【技术实现步骤摘要】
一种多集群网络安全策略管控方法和系统
本申请涉及网络安全
,特别涉及一种多集群网络安全策略管控方法和系统。
技术介绍
容器应用在多集群里进行统一发布和编排,已经成为企业确保生产环境高可用部署的重要发展趋势。一般一个容器集群会部署在同一个机房当中,但很多可用性要求高的应用,需要跨地域多机房部署,以满足应用跨地域级别的多活和灾备需求。并且在实际生产环境中,对容器件的访问策略都是最低限度开放,减少服务暴露和限制访问权限。若果没有配置安全策略,一旦容器突破或逃逸后,即可侵入集群内其他容器,甚至修改宿主主机内核和文件数据,植入木马病毒或将计算资源用于挖矿,造成的危害极大。为此,在单集群场景下,容器的网络安全策略依靠容器平台的容器网络接口(即CNI网络插件)实现,可以实现单一集群下,容器集群(Pod)和容器集群(Pod)之间,Pod和某些服务之间,Pod和某些地址段之间,Pod和某个命名空间(namespace)之间的访问安全策略控制。但目前已实现的集群安全策略机制存在以下问题:(1)安全策略全部依靠安全人员实现的安全规则配置生效,由于安全人员是根据经验或现有安全规范来配置安全规则,如果有未被发现的安全漏洞被利用,集群安全策略将直接失效,恶意访问无从防范,安全保护等同为零;(2)随着应用开始多集群部署,逐渐出现了跨集群的服务互访需求。统一集群下,可以依赖容器平台自身的CNI网络插件来实现安全策略,但在多集群场景,目前任何单一集群的CIN网络插件(比如:Calico、Weave、Flannel、Mac ...
【技术保护点】
1.一种多集群网络安全策略管控方法,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,其特征在于,包括:/n根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;/n响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;/n响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;/n响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。/n
【技术特征摘要】
1.一种多集群网络安全策略管控方法,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,其特征在于,包括:
根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;
响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;
响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;
响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
2.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求,包括:
根据所述网络策略配置文件中指定的应用程序接口,由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器;其中,所述配置请求参数包含于由所述网络策略配置文件中;
所述网络策略控制器根据所述配置请求参数,对多个所述容器集群的安全策略配置模式进行选择,并向所述规则中心发送规则注入请求。
3.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述响应于规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验,包括:
响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测;
若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突,则向安全请求方发送规则冲突的错误代码,以由所述安全请求方对所述安全策略规则进行修改;若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突,则所述安全策略规则通过所述规则校验。
4.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在所述规则库中进行存储固化,并向所述网络策略控制器发送第一信息之后,在响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之前,还包括:
响应于所述第一信息发送失败,所述规则中心按照预设的重试机制对所述第一信息进行重复发送,直至重复发送的次数达到所述重试机制的预设尝试阈值,所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。
5.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述安全策略配置模式为多活镜像集群模式,
对应的,
所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:
响应于所述网络策略控制器接收到所述第一信息,基于所述多活镜像集群模式,根据所述网络策略配置文件,指定多个所述容器集群中的一个所述容器集群为主集群,并在指定为主集群的所述容器集群中注入所述安全策略规则;
基于指定为主集群的所述容器集群配置的所述安全策略规则,在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则,以由多个所...
【专利技术属性】
技术研发人员:林裕毅,郭峰,杨凯,王豪,曾祥龙,徐如栗,汝林,
申请(专利权)人:上海道客网络科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。