CN115913583A - 业务数据访问方法、装置和设备及计算机存储介质 - Google Patents
业务数据访问方法、装置和设备及计算机存储介质 Download PDFInfo
- Publication number
- CN115913583A CN115913583A CN202110907929.2A CN202110907929A CN115913583A CN 115913583 A CN115913583 A CN 115913583A CN 202110907929 A CN202110907929 A CN 202110907929A CN 115913583 A CN115913583 A CN 115913583A
- Authority
- CN
- China
- Prior art keywords
- access
- service
- controlled
- address
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种业务数据访问方法、装置和设备及计算机存储介质,涉及安全管理技术领域,用于在保障业务数据访问安全的基础上,提升网络访问的可靠性。该方法包括:接收安全管理服务器发送的业务访问配置信息;当基于截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;基于获得的受控IP地址信息,生成相应的IP路由规则;针对符合IP路由规则的业务访问请求,通过访问代理组件截获该业务访问请求,且确定该业务访问请求符合零信任访问策略时,将业务访问请求通过零信任网关发往目标业务站点。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及网络安全技术领域,提供一种业务数据访问方法、装置和设备及计算机存储介质。
背景技术
传统的网络安全架构理念是基于边界的安全架构,默认内网是安全的,但是当采用非法手段突破边界后,往往能够轻易实现内网渗透,造成数据泄露。随着数据资源的互联互通和共享开放,消除了物理界限,提出了更为严格和创新的安全防护技术,即零信任技术。零信任技术遵循“永不信任且始终验证”原则,其策略是不信任任何对象,打破了旧式的网络边界防护思维,对边界内部或外部的网络统统采取不信任的态度,必须经过验证才能完成授权,实现访问。
但是,由于零信任网络架构是一种全新的安全架构,企业从传统网络架构迁移至零信任架构的过程中,需要对现有业务站点、组织架构以及安全管控方面做出较大调整,并且在目前的企业互联网技术(Internet Technology,IT)环境下,业务场景复杂多变,各企业迥然不同的业务站点以及数据交换场景等要求零信任安全架构具备较强的多场景适应能力。例如,零信任网络架构下,要求所有流量都需要经过终端设备上的安全代理组件,所以部分流量受到代理组件服务或进程生命周期的影响,特别是与公网服务或站点维持长链访问的流量,随着终端设备中零信任网络访问功能的停止,该长链可能会出现被中断或者不可用的现象,降低了网络访问的可靠性。
发明内容
本申请实施例提供一种业务数据访问方法、装置和设备及计算机存储介质,用于在保障业务数据访问安全的基础上,提升网络访问的可靠性。
一方面,提供一种业务数据访问方法,应用于终端设备中,所述方法包括:
接收安全管理服务器发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息以及受控业务站点的标识信息;
当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;
基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件;
针对符合所述IP路由规则的业务访问请求,通过所述访问代理组件截获所述业务访问请求,且确定所述业务访问请求符合零信任访问策略时,将所述业务访问请求通过零信任网关发往目标业务站点。
一方面,提供一种业务数据访问方法,应用于安全管理服务器中,所述方法包括:
接收管理端设备发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息、受控业务站点的标识信息以及接入逻辑信息,所述截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,所述接入逻辑信息用于指示各个受控对象;
