ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法、システム及びコンピュータ・プログラム
【課題】ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法を提供する。
【解決手段】本方法は、(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源のセキュリティ・ポリシ・ルールを更新するステップを有する。
【解決手段】本方法は、(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源のセキュリティ・ポリシ・ルールを更新するステップを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ通信ネットワーク環境内のサービスのプロビジョニング(provisioning)に係り、さらに詳細に説明すれば、新しいネットワーク資源が一のサービス・ランドスケープ・インスタンス(service landscape instance)内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための技術に係る。
【背景技術】
【0002】
情報技術(IT)の発達による1つの成果は、ソフトウェア開発及び配備(deployment)用のオンデマンドの、利用時払い(pay-as-you-go)ユーティリティ・モデルの出現である。このモデルによれば、アプリケーション及び他のIT資源が、データ通信ネットワーク(特に、インターネット)を通して、サービス・プロバイダによって顧客に提供される。特定のモデルは、アプリケーションがインターネット経由で顧客に提供されるサービスとしてホストされる、ソフトウェア配備のSaaS(Software-as-a-Service)モデルである。このモデルの主要な利点は、アプリケーションを顧客自身のコンピュータにインストールし且つ稼働させる必要性を取り除くこと、そしてソフトウェア保守に関する顧客の困難を緩和することにある。また、SaaSは、それほど高価でない、オンデマンドの価格設定を通して、ソフトウェア購入に伴う顧客の先行投資のコストを減少させることができる。ベンダにとって、SaaSは、ベンダの知的財産を保護するための機構となり得るだけでなく、継続的な収益源とすることができる。SaaSベンダは、それ自身のウェブ・サーバ上にアプリケーションをホストするか、又はアプリケーションを第3者のアプリケーション・サービス・プロバイダ(ASP)を通して提供することができる。
【0003】
かかるユーティリティ・モデルの下では、データがネットワーク上で交換されるという理由で、セキュリティが重要な検討事項となる。このため、ネットワーク資源は、一般に、ネットワーク資源間のトラフィック用のアクションを制御するためのセキュリティ・ポリシ・ルールを維持しなければならない。一般に、これらのルールは、ローカルのインターネット・プロトコル(IP)アドレス及びポート、並びにリモートのIPアドレス及びポートを含む、複数の条件を確立する。かかるセキュリティ・ポリシ・ルールの例は、データ・ストリーム内の各IPパケットの認証及び/又は暗号化によりIP通信を安全にするプロトコルの「IPsec (IP security)」スイート、及び「IBM z/OS Application Transparent Transport Layer Security (AT-TLS)」による、IPパケット・フィルタリングのために使用されるものである。「IBM」及び「z/OS」は、アメリカ合衆国、他の諸国又は両方におけるインターナショナル・ビジネス・マシーンズ・コーポレーションの商標である。
【0004】
新しいネットワーク資源がプロビジョンされ且つ一のサービス・ランドスケープ・インスタンスに追加されるときには、当該新しくプロビジョンされたネットワーク資源及びリモートに位置する適格(eligible)なネットワーク資源の間の通信を許可するように、当該新しくプロビジョンされたネットワーク資源内のポリシ・ルールを作成しなければならない。さらに、一のネットワーク資源がプロビジョンされる場合、当該新しくプロビジョンされたネットワーク資源及び既存のネットワーク資源の間の通信を許可するように、当該サービス・ランドスケープ・インスタンス内の他の資源を更新しなければならない。しかし、システム・ファイアウォールの構成及び侵入防御のような、ITインフラストラクチャ用のセキュリティを使用可能にすることは、相当な手動構成作業を必要とするばかりか、プラットフォーム特有の専門知識を必要とするのが普通である。もし、かかるプロセスが手動的に行われるのであれば、時間を浪費し、エラーを生じやすく、潜在的には破壊的となることがある。しかし、サービス・ランドスケープ・インスタンスを形成するネットワーク化されたシステムを保護するためにセキュリティを使用可能にすることは、新しいオンデマンド・サービスの容認及び配備における重要な鍵である可能性が高い。
【発明の概要】
【発明が解決しようとする課題】
【0005】
前述の背景技術に照らして、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することが望ましい。
【課題を解決するための手段】
【0006】
本発明の1つの実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する。
【0007】
本発明の他の実施形態は、 ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
【0008】
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える。
【0009】
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
【発明の効果】
【0010】
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することができるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを有利に使用することができるネットワーク環境を示す概略図である。
【図2】本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。
【図3】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。
【図4】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。
【図5】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。
【発明を実施するための形態】
【0012】
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法及びシステムに向けられている。本明細書では、本発明の種々の実施形態を説明するために、次のように定義される用語を使用する。
【0013】
「SaaS(Software-as-a-Service)」。SaaSは、ソフトウェア・アプリケーションがサービス・プロバイダによってホストされ、サービス加入者が私設コンピュータ通信ネットワーク又はインターネットのような公衆コンピュータ通信ネットワーク経由でそのサービスアクセスすることができる、ソフトウェア配布サービス・モデルを意味する。
【0014】
「PaaS(Platform-as-a-Service)」。一般に、PaaSは、ソフトウェアを開発するためにコンピュータ・プログラマによって使用可能な包括的設備を提供する統合開発環境(IDE)ソフトウェア・アプリケーションのような、開発/テスト・プラットフォームを提供するソフトウェアのホスティングに焦点が置かれた、SaaSの任意の領域又は部分を意味する。
【0015】
「サービス・ランドスケープ」。サービス・ランドスケープは、サービスを配信するためのSaaSアーキテクチャ・モデルである。その1例は、多層(multi-tier)のウェブ・サービス(例えば、ウェブ・サーバ、アプリケーション・サーバ及びデータベース・サーバから成る3層アーキテクチャ)配信モデルである。従って、サービス・ランドスケープは、サービス(又はアプリケーション若しくはソリューション)を記述するためのモデルである。例えば、サービスは、3層サービスを形成する1セットのノードを含むことがある。幾つかのノードは、httpサーバとして機能し、他の幾つかのノードは、アプリケーション・サーバとして、さらに他の幾つかのノードは、データベース・サーバとして機能する。また、サービス・ランドスケープは、各ノード用の資源要件(例えば、CPU、メモリ、ディスク)を記述することができる。
【0016】
「サービス・ランドスケープ・インスタンス」。サービス・ランドスケープ・インスタンスは、サービス・ランドスケープの実現又はインスタンス化であり、そこで種々のIT資源(例えば、サーバ、ネットワーク及びストレージ)がサービス加入のサービス・レベル・アグリーメント(SLA)に従ってプロビジョンされ且つ管理されるようになっている。
【0017】
図1は、本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム102を有利に使用することができる、ネットワーク環境100を例示する。ネットワーク環境100は、サービス・ランドスケープ・インスタンス104を含み、その内部にはシステム102が配備される。前述の定義と整合するように、サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cと、1つのコンピューティング装置106bに通信可能にリンクされた少なくとも1つのデータベース108を含む。コンピューティング装置106a〜106cは、インターネットのようなデータ通信ネットワーク110を通して、互いに通信可能にリンクされる。図示のように、コンピューティング装置106a〜106cのうちの1つに常駐するか又はコンピューティング装置106a〜106c間に分散された、SaaS又はPaaSアプリケーションのようなネットワーク資源にアクセスするために、1つ以上の他のコンピューティング装置112を、データ通信ネットワーク110を通して、1つ以上のコンピューティング装置106a〜106cに通信可能にリンクすることができる。
【0018】
サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cを含むように図示されているが、本明細書に開示した内容から明らかなように、サービス・ランドスケープ・インスタンス104内には、より多くの又はより少ない数のコンピューティング装置を含めることができる。さらに、明示されていないが、サービス・ランドスケープ・インスタンス104は、種々のアプリケーション(例えば、SaaS及び/又はPaaS)又は1つ以上のコンピューティング装置106a〜106c上に常駐する他のネットワーク資源を含むことができる。
【0019】
好ましくは、コンピューティング装置106a〜106cは、データ通信ネットワーク110を通してリモートの装置又はシステムによってアクセスすることができる、アプリケーション及び他のネットワーク資源をホストするためのサーバである。しかし、代替実施形態では、1つ以上のコンピューティング装置106a〜106cは、他のタイプの汎用又はアプリケーション特有のコンピューティング装置とすることができる。また、ネットワーク環境100の種々の要素間の通信リンクは、データ通信ネットワーク110を横断する有線接続として図示されているが、かかる通信リンクは、明示されていない種々の中間ノードを含むことができる。代替的に、かかる通信リンクは、無線通信リンクとすることができる。
【0020】
図2を参照して、システム102をより詳しく説明する。システム102は、1つ以上のプロセッサ204を含む。明示されていないが、1つ以上のプロセッサ204の各々は、複数のレジスタ、算術論理演算装置及び制御装置を含むことができる。従って、システム102は、単一スレッド、単一プロセッサ環境内で、単一スレッド、マルチプロセッサ環境内で、又はマルチスレッド、マルチプロセッサ環境内で、プロセッサ実行可能な命令を処理するように構成することができる。さらに、1つ以上のプロセッサ204は、単一のコンピューティング装置又は異なるコンピューティング装置上に存在することができる。システム102が分散コンピューティング・アーキテクチャに従ってマルチ・コンピューティング装置の形態で実装される場合、これらの装置は、共通のサイトにおいて共同設置することができる。代替的に、これらのコンピューティング装置を、互いにリモートの位置に設置し、データ通信ネットワーク110を通して通信するように構成することができる。オプションとして、システム102は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上の主メモリ要素205を含むことができる。
【0021】
また、システム102は、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210を含む。好ましくは、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210は、本明細書に開示した手順及び機能を実施するための論理ベースの処理回路及びプロセッサ実行可能コードの組み合わせの形態で実装される。従って、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の各々は、1つ以上のプロセッサ204上で実行するように構成することができる。代替的に、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の1つ以上は、同じ手順及び機能を実施するために1つ以上のプロセッサ204の直接的な制御の下ではなく、互いに協調的に動作するように構成された専用の布線式回路の形態で実装することができる。
【0022】
動作について説明する。分類モジュール206は、特定のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。特定の実施形態では、分類モジュール206は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、これらのネットワーク資源を分類する。従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源が、例えば、一のアプリケーション・サーバ、一のファイル転送プロトコル(FTP)サーバ及び一のデータベース・サーバを含んでいれば、各サーバは、サービス・ランドスケープ・インスタンス104内で一意的な機能を行うための明確な役割を有する。従って、分類モジュール206は、それぞれのサーバの特定の役割又は機能に従って、当該アプリケーション・サーバ、FTPサーバ及びデータベース・サーバを分類する。
【0023】
この実施形態では、サービス・ランドスケープ・モデルを使用して多層の階層的トポロジを構築することができるという理由で、分類モジュール206は、当該多層の階層的トポロジ内で各ネットワーク資源が占有する特定の層に従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源をさらに分類する。1つの層は、例えば、いわゆる非武装地帯(DMZ)、物理又は論理サブネットワークに対応することがある。かかる非武装地帯(DMZ)、物理又は論理サブネットワークは、サービス・ランドスケープ・インスタンス104の外部サービスを保持し且つこれらの外部サービスを、インターネットのようにより大きく且つ信頼できないネットワークに露出する。他の層は、アプリケーション・サーバ層及び企業情報システム(EIS)層を含むことがある。別個のネットワーク資源が対応する特定の層に拘わらず、分類モジュール206は、サービス・ランドスケープ・モデルの仕様に従って、そのネットワーク資源を分類する。他の実施形態では、分類モジュール206は、特定のネットワーク資源に対応するIPアドレス及びポートに基づき、サービス・ランドスケープ・インスタンス104の各ネットワーク資源を分類することができる。
【0024】
より一般的に説明すると、システム102の電子メモリ内に保持することができるサービス・ランドスケープ・モデルは、前記階層的トポロジの各層内に存在することが許可される、サービス・ランドスケープ・インスタンス104の種々の資源の異なるカテゴリを規定し且つ記述する。また、サービス・ランドスケープ・モデルは、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が他の資源と通信することを許可されるかを記述するとともに、接続性(connectivity)用の複数のセキュリティ要件をも記述することができる。従って、分類モジュール206は、サービス・ランドスケープ・モデルによって規定されるような、これらのカテゴリ及び属性の任意の組み合わせに基づき、サービス・ランドスケープ・インスタンス104を構成する各ネットワーク資源を分類する。
【0025】
ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して動作する。ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。当該新しくプロビジョンされたネットワーク資源のセキュリティ・ポリシ・ルールは、サービス・ランドスケープ・モデルによって決定されるように、当該新しくプロビジョンされたネットワーク資源が通信することを許可された、他の既存のネットワーク資源のIPアドレス及びポートに関して必要とされる複数のセキュリティ・アクションを指定するルールを含むことができる。
【0026】
例えば、一のデータベース・サーバのプロビジョニングを行う際に、サービス・ランドスケープ・モデルは、当該データベース・サーバがサービス・ランドスケープ・インスタンス104内の全てのアプリケーション・サーバと通信することを許可することができる。しかし、DMZ層のウェブ・サーバのような、1つ以上の他のネットワーク資源への任意の接続性は、これを禁止することができる。さらに、サービス・ランドスケープ・モデルは、当該新しくプロビジョンされたデータベース・サーバ及び一のアプリケーション・サーバの間の通信用の特定レベルのネットワーク暗号化を必要としてもよいし、必要としなくてもよい。ルール生成モジュール208は、サービス・ランドスケープ・モデルによって規定された種々の要件を使用して、当該新しくプロビジョンされたネットワーク資源用の適切な1セットのセキュリティ・ポリシ・ルールを自動的に生成する。
【0027】
動作について説明する。ポリシ更新モジュール210は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス104内でプロビジョンされるときに、既存のネットワーク資源のうちの少なくとも幾つかのセキュリティ・ポリシ・ルールを更新する。具体的には、ポリシ更新モジュール210は、当該新しくプロビジョンされたネットワーク資源と通信するのに適格な既存のネットワーク資源を決定するように構成することができる。次に、ポリシ更新モジュール210は、ランドスケープ・サービス・モデルに基づき、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、これらの識別されたネットワーク資源用の複数のセキュリティ・ポリシ・ルールを更新する。
【0028】
例えば、一のデータベース・サーバのプロビジョニングの後、サービス・ランドスケープ・モデルは、全てのアプリケーション・サーバが当該データベース・サーバと通信することができるが、強いネットワーク暗号化が必要とされることを規定することができる。従って、ポリシ更新モジュール210は、当該新しくプロビジョンされたデータベース・サーバに接続することを許可されたサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源を識別し、当該各ネットワーク資源のセキュリティ・ポリシ・ルールを更新する。この例では、これらのルールは、サービス・ランドスケープ・モデルの下で当該新しくプロビジョンされたデータベース・サーバと通信するために必要とされる複数のセキュリティ・アクションを指定する。
【0029】
異なる実施形態では、システム102は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。管理可能ドメイン・プロビジョニング・マネージャを備える場合、新しいネットワーク資源のプロビジョニングによって影響を受けるサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源のランタイム・ポリシを更新するために、異なる手順を実装することができる。1つの実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、新しい又は更新されたセキュリティ・ポリシ・ルールを、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュすることができる。代替実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、これに代えて、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源に通知することができ、その結果、影響を受ける各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから新しい又は更新されたセキュリティ・ポリシ・ルールを要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャからセキュリティ・ポリシ・ルールの最新のコピーを要求することができる。これらの要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
【0030】
図3は、代替実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム300の概略図である。システム300は、前述したタイプのネットワーク環境内で動作することができる。システム300は、プロセッサ実行可能コードを実行するための1つ以上のプロセッサ302を含む。前述のように、1つ以上のプロセッサ302は、同じコンピューティング装置上に又は通信可能にリンクされた異なるコンピューティング装置内に存在することができる。オプションとして、システム300は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上のメモリ要素304を含む。
【0031】
システム300は、1つ以上のプロセッサ302上で実行するように構成され、ネットワーク資源のプロビジョニングに応答するための名前関連付けモジュール306をさらに含む。名前関連付けモジュール306は、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源をサービス・ランドスケープ・インスタンス104の既存の資源データベース308に追加する。名前関連付けモジュール306は、一のグループ名を、当該新しくプロビジョンされたネットワーク資源と関連付けるようにさらに構成される。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。ネットワーク資源の集合に対応する。このグループ名は、当該構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定することができる。
【0032】
もし、(新しいアプリケーションがサービス・ランドスケープ・インスタンス104内で配備される場合に生じるように)サービス・ランドスケープ・モデルが変われば、サービス・ランドスケープ・インスタンス104のネットワーク資源間の通信を許可するために新しいセキュリティ・ポリシ・ルールが必要とされる。しかし、たとえ新しいネットワーク資源が資源データベース308に追加されたとしても、サービス・ランドスケープ・モデルが不変であれば、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける資源への、結果的なポリシの完全な再ロードを回避することが可能である。従って、この実施形態は、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が、資源データベース308を再読み取りし且つ当該新しくプロビジョンされた資源を前記ポリシ内で識別された一の資源グループに追加することにより、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が前記ポリシのそれらのローカル・バージョンを再構築することを可能にする。この資源グループは、再びサービス・ランドスケープ・モデルに基づき、プレースホルダが幾つかのネットワーク資源用のポリシ内で指定されることを可能にする。その後、このローカル資源は、構成されたポリシをローカル・システム上のランタイム使用に適合する形式に変換する。ローカル・システムは、この資源グループに追加された、新しくプロビジョンされた資源用の新しいランタイム・ルールを作成することができる
【0033】
システム300は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。ポリシの必要な再ロードなしに新しいセキュリティ・ポリシ・ルールが作成される場合、異なる手順は、一のネットワーク資源のランタイム・ポリシの更新をもたらすことができる。1つの実施形態では、管理可能ドメイン・プロビジョニング・マネージャは、新しい資源データベース308をサービス・ランドスケープ・インスタンス104内の複数のネットワーク資源にプッシュすることができる。その結果、各ネットワーク資源は、資源データベース308を再読み取りし且つ当該ネットワーク資源のポリシのランタイム形式を更新することができる。従って、オプションとして、システム300は、新しい資源データベース308を、ネットワーク・リンクを介して、サービス・ランドスケープ・インスタンス104内の他のネットワーク資源にプッシュするためのネットワーク・インタフェース310を含むことができる。
【0034】
代替的に、管理可能ドメイン・プロビジョニング・マネージャは、影響を受ける各ネットワーク資源に対し、資源データベース308が更新されたことを通知することができ、その結果、影響を受ける各ネットワーク資源は、ポリシのそのランタイム形式を更新するために、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。再び、かかる要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
【0035】
図4には、本発明の方法の特定の側面が示されている。図4は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法400の複数のステップを例示するフローチャートである。ステップ402で開始した後、ステップ404では、一のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。ステップ406では、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。さらに、ステップ408では、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、サービス・ランドスケープ・モデルに基づき、当該新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、サービス・ランドスケープ・インスタンス104内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新する。方法400は、ステップ410で終了する。
【0036】
1つの実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及びサービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類することを含む。他の実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、各ネットワーク資源を分類することを含む。
【0037】
方法400は、コンピュータ実行可能コードで実装されたネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有することができる。
【0038】
他の実施形態では、1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのステップ406は、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の許可された接続性を決定するステップと、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む。
【0039】
他の実施形態では、セキュリティ・ポリシ・ルールを更新するためのステップ408は、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が当該新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、当該新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含むことができる。
【0040】
他の実施形態では、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有することができる。この場合、各ランタイム・ポリシを更新するステップは、1つ以上のセキュリティ・ポリシ・ルール及び更新されたセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける各ネットワーク資源にプッシュすることを含む。代替的に、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有することができる。この場合、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、影響を受ける各ネットワーク資源が、管理可能ドメイン・プロビジョニング・マネージャから当該新しいポリシを要求することができる。他の実施形態では、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、そしてランタイム・ポリシを更新するステップは、サービス・ランドスケープ・インスタンス104内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔中に、管理可能ドメイン・プロビジョニング・マネージャから新しいポリシの最新バージョンを要求することを含むことができる。
【0041】
図5は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法500の複数のステップを例示するフローチャートである。ステップ502で開始した後、ステップ504では、サービス・ランドスケープ・インスタンス104への一のネットワーク資源のプロビジョニングが行われる。このステップ504では、当該新しくプロビジョンされたネットワーク資源を既存のネットワーク資源データベース308に追加することにより、当該ネットワーク資源がプロビジョンされる。ステップ506では、一のグループ名を、当該新しくプロビジョンされたネットワーク資源に関連付ける。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。この実施形態では、このグループ名は、構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。方法500は、ステップ508で終了する。
【0042】
特定の実施形態では、プロビジョニング・ステップ504は、新しいアプリケーションをサービス・ランドスケープ・インスタンス104内に配備するステップと、当該新しいアプリケーション及びサービス・ランドスケープ・インスタンス104の他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、サービス・ランドスケープ・モデルを再構成するステップを含む。
【0043】
代替実施形態では、プロビジョニング・ステップ504は、サービス・ランドスケープ・モデルを変更することなく当該新しくプロビジョンされたネットワーク資源を追加するステップと、プロビジョニング・ステップ504によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップを含む。この再構築するステップは、ネットワーク資源データベース308を再読み取りし且つ当該新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールのローカル・バージョン内に維持された資源グループに追加するステップを含むことができる。この実施形態では、方法500は、構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において当該新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有することができる。新しいランタイム・ルールを作成するステップは、資源データベース308の再読み取り及び構成されたポリシのランタイム形式の更新を行うことができるように、当該新しくプロビジョンされたネットワーク資源を保持する資源データベース308を、管理可能ドメイン・プロビジョニング・マネージャからサービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュするステップを含むことができる。代替的に、新しいランタイム・ルールを作成するステップは、資源データベース308が更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、資源データベース308の現バージョンを要求するステップをさらに含むことができる。他の代替実施形態では、新しいランタイム・ルールを作成するステップは、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、管理可能ドメイン・プロビジョニング・マネージャから資源データベース308の現バージョンを要求するステップをさらに含むことができる。
【0044】
前述のように、本発明は、ハードウェア、ソフトウェア又はハードウェア及びソフトウェアの組み合わせの形態で実現することができる。本発明は、1つのコンピュータ・システムにおいて集中的な態様で実現することができ、又は異なる要素が幾つかの相互接続されたコンピュータ・システムに散在している場合は、分散的な態様で実現することができる。本明細書に開示した方法を実施するのに適した任意の種類のコンピュータ・システム又は他の装置を使用することができる。ハードウェア及びソフトウェアの代表的な組み合わせは、汎用コンピュータ・システム及びコンピュータ・プログラムとすることができる。当該コンピュータ・プログラムがロードされ且つ実行されると、当該コンピュータ・システムが本明細書に開示した方法を実施するように、当該コンピュータ・システムを制御する。
【0045】
前述のように、本発明は、埋め込まれたコンピュータ・プログラムを定義するコンピュータ可読コードを有する磁気テープ又は光学式に読み取り可能なディスクのような、コンピュータ・プログラム内に埋め込むことができる。かかるコンピュータ・プログラムがコンピュータにロードされ且つコンピュータによって実行されるとき、本明細書に開示した方法を実装する。この文脈上、コンピュータ・プログラムは、任意の言語における1セットの命令の任意の表現、コード又は表記であって、情報処理能力を有するシステムに特定の機能を直接に、又は(a)他の言語、コード又は記法への変換及び/又は(b)異なる資料形式における複製の後に、実行させるものを意味する。
【0046】
本発明の推奨実施形態に関する前述の説明は、例示を目的として与えられたものであり、網羅的であること及び開示された形態に本発明を限定することを意図するものではない。前述の説明から、多くの修正及び変形が明らかであろう。従って、本発明の範囲は、本明細書に開示した詳細な説明によって制限されるものではないことが意図される。
【0047】
本発明及びその種々の実施形態は、次の各項に記載するように要約することができる。
【0048】
1.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
【0049】
2.前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、第1項に記載の方法。
【0050】
3.前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、第1項に記載の方法。
【0051】
4.コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、第1項に記載の方法。
【0052】
5.前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、第1項に記載の方法。
【0053】
6.前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、第1項に記載の方法。
【0054】
7.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、第1項に記載の方法。
【0055】
8.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、第1項に記載の方法。
【0056】
9.新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、第1項に記載の方法。
【0057】
10.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
【0058】
11.前記ステップ(a)が、
新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備するステップと、
前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成するステップを含む、第10項に記載の方法。
【0059】
12.前記ステップ(a)が、
前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加するステップを含み、
前記ステップ(a)によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップをさらに有する、第10項に記載の方法。
【0060】
13.前記再構築するステップが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加するステップを含む、第12項に記載の方法。
【0061】
14.前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有する、第13項に記載の方法。
【0062】
15.前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするステップをさらに有する、第14項に記載の方法。
【0063】
16.前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
【0064】
17.影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
【0065】
18.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
【0066】
19.前記サービス・ランドスケープ・インスタンス内の前記複数のネットワーク資源用の複数の分類を提供するように、前記サービス・ランドスケープ・モデルを構成するための構成モジュールをさらに備え、
前記サービス・ランドスケープ・モデルによって規定された階層的トポロジの各層内で許可される複数のネットワーク資源が分類され、
他のネットワーク資源と通信することを許可されるネットワーク資源が識別され、
異なるネットワーク資源間のネットワーク通信用のセキュリティ要件が指定される、第18項に記載のシステム。
【0067】
20.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
【符号の説明】
【0068】
102・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
104・・・サービス・ランドスケープ・インスタンス
106a〜106c・・・コンピューティング装置
108・・・データベース
110・・・データ通信ネットワーク
112・・・他のコンピューティング装置
204・・・1つ以上のプロセッサ
205・・・主メモリ要素
206・・・分類モジュール
208・・・ルール生成モジュール
210・・・ポリシ更新モジュール
300・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
302・・・1つ以上のプロセッサ
304・・・メモリ要素
306・・・名前関連付けモジュール
308・・・資源データベース
310・・・ネットワーク・インタフェース
【技術分野】
【0001】
本発明は、データ通信ネットワーク環境内のサービスのプロビジョニング(provisioning)に係り、さらに詳細に説明すれば、新しいネットワーク資源が一のサービス・ランドスケープ・インスタンス(service landscape instance)内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための技術に係る。
【背景技術】
【0002】
情報技術(IT)の発達による1つの成果は、ソフトウェア開発及び配備(deployment)用のオンデマンドの、利用時払い(pay-as-you-go)ユーティリティ・モデルの出現である。このモデルによれば、アプリケーション及び他のIT資源が、データ通信ネットワーク(特に、インターネット)を通して、サービス・プロバイダによって顧客に提供される。特定のモデルは、アプリケーションがインターネット経由で顧客に提供されるサービスとしてホストされる、ソフトウェア配備のSaaS(Software-as-a-Service)モデルである。このモデルの主要な利点は、アプリケーションを顧客自身のコンピュータにインストールし且つ稼働させる必要性を取り除くこと、そしてソフトウェア保守に関する顧客の困難を緩和することにある。また、SaaSは、それほど高価でない、オンデマンドの価格設定を通して、ソフトウェア購入に伴う顧客の先行投資のコストを減少させることができる。ベンダにとって、SaaSは、ベンダの知的財産を保護するための機構となり得るだけでなく、継続的な収益源とすることができる。SaaSベンダは、それ自身のウェブ・サーバ上にアプリケーションをホストするか、又はアプリケーションを第3者のアプリケーション・サービス・プロバイダ(ASP)を通して提供することができる。
【0003】
かかるユーティリティ・モデルの下では、データがネットワーク上で交換されるという理由で、セキュリティが重要な検討事項となる。このため、ネットワーク資源は、一般に、ネットワーク資源間のトラフィック用のアクションを制御するためのセキュリティ・ポリシ・ルールを維持しなければならない。一般に、これらのルールは、ローカルのインターネット・プロトコル(IP)アドレス及びポート、並びにリモートのIPアドレス及びポートを含む、複数の条件を確立する。かかるセキュリティ・ポリシ・ルールの例は、データ・ストリーム内の各IPパケットの認証及び/又は暗号化によりIP通信を安全にするプロトコルの「IPsec (IP security)」スイート、及び「IBM z/OS Application Transparent Transport Layer Security (AT-TLS)」による、IPパケット・フィルタリングのために使用されるものである。「IBM」及び「z/OS」は、アメリカ合衆国、他の諸国又は両方におけるインターナショナル・ビジネス・マシーンズ・コーポレーションの商標である。
【0004】
新しいネットワーク資源がプロビジョンされ且つ一のサービス・ランドスケープ・インスタンスに追加されるときには、当該新しくプロビジョンされたネットワーク資源及びリモートに位置する適格(eligible)なネットワーク資源の間の通信を許可するように、当該新しくプロビジョンされたネットワーク資源内のポリシ・ルールを作成しなければならない。さらに、一のネットワーク資源がプロビジョンされる場合、当該新しくプロビジョンされたネットワーク資源及び既存のネットワーク資源の間の通信を許可するように、当該サービス・ランドスケープ・インスタンス内の他の資源を更新しなければならない。しかし、システム・ファイアウォールの構成及び侵入防御のような、ITインフラストラクチャ用のセキュリティを使用可能にすることは、相当な手動構成作業を必要とするばかりか、プラットフォーム特有の専門知識を必要とするのが普通である。もし、かかるプロセスが手動的に行われるのであれば、時間を浪費し、エラーを生じやすく、潜在的には破壊的となることがある。しかし、サービス・ランドスケープ・インスタンスを形成するネットワーク化されたシステムを保護するためにセキュリティを使用可能にすることは、新しいオンデマンド・サービスの容認及び配備における重要な鍵である可能性が高い。
【発明の概要】
【発明が解決しようとする課題】
【0005】
前述の背景技術に照らして、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することが望ましい。
【課題を解決するための手段】
【0006】
本発明の1つの実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する。
【0007】
本発明の他の実施形態は、 ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法に向けられている。本方法は、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
【0008】
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える。
【0009】
本発明の他の実施形態は、ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムに向けられている。本システムは、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。
【発明の効果】
【0010】
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを動的に更新するための有効で且つ効率的な機構を提供することができるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを有利に使用することができるネットワーク環境を示す概略図である。
【図2】本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。
【図3】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムを示す概略図である。
【図4】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。
【図5】本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法のステップを例示するフローチャートである。
【発明を実施するための形態】
【0012】
本発明は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法及びシステムに向けられている。本明細書では、本発明の種々の実施形態を説明するために、次のように定義される用語を使用する。
【0013】
「SaaS(Software-as-a-Service)」。SaaSは、ソフトウェア・アプリケーションがサービス・プロバイダによってホストされ、サービス加入者が私設コンピュータ通信ネットワーク又はインターネットのような公衆コンピュータ通信ネットワーク経由でそのサービスアクセスすることができる、ソフトウェア配布サービス・モデルを意味する。
【0014】
「PaaS(Platform-as-a-Service)」。一般に、PaaSは、ソフトウェアを開発するためにコンピュータ・プログラマによって使用可能な包括的設備を提供する統合開発環境(IDE)ソフトウェア・アプリケーションのような、開発/テスト・プラットフォームを提供するソフトウェアのホスティングに焦点が置かれた、SaaSの任意の領域又は部分を意味する。
【0015】
「サービス・ランドスケープ」。サービス・ランドスケープは、サービスを配信するためのSaaSアーキテクチャ・モデルである。その1例は、多層(multi-tier)のウェブ・サービス(例えば、ウェブ・サーバ、アプリケーション・サーバ及びデータベース・サーバから成る3層アーキテクチャ)配信モデルである。従って、サービス・ランドスケープは、サービス(又はアプリケーション若しくはソリューション)を記述するためのモデルである。例えば、サービスは、3層サービスを形成する1セットのノードを含むことがある。幾つかのノードは、httpサーバとして機能し、他の幾つかのノードは、アプリケーション・サーバとして、さらに他の幾つかのノードは、データベース・サーバとして機能する。また、サービス・ランドスケープは、各ノード用の資源要件(例えば、CPU、メモリ、ディスク)を記述することができる。
【0016】
「サービス・ランドスケープ・インスタンス」。サービス・ランドスケープ・インスタンスは、サービス・ランドスケープの実現又はインスタンス化であり、そこで種々のIT資源(例えば、サーバ、ネットワーク及びストレージ)がサービス加入のサービス・レベル・アグリーメント(SLA)に従ってプロビジョンされ且つ管理されるようになっている。
【0017】
図1は、本発明の1つの実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム102を有利に使用することができる、ネットワーク環境100を例示する。ネットワーク環境100は、サービス・ランドスケープ・インスタンス104を含み、その内部にはシステム102が配備される。前述の定義と整合するように、サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cと、1つのコンピューティング装置106bに通信可能にリンクされた少なくとも1つのデータベース108を含む。コンピューティング装置106a〜106cは、インターネットのようなデータ通信ネットワーク110を通して、互いに通信可能にリンクされる。図示のように、コンピューティング装置106a〜106cのうちの1つに常駐するか又はコンピューティング装置106a〜106c間に分散された、SaaS又はPaaSアプリケーションのようなネットワーク資源にアクセスするために、1つ以上の他のコンピューティング装置112を、データ通信ネットワーク110を通して、1つ以上のコンピューティング装置106a〜106cに通信可能にリンクすることができる。
【0018】
サービス・ランドスケープ・インスタンス104は、3つのコンピューティング装置106a〜106cを含むように図示されているが、本明細書に開示した内容から明らかなように、サービス・ランドスケープ・インスタンス104内には、より多くの又はより少ない数のコンピューティング装置を含めることができる。さらに、明示されていないが、サービス・ランドスケープ・インスタンス104は、種々のアプリケーション(例えば、SaaS及び/又はPaaS)又は1つ以上のコンピューティング装置106a〜106c上に常駐する他のネットワーク資源を含むことができる。
【0019】
好ましくは、コンピューティング装置106a〜106cは、データ通信ネットワーク110を通してリモートの装置又はシステムによってアクセスすることができる、アプリケーション及び他のネットワーク資源をホストするためのサーバである。しかし、代替実施形態では、1つ以上のコンピューティング装置106a〜106cは、他のタイプの汎用又はアプリケーション特有のコンピューティング装置とすることができる。また、ネットワーク環境100の種々の要素間の通信リンクは、データ通信ネットワーク110を横断する有線接続として図示されているが、かかる通信リンクは、明示されていない種々の中間ノードを含むことができる。代替的に、かかる通信リンクは、無線通信リンクとすることができる。
【0020】
図2を参照して、システム102をより詳しく説明する。システム102は、1つ以上のプロセッサ204を含む。明示されていないが、1つ以上のプロセッサ204の各々は、複数のレジスタ、算術論理演算装置及び制御装置を含むことができる。従って、システム102は、単一スレッド、単一プロセッサ環境内で、単一スレッド、マルチプロセッサ環境内で、又はマルチスレッド、マルチプロセッサ環境内で、プロセッサ実行可能な命令を処理するように構成することができる。さらに、1つ以上のプロセッサ204は、単一のコンピューティング装置又は異なるコンピューティング装置上に存在することができる。システム102が分散コンピューティング・アーキテクチャに従ってマルチ・コンピューティング装置の形態で実装される場合、これらの装置は、共通のサイトにおいて共同設置することができる。代替的に、これらのコンピューティング装置を、互いにリモートの位置に設置し、データ通信ネットワーク110を通して通信するように構成することができる。オプションとして、システム102は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上の主メモリ要素205を含むことができる。
【0021】
また、システム102は、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210を含む。好ましくは、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210は、本明細書に開示した手順及び機能を実施するための論理ベースの処理回路及びプロセッサ実行可能コードの組み合わせの形態で実装される。従って、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の各々は、1つ以上のプロセッサ204上で実行するように構成することができる。代替的に、分類モジュール206、ルール生成モジュール208及びポリシ更新モジュール210の1つ以上は、同じ手順及び機能を実施するために1つ以上のプロセッサ204の直接的な制御の下ではなく、互いに協調的に動作するように構成された専用の布線式回路の形態で実装することができる。
【0022】
動作について説明する。分類モジュール206は、特定のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。特定の実施形態では、分類モジュール206は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、これらのネットワーク資源を分類する。従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源が、例えば、一のアプリケーション・サーバ、一のファイル転送プロトコル(FTP)サーバ及び一のデータベース・サーバを含んでいれば、各サーバは、サービス・ランドスケープ・インスタンス104内で一意的な機能を行うための明確な役割を有する。従って、分類モジュール206は、それぞれのサーバの特定の役割又は機能に従って、当該アプリケーション・サーバ、FTPサーバ及びデータベース・サーバを分類する。
【0023】
この実施形態では、サービス・ランドスケープ・モデルを使用して多層の階層的トポロジを構築することができるという理由で、分類モジュール206は、当該多層の階層的トポロジ内で各ネットワーク資源が占有する特定の層に従って、サービス・ランドスケープ・インスタンス104の複数のネットワーク資源をさらに分類する。1つの層は、例えば、いわゆる非武装地帯(DMZ)、物理又は論理サブネットワークに対応することがある。かかる非武装地帯(DMZ)、物理又は論理サブネットワークは、サービス・ランドスケープ・インスタンス104の外部サービスを保持し且つこれらの外部サービスを、インターネットのようにより大きく且つ信頼できないネットワークに露出する。他の層は、アプリケーション・サーバ層及び企業情報システム(EIS)層を含むことがある。別個のネットワーク資源が対応する特定の層に拘わらず、分類モジュール206は、サービス・ランドスケープ・モデルの仕様に従って、そのネットワーク資源を分類する。他の実施形態では、分類モジュール206は、特定のネットワーク資源に対応するIPアドレス及びポートに基づき、サービス・ランドスケープ・インスタンス104の各ネットワーク資源を分類することができる。
【0024】
より一般的に説明すると、システム102の電子メモリ内に保持することができるサービス・ランドスケープ・モデルは、前記階層的トポロジの各層内に存在することが許可される、サービス・ランドスケープ・インスタンス104の種々の資源の異なるカテゴリを規定し且つ記述する。また、サービス・ランドスケープ・モデルは、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が他の資源と通信することを許可されるかを記述するとともに、接続性(connectivity)用の複数のセキュリティ要件をも記述することができる。従って、分類モジュール206は、サービス・ランドスケープ・モデルによって規定されるような、これらのカテゴリ及び属性の任意の組み合わせに基づき、サービス・ランドスケープ・インスタンス104を構成する各ネットワーク資源を分類する。
【0025】
ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して動作する。ルール生成モジュール208は、新しいネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。当該新しくプロビジョンされたネットワーク資源のセキュリティ・ポリシ・ルールは、サービス・ランドスケープ・モデルによって決定されるように、当該新しくプロビジョンされたネットワーク資源が通信することを許可された、他の既存のネットワーク資源のIPアドレス及びポートに関して必要とされる複数のセキュリティ・アクションを指定するルールを含むことができる。
【0026】
例えば、一のデータベース・サーバのプロビジョニングを行う際に、サービス・ランドスケープ・モデルは、当該データベース・サーバがサービス・ランドスケープ・インスタンス104内の全てのアプリケーション・サーバと通信することを許可することができる。しかし、DMZ層のウェブ・サーバのような、1つ以上の他のネットワーク資源への任意の接続性は、これを禁止することができる。さらに、サービス・ランドスケープ・モデルは、当該新しくプロビジョンされたデータベース・サーバ及び一のアプリケーション・サーバの間の通信用の特定レベルのネットワーク暗号化を必要としてもよいし、必要としなくてもよい。ルール生成モジュール208は、サービス・ランドスケープ・モデルによって規定された種々の要件を使用して、当該新しくプロビジョンされたネットワーク資源用の適切な1セットのセキュリティ・ポリシ・ルールを自動的に生成する。
【0027】
動作について説明する。ポリシ更新モジュール210は、新しいネットワーク資源がサービス・ランドスケープ・インスタンス104内でプロビジョンされるときに、既存のネットワーク資源のうちの少なくとも幾つかのセキュリティ・ポリシ・ルールを更新する。具体的には、ポリシ更新モジュール210は、当該新しくプロビジョンされたネットワーク資源と通信するのに適格な既存のネットワーク資源を決定するように構成することができる。次に、ポリシ更新モジュール210は、ランドスケープ・サービス・モデルに基づき、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、これらの識別されたネットワーク資源用の複数のセキュリティ・ポリシ・ルールを更新する。
【0028】
例えば、一のデータベース・サーバのプロビジョニングの後、サービス・ランドスケープ・モデルは、全てのアプリケーション・サーバが当該データベース・サーバと通信することができるが、強いネットワーク暗号化が必要とされることを規定することができる。従って、ポリシ更新モジュール210は、当該新しくプロビジョンされたデータベース・サーバに接続することを許可されたサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源を識別し、当該各ネットワーク資源のセキュリティ・ポリシ・ルールを更新する。この例では、これらのルールは、サービス・ランドスケープ・モデルの下で当該新しくプロビジョンされたデータベース・サーバと通信するために必要とされる複数のセキュリティ・アクションを指定する。
【0029】
異なる実施形態では、システム102は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。管理可能ドメイン・プロビジョニング・マネージャを備える場合、新しいネットワーク資源のプロビジョニングによって影響を受けるサービス・ランドスケープ・インスタンス104内の既存の各ネットワーク資源のランタイム・ポリシを更新するために、異なる手順を実装することができる。1つの実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、新しい又は更新されたセキュリティ・ポリシ・ルールを、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュすることができる。代替実施形態では、システム102の管理可能ドメイン・プロビジョニング・マネージャは、これに代えて、サービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源に通知することができ、その結果、影響を受ける各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから新しい又は更新されたセキュリティ・ポリシ・ルールを要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の各ネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャからセキュリティ・ポリシ・ルールの最新のコピーを要求することができる。これらの要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
【0030】
図3は、代替実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム300の概略図である。システム300は、前述したタイプのネットワーク環境内で動作することができる。システム300は、プロセッサ実行可能コードを実行するための1つ以上のプロセッサ302を含む。前述のように、1つ以上のプロセッサ302は、同じコンピューティング装置上に又は通信可能にリンクされた異なるコンピューティング装置内に存在することができる。オプションとして、システム300は、プロセッサ実行可能な命令及びデータ表現を電子的に格納するための1つ以上のメモリ要素304を含む。
【0031】
システム300は、1つ以上のプロセッサ302上で実行するように構成され、ネットワーク資源のプロビジョニングに応答するための名前関連付けモジュール306をさらに含む。名前関連付けモジュール306は、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源をサービス・ランドスケープ・インスタンス104の既存の資源データベース308に追加する。名前関連付けモジュール306は、一のグループ名を、当該新しくプロビジョンされたネットワーク資源と関連付けるようにさらに構成される。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。ネットワーク資源の集合に対応する。このグループ名は、当該構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定することができる。
【0032】
もし、(新しいアプリケーションがサービス・ランドスケープ・インスタンス104内で配備される場合に生じるように)サービス・ランドスケープ・モデルが変われば、サービス・ランドスケープ・インスタンス104のネットワーク資源間の通信を許可するために新しいセキュリティ・ポリシ・ルールが必要とされる。しかし、たとえ新しいネットワーク資源が資源データベース308に追加されたとしても、サービス・ランドスケープ・モデルが不変であれば、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける資源への、結果的なポリシの完全な再ロードを回避することが可能である。従って、この実施形態は、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が、資源データベース308を再読み取りし且つ当該新しくプロビジョンされた資源を前記ポリシ内で識別された一の資源グループに追加することにより、サービス・ランドスケープ・インスタンス104内の個々のネットワーク資源が前記ポリシのそれらのローカル・バージョンを再構築することを可能にする。この資源グループは、再びサービス・ランドスケープ・モデルに基づき、プレースホルダが幾つかのネットワーク資源用のポリシ内で指定されることを可能にする。その後、このローカル資源は、構成されたポリシをローカル・システム上のランタイム使用に適合する形式に変換する。ローカル・システムは、この資源グループに追加された、新しくプロビジョンされた資源用の新しいランタイム・ルールを作成することができる
【0033】
システム300は、管理可能ドメイン・プロビジョニング・マネージャを備えることができる。ポリシの必要な再ロードなしに新しいセキュリティ・ポリシ・ルールが作成される場合、異なる手順は、一のネットワーク資源のランタイム・ポリシの更新をもたらすことができる。1つの実施形態では、管理可能ドメイン・プロビジョニング・マネージャは、新しい資源データベース308をサービス・ランドスケープ・インスタンス104内の複数のネットワーク資源にプッシュすることができる。その結果、各ネットワーク資源は、資源データベース308を再読み取りし且つ当該ネットワーク資源のポリシのランタイム形式を更新することができる。従って、オプションとして、システム300は、新しい資源データベース308を、ネットワーク・リンクを介して、サービス・ランドスケープ・インスタンス104内の他のネットワーク資源にプッシュするためのネットワーク・インタフェース310を含むことができる。
【0034】
代替的に、管理可能ドメイン・プロビジョニング・マネージャは、影響を受ける各ネットワーク資源に対し、資源データベース308が更新されたことを通知することができ、その結果、影響を受ける各ネットワーク資源は、ポリシのそのランタイム形式を更新するために、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。他の実施形態では、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源は、管理可能ドメイン・プロビジョニング・マネージャから最新の資源データベース308を要求することができる。再び、かかる要求は、特定の時刻又は時間間隔のような、定期的にスケジュールされた時間に伝えることができる。代替的に、これらの要求は、ランダムに選択された時刻又は時間間隔に伝えることができる。
【0035】
図4には、本発明の方法の特定の側面が示されている。図4は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法400の複数のステップを例示するフローチャートである。ステップ402で開始した後、ステップ404では、一のサービス・ランドスケープ・モデルに基づき、サービス・ランドスケープ・インスタンス104内の複数のネットワーク資源を分類する。ステップ406では、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成する。さらに、ステップ408では、当該新しくプロビジョンされたネットワーク資源をリモート資源として含むように、サービス・ランドスケープ・モデルに基づき、当該新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、サービス・ランドスケープ・インスタンス104内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新する。方法400は、ステップ410で終了する。
【0036】
1つの実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・インスタンス104内で各ネットワーク資源が行う役割及びサービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類することを含む。他の実施形態では、複数のネットワーク資源を分類するためのステップ404は、サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、各ネットワーク資源を分類することを含む。
【0037】
方法400は、コンピュータ実行可能コードで実装されたネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有することができる。
【0038】
他の実施形態では、1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのステップ406は、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の許可された接続性を決定するステップと、当該新しくプロビジョンされたネットワーク資源及びサービス・ランドスケープ・インスタンス104内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む。
【0039】
他の実施形態では、セキュリティ・ポリシ・ルールを更新するためのステップ408は、サービス・ランドスケープ・インスタンス104内のどのネットワーク資源が当該新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、当該新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含むことができる。
【0040】
他の実施形態では、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有することができる。この場合、各ランタイム・ポリシを更新するステップは、1つ以上のセキュリティ・ポリシ・ルール及び更新されたセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャから影響を受ける各ネットワーク資源にプッシュすることを含む。代替的に、方法400は、ネットワーク資源のプロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有することができる。この場合、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、影響を受ける各ネットワーク資源が、管理可能ドメイン・プロビジョニング・マネージャから当該新しいポリシを要求することができる。他の実施形態では、新しいポリシを定義するために、自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のポリシ・ルールが組み合わされ、そしてランタイム・ポリシを更新するステップは、サービス・ランドスケープ・インスタンス104内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔中に、管理可能ドメイン・プロビジョニング・マネージャから新しいポリシの最新バージョンを要求することを含むことができる。
【0041】
図5は、本発明の他の実施形態に従った、ネットワーク・セキュリティ・ポリシ・ルールを更新するための方法500の複数のステップを例示するフローチャートである。ステップ502で開始した後、ステップ504では、サービス・ランドスケープ・インスタンス104への一のネットワーク資源のプロビジョニングが行われる。このステップ504では、当該新しくプロビジョンされたネットワーク資源を既存のネットワーク資源データベース308に追加することにより、当該ネットワーク資源がプロビジョンされる。ステップ506では、一のグループ名を、当該新しくプロビジョンされたネットワーク資源に関連付ける。このグループ名は、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合は、サービス・ランドスケープ・インスタンス104内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照される。この実施形態では、このグループ名は、構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される。方法500は、ステップ508で終了する。
【0042】
特定の実施形態では、プロビジョニング・ステップ504は、新しいアプリケーションをサービス・ランドスケープ・インスタンス104内に配備するステップと、当該新しいアプリケーション及びサービス・ランドスケープ・インスタンス104の他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、サービス・ランドスケープ・モデルを再構成するステップを含む。
【0043】
代替実施形態では、プロビジョニング・ステップ504は、サービス・ランドスケープ・モデルを変更することなく当該新しくプロビジョンされたネットワーク資源を追加するステップと、プロビジョニング・ステップ504によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップを含む。この再構築するステップは、ネットワーク資源データベース308を再読み取りし且つ当該新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールのローカル・バージョン内に維持された資源グループに追加するステップを含むことができる。この実施形態では、方法500は、構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において当該新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有することができる。新しいランタイム・ルールを作成するステップは、資源データベース308の再読み取り及び構成されたポリシのランタイム形式の更新を行うことができるように、当該新しくプロビジョンされたネットワーク資源を保持する資源データベース308を、管理可能ドメイン・プロビジョニング・マネージャからサービス・ランドスケープ・インスタンス104内の影響を受ける各ネットワーク資源にプッシュするステップを含むことができる。代替的に、新しいランタイム・ルールを作成するステップは、資源データベース308が更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、資源データベース308の現バージョンを要求するステップをさらに含むことができる。他の代替実施形態では、新しいランタイム・ルールを作成するステップは、影響を受ける少なくとも1つのネットワーク資源が、当該影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式の更新を行うことができるように、管理可能ドメイン・プロビジョニング・マネージャから資源データベース308の現バージョンを要求するステップをさらに含むことができる。
【0044】
前述のように、本発明は、ハードウェア、ソフトウェア又はハードウェア及びソフトウェアの組み合わせの形態で実現することができる。本発明は、1つのコンピュータ・システムにおいて集中的な態様で実現することができ、又は異なる要素が幾つかの相互接続されたコンピュータ・システムに散在している場合は、分散的な態様で実現することができる。本明細書に開示した方法を実施するのに適した任意の種類のコンピュータ・システム又は他の装置を使用することができる。ハードウェア及びソフトウェアの代表的な組み合わせは、汎用コンピュータ・システム及びコンピュータ・プログラムとすることができる。当該コンピュータ・プログラムがロードされ且つ実行されると、当該コンピュータ・システムが本明細書に開示した方法を実施するように、当該コンピュータ・システムを制御する。
【0045】
前述のように、本発明は、埋め込まれたコンピュータ・プログラムを定義するコンピュータ可読コードを有する磁気テープ又は光学式に読み取り可能なディスクのような、コンピュータ・プログラム内に埋め込むことができる。かかるコンピュータ・プログラムがコンピュータにロードされ且つコンピュータによって実行されるとき、本明細書に開示した方法を実装する。この文脈上、コンピュータ・プログラムは、任意の言語における1セットの命令の任意の表現、コード又は表記であって、情報処理能力を有するシステムに特定の機能を直接に、又は(a)他の言語、コード又は記法への変換及び/又は(b)異なる資料形式における複製の後に、実行させるものを意味する。
【0046】
本発明の推奨実施形態に関する前述の説明は、例示を目的として与えられたものであり、網羅的であること及び開示された形態に本発明を限定することを意図するものではない。前述の説明から、多くの修正及び変形が明らかであろう。従って、本発明の範囲は、本明細書に開示した詳細な説明によって制限されるものではないことが意図される。
【0047】
本発明及びその種々の実施形態は、次の各項に記載するように要約することができる。
【0048】
1.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
【0049】
2.前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、第1項に記載の方法。
【0050】
3.前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LAN IDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、第1項に記載の方法。
【0051】
4.コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、第1項に記載の方法。
【0052】
5.前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、第1項に記載の方法。
【0053】
6.前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、第1項に記載の方法。
【0054】
7.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、第1項に記載の方法。
【0055】
8.前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、第1項に記載の方法。
【0056】
9.新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、第1項に記載の方法。
【0057】
10.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
【0058】
11.前記ステップ(a)が、
新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備するステップと、
前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成するステップを含む、第10項に記載の方法。
【0059】
12.前記ステップ(a)が、
前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加するステップを含み、
前記ステップ(a)によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップをさらに有する、第10項に記載の方法。
【0060】
13.前記再構築するステップが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加するステップを含む、第12項に記載の方法。
【0061】
14.前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有する、第13項に記載の方法。
【0062】
15.前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするステップをさらに有する、第14項に記載の方法。
【0063】
16.前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
【0064】
17.影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、第14項に記載の方法。
【0065】
18.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
【0066】
19.前記サービス・ランドスケープ・インスタンス内の前記複数のネットワーク資源用の複数の分類を提供するように、前記サービス・ランドスケープ・モデルを構成するための構成モジュールをさらに備え、
前記サービス・ランドスケープ・モデルによって規定された階層的トポロジの各層内で許可される複数のネットワーク資源が分類され、
他のネットワーク資源と通信することを許可されるネットワーク資源が識別され、
異なるネットワーク資源間のネットワーク通信用のセキュリティ要件が指定される、第18項に記載のシステム。
【0067】
20.ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
【符号の説明】
【0068】
102・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
104・・・サービス・ランドスケープ・インスタンス
106a〜106c・・・コンピューティング装置
108・・・データベース
110・・・データ通信ネットワーク
112・・・他のコンピューティング装置
204・・・1つ以上のプロセッサ
205・・・主メモリ要素
206・・・分類モジュール
208・・・ルール生成モジュール
210・・・ポリシ更新モジュール
300・・・ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステム
302・・・1つ以上のプロセッサ
304・・・メモリ要素
306・・・名前関連付けモジュール
308・・・資源データベース
310・・・ネットワーク・インタフェース
【特許請求の範囲】
【請求項1】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
【請求項2】
前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、請求項1に記載の方法。
【請求項3】
前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LANIDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、請求項1に記載の方法。
【請求項4】
コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、請求項1ないし請求項3の何れか1項に記載の方法。
【請求項5】
前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、請求項1ないし請求項4の何れか1項に記載の方法。
【請求項6】
前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、請求項1ないし請求項5の何れか1項に記載の方法。
【請求項7】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、請求項1に記載の方法。
【請求項8】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、請求項1に記載の方法。
【請求項9】
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、請求項1に記載の方法。
【請求項10】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
【請求項11】
前記ステップ(a)が、
新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備するステップと、
前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成するステップを含む、請求項10に記載の方法。
【請求項12】
前記ステップ(a)が、
前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加するステップを含み、
前記ステップ(a)によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップをさらに有する、請求項10に記載の方法。
【請求項13】
前記再構築するステップが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加するステップを含む、請求項12に記載の方法。
【請求項14】
前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有する、請求項13に記載の方法。
【請求項15】
前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするステップをさらに有する、請求項14に記載の方法。
【請求項16】
前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、請求項14に記載の方法。
【請求項17】
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、請求項14に記載の方法。
【請求項18】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
【請求項19】
前記サービス・ランドスケープ・インスタンス内の前記複数のネットワーク資源用の複数の分類を提供するように、前記サービス・ランドスケープ・モデルを構成するための構成モジュールをさらに備え、
前記サービス・ランドスケープ・モデルによって規定された階層的トポロジの各層内で許可される複数のネットワーク資源が分類され、
他のネットワーク資源と通信することを許可されるネットワーク資源が識別され、
異なるネットワーク資源間のネットワーク通信用のセキュリティ要件が指定される、請求項18に記載のシステム。
【請求項20】
前記分類モジュールが、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するように構成される、請求項18に記載のシステム。
【請求項21】
前記分類モジュールが、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LANIDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するように構成される、請求項18に記載のシステム。
【請求項22】
コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するためのコンポーネントをさらに備える、請求項18ないし請求項21の何れか1項に記載のシステム、
【請求項23】
1つ以上のセキュリティ・ルールを自動的に生成するために、前記ルール生成モジュールが、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定することと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定することのうちの少なくとも1つを行うように構成される、請求項18ないし請求項22の何れか1項に記載のシステム。
【請求項24】
前記ポリシ更新モジュールが、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別し且つ前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するように構成される、請求項18ないし請求項23の何れか1項に記載のシステム。
【請求項25】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するためのコンポーネントをさらに備え、
各ランタイム・ポリシを更新することが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュすることを含む、請求項18に記載のシステム。
【請求項26】
前記システムが、前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するように動作可能であり、
前記システムが、新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを組み合わせるように動作可能であり、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、請求項18に記載のシステム。
【請求項27】
前記システムが、新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを組み合わせるように動作可能であり、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源をさらに備え、
当該少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するように動作可能である、請求項18に記載のシステム。
【請求項28】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
【請求項29】
前記システムが、前記新しくプロビジョンされるネットワーク資源を前記既存のネットワーク資源データベースに追加することにより、当該ネットワーク資源のプロビジョニングを行うように動作可能であり、
前記システムが、新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備し且つ前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成することにより、前記ネットワーク資源のプロビジョニングを行うためのコンポーネントをさらに備える、請求項28に記載のシステム。
【請求項30】
前記システムが、前記新しくプロビジョンされるネットワーク資源を前記既存のネットワーク資源データベースに追加することにより、当該ネットワーク資源のプロビジョニングを行うように動作可能であり、
前記システムが、前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加することにより、当該ネットワーク資源のプロビジョニングを行うためのコンポーネントと、
前記プロビジョニングによって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するためのコンポーネントをさらに備える、請求項28のシステム。
【請求項31】
前記システムが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加することにより、ローカル・バージョンを再構築するように動作可能である、請求項30に記載のシステム。
【請求項32】
前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するためのコンポーネントをさらに備える、請求項31に記載のシステム。
【請求項33】
前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするためのコンポーネントをさらに備える、請求項32に記載のシステム。
【請求項34】
前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するためのコンポーネントをさらに備え、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源が、前記資源データベースの現バージョンを要求するように動作可能である、請求項32に記載のシステム。
【請求項35】
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源が、前記資源データベースの現バージョンを要求するように動作可能である、請求項32に記載のシステム。
【請求項36】
請求項1ないし請求項17の何れか1項に記載の方法の各ステップをコンピュータに実行させるためのコンピュータ・プログラム。
【請求項1】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するステップと、
(b)一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するステップと、
(c)前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するステップを有する、方法。
【請求項2】
前記ステップ(a)が、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するステップを含む、請求項1に記載の方法。
【請求項3】
前記ステップ(a)が、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LANIDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するステップを含む、請求項1に記載の方法。
【請求項4】
コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するステップをさらに有する、請求項1ないし請求項3の何れか1項に記載の方法。
【請求項5】
前記ステップ(b)が、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定するステップと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定するステップのうちの少なくとも1つを行うことを含む、請求項1ないし請求項4の何れか1項に記載の方法。
【請求項6】
前記ステップ(c)が、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別するステップと、前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するステップを含む、請求項1ないし請求項5の何れか1項に記載の方法。
【請求項7】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するステップをさらに有し、
各ランタイム・ポリシを更新するステップが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュするステップを含む、請求項1に記載の方法。
【請求項8】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するステップをさらに有し、
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、請求項1に記載の方法。
【請求項9】
新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールが組み合わされ、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するステップをさらに有する、請求項1に記載の方法。
【請求項10】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのコンピュータ実装方法であって、
(a)新しくプロビジョンされる一のネットワーク資源を既存のネットワーク資源データベースに追加することにより、前記サービス・ランドスケープ・インスタンスへの当該ネットワーク資源のプロビジョニングを行うステップと、
(b)一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるステップを有し、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、方法。
【請求項11】
前記ステップ(a)が、
新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備するステップと、
前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成するステップを含む、請求項10に記載の方法。
【請求項12】
前記ステップ(a)が、
前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加するステップを含み、
前記ステップ(a)によって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するステップをさらに有する、請求項10に記載の方法。
【請求項13】
前記再構築するステップが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加するステップを含む、請求項12に記載の方法。
【請求項14】
前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するステップをさらに有する、請求項13に記載の方法。
【請求項15】
前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするステップをさらに有する、請求項14に記載の方法。
【請求項16】
前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するステップと、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、請求項14に記載の方法。
【請求項17】
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源によって、前記資源データベースの現バージョンを要求するステップをさらに有する、請求項14に記載の方法。
【請求項18】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のサービス・ランドスケープ・モデルに基づき、一のサービス・ランドスケープ・インスタンス内の複数のネットワーク資源を分類するための分類モジュールと、
(c)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源用の1つ以上のセキュリティ・ポリシ・ルールを自動的に生成するためのルール生成モジュールと、
(d)前記1つ以上のプロセッサ上で実行するように構成され、前記新しくプロビジョンされたネットワーク資源をリモート資源として含むように、前記サービス・ランドスケープ・モデルに基づき、前記新しくプロビジョンされたネットワーク資源と通信するのに適格であると決定された、前記サービス・ランドスケープ・インスタンス内の既存のネットワーク資源の複数のセキュリティ・ポリシ・ルールを更新するためのポリシ更新モジュールを備える、システム。
【請求項19】
前記サービス・ランドスケープ・インスタンス内の前記複数のネットワーク資源用の複数の分類を提供するように、前記サービス・ランドスケープ・モデルを構成するための構成モジュールをさらに備え、
前記サービス・ランドスケープ・モデルによって規定された階層的トポロジの各層内で許可される複数のネットワーク資源が分類され、
他のネットワーク資源と通信することを許可されるネットワーク資源が識別され、
異なるネットワーク資源間のネットワーク通信用のセキュリティ要件が指定される、請求項18に記載のシステム。
【請求項20】
前記分類モジュールが、前記サービス・ランドスケープ・インスタンス内で各ネットワーク資源が行う役割及び前記サービス・ランドスケープ・モデルに基づき決定された多層の階層的トポロジ内で各ネットワーク資源が占有する層に従って、各ネットワーク資源を分類するように構成される、請求項18に記載のシステム。
【請求項21】
前記分類モジュールが、前記サービス・ランドスケープ・モデル内に記述された伝送制御プロトコル(TCP)ポート番号、ユーザ・データグラム・プロトコル(UDP)トランスポート・タイプ仕様、セッション開始プロトコル(SIP)トランスポート・タイプ仕様、インターネット・プロトコル(IP)ID、対応するIPアドレス、第2層のMACアドレス及び/又は仮想LANIDのうちの少なくとも1つに基づき、前記複数のネットワーク資源を分類するように構成される、請求項18に記載のシステム。
【請求項22】
コンピュータ実行可能コードで実装された前記複数のネットワーク資源の少なくとも一部を、管理可能ドメイン・プロビジョニング・マネージャにアクセス可能に構成された、ネットワーク接続データベース内に安全に維持するためのコンポーネントをさらに備える、請求項18ないし請求項21の何れか1項に記載のシステム、
【請求項23】
1つ以上のセキュリティ・ルールを自動的に生成するために、前記ルール生成モジュールが、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の許可された接続性を決定することと、前記新しくプロビジョンされたネットワーク資源及び前記サービス・ランドスケープ・インスタンス内の他のネットワーク資源の間の通信用のネットワーク暗号化のレベルを決定することのうちの少なくとも1つを行うように構成される、請求項18ないし請求項22の何れか1項に記載のシステム。
【請求項24】
前記ポリシ更新モジュールが、前記サービス・ランドスケープ・インスタンス内のどのネットワーク資源が前記新しくプロビジョンされたネットワーク資源と通信することができるかを識別し且つ前記サービス・ランドスケープ・モデルによって必要とされる複数のセキュリティ・アクションに従って、前記新しくプロビジョンされたネットワーク資源への接続性を許可する複数のセキュリティ・ポリシ・ルールを更新するように構成される、請求項18ないし請求項23の何れか1項に記載のシステム。
【請求項25】
前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを更新するためのコンポーネントをさらに備え、
各ランタイム・ポリシを更新することが、前記1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを、管理可能ドメイン・プロビジョニング・マネージャによって、影響を受ける各ネットワーク資源にプッシュすることを含む、請求項18に記載のシステム。
【請求項26】
前記システムが、前記一のネットワーク資源の前記プロビジョニングによって影響を受ける各ネットワーク資源のランタイム・ポリシを、影響を受ける各ネットワーク資源に通知する管理可能ドメイン・プロビジョニング・マネージャによって更新するように動作可能であり、
前記システムが、新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを組み合わせるように動作可能であり、
影響を受ける各ネットワーク資源が、前記管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシを要求する、請求項18に記載のシステム。
【請求項27】
前記システムが、新しいポリシを定義するために、前記自動的に生成された1つ以上のセキュリティ・ポリシ・ルール及び更新された複数のセキュリティ・ポリシ・ルールを組み合わせるように動作可能であり、
前記サービス・ランドスケープ・インスタンス内の少なくとも1つのネットワーク資源をさらに備え、
当該少なくとも1つのネットワーク資源が、所定の時間又は所定の時間間隔の間に、管理可能ドメイン・プロビジョニング・マネージャから前記新しいポリシの最新バージョンを要求するように動作可能である、請求項18に記載のシステム。
【請求項28】
ネットワーク資源がサービス・ランドスケープ・インスタンス内でプロビジョンされるときに、ネットワーク・セキュリティ・ポリシ・ルールを更新するためのシステムであって、
(a)プロセッサ実行可能コードを実行するための1つ以上のプロセッサと、
(b)前記1つ以上のプロセッサ上で実行するように構成され、一のネットワーク資源のプロビジョニングに応答して、当該新しくプロビジョンされたネットワーク資源を前記サービス・ランドスケープ・インスタンスの既存のネットワーク資源データベースに追加するための名前関連付けモジュールを備え、
前記名前関連付けモジュールが、一のグループ名を前記新しくプロビジョンされたネットワーク資源に関連付けるようにさらに構成され、
前記グループ名が、複数のネットワーク資源の一の集合に対応し、当該複数のネットワーク資源の集合が、前記サービス・ランドスケープ・インスタンス内の当該複数のネットワーク資源について必要とされる複数のセキュリティ・アクションを指定する、事前構成された複数のポリシ・ルール内で参照され、
前記グループ名が、前記構成されたポリシ・ルール内の一のネットワーク・アドレスの代わりに指定される、システム。
【請求項29】
前記システムが、前記新しくプロビジョンされるネットワーク資源を前記既存のネットワーク資源データベースに追加することにより、当該ネットワーク資源のプロビジョニングを行うように動作可能であり、
前記システムが、新しいアプリケーションを前記サービス・ランドスケープ・インスタンス内に配備し且つ前記新しいアプリケーション及び前記サービス・ランドスケープ・インスタンスの他のネットワーク資源の間の通信用の新しいセキュリティ・ポリシ・ルールを含むように、前記サービス・ランドスケープ・モデルを再構成することにより、前記ネットワーク資源のプロビジョニングを行うためのコンポーネントをさらに備える、請求項28に記載のシステム。
【請求項30】
前記システムが、前記新しくプロビジョンされるネットワーク資源を前記既存のネットワーク資源データベースに追加することにより、当該ネットワーク資源のプロビジョニングを行うように動作可能であり、
前記システムが、前記サービス・ランドスケープ・モデルを変更することなく前記新しくプロビジョンされるネットワーク資源を追加することにより、当該ネットワーク資源のプロビジョニングを行うためのコンポーネントと、
前記プロビジョニングによって影響を受ける各ネットワーク資源において前記複数のポリシ・ルールのローカル・バージョンを再構築するためのコンポーネントをさらに備える、請求項28のシステム。
【請求項31】
前記システムが、前記ネットワーク資源データベースを再読み取りし且つ前記新しくプロビジョンされたネットワーク資源を前記複数のポリシ・ルールの前記ローカル・バージョン内に維持された前記資源グループに追加することにより、ローカル・バージョンを再構築するように動作可能である、請求項30に記載のシステム。
【請求項32】
前記構成されたポリシがランタイム使用に適合する形式に変換されるときに、影響を受ける各ネットワーク資源において前記新しくプロビジョンされたネットワーク資源に対応する新しいランタイム・ルールを作成するためのコンポーネントをさらに備える、請求項31に記載のシステム。
【請求項33】
前記資源データベースの再読み取り及び前記構成されたポリシのランタイム形式の更新を行うことができるように、前記新しくプロビジョンされたネットワーク資源を保持する前記資源データベースを、管理可能ドメイン・プロビジョニング・マネージャから前記サービス・ランドスケープ・インスタンス内の影響を受ける各ネットワーク資源にプッシュするためのコンポーネントをさらに備える、請求項32に記載のシステム。
【請求項34】
前記資源データベースが更新されたことを、影響を受ける各ネットワーク資源に通知するためのコンポーネントをさらに備え、
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源が、前記資源データベースの現バージョンを要求するように動作可能である、請求項32に記載のシステム。
【請求項35】
影響を受ける少なくとも1つのネットワーク資源の前記構成されたポリシのランタイム形式を更新することができるように、当該影響を受ける少なくとも1つのネットワーク資源が、前記資源データベースの現バージョンを要求するように動作可能である、請求項32に記載のシステム。
【請求項36】
請求項1ないし請求項17の何れか1項に記載の方法の各ステップをコンピュータに実行させるためのコンピュータ・プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2011−527781(P2011−527781A)
【公表日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願番号】特願2011−515429(P2011−515429)
【出願日】平成21年6月30日(2009.6.30)
【国際出願番号】PCT/EP2009/058182
【国際公開番号】WO2010/000738
【国際公開日】平成22年1月7日(2010.1.7)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願日】平成21年6月30日(2009.6.30)
【国際出願番号】PCT/EP2009/058182
【国際公開番号】WO2010/000738
【国際公開日】平成22年1月7日(2010.1.7)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]