CN112511560B - 一种基于服务网格的混合云环境下数据安全保障方法 - Google Patents

一种基于服务网格的混合云环境下数据安全保障方法 Download PDF

Info

Publication number
CN112511560B
CN112511560B CN202011518472.8A CN202011518472A CN112511560B CN 112511560 B CN112511560 B CN 112511560B CN 202011518472 A CN202011518472 A CN 202011518472A CN 112511560 B CN112511560 B CN 112511560B
Authority
CN
China
Prior art keywords
service
security
data
sidecar
services
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011518472.8A
Other languages
English (en)
Other versions
CN112511560A (zh
Inventor
王磊
黄启功
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yunsi Imagination Technology Co ltd
Original Assignee
Beijing Yunsi Imagination Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yunsi Imagination Technology Co ltd filed Critical Beijing Yunsi Imagination Technology Co ltd
Priority to CN202011518472.8A priority Critical patent/CN112511560B/zh
Publication of CN112511560A publication Critical patent/CN112511560A/zh
Application granted granted Critical
Publication of CN112511560B publication Critical patent/CN112511560B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于服务网格的混合云环境下数据安全保障方法,涉及计算机技术领域,包含以下步骤:管理员对服务之间的访问安全进行配置,定义服务A、B、C、以及存储服务之间的安全策略,确定加密通信与非加密通信,并由控制平面统一下发到智能代理sidecar上;外部进入请求,到达服务A后,服务A通过DNS解析到服务B的地址,并发起调用;服务A调用B的请求被sidecar拦截,进行流量透传;服务B调用服务C,DNS解析服务C的地址为公有云地址,进行安全策略的配置。本发明能够解除公有云厂商的限制,能够保证多云之间的网络传输层安全和公有云内部的应用通信安全以及数据存储安全;能够灵活自定义安全传输,定义跨云的服务之间启用安全访问。