根据所述接入逻辑信息,将所述截获模式指示信息以及所述受控业务站点的标识信息发送给所述各个受控对象对应的终端设备,以使得相应终端设备根据所述截获模式指示信息以及所述受控业务站点的标识信息,生成受控IP地址信息,并根据受控IP地址信息进行业务访问控制。
一方面,提供一种业务数据访问装置,应用于终端设备中,所述装置包括:
接收单元,用于接收安全管理服务器发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息以及受控业务站点的标识信息;
确定单元,用于当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;
规则生成单元,用于基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件;
访问控制单元,用于针对符合所述IP路由规则的业务访问请求,通过所述访问代理组件截获所述业务访问请求,且确定所述业务访问请求符合零信任访问策略时,将所述业务访问请求通过零信任网关发往目标业务站点。
一方面,提供一种业务数据访问装置,应用于安全管理服务器中,所述装置包括:
接收单元,用于接收管理端设备发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息、受控业务站点的标识信息以及接入逻辑信息,所述截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,所述接入逻辑信息用于指示各个受控对象;
执行单元,用于根据所述接入逻辑信息,将所述截获模式指示信息以及所述受控业务站点的标识信息发送给所述各个受控对象对应的终端设备,以使得相应终端设备根据所述截获模式指示信息以及所述受控业务站点的标识信息,生成受控IP地址信息,并根据受控IP地址信息进行业务访问控制。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种方法的步骤。
本申请实施例中,接收安全管理服务器下发的业务访问配置信息,并根据其中携带的截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息,以及基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件,这样,就可以仅针对需要严格进行访问控制的受控业务站点进行流量截获,从而在零信任网络中实现了特定流量的截获模式,即针对受控业务站点仍然执行严格的零信任访问,而对于非受控业务站点,则不会进行流量截获,避免了非受控业务站点的流量受到代理组件服务或进程生命周期的影响,降低了非受控业务站点的长链被中断或者不可用的概率,从而在保障受控业务站点的业务数据访问安全的基础上,提升网络访问的可靠性。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的零信任访问安全服务的架构示意图;
图2为本申请实施例提供的安全管理系统的架构示意图;
图3为本申请实施例提供的业务数据访问方法的流程示意图;
图4为本申请实施例提供的管理员配置受控业务站点的页面示意图;
图5为本申请实施例提供的安全管理组件推送配置信息的流程示意图;
图6为本申请实施例提供的全流量截获模式的业务访问请求的处理流程图;
图7为本申请实施例提供的基于自建DNS的业务访问的流程示意图;
图8为本申请实施例提供的安全管理组件推送直连访问规则和直连访问列表的流程示意图;
图9为本申请实施例提供的映射关系的转换示意图;
图10为本申请实施例提供的基于直连访问规则的域名处理流程图;
图11为本申请实施例提供的一种业务数据访问装置的结构示意图;
图12为本申请实施例提供的另一种业务数据访问装置的结构示意图;
图13为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例中涉及的方法可以基于云技术(Cloud technology),对本申请实施例所提及的受控业务站点的业务访问请求进行截获后,通过零信任访问策略的控制,通过零信任网关发起业务访问,适用于云技术中的云安全领域。
