一种多集群网络安全策略管控方法和系统技术方案

本申请提供了一种多集群网络安全策略管控方法和系统。该方法包括：根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个容器集群的安全策略配置模式进行选择，并由向规则中心发送规则注入请求；响应于规则中心接收到网络策略控制器发送的规则注入请求，对网络策略控制器发送的安全策略规则进行规则校验；响应于安全策略规则通过规则校验，规则中心将安全策略规则在规则库中进行存储固化，并向网络策略控制器发送第一信息，响应于网络策略控制器接收到第一信息，网络策略控制器基于选择的安全策略配置模式，在多个容器集群中进行安全策略规则的配置，以由多个容器集群根据安全策略规则，按照设定的工作模式进行网络访问安全保护。

【技术实现步骤摘要】
一种多集群网络安全策略管控方法和系统
本申请涉及网络安全
，特别涉及一种多集群网络安全策略管控方法和系统。
技术介绍
容器应用在多集群里进行统一发布和编排，已经成为企业确保生产环境高可用部署的重要发展趋势。一般一个容器集群会部署在同一个机房当中，但很多可用性要求高的应用，需要跨地域多机房部署，以满足应用跨地域级别的多活和灾备需求。并且在实际生产环境中，对容器件的访问策略都是最低限度开放，减少服务暴露和限制访问权限。若果没有配置安全策略，一旦容器突破或逃逸后，即可侵入集群内其他容器，甚至修改宿主主机内核和文件数据，植入木马病毒或将计算资源用于挖矿，造成的危害极大。为此，在单集群场景下，容器的网络安全策略依靠容器平台的容器网络接口(即CNI网络插件)实现，可以实现单一集群下，容器集群(Pod)和容器集群(Pod)之间，Pod和某些服务之间，Pod和某些地址段之间，Pod和某个命名空间(namespace)之间的访问安全策略控制。但目前已实现的集群安全策略机制存在以下问题：(1)安全策略全部依靠安全人员实现的安全规则配置生效，由于安全人员是根据经验或现有安全规范来配置安全规则，如果有未被发现的安全漏洞被利用，集群安全策略将直接失效，恶意访问无从防范，安全保护等同为零；(2)随着应用开始多集群部署，逐渐出现了跨集群的服务互访需求。统一集群下，可以依赖容器平台自身的CNI网络插件来实现安全策略，但在多集群场景，目前任何单一集群的CIN网络插件(比如：Calico、Weave、Flannel、MacVlan等)都没有多集群的安全策略实现机制，企业一旦在生成环境上多集群部署，不同集群的安全策略只能够单个集群独立配置，效率较低而且容易出现配置不一致导致的安全漏洞。(3)目前开源Kubernetes社区已有联邦集群功能来实现多集群编排调度，但联动集群的社区版本之间变化差异性恒大，比如KubefedV1和KubefedV2之间的架构就有巨大改动，在社区版本未稳定前，指望由联邦集群来克服网络安全策略问题，不具备可行性。而且，联邦集群目前只能实现全局的DNS服务发现，在跨集群的网络安全策略分发和配置上，也是没有解决方案的，不具备全局的安全策略实现机制。(4)有部分多集群场景，通过配置集群之间的防火墙规则来实现跨集群安全策略控制，但是只要集群数量大于等于3或者集群使用的命名空间过多或者容器集群数量超过某个规模，整体的安全策略配置就非常麻烦，全部依赖手工一条条输入防火墙安全规则，而且一旦错误配置某个规则，比如输错某个IP地址，故障排查将非常艰巨，需要花很长时间才能定位故障点。更重要的是，当业务下线后，哪些安全规则可以删除，需要逐一判断，删错一条就会引发其它业务的生产事故，如果不删除，需要确保新部署的应用不会和原先的IP地址冲突，这会导致IP地址无法回收，造成大量的IP资源浪费，且随着时间增加，积累的越来越多的安全规则会增加防火墙负担引发服务性能问题。(5)有部分多集群场景，通过增加集群间的代理服务器或负载均衡器来进行跨集群的访问，这种方式只在代理服务器上转发允许访问的IP地址和端口作为后端负载。但是这样一来有几个问题：第一个是安全策略的控制粗粒度，只能基于IP地址来实现，如果想给某个Namespace下的Pod做安全策略，则每配置一个规则都需要把该Namespace下的所有Pod的IP全部写一遍，非常繁琐；第二个是一旦容器应用发生弹性扩缩事件，新增加的Pod或者被删除的Pod如何快速的在代理服务器或负载均衡器上做自动修改，这将会是一个难点。且不同品牌的负载均衡器都需要单独开发一套插件，厂商是否愿意开放应用程序编程接口(ApplicationProgrammingInterface，简称API)配合以及释放支持插件化二次开发都是实现的难点，不具备普适通用性。因此，需要提供一种针对上述现有技术不足的改进技术方案。
技术实现思路
本申请的目的在于提供一种多集群网络安全策略管控方法和系统，以解决或缓解上述现有技术中存在的问题。为了实现上述目的，本申请提供如下技术方案：本申请提供了一种多集群网络安全策略管控方法，用于在包含多个容器集群的联邦集群中进行安全策略规则配置，包括：根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求；响应于所述规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验；其中，所述安全策略规则包含于所述网络策略配置文件中；响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在规则库中进行存储固化，并向所述网络策略控制器发送第一信息，其中，所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息；响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护。可选地，在本申请的任一实施例中，所述根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求，包括：根据所述网络策略配置文件中指定的应用程序接口，由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器；其中，所述配置请求参数包含于由所述网络策略配置文件中；所述网络策略控制器根据所述配置请求参数，对多个所述容器集群的安全策略配置模式进行选择，并向所述规则中心发送规则注入请求。可选地，在本申请的任一实施例中，所述响应于规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验，包括：响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测；若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突，则向安全请求方发送规则冲突的错误代码，以由所述安全请求方对所述安全策略规则进行修改；若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突，则所述安全策略规则通过所述规则校验。可选地，在本申请的任一实施例中，所述响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在所述规则库中进行存储固化，并向所述网络策略控制器发送第一信息之后，在响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护之前，还包括：响应于所述第一信息发送失败，所述规则中心按照预设的重试机制对所述第一信息进行重复发送，直至重复发送的次数达到所述重试机制的预设尝本文档来自技高网...

【技术保护点】
1.一种多集群网络安全策略管控方法，用于在包含多个容器集群的联邦集群中进行安全策略规则配置，其特征在于，包括：/n根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求；/n响应于所述规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验；其中，所述安全策略规则包含于所述网络策略配置文件中；/n响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在规则库中进行存储固化，并向所述网络策略控制器发送第一信息，其中，所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息；/n响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护。/n

【技术特征摘要】
1.一种多集群网络安全策略管控方法，用于在包含多个容器集群的联邦集群中进行安全策略规则配置，其特征在于，包括：
根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求；
响应于所述规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验；其中，所述安全策略规则包含于所述网络策略配置文件中；
响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在规则库中进行存储固化，并向所述网络策略控制器发送第一信息，其中，所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息；
响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护。


2.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求，包括：
根据所述网络策略配置文件中指定的应用程序接口，由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器；其中，所述配置请求参数包含于由所述网络策略配置文件中；
所述网络策略控制器根据所述配置请求参数，对多个所述容器集群的安全策略配置模式进行选择，并向所述规则中心发送规则注入请求。


3.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述响应于规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验，包括：
响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测；
若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突，则向安全请求方发送规则冲突的错误代码，以由所述安全请求方对所述安全策略规则进行修改；若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突，则所述安全策略规则通过所述规则校验。


4.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在所述规则库中进行存储固化，并向所述网络策略控制器发送第一信息之后，在响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护之前，还包括：
响应于所述第一信息发送失败，所述规则中心按照预设的重试机制对所述第一信息进行重复发送，直至重复发送的次数达到所述重试机制的预设尝试阈值，所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。


5.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述安全策略配置模式为多活镜像集群模式，
对应的，
所述响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护，包括：
响应于所述网络策略控制器接收到所述第一信息，基于所述多活镜像集群模式，根据所述网络策略配置文件，指定多个所述容器集群中的一个所述容器集群为主集群，并在指定为主集群的所述容器集群中注入所述安全策略规则；
基于指定为主集群的所述容器集群配置的所述安全策略规则，在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则，以由多个所...

【专利技术属性】
技术研发人员：林裕毅，郭峰，杨凯，王豪，曾祥龙，徐如栗，汝林，
申请(专利权)人：上海道客网络科技有限公司，
类型：发明
国别省市：上海;31