CN110661657A - 一种Kubernetes云原生应用的网络安全监控方法及其系统 - Google Patents
一种Kubernetes云原生应用的网络安全监控方法及其系统 Download PDFInfo
- Publication number
- CN110661657A CN110661657A CN201910896947.8A CN201910896947A CN110661657A CN 110661657 A CN110661657 A CN 110661657A CN 201910896947 A CN201910896947 A CN 201910896947A CN 110661657 A CN110661657 A CN 110661657A
- Authority
- CN
- China
- Prior art keywords
- component
- pod
- flow
- log
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,具体涉及一种Kubernetes云原生应用的网络安全监控方法及其系统,属于原生技术领域。本发明的网络安全监控方法,包括如下步骤:S1:初始化系统配置;S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;S3:系统自检与系统配置;S4:请求发起到收到回复;S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;S6:准实时监控组件、链路追踪组件和告警组件的运行步骤;本发明通过kubernetes chart云原生应用增加流量透明代理的方式,能在chart应用运行时有效监控其网络状态,发现潜在安全风险,保护系统和应用网络安全。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种Kubernetes云原生应用的网络安全监控方法及其系统,属于原生技术领域。
背景技术
Kubernetes是一个用于容器集群的自动化部署、扩容以及运维的开源平台。通过Kubernetes,可以快速有效地响应用户需求;快速而有预期地部署系统应用,并且能够无缝对接新应用功能,节省资源,优化硬件资源的使用。Kubernetes为容器编排管理提供了完整的开源方案。随着云计算的不断发展,容器和Kubernetes已经成为云原生应用的基石,Kubernetes正在成为广大互联网公司和传统IT行业云化和简化运维的利器,在生产环境上得到大规模部署并被越来越多的公司采用。
然而作为新兴技术,容器和Kubernetes相关的安全研究相对滞后,Kubernetes云平台也正面临着越来越多的攻击和威胁,chart应用是Kubernetes资源的打包,由Helm服务进行管理,使用chart应用在Kubernetes集群中进行应用安装或卸载。目前尚未存在对kubernetes的chart应用网络安全监控的方案,无法在平台层面满足kubernetes系统内chart应用网络状态的监控,只能依靠应用自身的监控功能。即便应用自身已包含网络监控功能,遇到kubernetes平台自身的网络问题,亦无所适从。
发明内容
本发明的目的在于,针对上述问题,提供一种Kubernetes云原生应用的网络安全监控方法及其系统,通过kubernetes chart云原生应用增加流量透明代理的方式,能在chart应用运行时有效监控其网络状态,发现潜在安全风险,保护系统和应用网络安全。
为达到上述目的,本发明采用如下技术方案:
一种Kubernetes云原生应用的网络安全监控方法,包括如下步骤:
S1:初始化系统配置,连接helm与kubernetes,启动系统的各组件;系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;
S3:以下为系统自检与系统配置的步骤,为系统控制平面;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;
S3.2:代理同步组件,每隔t1时间定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加透明代理客户端;
S3.3:管理员手动重启需要重启的pod;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由透明代理组件发送至目标;
S4:以下为请求发起到收到回复的S,为系统的数据平面;假设容器A发起请求至服务B,容器A与容器B为业务容器,分别属于服务A与服务B,其中容器A在pod A中,容器B在podB中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔t2时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息;
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件;
S6.3:告警组件,从日志数据库获取增量的日志数据,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警;
进一步的,所述S3.2中,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod。
进一步的,所述S6.1中,每隔15秒从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息。
进一步的,所述S6.2中,触发链路追踪组件后,链路追踪组件根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图。
一种Kubernetes云原生应用的网络安全监控系统,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时与kube-apiserver和helm服务器tiller相连,获取kubernetes的pod和chart应用信息;
管理界面组件,与代理同步组件连接,管理员使用该界面用于进行策略新增、更新,查看流量日志、查看监控与链路追踪,查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库;
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息;
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,触发告警。
