憶媒体のより具体的な例（網羅的ではないリスト）には、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ（ＲＡＭ）、読取専用メモリ（ＲＯＭ）、消去可能プログラマブル読取専用メモリ（ＥＰＲＯＭ又はフラッシュメモリ）、ポータブルコンパクトディスク読取専用メモリ（ＣＤ－ＲＯＭ）、光学記憶装置、磁気記憶装置、又は前述のものの任意の適切な組み合わせが含まれる。本文献の文脈において、マシン読取可能記憶媒体は、命令実行システム、装置、又はデバイスによる使用又はそれらに関連した使用のためにプログラムを含み又は記憶することができる、任意の有形の媒体であってよい。マシン読取可能記憶媒体は、マシン読取可能信号媒体ではない。

【0060】

マシン読取可能信号媒体は、マシン読取可能プログラムコードが内部に、例えば、ベースバンドで又は搬送波の一部として具現化された、伝搬データ信号を含むことができる。そのような伝搬信号は、これらに限られないが電磁的、光学的、又はこれらの任意の適切な組み合わせを含む、様々な形式のいずれかを取ることができる。マシン読取可能信号媒体は、マシン読取可能記憶媒体ではなく、かつ命令実行システム、装置、又はデバイスによる使用又はそれらに関連した使用のためにプログラムを通信、伝搬、又は移送することができる、任意のマシン読取可能媒体であってよい。

【0061】

マシン読取可能媒体に具現化されたプログラムコードは、これらに限られないが、無線、有線、光ファイバーケーブル、ＲＦ等、又は前述のものの任意の適切な組み合わせを含む、任意の適切な媒体を使用して送信することができる。

【0062】

プログラムコード／命令は、さらに、特定の方法で機能するようにマシンに指示することができるマシン読取可能媒体に記憶されてもよく、それにより、マシン読取可能媒体に記憶された命令は、フローチャート及び／又はブロック図の１つ又は複数のブロックに規定された機能／動作を実装する命令を含む製造品を生成する。

【0063】

図９は、ＷＡＦ配備マネージャを備えた一例示的なコンピュータシステムを示す。コンピュータシステムは、プロセッサ９０１を含む（可能性として、複数のプロセッサ、複数のコア、複数のノードを含み、かつ／あるいはマルチスレッドを実装する）。コンピュータシステムは、メモリ９０７を含む。メモリ９０７は、システムメモリ、又は上記で既に説明したマシン読取可能媒体の可能な実現のうちいずれか１つ以上でもよい。コンピュータシステムは、バス９０３とネットワークインターフェース９０５をさらに含む。システムは、ＷＡＦ配備マネージャ９１１をさらに含む。ＷＡＦ配備マネージャ９１１は、本明細書に記載されるように、クラウドクラスタの１つ以上のノードにわたる動的なＷＡＦ配備及びスケーリングを管理する。前に説明した機能のいずれか１つを、ハードウェアで及び／又はプロセッサ９０１上で部分的に（又は、全体的に）実装することができる。例えば、機能は、特定用途向け集積回路で、プロセッサ９０１に実装されたロジックにおいて、周辺デバイス又はカード上のコプロセッサにおいて等で実装されてもよい。さらに、実現には、図９に示されていない、より少ない又はさらなるコンポーネント（例えば、ビデオカード、オーディオカード、さらなるネットワークインターフェース、周辺デバイスなど）を含んでもよい。プロセッサ９０１とネットワークインターフェース９０５は、バス９０３に結合されている。バス９０３に結合されるものとして示されているが、メモリ９０７は、プロセッサ９０１に結合されてもよい。

【0064】

開示の態様は、様々な実装と活用を参照して説明されているが、これらの態様は例示的であり、特許請求の範囲の範囲はそれらに限定されないことが理解されるであろう。一般に、本明細書で説明されている動的にスケーラブルなＷＡＦ配備のための手法は、任意の１つ又は複数のハードウェアシステムと整合性のある設備で実装することができる。多くのバリエーション、修正、追加、及び改善が可能である。

【0065】

本明細書において単一のインスタンスとして説明されたコンポーネント、動作、又は構造に対して、複数のインスタンスが提供される場合がある。最後に、様々なコンポーネント、動作、及びデータストア間の境界は、ある程度任意であり、特定の動作は、特定の例示的な構成のコンテキストで示されている。機能の他の割り振りが想定され、開示の範囲内に入る場合がある。一般に、例示的な構成において別個のコンポーネントとして提示された構造及び機能は、組み合わせられた構造又はコンポーネントとして実装することができる。同様に、単一のコンポーネントとして提示された構造及び機能は、別個のコンポーネントとして実装することができる。これら及び他のバリエーション、修正、追加、及び改善が、開示の範囲内に入る場合がある。

【0066】

用語

【0067】

本説明は、説明の効率と容易さのため、クラウド技術に関する略語を用いている。「クラウド」に言及するとき、本説明は、クラウドサービスプロバイダのリソースを指している。例えば、クラウドは、クラウドサービスプロバイダのサーバ、仮想マシン、及びストレージデバイスを包含することができる。用語「クラウド宛先」及び「クラウドソース」は、ネットワーク接続のエンドポイントとして使用することができるネットワークアドレスを有するエンティティを指す。エンティティは、物理デバイス（例えば、サーバ）でもよく、あるいは仮想エンティティ（例えば、仮想サーバ又は仮想ストレージデバイス）でもよい。より一般的な用語では、顧客にとってアクセス可能なクラウドサービスプロバイダリソースは、ネットワーク接続を介してアクセス可能であるクラウドサービスプロバイダエンティティにより所有／管理されるリソースである。しばしば、アクセスは、クラウドサービスプロバイダにより提供されるアプリケーションプログラミングインターフェース又はソフトウェア開発キットに従う。

【0068】

接続詞「及び」を用いたリストの前の、語句「のうち少なくとも１つ」の使用は、網羅的なリストとして扱われるべきでなく、別段具体的に示されていない限り、各カテゴリから１つの項目を有するカテゴリのリストとして解釈されるべきではない。「Ａ、Ｂ、及びＣのうち少なくとも１つ」を記載した節は、列挙された項目のうち１つのみ、列挙された項目のうち複数、及びリスト内の項目の１つ以上と列挙されていない別の項目により侵害される可能性がある。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【手続補正書】

【提出日】2022-10-24

【手続補正1】

【補正対象書類名】特許請求の範囲

【補正対象項目名】全文

【補正方法】変更

【補正の内容】

【特許請求の範囲】

【請求項1】

クラウドクラスタの１つ以上のノード上で実行されている外部に公開されたクラウドアプリケーションを識別するステップであり、前記クラウドアプリケーションは第１の構成を有し、１つ以上のエージェントが前記１つ以上のノードのそれぞれのノードで実行され、１つ以上のコンテナのそれぞれのコンテナに関連づけられている、ステップと、
前記クラウドアプリケーションに仕向けられたネットワークトラフィックを、前記クラウドアプリケーションのために前記１つ以上のエージェントに割り振られた第１のポート上で前記エージェントにリダイレクトするために、前記第１の構成を修正するステップであり、前記エージェントの各々は、ウェブアプリケーションファイアウォールをインスタンス化しており、前記ウェブアプリケーションファイアウォールは、前記エージェントの少なくともサブセットの前記コンテナのうちのコンテナの、前記クラウドアプリケーションを指定するラベルを用いたラベル付けに基づいて、前記クラウドアプリケーションのために利用可能にされる、ステップと、
前記エージェントにより収集された複数のメトリックのうちの第１のメトリックが、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの数を修正するための第１の基準を満たしているかを判断するステップと、
前記第１のメトリックが前記第１の基準を満たしていると判断したことに基づいて、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を修正するステップであり、前記エージェントの前記数を修正することは、前記エージェントの前記コンテナにわたって前記クラウドアプリケーションを指定する前記ラベルの割り当てを修正することを含む、ステップと、
を含む方法。

【請求項2】

前記第１の基準は、前記第１のメトリックの最大値に対応する閾値を含み、前記第１のメトリックが前記第１の基準を満たしているかを判断することは、前記第１のメトリックが前記閾値を超えているかを判断することを含み、前記エージェントの前記数を修正することは、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を増やすことを含む、請求項１に記載の方法。

【請求項3】

前記第１の基準は、前記第１のメトリックの最小値を含み、前記第１のメトリックが前記第１の基準を満たしているかを判断することは、前記第１のメトリックが前記最小値を下回っているかを判断することを含み、前記エージェントの前記数を修正することは、前記クラウドアプリケーションのために前記ウェブアプリケーションファイアウォールが利用可能である前記エージェントの前記数を減らすことを含む、請求項１に記載の方法。

【請求項4】

前記第１の構成をコピーすることと、前記クラウドアプリケーションのパブリックネットワークアドレスを、前記クラウドアプリケーションに割り振られたプライベートネットワークアドレスに置き換えることに少なくとも部分的に基づいて、前記クラウドアプリケーションを、プライベートネットワークアドレスを用いて前記クラウドクラスタ内で内部に公開するために、前記クラウドアプリケーションのための第２の構成を生成するステップと、
前記ウェブアプリケーションファイアウォールを通過することを許可されたネットワークトラフィックを、前記クラウドアプリケーションの前記プライベートネットワークアドレスを介して前記クラウドアプリケーションに向けるために、前記エージェントの構成を修正するステップと、
をさらに含む、請求項１に記載の方法。

【請求項5】

前記エージェントの前記数を増やすことは、前記ラベルを、前記エージェントの前記サブセットに加えて、エージェントに関連づけられている前記コンテナのうちのさらなるコンテナに関連づけること、又は、さらなるエージェントを配備したノードを前記クラウドクラスタに追加し、前記ラベルを前記さらなるエージェントのコンテナに関連づけることを含む、請求項２に記載の方法。

【請求項6】

前記エージェントの前記数を減らすことは、前記ラベルを前記エージェントの前記サブセットの前記コンテナのうちの少なくとも第１のものから除去すること、又は、前記１つ以上のノードのうちの第１のもののステータスをアクティブからアイドルに変更することを含む、請求項３に記載の方法。

【請求項7】

前記１つ以上のノードで実行されている第２の外部に公開されたクラウドアプリケーションを識別したことに基づいて、前記第２のクラウドアプリケーションに仕向けられたネットワークトラフィックを、前記１つ以上のエージェントに割り振られた第２のポート上で前記１つ以上のエージェントにリダイレクトするために、前記第２のクラウドアプリケーションの構成を修正するステップであり、前記第２のポートは前記第１のポートと異なる、ステップ、をさらに含む請求項１に記載の方法。

【請求項8】

前記複数のメトリックは、前記１つ以上のノードの各々のメモリ使用率と、前記１つ以上のノードの各々の中央処理装置（ＣＰＵ）使用率と、前記クラウドアプリケーションに向けられたネットワークトラフィックの量とのうちの少なくとも１つを示すメトリックを含む、請求項１に記載の方法。

【請求項9】

プログラムコードを記憶させた１つ以上の非一時的マシン読取可能媒体であって、前記プログラムコードは、請求項１乃至８のうちいずれか１項に記載の方法を実行するためにプロセッサにより実行可能であるマシン命令を含む、１つ以上の非一時的マシン読取可能媒体。

【請求項10】

装置であって、
プロセッサと、
命令を記憶させたコンピュータ読取可能媒体であり、前記命令は、当該装置に、
クラウドクラスタで実行されている外部に公開されたアプリケーションの識別に基づいて、前記アプリケーションに仕向けられたネットワークトラフィックを１つ以上のエージェントにリダイレクトするために前記アプリケーションの第１の構成を修正し、
前記１つ以上のエージェントの各々は、１つ以上のコンテナのうちのそれぞれのコンテナにおいて、前記クラウドクラスタの１つ以上のノードのうちのそれぞれのノードで実行され、
前記エージェントの各々は、ウェブアプリケーションファイアウォールをインスタンス化しており、前記ウェブアプリケーションファイアウォールは、前記エージェントの少なくともサブセットの前記コンテナのうちのコンテナの、前記アプリケーションに対応するラベルを用いたラベル付けを介して、前記アプリケーションの保護のために利用可能であり、
前記エージェントにより収集された複数のメトリックのうちの第１のメトリックが、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの数を増やし又は減らすための第１の基準を満たしているかを判断し、
前記第１のメトリックが前記第１の基準を満たしているという判断に基づき、前記アプリケーションに対応する前記ラベルの、前記エージェントの前記コンテナへの割り当ての修正に基づいて、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を増やし又は減らす
ことをさせるために前記プロセッサにより実行可能である、コンピュータ読取可能媒体と、
を含む装置。

【請求項11】

当該装置に、
前記第１の構成に少なくとも部分的に基づいて、前記アプリケーションを、前記アプリケーションに割り振られたプライベートネットワークアドレスを用いて前記クラウドクラスタ内で内部にするために、前記アプリケーションのための第２の構成を生成し、
ネットワークトラフィックを、前記アプリケーションの前記プライベートネットワークアドレスを介して前記アプリケーションに向けるために、前記エージェントの構成を修正する
ことをさせるために前記プロセッサにより実行可能な命令をさらに含む、請求項１０に記載の装置。

【請求項12】

前記第１のメトリックが前記第１の基準を満たしているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記第１のメトリックが前記第１のメトリックの最大値を超えているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な命令を含み、
前記エージェントの前記数を増やし又は減らすことを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記アプリケーションに対応する前記ラベルを、前記エージェントの前記サブセットに加えて、第１のエージェントに対応する前記コンテナのうちのさらなるコンテナにラベル付けすることに少なくとも部分的に基づいて、ウェブアプリケーションのファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を増やすことを当該装置にさせるために前記プロセッサにより実行可能な命令を含む、請求項１０に記載の装置。

【請求項13】

前記第１のメトリックが前記第１の基準を満たしているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記第１のメトリックが前記第１のメトリックの最小値を下回っているかを判断することを当該装置にさせるために前記プロセッサにより実行可能な命令を含み、
前記エージェントの前記数を増やし又は減らすことを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記アプリケーションに対応する前記ラベルを、前記エージェントの前記サブセットに対応する前記コンテナのうちの少なくとも第１のものから除去することに少なくとも部分的に基づいて、ウェブアプリケーションファイアウォール保護のために前記アプリケーションを指定する前記エージェントの前記数を減らすことを当該装置にさせるために前記プロセッサにより実行可能な命令を含む、請求項１０に記載の装置。

【請求項14】

前記アプリケーションの前記第１の構成を修正することを当該装置にさせるために前記プロセッサにより実行可能な前記命令は、前記アプリケーションに仕向けられたネットワークトラフィックを、前記アプリケーションのために前記エージェントに割り振られた第１のポート上で前記エージェントにリダイレクトするために、前記第１の構成を修正することを当該装置にさせるためにプロセッサにより実行可能な命令を含む、請求項１０に記載の装置。

【請求項15】

外部に公開されている前記１つ以上のノードで実行されている第２のアプリケーションの識別に基づいて、前記第２のアプリケーションに向けられたネットワークトラフィックを、前記第２のアプリケーションのために前記エージェントに割り振られた第２のポート上で前記エージェントにリダイレクトするために、前記第２のアプリケーションの第２の構成を修正し、前記第２のポートは前記第１のポートと異なる、ことを当該装置にさせるために前記プロセッサにより実行可能な命令をさらに含む、請求項１４に記載の装置。

【国際調査報告】