【技术实现步骤摘要】
本专利技术涉及网络信息安全,具体而言,涉及一种微隔离防护方法、装置、存储介质及电子设备。
技术介绍
1、随着云计算、虚拟化技术的快速发展,企业内部网络的架构从传统的it架构向虚拟化、混合云和容器化升级变迁。为了满足新的it架构的安全防护要求,微隔离技术应运而生。kubernetes(简称k8s)集群是由主节点(master节点)和多个从节点(node节点)组建而成的容器微服务环境,是当前容器化的主流部署方案,也是微隔离技术的主要应用场景。微隔离系统由策略控制中心(controller)和策略执行单元(agent)组成,前者是微隔离系统的中心大脑,可以配置微隔离策略;后者是执行流量数据监测和隔离策略的工作单元,一般以pod(pod是k8s集群中的最小的资源管理组件)形态部署在k8s的各个节点服务器上。
2、由于k8s pod动态变化频繁,ip地址不固定,不同k8s集群可能出现相同ip的pod,导致传统按照ip地址管理的防火墙策略很难应用。目前,相关技术中是通过域名系统dns(一种用于管理域名和ip地址的对应关系的分布式数据库)在controller侧获取预先配置的ip地址与域名之间的映射关系,并同步到所有agent做域名过滤,实现对k8s集群的安全防护,由于controller侧对k8s集群内dns映射关系的变更没有实时感知能力,实时性较差,并且在controller所在主机无法感知到全部节点的dns server配置情况,存在获取的映射关系不准确导致对数据包的过滤准确性较低的问题。
3、针对上述的问题,目
技术实现思路
1、本专利技术实施例提供了一种微隔离防护方法、装置、存储介质及电子设备,以至少解决现有技术中采用通过域名系统在控制中心侧获取预先配置的ip地址与域名之间的映射关系的方式对k8s集群进行数据包过滤安全防护,存在获取的映射关系不准确导致对数据包的过滤准确性较低的技术问题。
2、根据本专利技术实施例的一个方面,提供了一种微隔离防护方法,包括:在目标微隔离防火墙接收到第一对象发送的网络请求的情况下,通过目标微隔离防火墙的执行单元确定网络请求对应的目标域名,其中,网络请求包括请求地址,执行单元部署于k8s集群的每个节点服务器;通过执行单元获取目标微隔离防火墙的隔离策略,依据隔离策略和目标域名,确定对网络请求的目标处理策略,其中,目标处理策略为以下之一:允许访问、拒绝访问;依据目标处理策略对网络请求进行防护处理,得到处理结果,其中,处理结果用于表征是否过滤了网络请求对应的网络数据包。
3、进一步地,通过目标微隔离防火墙的执行单元确定网络请求对应的目标域名,包括:通过执行单元依据netfilter机制将节点服务器上接收到的多个dns响应报文输入用户态,以在用户态的处理进程中解析得到每个dns响应报文对应的ip地址和ip地址对应的第一域名,并对ip地址与第一域名之间的映射关系进行缓存;通过执行单元依据netfilter机制将网络请求对应的网络数据包输入用户态,以使用户态的处理进程依据ip地址与第一域名之间的映射关系以及请求地址,从多个第一域名中确定目标域名。
4、进一步地,依据隔离策略和目标域名,确定对网络请求的目标处理策略,包括:获取目标缓存信息,并判断目标缓存信息中是否存在与目标域名相同的缓存域名,得到判断结果;在判断结果为不存在相同的缓存域名的情况下,获取隔离策略对应的域名清单,其中,域名清单包括多个预设域名和每个预设域名对应的访问规则;对目标域名与域名清单中的预设域名进行匹配,得到与目标域名相同的目标预设域名,并将目标预设域名对应的访问规则作为目标访问规则;依据目标访问规则,确定对网络请求的目标处理策略。
5、进一步地,目标缓存信息包括历史处理清单、第一类型域名数据清单以及第二类型域名数据清单,第一类型域名对应的处理频率大于第二类型域名对应的处理频率,其中,判断目标缓存信息中是否存在与目标域名相同的缓存域名,得到判断结果,包括:获取历史处理清单,并对目标域名与历史处理清单中的历史处理域名进行匹配;若未匹配到与目标域名相同的历史处理域名,则获取第一类型域名数据清单,并对目标域名与第一类型域名数据清单中的第一类型域名进行匹配;若未匹配到与目标域名相同的第一类型域名,则获取第二类型域名数据清单,并对目标域名与第二类型域名数据清单中的第二类型域名进行匹配;若未匹配到与目标域名相同的第二类型域名,则将不存在相同的缓存域名作为判断结果。
6、进一步地,在目标微隔离防火墙接收到第一对象发送的网络请求之前,该方法还包括:通过目标微隔离防火墙的控制中心配置k8s集群的第一资源对象和第二资源对象,其中,第一资源对象用于存储域名信息,第二资源对象用于存储隔离策略。
7、进一步地,在依据目标处理策略对网络请求进行防护处理,得到处理结果之后,该方法还包括:对网络请求对应的网络数据包、请求地址以及处理结果进行缓存,以使目标微隔离防火墙再次接收到网络请求对应的网络数据包时,依据请求地址从缓存中获取处理结果,并依据处理结果对网络请求对应的网络数据包进行处理。
8、进一步地,对网络请求对应的网络数据包、请求地址以及处理结果进行缓存,包括:判断目标域名的类型是否属于预设类型,若目标域名不属于预设类型,则将网络请求对应的网络数据包、请求地址以及处理结果存储于历史处理清单,其中,预设类型至少包括第一类型和第二类型;若目标域名的类型属于第一类型,则将网络请求对应的网络数据包、请求地址以及处理结果存储于第一类型域名数据清单;若目标域名的类型属于第二类型,则将网络请求对应的网络数据包、请求地址以及处理结果存储于第二类型域名数据清单。
9、根据本专利技术实施例的另一方面,还提供了一种微隔离防护装置,包括:第一确定模块,用于在目标微隔离防火墙接收到第一对象发送的网络请求的情况下,通过目标微隔离防火墙的执行单元确定网络请求对应的目标域名,其中,网络请求包括请求地址,执行单元部署于k8s集群的每个节点服务器;第二确定模块,用于通过执行单元获取目标微隔离防火墙的隔离策略,依据隔离策略和目标域名,确定对网络请求的目标处理策略,其中,目标处理策略为以下之一:允许访问、拒绝访问;处理模块,用于依据目标处理策略对网络请求进行防护处理,得到处理结果,其中,处理结果用于表征是否过滤了网络请求对应的网络数据包。
10、根据本专利技术实施例的另一方面,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的微隔离防护方法。
11、根据本专利技术实施例的另一方面,还提供了一种电子设备,该电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的微隔离防护方法。
12、在本专利技术实施例中,采用在数据访问过程中进行截流过滤的方式,首先在目标微隔离防火墙接本文档来自技高网...
【技术保护点】
1.一种微隔离防护方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过所述目标微隔离防火墙的执行单元确定所述网络请求对应的目标域名,包括:
3.根据权利要求1所述的方法,其特征在于,依据所述隔离策略和所述目标域名,确定对所述网络请求的目标处理策略,包括:
4.根据权利要求3所述的方法,其特征在于,所述目标缓存信息包括历史处理清单、第一类型域名数据清单以及第二类型域名数据清单,第一类型域名对应的处理频率大于第二类型域名对应的处理频率,其中,判断所述目标缓存信息中是否存在与所述目标域名相同的缓存域名,得到判断结果,包括:
5.根据权利要求1所述的方法,其特征在于,在目标微隔离防火墙接收到第一对象发送的网络请求之前,所述方法还包括:
6.根据权利要求1至5任一项所述的方法,其特征在于,在依据所述目标处理策略对所述网络请求进行防护处理,得到处理结果之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,对所述网络请求对应的网络数据包、所述请求地址以及所述处理结果进行缓存,包括:
<...【技术特征摘要】
1.一种微隔离防护方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过所述目标微隔离防火墙的执行单元确定所述网络请求对应的目标域名,包括:
3.根据权利要求1所述的方法,其特征在于,依据所述隔离策略和所述目标域名,确定对所述网络请求的目标处理策略,包括:
4.根据权利要求3所述的方法,其特征在于,所述目标缓存信息包括历史处理清单、第一类型域名数据清单以及第二类型域名数据清单,第一类型域名对应的处理频率大于第二类型域名对应的处理频率,其中,判断所述目标缓存信息中是否存在与所述目标域名相同的缓存域名,得到判断结果,包括:
5.根据权利要求1所述的方法,其特征在于,在目标微隔离防火墙接收到第一对象发送的网络请求之前,所述方法还包括:
6.根据权利要求1至5任一项所述的方法...
【专利技术属性】
技术研发人员:李亚琼,蔡炜,崔应杰,朝乐蒙,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。