CN110661657B - 一种Kubernetes云原生应用的网络安全监控方法及其系统 - Google Patents
一种Kubernetes云原生应用的网络安全监控方法及其系统 Download PDFInfo
- Publication number
- CN110661657B CN110661657B CN201910896947.8A CN201910896947A CN110661657B CN 110661657 B CN110661657 B CN 110661657B CN 201910896947 A CN201910896947 A CN 201910896947A CN 110661657 B CN110661657 B CN 110661657B
- Authority
- CN
- China
- Prior art keywords
- component
- pod
- flow
- log
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,具体涉及一种Kubernetes云原生应用的网络安全监控方法及其系统,属于原生技术领域。本发明的网络安全监控方法,包括如下步骤:S1:初始化系统配置;S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;S3:系统自检与系统配置;S4:请求发起到收到回复;S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;S6:准实时监控组件、链路追踪组件和告警组件的运行步骤;本发明通过kubernetes chart云原生应用增加流量透明代理的方式,能在chart应用运行时有效监控其网络状态,发现潜在安全风险,保护系统和应用网络安全。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种Kubernetes云原生应用的网络安全监控方法及其系统,属于原生技术领域。
背景技术
Kubernetes是一个用于容器集群的自动化部署、扩容以及运维的开源平台。通过Kubernetes,可以快速有效地响应用户需求;快速而有预期地部署系统应用,并且能够无缝对接新应用功能,节省资源,优化硬件资源的使用。Kubernetes为容器编排管理提供了完整的开源方案。随着云计算的不断发展,容器和Kubernetes已经成为云原生应用的基石,Kubernetes正在成为广大互联网公司和传统IT行业云化和简化运维的利器,在生产环境上得到大规模部署并被越来越多的公司采用。
然而作为新兴技术,容器和Kubernetes相关的安全研究相对滞后,Kubernetes云平台也正面临着越来越多的攻击和威胁,chart应用是Kubernetes资源的打包,由Helm服务进行管理,使用chart应用在Kubernetes集群中进行应用安装或卸载。目前尚未存在对kubernetes的chart应用网络安全监控的方案,无法在平台层面满足kubernetes系统内chart 应用网络状态的监控,只能依靠应用自身的监控功能。即便应用自身已包含网络监控功能,遇到kubernetes平台自身的网络问题,亦无所适从。
发明内容
本发明的目的在于,针对上述问题,提供一种Kubernetes云原生应用的网络安全监控方法及其系统,通过kubernetes chart云原生应用增加流量透明代理的方式,能在chart应用运行时有效监控其网络状态,发现潜在安全风险,保护系统和应用网络安全。
为达到上述目的,本发明采用如下技术方案:
一种Kubernetes云原生应用的网络安全监控方法,包括如下步骤:
S1:初始化网络安全监控系统配置,连接helm与kubernetes,启动所述系统的各组件;所述系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;
S3:以下为系统自检与系统配置的步骤;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;
S3.2:代理同步组件,每隔t1时间定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理客户端;
S3.3:管理员手动重启需要重启的pod;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由流量透明代理客户端发送至目标;
S4:以下为请求发起到收到回复的步骤;假设容器A发起请求至服务B,容器A与容器 B为业务容器,分别属于服务A与服务B,其中容器A在pod A中,容器B在pod B中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B 认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A 访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔t2时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息;
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件运行;
S6.3:异常告警组件,从日志数据库获取增量的日志数据,根据IP来源、历史数据对比、请求阈值和异常返回请求维度,分析可疑风险,当确认有风险时,触发告警。
进一步的,所述S3.2中,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod。
进一步的,所述S6.1中,每隔一段时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息。
进一步的,所述S6.2中,触发链路追踪组件后,链路追踪组件根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图。
一种Kubernetes云原生应用的网络安全监控系统,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时与kube-apiserver和helm 服务器tiller相连,获取kubernetes的pod和chart应用信息;
管理界面组件,与代理同步组件连接,管理员将该界面用于进行策略新增与更新、查看流量日志、查看监控与链路追踪或查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库;
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息,显示pod与chart的网络信息;
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源、历史数据对比、请求阈值或异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警。
进一步的,显示pod与chart的网络信息包括Pod与chart的网络拓扑信息、pod与chart 的入流量、pod与chart的出流量、pod与chart的流速。
由于采用上述技术方案,本发明具有以下有益效果:
Kubernetes云原生应用的网络安全监控方法及其系统,通过kubernetes chart云原生应用增加流量透明代理的方式,进行网络安全监控方法,能在Chart应用运行时有效监控其网络状态,跟踪链路请求信息,发现未授权访问等潜在安全风险,保护系统和应用网络安全,填补了kubernetes云平台无网络安全监控的空白。相对于传统只能依靠应用自身的监控功能进行监控的方法,监控准确性显著提高。
附图说明
图1是本发明一种Kubernetes云原生应用的网络安全监控方法的运行流程框图。
图2是本发明一种Kubernetes云原生应用的网络安全监控系统的系统框图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。需要说明的是,本发明的具体实施例只是为了能更清楚的描述技术方案,而不能作为本发明保护范围的一种限制。
Helm是一个命令行下的客户端工具。主要用于Kubernetes应用程序Chart的创建、打包、发布以及创建和管理本地和远程的Chart仓库。
Tiller是Helm的服务端,部署在Kubernetes集群中。Tiller用于接收Helm的请求,并根据Chart生成Kubernetes的部署文件(Helm称为Release),然后提交给 Kubernetes创建应用。Tiller还提供了Release的升级、删除、回滚等一系列功能。
Chart:包含了创建一个Kubernetes应用的必要信息,Helm的软件包,采用TAR格式。类似于APT的DEB包或者YUM的RPM包,其包含了一组定义Kubernetes资源相关的YAML 文件。
请参阅图1,本发明一种Kubernetes云原生应用的网络安全监控方法,包括如下步骤:
S1:初始化网络安全监控系统配置,连接helm与kubernetes,启动系统的各组件;系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;初始化本系统各组件至kubernetes系统中;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;代理同步组件是管理员与系统进行交互的界面,该组件通过代理同步组件获知系统的当前状态,管理员对系统的配置也通过代理同步组件保存至数据库中。
S3:以下为系统自检与系统配置的步骤;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;代理同步组件是整个系统的枢纽,读取和保存整个系统的状态。集群数据库用于存储集群监控系统的数据,主要是集群信息、配置信息等,其使用MySOL等传统关系型数据库。
S3.2:代理同步组件,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理客户端;如需要忽略安装透明代理的pod,需要在管理界面中设置忽略;
S3.3:管理员手动重启需要重启的pod;非强制性要求重启,不重启的pod无法获得安全监控的能力;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由流量透明代理客户端发送至目标;
S4:以下为请求发起到收到回复的步骤;假设容器A发起请求至服务B,容器A与容器 B为业务容器,分属于服务A与服务B,其中容器A在pod A中,容器B在pod B中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B 认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A 访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库(Mongodb)中;日志数据库用于存储日志信息,以便审计、监控和链路追踪组件使用,其使用mongodb这种非关系型数据库。
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔15秒从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息,一方面提高显示速度,同时降低对系统性能的影响。
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件运行;链路追踪根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图;该组件较为消耗系统性能,应与其他组件分开与不同服务器部署;
S6.3:异常告警组件,每分钟(时间可配置)从日志数据库获取增量的日志数据,根据 IP来源、历史数据对比、请求阈值和异常返回请求等维度,分析可疑风险,当确认有风险时,触发告警。
请参阅图2,一种Kubernetes云原生应用的网络安全监控系统,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时检查系统所有组件的状态;代理同步组件是整个系统的枢纽,读取和保存整个系统的状态。其他内部所有组件均通过与它相连,请求数据。同时与kube-apiserver和helm服务器tiller相连,获取kubernetes 的pod和chart应用信息;代理同步组件还用于提醒管理员手动重启未安装透明代理的pod,重启后自动添加流量透明代理,以对驻留在pod内部的流量进行透明代理;
管理界面组件,与代理同步组件连接,管理员使用该界面用于进行策略新增与更新、查看流量日志、查看监控与链路追踪或查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;即流量透明代理组件根据授权策略和证书鉴权,对流量标记放行或阻止,同时以异步方式记录流量日志与审计摘要;
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库(MongoDB)。
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息;访问数据信息包括Pod与chart的网络拓扑信息、pod与chart的入流量、pod与chart的出流量、pod与chart的流速。准实时监控组件以多线程方式,根据流量日志与流量标记绘制监控图,获得秒级的准实时监控与链路追踪图,且不会对性能产生明显影响;对于已标记阻止的流量,由告警系统通知系统管理员;
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源、历史数据对比、请求阈值或异常返回请求等维度,触发告警。
本发明Kubernetes云原生应用的网络安全监控方法及其系统,通过kuberneteschart 云原生应用增加流量透明代理的方式,进行网络安全监控方法,能在Chart应用运行时有效监控其网络状态,跟踪链路请求信息,发现未授权访问等潜在安全风险,保护系统和应用网络安全。
上述说明是针对本发明较佳可行实施例的详细说明,但实施例并非用以限定本发明的专利申请范围,凡本发明所提示的技术精神下所完成的同等变化或修饰变更,均应属于本发明所涵盖专利范围。
Claims (6)
1.一种Kubernetes云原生应用的网络安全监控方法,其特征在于,包括如下步骤:
S1:初始化网络安全监控系统配置,连接helm与kubernetes,启动所述系统的各组件;所述系统的各组件包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;
S2:将管理界面组件与代理同步组件相连接,启动系统管理界面组件;
S3:以下为系统自检与系统配置的步骤;
S3.1:代理同步组件与集群数据库相连,读取配置,同时检查系统所有组件的状态;
S3.2:代理同步组件,每隔t1时间定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理客户端;
S3.3:管理员手动重启需要重启的pod;
S3.4:管理员在管理界面批量对容器组设置访问授权策略,策略支持导入导出;系统初始化成功后,处于缺省策略状态;
S3.5:设置授权策略后授权策略组件自动生成对应的证书和策略,下发到对应流量透明代理客户端;当业务容器发送请求时,由流量透明代理客户端发送至目标;
S4:以下为请求发起到收到回复的步骤;假设容器A发起请求至服务B,容器A与容器B为业务容器,分别属于服务A与服务B,其中容器A在pod A中,容器B在pod B中;
S4.1:容器A发起请求至服务B,请求到达pod A内部流量透明代理客户端A;
S4.2:pod A内部流量透明代理客户端A根据目标地址添加服务A证书认证信息,发送至pod B内部流量透明代理客户端B,进入下一步;pod A同时以异步方式发送流量日志与审计摘要,进入S5;
S4.3:请求到达pod B内部流量透明代理客户端B,pod B内部流量透明代理客户端B认证请求,如认证不通过,直接丢弃,并以异步方式发送流量日志与审计摘要,进入S5;通过则进入下一步;
S4.4:pod B内部流量透明代理客户端B请求容器A标识,检查策略中是否允许服务A访问服务B;当客户端检测到服务A允许运行服务B,则验证成功,转发请求至业务容器B,进入下一步;无论是否通过授权策略,均以异步方式发送流量日志与审计摘要,进入S5;
S4.5:容器B业务处理后返回响应,原路返回至业务容器A,并以异步方式发送流量日志与审计摘要,进入S5,S4流程结束;
S5:流量日志与审计组件收到日志消息,将其存入日志数据库中;
S6:以下为准实时监控组件、链路追踪组件和告警组件的运行步骤:
S6.1:准实时监控组件,每隔t2时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息;
S6.2:在准实时监控界面选择每个pod或chart应用,则触发链路追踪组件运行;
S6.3:异常告警组件,从日志数据库获取增量的日志数据,根据IP来源、历史数据对比、请求阈值或异常返回请求维度,分析可疑风险,当确认有风险时,触发告警。
2.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S3.2中,每隔5分钟定时扫描集群中运行的所有pod与chart应用信息,提醒管理员手动重启未注入透明代理的pod。
3.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S6.1中,每隔一段时间从日志数据库获得增量的日志数据,在内存中更新每个pod与chart应用的访问数据信息。
4.根据权利要求1所述的一种Kubernetes云原生应用的网络安全监控方法,其特征在于,所述S6.2中,触发链路追踪组件后,链路追踪组件根据每个请求的标记得出该pod或chart的顺序请求关系,以此为依据完成链路图。
5.一种Kubernetes云原生应用的网络安全监控系统,其特征在于,包括代理同步组件、管理界面组件、流量透明代理客户端、代理注入组件、授权策略组件、流量日志与审计组件、准实时监控组件、链路追踪组件和异常告警组件;其中:
代理同步组件,与集群数据库相连,用于读取系统配置,同时与kube-apiserver和helm服务器tiller相连,获取kubernetes的pod和chart应用信息;
管理界面组件,与代理同步组件连接,管理员将该界面用于进行策略新增与更新、查看流量日志、查看监控与链路追踪或查看系统各组件是否正常;
流量透明代理客户端,为驻留在pod内部的流量透明代理容器,流量监控和鉴权均由所述流量透明代理客户端处理,并将概要信息异步发送至流量日志与审计组件;
代理注入组件,每当有新pod启动时,代理注入组件将自动为其添加流量透明代理容器;
授权策略组件,用于根据管理员的配置,为各个pod和Chart自动生成对应的证书,并将其下发到所述流量透明代理客户端;
流量日志与审计组件,接收驻留在pod内的代理客户端的日志请求,将其记录至独立的日志数据库;
准实时监控组件,将展示数据存在内存中,以提高访问显示速度;每隔一定时间读取日志数据库,更新每个pod与chart应用的访问数据信息,显示pod与chart的网络信息;
链路追踪组件,在准实时监控界面选择pod或chart,根据所述流量透明代理客户端标记的流量日志信息,追踪该pod出入流量的链路;
异常告警组件,每隔一段时间读取日志数据库的增量记录,根据IP来源、历史数据对比、请求阈值或异常返回请求维度,分析可疑风险,当确认有风险时,触发告警。
6.根据权利要求5所述的一种Kubernetes云原生应用的网络安全监控系统,其特征在于:显示pod与chart的网络信息包括Pod与chart的网络拓扑信息、pod与chart的入流量、pod与chart的出流量、pod与chart的流速。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910896947.8A CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910896947.8A CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110661657A CN110661657A (zh) | 2020-01-07 |
| CN110661657B true CN110661657B (zh) | 2022-07-08 |
Family
ID=69038347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910896947.8A Active CN110661657B (zh) | 2019-09-23 | 2019-09-23 | 一种Kubernetes云原生应用的网络安全监控方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110661657B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111708659B (zh) * | 2020-06-10 | 2023-07-14 | 中国—东盟信息港股份有限公司 | 一种基于kubernetes构建云原生容灾架构的方法 |
| US11403401B2 (en) | 2020-06-17 | 2022-08-02 | International Business Machines Corporation | Preventing unauthorized package deployment in clusters |
| CN111782471B (zh) * | 2020-06-30 | 2023-10-13 | 中国工商银行股份有限公司 | 云系统java容器jvm内存溢出的监控方法及系统 |
| CN111813418B (zh) * | 2020-06-30 | 2024-04-05 | 深圳赛安特技术服务有限公司 | 分布式链路跟踪方法、装置、计算机设备及存储介质 |
| CN112099989A (zh) * | 2020-08-28 | 2020-12-18 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用灾备、迁移与恢复的方法 |
| US11356461B2 (en) | 2020-09-28 | 2022-06-07 | Cisco Technology, Inc. | Integrity verified paths between entities in a container-orchestration system |
| CN112559280B (zh) * | 2020-12-04 | 2023-08-22 | 国网安徽省电力有限公司信息通信分公司 | 基于数据中台的数据全链路监控方法 |
| US11947660B2 (en) | 2021-08-31 | 2024-04-02 | International Business Machines Corporation | Securing pods in a container orchestration environment |
| CN113935178B (zh) * | 2021-10-21 | 2022-09-16 | 北京同创永益科技发展有限公司 | 一种云原生混沌工程实验的爆炸半径控制系统及方法 |
| CN114138368B (zh) * | 2021-11-30 | 2024-03-19 | 招商局金融科技有限公司 | 基于云原生的应用部署系统、方法、设备及存储介质 |
| CN114553881B (zh) * | 2022-01-07 | 2024-04-02 | 优刻得科技股份有限公司 | 多数据中心流量调度方法及系统 |
| CN115001762A (zh) * | 2022-05-20 | 2022-09-02 | 平安资产管理有限责任公司 | 数据安全传输方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10191778B1 (en) * | 2015-11-16 | 2019-01-29 | Turbonomic, Inc. | Systems, apparatus and methods for management of software containers |
| CN109245931B (zh) * | 2018-09-19 | 2021-04-16 | 四川虹微技术有限公司 | 基于kubernetes的容器云平台的日志管理和监控报警的实现方法 |
| CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
| CN109491859B (zh) * | 2018-10-16 | 2021-10-26 | 华南理工大学 | 针对Kubernetes集群中容器日志的收集方法 |
| CN109714192B (zh) * | 2018-11-29 | 2022-03-04 | 深圳供电局有限公司 | 一种监控云平台的监控方法及系统 |
| CN109981789B (zh) * | 2019-04-03 | 2021-09-07 | 浪潮云信息技术股份公司 | 一种基于代理模式的微服务引擎 |
| CN110247810B (zh) * | 2019-07-09 | 2023-03-28 | 浪潮云信息技术股份公司 | 一种收集容器服务监控数据的系统及方法 |
-
2019
- 2019-09-23 CN CN201910896947.8A patent/CN110661657B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110661657A (zh) | 2020-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110661657B (zh) | 一种Kubernetes云原生应用的网络安全监控方法及其系统 | |
| KR102577139B1 (ko) | 스마트 계약 기반 데이터 처리 방법, 기기 및 저장 매체 | |
| CN101632085B (zh) | 企业安全评估共享 | |
| CN110716832A (zh) | 业务运行的监控告警方法、系统、电子设备及存储介质 | |
| CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| CN111327613A (zh) | 分布式服务的权限控制方法、装置及计算机可读存储介质 | |
| CN113572746B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| TW202046206A (zh) | 異常帳戶的檢測方法及裝置 | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| US8745010B2 (en) | Data storage and archiving spanning multiple data storage systems | |
| US7480651B1 (en) | System and method for notification of group membership changes in a directory service | |
| CN113011960A (zh) | 基于区块链的数据访问方法、装置、介质及电子设备 | |
| CN112291264A (zh) | 一种安全控制的方法和装置 | |
| WO2023207175A1 (zh) | 混合云环境下的扫描探测方法、装置、系统、设备和介质 | |
| US11765058B2 (en) | Extensible, secure and efficient monitoring and diagnostic pipeline for hybrid cloud architecture | |
| US11973779B2 (en) | Detecting data exfiltration and compromised user accounts in a computing network | |
| CN115296866A (zh) | 一种边缘节点的访问方法及装置 | |
| US20090100130A1 (en) | System and method for anomalous directory client activity detection | |
| CN112883431A (zh) | 一种it资产数据在数据治理平台的运行方法 | |
| CN110417754A (zh) | 一种基于主机代理服务权限认证的方法及装置 | |
| US20200099788A1 (en) | Context data management interface for contact center | |
| CN109905391A (zh) | 一种企业级网络安全数据采集管理系统 | |
| CN114465785B (zh) | 服务器登录管理方法、系统、装置及存储介质 | |
| CN115168489B (zh) | 基于区块链的数据存证方法和装置 | |
| US20220368710A1 (en) | Detecting data exfiltration and compromised user accounts in a computing network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |