CN114979100B - 一种云资源检查方法及相关装置 - Google Patents
一种云资源检查方法及相关装置 Download PDFInfo
- Publication number
- CN114979100B CN114979100B CN202210396515.2A CN202210396515A CN114979100B CN 114979100 B CN114979100 B CN 114979100B CN 202210396515 A CN202210396515 A CN 202210396515A CN 114979100 B CN114979100 B CN 114979100B
- Authority
- CN
- China
- Prior art keywords
- inspection
- checking
- cloud resource
- information
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 318
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012545 processing Methods 0.000 claims abstract description 52
- 238000001914 filtration Methods 0.000 claims description 76
- 238000012795 verification Methods 0.000 claims description 16
- 230000004048 modification Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 241001178520 Stomatepia mongo Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/546—Message passing systems or structures, e.g. queues
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种云资源检查方法,包括:检查任务生成端读取检查指令对应的多个检查规则;基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务;将多个检查任务发送至消息队列,以便云资源检查端从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。通过云资源检查端实现对不同的检查任务执行检查,而不是在单一的设备中执行云资源检查,多个用户的多个检查均可被执行,提高进行检查的效率。本申请还公开了一种云资源检查装置、服务器以及计算机可读存储介质,具有以上有益效果。
Description
技术领域
本申请涉及云平台技术领域,特别涉及一种云资源检查方法、云资源检查装置、服务器以及计算机可读存储介质。
背景技术
随着信息不断发展,为了提高云平台使用的安全性,需要对云平台的云资源进行检查。
相关技术中,主要是在单个设备或单个云资源节点中通过执行自动化脚本的方式来对云资源的配置信息进行检查,但是,通过执行自动化脚本的方式仅适用于单个设备或单个云资源节点,多个用户无法同时执行检查,降低了进行检查的效率。
因此,如何提高对云资源进行检查的效率是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种云资源检查方法、云资源检查装置、服务器以及计算机可读存储介质,以提高对云资源进行检查的效率。
为解决上述技术问题,本申请提供一种云资源检查方法,包括:
检查任务生成端读取检查指令对应的多个检查规则;
基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务;
将所述多个检查任务发送至消息队列,以便云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果。
可选的,云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果,包括:
所述云资源检查端从所述消息队列循环读取所述检查任务;
对所述检查任务的检查规则进行校验;
当校验通过时,基于所述检查规则的云资源类型信息获取对应的云资源信息;
基于所述检查规则的过滤信息对所述云资源信息进行处理并进行统计,得到过滤结果;
基于所述检查规则的处置信息对所述过滤结果进行处理,得到处理结果;
将所述过滤结果和所述处理结果作为所述检查结果。
可选的,基于所述检查规则的过滤信息对所述云资源信息进行处理并进行统计,得到过滤结果,包括:
从所述云资源信息中提取目标运算值;
对所述目标运算值和所述过滤规则中的运算值执行所述过滤规则对应的运算处理,得到计算结果;其中,所述运算处理包括比较运算、范围运算、逻辑运算、自定义运算中的一种或多种;
基于所述计算结果确定所述过滤结果。
可选的,对所述检查任务的检查规则进行校验,包括:
对所述检查任务的检查规则的云资源类型信息、过滤信息以及处置信息进行支持校验;
当所述支持校验通过时,对所述过滤信息的参数和所述处置信息的参数进行参数校验。
可选的,基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务,包括:
