通过公共IP地址展示的云应用的配置被复制,进行修改以包括私有IP地址以向内部展示应用。原始配置被更新,使得发送到应用的外部网络流量被重定向到在云集群的节点上运行的代理,并且跨这些代理分布,通过所述代理实现web应用防火墙(WAF)。基于集群度量,例如网络和资源利用率度量,选择代理的集合,所述代理的集合的各个WAF应该检查重定向的网络流量。重定向的网络流量以分配给代理的端口为目标,该端口对于应用是独特的,其中端口是在每个应用的基础上分配的,因此每个代理可以支持多个应用的WAF保护。WAF允许通过的网络流量通过其私有IP地址从代理定向到应用。IP地址从代理定向到应用。IP地址从代理定向到应用。
【技术实现步骤摘要】
【国外来华专利技术】针对云原生应用的动态可缩放应用防火墙部署
技术介绍
[0001]本公开总体上涉及电子数字数据处理,并且涉及用于保护计算机、其组件、程序或数据免受未授权活动影响的安全装置。
[0002]以应用层进程为目标的攻击称为应用层攻击。为了保护应用免受应用层攻击,可以通过部署应用防火墙来保护应用及其应用编程接口(API),或者在web应用的情况下,部署web应用防火墙(WAF)。对于在云环境中运行的web应用,可以部署基于云的WAF来抵御应用层攻击。云应用不同于传统的软件应用,因为应用托管在云中而不是本地,并且可以通过互联网访问。由于朝云计算的发展趋势,应用通常被开发为云原生的,或者被设计为在云环境中运行。云原生应用可以由松散耦合的服务/微服务组成,是容器化的应用,其被设计为部署到云集群的节点,应用将在云集群上运行并由容器编排平台进行管理。
[0003]容器编排平台通常提供促进向外部(即,可由集群外的实体访问)或内部(即,可由集群内的实体访问)展示云应用的功能。例如,云提供商可以通过将公共互联网协议(IP)地址分配给云应用的一个或多个容器的组来向外部展示云应用。源自集群外部的实体的网络流量然后经由公共IP地址被路由到云应用,并且由集群外部的负载平衡器(例如,由云提供商控制的负载平衡器)跨云应用的容器进行负载平衡。如果不期望公开展示,则可以通过将私有IP地址分配给云应用的一个或多个容器的组,使得云应用可被集群内的实体访问。然后,源自集群内的网络流量的负载平衡可以由容器编排平台本身来管理。
附图说明
[0004]通过参考附图,可以更好地理解本公开的实施例。
[0005]图1描绘了用于保护在云环境中运行的应用的WAF的动态可缩放部署的示例概念图。
[0006]图2描绘了基于其上运行云应用的集群内观察到的条件,动态缩放可用于保护云应用的部署WAF实例的示例概念图。
[0007]图3描绘了用于为运行在集群上的云应用执行可缩放WAF部署的示例操作的流程图。
[0008]图4
‑
5描绘了用于跨集群节点动态缩放可用于云应用的网络流量检查的WAF实例的示例操作的流程图。
[0009]图6描绘了用于动态部署和缩放可用于保护云应用的WAF实例的示例操作的流程图。
[0010]图7描绘了用于动态部署WAF以保护运行在云中集群的一个或多个节点上的应用的示例操作的流程图。
[0011]图8描绘了用于动态部署和缩放指定用于WAF保护的应用的WAF实例的示例操作的流程图。
[0012]图9描绘了具有WAF部署管理器的示例计算机系统。
具体实施方式
[0013]以下描述包括体现本公开的各方面的示例系统、方法、技术和程序流程。然而,应当理解,本公开可以在没有这些具体细节的情况下实施。例如,在说明性示例中,本公开涉及传输控制协议(TCP)端口。本公开的方面可以替代地应用于用于其他传输层协议的端口,例如用户数据报协议(UDP)端口。在其他实例中,为了不混淆描述,没有详细示出众所周知的指令实例、协议、结构和技术。
[0014]概观
[0015]已经开发了一种技术来跨云集群的节点动态地部署和缩放WAF,具有对云原生应用(以下称为“云应用”或“应用”)的容器运行在其上的底层基础设施的最小影响。基于在集群内观察到的条件,自动缩放活动WAF实例以检查针对应用的流量,使得客户不需要手动管理WAF实例的缩放或分布来有效地保护他们的应用。利用这里描述的解决方案,WAF通过代理来实现和实例化,其中代理在云集群的每个节点上运行。通过动态地标记每个代理容器,以指示通过代理部署的WAF应该基于观察到的条件(例如网络流量的量和节点资源利用率)检查截取的网络流量的(一个或多个)应用,每个应用可用的WAF实例的数量可以动态地扩增或缩减,以适应集群的条件。
[0016]在检测到向外部展示的应用之后,生成该应用的副本配置,其中修改为包括用于访问该应用的私有IP地址而不是公共IP地址,使得该应用在集群内被内部展示。更新向外部展示应用的原始配置,使得从外部源发送到应用的网络流量被重定向到在群集节点上运行的代理,并跨这些代理分布。可以选择网络流量将被重定向到的代理,并且基于所测量的指向应用的网络流量和/或跨云集群的可用节点的资源利用率来指定应用附着的标签。例如,较高的负载可以促使选择和相应地标记所有可用的代理,使得网络流量可以跨节点分布而没有压倒性的可用资源,而如果应用正在经历较低的流量,则可以选择和标记代理的子集。将独特的端口分配给代理,代理可以在该端口上接收从应用重定向的网络流量,其中基于每个应用来分配端口,使得代理可以基于端口号和分配给代理的标签的组合来区分对应于不同应用的网络流量。然后,WAF允许通过的网络流量可以通过私有IP地址从集群内定向到应用,这向内部而不是外部展示应用。因为去往应用的网络流量可以被路由到的可用WAF实例的数量与应用负载和应用在其上运行的节点的资源利用率相关,所以动态缩放WAF实例有助于节约集群内的资源利用率。与为附加的应用部署附加的代理相反,通过为不同的应用分配独特的端口和标签,运用一个代理为在节点上运行的多个应用提供WAF保护,从而进一步节省了资源利用率。
[0017]示例说明
[0018]图1描绘了用于保护在云环境中运行的应用的WAF的动态可缩放部署的示例概念图。应用101和应用103中的每一个的两个复制品被部署到云108并在集群115上运行。应用101、103可以是云原生应用。如这里所使用的,“云原生应用”和“云应用”指的是在云中运行的容器化应用。云108可以是公共云、私有云或云服务提供商提供的私有云。集群115包括工作者节点105A和工作者节点105B。工作者节点105A、105B可以是为在云108中运行容器化的应用(例如,容器运行时)提供资源的物理机器或虚拟机。集群115外部的负载平衡器116在工作者节点105A、105B之间分布流量。负载平衡器116可以是由云服务提供商控制的外部负载平衡器。
[0019]集群115还包括主节点125。主节点125包括管理应用101、103的部署和调度以及工作者节点105A、105B的配置的组件(例如,控制平面组件)。主节点125还维护集群115的数据的储存库126,例如指定应用101、103的部署的配置(例如,复制品的数量)的配置文件。WAF部署管理器109在主节点125上执行。WAF部署管理器109管理集群115内WAF实例的部署和缩放,其中WAF经由在工作者节点105A、105B中每一个上执行的应用安全代理(“代理”)来部署。具体地,代理107A在工作者节点105A上执行,并且代理107B在工作者节点105B上执行。代理107A、107B可以经由由主节点125展示给工作者节点105A、105B的容器编排平台的API 127与主节点125通信。
[0020]在该示例中,代理107A、107B被部署到工作者节点105A、105B中相应的一个,作为容器化的应用。应用101、103和代理107A、107B本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:识别在云集群的一个或多个节点上运行的向外部展示的云应用,云应用具有第一配置;修改第一配置以在分配给一个或多个代理的第一端口上将去往云应用的网络流量重定向到一个或多个代理,其中每个代理在一个或多个节点中的相应
‑
个上执行,并且已经实例化了可用于云应用的web应用防火墙;确定由代理收集的多个度量中的第一度量是否满足第一标准,所述第一标准用于修改其上web应用防火墙可用于云应用的代理的数量;以及基于确定第一度量满足第一标准,修改其上web应用防火墙可用于云应用的代理的数量。2.根据权利要求1所述的方法,其中第一标准包括对应于第一度量的最大值的阈值,其中确定第一度量是否满足第一标准包括确定第一度量是否超过阈值,并且其中修改代理的数量包括增加其上web应用防火墙可用于云应用的代理的数量。3.根据权利要求1所述的方法,其中第一标准包括第一度量的最小值,其中确定第一度量是否满足第一标准包括确定第一度量是否低于最小值,并且其中修改代理的数量包括减少其上web应用防火墙可用于云应用的代理的数量。4.根据权利要求1所述的方法,还包括:至少部分地基于拷贝第一配置并用分配给云应用的私有网络地址替换云应用的公共网络地址,为云应用生成第二配置,以利用私有网络地址在云集群内向内部展示云应用;以及修改代理的配置,以经由云应用的私有网络地址将被允许通过web应用防火墙的网络流量定向到云应用。5.根据权利要求1所述的方法,还包括将指定云应用的标签与至少代理子集中每一个代理的容器相关联,其中标签指定在代理子集中每一个代理上实例化的web应用防火墙对云应用可用。6.根据权利要求5所述的方法,其中修改代理的数量包括将标签与除代理子集之外的代理的容器相关联,或者从代理子集的至少第一容器中移除标签。7.根据权利要求5所述的方法,其中修改代理的数量包括向云集群添加已经部署了附加代理的节点,并且将标签与附加代理的容器相关联,或者将一个或多个节点中的第一节点的状态从活动改变为空闲。8.根据权利要求1所述的方法,还包括:基于识别在一个或多个节点上运行的向外部展示的第二云应用,修改第二云应用的配置,以在分配给一个或多个代理的第二端口上将去往第二云应用的网络流量重定向到一个或多个代理,其中第二端口不同于第一端口。9.根据权利要求1所述的方法,其中多个度量包括指示一个或多个节点中的每一个的存储器利用率、一个或多个节点中的每一个的中央处理单元(CPU)利用率以及定向到...
【专利技术属性】
技术研发人员:L,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。