CN112019522A - 云管理平台中微服务应用的网络安全策略配置方法和系统 - Google Patents

云管理平台中微服务应用的网络安全策略配置方法和系统 Download PDF

Info

Publication number
CN112019522A
CN112019522A CN202010789582.1A CN202010789582A CN112019522A CN 112019522 A CN112019522 A CN 112019522A CN 202010789582 A CN202010789582 A CN 202010789582A CN 112019522 A CN112019522 A CN 112019522A
Authority
CN
China
Prior art keywords
micro
service application
network
component
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010789582.1A
Other languages
English (en)
Other versions
CN112019522B (zh
Inventor
蓝玉杰
刘正伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202010789582.1A priority Critical patent/CN112019522B/zh
Publication of CN112019522A publication Critical patent/CN112019522A/zh
Application granted granted Critical
Publication of CN112019522B publication Critical patent/CN112019522B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开云管理平台中微服务应用的网络安全策略配置方法和系统。其中,云管理平台中微服务应用的网络安全策略配置方法包括:实时监听云管理平台是否出现创建微服务应用的动作;当监听到云管理平台出现创建微服务应用的动作时,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则;其中,网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求;根据网络通信规则,配置微服务应用的网络安全策略。本发明的技术方案能解决现有技术中难以减少各个微服务应用之间的干扰,更难以避免不同微服务应用之间业务的相互攻击的问题。

Description

云管理平台中微服务应用的网络安全策略配置方法和系统
技术领域
本发明涉及云管理平台技术领域,尤其涉及一种云管理平台中微服务应用的网络安全策略配置方法和系统。
背景技术
云管理平台是一种基于容器编排引擎kubernetes服务编排技术的云计算平台,通过云管理平台,相关行业能够实现云计算服务的管理。在云计算时代,云数据中心以其集中式大规模的优点成为最常见的云管理平台实现方案。云数据中心能够根据用户的业务需求为用户提供微服务应用设置服务,通常用户为了使用方便也希望在云管理平台中为自己设置多个微服务应用。
通常,用户希望自己设置的所有微服务应用之间均互不干扰且能够独立运行,至少希望实现微服务应用之间的隔离,减少不同微服务应用之间业务的互相攻击所带来的安全隐患。为了实现上述目的,现有技术提供了一种微服务管理技术,通过云管理平台中的插件管理组件监控各个微服务应用的数据,然后将相同业务的微服务应用放置在云管理平台的同一容器资源池中,采用上述kubernetes技术负责容器的编排和管理,为容器资源池中的各个微服务应用提供统一的容器管理接口,以与外部进行业务数据的联系。
然而,上述微服务器管理技术,仅仅能够能够根据业务需要进行微服务应用的划分和数据流的控制,很难减少各个微服务应用之间的干扰,更难以避免不同微服务应用之间业务的相互攻击。
发明内容
本发明提供了云管理平台中微服务应用的网络安全策略配置方法和系统,旨在解决现有技术中难以减少各个微服务应用之间的干扰,难以避免不同微服务器应用之间业务的相互攻击的问题。
为实现上述目的,根据本发明的第一方面,本发明提供了一种云管理平台中微服务应用的网络安全策略配置方法,包括:
实时监听云管理平台是否出现创建微服务应用的动作;
当监听到云管理平台出现创建微服务应用的动作时,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则;其中,网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求;
根据网络通信规则,配置微服务应用的网络安全策略。
优选地,上述微服务应用的网络安全策略配置方法中,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则的步骤包括:
当微服务应用存在入口组件时,将微服务应用中除入口组件外的其他组件整合于同一网络孤岛,为入口组件开放连通网络孤岛的通信端口,其中,通信端口用于通过入口组件向网络孤岛流入数据;或者,
当微服务应用不存在入口组件时,将微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问网络孤岛内的组件。
优选地,上述微服务应用的网络安全策略配置方法中,在根据网络通信规则,配置微服务应用的网络安全策略的步骤之后,该方法还包括:
监听微服务应用中各组件之间的数据流向;
根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则,其中,网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
优选地,上述微服务应用的网络安全策略配置方法,在根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则的步骤之后还包括:
判断规划的网络通信规则是否与当前网络通信规则相同;
若判定规划的网络通信规则与当前网络通信规则不同,则推送策略修改请求,其中,策略修改请求用于请求策略修改指令;
当接收到策略修改指令时,根据规划的网络通信规则修改微服务应用的网络安全策略。
优选地,上述微服务应用的网络安全策略配置方法中,配置微服务应用的网络安全策略的步骤,包括:
配置微服务应用中各组件所在的网络孤岛;以及,
配置微服务应用中各组件启用或禁用的通信端口。
根据本发明的第二方面,本发明还提供了一种微服务应用的网络安全策略配置系统,包括:
监听模块,用于实时监听云管理平台是否出现创建微服务应用的动作;
规则创建模块,用于当监听模块监听到云管理平台出现创建微服务应用的动作时,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则;其中,网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求;
安全策略配置模块,用于根据网络通信规则,配置微服务应用的网络安全策略。
优选地,在上述微服务应用的网络安全策略配置系统中,规则创建模块包括:
组件整合子模块,用于当微服务应用存在入口组件时,将微服务应用中除入口组件外的其他组件整合于同一网络孤岛;
端口开放子模块,用于为入口组件开放连通网络孤岛的通信端口,其中,通信端口用于通过入口组件向网络孤岛流入数据;
组件整合子模块,还用于当微服务应用不存在入口组件时,将微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问网络孤岛内的组件。
优选地,上述微服务应用的网络安全策略配置系统中,监听模块,还用于监听微服务应用中各组件之间的数据流向;规则创建模块,还用于根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则,其中,网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
优选地,上述微服务应用的网络安全策略配置系统,还包括:规则判断模块,用于判断规划的网络通信规则是否与当前网络通信规则相同;
信息收发模块,用于当规则判断模块判定规划的网络通信规则与当前网络通信规则不同时,推送策略修改请求;
安全策略配置模块,还用于当信息收发模块接收到策略修改指令时,根据规划的网络通信规则修改微服务应用的网络安全策略。
优选地,上述微服务应用的网络安全策略配置系统中,安全策略配置模块包括:
孤岛配置子模块,用于配置微服务应用中各组件所在的网络孤岛;以及,
端口配置子模块,用于配置微服务应用中各组件启用或禁用的通信端口。
本申请提供的云管理平台中微服务应用的网络安全策略配置方案,通过实时监听云管理平台算法出现创建微服务应用的动作,然后在监听到该动作时,根据微服务应用是否存在入口组件为微服务应用的组件创建网络通信规则,该网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求,这样通过该网络通信规则配置微服务应用的网络安全策略,能够使得微服务应用仅通过入口组件对外部开放,而微服务应用内部的组件与其它微服务应用相互隔离,这样就能够减少不同微服务应用之间的干扰,避免不同微服务应用之间业务的相互影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明实施例提供的第一种云管理平台中微服务应用的网络安全策略配置方法的流程示意图;
图2是图1所示实施例提供的一种网络通信规则创建方法的流程示意图;
图3是图1所示实施例提供的一种网络安全策略配置方法的流程示意图;
图4是本发明实施例提供的第二种云管理平台中微服务应用的网络安全策略配置方法的流程示意图;
图5是本发明实施例提供的第三种云管理平台中微服务应用的网络安全策略配置方法的流程示意图;
图6是本发明实施例提供的第一种网络通信规则的模型示意图;
图7是本发明实施例提供的第二种网络通信规则的模型示意图;
图8是本发明实施例提供的第一种云管理平台中微服务应用的网络安全策略配置系统的结构示意图;
图9是图8所示实施例提供的一种规则创建模块的结构示意图;
图10是图8所示实施例提供的一种安全策略配置模块的结构示意图;
图11是本发明实施例提供的第二种云管理平台中微服务应用的网络安全策略配置系统的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要技术问题如下:
现有技术提供的微服务管理技术,仅能够根据业务需要进行微服务应用的划分和数据流的控制,很难减少各个微服务应用之间的干扰,更难以避免不同微服务应用之间业务的相互攻击。
为解决上述问题,参见图1,图1为本发明实施例提供的一种云管理平台中微服务应用的网络安全策略配置方法的流程示意图。如图1所示,该云管理平台中微服务应用的网络安全策略配置方法包括:
S110:实时监听云管理平台是否出现创建微服务应用的动作。用户在云管理平台创建微服务应用时,相关监听模块通常会监测到创建微服务应用的这一动作,这时发起生成网络规则的请求,就能够使得相关规则配置创建模块创建网络通信规则。
S120:当监听到云管理平台出现创建微服务应用的动作时,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则;其中,网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求。
微服务应用在创建时,用户能够在设置微服务应用的参数时指定一个组件作为入口组件;或者云管理平台在该微服务应用创建时自动生成入口组件。其中,有无入口组件,微服务应用的网络通信规则是不同的:当存在入口组件时说明该微服务应用能够通过入口组件与外部微服务应用或者组件相连通,这样可仅通过该入口组件发起访问请求;若没有设置入口组件,则该微服务组件闭合,内部数据暂时无法被外部微服务应用或组件访问。
具体地,如图2所示,该根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则的步骤具体包括:
S121:判断微服务应用是否存在入口组件;当微服务应用存在入口组件时,执行步骤S122;当微服务应用不存在入口组件时,执行步骤S123。
S122:将微服务应用中除入口组件外的其他组件整合于同一网络孤岛,为入口组件开放连通网络孤岛的通信端口,其中,通信端口用于通过入口组件向网络孤岛流入数据。
结合图6所示,假设微服务应用有A、B、C、D四个组件,假设监测到入口组件为A(微服务应用中各组件的地位平等且独立),则将B、C和D三个组件作为同一个网络孤岛成员,并为组件A开放B、C和D暴露的通信端口,允许组件A通过开放的端口向组件B、C和D发起访问请求,禁止其他应用/组件访问。这样,组件A发起访问请求就是入站规则,而组件B、C和D的网络孤岛的出口侧(右侧)则没有出站规则,网络孤岛的数据通过组件A流出微服务应用。其中,本申请实施例分别为组件A配置TCP3306端口、HTTP8080端口和HTTP15090端口。
在这种网络通信规则中,网络孤岛中的各个组件只能够进行内部通信,或者仅通过组件A与其它微服务应用或外部的组件通信,这样微服务应用就能够实现对外的有限开放,减少不同微服务应用之间的干扰,避免不同微服务应用之间业务的相互影响。
或者,在未监听到微服务应用存在入口组件时,执行下述步骤,
S123:将微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问网络孤岛内的组件。
通过将微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或外部组件访问网络孤岛内的组件,这样就能够将该微服务应用的内部与外部隔离,信息只能够在微服务应用内部进行交互,避免外部微服务应用或组件对该微服务应用内部信息的影响。
S130:根据网络通信规则,配置微服务应用的网络安全策略。具体地,如图3所示,该配置微服务应用的网络安全策略的步骤包括:S131:配置微服务应用中各组件所在的网络孤岛;以及S132:配置微服务应用中各组件需要启用或禁用的通信端口。
通过根据上述网络通信规则,配置微服务应用中的网络孤岛和需要启用或禁用的通信端口,该通信端口包括对外暴露的通信端口和对内暴露的通信端口,对外暴露的通信端口包括入口组件与外部连通的通信端口,对内暴露的通信端口包括网络孤岛内部组件之间的通信端口。这样就能够实现信息的有序交互,进而保障微服务应用与外部应用或组件之间的通信秩序,减少不同微服务应用之间的相互干扰。
本申请提供的云管理平台中微服务应用的网络安全策略配置方法,通过实时监听云管理平台算法出现创建微服务应用的动作,然后在监听到该动作时,根据微服务应用是否存在入口组件为微服务应用的组件创建网络通信规则,该网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求,这样通过该网络通信规则配置微服务应用的网络安全策略,能够使得微服务应用仅通过入口组件对外部开放,而微服务应用内部的组件与其它微服务应用相互隔离,这样就能够减少不同微服务应用之间的干扰,避免不同微服务应用之间业务的相互影响。
另外,作为一种优选的实施例,如图4所示,本申请实施例提供的微服务应用的网络安全策略配置方法,在根据网络通信规则,配置微服务应用的网络安全策略的步骤之后还包括:
S140:监听微服务应用中各组件之间的数据流向。因为同一网络孤岛内部的各个组件之间数据的交互往往是有顺序的,并且若同一网络孤岛集中大量组件,则同一网络孤岛中的组件可能相互影响,因此本申请实施例监听各组件之间的数据流向,根据该数据流向,确定微服务应用中各组件的连接关系和数据交互关系。
S150:根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则,其中,网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
在监听微服务应用中各组件之间的数据流向,例如同一网络孤岛中各组件之间的数据流向,能够根据该数据流向确定微服务应用中各组件之间的数据交互关系,分别为每一组件划分网络孤岛和设置通信端口,这样就能够减少组件与组件之间的相互干扰,避免不同组件之间业务的相互影响。具体参见图7,如图7所示,若在包含B、C和D的同一网络孤岛中监听到数据流向为A->B->C->D,那么可以生成新的网络通信规则如下:将B、C和D所在的大的网络孤岛划分为三个网络孤岛,为每个组件开放特定的通信端口;将之前的网络孤岛细化,逐步将网络策略的开放范围缩小到每一组件,保证组件的独立运行,不受其他组件的非业务通信的影响。其中,上述组件依次通过HTTP8081端口、HTTP8080端口、TCP3306端口相连通。
另外,在根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则的步骤之后,如图5所示,本申请实施例提供的网络安全策略配置方法还包括:
S160:判断规划的网络通信规则是否与当前网络通信规则相同;若判定规划的网络通信规则与当前网络通信规则不同,则执行步骤S170。
S170:推送策略修改请求,其中,策略修改请求用于请求策略修改指令;
S180:当接收到策略修改指令时,根据规划的网络通信规则修改微服务应用的网络安全策略。
因为数据流向发生变化,例如出现被拦截的通信端口或者出现流量大的通信端口,那么根据上述通信端口的数据流向规划的新的网络通信规则可能与当前网络通信规则不同,这样可能需要根据新的网络通信规则修改原先设置的微范围应用的网络安全策略,而此种修改方法需要根据用户的业务需求进行操作,这样本申请实施例中在网络通信规则不同时向用户推送策略修改请求,从而由用户决定是否修改当前的网络安全策略,在接收到策略修改指令时才能够根据规划的网络通信规则修改微服务应用的网络安全策略,从而能够适应不同的网络需求,减少网络安全策略拦截或放行不当引起的服务异常或安全隐患。
另外,为了实现上述方法,本申请下述各实施例还提供了微服务应用的网络安全策略配置系统,通过下述微服务应用的网络安全策略配置系统能够实现上述方法的功能,因为具体操作步骤上述方法已经提及,因此重复部分不再赘述。
参见图8,图8为本发明实施例提供的一种微服务应用的网络安全策略配置系统的结构示意图。如图8所示,该微服务应用的网络安全策略配置系统,包括:
监听模块110,用于实时监听云管理平台是否出现创建微服务应用的动作;
规则创建模块120,用于当监听模块监听到云管理平台出现创建微服务应用的动作时,根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则;其中,网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求;
安全策略配置模块130,用于根据网络通信规则,配置微服务应用的网络安全策略。
本申请提供的云管理平台中微服务应用的网络安全策略配置系统,通过实时监听云管理平台算法出现创建微服务应用的动作,然后在监听到该动作时,根据微服务应用是否存在入口组件为微服务应用的组件创建网络通信规则,该网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求,这样通过该网络通信规则配置微服务应用的网络安全策略,能够使得微服务应用仅通过入口组件对外部开放,而微服务应用内部的组件与其它微服务应用相互隔离,这样就能够减少不同微服务应用之间的干扰,避免不同微服务应用之间业务的相互影响。
其中,作为一种优选的实施例,如图9所示,该规则创建模块120包括:
组件整合子模块121,用于当微服务应用存在入口组件时,将微服务应用中除入口组件外的其他组件整合于同一网络孤岛;
端口开放子模块122,用于为入口组件开放连通网络孤岛的通信端口,其中,通信端口用于通过入口组件向网络孤岛流入数据;
组件整合子模块121,还用于当微服务应用不存在入口组件时,将微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问网络孤岛内的组件。
其中,作为一种优选实施例,如图10所示,本申请实施例提供的微服务应用的网络安全策略配置系统中,安全策略配置模块130包括:
孤岛配置子模块131,用于配置微服务应用中各组件所在的网络孤岛;以及端口配置子模块132,用于配置微服务应用中各组件启用或禁用的通信端口。
另外,作为一种优选的实施例,上述微服务应用的网络安全策略配置系统中,监听模块110,还用于监听微服务应用中各组件之间的数据流向;规则创建模块120,还用于根据各组件之间的数据流向,分别规划微服务应用中每一组件的网络通信规则,其中,网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
另外,作为一种优选的实施例,如图11所示,上述微服务应用的网络安全策略配置系统,还包括:
规则判断模块140,用于判断规划的网络通信规则是否与当前网络通信规则相同;
信息收发模块150,用于当规则判断模块140判定规划的网络通信规则与当前网络通信规则不同时,推送策略修改请求;
所述安全策略配置模块130,还用于当信息收发模块150接收到策略修改指令时,根据规划的网络通信规则修改微服务应用的网络安全策略。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种云管理平台中微服务应用的网络安全策略配置方法,其特征在于,包括:
实时监听云管理平台是否出现创建微服务应用的动作;
当监听到所述云管理平台出现创建微服务应用的动作时,根据所述微服务应用是否存在入口组件,为所述微服务应用的组件创建网络通信规则;其中,所述网络通信规则仅允许通过所述入口组件向微服务应用的其他组件发起访问请求;
根据所述网络通信规则,配置所述微服务应用的网络安全策略。
2.根据权利要求1所述的微服务应用的网络安全策略配置方法,其特征在于,所述根据微服务应用是否存在入口组件,为微服务应用的组件创建网络通信规则的步骤,包括:
当所述微服务应用存在入口组件时,将所述微服务应用中除所述入口组件外的其他组件整合于同一网络孤岛,为所述入口组件开放连通所述网络孤岛的通信端口,其中,所述通信端口用于通过所述入口组件向所述网络孤岛流入数据;或者,
当所述微服务应用不存在入口组件时,将所述微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问所述网络孤岛内的组件。
3.根据权利要求1或2所述的微服务应用的网络安全策略配置方法,其特征在于,在所述根据网络通信规则,配置微服务应用的网络安全策略的步骤之后,所述方法还包括:
监听所述微服务应用中各组件之间的数据流向;
根据所述各组件之间的数据流向,分别规划所述微服务应用中每一组件的网络通信规则,其中,所述网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
4.根据权利要求3所述的微服务应用的网络安全策略配置方法,其特征在于,在所述根据各组件之间的数据流向,分别规划所述微服务应用中每一组件的网络通信规则的步骤之后,所述方法还包括:
判断规划的网络通信规则是否与当前网络通信规则相同;
若判定所述规划的网络通信规则与当前网络通信规则不同,则推送策略修改请求,其中,所述策略修改请求用于请求策略修改指令;
当接收到所述策略修改指令时,根据所述规划的网络通信规则修改所述微服务应用的网络安全策略。
5.根据权利要求1所述的微服务应用的网络安全策略配置方法,其特征在于,配置微服务应用的网络安全策略的步骤,包括:
配置所述微服务应用中各组件所在的网络孤岛;以及,
配置所述微服务应用中各组件需要启用或禁用的通信端口。
6.一种微服务应用的网络安全策略配置系统,其特征在于,包括:
监听模块,用于实时监听云管理平台是否出现创建微服务应用的动作;
规则创建模块,用于当所述监听模块监听到所述云管理平台出现创建微服务应用的动作时,根据所述微服务应用是否存在入口组件,为所述微服务应用的组件创建网络通信规则;其中,所述网络通信规则仅允许通过所述入口组件向微服务应用的其他组件发起访问请求;
安全策略配置模块,用于根据所述网络通信规则,配置所述微服务应用的网络安全策略。
7.根据权利要求6所述的微服务应用的网络安全策略配置系统,其特征在于,所述规则创建模块,包括:
组件整合子模块,用于当所述微服务应用存在入口组件时,将所述微服务应用中除所述入口组件外的其他组件整合于同一网络孤岛;
端口开放子模块,用于为所述入口组件开放连通所述网络孤岛的通信端口,其中,所述通信端口用于通过所述入口组件向所述网络孤岛流入数据;
所述组件整合子模块,还用于当所述微服务应用不存在入口组件时,将所述微服务应用中所有组件整合于同一网络孤岛,禁止其他微服务应用或组件访问所述网络孤岛内的组件。
8.根据权利要求6或7所述的微服务应用的网络安全策略配置系统,其特征在于,
所述监听模块,还用于监听所述微服务应用中各组件之间的数据流向;
所述规则创建模块,还用于根据所述各组件之间的数据流向,分别规划所述微服务应用中每一组件的网络通信规则,其中,所述网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。
9.根据权利要求8所述的微服务应用的网络安全策略配置系统,其特征在于,还包括:
规则判断模块,用于判断规划的网络通信规则是否与当前网络通信规则相同;
信息收发模块,用于当所述规则判断模块判定所述规划的网络通信规则与当前网络通信规则不同时,推送策略修改请求;
所述安全策略配置模块,还用于当所述信息收发模块接收到策略修改指令时,根据所述规划的网络通信规则修改所述微服务应用的网络安全策略。
10.根据权利要求6所述的微服务应用的网络安全策略配置系统,其特征在于,所述安全策略配置模块,包括:
孤岛配置子模块,用于配置所述微服务应用中各组件所在的网络孤岛;以及,
端口配置子模块,用于配置所述微服务应用中各组件需要启用或禁用的通信端口。
CN202010789582.1A 2020-08-07 2020-08-07 云管理平台中微服务应用的网络安全策略配置方法和系统 Active CN112019522B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010789582.1A CN112019522B (zh) 2020-08-07 2020-08-07 云管理平台中微服务应用的网络安全策略配置方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010789582.1A CN112019522B (zh) 2020-08-07 2020-08-07 云管理平台中微服务应用的网络安全策略配置方法和系统

Publications (2)

Publication Number Publication Date
CN112019522A true CN112019522A (zh) 2020-12-01
CN112019522B CN112019522B (zh) 2022-12-09

Family

ID=73499282

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010789582.1A Active CN112019522B (zh) 2020-08-07 2020-08-07 云管理平台中微服务应用的网络安全策略配置方法和系统

Country Status (1)

Country Link
CN (1) CN112019522B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162884A (zh) * 2015-09-25 2015-12-16 浪潮(北京)电子信息产业有限公司 一种基于微服务架构的云管理平台
CN109309666A (zh) * 2018-08-22 2019-02-05 中国平安财产保险股份有限公司 一种网络安全中的接口安全控制方法及终端设备
CN109597610A (zh) * 2018-12-10 2019-04-09 南京华苏科技有限公司 一种基于微服务架构的应用结构组件化构建方法
CN109639598A (zh) * 2018-10-19 2019-04-16 深圳平安财富宝投资咨询有限公司 基于微服务的请求处理方法、服务器、存储介质及装置
CN109981789A (zh) * 2019-04-03 2019-07-05 山东浪潮云信息技术有限公司 一种基于代理模式的微服务引擎

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162884A (zh) * 2015-09-25 2015-12-16 浪潮(北京)电子信息产业有限公司 一种基于微服务架构的云管理平台
CN109309666A (zh) * 2018-08-22 2019-02-05 中国平安财产保险股份有限公司 一种网络安全中的接口安全控制方法及终端设备
CN109639598A (zh) * 2018-10-19 2019-04-16 深圳平安财富宝投资咨询有限公司 基于微服务的请求处理方法、服务器、存储介质及装置
CN109597610A (zh) * 2018-12-10 2019-04-09 南京华苏科技有限公司 一种基于微服务架构的应用结构组件化构建方法
CN109981789A (zh) * 2019-04-03 2019-07-05 山东浪潮云信息技术有限公司 一种基于代理模式的微服务引擎

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨俊伟等: "基于微服务架构的电力云服务平台", 《电力信息与通信技术》 *

Also Published As

Publication number Publication date
CN112019522B (zh) 2022-12-09

Similar Documents

Publication Publication Date Title
US8782771B2 (en) Real-time industrial firewall
CN107153565A (zh) 配置资源的方法及其网络设备
CN113625665B (zh) 集中式安全事件生成策略
EP3547634B1 (en) Method and apparatus for determining access permission, and terminal
CN110554927A (zh) 基于区块链的微服务调用方法
US11494518B1 (en) Method and apparatus for specifying policies for authorizing APIs
CN113973275A (zh) 数据处理方法、装置和介质
CN110401635A (zh) 一种内外网隔离穿透设计方法
CN105373714B (zh) 一种用户权限控制方法和装置
CN106326736A (zh) 数据处理方法及系统
CN107358526B (zh) 一种紧急交易的方法和装置
CN102045309A (zh) 一种用于防止计算机病毒攻击的方法和装置
CN113625664B (zh) 通过零接触注册的自动端点安全策略分配
CN112019522B (zh) 云管理平台中微服务应用的网络安全策略配置方法和系统
Mees Security by design in an enterprise architecture framework
US20220278944A1 (en) Method for allocating resources of a network infrastructure
Grusho et al. Information flow control on the basis of meta data
Grande et al. IEEE DySPAN 1900.5 efforts to support spectrum access standardization
WO2020228564A1 (zh) 一种应用服务方法与装置
CN115174177A (zh) 权限管理方法、装置、电子设备、存储介质和程序产品
US20090313372A1 (en) Apparatus, methods, and computer program products for managing network elements and associated network element resources by multiple management systems
CN114237914A (zh) 一种基于混合云管理调度系统
Ramli et al. Towards an architectural framework and method for realizing trustworthy complex Cyber-Physical Systems
CN112995169A (zh) 防火墙部署方法和装置
CN112860422A (zh) 用于作业处理的方法、设备和计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant