本发明专利技术公开了一种基于零信任环境的负载均衡方法及装置,所述方法应用于零信任安全网关,包括:零信任安全网关获取客户端发送的业务流量;零信任安全网关根据预设流量攻击特征验证业务流量中的业务请求;若确定业务请求验证通过,则零信任安全网关根据负载均衡策略将业务请求发送至目标服务器,以此避免应用服务器受到攻击,提升应用服务器的安全性
【技术实现步骤摘要】
一种基于零信任环境的负载均衡方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种基于零信任环境的负载均衡方法及装置
。
技术介绍
[0002]随着互联网的快速发展和业务量的不断提高,基于网络的业务流量迅速增长
、
网站提供内容和信息的丰富性,导致网站对应的服务器中的数据越来越多
。
另外,网站需要不间断的提供服务,对网站对应的服务器的业务处理能力要求越来越高
。
有方案提出通过扩容的方式来提高业务处理能力,扩容指的是增加服务器的数量,通过多个应用服务器对外提供服务
。
[0003]为了实现多个服务器的负载均衡,需要将业务请求分发到多个应用服务器
。
比如根据反向代理
、
透明代理
、NAT(Network Address Translation)
或
DNS(Domain Name Server)
等方式实现负载均衡
。
然而在上述负载均衡的技术中,存在
DOS(Denial of Service)
攻击
、DDoS(Distributed Denial of Service)
攻击和
SQL(Structured Query Language)
注入攻击等风险,导致服务器存在安全隐患问题
。
技术实现思路
[0004]本专利技术实施例提供一种基于零信任环境的负载均衡方法及装置,用于降低应用服务器被攻击的风险,以此保证应用服务器的安全性
、
实现对应用服务器的安全保护
。
[0005]第一方面,本专利技术实施例提供一种基于零信任环境的负载均衡方法,所述方法应用于零信任环境中的零信任框架,所述零信任框架包括零信任控制器和零信任安全网关,零信任控制器负责生成负载均衡策略,实现负载均衡;零信任安全网关负责执行负载均衡策略和验证业务请求的安全性
。
包括:
[0006]所述零信任安全网关获取客户端发送的业务流量;
[0007]所述零信任安全网关根据预设流量攻击特征验证所述业务流量中的业务请求;
[0008]若确定所述业务请求验证通过,则所述零信任安全网关根据负载均衡策略将所述业务请求发送至目标服务器;所述负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的,表示所述多个应用服务器的流量分配策略,所述目标服务器为所述多个应用服务器中所述负载均衡策略指向的应用服务器
。
[0009]上述技术方案中,业务请求可以是基于用户的操作在终端设备上触发的
。
业务流量包括多个业务请求
。
预设流量攻击特征保存在零信任控制器的攻击特征库中,包含零信任环境下的流量攻击的特征;零信任安全网关与零信任控制器连接,实现攻击特征库的同步,以此根据攻击特征库中的预设流量攻击特征验证业务请求,避免应用服务器因流量攻击导致的无法提供服务
、
宕机等情况,保证应用服务器的安全性
。
[0010]零信任控制器与多个应用服务器连接,进而周期性的获取多个应用服务器的规格信息和负载信息,然后根据多个应用服务器的规格信息和负载信息生成负载均衡策略,并
将生成的负载均衡策略下发到零信任安全网关
。
以使零信任安全网关根据该负载均衡策略将业务请求发送到目标服务器
。
实现在应用服务器的规格信息
、
负载信息或应用服务器的数量发生变化时,不用手动更新多个应用服务器的规格信息
、
负载信息或应用服务器的数量,降低应用服务器的更新成本,并保证负载均衡的准确性
。
[0011]可选的,所述零信任安全网关根据攻击特征库验证所述业务流量中的业务请求,包括:
[0012]所述零信任安全网关针对所述业务流量中的任一业务请求,遍历所述攻击特征库中的预设流量攻击特征,若所述业务请求的流量特征未与所述预设流量攻击特征相匹配,则所述业务请求验证通过;若所述业务请求的流量特征与所述预设流量攻击特征相匹配,则所述业务请求验证不通过
。
[0013]上述技术方案中,预设流量攻击特征是各种针对安全漏洞的流量攻击所具有的不同特征
。
零信任控制器将各种流量攻击特征集合在一起形成攻击特征库,以此保证流量攻击特征的全面性
、
多样性
、
丰富性
。
零信任安全网关通过同步攻击特征库,根据攻击特征库中的预设流量攻击特征对业务请求进行验证,进而保证验证的准确性,提升应用服务器的安全性
。
[0014]可选的,所述负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的,包括:
[0015]所述零信任安全网关周期性的向零信任控制器发送负载指令;所述负载指令用于指示所述零信任控制器确定所述多个应用服务器的规格信息和负载信息,根据所述多个应用服务器的规格信息和负载信息确定所述多个应用服务器的负载权重;所述负载权重表征应用服务器的业务处理能力,所述负载权重与所述业务处理能力成正比;根据所述多个应用服务器的负载权重确定所述负载均衡策略;
[0016]所述零信任安全网关接收所述零信任控制器基于所述负载指令确定的负载均衡策略
。
[0017]上述技术方案中,零信任安全网关会周期性的向零信任控制器发送负载指令
。
零信任控制器与多个应用服务器连接,针对周期性的任一负载指令,响应于该负载指令,获取多个应用服务器的规格信息和负载信息,并根据上述信息确定多个应用服务器的负载权重,再生成负载均衡策略,也就是说,负载均衡策略是周期性生成的,周期性生成的负载均衡策略保证了在应用服务器的规格信息
、
负载信息或应用服务器的数量发生变化时,智能性的更新负载均衡策略,降低应用服务器的更新成本
。
[0018]可选的,根据负载均衡策略将所述业务请求发送至目标服务器,包括:
[0019]所述零信任安全网关解析所述业务请求的域名;
[0020]所述零信任安全网关根据所述业务请求的域名确定处理所述业务请求的多个应用服务器;
[0021]所述零信任安全网关根据所述负载均衡策略从所述多个应用服务器中确定目标服务器,并将所述业务请求发送至所述目标服务器
。
[0022]上述技术方案中,业务请求的域名表示处理该业务请求对应的应用集群
。
零信任安全网关根据业务请求的域名确定处理该业务请求对应的包含多个应用服务器的应用集群,然后根据负载均衡策略将该业务服务器发送至多个应用服务器中的目标服务器,以此
实现应用服务器的负载均衡,避免一部分应用服务器因分配的业务请求超过其负载能力而过载,另一部分的应用服务器无负载的情况
。
[0023]可选的,所述零信任安全网关获本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于零信任环境的负载均衡方法,其特征在于,所述方法应用于零信任安全网关,包括:所述零信任安全网关获取客户端发送的业务流量;所述零信任安全网关根据预设流量攻击特征验证所述业务流量中的业务请求;若确定所述业务请求验证通过,则所述零信任安全网关根据负载均衡策略将所述业务请求发送至目标服务器;所述负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的,表示所述多个应用服务器的流量分配策略,所述目标服务器为所述多个应用服务器中所述负载均衡策略指向的应用服务器
。2.
如权利要求1所述的方法,其特征在于,所述零信任安全网关根据预设流量攻击特征验证所述业务流量中的业务请求,包括:所述零信任安全网关针对所述业务流量中的任一业务请求,遍历攻击特征库中的预设流量攻击特征,若所述业务请求的流量特征未与所述预设流量攻击特征相匹配,则所述业务请求验证通过;若所述业务请求的流量特征与所述预设流量攻击特征相匹配,则所述业务请求验证不通过
。3.
如权利要求1所述的方法,其特征在于,所述负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的,包括:所述零信任安全网关周期性的向零信任控制器发送负载指令;所述负载指令用于指示所述零信任控制器确定所述多个应用服务器的规格信息和负载信息,根据所述多个应用服务器的规格信息和负载信息确定所述多个应用服务器的负载权重;所述负载权重表征应用服务器的业务处理能力,所述负载权重与所述业务处理能力成正比;根据所述多个应用服务器的负载权重确定所述负载均衡策略;所述零信任安全网关接收所述零信任控制器基于所述负载指令确定的负载均衡策略
。4.
如权利要求1所述的方法,其特征在于,所述零信任安全网关根据负载均衡策略将所述业务请求发送至目标服务器,包括:所述零信任安全网关解析所述业务请求的域名;所述零信任安全网关根据所述业务请求的域名确定处理所述业务请求的多个应用服务器;所述零信任安全网关根据所述负载均衡策略从所述多个应用服务器中确定目标服务器,并将所述业...
【专利技术属性】
技术研发人员:陈文华,蒋春元,王爱宝,陈鸿杰,李志龙,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。