进一步的,显示pod/chart的网络信息包括Pod/chart网络拓扑信息、pod/chart入流量、pod/chart出流量、pod/chart流速。
由于采用上述技术方案,本发明具有以下有益效果:
Kubernetes云原生应用的网络安全监控方法及其系统,通过kubernetes chart云原生应用增加流量透明代理的方式,进行网络安全监控方法,能在Chart应用运行时有效监控其网络状态,跟踪链路请求信息,发现未授权访问等潜在安全风险,保护系统和应用网络安全,填补了kubernetes云平台无网络安全监控的空白。相对于传统只能依靠应用自身的监控功能进行监控的方法,监控准确性显著提高。
附图说明
图1是本发明一种Kubernetes云原生应用的网络安全监控方法的运行流程框图。
图2是本发明一种Kubernetes云原生应用的网络安全监控系统的系统框图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。需要说明的是,本发明的具体实施例只是为了能更清楚的描述技术方案,而不能作为本发明保护范围的一种限制。
Helm是一个命令行下的客户端工具。主要用于Kubernetes应用程序Chart的创建、打包、发布以及创建和管理本地和远程的Chart仓库。
Tiller是Helm的服务端,部署在Kubernetes集群中。Tiller用于接收Helm的请求,并根据Chart生成Kubernetes的部署文件(Helm称为Release),然后提交给Kubernetes创建应用。Tiller还提供了Release的升级、删除、回滚等一系列功能。
Chart:包含了创建一个Kubernetes应用的必要信息,Helm的软件包,采用TAR格式。类似于APT的DEB包或者YUM的RPM包,其包含了一组定义Kubernetes资源相关的YAML文件。
请参阅图1,本发明一种Kubernetes云原生应用的网络安全监控方法,包括如下步骤:
S1:初始化系统配置,连接helm与kubernetes,启动系统的各组件;系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、
流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;初始化本系统各组件至kubernetes系统中;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;代理同步组件是管理员与系统进行交互的界面,该组件通过代理同步组件获知系统的当前状态,管理员对系统的配置也通过代理同步组件保存至数据库中。
S3:以下为系统自检与系统配置的步骤,为系统控制平面;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;代理同步组件是整个系统的枢纽,读取和保存整个系统的状态。集群数据库用于存储集群监控系统的数据,主要是集群信息、配置信息等,其使用MySOL等传统关系型数据库。
S3.2:代理同步组件,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加透明代理客户端;如需要忽略安装透明代理的pod,需要在管理界面中设置忽略;
S3.3:管理员手动重启需要重启的pod;非强制性要求重启,不重启的pod无法获得安全监控的能力;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由透明代理组件发送至目标;
S4:以下为请求发起到收到回复的S,为系统的数据平面;假设容器A发起请求至服务B,容器A与容器B为业务容器,分属于服务A与服务B,其中容器A在pod A中,容器B在pod B中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库(Mongodb)中;日志数据库用于存储日志信息,以便审计、监控和链路追踪组件使用,其使用mongodb这种非关系型数据库。
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔15秒从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息,一方面提高显示速度,同时降低对系统性能的影响。
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件;链路追踪根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图;该组件较为消耗系统性能,应与其他组件分开与不同服务器部署;
S6.3:告警组件,每分钟(时间可配置)从日志数据库获取增量的日志数据,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警。
请参阅图2,一种Kubernetes云原生应用的网络安全监控系统,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时检查系统所有组件的状态;代理同步组件是整个系统的枢纽,读取和保存整个系统的状态。其他内部所有组件均通过与它相连,请求数据。同时与kube-apiserver和helm服务器tiller相连,获取kubernetes的pod和chart应用信息;代理同步组件还用于提醒管理员手动重启未安装透明代理的pod,重启后自动添加流量透明代理,以对驻留在pod内部的流量进行透明代理;
管理界面组件,与代理同步组件连接,管理员使用该界面用于进行策略新增、更新,查看流量日志、查看监控与链路追踪,查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;即流量透明代理组件根据授权策略和证书鉴权,对流量标记放行或阻止,同时以异步方式记录流量日志与审计摘要
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库(MongoDB)。
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息;访问数据信息包括Pod/chart网络拓扑信息、pod/chart入流量、pod/chart出流量、pod/chart流速。准实时监控组件以多线程方式,根据流量日志与流量标记绘制监控图,获得秒级的准实时监控与链路追踪图,且不会对性能产生明显影响;对于已标记阻止的流量,由告警系统通知系统管理员
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,触发告警。
本发明Kubernetes云原生应用的网络安全监控方法及其系统,通过kuberneteschart云原生应用增加流量透明代理的方式,进行网络安全监控方法,能在Chart应用运行时有效监控其网络状态,跟踪链路请求信息,发现未授权访问等潜在安全风险,保护系统和应用网络安全。
上述说明是针对本发明较佳可行实施例的详细说明,但实施例并非用以限定本发明的专利申请范围,凡本发明所提示的技术精神下所完成的同等变化或修饰变更,均应属于本发明所涵盖专利范围。
Claims (6)
1.一种Kubernetes云原生应用的网络安全监控方法,其特征在于,包括如下步骤:
S1:初始化系统配置,连接helm与kubernetes,启动系统的各组件;系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;
S3:以下为系统自检与系统配置的步骤,为系统控制平面;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;
S3.2:代理同步组件,每隔t1时间定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加透明代理客户端;
S3.3:管理员手动重启需要重启的pod;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由透明代理组件发送至目标;
S4:以下为请求发起到收到回复的S,为系统的数据平面;假设容器A发起请求至服务B,容器A与容器B为业务容器,分别属于服务A与服务B,其中容器A在pod A中,容器B在pod B中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔t2时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息;
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件;
S6.3:告警组件,从日志数据库获取增量的日志数据,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警。
2.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S3.2中,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod。
3.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S6.1中,每隔一段时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息。
4.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S6.2中,触发链路追踪组件后,链路追踪组件根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图。
5.一种Kubernetes云原生应用的网络安全监控系统,其特征在于,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时与kube-apiserver和helm服务器tiller相连,获取kubernetes的pod和chart应用信息;
管理界面组件,与代理同步组件连接,管理员使用该界面用于进行策略新增、更新,查看流量日志、查看监控与链路追踪,查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库;
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息,显示pod/chart的网络信息;
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源,历史数据对比,请求阈值,异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警。
6.根据权利要求5所述的一种Kubernetes云原生应用的网络安全监控系统,其特征在于:显示pod/chart的网络信息包括Pod/chart网络拓扑信息、pod/chart入流量、pod/chart出流量、pod/chart流速。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910896947.8A CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910896947.8A CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110661657A true CN110661657A (zh) | 2020-01-07 |
CN110661657B CN110661657B (zh) | 2022-07-08 |
Family
ID=69038347
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910896947.8A Active CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110661657B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111708659A (zh) * | 2020-06-10 | 2020-09-25 | 中国—东盟信息港股份有限公司 | 一种基于kubernetes构建云原生容灾架构的方法 |
CN111782471A (zh) * | 2020-06-30 | 2020-10-16 | 中国工商银行股份有限公司 | 云系统java容器jvm内存溢出的监控方法及系统 |
CN111813418A (zh) * | 2020-06-30 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 分布式链路跟踪方法、装置、计算机设备及存储介质 |
CN112099989A (zh) * | 2020-08-28 | 2020-12-18 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用灾备、迁移与恢复的方法 |
CN112559280A (zh) * | 2020-12-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 基于数据中台的数据全链路监控方法 |
CN113935178A (zh) * | 2021-10-21 | 2022-01-14 | 北京同创永益科技发展有限公司 | 一种云原生混沌工程实验的爆炸半径控制系统及方法 |
CN114138368A (zh) * | 2021-11-30 | 2022-03-04 | 招商局金融科技有限公司 | 基于云原生的应用部署系统、方法、设备及存储介质 |
CN114553881A (zh) * | 2022-01-07 | 2022-05-27 | 优刻得科技股份有限公司 | 多数据中心流量调度方法及系统 |
US11356461B2 (en) | 2020-09-28 | 2022-06-07 | Cisco Technology, Inc. | Integrity verified paths between entities in a container-orchestration system |
US11403401B2 (en) | 2020-06-17 | 2022-08-02 | International Business Machines Corporation | Preventing unauthorized package deployment in clusters |
CN115001762A (zh) * | 2022-05-20 | 2022-09-02 | 平安资产管理有限责任公司 | 数据安全传输方法及系统 |
US11947660B2 (en) | 2021-08-31 | 2024-04-02 | International Business Machines Corporation | Securing pods in a container orchestration environment |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109245931A (zh) * | 2018-09-19 | 2019-01-18 | 四川长虹电器股份有限公司 | 基于kubernetes的容器云平台的日志管理和监控报警的实现方法 |
US10191778B1 (en) * | 2015-11-16 | 2019-01-29 | Turbonomic, Inc. | Systems, apparatus and methods for management of software containers |
CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
CN109491859A (zh) * | 2018-10-16 | 2019-03-19 | 华南理工大学 | 针对Kubernetes集群中容器日志的收集方法 |
CN109714192A (zh) * | 2018-11-29 | 2019-05-03 | 深圳供电局有限公司 | 一种监控云平台的监控方法及系统 |
CN109981789A (zh) * | 2019-04-03 | 2019-07-05 | 山东浪潮云信息技术有限公司 | 一种基于代理模式的微服务引擎 |
CN110247810A (zh) * | 2019-07-09 | 2019-09-17 | 浪潮云信息技术有限公司 | 一种收集容器服务监控数据的系统及方法 |
-
2019
- 2019-09-23 CN CN201910896947.8A patent/CN110661657B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10191778B1 (en) * | 2015-11-16 | 2019-01-29 | Turbonomic, Inc. | Systems, apparatus and methods for management of software containers |
CN109245931A (zh) * | 2018-09-19 | 2019-01-18 | 四川长虹电器股份有限公司 | 基于kubernetes的容器云平台的日志管理和监控报警的实现方法 |
CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
CN109491859A (zh) * | 2018-10-16 | 2019-03-19 | 华南理工大学 | 针对Kubernetes集群中容器日志的收集方法 |
CN109714192A (zh) * | 2018-11-29 | 2019-05-03 | 深圳供电局有限公司 | 一种监控云平台的监控方法及系统 |
CN109981789A (zh) * | 2019-04-03 | 2019-07-05 | 山东浪潮云信息技术有限公司 | 一种基于代理模式的微服务引擎 |
CN110247810A (zh) * | 2019-07-09 | 2019-09-17 | 浪潮云信息技术有限公司 | 一种收集容器服务监控数据的系统及方法 |
Non-Patent Citations (2)
Title |
---|
无: "理解Kubernetes核心概念", 《电脑编程技巧与维护》 * |
李铭轩等: "面向电信运营商的容器云SDN云网一体化方案研究", 《信息通信技术》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111708659A (zh) * | 2020-06-10 | 2020-09-25 | 中国—东盟信息港股份有限公司 | 一种基于kubernetes构建云原生容灾架构的方法 |
US11403401B2 (en) | 2020-06-17 | 2022-08-02 | International Business Machines Corporation | Preventing unauthorized package deployment in clusters |
CN111782471A (zh) * | 2020-06-30 | 2020-10-16 | 中国工商银行股份有限公司 | 云系统java容器jvm内存溢出的监控方法及系统 |
CN111813418A (zh) * | 2020-06-30 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 分布式链路跟踪方法、装置、计算机设备及存储介质 |
CN111813418B (zh) * | 2020-06-30 | 2024-04-05 | 深圳赛安特技术服务有限公司 | 分布式链路跟踪方法、装置、计算机设备及存储介质 |
CN111782471B (zh) * | 2020-06-30 | 2023-10-13 | 中国工商银行股份有限公司 | 云系统java容器jvm内存溢出的监控方法及系统 |
CN112099989A (zh) * | 2020-08-28 | 2020-12-18 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用灾备、迁移与恢复的方法 |
US11356461B2 (en) | 2020-09-28 | 2022-06-07 | Cisco Technology, Inc. | Integrity verified paths between entities in a container-orchestration system |
US11811784B2 (en) | 2020-09-28 | 2023-11-07 | Cisco Technology, Inc. | Integrity verified paths between entities in a container-orchestration system |
CN112559280B (zh) * | 2020-12-04 | 2023-08-22 | 国网安徽省电力有限公司信息通信分公司 | 基于数据中台的数据全链路监控方法 |
CN112559280A (zh) * | 2020-12-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 基于数据中台的数据全链路监控方法 |
US11947660B2 (en) | 2021-08-31 | 2024-04-02 | International Business Machines Corporation | Securing pods in a container orchestration environment |
CN113935178A (zh) * | 2021-10-21 | 2022-01-14 | 北京同创永益科技发展有限公司 | 一种云原生混沌工程实验的爆炸半径控制系统及方法 |
CN114138368A (zh) * | 2021-11-30 | 2022-03-04 | 招商局金融科技有限公司 | 基于云原生的应用部署系统、方法、设备及存储介质 |
CN114138368B (zh) * | 2021-11-30 | 2024-03-19 | 招商局金融科技有限公司 | 基于云原生的应用部署系统、方法、设备及存储介质 |
CN114553881A (zh) * | 2022-01-07 | 2022-05-27 | 优刻得科技股份有限公司 | 多数据中心流量调度方法及系统 |
CN114553881B (zh) * | 2022-01-07 | 2024-04-02 | 优刻得科技股份有限公司 | 多数据中心流量调度方法及系统 |
CN115001762A (zh) * | 2022-05-20 | 2022-09-02 | 平安资产管理有限责任公司 | 数据安全传输方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110661657B (zh) | 2022-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110661657B (zh) | 一种Kubernetes云原生应用的网络安全监控方法及其系统 | |
KR102577139B1 (ko) | 스마트 계약 기반 데이터 처리 방법, 기기 및 저장 매체 | |
US10855758B1 (en) | Decentralized computing resource management using distributed ledger | |
WO2020000722A1 (zh) | 保存服务器日志的方法和装置 | |
CN110784495B (zh) | 基于区块链的大数据集群系统的发现与配置信息管理方法 | |
US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
CN110716832A (zh) | 业务运行的监控告警方法、系统、电子设备及存储介质 | |
US11012476B2 (en) | Protecting IOT devices by behavioural analysis of their file system | |
CN111327613B (zh) | 分布式服务的权限控制方法、装置及计算机可读存储介质 | |
US20200137176A1 (en) | Distributed ledger for edge server management | |
CN113572746B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
CN112019330B (zh) | 一种基于联盟链的内网安全审计数据的存储方法及系统 | |
US8745010B2 (en) | Data storage and archiving spanning multiple data storage systems | |
US20240236133A1 (en) | Detecting Data Exfiltration and Compromised User Accounts in a Computing Network | |
US8117181B2 (en) | System for notification of group membership changes in directory service | |
CN114866416A (zh) | 一种多集群统一管理系统及部署方法 | |
US11611580B1 (en) | Malware infection detection service for IoT devices | |
WO2023207175A1 (zh) | 混合云环境下的扫描探测方法、装置、系统、设备和介质 | |
CN116232608A (zh) | 一种基于区块链的分布式可信数据分享方法及装置 | |
CN112905550A (zh) | 一种数据导出方法及装置 | |
CN110417754A (zh) | 一种基于主机代理服务权限认证的方法及装置 | |
CN112883431A (zh) | 一种it资产数据在数据治理平台的运行方法 | |
CN117633090B (zh) | 基于高性能区块链的数据交互方法、系统、终端及介质 | |
CN114465785B (zh) | 服务器登录管理方法、系统、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |