CN114124521A - 云原生安全编排方法及装置、电子设备、计算机可读介质 - Google Patents

云原生安全编排方法及装置、电子设备、计算机可读介质 Download PDF

Info

Publication number
CN114124521A
CN114124521A CN202111387063.3A CN202111387063A CN114124521A CN 114124521 A CN114124521 A CN 114124521A CN 202111387063 A CN202111387063 A CN 202111387063A CN 114124521 A CN114124521 A CN 114124521A
Authority
CN
China
Prior art keywords
cloud
security
service
native
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111387063.3A
Other languages
English (en)
Other versions
CN114124521B (zh
Inventor
张小梅
徐雷
郭新海
刘安
丁攀
蓝鑫冲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202111387063.3A priority Critical patent/CN114124521B/zh
Publication of CN114124521A publication Critical patent/CN114124521A/zh
Application granted granted Critical
Publication of CN114124521B publication Critical patent/CN114124521B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种云原生安全编排方法及装置、电子设备、计算机可读介质,属于云原生技术领域,解决了云原生全生命周期的安全编排问题。该云原生安全编排方法,包括:对云原生业务进行拆分,获得云原生安全业务;基于云原生安全业务自动匹配与其对应的安全工具;基于云原生业务的流程和云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息;基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行自动部署和配置。该方法可以实现云原生安全业务全生命周期的自动编排,以及业务全流程安全工具链自动部署及配置。

Description

云原生安全编排方法及装置、电子设备、计算机可读介质
技术领域
本发明涉及云原生技术领域,具体涉及一种云原生安全编排方法及装置、电子设备、计算机可读介质。
背景技术
云原生(Cloud Native)是基于云的软件架构思想,并基于云进行软件开发的一种理念,其可以提高软件开发的效率,而且能很好地利用资源,降低成本。因此,与云原生相关的技术得到快速发展,随之云原生所面临的安全问题引起人们的重视。
目前,业界主要通过人工方式构建安全工具链来解决安全性问题。然而,基于云原生的理念开发软件需要经过编码、构建、测试到部署、运维、监控等多个阶段,人工方式构建安全工具链无法获得全生命周期的安全编排方案,导致安全防护措施无法融入云原生环境,导致软件的安全性差,而且效率低。
发明内容
为此,本发明提供一种云原生安全编排方法及装置、电子设备、计算机可读介质,以解决现有技术中人工构建安全工具链无法融入云原生,安全性差和效率低的问题。
为了实现上述目的,本发明第一方面提供一种云原生安全编排方法,包括:
对云原生业务进行拆分,获得云原生安全业务;
基于所述云原生安全业务自动匹配与其对应的安全工具;
基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息;
基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置。
其中,所述安全需求信息包括安全工具链配置信息、资源弹性扩容信息和网络策略信息;其中,所述安全工具链配置信息是指所述安全工具的配置信息,而且,不同安全工具配置相应的配置信息;所述资源弹性扩容信息是指所述安全工具的扩容信息;所述网络策略信息是指与网元的安全策略相关的信息。
其中,所述基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置,包括:
基于所述资源弹性扩容信息确定待启动目标安全工具及对应的数量;
解析所述网络策略信息获得网元策略,并将所述网元策略下发至对应的目标网元;
将所述安全工具链配置信息下发至所述目标安全工具,以对所述目标安全工具进行配置;
基于所述业务全流程安全工具链启动目标安全工具和所述目标网元,以实现述业务全流程安全工具链的部署和配置。
其中,所述网元策略包括路由策略、交换机策略和防火墙策略中的一种或多种。
其中,所述云原生业务包括云原生应用安全业务、云原生计算环境安全业务和网络访问控制策略业务中的一种或多种。
其中,所述云原生应用安全业务包括应用编码安全业务、应用测试安全业务、应用运行业务和部署环境业务中的一种或多种。
其中,所述云原生计算环境安全业务包括镜像安全业务、容器安全业务和云主机安全业务中的一种或多种。
其中,所述对云原生业务进行拆分,获得云原生安全业务之前,还包括:
基于用户的需求从业务应用系统确定所述云原生业务。
第二方面,本发明实施例提供一种云原生安全编排装置,包括:
业务拆分模块,用于对云原生业务进行拆分,获得云原生安全业务;
匹配模块,用于基于所述云原生安全业务自动匹配对应的安全工具;
生成模块,用于基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息;
部署配置模块,用于基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置。
第三方面,本发明实施例提供一种电子设备,包括:
一个或多个处理器;
存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现第一方面所述的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
第四方面,本发明实施例提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现根据第一方面所述的方法。
本发明具有如下优点:
本发明实施例提供的云原生安全编排方法,对云原生业务进行拆分,获得云原生安全业务;基于所述云原生安全业务自动匹配对应的安全工具;基于所述云原生业务的流程及与其匹配的安全工具生成业务全流程安全工具链和安全需求信息,通过安全需求信息与原有的云原生编排系统联动;基于业务全流程安全工具链和所述安全需求信息对业务全流程安全工具链进行部署及配置,实现云原生业务全流程、全生命周期的自动编排,以及业务全流程安全工具链自动部署及配置。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例的应用场景图;
图2为本发明实施例提供的一种云原生安全编排方法的流程图;
图3为本发明实施例步骤S204的流程图;
图4为本发明实施例提供的一种云原生安全编排装置的原理框图;
图5为本发明实施例提供一种电子设备的原理框图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如本发明所使用的,术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
本发明所使用的术语仅用于描述特定实施例,且不意欲限制本发明。如本发明所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。
当本发明中使用术语“包括”和/或“由……制成”时,指定存在特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
除非另外限定,否则本发明所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本发明的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本发明明确如此限定。
图1为本发明实施例的应用场景图。如图1所示,云原生业务系统101可以向用户提供多种云原生业务,用户通过云原生业务系统101选择云原生业务。云原生编排系统102基于用户选择云原生业务进行编排,如对应用编码业务、应用测试业务进行编排。云原生安全系统103为云原生业务提供安全服务。
在一些实施例中,云原生业务包括云原生应用安全业务、云原生计算环境安全业务和网络访问控制策略业务中的一种或多种。
其中,云原生安全系统103包括云原生应用安全系统104、云原生计算环境安全系统105、网络访问控制策略系统106和云原生安全编排系统107。其中,云原生应用安全系统104为多种应用提供安全工具,云原生计算环境安全系统105为多种计算环境提供安全工具,网络访问控制策略系统106为网络访问提供网络访问安全策略(简称网络策略),云原生安全编排系统107用于对云原生应用安全系统104、云原生计算环境安全系统105中各应用业务、计算环境提供安全编排工具。
在一些实施例中,云原生应用安全系统104可以包括应用编码安全业务、应用测试安全业务和应用运行安全业务中的一种或多种提供安全工具。其中,应用编码安全业务包括但不限于静态源代码监测业务、开源组件安全分析业务,可以对应地配置静态源代码监测工具、开源组件安全分析工具。应用测试安全业务包括但不限于交互式安全监测业务、WEB漏洞扫描业务,可以对应地配置交互式安全检测工具、WEB漏洞扫描工具。应用运行安全业务包括但不限于应用运行时自保护业务、数据安全业务,可以对应地配置自保护工具、数据安全工具。
在一些实施例中,云原生计算环境安全系统105可以为镜像安全业务、容器安全业务和云主机安全业务中的一种或多种。其中,镜像安全业务包括但不限于镜像基线核查业务、镜像漏洞扫描业务和镜像木马扫描业务,可以对应地配置镜像基线核查工具、镜像漏洞扫描工具和镜像木马扫描工具。容器安全业务包括但不限于容器基线核查业务、容器漏洞扫描业务和容器入侵检测业务,可以对应地配置容器基线核查工具、容器漏洞扫描工具和容器入侵检测工具。云主机安全业务包括但不限于云主机基线核查业务、云主机漏洞扫描业务和云主机入侵检测业务,可以对应地配置云主机基线核查工具、云主机漏洞扫描工具、云主机入侵检测工具。
云原生安全编排系统107确定云原生业务安全需求,并编排云原生的安全。
图2为本发明实施例提供的一种云原生安全编排方法,该方法可以实现云原生业务全流程安全工具自动编排、部署和配置。
如图2所示,云原生安全编排方法,包括:
步骤S201,对云原生业务进行拆分,获得云原生安全业务。
云原生业务按照开发和应用流程可被拆分为多个阶段,每个阶段对应不同的安全业务,将云原生业务拆分成不同的阶段,每个阶段有对应的安全业务。
例如,云原生应用业务可以被拆分为应用编码阶段、应用测试阶段和应用运行阶段,分别对应应用编码安全业务、应用测试业务和应用运行业务。再如,云原生计算环境安全业务可以被拆分为镜像安全业务、容器安全业务和云主机安全业务。
在一些实施例中,云原生业务存储于业务应用系统。业务应用系统提供多种应用业务供用户选择。例如,业务应用系统可以为用户提供云原生应用安全业务、云原生计算环境安全业务以及网络访问控制策略业务。用户可以根据实际需求从业务应用系统中选择所需的云原生业务。
云原生编排系统对云原生业务进行拆分,获得云原生安全业务。例如,应用编码业务被拆分后获得的云原生安全业务包括静态源代码监测业务和开源安全组件分析业务。测试业务被拆分后获得的云原生安全业务包括交互式安全检测业务和web漏洞扫描业务。应用运行业务被拆分后获得的云原生安全业务包括应用运行时自保护安全业务和数据安全业务。
再如,镜像安全业务被拆分为镜像极限核查业务、镜像漏洞扫描业务和镜像木马检测业务。容器安全业务被拆分为容器基线核查业务、容器漏洞扫描业务和容器入侵检测业务,云主机安全业务被拆分为云主机基线核查业务、云主机漏洞扫描业务和云主机入侵检测业务。
步骤S202,基于云原生安全业务自动匹配与其对应的安全工具。
其中,每个云原生安全业务均有对应的安全工具。本实施例根据云原生安全业务自动匹配安全工具,每个云原生安全业务能够匹配各自的安全工具。
例如,静态源代码检测业务匹配的安全工具为代码检测安全工具,交互式安全检测业务匹配的安全工具为交互检测安全工具。再如,镜像极限核查业务匹配的安全工具为核查工具、镜像漏洞扫描工具和镜像木马检测工具。
步骤S203,基于云原生业务的流程及与云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息。
其中,云原生业务的流程是指按照开发和应用云原生业务的顺序。如云原生业务的流程包括编码阶段、测试阶段和运行阶段等。
在本实施例中,基于云原生业务的流程及与云原生安全业务匹配的安全工具生成业务全流程安全工具链。
例如,应用编码安全业务自动匹配静态源代码检测安全工具和开源组件安全分析工具,业务应用测试业务自动匹配交互式安全检测工具和web漏洞扫描工具,应用运行业务自动匹配应用运行时自保护工具、数据安全工具,部署环境业务自动匹配容器安全工具、云主机安全工具,同时根据业务流程生成安全工具链,即,安全工具链为:应用编码安全业务-静态源代码检测工具-开源安全组件分析工具-应用测试业务-交互式安全检测工具-web漏洞扫描工具-应用运行安全业务-应用运行时自保护工具-数据安全工具。
在一些实施例中,安全需求信息包括安全工具链配置信息、资源弹性扩容信息和网络策略信息;其中,安全工具链配置信息是指安全工具的配置信息,而且,不同安全工具配置相应的配置信息;资源弹性扩容信息是指安全工具的扩容信息;网络策略信息是指与网元的安全策略相关的信息。
步骤S204,基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行自动部署和配置。
在业务全流程安全工具链和安全需求信息确定后,开启业务全流程安全工具链,并基于安全需求信息对业务全流程安全工具链进行自动部署和配置。
图3为本发明实施例中步骤S204的流程图。如图3所示,基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行自动部署和配置,包括:
步骤S301,基于资源弹性扩容信息确定待启动目标安全工具及对应的数量。
其中,待启动目标安全工具与云原生安全业务对应,根据资源弹性扩容信息可以确定待启动目标安全工具及对应的数量。
步骤S302,解析网络策略信息获得网元策略,并将网元策略下发至对应的目标网元。
在一些实施例中,网元包括但不限于路由器、交换机和防火墙,对应地,网元策略包括路由策略、交换机策略和防火墙策略。
在本实施例中,解析网络策略信息,若只需求路由器,则将该路由策略下发至路由器。
步骤S303,将安全工具链配置信息下发至目标安全工具,以对目标安全工具进行配置。
根据安全工具链将安全工具链配置信息下发至目标安全工具,以基于安全工具链配置信息对目标安全工具进行配置。
步骤S304,基于业务全流程安全工具链启动目标安全工具和目标网元,以实现业务全流程安全工具链自动部署及配置。
本实施例提供的云原生安全编排方法,能够自动化地对云原生业务全流程安全工具进行编排,而且,能够对业务全流程安全工具链自动部署及配置。
在一些实施例中,对云原生业务进行拆分获得云原生安全业务之前,还包括基于用户的需求从业务应用系统确定云原生业务。例如用户可以从业务应用系统选择云原生业务。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本实施例提供的云原生安全编排方法,对云原生业务进行拆分,获得云原生安全业务;基于云原生安全业务自动匹配对应的安全工具;基于云原生业务的流程及与其匹配的安全工具生成业务全流程安全工具链和安全需求信息,通过安全需求信息与原有的云原生编排系统联动;基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行部署及配置,实现云原生业务全流程安全工具的自动编排,以及业务全流程安全工具链自动部署及配置。
第二方面,本实施例还提供一种云原生安全编排装置,该装置可以实现云原生业务全流程安全工具自动编排、部署和配置。
如图4所示,云原生安全编排装置,包括:
业务拆分模块401,用于对云原生业务进行拆分,获得云原生安全业务。
云原生业务按照开发和应用流程可被拆分为多个阶段,每个阶段对应不同的安全业务,将云原生业务拆分成不同的阶段,每个阶段有对应的安全业务。
例如,云原生应用业务可以被拆分为应用编码阶段、应用测试阶段和应用运行阶段,分别对应应用编码安全业务、应用测试业务和应用运行业务。再如,云原生计算环境安全业务可以被拆分为镜像安全业务、容器安全业务和云主机安全业务。
在一些实施例中,云原生业务存储于业务应用系统。业务应用系统提供多种应用业务供用户选择。例如,业务应用系统可以为用户提供云原生应用安全业务、云原生计算环境安全业务以及网络访问控制策略业务。用户可以根据实际需求从业务应用系统中选择所需的云原生业务。
云原生编排系统对云原生业务进行拆分,获得云原生安全业务。例如,应用编码业务被拆分后获得的云原生安全业务包括静态源代码监测业务和开源安全组件分析业务。测试业务被拆分后获得的云原生安全业务包括交互式安全检测业务和web漏洞扫描业务。应用运行业务被拆分后获得的云原生安全业务包括应用运行时自保护安全业务和数据安全业务。
匹配模块402,用于基于云原生安全业务自动匹配对应的安全工具。
其中,每个云原生安全业务均有对应的安全工具。本实施例根据云原生安全业务自动匹配安全工具,每个云原生安全业务能够匹配各自的安全工具。
例如,静态源代码检测业务匹配的安全工具为代码检测安全工具,交互式安全检测业务匹配的安全工具为交互检测安全工具。再如,镜像极限核查业务匹配的安全工具为核查工具、镜像漏洞扫描工具和镜像木马检测工具。
生成模块403,用于基于云原生业务的流程和云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息。
其中,云原生业务的流程是指按照开发和应用云原生业务的顺序。如云原生业务的流程包括编码阶段、测试阶段和运行阶段等。
在本实施例中,基于云原生业务的流程及与云原生安全业务匹配的安全工具生成业务全流程安全工具链。
例如,应用编码安全业务自动匹配静态源代码检测安全工具和开源组件安全分析工具,业务应用测试业务自动匹配交互式安全检测工具和web漏洞扫描工具,应用运行业务自动匹配应用运行时自保护工具、数据安全工具,部署环境业务自动匹配容器安全工具、云主机安全工具,同时根据业务流程生成安全工具链,即,安全工具链为:应用编码安全业务-静态源代码检测工具-开源安全组件分析工具-应用测试业务-交互式安全检测工具-web漏洞扫描工具-应用运行安全业务-应用运行时自保护工具-数据安全工具。
在一些实施例中,安全需求信息包括安全工具链配置信息、资源弹性扩容信息和网络策略信息;其中,安全工具链配置信息是指安全工具的配置信息,而且,不同安全工具配置相应的配置信息;资源弹性扩容信息是指安全工具的扩容信息;网络策略信息是指与网元的安全策略相关的信息。
部署配置模块404,用于基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行自动部署和配置。
在业务全流程安全工具链和安全需求信息确定后,开启业务全流程安全工具链,并基于安全需求信息对业务全流程安全工具链进行自动部署和配置。
在一些实施例中,部署配置模块404包括:
确定单元,用于基于资源弹性扩容信息确定待启动目标安全工具及对应的数量。
其中,待启动目标安全工具与云原生安全业务对应,根据资源弹性扩容信息可以确定待启动目标安全工具及对应的数量。
解析单元,用于解析网络策略信息获得网元策略,并将网元策略下发至对应的目标网元。
在一些实施例中,网元包括但不限于路由器、交换机和防火墙,对应地,网元策略包括路由策略、交换机策略和防火墙策略。
发送单元,用于将安全工具链配置信息下发至目标安全工具,以对目标安全工具进行配置。
发送单元根据安全工具链将安全工具链配置信息下发至目标安全工具,以基于安全工具链配置信息对目标安全工具进行配置。
部署单元,用于基于业务全流程安全工具链启动目标安全工具和目标网元,以实现述业务全流程安全工具链的部署和配置。
需要说明的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本实施例提供的云原生安全编排装置,业务拆分模块对云原生业务进行拆分,获得云原生安全业务;匹配模块基于云原生安全业务自动匹配对应的安全工具;生成模块基于云原生业务的流程及与其匹配的安全工具生成业务全流程安全工具链和安全需求信息,部署配置模块通过安全需求信息与原有的云原生编排系统联动;部署配置模块基于业务全流程安全工具链和安全需求信息对业务全流程安全工具链进行部署及配置,实现云原生业务全流程安全工具的自动编排,以及业务全流程安全工具链自动部署及配置。
参照图5,本发明实施例提供一种电子设备,其包括:
一个或多个处理器501;
存储器502,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述任意一项的云原生安全编排方法;
一个或多个I/O接口503,连接在处理器与存储器之间,配置为实现处理器与存储器的信息交互。
其中,处理器501为具有数据处理工具的器件,其包括但不限于中央处理器(CPU)等;存储器502为具有数据存储工具的器件,其包括但不限于随机存取存储器(RAM,更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH);I/O接口(读写接口)503连接在处理器501与存储器502间,能实现处理器501与存储器502的信息交互,其包括但不限于数据总线(Bus)等。
在一些实施例中,处理器501、存储器502和I/O接口503通过总线相互连接,进而与计算设备的其它组件连接。
本实施例还提供一种计算机可读介质,其上存储有计算机程序,程序被处理器执行时实现本实施例提供的云原生安全编排方法,为避免重复描述,在此不再赘述云原生安全编排方法的具体步骤。
本领域普通技术人员可以理解,上文中所发明方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储器、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本实施例的范围之内并且形成不同的实施例。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (11)

1.一种云原生安全编排方法,其特征在于,包括:
对云原生业务进行拆分,获得云原生安全业务;
基于所述云原生安全业务自动匹配与其对应的安全工具;
基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息;
基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置。
2.根据权利要求1所述的方法,其特征在于,所述安全需求信息包括安全工具链配置信息、资源弹性扩容信息和网络策略信息;其中,所述安全工具链配置信息是指所述安全工具的配置信息,而且,不同安全工具对应不同的配置信息;所述资源弹性扩容信息是指所述安全工具的扩容信息;所述网络策略信息是指与网元的安全策略相关的信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置,包括:
基于所述资源弹性扩容信息确定待启动目标安全工具及对应的数量;
解析所述网络策略信息获得网元策略,并将所述网元策略下发至对应的目标网元;
将所述安全工具链配置信息下发至所述目标安全工具,以对所述目标安全工具进行配置;
基于所述业务全流程安全工具链启动目标安全工具和所述目标网元,以实现述业务全流程安全工具链的部署和配置。
4.根据权利要求3所述的方法,其特征在于,所述网元策略包括路由策略、交换机策略和防火墙策略中的一种或多种。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述云原生业务包括云原生应用安全业务、云原生计算环境安全业务和网络访问控制策略业务中的一种或多种。
6.根据权利要求5所述的方法,其特征在于,所述云原生应用安全业务包括应用编码安全业务、应用测试安全业务、应用运行业务和部署环境业务中的一种或多种。
7.根据权利要求5所述的方法,其特征在于,所述云原生计算环境安全业务包括镜像安全业务、容器安全业务和云主机安全业务中的一种或多种。
8.根据权利要求1-4任一项所述的方法,其特征在于,所述对云原生业务进行拆分,获得云原生安全业务之前,还包括:
基于用户的需求从业务应用系统确定所述云原生业务。
9.一种云原生安全编排装置,其特征在于,包括:
业务拆分模块,用于对云原生业务进行拆分,获得云原生安全业务;
匹配模块,用于基于所述云原生安全业务自动匹配对应的安全工具;
生成模块,用于基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生成业务全流程安全工具链和安全需求信息;
部署配置模块,用于基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链进行自动部署和配置。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现根据权利要求1-8中任意一项所述的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
11.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1-8中任意一项所述的方法。
CN202111387063.3A 2021-11-22 2021-11-22 云原生安全编排方法及装置、电子设备、计算机可读介质 Active CN114124521B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111387063.3A CN114124521B (zh) 2021-11-22 2021-11-22 云原生安全编排方法及装置、电子设备、计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111387063.3A CN114124521B (zh) 2021-11-22 2021-11-22 云原生安全编排方法及装置、电子设备、计算机可读介质

Publications (2)

Publication Number Publication Date
CN114124521A true CN114124521A (zh) 2022-03-01
CN114124521B CN114124521B (zh) 2023-10-13

Family

ID=80439177

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111387063.3A Active CN114124521B (zh) 2021-11-22 2021-11-22 云原生安全编排方法及装置、电子设备、计算机可读介质

Country Status (1)

Country Link
CN (1) CN114124521B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114610368A (zh) * 2022-03-28 2022-06-10 广域铭岛数字科技有限公司 一种平台工具链整合及维护方法、系统、设备和介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180234459A1 (en) * 2017-01-23 2018-08-16 Lisun Joao Kung Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments
CN109117243A (zh) * 2017-06-23 2019-01-01 中兴通讯股份有限公司 业务部署方法、装置、客户端设备及计算机可读存储介质
CN111786829A (zh) * 2020-07-01 2020-10-16 浪潮云信息技术股份公司 一种云防火墙全生命周期的自动化管理方法
CN112671772A (zh) * 2020-12-24 2021-04-16 国网冀北电力有限公司信息通信分公司 网络安全服务系统及方法
CN112887134A (zh) * 2021-01-21 2021-06-01 中山大学 一种网络服务网格编排方法、装置、设备及介质
WO2022045700A1 (en) * 2020-08-26 2022-03-03 Samsung Electronics Co., Ltd. Method and apparatus for autoscaling containers in a cloud-native core network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180234459A1 (en) * 2017-01-23 2018-08-16 Lisun Joao Kung Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments
CN109117243A (zh) * 2017-06-23 2019-01-01 中兴通讯股份有限公司 业务部署方法、装置、客户端设备及计算机可读存储介质
CN111786829A (zh) * 2020-07-01 2020-10-16 浪潮云信息技术股份公司 一种云防火墙全生命周期的自动化管理方法
WO2022045700A1 (en) * 2020-08-26 2022-03-03 Samsung Electronics Co., Ltd. Method and apparatus for autoscaling containers in a cloud-native core network
CN112671772A (zh) * 2020-12-24 2021-04-16 国网冀北电力有限公司信息通信分公司 网络安全服务系统及方法
CN112887134A (zh) * 2021-01-21 2021-06-01 中山大学 一种网络服务网格编排方法、装置、设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
苏坚;: "基于云原生计算的5G网络演进策略", 电信科学, no. 06 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114610368A (zh) * 2022-03-28 2022-06-10 广域铭岛数字科技有限公司 一种平台工具链整合及维护方法、系统、设备和介质
CN114610368B (zh) * 2022-03-28 2024-02-02 广域铭岛数字科技有限公司 一种平台工具链整合及维护方法、系统、设备和介质

Also Published As

Publication number Publication date
CN114124521B (zh) 2023-10-13

Similar Documents

Publication Publication Date Title
EP3605323B1 (en) Method for generating network slice template and for applying network slice template, and apparatus
US10642725B2 (en) Automated test generation for multi-interface enterprise virtualization management environment
US10833955B2 (en) Dynamic delivery of software functions
CN112346818B (zh) 一种容器应用部署方法、装置、电子设备和存储介质
US10834289B2 (en) Detection of steganography on the perimeter
US10795937B2 (en) Expressive temporal predictions over semantically driven time windows
US20200272427A1 (en) Automatic generation of a container image
CN106844213A (zh) 一种前端自动化测试方法及装置
US10678626B2 (en) Distributed product deployment validation
US11100233B2 (en) Optimizing operating system vulnerability analysis
US10572373B2 (en) Automated test generation for multi-interface and multi-platform enterprise virtualization management environment
US9930024B2 (en) Detecting social login security flaws using database query features
US10769277B2 (en) Malicious application detection and prevention system for stream computing applications deployed in cloud computing environments
CN110780912A (zh) 利用分段支持的分层生成树软件补丁
US20220053212A1 (en) Chroma mode video coding
US20160253160A1 (en) Using cloud patterns for installation on unmanaged physical machines and appliances
CN112698979A (zh) zookeeper双节点的处理方法、装置、存储介质及处理器
CN114124521B (zh) 云原生安全编排方法及装置、电子设备、计算机可读介质
CN114422618A (zh) 基于云原生的iot平台协议适配方法、装置、设备及介质
CN112269694A (zh) 一种管理节点确定方法、装置、电子设备及可读存储介质
CN112738181A (zh) 集群外部ip接入的方法、装置及服务器
CN112351050A (zh) 镜像数据流的方法、装置、通信设备及存储介质
US12093720B2 (en) Software container prestart configuration with kubectl prestart runtime commands
US11650846B2 (en) Method, device, and computer program product for job processing
CN110611817B (zh) 基于文本图像内容的图像压缩

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant