本申请涉及一种端口访问控制方法、装置、计算机设备和存储介质。方法包括:获取各容器网络配置场景的配置信息、部署场景、以及活跃访问身份信息,并生成所有容器网络配置场景的对外端口信息;确定每个容器网络配置场景对应的容器网络模式,并筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;基于每个容器网络配置场景的对外端口信息、容器网络模式、以及目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。采用本方法能够提升了对不同配置场景的容器网络的端口访问的安全防护效果。
【技术实现步骤摘要】
本申请涉及云原生容器安全,特别是涉及一种端口访问控制方法、装置、计算机设备和存储介质。
技术介绍
1、随着云原生概念的不断升温,“容器安全”成为一大课题,当前在容器安全领域,容器安全有进行镜像安全、容器配置安全、容器数据安全等方面,各大云厂商提出诸多容器安全方案,而容器安全的主要方向为容器端口的访问安全,因此容器端口的访问安全防控方式是当前的研究重点。
2、传统的容器端口的访问安全防控方式是基于linux iptable工具,设置访问的黑名单,从而对容器端口的访问安全进行安全防控,但是该方式只能限制固定范围的容器端口访问,无法普适化的适用于容器网络配置场景的所有应用范围,从而导致对不同配置场景的容器网络的端口访问的安全防护效果较差。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种端口访问控制方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种端口访问控制方法。所述方法包括:
3、获取各容器网络配置场景的配置信息、每个容器网络配置场景的部署场景、以及每个容器网络配置场景的活跃访问身份信息,并基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息;
4、基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,并基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;
<
p>5、基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。6、可选的,所述基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息,包括:
7、识别每个容器网络配置场景的配置信息中的通信层配置信息,并识别每个通信层配置信息的服务网格配置信息;
8、获取多个服务网格配置策略,并识别每个服务网格配置策略对应的对外端口的数目;
9、筛选最小对外端口的数目对应的服务网格配置策略,作为每个容器网络配置场景的服务网格配置信息的目标服务网格配置策略,并基于所述目标服务网格配置策略,对每个容器网络配置场景的服务网格配置信息进行配置处理,得到每个容器网络配置场景的对外端口信息。
10、可选的,所述基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,包括:
11、识别不同部署场景对应的网段配置信息,并在数据库中,查询每个网段配置信息对应的容器网络模式;
12、基于每个容器网络配置场景的部署场景、每个部署场景对应的网段配置信息、以及每个网段配置信息对应的容器网络模式,分别识别每个容器网络配置场景对应的容器网络模式。
13、可选的,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围之前,还包括:
14、获取容器网络的历史访问信息,得到访问容器网络的各访问身份信息,并识别每个访问身份信息的访问次数、以及每个访问身份信息的访问频率;
15、在各所述访问身份信息中,筛选访问次数大于预设访问次数阈值、且访问频率大于预设访问频率阈值的访问身份信息,作为所述容器网络的活跃访问身份信息,并将所述活跃访问身份信息,作为每个容器网络配置场景的活跃访问身份信息。
16、可选的,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围,包括:
17、响应于用户的身份验证操作,获取每个活跃访问身份信息的身份验证信息,并基于每个活跃访问身份信息的身份验证信息,在各所述活跃访问身份信息中,筛选满足白名单条件的目标授权身份信息;
18、针对每个目标授权身份信息,识别所述活跃访问身份信息的各历史访问信息,并识别每个历史访问信息的访问日志信息;
19、查询每个访问日志信息中,所述目标授权身份信息在容器网络中的访问地址,并将所述目标授权身份信息在容器网络中的所有访问地址,作为所述目标授权身份信息的权限范围。
20、可选的,所述基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略,包括:
21、基于每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,生成每个容器网络配置场景的白名单范围,并基于每个容器网络配置场景的对外端口信息,确定每个目标授权身份信息的目标访问端口;
22、基于每个容器网络配置场景对应的容器网络模式,确定每个容器网络配置场景的连接有效性识别策略,并将每个容器网络配置场景的白名单范围、每个目标授权身份信息的目标访问端口、以及每个容器网络配置场景的连接有效性识别策略,作为每个容器网络配置场景的部署场景对应的目标端口访问策略。
23、第二方面,本申请还提供了一种端口访问控制装置。所述装置包括:
24、获取模块,用于获取各容器网络配置场景的配置信息、每个容器网络配置场景的部署场景、以及每个容器网络配置场景的活跃访问身份信息,并基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息;
25、筛选模块,用于基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,并基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;
26、确定模块,用于基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。
27、可选的,所述获取模块,具体用于:
28、识别每个容器网络配置场景的配置信息中的通信层配置信息,并识别每个通信层配置信息的服务网格配置信息;
29、获取多个服务网格配置策略,并识别每个服务网格配置策略对应的对外端口的数目;
30、筛选最小对外端口的数目对应的服务网格配置策略,作为每个容器网络配置场景的服务网格配置信息的目标服务网格配置策略,并基于所述目标服务网格配置策略,对每个容器网络配置场景的服务网格配置信息进行配置处理,得到每个容器网络配置场景的对外端口信息。
31、可选的,所述筛选模块,具体用于:
...
【技术保护点】
1.一种端口访问控制方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围之前,还包括:
5.根据权利要求1所述的方法,其特征在于,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围,包括:
6.根据权利要求1所述的方法,其特征在于,所述基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略,包括:
7.一种端口访问控制装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
...
【技术特征摘要】
1.一种端口访问控制方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围之前,还包括:
5.根据权利要求1所述的方法,其特征在于,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围,包括:
6.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:费远,张凯磊,谭珂,
申请(专利权)人:中国人寿保险股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。