一种端到端网络安全微隔离系统及方法技术方案

本发明专利技术提供的端到端网络安全微隔离系统及方法，系统包括：每个业务服务器包括可信组件和业务服务单元；可信组件获取服务注册请求，并将服务注册请求发送给网关；对第一客户流量进行处理，以得到第二客户流量，将第二客户流量发送给业务服务单元；业务服务单元对第二客户流量进行业务处理；网关根据服务注册请求完成注册后，建立与可信组件之间的可信隧道；对客户原始流量进行处理，以得到第一客户流量，根据管理策略将第一客户流量通过可信隧道发送给对应的可信组件；每个客户端包括可信工具包；可信工具包获取客户原始流量，将客户原始流量发送至网关。该系统能够对业务流量的来源、内容进行精细化管控，实现了企业业务端到端的全链路防护。到端的全链路防护。到端的全链路防护。

【技术实现步骤摘要】
一种端到端网络安全微隔离系统及方法


[0001]本专利技术属于网络安全
，具体涉及一种端到端网络安全微隔离系统及方法。

技术介绍

[0002]随着企业数字化转型加速，企业线上业务越来越多，现有的企业业务网络架构基本上均采用传统的端到端(即客户端－>防火墙－>服务器)架构，参见图1。业务终端通过外网接入，进入企业内部的网络中间防护，最终到达业务服务器。一旦业务终端与业务服务器的网络链路正常建立，业务终端的流量将正常到达业务服务器，业务服务器完全对业务终端放开，企业很难对业务服务器进行威胁防护，即使企业本身存在入侵防护检测，但是很多敏感操作依旧无法管控，只能寄托业务服务器本身的防护能力，业务服务器的安全依旧受到诸多威胁。
[0003]现有的端到端网络流入型架构，不仅部署繁杂，企业网络管理需要开通各种防火墙策略。而且不能对是否存在业务API级别的威胁做到提前预警以及防护，无法真正的做到业务级别的防护。当攻击者使用社攻手段与业务服务器建立正常网络链路，此时可以通过API级别的攻击使得业务服务器瘫痪，给企业数字化转型带来巨大威胁。

技术实现思路

[0004]针对现有技术中的缺陷，本专利技术提供一种端到端网络安全微隔离系统及方法，能够对业务流量进行精细化管控，实现了企业业务的全链路防护。
[0005]第一方面，一种端到端网络安全微隔离系统，包括：
[0006]多个业务服务器：每个业务服务器包括可信组件和业务服务单元；可信组件用于获取服务注册请求，并将服务注册请求发送给网关；可信组件还用于对第一客户流量进行处理，以得到第二客户流量，将第二客户流量发送给业务服务单元；业务服务单元用于对第二客户流量进行业务处理；
[0007]网关：用于根据服务注册请求完成注册后，建立与可信组件之间的可信隧道；网关还用于对客户原始流量进行处理，以得到第一客户流量，根据管理策略将第一客户流量通过可信隧道发送给对应的可信组件；
[0008]多个客户端：每个客户端包括可信工具包；可信工具包用于获取客户原始流量，将客户原始流量发送至网关。
[0009]进一步地，还包括：
[0010]管理平台：设置有多个管理策略；管理平台用于将管理策略发送给网关。
[0011]进一步地，网关对客户原始流量进行的处理包括以下至少一种：
[0012]身份校验、流量检测、访问控制、API分析。
[0013]进一步地，可信组件对第一客户流量进行的处理包括以下至少一种：
[0014]加解密、加解压、数据校验。
[0015]进一步地，可信组件还用于：
[0016]当检测到业务服务单元存在敏感操作或服务宕机时，对敏感操作进行预警、阻断，或对业务服务单元进行重启。
[0017]第二方面，一种端到端网络安全微隔离方法，包括：
[0018]业务服务器中可信组件获取服务注册请求，并将服务注册请求发送给网关；
[0019]网关根据服务注册请求完成注册后，建立与可信组件之间的可信隧道；
[0020]客户端中可信工具包获取客户原始流量，将客户原始流量发送至网关；
[0021]网关对客户原始流量进行处理，以得到第一客户流量，根据管理策略将第一客户流量通过可信隧道发送给对应的可信组件；
[0022]业务服务器中可信组件对第一客户流量进行处理，以得到第二客户流量，将第二客户流量发送给业务服务器的业务服务单元；
[0023]业务服务器中业务服务单元对第二客户流量进行业务处理。
[0024]进一步地，在网关对客户原始流量进行处理之前，还包括：
[0025]管理平台将管理策略发送给网关。
[0026]进一步地，网关对客户原始流量进行的处理包括以下至少一种：
[0027]身份校验、流量检测、访问控制、API分析。
[0028]进一步地，可信组件对第一客户流量进行的处理包括以下至少一种：
[0029]加解密、加解压、数据校验。
[0030]进一步地，在业务服务器中业务服务单元对第二客户流量进行业务处理之后，还包括：
[0031]可信组件当检测到业务服务单元存在敏感操作或服务宕机时，对敏感操作进行预警、阻断，或对业务服务单元进行重启。
[0032]由上述技术方案可知，本专利技术提供的端到端网络安全微隔离系统及方法，客户端集成可信工具包，实现了客户端业务网络资源的统一管理，客户的无感知使用。业务服务器部署可信组件，从传统的网络流入转变为网络流出，实现了与业务本身的低耦合、高可控，提升了服务的安全性和可用性。该系统实现了一种业务端到客户端的网络安全微隔离技术，通过对网络架构的优化实现了对业务端API级别的安全防护，能够对业务流量的来源、内容进行精细化管控，实现了企业业务端到端的全链路防护。
附图说明
[0033]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。
[0034]图1为
技术介绍
提供的传统的端到端架构的示意图。
[0035]图2为实施例提供的端到端网络安全微隔离系统的框图。
[0036]图3为实施例提供的端到端网络安全微隔离系统的流程图。
具体实施方式
[0037]下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于
更加清楚地说明本专利技术的技术方案，因此只作为示例，而不能以此来限制本专利技术的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。
[0038]应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
[0039]还应当理解，在此本专利技术说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本专利技术。如在本专利技术说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
[0040]如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
[0041]实施例：
[0042]一种端到端网络安全微隔离系统，参见图2、3，包括：
[0043]多个业务服务器：每个业务服务器包括可信组件和业务服务单元；可信组件用于获取服务注册请求，并本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种端到端网络安全微隔离系统，其特征在于，包括：多个业务服务器：每个业务服务器包括可信组件和业务服务单元；所述可信组件用于获取服务注册请求，并将所述服务注册请求发送给网关；所述可信组件还用于对第一客户流量进行处理，以得到第二客户流量，将所述第二客户流量发送给所述业务服务单元；所述业务服务单元用于对所述第二客户流量进行业务处理；网关：用于根据所述服务注册请求完成注册后，建立与所述可信组件之间的可信隧道；所述网关还用于对客户原始流量进行处理，以得到第一客户流量，根据管理策略将所述第一客户流量通过所述可信隧道发送给对应的所述可信组件；多个客户端：每个客户端包括可信工具包；所述可信工具包用于获取客户原始流量，将所述客户原始流量发送至所述网关。2.根据权利要求1所述端到端网络安全微隔离系统，其特征在于，还包括：管理平台：设置有多个所述管理策略；所述管理平台用于将所述管理策略发送给所述网关。3.根据权利要求1所述端到端网络安全微隔离系统，其特征在于，所述网关对客户原始流量进行的处理包括以下至少一种：身份校验、流量检测、访问控制、API分析。4.根据权利要求1所述端到端网络安全微隔离系统，其特征在于，所述可信组件对第一客户流量进行的处理包括以下至少一种：加解密、加解压、数据校验。5.根据权利要求1所述端到端网络安全微隔离系统，其特征在于，所述可信组件还用于：当检测到业务服务单元存在敏感操作或服务宕机时，对所述敏感操作进行预警、阻断，或对业务服务单元...

【专利技术属性】
技术研发人员：易亮，汪善富，任艳，王志，祝青柳，
申请(专利权)人：深圳市联软科技股份有限公司，
类型：发明
国别省市：