JP2015035061A - Virtual machine management method, virtual machine management program, and virtual machine management device - Google Patents
Virtual machine management method, virtual machine management program, and virtual machine management device Download PDFInfo
- Publication number
- JP2015035061A JP2015035061A JP2013165012A JP2013165012A JP2015035061A JP 2015035061 A JP2015035061 A JP 2015035061A JP 2013165012 A JP2013165012 A JP 2013165012A JP 2013165012 A JP2013165012 A JP 2013165012A JP 2015035061 A JP2015035061 A JP 2015035061A
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- environment
- operating
- operating environment
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、コンピュータにおいて稼働する仮想マシンを管理する技術に関する。 The present invention relates to a technique for managing a virtual machine running on a computer.
仮想化環境を備えたコンピュータにおいて仮想マシン(以下、VM(Virtual Machine)という)を稼働させ、ユーザに提供するサービスがある。このようなサービスにおけるVMの動作環境では、複数のVMが共通の物理資源を使用する。ここで、複数のVMは、様々なユーザが夫々の使用目的に応じて使用するものであり、その運用形態や実行するアプリケーション等は夫々のVMによって異なる。このため、VMによって、セキュリティリスク(例えば外部からの不正アクセス等によって不具合が生じる可能性)が異なる。そして、セキュリティリスクが高いVMに生じた不具合が、他のVMに影響を及ぼすことがある。このようなVMのセキュリティに着目した技術の一例として、高セキュリティレベルニーズを有するアプリケーションを実行するためのVMを他のVMから隔離する技術が提案されている。 There is a service provided to a user by operating a virtual machine (hereinafter referred to as a VM (Virtual Machine)) in a computer having a virtual environment. In the VM operating environment in such a service, a plurality of VMs use a common physical resource. Here, a plurality of VMs are used by various users in accordance with their respective purposes of use, and their operation forms, applications to be executed, and the like are different depending on each VM. For this reason, the security risk (for example, the possibility of malfunction due to unauthorized access from the outside) differs depending on the VM. And the malfunction which arose in VM with a high security risk may affect other VM. As an example of such a technology focused on VM security, a technology for isolating a VM for executing an application having a high security level need from another VM has been proposed.
ここで、VMのセキュリティリスクは、例えばユーザによるVMの運用形態や使用状況、その他の様々な外的要因によって変化する。しかし従来では、隔離するVMをセキュリティリスクの変化に応じて柔軟に変更しておらず、セキュリティリスクが高いVMが必ずしも適切に隔離されていなかった。 Here, the VM security risk varies depending on, for example, the operation mode and usage status of the VM by the user and various other external factors. However, conventionally, the VM to be isolated has not been flexibly changed according to the change in the security risk, and the VM having a high security risk has not necessarily been properly isolated.
そこで、本発明の1つの側面では、複数のVMが稼働するシステムにおいて、VMのセキュリティリスクの変化に応じて、VMを適切に隔離することを目的とする。 Therefore, an object of one aspect of the present invention is to appropriately isolate a VM according to a change in the security risk of the VM in a system in which a plurality of VMs operate.
本発明の1つの側面では、コンピュータが、次の処理を実行する。まず、第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出する。そして、対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される指標値の集計値を、当該基準時間ごとに算出する。さらに、対象仮想マシンを、算出した集計値に応じて、第1動作環境から第2動作環境へ、又は、第2動作環境から第1動作環境へ移動させる。そして、対象仮想マシンの第1動作環境における稼働時間と第2動作環境における稼働時間との比率に応じて、基準時間を変更する。 In one aspect of the present invention, the computer performs the following processing. First, the risk index value of the target virtual machine operating in either the first operating environment or the second operating environment is calculated every predetermined time. Then, an aggregate value of the index values calculated within the reference time stored in association with the target virtual machine is calculated for each reference time. Further, the target virtual machine is moved from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the calculated total value. Then, the reference time is changed according to the ratio of the operating time in the first operating environment and the operating time in the second operating environment of the target virtual machine.
本発明の1つの側面によれば、複数のVMが稼働するシステムにおいて、VMのセキュリティリスクの変化に応じて、VMを適切に隔離することができる。 According to one aspect of the present invention, in a system in which a plurality of VMs operate, it is possible to appropriately isolate VMs according to changes in VM security risks.
<実施形態の概要>
本実施形態では、複数のVMが稼働するシステムにおいて、セキュリティリスクが相対的に高いVMを、セキュリティリスクが相対的に低いVMから隔離し、異なる動作環境で実行させる。具体的には、本実施形態では、VMのセキュリティリスクの変化に応じて、複数の動作環境間でVMを移動させ、VMを適切に配置する。なお、本明細書において「動作環境」とは、一例では物理的なコンピュータ自体を指すが、これに限らず、例えば1つのコンピュータ内で仮想的に構築され、区分けされたVMのプラットフォームであってもよい。また、「VMを隔離する」とは、少なくとも、ある1つの動作環境とは異なる動作環境でVMを実行することを示す。
<Outline of Embodiment>
In this embodiment, in a system in which a plurality of VMs are operating, a VM with a relatively high security risk is isolated from a VM with a relatively low security risk and executed in different operating environments. Specifically, in this embodiment, a VM is moved between a plurality of operating environments in accordance with a change in VM security risk, and the VM is appropriately arranged. In this specification, an “operating environment” refers to a physical computer itself in one example, but is not limited to this, and is, for example, a VM platform that is virtually constructed and partitioned in one computer. Also good. Further, “isolating a VM” indicates that the VM is executed in an operating environment different from at least one certain operating environment.
一例として、本実施形態では、複数のVMのうちの1つである対象VMのリスク指標値を所定の時間ごとに算出して、対象VMに対応付けられた基準時間の時間内に算出した指標値の集計値を基準時間ごとに算出する。そして、対象VMを、算出した集計値に応じて、安全環境(第1動作環境の一例である)から隔離環境(第2動作環境の一例である)へ、又は、隔離環境から安全環境へ移動する。具体的には、例えば、対象VMが安全環境で稼働している場合であって集計値が所定の閾値以上であるときに、対象VMを隔離環境に移動する。一方で、対象VMが隔離環境で稼働している場合であって集計値が所定の閾値以下であるときに、対象VMを安全環境に移動させる。こうすることで、対象VMのセキュリティリスクの変化に応じて、対象VMを安全環境又は隔離環境に適切に配置することができる。 As an example, in the present embodiment, a risk index value of a target VM that is one of a plurality of VMs is calculated every predetermined time, and is calculated within a reference time associated with the target VM. The total value of the values is calculated for each reference time. Then, the target VM is moved from the safe environment (which is an example of the first operating environment) to the isolated environment (which is an example of the second operating environment) or from the isolated environment to the safe environment according to the calculated total value. To do. Specifically, for example, when the target VM is operating in a safe environment and the total value is equal to or greater than a predetermined threshold, the target VM is moved to the isolated environment. On the other hand, when the target VM is operating in an isolated environment and the total value is equal to or less than a predetermined threshold, the target VM is moved to the safe environment. By doing so, the target VM can be appropriately arranged in the safe environment or the isolated environment according to the change in the security risk of the target VM.
ここで、本実施形態では、対象VMの安全環境における稼働時間と隔離環境における稼働時間との比率に応じて、前述の基準時間を変更する。例えば、対象VMの隔離環境における稼働時間が占める割合が相対的に大きければ、基準時間を長くする。こうすることで、前述した指標値の集計値が大きくなるため、隔離環境に長く存在するVM、すなわち、セキュリティリスクが高い傾向にあるVMは隔離環境に移動し易く、逆に安全環境に移動しづらくなる。これは、隔離環境に長く配置されているVMのセキュリティリスクが一時的に低くなったとしても、稼働状況全体を考慮し、容易に安全環境に配置されないようにするものである。こうすることで、本実施形態では、セキュリティリスクの高いVMを高い精度で他のVMから適切にVMを隔離することができ、VM提供サービスを行うシステムに発生する不具合の影響を小さくすることができる。 Here, in the present embodiment, the above-described reference time is changed according to the ratio between the operation time in the safety environment of the target VM and the operation time in the isolated environment. For example, if the ratio of the operation time in the isolated environment of the target VM is relatively large, the reference time is increased. By doing this, the aggregate value of the index values described above becomes large, so VMs that exist in the isolated environment for a long time, that is, VMs that tend to have a high security risk, are easy to move to the isolated environment, and conversely move to the safe environment. It becomes difficult. This is to prevent the VM placed in the isolated environment from being easily placed in the safe environment in consideration of the entire operation status even if the security risk of the VM temporarily lowered. In this way, in this embodiment, a VM with a high security risk can be appropriately isolated from other VMs with high accuracy, and the influence of a failure occurring in a system that provides a VM providing service can be reduced. it can.
<システム構成>
図1は、本実施形態におけるシステム構成を示す。本実施形態では、システム1が、安全環境VMサーバ10、隔離環境VMサーバ20、管理サーバ30、クライアント40、情報提供サーバ50を備える。
<System configuration>
FIG. 1 shows a system configuration in the present embodiment. In the present embodiment, the system 1 includes a safety environment VM server 10, an isolation environment VM server 20, a management server 30, a client 40, and an information providing server 50.
安全環境VMサーバ10及び隔離環境VMサーバ20は、仮想化環境が構築されたコンピュータである。安全環境VMサーバ10及び隔離環境VMサーバ20では、夫々仮想化された物理資源が割当てられたVMが稼働する。本実施形態では、相対的にセキュリティリスクの低いVMが安全環境VMサーバ10で稼働し、セキュリティリスクの高いVMが隔離環境VMサーバ20で稼働するようにVMを配置する。 The safety environment VM server 10 and the isolation environment VM server 20 are computers in which a virtual environment is constructed. In the safety environment VM server 10 and the isolation environment VM server 20, VMs to which virtualized physical resources are allocated operate. In the present embodiment, the VMs are arranged so that a VM with a relatively low security risk operates in the safe environment VM server 10 and a VM with a high security risk operates in the isolated environment VM server 20.
管理サーバ30は、安全環境VMサーバ10及び隔離環境VMサーバ20で動作するVMを管理する。管理サーバ30は、夫々のVMのセキュリティリスクを監視し、セキュリティリスクの低いVMが安全環境VMサーバ10に配置され、セキュリティリスクの高いVMが隔離環境VMサーバ20間に配置されるように、必要に応じてVMを移動(マイグレーション)させる。 The management server 30 manages VMs that operate on the safety environment VM server 10 and the isolation environment VM server 20. The management server 30 monitors the security risk of each VM, and is necessary so that a VM with a low security risk is placed in the safe environment VM server 10 and a VM with a high security risk is placed between the isolated environment VM servers 20 Accordingly, the VM is moved (migrated).
クライアント40は、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働するVMのユーザが、VMを利用するコンピュータである。
情報提供サーバ50は、管理サーバ30がVMのセキュリティリスクを監視する際に参照する、セキュリティリスクの判断材料となる情報を提供するサーバである。
The client 40 is a computer in which a VM user operating on the safety environment VM server 10 and the isolation environment VM server 20 uses the VM.
The information providing server 50 is a server that provides information that is used when the management server 30 monitors a VM security risk and is used as a security risk determination material.
システム1において、安全環境VMサーバ10、隔離環境VMサーバ20及び管理サーバ30は、ネットワーク80によって通信可能に接続されている。ネットワーク80は、例えば、LAN(Local Area Network)やWAN(World Area Network)又はイントラネット等である。さらに、安全環境VMサーバ10、隔離環境VMサーバ20及び管理サーバ30は、クライアント40や情報提供サーバ50との間で、例えば、インターネット90によって通信可能に接続されている。なお、かかるネットワーク構成は一例に過ぎない。 In the system 1, the safety environment VM server 10, the isolation environment VM server 20, and the management server 30 are communicably connected via a network 80. The network 80 is, for example, a local area network (LAN), a world area network (WAN), or an intranet. Further, the safety environment VM server 10, the isolation environment VM server 20, and the management server 30 are communicably connected to the client 40 and the information providing server 50 via, for example, the Internet 90. Such a network configuration is merely an example.
図2は、安全環境VMサーバ10及び隔離環境VMサーバ20の機能構成及びセキュリティに関連する装置構成の一例を示す。
安全環境VMサーバ10では、仮想化した物理資源をVMに割当ててVMの実行制御を行う仮想化環境であるハイパーバイザ11−1が動作する。そして、ハイパーバイザ11−1上において、VM群12−1が稼働する。図3の例では、安全環境VMサーバ10において、VM1、VM2及びVM5が稼働している。同様に、隔離環境VMサーバ20では、ハイパーバイザ11−2上においてVM群12−2が稼働する。図3の例では、隔離環境VMサーバ20において、VM3及びVM4が稼働している。夫々のVMでは、仮想化されたOS及びアプリケーションが独立して動作する。VMのユーザは、図1で示したクライアント40を介してVMを運用し、使用する。
FIG. 2 shows an example of a functional configuration of the safety environment VM server 10 and the isolation environment VM server 20 and an apparatus configuration related to security.
In the safe environment VM server 10, a hypervisor 11-1 that is a virtual environment that performs virtual machine execution control by allocating virtualized physical resources to the VM operates. Then, the VM group 12-1 operates on the hypervisor 11-1. In the example of FIG. 3, VM 1, VM 2, and VM 5 are operating in the safe environment VM server 10. Similarly, in the isolated environment VM server 20, the VM group 12-2 operates on the hypervisor 11-2. In the example of FIG. 3, VM 3 and VM 4 are operating in the isolated environment VM server 20. In each VM, the virtualized OS and application operate independently. The VM user operates and uses the VM via the client 40 shown in FIG.
安全環境VMサーバ10とネットワーク80との間には、安全環境VMサーバ10へのアクセスを制御するFW(FireWall)装置60−1及びIPS(Intrusion Prevention System)装置70−1が設けられている。同様に、隔離環境VMサーバ20とネットワーク80との間には、隔離環境VMサーバ20へのアクセスを制御するFW装置60−2及びIPS装置70−2が設けられている。FW装置60−1及びFW装置60−2は、パケットのフィルタリングを行う。IPS装置70−1及びIPS装置70−2は、例えば、プロトコルに応じて、パケットに関連するセッションやコネクションを切断し、その後に続くパケットを自動的に拒否する等の処理を行うことで、安全環境VMサーバ10及び隔離環境VMサーバ20のセキュリティをさらに強化する。これらのFW装置60−1及びIPS装置70−1並びにFW装置60−2及びIPS装置70−2によれば、安全環境VMサーバ10及び隔離環境VMサーバ20への外部からの不正アクセス等の攻撃を抑制することができる。そして、外部からのみならず、安全環境VMサーバ10及び隔離環境VMサーバ20の相互間における不正アクセス等も抑制することができる。なお、安全環境VMサーバ10のセキュリティを、隔離環境VMサーバ20のセキュリティに比べて強化してもよい。FW装置60−1及びFW装置60−2並びIPS装置70−1及びIPS装置70−2は、具体的にはこれらの機能を有するルータ等であり、かかる装置構成は一例に過ぎない。なお、図1及び図2では、システム1が有する他のアクセス制御装置については記載を省略している。 Between the safe environment VM server 10 and the network 80, an FW (FireWall) device 60-1 and an IPS (Intrusion Prevention System) device 70-1 for controlling access to the safe environment VM server 10 are provided. Similarly, an FW device 60-2 and an IPS device 70-2 that control access to the isolated environment VM server 20 are provided between the isolated environment VM server 20 and the network 80. The FW device 60-1 and the FW device 60-2 perform packet filtering. For example, the IPS device 70-1 and the IPS device 70-2 can safely perform a process such as disconnecting a session or connection related to a packet and automatically rejecting subsequent packets according to a protocol. The security of the environment VM server 10 and the isolated environment VM server 20 is further strengthened. According to the FW device 60-1 and the IPS device 70-1, and the FW device 60-2 and the IPS device 70-2, attacks such as unauthorized access from the outside to the safety environment VM server 10 and the isolation environment VM server 20 are performed. Can be suppressed. Further, unauthorized access and the like between the safety environment VM server 10 and the isolation environment VM server 20 as well as from the outside can be suppressed. Note that the security of the safety environment VM server 10 may be strengthened compared to the security of the isolation environment VM server 20. The FW device 60-1 and the FW device 60-2 as well as the IPS device 70-1 and the IPS device 70-2 are specifically routers having these functions, and such a device configuration is merely an example. In FIG. 1 and FIG. 2, description of other access control devices included in the system 1 is omitted.
<管理サーバの機能構成及びデータ構成>
図3は、管理サーバ30の機能構成及びデータ構成を示す。管理サーバ30は、プログラムがロードされて実行されることによって実現される、情報収集部31、指標値算出部32及びVM移動部33を備える。さらに、管理サーバ30は、記憶手段において、VM管理テーブル41及び指標値テーブル群42、隔離開始基準値43、隔離解除基準値44及び安全係数47を備える。
<Functional configuration and data configuration of management server>
FIG. 3 shows the functional configuration and data configuration of the management server 30. The management server 30 includes an information collecting unit 31, an index value calculating unit 32, and a VM moving unit 33, which are realized by loading and executing a program. Furthermore, the management server 30 includes a VM management table 41 and an index value table group 42, an isolation start reference value 43, an isolation release reference value 44, and a safety factor 47 in the storage unit.
情報収集部31は、所定の時間ごとに情報提供サーバ等にアクセスし、安全環境VMサーバ10及び隔離環境VMサーバ20で動作する複数のVMの夫々のセキュリティリスクを特定するための判断材料となる各種情報を収集する。 The information collection unit 31 accesses an information providing server or the like every predetermined time, and becomes a determination material for specifying each security risk of a plurality of VMs operating on the safety environment VM server 10 and the isolation environment VM server 20. Collect various information.
指標値算出部32は、複数のVMの夫々のセキュリティリスクを特定する。具体的には、指標値算出部32は、情報収集部31で収集した各種情報に基づいて、安全環境VMサーバ10及び隔離環境VMサーバ20で動作する複数のVMの夫々のセキュリティリスクを示す指標値を所定の時間ごとに算出する。さらに、指標値算出部32は、複数のVMの夫々につき、VMごとに対応付けられた基準時間の時間内に算出した指標値の合計値を当該基準時間ごとに算出する。なお、本実施形態の説明における「合計」は、「集計」の一態様であり、必ずしも「合計」に限定されるものではない。 The index value calculation unit 32 identifies each security risk of the plurality of VMs. Specifically, the index value calculation unit 32 is an index indicating each security risk of a plurality of VMs operating in the safety environment VM server 10 and the isolation environment VM server 20 based on various information collected by the information collection unit 31. A value is calculated every predetermined time. Furthermore, the index value calculation unit 32 calculates, for each reference time, the total value of the index values calculated within the reference time associated with each VM for each of the plurality of VMs. Note that “total” in the description of this embodiment is an aspect of “total”, and is not necessarily limited to “total”.
VM移動部33は、複数のVMの夫々のセキュリティリスクに応じて、安全環境VMサーバ10及び隔離環境VMサーバ20間においてVMを移動させる。具体的には、VM移動部33は、安全環境VMサーバ10で稼働するVMのうち、指標値算出部32で算出した合計値が所定の閾値である隔離開始基準値43以上のVMがあれば、当該VMを安全環境VMサーバ10から隔離環境VMサーバ20に移動させる。一方、VM移動部33は、隔離環境VMサーバ20で稼働する複数のVMのうち、指標値算出部32で算出した合計値が所定の閾値である隔離解除基準値44以下のVMがあれば、当該VMを隔離環境VMサーバ20から安全環境VMサーバ10に移動させる。 The VM moving unit 33 moves the VM between the safety environment VM server 10 and the isolated environment VM server 20 in accordance with the security risk of each of the plurality of VMs. Specifically, the VM moving unit 33, among VMs operating in the safe environment VM server 10, has a VM whose isolation value is equal to or greater than the isolation start reference value 43 whose total value calculated by the index value calculating unit 32 is a predetermined threshold value. The VM is moved from the safety environment VM server 10 to the isolation environment VM server 20. On the other hand, if there is a VM whose total value calculated by the index value calculation unit 32 is a predetermined threshold or less than the isolation release reference value 44 among a plurality of VMs operating in the isolation environment VM server 20, The VM is moved from the isolated environment VM server 20 to the safe environment VM server 10.
基準時間変更部34は、VMを移動させる判定基準となる合計値を算出する基準時間を、VMのセキュリティリスクの傾向に応じて変更する。すなわち、基準時間変更部34は、隔離環境VMサーバ20に配置されている時間が相対的に長いVMについては、安全環境VMサーバ10に移動しづらくなるように基準時間を変更する。具体的には、基準時間変更部34は、VMの安全環境VMサーバ10における稼働時間と隔離環境VMサーバ20における稼働時間との比率に応じて、基準時間を変更する。さらに具体的には、基準時間変更部34は、VMの総稼働時間(VMの安全環境VMサーバ10における稼働時間及び隔離環境VMサーバ20における稼働時間の合計時間)に対して当該VMの隔離環境VMサーバ20における稼働時間が占める割合に応じて、基準時間を変更する。 The reference time changing unit 34 changes the reference time for calculating the total value serving as a determination reference for moving the VM according to the VM security risk tendency. In other words, the reference time changing unit 34 changes the reference time so that it is difficult to move a VM that has been arranged in the isolated environment VM server 20 to the safe environment VM server 10 for a relatively long time. Specifically, the reference time changing unit 34 changes the reference time according to the ratio between the operation time in the VM safe environment VM server 10 and the operation time in the isolated environment VM server 20. More specifically, the reference time changing unit 34 determines the isolated environment of the VM with respect to the total operating time of the VM (the total time of the operating time of the VM in the safety environment VM server 10 and the operating time of the isolated environment VM server 20). The reference time is changed according to the ratio of the operating time in the VM server 20.
次に、管理サーバ30の記憶手段に記憶される、VM管理テーブル41、指標値テーブル群42、隔離開始基準値43及び隔離解除基準値44、隔離開始基準回数45及び隔離解除基準回数46並びに安全係数47の詳細について、図4〜図7を参照して説明する。 Next, the VM management table 41, the index value table group 42, the isolation start reference value 43 and the isolation release reference value 44, the isolation start reference number 45, the isolation release reference number 46, and the safety stored in the storage unit of the management server 30 Details of the coefficient 47 will be described with reference to FIGS.
VM管理テーブル41は、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働する複数のVMを管理するテーブルである。VM管理テーブル41は、図4に示すように、VMの識別子を示す[VM]、ユーザの識別子を示す[ユーザ]、VMが現在稼働しているサーバを示す[稼働中サーバ]、VMが安全環境VMサーバ10で稼働している時間を示す[安全環境稼働時間]、VMが隔離環境VMサーバ20で稼働している時間を示す[隔離環境稼働時間]、指標値算出部32において所定の時間ごとに算出した指標値の合計値を算出する時間である[基準時間]の項目を有する。 The VM management table 41 is a table for managing a plurality of VMs operating in the safety environment VM server 10 and the isolation environment VM server 20. As shown in FIG. 4, the VM management table 41 includes [VM] indicating the identifier of the VM, [user] indicating the identifier of the user, [active server] indicating the server on which the VM is currently operating, and the VM being safe. [Safe environment operating time] indicating the time during which the environment VM server 10 is operating, [isolated environment operating time] indicating the time during which the VM is operating in the isolated environment VM server 20, and a predetermined time in the index value calculation unit 32 It has an item of [reference time] that is a time for calculating the total value of the index values calculated every time.
指標値テーブル群42は、具体的には、図5及び図6に示すように、VMの夫々のセキュリティリスクを特定するための判断材料となる各種情報である「イベント発生度」、「脆弱性発生量」、「狙われやすさ」、「セキュリティ対策状況」を示す情報を格納するためのテーブルを有する。これらのテーブルの夫々は、情報を収集した時刻を示す[時刻]と、各種情報の具体的要素を夫々数値で示す項目と、各種情報の夫々の数値の合計値を示す項目を有する。各種情報の具体例等については後述する。 Specifically, as shown in FIGS. 5 and 6, the index value table group 42 includes “event occurrence level” and “vulnerability” that are various pieces of information used to identify each security risk of a VM. It has a table for storing information indicating “amount generated”, “easy to be targeted”, and “security countermeasure status”. Each of these tables includes [Time] indicating the time when information is collected, items indicating specific elements of various information by numerical values, and items indicating the total values of the numerical values of the various information. Specific examples of various information will be described later.
隔離開始基準値43及び隔離解除基準値44は、図7に示すように、VMの隔離開始及び隔離解除の判定において夫々用いる基準値であり、算出した指標値の合計値との比較を行う値である。 As shown in FIG. 7, the isolation start reference value 43 and the isolation release reference value 44 are reference values used in the determination of VM isolation start and isolation release, respectively, and are values that are compared with the calculated total value of the index values. It is.
隔離開始基準回数45及び隔離解除基準回数46は、図7に示すように、VMの隔離開始又は隔離解除の判定において夫々用いる基準値であり、指標値の合計値が連続で隔離開始基準値43以上となる回数及び連続で隔離解除基準値44以下となる回数との比較を夫々行う値である。 As shown in FIG. 7, the isolation start reference count 45 and the isolation release reference count 46 are reference values respectively used in the determination of the VM isolation start or isolation release, and the sum of the index values is the isolation start reference value 43 continuously. It is a value for comparing each of the above number of times and the number of times that is continuously below the isolation release reference value 44.
安全係数47は、基準時間を変更する際の比較対象の値を調整するための係数である。安全係数47を大きくするほど、基準時間が短く変更され易くなり、安全環境VMサーバ10から隔離環境VMサーバ20へのVMの移動がされにくくなる。 The safety coefficient 47 is a coefficient for adjusting the comparison target value when changing the reference time. As the safety factor 47 is increased, the reference time is shortened and is easily changed, and the movement of the VM from the safety environment VM server 10 to the isolated environment VM server 20 becomes difficult.
隔離開始基準値43及び隔離解除基準値44、隔離開始基準回数45及び隔離解除基準回数46並びに安全係数47は、例えばシステム管理者等がセキュリティポリシーに基づいて予め設定しておくことができる。 The isolation start reference value 43 and the isolation release reference value 44, the isolation start reference count 45, the isolation release reference count 46, and the safety factor 47 can be set in advance by a system administrator or the like based on a security policy, for example.
<VMのセキュリティリスクを特定するための判断材料となる各種情報の詳細>
ここで、図5及び図6に示した指標値テーブル群42に格納される、VMのセキュリティリスクを特定するための判断材料となる各種情報の具体例について説明する。
<Details of various types of information that can be used as a basis for identifying VM security risks>
Here, specific examples of various information stored in the index value table group 42 shown in FIGS. 5 and 6 and used as a determination material for specifying the security risk of the VM will be described.
図5に示すイベント発生度(e)は、社会の情勢やとりまく環境などの外的な要因の発生状況を数値で表すものである。このような外的な要因の変化により、VMのセキュリティリスクが変化することがある。具体的な要素の例として、以下のようなものがある。 The event occurrence degree (e) shown in FIG. 5 represents the occurrence of external factors such as the social situation and surrounding environment by numerical values. Such a change in external factors may change the VM security risk. The following are examples of specific elements.
e1=イベント(元旦、クリスマス、サッカー日本代表の試合等)
e2=ニュース(経済状況、政治状況、天気予報等)
e3=システムへの脅威(サイバー攻撃、ウイルス発生等)
なお、イベント発生度は上記の例に限らず、様々な要素が考えられる。これらの情報は、例えば、検索エンジンやSNS(Social Networking Service)、掲示板等のウェブサイト等から収集することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0≦e≦100とし、イベント発生が多いほど数値を大きくする)。そして、イベント発生度(e)は、各要素の数値の合計値(e=e1+e2+e3+e4+…)とすることができる。
e1 = Event (New Year's Day, Christmas, Japanese national football match, etc.)
e2 = News (economic status, political status, weather forecast, etc.)
e3 = threats to the system (cyber attacks, virus outbreaks, etc.)
The event occurrence level is not limited to the above example, and various factors can be considered. Such information can be collected from, for example, search engines, SNS (Social Networking Service), websites such as bulletin boards, and the like. The collected information can be digitized according to rules that have been determined in advance (for example, 0 ≦ e ≦ 100, and the larger the number of events, the larger the value). The event occurrence rate (e) can be the total value of the values of each element (e = e1 + e2 + e3 + e4 +...).
図5に示す脆弱性発生量(v)は、VMのOS(Operating System)やミドルウェア等の脆弱性の発生量を数値で表すものである。具体的な要素の例として、以下のようなものがある。 Vulnerability generation amount (v) shown in FIG. 5 represents numerically the generation amount of vulnerabilities such as VM OS (Operating System) and middleware. The following are examples of specific elements.
v1=OS脆弱性発生量(OSで発見された脆弱性)
v2=ミドルウェア脆弱性発生量(ミドルウェアで発見された脆弱性)
これらの情報は、例えば、一般に公開されているCVE(Common Vulnerabilities and Exposures)やJVN(Japan Vulnerability Notes)等のデータベースを利用することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0<vとし、脆弱性発生量が多いほど数値を大きくする)。そして、脆弱性発生量(v)は、各要素の数値の合計値(v=v1+v2)とすることができる。
v1 = OS vulnerability generation amount (vulnerabilities discovered by OS)
v2 = amount of middleware vulnerabilities (vulnerabilities discovered in middleware)
Such information can use, for example, publicly available databases such as CVE (Common Vulnerabilities and Exposures) and JVN (Japan Vulnerability Notes). The collected information can be quantified according to rules determined in advance (for example, 0 <v, and the greater the amount of vulnerability generated, the larger the value). The vulnerability generation amount (v) can be a total value (v = v1 + v2) of each element.
図6に示す狙われやすさ(t)は、VMのユーザの不祥事・評判や検索エンジンの結果順位等、ユーザが管理するシステムがハッカー等の攻撃者から狙われる可能性の大きさを数値で表すものである。具体的な要素の例として、以下のようなものがある。 The ease of targeting (t) shown in FIG. 6 is a numerical value indicating the possibility that a user-managed system, such as a VM user's scandal / reputation or search engine result ranking, is targeted by an attacker such as a hacker. It represents. The following are examples of specific elements.
t1=ユーザの不祥事・評判(SNSでの検索結果数、掲示板でのスレッド数等)
t2=検索エンジンの結果順位(組織名やドメイン等で検索した場合の出現順位、等)
なお、狙われやすさは上記の例に限らず、様々な要素が考えられる。これらの情報は、例えば、検索エンジンやSNS、掲示板等のウェブサイト等から収集することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0<tとし、狙われる可能性が高いほど数値を大きくする)。そして、狙われやすさ(t)は、各要素の数値の合計値(t=t1+t2+t3+t4+…)とすることができる。
t1 = User scandals and reputation (number of search results on SNS, number of threads on bulletin board, etc.)
t2 = Search engine result ranking (appearance ranking when searching by organization name, domain, etc.)
It should be noted that the ease of targeting is not limited to the above example, and various factors can be considered. Such information can be collected from websites such as search engines, SNSs, and bulletin boards. The collected information can be digitized according to rules that have been determined in advance (for example, 0 <t, and the higher the possibility of being targeted, the larger the numeric value). The target (t) can be set to the total value of each element (t = t1 + t2 + t3 + t4 +...).
図6に示すVMセキュリティ対策状況(s)は、VMの脆弱性診断結果等、セキュリティ対策状況を数値で表すものである。具体的な要素の例として、以下のようなものがある。 The VM security countermeasure status (s) shown in FIG. 6 represents the security countermeasure status, such as a VM vulnerability diagnosis result, as a numerical value. The following are examples of specific elements.
s1=インフラ脆弱性診断結果(OS、ミドルウェアの脆弱性診断結果)
s2=アプリケーション脆弱性診断結果
これらの情報は、一般に用いられている外部の脆弱性診断ツールを利用して診断し、診断結果を収集したりすることができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば1≦s≦100とし、セキュリティ対策ができているほど数値を大きくする)。そして、VMセキュリティ対策状況(s)は、各要素の数値の合計値(s=s1+s2)とすることができる。
s1 = Infrastructure vulnerability diagnosis result (OS and middleware vulnerability diagnosis result)
s2 = Application Vulnerability Diagnosis Result These pieces of information can be diagnosed by using a commonly used external vulnerability diagnosis tool, and the diagnosis results can be collected. The collected information can be digitized according to rules that have been determined in advance (for example, 1 ≦ s ≦ 100, and the greater the security measure, the larger the value). The VM security countermeasure status (s) can be the sum of the numerical values of each element (s = s1 + s2).
なお、これらのVMのセキュリティリスクを特定するための判断材料となる各種情報は一例に過ぎず、また、これらの情報のうちの一部のみに基づいてセキュリティリスクを特定してもよい。 Note that the various types of information that are used as judgment materials for specifying the security risk of these VMs are merely examples, and the security risk may be specified based on only a part of the information.
<処理説明>
次に、管理サーバ30が実行する各処理について、図8〜図12を用いて説明する。
図8及び図9は、管理サーバ30の情報収集部31、指標値算出部32、VM移動部33が実行するVM配置変更処理を示すフローチャートである。この処理は、安全環境VMサーバ10及び隔離環境VMサーバ20で実行されているVMの夫々を対象として実行される。
<Description of processing>
Next, each process executed by the management server 30 will be described with reference to FIGS.
FIG. 8 and FIG. 9 are flowcharts illustrating the VM arrangement changing process executed by the information collecting unit 31, the index value calculating unit 32, and the VM moving unit 33 of the management server 30. This process is executed for each of the VMs executed in the safety environment VM server 10 and the isolation environment VM server 20.
ステップS1で、VM移動部33が、VM管理テーブル41を参照し、複数のVMのうちの1つである処理対象のVM(以下、対象VMという)が安全環境VMサーバ10で稼働しているか隔離環境VMサーバ20で稼働しているかを判定する。安全環境VMサーバ10のときはステップS2に進む一方、隔離環境VMサーバ20のときはステップS8に進む。 In step S <b> 1, the VM moving unit 33 refers to the VM management table 41, and determines whether a processing target VM (hereinafter referred to as a target VM) that is one of a plurality of VMs is operating in the safety environment VM server 10. It is determined whether the isolated environment VM server 20 is operating. If it is the safe environment VM server 10, the process proceeds to step S2, whereas if it is the isolated environment VM server 20, the process proceeds to step S8.
以下のステップS2〜ステップS7が、対象VMが安全環境VMサーバ10で稼働している場合の処理である。
ステップS2で、VM移動部33が、内部変数[x]に0をセットする。この内部変数[x]は、セキュリティリスクを示す指標値(r)の基準時間(T)あたりの合計値が連続して隔離開始基準値43(Rs)以上である回数を特定するために用いるものである。
The following steps S <b> 2 to S <b> 7 are processes when the target VM is operating in the safe environment VM server 10.
In step S2, the VM moving unit 33 sets 0 to the internal variable [x]. This internal variable [x] is used to specify the number of times that the total value per reference time (T) of the index value (r) indicating the security risk is continuously equal to or greater than the isolation start reference value 43 (Rs). It is.
ステップS3で、情報収集部31及び指標値算出部32が、図9に示す指標値算出処理を実行する。指標値算出処理の説明は後述する。
ステップS4で、VM移動部33が、指標値算出処理で算出した、指標値(r)の基準時間(T)あたりの合計値(rSum)が、隔離開始基準値43(Rs)以上であるか否かを判定(比較)する。合計値(rSum)が隔離開始基準値43(Rs)以上であるときはステップS5に進み(Yes)、隔離開始基準値43(Rs)よりも小さいときにはステップS2に戻る(No)。
In step S3, the information collection unit 31 and the index value calculation unit 32 execute the index value calculation process shown in FIG. The index value calculation process will be described later.
Whether the total value (rSum) per reference time (T) of the index value (r) calculated by the VM moving unit 33 in the index value calculation process in step S4 is equal to or greater than the isolation start reference value 43 (Rs). Determine (compare) whether or not. When the total value (rSum) is equal to or greater than the isolation start reference value 43 (Rs), the process proceeds to step S5 (Yes), and when smaller than the isolation start reference value 43 (Rs), the process returns to step S2 (No).
ステップS5で、VM移動部33が、内部変数[x]に1を加算する。
ステップS6で、VM移動部33が、内部変数[x]が隔離開始基準回数45(Ns)以上であるか否かを判定(比較)する。内部変数[x]が隔離開始基準回数45(Ns)以上であるときにはステップS7に進み(Yes)、隔離開始基準回数45(Ns)よりも小さいときにはステップS3に戻る(No)。
In step S5, the VM moving unit 33 adds 1 to the internal variable [x].
In step S6, the VM moving unit 33 determines (comparisons) whether or not the internal variable [x] is equal to or greater than the isolation start reference count 45 (Ns). When the internal variable [x] is equal to or greater than the isolation start reference count 45 (Ns), the process proceeds to step S7 (Yes), and when it is smaller than the isolation start reference count 45 (Ns), the process returns to step S3 (No).
ステップS7で、VM移動部33が、対象VMを隔離環境VMサーバ20に移動させる。そして、VM移動部33は、VM管理テーブル41のレコードのうち、対象VMに対応するレコードの[稼働中サーバ]を「隔離」に変更する。 In step S <b> 7, the VM moving unit 33 moves the target VM to the isolated environment VM server 20. Then, the VM moving unit 33 changes “active server” of the record corresponding to the target VM among the records of the VM management table 41 to “quarantine”.
これらのステップS4〜ステップS7の処理は、すなわち、基準時間(T)あたりの指標値の合計値(rSum)が、隔離開始基準回数45(Ns)連続で隔離開始基準値43(Rs)以上であるときに、対象VMを隔離環境VMサーバ20に移動させるものである。 In the processing of these steps S4 to S7, that is, the total value (rSum) of the index values per reference time (T) is equal to or greater than the isolation start reference value 43 (Rs) continuously for the isolation start reference count 45 (Ns). At a certain time, the target VM is moved to the isolated environment VM server 20.
以下のステップS8〜ステップS13が、対象VMが隔離環境VMサーバ20で稼働している場合の処理である。
ステップS8で、VM移動部33が、内部変数[x]に0をセットする。この内部変数[x]は、セキュリティリスクを示す指標値(r)の基準時間(T)あたりの合計値が連続して隔離解除基準値44(Re)以下である回数を特定するために用いるものである。
The following steps S8 to S13 are processes when the target VM is operating in the isolated environment VM server 20.
In step S8, the VM moving unit 33 sets 0 to the internal variable [x]. This internal variable [x] is used to specify the number of times that the total value per reference time (T) of the index value (r) indicating the security risk is continuously equal to or less than the isolation release reference value 44 (Re). It is.
ステップS9で、情報収集部31及び指標値算出部32が、図9に示す指標値算出処理を実行する。指標値算出処理の説明は後述する。
ステップS10で、VM移動部33が、指標値算出処理で算出した、指標値(r)の基準時間(T)あたりの合計値(rSum)が、隔離解除基準値44(Re)以下であるか否かを判定(比較)する。合計値(rSum)が隔離解除基準値44(Re)以下であるときはステップS11に進み(Yes)、隔離解除基準値44(Re)以下でないときにはステップS8に戻る(No)。
In step S9, the information collection unit 31 and the index value calculation unit 32 execute the index value calculation process shown in FIG. The index value calculation process will be described later.
Whether the total value (rSum) per reference time (T) of the index value (r) calculated by the VM moving unit 33 in the index value calculation process in step S10 is equal to or less than the isolation release reference value 44 (Re). Determine (compare) whether or not. When the total value (rSum) is less than or equal to the isolation release reference value 44 (Re), the process proceeds to step S11 (Yes), and when it is not less than or equal to the isolation release reference value 44 (Re), the process returns to step S8 (No).
ステップS11で、VM移動部33が、内部変数[x]に1を加算する。
ステップS12で、VM移動部33が、内部変数[x]が隔離解除基準回数46(Ne)以上であるか否かを判定(比較)する。内部変数[x]が隔離解除基準回数46(Ne)以上であるときにはステップS13に進み(Yes)、隔離解除基準回数46(Ne)よりも小さいときにはステップS9に戻る(No)。
In step S11, the VM moving unit 33 adds 1 to the internal variable [x].
In step S12, the VM moving unit 33 determines (comparisons) whether or not the internal variable [x] is equal to or greater than the isolation release reference count 46 (Ne). When the internal variable [x] is equal to or greater than the isolation release reference number 46 (Ne), the process proceeds to step S13 (Yes), and when smaller than the isolation release reference number 46 (Ne), the process returns to step S9 (No).
ステップS13で、VM移動部33が、対象VMを安全環境VMサーバ10に移動させる。そして、VM移動部33は、VM管理テーブル41のレコードのうち、対象VMに対応するレコードの[稼働中サーバ]を「安全」に変更する。 In step S <b> 13, the VM moving unit 33 moves the target VM to the safe environment VM server 10. Then, the VM moving unit 33 changes “active server” of the record corresponding to the target VM among the records of the VM management table 41 to “safe”.
これらのステップS10〜ステップS13の処理は、すなわち、基準時間(T)あたりの指標値の合計値(rSum)が、隔離解除基準回数46(Ne)連続で隔離解除基準値44(Re)以下であったときに、対象VMを安全環境VMサーバ10に移動させるものである。 In the processing of these steps S10 to S13, that is, the total value (rSum) of the index values per reference time (T) is less than the isolation release reference value 44 (Re) continuously for the isolation release reference count 46 (Ne). If there is, the target VM is moved to the safe environment VM server 10.
図9は、情報収集部31及び指標値算出部32が実行する指標値算出処理(前述のステップ3及びステップ9)の詳細を示すフローチャートである。
ステップS21で、指標値算出部32は、基準時間(T)のカウントをリセットするとともに、指標値(r)の合計値(rSum)に0をセットする。
FIG. 9 is a flowchart showing details of the index value calculation process (steps 3 and 9 described above) executed by the information collection unit 31 and the index value calculation unit 32.
In step S21, the index value calculation unit 32 resets the count of the reference time (T) and sets 0 to the total value (rSum) of the index values (r).
ステップS22で、情報収集部31は、イベント発生度(e)や狙われやすさ(t)を示す情報をインターネット等から収集する。なお、狙われやすさ(t)はVMのユーザに依存する情報であるため、情報収集部31はVM管理テーブル41を参照して対象VMのユーザを特定し、特定したユーザについての情報を収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化してイベント発生度(e)及び狙われやすさ(t)を示す値とし、指標値テーブルに書き込む。 In step S22, the information collection unit 31 collects information indicating the event occurrence degree (e) and the easiness of being targeted (t) from the Internet or the like. Since the easiness to target (t) depends on the VM user, the information collection unit 31 refers to the VM management table 41 to identify the target VM user and collects information about the identified user. To do. Then, the information collection unit 31 digitizes the collected information according to rules that have been determined in advance as appropriate values to indicate the event occurrence degree (e) and the ease of being targeted (t), and writes the values in the index value table.
ステップS23で、情報収集部31は、脆弱性発生量(v)を示す情報を外部データベース等から収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化して脆弱性発生量(v)を示す値とし、指標値テーブルに書き込む。 In step S23, the information collection unit 31 collects information indicating the vulnerability generation amount (v) from an external database or the like. Then, the information collecting unit 31 converts the collected information into a value according to a rule determined in advance as a value indicating the vulnerability generation amount (v), and writes it into the index value table.
ステップS24で、情報収集部31は、VMセキュリティ対策状況(s)を示す情報を外部の脆弱性診断ツール等から収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化してVMセキュリティ対策状況(s)を示す値とし、指標値テーブルに書き込む。 In step S24, the information collection unit 31 collects information indicating the VM security countermeasure status (s) from an external vulnerability diagnosis tool or the like. Then, the information collection unit 31 converts the collected information into a numerical value according to a predetermined rule as a value indicating the VM security countermeasure status (s) and writes the value in the index value table.
なお、ステップS22〜ステップS24で収集する情報は、必要に応じて管理サーバ30に接続された管理コンソール等から入力することもできる。
ステップS25で、指標値算出部32は、指標値(r)を算出する。指標値(r)は、例えば、次のような式で算出することができる。
r=(e + t + v)/ s
ステップS26で、指標値算出部32は、ステップS25で算出した指標値(r)を、合計値(rSum)に加算する。
Note that the information collected in steps S22 to S24 can be input from a management console connected to the management server 30 as necessary.
In step S25, the index value calculation unit 32 calculates an index value (r). The index value (r) can be calculated by the following formula, for example.
r = (e + t + v) / s
In step S26, the index value calculation unit 32 adds the index value (r) calculated in step S25 to the total value (rSum).
ステップS27で、指標値算出部32は、基準時間(T)が経過しているか否かを判定する。なお、基準時間(T)は、前述したようにVMごとに対応づけられているものであり、VM管理テーブル41を参照することで特定することができる。基準時間(T)が経過していれば処理を終了し(Yes)、経過していなければ、所定の時間待機して、ステップS22に戻る(No)。 In step S27, the index value calculation unit 32 determines whether or not the reference time (T) has elapsed. The reference time (T) is associated with each VM as described above, and can be specified by referring to the VM management table 41. If the reference time (T) has elapsed, the process ends (Yes), and if it has not elapsed, the process waits for a predetermined time and returns to step S22 (No).
ここで、安全環境VMサーバ10及び隔離環境VMサーバ20間でVMを移動させる具体例について説明する。
図10は、安全環境VMサーバ10で稼働しているVMを隔離環境VMサーバ20に移動させる具体例を示す。図10のグラフは、対象VMにおける、時間の経過に伴う指標値rの推移を示し、縦軸が指標値(r)、横軸が時間(t)を示す。図10のグラフにおいて、基準時間(T)ごとに夫々実線で囲われた部分の面積(T1の例で示す網掛け部分)が、基準時間(T)あたりの指標値(r)の合計値(rSum)を示す。なお、数値の具体例を示すと、例えば基準時間(T)が60分であり、指標値(r)が10分ごとに算出される場合において、基準時間(T)内に「180」、「190」、「210」、「250」、「220」、「240」の指標値(r)が算出されたとき、合計値(rSum)は「1290」となる。また、基準時間ごとに破線で囲われた長方形のブロックの面積が、隔離開始基準値43(Rs)である。この例では、隔離開始基準回数45(Ns)が3回であるとする。この例において、T1〜T4の期間は、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)よりも小さい。一方で、T5〜T9の期間では、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)以上である。ここで、T5〜T7で、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)を3回連続で超えているため、VM移動部33は、T7が経過した時点で、当該VMを隔離環境VMサーバ20へ移動させる。
Here, a specific example in which a VM is moved between the safety environment VM server 10 and the isolation environment VM server 20 will be described.
FIG. 10 shows a specific example in which a VM running on the safe environment VM server 10 is moved to the isolated environment VM server 20. The graph of FIG. 10 shows the transition of the index value r over time in the target VM, the vertical axis shows the index value (r), and the horizontal axis shows the time (t). In the graph of FIG. 10, the area of each portion surrounded by a solid line for each reference time (T) (the shaded portion shown in the example of T1) is the total value of the index values (r) per reference time (T) ( rSum). For example, when the reference time (T) is 60 minutes and the index value (r) is calculated every 10 minutes, “180”, “ When the index values (r) of “190”, “210”, “250”, “220”, “240” are calculated, the total value (rSum) is “1290”. Further, the area of the rectangular block surrounded by a broken line for each reference time is the isolation start reference value 43 (Rs). In this example, it is assumed that the isolation start reference number 45 (Ns) is three. In this example, during the period from T1 to T4, the total value (rSum) of the index values (r) is smaller than the isolation start reference value 43 (Rs). On the other hand, in the period from T5 to T9, the total value (rSum) of the index values (r) is equal to or greater than the isolation start reference value 43 (Rs). Here, at T5 to T7, the total value (rSum) of the index values (r) exceeds the isolation start reference value 43 (Rs) three times in succession, so that the VM moving unit 33 is at the time when T7 has elapsed. Then, the VM is moved to the isolated environment VM server 20.
一方、図11は、隔離環境VMサーバ10で稼働しているVMを安全環境VMサーバ20に移動させる具体例を示す。図11のグラフも同様、対象VMにおける、時間の経過に伴う指標値rの推移を示し、縦軸が指標値(r)、横軸が時間(t)を示す。図11のグラフにおいて、基準時間(T)ごとに夫々実線で囲われた部分の面積(T1の例で示す網掛け部分)が、基準時間(T)あたりの指標値(r)の合計値(rSum)を示す。また、基準時間ごとに破線で囲われた長方形のブロックが、隔離解除基準値44(Re)である。この例では、隔離解除基準回数46(Ne)が5回であるとする。この例において、T1〜T3の期間は、指標値(r)の合計値(rSum)が、隔離解除基準値44(Re)よりも大きい。一方で、T4〜T9の期間では、指標値(r)の合計値(rSum)が、隔離解除基準値44(Re)以下である。ここで、T4〜T8で、指標値(r)の合計値(rSum)が、隔離開始基準値43(Re)を5回連続で下回っているため、VM移動部33は、T8が経過した時点で、当該VMを安全環境VMサーバ10へ移動させる。 On the other hand, FIG. 11 shows a specific example in which a VM operating in the isolated environment VM server 10 is moved to the safe environment VM server 20. Similarly, the graph of FIG. 11 shows the transition of the index value r over time in the target VM, the vertical axis indicates the index value (r), and the horizontal axis indicates the time (t). In the graph of FIG. 11, the area of each portion surrounded by a solid line for each reference time (T) (the shaded portion shown in the example of T1) is the total value of the index values (r) per reference time (T) ( rSum). A rectangular block surrounded by a broken line for each reference time is the isolation release reference value 44 (Re). In this example, it is assumed that the isolation release reference number 46 (Ne) is five. In this example, during the period from T1 to T3, the total value (rSum) of the index values (r) is larger than the isolation release reference value 44 (Re). On the other hand, in the period from T4 to T9, the total value (rSum) of the index values (r) is equal to or less than the isolation release reference value 44 (Re). Here, in T4 to T8, the total value (rSum) of the index values (r) is lower than the isolation start reference value 43 (Re) five times in succession. Then, the VM is moved to the safe environment VM server 10.
図12は、管理サーバ30の基準時間変更部34が実行する基準時間変更処理を示すフローチャートである。この処理は、安全環境VMサーバ10又は隔離環境VMサーバ20で実行されているVMの夫々を対象として実行される。また、図示を省略しているが、管理サーバ30では、複数のVMの夫々の安全環境VMサーバ10における稼働時間及び隔離環境VMサーバ20における稼働時間を把握し、VM管理テーブル41に随時記録している。 FIG. 12 is a flowchart showing the reference time changing process executed by the reference time changing unit 34 of the management server 30. This process is executed for each of the VMs executed in the safety environment VM server 10 or the isolation environment VM server 20. Although not shown, the management server 30 grasps the operation time of each of the plurality of VMs in the safety environment VM server 10 and the operation time in the isolated environment VM server 20 and records them in the VM management table 41 as needed. ing.
ステップS31で、基準時間変更部34は、対象VMの隔離環境滞在割合(α)を次の式によって算出する。
α=対象VMの隔離環境VMサーバ稼働時間/対象VMの総稼働時間
なお、対象VMの総稼働時間は、安全環境VMサーバ稼働時間と隔離環境VMサーバ稼働時間とを合わせた時間である。当該計算式は、換言すれば、対象VMの安全環境VMサーバ10における稼働時間と安全環境VMサーバ稼働時間20における稼働時間との比率を計算するものである。
In step S31, the reference time changing unit 34 calculates the isolated environment stay ratio (α) of the target VM by the following equation.
α = isolation environment VM server operation time of target VM / total operation time of target VM The total operation time of the target VM is a time obtained by combining the safety environment VM server operation time and the isolation environment VM server operation time. In other words, the calculation formula calculates the ratio between the operation time of the target VM in the safety environment VM server 10 and the operation time in the safety environment VM server operation time 20.
さらに、基準時間変更部34は、VM管理テーブル41を参照し、稼働中の全てのVMの隔離環境滞在割合(α)の平均値を次の式によって算出する。
平均値=全てのVMの隔離環境滞在割合(α)の合計値/VM数
ステップS32で、基準時間変更部34は、対象VMの隔離環境滞在割合(α)が、稼働中の全てのVMの隔離環境滞在割合の平均値に安全係数47(β)を乗じた値よりも大きいか否かを判定(比較)する。対象VMの隔離環境滞在割合(α)のほうが大きければ、ステップ33に進み(Yes)、そうでなければステップS34に進む(No)。
Further, the reference time changing unit 34 refers to the VM management table 41 and calculates an average value of the isolated environment stay ratios (α) of all the operating VMs by the following formula.
Average value = total value of isolated environment stay ratio (α) of all VMs / number of VMs In step S32, the reference time changing unit 34 determines that the isolated environment stay ratio (α) of the target VM is equal to all of the operating VMs. It is determined (compared) whether or not it is larger than a value obtained by multiplying the average value of the ratio of staying in the isolated environment by a safety factor 47 (β). If the ratio of staying in the isolated environment (α) of the target VM is larger, the process proceeds to step 33 (Yes), and if not, the process proceeds to step S34 (No).
ステップS33で、基準時間変更部34は、基準時間(T)を次の式によって長く変更する。
T=(1+α)×T
このステップ33の処理は、すなわち、対象VMの隔離環境滞在割合(α)が他のVMとの関係で相対的に大きい場合に、基準時間(T)を長くすることで、隔離環境に移動しやすく、また、安全環境に移動しづらくするものである。
In step S33, the reference time changing unit 34 changes the reference time (T) longer by the following equation.
T = (1 + α) × T
In the process of step 33, that is, when the ratio of staying in the isolated environment (α) of the target VM is relatively large in relation to other VMs, the reference time (T) is increased to move to the isolated environment. It is easy and makes it difficult to move to a safe environment.
ステップS34で、基準時間変更部34は、基準時間(T)を次の式によって短く変更する。
T=(1−α)×T
このステップ34の処理は、すなわち、対象VMの隔離環境滞在割合(α)が他のVMとの関係で相対的に小さい場合に、基準時間(T)を短くすることで、隔離環境に移動しづらく、また、安全環境に移動し易くするものである。
In step S <b> 34, the reference time changing unit 34 changes the reference time (T) to be shorter by the following equation.
T = (1-α) × T
The process of step 34 is to move to the isolated environment by shortening the reference time (T) when the ratio of staying in the isolated environment (α) of the target VM is relatively small in relation to other VMs. It is also difficult to move to a safe environment.
基準時間変更部34は、ステップ33及びステップ34の処理が終了すると、所定の時間待機した後、ステップ31に戻って処理を再開する。
ここで、基準時間変更処理の具体例について説明する。本説明では、図3のVM管理テーブル41が示す内容でVMが稼働しているものとする。この場合、VM1〜VM5の隔離環境滞在割合(α)を夫々α1〜α5とすると、α1=1/10=0.1、α2=0/9=0、α3=2/8=0.25、α4=9/12=0.75、α5=2/5=0.4となる。そして、稼働中の全てのVMの隔離環境滞在割合(α)の平均値は、(0.1+0+0.25+0.75+0.4)/5=0.3となる。この具体例において、稼働中の全てのVMの隔離環境滞在割合の平均値に安全係数47(β)を乗じた値は、0.3*0・9=0.27となり、α1、α2、α3がこの値よりも小さい一方、α4、α5がこの値よりも大きい。このため、基準時間変更部34は、VM1、VM2及びVM3については、基準時間(T)を(1−0.27)×T=0.73T(すなわち、例えばVM1の場合は、T=60分であるため、0.73×60=43.8分)に変更する。一方で、基準時間変更部34は、VM4及びVM5については、基準時間(T)を(1+0.27)×T=1.27T(すなわち、例えばVM4の場合は、T=80分であるため、1.27×80=101.6分)に変更する。
When the processing of step 33 and step 34 ends, the reference time changing unit 34 waits for a predetermined time, and then returns to step 31 to resume the processing.
Here, a specific example of the reference time changing process will be described. In this description, it is assumed that the VM is operating with the contents indicated by the VM management table 41 in FIG. In this case, if the staying ratio (α) of VM1 to VM5 is α1 to α5, α1 = 1/10 = 0.1, α2 = 0/9 = 0, α3 = 2/8 = 0.25, α4 = 9/12 = 0.75 and α5 = 2/5 = 0.4. Then, the average value of the isolated environment stay ratios (α) of all the operating VMs is (0.1 + 0 + 0.25 + 0.75 + 0.4) /5=0.3. In this specific example, the average value of the ratio of staying in the isolated environment of all the operating VMs multiplied by the safety factor 47 (β) is 0.3 * 0 · 9 = 0.27, and α1, α2, α3 Is smaller than this value, while α4 and α5 are larger than this value. Therefore, the reference time changing unit 34 sets the reference time (T) to (1−0.27) × T = 0.73T (that is, T = 60 minutes in the case of VM1, for VM1, VM2, and VM3). Therefore, it is changed to 0.73 × 60 = 43.8 minutes). On the other hand, for the VM4 and VM5, the reference time changing unit 34 sets the reference time (T) to (1 + 0.27) × T = 1.27T (that is, for example, for VM4, T = 80 minutes, 1.27 × 80 = 101.6 minutes).
<本実施形態による効果、変形例等>
本実施形態によれば、VMの指標値が所定の時間ごとに算出され、当該指標値の基準時間の時間内における合計値に応じて、VMが安全環境VMサーバ10又は隔離環境VMサーバ20間で移動される。このため、VMのセキュリティリスクの変化に応じて、対象VMを安全環境又は隔離環境に適切に配置することができる。ここで、本実施形態では、対象VMの総稼働時間に対して当該VMの隔離環境における稼働時間が占める割合が長いほど、基準時間が長く変更される。換言すれば、本実施形態では、対象VMの安全環境VMサーバ10における稼働時間に対する隔離環境VMサーバ20における稼働時間の比率が大きいほど、基準時間が長く変更される。このため、隔離環境に長く存在するVM、すなわち、セキュリティリスクが高い傾向にあるVMは隔離環境に移動し易く、逆に安全環境に移動しづらくなる。こうすることで、隔離環境に長く配置されているVMのセキュリティリスクが一時的に低くなったとしても、稼働状況全体を考慮し、容易に安全環境に配置されないようにすることができる。このように、本実施形態では、セキュリティリスクの高いVMを他のVMから適切にVMを隔離することができ、VM提供サービスを行うシステムに発生する不具合の影響を小さくすることができる。なお、かかる不具合の影響の一例としては、例えば、セキュリティリスクの高いVMが外部から攻撃されてウィルス等に感染し、物理資源を占有する状況となった場合に、物理資源を共有する他のVMが使用している物理資源を奪ってしまう状況等が考えられる。他の例としては、セキュリティリスクの高いVMを経由してハードディスク等からの情報漏洩が発生した場合に、他のVMの情報漏洩も併せて発生する、といった状況が考えられる。
<Effects and Modifications According to this Embodiment>
According to this embodiment, the index value of the VM is calculated every predetermined time, and the VM is between the safety environment VM server 10 or the isolated environment VM server 20 according to the total value of the index value within the reference time. It is moved with. For this reason, the target VM can be appropriately arranged in the safe environment or the isolated environment according to the change in the security risk of the VM. Here, in this embodiment, the reference time is changed longer as the ratio of the operation time in the isolated environment of the target VM to the total operation time of the target VM is longer. In other words, in this embodiment, the reference time is changed longer as the ratio of the operation time in the isolated environment VM server 20 to the operation time in the safety environment VM server 10 of the target VM is larger. For this reason, a VM that has been in the isolated environment for a long time, that is, a VM that tends to have a high security risk, easily moves to the isolated environment, and conversely, it becomes difficult to move to the safe environment. In this way, even if the security risk of a VM that has been long placed in the isolated environment is temporarily reduced, it is possible to prevent the VM from being easily placed in the safe environment in consideration of the entire operation status. As described above, in the present embodiment, a VM with a high security risk can be appropriately isolated from other VMs, and the influence of problems occurring in a system that provides a VM providing service can be reduced. As an example of the influence of such a malfunction, for example, when a VM with a high security risk is attacked from the outside and is infected with a virus or the like and occupies the physical resource, another VM that shares the physical resource is used. There may be a situation where the physical resources used by the are taken away. As another example, when information leakage from a hard disk or the like occurs via a VM having a high security risk, information leakage from other VMs may also occur.
また、本実施形態によれば、対象VMを安全環境VMサーバ10から隔離環境VMサーバ20に移動させる際に、指標値の合計値が、隔離開始基準回数45以上連続して隔離開始基準値43以上であるときにVMを移動させることで、次の作用効果を奏する。すなわち、VMのセキュリティリスクが短時間で大きく変動し、一時的にセキュリティリスクが高くなったとしても、すぐにセキュリティリスクが元に戻ることがある。このような場合に、直ちに当該VMを隔離環境に移動させてしまうことを回避することができる。このため、VMの移動を必要以上に多発させずに済む。対象VMを隔離環境VMサーバ20から安全環境VMサーバ10に移動させる際も同様である。なお、隔離開始基準回数45と隔離解除基準回数46は同じ値にすることも当然に可能である。 Further, according to the present embodiment, when the target VM is moved from the safety environment VM server 10 to the isolation environment VM server 20, the total value of the index values is the isolation start reference value 43 continuously for the isolation start reference number 45 or more. When the VM is moved as described above, the following operational effects are obtained. That is, even if the VM security risk largely fluctuates in a short time and the security risk temporarily increases, the security risk may quickly return to the original. In such a case, it is possible to avoid immediately moving the VM to the isolation environment. For this reason, it is not necessary to move the VM more frequently than necessary. The same applies when the target VM is moved from the isolated environment VM server 20 to the safe environment VM server 10. Of course, the isolation start reference number 45 and the isolation release reference number 46 can be set to the same value.
また、本実施形態によれば、基準時間を変更する際に、複数のVMの隔離環境稼働割合の平均値に安全係数47を乗じた値よりも、対象VMの隔離環境稼働割合のほうが大きいときに、基準時間を長くする。こうすることで、VMが隔離環境に長く配置されているか否かの判断(すなわち、基準時間を長くするか否かの判断)を、他のVMとの相対的な比較に基づいて行うことができる。基準時間を短くする場合も同様である。こうすることで、システム全体として、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働するVMの数のバランスをとることができる。また、例えば、安全係数47を大きくすることで基準時間が短くなり易く、逆に、安全係数47を小さくすることで基準時間が長くなり易く調整することができる。なお、この安全係数47は必須ではなく、単に前述の平均値との比較をしてもよい。 Further, according to the present embodiment, when the reference time is changed, when the isolated environment operating ratio of the target VM is larger than the value obtained by multiplying the average value of the isolated environment operating ratios of a plurality of VMs by the safety factor 47. In addition, the reference time is lengthened. By doing so, it is possible to determine whether or not the VM has been placed in the isolation environment for a long time (that is, whether to increase the reference time) based on a relative comparison with other VMs. it can. The same applies when shortening the reference time. By doing so, the number of VMs operating in the safety environment VM server 10 and the isolated environment VM server 20 can be balanced as the entire system. Further, for example, the reference time can be easily shortened by increasing the safety factor 47, and conversely, the reference time can be easily increased by decreasing the safety factor 47. Note that the safety factor 47 is not essential and may be simply compared with the above-described average value.
また、本実施形態によれば、隔離開始基準値43と隔離解除基準値44とを異なる値にしている。また、隔離開始基準回数45と隔離解除基準回数46とを異なる値にしている。こうすることで、安全環境から隔離環境への移動のし易さと、隔離環境から安全環境への移動のし易さとに差を持たせることができる。このため、システムの運用やセキュリティポリシー次第で、安全環境及び隔離環境で稼働するVMの数を調整することができる。なお、隔離開始基準値43と隔離解除基準値44は同じ値にすることも当然に可能である。 Further, according to the present embodiment, the isolation start reference value 43 and the isolation release reference value 44 are set to different values. Further, the isolation start reference count 45 and the isolation release reference count 46 are set to different values. By doing so, it is possible to make a difference between the ease of movement from the safety environment to the isolation environment and the ease of movement from the isolation environment to the safety environment. Therefore, the number of VMs operating in the safe environment and the isolated environment can be adjusted depending on the system operation and the security policy. Of course, the isolation start reference value 43 and the isolation release reference value 44 can be set to the same value.
さらに、本実施形態によれば、VMのセキュリティリスクの指標値を算出する際に、VMの動作環境自体の脆弱性等のみならず、例えば対象VMのユーザに関連する情報等に基づいてセキュリティリスクを示す指標値が算出される。このため、VMのユーザに応じてVMの隔離がなされ、VM提供サービスにおいて、セキュリティリスクの高いVMにおける不具合が他のユーザが使用するVMに影響を及ぼすことをより高い精度で回避することができる。 Furthermore, according to the present embodiment, when calculating the index value of the VM security risk, not only the vulnerability of the VM operating environment itself, but also the security risk based on information related to the user of the target VM, for example. An index value indicating is calculated. For this reason, the VM is isolated according to the user of the VM, and in the VM providing service, it is possible to avoid the malfunction in the VM having a high security risk from affecting the VM used by another user with higher accuracy. .
なお、本実施形態では、安全環境VMサーバ10及び隔離環境VMサーバ20間においてVMを隔離しているが、例えば、1つのサーバにおいて仮想的に区分された別々の動作環境間(例えば別々の仮想OS等)においてVMを隔離してもよい。この場合は、両動作環境において使用する物理資源は共通であるが、少なくとも、セキュリティリスクの高いVMから他のVMへの不正アクセス等を抑制することは可能である。 In this embodiment, the VM is isolated between the safety environment VM server 10 and the isolation environment VM server 20, but, for example, between different operating environments (for example, different virtual environments) virtually divided in one server. The VM may be isolated in the OS or the like. In this case, the physical resources used in both operating environments are the same, but at least unauthorized access from a VM with a high security risk to another VM can be suppressed.
また、上記説明で管理サーバ30が実行する処理は、必ずしも管理サーバ30で実行する必要はなく、例えば、安全環境VMサーバ10又は隔離環境VMサーバ20のいずれかが実行してもよい。 In addition, the processing executed by the management server 30 in the above description is not necessarily executed by the management server 30, and may be executed by, for example, either the safety environment VM server 10 or the isolated environment VM server 20.
また、本明細書において、閾値等との比較において「〜以上」や「〜以下」とした記載箇所は、当該記載に限定されるものではなく、「〜より大きい(〜を上回る)」や「〜より小さい(〜を下回る)」に適宜置き換えることが可能である。 In addition, in the present specification, the description places “to be more than” or “to be less than” in comparison with the threshold value and the like are not limited to the description, but “to be greater than (more than)” or “ It can be appropriately replaced with “less than (less than)”.
<管理サーバのハードウェア構成等>
ここで、管理サーバ30として機能する情報処理装置のハードウェア構成の一例を図13に示す。本情報処理装置は、プロセッサ101、メモリ102、ストレージ103、可搬記憶媒体駆動装置104、入出力装置105及び通信インタフェース106を備える。
<Management server hardware configuration, etc.>
Here, an example of the hardware configuration of the information processing apparatus functioning as the management server 30 is shown in FIG. The information processing apparatus includes a processor 101, a memory 102, a storage 103, a portable storage medium driving device 104, an input / output device 105, and a communication interface 106.
プロセッサ101は、制御ユニット、演算ユニット及び命令デコーダ等を含み、実行ユニットが、命令デコーダで解読されたプログラムの命令に従い、制御ユニットより出力される制御信号に応じ、演算ユニットを用いて算術・論理演算を実行する。かかるプロセッサ101は、制御に用いる各種情報が格納される制御レジスタ、既にアクセスしたメモリ2等の内容を一時的に格納可能なキャッシュ、及び、仮想記憶のページテーブルのキャッシュとしての機能を果たすTLBを備える。なお、プロセッサ101は、CPU(Central Processing Unit)コアが複数設けられている構成でもよい。 The processor 101 includes a control unit, an arithmetic unit, an instruction decoder, and the like. The execution unit follows the instructions of the program decoded by the instruction decoder, and performs arithmetic / logic using the arithmetic unit according to a control signal output from the control unit. Perform the operation. The processor 101 has a TLB that functions as a control register in which various information used for control is stored, a cache that can temporarily store the contents of the already accessed memory 2 and the like, and a page table cache of virtual memory. Prepare. The processor 101 may have a configuration in which a plurality of CPU (Central Processing Unit) cores are provided.
メモリ102は、例えばRAM(Random Access Memory)等の記憶装置であり、プロセッサ101で実行されるプログラムがロードされるとともに、プロセッサ101の処理に用いるデータが格納されるメインメモリである。また、ストレージ103は、例えばHDD(Hard Disk Drive)やフラッシュメモリ等の記憶装置であり、プログラムや各種データが格納される。可搬記憶媒体駆動装置104は、可搬記憶媒体107に記憶されたデータやプログラムを読み出す装置である。可搬記憶媒体107は、例えば磁気ディスク、光ディスク、光磁気ディスク又はフラッシュメモリ等である。プロセッサ101は、メモリ102やストレージ103と協働しつつ、ストレージ103や可搬記憶媒体107に格納されたプログラムを実行する。なお、プロセッサ101が実行するプログラムや、アクセス対象となるデータは、当該情報処理装置と通信可能な他の装置に格納されていてもよい。なお、本実施形態で記載した管理サーバ30の記憶手段とは、メモリ102、ストレージ103及び可搬記憶媒体107若しくは当該情報処理装置と通信可能な他の装置の少なくともいずれかを示す。 The memory 102 is a storage device such as a RAM (Random Access Memory), for example, and is a main memory in which a program to be executed by the processor 101 is loaded and data used for processing of the processor 101 is stored. The storage 103 is a storage device such as an HDD (Hard Disk Drive) or a flash memory, and stores programs and various data. The portable storage medium driving device 104 is a device that reads data and programs stored in the portable storage medium 107. The portable storage medium 107 is, for example, a magnetic disk, an optical disk, a magneto-optical disk, or a flash memory. The processor 101 executes a program stored in the storage 103 or the portable storage medium 107 while cooperating with the memory 102 or the storage 103. Note that the program executed by the processor 101 and data to be accessed may be stored in another device that can communicate with the information processing device. Note that the storage unit of the management server 30 described in the present embodiment indicates at least one of the memory 102, the storage 103, the portable storage medium 107, or another device that can communicate with the information processing apparatus.
入出力装置105は例えばキーボード等やディスプレイ等であり、ユーザ操作等による動作命令を受け付ける一方、情報処理装置による処理結果を出力する。通信インタフェース106は例えばLANカード等であり、外部とのデータ通信を可能にする。前述した情報処理装置の各構成要素は、バス108で接続されている。 The input / output device 105 is, for example, a keyboard or a display, and receives an operation command by a user operation or the like, and outputs a processing result by the information processing device. The communication interface 106 is a LAN card, for example, and enables data communication with the outside. Each component of the information processing apparatus described above is connected by a bus 108.
<その他>
なお、本明細書で説明した情報処理装置の機能的構成及び物理的構成は、上述の態様に限るものではなく、例えば、各機能や物理資源を統合して実装したり、逆に、さらに分散して実装したりすることも可能である。
<Others>
Note that the functional configuration and physical configuration of the information processing apparatus described in this specification are not limited to the above-described aspects. For example, the functions and physical resources are integrated and mounted, or on the contrary, further distributed. It is also possible to implement it.
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
コンピュータが、
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を、当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理方法。
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
Computer
Calculating a risk index value of a target virtual machine operating in either the first operating environment or the second operating environment at predetermined time intervals;
Calculating an aggregate value of the index values calculated within a reference time stored in association with the target virtual machine for each reference time;
Moving the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
A virtual machine management method for executing a process of changing the reference time according to a ratio of an operation time in the first operation environment and an operation time in the second operation environment of the target virtual machine.
(付記2)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の閾値以下であるときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1記載の仮想マシン管理方法。
(Appendix 2)
The moving process moves the target virtual machine to the second operating environment when the target virtual machine is operating in the first operating environment and the aggregate value is equal to or greater than a predetermined threshold. On the other hand, the target virtual machine is moved to the first operating environment when the target virtual machine is operating in the second operating environment and the total value is not more than a predetermined threshold. The virtual machine management method described.
(付記3)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以下のときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1又は2に記載の仮想マシン管理方法。
(Appendix 3)
The moving process is performed when the target virtual machine is operating in the first operating environment, and when the aggregate value is continuously equal to or greater than a predetermined threshold for a predetermined number of times or more, The target virtual machine moves to the second operating environment, and the target virtual machine is operating in the second operating environment and the aggregate value is continuously equal to or less than a predetermined threshold value for a predetermined number of times or more. The virtual machine management method according to appendix 1 or 2, wherein a machine is moved to the first operating environment.
(付記4)
前記変更する処理は、前記複数の仮想マシンの夫々の前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率の平均値と、前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率との比較結果に応じて、前記基準時間を変更する、付記1〜3のいずれか1項に記載の仮想マシン管理方法。
(Appendix 4)
The process to be changed includes an average value of a ratio of an operation time in the first operation environment and an operation time in the second operation environment of each of the plurality of virtual machines, and the target virtual machine in the first operation environment. The virtual machine management method according to any one of appendices 1 to 3, wherein the reference time is changed according to a comparison result between a working time and a ratio between the working time in the second operating environment.
(付記5)
前記変更する処理は、前記平均値に対して所定の係数を乗じた値と、前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率との比較結果に応じて、前記基準時間を変更する、付記4に記載の仮想マシン管理方法。
(Appendix 5)
The process to be changed is a comparison result between a value obtained by multiplying the average value by a predetermined coefficient and a ratio between an operation time of the target virtual machine in the first operation environment and an operation time in the second operation environment. The virtual machine management method according to appendix 4, wherein the reference time is changed according to the method.
(付記6)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が第1閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が前記第1閾値と異なる第2閾値以下であるときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1〜5のいずれか1項に記載の仮想マシン管理方法。
(Appendix 6)
The moving process moves the target virtual machine to the second operating environment when the target virtual machine is operating in the first operating environment and the aggregate value is equal to or greater than a first threshold. On the other hand, when the target virtual machine is operating in the second operating environment and the aggregate value is equal to or less than a second threshold value different from the first threshold value, the target virtual machine is set to the first operating environment. The virtual machine management method according to any one of appendices 1 to 5, wherein the virtual machine management method is moved to.
(付記7)
前記指標値を算出する処理は、前記対象仮想マシンのユーザに関連する情報に基づいて前記指標値を算出する、付記1〜6のいずれか1項に記載の仮想マシン管理方法。
(Appendix 7)
The virtual machine management method according to any one of appendices 1 to 6, wherein the process of calculating the index value calculates the index value based on information related to a user of the target virtual machine.
(付記8)
コンピュータが、
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理プログラム。
(Appendix 8)
Computer
Calculating a risk index value of a target virtual machine operating in either the first operating environment or the second operating environment at predetermined time intervals;
Calculating an aggregate value of the index values calculated within the reference time stored in association with the target virtual machine for each reference time;
Moving the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
The virtual machine management program which performs the process which changes the said reference time according to the ratio of the operating time in the said 1st operating environment of the said object virtual machine, and the operating time in the said 2nd operating environment.
(付記9)
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を当該基準時間ごとに算出する指標値算出部と、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させる仮想マシン移動部と、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する基準時間変更部と
を備える仮想マシン管理装置。
(Appendix 9)
The risk index value of the target virtual machine operating in either the first operating environment or the second operating environment is calculated every predetermined time, and is calculated within the reference time stored in association with the target virtual machine. An index value calculation unit that calculates a total value of the index values for each reference time;
A virtual machine moving unit that moves the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
A virtual machine management device comprising: a reference time changing unit that changes the reference time according to a ratio of an operation time in the first operation environment of the target virtual machine to an operation time in the second operation environment.
1…システム、10…安全環境サーバ、20…隔離環境サーバ、30…管理サーバ、40…クライアント、50…情報提供サーバ、12…VM群、31…情報収集部、32…指標値算出部、33…VM移動部、34…基準時間変更部、41…VM管理テーブル、42…指標値テーブル群 DESCRIPTION OF SYMBOLS 1 ... System, 10 ... Safety environment server, 20 ... Isolation environment server, 30 ... Management server, 40 ... Client, 50 ... Information providing server, 12 ... VM group, 31 ... Information collection part, 32 ... Index value calculation part, 33 ... VM moving part, 34 ... reference time changing part, 41 ... VM management table, 42 ... index value table group
Claims (7)
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を、当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理方法。 Computer
Calculating a risk index value of a target virtual machine operating in either the first operating environment or the second operating environment at predetermined time intervals;
Calculating an aggregate value of the index values calculated within a reference time stored in association with the target virtual machine for each reference time;
Moving the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
A virtual machine management method for executing a process of changing the reference time according to a ratio of an operation time in the first operation environment and an operation time in the second operation environment of the target virtual machine.
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理プログラム。 Computer
Calculating a risk index value of a target virtual machine operating in either the first operating environment or the second operating environment at predetermined time intervals;
Calculating an aggregate value of the index values calculated within the reference time stored in association with the target virtual machine for each reference time;
Moving the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
The virtual machine management program which performs the process which changes the said reference time according to the ratio of the operating time in the said 1st operating environment of the said object virtual machine, and the operating time in the said 2nd operating environment.
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させる仮想マシン移動部と、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する基準時間変更部と
を備える仮想マシン管理装置。
The risk index value of the target virtual machine operating in either the first operating environment or the second operating environment is calculated every predetermined time, and is calculated within the reference time stored in association with the target virtual machine. An index value calculation unit that calculates a total value of the index values for each reference time;
A virtual machine moving unit that moves the target virtual machine from the first operating environment to the second operating environment or from the second operating environment to the first operating environment according to the aggregate value;
A virtual machine management device comprising: a reference time changing unit that changes the reference time according to a ratio of an operation time in the first operation environment of the target virtual machine to an operation time in the second operation environment.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013165012A JP6171708B2 (en) | 2013-08-08 | 2013-08-08 | Virtual machine management method, virtual machine management program, and virtual machine management apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013165012A JP6171708B2 (en) | 2013-08-08 | 2013-08-08 | Virtual machine management method, virtual machine management program, and virtual machine management apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015035061A true JP2015035061A (en) | 2015-02-19 |
JP6171708B2 JP6171708B2 (en) | 2017-08-02 |
Family
ID=52543557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013165012A Active JP6171708B2 (en) | 2013-08-08 | 2013-08-08 | Virtual machine management method, virtual machine management program, and virtual machine management apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6171708B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019177099A1 (en) * | 2018-03-15 | 2019-09-19 | 株式会社マンダム | Method for evaluating test sample |
WO2019181979A1 (en) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | Vulnerability checking system, distribution server, vulnerability checking method, and program |
JP2021056739A (en) * | 2019-09-30 | 2021-04-08 | 日本電気株式会社 | Container control device, container control method, and container control program |
JP2021531552A (en) * | 2018-07-11 | 2021-11-18 | グリーン・マーケット・スクエア・リミテッドGreen Market Square Limited | Data privacy awareness in workload provisioning |
JP7499262B2 (en) | 2019-02-26 | 2024-06-13 | オラクル・インターナショナル・コーポレイション | Method, system, and computer-readable medium for dynamically modifying security system entities |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004271736A (en) * | 2003-03-06 | 2004-09-30 | Sony Corp | Device, method and program to detect information |
JP2011008780A (en) * | 2009-06-25 | 2011-01-13 | Vmware Inc | Management of information technology risk using virtual infrastructure |
WO2012053115A1 (en) * | 2010-10-22 | 2012-04-26 | 富士通株式会社 | Data center, information processing system, information processing device, method for controlling information processing device, and control program |
JP2013148984A (en) * | 2012-01-17 | 2013-08-01 | Fujitsu Ltd | Program, virtual machine control method, information processor and information processing system |
-
2013
- 2013-08-08 JP JP2013165012A patent/JP6171708B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004271736A (en) * | 2003-03-06 | 2004-09-30 | Sony Corp | Device, method and program to detect information |
JP2011008780A (en) * | 2009-06-25 | 2011-01-13 | Vmware Inc | Management of information technology risk using virtual infrastructure |
WO2012053115A1 (en) * | 2010-10-22 | 2012-04-26 | 富士通株式会社 | Data center, information processing system, information processing device, method for controlling information processing device, and control program |
JP2013148984A (en) * | 2012-01-17 | 2013-08-01 | Fujitsu Ltd | Program, virtual machine control method, information processor and information processing system |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019177099A1 (en) * | 2018-03-15 | 2019-09-19 | 株式会社マンダム | Method for evaluating test sample |
WO2019181979A1 (en) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | Vulnerability checking system, distribution server, vulnerability checking method, and program |
JP2021531552A (en) * | 2018-07-11 | 2021-11-18 | グリーン・マーケット・スクエア・リミテッドGreen Market Square Limited | Data privacy awareness in workload provisioning |
JP7369728B2 (en) | 2018-07-11 | 2023-10-26 | グリーン・マーケット・スクエア・リミテッド | Data privacy awareness in workload provisioning |
JP7499262B2 (en) | 2019-02-26 | 2024-06-13 | オラクル・インターナショナル・コーポレイション | Method, system, and computer-readable medium for dynamically modifying security system entities |
JP2021056739A (en) * | 2019-09-30 | 2021-04-08 | 日本電気株式会社 | Container control device, container control method, and container control program |
JP7327057B2 (en) | 2019-09-30 | 2023-08-16 | 日本電気株式会社 | CONTAINER CONTROL DEVICE, CONTAINER CONTROL METHOD, AND CONTAINER CONTROL PROGRAM |
Also Published As
Publication number | Publication date |
---|---|
JP6171708B2 (en) | 2017-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Briongos et al. | Cacheshield: Detecting cache attacks through self-observation | |
Godfrey et al. | Preventing cache-based side-channel attacks in a cloud environment | |
Shi et al. | Limiting cache-based side-channel in multi-tenant cloud using dynamic page coloring | |
US9760712B2 (en) | Application whitelisting using user identification | |
US10706147B1 (en) | Mitigating side-channel attacks via shared cache | |
JP6171708B2 (en) | Virtual machine management method, virtual machine management program, and virtual machine management apparatus | |
EP2940615B1 (en) | Method and apparatus for isolating management virtual machine | |
WO2016082501A1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
US10102375B2 (en) | Multi-modal memory hierarchical management for mitigating side-channel attacks in the cloud | |
US20180260330A1 (en) | Dynamically allocating cache in a multi-tenant processing infrastructure | |
CN106095532B (en) | A kind of virtual machine load balancing sacurity dispatching method in cloud environment | |
Sallam et al. | A multi-objective virtual machine migration policy in cloud systems | |
JP7522130B2 (en) | System and method for SIEM rule sorting and conditional execution - Patents.com | |
Oren et al. | The Spy in the Sandbox--Practical Cache Attacks in Javascript | |
US20180267879A1 (en) | Management computer, performance monitoring method, and computer system | |
Baumgärtner et al. | Complex event processing for reactive security monitoring in virtualized computer systems | |
JP2016514334A (en) | Guess application inventory | |
Baig et al. | CloudFlow: Cloud-wide policy enforcement using fast VM introspection | |
US9930070B2 (en) | Modifying security policies of related resources | |
Qiu et al. | A secure virtual machine deployment strategy to reduce co-residency in cloud | |
US10762223B2 (en) | Mandatory access control method and apparatus, and physical host | |
Feizollahibarough et al. | A security-aware virtual machine placement in the cloud using hesitant fuzzy decision-making processes | |
EP2676195A1 (en) | Virtual machine supervision | |
Pitropakis et al. | The greater the power, the more dangerous the abuse: facing malicious insiders in the cloud | |
Han et al. | Risk-aware multi-objective optimized virtual machine placement in the cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160510 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170307 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170508 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170619 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6171708 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |