KR20120016732A - 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 - Google Patents

멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 Download PDF

Info

Publication number
KR20120016732A
KR20120016732A KR1020100079133A KR20100079133A KR20120016732A KR 20120016732 A KR20120016732 A KR 20120016732A KR 1020100079133 A KR1020100079133 A KR 1020100079133A KR 20100079133 A KR20100079133 A KR 20100079133A KR 20120016732 A KR20120016732 A KR 20120016732A
Authority
KR
South Korea
Prior art keywords
security
tenant
information
tenants
module
Prior art date
Application number
KR1020100079133A
Other languages
English (en)
Other versions
KR101201629B1 (ko
Inventor
김남경
윤도열
백맹순
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100079133A priority Critical patent/KR101201629B1/ko
Publication of KR20120016732A publication Critical patent/KR20120016732A/ko
Application granted granted Critical
Publication of KR101201629B1 publication Critical patent/KR101201629B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 시스템 및 그 방법이 제공된다. 적어도 하나의 보안 모듈을 포함하는 컴퓨팅 시스템에서 테넌트 별 보안 관제를 위한 시스템에 있어서, 보안 정보 저장부는, 테넌트들의 보안 관리를 위해, 테넌트들이 컴퓨팅 시스템을 사용한 보안 정보를 저장하며, 리포팅부는, 저장된 보안 정보를 분석하여 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하여 테넌트들에게 리포팅할 수 있다.