Description

一种基于服务网格的混合云环境下数据安全保障方法
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于服务网格的混合云环境下数据安全保障方法。
背景技术
随着云计算的发展,如今几乎每个企业都计划或正在使用云计算。同时,由于安全和审计等方面的原因,并非所有的企业信息都能适合放置在公有云上,所以大部分已经应用云计算的企业都在使用混合云模式。虽然使用混合云允许用户利用公共云和私有云各自的优势,还为应用程序在多云环境中的移动提供了极大的灵活性。但是混合云的配置管理相对更加复杂,而且难以维护;由于混合云是不同的云平台、数据和应用程序的组合,因此整合将是一项挑战;在开发混合云时,基础设施之间也会出现兼容性问题。
针对混合云场景下数据安全的方案,目前有两种解决方案:1、使用公有云厂商提供的VPC高速通道;2、第三方安全厂商VPN公网接入。这两种方案都有各自的优点,能够适用于不同用户的需求,但是这两种方案都受限于公有云厂商,并且不能够保证多云之间的网络传输层安全,不负责公有云内部的应用通信安全以及数据存储安全;不能灵活自定义安全传输,不能定义跨云的服务之间是否启用安全访问。
发明内容
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种基于服务网格的混合云环境下数据安全保障方法,能够解除公有云厂商的限制,能够保证多云之间的网络传输层安全和公有云内部的应用通信安全以及数据存储安全;能够灵活自定义安全传输,定义跨云的服务之间启用安全访问。
(二)技术方案
本发明提供了一种基于服务网格的混合云环境下数据安全保障方法,所述方法包含以下步骤:
S1:管理员对服务之间的访问安全进行配置,定义服务A、B、C、以及存储服务之间的安全策略,确定加密通信与非加密通信,并由控制平面统一下发到智能代理sidecar上;
S2:外部进入请求,到达服务A后,服务A通过DNS解析到服务B的地址,并发起调用;
S3:服务A调用B的请求被sidecar拦截,进行流量透传;
S4:服务B调用服务C,DNS解析服务C的地址为公有云地址,进行安全策略的配置;
S5:服务B的sidecar进行流量拦截,按照下发的安全策略,使用对应的密钥加密后调用公有云上的服务C;
S6:服务C通过DNS解析到存储服务的地址,并发起调用;
S7:服务C和存储服务均部署在公有云,此时服务C的sidecar进行流量拦截后,继续按照安全策略调用存储服务;
S8:数据到达存储服务,存储服务的sidecar对数据进行拦截,根据存储引擎的类型,进行对应的加密后落盘;
S9:其他服务通过存储服务读取数据时,sidecar进行解密,提供数据的访问。
优选的,sidecar内置加密方式,独立部署。
优选的,私有云和公有云之间的数据传输动态识别并进行加密处理。
优选的,公有云内部数据传输进行安全处理。
优选的,控制平面对加密方式、控制逻辑等配置进行动态下发,实时配置变更。
与现有技术相比,本发明的上述技术方案具有如下有益的技术效果:
1、安全通信及数据加密无需改造或者侵入业务应用,通过sidecar独立进程对服务进行流量拦截,实现对数据的加密操作;同时,sidecar可以被任意服务重用,通过对数据安全能力的复用提高应用开发效率;sidecar也可以独立进行升级和维护。所以,从安全服务的开发、维护层面,成本都会大幅降低。
2、业务应用无需关心服务的部署位置,根据服务发现确定位置后,由DNS解析进行动态的服务发现,在私有云无法承载工作负载时,业务进行弹性扩容到公有云环境时,业务调用会自动把一些业务流量切换到公有云上,并进行安全策略的自动配置。既可以实现资源在多云环境下的弹性伸缩,又可以保障服务跨云调用的安全。
3、根据服务的交互位置,自动判断是否需要进行加密处理,默认情况下私有云无需进行加密,提高访问效率,公有云内部也会自动进行加密传输,进一步保障数据安全。通过合理配置,可以实现在零信任网络情况下的网络通信安全。
4、支持多数据的加密存储,在业务服务写入数据前,在存储层对数据进行加密处理,保障在非安全区域的数据存储安全,包括文件系统、对象存储、数据库等均可以通过解析相关协议,并对数据进行加密,以及读取数据时的解密操作,做到应用无感知的加解密处理。
5、通过企业统一的密钥管理系统进行加密密钥的下发,实现企业统一的服务访问权限控制系统,做到对服务之间的访问灵活、安全控制。
6、将数据密钥、加密方式等常用安全策略在控制平面进行抽象,并通过统一控制服务向sidecar独立进程进行下发,动态更改流量安全控制策略,对企业服务的安全进行全局统一管控。
附图说明
图1为本发明提出的一种基于服务网格的混合云环境下数据安全保障方法的结构示意图。
图2为本发明提出的一种基于服务网格的混合云环境下数据安全保障方法实施例的结构示意图。
附图标记:1、sidecar;2、控制平面;3、DNS。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-2所示,本发明提出的一种基于服务网格的混合云环境下数据安全保障方法,所述方法包含:
S1:首先由管理员对于服务之间的访问安全进行配置,定义服务A、B、C、以及存储服务之间的安全策略,服务A与服务B之间为非加密通信,服务B与服务C之间为加密通信,其中密钥可以从KMS选择,并由控制平面统一下发到智能代理sidecar上。同时,可以随时通过控制平面进行配置变更;
S2:对于外部进入的请求,到达服务A后,服务A通过DNS解析到服务B的地址,并发起调用;
S3:服务A调用B的请求被sidecar拦截,由于未开启安全策略,直接进行流量透传即可;
S4:服务B调用服务C,通过DNS解析到服务C的地址为公有云地址,并且配置了安全策略;
S5:服务B的sidecar进行流量拦截,并且按照下发的安全策略,使用对应的密钥加密后调用公有云上的服务C;
S6:服务C通过DNS解析到存储服务的地址,并发起调用;
S7:由于服务C和存储服务均部署在公有云,所以服务C的sidecar进行流量拦截后,继续按照安全策略调用存储服务;
S8:数据达到存储服务后,需要进行最终的数据落盘,此时存储服务的sidecar也会对数据进行拦截,根据存储引擎的类型,比如文件系统、ftp、数据库等,进行对应的加密后再落盘,保障在公有云存储的数据的安全性;同时,当有其他服务通过存储服务读取数据时,sidecar同样会进行解密,以便正常提供数据的访问。
本次发明涉及到的组件主要有三个:
1、智能代理sidecar服务,负责流量拦截、接收安全策略并按照策略执行数据安全动作;
2、DNS服务,动态解析服务名称,支持跨多云环境的智能解析,允许服务之间根据DNS进行服务发现,并根据服务健康状态、分布情况等进行登台更新;
3、安全控制平面服务,允许安全管理人员进行各个维度的安全配置,包括默认安全策略、任意服务之间的安全配置、集成KMS的证书下发等。
为方便非本领域技术人员的理解,本发明将对以下名次进行解释:
DNS:域名系统(Domain Name System,缩写:DNS)是互联网的一项服务,是一个将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网;
KMS:密钥管理服务(Key Management Service,缩写:KMS);
Sidecar:为了降低将代理注入到服务的复杂性,引入了服务端的sidecar模式,使其能够独立与运行服务部署并处理网络通信,构成了服务网格的数据平面。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (4)

1.一种基于服务网格的混合云环境下数据安全保障方法,其特征在于,所述方法包含以下步骤:
S1:管理员对服务之间的访问安全进行配置,定义服务A、B、C、以及存储服务之间的安全策略,确定加密通信与非加密通信,并由控制平面统一下发到智能代理sidecar上;
S2:外部进入请求,到达服务A后,服务A通过DNS解析到服务B的地址,并发起调用;
S3:服务A调用B的请求被sidecar拦截,进行流量透传;
S4:服务B调用服务C,DNS解析服务C的地址为公有云地址,进行安全策略的配置;
S5:服务B的sidecar进行流量拦截,按照下发的安全策略,使用对应的密钥加密后调用公有云上的服务C;
S6:服务C通过DNS解析到存储服务的地址,并发起调用;
S7:服务C和存储服务均部署在公有云,此时服务C的sidecar进行流量拦截后,继续按照安全策略调用存储服务;
S8:数据到达存储服务,存储服务的sidecar对数据进行拦截,根据存储引擎的类型,进行对应的加密后落盘;
S9:其他服务通过存储服务读取数据时,sidecar进行解密,提供数据的访问;
私有云和公有云之间的数据传输动态识别并进行加密处理。
2.根据权利要求1所述的一种基于服务网格的混合云环境下数据安全保障方法,其特征在于,sidecar内置加密方式,独立部署。
3.根据权利要求1所述的一种基于服务网格的混合云环境下数据安全保障方法,其特征在于,公有云内部数据传输进行安全处理。
4.根据权利要求1所述的一种基于服务网格的混合云环境下数据安全保障方法,其特征在于,控制平面对加密方式、控制逻辑配置进行动态下发,实时配置变更。
CN202011518472.8A 2020-12-21 2020-12-21 一种基于服务网格的混合云环境下数据安全保障方法 Active CN112511560B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011518472.8A CN112511560B (zh) 2020-12-21 2020-12-21 一种基于服务网格的混合云环境下数据安全保障方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011518472.8A CN112511560B (zh) 2020-12-21 2020-12-21 一种基于服务网格的混合云环境下数据安全保障方法

Publications (2)

Publication Number Publication Date
CN112511560A CN112511560A (zh) 2021-03-16
CN112511560B true CN112511560B (zh) 2021-10-22

Family

ID=74923079

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011518472.8A Active CN112511560B (zh) 2020-12-21 2020-12-21 一种基于服务网格的混合云环境下数据安全保障方法

Country Status (1)

Country Link
CN (1) CN112511560B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143048B (zh) * 2021-11-18 2023-09-26 绿盟科技集团股份有限公司 一种安全资源管理的方法、装置及存储介质
CN114637549B (zh) * 2022-02-22 2024-06-14 阿里巴巴(中国)有限公司 基于服务网格的应用的数据处理方法、系统和存储介质
CN117289877B (zh) * 2023-11-23 2024-03-19 云筑信息科技(成都)有限公司 一种基于服务网格的通用文件存储动态代理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106651724A (zh) * 2017-01-03 2017-05-10 山东浪潮商用系统有限公司 一种基于混合云的电子税务局系统
CN106992964A (zh) * 2017-02-20 2017-07-28 广东省中医院 一种适用于混合云的微服务安全代理系统
WO2019068036A1 (en) * 2017-09-30 2019-04-04 Oracle International Corporation DEPLOYMENT OF CONTAINERS BASED ON ENVIRONMENTAL REQUIREMENTS
CN109067597A (zh) * 2018-09-21 2018-12-21 杭州安恒信息技术股份有限公司 一种分布式系统动态智能服务治理方法
CN109981789B (zh) * 2019-04-03 2021-09-07 浪潮云信息技术股份公司 一种基于代理模式的微服务引擎
CN110011850B (zh) * 2019-04-09 2020-08-18 苏州浪潮智能科技有限公司 云计算系统中服务的管理方法和装置
CN111917844A (zh) * 2020-07-17 2020-11-10 中信银行股份有限公司 一种分布式服务追踪的方法及装置

Also Published As

Publication number Publication date
CN112511560A (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN112511560B (zh) 一种基于服务网格的混合云环境下数据安全保障方法
CN106973036B (zh) 一种基于非对称加密的区块链隐私保护方法
Agarwal et al. The security risks associated with cloud computing
CN109525570B (zh) 一种面向集团客户的数据分层安全访问控制方法
US20070061870A1 (en) Method and system to provide secure data connection between creation points and use points
CN104838630A (zh) 基于策略的应用程序管理
US20120278611A1 (en) Vpn-based method and system for mobile communication terminal to access data securely
AU2020305390B2 (en) Cryptographic key orchestration between trusted containers in a multi-node cluster
KR101219662B1 (ko) 클라우드 서비스 보안 시스템 및 그 방법
CN105281912A (zh) 基于移动网络的电网运行调度系统
US20180063088A1 (en) Hypervisor network profiles to facilitate vpn tunnel
CN112738200B (zh) 一种基于封闭式公网系统的便捷运维工具及方法
Rani et al. Cloud security with encryption using hybrid algorithm and secured endpoints
CN101923610A (zh) 一种数据保护方法及系统
Liu et al. Df-rbac: dynamic and fine-grained role-based access control scheme with smart contract
CN111083088B (zh) 基于多安全域的云平台分级管理方法及装置
CN106911721B (zh) 基于云计算的创业登记数据处理平台
CN113626149B (zh) 一种基于终端虚拟化的商业秘密保护方法及系统
CN112437031A (zh) 一种基于异构网络的多端融合国土资源移动政务系统
Narang et al. A review on different security issues and challenges in cloud computing
CN116094696A (zh) 数据安全保护方法、数据安全管理平台、系统和存储介质
He et al. Dynamic secure interconnection for security enhancement in cloud computing
CN104820803A (zh) 企业移动应用之间的数据共享方法
Richter et al. Security Considerations for Microservice Architectures.
Porwal et al. An approach for secure data transmission in private cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant