ダイレクトアクセス及びセキュリティ評価共有を可能とするためのハードウェアインターフェース
ネイティブIPv6機能がIPv4ネットワークノード、デバイスまたはエンドポイントに、ダイレクトアクセスモデルにおけるネットワーク通信をサポートするハードウェアインターフェースを用いて提供される。ダイレクトアクセスモデルは、IPsecとのIPv6通信をサポートし、ネットワークアクセス保護(NAP)健全性要求ポリシーをネットワーククライアントであるエンドポイントに適用する。ダイレクトアクセス対応サーバーは、IPv4からIPv6への変換機能及び任意的にIPsec終端機能を実装するハードウェアインターフェースを用いて使用可能にされる。ダイレクトアクセス対応クライアントは、IPv4からIPv6への変換機能及びIPsec終端機能を実装するハードウェアインターフェースを用いて使用可能にされ、当該ハードウェアインターフェースは任意的に、携帯情報機器として構成されているダイレクトアクセス対応クライアントにNAP(ネットワークアクセス保護)を提供する。このハードウェアインターフェースは、ネットワークインターフェースカード(NIC)(405)としてまたはチップセット(505)として実装されてもよい。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はダイレクトアクセス及びセキュリティ評価共有を可能とするためのハードウェアインターフェースに関する。
【背景技術】
【0002】
インターネットがかつてない急激な成長を続ける一方で、デジタル加入者線(DSL)及びケーブルモデム等の常時接続ブロードバンド技術の近年の普及は、常時アドレス可能な(addressable)携帯情報機器へのPDA(personal data assistant)及び携帯電話の差し迫っている統合を伴って、インターネットに接続されているシステムが通信に使用するアドレス空間の拡張の緊急性を著しく高めている。現在使用されているアドレス空間は、インターネットプロトコル、すなわちIP(TCP/IP(Transport Control Protocol/Internet Protocol)のネットワーク層)プロトコル群の一部として定義されている。今日一般に使用されているIPのバージョンは、バージョン4(IPv4)であり、これは1981年にRFC791(インターネット技術タスクフォース、すなわち「IETF」におけるRequest for Comments)が発行されてから実質的に変更されていない。その間、IPv4はロバスト(robust)で、容易に実装可能かつ相互運用可能であると証明され、相互接続ネットワーク(複数のネットワークのうちの1つのネットワーク)を今日のインターネットの世界的な使用のサイズまで拡大するテストに耐えてきた。これはIPv4の初期設計の賜物であるが、さらに大きなスケールへの拡大には、新しい基盤を構築する必要がある。
【0003】
IPv6は、全く異なる広く様々なネットワーク技術を介してシステム同士を結び付けるための機構を定義することによって多くの支持を得たIPv4プロトコルの様式を継承するだろう。既に定義されているIPv6の伝送のリンク層マッピングは、イーサネット、ポイントツーポイントプロトコル(PPP)、ファイバ分散データインターフェース(FDDI)、トークンリング、非同期転送モード(ATM)、フレームリレー、IEEE(電気電子技術者協会)1394、及びIPv4を含んでいる。アーキテクチャの視点でみると、IPv4ベースのインフラストラクチャーは、IPv6対応システムには単一のセグメントの非放送型多元接続(NBMA)ネットワークとしてみられる。IPv6トラフィックを現在あるIPv4ネットワークを介して送信する機能は、現在のインターネットと同様の広さの初期到達を可能とし、それを使用するためのエンドポイント能力及び迅速性によってのみ制限される。
【0004】
セキュリティ及びプライバシーに関する問題を解決するために、IPv6は、インターネットプロトコルセキュリティ(IPsec)として知られているIP層セキュリティを含んでいる。IPsecは、業界標準のセキュリティ技術であり、様々なアプリケーションによって使用されるプロトコル配列に亘ってデータ信頼性及びインテグリティ(整合性)並びにデータ機密性をもたらす。ネットワーク層における機能の提供は、全てのアプリケーションに特有のセキュリティ機能を与えなければならない必要から開発者を解放する。
【0005】
スコープ付きアドレス(ファイル及びプリンタ共有のデフォルトの範囲を制限するのに有効)、ステートレス自動設定(複雑さ及び管理義務を低下させる)及びIPセキュリティ強制(mandatory IP security)(接続のプライバシーとインテグリティとエンドツーエンドデータ認証とを許容する)等の新しい機能が迅速な導入を促進するために期待される。この新しい機能に加えて、IPv4の寿命を引き延ばすために現在使用されている技術(ネットワークアドレス変換(NATs)等)は、現存のアプリケーションをしばしば破壊し、新しいアプリケーションの展開の柔軟性を制限している。NATsは、今日、複数のシステムが単一の十分でないパブリックIPv4アドレスを共有することを可能とする故に一般的であるが、それによって、クライアントがパブリックアドレス空間内にあるサーバーのみを用いてプライベートアドレス空間を使用するクライアント/サーバー利用モデルを強要する傾向がある。IPv6は「通信のエンドツーエンド制御」の機能を復活させ、ネットワークが再度透過的になるに伴ってネットワークアプリケーションをさらに単純化する。
【0006】
IPv4からIPv6への変更は、産業界とって、2000年問題(year 2000)への準備よりも大仕事になると予想される。このことは、ほとんど全てのネットワークアプリケーション、エンドシステム、インフラストラクチャーシステム、及びネットワークアーキテクチャに影響を与えるだろう。この変更が、広範で時期尚早の技術の利用可能性によってもたらされるコストのかかる非生産的な失敗を防止する責任をもって行われることが重要である。2000年問題と異なり、IPv6への変更は、特定の期限をもたない。しかし、上述したように、IPv4アドレスの消費の速度は急激に増加している。開発の容易さは、迅速な導入の鍵となるだろう。
【0007】
IPv4からIPv6への移行は一晩では終わらないだろう。同一のインフラストラクチャーを介して両方のプロトコルが使用される移行期間があるだろう。この移行期間に対処するために、IPv6の設計者は、IPv6ノードが、IPv4のみのインフラストラクチャーから切り離されたとしても、混在環境において互いに通信可能であるように付与する技術及びアドレスタイプを創り出した。
【0008】
RFC2893は、異なった様々なノードタイプを定義している。IPv4のみの(IPv4−only)ノードは、IPv4のみを実装し(IPv4アドレスのみを有し)IPv6をサポートしていない。今日導入されているほとんどのホスト及びルータは、IPv4のみのノードである。
【0009】
IPv6のみの(IPv6−only)ノードは、IPv6のみを実装し(IPv6アドレスのみを有し)IPv4をサポートしていない。このノードは、IPv6ノード及びアプリケーションとのみ通信可能である。このタイプのノードは、現在は一般的ではないが、IPv6プロトコルを備える携帯電話及びハンドヘルドコンピューティングデバイス等の小型デバイスとして普及するだろう。
【0010】
IPv6/IPv4ノードは、IPv4及びIPv6の両方を実装している。
【0011】
IPv4ノードは、IPv4を実装している。IPv4ノードは、IPv4のみのノード、またはIPv6/IPv4ノードであり得る。
【0012】
IPv6ノードは、IPv6を実装している。IPv6ノードは、IPv6のみのノード、またはIPv6/IPv4ノードであり得る。
【0013】
共存状態の発生に関し、多くのノード(IPv4またはIpv6ノード)は、IPv4インフラストラクチャー、IPv6インフラストラクチャー、またはIPv4及びIPv6の組み合わせのインフラストラクチャーを使用して通信し得る。全てのIPv4ノードがIPv6のみのノードに変更されると、完全な移行が達成される。しかし、予測できる未来において、可能な限り多くのIPv4のみのノードがIPv6/IPv4ノードに変更されて、実質的な移行は達成される。IPv4のみのノードは、IPv4−to−IPv6プロキシ又は変換ゲートウェイを使用した場合にのみ、IPv6のみのノードと通信可能である。
【0014】
この様なゲートウェイはしばしば満足に機能するが、ネイティブIPv6を実装するものに比べて追加的な費用がしばしばかかる。IPv4−to−IPv6プロキシ又は変換ゲートウェイが、変換が行われる前に、暗号化されたトラフィックに関するIPsec接続を終端させる必要があるため、ゲートウェイとIPv4インフラストラクチャーとの間のリンクは、いくつかの場合にセキュリティ脆弱性をもたらし得る。さらに、ゲートウェイの使用は、通常は、ドメインネームシステム(DNS)に関する所与のドメインにおいて混同を起こす。なぜならば、IPv4インフラストラクチャーは、例えば、ゲートウェイがIPv6をサポートしているのにもかかわらず、DNSサーバーにドメイン内でIPv4サーバーとして登録されるからである。DNSインフラストラクチャーをアップグレードして混合IPv4/IPv6機能に対応させることは、ささいな仕事ではなく追加の費用を必要とする。
【0015】
この背景技術は、後述する発明の概要及び発明を実施するための形態に関する簡単な内容を紹介するために提供される。この背景技術は、本発明の範囲の決定を補助するものとして意図されておらず、本発明を、上述されたいくつかまたは全ての欠点もしくは問題を解決する実施例に限定するものとして見なされることも意図されていない。
【発明の概要】
【0016】
ネイティブIPv6の機能は、ダイレクトアクセスモデル(Direct Access model)におけるネットワーク通信をサポートするハードウェアインターフェースを用いて、IPv4ネットワークノード、デバイス、またはエンドポイント(まとめてエンドポイントと称される)に提供される。このダイレクトアクセスモデルは、IPsecを用いたIPv6通信をサポートし、ネットワーククライアントであるエンドポイントに対するネットワークアクセス保護(NAP)健全性要求ポリシー(health requirement policies)を適用する。ダイレクトアクセスに対応しているサーバーは、IPv4からIPv6への変換機能及び任意的にIPsec終端機能を実装しているハードウェアインターフェースを用いて使用可能にされる。ダイレクトアクセスに対応しているクライアントは、IPv4からIPv6への変換機能、IPsec終端機能を実装し、かつ任意的に携帯情報機器として構成されておりダイレクトアクセスに対応しているクライアントのためのNAP(ネットワークアクセス保護)を提供するハードウェアインターフェースを用いて使用可能にされる。このハードウェアインターフェースは、ネットワークインターフェースカード(NIC)としてまたはチップセットとして実装されてもよい。
【0017】
ダイレクトアクセスハードウェアインターフェースは、レガシーデバイス及び非ウィンドウズベースのデバイスを含むダイレクトアクセスに非対応なデバイスを、強化されたセキュリティを伴いかつインストールされているソフトウェアを変更又は移行することなく低コストで容易にネイティブIPv6機能を用いてアップグレード可能である。さらに、サーバーに関して、ダイレクトアクセスハードウェアインターフェースを使用することは、IPv4からIPv6へのゲートウェイを使用することによって通常起こるドメインにおけるDNS混同を排除する。
【0018】
1つの説明例において、ダイレクトアクセスハードウェアインターフェースは、IPv4エンドポイントに、企業セキュリティ評価共有(Enterprise Security Assessment Sharing)(ESAS)機能を提供するようにさらに構成されている。ここで、セキュリティ評価と称される抽象概念は、ESASに対応している異なったエンドポイントの間におけるセキュリティ関連情報の共有を可能とするために用いられる。特定のコンピューティング環境内に存在するこのセキュリティ評価は、ESASに対応しているエンドポイントに、そのエンドポイント自体のローカルにおいて利用可能な情報を調べる新しい方法を与えるセキュリティコンテキスト(context)を提供する機能を有する。このセキュリティコンテキストは、ESASに対応しているエンドポイントが、様々な異なったソースから、複数のオブジェクトタイプに亘って受信したセキュリティ評価からの証拠を組み合わせるかまたは相互に関連付けることを可能とし、当該エンドポイントの潜在的セキュリティ事象の検出の質の著しく向上させること、及び当該環境におけるセキュリティ事象の誤警告判定及び見逃し判定の程度を低減させることが可能である。さらに、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装することに加えて、ダイレクトアクセスハードウェアは、決められたチャンネルを介してセキュリティ評価を送信及び受信するように構成され得る。このチャンネルは、1つのリンクを含むかまたは決められたIPアドレスを使用し得、さらに特定のクオリティオブサービス(QoS)で処理されて、ネットワークが混雑している場合であってもセキュリティ評価の通信が保証され得る。従って、ダイレクトアクセスハードウェアは、企業ネットワーク外のユーザへESASの利点及び利益を拡張し、潜在的なセキュリティ脅威を検出可能なESASに対応しているエンドポイントの数を増加させることも可能である。
【0019】
この発明の概要は、発明を実施するための形態において以下でさらに説明される概念の1つを単純な形式で紹介するために提供されている。この発明の概要は、本発明の重要な特徴または本質的な特徴を特定することは意図されておらず、本発明の範囲を判定することに使用されることも意図されていない。
【0020】
図面において同一の番号は同一の要素を示している。図面内の要素は、特に示していない限り正確な寸法では示されていない。
【図面の簡単な説明】
【0021】
【図1】本発明のハードウェアインターフェースが動作する例示のネットワークコンピューティング環境を示す図である。
【図2】ゲートウェイがNAT−PT(ネットワークアドレス変換−プロトコル変換)及びIPsecトンネル機能を提供するネットワークコンピューティング環境内のノードの通常の実装の詳細を示す図である。
【図3】エンドポイントにおいて用いられ得るソフトウェアプロトコルスタック及びハードウェアインターフェースを示す図である。
【図4】ネットワークインターフェースカードとして実装され得る例示のハードウェアインターフェースの機能コンポーネントを示す図である。
【図5】チップセットとして実装され得る例示のハードウェアインターフェースの機能コンポーネントを示す図である。
【図6】企業ネットワーク内の企業セキュリティ評価共有(ESAS)構成を示す図である。
【図7】ESASに対応している複数のエンドポイントがセキュリティ評価チャンネルに結合されかつ1つのエンドポイントにおいて検出された事象が複数の他のエンドポイントにおけるレスポンスをトリガする第1の例示のシナリオを示す図である。
【図8】忠実度の低いセキュリティ評価がセキュリティ評価チャンネルを介して送信され、クロスオブジェクトマッピングも行うESAS対応受信エンドポイントよる忠実度の高い新しい評価の生成がトリガされる第2の例示のシナリオを示す図である。
【図9】修正技術の的を絞った使用を示す第3の例示のシナリオを示す図である。
【図10】ESASセキュリティ評価チャンネルが、本発明のハードウェアインターフェース使用して、インターネット等の安全でないネットワークを介して企業ネットワークからESASに対応している1または複数のエンドポイントに拡張され得る例示の構成を示す図である。
【図11】セキュリティ評価が、ESASに対応しているリモートエンドポイントによって本発明のハードウェアインターフェースを介して受信される例示の拡張ESASアーキテクチャを示す図である。
【発明を実施するための形態】
【0022】
図1は、本発明のハードウェアインターフェースが動作し得る、例示のネットワークコンピューティング環境100を示している。この例において、パーソナルコンピュータ(PC)1051、ラップトップコンピュータ1052、携帯情報機器1053、及び非ウィンドウズ(登録商標)オペレーションシステムベースのコンピュータ105N等のクライアントデバイス1051,2...Nがインターネット112等のネットワークを使用してウェブサーバー121等のアクセスリソース115にアクセスし、または企業ネットワーク130へのリモートアクセスを確立する。クライアントデバイス105のユーザは、ファイルサーバー137、電子メールサーバー142及びデータベースサーバー146等の企業ネットワーク130内のサーバーによって提供されるサービス、ファイル及びデータへのリモートアクセスを探索する。
【0023】
図2は、ネットワークコンピューティング環境におけるノードまたはドメイン200の通常の実装の詳細を示しており、当該ネットワークコンピューティング環境においてゲートウェイ206はNAT−PT(ネットワークアドレス変換−プロトコル変換)コンポーネント211及びIPsecトンネルエンドポイントコンポーネント215をサポートしている。このようなゲートウェイ206は、図1に示されているインターネットベースのリソース115または企業ネットワーク130をサポートするために使用され得るネイティブIPv4サーバーインフラストラクチャー223にダイレクトアクセス機能を提供するために通常使用される。上述のように、用語「ダイレクトアクセス」は、IPsecを使用するIPv6機能を画定し、いくつかの実装例においてIPsec−NAPを含む。
【0024】
NAT−PTコンポーネント211は、移行ツールとして機能し、ドメイン200のオペレータにIPv4ネットワークからIPv6ネットワークへの移行を可能とさせる。ゲートウェイ206内にNAT−PT機能を配することによって、IPv6のみのノード内のエンドポイントは、IPv4のみのノード内のサーバーインフラストラクチャー223と接続可能となる。NAT−PTコンポーネント211もアプリケーションレイヤーゲートウェイ(ALG)機能をサポートして、ドメイン200内に通常提供されるDNSインフラストラクチャー230内におけるドメイン名からアドレスへのマッピングを可能とする。特に、ALGは、DNSパケットがIPv4ネットワークとIPv6ネットワークとの間を移動する際に、IPv6アドレスをDNSクエリに変換しレスポンスをIPv4アドレスバインディング(address bindings)に変換し、その逆もまた同様に行う。この追加的な複雑性は、サーバーインフラストラクチャー223がネイティブIPv6サーバーとしてDNSインフラストラクチャー230に登録できないことによる。
【0025】
IPsecトンネルエンドポイントコンポーネント215は、ゲートウェイ206にIPsec接続を終端させることを可能とする。IPsecトンネルは、伝送中に、暗号化されたIPヘッダ及びペイロードを使用する。このようにして、当該トンネルはパケット全体の保護を提供する。IPパケット全体は、最初に認証ヘッダまたはカプセル化セキュリティペイロードヘッダを用いてカプセル化され、その後、追加のIPヘッダを用いてカプセル化される。この追加のIPヘッダは、トンネルエンドポイントの発信元及び宛先を含む。パケットがトンネルエンドポイントの第1の宛先に達した後、当該パケットはカプセル化を解かれ、IPアドレスを読み取ることによって最後の宛先に送信され得る。
【0026】
NAP機能は、所与のネットワークに接続しているコンピュータに必要なソフトウェア及びシステム構成を画定する健全性要求ポリシーの形成及び適用を可能とするクライアント及びサーバー両方のコンポーネントを使用して通常は実装される。NAPは、クライアントコンピュータの健全性を検査して評価することによって健全性要求を適用し、クライアントコンピュータが不適合であると見なされた場合、ネットワークアクセスを制限し、非制限ネットワークアクセスのために不適合コンピュータを修正する。NAPは、ネットワークへの接続を試行しているクライアントコンピュータに健全性要求を適用する。NAPは、適合クライアントコンピュータがネットワークに接続されている間も、健全性コンプライアンスを適用し続けることが可能である。
【0027】
いくつかの実装例において、サーバーインフラストラクチャー223は、この例においてAuthIPすなわち認証IP(参照符号237で特定されている)を用いたIPsecとして知られているIPsecの派生型として実装されているNAPサーバー側コンポーネントも使用する。この機能は、マイクロソフトウィンドウズオペレーティングシステムの最新リリースにおいてサポートされ、単純化されたIPsecポリシー構成及び多くの構成における単純化された保守、並びにIPsecピア認証に関する追加的な柔軟性を提供する。特に、AuthIPコンポーネント237を用いたIPsecは、サーバー223におけるNAP認証を確認するように構成されている。
【0028】
図3は、例示のソフトウェアプロトコルスタック305及びハードウェアインターフェース312を示しており、これらはダイレクトアクセス非対応のエンドポイントにおいて使用されてこのエンドポイントにダイレクトアクセス機能を付加し得る。1つのエンドポイントは、クライアントコンピュータ、携帯情報機器(携帯電話、スマートフォン、PDA、ポケットPC、ハンドヘルドゲームデバイス、メディアプレイヤー等)、サーバー、またはゲートウェイ、ルータ、スイッチ等の中間ネットワークデバイスを含んでもよい。この例において、ハードウェアインターフェース312は、代替的に、ネットワークインターフェースカード(NIC)としてまたはチップセットとして実装されていてもよい。NICとして実装される場合、通常は、ハードウェアインターフェースは、PCI、PCI−X又はPCIExpressバス等を用いる標準物理インターフェース315を介してエンドポイントとインターフェースをとる。チップセットとして実装される場合、ハードウェアインターフェースは、通常は、デバイスに特化しているインターフェース319かまたは専用のインターフェース319を使用してエンドポイントと物理的にインターフェースをとる。
【0029】
図3に示されているように、エンドポイントにおけるソフトウェアプロトコルスタック305は、TCP及びUDP(ユーザデータグラムプロトコル)等のプロトコルをサポートする転送レイヤー332と相互作用するアプリケーションレイヤー325を含む。IPv4インターネットレイヤー336は、ネットワークインターフェースレイヤー340を介したデータ転送を実装する。ハードウェアインターフェースドライバ345は、ハードウェアインターフェース312の必要な抽象化をプロトコルスタック305に提供する。
【0030】
図4は、NIC405として実装された際の例示のハードウェアインターフェースの機能コンポーネントを示している。このコンポーネントは、破線の長方形で示されるように、特定の実装の要件に応じて、様々な組み合わせで任意に使用され得る。例えば、いくつかの実装例において、オペレーティングシステムが既にIPv6をサポートしている場合、IPsecのみが必要とされる。また、他の場合においては、ダイレクトアクセスが必要とされないこともあり得、NIC405が使用されてESAS機能のみが提供される。例えば、このようなことは、NIC405が、スイッチまたはルータのようなデバイスにインストールされている場合に起こり得る。
【0031】
このコンポーネントは、変換コンポーネント412及びIPsecコンポーネント416を含む。変換コンポーネント412は、IPv4からIPv6への変換及びALG機能を提供し、DNSレジストリの変更を行う。IPsecコンポーネント416は、IPsec接続の終端を行い得る。この例においては、NAP適用を含むべくIPsecコンポーネント416が実装される(すなわちコンポーネント416はIPsec−NAPをサポートしている)。従って、ハードウェアNIC405は、ダイレクトアクセスに対応していないインターフェース(すなわち、参照符号425及び428で各々示されているようなIPv4及び非IPsecインターフェース)を提供して、ハードウェアNICが導入されているエンドポイントを変更することなくネイティブIPv6機能を付与して相互運用性を提供する。
【0032】
NIC405は、ESASコンポーネント423をさらに含み、ESASコンポーネント423は、NIC405が導入されているエンドポイントに企業セキュリティ評価共有機能を提供する。ESASコンポーネント423は、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装し得る。ESAS機能を有する導入されたNICを有するエンドポイントを使用する例示のESASのシナリオは、図10−11に示されかつ添付の文章に説明されている。
【0033】
図5は、チップセット505として実装された際の例示のハードウェアインターフェースの機能コンポーネントを示している。図4に示されているコンポーネントと同様に、図5内のコンポーネントは、様々な組み合わせで任意的に使用され得る。コンポーネントは、図4に示されかつそこに添付の文章で説明されている同等のものと同様の特徴及び機能を有して構成される変換コンポーネント512及びIPsecコンポーネント516を含む。チップセット505も、クライアント側NAPコンポーネント521を含む。クライアント側NAPコンポーネント521は、例えば、現時点ではNAP機能と共に提供されていない携帯情報機器等と共にクライアントデバイスアプリケーションにおいて使用され得る。NIC405と同様に、ハードウェアチップセット505は、ダイレクトアクセスに対応していないインターフェース(すなわち、参照符号525及び528で各々示されているIPv4及び非IPsecインターフェース)を提供して、ハードウェアチップセット505が導入されているエンドポイントを変更せずにネイティブIPv6機能を付与して相互運用性を提供する。
【0034】
NIC405及びチップセット505の両方は、IPv4及びIPv6の両方がサポートされる「デュアルスタック(dual stack)」構成を用いて二者択一的に実装されてもよいことに留意する。この実装例において、分離されているIPv4及びIPv6の一方が使用され得るか、さらに一般的には、スタックがいくつかの共通ノードを共有するだろう。デュアルスタック構成は、例えば、RFC4213に記載され、IPv4とIPv6との間の遷移機構を提供するためにしばしば使用され、必要ならば、システム内のエンドポイントは、IPv4のみを使用してアクセスされることが可能であり続ける。さらに、NIC405及びチップセット505は、必要に応じて特定の実装の要求を満足させるべく、ダイレクトアクセスクライアントまたはダイレクトアクセスサーバーのどちらかと相互運用する様に構成され得る。
【0035】
チップセット505は、チップセット505が導入されているエンドポイントに企業セキュリティ評価共有機能を提供する、ESASコンポーネント523をさらに含む。ESASコンポーネント523は、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装してもよい。ESAS機能を有する導入されたNICを有するエンドポイントを使用する例示のESASのシナリオは、図10−11に示されかつそこに添付の文章に説明されている。
【0036】
本発明のハードウェアインターフェースを使用してESAS構成が実装されている説明例がここで示された。マスストレージサブシステム、内部ネットワークインターフェース及び外部ネットワークインターフェース等の他のデバイスを伴っている企業コンピューティング環境、例えば、ビジネスオフィス、多数のパーソナルコンピュータ、ワークステーション、サーバー等は、通常は、相互接続されて、情報が、生成され、外部ソースからアクセスされかつ様々なユーザ間で共有される統合環境を提供する。一般的に、ユーザは、データの作成、アクセス及び共有が有効である、受注、製造、出荷、請求、在庫管理、文書作成及び文書管理、電子メール、ウェブブラウジング、並びに他の操作を含む様々な操作を行う。
【0037】
現在、通常は、セキュリティは、標準的には企業全体のデータの一部のみを監視する様に各々が構成されている様々な異なったセキュリティ製品を使用して企業に提供されている。すなわち、セキュリティ製品は、製品の各々が企業内のデータの異なった部分に対して、監視をし、評価をし、行動を起こす分離されたローカルの「アイランド」として構成される。例えば、ホストセキュリティ製品、エッジファイアウォール製品、NIDS製品、NAP製品、及び他の別個のセキュリティ製品は、一般的に、企業の様々な異なった部分のセキュリティを提供する。
【0038】
これらのセキュリティ製品は、しばしば、多くのアプリケーションにおいて満足に動作するが、セキュリティ事象の検出は、一部の企業セキュリティデータのみの監視の結果として、望ましくない高い頻度の誤警告及び見逃し判定の発生の影響を受ける。全ての企業セキュリティ製品アイランドに亘って効果的で共通な管理を提供することも難しかった。企業全体のセキュリティデータを相互に関連付ける現在の試みは、高い管理コスト及び保守コストを有し、規模の拡大において問題を有している。従って、ESASは、単一の企業全体視野を提供して、セキュリティ事象に対する自動応答に関して明快、単純かつ統一された企業全体ポリシーをセキュリティ管理者が画定及び適用できるようにする。
【0039】
上述したように、ESASは、セキュリティ評価と称される抽象概念に依存しており、セキュリティ評価は、企業セキュリティ環境において、セキュリティエンドポイントと称される異なったセキュリティ製品間のセキュリティ関連情報の共有を可能とする。セキュリティ評価は、コンピュータ、ユーザ、サービス(例えばウェブサイト)、データまたは企業全体等の環境において関心のあるオブジェクトに関して収集される情報(すなわち、コンテキスト内のデータ)に関する上位のコンテキスト上の意味(contextual meaning)のセキュリティエンドポイントによって一時的な割り当てとして定義される。このセキュリティ評価は、セキュリティエンドポイントに関する簡潔な語彙集を使用して、環境内にあるオブジェクトが、「危険である」または「攻撃されている」等の特定の評価カテゴリに含まれることになったことを検出された事象の重大度(例えば、低度、中度、高度、危機的)と共に宣言する。
【0040】
セキュリティ評価は、いくらかの不確実性を前提にしておりかつ限定された期間に対して有効であるため、セキュリティ評価は暫時的である。セキュリティ評価のこの暫時的な性質は、その構成要素のうちの2つにおいて反映される:すなわち、コンテキスト上の意味の割り当てにおいてセキュリティエンドポイントが有している信頼度を表明する忠実度フィールド、及びセキュリティエンドポイントのセキュリティ評価が有効である期間の予測を反映する有効期限(TTL)フィールドである。従って、例えば、セキュリティ評価は、セキュリティエンドポイントによって使用されて、セキュリティエンドポイントの1または複数のセキュリティ事象の現在の認識を考慮して、特定のマシンが危険であることを、危機的の重大度、中度の忠実度、30分のTTLで宣言する。様々なタイプのセキュリティ評価は、例えば、評価カテゴリ及びオブジェクトタイプの様々な組み合わせを有する任意の所与の企業セキュリティ環境において使用され得る。
【0041】
セキュリティエンドポイントは、この環境において機能するセキュリティ評価チャンネルにセキュリティ評価を公開する機能を付与され、他のセキュリティエンドポイントから公開されている利用可能なセキュリティ評価のサブセットを受け入れる。アクティブな環境に存在するセキュリティ評価(すなわち評価は未だに有効であると示すTTLを有するセキュリティ評価)は、このようなESASに対応しているエンドポイントに、当該エンドポイント自身のローカルに利用可能な情報を発見する新しい方法を与えるセキュリティコンテキストを提供する役割を果たす。すなわち、このセキュリティコンテキストは、エンドポイントの潜在的セキュリティ事象の検出の質を著しく向上させるために、ESASに対応しているエンドポイントが、様々な異なった発信元から受信される複数のオブジェクトタイプに亘るセキュリティ評価からの証拠を組み合わせるかまたは相互に関連付けることを可能であるようにする。その後、ESASに対応しているエンドポイントは、ローカルでの活動または応答が各々のタイプのセキュリティ評価(他のセキュリティエンドポイントから受信したであろうがこのセキュリティエンドポイント自身によって内部的に生成されたであろうが)に関して適切であることに関する判定を、応答ポリシーのセットに従って行う。このセキュリティコンテキストは、セキュリティ評価の形式において、企業全体に亘る大量の生データ(このほとんどは、コンテキストの欠落の故に完全に無関係である)の共有の負担無しに企業全体情報の分散処理が可能であるため、事象検出は、効率的でありコスト効果がある。ESASに対応しているエンドポイントは、ローカルでの活動を促したセキュリティ評価の期限切れにおいて(すなわち、セキュリティ評価が、TTLフィールドにおいて特定された有効期限を越えた場合)ローカルでの活動をロールバックするようにさらに構成されている。
【0042】
最も一般的なESAS実装においては、ESAS中央サーバーと称される専用のセキュリティエンドポイントが使用される。このESAS中央サーバーは、セキュリティ評価チャンネルに接続されており、全てのセキュリティ評価を受け入れることと、そのセキュリティ評価を記録することと、かつ当該環境におけるセキュリティ事象に反応してセキュリティエンドポイントによって成されたローカルでの活動も記録することとによって集中型検査ポイントとして機能する。このESAS中央サーバーは、管理者に、企業全体及びESASに対応しているエンドポイントの各々の状態履歴及び現在状態の総合的な表示を提供する。セキュリティ評価の使用は、管理者が企業全体に亘って検出される事象に対する応答ポリシーを簡潔にかつ効果的に設定することを可能とする。このセキュリティ評価は、企業全体セキュリティ応答ポリシーを画定するために、固有のアンカー、すなわち開始点として機能する。従って、能率化され一貫性のある管理インターフェースは、企業全体に亘る各々のタイプのセキュリティ評価に関して望ましい応答を画定することが可能である。
【0043】
このESAS構成は、多くの利点を提供する。簡潔な語彙集を有するセキュリティ評価を使用することによって、企業内のデータ全体の複雑性は劇的に減少し、意味のある情報のみがセキュリティエンドポイント間で共有される。セキュリティ評価の使用は、中央記憶ロケーションにおける大量の生データの収集の必要も排除し、それによって高度に拡張可能な企業セキュリティ解決策を非常にコスト効果のある原理において構築することができる。さらに、新しいセキュリティエンドポイントは、要求に応じた拡張性で容易に配され得る。セキュリティ評価は、既存のセキュリティエンドポイント内の応答ポリシーを再設定する必要無く新しいエンドポイントと既存のセキュリティエンドポイントとの間で共有され得る。この新しいエンドポイントは、既存のセキュリティエンドポイントが既に認識している抽象概念を用いるセキュリティ評価の新しい情報源として単純に機能する。このセキュリティ評価の使用は、企業全体セキュリティポリシーを、全てのセキュリティエンドポイントが企業内で生成し得、その後、事象の各々に対する応答動作を記述し得る、起こり得るセキュリティ事象の全てを、認識する必要無く非常に簡潔かつ明快な方法論を用いて構築可能である。
【0044】
図6をみると、企業ネットワーク130内に配されている例示のESAS構成600が示されており、このESAS構成600において、セキュリティ評価チャンネル602が提供されて、セキュリティ評価が、セキュリティエンドポイントの各々において共通に使用されている言語/プロトコルを使用して複数のセキュリティエンドポイント間で共有されることが可能とされている。セキュリティ評価チャンネル602は、セキュリティ評価の発信源(発行元(publishers))とセキュリティ評価の需要者(受入先(subscribers))とを接続するためにセキュリティエンドポイントによって使用される発行/受入モデルを容易にする。示されているように、セキュリティ評価チャンネル上の発行元及び受入先の両方がセキュリティエンドポイント605である。
【0045】
セキュリティエンドポイント605は、及びセキュリティ評価チャンネル602との相互作用を単純化するように構成された抽象概念レイヤーを介した発行/受入モデルの、実際の転送および管理の構造から隔離されている。抽象レイヤーは、セキュリティエンドポイントが受け入れるセキュリティ評価タイプを記述するテーブル、及びセキュリティエンドポイントが発行するセキュリティ評価タイプを記述するテーブルを含む(以下に説明するように、全てのエンドポイントが、全てのセキュリティ評価タイプを通常受け入れる訳ではない)。さらに、この抽象レイヤーは、受信したセキュリティ評価を読み込むためのAPI(アプリケーションプログラミングインターフェース)、及びセキュリティ評価を生成するためのAPIを提供する。
【0046】
専用のセキュリティエンドポイント、ESAS中央サーバー616、はセキュリティ評価チャンネル602に接続され、ESAS構成600の集中型検査ポイントとして機能する。従って、ESAS中央サーバー616は、全てのセキュリティ評価を受け入れてこれらを常時記録する。ESAS中央サーバー616は、セキュリティエンドポイントによって実行されたローカルでの活動を示すセキュリティエンドポイントからのメッセージも受信して記録する。従って、ESAS中央サーバー616は、管理者に、企業全体及びESASに対応しているエンドポイントの各々の状態履歴及び現在状態の総合的な表示を与えるセキュリティ評価監視機能を提供する。
【0047】
図7は、第1の例示のシナリオの図を示しており、ここにおいて、複数のESASに対応しているエンドポイントがセキュリティ評価チャンネル602に接続されており、1つのエンドポイントにおいて検出された事象が複数の他のセキュリティエンドポイントの応答を引き起こしている。この例示のシナリオは、3つの段階で説明される。参照符号710によって示されているように、エッジファイアウォール6052は、最初に、例えば、企業ネットワーク130の周辺との非常に多くの接続を形成していてその状態がセキュリティ危機の存在と表現するのが最も適切であるとして、潜在的に危険にさらされているクライアントを認識する。次に、エッジファイアウォール6052は、参照符号720に示すように、特定のクライアントが「危険にさらされている」ことを高度な重要度及び高度な忠実度で示すセキュリティ評価を、セキュリティ評価チャンネル602を介して受入セキュリティエンドポイントに送信する。
【0048】
3番目に、セキュリティ評価を受信する受入セキュリティエンドポイント6051,2,3...N及びESAS中央サーバー616が、自身の収集ルール及びローカルで利用可能なデータを介して特定のセキュリティ専門知識を適用して、適切な動作を開始する。図7内の参照符号730によって集合的に示されているように、ホストセキュリティエンドポイント6051は、必要に応じたスキャンを実行する。NAPエンドポイント6053は、認識されている危険にさらされているクライアントに対するIPセキュリティ認証を取り消して、ポート遮断を実行する。ラインオブビジネス(line−of−business)セキュリティエンドポイント605Nは、受信したセキュリティ評価に基づいて、危険にさらされているクライアントへのインスタントメッセージング(IM)トラフィックを一時的に停止する。ESAS中央サーバー616は、セキュリティ解析者(例えば、管理者)に警告をもたらし、全てのセキュリティ評価及び起動された動作の全てを記録する。
【0049】
上述の第1の例示のシナリオは、疑わしい事象を検出するセキュリティエンドポイントが高い重要度及び高い忠実度(すなわち、セキュリティエンドポイントが有効に深刻な事象を検出したという高い信頼度を有する)でセキュリティ評価を生成する場合を提供した。それと比較して、図8は、第2の例示のシナリオの図であり、当該シナリオにおいては、低い忠実度のセキュリティ評価がセキュリティ評価チャンネル602を介して送信され、このことがクロスオブジェクトマッピングも行う受信セキュリティエンドポイントによる高い忠実度の評価の生成を開始させる。
【0050】
この第2の例示のシナリオも3つの段階で説明される。参照符号810によって示されているように、エッジファイアウォール6052は、最初に、企業ネットワーク130の周辺への多数のクライアント接続を検出する。しかし、図7に示されかつそこに付属の文章において説明されている第1の例示のシナリオと異なり、クライアントによって確立されている接続の数は、エッジファイアウォール6052が、クライアントが危険にさらされていると完全に確信できるほどに多くはない。既存の企業セキュリティシステムにおいて、セキュリティエンドポイントがこのようなデータを認識した場合、セキュリティシステムは、マシンの切断等の通常の厳しい応答を認可する十分な証拠が無いとして、このデータを単にドロップして何の動作も起こさない。それに比べて、本シナリオにおいては、参照符号820に示されているように、第2段階においてエッジファイアウォール6052が、セキュリティ評価チャンネル602を介して特定のクライアントが危険にさらされていることを中度の深刻度及び低い忠実度とともに示すセキュリティ評価815を送信する。
【0051】
ここで、エッジファイアウォール6052によって生成されたセキュリティ評価815内において参照された特定のオブジェクトを受け入れるセキュリティエンドポイントは、ホストセキュリティエンドポイント6051及びESAS中央サーバー616を含む。このような低い忠実度のデータは、通常は従来のセキュリティ製品においてはセキュリティエンドポイントにおいて行われる動作を開始させることはないが、本発明の企業セキュリティ評価共有によれば、ホストセキュリティエンドポイント6051は、エッジファイアウォール6052から受信したセキュリティ評価に応じて異なった態様で自身のローカルデータを調べる。この場合、ホストセキュリティエンドポイント6051における要求に応じたスキャンによってもたらされたローカルデータ、及びエッジファイアウォール6052からのセキュリティ評価内に含まれる情報は、新しい評価825及び828を生成するために使用される。従って、ホストセキュリティエンドポイント6051は、それ自身によって、新しいセキュリティ評価の生成を認可しないという情報を有するが、この場合のように、他のセキュリティエンドポイントからの低い忠実度のデータによってであっても補強されている場合、各々が高い忠実性を有する新しいセキュリティ評価825及び828の形成を正当化するのに十分な証拠がある。
【0052】
ホストセキュリティエンドポイント6051は、セキュリティ評価チャンネル602上に新しいセキュリティ評価825及び828を配する。新しいセキュリティ評価825及び828は、セキュリティ評価チャンネル602を介して、この例示のシナリオにおいて、エッジファイアウォール6052、セキュリティ評価825に関するESAS中央サーバー616、及びセキュリティ評価828に関するラインオブビジネスエンドポイント605Nを含む受入セキュリティエンドポイントによって受信される。
【0053】
参照オブジェクトタイプがマシンであり、電子メールの保護における役割の長所によってラインオブビジネスエンドポイント605Nが通常はユーザに関連する故に、ラインオブビジネスエンドポイント605Nは、エッジファイアウォール6052によって生成されたオリジナルのセキュリティ評価815の受入者でないことに注意する。しかし、この第2の例示のシナリオにおいて、ホストセキュリティエンドポイント6051が新しいセキュリティ評価828を形成する際に、ホストセキュリティエンドポイント6051はホストオブジェクトタイプからユーザオブジェクトタイプにマップ(変化)する。このようなクロスオブジェクトマッピング機能は、ホストコンピュータのデータ信頼性またはインテグリティを低下させるマルウェアまたは悪意のある活動等の高い重要度の事象がさらにユーザをも潜在的に危険にさらすと考えられる多くのシナリオにおいて利益があり得る。セキュリティ評価が生成され得、当該セキュリティ評価は、ある程度の忠実度で、高度な重要度の事象をホストオブジェクトタイプからユーザオブジェクトタイプにクロスマッピングする。同様に、マルウェアまたは悪意のある活動が実際にホストコンピュータにおけるデータインテグリティの損失をもたらした危機的な重大度の事象に対し、ユーザオブジェクトタイプに関するセキュリティ評価がさらに高い忠実度で生成され得る。
【0054】
第3段階において、参照符号830によって集合的に示されているように、新しいセキュリティ評価825及び828が、受信セキュリティエンドポイントにおける個別の様々な動作を開始させる。特に、エッジファイアウォール6052は、ソフトウェアアップデート及び/またはミッションクリティカル(mission−critical)なアクセスを除いて、危険にさらされているクライアントからの全てのアクセスをブロックする。ラインオブビジネスエンドポイント605Nは、外部に送信される電子メールを一時的に差し止める。そして、第1の例示のシナリオのように、ESAS中央サーバー616は、全ての評価及び活動を記録し続ける。上述したように、このような制限は、新しいセキュリティ評価825及び828に付随するTTLが有効である期間のみ適用される。この新しいセキュリティ評価の期限が過ぎた際には、各々のセキュリティエンドポイントによって行われた動作は、TTLが延長されるか、または制限動作を起動する新しいセキュリティ評価が受信されない限りロールバックされる。
【0055】
図9は、修正技術の的を絞った使用を示す第3の例示のシナリオの図である。この第3の例示のシナリオは、3つの段階で説明される。参照符号910によって示されている様に、エッジファイアウォール6052は、最初に周辺ネットワークへの大量のクライアント接続を検出する。次に、エッジファイアウォール6052は、特定のクライアントが「危険にさらされている」ことを高度の重要度及び高度の忠実度で示すセキュリティ評価を、参照符号920で示されているように、セキュリティチャンネル602を介して受入セキュリティエンドポイントに送信する。この受入セキュリティエンドポイントは、ホストセキュリティエンドポイント6051、NAPエンドポイント6053及びESAS中央サーバー616を含む。
【0056】
ホストセキュリティエンドポイント6051は、受信されたセキュリティ評価を再調査し、相互関係ルール及び関連するローカルで利用可能な任意のデータを使用してホストセキュリティエンドポイント6051の特定のセキュリティ専門知識を適用する。この説明例において、ホストセキュリティエンドポイント6051は、ラインオブビジネスセキュリティエンドポイント605Nが受け入れるユーザオブジェクトタイプを含む新しいセキュリティ評価925を確実に生成する。
【0057】
このシナリオの第3の段階において、セキュリティエンドポイントによって使用される修正技術は、企業ネットワーク130内のビジネス操作における潜在的な影響に関して高価であると考えられる。例えば、参照符号930によって示されているように、ラインオブビジネスセキュリティエンドポイント605Nは、外部に送信される電子メールの一時的な差し止めを伴う応答ポリシーを実装している。さらに、ホストセキュリティエンドポイント6051は、要求に応じたスキャンを実行し、結果が得られなかった場合、さらに詳細なスキャンを実行する。このような修正技術はアドレッシングマルウェア(addressing malware)、悪意のあるユーザ、及び他の問題において非常に効果的であり得る一方で、この修正技術は、通常は企業に大きな出費の影響を与える。例えば、差し止められた外部へ送信される電子メールのユーザは生産性が低下し、詳細なスキャンは、通常は1または複数回の再起動を必要とし、この再起動はそのマシンを一定期間サービスから隔離することになるだろう。
【0058】
このESAS構成は、的を絞った態様で適用されかついくつかのマシン及び/またはユーザに関して不当とされ得る一般的な方法または全体的な方法で単に適用される訳ではない、これらの高価であるが効果的な修正技術を有利に可能とする。この環境内の事前に画定された基準を用いて疑わしいとみなされたオブジェクトのみが、これらの特定の修正技術の対象となるだろう。
【0059】
図10は、例示の構成であり、当該構成において、ESASセキュリティ評価チャンネルは、企業ネットワーク130から、インターネット112等の保護されていないネットワークを介して、本発明のハードウェアインターフェースを使用してESASに対応しているエンドポイントまで拡張させられていてもよい。この例において、PC1051はダイレクトアクセス対応クライアントNIC405を使用し、携帯情報機器1053はダイレクトアクセス対応クライアントチップセット505を使用している。NIC405及びチップセット505の両方は、この例においてハードウェア内にESAS機能を実装する任意で使用されるESASコンポーネントを使用する。図10において、クライアントデバイス105がESAS機能とともに配されている様に示されているが、ネットワーク環境内の任意の様々なデバイスが任意の様々なデバイスには、サーバーと、ルータ、ゲートウェイ、スイッチ等の中間ネットワークデバイスとを含むESASとともに本発明のハードウェアインターフェースを含むように構成されてもよいことを強調しておく。
【0060】
図10に示されている様に、携帯情報機器1053において動作しているセキュリティソフトウェアは、フィッシングサイトとみられるウェブサイト等のセキュリティ事象を検出する。その後、セキュリティソフトウェアは、拡張されたESASセキュリティ評価チャンネル(参照符号1022で示されている)を介して、企業ネットワーク130内の受入セキュリティエンドポイント605に受信されるセキュリティ評価1012を発行する。携帯情報機器1053内のチップセット505は、決められたチャンネルを介してセキュリティ評価を送信及び受信するように構成されていてもよい。例えば、このチャンネルはリンクを含むかまたは決められたIPアドレスを使用してもよく、さらに特定のQoSで処理されて、インターネット112が混雑している場合でもセキュリティ評価の通信を保証する。
【0061】
図11に示されているように、拡張されたESASセキュリティ評価チャンネル1022は、企業ネットワーク130内のセキュリティエンドポイント605によって発行されたセキュリティ評価のデバイス105における受信をサポートしている。示されているように、エッジファイアウォール6052によって発行されたセキュリティ評価1112は、PC1051及び携帯情報機器1053によって受信される。このセキュリティ評価の受信は、図7−9に付随の文章において上述された態様と同様の態様でクライアントデバイス105によるローカルな応答を開始させてもよい。
【0062】
本発明が、構造的特徴及び/または方法的作用について特に説明されてきたが、添付の特許請求の範囲内に画定された本発明が、上述の特定の特徴または作用に必ずしも限定されないことが理解されるべきである。むしろ上述の特定の特徴及び作用は、特許請求の範囲に記載の発明を実施する例示の形態として開示されている。
【技術分野】
【0001】
本発明はダイレクトアクセス及びセキュリティ評価共有を可能とするためのハードウェアインターフェースに関する。
【背景技術】
【0002】
インターネットがかつてない急激な成長を続ける一方で、デジタル加入者線(DSL)及びケーブルモデム等の常時接続ブロードバンド技術の近年の普及は、常時アドレス可能な(addressable)携帯情報機器へのPDA(personal data assistant)及び携帯電話の差し迫っている統合を伴って、インターネットに接続されているシステムが通信に使用するアドレス空間の拡張の緊急性を著しく高めている。現在使用されているアドレス空間は、インターネットプロトコル、すなわちIP(TCP/IP(Transport Control Protocol/Internet Protocol)のネットワーク層)プロトコル群の一部として定義されている。今日一般に使用されているIPのバージョンは、バージョン4(IPv4)であり、これは1981年にRFC791(インターネット技術タスクフォース、すなわち「IETF」におけるRequest for Comments)が発行されてから実質的に変更されていない。その間、IPv4はロバスト(robust)で、容易に実装可能かつ相互運用可能であると証明され、相互接続ネットワーク(複数のネットワークのうちの1つのネットワーク)を今日のインターネットの世界的な使用のサイズまで拡大するテストに耐えてきた。これはIPv4の初期設計の賜物であるが、さらに大きなスケールへの拡大には、新しい基盤を構築する必要がある。
【0003】
IPv6は、全く異なる広く様々なネットワーク技術を介してシステム同士を結び付けるための機構を定義することによって多くの支持を得たIPv4プロトコルの様式を継承するだろう。既に定義されているIPv6の伝送のリンク層マッピングは、イーサネット、ポイントツーポイントプロトコル(PPP)、ファイバ分散データインターフェース(FDDI)、トークンリング、非同期転送モード(ATM)、フレームリレー、IEEE(電気電子技術者協会)1394、及びIPv4を含んでいる。アーキテクチャの視点でみると、IPv4ベースのインフラストラクチャーは、IPv6対応システムには単一のセグメントの非放送型多元接続(NBMA)ネットワークとしてみられる。IPv6トラフィックを現在あるIPv4ネットワークを介して送信する機能は、現在のインターネットと同様の広さの初期到達を可能とし、それを使用するためのエンドポイント能力及び迅速性によってのみ制限される。
【0004】
セキュリティ及びプライバシーに関する問題を解決するために、IPv6は、インターネットプロトコルセキュリティ(IPsec)として知られているIP層セキュリティを含んでいる。IPsecは、業界標準のセキュリティ技術であり、様々なアプリケーションによって使用されるプロトコル配列に亘ってデータ信頼性及びインテグリティ(整合性)並びにデータ機密性をもたらす。ネットワーク層における機能の提供は、全てのアプリケーションに特有のセキュリティ機能を与えなければならない必要から開発者を解放する。
【0005】
スコープ付きアドレス(ファイル及びプリンタ共有のデフォルトの範囲を制限するのに有効)、ステートレス自動設定(複雑さ及び管理義務を低下させる)及びIPセキュリティ強制(mandatory IP security)(接続のプライバシーとインテグリティとエンドツーエンドデータ認証とを許容する)等の新しい機能が迅速な導入を促進するために期待される。この新しい機能に加えて、IPv4の寿命を引き延ばすために現在使用されている技術(ネットワークアドレス変換(NATs)等)は、現存のアプリケーションをしばしば破壊し、新しいアプリケーションの展開の柔軟性を制限している。NATsは、今日、複数のシステムが単一の十分でないパブリックIPv4アドレスを共有することを可能とする故に一般的であるが、それによって、クライアントがパブリックアドレス空間内にあるサーバーのみを用いてプライベートアドレス空間を使用するクライアント/サーバー利用モデルを強要する傾向がある。IPv6は「通信のエンドツーエンド制御」の機能を復活させ、ネットワークが再度透過的になるに伴ってネットワークアプリケーションをさらに単純化する。
【0006】
IPv4からIPv6への変更は、産業界とって、2000年問題(year 2000)への準備よりも大仕事になると予想される。このことは、ほとんど全てのネットワークアプリケーション、エンドシステム、インフラストラクチャーシステム、及びネットワークアーキテクチャに影響を与えるだろう。この変更が、広範で時期尚早の技術の利用可能性によってもたらされるコストのかかる非生産的な失敗を防止する責任をもって行われることが重要である。2000年問題と異なり、IPv6への変更は、特定の期限をもたない。しかし、上述したように、IPv4アドレスの消費の速度は急激に増加している。開発の容易さは、迅速な導入の鍵となるだろう。
【0007】
IPv4からIPv6への移行は一晩では終わらないだろう。同一のインフラストラクチャーを介して両方のプロトコルが使用される移行期間があるだろう。この移行期間に対処するために、IPv6の設計者は、IPv6ノードが、IPv4のみのインフラストラクチャーから切り離されたとしても、混在環境において互いに通信可能であるように付与する技術及びアドレスタイプを創り出した。
【0008】
RFC2893は、異なった様々なノードタイプを定義している。IPv4のみの(IPv4−only)ノードは、IPv4のみを実装し(IPv4アドレスのみを有し)IPv6をサポートしていない。今日導入されているほとんどのホスト及びルータは、IPv4のみのノードである。
【0009】
IPv6のみの(IPv6−only)ノードは、IPv6のみを実装し(IPv6アドレスのみを有し)IPv4をサポートしていない。このノードは、IPv6ノード及びアプリケーションとのみ通信可能である。このタイプのノードは、現在は一般的ではないが、IPv6プロトコルを備える携帯電話及びハンドヘルドコンピューティングデバイス等の小型デバイスとして普及するだろう。
【0010】
IPv6/IPv4ノードは、IPv4及びIPv6の両方を実装している。
【0011】
IPv4ノードは、IPv4を実装している。IPv4ノードは、IPv4のみのノード、またはIPv6/IPv4ノードであり得る。
【0012】
IPv6ノードは、IPv6を実装している。IPv6ノードは、IPv6のみのノード、またはIPv6/IPv4ノードであり得る。
【0013】
共存状態の発生に関し、多くのノード(IPv4またはIpv6ノード)は、IPv4インフラストラクチャー、IPv6インフラストラクチャー、またはIPv4及びIPv6の組み合わせのインフラストラクチャーを使用して通信し得る。全てのIPv4ノードがIPv6のみのノードに変更されると、完全な移行が達成される。しかし、予測できる未来において、可能な限り多くのIPv4のみのノードがIPv6/IPv4ノードに変更されて、実質的な移行は達成される。IPv4のみのノードは、IPv4−to−IPv6プロキシ又は変換ゲートウェイを使用した場合にのみ、IPv6のみのノードと通信可能である。
【0014】
この様なゲートウェイはしばしば満足に機能するが、ネイティブIPv6を実装するものに比べて追加的な費用がしばしばかかる。IPv4−to−IPv6プロキシ又は変換ゲートウェイが、変換が行われる前に、暗号化されたトラフィックに関するIPsec接続を終端させる必要があるため、ゲートウェイとIPv4インフラストラクチャーとの間のリンクは、いくつかの場合にセキュリティ脆弱性をもたらし得る。さらに、ゲートウェイの使用は、通常は、ドメインネームシステム(DNS)に関する所与のドメインにおいて混同を起こす。なぜならば、IPv4インフラストラクチャーは、例えば、ゲートウェイがIPv6をサポートしているのにもかかわらず、DNSサーバーにドメイン内でIPv4サーバーとして登録されるからである。DNSインフラストラクチャーをアップグレードして混合IPv4/IPv6機能に対応させることは、ささいな仕事ではなく追加の費用を必要とする。
【0015】
この背景技術は、後述する発明の概要及び発明を実施するための形態に関する簡単な内容を紹介するために提供される。この背景技術は、本発明の範囲の決定を補助するものとして意図されておらず、本発明を、上述されたいくつかまたは全ての欠点もしくは問題を解決する実施例に限定するものとして見なされることも意図されていない。
【発明の概要】
【0016】
ネイティブIPv6の機能は、ダイレクトアクセスモデル(Direct Access model)におけるネットワーク通信をサポートするハードウェアインターフェースを用いて、IPv4ネットワークノード、デバイス、またはエンドポイント(まとめてエンドポイントと称される)に提供される。このダイレクトアクセスモデルは、IPsecを用いたIPv6通信をサポートし、ネットワーククライアントであるエンドポイントに対するネットワークアクセス保護(NAP)健全性要求ポリシー(health requirement policies)を適用する。ダイレクトアクセスに対応しているサーバーは、IPv4からIPv6への変換機能及び任意的にIPsec終端機能を実装しているハードウェアインターフェースを用いて使用可能にされる。ダイレクトアクセスに対応しているクライアントは、IPv4からIPv6への変換機能、IPsec終端機能を実装し、かつ任意的に携帯情報機器として構成されておりダイレクトアクセスに対応しているクライアントのためのNAP(ネットワークアクセス保護)を提供するハードウェアインターフェースを用いて使用可能にされる。このハードウェアインターフェースは、ネットワークインターフェースカード(NIC)としてまたはチップセットとして実装されてもよい。
【0017】
ダイレクトアクセスハードウェアインターフェースは、レガシーデバイス及び非ウィンドウズベースのデバイスを含むダイレクトアクセスに非対応なデバイスを、強化されたセキュリティを伴いかつインストールされているソフトウェアを変更又は移行することなく低コストで容易にネイティブIPv6機能を用いてアップグレード可能である。さらに、サーバーに関して、ダイレクトアクセスハードウェアインターフェースを使用することは、IPv4からIPv6へのゲートウェイを使用することによって通常起こるドメインにおけるDNS混同を排除する。
【0018】
1つの説明例において、ダイレクトアクセスハードウェアインターフェースは、IPv4エンドポイントに、企業セキュリティ評価共有(Enterprise Security Assessment Sharing)(ESAS)機能を提供するようにさらに構成されている。ここで、セキュリティ評価と称される抽象概念は、ESASに対応している異なったエンドポイントの間におけるセキュリティ関連情報の共有を可能とするために用いられる。特定のコンピューティング環境内に存在するこのセキュリティ評価は、ESASに対応しているエンドポイントに、そのエンドポイント自体のローカルにおいて利用可能な情報を調べる新しい方法を与えるセキュリティコンテキスト(context)を提供する機能を有する。このセキュリティコンテキストは、ESASに対応しているエンドポイントが、様々な異なったソースから、複数のオブジェクトタイプに亘って受信したセキュリティ評価からの証拠を組み合わせるかまたは相互に関連付けることを可能とし、当該エンドポイントの潜在的セキュリティ事象の検出の質の著しく向上させること、及び当該環境におけるセキュリティ事象の誤警告判定及び見逃し判定の程度を低減させることが可能である。さらに、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装することに加えて、ダイレクトアクセスハードウェアは、決められたチャンネルを介してセキュリティ評価を送信及び受信するように構成され得る。このチャンネルは、1つのリンクを含むかまたは決められたIPアドレスを使用し得、さらに特定のクオリティオブサービス(QoS)で処理されて、ネットワークが混雑している場合であってもセキュリティ評価の通信が保証され得る。従って、ダイレクトアクセスハードウェアは、企業ネットワーク外のユーザへESASの利点及び利益を拡張し、潜在的なセキュリティ脅威を検出可能なESASに対応しているエンドポイントの数を増加させることも可能である。
【0019】
この発明の概要は、発明を実施するための形態において以下でさらに説明される概念の1つを単純な形式で紹介するために提供されている。この発明の概要は、本発明の重要な特徴または本質的な特徴を特定することは意図されておらず、本発明の範囲を判定することに使用されることも意図されていない。
【0020】
図面において同一の番号は同一の要素を示している。図面内の要素は、特に示していない限り正確な寸法では示されていない。
【図面の簡単な説明】
【0021】
【図1】本発明のハードウェアインターフェースが動作する例示のネットワークコンピューティング環境を示す図である。
【図2】ゲートウェイがNAT−PT(ネットワークアドレス変換−プロトコル変換)及びIPsecトンネル機能を提供するネットワークコンピューティング環境内のノードの通常の実装の詳細を示す図である。
【図3】エンドポイントにおいて用いられ得るソフトウェアプロトコルスタック及びハードウェアインターフェースを示す図である。
【図4】ネットワークインターフェースカードとして実装され得る例示のハードウェアインターフェースの機能コンポーネントを示す図である。
【図5】チップセットとして実装され得る例示のハードウェアインターフェースの機能コンポーネントを示す図である。
【図6】企業ネットワーク内の企業セキュリティ評価共有(ESAS)構成を示す図である。
【図7】ESASに対応している複数のエンドポイントがセキュリティ評価チャンネルに結合されかつ1つのエンドポイントにおいて検出された事象が複数の他のエンドポイントにおけるレスポンスをトリガする第1の例示のシナリオを示す図である。
【図8】忠実度の低いセキュリティ評価がセキュリティ評価チャンネルを介して送信され、クロスオブジェクトマッピングも行うESAS対応受信エンドポイントよる忠実度の高い新しい評価の生成がトリガされる第2の例示のシナリオを示す図である。
【図9】修正技術の的を絞った使用を示す第3の例示のシナリオを示す図である。
【図10】ESASセキュリティ評価チャンネルが、本発明のハードウェアインターフェース使用して、インターネット等の安全でないネットワークを介して企業ネットワークからESASに対応している1または複数のエンドポイントに拡張され得る例示の構成を示す図である。
【図11】セキュリティ評価が、ESASに対応しているリモートエンドポイントによって本発明のハードウェアインターフェースを介して受信される例示の拡張ESASアーキテクチャを示す図である。
【発明を実施するための形態】
【0022】
図1は、本発明のハードウェアインターフェースが動作し得る、例示のネットワークコンピューティング環境100を示している。この例において、パーソナルコンピュータ(PC)1051、ラップトップコンピュータ1052、携帯情報機器1053、及び非ウィンドウズ(登録商標)オペレーションシステムベースのコンピュータ105N等のクライアントデバイス1051,2...Nがインターネット112等のネットワークを使用してウェブサーバー121等のアクセスリソース115にアクセスし、または企業ネットワーク130へのリモートアクセスを確立する。クライアントデバイス105のユーザは、ファイルサーバー137、電子メールサーバー142及びデータベースサーバー146等の企業ネットワーク130内のサーバーによって提供されるサービス、ファイル及びデータへのリモートアクセスを探索する。
【0023】
図2は、ネットワークコンピューティング環境におけるノードまたはドメイン200の通常の実装の詳細を示しており、当該ネットワークコンピューティング環境においてゲートウェイ206はNAT−PT(ネットワークアドレス変換−プロトコル変換)コンポーネント211及びIPsecトンネルエンドポイントコンポーネント215をサポートしている。このようなゲートウェイ206は、図1に示されているインターネットベースのリソース115または企業ネットワーク130をサポートするために使用され得るネイティブIPv4サーバーインフラストラクチャー223にダイレクトアクセス機能を提供するために通常使用される。上述のように、用語「ダイレクトアクセス」は、IPsecを使用するIPv6機能を画定し、いくつかの実装例においてIPsec−NAPを含む。
【0024】
NAT−PTコンポーネント211は、移行ツールとして機能し、ドメイン200のオペレータにIPv4ネットワークからIPv6ネットワークへの移行を可能とさせる。ゲートウェイ206内にNAT−PT機能を配することによって、IPv6のみのノード内のエンドポイントは、IPv4のみのノード内のサーバーインフラストラクチャー223と接続可能となる。NAT−PTコンポーネント211もアプリケーションレイヤーゲートウェイ(ALG)機能をサポートして、ドメイン200内に通常提供されるDNSインフラストラクチャー230内におけるドメイン名からアドレスへのマッピングを可能とする。特に、ALGは、DNSパケットがIPv4ネットワークとIPv6ネットワークとの間を移動する際に、IPv6アドレスをDNSクエリに変換しレスポンスをIPv4アドレスバインディング(address bindings)に変換し、その逆もまた同様に行う。この追加的な複雑性は、サーバーインフラストラクチャー223がネイティブIPv6サーバーとしてDNSインフラストラクチャー230に登録できないことによる。
【0025】
IPsecトンネルエンドポイントコンポーネント215は、ゲートウェイ206にIPsec接続を終端させることを可能とする。IPsecトンネルは、伝送中に、暗号化されたIPヘッダ及びペイロードを使用する。このようにして、当該トンネルはパケット全体の保護を提供する。IPパケット全体は、最初に認証ヘッダまたはカプセル化セキュリティペイロードヘッダを用いてカプセル化され、その後、追加のIPヘッダを用いてカプセル化される。この追加のIPヘッダは、トンネルエンドポイントの発信元及び宛先を含む。パケットがトンネルエンドポイントの第1の宛先に達した後、当該パケットはカプセル化を解かれ、IPアドレスを読み取ることによって最後の宛先に送信され得る。
【0026】
NAP機能は、所与のネットワークに接続しているコンピュータに必要なソフトウェア及びシステム構成を画定する健全性要求ポリシーの形成及び適用を可能とするクライアント及びサーバー両方のコンポーネントを使用して通常は実装される。NAPは、クライアントコンピュータの健全性を検査して評価することによって健全性要求を適用し、クライアントコンピュータが不適合であると見なされた場合、ネットワークアクセスを制限し、非制限ネットワークアクセスのために不適合コンピュータを修正する。NAPは、ネットワークへの接続を試行しているクライアントコンピュータに健全性要求を適用する。NAPは、適合クライアントコンピュータがネットワークに接続されている間も、健全性コンプライアンスを適用し続けることが可能である。
【0027】
いくつかの実装例において、サーバーインフラストラクチャー223は、この例においてAuthIPすなわち認証IP(参照符号237で特定されている)を用いたIPsecとして知られているIPsecの派生型として実装されているNAPサーバー側コンポーネントも使用する。この機能は、マイクロソフトウィンドウズオペレーティングシステムの最新リリースにおいてサポートされ、単純化されたIPsecポリシー構成及び多くの構成における単純化された保守、並びにIPsecピア認証に関する追加的な柔軟性を提供する。特に、AuthIPコンポーネント237を用いたIPsecは、サーバー223におけるNAP認証を確認するように構成されている。
【0028】
図3は、例示のソフトウェアプロトコルスタック305及びハードウェアインターフェース312を示しており、これらはダイレクトアクセス非対応のエンドポイントにおいて使用されてこのエンドポイントにダイレクトアクセス機能を付加し得る。1つのエンドポイントは、クライアントコンピュータ、携帯情報機器(携帯電話、スマートフォン、PDA、ポケットPC、ハンドヘルドゲームデバイス、メディアプレイヤー等)、サーバー、またはゲートウェイ、ルータ、スイッチ等の中間ネットワークデバイスを含んでもよい。この例において、ハードウェアインターフェース312は、代替的に、ネットワークインターフェースカード(NIC)としてまたはチップセットとして実装されていてもよい。NICとして実装される場合、通常は、ハードウェアインターフェースは、PCI、PCI−X又はPCIExpressバス等を用いる標準物理インターフェース315を介してエンドポイントとインターフェースをとる。チップセットとして実装される場合、ハードウェアインターフェースは、通常は、デバイスに特化しているインターフェース319かまたは専用のインターフェース319を使用してエンドポイントと物理的にインターフェースをとる。
【0029】
図3に示されているように、エンドポイントにおけるソフトウェアプロトコルスタック305は、TCP及びUDP(ユーザデータグラムプロトコル)等のプロトコルをサポートする転送レイヤー332と相互作用するアプリケーションレイヤー325を含む。IPv4インターネットレイヤー336は、ネットワークインターフェースレイヤー340を介したデータ転送を実装する。ハードウェアインターフェースドライバ345は、ハードウェアインターフェース312の必要な抽象化をプロトコルスタック305に提供する。
【0030】
図4は、NIC405として実装された際の例示のハードウェアインターフェースの機能コンポーネントを示している。このコンポーネントは、破線の長方形で示されるように、特定の実装の要件に応じて、様々な組み合わせで任意に使用され得る。例えば、いくつかの実装例において、オペレーティングシステムが既にIPv6をサポートしている場合、IPsecのみが必要とされる。また、他の場合においては、ダイレクトアクセスが必要とされないこともあり得、NIC405が使用されてESAS機能のみが提供される。例えば、このようなことは、NIC405が、スイッチまたはルータのようなデバイスにインストールされている場合に起こり得る。
【0031】
このコンポーネントは、変換コンポーネント412及びIPsecコンポーネント416を含む。変換コンポーネント412は、IPv4からIPv6への変換及びALG機能を提供し、DNSレジストリの変更を行う。IPsecコンポーネント416は、IPsec接続の終端を行い得る。この例においては、NAP適用を含むべくIPsecコンポーネント416が実装される(すなわちコンポーネント416はIPsec−NAPをサポートしている)。従って、ハードウェアNIC405は、ダイレクトアクセスに対応していないインターフェース(すなわち、参照符号425及び428で各々示されているようなIPv4及び非IPsecインターフェース)を提供して、ハードウェアNICが導入されているエンドポイントを変更することなくネイティブIPv6機能を付与して相互運用性を提供する。
【0032】
NIC405は、ESASコンポーネント423をさらに含み、ESASコンポーネント423は、NIC405が導入されているエンドポイントに企業セキュリティ評価共有機能を提供する。ESASコンポーネント423は、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装し得る。ESAS機能を有する導入されたNICを有するエンドポイントを使用する例示のESASのシナリオは、図10−11に示されかつ添付の文章に説明されている。
【0033】
図5は、チップセット505として実装された際の例示のハードウェアインターフェースの機能コンポーネントを示している。図4に示されているコンポーネントと同様に、図5内のコンポーネントは、様々な組み合わせで任意的に使用され得る。コンポーネントは、図4に示されかつそこに添付の文章で説明されている同等のものと同様の特徴及び機能を有して構成される変換コンポーネント512及びIPsecコンポーネント516を含む。チップセット505も、クライアント側NAPコンポーネント521を含む。クライアント側NAPコンポーネント521は、例えば、現時点ではNAP機能と共に提供されていない携帯情報機器等と共にクライアントデバイスアプリケーションにおいて使用され得る。NIC405と同様に、ハードウェアチップセット505は、ダイレクトアクセスに対応していないインターフェース(すなわち、参照符号525及び528で各々示されているIPv4及び非IPsecインターフェース)を提供して、ハードウェアチップセット505が導入されているエンドポイントを変更せずにネイティブIPv6機能を付与して相互運用性を提供する。
【0034】
NIC405及びチップセット505の両方は、IPv4及びIPv6の両方がサポートされる「デュアルスタック(dual stack)」構成を用いて二者択一的に実装されてもよいことに留意する。この実装例において、分離されているIPv4及びIPv6の一方が使用され得るか、さらに一般的には、スタックがいくつかの共通ノードを共有するだろう。デュアルスタック構成は、例えば、RFC4213に記載され、IPv4とIPv6との間の遷移機構を提供するためにしばしば使用され、必要ならば、システム内のエンドポイントは、IPv4のみを使用してアクセスされることが可能であり続ける。さらに、NIC405及びチップセット505は、必要に応じて特定の実装の要求を満足させるべく、ダイレクトアクセスクライアントまたはダイレクトアクセスサーバーのどちらかと相互運用する様に構成され得る。
【0035】
チップセット505は、チップセット505が導入されているエンドポイントに企業セキュリティ評価共有機能を提供する、ESASコンポーネント523をさらに含む。ESASコンポーネント523は、通常はソフトウェアによって提供されるいくつかまたは全てのESAS機能をハードウェア内に実装してもよい。ESAS機能を有する導入されたNICを有するエンドポイントを使用する例示のESASのシナリオは、図10−11に示されかつそこに添付の文章に説明されている。
【0036】
本発明のハードウェアインターフェースを使用してESAS構成が実装されている説明例がここで示された。マスストレージサブシステム、内部ネットワークインターフェース及び外部ネットワークインターフェース等の他のデバイスを伴っている企業コンピューティング環境、例えば、ビジネスオフィス、多数のパーソナルコンピュータ、ワークステーション、サーバー等は、通常は、相互接続されて、情報が、生成され、外部ソースからアクセスされかつ様々なユーザ間で共有される統合環境を提供する。一般的に、ユーザは、データの作成、アクセス及び共有が有効である、受注、製造、出荷、請求、在庫管理、文書作成及び文書管理、電子メール、ウェブブラウジング、並びに他の操作を含む様々な操作を行う。
【0037】
現在、通常は、セキュリティは、標準的には企業全体のデータの一部のみを監視する様に各々が構成されている様々な異なったセキュリティ製品を使用して企業に提供されている。すなわち、セキュリティ製品は、製品の各々が企業内のデータの異なった部分に対して、監視をし、評価をし、行動を起こす分離されたローカルの「アイランド」として構成される。例えば、ホストセキュリティ製品、エッジファイアウォール製品、NIDS製品、NAP製品、及び他の別個のセキュリティ製品は、一般的に、企業の様々な異なった部分のセキュリティを提供する。
【0038】
これらのセキュリティ製品は、しばしば、多くのアプリケーションにおいて満足に動作するが、セキュリティ事象の検出は、一部の企業セキュリティデータのみの監視の結果として、望ましくない高い頻度の誤警告及び見逃し判定の発生の影響を受ける。全ての企業セキュリティ製品アイランドに亘って効果的で共通な管理を提供することも難しかった。企業全体のセキュリティデータを相互に関連付ける現在の試みは、高い管理コスト及び保守コストを有し、規模の拡大において問題を有している。従って、ESASは、単一の企業全体視野を提供して、セキュリティ事象に対する自動応答に関して明快、単純かつ統一された企業全体ポリシーをセキュリティ管理者が画定及び適用できるようにする。
【0039】
上述したように、ESASは、セキュリティ評価と称される抽象概念に依存しており、セキュリティ評価は、企業セキュリティ環境において、セキュリティエンドポイントと称される異なったセキュリティ製品間のセキュリティ関連情報の共有を可能とする。セキュリティ評価は、コンピュータ、ユーザ、サービス(例えばウェブサイト)、データまたは企業全体等の環境において関心のあるオブジェクトに関して収集される情報(すなわち、コンテキスト内のデータ)に関する上位のコンテキスト上の意味(contextual meaning)のセキュリティエンドポイントによって一時的な割り当てとして定義される。このセキュリティ評価は、セキュリティエンドポイントに関する簡潔な語彙集を使用して、環境内にあるオブジェクトが、「危険である」または「攻撃されている」等の特定の評価カテゴリに含まれることになったことを検出された事象の重大度(例えば、低度、中度、高度、危機的)と共に宣言する。
【0040】
セキュリティ評価は、いくらかの不確実性を前提にしておりかつ限定された期間に対して有効であるため、セキュリティ評価は暫時的である。セキュリティ評価のこの暫時的な性質は、その構成要素のうちの2つにおいて反映される:すなわち、コンテキスト上の意味の割り当てにおいてセキュリティエンドポイントが有している信頼度を表明する忠実度フィールド、及びセキュリティエンドポイントのセキュリティ評価が有効である期間の予測を反映する有効期限(TTL)フィールドである。従って、例えば、セキュリティ評価は、セキュリティエンドポイントによって使用されて、セキュリティエンドポイントの1または複数のセキュリティ事象の現在の認識を考慮して、特定のマシンが危険であることを、危機的の重大度、中度の忠実度、30分のTTLで宣言する。様々なタイプのセキュリティ評価は、例えば、評価カテゴリ及びオブジェクトタイプの様々な組み合わせを有する任意の所与の企業セキュリティ環境において使用され得る。
【0041】
セキュリティエンドポイントは、この環境において機能するセキュリティ評価チャンネルにセキュリティ評価を公開する機能を付与され、他のセキュリティエンドポイントから公開されている利用可能なセキュリティ評価のサブセットを受け入れる。アクティブな環境に存在するセキュリティ評価(すなわち評価は未だに有効であると示すTTLを有するセキュリティ評価)は、このようなESASに対応しているエンドポイントに、当該エンドポイント自身のローカルに利用可能な情報を発見する新しい方法を与えるセキュリティコンテキストを提供する役割を果たす。すなわち、このセキュリティコンテキストは、エンドポイントの潜在的セキュリティ事象の検出の質を著しく向上させるために、ESASに対応しているエンドポイントが、様々な異なった発信元から受信される複数のオブジェクトタイプに亘るセキュリティ評価からの証拠を組み合わせるかまたは相互に関連付けることを可能であるようにする。その後、ESASに対応しているエンドポイントは、ローカルでの活動または応答が各々のタイプのセキュリティ評価(他のセキュリティエンドポイントから受信したであろうがこのセキュリティエンドポイント自身によって内部的に生成されたであろうが)に関して適切であることに関する判定を、応答ポリシーのセットに従って行う。このセキュリティコンテキストは、セキュリティ評価の形式において、企業全体に亘る大量の生データ(このほとんどは、コンテキストの欠落の故に完全に無関係である)の共有の負担無しに企業全体情報の分散処理が可能であるため、事象検出は、効率的でありコスト効果がある。ESASに対応しているエンドポイントは、ローカルでの活動を促したセキュリティ評価の期限切れにおいて(すなわち、セキュリティ評価が、TTLフィールドにおいて特定された有効期限を越えた場合)ローカルでの活動をロールバックするようにさらに構成されている。
【0042】
最も一般的なESAS実装においては、ESAS中央サーバーと称される専用のセキュリティエンドポイントが使用される。このESAS中央サーバーは、セキュリティ評価チャンネルに接続されており、全てのセキュリティ評価を受け入れることと、そのセキュリティ評価を記録することと、かつ当該環境におけるセキュリティ事象に反応してセキュリティエンドポイントによって成されたローカルでの活動も記録することとによって集中型検査ポイントとして機能する。このESAS中央サーバーは、管理者に、企業全体及びESASに対応しているエンドポイントの各々の状態履歴及び現在状態の総合的な表示を提供する。セキュリティ評価の使用は、管理者が企業全体に亘って検出される事象に対する応答ポリシーを簡潔にかつ効果的に設定することを可能とする。このセキュリティ評価は、企業全体セキュリティ応答ポリシーを画定するために、固有のアンカー、すなわち開始点として機能する。従って、能率化され一貫性のある管理インターフェースは、企業全体に亘る各々のタイプのセキュリティ評価に関して望ましい応答を画定することが可能である。
【0043】
このESAS構成は、多くの利点を提供する。簡潔な語彙集を有するセキュリティ評価を使用することによって、企業内のデータ全体の複雑性は劇的に減少し、意味のある情報のみがセキュリティエンドポイント間で共有される。セキュリティ評価の使用は、中央記憶ロケーションにおける大量の生データの収集の必要も排除し、それによって高度に拡張可能な企業セキュリティ解決策を非常にコスト効果のある原理において構築することができる。さらに、新しいセキュリティエンドポイントは、要求に応じた拡張性で容易に配され得る。セキュリティ評価は、既存のセキュリティエンドポイント内の応答ポリシーを再設定する必要無く新しいエンドポイントと既存のセキュリティエンドポイントとの間で共有され得る。この新しいエンドポイントは、既存のセキュリティエンドポイントが既に認識している抽象概念を用いるセキュリティ評価の新しい情報源として単純に機能する。このセキュリティ評価の使用は、企業全体セキュリティポリシーを、全てのセキュリティエンドポイントが企業内で生成し得、その後、事象の各々に対する応答動作を記述し得る、起こり得るセキュリティ事象の全てを、認識する必要無く非常に簡潔かつ明快な方法論を用いて構築可能である。
【0044】
図6をみると、企業ネットワーク130内に配されている例示のESAS構成600が示されており、このESAS構成600において、セキュリティ評価チャンネル602が提供されて、セキュリティ評価が、セキュリティエンドポイントの各々において共通に使用されている言語/プロトコルを使用して複数のセキュリティエンドポイント間で共有されることが可能とされている。セキュリティ評価チャンネル602は、セキュリティ評価の発信源(発行元(publishers))とセキュリティ評価の需要者(受入先(subscribers))とを接続するためにセキュリティエンドポイントによって使用される発行/受入モデルを容易にする。示されているように、セキュリティ評価チャンネル上の発行元及び受入先の両方がセキュリティエンドポイント605である。
【0045】
セキュリティエンドポイント605は、及びセキュリティ評価チャンネル602との相互作用を単純化するように構成された抽象概念レイヤーを介した発行/受入モデルの、実際の転送および管理の構造から隔離されている。抽象レイヤーは、セキュリティエンドポイントが受け入れるセキュリティ評価タイプを記述するテーブル、及びセキュリティエンドポイントが発行するセキュリティ評価タイプを記述するテーブルを含む(以下に説明するように、全てのエンドポイントが、全てのセキュリティ評価タイプを通常受け入れる訳ではない)。さらに、この抽象レイヤーは、受信したセキュリティ評価を読み込むためのAPI(アプリケーションプログラミングインターフェース)、及びセキュリティ評価を生成するためのAPIを提供する。
【0046】
専用のセキュリティエンドポイント、ESAS中央サーバー616、はセキュリティ評価チャンネル602に接続され、ESAS構成600の集中型検査ポイントとして機能する。従って、ESAS中央サーバー616は、全てのセキュリティ評価を受け入れてこれらを常時記録する。ESAS中央サーバー616は、セキュリティエンドポイントによって実行されたローカルでの活動を示すセキュリティエンドポイントからのメッセージも受信して記録する。従って、ESAS中央サーバー616は、管理者に、企業全体及びESASに対応しているエンドポイントの各々の状態履歴及び現在状態の総合的な表示を与えるセキュリティ評価監視機能を提供する。
【0047】
図7は、第1の例示のシナリオの図を示しており、ここにおいて、複数のESASに対応しているエンドポイントがセキュリティ評価チャンネル602に接続されており、1つのエンドポイントにおいて検出された事象が複数の他のセキュリティエンドポイントの応答を引き起こしている。この例示のシナリオは、3つの段階で説明される。参照符号710によって示されているように、エッジファイアウォール6052は、最初に、例えば、企業ネットワーク130の周辺との非常に多くの接続を形成していてその状態がセキュリティ危機の存在と表現するのが最も適切であるとして、潜在的に危険にさらされているクライアントを認識する。次に、エッジファイアウォール6052は、参照符号720に示すように、特定のクライアントが「危険にさらされている」ことを高度な重要度及び高度な忠実度で示すセキュリティ評価を、セキュリティ評価チャンネル602を介して受入セキュリティエンドポイントに送信する。
【0048】
3番目に、セキュリティ評価を受信する受入セキュリティエンドポイント6051,2,3...N及びESAS中央サーバー616が、自身の収集ルール及びローカルで利用可能なデータを介して特定のセキュリティ専門知識を適用して、適切な動作を開始する。図7内の参照符号730によって集合的に示されているように、ホストセキュリティエンドポイント6051は、必要に応じたスキャンを実行する。NAPエンドポイント6053は、認識されている危険にさらされているクライアントに対するIPセキュリティ認証を取り消して、ポート遮断を実行する。ラインオブビジネス(line−of−business)セキュリティエンドポイント605Nは、受信したセキュリティ評価に基づいて、危険にさらされているクライアントへのインスタントメッセージング(IM)トラフィックを一時的に停止する。ESAS中央サーバー616は、セキュリティ解析者(例えば、管理者)に警告をもたらし、全てのセキュリティ評価及び起動された動作の全てを記録する。
【0049】
上述の第1の例示のシナリオは、疑わしい事象を検出するセキュリティエンドポイントが高い重要度及び高い忠実度(すなわち、セキュリティエンドポイントが有効に深刻な事象を検出したという高い信頼度を有する)でセキュリティ評価を生成する場合を提供した。それと比較して、図8は、第2の例示のシナリオの図であり、当該シナリオにおいては、低い忠実度のセキュリティ評価がセキュリティ評価チャンネル602を介して送信され、このことがクロスオブジェクトマッピングも行う受信セキュリティエンドポイントによる高い忠実度の評価の生成を開始させる。
【0050】
この第2の例示のシナリオも3つの段階で説明される。参照符号810によって示されているように、エッジファイアウォール6052は、最初に、企業ネットワーク130の周辺への多数のクライアント接続を検出する。しかし、図7に示されかつそこに付属の文章において説明されている第1の例示のシナリオと異なり、クライアントによって確立されている接続の数は、エッジファイアウォール6052が、クライアントが危険にさらされていると完全に確信できるほどに多くはない。既存の企業セキュリティシステムにおいて、セキュリティエンドポイントがこのようなデータを認識した場合、セキュリティシステムは、マシンの切断等の通常の厳しい応答を認可する十分な証拠が無いとして、このデータを単にドロップして何の動作も起こさない。それに比べて、本シナリオにおいては、参照符号820に示されているように、第2段階においてエッジファイアウォール6052が、セキュリティ評価チャンネル602を介して特定のクライアントが危険にさらされていることを中度の深刻度及び低い忠実度とともに示すセキュリティ評価815を送信する。
【0051】
ここで、エッジファイアウォール6052によって生成されたセキュリティ評価815内において参照された特定のオブジェクトを受け入れるセキュリティエンドポイントは、ホストセキュリティエンドポイント6051及びESAS中央サーバー616を含む。このような低い忠実度のデータは、通常は従来のセキュリティ製品においてはセキュリティエンドポイントにおいて行われる動作を開始させることはないが、本発明の企業セキュリティ評価共有によれば、ホストセキュリティエンドポイント6051は、エッジファイアウォール6052から受信したセキュリティ評価に応じて異なった態様で自身のローカルデータを調べる。この場合、ホストセキュリティエンドポイント6051における要求に応じたスキャンによってもたらされたローカルデータ、及びエッジファイアウォール6052からのセキュリティ評価内に含まれる情報は、新しい評価825及び828を生成するために使用される。従って、ホストセキュリティエンドポイント6051は、それ自身によって、新しいセキュリティ評価の生成を認可しないという情報を有するが、この場合のように、他のセキュリティエンドポイントからの低い忠実度のデータによってであっても補強されている場合、各々が高い忠実性を有する新しいセキュリティ評価825及び828の形成を正当化するのに十分な証拠がある。
【0052】
ホストセキュリティエンドポイント6051は、セキュリティ評価チャンネル602上に新しいセキュリティ評価825及び828を配する。新しいセキュリティ評価825及び828は、セキュリティ評価チャンネル602を介して、この例示のシナリオにおいて、エッジファイアウォール6052、セキュリティ評価825に関するESAS中央サーバー616、及びセキュリティ評価828に関するラインオブビジネスエンドポイント605Nを含む受入セキュリティエンドポイントによって受信される。
【0053】
参照オブジェクトタイプがマシンであり、電子メールの保護における役割の長所によってラインオブビジネスエンドポイント605Nが通常はユーザに関連する故に、ラインオブビジネスエンドポイント605Nは、エッジファイアウォール6052によって生成されたオリジナルのセキュリティ評価815の受入者でないことに注意する。しかし、この第2の例示のシナリオにおいて、ホストセキュリティエンドポイント6051が新しいセキュリティ評価828を形成する際に、ホストセキュリティエンドポイント6051はホストオブジェクトタイプからユーザオブジェクトタイプにマップ(変化)する。このようなクロスオブジェクトマッピング機能は、ホストコンピュータのデータ信頼性またはインテグリティを低下させるマルウェアまたは悪意のある活動等の高い重要度の事象がさらにユーザをも潜在的に危険にさらすと考えられる多くのシナリオにおいて利益があり得る。セキュリティ評価が生成され得、当該セキュリティ評価は、ある程度の忠実度で、高度な重要度の事象をホストオブジェクトタイプからユーザオブジェクトタイプにクロスマッピングする。同様に、マルウェアまたは悪意のある活動が実際にホストコンピュータにおけるデータインテグリティの損失をもたらした危機的な重大度の事象に対し、ユーザオブジェクトタイプに関するセキュリティ評価がさらに高い忠実度で生成され得る。
【0054】
第3段階において、参照符号830によって集合的に示されているように、新しいセキュリティ評価825及び828が、受信セキュリティエンドポイントにおける個別の様々な動作を開始させる。特に、エッジファイアウォール6052は、ソフトウェアアップデート及び/またはミッションクリティカル(mission−critical)なアクセスを除いて、危険にさらされているクライアントからの全てのアクセスをブロックする。ラインオブビジネスエンドポイント605Nは、外部に送信される電子メールを一時的に差し止める。そして、第1の例示のシナリオのように、ESAS中央サーバー616は、全ての評価及び活動を記録し続ける。上述したように、このような制限は、新しいセキュリティ評価825及び828に付随するTTLが有効である期間のみ適用される。この新しいセキュリティ評価の期限が過ぎた際には、各々のセキュリティエンドポイントによって行われた動作は、TTLが延長されるか、または制限動作を起動する新しいセキュリティ評価が受信されない限りロールバックされる。
【0055】
図9は、修正技術の的を絞った使用を示す第3の例示のシナリオの図である。この第3の例示のシナリオは、3つの段階で説明される。参照符号910によって示されている様に、エッジファイアウォール6052は、最初に周辺ネットワークへの大量のクライアント接続を検出する。次に、エッジファイアウォール6052は、特定のクライアントが「危険にさらされている」ことを高度の重要度及び高度の忠実度で示すセキュリティ評価を、参照符号920で示されているように、セキュリティチャンネル602を介して受入セキュリティエンドポイントに送信する。この受入セキュリティエンドポイントは、ホストセキュリティエンドポイント6051、NAPエンドポイント6053及びESAS中央サーバー616を含む。
【0056】
ホストセキュリティエンドポイント6051は、受信されたセキュリティ評価を再調査し、相互関係ルール及び関連するローカルで利用可能な任意のデータを使用してホストセキュリティエンドポイント6051の特定のセキュリティ専門知識を適用する。この説明例において、ホストセキュリティエンドポイント6051は、ラインオブビジネスセキュリティエンドポイント605Nが受け入れるユーザオブジェクトタイプを含む新しいセキュリティ評価925を確実に生成する。
【0057】
このシナリオの第3の段階において、セキュリティエンドポイントによって使用される修正技術は、企業ネットワーク130内のビジネス操作における潜在的な影響に関して高価であると考えられる。例えば、参照符号930によって示されているように、ラインオブビジネスセキュリティエンドポイント605Nは、外部に送信される電子メールの一時的な差し止めを伴う応答ポリシーを実装している。さらに、ホストセキュリティエンドポイント6051は、要求に応じたスキャンを実行し、結果が得られなかった場合、さらに詳細なスキャンを実行する。このような修正技術はアドレッシングマルウェア(addressing malware)、悪意のあるユーザ、及び他の問題において非常に効果的であり得る一方で、この修正技術は、通常は企業に大きな出費の影響を与える。例えば、差し止められた外部へ送信される電子メールのユーザは生産性が低下し、詳細なスキャンは、通常は1または複数回の再起動を必要とし、この再起動はそのマシンを一定期間サービスから隔離することになるだろう。
【0058】
このESAS構成は、的を絞った態様で適用されかついくつかのマシン及び/またはユーザに関して不当とされ得る一般的な方法または全体的な方法で単に適用される訳ではない、これらの高価であるが効果的な修正技術を有利に可能とする。この環境内の事前に画定された基準を用いて疑わしいとみなされたオブジェクトのみが、これらの特定の修正技術の対象となるだろう。
【0059】
図10は、例示の構成であり、当該構成において、ESASセキュリティ評価チャンネルは、企業ネットワーク130から、インターネット112等の保護されていないネットワークを介して、本発明のハードウェアインターフェースを使用してESASに対応しているエンドポイントまで拡張させられていてもよい。この例において、PC1051はダイレクトアクセス対応クライアントNIC405を使用し、携帯情報機器1053はダイレクトアクセス対応クライアントチップセット505を使用している。NIC405及びチップセット505の両方は、この例においてハードウェア内にESAS機能を実装する任意で使用されるESASコンポーネントを使用する。図10において、クライアントデバイス105がESAS機能とともに配されている様に示されているが、ネットワーク環境内の任意の様々なデバイスが任意の様々なデバイスには、サーバーと、ルータ、ゲートウェイ、スイッチ等の中間ネットワークデバイスとを含むESASとともに本発明のハードウェアインターフェースを含むように構成されてもよいことを強調しておく。
【0060】
図10に示されている様に、携帯情報機器1053において動作しているセキュリティソフトウェアは、フィッシングサイトとみられるウェブサイト等のセキュリティ事象を検出する。その後、セキュリティソフトウェアは、拡張されたESASセキュリティ評価チャンネル(参照符号1022で示されている)を介して、企業ネットワーク130内の受入セキュリティエンドポイント605に受信されるセキュリティ評価1012を発行する。携帯情報機器1053内のチップセット505は、決められたチャンネルを介してセキュリティ評価を送信及び受信するように構成されていてもよい。例えば、このチャンネルはリンクを含むかまたは決められたIPアドレスを使用してもよく、さらに特定のQoSで処理されて、インターネット112が混雑している場合でもセキュリティ評価の通信を保証する。
【0061】
図11に示されているように、拡張されたESASセキュリティ評価チャンネル1022は、企業ネットワーク130内のセキュリティエンドポイント605によって発行されたセキュリティ評価のデバイス105における受信をサポートしている。示されているように、エッジファイアウォール6052によって発行されたセキュリティ評価1112は、PC1051及び携帯情報機器1053によって受信される。このセキュリティ評価の受信は、図7−9に付随の文章において上述された態様と同様の態様でクライアントデバイス105によるローカルな応答を開始させてもよい。
【0062】
本発明が、構造的特徴及び/または方法的作用について特に説明されてきたが、添付の特許請求の範囲内に画定された本発明が、上述の特定の特徴または作用に必ずしも限定されないことが理解されるべきである。むしろ上述の特定の特徴及び作用は、特許請求の範囲に記載の発明を実施する例示の形態として開示されている。
【特許請求の範囲】
【請求項1】
企業ネットワーク内のホストエンドポイント内に設けられた場合にダイレクトアクセスを可能とするネットワークインターフェースカード(405)であって、
前記ネットワークインターフェースカードに到達するデータトラフィックをIPv4からIPv6に変換を行うIPv4からIPv6への変換コンポーネント(412)と、
IPsec接続を終端させるIPsecコンポーネント(416)と、
ネットワークエンドポイント間でセキュリティ評価を共有するためにハードウェア内にセキュリティ評価発行及び受入モデルを実装する企業セキュリティ評価共有コンポーネント(423)であって、前記セキュリティ評価が企業ネットワーク環境内で発生するセキュリティ事象にコンテキスト上の意味を提供する、前記企業セキュリティ評価共有コンポーネント(423)と
を含むことを特徴とするネットワークインターフェースカード(405)。
【請求項2】
標準物理インターフェースをさらに含むことを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項3】
前記ネットワークインターフェースカードが設けられているクライアントデバイスにNAP機能を提供するクライアント側NAPコンポーネントをさらに含むことを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項4】
前記IPv4からIPv6への変換コンポーネントがALG機能をさらに有しDNSレジストリの変更を実行することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項5】
前記企業セキュリティ評価共有コンポーネントが、前記セキュリティ評価が有効である期間をさらに画定することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項6】
前記企業セキュリティ評価共有コンポーネントが、さらに、前記ネットワークエンドポイントによって検出されたセキュリティ事象に関するセキュリティ評価を受信することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項7】
前記企業セキュリティ評価共有コンポーネントが、さらに、受信したセキュリティ評価に対するローカルでの応答を起動することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項8】
前記企業セキュリティ評価共有コンポーネントが、さらに、受信したセキュリティ評価がもはや有効ではない場合に、ローカルでの応答をロールバックすることを特徴とする請求項7に記載のネットワークインターフェースカード。
【請求項9】
ホストデバイス(105)内に設けられた場合にダイレクトアクセスを可能とするチップセット(505)であって、
前記ホストデバイス(105)に到達するデータトラフィックにIPv4からIPv6への変換を提供するIPv4からIPv6への変換コンポーネント(512)と、
ハードウェア内に企業セキュリティ評価共有システムを実装する企業セキュリティ評価共有コンポーネント(523)であって、 前記システムはセキュリティ関連情報共有モデルを実装し、前記セキュリティ関連情報共有モデルによって企業セキュリティ環境内の複数のエンドポイント間でセキュリティ関連情報が共有可能であり、前記モデルは、エンドポイントが利用可能であるセキュリティ関連情報の抽象概念を使用して前記環境内のオブジェクトを記述するステップと、発行エンドポイントが前記抽象概念を発行し、受入エンドポイントが前記抽象概念タイプに基づいた受け入れに従って前記抽象概念を受け入れる発行及び受入モデルを使用するステップと、を含む方法の使用を容易にし、前記抽象概念はi)タイプによってカテゴリ分けされ、ii)前記エンドポイントによって共通に使用可能である、前記企業セキュリティ評価共有コンポーネント(523)と
を含むことを特徴とするチップセット(505)。
【請求項10】
前記抽象概念が、オブジェクトタイプ及び評価カテゴリを含む体系化された語彙集を用いる所定の分類法を用いて、エンドポイントによるコンテキストの割り当てを前記セキュリティ関連情報に提供するセキュリティ評価であることを特徴とする請求項9に記載のチップセット。
【請求項11】
IPsec接続を終端させるIPsecコンポーネントをさらに含むことを特徴とする請求項9に記載のチップセット。
【請求項12】
前記IPsecコンポーネントがIPsec−NAPコンポーネントであることを特徴とする請求項11に記載のチップセット。
【請求項13】
前記IPsecコンポーネントがIPsecトンネリングを実行することを特徴とする請求項11に記載のチップセット。
【請求項14】
前記IPsecコンポーネントがIPsecトンネリングエンドポイントを実装することを特徴とする請求項11に記載のチップセット。
【請求項15】
デバイス専用物理インターフェースをさらに含むことを特徴とする請求項9に記載のチップセット。
【請求項1】
企業ネットワーク内のホストエンドポイント内に設けられた場合にダイレクトアクセスを可能とするネットワークインターフェースカード(405)であって、
前記ネットワークインターフェースカードに到達するデータトラフィックをIPv4からIPv6に変換を行うIPv4からIPv6への変換コンポーネント(412)と、
IPsec接続を終端させるIPsecコンポーネント(416)と、
ネットワークエンドポイント間でセキュリティ評価を共有するためにハードウェア内にセキュリティ評価発行及び受入モデルを実装する企業セキュリティ評価共有コンポーネント(423)であって、前記セキュリティ評価が企業ネットワーク環境内で発生するセキュリティ事象にコンテキスト上の意味を提供する、前記企業セキュリティ評価共有コンポーネント(423)と
を含むことを特徴とするネットワークインターフェースカード(405)。
【請求項2】
標準物理インターフェースをさらに含むことを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項3】
前記ネットワークインターフェースカードが設けられているクライアントデバイスにNAP機能を提供するクライアント側NAPコンポーネントをさらに含むことを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項4】
前記IPv4からIPv6への変換コンポーネントがALG機能をさらに有しDNSレジストリの変更を実行することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項5】
前記企業セキュリティ評価共有コンポーネントが、前記セキュリティ評価が有効である期間をさらに画定することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項6】
前記企業セキュリティ評価共有コンポーネントが、さらに、前記ネットワークエンドポイントによって検出されたセキュリティ事象に関するセキュリティ評価を受信することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項7】
前記企業セキュリティ評価共有コンポーネントが、さらに、受信したセキュリティ評価に対するローカルでの応答を起動することを特徴とする請求項1に記載のネットワークインターフェースカード。
【請求項8】
前記企業セキュリティ評価共有コンポーネントが、さらに、受信したセキュリティ評価がもはや有効ではない場合に、ローカルでの応答をロールバックすることを特徴とする請求項7に記載のネットワークインターフェースカード。
【請求項9】
ホストデバイス(105)内に設けられた場合にダイレクトアクセスを可能とするチップセット(505)であって、
前記ホストデバイス(105)に到達するデータトラフィックにIPv4からIPv6への変換を提供するIPv4からIPv6への変換コンポーネント(512)と、
ハードウェア内に企業セキュリティ評価共有システムを実装する企業セキュリティ評価共有コンポーネント(523)であって、 前記システムはセキュリティ関連情報共有モデルを実装し、前記セキュリティ関連情報共有モデルによって企業セキュリティ環境内の複数のエンドポイント間でセキュリティ関連情報が共有可能であり、前記モデルは、エンドポイントが利用可能であるセキュリティ関連情報の抽象概念を使用して前記環境内のオブジェクトを記述するステップと、発行エンドポイントが前記抽象概念を発行し、受入エンドポイントが前記抽象概念タイプに基づいた受け入れに従って前記抽象概念を受け入れる発行及び受入モデルを使用するステップと、を含む方法の使用を容易にし、前記抽象概念はi)タイプによってカテゴリ分けされ、ii)前記エンドポイントによって共通に使用可能である、前記企業セキュリティ評価共有コンポーネント(523)と
を含むことを特徴とするチップセット(505)。
【請求項10】
前記抽象概念が、オブジェクトタイプ及び評価カテゴリを含む体系化された語彙集を用いる所定の分類法を用いて、エンドポイントによるコンテキストの割り当てを前記セキュリティ関連情報に提供するセキュリティ評価であることを特徴とする請求項9に記載のチップセット。
【請求項11】
IPsec接続を終端させるIPsecコンポーネントをさらに含むことを特徴とする請求項9に記載のチップセット。
【請求項12】
前記IPsecコンポーネントがIPsec−NAPコンポーネントであることを特徴とする請求項11に記載のチップセット。
【請求項13】
前記IPsecコンポーネントがIPsecトンネリングを実行することを特徴とする請求項11に記載のチップセット。
【請求項14】
前記IPsecコンポーネントがIPsecトンネリングエンドポイントを実装することを特徴とする請求項11に記載のチップセット。
【請求項15】
デバイス専用物理インターフェースをさらに含むことを特徴とする請求項9に記載のチップセット。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2011−517208(P2011−517208A)
【公表日】平成23年5月26日(2011.5.26)
【国際特許分類】
【出願番号】特願2011−503010(P2011−503010)
【出願日】平成21年3月6日(2009.3.6)
【国際出願番号】PCT/US2009/036410
【国際公開番号】WO2009/123826
【国際公開日】平成21年10月8日(2009.10.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成23年5月26日(2011.5.26)
【国際特許分類】
【出願日】平成21年3月6日(2009.3.6)
【国際出願番号】PCT/US2009/036410
【国際公開番号】WO2009/123826
【国際公開日】平成21年10月8日(2009.10.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]