CN113961245A - 一种基于微服务应用的安全防护系统、方法及介质 - Google Patents
一种基于微服务应用的安全防护系统、方法及介质 Download PDFInfo
- Publication number
- CN113961245A CN113961245A CN202111259722.5A CN202111259722A CN113961245A CN 113961245 A CN113961245 A CN 113961245A CN 202111259722 A CN202111259722 A CN 202111259722A CN 113961245 A CN113961245 A CN 113961245A
- Authority
- CN
- China
- Prior art keywords
- container
- detection result
- envoy
- request
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/22—Microcontrol or microprogram arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Abstract
本申请涉及微服务应用技术领域,具体涉及一种基于微服务应用的安全防护系统、方法及介质。该系统包括容器集Pod,Pod包括代理Envoy容器和安全容器,安全容器用于接收Envoy容器发送的用户访问微服务应用的请求,从请求中提取多种预设参数类型的参数信息,根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得请求的检测结果,以及将检测结果发送给Envoy容器。Envoy容器还用于接收检测结果,执行与检测结果对应的流量策略。本申请通过设置单独的安全容器,独立于Envoy容器之外,无需依赖Envoy的开发模式及固有限制,对更多恶意攻击进行检测,提高微服务应用的安全防护能力。
Description
技术领域
本申请涉及微服务应用技术领域,具体涉及一种基于微服务应用的安全防护系统、方法及介质。
背景技术
近年来,云原生技术快速发展,在各行各业得到广泛应用。云原生技术的应用设计面向微服务架构,将单个应用拆分为多个微服务,每个微服务以容器的形式部署在容器编排平台中。在这种微服务架构下,业界一般通过Istio平台对微服务之间的流量进行治理,以保证微服务应用的安全,Istio平台是一个适用于云原生场景的服务治理的开放平台。
目前,主要通过Istio的Envoy容器中二次开发的扩展插件实现微服务应用的安全防护,由于二次开发的扩展插件与Envoy容器存在适配问题,为了兼顾Envoy容器的性能,开发人员编写的扩展插件的功能受到限制,能够检测出的恶意攻击类型依然较少。因此,现有技术中的Envoy容器对微服务应用的安全防护能力较低。
发明内容
本申请实施例提供一种基于微服务应用的安全防护系统、方法及介质,用于提高微服务应用的安全防护能力。
第一方面,提供一种基于微服务应用的安全防护系统,所述系统包括容器集Pod,所述Pod包括代理Envoy容器和安全容器,其中:
所述安全容器,用于接收所述Envoy容器发送的用户访问微服务应用的请求,从所述请求中提取多种预设参数类型的参数信息,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得所述请求的检测结果,以及将所述检测结果发送给所述Envoy容器,其中,所述预设规则库包括多个预设规则,每个预设规则包括一种恶意攻击的参数信息,所述检测结果用于指示所述请求为正常流量或恶意攻击;
所述Envoy容器,用于接收所述检测结果,执行与所述检测结果对应的流量策略。
在本申请实施例中,安全防护系统单独设置了一个安全容器,Envoy容器直接将用户发起的请求发送给安全容器,完全由安全容器对请求进行检测,不需要Envoy容器参与,将系统的安全防护能力独立于Envoy容器之外,安全容器和Envoy容器之间不存在适配性问题,无需依赖Envoy的开发模式及固有限制,进而可以对更多的恶意攻击进行检测,从而提高微服务应用的安全防护能力,降低了微服务应用被攻击的风险。
在一种可能的实施例中,所述Pod还包括业务容器,其中:
所述Envoy容器,具体用于接收所述检测结果,若所述检测结果指示所述请求属于正常流量类型,则将所述请求发送给所述业务容器;
所述业务容器,用于接收所述请求,对所述请求进行响应。
在本申请实施例中,Envoy容器根据检测结果,确定用户发起的请求属于正常流量,则将该请求转发给业务容器,以便业务容器正常响应该请求,以满足用户的访问需求。
在一种可能的实施例中,所述系统包括多个Pod,每个Pod包括一个所述Envoy容器、一个所述安全容器以及一个所述业务容器,每个Pod对应一个微服务应用。
在本申请实施例中,每个Pod对应一个微服务应用,相当于每个Pod的安全容器对应一个微服务应用,即使部分微服务应用对应的安全容器发生故障,也不会影响到其它安全容器对其他微服务应用的安全防护,具有更高的鲁棒性。
在一种可能的实施例中,所述Envoy容器,具体用于接收所述检测结果,若所述检测结果指示所述请求为恶意攻击,则拦截所述请求。
在本申请实施例中,Envoy容器根据检测结果,确定用户发起的请求为恶意攻击,则立即拦截该请求,避免该请求对微服务应用的攻击。
在一种可能的实施例中,所述系统还包括配置存储模块;
所述配置存储模块,用于存储所述多个预设规则;
所述安全容器,还用于实时监听所述配置存储模块中存储的所述多个预设规则是否更新,若确定所述多个预设规则中存在更新的预设规则,则获取所述更新的预设规则,更新所述预设规则库。
在本申请实施例中,可以对预设规则库进行实时更新,以便能够检测最新类型的恶意攻击。
在一种可能的实施例中,所述系统还包括日志收集模块和用户界面模块;
所述安全容器,还用于在获得所述检测结果之后,生成系统日志,并将所述系统日志发送给所述日志收集模块;
所述日志收集模块,用于接收并存储所述系统日志;
所述用户界面模块,用于从所述日志收集模块获取并展示所述系统日志。
在本申请实施例中,在获得检测结果之后,生成系统日志,并对系统日志进行可视化展示,方便运维人员查看每个请求的检测结果。
第二方面,提供一种基于微服务应用的安全防护方法,所述方法应用于安全防护系统的容器集Pod的安全容器中,所述Pod还包括代理Envoy容器,所述方法包括:
接收所述Envoy容器发送的用户访问微服务应用的请求,从所述请求中提取多种预设参数类型的参数信息;
根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得所述请求的检测结果,其中,所述预设规则库包括多个预设规则,每个预设规则包括一种恶意攻击的参数信息,所述检测结果用于指示所述请求为正常流量或恶意攻击;
将所述检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述检测结果,执行与所述检测结果对应的流量策略。
在一种可能的实施例中,所述Pod还包括业务容器,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若所述多种预设参数类型的参数信息中不存在与预设规则库中的预设规则匹配的参数信息,则获得所述请求为正常流量的第一检测结果;
将所述检测结果发送给所述Envoy容器,包括:
将所述第一检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述第一检测结果,将所述请求发送给业务容器。
在一种可能的实施例中,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若所述多种预设参数类型的参数信息中存在与预设规则库中的预设规则匹配的参数信息,则获得所述请求为恶意攻击的第二检测结果;
将所述检测结果发送给所述Envoy容器,包括:
将所述第一检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述第二检测结果,拦截所述请求。
在一种可能的实施例中,所述方法还包括:
若确定所述多个预设规则中存在更新的预设规则,则获取所述更新的预设规则,更新所述预设规则库。
在一种可能的实施例中,在获得所述检测结果之后,所述方法还包括:
生成系统日志。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如第二方面中任一项所述的方法。
附图说明
图1为本申请实施例提供的一种基于微服务应用的安全防护系统的Pod的结构示意图;
图2为本申请实施例提供的一种基于微服务应用的安全防护系统的数据平面的结构示意图;
图3为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图一;
图4为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图二;
图5为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图三;
图6为本申请实施例提供的一种基于微服务应用的安全防护方法的流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以按不同于此处的顺序执行所示出或描述的步骤。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
在介绍本申请实施例所提供的基于微服务应用的安全防护系统之前,为了便于理解,首先对本申请实施例中所提到的一些概念进行简单介绍。
1、微服务(Microservices Architecture)。
微服务是一种用于构建应用的架构方案,将应用程序拆分为多个核心功能,每个核心功能可以称为一项服务,换言之,一个应用程序可以拆分为多个微服务应用。微服务具有高度可维护、松散耦合、独立部署的特点。
2、服务网格(Service Mesh)。
服务网格是用于在微服务场景下处理服务间通信的基础设施层,通常实现方式为一组轻量级的网络代理,与应用程序一起部署,对应用程序透明。业界目前一般使用Istio平台对微服务应用之间的流量进行治理。
3、容器(Docker)。
容器是一个标准化的软件单元,它是将代码及其所有依赖关系打包,以便应用程序从一个计算环境可靠快速地运行到另一个计算环境的技术。
4、容器编排工具。
