KR101534566B1 - 클라우드 가상 데스크탑 보안 통제 장치 및 방법 - Google Patents
클라우드 가상 데스크탑 보안 통제 장치 및 방법 Download PDFInfo
- Publication number
- KR101534566B1 KR101534566B1 KR1020140055327A KR20140055327A KR101534566B1 KR 101534566 B1 KR101534566 B1 KR 101534566B1 KR 1020140055327 A KR1020140055327 A KR 1020140055327A KR 20140055327 A KR20140055327 A KR 20140055327A KR 101534566 B1 KR101534566 B1 KR 101534566B1
- Authority
- KR
- South Korea
- Prior art keywords
- protocol
- security
- unit
- policy
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
사용자가 클라우드 내부와 외부 간에 전송하는 데이터에 대해서 사용자 권한 등의 정책에 따라 통제하는 것과 전송 데이터에 악성코드가 포함된 경우 이를 차단하도록 하는 클라우드 가상 테스크톱 보안 통제 장치 및 방법을 제시한다. 제시된 장치는 클라우드 가상 데스크탑 연동 원격 에이전트부와 클라우드 가상 데스크탑 연동 장치의 가상머신 사이에 전송되고 있는 프로토콜 통제용 헤더 및 데이터를 포함한 보안 프로토콜 기반 패킷을 수신하고, 입력받은 검사 결과에 따라 클라우드 가상 데스크탑 연동 원격 에이전트부와 가상머신 사이의 네트워크 트래픽을 차단하는 네트워크 통제부, 보안 프로토콜 기반 패킷에서 추출된 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 네트워크 통제부에게 보내는 정책 검사부, 및 정책 검사부에서 부적합하다고 검사함에 따라 보안 프로토콜 기반 패킷에서 추출된 정보를 외부의 보안 솔루션에게로 보내어 해당 보안 솔루션에 의한 검사 결과를 네트워크 통제부에게로 보내는 보안 솔루션 연동부를 포함한다.
Description
본 발명은 클라우드 가상 데스크탑 보안 통제 장치 및 방법에 관한 것으로, 보다 상세하게는 클라우드 가상 데스크탑 환경을 원격지에서 접속하여 사용하는 경우 발생할 수 있는 클라우드 내부 자료의 비인가 유출과 클라우드 내부로의 악성파일 유입을 최소화하기 위해 전송 데이터를 통제하는 장치 및 방법에 관한 것이다.
클라우드 가상 데스크탑 환경은 원격지에 있는 사용자가 클라우드에 있는 가상 데스크탑 컴퓨터를 인터넷을 통해 사용할 수 있도록 한다. 이를 위해, 클라우드 솔루션들은 PCoIP, ICA 등 가상 데스크탑 연동 프로토콜을 제공하며, 화면, 키보드, 마우스 뿐만 아니라 파일, 프린터, 클립보드 등의 데이터 전송을 지원한다.
이러한 클라우드 연동 프로토콜은 사용자에게 편리한 클라우드 이용환경을 제공함과 동시에 클라우드 외부로부터의 공격, 및 클라우드 외부로의 자료유출 등의 보안 위협을 동시에 가진다. 예를 들어, 원격 사용자가 아무 위치에서나 내부 자료를 외부로 전송하는 경우 내부 자료의 외부 유출 위험이 발생할 수 있다. 또한, 악성코드가 첨부된 파일이 사용자에 의해 내부로 전달되는 경우 내부 시스템에 심각한 보안 위협을 초래할 수 있다.
특히, 이러한 원격 연동 프로토콜들은 암호화 채널을 제공하는데, 이런 경우 외부 네트워크에서 내부 클라우드 가상 데스크탑까지에 위치하는 모든 보안장비를 우회하는 위협을 가지게 된다.
이러한 내부 자료 유출 보안 위협에 대한 기존의 대응 방법은 가상 데스크탑 설정을 통해 USB 등 외부 장비를 접속하지 못하도록 하는 방법이 있다. 이러한 방식은 클라우드 내부와 외부의 자료 전송을 원천적으로 불가능하게 하는 장점이 있으나, 클라우드를 이용하는데 있어서 많은 불편함을 감수해야 한다는 단점이 있다.
또한, 악성코드 유입에 대한 기존의 대응 방법은 가상 데스크탑에 백신을 탑재하여 악성코드가 유입되는 것을 방지하는 방법이 있다. 이러한 방식은 알려진 악성코드에 대해서 유입을 차단할 수 있는 장점이 있으나, 알려지지 않은 악성코드에 대해서는 대응할 수 없으며, 악성코드가 백신을 무력화시킨 경우에도 대응할 수 있는 방법이 없다는 단점이 있다.
관련선행기술로는, 하이퍼바이저(hypervisor)를 이용한 가상화 기술 기반의 데스크탑 환경을 사용하고자 할 때, 공용 컴퓨터와 같이 호스트(host) 운영 체제(Operating System; OS)에서 보안이 보장되지 않는 컴퓨팅 환경에서도 사용자의 데이터에 대한 보안을 유지할 수 있는 내용이, 대한민국 공개특허 제10-2012-0062969호에 기재되었다.
다른 관현선행기술로는, 가상 데스크탑 운영에서 원격지 운영체제와의 격리를 통해 안전한 가상 데스크탑 환경을 제공하도록 하는 내용이 논문(Cloud Terminal: Secure Access to Sensitive Applications from Untrusted Systems, The USENIX Annual Tech. Conf., 2012, L. Martignoni, P. Poosankam, M. Zaharia, J. Han, S. McCamant, D. Song)에 기재되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 사용자가 클라우드 내부와 외부 간에 전송하는 데이터에 대해서 사용자 권한 등의 정책에 따라 통제하는 것과 전송 데이터에 악성코드가 포함된 경우 이를 차단하도록 하는 클라우드 가상 테스크톱 보안 통제 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 클라우드 가상 테스크톱 보안 통제 장치는, 클라우드 가상 데스크탑 연동 원격 에이전트부와 클라우드 가상 데스크탑 연동 장치의 가상머신 사이에 전송되고 있는 프로토콜 통제용 헤더 및 데이터를 포함한 보안 프로토콜 기반 패킷을 수신하고, 입력받은 검사 결과에 따라 상기 클라우드 가상 데스크탑 연동 원격 에이전트부와 상기 가상머신 사이의 네트워크 트래픽을 차단하는 네트워크 통제부; 상기 보안 프로토콜 기반 패킷에서 추출된 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 정책 검사부; 및 상기 정책 검사부에서 부적합하다고 검사함에 따라 상기 보안 프로토콜 기반 패킷에서 추출된 정보를 외부의 보안 솔루션에게로 보내어 해당 보안 솔루션에 의한 검사 결과를 상기 네트워크 통제부에게로 보내는 보안 솔루션 연동부;를 포함한다.
이때, 상기 정책 검사부는 상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되면 상기 네트워크 트래픽에 대한 전송 허가를 알리는 검사 결과를 상기 네트워크 통제부에게 보낼 수 있다.
이때, 상기 정책 검사부는 상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되지 않으면 상기 네트워크 트래픽에 대한 차단을 알리는 검사 결과를 상기 네트워크 통제부에게 보낼 수 있다.
이때, 상기 네트워크 통제부는 상기 검사 결과를 입력받을 때까지 상기 보안 프로토콜 기반 패킷의 전송을 막고 대기할 수 있다.
이때, 상기 프로토콜 통제용 헤더는 상기 데이터의 타입, 파일의 해쉬값, 사용자의 권한정보, 및 사용자 환경 정보를 포함할 수 있다.
이때, 상기 프로토콜 통제용 헤더는 상기 보안 프로토콜 기반 패킷에 붙은 프로토콜명, 트로토콜 가상 채널명, 데이터 크기, 및 패킷 ID를 포함할 수 있다.
이때, 상기 통제 정책은 IP별, 사용자별, 사용 가능 기능별로 분류될 수 있다.
이때, 상기 보안 프로토콜 기반 패킷을 파싱하여 상기 프로토콜 통제용 헤더의 정보 및 상기 데이터를 추출하고 상기 추출한 프로토콜 통제용 헤더의 정보 및 상기 데이터를 상기 정책 검사부에게로 보내는 프로토콜 파싱부를 추가로 포함할 수 있다.
이때, 상기 데이터는 암호화된 데이터이고, 상기 암호화된 데이터를 복호화하여 상기 보안 솔루션 연동부에게로 보내는 복호화부를 추가로 포함할 수 있다.
이때, 상기 외부의 보안 솔루션은 악성파일 식별 솔루션, 및 자료유출 방지 솔루션을 포함할 수 있다.
한편, 본 발명의 바람직한 실시양태에 따른 클라우드 가상 데스크탑 보안 통제 시스템은, 보안 프로토콜 기반 통신을 통해 클라우드 가상 데스크탑 연동 장치내의 가상머신과 통신을 수행하되, 프로토콜 통제용 헤더 및 데이터를 포함하는 보안 프로토콜 기반 패킷을 상기 가상머신과 주고받는 클라우드 가상 데스크탑 연동 원격 에이전트부; 및 상기 보안 프로토콜 기반 패킷을 분석하여 악성코드 유입 차단 및 비인가 정보 전달 통제를 수행하는 보안 통제기;를 포함한다.
한편, 본 발명의 바람직한 실시양태에 따른 클라우드 가상 테스크톱 보안 통제 방법은, 네트워크 통제부가, 클라우드 가상 데스크탑 연동 원격 에이전트부와 클라우드 가상 데스크탑 연동 장치의 가상머신 사이에 전송되고 있는 프로토콜 통제용 헤더 및 데이터를 포함한 보안 프로토콜 기반 패킷을 수신하는 단계; 정책 검사부가, 상기 보안 프로토콜 기반 패킷에서 추출된 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 단계; 보안 솔루션 연동부가, 상기 정책 검사부에서 부적합하다고 검사함에 따라 상기 보안 프로토콜 기반 패킷에서 추출된 정보를 외부의 보안 솔루션에게로 보내어 해당 보안 솔루션에 의한 검사 결과를 상기 네트워크 통제부에게로 보내는 단계; 및 상기 네트워크 통제부가, 상기 정책 검사부 또는 상기 보안 솔루션 연동부로부터의 검사 결과에 따라 상기 클라우드 가상 데스크탑 연동 원격 에이전트부와 상기 가상머신 사이의 네트워크 트래픽을 차단하는 단계;를 포함한다.
이때, 상기 보안 프로토콜 기반 패킷을 수신하는 단계 이후에, 프로토콜 파싱부가, 상기 보안 프로토콜 기반 패킷을 파싱하여 상기 프로토콜 통제용 헤더의 정보 및 상기 데이터를 추출하고 상기 추출한 프로토콜 통제용 헤더의 정보 및 상기 데이터를 상기 정책 검사부에게로 보내는 단계를 추가로 포함할 수 있다.
이때, 상기 데이터는 암호화된 데이터이고, 상기 프로토콜 통제용 헤더의 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 단계 이후에, 복호화부가, 상기 암호화된 데이터를 복호화하여 상기 보안 솔루션 연동부에게로 보내는 단계를 추가로 포함할 수 있다.
이러한 구성의 본 발명에 따르면, 클라우드 가상 데스크탑 서비스 환경하에서 악성코드의 클라우드 서비스 내부로의 진입을 차단하고, 클라우드 서비스에서 외부로의 허가받지 않은 자료들에 대한 유출을 방지할 수 있다.
도 1은 본 발명이 적용된 클라우드 가상 데스크탑 환경을 나타낸 도면이다.
도 2는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부의 내부 구성을 나타낸 도면이다.
도 3은 도 1에 도시된 보안 통제기의 내부 구성을 나타낸 도면이다.
도 4는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부에서 전송 패킷을 생성하고 전송하기까지의 과정을 설명하기 위한 플로우차트이다.
도 5는 도 1에 도시된 클라우드 가상 데스크탑 연동 장치에서 데이터를 수신하여 처리하는 과정을 예시적으로 설명하기 위한 플로우차트이다.
도 6은 본 발명의 실시예에 따른 클라우드 가상 데스크탑 보안 통제 방법을 설명하기 위한 플로우차트이다.
도 2는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부의 내부 구성을 나타낸 도면이다.
도 3은 도 1에 도시된 보안 통제기의 내부 구성을 나타낸 도면이다.
도 4는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부에서 전송 패킷을 생성하고 전송하기까지의 과정을 설명하기 위한 플로우차트이다.
도 5는 도 1에 도시된 클라우드 가상 데스크탑 연동 장치에서 데이터를 수신하여 처리하는 과정을 예시적으로 설명하기 위한 플로우차트이다.
도 6은 본 발명의 실시예에 따른 클라우드 가상 데스크탑 보안 통제 방법을 설명하기 위한 플로우차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명이 적용된 클라우드 가상 데스크탑 환경을 나타낸 도면이다.
도 1의 클라우드 가상 데스크탑 환경은 클라우드 가상 데스크탑 연동 원격 에이전트부(10), 보안 통제기(20), 및 클라우드 가상 데스크탑 연동 장치(30)를 포함한다.
클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 클라우드 외부에 위치하여 클라우드에서 전송된 데이터를 수신하고 클라우드로 데이터를 전송한다. 클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 휴대폰, PC, 노트북 등으로 구성될 수 있다.
클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 보안 프로토콜 기반 통신을 통해 클라우드 가상 데스크탑 연동 장치(30)내의 가상머신(31)과 통신을 수행한다. 예를 들어, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)가 사용자 PC일 경우 사용자 PC와 가상머신(31) 간에 보안 프로토콜 기반 통신을 수행할 수 있다.
클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 파일, 프린팅, 클립보드 등의 정보 송·수신 및 처리를 담당한다.
보안 통제기(20)는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 클라우드 가상 데스크탑 연동 장치(30) 사이에 위치한다.
보안 통제기(20)는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 클라우드 가상 데스크탑 연동 장치(30) 사이에서 주고받는 보안 프로토콜 기반 패킷(40)을 분석하여 악성코드 유입 차단, 비인가 정보 전달 통제 등과 같은 네트워크 통제를 수행한다. 보안 통제기(20)는 클라우드 가상 데스크탑 보안 통제 장치라고 할 수 있다.
여기서, 보안 프로토콜 기반 패킷(40)은 클라우드 가상 데스크탑 연동 원격 에이전트(즉, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 클라우드 가상 데스크탑 연동 장치(30)) 간 통신을 보안 통제기(20)에서 통제하기 위하여 정의된 것이다. 보안 프로토콜 기반 패킷(40)은 데이터 암호화, 각 에이전트(즉, 클라우드 가상 데스크탑 연동 원격 에이전트부(10), 클라우드 가상 데스크탑 연동 장치(30)) 기능(예컨대, 파일 전송, 프린터, 클립보드 등)별 통제 수행을 위해 존재한다.
클라우드 가상 데스크탑 연동 장치(30)는 가상머신(31), 하이퍼바이저(32), 및 클라우드 서버 하드웨어(33)를 포함한다.
가상머신(VM)(31)은 클라우드 가상 데스크탑 서비스를 원격으로 사용하기를 원하는 외부 사용자에게 제공된다. 가상머신(31) 상에서는 보안 프로토콜 기반 기능을 수행하는 원격 에이전트(도시 생략)가 동작한다.
하이퍼바이저(32)는 가상화 기술을 사용하여 가상머신(31)을 구동시키고, 삭제, 추가 등과 같은 관리 역할을 수행한다.
클라우드 서버 하드웨어(HW)(33)는 하이퍼바이저(32)와 그 위의 가상머신(31)을 운영하는 실제 물리적 시스템이다.
다시 말해서, 보안 통제기(20)는 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)과 클라우드 가상 데스크탑 연동 원격 에이전트부(10) 간에 비인가 자료전송을 차단하고 악성코드의 유입을 차단한다. 이때, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 가상머신(31)은 프로토콜명(protocol name), 가상 채널명(virtual channel), 데이터 크기, 패킷 ID 등의 프로토콜 통제용 헤더를 포함한 패킷(40)(즉, 보안 프로톨 기반 패킷)을 통해 데이터를 송수신한다. 여기서, 프로토콜 통제용 헤더의 정보는 전송하고자 하는 데이터에 대한 속성 데이터라고 할 수 있다. 즉, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 가상머신(31)은 전달하고자 하는 전송 데이터와 이에 대한 속성 데이터를 네트워크를 통해 전달한다. 이때, 속성 데이터에는 전송 데이터에 대한 속성값이 포함되어 있어 보안 통제기(20)가 정책에 따라 데이터 전송을 통제할 수 있다. 속성 데이터에는 전송하는 데이터의 타입(예컨대, 파일, 클립보드, 프린터 등), 파일의 해쉬값, 사용자의 권한정보, 사용자 환경(예컨대, 위치, 단말기 등) 정보 등이 포함될 수 있다. 다시 말해서, 속성 데이터는 프로토콜명(protocol name), 가상 채널명(virtual channel), 데이터 크기, 패킷 ID 등을 포함할 수도 있고, 필요에 따라서는 전송하는 데이터의 타입(예컨대, 파일, 클립보드, 프린터 등), 파일의 해쉬값, 사용자의 권한정보, 사용자 환경(예컨대, 위치, 단말기 등) 정보 등을 포함할 수도 있다. 다르게는, 속성 데이터는 프로토콜명(protocol name), 가상 채널명(virtual channel), 데이터 크기, 패킷 ID, 전송하는 데이터의 타입(예컨대, 파일, 클립보드, 프린터 등), 파일의 해쉬값, 사용자의 권한정보, 사용자 환경(예컨대, 위치, 단말기 등) 정보 등을 모두 포함할 수도 있다. 이러한 전송 데이터는 암호화되어 있어 데이터의 기밀성을 보장하고, 암호화된 전송 데이터는 패킷 단위로 나눠져서 전송된다.
즉, 보안 통제기(20)는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)간의 네트워크 단에 위치하며 지나가는 패킷(40)을 파싱하고 속성 데이터를 기준으로 데이터의 전송 여부를 판단할 수 있다. 그 판단 결과에 따라, 보안 통제기(20)는 인가되지 않은 정보가 클라우드 외부로 유출되는 것을 차단할 수 있다. 또한, 보안 통제기(20)는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)에서 가상머신(31)으로 전송되는 데이터에 대한 악성 여부 판단을 수행한 이후에 데이터를 전달함으로써 악성 파일의 클라우드 유입을 차단할 수 있다.
상술한 설명에서는 보안 통제기(20)와 클라우드 가상 데스크탑 연동 장치(30)가 각기 별개로 구성되는 것으로 하였으나, 필요에 따라서는 보안 통제기(20)가 클라우드 가상 데스크탑 연동 장치(30)에 포함되는 것으로 할 수도 있다.
도 2는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부(10)의 내부 구성을 나타낸 도면이다.
클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 네트워크 인터페이스 카드(network interface card ; NIC)(11), 데이터 송수신부(12), 패킷 생성/프로토콜 파싱부(13), 정책부(14), 암복호화부(15), 및 솔루션 연동부(16)를 포함한다.
네트워크 인터페이스 카드(11)는 네트워크 패킷(예컨대, 보안 프로토콜 기반 패킷(40))을 주고받는 하드웨어 네트워크 카드이다.
데이터 송수신부(12)는 NIC(11)를 통해 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)과의 데이터 송수신을 수행한다.
패킷 생성/프로토콜 파싱부(13)는 보안 프로토콜에 따라 네트워크 패킷(즉, 보안 프로토콜 기반 패킷(40))을 생성하고, 수신된 패킷(40)을 보안 프로토콜 규칙에 따라 파싱한다. 즉, 패킷 생성/프로토콜 파싱부(13)는 송신하려는 사용자 환경과 데이터 특성에 따라 프로토콜 통제용 헤더를 생성하고 이를 데이터와 결합한 형태의 송신 패킷(즉, 보안 프로토콜 기반 패킷(40))을 생성할 수 있다.
정책부(14)는 파일 전송, 프린팅, 클립 보드 등과 같은 기능 요청이 있을 시 수립된 정책에 부합하는지를 검사하여 송신하고자 하는 보안 프로토콜 기반 패킷(40)을 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)에게로 전달할 지의 여부 및 복호화된 데이터를 해당 기능의 외부 솔루션(즉, 클립보트 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19)중의 하나)으로 전달할 지의 여부를 검사한다.
암복호화부(15)는 송신 대상 데이터를 암호화하거나 수신된 데이터를 복호화한다.
솔루션 연동부(16)는 보안 프로토콜을 적용하여 데이터를 송신하려는 에이전트의 외부 솔루션(클립보드 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19) 등)과의 연동을 행한다. 솔루션 연동부(16)는 수신된 데이터를 해당 외부 솔루션(즉, 클립보드 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19)중 어느 하나)으로 전달한다.
즉, 솔루션 연동부(16)는 외부 솔루션(클립보드 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19) 등)과의 메시지 기반 통신을 담당하는 인터페이스라고 할 수 있다. 솔루션 연동부(16)는 데이터를 송수신하기를 원하는 외부 솔루션으로부터 전송하고자 하는 데이터 정보를 담은 메시지를 수신하거나 수신된 패킷으로부터 추출된 데이터 정보를 외부 솔루션에게로 전달한다.
여기서, 클립보드 솔루션(17)은 보안 프로토콜을 통해 클립보드 정보를 송·수신하여 해당 환경(예컨대, 사용자 PC, 가상머신)의 클립보드에 등록한다. 파일 솔루션(18)은 보안 프로토콜을 통해 파일을 송·수신하고 이를 해당 환경(예컨대, 사용자 PC, 가상머신)에 저장한다. 프린팅 솔루션(19)은 가상머신(31)에서 발생한 프린트 이벤트를 식별하고 이에 대한 정보를 원격 연결된 사용자 PC 환경의 프린터로 전달하여 프린팅하게 한다.
도 2의 구성도를 참조하여 보면, 클라우드 가상 데스트탑 연동 원격 에이전트부(10)는 데이터 송수신 및 이에 대한 처리를 담당하고 있다. 보안 프로토콜 기반의 데이터 전송을 하고자 하는 외부 솔루션(클립보드 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19))은 솔루션 연동부(16)로 데이터 정보를 담은 메시지를 전달하여 전송 요청을 한다. 그에 따라, 클라우드 가상 데스트탑 연동 원격 에이전트부(10)에서는 데이터에 대한 암호화, 패킷 생성 및 송신 기능을 담당한다. 패킷 수신 시에는 수신된 패킷을 보안 프로토콜에 맞게 파싱하고 데이터를 복호화하여 외부 솔루션(클립보드 솔루션(17), 파일 솔루션(18), 프린팅 솔루션(19))으로 데이터를 전달한다.
본 발명의 명세서에서는 도 2의 구성을 클라우드 가상 데스트탑 연동 원격 에이전트부(10)의 구성이라고 하였으나, 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)에도 도 2의 구성과 대동소이한 구성이 포함된다고 볼 수 있다.
도 3은 도 1에 도시된 보안 통제기(20)의 내부 구성을 나타낸 도면이다.
보안 통제기(20)는 네트워크 인터페이스 카드(network interface card ; NIC)(21, 27), 네트워크 통제부(22), 프로토콜 파싱부(23), 정책 검사부(24), 복호화부(25), 및 보안 솔루션 연동부(26)를 포함한다.
네트워크 인터페이스 카드(21, 27)는 네트워크 패킷(예컨대, 보안 프로토콜 기반 패킷(40))을 주고받는 하드웨어 네트워크 카드이다.
네트워크 통제부(22)는 검사 대상이 되는 네트워크 트래픽을 식별하고 식별된 네트워크 트래픽에 대한 검사를 위해 상위 모듈에게로 네트워크 패킷을 올리는 기능을 수행한다. 여기서, 네트워크 통제부(22)의 상위 모듈은 프로토콜 파싱부(23), 정책 검사부(24), 복호화부(25), 및 보안 솔루션 연동부(26)가 될 수 있다.
한편, 네트워크 통제부(22)는 정책 검사부(24) 및/또는 보안 솔루션 연동부(26)로부터의 검사 결과가 올 때까지 해당 네트워크 트래픽의 전송을 막고 검사 결과가 오기를 기다린다. 네트워크 통제부(22)는 검사 결과에 따라 해당 네트워크 트래픽을 차단하게 된다.
프로토콜 파싱부(23)는 네트워크 통제부(22)로부터의 네트워크 트래픽(즉, 보안 프로토콜로 통신하는 네트워크 트래픽)에 대하여 검사를 하기 위해 해당 패킷들을 파싱하고 정보(즉, 프로토콜 통제용 헤더의 정보, 암호화된 데이터)를 추출한다.
정책 검사부(24)는 프로토콜 파싱부(23)에서 추출된 정보를 바탕으로 통제 정책에 부합하는지의 여부를 검사하게 된다. 여기서, 통제 정책은 IP별, 사용자 별, 사용 가능 기능(프린터, 파일 전송, 클립보드 등) 별로 분류되어 해당 항목에 대한 통과 여부, 정밀 검사 등을 적용할 수 있다.
정책 검사부(24)는 통제 정책에 부합하는 네트워크 트래픽에 대해서는 바로 전송 허가를 의미하는 메시지를 네트워크 통제부(22)에게로 전달한다.
복호화부(25)는 정책 검사부(24)에서의 정책 검사를 통과하지 못한 네트워크 트래픽에 대한 정밀 검사를 위하여 프로토콜 파싱부(23)에서 추출된 정보를 상위 모듈(즉, 보안 솔루션 연동부(26))에게로 보낸다. 이때, 복호화부(25)는 패킷(40)내에 암호화되어 있는 데이터를 복호화하여 보안 솔루션 연동부(26)에게로 보낸다.
보안 솔루션 연동부(26)는 정밀 검사를 수행하여 결과를 줄 수 있는 보안 솔루션(악성파일 식별 솔루션(28), 자료유출 방지 솔루션(29), 기타 보안 솔루션)에 검사 대상 정보를 전달하고 이에 대한 결과를 받아와 네트워크 통제부(22)에게 네트워크 트래픽 차단 여부를 알려준다.
여기서, 악성파일 식별 솔루션(28)은 전송되는 데이터가 악성파일을 담고 있는지를 검사한다. 자료유출 방지 솔루션(29)은 전송되는 데이터가 기밀 자료, 보호 자료 등을 담고 있는 지를 검사한다.
도 3의 구성도를 참조하여 보면, 보안 통제기(20)는 두 개의 NIC(21, 27)를 통해서 네트워크 트래픽에 대한 정책 검사 및 중계를 수행한다. 네트워크 통제부(22)로부터 보안 프로토콜을 사용하는 네트워크 패킷들에 대한 필터링을 행한 후에 프로토콜 파싱, 정책검사, 복호화, 보안 솔루션 연동으로 이어지는 정책 검사 과정을 거친다. 내부 정책 검사 및 외부의 보안 솔루션(악성파일 식별 솔루션(28), 자료유출 방지 솔루션(29), 기타 보안 솔루션)과의 연동을 통해서 해당 네트워크 패킷에 대한 통과 허가 여부를 결정하게 된다. 통과 허가된 패킷들은 네트워크 통제부(22)를 통해서 목적지로 전송된다.
도 4는 도 1에 도시된 클라우드 가상 데스크탑 연동 원격 에이전트부에서 전송 패킷을 생성하고 전송하기까지의 과정을 설명하기 위한 플로우차트이다. 즉, 도 4는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)에서 클라우드 가상 데스크탑 연동 장치(30)에게로 보안 프로토콜 기반 패킷(40)을 전송하는 과정을 예시적으로 설명하는 것으로 볼 수 있지만, 반대로 클라우드 가상 데스크탑 연동 장치(30)에서 클라우드 가상 데스크탑 연동 원격 에이전트부(10)에게로 보안 프로토콜 기반 패킷(40)을 전송하는 과정에 대한 설명이라고도 할 수 있다.
이하의 도 4 설명에서는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)에서 클라우드 가상 데스크탑 연동 장치(30)에게로 보안 프로토콜 기반 패킷(40)을 전송하는 경우로 가정하고 설명한다. 또한, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)를 조작하는 사용자가 파일 전송과 같은 기능을 요청한 것으로 가정하고 설명한다.
먼저, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)는 NIC(11) 및 데이터 송수신부(12)를 통해 전송할 데이터를 입력받는다(S10).
이어, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)의 패킷 생성/프로토콜 파싱부(13)는 입력받은 전송할 데이터를 근거로 보안 프로토콜을 기반으로 하는 패킷(40)을 생성하게 되는데, 우선 패킷(40)에 포함될 프로토콜 통제용 헤더를 생성한다(S12).
그리고, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)의 암복호화부(15)는 전송할 데이터를 암호화하여 패킷 생성/프로토콜 파싱부(13)에게로 보낸다(S14). 이때, 클라우드 가상 데스크탑 연동 원격 에이전트부(10)의 정책부(14)는 파일 전송 기능 요청이 있게 됨에 따라 수립된 정책에 부합하는지를 검사하여 패킷 송신이 가능한지를 검사한다. 여기서, 패킷 송신이 가능한 것으로 검사되었다고 가정한다. 정책부(14)는 그 검사 결과를 패킷 생성/프로토콜 파싱부(13)에게로 보낸다.
이후, 패킷 생성/프로토콜 파싱부(13)는 암호화된 데이터의 크기가 최소 패킷 크기보다 큰지를 판단한다(S16).
그 판단 결과, 암호화된 데이터의 크기가 최소 패킷 크기보다 크면 패킷 생성/프로토콜 파싱부(13)는 암호화된 데이터를 최소 패킷 크기로 분할한다(S18). 반대로, 암호화된 데이터의 크기가 최소 패킷 크기보다 작거나 같으면 암호화된 데이터를 최소 패킷 크기로 분할할 필요가 없다.
그리고 나서, 패킷 생성/프로토콜 파싱부(13)는 전송할 패킷(40)을 생성하는데, 이때에는 앞서 생성한 프로토콜 통제용 헤더 및 암호화된 데이터를 합성하여 전송할 패킷(40)으로 만든다.
이후, 패킷 생성/프로토콜 파싱부(13)에서 생성된 전송할 패킷(40)은 데이터 송수신부(12)를 통해 전송된다(S22).
간단히 설명하면, 클라우드 가상 데스크탑 연동 원격 에이전트부(10) 및 가상머신(31)은 전송 데이터에서 보안 통제용 헤더를 생성, 암호화한 이후에 최소 패킷 크기로 분할하고 나서 헤더와 데이터를 함께 전송한다.
도 5는 도 1에 도시된 클라우드 가상 데스크탑 연동 장치에서 데이터를 수신하여 처리하는 과정을 예시적으로 설명하기 위한 플로우차트이다.
먼저, 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31)은 클라우드 가상 데스크탑 연동 원격 에이전트부(10)로부터의 패킷 형태의 데이터를 수신한다(S30).
이어, 가상머신(31)은 수신한 패킷을 원본 패킷으로 재조합하여 파싱하고(S32), 수신 데이터를 복호화한다(S34).
이후, 가상머신(31)은 연동 솔루션을 확인하고(S36), 확인된 연동 솔루션에게로 데이터를 전달한다(S38).
도 6은 본 발명의 실시예에 따른 클라우드 가상 데스크탑 보안 통제 방법을 설명하기 위한 플로우차트이다. 도 6에서 설명하는 클라우드 가상 데스크탑 보안 통제 방법은 보안 통제기(20)에서 수행하는 동작으로 보면 된다.
먼저, 보안 통제기(20)는 클라우드 가상 데스크탑 연동 원격 에이전트부(10)와 클라우드 가상 데스크탑 연동 장치(30)의 가상머신(31) 사이에 전송되고 있는 보안 프로토콜 기반 패킷(40)(즉, 프로토콜 통제용 헤더 및 암호화된 데이터를 포함)을 수신한다(S50). 즉, 보안 통제기(20)의 NIC(21)를 통해 네트워크 통제부(22)가 보안 프로토콜 기반 패킷(40)을 수신할 것이다. 네트워크 통제부(22)는 수신한 보안 프로토콜 기반 패킷(40)을 프로토콜 파싱부(23)에게 전달한다. 이때, 네트워크 통제부(22)는 정책 검사부(24) 및/또는 보안 솔루션 연동부(26)로부터의 검사 결과가 올 때까지 해당 패킷의 전송을 막고 기다린다.
프로토콜 파싱부(23)는 보안 프로토콜로 통신하는 네트워크 트래픽에 대하여 검사를 하기 위해 해당 패킷(40)을 파싱하여 정보(즉, 프로토콜 통제용 헤더의 정보, 암호화된 데이터)를 추출한다(S52). 프로토콜 파싱부(23)는 추출한 정보를 정책 검사부(24)에게로 보낸다.
정책 검사부(24)는 입력받은 정보를 바탕으로 통제 정책에 부합하는지를 검사한다(S54). 예를 들어, 정책 검사부(24)는 프로토콜 통제용 헤더의 정보를 근거로 현재의 네트워크 트래픽이 통제 정책에 부합되는지를 검사할 수 있다.
검사 결과, 통제 정책에 부합되면 정책 검사부(24)는 네트워크 통제부(22)에게로 전송 허가를 의미하는 메시지를 보낸다. 그에 따라, 네트워크 통제부(22)는 해당 패킷(40)을 전송시킨다(S56).
한편, 정책 검사부(24)에서의 정책 검사 결과 통제 정책에 부합되지 않으면, 정책 검사부(24)는 정밀 검사를 수행하기 위해 복호화부(25)에게로 해당 패킷(40)내의 암호화된 데이터를 보낸다. 그에 따라, 복호화부(25)는 암호화된 데이터를 복호화한다(S58). 복호화된 데이터는 보안 솔루션 연동부(26)에게로 보내진다.
이후, 보안 솔루션 연동부(26)는 복호화된 데이터를 악성파일 식별 솔루션(28)과 자료유출 방지 솔루션(29) 및 기타 보안 솔루션에게로 전달하고 이에 대한 결과를 받는다. 그에 따라, 보안 솔루션 연동부(26)는 악성파일 식별 솔루션(28)과 자료유출 방지 솔루션(29) 및 기타 보안 솔루션으로부터의 결과에 근거하여 네트워크 트래픽의 차단 여부를 판단한다(S60).
만약, 네트워크 트래픽을 차단하지 않아도 된다고 판단하면(S62에서 "No") 보안 솔루션 연동부(26)는 그 판단 결과를 네트워크 통제부(22)에게로 보내고, 그에 따라 네트워크 통제부(22)는 해당 네트워크 트래픽을 차단하지 않게 된다. 이 경우 해당 패킷(40)의 전송이 이루어진다(S64).
반대로, 네트워크 트래픽을 차단해야 된다고 판단하면(S62에서 "Yes") 보안 솔루션 연동부(26)는 그 판단 결과를 네트워크 통제부(22)에게로 보내고, 그에 따라 네트워크 통제부(22)는 해당 네트워크 트래픽을 차단한다(S66).
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 클라우드 가상 데스크탑 연동 원격 에이전트부
11, 21, 27 : 네트워크 인터페이스 카드(NIC)
12 : 데이터 송수신부
13 : 패킷 생성/프로토콜 파싱부 14 : 정책부
15 : 암복호화부 16 : 솔루션 연동부
17 : 클립보드 솔루션 18 : 파일 솔루션
19 : 프린팅 솔루션 20 : 보안 통제기
22 : 네트워크 통제부 23 : 프로토콜 파싱부
24 : 정책 검사부 25 : 복호화부
26 : 보안 솔루션 연동부 28 : 악성파일 식별 솔루션
29 : 자료유출 방지 솔루션
30 : 클라우드 가상 데스크탑 연동 장치
31 : 가상머신 32 : 하이퍼바이저
33 : 클라우드 서버 하드웨어
11, 21, 27 : 네트워크 인터페이스 카드(NIC)
12 : 데이터 송수신부
13 : 패킷 생성/프로토콜 파싱부 14 : 정책부
15 : 암복호화부 16 : 솔루션 연동부
17 : 클립보드 솔루션 18 : 파일 솔루션
19 : 프린팅 솔루션 20 : 보안 통제기
22 : 네트워크 통제부 23 : 프로토콜 파싱부
24 : 정책 검사부 25 : 복호화부
26 : 보안 솔루션 연동부 28 : 악성파일 식별 솔루션
29 : 자료유출 방지 솔루션
30 : 클라우드 가상 데스크탑 연동 장치
31 : 가상머신 32 : 하이퍼바이저
33 : 클라우드 서버 하드웨어
Claims (20)
- 클라우드 가상 데스크탑 연동 원격 에이전트부와 클라우드 가상 데스크탑 연동 장치의 가상머신 사이에 전송되고 있는 프로토콜 통제용 헤더 및 데이터를 포함한 보안 프로토콜 기반 패킷을 수신하는 네트워크 통제부;
상기 보안 프로토콜 기반 패킷에서 추출된 프로토콜 통제용 헤더의 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 정책 검사부;
상기 정책 검사부에서의 정책 검사를 통과하지 못한 네트워크 트래픽에 대한 정밀 검사를 위하여 상기 보안 프로토콜 기반 패킷 내에 암호화되어 있는 상기 데이터를 복호화하여 출력하는 복호화부; 및
상기 복호화된 데이터를 외부의 보안 솔루션에게로 보내고, 해당 보안 솔루션에 의한 검사 결과를 상기 네트워크 통제부에게로 보내는 보안 솔루션 연동부;를 포함하고,
상기 네트워크 통제부는 상기 정책 검사부에서의 검사 결과가 통제 정책에 부합된다는 내용이면 상기 보안 프로토콜 기반 패킷의 전송 차단을 해제하고, 상기 정책 검사부에서의 검사 결과가 통제 정책에 부합되지 않는다는 내용이면 상기 복호화된 데이터를 근거로 상기 보안 솔루션에서 수행한 검사 결과에 따라 상기 보안 프로토콜 기반 패킷을 전송하거나 전송 차단하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 정책 검사부는 상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되면 상기 네트워크 트래픽에 대한 전송 허가를 알리는 검사 결과를 상기 네트워크 통제부에게 보내는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 정책 검사부는 상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되지 않으면 상기 네트워크 트래픽에 대한 차단을 알리는 검사 결과를 상기 네트워크 통제부에게 보내는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 네트워크 통제부는 상기 검사 결과를 입력받을 때까지 상기 보안 프로토콜 기반 패킷의 전송을 막고 대기하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 프로토콜 통제용 헤더는 상기 데이터의 타입, 파일의 해쉬값, 사용자의 권한정보, 및 사용자 환경 정보를 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 프로토콜 통제용 헤더는 상기 보안 프로토콜 기반 패킷에 붙은 프로토콜명, 트로토콜 가상 채널명, 데이터 크기, 및 패킷 ID를 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 통제 정책은 IP별, 사용자별, 사용 가능 기능별로 분류되는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 청구항 1에 있어서,
상기 보안 프로토콜 기반 패킷을 파싱하여 상기 프로토콜 통제용 헤더의 정보 및 상기 데이터를 추출하고 상기 추출한 프로토콜 통제용 헤더의 정보 및 상기 데이터를 상기 정책 검사부에게로 보내는 프로토콜 파싱부를 추가로 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 삭제
- 청구항 1에 있어서,
상기 외부의 보안 솔루션은 악성파일 식별 솔루션, 및 자료유출 방지 솔루션을 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 장치. - 삭제
- 네트워크 통제부가, 클라우드 가상 데스크탑 연동 원격 에이전트부와 클라우드 가상 데스크탑 연동 장치의 가상머신 사이에 전송되고 있는 프로토콜 통제용 헤더 및 데이터를 포함한 보안 프로토콜 기반 패킷을 수신하는 단계;
정책 검사부가, 상기 보안 프로토콜 기반 패킷에서 추출된 프로토콜 통제용 헤더의 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 단계;
복호화부가, 상기 정책 검사부에서의 정책 검사를 통과하지 못한 네트워크 트래픽에 대한 정밀 검사를 위하여 상기 보안 프로토콜 기반 패킷 내에 암호화되어 있는 상기 데이터를 복호화하여 출력하는 단계;
보안 솔루션 연동부가, 상기 복호화된 데이터를 외부의 보안 솔루션에게로 보내고, 해당 보안 솔루션에 의한 검사 결과를 상기 네트워크 통제부에게로 보내는 단계; 및
상기 네트워크 통제부가, 상기 정책 검사부에서의 검사 결과가 통제 정책에 부합된다는 내용이면 상기 보안 프로토콜 기반 패킷의 전송 차단을 해제하고, 상기 정책 검사부에서의 검사 결과가 통제 정책에 부합되지 않는다는 내용이면 상기 복호화된 데이터를 근거로 상기 보안 솔루션에서 수행한 검사 결과에 따라 상기 보안 프로토콜 기반 패킷을 전송하거나 전송 차단하는 단계;를 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 프로토콜 통제용 헤더의 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 단계는,
상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되면 상기 네트워크 트래픽에 대한 전송 허가를 알리는 검사 결과를 상기 네트워크 통제부에게 보내는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 프로토콜 통제용 헤더의 정보가 통제 정책에 부합되는지를 검사하여 검사 결과를 상기 네트워크 통제부에게 보내는 단계는,
상기 보안 프로토콜 기반 패킷에서 추출된 정보중 상기 프로토콜 통제용 헤더의 정보가 상기 통제 정책에 부합되지 않으면 상기 네트워크 트래픽에 대한 차단을 알리는 검사 결과를 상기 네트워크 통제부에게 보내는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 보안 프로토콜 기반 패킷을 수신하는 단계는,
상기 검사 결과를 입력받을 때까지 상기 보안 프로토콜 기반 패킷의 전송을 막고 대기하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 프로토콜 통제용 헤더는 상기 데이터의 타입, 파일의 해쉬값, 사용자의 권한정보, 및 사용자 환경 정보를 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 프로토콜 통제용 헤더는 상기 보안 프로토콜 기반 패킷에 붙은 프로토콜명, 트로토콜 가상 채널명, 데이터 크기, 및 패킷 ID를 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 통제 정책은 IP별, 사용자별, 사용 가능 기능별로 분류되는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 청구항 12에 있어서,
상기 보안 프로토콜 기반 패킷을 수신하는 단계 이후에,
프로토콜 파싱부가, 상기 보안 프로토콜 기반 패킷을 파싱하여 상기 프로토콜 통제용 헤더의 정보 및 상기 데이터를 추출하고 상기 추출한 프로토콜 통제용 헤더의 정보 및 상기 데이터를 상기 정책 검사부에게로 보내는 단계를 추가로 포함하는 것을 특징으로 하는 클라우드 가상 데스크탑 보안 통제 방법. - 삭제
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140055327A KR101534566B1 (ko) | 2014-05-09 | 2014-05-09 | 클라우드 가상 데스크탑 보안 통제 장치 및 방법 |
US14/474,242 US9674143B2 (en) | 2014-05-09 | 2014-09-01 | Security control apparatus and method for cloud-based virtual desktop |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140055327A KR101534566B1 (ko) | 2014-05-09 | 2014-05-09 | 클라우드 가상 데스크탑 보안 통제 장치 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101534566B1 true KR101534566B1 (ko) | 2015-07-24 |
Family
ID=53875975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140055327A KR101534566B1 (ko) | 2014-05-09 | 2014-05-09 | 클라우드 가상 데스크탑 보안 통제 장치 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9674143B2 (ko) |
KR (1) | KR101534566B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190085637A (ko) * | 2018-01-11 | 2019-07-19 | 주식회사 인텐트시큐어 | 악성코드 격리 시스템 및 방법 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10015230B1 (en) * | 2016-02-09 | 2018-07-03 | Robert Buergi | Copying and pasting among networked devices |
US11080041B1 (en) * | 2017-03-30 | 2021-08-03 | Amazon Technologies, Inc. | Operating system management for virtual workspaces |
US10419274B2 (en) * | 2017-12-08 | 2019-09-17 | At&T Intellectual Property I, L.P. | System facilitating prediction, detection and mitigation of network or device issues in communication systems |
CN110401658B (zh) * | 2019-07-25 | 2021-07-27 | 新奥(中国)燃气投资有限公司 | 一种数据交互方法和交互平台 |
CN114553503A (zh) * | 2022-01-29 | 2022-05-27 | 新华三云计算技术有限公司 | 网络文件同步方法、装置和设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000054538A (ko) * | 2000-06-10 | 2000-09-05 | 김주영 | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 |
KR20110051028A (ko) * | 2009-11-09 | 2011-05-17 | 주식회사 케이티 | 보안 기능이 구비된 클라우드 컴퓨팅 시스템 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070050704A1 (en) * | 2005-08-30 | 2007-03-01 | Erxiang Liu | XML compiler that will generate an application specific XML parser |
US20080320594A1 (en) * | 2007-03-19 | 2008-12-25 | Xuxian Jiang | Malware Detector |
US8875266B2 (en) * | 2007-05-16 | 2014-10-28 | Vmware, Inc. | System and methods for enforcing software license compliance with virtual machines |
WO2009151888A2 (en) * | 2008-05-19 | 2009-12-17 | Authentium, Inc. | Secure virtualization system software |
US9069599B2 (en) * | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
US8341749B2 (en) * | 2009-06-26 | 2012-12-25 | Vmware, Inc. | Preventing malware attacks in virtualized mobile devices |
KR101205890B1 (ko) | 2010-12-07 | 2012-11-28 | 한국과학기술연구원 | 데스크탑 가상화를 위한 보안 장치 및 방법 |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9165150B2 (en) * | 2013-02-19 | 2015-10-20 | Symantec Corporation | Application and device control in a virtualized environment |
US9525564B2 (en) * | 2013-02-26 | 2016-12-20 | Zentera Systems, Inc. | Secure virtual network platform for enterprise hybrid cloud computing environments |
US9219687B2 (en) * | 2013-03-15 | 2015-12-22 | Cisco Technology, Inc. | Path optimization in multi-node virtual switch with orphan ports |
US9501666B2 (en) * | 2013-04-29 | 2016-11-22 | Sri International | Polymorphic computing architectures |
-
2014
- 2014-05-09 KR KR1020140055327A patent/KR101534566B1/ko active IP Right Grant
- 2014-09-01 US US14/474,242 patent/US9674143B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000054538A (ko) * | 2000-06-10 | 2000-09-05 | 김주영 | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 |
KR20110051028A (ko) * | 2009-11-09 | 2011-05-17 | 주식회사 케이티 | 보안 기능이 구비된 클라우드 컴퓨팅 시스템 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190085637A (ko) * | 2018-01-11 | 2019-07-19 | 주식회사 인텐트시큐어 | 악성코드 격리 시스템 및 방법 |
KR102039498B1 (ko) * | 2018-01-11 | 2019-11-04 | 주식회사 인텐트 시큐어 | 악성코드 격리 시스템 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20150326611A1 (en) | 2015-11-12 |
US9674143B2 (en) | 2017-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11941134B2 (en) | Data access control systems and methods | |
EP3365828B1 (en) | Methods for data loss prevention from malicious applications and targeted persistent threats | |
CN107820604B (zh) | 具有联网设备的计算机驱动系统的半虚拟化安全威胁防护 | |
KR101534566B1 (ko) | 클라우드 가상 데스크탑 보안 통제 장치 및 방법 | |
RU2371756C2 (ru) | Безопасная связь с клавиатурой или родственным устройством | |
JP2015510287A (ja) | 企業境界内において企業デジタル情報を制限する方法 | |
KR20120017759A (ko) | 보안 기능을 가진 시스템 온 칩 및 이를 이용한 디바이스 및 스캔 방법 | |
EP2849403A1 (en) | Method and system for controlling the exchange of privacy-sensitive information | |
US10366240B1 (en) | Authorization to access a server in the cloud without obtaining an initial secret | |
RU2628925C1 (ru) | Система и способ защищенной передачи аудиоданных от микрофона к процессам | |
KR20140019574A (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
KR101040543B1 (ko) | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 | |
CN111628972A (zh) | 一种数据加解密装置、方法、系统及存储介质 | |
GB2511779A (en) | Data Security Device | |
WO2021164167A1 (zh) | 一种密钥存取方法、装置、系统、设备和存储介质 | |
EP2827276B1 (en) | Secure data processing | |
KR20160102915A (ko) | 모바일 가상화 기반의 스마트워크용 보안 플랫폼 관리 장치 | |
EP3662640B1 (en) | Data communication with devices having no direct access or only restricted access to communication networks | |
US20040158635A1 (en) | Secure terminal transmission system and method | |
EP3239887B1 (en) | System and method for protecting transmission of audio data from microphone to application processes | |
KR101368772B1 (ko) | 키 입력 보호 방법과 이를 위한 키 보호 장치 | |
WO2017183089A1 (ja) | 計算機、計算機システム、およびプログラム | |
KR20120058375A (ko) | 에이전트 프로그램의 에이알피를 이용한 통신 방법, 네트워크 엑세스 컨트롤 방법 및 네트워크 시스템 | |
Magdum et al. | An Algorithm to Avoid Confidential Data Theft from Storage Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180625 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190701 Year of fee payment: 5 |