To top
Solutions Solutions

Cloud Security

Share:

Cloud란?

Cloud 는 소프트웨어 및 데이터를 사용자의 컴퓨터에 저장 대신에, 가상의 서버환경을 통하여 저장된 데이터를 서비스 받을 수 있는 추상적인 서버환경 입니다. 다음의 3가자 정도의 유형이 있습니다.

  • Application (SaaS): 독립 소프트웨어 판매업자의 어플리케이션을 가상  서버에 호스팅하고 사용자는 웹 브라우저 등의 클라이언트를 통해 접속하는 사용자중심 형태의 소프트웨어 판매 모델 입니다.
  • Platform (PaaS): SaaS 와 대조가 되는. 모델로서 표준화된 Platform을 제공하는 서비스. 이는 가상화된 하드웨어 와 소프트웨어 등이 필요에 따라 제공되며, 또한 모든 개발과 관련된 환경 및 프로세스를 제공하며 독립
  • 소프트웨어 판매업자는 이 환경을 쉽게 이용 독립적 사업을 할 수 있는 서비스 형태 입니다.
  • Infrastructure (IaaS): 가상화된 인프라 환경만을 사용할 수 있도록 서비스를 제공하는 모델,고객이 크라우드 데이터 센터로부터 필요한 만큼의 가상의 서버를 임대해 사용할 수 있는 서비스 모델로서 기업의 환경에 의해 표준화된 솔루션을 사용하지 못할 때 제시되는 대안입니다.

라이센싱 과 데이터 보호를 위한 시사점

User authentication

대부분의 경우,SaaS 와 PaaS  환경은 사용자 기반으로 라이센스가 부여됩니다.
서버에 저장된 데이터에 사용자의 로그인 접속 혹은 데이터 생성 현황이
기록됩니다. 판매업자(ISV)는 서버에 저장된 모든 데이터의 효과적인 관리로
일관성 있는 데이터 보안정책 운용을 가능케 할 책임이 있습니다.  CodeMeter는
ISV와 사용자 모두를 지원합니다. Codemeter는 동글 과 토큰의 독특한
조합으로 이루어낸 보안솔루션 입니다. 라이선스 엔트리 폼에, 접근권한을
보장받고 데이터에 접근, 라이선스 생성 발급을 할 수 있는 허가권 저장 뿐만
아니라, username/password 디지털 인증방식 대신에, 사용자 인증으로 사용 할
수 있는 개인키 역할도 합니다. 암호나 암호해시 와는 달리,공개 키는 비밀로
유지 되지 말아야 합니다 , 단지 조작방지에서 보호되는 곳에만 필요합니다.

CodeMeter® 모델

CodeMeter® 솔루션

( 유연한 구축)

별개의 하드웨어 Key에 접근권한 등 

저장된 이동식 솔루션 i.e. CmDongle (as a USB stick).

CodeMeter® PC-specific 솔루션  

CmActLicense 를 사용하여

The PC-specific솔루션.접근권한 과 

고객PC에관한 내용이 포함된 license 

file이 저장 및 Key를 저장

암호 공유가 더 이상 가능하지 않기 때문에 ISV에서 이 증가는 라이센싱 보안
증가의 의미 이고,패스워드 스니핑은 더 이상 가능 하지 않기 때문에 이 증가는
사용자의 혜택과 같은 의미 입니다

데이타 암호화

SaaS 와 PaaS 기반 솔루션의 수용 면에서 가장 필수적인 사안은 안전한 데이터
보호입니다.만약 Hacker가 단순한 SQL-Injection 실행으로 사용자 데이터에
쉽게 접근할 수 있다면-2011 7월 Sony 의 경우와 같이-보안장치가 없다면,
지각이 있는 사용자는 Cloud 환경에 데이터를 저장 하지 않을 것 입니다.

물론 SQL 주입을 방지하기 위해 프로그램 스크립트를 작성할 수 있습니다. 이
일은 의심할 여지없이 만약 그 시기를 알 수 있다면, 다음 공격을 막을 수
있습니다. 이것은 일반적인 솔루션 이기 때문에 그러나 훨씬 더 좋은 솔루션은
데이타 암호화 입니다.  데이터를 전송하는 동안 데이터는 고객 편에서
암호보호화 되고 그것은 Cloud에 저장이 됩니다, 고객이 일치하는 라이선스를
소지하고 있을 때, 즉 일치하는 Key만이 데이타를 해독 할 수 있기 때문입니다,
그 Key는 고객 컴퓨터에 상주되어 있고, 그렇치 않으면,cloud에 저장되어 있는
소프트웨어는 준수 되지 않습니다.

만약 귀하의 고객을 위하여 SaaS 나 PaaS 어플리케이션 시행을 원한 하면,
Wibu Consulting Services Team은 기꺼이 지원 할 것입니다

PaaS에서의 비지니스 로직을 보호

Cloud에서 회사의 기업 차원 논리로의 보호는 데이터 보안 만큼이나 중요한
사안 입니다. 여기에 CodeMeter 솔루션은 엑서스의 안전을 위해 그리고 보호를
잘 하기 위해 소스코드 수정 암호화를 사용합니다.

ISV 의 PaaS 어플케이션은,Wibu Condulting Service에서 독립적인 솔루션
개발을 위해 지원할 것 입니다.

파트너에 의한 운영

만약 파트너에 의하여 운영되는 SaaS 나 PaaS 솔루션을 개발 한다면,두 가지 질문에 답이 필요 합니다:

  • Reverse engineering으로부터의 지적재산 보호방법
  • 소프트웨어 라이센싱 관리방법

CodeMeter는 이 두 질문에 대한 답을 제시합니다. 파트너는 요청한 수 만큼의
라이선스를  받습니다 -CmDongle 혹은 CmActLicense- 로. 소프트웨어의
데이터 혹은 실행코드의 암호화로 리버스 엔지니어링으로부터 보호 받습니다.
일치하는 라이선스 없이 소프트웨어를 분석하거나 불법으로 사용할 수 없습니다.

라이선스는(Dongle 혹은 license file) 특별한 라이선스 서버에 위치합니다.
서버는 응용 프로그램의 각 인스턴스에 대한 유동 라이센스로 해당 라이센스를
할당 합니다. 서버 솔루션은 높은 가용성 솔루션을 구현 할 수 있습니다

laaS 솔루션의 프로텍션

IaaS 솔루션의 보호는 ISV에 적절한 과제를 제시, Cloud 는 전용 서버가 아니라는 사실의 의미는 CmActLicense 는 그것에 묶여 있을 수 없고, CmDongle도 여기에 구속될 수 없습니다.

CodeMeter는 보호 및 라이센싱 솔루션을 제공합니다. 이 솔루션은 두 부분으로 구성 됩니다

  • 특별히 구속을 받지 않는 CmActLicense (CodeMeter NoneBind) 는 reverse engineering에 대하여 소프트웨어를 보호 하는 데만 사용됩니다. 그 소프트웨어는 항상 실행을 할 수 있습니다.
  • 계산될 데이터의 검사는 소프트웨어로 컴파일 되어야만 합니다.응용프로그램은 이후에만 서명된 데이타만 받아 들입니다.

 필요시 사용자는 이제 소프트웨어의 IaaS버전을 Cloud에 업로드 할 수 있습니다. 데이터는 서명되어 있고 일치하는 라이선스를 소지한 사용자만 실행 할 수 있습니다. 서명된 데이터가 없는 소프트웨어는 쓸모가 없습니다.

CodeMeter는 데이터 서명에 대한 라이센스의 완벽한 포트폴리오 모델을 제공합니다.

Single-user license: CmDongle 은 local pc에 연결되어 또는 CmActLicense는 local pc에 접속 되어 사용됩니다. 데이터는 cloud에 upload되기전에 local pc에 서명이 되어야 됩니다.

Network licenses: CmDongle 또는 CmActLicense는 Network 상의 라이센스 서버에 상주 합니다

Time-limited licensesCodeMeter는 세가지 옵션을 제공 합니다: 고정된 만료 날자,일정 시간 또는 실제사용 기간을 선택 할 수 있습니다, CmDongle 및 CmActLicense에는 시간 조작을 방지하기 위하여 Intenal clock 이 내장 되어 있습니다.

Pay-per-use licenses::IaaS 솔루션을 위하여 특별히 개발된 Wibu-Systems 모델. 사용자는 데이타에 서명, Cloud에 업로드 될 때마다 귀하의 계정에서 공제되는 구성단위를 구입 합니다. 구성단위는 공제하는데 사용되는 기준에 따라 결정 할

수 있습니다. 예를 들어, 그들은 작업단위 또는 데이터 양을 기준으로 공제 할 수 있습니다. 더 많은 구성단위는 쉽게 CodeMeter License Central에서  online 으로 구입 할 수 있습니다.  More information on CodeMeter License Central.

Modular software protection: 각 기능은 서명에 사용되는 소프트웨어에서 선택되어 자신의 Key가 할당됩니다. 이 기능은 개별적으로 활성화 및 라이선스 할 수 있습니다. 활성화는 인터넷을 통하여 언제든지 발생 할 수 있습니다.

 

Cloud Licenses for Local Applications

In this scenario, your software is a classic desktop application, which you sell to your users either on a traditional CD or as a download. Your user receives not only the software itself, but also an activation code in the form of a ticket that you create with CodeMeter License Central. When creating that ticket, you can determine how many devices the software can operate on at the same time and for how long it can be used without a permanent connection to the Internet.

Your user installs the software on a PC. When it is started for the first time, he or she is asked to enter the ticket. The software contacts CodeMeter License Central and sends the ticket and a fingerprint of the computer (in the form of a WibuCmRaC file) up to the cloud. CodeMeter License Central checks whether the ticket is valid and, if it is, creates a temporary license for an offline cache. The license is returned to the user (by WibuCmRaU file) and imported locally into the CodeMeter Runtime. The ticket is also stored locally, e.g. in the license. Your software then launches and works perfectly without any need for a permanent Internet connection.

Shortly before the temporary license expires in the offline cache, the application phones home to CodeMeter License Central and renews the license.

Should the user install the software on another device, he or she would enter the ticket again. Depending on your choices and settings, your software could react to this in three ways:

  1. The license is moved into a local cache as a temporary offline license, and the software is launched.
  2. The user selects the “old” license, which is automatically flagged as “deactivated” in CodeMeter License Central. A temporary offline license is then created, and the software starts.
  3. The user is notified that the number of licenses has been exceeded and that he or she would either have to deactivate the old license manually or wait for the temporary license to end its set duration.

The second option has proven itself as the best practice: It is flexible enough for the user who can continue to work with the software even after reaching the maximum number of devices, and transparent enough for you as the developer to uncover fraudulent use and take the necessary countermeasures.

Cloud Licenses for SaaS Applications

You can offer your users a SaaS application with unrestricted or temporary licenses for different features. CodeMeter Cloud Lite offers you a simple and lean way of reconciling the online and offline worlds, especially when you are already using CodeMeter for on-premise software and have integrated the license creation processes with your SAP, Salesforce, or any other ERP, CRM or e-commerce system.

The licenses for SaaS applications are created in the same manner that is used for on-premise licenses; they only differ in the binding scheme, using CodeMeter Cloud Lite in the place of CodeMeter SmartBind or CmDongles. A license is created and assigned to a user in a process that does not differ from the activation of a local license – you can even combine both forms. You can integrate your user admin processes with Single-Sign-On solutions like OAuth2 or SAML.

CodeMeter Cloud Lite comes with a simple API to check active licenses, which would access the SaaS applications, verify the available licenses, and determine which functions are available for how long.

Authentication for SaaS Applications

On top of its comprehensive licensing and powerful software protection capabilities, CodeMeter comes equipped with a third star trait: The private keys used for authentication can be stored securely on a CmDongle or a computer-bound CmActLicense. This makes CodeMeter the right choice for user authentication in SaaS scenarios.

The solution can be integrated via the CodeMeter API, specifically when you supply your users with a dedicated local application that works in tandem with a SaaS application in the cloud. The SaaS software creates a challenge that the local application responds to by signing it with the private key kept in the local license. Up in the cloud, the SaaS application uses the public key to verify the identity of the user, with the users’ identities managed and recorded in the cloud according to your specific needs.

For browser applications, client certificates have established themselves as the standard solution. A middleware is used to transfer standard x.509 certificates on a CmDongle. Two standardized interfaces (PKCS#11 and Microsoft CSP) are available for applications like Internet Explorer, Firefox, Chrome, Safari, Outlook, or VPN clients to use these certificates. Some applications might only need a valid certificate to allow access to the SaaS application. Others can extract more granular data like user names, organizations, or other attributes to identify named users or user groups. If you wish to control access to your SaaS application with this level of certainty, you need to create, manage, and always keep track of the necessary client certificates, which need to be known to the SaaS application. Vice versa, the certificate with which the SaaS application identifies itself to the user should be a server certificate created by a trusted certification authority (e.g. VersiSign or GlobalSign).

Standard Applications in Private Clouds

A private cloud would typically be a farm of virtual machines operated in a company’s own data center or at a specialized provider on other hardware known neither to you nor to the user. It might not even have USB interfaces to connect to. Again, CodeMeter has the capabilities needed to handle this scenario and protect your rights as the developer of the software. You have several options at your disposal:

  1. CodeMeter connected to the SEH Dongle ServerUSBoverEthernet: Your user is given a license in the form of a CmDongle. Common USBoverEthernet products can now be used to connect that CmDongle to the virtual machine in question – many data centers have this technology as standard practice. You do not have to make any changes to your software or to your established distribution methods.
  2. Network Server: Your user operates a network server in the data center. CodeMeter connected to a Rasberry PiCodeMeter offers a special lean CodeMeter Runtime for such servers, designed to operate even on Raspberry Pis. The CmDongle is hooked up by USB to that server. Your software only has to support the CodeMeter networking protocol (CmLAN), which implies only a minor change in the configurations for your software. You still deliver your software in the standard manner.
  3. Server in the Cloud: A CmWAN server can be operated by you directly or by your users. The licenses can then be kept in the LAN, WLAN, or the cloud, using CmDongles or CmActLicenses on the CmWAN server. As with the network server, your software needs to support the right protocols, and the distribution processes still remain unchanged.
  4. SmartBind with VM Move: You create a SmartBind license with a “loose” level of tolerance. This makes sure that the license remains intact when the virtual machine it is kept on is relocated in the cloud. It would be invalidated when the virtual machine is copied. Alternatively, you could define the machine SID as the binding property. You do not need to change anything in how you integrate the system in your application; all you need to do is create special licenses for the users who will run your software in their private clouds.
  5. Licensing with CodeMeter Cloud Lite: You can leave the licensing of your software to CodeMeter Cloud Lite. Your application would be given a Protection Only License to prevent reverse engineering and regularly check the Wibu cloud to see whether the license is still valid or whether it is being used elsewhere. This type of licensing requires some changes to your software and a permanent Internet connection between the user’s private cloud and the Wibu cloud. The creation of the license itself is not made more difficult: all it needs is the addition of CodeMeter Cloud Lite as another binding property.