Description

멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법{Cloud computing system and Method for Security Management for each Tenant in Multi-tenancy Environment}
본 발명은 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법에 관한 것으로, 보다 상세하게는, 테넌트 별 보안 정보를 수집하여 관리하고, 리포팅할 수 있는, 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법에 관한 것이다.
클라우드 컴퓨팅 시스템은 서버, 스토리지 등의 인프라, 플랫폼, 및 소프트웨어를 사용자의 PC(Personal Computer)에 설치하지 않고, 인터넷 접속을 통해 필요에 따라 인프라, 플랫폼, 및 소프트웨어를 사용하며, 각종 IT 기기와 데이터를 손쉽게 공유할 수 있도록 한다. 예를 들어, 사용자는 PC를 통해 해당 웹사이트에 접속하여 포토샵, 오피스와 같은 소프트웨어를 통해 원하는 작업을 할 수 있다.
사용자가 클라우드 컴퓨팅 시스템을 이용하여 작업하는 경우, 사용자의 데이터 및 데이터를 처리하기 위한 프로세스는 클라우드 센터에 존재하며, 고객은 인터넷을 통해 서비스를 이용한다. 이와 같이 클라우드 컴퓨팅 시스템을 사용하는 경우, 사용자가 소유하던 데이터센터에서 제공하던 보안 관리 시스템과는 다른 클라우드 보안 관리 시스템이 필요하다.
따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 테넌트가 클라우드 센터의 소프트웨어, 플랫폼 등의 서비스를 이용하는 경우, 사용자의 데이터 및 자원이 어떻게 관리 및 활용되고 있는지를 관리 및 리포팅할 수 있는 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법을 제공함을 목적으로 한다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 시스템은, 적어도 하나의 보안 모듈을 포함하는 컴퓨팅 시스템의 보안 관제를 위한 시스템에 있어서, 상기 적어도 하나의 보안 모듈들로부터 수신된, 테넌트들의 보안 관리를 위해 상기 테넌트들이 상기 컴퓨팅 시스템을 사용한 보안 정보를 저장하는 보안 정보 저장부; 및 상기 저장된 보안 정보를 테넌트별로 분석하여 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하여 상기 테넌트들에게 리포팅하는 리포팅부;를 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 시스템은, 상기 적어도 하나의 보안 모듈에게 상기 보안 정보의 제공을 요청하는 보안 정보 요청부;를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 시스템은, 상기 보안 정보를 상기 테넌트 별로 분류하여 상기 보안 정보 저장부에 저장하는 보안 정보 관리부;를 더 포함할 수 있다.
상기 적어도 하나의 보안 모듈은 SIEM 모듈로서, 상기 SIEM 모듈은, 상기 컴퓨팅 시스템에서 발생하는 이벤트 및 플로우를 중 적어도 하나를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 수집 및 분석부; 및 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하는 테넌트 관리부;를 더 포함할 수 있다.
상기 테넌트별 보안 관제를 위한 시스템으로부터 상기 보안 정보의 제공이 요청되면, 상기 테넌트 관리부는 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하며, 상기 생성된 보안 정보를 상기 테넌트별 보안 관제를 위한 시스템으로 제공할 수 있다.
상기 테넌트들은, 상기 컴퓨팅 시스템의 웹 서버에 로그인 시 사용되는 테넌트 아이디, 상기 웹 서버에 접속할 때 사용되는 IP(Internet Protocol) 및 클라이언트 어플리케이션 식별키 중 적어도 하나에 의해 구분되는 것일 수 있다.
상기 적어도 하나의 보안 모듈은 DSM 모듈로서, 상기 DSM 모듈은, 상기 테넌트들이 상기 컴퓨팅 시스템의 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 데이터 수집부; 및 상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 테넌트 관리부;를 포함할 수 있다.
본 발명의 일 실시예에 따른 컴퓨팅 시스템은, 웹 서버, WAS(Web Application Server) 서버 및 DB(Database)를 포함하는 컴퓨팅 시스템에 있어서, 테넌트들이 상기 컴퓨팅 시스템에 접속하여 서비스를 사용한 정보인 보안 정보를 전송하는 적어도 하나의 보안 모듈; 및 상기 적어도 하나의 보안 모듈로부터 상기 보안 정보를 수신하여 분석하고, 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하는 보안 관제 시스템;을 포함할 수 있다.
상기 보안 관제 시스템은, 상기 테넌트들의 보안 관리를 위해, 상기 적어도 하나의 보안 모듈로부터 수신되는 상기 보안 정보를 상기 테넌트 별로 저장하는 보안 정보 저장부; 및 상기 보안 정보 리포트를 작성하여 상기 테넌트들에게 리포팅하는 리포팅부;를 포함할 수 있다.
상기 적어도 하나의 보안 모듈은 상기 테넌트들이 상기 서비스를 사용하는 동안 발생하는 이벤트 및 플로우 중 적어도 하나를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 수집 및 분석부; 및 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하며, 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하는 테넌트 관리부;를 포함할 수 있다.
상기 적어도 하나의 보안 모듈은 상기 테넌트들이 상기 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 데이터 수집부; 상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 테넌트 관리부; 및 상기 저장된 이력 정보 및 상기 저장된 요청 쿼리를 상기 보안 관제 시스템 및 상기 SIEM 모듈 중 적어도 하나에게 제공하는 전송부; 를 포함할 수 있다.
상기 보안 관제 시스템은, 상기 테넌트들의 보안 관리를 위해, 상기 적어도 하나의 보안 모듈로부터 수신되는 상기 보안 정보를 테넌트 별로 커스터마이징하여 모니터링하고 리포트를 작성할 수 있다.
상기 적어도 하나의 보안 모듈은, 어플라이언스 및 에이젼트 중 어느 하나의 형태로 구현될 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 방법은, 적어도 하나의 보안 모듈을 포함하는 컴퓨팅 시스템에서의 보안 관제를 위한 방법에 있어서, 테넌트들의 보안 관리를 위해, 상기 테넌트들이 상기 컴퓨팅 시스템을 사용한 보안 정보를 보안 관제 시스템에 저장하는 단계; 상기 저장된 보안 정보를 분석하여 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하는 단계; 및 상기 작성된 보안 정보 리포트를 상기 테넌트들에게 리포팅하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 방법은, 상기 적어도 하나의 보안 모듈에게 상기 보안 정보의 제공을 요청하는 단계;를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 방법은, 상기 컴퓨팅 시스템에서 발생하는 이벤트 및 플로우를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 단계; 및 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하는 단계;를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 방법은, 상기 적어도 하나의 보안 모듈 중 어느 하나의 보안 모듈은 상기 보안 관제 시스템으로부터 상기 보안 정보의 제공이 요청받는 단계; 상기 보안 정보의 제공을 요청받은 보안 모듈은, 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하는 단계; 및 상기 생성된 보안 정보를 상기 보안 관제 시스템으로 제공하는 단계;를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 테넌트 별 보안 관제를 위한 방법은, 상기 적어도 하나의 보안 모듈 중 어느 하나의 보안 모듈은, 상기 테넌트들이 상기 컴퓨팅 시스템의 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 단계; 및 상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 단계;를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 멀티 테넌시 서비스를 제공하는 컴퓨팅 시스템에서, 테넌트들은 자신들의 정보가 안전하게 사용 및 관리되는지를 주기적으로 보고받을 수 있다. 특히, 테넌트들의 보안 정보와 관련된 리포팅을 위한 시스템을 별도로 구비함으로써, 테넌트들은 보다 정확하고 신속히 보안 정보를 보고받을 수 있다.
도 1은 본 발명의 일 실시예에 따른 컴퓨팅 시스템을 도시한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 컴퓨팅 시스템을 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 제1보안 모듈을 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 제2보안 모듈을 도시한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 테넌트 별 보안 관제 시스템을 도시한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 테넌트 별 보안 관제 시스템의 테넌트 별 클라우드 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 제1보안 모듈의 테넌트 별 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
도 8은 본 발명의 일 실시예에 따른 제2보안 모듈의 테넌트 별 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 시스템을 도시한 도면이다.
도 1에 도시된 클라우드 컴퓨팅 시스템은 멀티테넌트들에게 클라우드 컴퓨팅 서비스를 제공할 수 있다.
멀티 테넌시(Multi-Tenancy)는 클라우드 컴퓨팅 시스템에서 가상화 기술 및 인프라스트럭쳐를 기반으로, 멀티 테넌트(Multi-Tenant)가 서비스를 공유하는 것을 의미한다. 멀티 테넌트는 복수 개의 테넌트를 의미하며, 하나의 테넌트는 서비스를 사용하는 하나의 그룹으로서, 예를 들어, 하나의 기업일 수 있다. 따라서, 하나의 테넌트에는 적어도 하나 이상의 사용자가 포함될 수 있다.
도 1을 참조하면, 클라우드 컴퓨팅 시스템은 웹 서버(50), WAS(Web Application Server) 서버(70) 및 데이터베이스(DB) 서버(90)를 포함하는 클라우드 센터와, 방화벽(20, 60), IDS/IPS(Intrusion Detecting System/Intrusion Prevention System) 모듈(30), 제1보안 모듈(40), 제2보안 모듈(80) 및 클라우드 보안 관제 시스템(100)을 포함할 수 있다.
방화벽(20, 60), IDS/IPS 모듈(30), 제1보안 모듈(40) 및 제2보안 모듈(80)은 보안을 위한 구성요소이다. IDS/IPS 모듈(30), 제1보안 모듈(40) 및 제2보안 모듈(80)은 어플라이언스(Appliance) 형태로서 각 시스템 또는 서버들에 구비될 수 있다.
사용자들은 개인 단말기(10)를 이용하여 방화벽(20), IDS/IPS 모듈(30), 제1보안 모듈(40) 및 웹 서버(50)를 통해 WAS 서버(70)에 접속하여 로그인할 수 있다. 로그인이 성공하면, 개인 단말기(10)는 방화벽(60)을 거쳐 WAS 서버(70)에서 제공하는 서비스를 DB 서버(90)를 기반으로 제공받을 수 있다.
IDS/IPS 모듈(30)은 네트워크 보안장비로서, 내부 네트워크로 들어오는 외부 침입자, 내부 사용자 중 권한없이 정보에 접근하는 사용자의 접근을 방어한다.