基于所述检查配置信息的规则忽略列表和资源忽略列表对所述多个检查规则进行过滤,得到多个目标检查规则;
基于所述检查配置信息的云账号信息和区域信息对所述多个目标检查规则的信息进行整合处理,得到所述多个检查任务。
可选的,还包括:
所述云资源检查端将所述检查结果作为检查报告,并存储于数据库中;
相应的,还包括:
当所述检查任务生成端接收到报告查看指令时,基于所述报告查看指令从所述数据库获取对应的检查报告;
显示所述检查报告。
可选的,还包括:
当所述检查任务生成端接收到规则修改指令时,基于所述规则修改指令对数据库中的检查规则进行修改。
本申请还提供一种云资源检查装置,其特征在于,包括:
规则读取模块,用于检查任务生成端读取检查指令对应的多个检查规则;
任务生成模块,用于基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务;
云资源检查模块,用于将所述多个检查任务发送至消息队列,以便云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果。
本申请还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的云资源检查方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的云资源检查方法的步骤。
本申请所提供的一种云资源检查方法,包括:检查任务生成端读取检查指令对应的多个检查规则;基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务;将所述多个检查任务发送至消息队列,以便云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果。
通过检查任务生成端基于检查指令读取到对应的检查规则,然后基于检查规则生成多个检查任务,并发送至消息队列,云资源检查端从该消息队列中获取到检查任务并执行检查得到检查结果,也就是,通过云资源检查端实现对不同的检查任务执行检查,而不是在单一的设备中执行云资源检查,多个用户的多个检查均可被执行,提高进行检查的效率。
本申请还提供一种云资源检查装置、服务器以及计算机可读存储介质,具有以上有益效果,在此不做赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种云资源检查方法的流程图;
图2为本申请实施例所提供的一种云资源检查方法的时序图;
图3为本申请实施例所提供的一种云资源检查装置的结构示意图;
图4为本申请实施例所提供的一种服务器的结构示意图。
具体实施方式
本申请的核心是提供一种云资源检查方法、云资源检查装置、服务器以及计算机可读存储介质,以提高对云资源进行检查的效率。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,主要是在单个设备或单个云资源节点中通过执行自动化脚本的方式来对云资源的配置信息进行检查,但是,通过执行自动化脚本的方式仅适用于单个设备或单个云资源节点,多个用户无法同时执行检查,降低了进行检查的效率。
因此,本申请提供一种云资源检查方法,通过检查任务生成端基于检查指令读取到对应的检查规则,然后基于检查规则生成多个检查任务,并发送至消息队列,云资源检查端从该消息队列中获取到检查任务并执行检查得到检查结果,也就是,通过云资源检查端实现对不同的检查任务执行检查,而不是在单一的设备中执行云资源检查,多个用户的多个检查均可被执行,提高进行检查的效率。
以下通过一个实施例,对本申请提供的一种云资源检查方法进行说明。
请参考图1,图1为本申请实施例所提供的一种云资源检查方法的流程图。
本实施例中,该方法可以包括:
S101,检查任务生成端读取检查指令对应的多个检查规则;
可见,本步骤旨在检查任务生成端读取检查指令对应的多个检查规则。其中,检查指令就是上位机或者是用户或服务器发送的执行检查操作的检查指令。因此,本步骤可以包括获取到检查指令,然后基于该检查指令读取对应的多个检查规则。
其中,该多个检查规则为提前预置的检查规则。该多个检查规则可以保存在对应的数据库中,也可以保存至在检查规则的管理平台中,还可以包括在用户客户端的主机中。因此,本步骤可以包括接收到用户发送的检查指令,然后基于检查指令从数据库中读取对应的检查规则。
进一步的,该检查规则可以是默认设置的多个检查规则,也可以是用户输入或设置的多个检查规则,还可以是系统中默认设置的检查规则和用户输入的检查规则。
进一步的,在本实施例中可以将多个属于一类的相关规则设置为标准。也就是说,标准为一类规则的集合。其中,规则即为检查规则。
其中,规则是代码的浓缩,可以是JSON(JavaScript Object Notation,JavaScript对象表示法)格式的DSL(Domain Specific Language,领域特定语言),其中包括但不限于:规则名称、云资源类型、过滤信息以及处置信息。
其中,规则名称则为规则的名称,云资源类型为该规则所检查的云资源的类型。其中,过滤信息为对云资源信息进行合规过滤的信息,处置信息即为对过滤得到的合规的云资源信息和/或不合规的云资源信息进行处理的信息。
S102,基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务;
