自動的に分散されるネットワーク保護
ネットワーク保護ソリューションを提供し、このソリューションでは、ゲートウェイ上で最小限の量のリソースを消費しながらクライアントについて目標レベルのセキュリティを達成する方法で、ゲートウェイとクライアントマシンとの間で様々なプロセスを自動的にかつ動的に分散することができるよう、クライアントマシンのセキュリティ機能をネットワークセキュリティゲートウェイに伝達する。例えば、指定されたヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠し、かつ、設置され稼働中のA/V機能を有するものと知られているクライアントに関しては、ネットワークセキュリティゲートウェイは、クライアントへの受信ネットワークトラフィックに対してさらなるA/Vスキャニングを実行する必要がなく、そのため、ゲートウェイにおけるリソースを節約し、運営コストを低減することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動的に分散されるネットワーク保護に関する。
【背景技術】
【0002】
コンテンツ検査、ウイルス対策(「A/V」)スキャニング、マルウェア(悪意のあるソフトウェア)ブロッキング、情報漏洩防止、侵入検出等を含む、様々な種類のセキュリティ、ネットワークトラフィック保護および他の処理を行うために、ネットワークゲートウェイを使用することができる。そうした機能を提供することは、多くの場合、そのゲートウェイを介してネットワークへのアクセスを行うPC(パーソナルコンピュータ)やモバイルデバイス(例えば携帯電話、スマートフォン、ハンドヘルドゲームデバイス、パーソナルメディアプレーヤー、ハンドヘルドコンピュータ等)などのクライアントマシンの数に直線的に関係する、処理能力、ディスク領域、メモリ、帯域幅等の点で著しいリソースを消費する。ゲートウェイを介したネットワークアクセスを要求するクライアントマシンの数が増加するにつれ、より多くのネットワークゲートウェイを設置しなければならないので、そうしたリソースの消費は、ネットワークゲートウェイセキュリティソリューションのスケーラビリティに影響を与える可能性がある。
【0003】
さらに、この処理を実行するためのネットワーク帯域幅のコストは、かなりのものである可能性がある。要求にサービス提供するために必要な、クライアントからゲートウェイへのすべてのラウンドトリップは、帯域幅のコストと処理のコストとの両方を意味する。要求されるラウンドトリップおよびサーバー上の処理時間は、全体的なシステムの応答およびクライアント上で実行される様々なユーザーアプリケーションのパフォーマンスを低下させる可能性がある。これらの固有の限界(すなわちスケーラビリティおよび帯域幅)は、業務用の企業(エンタープライズ)ネットワークをサポートするデータセンタ、およびホストされたサービスとしてネットワーク保護を提供するサービスプロバイダ両方の運営コストに著しく影響を及ぼす可能性がある。そうしたサービスプロバイダに関しては、サービスによって保護されているユーザーの数とともにサービスの運営コストが直線的に増加するので、コスト効率のよいビジネスモデルを特定することは多くの場合困難であり得る。
【0004】
この背景技術は、以下に続く、発明の概要および発明を実施するための形態のための簡潔な状況を紹介するために提供される。この背景技術は、特許請求の範囲に記載する主題の範囲を決定する助けになることも、特許請求の範囲に記載する主題を、上記に示した不都合または問題のいずれかもしくはすべてを解決する実装形態に限定するものであるとみなされることも意図しない。
【発明の概要】
【課題を解決するための手段】
【0005】
ネットワーク保護ソリューションを提供し、このソリューションでは、ゲートウェイ上で最小限の量のリソースを消費しながらクライアントについて目標レベルのセキュリティを達成する方法で、ゲートウェイとクライアントマシンとの間で様々なプロセスを自動的にかつ動的に分散することができるよう、クライアントマシンのセキュリティ機能をネットワークセキュリティゲートウェイに伝達する。例えば、指定されたヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠しかつ設置され稼働中であり、かつ/または最新の脅威データに対して最新のA/V機能を有するものと知られているクライアントに関しては、ネットワークセキュリティゲートウェイは、クライアントへの受信ネットワークトラフィックに対してさらなるA/Vスキャニングを実行する必要がなく、そのため、ゲートウェイにおけるリソースを節約し、運営コストを低減することができる。
【0006】
様々な説明のための例では、クライアントマシンにおけるユーザーが、インターネットなどの外部ネットワーク上のウェブサイトのようなリソースにアクセスしようとする場合、そのクライアントがネットワークセキュリティゲートウェイに接続するとき、適用されるポリシーに対するそのクライアントの準拠およびそのクライアントのセキュリティ機能の列挙が転送される。ゲートウェイは、そのクライアントの準拠性およびセキュリティ機能に従って自らのアクションを調節して作業が重複することを回避し、これにより、所望の保護レベルを維持しながらゲートウェイにおけるリソースの消費量を低減するために、できるだけ多くの仕事をクライアントにオフロードすることができる。しかし、非準拠クライアント(すなわち適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに従わないクライアント)には、一般に仕事をオフロードせず、その代わりに、非準拠クライアントのセキュリティを所望のレベルに保つことを確実にするために、ゲートウェイがセキュリティプロセスを実行する。ゲートウェイが自らのアクションを調節し、クライアントにプロセスをオフロードするとき、ユーザーが検索した情報の鮮度や、インターネットの全体的なセキュリティ状態などの外部要因も考慮することができる。
【0007】
クライアントが、ネットワークトラフィックを処理するために最小限の機能を有する一部の事例では、ゲートウェイが、ウェブサイトへの接続、URL(Uniform Resource Locator)フィルタリングやA/Vスキャニングの実行など、プロセス一式を実行する。クライアントが準拠しており、より完全に構成されまたは能力がある場合、このゲートウェイは、このゲートウェイにおけるリソース消費量がより少ないように、より多くのプロセスをローカルで実行するようクライアントに命令する。ゲートウェイにおいて消費されるいかなるリソースも、例えばネットワークの分析および最適化を可能にするためにログを取られ、またはホストされたネットワーク保護サービスの場合、単に保護されているクライアントの数ではなく、ネットワークセキュリティゲートウェイにおける実際のリソース消費量に基づいて課金情報を生成するために、そのログを使用することができる。一部の実装形態では、複数のネットワークセキュリティゲートウェイを利用することができ、その場合、プロセスはゲートウェイの間で動的に負荷分散される。
【0008】
有利なことに、この自動的に分散されるネットワーク保護ソリューションは、所望のネットワーク保護レベルを維持しながらコストを低減するために、クライアントと最適化すべきゲートウェイとの間でネットワークトラフィックの処理を割り当てることを可能にする。ゲートウェイにおけるリソース消費量のログを取る能力は、企業ネットワークおよびホストされたサービスの顧客の両方が、どのようにリソースが利用されているのか特定し、それに応じてクライアントの構成を調節することを可能にする。例えば、ゲートウェイにおいてリソースを消費することに対して金銭的ペナルティがもたらされることにより、消費者はクライアント(またはローカルに設置されるゲートウェイ、すなわち企業内に位置し、典型的には管理者がローカルに管理するゲートウェイ)により多くのセキュリティ機能を配備しようという気になる。すると、このネットワークセキュリティゲートウェイをより不定期に、例えばクライアントマシンが、完全には準拠していないまたはローカルセキュリティ機能を備えていないが、それでもなお使用されなければならない場合のバックアップとして頼ることができる。
【0009】
この発明の概要は、以下の、発明を実施するための形態の中でさらに説明する一連の概念を簡略化した形で紹介するために提供する。この発明の概要は、特許請求の範囲に記載する主題の主要な特徴または不可欠な特徴を特定することも、特許請求の範囲に記載する主題の範囲を決定する助けとして使用されることも意図しない。
【図面の簡単な説明】
【0010】
【図1】この自動的に分散されるネットワーク保護ソリューションを設置することができる、説明のためのコンピューティング環境を示す図である。
【図2】クライアントマシンとネットワークセキュリティゲートウェイとの間でプロセスを割り当てる、説明のための方法の概要を示す図である。
【図3】ローカルセキュリティ保護を僅かに備えるクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第1の説明のための使用シナリオを示す図である。
【図4】より完全に装備されたクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第2の説明のための使用シナリオを示す図である。
【図5】完全に装備されたクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第3の説明のための使用シナリオを示す図である。
【図6】ローカルクライアントにプロセスをオフロードする際に外部要因を考慮することができ、複数のネットワークセキュリティゲートウェイにわたり負荷分散を実行することもできる代替的構成を示す図である。
【発明を実施するための形態】
【0011】
図中、同じ参照番号は同じ要素を示す。
【0012】
図1は、この自動的に分散されるネットワーク保護ソリューションを設置することができる、説明のためのコンピューティング環境100を示す。コンピューティング環境100は、PC、ラップトップ、ワークステーションなど、何台かのクライアントマシン1161,2...Nを含む企業ネットワーク105をサポートする。例えばこの企業ネットワークの外部の移動ユーザーが使用するデバイス、または消費者ユーザーなどの他者が使用するデバイスに相当することができる、他のクライアントマシン1211...Nも図示する。この例で企業ネットワーク105を使用することは、企業(すなわち非消費者用途)で使用される典型的なネットワークの実例となることを意図するが、実際の実装形態は図示する形態と異なってもよい。
【0013】
この企業ネットワーク105内には、ネットワークセキュリティゲートウェイ1261(この説明では以下、「ゲートウェイ」と呼ぶ)が位置し、様々なセキュリティ関連プロセスの任意のものを実行できるように構成される。そうしたプロセスには、実装形態によって異なり得るが、典型的にはコンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、および同様の種類のプロセスが含まれる。ゲートウェイ1261は、通常何らかの種類の認証、承認、および監査機能(多くの場合、「AAA」機能と呼ばれる)を実行して、所与のユーザーを識別し、有効なユーザーがどのリソースにアクセスできるのかを決定する様々なポリシーを適用し、ネットワークの分析または課金目的でその有効なユーザーが使用する時間およびデータを追跡することにより、アクセス制御を可能にする。ゲートウェイ1261は、場合によってはデータの圧縮など、様々な種類のネットワーク帯域幅最適化技法を実行するように構成することもできる。
【0014】
この例では、クライアント121は、ゲートウェイ1261を介して、インターネット137上の外部の電子メールサーバー、ウェブサイト、データベースなどの外部リソース131にアクセスできるようになる。このゲートウェイ1261は、他のセキュリティ製品(図1には不図示)とともに設置することができ、必ずしも企業ネットワーク105内のクライアント116にセキュリティを提供するための唯一の手段として機能することを意図するものではないことを強調しておく。
【0015】
もう1つのゲートウェイ126Nも、環境100内で利用され、ホストされたサービス142としてクライアント121がネットワーク保護を得ることができる、ウェブ対応サービスまたは「クラウドベース」サービスとして設置される。ゲートウェイ126Nは、企業ネットワーク105内のゲートウェイ1261と同様の特徴および機能を提供するように構成することができる。しかし、典型的には企業ネットワークベースのゲートウェイ1261の場合のように、ローカルに位置しかつ/またはローカル管理者によって管理されるのではなく、ゲートウェイ126Nは、インターネット137を介したサービスとして、クライアント121によってリモートでアクセスされる。図1には示さないが、一部の実装形態では、企業ネットワーク105内のクライアント116は、企業ネットワークベースのゲートウェイを置換しまたは補うためのサービスとして、ゲートウェイを利用することもできる。したがって、任意の所与の実装形態で使用されるゲートウェイの数は異なり得る。
【0016】
図2は、クライアント121とゲートウェイ126Nとの間でセキュリティプロセスを割り当てる、説明のための方法の概要を示す。この方法をクライアント121およびゲートウェイ126Nに関して記載するが、この方法は、企業ネットワーク105内のクライアント116および企業ネットワークベースのゲートウェイ1261について同等の適用性を有することを指摘しておく。例えばインターネット137上のウェブサイトなどのリソースにアクセスしようとする場合に、クライアント121がゲートウェイ126Nに接続するとき、参照番号205によって示すように、クライアント121は、適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに対する自らの準拠、ならびに自らのセキュリティ機能についての列挙もしくはリストをゲートウェイに転送する。
【0017】
そうした準拠は、例えばネットワークアクセス保護(「NAP」)システムを使用してモニタすることができる。そうしたシステムは知られており、典型的には、クライアントが誰であるのか、そのクライアントが属するグループ、ならびにそのクライアントがヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠する程度に基づき、ネットワーク管理者が詳細レベルのネットワークアクセスを定義することを可能にする。そうしたポリシーは、実装形態によって異なり得る。クライアントが準拠していない場合、NAPは、典型的にはそのクライアントを再び自動的に準拠させるための機構を提供し、その後、そのクライアントのネットワークアクセスレベルを動的に高める。典型的な実装形態では、ゲートウェイ126Nは、適用されるポリシーに対するクライアントの準拠を周期的に再チェックする。
【0018】
ゲートウェイ126Nに準拠情報を提供することに加え、そのリストは、例えばクライアント121が、設置されているA/V製品を有するかどうか、その製品の動作状態(例えば、その製品が最後に更新されたのはいつか)、そのクライアントがオンにされたファイアウォールを備えるのか、そのクライアントが、知られている悪意のあるURLを(例えばURLをブラックリストまたは同様のコンストラクトと突き合わせて比較することにより)フィルタで除去する機能を有するのか、侵入防止システム(「IPS」−「悪い」通信を識別し、その通信に対し処置を取るために使用される)がクライアント121上に存在し稼働中か等を含む、クライアントのセキュリティ機能を明らかにすることもできる。
【0019】
準拠およびセキュリティ機能を伝達することは、NAP API(アプリケーションプログラミングインターフェイス)や他のセキュアチャネルなど、既存の手段を使用して実施することができる。あるいは、本出願の譲受人によって所有され、参照によりその全体が本明細書に組み込まれる、2007年3月14日に出願された「Enterprise Security Assessment Sharing」と題された米国特許出願第11/724,061号明細書に記載のように、ESAS(エンタープライズセキュリティアセスメント共有)アーキテクチャを利用することができる。
【0020】
参照番号212によって示すように、ゲートウェイ126Nが、クライアント121の準拠およびセキュリティ機能を分析し、自らのネットワークトラフィックの処理を調節する。一般に、ゲートウェイ126Nは、クライアント121の準拠およびセキュリティ機能が縮小されている(すなわち、クライアント121がセキュリティ機能の点で「シンクライアント」であり、かつ/または適用されるポリシーに準拠しない)とき、より多くの処理を自らが実行する。逆に、クライアント121がより多くの完全なセキュリティ機能を備える「リッチクライアント」であり、適用されるポリシーに完全に準拠する場合、ゲートウェイ126Nは、自らの処理をより最小限になるように調節する。さらに、ゲートウェイ126Nは、適用されるポリシーに対するクライアントの準拠が何らかの理由で変わる場合、自らの処理レベルを変更することができる。一般にすべての場合において、ゲートウェイ126Nにおける処理の間消費されるリソースのレベルが何であろうと、それらのリソースは典型的には追跡され、参照番号225によって示すように、ログ220内に永続ベースで記憶される。このログ220は、例えば、単にゲートウェイ126Nによって保護されているクライアントマシンの数などの他の何らかの任意の測度に基づいてではなく、ゲートウェイ126Nにおける実際のリソース消費量に基づいて(参照番号236によって示すように)顧客に対する課金情報を生成するように構成される、課金システム231の一部として構成することができる。
【0021】
商業ベースで消費者に提供される、ホストされたネットワーク保護サービスのプロビジョニングに関連する課金など、商業シナリオでは課金がしばしば利用されるが、この課金の概念はビジネスシナリオにも適用することができる。例えば、図1に示す企業ネットワーク105内で、各部門または他の組織は、IT(情報技術)リソースまたはITサービスを使用することに関し、多くの場合、内部的に課金される。この自動的に分散されるネットワーク保護ソリューションは、そうしたゲートウェイサービスに対する内部的課金をより包括的かつ正確に行えるようにする。
【0022】
次に図3〜図5に移ると、このソリューションの原理を強調する、いくつかの説明のためのシナリオが図示されている。前と同じように、これらのシナリオは、クライアント121およびゲートウェイ126Nに関して図示し記載するが、これらのシナリオは、企業ネットワーク105内のクライアント116および企業ネットワークベースのゲートウェイ1261について同等の適用性を有することを意図することを指摘しておく。さらに、記載する特定のセキュリティ機能は単に説明のためであるに過ぎないことを意図し、網羅的であるとみなすべきではない。
【0023】
図3に示すシナリオでは、ローカルに設置されるセキュリティリソース、または適用されるポリシー(すなわちヘルスポリシーおよび/またはコーポレートガバナンスポリシー)に対するその準拠に関し、クライアント121を、シンクライアントであるとみなす。このクライアント121におけるユーザーは、(参照番号305によって示すように)インターネット137を介してリソース131からのウェブサイトをブラウズすることを望む。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの適用されるポリシーに対する準拠およびセキュリティ機能の列挙を転送する(310)。クライアント121が、任意のネットワークセキュリティプロセスを実行するように装備されていないか、または適用されるポリシーに準拠していないとき、ゲートウェイ126Nは、セキュリティ処理作業をそのクライアントにオフロードしない。したがって、ゲートウェイ126Nは、そのクライアントのためにURLフィルタリングをまず実行して(315)、そのユーザーがアクセスしようとしたウェブサイトが、例えばフィッシングサイトであるまたはマルウェアを含む等により、悪意があると知られているかどうか判定する。悪意があると判定される場合、ゲートウェイがアクセスをブロックする。
【0024】
そのウェブサイトへのアクセスがブロックされない場合、ゲートウェイ126Nが、クライアント121のプロキシとして、要求されたウェブサイトに接続する(320)。そのウェブサイトがコンテンツを返すと、ゲートウェイ126Nは、ウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査する(325)。その後、クライアント121は、そのウェブサイトからのコンテンツを、さらに処理することなく自由に消費することができる(330)。
【0025】
上記のシナリオは、今日ではありふれており、ゲートウェイ126Nにおける最高レベルのリソース消費量および対応する最高レベルの課金を表す。このシナリオは、セキュリティに関して完全に能力があるが、適用されるポリシーに準拠しないリッチクライアントについても同様である。そのような場合、ゲートウェイ126Nは、仕事をリッチクライアントにオフロードせず、そのクライアントのために高レベルのセキュリティ処理を実行する。
【0026】
図4に示すシナリオでは、クライアント121は、URLフィルタリングでは構成されないがA/V検査機能で構成されることにより、中間レベルのセキュリティ機能を有し、適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠するとみなされる。このクライアント121におけるユーザーは、インターネット137を介してリソース131からのウェブサイトをブラウズすることを望む(405)。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの準拠およびセキュリティ機能の列挙を転送し(410)、この例では、その列挙は、クライアントが、適用されるポリシーに完全に準拠し、A/V検査が設置され、すべての適用できる定義が更新された状態で稼働中であることを示す。
【0027】
クライアント121は、A/V検査を実行するように装備されているが、URLフィルタリングを実行するようには装備されていないため、ゲートウェイ126Nは、そのクライアントのためにURLフィルタリングをまず実行し(415)、次いで、そのクライアントのプロキシとして、要求されたウェブサイトに接続する(420)。そのウェブサイトがコンテンツを返すと、クライアント121は、ローカルに設置された自らのA/V検査機能を使用してウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査し(425)、その後、そのコンテンツを消費する。
【0028】
このシナリオでは、処理オーバーヘッドがクライアント121とゲートウェイ126Nとの間で分散され、よってゲートウェイにおいて費やされる必要があるリソースがより少ないので、消費者に対してより低い課金を与える。
【0029】
図5に示すシナリオでは、クライアント121は、この例では適用されるポリシーに完全に準拠するA/V検査機能およびURLフィルタリング機能の両方を含む、セキュリティ機能一式を備えるリッチクライアントである。クライアント121におけるユーザーは、ここでもインターネット137を介してリソース131からのウェブサイトをブラウズすることを望む(505)。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの準拠およびセキュリティ機能の列挙を転送し(510)、この例では、その列挙は、クライアントにA/V検査が設置され、すべての適用できる定義が更新された状態で稼働中であるだけでなく、クライアントが包括的かつ最新のURLフィルタリング機能を備えることを示す。
【0030】
クライアントの準拠状態およびセキュリティ機能を知ることに応答して、ゲートウェイ126Nは、ウェブサイトに直接接続して、ゲートウェイを介したプロキシ接続の使用をやめるようクライアント121に命令する(515)。したがって、クライアント121は自らのURLフィルタリングを実行し(520)、所望のウェブサイトに直接接続する(525)。そのウェブサイトがコンテンツを返すと、クライアント121は、ローカルに設置された自らのA/V検査機能を使用してウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査し(530)、その後、そのコンテンツを消費する。
【0031】
上記に述べたように、ゲートウェイ126Nはクライアントの準拠状態を周期的に再チェックし、クライアントの状態が完全準拠から非準拠に変わる(例えばクライアント121上でウイルスの発生が生じる)場合、ゲートウェイはそのクライアントへのセキュリティ処理のオフロードを終了する。同様に、クライアント121上でセキュリティインシデントが発生し、そのためそのクライアントが何らかの形で危害を受けた可能性があることを示すESASセキュリティアセスメントが受信される場合、オフロードを同じく終了することもできる。
【0032】
このシナリオでは、処理はほとんどすべてクライアント121にオフロードされているので、ゲートウェイ126Nが使用するリソースは最小限であり、典型的にはAAAサービスだけである。このことは、顧客に対する最小限の課金をもたらす。
【0033】
図6は、クライアントにプロセスをオフロードする際に外部要因を考慮することができ、複数のネットワークセキュリティゲートウェイにわたり負荷分散を実行することもできる代替的構成を示す。上記のように、この構成は、企業ネットワーク内のクライアントおよびゲートウェイ、ならびにホストされたネットワーク保護サービスに関連するクライアントおよびゲートウェイのどちらにも適用可能とすることができる。この外部要因を考慮することおよび負荷を分散することは、図2〜図5に図示し、付随するテキストに記載した技法を補い、または場合によってはそれらの技法を置換するために使用することができる。
【0034】
ここで、クライアント121は、ゲートウェイ126Nに接続して準拠およびセキュリティ機能のリストをそのゲートウェイに転送し(605)、そのゲートウェイは、どのように自らの処理を調節し、クライアントに仕事をオフロードするのかを決定する際、様々な外部要因を考慮する(610)。そうした要因には、実例として(必ずしもこれらに限定されないが)、インターネット137の全体的なセキュリティ状態611、アクセスされた情報の鮮度612、および他の要因613が含まれる。例えば、インターネット上に重大な脅威がある場合、ゲートウェイ126Nは、特定の時刻にまたは時間間隔でのみ所望のウェブサイトに直接接続するようリッチクライアントに命令することができる。同様に、要求されたデータが1つまたは複数の信頼できるサーバー内に既にキャッシュ済みの場合、ゲートウェイ126Nは、それらのサーバーからデータを取得するようクライアント121に命令することができる。
【0035】
1つまたは複数のさらなるゲートウェイ614にわたり、負荷分散も実行することができる(615)。説明のための一例では、ゲートウェイ126Nは、さらなるゲートウェイ614の間でどのように仕事を割り当てるのかを決定する際、クライアント121のセキュリティ機能、自らがサービス供給するすべてのクライアント間のセキュリティ処理の全負荷、アクセスされているデータの種類(例えば電子メール、ファイル、ウェブサイト等)、優先順位、ユーザープロファイル、および他の要因を考慮することができる。上記に記載したのと同様の方法で、単一のゲートウェイ126を利用する場合、さらなるゲートウェイ614は、ローカルクライアント121のためにセキュリティ処理を実行する際、ローカルクライアント121の機能を考慮する(620)。
【0036】
負荷分散は、クラウドベースゲートウェイとローカルに設置されたゲートウェイと(例えば図1に示すゲートウェイ126Nおよび1261それぞれ)の間で実行することもできる。この例では、負荷分散はローカルに設置された(すなわち「ダウンストリーム」)ゲートウェイ1261を支持し、クラウドベース(すなわち「アップストリーム」)ゲートウェイ126Nのより好ましい運営コストを促進することができる。
【0037】
この主題を構造的特徴および/または方法論的行為に特有の用語で記載してきたが、添付の特許請求の範囲に定義するこの主題は、必ずしも上記の特定の特徴または行為に限定されないことを理解すべきである。むしろ、上記の特定の特徴および行為は特許請求の範囲を実施する形態例として開示したものである。
【技術分野】
【0001】
本発明は、自動的に分散されるネットワーク保護に関する。
【背景技術】
【0002】
コンテンツ検査、ウイルス対策(「A/V」)スキャニング、マルウェア(悪意のあるソフトウェア)ブロッキング、情報漏洩防止、侵入検出等を含む、様々な種類のセキュリティ、ネットワークトラフィック保護および他の処理を行うために、ネットワークゲートウェイを使用することができる。そうした機能を提供することは、多くの場合、そのゲートウェイを介してネットワークへのアクセスを行うPC(パーソナルコンピュータ)やモバイルデバイス(例えば携帯電話、スマートフォン、ハンドヘルドゲームデバイス、パーソナルメディアプレーヤー、ハンドヘルドコンピュータ等)などのクライアントマシンの数に直線的に関係する、処理能力、ディスク領域、メモリ、帯域幅等の点で著しいリソースを消費する。ゲートウェイを介したネットワークアクセスを要求するクライアントマシンの数が増加するにつれ、より多くのネットワークゲートウェイを設置しなければならないので、そうしたリソースの消費は、ネットワークゲートウェイセキュリティソリューションのスケーラビリティに影響を与える可能性がある。
【0003】
さらに、この処理を実行するためのネットワーク帯域幅のコストは、かなりのものである可能性がある。要求にサービス提供するために必要な、クライアントからゲートウェイへのすべてのラウンドトリップは、帯域幅のコストと処理のコストとの両方を意味する。要求されるラウンドトリップおよびサーバー上の処理時間は、全体的なシステムの応答およびクライアント上で実行される様々なユーザーアプリケーションのパフォーマンスを低下させる可能性がある。これらの固有の限界(すなわちスケーラビリティおよび帯域幅)は、業務用の企業(エンタープライズ)ネットワークをサポートするデータセンタ、およびホストされたサービスとしてネットワーク保護を提供するサービスプロバイダ両方の運営コストに著しく影響を及ぼす可能性がある。そうしたサービスプロバイダに関しては、サービスによって保護されているユーザーの数とともにサービスの運営コストが直線的に増加するので、コスト効率のよいビジネスモデルを特定することは多くの場合困難であり得る。
【0004】
この背景技術は、以下に続く、発明の概要および発明を実施するための形態のための簡潔な状況を紹介するために提供される。この背景技術は、特許請求の範囲に記載する主題の範囲を決定する助けになることも、特許請求の範囲に記載する主題を、上記に示した不都合または問題のいずれかもしくはすべてを解決する実装形態に限定するものであるとみなされることも意図しない。
【発明の概要】
【課題を解決するための手段】
【0005】
ネットワーク保護ソリューションを提供し、このソリューションでは、ゲートウェイ上で最小限の量のリソースを消費しながらクライアントについて目標レベルのセキュリティを達成する方法で、ゲートウェイとクライアントマシンとの間で様々なプロセスを自動的にかつ動的に分散することができるよう、クライアントマシンのセキュリティ機能をネットワークセキュリティゲートウェイに伝達する。例えば、指定されたヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠しかつ設置され稼働中であり、かつ/または最新の脅威データに対して最新のA/V機能を有するものと知られているクライアントに関しては、ネットワークセキュリティゲートウェイは、クライアントへの受信ネットワークトラフィックに対してさらなるA/Vスキャニングを実行する必要がなく、そのため、ゲートウェイにおけるリソースを節約し、運営コストを低減することができる。
【0006】
様々な説明のための例では、クライアントマシンにおけるユーザーが、インターネットなどの外部ネットワーク上のウェブサイトのようなリソースにアクセスしようとする場合、そのクライアントがネットワークセキュリティゲートウェイに接続するとき、適用されるポリシーに対するそのクライアントの準拠およびそのクライアントのセキュリティ機能の列挙が転送される。ゲートウェイは、そのクライアントの準拠性およびセキュリティ機能に従って自らのアクションを調節して作業が重複することを回避し、これにより、所望の保護レベルを維持しながらゲートウェイにおけるリソースの消費量を低減するために、できるだけ多くの仕事をクライアントにオフロードすることができる。しかし、非準拠クライアント(すなわち適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに従わないクライアント)には、一般に仕事をオフロードせず、その代わりに、非準拠クライアントのセキュリティを所望のレベルに保つことを確実にするために、ゲートウェイがセキュリティプロセスを実行する。ゲートウェイが自らのアクションを調節し、クライアントにプロセスをオフロードするとき、ユーザーが検索した情報の鮮度や、インターネットの全体的なセキュリティ状態などの外部要因も考慮することができる。
【0007】
クライアントが、ネットワークトラフィックを処理するために最小限の機能を有する一部の事例では、ゲートウェイが、ウェブサイトへの接続、URL(Uniform Resource Locator)フィルタリングやA/Vスキャニングの実行など、プロセス一式を実行する。クライアントが準拠しており、より完全に構成されまたは能力がある場合、このゲートウェイは、このゲートウェイにおけるリソース消費量がより少ないように、より多くのプロセスをローカルで実行するようクライアントに命令する。ゲートウェイにおいて消費されるいかなるリソースも、例えばネットワークの分析および最適化を可能にするためにログを取られ、またはホストされたネットワーク保護サービスの場合、単に保護されているクライアントの数ではなく、ネットワークセキュリティゲートウェイにおける実際のリソース消費量に基づいて課金情報を生成するために、そのログを使用することができる。一部の実装形態では、複数のネットワークセキュリティゲートウェイを利用することができ、その場合、プロセスはゲートウェイの間で動的に負荷分散される。
【0008】
有利なことに、この自動的に分散されるネットワーク保護ソリューションは、所望のネットワーク保護レベルを維持しながらコストを低減するために、クライアントと最適化すべきゲートウェイとの間でネットワークトラフィックの処理を割り当てることを可能にする。ゲートウェイにおけるリソース消費量のログを取る能力は、企業ネットワークおよびホストされたサービスの顧客の両方が、どのようにリソースが利用されているのか特定し、それに応じてクライアントの構成を調節することを可能にする。例えば、ゲートウェイにおいてリソースを消費することに対して金銭的ペナルティがもたらされることにより、消費者はクライアント(またはローカルに設置されるゲートウェイ、すなわち企業内に位置し、典型的には管理者がローカルに管理するゲートウェイ)により多くのセキュリティ機能を配備しようという気になる。すると、このネットワークセキュリティゲートウェイをより不定期に、例えばクライアントマシンが、完全には準拠していないまたはローカルセキュリティ機能を備えていないが、それでもなお使用されなければならない場合のバックアップとして頼ることができる。
【0009】
この発明の概要は、以下の、発明を実施するための形態の中でさらに説明する一連の概念を簡略化した形で紹介するために提供する。この発明の概要は、特許請求の範囲に記載する主題の主要な特徴または不可欠な特徴を特定することも、特許請求の範囲に記載する主題の範囲を決定する助けとして使用されることも意図しない。
【図面の簡単な説明】
【0010】
【図1】この自動的に分散されるネットワーク保護ソリューションを設置することができる、説明のためのコンピューティング環境を示す図である。
【図2】クライアントマシンとネットワークセキュリティゲートウェイとの間でプロセスを割り当てる、説明のための方法の概要を示す図である。
【図3】ローカルセキュリティ保護を僅かに備えるクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第1の説明のための使用シナリオを示す図である。
【図4】より完全に装備されたクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第2の説明のための使用シナリオを示す図である。
【図5】完全に装備されたクライアントにおけるユーザーが、インターネット上のウェブサイトにアクセスする、第3の説明のための使用シナリオを示す図である。
【図6】ローカルクライアントにプロセスをオフロードする際に外部要因を考慮することができ、複数のネットワークセキュリティゲートウェイにわたり負荷分散を実行することもできる代替的構成を示す図である。
【発明を実施するための形態】
【0011】
図中、同じ参照番号は同じ要素を示す。
【0012】
図1は、この自動的に分散されるネットワーク保護ソリューションを設置することができる、説明のためのコンピューティング環境100を示す。コンピューティング環境100は、PC、ラップトップ、ワークステーションなど、何台かのクライアントマシン1161,2...Nを含む企業ネットワーク105をサポートする。例えばこの企業ネットワークの外部の移動ユーザーが使用するデバイス、または消費者ユーザーなどの他者が使用するデバイスに相当することができる、他のクライアントマシン1211...Nも図示する。この例で企業ネットワーク105を使用することは、企業(すなわち非消費者用途)で使用される典型的なネットワークの実例となることを意図するが、実際の実装形態は図示する形態と異なってもよい。
【0013】
この企業ネットワーク105内には、ネットワークセキュリティゲートウェイ1261(この説明では以下、「ゲートウェイ」と呼ぶ)が位置し、様々なセキュリティ関連プロセスの任意のものを実行できるように構成される。そうしたプロセスには、実装形態によって異なり得るが、典型的にはコンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、および同様の種類のプロセスが含まれる。ゲートウェイ1261は、通常何らかの種類の認証、承認、および監査機能(多くの場合、「AAA」機能と呼ばれる)を実行して、所与のユーザーを識別し、有効なユーザーがどのリソースにアクセスできるのかを決定する様々なポリシーを適用し、ネットワークの分析または課金目的でその有効なユーザーが使用する時間およびデータを追跡することにより、アクセス制御を可能にする。ゲートウェイ1261は、場合によってはデータの圧縮など、様々な種類のネットワーク帯域幅最適化技法を実行するように構成することもできる。
【0014】
この例では、クライアント121は、ゲートウェイ1261を介して、インターネット137上の外部の電子メールサーバー、ウェブサイト、データベースなどの外部リソース131にアクセスできるようになる。このゲートウェイ1261は、他のセキュリティ製品(図1には不図示)とともに設置することができ、必ずしも企業ネットワーク105内のクライアント116にセキュリティを提供するための唯一の手段として機能することを意図するものではないことを強調しておく。
【0015】
もう1つのゲートウェイ126Nも、環境100内で利用され、ホストされたサービス142としてクライアント121がネットワーク保護を得ることができる、ウェブ対応サービスまたは「クラウドベース」サービスとして設置される。ゲートウェイ126Nは、企業ネットワーク105内のゲートウェイ1261と同様の特徴および機能を提供するように構成することができる。しかし、典型的には企業ネットワークベースのゲートウェイ1261の場合のように、ローカルに位置しかつ/またはローカル管理者によって管理されるのではなく、ゲートウェイ126Nは、インターネット137を介したサービスとして、クライアント121によってリモートでアクセスされる。図1には示さないが、一部の実装形態では、企業ネットワーク105内のクライアント116は、企業ネットワークベースのゲートウェイを置換しまたは補うためのサービスとして、ゲートウェイを利用することもできる。したがって、任意の所与の実装形態で使用されるゲートウェイの数は異なり得る。
