【技术实现步骤摘要】
本专利技术涉及云计算的云原生网络,特别是一种基于istio零信任云原生网络方法。
技术介绍
1、istio是在kubernetes之上构建的开源服务网格,它提供了一种简单的方式来管理分布式服务,提供流量管理、负载均衡、安全度量等功能。它为服务间的通信提供了高度的可见性和控制,为开发人员和运维人员提供了更好的管理能力。在istio中,管理员可以配置哪些服务可以相互通信,以及使用什么样的身份认证和身份验证机制。istio支持传输层安全、a/b测试、流量管理和灰度发布,与kubernetes无缝集成。
2、零信任网络是一种不向用户、设备和服务授予隐式信任的安全范式,并持续验证其身份和访问资源的授权。零信任网络认为,互联网是不受信任的,需要保护每个请求,而不是重点关注周界,即企业内网与外网的边界。在零信任网络这种安全模型中,每个服务都是一个不可信任的主体,必须通过身份认证、无状态认证、数据加密等措施来保护请求。
3、随着云原生技术的发展,越来越多的企业将应用和服务迁移至云上,而这些应用程序和服务所需的网络安全性也急需提高。传统的网络安全模型通常采用“周界”实现,但这种模式已经不能满足现代应用的安全需求。
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种基于istio零信任云原生网络方法,基于特定签名的数字证书完成双向mtls加密通信,结合istio相关组件和网络策略,提高云原生网络安全性。
2、为实现上述目的,本专利技术采用如下技术方案:一种基于
3、步骤s01:为云原生环境中的各实体生成经签名认证特定的数字证书;
4、步骤s02:集群节点默认关闭所有出入口流量并配置相关访问策略;
5、步骤s03:使用istio服务组件代理云原生网络各个service workload;
6、步骤s04:云原生网络中各个workload间采用双向mtls加密通信;
7、步骤s05:创建基于istio的访问策略并通过控制中心的pilot将授权策略和其他安全配置分发给workload的边车组件;
8、步骤s06:依据基于特定的数字证书的双向mtls加密通信和给定的istio网络策略组建零信任的云原生网络。
9、在一较佳的实施例中,步骤s01中,利用pki公钥基础设施为云原生网络中各实体颁发签名的数字证书,为每个实体提供可信的身份验证,只有授权的实体才能访问云原生网络。
10、在一较佳的实施例中,步骤s02中,利用云原生网络插件如calico提供基于osi七层参考模型的l3~l4级别的网络节点访问策略。
11、在一较佳的实施例中,步骤s02中,通过基于特定网络插件的访问策略,控制云原生网络各集群节点的所有出入口访问流量,拦截一切未经过认证的访问流量,保证云原生网络集群内workload的安全可控性。
12、在一较佳的实施例中,步骤s03中,通过istio服务相关组件封装云原生网络中各个service workload,关闭各service默认出入口中流量,提供基于osi七层参考模型的l4~l7级别的网络节点访问策略。
13、在一较佳的实施例中,步骤s04中,云原生网络中各个workload依据步骤s01颁发的数字证书采用双向mtls加密通信,保证了网络中各个实体的可信度。
14、在一较佳的实施例中,步骤s05中,采用基于istio的访问控制策略,并通过控制中心的pilot将授权策略和其他安全配置分发给workload的边车组件,为云原生网络中的workload提供基于osi七层参考模型的l4~l7级别的访问控制。
15、本专利技术还提供了一种基于istio零信任云原生网络方法的系统,运行所述的一种基于istio零信任云原生网络方法。
16、本专利技术还提供了一种计算机设备,包括:
17、处理器、存储器和总线,所述存储器存储有所述处理器执行的机器可读指令;
18、当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如所述的一种基于istio零信任云原生网络方法。
19、本专利技术还提供了一种计算机可读存储介质,包括:
20、该计算机可读存储介质上存储有计算机程序;
21、该计算机程序被处理器运行时执行如所述的一种基于istio零信任云原生网络方法。
22、与现有技术相比,本专利技术具有以下有益效果:本专利技术基于特定签名的数字证书完成双向mtls加密通信,结合istio相关组件和网络策略,提供基于osi七层参考模型的l3~l7级别更加灵活的访问控制策略,提高云原生网络安全性和健壮性。
23、本专利技术结合云原生网络插件和istio相关组件,创建特定的网络策略,提供基于osi七层参考模型的l3~l7级别更加灵活的访问控制策略
24、本专利技术通过pki公钥设施机制,增加了用户身份验证。
25、该系统的新颖性在于:本专利技术通过特定签名的数字证书,支持国密算法,增强身份验证,结合云原生网络插件和istio相关组件和网络策略,提供基于osi七层参考模型的l3~l7级别更加灵活的访问控制策略。
本文档来自技高网...【技术保护点】
1.一种基于Istio零信任云原生网络方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S01中,利用PKI公钥基础设施为云原生网络中各实体颁发签名的数字证书,为每个实体提供可信的身份验证,只有授权的实体才能访问云原生网络。
3.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S02中,利用云原生网络插件如Calico提供基于OSI七层参考模型的L3~L4级别的网络节点访问策略。
4.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S02中,通过基于特定网络插件的访问策略,控制云原生网络各集群节点的所有出入口访问流量,拦截一切未经过认证的访问流量,保证云原生网络集群内Workload的安全可控性。
5.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S03中,通过Istio服务相关组件封装云原生网络中各个Service Workload,关闭各Service默认出入口中流量,提供基于OS
6.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S04中,云原生网络中各个Workload依据步骤S01颁发的数字证书采用双向mTLS加密通信,保证了网络中各个实体的可信度。
7.根据权利要求1所述的一种基于Istio零信任云原生网络方法,其特征在于,步骤S05中,采用基于Istio的访问控制策略,并通过控制中心的Pilot将授权策略和其他安全配置分发给Workload的边车组件,为云原生网络中的Workload提供基于OSI七层参考模型的L4~L7级别的访问控制。
8.一种基于Istio零信任云原生网络方法的系统,其特征在于,运行如上述权利要求1-7中任意一项所述的一种基于Istio零信任云原生网络方法。
9.一种计算机设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,包括:
...【技术特征摘要】
1.一种基于istio零信任云原生网络方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于istio零信任云原生网络方法,其特征在于,步骤s01中,利用pki公钥基础设施为云原生网络中各实体颁发签名的数字证书,为每个实体提供可信的身份验证,只有授权的实体才能访问云原生网络。
3.根据权利要求1所述的一种基于istio零信任云原生网络方法,其特征在于,步骤s02中,利用云原生网络插件如calico提供基于osi七层参考模型的l3~l4级别的网络节点访问策略。
4.根据权利要求1所述的一种基于istio零信任云原生网络方法,其特征在于,步骤s02中,通过基于特定网络插件的访问策略,控制云原生网络各集群节点的所有出入口访问流量,拦截一切未经过认证的访问流量,保证云原生网络集群内workload的安全可控性。
5.根据权利要求1所述的一种基于istio零信任云原生网络方法,其特征在于,步骤s03中,通过istio服务相关组件封装云原生网络中各个servic...
【专利技术属性】
技术研发人员:陈福春,朱国大,吴芳,卢少文,杨其川,王力杰,邹旭亮,
申请(专利权)人:中邮科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。