知財求人 - 知財ポータルサイト「IP Force」
▶ タレス ディアイエス シーピーエル ユーエスエー インク.の特許一覧
特表2024-536923リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-08
(54)【発明の名称】リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステム及び方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20241001BHJP
G06F 21/31 20130101ALI20241001BHJP
【FI】
G06F21/62 318
G06F21/31
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024537790
(86)(22)【出願日】2022-08-24
(85)【翻訳文提出日】2024-03-25
(86)【国際出願番号】 US2022041288
(87)【国際公開番号】W WO2023028094
(87)【国際公開日】2023-03-02
(31)【優先権主張番号】21193624.0
(32)【優先日】2021-08-27
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
2.ZIGBEE
3.AWS
(71)【出願人】
【識別番号】524075272
【氏名又は名称】タレス ディアイエス シーピーエル ユーエスエー インク.
(74)【代理人】
【識別番号】100086368
【弁理士】
【氏名又は名称】萩原 誠
(72)【発明者】
【氏名】ティルサンカル ダス
(72)【発明者】
【氏名】キョンボン ク
(72)【発明者】
【氏名】レオナルド ミヤタ
(72)【発明者】
【氏名】フェン パン
(72)【発明者】
【氏名】ジョゼ アール,サントス
(72)【発明者】
【氏名】ミハイ スパター
(72)【発明者】
【氏名】スリッドハラン スダーサン
(72)【発明者】
【氏名】カルロス ワン
(57)【要約】
リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステムであって、-1つのクラウド格納リソースに対して1つの操作を実行するように適合される1つのアプリケーションを動作させるエンドユーザエンティティと、-アプリケーションを動作させる1つのエンドユーザエンティティによる通信ネットワークを介したリモートクラウド格納リソースへのアクセスを制御するように構成されたローカルホストインターフェイスであって、クラウド格納リソースのうちの1つ以上への1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす認可されたクラウド格納リソースに対して許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、クラウド格納リソースを格納しているリモートサーバに送信するように構成されているローカルホストインターフェイスと、-クラウド格納リソースを格納しているリモートサーバと、-リモートサーバと関連付けられたクラウドインターフェイスであって、クラウド格納リソースに対する操作の実行を許可又は拒否する役割ポリシー、及び役割の少なくとも1つを引き受けるように構成された、ローカルホストインターフェイスにより送信された受信した個別のアクセス要求を通じて認証可能である認証可能なユーザアカウントから構成される第2のアクセスポリシーを含むクラウドインターフェイスと、を備える。
【選択図】 図1
【選択図】 図1
【特許請求の範囲】
【請求項1】
リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステムであって、-少なくとも1つのクラウド格納リソースに対して少なくとも1つの操作を実行するように適合される少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティ1と、
-前記少なくとも1つのアプリケーションを動作させる前記少なくとも1つのエンドユーザエンティティによる通信ネットワークを介した前記リモートクラウド格納リソースへのアクセスを制御するように構成されたローカルホストインターフェイス2であって、
前記クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
権限のあるユーザが、前記第1のアクセスポリシーに設定された前記アクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、前記通信ネットワークを介して個別のアクセス要求を、前記クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信するように構成されるローカルホストインターフェイス2と、
-前記クラウド格納リソースを格納する前記少なくとも1つのリモートサーバと、
-前記少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイス4であって、
・少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行を許可又は拒否する少なくとも1つの役割ポリシー、及び
・役割の少なくとも1つを引き受けるように構成された、前記ローカルホストインターフェイスにより送信された受信した前記個別のアクセス要求を通じて認証可能である認証可能なユーザアカウント
から構成される第2のアクセスポリシーを含むクラウドインターフェイス4と
を備えたシステム。
【請求項2】
前記第1のアクセスポリシーに設定された前記アクセス許可が、次の基準、すなわち-前記少なくとも1つのアプリケーションを動作させる前記エンドユーザエンティティを参照するエンドユーザエンティティ識別子、
-前記アプリケーション又は前記エンドユーザエンティティにログオンし、エンドユーザエンティティ上で少なくとも1つのアプリケーションの操作を実行する1つ以上のユーザ識別番号のセッション関連グループを参照するユーザセッション識別子、
-エンドユーザエンティティ上で実行されるファイルパスなどの少なくとも1つのアプリケーションの操作の識別番号、
-アクセスが要求される前記少なくとも1つのクラウド格納リソースの識別番号、及び
-前記アクセス要求が受信される所定の時間ウィンドウ
のうちの少なくとも1つを含む、請求項1に記載のシステム。
【請求項3】
前記ローカルホストインターフェイスが、トランスポート層セキュリティ(TLS)を介したハイパーテキスト転送プロトコルセキュア(HTTPS)を使用して、1つ以上のアプリケーションプログラムインターフェイス(API)を介して前記個別のアクセス要求を送信するように構成される、請求項1又は2に記載のシステム。
【請求項4】
前記少なくとも1つのアプリケーションにより単一又は一群のクラウド格納リソースに対して実行可能な前記操作が、次の操作、すなわち、読み出し、書き込み、削除、リストアップ、更新、集約、及び復号化のうちの少なくとも1つである、請求項1乃至3のいずれか一項に記載のシステム。
【請求項5】
前記ローカルホストインターフェイスが保存データの暗号化を行い、前記リソースが、前記ローカルホストインターフェイスによって第1の暗号化鍵を使用して暗号化され前記リモートサーバに格納される、請求項1乃至4のいずれか一項に記載のシステム。
【請求項6】
前記ローカルホストインターフェイス又は前記アプリケーションそれ自体が、前記個別のアクセス要求に応じて取り出された前記リソースを、前記第1のアクセスポリシーが前記取り出されたリソースを関連付ける認証されたユーザ識別子に対する復号化操作を定める場合にのみ復号化するように構成される、請求項5に記載のシステム。
【請求項7】
前記ローカルホストインターフェイスが、前記個別のアクセス要求の詳細を記録するように構成されたログデータベースを備える、請求項1乃至6のいずれか一項に記載のシステム。
【請求項8】
少なくとも1つの役割ポリシーが、単一又は一群のクラウド格納リソースに対して許可可能な操作の全てを実行することを許可するように構成されたワイドオープンアクセスポリシーである、請求項1乃至7のいずれか一項に記載のシステム。
【請求項9】
前記アプリケーションが、アマゾンウェブサービス(AWS)管理コンソールなどのウェブベースのポータル、AWSコマンドラインインターフェイスなどのオープンソースアプリケーション、又はクラウド格納リソースをダウンロードする、任意選択でバックアップデータベースに格納するためのアプリケーションである、請求項1乃至8のいずれか一項に記載のシステム。
【請求項10】
前記アプリケーションが、アクセスが要求されるクラウドベースのリソースとともに前記第2のアクセスポリシーのユーザアカウントを認証するログインクレデンシャルを受信するように構成され、前記アプリケーションが更に、前記ログインクレデンシャル及びリソースを、前記第1のアクセスポリシーを実施するための1つ以上のユーザ識別子を導出するように構成される、請求項1乃至9のいずれか一項に記載のシステム。
【請求項11】
前記ローカルホストインターフェイスが、前記第2のアクセスポリシーの前記ユーザアカウントを認証するための前記クレデンシャル及び/又は前記ユーザアカウントが前記役割を引き受けるための前記鍵を含む、請求項1乃至9のいずれか一項に記載のシステム。
【請求項12】
前記クラウド格納リソースが、シンプルストレージサービス(S3)バケットオブジェクトであり、前記一群のリソースが前記バケットオブジェクトの一部又は全部を参照し、前記役割ポリシーが、アタッチされたAWS IAM役割を含むAWSアイデンティティ及びアクセス管理(IAM)役割ポリシーであり、前記ユーザアカウントがAWS IAMユーザである、請求項1乃至11のいずれか一項に記載のシステム。
【請求項13】
リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行う方法であって、-エンドユーザエンティティ上で動作する少なくとも1つのアプリケーションが、少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行要求を受信すること、
-前記少なくとも1つのアプリケーションが、ローカルホストインターフェイスにより傍受される操作要求を送信すること、
-前記ローカルホストインターフェイスが、アクセス要求のコンテキストを参照する1つ以上の識別子を導出すること、
-前記ローカルホストインターフェイスが、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーによってアクセス制御を実施すること、
-前記ローカルホストインターフェイスが、権限のあるユーザが、前記第1のアクセスポリシーに設定された前記アクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、前記クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信すること、
-前記クラウド格納リソースを格納している少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイスが、前記個別のアクセス要求を受信すること、
-前記個別のアクセス要求を使用して第2のアクセスポリシーのユーザアカウントを認証すること、及び
-前記認証されたユーザアカウントが、第2のアクセスポリシーに従って前記クラウド格納リソースに対する操作の実行を許可又は拒否する少なくとも1つの役割ポリシーの少なくとも1つの役割を引き受けること
を含む方法。
【請求項14】
前記方法が更に、-前記アプリケーションが、前記少なくとも1つのクラウド格納リソースに対する前記少なくとも1つの操作の前記実行要求とともに、前記第2のアクセスポリシーの事前登録されたユーザアカウントを認証するログインクレデンシャルを受信すること、又は、
-前記ローカルホストインターフェイスが、前記第2のアクセスポリシーの事前登録されたユーザアカウントを認証するための前記ログインクレデンシャル及び/又は前記ユーザカウントが前記役割を引き受けるための前記鍵を取得すること
を含む、請求項13に記載の方法。
【請求項15】
リモートクラウド格納リソースへの、少なくとも1つの操作を少なくとも1つの前記クラウド格納リソースに対して実行するように適合された少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティによる通信ネットワークを介したアクセスを制御するためのローカルホストインターフェイスであって、前記ローカルホストインターフェイスが、前記クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
前記ローカルホストインターフェイスが、前記少なくとも1つのアプリケーションにより送信された操作要求を傍受するように構成され、
前記ローカルホストインターフェイスが、権限のあるユーザが、前記第1のアクセスポリシーに設定された前記アクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、第2のアクセスポリシーのユーザアカウントをクラウドエンドで認証するように構成される個別のアクセス要求を前記通信ネットワークを介して、前記クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信するように構成される
ローカルホストインターフェイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リモートクラウド格納リソースへのアクセス制御の技術分野に関し、特に、デュアルエンドポイント(及び同時)アクセス制御に関する。特に、本発明は、クラウド格納リソース又はオブジェクトのポリシー管理及びアクセス制御を外部化することを可能にする。
【背景技術】
【0002】
クラウドコンピューティングにより、企業、政府機関、小企業が社内データを管理する方法が変わってきている。クラウドサーバにより、ビジネスに不可欠なアプリケーションを動作させ、情報を保存するための機敏で費用効率の高い方法が可能になるため、企業はデジタル資産の保管と管理のために、従来のオンプレミスデータセンターからクラウドサーバに移行しつつある。
【0003】
クラウドコンピューティング、又は単に「クラウド」とは、クライアントやエンドユーザによる直接の積極的な管理なしに、コンピュータシステムリソース、特にデータストレージ及び計算能力をオンデマンドで利用できることである。
【0004】
クラウドサービスの需要の増加により、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure(Azure)、OVHclod、又はAlibabaCloudなどの様々なクラウドサービスプロバイダが出現している。これらのサービスプロバイダはそれぞれ、クラウド格納資産へのアクセスを柔軟に制限できる独自のセキュリティポリシー、メカニズム、及び構成プロセスを提供するため、ユーザの能力不足を招く。
【0005】
更に、必要に応じてアクセスを制限する可能性が提供されるが、クラウドストレージ内のデータの機密性、完全性、及び可用性を保護することに対する実際の責任はユーザの側に押し付けられる。様々なバケット/特定のオブジェクトの中から、役割ポリシー及びその他の専門的事項を選択する必要性は、平均的なユーザにとって、バケットのアクセスポリシーを誤った設定とし潜在的な漏洩リスクを伴うミスにつながる面倒で非常に困難なタスクをもたらすことがある。
【0006】
ニュースで報道される定期的なデータ漏洩は、クラウドストレージの展開と使用は簡単であるが、セキュリティを確保するのが難しいことを示している。
【0007】
したがって、容易に構成可能なクラウドサービスセキュリティポリシーは、単純で効果のない機能的、組織的又は階層的な障壁(最終的には特定のリソースにアクセスする必要があるユーザに権限がないため、クラウドサービスを日常的に使用することが困難になる)を引き起こすことがあるが、複雑なものは依然として設定ミスに対して脆弱である。
【0008】
結論として、クラウド関連業界では、資産をデータ漏洩から更に保護しながら、アクセス制御ポリシーの構成方法を容易にする必要がある。
【発明の概要】
【0009】
本発明は、それぞれ請求項1及び13に記載のリモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステム及び方法、並びに請求項15に記載のローカルホストインターフェイスによって、前述の問題に対する解決策を提供する。従属請求項では、本発明の好ましい実施形態を定義する。
【0010】
第1の発明の態様では、本発明は、リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステムであって、
-少なくとも1つのクラウド格納リソースに対して少なくとも1つの操作を実行するように適合される少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティ、
-少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティによる、通信ネットワークを介したリモートクラウド格納リソースへのアクセスを制御するように構成されたローカルホストインターフェイスであって、
クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、クラウド格納リソースを格納する少なくとも1つのリモートサーバに送信するように構成されるローカルホストインターフェイス、
-クラウド格納リソースを格納する少なくとも1つのリモートサーバ、及び
-少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイスであって、
・少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行を許可又は拒否する少なくとも1つの役割ポリシー、及び
・役割の少なくとも1つを引き受けるように構成された、ローカルホストインターフェイスにより送信された受信した個別のアクセス要求を通じて認証可能である認証可能なユーザアカウント
から構成される第2のアクセスポリシーを含むクラウドインターフェイス
を備えたシステムを提供する。
-少なくとも1つのクラウド格納リソースに対して少なくとも1つの操作を実行するように適合される少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティ、
-少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティによる、通信ネットワークを介したリモートクラウド格納リソースへのアクセスを制御するように構成されたローカルホストインターフェイスであって、
クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、クラウド格納リソースを格納する少なくとも1つのリモートサーバに送信するように構成されるローカルホストインターフェイス、
-クラウド格納リソースを格納する少なくとも1つのリモートサーバ、及び
-少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイスであって、
・少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行を許可又は拒否する少なくとも1つの役割ポリシー、及び
・役割の少なくとも1つを引き受けるように構成された、ローカルホストインターフェイスにより送信された受信した個別のアクセス要求を通じて認証可能である認証可能なユーザアカウント
から構成される第2のアクセスポリシーを含むクラウドインターフェイス
を備えたシステムを提供する。
【0011】
つまり、デュアルエンドポイントアクセス制御は、リモートクラウド格納リソースのアクセス制御をローカルに強化する。次に、ローカルユーザ、ローカルアプリケーション及びクラウド格納リソース(例えば、個々のオブジェクト指定子)をリモートクラウドアクセス制御に追加的にマッピングすることで、リモートクラウドオブジェクトのアクセス制御をローカルに強化することが可能になる。AWSがリソースをオブジェクトと定義するのに対し、Microsoft Azureが「blob」を使用することに留意されたい。この文書全体を通して、リソース、blob又はオブジェクトという用語は同義語とみなされる。
【0012】
この発明は、ローカルユーザ、アプリケーションプロセス、及びオブジェクトを熟知した状態で管理しながら、クラウド格納リソースのセキュリティのローカル(ホストエンド)管理を可能にすることによって、クラウドストレージ上のリモートデータを保護する。
【0013】
また、この発明は、クラウドエンドからローカルホストエンドへのアクセスポリシーのオフロードを可能にするため、様々なクラウドサービスプロバイダにわたってデータポリシーを構成するための統合プラットフォームを提供する。
【0014】
組織のオンプレミスインフラストラクチャと、クラウドアクセスセキュリティブローカ(いわゆるCASB)などのクラウドプロバイダのインフラストラクチャとの間の中間アーキテクチャに基づく現在のソリューションは、ローカルホストエンドで詳細なアクセス制御機能を実行することができない。つまり、アプリケーション操作又はプロセス及びターゲットリソースを保護する能力がない。
【0015】
ローカルホストインターフェイスをローカルに実装することにより実現できるこのプロセスコンテキストアウェアネスとは別に、これはCSPの顧客のセキュリティ境界内で行われるため、要求元のエンドユーザアカウントにクラウド格納リソースにアクセスする権限がなかった場合に、傍受及び解析されるリスクを伴い最終的に失敗する要求を外部に送信する必要はない。したがって、本発明はデータプライバシーも改善する。この発明において、操作又はプロセスとは、計算及びディスクからのデータの読み出し又はディスクへのデータの書き込みなどの入出力操作を実行するコンピュータユーザアカウントにより起動されるコンピュータプログラムの実行インスタンスである。
【0016】
本発明によれば、「ユーザ」という用語は、異なる人間が同じ「エンドユーザエンティティ」又はコンピュータシステムを使用することがあり、したがって各人が本発明に係るエンドユーザエンティティオペレーティングシステム上、アプリケーション上、又はその両方でユーザアカウントを関連付けたはずであることから、「ユーザアカウント」として理解されることがある。
【0017】
エンドユーザエンティティ、例えばコンピュータは、少なくとも1つのクラウド格納リソースに対する少なくとも1つのプロセス又は操作を実行するように適合されるアプリケーションを動作させる。このアプリケーションの例は、Webベースのポータル、オープンソースアプリケーション、又はバックアップデータベースにクラウド格納リソースをダウンロードするための特定のアプリケーションである場合がある。一方、操作の例は、読み出し、書き込み、削除、リストアップ、更新及び集約プロセスである場合がある。
【0018】
実際、これらの操作は、単一(又は一群)のクラウド格納リソースにサポートされるか又は実行可能である場合がある。この文書全体を通して、一群のクラウド格納リソースを「バケット」と呼ぶ。更に、コンテンツへのアクセスを制限するために特定の役割に割り当てられたバケットを「保護されたバケット」と呼ぶ。
【0019】
したがって、エンドユーザエンティティオペレーティングシステム(及び/又はアプリケーション)にログインしているユーザが、アプリケーションを通じて自分のユーザアカウントを使用して特定の操作を開始する。
【0020】
システムはまた、少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティによる通信ネットワークを介したリモートクラウド格納リソースへのアクセスを制御するように構成されたローカルホストインターフェイスをホスト側に提供する。このローカルホストインターフェイスは、クラウドバケットへのアクセス要求を傍受するアクセス制御処理エンジンとして具現化されることがある。好ましい実施形態では、ローカルホストインターフェイスは、エンドユーザエンティティから発信され、少なくともクラウドサーバにアドレス指定される、又はその逆のハイパーテキスト転送プロトコルセキュア(HTTPS)トラフィックを傍受するように構成された安全で強化された(すなわち、単機能)トランスポート層セキュリティ(TLS)プロキシである。
【0021】
このローカルホストインターフェイスは更に、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含む。この第1のアクセスポリシーは、クラウド格納リソースへの選択的アクセスを可能にするために従うべきユーザ又はクライアント側で設定される一連の規則である。
【0022】
これらのアクセス許可の非網羅的例は、
-少なくとも1つのアプリケーションを動作させるエンドユーザエンティティを参照するエンドユーザエンティティ識別子、
-アプリケーション又はエンドユーザエンティティにログオンし、少なくとも1つのアプリケーションの操作を実行する1つ以上のユーザ識別番号のセッション関連グループを参照するユーザセッション識別子、
-エンドユーザエンティティ上で実行される少なくとも1つのアプリケーションの操作の識別番号、
-アクセスが要求される少なくとも1つのクラウド格納リソースの識別番号、及び
-アクセス要求が受信される所定の時間ウィンドウ又は日付
である。
-少なくとも1つのアプリケーションを動作させるエンドユーザエンティティを参照するエンドユーザエンティティ識別子、
-アプリケーション又はエンドユーザエンティティにログオンし、少なくとも1つのアプリケーションの操作を実行する1つ以上のユーザ識別番号のセッション関連グループを参照するユーザセッション識別子、
-エンドユーザエンティティ上で実行される少なくとも1つのアプリケーションの操作の識別番号、
-アクセスが要求される少なくとも1つのクラウド格納リソースの識別番号、及び
-アクセス要求が受信される所定の時間ウィンドウ又は日付
である。
【0023】
好ましい実施形態では、操作に対するアクセス許可は、ID(エンドユーザエンティティオペレーティングシステムにより与えられる番号識別子など)に基づくのではなく、そのファイルパス(例えば、/usr/bin/myappなどの場所)及び、任意選択でアプリケーションのコードの署名(例えば、sha-256アルゴリズムの出力などのハッシュ値)によって定義される。それは、ローカルホストインターフェイスが、好ましくはオペレーティングファイルシステム又はデバイス層(例えば、エンドユーザエンティティ層、仮想マシン層又はトークン層)にインストールされるソフトウェアとして具現化されることがあり、その結果、その操作が上で動作する全てのアプリケーションに対して透過的となるためである。
【0024】
ローカルホストインターフェイスは、傍受した操作要求から、ローカルユーザの識別番号及び/又はアプリケーションを特定するファイルパスなどの関連情報を抽出し、それを第1のアクセスポリシーのアクセス許可と比較して、単一又は集合的なクラウド格納リソースへのアクセスを許可又は拒否する。
【0025】
保護されていないバケット(すなわち、第1又は第2のアクセスポリシーに記載されていない)に格納されている単一又は一群のリソースに対する操作を要求する場合に、アクセスが常にローカルホストインターフェイスによって許可されることに留意されたい。ローカルホストインターフェイスは要求を通過させるだけである。
【0026】
権限のあるユーザが、少なくとも1つの認可されたクラウド格納リソースに対してホワイトリストに登録された操作の実行を要求し、第1のアクセスポリシーに設定されたアクセス許可を満たす場合にのみ、ローカルホストインターフェイスは、HTTPSオーバーTLSを使用して、1つ以上のアプリケーションプログラムインターフェイス(API)を介して個別のアクセス要求を送信することになる。
【0027】
最後に、ローカルホストインターフェイスは、データをサーバ側に送信する前に暗号化する、及び/又はサーバ側から受信したデータを復号化することもできる。換言すれば、好ましい実施形態では、ローカルホストインターフェイスは、保存データの暗号化を行うことがある。
【0028】
サーバ側では、システムは、第2のアクセスポリシーを含むクラウドインターフェイスに更に関連付けられたクラウド格納リソースを格納するリモートサーバを提供する。この第2のアクセスポリシーは、以前にクラウドサービスプロバイダによりサーバ側で実施されていたもので、今度は少なくとも1つの役割ポリシー及びユーザアカウントを含む。
【0029】
役割ポリシーは、システムリソースへのアクセスを認めるために、ユーザ、アプリケーション又はサービスなどの特定のエンティティに割り当てられる一連の権限である。したがって、第2のアクセスポリシーの役割ポリシーは、少なくとも1つのクラウド格納リソースに対して要求された操作の実行を許可又は拒否する。一方、第2のアクセスポリシーは、ローカルホストインターフェイスにより送信された受信した個別のアクセス要求を通じて認証可能なユーザアカウントを含む。
【0030】
特定の実施形態では、アプリケーション(エンドユーザエンティティを介した)は、アクセスが要求されるクラウドベースのリソースの選択又は指示とともに第2のアクセスポリシーのユーザアカウントを認証するログインクレデンシャルを受信するように構成される。したがって、アプリケーション(又はエンドユーザエンティティ自体)は、ログインクレデンシャル及び対象リソースを、第1のアクセスポリシーを実施するために1つ以上のユーザ識別子を導出するように更に構成されるローカルホストインターフェイスに転送するように構成される。
【0031】
特定の実施形態では、個別のアクセス要求は、アプリケーションによりユーザから受信された特定のログインクレデンシャルに従って形成されることがある。代替的に、ユーザアカウントは、特定のユーザに固有ではなく、ユーザのグループに固有の「汎用ユーザアカウント」である場合があり、その場合、汎用ユーザアカウントは、個別のアクセス要求の詳細のみによって認証可能である。
【0032】
認証されると、ユーザアカウントは役割の少なくとも1つを引き受ける。よって、個別のアクセス要求は、役割と関連付けられた信頼関係を有するユーザアカウントのアクセス鍵と秘密鍵のペアを送信することになる。
【0033】
好ましい実施形態では、少なくとも1つの役割ポリシーは、単一又は一群のクラウド格納リソースに対して許可可能な操作の全てを実行することを許可するように構成されたワイドオープンアクセスポリシーである。
【0034】
有利なことに、クラウドストア(例えば、AWS S3 バケット)に適用されるアクセス制御とその管理は、いまやローカルホスト上に完全にオフロードされる。この実施形態によって、保護されたバケットへの全てのアクセス制御は、いまや保護されたバケットの動作に完全にマッピングされる読み出し、書き込み及びリストなどの許可可能なアクションを伴う、ローカルホストユーザ、アプリケーションプロセス、リソースなどに基づいてセキュリティポリシーを介して完全に決定される。
【0035】
この好ましい実施形態では、ローカルホストインターフェイスは既に、第2のアクセスポリシーのユーザアカウント(例えば、汎用ユーザアカウント)を認証するためのクレデンシャルと、役割を引き受けるのに必要な鍵とを備える(例えば、格納する)。
【0036】
有利なことに、第2のアクセスポリシーの認証クレデンシャルを知っている権限のないローカルユーザによる、クラウド格納オブジェクトの保護されたバケットへの偶発的又は意図的な投げ入れが完全に防止される。
【0037】
また、たとえユーザが第2のアクセスポリシーのエンドユーザアカウントを認証するための特定のクレデンシャルを知っており、役割を引き受けるための鍵も知っていたとしても、ローカルホストインターフェイスが保護されたバケットのクラウドに格納されたクレデンシャルを既に暗号化していた(すなわち、保存データの暗号化を実行していた)場合、復号鍵がローカルホストインターフェイスによって管理されているため、暗号化されたままのオブジェクトで漏洩が生じ、この格納されている情報への不正アクセスが回避される。
【0038】
本発明の第2の態様では、本発明は、リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行う方法であって、
-エンドユーザエンティティ上で動作する少なくとも1つのアプリケーションが、少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行要求を受信すること、
-少なくとも1つのアプリケーションが、ローカルホストインターフェイスにより傍受される操作要求を送信すること、
-ローカルホストインターフェイスが、操作要求のコンテキストを参照する1つ以上の識別子を導出すること、
-ローカルホストインターフェイスが、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーによってアクセス制御を実施すること、
-ローカルホストインターフェイスが、権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信すること、
-クラウド格納リソースを格納している少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイスが、個別のアクセス要求を受信すること、
-個別のアクセス要求を使用して第2のアクセスポリシーのユーザアカウントを認証すること、及び
-認証されたユーザアカウントが、第2のアクセスポリシーに従ってクラウド格納リソースに対する操作の実行を許可又は拒否する少なくとも1つの役割ポリシーの少なくとも1つの役割を引き受けること
を含む方法を提供する。
-エンドユーザエンティティ上で動作する少なくとも1つのアプリケーションが、少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行要求を受信すること、
-少なくとも1つのアプリケーションが、ローカルホストインターフェイスにより傍受される操作要求を送信すること、
-ローカルホストインターフェイスが、操作要求のコンテキストを参照する1つ以上の識別子を導出すること、
-ローカルホストインターフェイスが、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーによってアクセス制御を実施すること、
-ローカルホストインターフェイスが、権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、通信ネットワークを介して個別のアクセス要求を、クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信すること、
-クラウド格納リソースを格納している少なくとも1つのリモートサーバと関連付けられたクラウドインターフェイスが、個別のアクセス要求を受信すること、
-個別のアクセス要求を使用して第2のアクセスポリシーのユーザアカウントを認証すること、及び
-認証されたユーザアカウントが、第2のアクセスポリシーに従ってクラウド格納リソースに対する操作の実行を許可又は拒否する少なくとも1つの役割ポリシーの少なくとも1つの役割を引き受けること
を含む方法を提供する。
【0039】
特定の実施形態では、方法は更に、
-アプリケーションが、少なくとも1つのクラウド格納リソースに対して少なくとも1つの操作を実行する要求とともに、第2のアクセスポリシーの事前登録されたユーザアカウントを認証するログインクレデンシャルを受信すること、又は、
-ローカルホストインターフェイスが、第2のアクセスポリシーの事前登録されたユーザアカウントを認証するためのログインクレデンシャル及び/又はユーザカウントが役割を引き受けるための鍵を取得すること
を含む。
-アプリケーションが、少なくとも1つのクラウド格納リソースに対して少なくとも1つの操作を実行する要求とともに、第2のアクセスポリシーの事前登録されたユーザアカウントを認証するログインクレデンシャルを受信すること、又は、
-ローカルホストインターフェイスが、第2のアクセスポリシーの事前登録されたユーザアカウントを認証するためのログインクレデンシャル及び/又はユーザカウントが役割を引き受けるための鍵を取得すること
を含む。
【0040】
本発明の第3の態様では、本発明は、少なくとも1つの操作を少なくとも1つのクラウド格納リソースに対して実行するように適合された少なくとも1つのアプリケーションを動作させる少なくとも1つのエンドユーザエンティティによる、通信ネットワークを介したリモートクラウド格納リソースへのアクセスを制御するためのローカルホストインターフェイスであって、
ローカルホストインターフェイスが、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
ローカルホストインターフェイスが、少なくとも1つのアプリケーションにより送信された操作要求を傍受するように構成され、
ローカルホストインターフェイスが、権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、第2のアクセスポリシーのユーザアカウントをクラウドエンドで認証するように構成される個別のアクセス要求を通信ネットワークを介して、クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信するように構成される
ローカルホストインターフェイスを提供する。
ローカルホストインターフェイスが、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを含み、
ローカルホストインターフェイスが、少なくとも1つのアプリケーションにより送信された操作要求を傍受するように構成され、
ローカルホストインターフェイスが、権限のあるユーザが、第1のアクセスポリシーに設定されたアクセス許可を満たす少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作を実行することを要求する場合に、第2のアクセスポリシーのユーザアカウントをクラウドエンドで認証するように構成される個別のアクセス要求を通信ネットワークを介して、クラウド格納リソースを格納している少なくとも1つのリモートサーバに送信するように構成される
ローカルホストインターフェイスを提供する。
【0041】
本明細書(特許請求の範囲、説明及び図面を含む)に記載される全ての特徴及び/又は記載される方法の全てのステップは、そのような相互に排他的な特徴及び/又はステップの組み合わせを除いて、任意の組み合わせで組み合わせることができる。
【図面の簡単な説明】
【0042】
本発明のこれら及び他の特徴及び利点は、図面を参照し、単なる例として示され、それに限定されるものではない本発明の好ましい実施形態から明らかとなる本発明の詳細な説明を考慮することにより、明確に理解されるであろう。
【0043】
【発明を実施するための形態】
【0044】
当業者によって理解されるように、本発明の態様は、方法又はシステムのいずれかとして具現化されることがある。
【0045】
以下では、リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステムが、ユーザ又はクライアント側の、ローカルホストインターフェイスと連携するスタンドアロンのエンドユーザエンティティであるPCと、リモートサーバ側の、クラウドインターフェイスと連携するリモートサーバとによって実装されるケースを考慮する。更なる実施形態では、ローカルホストインターフェイスと連携するエンドユーザエンティティは仮想マシンとして具現化される。
【0046】
別の実施形態(図示せず)によれば、エンドユーザエンティティ又はリモートサーバのいずれかは、エンドユーザエンティティにより実行される機能であって、安全な実行環境を信頼できる実行環境(すなわちTEE)に追加することによって以下に説明される機能を実行するように適合されるTEEと連携するセキュアエレメント(SE)ホストデバイスであるPCによって実装されることがある。
【0047】
別の実施形態(図示せず)によれば、エンドユーザエンティティ又はリモートサーバのいずれかは、エンドユーザエンティティ又はリモートサーバにより実行される機能であって、SEチップに安全なデータストレージ及び安全なデータ処理を追加することによって以下に説明される機能を実行するように適合されるSEチップと連携するSEホストデバイスである(携帯)電話機によって実装されることがある。このSEチップは、SEホストデバイスである端末内の、例えば埋め込みユニバーサル集積回路カード(すなわちeUlCC)又は統合ユニバーサル集積回路カード(すなわちiUICC)のような組み込みチップ、又はSEホストデバイスである端末に通信可能に接続され、スマートカード(又は別の媒体)に含まれるチップを含むことがある。また、このSEチップは、そのホストデバイスに固定されることがある又はホストデバイスから取り外し可能である場合がある。取り外し可能なSEは、加入者識別モジュール(すなわちSIM)タイプのカード、セキュアリムーバブルモジュール(すなわちSRM)、USB(「ユニバーサルシリアルバス」の頭字語)タイプのスマートドングル、(マイクロ)セキュアデジタル(すなわちSD)タイプのカード、マルチメディアタイプのカード(すなわちMMC)又はホストデバイスに接続される任意のフォーマットカードである場合がある。
【0048】
本発明は、エンドユーザエンティティ又はリモートサーバタイプの種類に関していかなる制約も課さない。
【0049】
図1は、リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステムを模式的に示している。その基本構成では、システムは、1つ以上のエンドユーザエンティティである1つ以上のPC1、ローカルホストインターフェイス2、クラウド格納リソース3A、3B、3Cを格納している少なくとも1つのリモートサーバ、及びクラウドインターフェイス4を備える。
【0050】
例示的な目的のために、エンドユーザエンティティ1及びローカルホストインターフェイス2は、同じ実行プラットフォーム10内に一緒に示されている。しかしながら、残りの実行プラットフォーム10’、10’’、10’’’は、エンドユーザエンティティ1について以下で説明される要素のみを含み、図2に記載のローカルホストインターフェイス2の要素を含まないものとして理解される。したがって、ローカルホストインターフェイス2は、エンドユーザエンティティ1(例えば、PC)内で動作する任意のソフトウェアである場合があるため、実行プラットフォーム10も、ソフトウェアタイプのローカルホストインターフェイス2を備えるPCである。特定の実施形態では、このソフトウェアタイプのローカルホストインターフェイス2は、第1のアクセスポリシーの権限を構成することを含み得るセットアッププロセス中に展開又はインストールされる。
【0051】
本発明によれば、ローカルホストインターフェイス2は、エンドユーザエンティティのセキュリティ境界内にインストールされる、すなわち、ローカルエンドに展開される。
【0052】
PC1は、ユーザ100からエンドユーザアカウントの少なくとも1つについての少なくともログインクレデンシャルを受信し、それらを検証しユーザにアプリケーションを動作させる及び/又は以下で説明する様々なプロセスを開始させるように構成される。また、ユーザは、クラウドサービスプロバイダの第2のアクセスポリシーのユーザアカウントを認証するためのログインクレデンシャル(認証資格)をPC1を介して導入することがある。
【0053】
同じユーザ100が、それぞれが独自のクレデンシャルを含む1つ又は複数のアカウント(すなわち、エンドユーザアカウント)を有することがあるため、図1は、それぞれが本発明によるエンドユーザエンティティオペレーティングシステム上、アプリケーション上、又はその両方のいずれかのユーザアカウントに関連付けられた異なるエンドユーザアカウント100A~100Fを示している。
【0054】
PC1は、データ処理手段である1つ又は複数の(マイクロ)プロセッサ(及び/又は(マイクロ)コントローラ)1.1を備え、このプロセッサは、データ記憶手段である1つ又は複数のメモリ1.2を備える及び/又はそれに接続され、マンマシンインターフェイス(すなわちMMI)などの、ユーザ100とインターフェイスするための手段を備える又はそれに接続され、全てが内部双方向データバスを介して内部接続される入出力(すなわちI/O)インターフェイス1.3を備える又はそれに接続される。
【0055】
I/Oインターフェイス1.3は、接触及び/又は非接触(すなわちCTL)リンクを介してユーザ100とのやりとりを行うための有線及び/又は無線インターフェイスを含むことがある。本説明では、形容詞「CTL」は、とりわけ通信手段が1つ又は複数の短距離(すなわちSR)タイプの無線周波数(すなわちRF)リンクを介して通信することを示す。
【0056】
SRタイプのRFリンクは、PC1がCTLタイプのリンクを介してユーザ100とローカルにデータを交換できるようにする任意のCTL技術に関連することがある。CTLリンクは、存在する場合には、BluetooTH(すなわちBTH)、Bluetooth Low Energy(すなわちBLE)、Wi-Fi、ZigBee、近距離無線通信(すなわちNFC)タイプのリンク、及び/又はその他のSRタイプのRF通信技術リンクを含むことがある。
【0057】
CTLリンクの代わりに、又はそれに加えて、PC1は、ワイヤ又はケーブル(図示せず)を介して、同様にユーザ100によって操作される別のエンドユーザ端末又はデバイス(図示せず)に接続される。
【0058】
PC MMIは、表示画面、キーボード、スピーカ及び/又はカメラ(図示せず)を含むことがある。PC MMIは、ユーザ100がPC1と対話できるようにする。PC MMIは、例えば、ユーザ名、パスワード、PIN及び/又はユーザの生体認証データ(例えば、指紋、顔紋及び/又は虹彩紋など)のような、ユーザ認証データやPCオペレーティングシステムのログインクレデンシャルなど、ユーザ100により入力及び/又は提供されるデータを取得するのに使用されることがある。また、ユーザはPC MMIを介して第2のアクセスポリシーのユーザアカウントのクレデンシャルを導入することもある。
【0059】
PCメモリ1.2は、1つ又は複数の揮発性メモリ及び/又は1つ又は複数の不揮発性メモリを含むことがある。PCメモリ1.2は、例えば、ユーザIDであるユーザ100に関する名及び/又は姓、認証対象の各ユーザに関連するIDである国際移動体装置識別番号(すなわちIMEI)、モバイル加入者統合サービスデジタルネットワーク番号(すなわちMSISDN)、インターネットプロトコル(すなわちIP)アドレス、国際移動電話加入者識別番号(すなわちIMSI)、媒体アクセス制御(すなわちMAC)アドレス、電子メールアドレスなどを格納することがある。
【0060】
PCメモリ1.2は、PCを一意に識別しアドレス指定することを可能にする、PCに関連するIDなどのデータを格納することがある。PC IDには、UUID、ユニフォームリソースロケータ(すなわちURL)、ユニフォームリソースID(すなわちURI)などの一意のID、及び/又はPCを一意に識別しアドレス指定することを可能にするその他のデータが含まれることがある。
【0061】
PCメモリ1.2は、オペレーティングシステム(OS)と、ウェブベースのポータル(例えば、アマゾンウェブサービス(AWS)管理コンソール)、オープンソースアプリケーション(例えば、AWSコマンドラインインターフェイス)、又はバックアップデータベースにクラウド格納リソースをダウンロードするためのアプリケーションなどの、少なくとも1つのクラウド格納リソースに対して少なくとも1つのプロセス又は操作を実行するように適合されるアプリケーションとを格納する。
【0062】
PC1は更に、単独で又は実行プラットフォーム10とともに、通信ネットワーク(例えば、トランスポート層セキュリティ、TLS)を介してクラウドエンドに情報を送信するように構成される。
【0063】
ローカルホストインターフェイス2は、PC1により送信された情報を傍受し、クラウド格納リソースのうちの1つ以上への少なくとも1つのアクセス許可を含む一連の許可された操作を関連付ける第1のアクセスポリシーを実施することによって、リモートクラウド格納リソースへのアクセスを制御するように構成される。
【0064】
要求された操作がホワイトリストに登録されている、すなわち、権限のあるユーザが、少なくとも1つの認可されたクラウド格納リソースに対して少なくとも1つの許可された操作の実行を要求し、第1のアクセスポリシーに設定されたアクセス許可を満たす場合に、ローカルホストインターフェイスは、個別のアクセス要求を作成し、クラウドエンド、すなわちクラウド格納リソースを格納しているリモートサーバに送信する。
【0065】
また、ローカルホストインターフェイス2は、第2のアクセスポリシーのユーザアカウントを認証するためのクレデンシャルをエンドユーザエンティティ1から(ひいてはユーザから)受信することがある。図2に関連して更に説明する好ましい例では、ローカルホストインターフェイスは実際、第2のアクセスポリシーのユーザアカウントを認証するためのクレデンシャルと役割を引き受けるために必要な鍵とを含む。しかし、アプリケーションは、操作要求を個別のアクセス要求によってクラウドエンドに転送する前に、ローカルホストインターフェイス内に格納されているものと比較される(したがって検証される)ことになる第2のアクセスポリシーのユーザアカウントを認証するためのクレデンシャルの入力をユーザに要求することがある。
【0066】
代替的な実施形態では、ローカルホストインターフェイスは、ユーザアカウントが役割を引き受けるためのアクセス鍵と秘密鍵のペアのみを格納する。したがって、ユーザは、個別のアクセス要求の作成に使用されることになる第2のアクセスポリシーユーザアカウントを認証するためのクレデンシャルを導入することがある。したがって、これらのクレデンシャルが間違って入力された場合、第2のアクセスポリシーは操作要求を拒否することになる。
【0067】
前述のように、クラウドエンドに、システムは、複数のバケット3A~3Cを格納するリモートサーバ(図示せず)と、クラウドインターフェイス4とを備える。これらのバケット3A~3Cのそれぞれは、サポートされる操作又はプロセスが本発明によるアプリケーションによって実行され得る単一又は一群のクラウド格納リソース(例えば、オブジェクト)を含むことがある。バケット3Aは、そのコンテンツへのアクセスを制限するために、ローカルホストインターフェイスの第1のアクセスポリシーの特定の役割に割り当てられているため、「保護されたバケット」として示されている。残りのバケット3B、3Cは保護されていないバケットである。
【0068】
好ましい実施形態では、クラウド格納リソースは、シンプルストレージサービス(S3)バケットオブジェクトであり、一群のリソースがバケットオブジェクトの一部又は全部を参照する。
【0069】
ある実施形態では、クラウドインターフェイス4は、バケット3A~3Cの1つのみ又は一組に関連付けられる可能性がある。クラウドインターフェイスは、クラウドエンドで受信した全ての要求をチャネル化して、第2のアクセスポリシーを実施することがある。次いで、クラウドインターフェイス4は、
-少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行を許可又は拒否する少なくとも1つの役割ポリシー、及び
-役割の少なくとも1つを引き受けるように構成された認証可能なユーザアカウント
からなる第2のアクセスポリシーを格納するデータベース4.1と通信する。
-少なくとも1つのクラウド格納リソースに対する少なくとも1つの操作の実行を許可又は拒否する少なくとも1つの役割ポリシー、及び
-役割の少なくとも1つを引き受けるように構成された認証可能なユーザアカウント
からなる第2のアクセスポリシーを格納するデータベース4.1と通信する。
【0070】
そして、好ましい実施形態では、役割ポリシーは、アタッチされたAWS IAM役割を含むAWSアイデンティティ及びアクセス管理(IAM)役割ポリシーである。最後に、ユーザアカウントはAWS IAMユーザであることが好ましい。いずれにしても、当業者であれば、特定のクラウドサービスプロバイダに応じて、役割ポリシー及びユーザアカウントに異なる名前が付けられることがあることを認識すべきである。
【0071】
したがって、クラウドインターフェイス4は、ローカルホストインターフェイス2により送信された個別のアクセス要求を受信し、第2のアクセスポリシー規則に基づいて特定のバケット3A~3Cへのアクセスを許可又は拒否するように構成される。たとえクラウドインターフェイス4が描かれていても
【0072】
使用中、ユーザは、自分のPC1を使用して、バケット3A~3Cの単一又は一群のクラウド格納リソースに対する読み出し、書き込み、削除、リストアップ、更新、又は集約などの特定のプロセス又は操作を呼び出す。
【0073】
ユーザ100D~100Fが、ローカルホストインターフェイス2を有しない実行プラットフォーム10'~10'''を使用し、対象バケット3B、3C又は特定のクラウド格納リソースが保護されていない場合、バケット操作は許可されるものとする。
【0074】
そうではなく、対象のクラウド格納リソース又はバケット3Aが第1のアクセスポリシーによって保護されている場合に、実行プラットフォーム10'~10'''のいずれかから送信されたアクセス要求が拒否されるものとする。これは、ローカルホストインターフェイス2がユーザアカウントのクレデンシャル及び/又は第2のアクセスポリシーの役割を引き受けるために必要な鍵を格納するために起こることがある。したがって、要求された操作が最初にローカルホストインターフェイスを介してチャネル化されない場合、第2のアクセスポリシーの認証クレデンシャルを取得するオプションはない。
【0075】
代替的に、ユーザアカウントのクレデンシャル及び/又は第2のアクセスポリシーの役割を引き受けるのに必要な鍵は、ユーザ100D~100F自身がエンドユーザエンティティ1を介して入力することもある。しかしながら、保存データの暗号化が普通であるため、保護されたバケット3Aから取り出したクラウド格納リソースは、鍵を格納及び管理している元のローカルホストインターフェイス2を通過しない限り復号化されない可能性がある。
【0076】
別の使用例は、操作要求が実行プラットフォーム10から送信される場合、すなわち、最初にエンドユーザエンティティ1により送信された操作要求が、その後、
-ユーザは操作を呼び出す権限を有するか?
-対象のクラウド格納リソース又はバケットは保護されているか?
-ユーザは、日付、時間ウィンドウ、ファイルパスなどのコンテキストでそのような操作を呼び出す権限を有するか?
などの様々なアクセスチェックが実行されるローカルホストインターフェイスによってトラップされる場合である。
-ユーザは操作を呼び出す権限を有するか?
-対象のクラウド格納リソース又はバケットは保護されているか?
-ユーザは、日付、時間ウィンドウ、ファイルパスなどのコンテキストでそのような操作を呼び出す権限を有するか?
などの様々なアクセスチェックが実行されるローカルホストインターフェイスによってトラップされる場合である。
【0077】
全てに「イエス」である場合に、アクセスが許可される。それ以外の場合、クラウド格納リソースへのアクセスは拒否される。
【0078】
クラウド格納リソース又はバケットへのアクセスを許可することは、ユーザがプロセスを介してバケットからオブジェクトを読み出したり、バケットにオブジェクトを書き込んだりできることを意味する。また、バケットオブジェクトを列挙したり、ディレクトリを作成したり、バケットからディレクトリを削除したりすることもできる。
【0079】
ある実施形態では、ユーザがバケットにデータを書き込もうとする場合、データはまずローカルホストインターフェイスによって暗号化され、次に保護されたバケットに書き込まれる。逆に、ユーザがバケットから読み出そうとしている場合は、データが取得され、まずはローカルホストインターフェイスによって復号化されてから、(おそらくアプリケーションを通じて)ユーザに提供される。有利なことに、平文データはどの時点でも回線を通じて転送されることはない。
【0080】
図2は、図1の実行プラットフォーム10の詳細な分離図を示し、実行プラットフォーム10は、エンドユーザエンティティ1(例えば、コンピュータ又はPC)及びローカルホストインターフェイス2によって形成される。
【0081】
エンドユーザエンティティ1は、好ましくはTLS双方向通信ネットワーク上でHTTPSを使用して操作要求を送信するように構成される。ただし、ローカルホストインターフェイス2は、エンドユーザエンティティから発信され、少なくともクラウドサーバに宛てられる、又はその逆のこのHTTPSトラフィックを傍受するように構成された安全で強化されたTLSプロキシである。
【0082】
最後に、ローカルホストインターフェイス2は、HTTPSオーバーTLSを使用して、1つ以上のアプリケーションプログラムインターフェイス(API)を介して、個別のアクセス要求をクラウドサーバに送信することがある。付加的に又は代替的に、個別のアクセス要求は企業のHTTPSプロキシに送信されることもある。
【0083】
ローカルホストインターフェイス2は、エンドユーザエンティティ1からの操作要求を傍受するように構成されたプロキシアプリケーションゲートウェイ2.1と、傍受した操作要求に対して第1のアクセスポリシーを実施するように構成された第1のアクセスポリシー実施モジュール2.2と、個別アクセス要求作成モジュール2.3と、少なくともクラウド格納リソースの保存データ機能を提供するデータを暗号化/復号化するための暗号モジュール2.4と、1つ以上のクラウドサービスプロバイダのクラウドサーバと情報を送受信するように構成された外部ネットワークインターフェイス2.5とを備える。
【0084】
ローカルホストインターフェイス2は更に、第1のアクセスポリシー実施モジュール2.2によりアクセス可能な第1のアクセスポリシーの規則を含む第1のデータベース2.6と、第2のアクセスポリシーの少なくとも1つのユーザアカウントの認証クレデンシャル及びこの(これらの)ユーザアカウントが1つ以上の役割を引き受けるためのアクセス鍵と秘密鍵のペアを含む第2のデータベース2.7と、情報を暗号化及び復号化するための鍵ペアを格納する第3のデータベース2.8とを含む(又はそれらにアクセスすることができる)。
【0085】
したがって、使用中、プロキシアプリケーションゲートウェイ2.1は、ウェブベースのポータル(例えば、AWS管理コンソール)、オープンソースアプリケーション(例えば、AWSコマンドラインインターフェイス)、又はバックアップデータベースにクラウド格納リソースをダウンロードするためのアプリケーションなどのアプリケーションを動作させるエンドユーザエンティティ1により送信された操作要求を傍受する。このアプリケーションは、RESTを使用する内部クライアントアプリケーションである場合もある。
【0086】
次に、プロキシアプリケーションゲートウェイ2.1は、この傍受した操作要求を、関連情報を抽出し、それを第1のデータベース2.6内に格納されている第1のアクセスポリシーのアクセス許可と比較する第1のアクセスポリシー実施モジュール2.2に送信する。操作要求が第1のアクセスポリシーに従って許可される場合は、個別アクセス要求作成モジュール2.3は、ユーザアカウントのクレデンシャル及び/又はそのユーザアカウントが対象のクラウド格納リソースがとどまる保護されたバケットにアクセスできる役割を引き受けるための鍵を第2のデータベース2.7から取得するものとする。
【0087】
代替的な実施形態では、ユーザ自身がこれらの第2のアクセスポリシーのユーザアカウントのクレデンシャルを入力し、個別アクセス要求作成モジュール2.3は、そのユーザアカウントが適切な役割を引き受けるための鍵を第2のデータベース2.7から取得するだけである。
【0088】
前述のように、有利には、役割ポリシーは、単一又は一群のクラウド格納リソースに対して許可可能な操作の全てを実行することを許可するように構成されたワイドオープンアクセスポリシーである。
【0089】
最後に、要求された操作が書き込み操作であるか読み出し操作であるかに応じて、個別のアクセス要求は、第3のデータベース2.8に格納されている鍵を使用してそれぞれ暗号化又は復号化される。
【0090】
換言すれば、ローカルホストインターフェイスは保存データの暗号化を行い、リソースは第3のデータベース2.8に格納されている第1の暗号化鍵を使用して暗号モジュール2.4によって暗号化される。次に、リソース(例えば、オブジェクト)を対象の保護されたクラウドバケットに格納する(つまり、書き込む)ことができる。
【0091】
好ましい実施形態では、この暗号化されたクラウド格納リソースが取り出し時に「読み出される」場合、暗号モジュール2.4は、第1のアクセスポリシーが、正確に取り出したリソースを関連付ける権限のあるユーザの復号化操作を定める場合にのみ、それを復号化するように構成される。
【0092】
しかしながら、関連データを含み得ない(保護されたバケットからリソースを)「リストアップすること」のような操作要求の場合、第1のアクセスポリシーはあまり制限的でない場合がある。これは、例えばロギング/監査機能の場合もある。
【0093】
更なる実施形態では、ローカルホストデータ2はまた、保護されたデータへのアクセスの成功及び試行を詳述する履歴ログを作成及び更新するように構成される。これらのログは、頻繁にユーザ又はクライアントに報告され、異常又は不適切なデータアクセスを知らせ、境界セキュリティをバイパスし得る内部脅威、ハッカー及び高度で継続的な脅威(APT)について警告する可能性がある。
【0094】
最後に、第3のデータベース2.8は、安全でないネットワークを介して個別のアクセス要求を送信できるようにするために、クラウドサービスプロバイダの証明書を含むこともある。したがって、データが常に転送中に暗号化されることが保証される。
【0095】
これらのクラウドサービスプロバイダの証明書は、暗号モジュール2.4若しくは外部ネットワークインターフェイス2.5、又はその両方によってアクセス可能である可能性がある。次に、外部ネットワークインターフェイス2.5はクラウドサーバと安全に情報を交換することになる。
【図1】
【図2】
【国際調査報告】