【0016】
図2は、クライアント121とゲートウェイ126Nとの間でセキュリティプロセスを割り当てる、説明のための方法の概要を示す。この方法をクライアント121およびゲートウェイ126Nに関して記載するが、この方法は、企業ネットワーク105内のクライアント116および企業ネットワークベースのゲートウェイ1261について同等の適用性を有することを指摘しておく。例えばインターネット137上のウェブサイトなどのリソースにアクセスしようとする場合に、クライアント121がゲートウェイ126Nに接続するとき、参照番号205によって示すように、クライアント121は、適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに対する自らの準拠、ならびに自らのセキュリティ機能についての列挙もしくはリストをゲートウェイに転送する。
【0017】
そうした準拠は、例えばネットワークアクセス保護(「NAP」)システムを使用してモニタすることができる。そうしたシステムは知られており、典型的には、クライアントが誰であるのか、そのクライアントが属するグループ、ならびにそのクライアントがヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠する程度に基づき、ネットワーク管理者が詳細レベルのネットワークアクセスを定義することを可能にする。そうしたポリシーは、実装形態によって異なり得る。クライアントが準拠していない場合、NAPは、典型的にはそのクライアントを再び自動的に準拠させるための機構を提供し、その後、そのクライアントのネットワークアクセスレベルを動的に高める。典型的な実装形態では、ゲートウェイ126Nは、適用されるポリシーに対するクライアントの準拠を周期的に再チェックする。
【0018】
ゲートウェイ126Nに準拠情報を提供することに加え、そのリストは、例えばクライアント121が、設置されているA/V製品を有するかどうか、その製品の動作状態(例えば、その製品が最後に更新されたのはいつか)、そのクライアントがオンにされたファイアウォールを備えるのか、そのクライアントが、知られている悪意のあるURLを(例えばURLをブラックリストまたは同様のコンストラクトと突き合わせて比較することにより)フィルタで除去する機能を有するのか、侵入防止システム(「IPS」−「悪い」通信を識別し、その通信に対し処置を取るために使用される)がクライアント121上に存在し稼働中か等を含む、クライアントのセキュリティ機能を明らかにすることもできる。
【0019】
準拠およびセキュリティ機能を伝達することは、NAP API(アプリケーションプログラミングインターフェイス)や他のセキュアチャネルなど、既存の手段を使用して実施することができる。あるいは、本出願の譲受人によって所有され、参照によりその全体が本明細書に組み込まれる、2007年3月14日に出願された「Enterprise Security Assessment Sharing」と題された米国特許出願第11/724,061号明細書に記載のように、ESAS(エンタープライズセキュリティアセスメント共有)アーキテクチャを利用することができる。
【0020】
参照番号212によって示すように、ゲートウェイ126Nが、クライアント121の準拠およびセキュリティ機能を分析し、自らのネットワークトラフィックの処理を調節する。一般に、ゲートウェイ126Nは、クライアント121の準拠およびセキュリティ機能が縮小されている(すなわち、クライアント121がセキュリティ機能の点で「シンクライアント」であり、かつ/または適用されるポリシーに準拠しない)とき、より多くの処理を自らが実行する。逆に、クライアント121がより多くの完全なセキュリティ機能を備える「リッチクライアント」であり、適用されるポリシーに完全に準拠する場合、ゲートウェイ126Nは、自らの処理をより最小限になるように調節する。さらに、ゲートウェイ126Nは、適用されるポリシーに対するクライアントの準拠が何らかの理由で変わる場合、自らの処理レベルを変更することができる。一般にすべての場合において、ゲートウェイ126Nにおける処理の間消費されるリソースのレベルが何であろうと、それらのリソースは典型的には追跡され、参照番号225によって示すように、ログ220内に永続ベースで記憶される。このログ220は、例えば、単にゲートウェイ126Nによって保護されているクライアントマシンの数などの他の何らかの任意の測度に基づいてではなく、ゲートウェイ126Nにおける実際のリソース消費量に基づいて(参照番号236によって示すように)顧客に対する課金情報を生成するように構成される、課金システム231の一部として構成することができる。
【0021】
商業ベースで消費者に提供される、ホストされたネットワーク保護サービスのプロビジョニングに関連する課金など、商業シナリオでは課金がしばしば利用されるが、この課金の概念はビジネスシナリオにも適用することができる。例えば、図1に示す企業ネットワーク105内で、各部門または他の組織は、IT(情報技術)リソースまたはITサービスを使用することに関し、多くの場合、内部的に課金される。この自動的に分散されるネットワーク保護ソリューションは、そうしたゲートウェイサービスに対する内部的課金をより包括的かつ正確に行えるようにする。
【0022】
次に図3〜図5に移ると、このソリューションの原理を強調する、いくつかの説明のためのシナリオが図示されている。前と同じように、これらのシナリオは、クライアント121およびゲートウェイ126Nに関して図示し記載するが、これらのシナリオは、企業ネットワーク105内のクライアント116および企業ネットワークベースのゲートウェイ1261について同等の適用性を有することを意図することを指摘しておく。さらに、記載する特定のセキュリティ機能は単に説明のためであるに過ぎないことを意図し、網羅的であるとみなすべきではない。
【0023】
図3に示すシナリオでは、ローカルに設置されるセキュリティリソース、または適用されるポリシー(すなわちヘルスポリシーおよび/またはコーポレートガバナンスポリシー)に対するその準拠に関し、クライアント121を、シンクライアントであるとみなす。このクライアント121におけるユーザーは、(参照番号305によって示すように)インターネット137を介してリソース131からのウェブサイトをブラウズすることを望む。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの適用されるポリシーに対する準拠およびセキュリティ機能の列挙を転送する(310)。クライアント121が、任意のネットワークセキュリティプロセスを実行するように装備されていないか、または適用されるポリシーに準拠していないとき、ゲートウェイ126Nは、セキュリティ処理作業をそのクライアントにオフロードしない。したがって、ゲートウェイ126Nは、そのクライアントのためにURLフィルタリングをまず実行して(315)、そのユーザーがアクセスしようとしたウェブサイトが、例えばフィッシングサイトであるまたはマルウェアを含む等により、悪意があると知られているかどうか判定する。悪意があると判定される場合、ゲートウェイがアクセスをブロックする。
【0024】
そのウェブサイトへのアクセスがブロックされない場合、ゲートウェイ126Nが、クライアント121のプロキシとして、要求されたウェブサイトに接続する(320)。そのウェブサイトがコンテンツを返すと、ゲートウェイ126Nは、ウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査する(325)。その後、クライアント121は、そのウェブサイトからのコンテンツを、さらに処理することなく自由に消費することができる(330)。
【0025】
上記のシナリオは、今日ではありふれており、ゲートウェイ126Nにおける最高レベルのリソース消費量および対応する最高レベルの課金を表す。このシナリオは、セキュリティに関して完全に能力があるが、適用されるポリシーに準拠しないリッチクライアントについても同様である。そのような場合、ゲートウェイ126Nは、仕事をリッチクライアントにオフロードせず、そのクライアントのために高レベルのセキュリティ処理を実行する。
【0026】
図4に示すシナリオでは、クライアント121は、URLフィルタリングでは構成されないがA/V検査機能で構成されることにより、中間レベルのセキュリティ機能を有し、適用されるヘルスポリシーおよび/またはコーポレートガバナンスポリシーに準拠するとみなされる。このクライアント121におけるユーザーは、インターネット137を介してリソース131からのウェブサイトをブラウズすることを望む(405)。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの準拠およびセキュリティ機能の列挙を転送し(410)、この例では、その列挙は、クライアントが、適用されるポリシーに完全に準拠し、A/V検査が設置され、すべての適用できる定義が更新された状態で稼働中であることを示す。
【0027】
クライアント121は、A/V検査を実行するように装備されているが、URLフィルタリングを実行するようには装備されていないため、ゲートウェイ126Nは、そのクライアントのためにURLフィルタリングをまず実行し(415)、次いで、そのクライアントのプロキシとして、要求されたウェブサイトに接続する(420)。そのウェブサイトがコンテンツを返すと、クライアント121は、ローカルに設置された自らのA/V検査機能を使用してウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査し(425)、その後、そのコンテンツを消費する。
【0028】
このシナリオでは、処理オーバーヘッドがクライアント121とゲートウェイ126Nとの間で分散され、よってゲートウェイにおいて費やされる必要があるリソースがより少ないので、消費者に対してより低い課金を与える。
【0029】
図5に示すシナリオでは、クライアント121は、この例では適用されるポリシーに完全に準拠するA/V検査機能およびURLフィルタリング機能の両方を含む、セキュリティ機能一式を備えるリッチクライアントである。クライアント121におけるユーザーは、ここでもインターネット137を介してリソース131からのウェブサイトをブラウズすることを望む(505)。クライアント121は、ゲートウェイ126Nを介してリソース131に接続し、その接続プロセス中、自らの準拠およびセキュリティ機能の列挙を転送し(510)、この例では、その列挙は、クライアントにA/V検査が設置され、すべての適用できる定義が更新された状態で稼働中であるだけでなく、クライアントが包括的かつ最新のURLフィルタリング機能を備えることを示す。
【0030】
クライアントの準拠状態およびセキュリティ機能を知ることに応答して、ゲートウェイ126Nは、ウェブサイトに直接接続して、ゲートウェイを介したプロキシ接続の使用をやめるようクライアント121に命令する(515)。したがって、クライアント121は自らのURLフィルタリングを実行し(520)、所望のウェブサイトに直接接続する(525)。そのウェブサイトがコンテンツを返すと、クライアント121は、ローカルに設置された自らのA/V検査機能を使用してウイルスおよび/または他のマルウェアがないかどうかそのコンテンツを検査し(530)、その後、そのコンテンツを消費する。
【0031】
上記に述べたように、ゲートウェイ126Nはクライアントの準拠状態を周期的に再チェックし、クライアントの状態が完全準拠から非準拠に変わる(例えばクライアント121上でウイルスの発生が生じる)場合、ゲートウェイはそのクライアントへのセキュリティ処理のオフロードを終了する。同様に、クライアント121上でセキュリティインシデントが発生し、そのためそのクライアントが何らかの形で危害を受けた可能性があることを示すESASセキュリティアセスメントが受信される場合、オフロードを同じく終了することもできる。
【0032】
このシナリオでは、処理はほとんどすべてクライアント121にオフロードされているので、ゲートウェイ126Nが使用するリソースは最小限であり、典型的にはAAAサービスだけである。このことは、顧客に対する最小限の課金をもたらす。
【0033】
図6は、クライアントにプロセスをオフロードする際に外部要因を考慮することができ、複数のネットワークセキュリティゲートウェイにわたり負荷分散を実行することもできる代替的構成を示す。上記のように、この構成は、企業ネットワーク内のクライアントおよびゲートウェイ、ならびにホストされたネットワーク保護サービスに関連するクライアントおよびゲートウェイのどちらにも適用可能とすることができる。この外部要因を考慮することおよび負荷を分散することは、図2〜図5に図示し、付随するテキストに記載した技法を補い、または場合によってはそれらの技法を置換するために使用することができる。
【0034】
ここで、クライアント121は、ゲートウェイ126Nに接続して準拠およびセキュリティ機能のリストをそのゲートウェイに転送し(605)、そのゲートウェイは、どのように自らの処理を調節し、クライアントに仕事をオフロードするのかを決定する際、様々な外部要因を考慮する(610)。そうした要因には、実例として(必ずしもこれらに限定されないが)、インターネット137の全体的なセキュリティ状態611、アクセスされた情報の鮮度612、および他の要因613が含まれる。例えば、インターネット上に重大な脅威がある場合、ゲートウェイ126Nは、特定の時刻にまたは時間間隔でのみ所望のウェブサイトに直接接続するようリッチクライアントに命令することができる。同様に、要求されたデータが1つまたは複数の信頼できるサーバー内に既にキャッシュ済みの場合、ゲートウェイ126Nは、それらのサーバーからデータを取得するようクライアント121に命令することができる。
【0035】
1つまたは複数のさらなるゲートウェイ614にわたり、負荷分散も実行することができる(615)。説明のための一例では、ゲートウェイ126Nは、さらなるゲートウェイ614の間でどのように仕事を割り当てるのかを決定する際、クライアント121のセキュリティ機能、自らがサービス供給するすべてのクライアント間のセキュリティ処理の全負荷、アクセスされているデータの種類(例えば電子メール、ファイル、ウェブサイト等)、優先順位、ユーザープロファイル、および他の要因を考慮することができる。上記に記載したのと同様の方法で、単一のゲートウェイ126を利用する場合、さらなるゲートウェイ614は、ローカルクライアント121のためにセキュリティ処理を実行する際、ローカルクライアント121の機能を考慮する(620)。
【0036】
負荷分散は、クラウドベースゲートウェイとローカルに設置されたゲートウェイと(例えば図1に示すゲートウェイ126Nおよび1261それぞれ)の間で実行することもできる。この例では、負荷分散はローカルに設置された(すなわち「ダウンストリーム」)ゲートウェイ1261を支持し、クラウドベース(すなわち「アップストリーム」)ゲートウェイ126Nのより好ましい運営コストを促進することができる。
【0037】
この主題を構造的特徴および/または方法論的行為に特有の用語で記載してきたが、添付の特許請求の範囲に定義するこの主題は、必ずしも上記の特定の特徴または行為に限定されないことを理解すべきである。むしろ、上記の特定の特徴および行為は特許請求の範囲を実施する形態例として開示したものである。
【特許請求の範囲】
【請求項1】
自動的に分散されるネットワーク保護をクライアント(121)に提供するための、ネットワークセキュリティゲートウェイ(126)において実行する方法であって、
前記クライアントのセキュリティ機能、および前記クライアントのヘルスまたはガバナンスに関する1つもしくは複数のポリシーに対する前記クライアントの準拠状態の列挙を受信するステップ(205)と、
前記クライアントにおけるセキュリティ機能準拠の前記列挙に応じて、前記ネットワークセキュリティゲートウェイと前記クライアントとの間のセキュリティ関連処理の割り当てを調節するステップ(212)と、
前記クライアントのためにセキュリティ関連プロセスを実行するとき、前記ネットワークセキュリティゲートウェイが消費するリソースのレベルのログを取るステップ(225)と
を含むことを特徴とする方法。
【請求項2】
前記ログを取ったリソースのレベルを使用して、前記クライアントに適用される課金情報を生成するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記クライアントは、企業ネットワーク内のコンピューティングデバイスであり、前記コンピューティングデバイスはPC、ワークステーション、またはサーバーのうちの1つであることを特徴とする請求項1に記載の方法。
【請求項4】
前記ネットワークセキュリティゲートウェイは、コンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、ファイアウォールサービス、またはセキュリティポリシーの実行のうちの少なくとも1つを行うように構成されることを特徴とする請求項1に記載の方法。
【請求項5】
前記割り当てるステップは、セキュリティ関連プロセスを、前記ネットワークセキュリティゲートウェイから前記クライアントにオフロードするステップを含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記クライアントの準拠状態を、周期的に再チェックするさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項7】
前記クライアントが非準拠になるとき、前記オフロードするステップを終了するさらなるステップを含むことを特徴とする請求項5に記載の方法。
【請求項8】
セキュリティ機能および準拠状態の前記列挙は、NAPインターフェイス、ネットワークチャネル、またはESASセキュリティアセスメントのうちの1つを介して受信されることを特徴とする請求項1に記載の方法。
【請求項9】
AAAサービスを実行するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項10】
1つまたは複数のさらなるゲートウェイへの、前記セキュリティ関連処理の負荷分散を実行するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項11】
クラウドサービスをサポートするように構成されるネットワークセキュリティゲートウェイによって実行されることを特徴とする請求項1に記載の方法。
【請求項12】
前記クライアントのために前記ゲートウェイにおいて実行されるセキュリティ関連処理に伴うリソースの消費に対して、ペナルティを課すさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項13】
前記クライアントにおけるより高いレベルのセキュリティ関連処理を刺激するよう、前記ペナルティは金銭的であることを特徴とする請求項12に記載の方法。
【請求項14】
前記クライアントは、ダウンストリームゲートウェイを含むことを特徴とする請求項1に記載の方法。
【請求項15】
前記セキュリティ関連処理は、コンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、ファイアウォールサービス、またはセキュリティポリシーの実行のうちの少なくとも1つを含むことを特徴とする請求項1に記載の方法。
【請求項1】
自動的に分散されるネットワーク保護をクライアント(121)に提供するための、ネットワークセキュリティゲートウェイ(126)において実行する方法であって、
前記クライアントのセキュリティ機能、および前記クライアントのヘルスまたはガバナンスに関する1つもしくは複数のポリシーに対する前記クライアントの準拠状態の列挙を受信するステップ(205)と、
前記クライアントにおけるセキュリティ機能準拠の前記列挙に応じて、前記ネットワークセキュリティゲートウェイと前記クライアントとの間のセキュリティ関連処理の割り当てを調節するステップ(212)と、
前記クライアントのためにセキュリティ関連プロセスを実行するとき、前記ネットワークセキュリティゲートウェイが消費するリソースのレベルのログを取るステップ(225)と
を含むことを特徴とする方法。
【請求項2】
前記ログを取ったリソースのレベルを使用して、前記クライアントに適用される課金情報を生成するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記クライアントは、企業ネットワーク内のコンピューティングデバイスであり、前記コンピューティングデバイスはPC、ワークステーション、またはサーバーのうちの1つであることを特徴とする請求項1に記載の方法。
【請求項4】
前記ネットワークセキュリティゲートウェイは、コンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、ファイアウォールサービス、またはセキュリティポリシーの実行のうちの少なくとも1つを行うように構成されることを特徴とする請求項1に記載の方法。
【請求項5】
前記割り当てるステップは、セキュリティ関連プロセスを、前記ネットワークセキュリティゲートウェイから前記クライアントにオフロードするステップを含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記クライアントの準拠状態を、周期的に再チェックするさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項7】
前記クライアントが非準拠になるとき、前記オフロードするステップを終了するさらなるステップを含むことを特徴とする請求項5に記載の方法。
【請求項8】
セキュリティ機能および準拠状態の前記列挙は、NAPインターフェイス、ネットワークチャネル、またはESASセキュリティアセスメントのうちの1つを介して受信されることを特徴とする請求項1に記載の方法。
【請求項9】
AAAサービスを実行するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項10】
1つまたは複数のさらなるゲートウェイへの、前記セキュリティ関連処理の負荷分散を実行するさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項11】
クラウドサービスをサポートするように構成されるネットワークセキュリティゲートウェイによって実行されることを特徴とする請求項1に記載の方法。
【請求項12】
前記クライアントのために前記ゲートウェイにおいて実行されるセキュリティ関連処理に伴うリソースの消費に対して、ペナルティを課すさらなるステップを含むことを特徴とする請求項1に記載の方法。
【請求項13】
前記クライアントにおけるより高いレベルのセキュリティ関連処理を刺激するよう、前記ペナルティは金銭的であることを特徴とする請求項12に記載の方法。
【請求項14】
前記クライアントは、ダウンストリームゲートウェイを含むことを特徴とする請求項1に記載の方法。
【請求項15】
前記セキュリティ関連処理は、コンテンツ検査、ウイルス対策スキャニング、マルウェアブロッキング、情報漏洩防止、ファイアウォールサービス、またはセキュリティポリシーの実行のうちの少なくとも1つを含むことを特徴とする請求項1に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2011−527856(P2011−527856A)
【公表日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願番号】特願2011−517473(P2011−517473)
【出願日】平成21年6月26日(2009.6.26)
【国際出願番号】PCT/US2009/048898
【国際公開番号】WO2010/005814
【国際公開日】平成22年1月14日(2010.1.14)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願日】平成21年6月26日(2009.6.26)
【国際出願番号】PCT/US2009/048898
【国際公開番号】WO2010/005814
【国際公開日】平成22年1月14日(2010.1.14)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]