在S101的基础上,本步骤旨在基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务。也就是,将检查规则转换为可以执行的检查任务。进一步的,当步骤中获取到的多个检查规则为集合时,也就是获取到标准时,可以直接将包含有多个检查规则的集合转换为多个检查任务,以便多个云资源检查端可以同时对多个检查任务执行检查,提高检查的效率。
其中,检查配置信息包括但不限于云账号信息、区域信息、已忽略规则信息以及已忽略资源信息。其中,包含在已忽略资源信息中的资源可以直接判定为不合规信息。
进一步的,可以将该检查任务保存在数据库中,以便对检查任务进行记录。
进一步的,为了提高检查任务的有效性,使得基于该检查任务可以执行更全面检查操作,本步骤可以包括:
步骤1,基于检查配置信息的规则忽略列表和资源忽略列表对多个检查规则进行过滤,得到多个目标检查规则;
步骤2,基于检查配置信息的云账号信息和区域信息对多个目标检查规则的信息进行整合处理,得到多个检查任务。
可见,本可选方案主要是说明如何获取检查任务。本可选方案中,基于检查配置信息的规则忽略列表和资源忽略列表对多个检查规则进行过滤,得到多个目标检查规则。其中,规则忽略列表和资源忽略列表是对规则和云资源进行忽略的列表。也就是说,规则忽略列表中记录的规则是在本次检查过程中不使用的规则,资源忽略列表中记录的资源是在本次检查过程中不进行检查的资源。基于检查配置信息的云账号信息和区域信息对多个目标检查规则的信息进行整合处理,得到多个检查任务。其中,云账号信息是指所检查的云资源对应的云平台的账号信息。通过该云账号信息可以登录对应的云平台,并获取对应的云资源的信息。
S103,将多个检查任务发送至消息队列,以便云资源检查端从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。
在S102的基础上,本步骤旨在将多个检查任务发送至消息队列,以便云资源检查端从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。
其中,消息队列可以采用Redis(远程字典服务),是一个开源的使用ANSI C(C语言)语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value(键值对)数据库,并提供多种语言的API(Application Programming Interface,应用程序编程接口)。
显然,本实施例中首先基于检查任务生成端对多个检查规则处理为检查任务,然后通过云资源检查端基于检查任务执行检查操作,得到检查结果。其中,可以采用多个云资源检查端分别对多个检查任务执行检查操作。实现了将多个检查任务进行分发检查的操作,而不是仅仅在单个设备中执行检查脚本,提高了对云资源进行检查的效率。
进一步的,为了提高云资源检查端对于云资源进行检查的效果,保持进行检查的准确性,本步骤中的对于云资源进行检查的过程可以包括:
步骤1,云资源检查端从消息队列循环读取检查任务;
步骤2,对检查任务的检查规则进行校验;
步骤3,当校验通过时,基于检查规则的云资源类型信息获取对应的云资源信息;
步骤4,基于检查规则的过滤信息对云资源信息进行处理并进行统计,得到过滤结果;
步骤5,基于检查规则的处置信息对过滤结果进行处理,得到处理结果;
步骤6,将过滤结果和处理结果作为检查结果。
可见,本可选方案中主要是说明云资源检查端如何执行检查操作。本可选方案中,云资源检查端从消息队列循环读取检查任务,对检查任务的检查规则进行校验,当校验通过时,基于检查规则的云资源类型信息获取对应的云资源信息,基于检查规则的过滤信息对云资源信息进行处理并进行统计,得到过滤结果,基于检查规则的处置信息对过滤结果进行处理,得到处理结果,将过滤结果和处理结果作为检查结果。简单来说,本可选方案中的过程包括:加载检查任务中的检查规则、对检查规则进行校验、加载云资源、根据云资源类型获取云资源信息、基于检查规则对云资源信息进行过滤、过滤结果进行统计、对过滤出的云资源信息进行处理,统计得到的处理结果。
进一步的,为了提高对于云资源信息进行过滤的准确性,避免出现不合规的云资源信息,上一可选方案中的步骤4可以包括:
步骤1,从云资源信息中提取目标运算值;
步骤2,对目标运算值和过滤规则中的运算值执行过滤规则对应的运算处理,得到计算结果;其中,运算处理包括比较运算、范围运算、逻辑运算、自定义运算中的一种或多种;
步骤3,基于计算结果确定过滤结果。
可见,本可选方案中主要是说明如何对云资源信息进行说明。本可选方案中,从云资源信息中提取目标运算值,对目标运算值和过滤规则中的运算值执行过滤规则对应的运算处理,得到计算结果;其中,运算处理包括比较运算、范围运算、逻辑运算、自定义运算中的一种或多种,基于计算结果确定过滤结果。其中,比较运算是经过运算判断两者是否相同,范围运算是指经过运算确定两者是否存在,是否包含、是否为空。其中,逻辑运算包括与、或和非,自定义运算包括正则、日志、ip(Internet Protocol,互联网协议地址)地址解析和日期转换等。
进一步的,为了避免对不符合标准的检查任务执行检查,提高对检查任务进行校验的准确性,上一可选方案中的步骤2可以包括:
步骤1,对检查任务的检查规则的云资源类型信息、过滤信息以及处置信息进行支持校验;
步骤2,当支持校验通过时,对过滤信息的参数和处置信息的参数进行参数校验。
可见,本可选方案中主要是说明如何进行检查任务校验。本可选方案中,对检查任务的检查规则的云资源类型信息、过滤信息以及处置信息进行支持校验,当支持校验通过时,对过滤信息的参数和处置信息的参数进行参数校验。也就是说,本可选方案中进行校验的过程可以包括支持校验和参数校验。其中,步骤1为支持校验的过程,主要是用于校验是否可以执行,步骤2为参数校验的过程,主要用于校验规则中的参数是否存在问题。
进一步的,本实施例还可以包括:
云资源检查端将检查结果作为检查报告,并存储于数据库中。
可见,本可选方案中主要是说明还可以将检查结果处理为检查报告,并将该检查报告存储在数据库中,以便其他终端读取并查看该检查报告。
相应的,本实施例还包括:
步骤1,当检查任务生成端接收到报告查看指令时,基于报告查看指令从数据库获取对应的检查报告;
步骤2,显示检查报告。
可见,本可选方案中主要是说明如何获取并查看该检查报告。当检查任务生成端接收到报告查看指令时,基于报告查看指令从数据库获取对应的检查报告。也就是,用户向检查任务生成端输入报告查看指令或检查任务生成端从网络中接收到报告查看指令时,从数据库中获取对应的检查报告。最后,显示检查报告。
进一步的,本实施例还可以包括:
当检查任务生成端接收到规则修改指令时,基于规则修改指令对数据库中的检查规则进行修改。
可见,本可选方案中主要是说明如何对预设的检查规则进行修改。本可选方案中,当检查任务生成端接收到规则修改指令时,基于规则修改指令对数据库中的检查规则进行修改。
综上,本实施例通过检查任务生成端基于检查指令读取到对应的检查规则,然后基于检查规则生成多个检查任务,并发送至消息队列,云资源检查端从该消息队列中获取到检查任务并执行检查得到检查结果,也就是,通过云资源检查端实现对不同的检查任务执行检查,而不是在单一的设备中执行云资源检查,多个用户的多个检查均可被执行,提高进行检查的效率。
以下通过另一具体的实施例,对本申请提供的一种云资源检查方法做进一步说明。
本实施例中,主要是基于包含多个规则(检查规则)的标准进行云资源检查。
其中,标准是一类规则的集合,本实施例根据等保2.0三级设计了相应的规则集来实现合规检查。
其中,规则是代码的浓缩,它是JSON格式的DSL,由4个元素构成:规则名称、云资源类型、过滤信息以及处置信息。
其中,云资源类型是某个云平台下的某种类型的资源。基于云资源类型调用云平台对应的API来获取该云资源列表的信息。然后,基于过滤信息进行过滤。具体的,可以通过JMESPath(JSON匹配表达式路径)取出该云资源的某个值,对于该值可以进行比较运算、范围运算(是否存在,是否包含、是否为空)、逻辑运算(与、或和非)以及自定义运算(正则、日志、ip地址解析和日期转换等),以便过滤出资源列表中不符合的内容,也称为不合规的云资源信息。
其中,除了直接过滤,还可以根据云资源信息做二次查询。当确定不合规的资源,最后采取处置措施,通过调用第三方API来修改不合规的配置。
如下是对ECS(Elastic Compute Service,弹性计算服务器)的安全组进行检查的规则:
{
"policies": [
{
"name": "aliyun-ecs-sg-source-cidr-ip",
"resource": "aliyun.ecs",
"filters": [
{
"type": "sg-source-cidr-ip",
"Ipv4SourceCidrIp": "0.0.0.0\/0",
"Ipv6SourceCidrIp": "::/0"
}
],
"actions": [
{
"type": "del-source-cidr-ip"
}
]
}
]
}
进一步的,该规则实现方式是通过阿里云ECS的API拉取云主机资源列表,取出安全组信息后做二次查询,对于查询结果,取出入方向的IP信息并进行过滤。对于过滤出来不合规的安全组可以调用相关API来删除安全组中不合规的IP。
其中,规则可以是用户按照选择云资源类型、过滤方式以及处置方式的顺序来定义一条规则。标准可以是用户可将最适合于自己的一套规则放入自定义标准中。当用户不想标准中的某个规则被执行时,可以采用忽略规则的方式。用户也可以忽略某个资源,这样扫描会跳过该资源。
请参考图2,图2为本申请实施例所提供的一种云资源检查方法的时序图。
基于上述对标准和规则的说明,本实施例中的检查过程可以包括:
步骤201,生产者读取检查指令对应的多个检查规则;
步骤202,基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务;
步骤203,将多个检查任务发送至消息队列;
步骤204,消费者从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。
可见,用户执行发送检查指令后,web后端通知生产者(检查任务生成端)的进程。生产者读取MongoDB数据库,获取规则列表和资源忽略列表。其中,规则列表还包含了该规则是否忽略。然后进行任务(检查任务)的拆解。也就是,生产者会根据云账号、区域、规则、已忽略规则以及已忽略资源(忽略的资源不会被判定为不合规)等信息拆解成任务,放入到Redis的消息队列中,同时还会将本次检查的信息存入MongoDB数据库中。依次返回直到用户收到正在检查。
消费者(云资源检查端)是一组进程,它会持续监听任务的消息队列。
当消费者从消息队列拿到任务后,会调用CSPM(Cloud Security PostureManagement,云安全态势管理)模块进行配置的检查,由于是针对等保(信息安全等级保护)标准的,也称为等保检查。CSPM模块会扫描出不合规的资源信息并做相应的处置。接下来消费者会将这些资源信息和处置结果存入MongoDB数据库。在任务执行的最后会通知Redis完成本次消费。同时,判断当前是否完成了该检查的所有任务,如果完成,会将所有任务中查到的不合规信息和处置信息进行汇总形成报告。
最后,用户通过报告来查看检查的执行结果。涉及规则总数、资源总数、不合规资源的统计以及对应的处置结果。
其中,步骤204中消费者执行云资源检查的过程,也就是CSPM模块执行的过程可以包括:
步骤2041,加载规则。即读取JSON格式的规则。
步骤2042,规则校验。也就是,在对规则进行校验时,会检查系统是否支持该类型的云资源;是否支持该类型的过滤方式和处置方式;过滤和处置的参数是否正确。
步骤2043,加载云。也就是,通过反射加载相关的云,它包含了云下所有资源的API调用方式。
步骤2044,根据资源类型获取云上数据。也就是,通过规则中的资源类型获取相关API的调用方式,并获取云上数据。
步骤2045,根据规则进行过滤。也就是,对于得到的云上数据,可以采用比较运算、范围运算、逻辑运算以及自定义运算等进行过滤。
步骤2046,过滤结果的统计。也就是,统计通过过滤和未通过过滤的资源情况。
步骤2047,对过滤出来的资源进行修复。也就是,对于过滤出来的资源,通过API调用的方式修改不合规的资源。
步骤2048,修复结果统计。也就是,统计修复和未修复的资源情况。
可见,本实施例通过检查任务生成端基于检查指令读取到对应的检查规则,然后基于检查规则生成多个检查任务,并发送至消息队列,云资源检查端从该消息队列中获取到检查任务并执行检查得到检查结果,也就是,通过云资源检查端实现对不同的检查任务执行检查,而不是在单一的设备中执行云资源检查,多个用户的多个检查均可被执行,提高进行检查的效率。此外,通过规则自定义来扩展用户的使用空间,通过检查服务化来提高用户的体验,通过构建的规则集来提高检测的准确性和精度。
下面对本申请实施例提供的云资源检查装置进行介绍,下文描述的云资源检查装置与上文描述的云资源检查方法可相互对应参照。
请参考图3,图3为本申请实施例所提供的一种云资源检查装置的结构示意图。
本实施例中,该装置可以包括:
规则读取模块100,用于检查任务生成端读取检查指令对应的多个检查规则;
任务生成模块200,用于基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务;
云资源检查模块300,用于将多个检查任务发送至消息队列,以便云资源检查端从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。
可选的,该云资源检查端,可以包括:
任务读取单元,用于从消息队列循环读取检查任务;
规则校验单元,用于对检查任务的检查规则进行校验;
信息获取单元,用于当校验通过时,基于检查规则的云资源类型信息获取对应的云资源信息;
过滤单元,用于基于检查规则的过滤信息对云资源信息进行处理并进行统计,得到过滤结果;
处置单元,用于基于检查规则的处置信息对过滤结果进行处理,得到处理结果;
结果获取单元,用于将过滤结果和处理结果作为检查结果。
可选的,该过滤单元,具体用于从云资源信息中提取目标运算值;对目标运算值和过滤规则中的运算值执行过滤规则对应的运算处理,得到计算结果;其中,运算处理包括比较运算、范围运算、逻辑运算、自定义运算中的一种或多种;基于计算结果确定过滤结果。
可选的,该规则校验单元,具体用于对检查任务的检查规则的云资源类型信息、过滤信息以及处置信息进行支持校验;当支持校验通过时,对过滤信息的参数和处置信息的参数进行参数校验。
可选的,该任务生成模块200,具体用于基于检查配置信息的规则忽略列表和资源忽略列表对多个检查规则进行过滤,得到多个目标检查规则;基于检查配置信息的云账号信息和区域信息对多个目标检查规则的信息进行整合处理,得到多个检查任务。
可选的,该装置还可以包括:
结果存储模块,用于将检查结果作为检查报告,并存储于数据库中;
相应的,报告显示模块,用于当检查任务生成端接收到报告查看指令时,基于报告查看指令从数据库获取对应的检查报告;显示检查报告。
可选的,该装置还可以包括:
规则修改模块,用于当检查任务生成端接收到规则修改指令时,基于规则修改指令对数据库中的检查规则进行修改。
本申请还提供了一种服务器,请参考图4,图4为本申请实施例所提供的一种服务器的结构示意图,该服务器可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种云资源检查方法的步骤。
如图4所示,为服务器的组成结构示意图,服务器可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行云资源检查方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
检查任务生成端读取检查指令对应的多个检查规则;
基于检查配置信息对多个检查规则的信息进行任务生成处理,得到多个检查任务;
将多个检查任务发送至消息队列,以便云资源检查端从消息队列循环读取检查任务,并基于检查任务对云资源进行检查,得到检查结果。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中服务器的限定,在实际应用中服务器可以包括比图4所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种云资源检查方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种云资源检查方法、云资源检查装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (9)
1.一种云资源检查方法,其特征在于,包括:
检查任务生成端读取检查指令对应的多个检查规则;
基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务;
将所述多个检查任务发送至消息队列,以便云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果;
云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果,包括:
所述云资源检查端从所述消息队列循环读取所述检查任务;
对所述检查任务的检查规则进行校验;
当校验通过时,基于所述检查规则的云资源类型信息获取对应的云资源信息;
基于所述检查规则的过滤信息对所述云资源信息进行处理并进行统计,得到过滤结果;
基于所述检查规则的处置信息对所述过滤结果进行处理,得到处理结果;
将所述过滤结果和所述处理结果作为所述检查结果。
2.根据权利要求1所述的云资源检查方法,其特征在于,基于所述检查规则的过滤信息对所述云资源信息进行处理并进行统计,得到过滤结果,包括:
从所述云资源信息中提取目标运算值;
对所述目标运算值和过滤规则中的运算值执行所述过滤规则对应的运算处理,得到计算结果;其中,所述运算处理包括比较运算、范围运算、逻辑运算、自定义运算中的一种或多种;
基于所述计算结果确定所述过滤结果。
3.根据权利要求1所述的云资源检查方法,其特征在于,对所述检查任务的检查规则进行校验,包括:
对所述检查任务的检查规则的云资源类型信息、过滤信息以及处置信息进行支持校验;
当所述支持校验通过时,对所述过滤信息的参数和所述处置信息的参数进行参数校验。
4.根据权利要求1所述的云资源检查方法,其特征在于,基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务,包括:
基于所述检查配置信息的规则忽略列表和资源忽略列表对所述多个检查规则进行过滤,得到多个目标检查规则;
基于所述检查配置信息的云账号信息和区域信息对所述多个目标检查规则的信息进行整合处理,得到所述多个检查任务。
5.根据权利要求1所述的云资源检查方法,其特征在于,还包括:
所述云资源检查端将所述检查结果作为检查报告,并存储于数据库中;
相应的,还包括:
当所述检查任务生成端接收到报告查看指令时,基于所述报告查看指令从所述数据库获取对应的检查报告;
显示所述检查报告。
6.根据权利要求1所述的云资源检查方法,其特征在于,还包括:
当所述检查任务生成端接收到规则修改指令时,基于所述规则修改指令对数据库中的检查规则进行修改。
7.一种云资源检查装置,其特征在于,包括:
规则读取模块,用于检查任务生成端读取检查指令对应的多个检查规则;
任务生成模块,用于基于检查配置信息对所述多个检查规则的信息进行任务生成处理,得到多个检查任务;
云资源检查模块,用于将所述多个检查任务发送至消息队列,以便云资源检查端从所述消息队列循环读取所述检查任务,并基于所述检查任务对云资源进行检查,得到检查结果;
所述云资源检查端,包括:
任务读取单元,用于从所述消息队列循环读取所述检查任务;
规则校验单元,用于对所述检查任务的检查规则进行校验;
信息获取单元,用于当校验通过时,基于所述检查规则的云资源类型信息获取对应的云资源信息;
过滤单元,用于基于所述检查规则的过滤信息对所述云资源信息进行处理并进行统计,得到过滤结果;
处置单元,用于基于所述检查规则的处置信息对所述过滤结果进行处理,得到处理结果;
结果获取单元,用于将所述过滤结果和所述处理结果作为所述检查结果。
8.一种服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的云资源检查方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的云资源检查方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210396515.2A CN114979100B (zh) | 2022-04-15 | 2022-04-15 | 一种云资源检查方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210396515.2A CN114979100B (zh) | 2022-04-15 | 2022-04-15 | 一种云资源检查方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114979100A CN114979100A (zh) | 2022-08-30 |
CN114979100B true CN114979100B (zh) | 2024-02-23 |
Family
ID=82977404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210396515.2A Active CN114979100B (zh) | 2022-04-15 | 2022-04-15 | 一种云资源检查方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114979100B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550210A (zh) * | 2022-09-27 | 2022-12-30 | 中国联合网络通信集团有限公司 | 云网业务性能检测方法、装置、设备及存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101710411A (zh) * | 2009-12-01 | 2010-05-19 | 中国建设银行股份有限公司 | 一种实时任务处理方法及其设备 |
CN103164279A (zh) * | 2011-12-13 | 2013-06-19 | 中国电信股份有限公司 | 云计算资源分配方法和系统 |
CN105574037A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及装置 |
CN106713396A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 服务器调度方法和系统 |
CN108287764A (zh) * | 2018-01-31 | 2018-07-17 | 上海携程商务有限公司 | 分布式任务调度方法及其系统、存储介质、电子设备 |
CN108616406A (zh) * | 2018-05-15 | 2018-10-02 | 上海南洋万邦软件技术有限公司 | 一种多云平台资源一键检测优化系统 |
US10713664B1 (en) * | 2019-03-22 | 2020-07-14 | International Business Machines Corporation | Automated evaluation and reporting of microservice regulatory compliance |
CN112329020A (zh) * | 2020-11-05 | 2021-02-05 | 国网江苏省电力有限公司信息通信分公司 | 一种基于电力数据中台安全规则的自动化检测方法及装置 |
CN112445866A (zh) * | 2019-08-13 | 2021-03-05 | 北京京东振世信息技术有限公司 | 数据处理方法、装置、计算机可读介质及电子设备 |
CN113242244A (zh) * | 2021-05-12 | 2021-08-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置和系统 |
CN113535368A (zh) * | 2021-09-07 | 2021-10-22 | 武汉中科通达高新技术股份有限公司 | 任务处理方法、装置和电子设备 |
CN113553238A (zh) * | 2021-07-23 | 2021-10-26 | 浪潮云信息技术股份公司 | 云平台资源异常自动处理系统及方法 |
CN113572704A (zh) * | 2020-04-29 | 2021-10-29 | 北京沃东天骏信息技术有限公司 | 一种信息处理方法、生产端、消费端和服务器 |
CN113672357A (zh) * | 2020-05-15 | 2021-11-19 | 北京沃东天骏信息技术有限公司 | 任务调度的方法、装置和系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10212120B2 (en) * | 2016-04-21 | 2019-02-19 | Confluent, Inc. | Distributed message queue stream verification |
US11487573B2 (en) * | 2018-05-08 | 2022-11-01 | Thomson Reuters Enterprise Centre Gmbh | Systems and method for automating security workflows in a distributed system using encrypted task requests |
US11048544B2 (en) * | 2019-04-08 | 2021-06-29 | Sap Se | Cloud resource credential provisioning for services running in virtual machines and containers |
-
2022
- 2022-04-15 CN CN202210396515.2A patent/CN114979100B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101710411A (zh) * | 2009-12-01 | 2010-05-19 | 中国建设银行股份有限公司 | 一种实时任务处理方法及其设备 |
CN103164279A (zh) * | 2011-12-13 | 2013-06-19 | 中国电信股份有限公司 | 云计算资源分配方法和系统 |
CN105574037A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及装置 |
CN106713396A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 服务器调度方法和系统 |
CN108287764A (zh) * | 2018-01-31 | 2018-07-17 | 上海携程商务有限公司 | 分布式任务调度方法及其系统、存储介质、电子设备 |
CN108616406A (zh) * | 2018-05-15 | 2018-10-02 | 上海南洋万邦软件技术有限公司 | 一种多云平台资源一键检测优化系统 |
US10713664B1 (en) * | 2019-03-22 | 2020-07-14 | International Business Machines Corporation | Automated evaluation and reporting of microservice regulatory compliance |
CN112445866A (zh) * | 2019-08-13 | 2021-03-05 | 北京京东振世信息技术有限公司 | 数据处理方法、装置、计算机可读介质及电子设备 |
CN113572704A (zh) * | 2020-04-29 | 2021-10-29 | 北京沃东天骏信息技术有限公司 | 一种信息处理方法、生产端、消费端和服务器 |
CN113672357A (zh) * | 2020-05-15 | 2021-11-19 | 北京沃东天骏信息技术有限公司 | 任务调度的方法、装置和系统 |
CN112329020A (zh) * | 2020-11-05 | 2021-02-05 | 国网江苏省电力有限公司信息通信分公司 | 一种基于电力数据中台安全规则的自动化检测方法及装置 |
CN113242244A (zh) * | 2021-05-12 | 2021-08-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置和系统 |
CN113553238A (zh) * | 2021-07-23 | 2021-10-26 | 浪潮云信息技术股份公司 | 云平台资源异常自动处理系统及方法 |
CN113535368A (zh) * | 2021-09-07 | 2021-10-22 | 武汉中科通达高新技术股份有限公司 | 任务处理方法、装置和电子设备 |
Non-Patent Citations (1)
Title |
---|
基于ActiveMQ通信的多租户任务调度框架设计与实现;苏志宏;;电脑知识与技术(18);第13-15页 * |
Also Published As
Publication number | Publication date |
---|---|
CN114979100A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9521104B2 (en) | Outgoing communications inventory | |
CN111245900B (zh) | 一种分布式消息发送的处理系统及其处理方法 | |
CN110113315B (zh) | 一种业务数据的处理方法及设备 | |
CN107145784B (zh) | 一种漏洞扫描的方法、装置及计算机可读介质 | |
CN110046086B (zh) | 用于测试的期望数据生成方法及装置和电子设备 | |
CN111488594B (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
CN112559525B (zh) | 数据检查系统、方法、装置和服务器 | |
CN112084179B (zh) | 一种数据处理的方法、装置、设备及存储介质 | |
CN110851324B (zh) | 基于日志的巡检处理方法、装置以及电子设备、存储介质 | |
CN114979100B (zh) | 一种云资源检查方法及相关装置 | |
CN113051308A (zh) | 告警信息处理方法、设备、存储介质及装置 | |
CN111274149A (zh) | 测试数据的处理方法及装置 | |
CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
CN111130882A (zh) | 网络设备的监控系统及方法 | |
CN105740135A (zh) | 一种代码审计方法和装置 | |
CN117113348A (zh) | 威胁检测代码的生成和使用方法、装置、设备和介质 | |
CN114510409B (zh) | 一种应用程序代码检测方法和计算机可读存储介质 | |
CN115080401A (zh) | 一种自动化测试方法和相关装置 | |
CN115496470A (zh) | 全链路配置化数据处理方法、装置和电子设备 | |
CN109857632B (zh) | 测试方法、装置、终端设备及可读存储介质 | |
CN113419738A (zh) | 接口文档的生成方法、装置及接口管理设备 | |
CN108536604B (zh) | 一种测试web页面响应时间的方法及终端 | |
CN112446030A (zh) | 一种网页端的文件上传漏洞检测方法和装置 | |
CN113962328B (zh) | 数据对比分析方法、装置及设备 | |
CN110119406B (zh) | 实时任务记录的核对方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |