一种基于云原生的网络安全策略的管控方法技术

本发明专利技术公开了一种基于云原生的网络安全策略管控方法，用在由一个数据存储集群、一个控制集群服务和一群数据平面代理服务组成的系统中，包括如下步骤：S100，数据存储集群以每个数据节点为副本，使用分布式一致性协议选举出主节点；S200，控制集群服务中的控制平面在数据存储集群内选举出的主节点提供给数据平面代理服务；S300，数据平面代理服务对控制平面提供的数据进行解析，拆分出流程步骤和功能，再通过网络数据包过滤的模块，对服务器的内核进行对应的hook操作。本发明专利技术对云网络的内部和出入口流量都进行了监控,追踪,并引入了自动化的分析策略实现预警功能。自动化的分析策略实现预警功能。自动化的分析策略实现预警功能。

【技术实现步骤摘要】
一种基于云原生的网络安全策略的管控方法


[0001]本专利技术涉及网络安全策略管控
，具体为一种基于云原生的网络安全策略管控方法。

技术介绍

[0002]目前的云环境会由多台服务器组建而成，因此管理云环境的网络的时候，需要再每个服务器中去执行大量的重复工作，因为有大量的人工干预，那么久极有可能会出现问题，例如漏了，输错了某些命令等，从而造成网络安全设置不成功，更加严重的可能会导致网络环境不可用，最终影响到整个云环境的可用性。而且目前的管控方法中，缺少对对应数据流量等的检查监控的功能，无法对外部进入的非法流量进行过滤，以保护服务器的安全，例如一般情况下，无法防御DDOS，可能无法及时发现服务器中存在的挖矿等危险行为。

技术实现思路

[0003]本专利技术的目的在于提供一种基于云原生的网络安全策略管控方法，以解决现有技术中存在的问题。
[0004]为实现上述目的，本专利技术采用的技术方案是：提供一种基于云原生的网络安全策略管控方法，用在由一个数据存储集群、一个控制集群服务和一群数据平面代理服务组成的系统中，包括如下步骤：
[0005]S100，数据存储集群以每个数据节点为副本，使用分布式一致性协议选举出主节点；
[0006]S200，控制集群服务中的控制平面在数据存储集群内选举出的主节点提供给数据平面代理服务；
[0007]S300，数据平面代理服务对控制平面提供的数据进行解析，拆分出流程步骤和功能，再通过网络数据包过滤的模块，对服务器的内核进行对应的hook操作。<br/>[0008]优选的，在本技术方案中，所述数据存储集群，是数据存储节点的集群，以每个数据节点为副本，使用分布式一致性协议选举出主节点。
[0009]优选的，在本技术方案中，选举主节点的过程，其包括如下步骤：
[0010]S101，初始状态下，未选举主节点，所有节点都是一个从属节点；
[0011]S102，每个节点都会有个随机的超时时间，当超过时间，未发现主节点的时候，从属节点会转变角色，进入为候选者的状态，且此时候选人会通知所有节点，发起投票；
[0012]S103，从属节点会对发起的投票通知进行投票，当票数超过节点数量的一半的情况时，候选人会转变为主节点，然后主节点会作为写入节点。
[0013]优选的，在本技术方案中，所述控制集群服务，是由多个控制平面组成，所有的所述控制平面通过下发数据到数据平面代理服务，所述数据平面代理服务对所述控制平面下发的数据进行解析，拆分为一个个对应的流程步骤和功能，然后通过网络数据包过滤的模块对服务器的内核进行对应的钩子函数操作。
[0014]优选的，在本技术方案中，数据平面代理服务，是使用了网络数据包过滤的模块的技术，针对服务器的内核和网络进行钩子函数操作，然后针对网络层面的连接及传输进行实时的监控监测，检查对应连接的对端是否是正常的，同时针对连接进行阻拦操作，并且把检查数据回传到数据中心内供可视化检测监控。
[0015]与现有技术对比，本专利技术具备以下有益效果：
[0016]1、本专利技术的方法因数据平面代理服务主要使用了ebpf的技术,针对服务器的内核,网络等进行hook,然后针对网络相关层面的连接,传输等进行实时的监控监测,检查对应连接的对端是否是正常的及针对连接进行阻拦等操作。
[0017]2、本专利技术的方法由管理服务下发对应的配置到数据平面,然后由数据平面进行统一的运维实现,减少操作难度和出错的机会；通过收集上来的数据,可以通过可视化界面对整个云网络环境的相关流量进行观察，实现对云网络的内部和出入口流量都进行了监控,追踪,引入了自动化的分析策略,针对高危流量的全流程进行收集,然后发出预警警报,提醒相关的人员进行处理。
附图说明
[0018]图1为本专利技术的网络安全策略管控方法的架构图；
[0019]图2为本专利技术的网络安全策略管控方法的流程图；
[0020]图3为本专利技术的数据存储集群流程示意图；
[0021]图4为本专利技术的解析和数据协议过程示意图；
[0022]图5为本专利技术的表示用户的一个简单的操作流程图；
[0023]图6为本专利技术的数据平面代理服务的工作流程图；
[0024]图7为本专利技术的标注了ebpf的数据平面代理服务的工作流程图。
具体实施方式
[0025]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0026]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例；对于相同或相似的概念或过程可能在某些实施例不再赘述。
[0027]请参阅图1和图2，本专利技术的一种基于云原生的网络安全策略管控方法，用在由一个数据存储集群、一个控制集群服务和一群数据平面代理服务组成的系统中，包括如下步骤：
[0028]S100，数据存储集群以每个数据节点为副本，使用Raft协议选举出Leader节点；
[0029]S200，控制集群服务中的控制平面在数据存储集群内选举出的Leader节点提供(发送)给数据平面代理服务；
[0030]S300，数据平面代理服务对控制平面提供的数据进行解析，拆分出流程步骤和功能，再通过ebpf模块(网络数据包过滤的模块)，对服务器的内核进行对应的hook(钩子函
数)操作。
[0031]优选的，在本技术方案中，详细参看图1，数据存储集群，是数据存储节点的集群，以每个数据节点为副本，使用Raft协议(分布式一致性协议)选举出Leader节点(主节点)，使得集群数据保持一致性。具体的选举过程如图3所示，其包括如下步骤：
[0032]S101，初始状态下，未选举主节点，所有节点都是一个从属节点，使用空心圆来表示，从属节点是表示跟随主节点的节点；
[0033]S102，每个节点都会有个随机的超时时间，当超过时间，未发现主节点的时候，从属节点会转变角色，进入为候选者的状态，图3中使用半实心圆来表示，并且这时候，候选人会通知所有节点，发起投票；
[0034]S103，然后从属节点会对发起的投票通知进行投票，当票数超过节点数量的一半的情况下，候选人会转变为主节点，然后主节点会作为写入节点，其它数据也会同步到从属节点上，保持数据的一致性。
[0035]详细参看图1，控制集群服务，是由多个控制平面组成，所有的控制平面通过下发数据到数据平面代理服务，数据平面代理服务对控制平面下发的数据进行解析，拆分为一个个对应的流程步骤和功能，然后通过ebpf模块(网络数据包过滤的模块)，对服务器的内核进行对应的hook(钩子函数)操作，实现控制平面本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于云原生的网络安全策略管控方法，用在由一个数据存储集群、一个控制集群服务和一群数据平面代理服务组成的系统中，其特征在于，包括如下步骤：S100，数据存储集群以每个数据节点为副本，使用分布式一致性协议选举出主节点；S200，控制集群服务中的控制平面在数据存储集群内选举出的主节点提供给数据平面代理服务；S300，数据平面代理服务对控制平面提供的数据进行解析，拆分出流程步骤和功能，再通过网络数据包过滤的模块，对服务器的内核进行对应的hook操作。2.根据权利要求1所述的基于云原生的网络安全策略管控方法，其特征在于，所述数据存储集群，是数据存储节点的集群，以每个数据节点为副本，使用分布式一致性协议选举出主节点。3.根据权利要求2所述的基于云原生的网络安全策略管控方法，其特征在于，选举主节点的过程，其包括如下步骤：S101，初始状态下，未选举主节点，所有节点都是一个从属节点；S102，每个节点都会有个随机的超时时间，当超过时间，未发现主节点的时...

【专利技术属性】
技术研发人员：任杰，
申请(专利权)人：深圳航天智慧城市系统技术研究院有限公司，
类型：发明
国别省市：