容器编排工具是一种按逻辑单位对应用的容器进行分组,以便管理和调度容器的工具。业界目前最常用的容器编排工具为Kubernetes(K8s)。
5、Sidecar容器。
Sidecar容器一种单节点、多容器的应用设计形式。Sidecar主张以额外的容器来扩展或增强主容器,而这个额外容器被称为Sidecar容器。例如Istio平台的Envoy容器和业务容器。
在介绍了对本申请实施例中所涉及的概念之后,下面对本申请实施例的技术背景进行介绍。
目前,主要通过Istio平台的Envoy容器内置的安全插件和二次开发的扩展插件实现微服务应用的安全防护,Envoy容器内置的安全插件中设置有多个过滤器,每个过滤器能够识别一种类型的恶意攻击,将用户发起的请求依次经过多个过滤器,可以获得该请求是否为恶意攻击的检测结果,根据该检测结果执行相应的流量策略,以保证微服务应用的安全。但是Envoy容器自带的过滤器只能识别出一些简单的恶意攻击,随着网络日益复杂,恶意攻击的类型越来越多。开发人员可以二次开发,编写新的过滤器,集成在Envoy容器的扩展插件中,从而检测更多类型的流量攻击。由于新的过滤器是按照Envoy容器的标准和协议编写的,扩展插件与Envoy容器之间存在适配性问题。因此,为了兼顾Sidecar容器的性能,扩展插件能够提供的过滤器的功能也是有限制的,导致微服务应用的安全防护能力较低。
为了提高微服务应用的安全防护能力,本申请实施例提供一种基于微服务应用的安全防护系统。在本申请实施例中,首先需要搭建Kubernetes集群环境以及Istio平台,进而使得本申请实施例中基于微服务应用的安全防护系统所包括的模块均在Kubernetes集群环境下的Istio平台中运行。也就是说,本申请实施例中基于微服务应用的安全防护系统是依托于Kubernetes集群环境下的Istio平台而实施。安全防护系统包括数据平面和控制平面,数据平面和控制平面运行在Kubernetes集群中,Kubernetes集群包括多个节点,节点分为主节点和从节点,从节点可以接收主节点的调度,并运行相应的微服务应用。例如控制平面可以运行在主(Master)节点上,数据平面可以运行在从(Worker)节点上。
本申请实施例提供的安全防护系统包括容器集(Pod),Pod在安全防护系统的数据平面中,具体运行在Kubernetes集群中。Pod是Kubernetes集群最基本的部署调度单元,也就是,微服务应用运行的最小单元,每个Pod包括多个容器。
请参照图1,为本申请实施例提供的一种基于微服务应用的安全防护系统的Pod的结构示意图,该Pod包括Envoy容器101和安全容器102。下面对Envoy容器101和安全容器102的功能进行详细介绍。
安全容器102,用于接收Envoy容器101发送的用户访问微服务应用的请求,从请求中提取多种预设参数类型的参数信息,根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得请求的检测结果,以及将检测结果发送给Envoy容器101。
具体的,Envoy容器101可以接收用户发起的访问微服务应用的请求,例如,若用户想要访问微服务应用,输入相应的网址或者点击相应的微服务应用图标,便发起访问微服务应用的请求。Envoy容器101直接将该请求发送给安全容器102。
安全容器102集成了核心安全引擎及相应插件,为相对轻量级的安全容器。由于恶意攻击的类型有多种,每种恶意攻击的参数信息不同,安全容器102在接收请求之后,可以确定多种预设参数类型,例如安全容器102可以将该请求中携带的所有参数信息对应的参数类型确定为多种预设参数类型,或者例如安全容器102可以将预设规则库中的全部预设规则或部分预设规则对应的参数类型确定为多种预设参数类型。安全容器102中预存有预设规则库,预设规则库包括多个预设规则,每个预设规则对应一种恶意攻击,每个预设规则可以仅包括一种恶意攻击的参数信息,每个预设规则也可以包括一种恶意攻击的参数信息和攻击类型,攻击类型例如SOL注入攻击、恶意的Webshell上传等。
进一步,安全容器102确定多种预设参数类型之后,可以从请求中提取该多种预设参数类型的参数信息,例如请求具体为超文本传送(hypertext transport protocol,http)协议,安全容器102可以提取http协议携带的请求头、请求体、请求载荷等。若多种预设参数类型的参数信息中不存在与预设规则库中的预设规则匹配的参数信息,则获得请求为正常流量的第一检测结果,若多种预设参数类型的参数信息中存在与预设规则库中的预设规则匹配的参数信息,则获得请求为恶意攻击的第二检测结果。安全容器102获得该请求的检测结果之后,将该检测结果发送给Envoy容器101,检测结果用于指示该请求为正常流量或恶意攻击。
下面以SQL注入攻击为例,介绍安全容器102检测请求的过程。
例如,某请求的统一资源定位器(Uniform Resource Locator,URLurl)为:“http://192.168.19.195:30012?id%3D-1%27%20union%20select%201%2C2%2C(select%20group_concat(schema_name)%20from%20information_schema.schemata)%20--%2B”。
该请求中的参数信息为:
“id%3D-1%27%20union%20select%201%2C2%2C(select%20group_concat(schema_name)%20from%20information_schema.schemata)%20--%2B”。
解码后的参数信息如下:
“id=-1'union select 1,2,(select group_concat(schema_name)frominformation_schema.schemata)--+”。
该解码后的参数信息与预设规则库中某条预设规则的参数信息匹配,说明该请求为恶意攻击。若预设规则还包括攻击类型,还可以进一步确定该请求属于恶意攻击中的SQL注入攻击。
Envoy容器101,还用于接收安全容器102发送的检测结果,执行与检测结果对应的流量策略。
由于检测结果不同,Envoy容器101执行的流量策略不同,下面分别进行介绍。
第一种,Envoy容器101接收到第一检测结果。
请继续参照图1,该Pod除了包括Envoy容器101和安全容器102,还包括业务容器103,业务容器103包括微服务应用的各种数据,用于对用户发起的请求进行响应。
若Envoy容器101接收到第一检测结果,即检测结果指示该请求为正常流量,则将该请求发送至业务容器103,业务容器103对该请求进行正常响应。例如,若用户请求访问该微服务应用的某一数据,业务容器103则调用对应的数据给用户。
第二种,Envoy容器101接收到第二检测结果。
若Envoy容器101接收到第二检测结果,即检测结果指示该请求为恶意攻击,则拦截该请求,避免该请求被继续转发,以保证微服务应用的安全。
本申请实施例中,以非侵入式的方式在Envoy容器和业务容器之间部署了一个安全容器,仅由安全容器对用户发起的请求进行检测,将安全防护能力独立于Envoy容器之外,对Istio自身代码逻辑达到了无侵入的特点,无需依赖Envoy的开发模式及固有限制,可以检测更多类型的恶意攻击,从而提高微服务应用的安全防护能力。且,本申请实施例中安全容器一次性提取多种参数类型的参数信息,将多种参数类型的参数信息与预设规则库的多个预设规则进行匹配,相较于现有技术中依次通过多个过滤器的方式,检测效率更高。
在一种可能的实施例中,该安全防护系统的数据平面可以包括一个或多个Pod,换言之,Kubernetes集群中运行着一个或多个Pod,每个Pod包括一个Envoy容器、一个安全容器以及一个业务容器。当安全防护系统包括多个Pod时,一个Pod可以对应一个或多个微服务应用,下面分别进行介绍。
一、一个Pod对应一组微服务应用。
本申请实施例中,可以对微服务应用进行分组,例如将功能相近的多个微服务应用分为一组,一个Pod对应一组微服务应用,可以减少设置的安全容器的数量。
二、一个Pod对应一个微服务应用。
本申请实施例中,一个Pod对应一个微服务应用,换言之,一个Pod中的安全容器与一个微服务应用对应,即使某微服务应用对应的安全容器发生故障,也不会影响到其它安全容器对其他微服务应用的安全防护,保证其他微服务应用的安全。
请参照图2,为本申请实施例提供的一种基于微服务应用的安全防护系统的数据平面的结构示意图,该数据平面100包括多个Pod,每个Pod包括一个Envoy容器101、一个安全容器102和一个业务容器103,PodA表示微服务应用A运行的最小单元,PodB表示微服务应用B运行的最小单元。
应当说明的是,当安全防护系统包括多个Pod时,每个Pod的安全容器的预设规则库可以相同,这样方便统一管理多个安全容器的预设规则库。每个安全容器的预设规则库也可以不同,这样攻击者使用同一种恶意攻击无法绕过所有的安全容器,从而降低了恶意攻击在多个微服务应用之间传递的风险。
在介绍Pod的功能之后,其中涉及到安全容器102的预设规则库中的预设规则是如何获取的。预设规则库中的预设规则可以是安全容器102生成的,也可以是其他模块发送给安全容器102的,还可以是安全容器102从其他模块中获取的,其他模块为安全防护系统中除安全容器102之外的模块。
在一种可能的实施例中,预设规则库中的预设规则是安全中心平台下发给配置存储模块,再由配置存储模块下发给安全容器102的。请参照图3,为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图一。该安全防护系统包括安全中心平台300、以及数据平面100和控制平面200。其中,数据平面100和控制平面200运行在Kubernetes集群中,控制平面200包括配置服务模块201和配置存储模块202,安全中心平台300包括用户界面模块301、网页后端模块302和数据库模块303,箭头表示预设规则的流向。
下面结合图3所示的安全防护系统,对安全容器102获取预设规则的过程进行介绍。
用户界面模块301又可称为网络产品界面设计(Website User Interface,WEBUI)模块,可以用于展示安全防护系统中的信息供运维人员查看,例如展示安全容器的数量、每个安全容器的预设规则库中的多个预设规则等。用户界面模块301还可以用于检测运维人员所进行的各种类型的操作,例如运维人员所进行的单击操作、双击操作、滑动操作、轻按操作(例如触控压力小于第一预设压力)的操作、重压操作(例如触控压力大于第二预设压力)的操作等,也就是说,用户界面模块301在本申请实施例中的安全防护系统与运维人员之间建立了操作交互接口,作为运维人员与安全防护系统之间进行动作交互的媒介。
用户界面模块301可以接收运维人员输入的多个预设规则,运维人员为专门管理和维护该安全防护系统的人员,运维人员可以直接从网络资源获取多个预设规则,也可以自己根据实际需求编写多个预设规则。用户界面模块301将多个预设规则发送给网页后端模块302,网页后端模块302可以将多个预设规则发送到数据库模块303进行存储,还可以将多个预设规则下发至配置服务模块201,配置服务模块201将多个预设规则发送给配置存储模块202进行实时存储,安全容器102从配置存储模块202获取多个预设规则。
现有技术在下发预设规则至微服务应用时,通过应用程序接口(ApplicationProgramming Interface,API)网关直接下发,在这种下发预设规则的方式中,API网关可以直接访问到Kubernetes集群内部的微服务应用,一旦攻击者有管理员权限,便可对微服务应用进行任意访问,无疑增大了应用安全风险。本申请实施例中的预设规则是通过安全中心平台下发的,再通过控制平面的配置存储模块下发至安全容器,这种采用中间编排层的方式可以有效避免Kubernetes集群资源被外部直接访问,从而降低被攻击的风险。
在一种可能的实施例中,由于每个Pod的预设规则库的预设规则可以不同,因此,安全中心平台300可以根据Kubernetes集群中Pod的配置情况,为每个Pod确定相应的多个预设规则,并以Pod为单位将多个预设规则下发给对应的安全容器102,安全容器102将多个预设规则保存在预设规则库中。
请参照图4,为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图二,该安全防护系统包括安全中心平台300、以及Kubernetes集群的数据平面100和控制平面200。其中,控制平面200包括配置服务模块201,安全中心平台300包括网页后端模块302和数据库模块303,其中,箭头表示Pod操作事件的流向,Pod操作事件包括增加Pod、删除Pod和更改Pod。下面结合图4所示的安全防护系统,对安全中心平台300注册和更新Pod的过程进行介绍。
配置服务模块201可以实时监听Kubernetes集群中是否有Pod操作事件发生,若确定Kubernetes集群中发生Pod操作事件,则及时通知安全中心平台300的网页后端模块302。若Pod操作事件为增加Pod,则网页后端模块302注册Pod,并保存在数据库模块303中。若Pod操作事件为删除Pod或更改Pod,则网页后端模块302对数据库模块303中存储的对应Pod进行更新,更新包括删除或更改。
在一种可能的实施例中,请继续参照图3,配置存储模块202用于存储多个预设规则。考虑到预设规则可能会更新,例如,运维人员发现了一些新类型的恶意攻击,并编写了检测新类型的恶意攻击的预设规则,通过安全中心平台300下发至控制平面200的配置服务模块201,配置服务模块201再通知配置存储模块202。本申请实施例中,配置存储模块202还提供监听机制,安全容器102可以实时监听配置存储模块202中存储的多个预设规则是否更新,若确定多个预设规则中存在更新的预设规则,则获取更新的预设规则,更新预设规则库。
为了方便运维人员查看各个请求的检测结果,在一种可能的实施例中,请参照图5,为本申请实施例提供的一种基于微服务应用的安全防护系统的结构示意图三。该安全防护系统包括安全中心平台300、以及数据平面100和控制平面200。其中,数据平面100和控制平面200运行在Kubernetes集群中,控制平面200包括日志收集模块203,安全中心平台300包括用户界面模块301、网页后端模块302和数据库模块303,箭头表示系统日志的流向。下面结合图5所示的安全防护系统,对展示系统日志的过程进行介绍。
安全容器102在获得检测结果之后,生成检测结果对应的系统日志,其中,系统日志包括日志事件、日志时间、请求方式中的至少一种,日志事件包括正常流量事件和恶意攻击事件,日志时间表示生成系统日志的本地时间,请求方式包括get请求和post请求,get请求用于从指定服务器请求数据,post请求用于将数据发送到指定服务器以创建或更新资源,指定服务器例如设置有该安全防护系统的服务器。若日志事件为恶意攻击事件,则系统日志还可以包括匹配规则和恶意攻击的类型,匹配规则表示预设规则库的多个预设规则中与该请求的参数信息匹配的预设规则。
进一步,安全容器102生成系统日志之后,将系统日志发送给日志收集模块203。日志收集模块203可以将接收的系统日志实时发送给用户界面模块301进行展示,日志收集模块203也可以接收并存储系统日志,用户界面模块301可以响应于运维人员的操作,例如点击操作,从日志收集模块203获取并展示系统日志。
本申请实施例以非侵入式的方式在Envoy容器和业务容器之间部署了一个安全容器,运维人员可以编写各种检测恶意攻击的规则,放在安全容器的预设规则库中,其安全能力可以覆盖网页服务器防护、HTTP访问控制、爬虫防护、Webshell上传防护、非法下载限制、信息泄露防护、盗链防护、跨站请求伪造(Cross-site request forgery,CSRF)、服务器端请求伪造(Server-Side Request Forgery,SSRF)等,能够为微服务应用提供较高的安全防护。且由于Istio也是包括入口(Ingress)网关和出口(Egress)网关,自身具有一定的安全防护能力,因而本申请可以为微服务应用提供全方位的安全防护。
基于同一发明构思,本申请实施例提供一种基于微服务应用的安全防护方法,该安全防护方法应用于前文所述的安全防护系统的Pod的安全容器中,该Pod还包括Envoy容器。请参照图6,为本申请实施例提供的一种基于微服务应用的安全防护方法的流程图。
S601、接收Envoy容器发送的用户访问微服务应用的请求,从请求中提取多种预设参数类型的参数信息。
其中,安全容器具体如何获取请求,提取参数信息的过程请参照前文论述的内容,此处不再赘述。
S602、根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得请求的检测结果。
其中,预设规则库包括多个预设规则,每个预设规则包括一种恶意攻击的参数信息,检测结果用于指示请求为正常流量或恶意攻击,安全容器具体如何获得检测结果的过程请参照前文论述的内容,此处不再赘述。
S603、将检测结果发送给Envoy容器。
安全容器将检测结果发送给Envoy容器,以使Envoy容器接收检测结果,执行与检测结果对应的流量策略,其中,Envoy容器具体如何执行流量策略的过程请参照前文论述的内容,此处不再赘述。
在一种可能的实施例中,Pod还包括业务容器,根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若多种预设参数类型的参数信息中不存在与预设规则库中的预设规则匹配的参数信息,则获得请求为正常流量的第一检测结果;
将检测结果发送给Envoy容器,包括:
将第一检测结果发送给Envoy容器,以使Envoy容器接收第一检测结果,将请求发送给业务容器。
其中,安全容器具体如何获得第一检测结果的过程、以及业务容器如何处理请求的过程请参照前文论述的内容,此处不再赘述。
在一种可能的实施例中,根据多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若多种预设参数类型的参数信息中存在与预设规则库中的预设规则匹配的参数信息,则获得请求为恶意攻击的第二检测结果;
将检测结果发送给Envoy容器,包括:
将第二检测结果发送给Envoy容器,以使Envoy容器接收第二检测结果,拦截请求。
其中,安全容器具体如何获得第二检测结果的过程请参照前文论述的内容,此处不再赘述。
在一种可能的实施例中,该方法还包括:
实时监听多个预设规则是否更新,若确定多个预设规则中存在更新的预设规则,则获取更新的预设规则,更新预设规则库。
其中,预设规则库以及预设规则的含义请参照前文论述的内容,此处不再赘述。
在一种可能的实施例中,在获得检测结果之后,该方法还包括:生成系统日志。
其中,系统日志的含义、以及安全容器具体如何生成系统日志的过程请参照前文论述的内容,此处不再赘述。
基于同一发明构思,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如前文论述任一的基于微服务应用的安全防护方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种基于微服务应用的安全防护系统,其特征在于,所述系统包括容器集Pod,所述Pod包括代理Envoy容器和安全容器,其中:
所述安全容器,用于接收所述Envoy容器发送的用户访问微服务应用的请求,从所述请求中提取多种预设参数类型的参数信息,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得所述请求的检测结果,以及将所述检测结果发送给所述Envoy容器,其中,所述预设规则库包括多个预设规则,每个预设规则包括一种恶意攻击的参数信息,所述检测结果用于指示所述请求为正常流量或恶意攻击;
所述Envoy容器,用于接收所述检测结果,执行与所述检测结果对应的流量策略。
2.如权利要求1所述的系统,其特征在于,所述Pod还包括业务容器,其中:
所述Envoy容器,具体用于接收所述检测结果,若所述检测结果指示所述请求为正常流量,则将所述请求发送给所述业务容器;
所述业务容器,用于接收所述请求,对所述请求进行响应。
3.如权利要求2所述的系统,其特征在于,所述系统包括多个Pod,每个Pod包括一个所述Envoy容器、一个所述安全容器以及一个所述业务容器,每个Pod对应一个微服务应用。
4.如权利要求1所述的系统,其特征在于,所述Envoy容器,具体用于接收所述检测结果,若所述检测结果指示所述请求为恶意攻击,则拦截所述请求。
5.如权利要求1-4任一项所述的系统,其特征在于,所述系统还包括配置存储模块;
所述配置存储模块,用于存储所述多个预设规则;
所述安全容器,还用于实时监听所述配置存储模块中存储的所述多个预设规则是否更新,若确定所述多个预设规则中存在更新的预设规则,则获取所述更新的预设规则,更新所述预设规则库。
6.如权利要求1-4任一项所述的系统,其特征在于,所述系统还包括日志收集模块和用户界面模块;
