CN113472820A - 一种基于零信任模型的云资源安全隔离控制方法及系统 - Google Patents
一种基于零信任模型的云资源安全隔离控制方法及系统 Download PDFInfo
- Publication number
- CN113472820A CN113472820A CN202111035505.8A CN202111035505A CN113472820A CN 113472820 A CN113472820 A CN 113472820A CN 202111035505 A CN202111035505 A CN 202111035505A CN 113472820 A CN113472820 A CN 113472820A
- Authority
- CN
- China
- Prior art keywords
- policy
- access
- isolation
- micro
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种基于零信任模型的云资源安全隔离控制方法及系统,该方法包括:获取访问主体对所述云资源承载的云服务的访问请求;基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;下达并执行所述访问权限策略和/或所述微隔离安全策略。本发明基于零信任模型保证了对云资源的访问安全性,实现了云资源的内部隔离。
Description
技术领域
本发明涉及云资源技术领域,特别涉及一种基于零信任模型的云资源安全隔离控制方法及系统。
背景技术
零信任安全最早由著名研究机构Forrester的首席分析师约翰.金德维格在2010年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础,诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。
目前,常见的云资源主要包括物理设备资源(主要包括服务器、存储、网络)和逻辑资源(计算、存储、网络、应用),其中主机服务器资源,包括微软的Hyper-V、VMware(虚拟机软件)的ESXI、Citrix(思杰系统有限公司)的Xen、IBM的PowerVM、OpenStack(由美国航空航天局NASA和Rackspace公司等发起,超过200家厂商参与的一个云计算开源项目,遵循Apache许可证授权)的Nova-Computer以及开源服务器虚拟化软件KVM等。
随着云资源被广泛应用,如何提升云资源的安全性以及实现云资源应用的隔离,是行业研究的一个重要方向。
发明内容
本说明书实施例提供了一种基于零信任模型的云资源安全隔离控制方法及系统。
一方面,本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制方法,包括:
获取访问主体对所述云资源承载的云服务的访问请求;
基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;
下达并执行所述访问权限策略和/或所述微隔离安全策略。
另一方面,本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制系统,包括:
访问请求获取装置,用于获取访问主体对所述云资源承载的云服务的访问请求;
策略生成模块,用于基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;
策略执行模块,用于执行所述访问权限策略和/或所述微隔离安全策略。
由以上本说明书实施例提供的技术方案可见,本发明实施例本发明使用增强身份治理的零信任模型保证了对云资源的安全访问,使用微分段的零信任模型实现了云资源的内部隔离。
附图说明
图1为本说明书一些实施例的基于零信任模型的云资源安全隔离控制方法的流程图。
图2为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的组成示意图。
图3为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的细化组成示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
如图1所示,本说明书一些实施例中提供了一种基于零信任模型的云资源安全隔离控制方法,包括获取访问主体对所述云资源承载的云服务的访问请求;基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;下达并执行所述访问权限策略和/或所述微隔离安全策略。
在本说明书一些实施例中,基于策略引擎生成所述访问权限策略和微隔离安全策略,具体为,基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,所述访问权限策略和/或所述微隔离安全策略用于被策略管理器下发;基于所述访问权限策略,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;基于所述微隔离安全策略,隔离应用和/或隔离应用内的不同虚拟机。
在本说明书一些实施例中,基于所述策略管理器生成访问权限并下发所述访问权限至执行网关,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证;基于所述策略管理器下发所述微隔离安全策略至云管理平台。
在本说明书一些实施例中,基于所述云管理平台将所述微隔离安全策略下发至东西向防火墙和南北向防火墙,以隔离应用和/或隔离应用内的不同虚拟机。
另一方面,如图2所示,本说明书一些实施例还提供了一种基于零信任模型的云资源安全隔离控制系统,系统包括:访问请求获取装置,用于获取访问主体对所述云资源承载的云服务的访问请求;策略生成及下发模块,用于基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略并下发;策略执行模块,用于执行所述访问权限策略和/或所述微隔离安全策略。
如图3所示,在本说明书的一些实施例中,所述策略生成及下发模块,包括策略引擎和策略管理器;所述策略引擎用于基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,其中,所述访问权限策略具体为,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;所述微隔离安全策略具体为,隔离应用和/或隔离应用内的不同虚拟机(VM,Virtual Machine);所述策略管理器用于生成访问权限并下发所述访问权限和所述微隔离安全策略至所述策略执行模块,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证。
如图3所示,在本说明书的一些实施例中,所述策略执行模块包括执行网关和云管理平台;所述执行网关用于接收所述访问权限,并基于所述访问权限同意或拒绝所述访问主体对所述云资源承载的云服务的访问;所述云管理平台用于接收所述微隔离安全策略,将所述微隔离安全策略下发至东西向防火墙和南北向防火墙(防火墙对应图3中的vFW,virtual Firewall及执行网关),以隔离应用和/或隔离应用内的不同虚拟机。
具体而言,策略引擎负责最终决定是否授予访问主体对云资源承载的云服务(访问客体)的访问权限和云上微隔离策略。策略引擎可以使用企业安全策略以及来自外部源(例如IP黑名单、威胁情报)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问。策略引擎可以与策略管理器组件配对使用。策略引擎做出并记录决策,策略管理器执行决策。云上微隔离策略包含应用间的隔离、应用内部的隔离、结合外部态势感知等威胁情报生成的动态微隔离策略。
具体而言,策略管理器可以通过和策略引擎联动,下达策略给执行网关或云管理平台。当用户发起访问链接访问云资源承载的云服务时,策略管理器负责建立客户端与云资源承载的云服务之间的连接(是逻辑职责,而非物理连接)。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接。实现时可以将策略引擎和策略管理器作为单个服务,也可被划分为两个逻辑组件。策略管理器在创建连接时与策略执行点通信。这种通信是通过控制平面完成的。策略管理器将策略引擎生成微隔离策略下发给云管理平台,云管理平台将策略下发至东西向防火墙和南北向防火墙,从而实现应用间的隔离以及应用内不同虚拟机之间的隔离。
综上,本发明将零信任模型与云管理平台结合,云管理平台作为零信任模型中的策略执行模块的组件,执行安全策略,保证了对云资源的安全访问,实现了对云资源的内部隔离。
虽然上文描述的过程流程包括以特定顺序出现的多个操作,但是,应当清楚了解,这些过程可以包括更多或更少的操作,这些操作可以顺序执行或并行执行(例如使用并行处理器或多线程环境)。本发明是参照根据本发明实施例的方法的流程图和/或方框图来描述的。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法实施例而言,由于其基本相似于装置实施例,所以描述的比较简单,相关之处参见装置实施例的部分说明即可。以上仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (7)
1.一种基于零信任模型的云资源安全隔离控制方法,其特征在于,所述方法包括:
获取访问主体对云资源承载的云服务的访问请求;
基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略;
下达并执行所述访问权限策略和/或所述微隔离安全策略。
2.根据权利要求1所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,
基于策略引擎生成所述访问权限策略和微隔离安全策略,具体为,
基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,所述访问权限策略和/或所述微隔离安全策略用于被策略管理器下发;
基于所述访问权限策略,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;
基于所述微隔离安全策略,隔离应用和/或隔离应用内的不同虚拟机。
3.根据权利要求2所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,
基于所述策略管理器生成访问权限并下发所述访问权限至执行网关,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证;
基于所述策略管理器下发所述微隔离安全策略至云管理平台。
4.根据权利要求3所述的基于零信任模型的云资源安全隔离控制方法,其特征在于,
基于所述云管理平台将所述微隔离安全策略下发至东西向防火墙和南北向防火墙,以隔离应用和/或隔离应用内的不同虚拟机。
5.一种基于零信任模型的云资源安全隔离控制系统,其特征在于,包括,
访问请求获取装置,用于获取访问主体对云资源承载的云服务的访问请求;
策略生成及下发模块,用于基于所述访问主体和所述访问请求,生成访问权限策略和/或微隔离安全策略并下发;
策略执行模块,用于执行所述访问权限策略和/或所述微隔离安全策略。
6.根据权利要求5所述的基于零信任模型的云资源安全隔离控制系统,其特征在于,
所述策略生成及下发模块,包括策略引擎和策略管理器;
所述策略引擎用于基于预设的安全策略和包括IP黑名单、威胁情报在内的来自外部源的输入,生成所述访问权限策略和/或微隔离安全策略,其中,所述访问权限策略具体为,决定同意或拒绝所述访问主体对所述云资源承载的云服务的访问;所述微隔离安全策略具体为,隔离应用和/或隔离应用内的不同虚拟机;
所述策略管理器用于生成访问权限并下发所述访问权限和所述微隔离安全策略至所述策略执行模块,其中,所述访问权限包括:允许访问IP、端口、应用协议、身份验证令牌或身份验证凭证。
7.根据权利要求6所述的基于零信任模型的云资源安全隔离控制系统,其特征在于,
所述策略执行模块包括执行网关和云管理平台;
所述执行网关用于接收所述访问权限,并基于所述访问权限同意或拒绝所述访问主体对所述云资源承载的云服务的访问;
所述云管理平台用于接收所述微隔离安全策略,将所述微隔离安全策略下发至东西向防火墙和南北向防火墙,以隔离应用和/或隔离应用内的不同虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111035505.8A CN113472820A (zh) | 2021-09-06 | 2021-09-06 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111035505.8A CN113472820A (zh) | 2021-09-06 | 2021-09-06 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113472820A true CN113472820A (zh) | 2021-10-01 |
Family
ID=77867498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111035505.8A Pending CN113472820A (zh) | 2021-09-06 | 2021-09-06 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472820A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| CN115001870A (zh) * | 2022-08-02 | 2022-09-02 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080040773A1 (en) * | 2006-08-11 | 2008-02-14 | Microsoft Corporation | Policy isolation for network authentication and authorization |
| CN111382421A (zh) * | 2020-03-19 | 2020-07-07 | 深信服科技股份有限公司 | 一种业务访问控制方法、系统及电子设备和存储介质 |
| CN112003877A (zh) * | 2020-09-03 | 2020-11-27 | 上海优扬新媒信息技术有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
| CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
| CN112765639A (zh) * | 2021-01-27 | 2021-05-07 | 武汉大学 | 基于零信任访问策略的安全微服务架构及实现方法 |
-
2021
- 2021-09-06 CN CN202111035505.8A patent/CN113472820A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080040773A1 (en) * | 2006-08-11 | 2008-02-14 | Microsoft Corporation | Policy isolation for network authentication and authorization |
| CN111382421A (zh) * | 2020-03-19 | 2020-07-07 | 深信服科技股份有限公司 | 一种业务访问控制方法、系统及电子设备和存储介质 |
| CN112003877A (zh) * | 2020-09-03 | 2020-11-27 | 上海优扬新媒信息技术有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
| CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
| CN112765639A (zh) * | 2021-01-27 | 2021-05-07 | 武汉大学 | 基于零信任访问策略的安全微服务架构及实现方法 |
Non-Patent Citations (3)
| Title |
|---|
| 秦益飞等: "零信任落地路径研究", 《信息安全与通信保密》 * |
| 苗功勋等: "基于零信任的企业安全上云融合解决方案研究", 《保密科学技术》 * |
| 蔺旭冉等: "零信任安全架构技术研究和应用思考", 《中国核电》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| CN114938303B (zh) * | 2022-05-20 | 2023-10-20 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115118465B (zh) * | 2022-06-13 | 2023-11-28 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115001870A (zh) * | 2022-08-02 | 2022-09-02 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
| CN115001870B (zh) * | 2022-08-02 | 2022-11-01 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11641361B2 (en) | Dynamic access control to network resources using federated full domain logon | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| US8850546B1 (en) | Privacy-preserving user attribute release and session management | |
| US10999328B2 (en) | Tag-based policy architecture | |
| US11489872B2 (en) | Identity-based segmentation of applications and containers in a dynamic environment | |
| CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
| US9560080B2 (en) | Extending organizational boundaries throughout a cloud architecture | |
| US9635029B2 (en) | Role-based access control permissions | |
| CN113472820A (zh) | 一种基于零信任模型的云资源安全隔离控制方法及系统 | |
| KR20170062529A (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| US10218704B2 (en) | Resource access control using named capabilities | |
| US9215235B1 (en) | Using events to identify a user and enforce policies | |
| US8601544B1 (en) | Computer system employing dual-band authentication using file operations by trusted and untrusted mechanisms | |
| Brock et al. | Toward a framework for cloud security | |
| Padma et al. | DAuth—Delegated Authorization Framework for Secured Serverless Cloud Computing | |
| WO2023088925A1 (en) | Trusted execution environment for service mesh | |
| US20220006801A1 (en) | Mechanism of common authentication for both supervisor and guest clusters | |
| WU et al. | A survey on cloud security | |
| US9240988B1 (en) | Computer system employing dual-band authentication | |
| Kumar et al. | Ensuring security for virtualization in cloud services | |
| Chandrasekaran et al. | Distributed access control in cloud computing systems | |
| Shere et al. | A review of federated identity management of OpenStack cloud | |
| Baranova | Multi-Tenant Isolation in a Service Mesh | |
| Thomas et al. | An access control model for cloud computing environments | |
| Tbatou et al. | Trust in cloud computing challenges: A recent survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211001 |