【技术实现步骤摘要】
Kubernetes集群服务的防护方法、系统、电子设备及存储介质
[0001]本申请涉及网络安全
,具体涉及一种Kubernetes集群服务的防护方法、系统、电子设备及存储介质。
技术介绍
[0002]借助于容器轻量化、易于移植、弹性伸缩等特点,容器集群编排工具Kubernetes能够更加系统的编排和发布容器,同时支持一键化的滚动部署以及回滚操作。从提供容器编排服务的角度来看,Kubernetes是一个非常好工具。但是缺点是,Kubernetes在提供容器编排服务的同时,并未考虑容器的安全服务,对于容器运行过程中存在的安全风险,例如特权容器、容器逃逸、反弹壳(shell)操作、暴力破解等无能为力。
[0003]现有的基于规则的ATT&CK攻防矩阵技术,当系统受到攻击时,系统会根据攻防矩阵模型的判断产生告警通知,然后由有丰富运维经验的安全工程师来人为处理告警。攻击的处理手段可以包括暂停容器
[0004]/Pod、限制容器/Pod的流量进出等。由此带来的问题包括两个方面:
[0005...
【技术保护点】
【技术特征摘要】
1.一种Kubernetes集群服务的防护方法,其特征在于,包括:检测异构冗余执行体中的各Pod执行目标服务的行为,在检测到行为存在异常时,确定行为异常的目标Pod;所述异构冗余执行体中包括M个Pod,所述M个Pod中的N个Pod为异构执行体;所述M和所述N分别为大于1的整数,所述N小于或等于所述M;替换所述异构冗余执行体中的所述目标Pod。2.根据权利要求1所述的方法,其特征在于,所述替换所述异构冗余执行体中的所述目标Pod,包括:将所述目标服务迁移到所述目标Pod的备用Pod上,采用所述备用Pod替换所述目标Pod执行所述目标服务;所述备用Pod与所述目标Pod为异构执行体。3.根据权利要求2所述的方法,其特征在于,所述异构冗余执行体中的各Pod具有相同的标签;所述标签用于所述目标服务确定执行服务的Pod;所述采用所述备用Pod替换所述目标Pod执行所述目标服务,包括:设置所述备用Pod的标签为所述目标Pod的标签,并去除所述目标Pod中设置的标签。4.根据权利要求1所述的方法,其特征在于,所述检测到行为存在异常,包括:根据所述异构冗余执行体中的各Pod执行目标服务的行为与攻防矩阵知识库,确定所述异构冗余执行体中的各Pod执行目标服务的行为存在异常。5.根据权利要求2所述的方法,其特征在于,所述将所述目标服务迁移到所述目标Pod的备用Pod之前,所述方法还包括:确定所述目标Pod的备用Pod包括的异构体类型以及每种异构体类型对应的同构执行体副本的数量;按照所述异构体类型以及所述异构体类型对应的同构执行体副本的数量,确定所述目标Pod的备用Pod。6.一种Kubernetes集群服务的防护系统,其特征在于,包括:异构冗余执...
【专利技术属性】
技术研发人员:丁攀,徐雷,郭新海,刘安,蓝鑫冲,苏俐竹,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。