【技术实现步骤摘要】
本专利技术属于网络安全、分布式系统、零信任,微服务领域,具体的说是一种零信任架构下微服务动态访问控制策略的方法及装置。
技术介绍
1、微服务是近年来企业应用广泛采用的一种部署模式,通过将单体应用划分为一组独立功能的服务,服务之间通过网络相互调用,来提供敏捷,可靠,可复用的功能,为企业用户提供价值。
2、传统的微服务安全策略,一般通过在微服务的数据中心入口部署防火墙和网关,统一进行访问策略控制,其方法主要是通过在网络边界上构建安全边界以实现对南北向流量的访问控制。如今随着企业数据中心工作负载的扩大,内部服务和服务之间相互调用,东西向的流量不断增长,未进行安全防护的内部服务成为非法访问的入口,使得安全风险在内部扩散。
3、如申请公开号为cn114519196a的中国专利公开了一种面向微服务的动态访问控制策略评估方法,包括基于属性的相似度计算方法精简优化策略集和基于匹配树结构进行动态访问控制策略评估两部分,主要针对策略的精简优化、匹配树的构建、以及基于匹配树进行动态策略评估三个阶段,通过使用基于属性的相似度计算方法,细粒度划分并消解了访问控制冲突及冗余策略,减少了无关策略的干扰,通过构建匹配树结构,提高了策略检索匹配效率,同时支持在微服务策略库动态变更的过程中,仅对匹配树中策略更新局部进行维护,其余部分继续进行策略评估,保证了微服务访问控制的安全实施,保护了微服务系统的数据安全。
4、如申请公开号为cn113051602a的中国专利公开了一种基于零信任架构的数据库细粒度访问控制方法,其特征是,用户将
5、以上专利均存在以下问题:1)需要消耗较大的计算资源分析报文;2)在微服务的数据中心入口部署防火墙和网关,统一进行访问策略控制。
技术实现思路
1、针对现有技术的不足,本专利技术提出了一种零信任架构下微服务动态访问控制策略的方法及装置,通过软件定义边界,将传统的基于网络设备的边界,转变为软件定义的逻辑,通过节点的事件追踪器获取微服务运行时上下文事件,上下文管理器采集并聚合事件追踪器上报的上下文信息,并将采集并聚合的上下文信息存储并更新到本地上下文映射表,上下文管理器将聚合后的上下文信息,上报到微服务控制面全局管理器,全局管理器再更新全局上下文映射表,全局管理器根据全局上下文映射表值,判断是否为新增的微服务实例,若是新增的微服务实例,则更新全局tag映射表和本地tag映射表,在节点接收到报文时,报文验证器获取该报文携带的tag,通过本地tag映射表获取该报文对应的微服务上下文信息,查询本地策略表和全局策略表,执行对应的允许或拒绝访问控制策略。
2、为实现上述目的,本专利技术提供如下技术方案:
3、一种零信任架构下微服务动态访问控制策略的方法,包括:
4、步骤s1:通过节点的事件追踪器获取微服务运行时上下文事件中的上下文信息;
5、步骤s2:通过上下文管理器采集并聚合事件追踪器上报的上下文信息,并将采集并聚合的上下文信息存储并更新到本地上下文映射表;
6、步骤s3:上下文管理器将聚合后的上下文信息,上报到微服务控制面全局管理器,全局管理器再更新全局上下文映射表;
7、步骤s4:全局管理器根据全局上下文映射表值,判断是否为新增的微服务实例,若是新增的微服务实例,则更新全局tag映射表和本地tag映射表;
8、步骤s5:在节点接收到报文时,报文验证器获取该报文携带的tag值,通过本地tag映射表获取该报文对应的微服务上下文信息;
9、步骤s6:查询本地策略表和全局策略表,运行决策算法,执行对应的允许或拒绝访问控制策略。
10、具体的,所述步骤s1中事件追踪器包括:进程事件追踪器,socket事件追踪器,扩展事件追踪器,进程事件追踪器采集新建进程运行时进程id、命名空间、运行应用名称的上下文信息,socket事件追踪器通过追踪socket创建、监听、地址绑定事件,扩展事件追踪器通过可热加载的事件追踪器,实现动态可扩展的微服务上下文采集。
11、具体的,所述步骤s1中事件追踪器实现的具体步骤包括:
12、步骤s101:使用即时编译技术编译扩展的伯克利包过滤器;
13、步骤s102:将编译后的伯克利包过滤器字节码热加载到不同内核hook点;
14、步骤s103:完成内核事件的采集并上报到用户空间。
15、具体的,所述步骤s2中上下文管理器的内容具体包括:
16、步骤s201:提供微服务上下文信息的查询通道;
17、步骤s202:从控制面全局管理器获取微服务实例的全局唯一tag值,并存储在内核空间的本地tag值映射表中,供节点上的报文标记器进行查询和标记发送的报文。
18、具体的,所述步骤s202中报文标记器的具体步骤包括:
19、步骤s2021:微服务实例发送报文,报文标记器进行拦截,获取报文信息;
20、步骤s2022:根据报文的<命名空间,源地址,源端口>信息,查询socket元信息表及本地tag映射表,获取报文所属微服务及对应的tag值;
21、步骤s2023:根据部署微服务的网络拓扑,将tag值纪录到ip option字段或者vxlan头部字段,完成tag值标记;
22、步骤s2024:通过节点物理网络接口,将有tag值标记的报文发送到集群微服务中。
23、具体的,所述步骤s5中报文验证器接收报文的具体步骤为:
24、步骤s501:报文验证器接收到发送端微服务发送的报文;
25、步骤s502:从ip option或者vxlan头部解出tag值,并查询本地tag值映射表,判断该tag值对应的表项是否存在且有效;
26、步骤s503:若tag值有效,得到tag值映射表的发送端微服务命名空间值,查询本地上下文表,获取发送端微服务上下文,继续决策流程,若tag值无效,提交该tag值到本地上下文管理器,触发tag映射表同步任务。
27、具体的,所述步骤s6中的具体步骤为:
28、步骤s601:根据报文的<目的接口,目的ip,目的端口>,查询本地socket元信息表,获取接收端的命名空间;
29、步骤s602:查询本地上下文表和本地本文档来自技高网...
【技术保护点】
1.一种零信任架构下微服务动态访问控制策略的方法,其特征在于,包括:
2.如权利要求1所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S1中事件追踪器包括:进程事件追踪器,socket事件追踪器,扩展事件追踪器,进程事件追踪器采集新建进程运行时进程Id、命名空间、运行应用名称的上下文信息,socket事件追踪器通过追踪socket创建、监听、地址绑定事件,扩展事件追踪器通过可热加载的事件追踪器,实现动态可扩展的微服务上下文采集。
3.权利要求2所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S1中事件追踪器实现的具体步骤包括:
4.如权利要求3所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S2中上下文管理器的内容具体包括:
5.如权利要求4所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S202中报文标记器的具体步骤包括:
6.如权利要求5所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S5中报文验证
7.如权利要求6所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S6中的具体步骤为:
8.如权利要求7所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤S604中访问控制策略实现的具体方法包括:
9.一种零信任架构下微服务动态访问控制策略系统,其基于所述权利要求1-8中任一项所述的一种零信任架构下微服务动态访问控制策略的方法实现,其特征在于,包括:微服务调度集群模块、服务节点模块和访问控制模块,
10.如权利要求9所述的一种零信任架构下微服务动态访问控制策略系统,其特征在于,所述服务节点模块包括上下文管理器单元、事件追踪器单元、策略代理单元、报文标记器单元和报文验证器单元,
11.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-8任一项所述的一种零信任架构下微服务动态访问控制策略的方法的步骤。
12.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,当计算机指令运行时执行权利要求1-8任一项所述的一种零信任架构下微服务动态访问控制策略的方法的步骤。
...【技术特征摘要】
1.一种零信任架构下微服务动态访问控制策略的方法,其特征在于,包括:
2.如权利要求1所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤s1中事件追踪器包括:进程事件追踪器,socket事件追踪器,扩展事件追踪器,进程事件追踪器采集新建进程运行时进程id、命名空间、运行应用名称的上下文信息,socket事件追踪器通过追踪socket创建、监听、地址绑定事件,扩展事件追踪器通过可热加载的事件追踪器,实现动态可扩展的微服务上下文采集。
3.权利要求2所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤s1中事件追踪器实现的具体步骤包括:
4.如权利要求3所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤s2中上下文管理器的内容具体包括:
5.如权利要求4所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤s202中报文标记器的具体步骤包括:
6.如权利要求5所述的一种零信任架构下微服务动态访问控制策略的方法,其特征在于,所述步骤s5中报文验证器接收报文的具体步骤为:
7.如权...
【专利技术属性】
技术研发人员:洪钧煌,方宏昊,韩志松,许金旺,王鑫渊,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。