所述安全容器,还用于在获得所述检测结果之后,生成系统日志,并将所述系统日志发送给所述日志收集模块;
所述日志收集模块,用于接收并存储所述系统日志;
所述用户界面模块,用于从所述日志收集模块获取并展示所述系统日志。
7.一种基于微服务应用的安全防护方法,其特征在于,所述方法应用于安全防护系统的容器集Pod的安全容器中,所述Pod还包括代理Envoy容器,所述方法包括:
接收所述Envoy容器发送的用户访问微服务应用的请求,从所述请求中提取多种预设参数类型的参数信息;
根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得所述请求的检测结果,其中,所述预设规则库包括多个预设规则,每个预设规则包括一种恶意攻击的参数信息,所述检测结果用于指示所述请求为正常流量或恶意攻击;
将所述检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述检测结果,执行与所述检测结果对应的流量策略。
8.如权利要求7所述的方法,其特征在于,所述Pod还包括业务容器,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若所述多种预设参数类型的参数信息中不存在与预设规则库中的预设规则匹配的参数信息,则获得所述请求为正常流量的第一检测结果;
将所述检测结果发送给所述Envoy容器,包括:
将所述第一检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述第一检测结果,将所述请求发送给业务容器。
9.如权利要求7所述的方法,其特征在于,根据所述多种预设参数类型的参数信息中是否存在与预设规则库中的预设规则匹配的参数信息,获得检测结果,包括:
若所述多种预设参数类型的参数信息中存在与预设规则库中的预设规则匹配的参数信息,则获得所述请求为恶意攻击的第二检测结果;
将所述检测结果发送给所述Envoy容器,包括:
将所述第二检测结果发送给所述Envoy容器,以使所述Envoy容器接收所述第二检测结果,拦截所述请求。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求7-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111259722.5A CN113961245A (zh) | 2021-10-28 | 2021-10-28 | 一种基于微服务应用的安全防护系统、方法及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111259722.5A CN113961245A (zh) | 2021-10-28 | 2021-10-28 | 一种基于微服务应用的安全防护系统、方法及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113961245A true CN113961245A (zh) | 2022-01-21 |
Family
ID=79467795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111259722.5A Pending CN113961245A (zh) | 2021-10-28 | 2021-10-28 | 一种基于微服务应用的安全防护系统、方法及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113961245A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
| CN114201458A (zh) * | 2022-02-16 | 2022-03-18 | 苏州浪潮智能科技有限公司 | 一种信息更新方法、微服务系统及计算机可读存储介质 |
| CN116108438A (zh) * | 2023-04-10 | 2023-05-12 | 中国工商银行股份有限公司 | 攻击检测方法、装置、设备、介质和程序产品 |
| CN117216758A (zh) * | 2023-11-08 | 2023-12-12 | 新华三网络信息安全软件有限公司 | 应用安全检测系统及方法 |
| CN117254977A (zh) * | 2023-11-16 | 2023-12-19 | 联通(广东)产业互联网有限公司 | 一种网络安全监控方法及系统、存储介质 |
-
2021
- 2021-10-28 CN CN202111259722.5A patent/CN113961245A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
| CN114201458A (zh) * | 2022-02-16 | 2022-03-18 | 苏州浪潮智能科技有限公司 | 一种信息更新方法、微服务系统及计算机可读存储介质 |
| CN114201458B (zh) * | 2022-02-16 | 2022-04-26 | 苏州浪潮智能科技有限公司 | 一种信息更新方法、微服务系统及计算机可读存储介质 |
| CN116108438A (zh) * | 2023-04-10 | 2023-05-12 | 中国工商银行股份有限公司 | 攻击检测方法、装置、设备、介质和程序产品 |
| CN116108438B (zh) * | 2023-04-10 | 2023-06-23 | 中国工商银行股份有限公司 | 攻击检测方法、装置、设备、介质和程序产品 |
| CN117216758A (zh) * | 2023-11-08 | 2023-12-12 | 新华三网络信息安全软件有限公司 | 应用安全检测系统及方法 |
| CN117216758B (zh) * | 2023-11-08 | 2024-02-23 | 新华三网络信息安全软件有限公司 | 应用安全检测系统及方法 |
| CN117254977A (zh) * | 2023-11-16 | 2023-12-19 | 联通(广东)产业互联网有限公司 | 一种网络安全监控方法及系统、存储介质 |
| CN117254977B (zh) * | 2023-11-16 | 2024-03-01 | 联通(广东)产业互联网有限公司 | 一种网络安全监控方法及系统、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10761913B2 (en) | System and method for real-time asynchronous multitenant gateway security | |
| CN113961245A (zh) | 一种基于微服务应用的安全防护系统、方法及介质 | |
| KR102264288B1 (ko) | 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법 | |
| US20200120112A1 (en) | Techniques for detecting known vulnerabilities in serverless functions as a service (faas) platform | |
| US10216527B2 (en) | Automated software configuration management | |
| US20210042207A1 (en) | Application programming interface security validation for system integration testing | |
| CN107426252B (zh) | 提供web应用防火墙服务的方法和设备 | |
| US20230259386A1 (en) | Data processing method based on container engine and related device | |
| CN106897609A (zh) | 一种对动态加载的应用程序进行监控的方法及装置 | |
| US20210026969A1 (en) | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events | |
| CN109992454A (zh) | 故障定位的方法、装置和存储介质 | |
| US20130111018A1 (en) | Passive monitoring of virtual systems using agent-less, offline indexing | |
| US11416386B2 (en) | Behavior-based comparison of software | |
| CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
| CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| US20230065259A1 (en) | Method and apparatus for protecting smart contracts against attacks | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| US10187403B2 (en) | False positive detection reduction system for network-based attacks | |
| CN114338684B (zh) | 一种能源管理系统及方法 | |
| CN113486335A (zh) | 一种基于rasp零规则的jni恶意攻击检测方法及装置 | |
| CN113158149A (zh) | 一种操作权限的处理方法及装置 | |
| CN105590054A (zh) | 虚拟机进程监控的方法、装置及系统 | |
| CN114491356B (zh) | 数据获取方法及其装置、计算机存储介质、电子设备 | |
| Wu et al. | Examples of mimic defense application |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |