【技术实现步骤摘要】
基于零信任安全哨兵体系的资源防护系统
[0001]本专利技术涉及零信任资源防护
,具体为基于零信任安全哨兵体系的资源防护系统。
技术介绍
[0002]微服务作为近年来一种常用的软件开发技术深受开发者的喜欢,它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。微服务的运行一般需要依赖一些基础组件,例如:mysql、redis、mongodb等,基础组件的连接及身份验证的密码信息通常会直接存储在微服务的配置文件或环境变量中。这种方法有诸多缺点,一方面各个微服务的代码质量无法完全保障,存在信息泄露的风险;另一方面这些身份认证的敏感信息可以被运维或开发人员获取到,存在人为的误操作风险;数据库的连接信息泄露会被非法人员持续进行漏洞扫描攻击,网络安全公司Imperva在研究中表明,其扫描的数据库有接近一半包含CVE漏洞,因此对于数据的访问授权和安全保护至关重要。然而大多数企业没有进行足够行之有效的保护。
[0003]企业中通用的防护做法是在部署基础组件的服务器上设置网络防火墙,只暴露组件...
【技术保护点】
【技术特征摘要】
1.基于零信任安全哨兵体系的资源防护系统,其特征在于:该系统包括操作管理平台、密码存储服务模块、哨兵模块、CA证书模块、信息校验模块、数据交互模块;所述操作管理平台用于执行系统管理员的操作,添加基础组件;所述密码存储服务模块用于提供密码存储服务,存储基础组件的敏感信息;所述哨兵模块用于创建服务端哨兵和客户端哨兵;所述CA证书模块用于生成、验证、吊销哨兵证书,客户端哨兵和服务端哨兵通信时通过CA证书模块验证对方身份合法性;所述信息校验模块用于在服务端哨兵接收到客户端哨兵传输的加密数据包后进行解码,对其中提交的身份信息进行校验,校验失败则终止流程,输出基础组件对应的协议格式错误响应包;校验成功后则响应认证成功数据包,并持续进行命令的鉴权、审计、日志记录、异常告警操作;所述数据交互模块用于服务端哨兵从连接池中取出可用连接将加密的数据包解码后转发至基础组件,与基础组件之间形成受信任的数据交互。2.根据权利要求1所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:系统管理员通过所述操作管理平台添加被保护的基础组件,操作管理平台会为被保护的基础组件生成唯一的组件ID,构建组件ID的敏感信息,将敏感信息加密存储在密码存储服务模块中;所述敏感信息包括基础组件的连接、认证身份、组件类型、虚拟身份、真实身份。3.根据权利要求2所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:系统管理员通过哨兵模块创建服务端哨兵证书;系统管理员从已添加的被保护的基础组件列表中选取一个需要被保护的基础组件,调用CA证书模块生成服务端哨兵使用的x509证书,证书中记录被保护的基础组件ID信息;创建服务端哨兵配置信息,所述服务端哨兵配置信息包括基于基础组件协议的认证身份信息、日志输出地址、命令限制类型及黑白名单、限制的命令列表;所述基于基础组件协议的认证身份信息包括pem格式证书、pem格式证书的私钥、密码存储地址、密码存储服务验证token、服务端哨兵监听地址;系统管理员通过操作管理平台下载服务端哨兵证书及服务端哨兵二进制程序,对服务端哨兵进行部署。4.根据权利要求3所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:所述哨兵模块还包括:服务端哨兵启动后根据服务端哨兵配置信息中服务端哨兵监听地址、pem格式服务端哨兵证书、pem格式服务端哨兵证书的私钥启动tls端口监听服务;启动成功后根据密码存储地址、密码存储服务验证token请求密码存储服务模块加载身份列表,所述身份列表包括虚拟身份、真实身份;预先根据各个真实的身份及连接信息和基础组件实例建立连接,连接异常时根据日志输出地址记录的日志平台地址抛出错误日志,连接正常时将连接放入连接池备用。5.根据权利要求4所述的基于零信任安全哨兵体系的资源防护系统,其特征在于:所述对服务端哨兵进行部署包括两...
【专利技术属性】
技术研发人员:李彪,徐建平,张帅,张超,
申请(专利权)人:南京智人云信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。