제1보안 모듈(40) 및 제2보안 모듈(80)은 테넌트 별로 DB 서버(90)에 저장된 정보들을 안전하게 보호하기 위하여 다양한 형태의 보안 서비스를 제공할 수 있다.
제1보안 모듈(40)의 예로는 SIEM(Security Information and Event Management)을 들 수 있다. SIEM은 네트워크 내 모든 기기에서 발생하는 이벤트와 플로우를 수집하는 SIM(Security Information Management) 기능과, 수집된 이벤트와 플로우의 상호연관관계를 분석하여 취약점을 발견하는 SEM(Security Event Management) 기능이 통합된 형태이다.
제2보안 모듈(80)의 예로는 DSM(Database Security Management) 모듈을 들 수 있다. Database Security는 의도하지 않은 활동으로부터 DB를 보호하는 시스템, 프로세스 또는 프로시저를 의미한다. 의도하지 않은 활동은 권한 오용, 악의적 공격 또는 공인된 개인이나 프로세스에 의해 만들어진 부주의한 실수 등을 예로 들 수 있다. 예들 들면, DSM 모듈은 이러한 DB 보안을 위한 과정, 정보 기법 등을 관리 및 조정할 수 있는 프로그램과 같이 소프트웨어로 구현될 수 있다.
본 발명의 일 실시예에 따르면, DSM 모듈을 통해 DB 서버(90)에 저장될 비즈니스 관련 정보, 고객 정보, 상품 정보, 및/또는 컨텐츠 정보 등 다양하고 방대한 자료들을 테넌트 별로 관리할 수 있다.
클라우드 보안 관제 시스템(이하, '시스템'이라 한다)(100)는 멀티테넌시 기반의 클라우드 서비스를 제공하는 클라우드 컴퓨팅 시스템에서, 테넌트 별로 발생하는 보안 정보를 보관, 관리, 분석 및 가공할 수 있다. 즉, 테넌트 별 보안 정보는 클라우드 센터에서 관리되지 않고, 별도의 시스템(100)에서 관리될 수 있다.
또한, 시스템(100)은 테넌트 별로 관리되는 보안 정보를 주기적으로 또는 테넌트의 요청에 의해, 테넌트에 대해 설정된 정책을 이용하여 리포팅할 수 있다.
또한, 시스템(100)은 테넌트들의 보안 관리를 위해, 적어도 하나의 보안 모듈로부터 수신되는 보안 정보를 테넌트 별로 커스터마이징하여 모니터링하고 리포트를 작성할 수 있으며, 이를 위한 관련 정책을 저장할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 클라우드 컴퓨팅 시스템을 도시한 도면이다.
도 2를 참조하면, 클라우드 컴퓨팅 시스템은 방화벽(20, 60), IDS/IPS 모듈(30), 웹 서버(50), WAS 서버(70) 및 DB 서버(90)를 포함하는 클라우드 센터와, 제1보안 모듈(40), 제2보안 모듈(80) 및 시스템(100)을 포함할 수 있다. 제1보안 모듈(40) 및 제2보안 모듈(80)은 에이젼트(Agent) 형태로 각각 웹 서버(50) 및 WAS 서버(70) 중 적어도 하나와, DB 서버(90)에 구비될 수 있다.
한편, 클라우드 컴퓨팅 시스템은 멀티테넌시 환경을 제공하므로 보안 정보를 리포팅하기 위해 테넌트를 정확히 구분하여야 한다. 도 1 및 도 2에 도시된 제1보안 모듈(40), 제2보안 모듈(80) 및 시스템(100)은 예를 들면 다음 방법 중 적어도 하나에 의해 테넌트를 구분할 수 있다.
첫째, 로그인 시 세션을 구분하는 방법이다. 이는, 사용자가 클라우드 컴퓨팅 시스템의 웹 서버에 로그인 시 사용하는 테넌트 아이디에 적용되는 세션 별로 테넌트를 구분하는 것이다.
둘째, 특정 IP(Internet Protocol) 영역을 구분하는 방법이다. 클라우드 컴퓨팅 서비스는 보안을 위해 대부분 기업의 사내에서 사용될 수 있다. 따라서, 사내에서 사용되는 IP 영역에 매칭되는 테넌트 식별정보를 이용하여 테넌트를 구분할 수 있다.
셋째, 클라이언트 어플리케이션 식별키를 구분하는 방법이다. 클라우드 센터의 API를 이용하여 커스터마이징된 클라이언트 어플리케이션은 자신을 식별할 수 있는 식별키를 가지고 있다. 즉, 클라이언트 어플리케이션에는 클라이언트 어플리케이션을 식별할 수 있는 키(이하, '식별키'라고 함)가 포함되어 있다. 사용자가 클라이언트 어플리케이션을 이용하여 클라우드 센터에 접근하는 경우, 상기 클라이언트 어플리케이션이 가진 식별키에 의해 테넌트를 구분할 수 있다.
테넌트가 클라우드 컴퓨팅 시스템에 접속하여 클라우드 센터를 이용하는 동안, 테넌트에는 상기 세가지 정보 중 적어도 하나가 항상 수반된다.
이상 설명한 실시예에서, 도 1의 보안 모듈들은 어플라이언스의 형태로 구현되고, 도 2의 보안 모듈들은 에이젼트의 형태로 구현된 것으로 설명하였지만, 이들 형태가 혼용되는 것도 가능하다. 예를 들면, 도 1의 실시예에서 제1보안 모듈은 어플라이언스의 형태로 구현되고, 제2보안 모듈은 에이젼트의 형태로 구현되고, 도 2의 실시예에서 제1보안 모듈은 에이젼트의 형태로 구현되고, 제2보안 모듈은 어플라이언스의 형태로 구현될 수 있다.
도 3은 본 발명의 일 실시예에 따른 제1보안 모듈(40)을 도시한 블록도이다.
도 3에 도시된 제1보안 모듈(40)은 도 1에 도시된 바와 같이 Appliance 형태로 구비되거나 또는 도 2에 도시된 바와 같이 Agent 형태로 구비될 수 있다. 제1보안 모듈(40)은 데이터의 암호화와 복호화, 테넌트의 접근권한제어 및 DB 서버(90)에 접근하는 내역을 저장 및 관리할 수 있다. 도 3을 참조하면, 제1보안 모듈(40)은 수집 및 분석부(310), 테넌트 확인부(320), 제1테넌트 관리부(330), 제1통신부(340), 이벤트 및 플로우 테이블(350) 및 분석 정보 테이블(360)을 포함할 수 있다.
수집 및 분석부(310)는 도 1 또는 도 2의 제1보안 모듈(40)을 통과하는 모든 네트워크 단의 이벤트 및 플로우, 즉, 클라우드 컴퓨팅 시스템에서 발생하는 이벤트 및 플로우를 로그파일 형태로 수집할 수 있다. 수집 및 분석부(310)는 수집된 이벤트 및 플로우를 분석 및 가공할 수 있다. 수집된 이벤트는, 제2보안 모듈(80)에서 수집된 테넌트가 DB 서버(90)의 DB를 사용한 이력 정보 및 테넌트가 요청한 작업에 대한 정보를 포함할 수 있다.
테넌트 확인부(320)는 테넌트가 클라우드 센터에 접속할 때 사용되는 테넌트 구분 정보를 이용하여 테넌트를 식별할 수 있다. 테넌트 구분 정보는 예를 들면 상술한 테넌트 아이디, IP 및 식별키 중 적어도 어느 하나일 수 있다. 즉, 테넌트는, 클라우드 컴퓨팅 시스템의 웹 서버(50)에 테넌트가 로그인 시 사용되는 테넌트 아이디, 웹 서버(50)에 접속할 때 사용되는 IP 및 식별키 중 적어도 하나에 의해 구분될 수 있다.
제1테넌트 관리부(330)는 수집된 이벤트 및 플로우를 테넌트 별로 이벤트 및 플로우 테이블(350)에 저장하고, 분석된 결과를 분석 정보 테이블(360)에 테넌트 별로 저장할 수 있다. 제1테넌트 관리부(330)는 시스템(100)으로부터 보안 정보의 제공이 요청되면, 수집된 이벤트 및 플로우와 분석된 결과를 테넌트 별로 통합하여 보안 정보를 생성할 수 있다.
제1통신부(340)는 제1테넌트 관리부(330)에서 생성된 보안 정보를 시스템(100)으로 전송할 수 있다. 또한, 수집된 이벤트 및 플로우의 분석 결과 이상 현상 또는 취약점이 발견되면, 제1통신부(340)는 관리자에게 경고 메시지를 표시하도록 시스템(100)에게 요청할 수 있다.
이벤트 및 플로우 테이블(350)에는 수집 및 분석부(310)에 의해 수집된 이벤트 및 플로우가 테넌트 별로 저장된다.
분석 정보 테이블(360)에는 수집 및 분석부(310)에 의해 분석된 이벤트 및 플로우의 분석 결과가 저장된다.
도 4는 본 발명의 일 실시예에 따른 제2보안 모듈(80)을 도시한 블록도이다.
도 4에 도시된 제2보안 모듈(80)은 도 1에 도시된 바와 같이 Appliance 형태로 구비되거나 또는 도 2에 도시된 바와 같이 Agent 형태로 구비될 수 있다. 제2보안 모듈(80)은 데이터의 암호화와 복호화, 테넌트의 접근권한제어 및 DB 서버(90)에 접근하는 내역을 저장 및 관리할 수 있다.
도 4를 참조하면, 제2보안 모듈(80)은 데이터 수집부(410), 제2테넌트 관리부(420), 접근권한 확인부(430), 제2통신부(440), DB 사용자 이력 테이블(450) 및 요청 쿼리 테이블(460)을 포함할 수 있다.
데이터 수집부(410)는 테넌트가 DB 서버(90)의 DB를 사용한 이력 정보 및 테넌트가 요청한 작업에 대한 정보인 요청 쿼리를 수집할 수 있다. 구체적으로, 데이터 수집부(410)는 DB 서버(90)에 접근하는 사용자들의 구분 정보와 상기 이력 정보를 테넌트 별로 수집하며, 테넌트가 클라우드 센터에 요청한 쿼리를 테넌트 별로 수집할 수 있다.
제2테넌트 관리부(420)는 수집된 이력 정보를 DB 사용자 이력 테이블(450)에 저장하며, 수집된 요청 쿼리를 요청 쿼리 테이블(460)에 저장할 수 있다. 또한, 제2테넌트 관리부(420)는 보안 정보 요청이 입력되면, 또는, 주기적으로, 저장된 이력 정보와 요청 쿼리를 통합하여 보안 정보를 생성하고, 생성된 보안 정보를 제2통신부(440)에게 전달할 수 있다.
접근권한 확인부(430)는 DB 서버(90)로 접근을 시도하는 테넌트의 접근권한을 확인하고, 확인 결과에 따라 테넌트의 DB 서버(90)의 DB 접근을 제어할 수 있다. 접근권한 확인부(430)는 테넌트가 클라우드 센터에 접속할 때 확인되는 테넌트 구분 정보를 이용하여 접근권한을 확인할 수 있다. 접근권한의 확인을 위하여, 접근권한 확인부(430)에는 각 테넌트의 접근권한에 대한 정책이 내장되어 있을 수 있다.
제2통신부(440)는, 시스템(100) 및 제1보안 모듈(40) 중 적어도 하나의 요청에 의해, 저장된 이력 정보 및 저장된 요청 쿼리를 시스템(100) 및 제1보안 모듈(40) 중 적어도 하나에게 전송할 수 있다. 즉, 제2통신부(440)는 이력 정보 및 요청 쿼리를 통합한 보안 정보를 시스템(100) 및 제1보안 모듈(40) 중 적어도 하나에게 전송할 수 있다.
또한, 수집된 이력정보 또는 요청 쿼리로부터 이상 현상 또는 취약점이 발견되면, 제2통신부(440)는 관리자에게 경고 메시지를 표시하도록 시스템(100)에게 요청할 수 있다.
DB 사용자 이력 테이블(450)에는 데이터 수집부(410)에 의해 수집된 DB 서버(90)에 접근한 사용자와 작업이 테넌트 별로 저장될 수 있다.
요청 쿼리 테이블(460)에는 각 테넌트 별로 어떠한 작업을 하였는지를 알기 위해 요청 쿼리가 저장된다.
도 5는 본 발명의 일 실시예에 따른 테넌트 별 클라우드 보안 관제 시스템(100)을 도시한 블록도이다.
도 5를 참조하면, 시스템(100)은 보안 정보 요청부(510), 보안 정보 관리부(520), 테넌트 정책 적용부(530), 리포팅부(540) 및 보안 정보 저장부(550)를 포함할 수 있다.
보안 정보 요청부(510)는 보안 관련 정보들을 수집하는 제1보안 모듈(40) 및 제2보안 모듈(80) 중 적어도 하나에게 보안 정보의 제공을 요청할 수 있다. 보안 정보 요청부(510)는 설정된 정책에 의해 보안 정보를 리포팅할 시간에 도달하였거나, 테넌트로부터 리포팅 요청이 있으면, 제1보안 모듈(40) 및 제2보안 모듈(80) 중 적어도 하나에게 보안 정보의 제공을 요청할 수 있다. 본 실시예에서, 보안 정보 요청부(510)는 보안 관련 정보들을 보안 모듈들(40, 80)로 요청하는 것으로 설명하였으나 이는 예시적인 구성으로서 이와 다르게 구성하는 것도 가능하다. 예를 들면, 보안 모듈들(40, 80)이 주기적 또는 비주기적으로 보안 정보를 보안 정보 관리부(520)로 전송하도록 구성하는 것도 가능할 것이다.
보안 정보 관리부(520)는 제1보안 모듈(40) 및 제2보안 모듈(80) 중 적어도 하나로부터 제공받은 보안 정보를 테넌트 별로 분류하여 보안 정보 저장부(550)의 보안 정보 테이블(551)에 저장할 수 있다.
보안 정보의 모니터링 및 리포팅은 테넌트 별로 커스터마이징이 가능하다. 따라서, 테넌트 별로 모니터링과 리포팅을 위한 정책이 설정될 수 있다. 테넌트 정책 적용부(530)는 보안 정보 테이블(551)에 저장된 보안 정보를 모니터링 및 리포팅 테이블(553)로 이동할 때, 테넌트 정책 테이블(555)에 저장된 테넌트의 정책을 이용하여 보안 정보를 이동, 분류 및 정리할 수 있다.
리포팅부(540)는 보안 정보 저장부(550)에 저장된 보안 정보를 분석하여 테넌트에게 보고하기 위한 보안 정보 리포트를 작성하고, 작성된 보안 정보 리포트를 테넌트에게 리포팅할 수 있다.
구체적으로, 리포팅부(540)는, 테넌트들 각각에 대해 저장된 정책을 이용하여 보안 정보 리포트를 작성할 수 있다. 또한, 리포팅부(540)는 제1보안 모듈(40) 또는 제2보안 모듈(80)로부터 경고 메시지 표시 요청이 전달되면, 경고 메시지를 작성하여 클라우드 센터의 관리자에게 알릴 수 있다. 또한, 리포팅부(540)는, 보안 정보 리포트를 주기적으로 작성하거나 또는 테넌트들의 요청에 의해 실시간으로도 작성할 수 있다.
보안 정보 저장부(550)에는 테넌트의 보안 관리를 위해, 테넌트가 상기 클라우드 컴퓨팅 시스템을 사용한 보안 정보가 저장될 수 있다. 보안 정보 저장부(550)는 보안 정보 테이블(551), 모니터링 및 리포팅 테이블(553) 및 테넌트 정책 테이블(555)을 포함할 수 있다.
보안 정보 테이블(551)에는 제1보안 모듈(40) 및 제2보안 모듈(80)로부터 입력되는 보안 정보가 테넌트 별로 분류되어 저장된다. 분류 작업은 보안 정보 관리부(520)에 의해 수행될 수 있다.
모니터링 및 리포팅 테이블(553)에는, 보안 정보 테이블(551)에 저장된 보안 정보의 리포팅이 필요할 때, 필요한 보안 정보가 보안 정보 테이블(551)로부터 이동되어 저장된다. 이 때, 보안 정보 관리부(520)는 필요한 보안 정보를 보안 정보 테이블(551)로부터 모니터링 및 리포팅 테이블(553)로 이동하며, 테넌트 정책 적용부(530)는 정해진 정책에 의해 보안 정보가 이동 및 저장되도록 할 수 있다. 따라서, 모니터링 및 리포팅 테이블(553)에는 정해진 정책에 따라 분류 및 정리된 보안 정보가 저장된다.
테넌트 정책 테이블(555)은 각 테넌트에 대해 정해진 정책이 저장된다. 정책은 편집이 가능하며, 보안 정보 관리부(520) 및 테넌트 정책 적용부(530)와 연동되어, 모니터링 및 리포팅 테이블(553)에 보안 정보를 저장할 때 사용된다.
상술한 바와 같이, 클라우드 컴퓨팅 시스템의 제1보안 모듈(40), 제2보안 모듈(80)은 멀티테넌시 환경의 서비스에서 보안과 관련된 정보들을 테넌트 별로 수집 및 관리하며, 적어도 하나의 테넌트에게 리포팅할 수 있다.
도 6은 본 발명의 일 실시예에 따른 테넌트 별 클라우드 보안 관제 시스템의 테넌트 별 클라우드 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
도 6의 테넌트 별 클라우드 보안 관제 시스템은 도 1 또는 도 2에 도시된 시스템(100)일 수 있으며, 테넌트 별 클라우드 보안 관제 방법은 도 1 또는 도 2에 도시된 클라우드 컴퓨팅 시스템에서 동작될 수 있다.
시스템은 보안 관련 정보들을 수집하는 제1보안 모듈 및 제2보안 모듈 중 적어도 하나에게 보안 정보의 제공을 요청할 수 있다(S610). 시스템은 설정된 정책에 의해, 보안 정보를 리포팅할 시간에 도달하였거나, 테넌트로부터 리포팅 요청이 있으면, S610단계를 수행할 수 있다.
제1보안 모듈 및 제2보안 모듈 중 적어도 하나로부터 보안 정보가 수신되면(S620), 시스템은 보안 정보를 테넌트 별로 구별할 수 있다(S630).
시스템은 S630단계에서 구별된 보안 정보를 테넌트 별로 보안 정보 테이블에 저장할 수 있다(S640).
시스템은 저장된 보안 정보를 이용하여 보안 정보 리포트를 작성할 수 있다(S650). S650단계에서, 시스템은 해당 테넌트에 대해 적용된 정책을 이용하여 보안 정보 리포트를 작성할 수 있다.
시스템은 S650단계에서 작성된 보안 정보 리포트를 해당 테넌트에게 보고한다(S660).
도 7은 본 발명의 일 실시예에 따른 제1보안 모듈의 테넌트 별 클라우드 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
도 7의 제1보안 모듈은 도 1 또는 도 2에 도시된 제1보안 모듈(40)일 수 있다.
제1보안 모듈은 클라우드 컴퓨팅 시스템에서 발생하는 모든 이벤트 및 플로우를 로그파일 형태로 수집하여 분석할 수 있다(S710). 수집된 이벤트는, 제2보안 모듈에서 수집된 테넌트가 DB 서버의 DB를 사용한 이력 정보 및 테넌트가 요청한 작업에 대한 정보를 포함할 수 있다.
제1보안 모듈은 수집된 이벤트 및 플로우의 분석 결과로부터 해당 테넌트를 확인할 수 있다(S720). 예를 들어, 제1보안 모듈은 분석 결과에 포함된 로그인 아이디 정보, IP 정보 및 식별키 중 적어도 하나로부터 테넌트를 확인할 수 있다.
제1보안 모듈은 S710단계에서 수집된 이벤트 및 플로우를 테넌트 별로 이벤트 및 플로우 테이블에 저장할 수 있다(S730).
또한, 제1보안 모듈은 S710단계에서 분석된 결과를 분석 정보 테이블에 테넌트 별로 저장할 수 있다(S740).
클라우드 보안 관제 시스템으로부터 보안 정보의 제공이 요청되면(S750), 제1보안 모듈은 수집된 이벤트 및 플로우와 분석된 결과를 테넌트 별로 통합하여 보안 정보를 생성한 후 클라우드 보안 관제 시스템에게 전송할 수 있다(S760).
도 8은 본 발명의 일 실시예에 따른 제2보안 모듈의 테넌트 별 클라우드 보안 관제를 위한 방법을 설명하기 위한 흐름도이다.
도 8의 제2보안 모듈은 도 1 또는 도 2에 도시된 제2보안 모듈(80)일 수 있다.
제2보안 모듈은 DB 서버의 DB 접근을 시도하는 테넌트의 접근권한을 확인하고, 확인 결과에 따라 테넌트의 DB 접근을 제어할 수 있다(S810). 제2보안 모듈은 테넌트가 클라우드 센터에 접속할 때 확인되는 테넌트 구분 정보를 이용하여 접근권한을 확인할 수 있다.
제2보안 모듈은 테넌트가 DB를 사용한 이력 정보 및 테넌트가 요청한 작업에 대한 정보인 요청 쿼리를 수집할 수 있다(S820).
제2보안 모듈은 S820단계에서 수집된 DB 사용 이력 정보를 DB 사용자 이력 테이블에 저장하며, 수집된 요청 쿼리를 요청 쿼리 테이블에 저장할 수 있다(S830).
클라우드 보안 관제 시스템으로부터 보안 정보의 제공이 요청되면(S840), 제2보안 모듈은 S830단계에서 저장된 이력 정보와 요청 쿼리를 통합하여 보안 정보를 생성하고, 생성된 보안 정보를 클라우드 보안 관제 시스템에게 전송할 수 있다(S850).
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
20, 60: 방화벽 30: IDS/IPS 모듈
40: 제1보안 모듈 50: 웹 서버
70: WAS 서버 80: 제2보안 모듈
90: 데이터베이스 서버 100: 클라우드 보안 관제 시스템

Claims (18)

  1. 적어도 하나의 보안 모듈을 포함하는 컴퓨팅 시스템의 보안 관제를 위한 시스템에 있어서,
    상기 적어도 하나의 보안 모듈들로부터 수신된, 테넌트들의 보안 관리를 위해 상기 테넌트들이 상기 컴퓨팅 시스템을 사용한 보안 정보를 저장하는 보안 정보 저장부; 및
    상기 저장된 보안 정보를 테넌트별로 분석하여 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하여 상기 테넌트들에게 리포팅하는 리포팅부;를 포함하는, 테넌트 별 보안 관제를 위한 시스템.
  2. 제1항에 있어서,
    상기 적어도 하나의 보안 모듈에게 상기 보안 정보의 제공을 요청하는 보안 정보 요청부;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  3. 제1항에 있어서,
    상기 보안 정보를 상기 테넌트 별로 분류하여 상기 보안 정보 저장부에 저장하는 보안 정보 관리부;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  4. 제1항에 있어서,
    상기 적어도 하나의 보안 모듈은 SIEM 모듈로서,
    상기 SIEM 모듈은,
    상기 컴퓨팅 시스템에서 발생하는 이벤트 및 플로우를 중 적어도 하나를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 수집 및 분석부; 및
    상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하는 테넌트 관리부;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  5. 제4항에 있어서,
    상기 테넌트별 보안 관제를 위한 시스템으로부터 상기 보안 정보의 제공이 요청되면, 상기 테넌트 관리부는 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하며, 상기 생성된 보안 정보를 상기 테넌트별 보안 관제를 위한 시스템으로 제공하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  6. 제1항에 있어서,
    상기 테넌트들은, 상기 컴퓨팅 시스템의 웹 서버에 로그인 시 사용되는 테넌트 아이디, 상기 웹 서버에 접속할 때 사용되는 IP(Internet Protocol) 및 클라이언트 식별키 중 적어도 하나에 의해 구분되는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  7. 제1항에 있어서,
    상기 적어도 하나의 보안 모듈은 DSM 모듈로서,
    상기 DSM 모듈은,
    상기 테넌트들이 상기 컴퓨팅 시스템의 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 데이터 수집부; 및
    상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 테넌트 관리부;를 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 시스템.
  8. 웹 서버, WAS(Web Application Server) 서버 및 DB(Database)를 포함하는 컴퓨팅 시스템에 있어서,
    테넌트들이 상기 컴퓨팅 시스템에 접속하여 서비스를 사용한 정보인 보안 정보를 전송하는 적어도 하나의 보안 모듈; 및
    상기 적어도 하나의 보안 모듈로부터 상기 보안 정보를 수신하여 분석하고, 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하는 보안 관제 시스템;을 포함하는, 컴퓨팅 시스템.
  9. 제8항에 있어서,
    상기 보안 관제 시스템은,
    상기 테넌트들의 보안 관리를 위해, 상기 적어도 하나의 보안 모듈로부터 수신되는 상기 보안 정보를 상기 테넌트 별로 저장하는 보안 정보 저장부; 및
    상기 보안 정보 리포트를 작성하여 상기 테넌트들에게 리포팅하는 리포팅부;를 포함하는 것을 특징으로 하는, 컴퓨팅 시스템.
  10. 제8항에 있어서,
    상기 적어도 하나의 보안 모듈은
    상기 테넌트들이 상기 서비스를 사용하는 동안 발생하는 이벤트 및 플로우 중 적어도 하나를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 수집 및 분석부; 및
    상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하며, 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하는 테넌트 관리부;를 포함하는 것을 특징으로 하는, 컴퓨팅 시스템.
  11. 제8항에 있어서,
    상기 적어도 하나의 보안 모듈은
    상기 테넌트들이 상기 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 데이터 수집부;
    상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 테넌트 관리부; 및
    상기 저장된 이력 정보 및 상기 저장된 요청 쿼리를 상기 보안 관제 시스템 및 상기 SIEM 모듈 중 적어도 하나에게 제공하는 전송부;
    를 포함하는 것을 특징으로 하는, 컴퓨팅 시스템.
  12. 제8항에 있어서,
    상기 보안 관제 시스템은,
    상기 테넌트들의 보안 관리를 위해, 상기 적어도 하나의 보안 모듈로부터 수신되는 상기 보안 정보를 테넌트 별로 커스터마이징하여 모니터링하고 리포트를 작성할 수 있는 것을 특징으로 하는 컴퓨팅 시스템.
  13. 제8항에 있어서,
    상기 적어도 하나의 보안 모듈은 어플라이언스 및 에이젼트 중 어느 하나의 형태로 구현되는 것을 특징으로 하는 컴퓨팅 시스템.
  14. 적어도 하나의 보안 모듈을 포함하는 컴퓨팅 시스템에서의 보안 관제를 위한 방법에 있어서,
    테넌트들의 보안 관리를 위해, 상기 테넌트들이 상기 컴퓨팅 시스템을 사용한 보안 정보를 보안 관제 시스템에 저장하는 단계;
    상기 저장된 보안 정보를 분석하여 상기 테넌트들에게 보고하기 위한 보안 정보 리포트를 작성하는 단계; 및
    상기 작성된 보안 정보 리포트를 상기 테넌트들에게 리포팅하는 단계;를 포함하는, 테넌트 별 보안 관제를 위한 방법.
  15. 제14항에 있어서,
    상기 적어도 하나의 보안 모듈에게 상기 보안 정보의 제공을 요청하는 단계;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 방법.
  16. 제14항에 있어서,
    상기 컴퓨팅 시스템에서 발생하는 이벤트 및 플로우를 수집하고, 상기 수집된 이벤트 및 플로우를 분석하는 단계; 및
    상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 각각 이벤트 및 플로우 데이터 테이블과 분석 정보 테이블에 상기 테넌트 별로 저장하는 단계;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 방법.
  17. 제15항에 있어서,
    상기 적어도 하나의 보안 모듈 중 어느 하나의 보안 모듈은 상기 보안 관제 시스템으로부터 상기 보안 정보의 제공이 요청받는 단계;
    상기 보안 정보의 제공을 요청받은 보안 모듈은, 상기 수집된 이벤트 및 플로우와 상기 분석된 결과를 통합하여 상기 보안 정보를 생성하는 단계; 및
    상기 생성된 보안 정보를 상기 보안 관제 시스템으로 제공하는 단계;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 방법.
  18. 제15항에 있어서,
    상기 적어도 하나의 보안 모듈 중 어느 하나의 보안 모듈은, 상기 테넌트들이 상기 컴퓨팅 시스템의 DB를 사용한 이력 정보 및 상기 테넌트들이 요청한 작업에 대한 정보인 요청 쿼리를 수집하는 단계; 및
    상기 수집된 이력 정보 및 상기 요청 쿼리를 각각 DB 사용자 이력 테이블 및 요청 쿼리 테이블에 저장하는 단계;를 더 포함하는 것을 특징으로 하는, 테넌트 별 보안 관제를 위한 방법.
KR1020100079133A 2010-08-17 2010-08-17 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 KR101201629B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100079133A KR101201629B1 (ko) 2010-08-17 2010-08-17 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100079133A KR101201629B1 (ko) 2010-08-17 2010-08-17 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20120016732A true KR20120016732A (ko) 2012-02-27
KR101201629B1 KR101201629B1 (ko) 2012-11-14

Family

ID=45838879

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100079133A KR101201629B1 (ko) 2010-08-17 2010-08-17 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101201629B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101361243B1 (ko) * 2011-11-30 2014-02-12 삼성에스디에스 주식회사 멀티 테넌시 환경에서 테넌트의 보안관제를 위한 장치 및 그 방법
KR101690949B1 (ko) * 2016-03-11 2016-12-29 국방과학연구소 가상화 환경에서의 가상머신 게스트 os 자원 정보 수집 장치 및 방법
CN115248648A (zh) * 2022-08-12 2022-10-28 北京字跳网络技术有限公司 任务的处理方法、装置、电子设备和介质
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101454838B1 (ko) * 2013-04-25 2014-10-28 한국인터넷진흥원 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101361243B1 (ko) * 2011-11-30 2014-02-12 삼성에스디에스 주식회사 멀티 테넌시 환경에서 테넌트의 보안관제를 위한 장치 및 그 방법
KR101690949B1 (ko) * 2016-03-11 2016-12-29 국방과학연구소 가상화 환경에서의 가상머신 게스트 os 자원 정보 수집 장치 및 방법
CN115248648A (zh) * 2022-08-12 2022-10-28 北京字跳网络技术有限公司 任务的处理方法、装置、电子设备和介质
CN115248648B (zh) * 2022-08-12 2024-01-30 北京字跳网络技术有限公司 任务的处理方法、装置、电子设备和介质
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템

Also Published As

Publication number Publication date
KR101201629B1 (ko) 2012-11-14

Similar Documents

Publication Publication Date Title
US11184399B2 (en) File system monitoring and auditing via monitor system having user-configured policies
Montesino et al. Information security automation: how far can we go?
US20200007574A1 (en) Selecting actions responsive to computing environment incidents based on action impact information
US8782796B2 (en) Data exfiltration attack simulation technology
US9009837B2 (en) Automated security assessment of business-critical systems and applications
US8516586B1 (en) Classification of unknown computer network traffic
KR20180120157A (ko) 데이터세트 추출 기반 패턴 매칭
Pavlik et al. Security information and event management in the cloud computing infrastructure
US11481478B2 (en) Anomalous user session detector
US20180041525A1 (en) Apparatus and methods thereof for inspecting events in a computerized environment respective of a unified index for granular access control
Mutemwa et al. Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems
KR101201629B1 (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
US20140259171A1 (en) Tunable intrusion prevention with forensic analysis
CA2983458A1 (en) Cyber security system and method using intelligent agents
KR20140035146A (ko) 정보보안 장치 및 방법
US20210200595A1 (en) Autonomous Determination of Characteristic(s) and/or Configuration(s) of a Remote Computing Resource to Inform Operation of an Autonomous System Used to Evaluate Preparedness of an Organization to Attacks or Reconnaissance Effort by Antagonistic Third Parties
CN113407949A (zh) 一种信息安全监控***、方法、设备及存储介质
CN115189946A (zh) 一种跨网数据交换***及数据交换方法
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR101775517B1 (ko) 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
Cha et al. A blockchain-enabled IoT auditing management system complying with ISO/IEC 15408-2
CN116894259A (zh) 一种数据库的安全访问控制***
Wu et al. Public cloud security protection research
Dorigo Security information and event management
CN112688808A (zh) 一种互联网数据中心的运维管理方法、***及电子设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160920

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 7