【技术实现步骤摘要】
一种基于零信任模型的云资源安全隔离控制方法及系统
[0001]
[0002]本专利技术涉及云资源
,特别涉及一种基于零信任模型的云资源安全隔离控制方法及系统。
技术介绍
[0003]零信任安全最早由著名研究机构Forrester的首席分析师约翰.金德维格在2010年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础,诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。
[0004]目前,常见的云资源主要包括物理设备资源(主要包括服务器、存储、网络)和逻辑资源(计算、存储、网络、应用),其中主机服务器资源,包括微软的Hyper
‑
V、VMware(虚拟机软件)的ESXI、Citrix(思杰系统有限公司)的Xen、IBM的PowerVM、OpenStack(由美国航空航天局NASA和Rackspace公司等发起,超过200家厂商参与的一个云计算开源项目,遵循Apache许可证授权)的Nova
‑
Computer以及开源服务器虚拟化软件KVM等。
[0005]随着云资源被广泛应用,如何提升云资源的安全性以及实现云资源应用的隔离,是行业研究的一个重要方向。
技术实现思路
>[0006]本说明书实施例提供了一种基于零信任模型的云资源安全隔离控制方法及系统。
[0007]一方面,本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制方法,包括:获取访问主体对所述云资源承载的云服务的访问请求;基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;下达并执行所述访问权限策略和/或所述微隔离安全策略。
[0008]另一方面,本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制系统,包括:访问请求获取装置,用于获取访问主体对所述云资源承载的云服务的访问请求;策略生成模块,用于基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;策略执行模块,用于执行所述访问权限策略和/或所述微隔离安全策略。
[0009]由以上本说明书实施例提供的技术方案可见,本专利技术实施例本专利技术使用增强身份治理的零信任模型保证了对云资源的安全访问,使用微分段的零信任模型实现了云资源的
内部隔离。
附图说明
[0010]图1为本说明书一些实施例的基于零信任模型的云资源安全隔离控制方法的流程图。
[0011]图2为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的组成示意图。
[0012]图3为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的细化组成示意图。
具体实施方式
[0013]为了使本
的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
[0014]如图1所示,本说明书一些实施例中提供了一种基于零信任模型的云资源安全隔离控制方法,包括获取访问主体对所述云资源承载的云服务的访问请求;基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;下达并执行所述访问权限策略和/或所述微隔离安全策略。
[0015]在本说明书一些实施例中,基于策略引擎生成所述访问权限策略和微隔离安全策略,具体为,基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,所述访问权限策略和/或所述微隔离安全策略用于被策略管理器下发;基于所述访问权限策略,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;基于所述微隔离安全策略,隔离应用和/或隔离应用内的不同虚拟机。
[0016]在本说明书一些实施例中,基于所述策略管理器生成访问权限并下发所述访问权限至执行网关,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证;基于所述策略管理器下发所述微隔离安全策略至云管理平台。
[0017]在本说明书一些实施例中,基于所述云管理平台将所述微隔离安全策略下发至东西向防火墙和南北向防火墙,以隔离应用和/或隔离应用内的不同虚拟机。
[0018]另一方面,如图2所示,本说明书一些实施例还提供了一种基于零信任模型的云资源安全隔离控制系统,系统包括:访问请求获取装置,用于获取访问主体对所述云资源承载的云服务的访问请求;策略生成及下发模块,用于基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略并下发;策略执行模块,用于执行所述访问权限策略和/或所述微隔离安全策略。
[0019]如图3所示,在本说明书的一些实施例中,所述策略生成及下发模块,包括策略引擎和策略管理器;所述策略引擎用于基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,其中,所述访问权限
策略具体为,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;所述微隔离安全策略具体为,隔离应用和/或隔离应用内的不同虚拟机(VM,Virtual Machine);所述策略管理器用于生成访问权限并下发所述访问权限和所述微隔离安全策略至所述策略执行模块,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证。
[0020]如图3所示,在本说明书的一些实施例中,所述策略执行模块包括执行网关和云管理平台;所述执行网关用于接收所述访问权限,并基于所述访问权限同意或拒绝所述访问主体对所述云资源承载的云服务的访问;所述云管理平台用于接收所述微隔离安全策略,将所述微隔离安全策略下发至东西向防火墙和南北向防火墙(防火墙对应图3中的vFW,virtual Firewall及执行网关),以隔离应用和/或隔离应用内的不同虚拟机。
[0021]具体而言,策略引擎负责最终决定是否授予访问主体对云资源承载的云服务(访问客体)的访问权限和云上微隔离策略。策略引擎可以使用企业安全策略以及来自外部源(例如IP黑名单、威胁情报)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问。策略引擎可以与策略管理器组件配对使用。策略引擎做出并记录决策,策略管理器执行决策。云上微隔离策略包含应用间的隔离、应用内部的隔离、结合外部态势感知等威胁情报生成的动态微隔离策略。
[0022]具体而言,策略管理器可以通过和策略引擎联动,下达策略给执行网关或云管理平台。当用户发起访问链接访问云资源承载的云服务时,策略管理器本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于零信任模型的云资源安全隔离控制方法,其特征在于,所述方法包括:获取访问主体对云资源承载的云服务的访问请求;基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;下达并执行所述访问权限策略和/或所述微隔离安全策略。2.根据权利要求1所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,基于策略引擎生成所述访问权限策略和微隔离安全策略,具体为,基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,所述访问权限策略和/或所述微隔离安全策略用于被策略管理器下发;基于所述访问权限策略,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;基于所述微隔离安全策略,隔离应用和/或隔离应用内的不同虚拟机。3.根据权利要求2所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,基于所述策略管理器生成访问权限并下发所述访问权限至执行网关,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证;基于所述策略管理器下发所述微隔离安全策略至云管理平台。4.根据权利要求3所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,基于所述云管理平台将所述微隔离安全策略下发至东西向防火墙和南北向防火墙,以隔离应用和/或隔离应用内的不同虚拟机。5.一种基于零信任模型的云资源安全隔离控制系统,...
【专利技术属性】
技术研发人员:饶伟,王敏红,刘鹏宇,杜雅红,徐克佳,李井鑫,郭刚,张毅,胡小宁,李明杰,邹长云,
申请(专利权)人:中铁信弘远北京软件科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。