云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
其中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
具体而言,云安全主要研究方向包括:
1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;
2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;
3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
零信任访问策略:由用户可使用的可信应用以及可访问的可达区域组成,在零信任访问策略范围内的可信应用和可达区域,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任访问策略。
可信应用:管理端授信的终端设备可访问内部业务系统的应用载体,可以包括可在终端设备安装的任一应用,包括操作系统的应用以及用户可自行安装的应用,如Outlook、微信或者office等等,例如,可信应用可以为社交客户端、办公客户端、检索客户端(例如,浏览器客户端)、多媒体客户端(例如,视频客户端)、娱乐客户端(例如,游戏客户端)、教育客户端、直播客户端、新闻客户端或者购物客户端(例如,电商客户端)等应用客户端。
可达区域:用户可以通过零信任网络访问企业设置的受控业务站点列表,根据为用户配置的零信任访问策略,该用户所能够访问的受控业务站点列表中的受控业务站点即为该用户的可达区域。受控业务站点例如可以为企业内部资源站点。
零信任网关:部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的业务访问请求进行验证和请求转发。
访问代理组件:访问代理是部署于受控终端设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与零信任网关建立加密的访问连接,同时也是访问控制的策略执行点。
受控对象:一般是指用户,在网络中以用户标识(如用户账户)作为受控对象,一个用户标识唯一对应一个用户,在进行受控对象的选择时,可以按照企业组织或者部门进行快速选取。
零信任访问安全服务:为访问安全需求方提供的一种服务,其中,如图1所示,本申请实施例中提供的安全管理系统为零信任网络安全服务提供方,安全管理系统中包括安全管理客户端(包括安全管理组件和访问代理组件)、安全管理服务器和智能网关,通过设置于终端设备的访问代理组件和零信任网关为访问主体通过网络请求访问客体的资源提供统一入口,安全管理组件和安全管理服务器为统一入口提供鉴权操作,只有通过鉴权的业务访问请求才能由访问代理组件转发给零信任网关,通过零信任网关代理实际业务系统的访问。
直连访问方式:在零信任网络架构中,某个业务应用对站点发起网络访问请求,并截获该网络访问请求后,直接向目标业务站点发起网络访问,即发起直接连接的访问,并将目标业务站点的网络响应发送给该业务应用,这种访问模式称为直连访问。
代理访问方式:在零信任网络架构中,某个业务应用对站点发起网络访问请求,并由访问代理组件截获该网络访问请求后,由访问代理组件向零信任网关发起流量转发,经由零信任网关代理针对目标业务站点的访问,访问后由零信任网关将该目标业务站点的网络响应发送给访问代理组件,由访问代理组件将目标业务站点的网络响应转发至该业务应用,这种访问模式称为代理访问。
本申请实施例提供的方案可以适用于零信任网络访问场景中,如图2所示,为本申请实施例提供的一种零信任网络的架构示意图,在该场景中可以包括多个终端设备10,如图2所示的终端设备10~1至终端设备10~n,还可以包括a安全管理服务器20、零信任网关30、业务站点服务器40和云查杀服务器50。
终端设备10可以为智能手机、平板电脑、笔记本电脑、桌上型电脑、可穿戴设备、智能家居以及头戴设备等具有业务数据访问功能的智能终端。其中,各个终端设备10可以为受控于一用户群体的终端设备,例如可以为企业内各个员工所使用的终端设备,或者某个团体组织内的成员所使用的终端设备。
如图2所示,每个终端设备10均可以安装有业务应用102以及安全管理客户端101,安全管理客户端101包括安全管理组件(也可以称为安全管理客户端)和访问代理组件(也可以称为访问代理客户端)。其中,业务应用102可以包括可信应用,也可以包括非可信应用。
安全管理服务器20为安全管理组件的后台服务器,其可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
零信任网关30可以为任何能够实现业务访问请求验证和请求转发的网关设备。
业务站点服务器40为业务访问请求所请求访问的目标业务站点对应的服务器访问客体,例如可以为企业的内部站点,业务站点服务器40的业务数据等内容是受保护的访问客体,只有在授权验证通过时才能够允许访问。
云查杀服务器50用于实现云查杀功能,用于检测业务应用的应用进程是否安全,例如是否有漏洞,是否有病毒木马,从而给出应用进程是否为恶意进程的结果。例如可以为威胁情报云查服务安知或者TAV杀毒引擎等。
在具体应用时,用户可以预先在终端设备上安装安全管理客户端101,其包括的安全管理组件为安装在终端设备上的安全代理(Agent),用于与安全管理服务器20对接,负责安全校验方面的功能,例如可以负责验证终端设备上的用户可信身份,验证终端设备是否可信以及业务应用是否可信,将未知的进程向服务器申请进程送检等。访问代理组件可以通过虚拟网卡(如TUN/TAP虚拟网卡)劫持设备流量以获取业务访问请求,以及与零信任网关30对接,用于实现业务访问请求的转发等功能。安全管理组件鉴权通过后,访问代理组件负责将业务访问请求转发给智能网关,如果没有通过鉴权则走直连或中断连接。
当用户在安全管理客户端101上登录自己的账号时,则安全管理组件可以从安全管理服务器20获取管理员为该用户配置的零信任访问策略,从而在用户使用终端设备10上的业务应用102发起网络访问时,则访问代理组件可以截获到该次网络访问所触发的业务访问请求,并请求安全管理组件对业务访问请求进行鉴权请求,即向安全管理组件申请该业务访问请求对应的校验凭证,鉴权请求参数包括源网际互连协议(Internet Protocol,IP)地址或者域名、源端口、目的IP地址或者域名、目的端口、业务应用对应的进程标识(Process Identification,PID)。
一方面,当安全管理组件判断发起访问的业务应用和访问站点是否符合零信任访问策略,若不符合零信任访问策略,则安全管理组件向访问代理组件响应直连结果,访问代理组件收到直连结果后,会直接将业务访问请求转发到需要连接的目标业务站点,如果安全管理组件判断符合零信任访问策略,则安全管理组件需要搜集业务应用的特征信息,判断业务应用是否为风险进程,若是,则给访问代理组件发送拒绝票据响应,如果不是风险进程,则安全管理组件从本地缓存的凭证列表中获取一个校验凭证,响应给访问代理组件。
访问代理组件首先向零信任网关30发起携带校验凭证的请求,零信任网关30收到访问代理组件的请求后,向安全管理服务器20校验上述校验凭证,如果校验成功,则零信任网关30跟访问代理组件成功建立连接,之后访问代理组件将原始的业务访问请求发送给零信任网关30,由零信任网关30转发至到对应的业务站点服务器,代理实际的应用网络访问;如果校验凭证校验未通过,则访问代理组件与零信任网关30的连接中断。
另一方面,安全管理组件还会搜集业务应用更为详细的特征信息,异步向安全管理服务器20发起深度安全校验,安全管理服务器20可以对该业务应用进行安全校验,或者,还可以向云查杀服务器50发起送检请求,以对业务应用进行深度安全校验,当安全管理服务器20或者云查杀服务器50确定业务应用的应用进程为恶意进程时,则安全管理服务器20通知安全管理组件,实行对已有访问链接的阻断操作。
零信任访问策略的粒度为终端用户级,安全管理服务器20根据组织架构下发策略给相应的用户,可以将不同类型的策略内容下发至指定的企业事业群、部门、组织或个人(粒度最小为用户级)。零信任访问策略包括终端用户能够访问的业务系统标识(域名、IP地址或者IP段)和端口以及访问该业务系统的限定应用,其中业务系统可支持模糊匹配和IP段设置。
随着数据资源的互联互通和共享开放,零信任技术的应用逐渐越来越广泛,但在实际的应用过程中,如上所述,在零信任网络架构下,要求所有流量都需要经过终端设备上的代理组件,所以部分流量受到代理组件服务或进程生命周期的影响,特别是与公网服务或站点维持长链访问的流量,随着终端设备中零信任网络访问功能的停止,该长链可能会出现被中断或者不可用的现象,降低了网络访问的可靠性。
此外,企业内部终端设备在不同的网络场景中(例如处于特定网络或位于特定IP段内)时,针对已经接入零信任安全架构的业务系统可能存在直连访问的需求,例如在处于企业内网环境时可能存在直连访问的需求,而在普通场景下又要求经过访问代理组件与零信任网关之间的安全通道传输,并严格被零信任访问策略管控,而目前的针对不同业务系统访问的多样化场景缺乏统一且灵活切换的管控手段。
鉴于此,本申请实施例提供了一种业务数据访问方法,该方法可以应用于图2所示的安全管理系统中,在该方法中,安全管理服务器20可预先基于管理设备的业务访问配置信息,向指定的各个受控对象的终端设备10下发截获模式指示信息、受控业务站点的标识信息,截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,即采用全流量截获模式还是采用受控业务站点流量截获模式。并且,通过管理端的配置,还可以支持两种模式之间进行切换,从而企业可以根据自身的需求来设置选择相应的流量截获模式。
当终端设备10确定采用受控业务站点流量截获模式时,则可以根据受控业务站点的IP地址信息生成IP路由规则,即当业务访问请求携带的目的地址记录在受控IP地址信息中时,基于对应受控IP地址信息预设的IP路由规则,将业务访问请求转发至指定的虚拟网卡,通过虚拟网卡来截获业务访问请求,从而进行后续的代理访问过程。
在具体实施时,针对业务应用发起的业务访问请求,当业务访问请求携带的目的地址记录在受控IP地址信息中时,基于对应受控IP地址信息预设的IP路由规则,将业务访问请求转发至指定的虚拟网卡,通过虚拟网卡截获业务访问请求再针对截获的业务网访问请求执行业务访问控制。这样,就可以仅针对需要严格进行访问控制的受控业务站点进行流量截获,从而在零信任网络中实现了特定流量的截获模式,即针对受控业务站点仍然执行严格的零信任访问,而对于非受控业务站点,则不会进行流量截获,避免了非受控业务站点的流量受到代理组件服务或进程生命周期的影响,降低了非受控业务站点的长链被中断或者不可用的概率,从而在保障受控业务站点的业务数据访问安全的基础上,提升网络访问的可靠性。
而当终端设备10确定采用全流量截获模式时,则可以将虚拟网卡的路由优先级设置为最高优先级,从而使得所有业务访问请求都将自动的被转发至指定的虚拟网卡,进而通过虚拟网卡来截获业务访问请求,从而进行后续的代理访问过程。
本申请实施例中,还提出了动态直连访问的方案,即安全管理服务器20预先向各个受控对象的终端设备10下发直连访问规则和直连访问列表,直连访问规则指示了:在指定的网段下,对于直连访问列表中的各个受控业务站点采用直连访问方式,进而终端设备10中的监测终端设备所处的网络环境,当处于特定网段(如企业内网)时,部分受控业务站点可采用直连访问的方式,而当处于其他网段(如非企业内网)时,则上述部分受控业务站点需要切换至代理访问的方式,使得在不同网络环境下能够灵活切换业务访问方式。
当然,本申请实施例提供的方法并不限用于图2所示的应用场景中,还可以用于其他可能的零信任架构场景,本申请实施例并不进行限制。对于图2所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
本申请实施例中,在企业从传统网络架构接入零信任网络架构时,需要引入业务系统接入前置控制逻辑,因而下面首先对零信任架构业务系统接入的过程进行介绍。如图3所示,为零信任架构业务系统接入的流程示意图。
步骤301:管理端设备获取管理员配置的业务访问配置信息。
本申请实施例中,企业管理员可以通过安全管理系统的管理页面输入相应的配置信息,从而管理端设备基于企业管理员的输入,获得业务访问配置信息。
具体的,业务访问配置信息可以包括如下内容中的一种以及多种的组合:
(1)受控业务站点的标识信息
受控业务站点的标识信息用于指示哪些站点属于受控业务站点,通常对于企业而言,为避免企业资源泄露,因而受控业务站点通常为该企业的内部资源站点,内部资源可以包含数据、接口和功能等,则受控业务站点可以为提供这些数据、接口和功能的站点。
具体的,标识信息一般可以采用形式,即域名形式以及IP形式,而IP形式又可以包括具体的IP地址或者IP段,从而终端设备中发起的业务访问请求所针对目标业务站点只要通过命中设定的域名或者IP,则认为用户在尝试访问企业资源。
参见图4所示,为管理员配置受控业务站点的页面示意图,管理员可以添加类别为域名、IP地址或者IP段的受控业务站点,即内网资源,并设置该内容资源的相关配置信息。如图4所示,当管理员选择添加以域名标识的内网资源,即图4中的“*.sohu.com”,并设置该资源的资源名称,即“新闻类站点”,以及设置该资源的访问端口以及资源分组等等。
(2)截获模式指示信息
截获模式指示信息用于指示所要采用的流量截获模式,流量截获模式包括如下两种:
①全流量截获模式,是指针对全部业务站点的业务访问请求进行截获的方式。也就是说,对于终端设备中发起的任意业务访问请求,都需要通过访问代理组件进行访问代理,即需要通过零信任网关来执行请求的转发。
当然,这里的全部业务站点并不是指绝对的全部业务站点,可以是指大多数业务站点,而在实际应用中,可以针对小部分站点的业务访问请求不进行截获。
②受控业务站点流量截获模式,是指仅针对受控业务站点的业务访问请求进行截获。也就是说,对于终端设备中针对受控业务站点发起的业务访问请求,例如请求访问企业内部资源站点的业务访问请求,才需要通过访问代理组件进行访问代理,而对于其他业务站点的业务访问请求,无需通过访问代理组件进行访问代理。
一般而言,受控业务站点通常为企业资源站点,因而受控业务站点流量截获模式也可以
在具体应用时,可以统一为企业内的所有用户配置相同的流量截获模式,或者为不用的用户配置不同的流量截获模式。
(3)接入逻辑信息
接入逻辑信息用于指示各个受控对象,管理员可以指定针对企业组织架构中的部分或全部分组下发相关零信任访问控制策略或业务访问配置信息,使得与选定的组织架构中关联的人员或设备接入零信任安全架构,以此在企业内完成逐步灰度和接入的逻辑。
步骤302:管理端设备将业务访问配置信息发送给安全管理服务器。
步骤303:安全管理服务器将业务访问配置信息发送给各个受控对象,各个受控对象的终端设备接收业务访问配置信息。
本申请实施例中,安全管理服务器可以基于接入逻辑信息,确定需要将业务访问配置信息发送给哪些受控对象,进而向这些受控对象发送业务访问配置信息。
在一种可能的实施方式中,安全管理服务器可以通过推送的方式,将业务访问配置信息推送给各个受控对象,进而,用户通过自己的账户登录安全管理组件后,则可以接收到业务访问配置信息;
在另一种可能的实施方式中,可以通过从安全管理服务器拉取业务访问配置信息的方式,使得终端设备获取上述业务访问配置信息。
本申请实施例中,终端设备中安装有安全管理组件和访问代理组件,安全管理组件负责终端会被上的安全监控,访问代理组件负责截获业务访问请求执行转发等,安全管理服务器与安全管理组件之间建立连接通道,进而通过安全管理组件接收到业务访问配置信息,并触发向访问代理组件推送业务访问配置信息的推送流程。
步骤304:基于截获模式指示信息,判断所要采用的流量截获模式。
步骤305:确定采用受控业务站点流量截获模式时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息。
具体的,受控业务站点的标识信息可以包括IP地址和IP段,则基于安全管理服务器下发的IP地址和IP段,可以直接获取到相应的受控业务站点的IP地址。
此外,受控业务站点的标识信息还可以包括域名信息,针对域名形式的标识信息,需要转换成IP地址,那么安全管理组件接收安全管理服务器发送的业务访问配置信息,并将业务访问配置信息推送给访问代理组件后,并且访问代理组件根据业务访问配置信息中的截获模式指示信息确定采用受控业务站点流量截获模式时,则可以调用系统默认的域名系统(Domain Name System,DNS)对接收到的受控业务站点的域名信息进行解析,获得解析成功的各个域名信息的真实IP地址,进而将解析成功的域名信息的真实IP地址返回给安全管理组件。
步骤306:基于获得的受控IP地址信息,生成相应的IP路由规则,IP路由规则用于指示:当业务访问请求携带的目的地址记录在受控IP地址信息中时,将业务访问请求转发至指定的访问代理组件。
本申请实施例中,由于获得IP地址数量可能较多,且可能存在连续的IP地址,从而为了减少IP路由数量,可以对获得的各个IP地址进行聚合,以获得多个IP段,每个IP段包括多个连续的IP地址。
具体的,可通过安全管理组件将IP路由规则写入到终端设备的路由表中,即将受控业务站点的IP或者IP段的下一跳地址修改为访问代理组件的虚拟网卡的地址,这样,这些受控业务站点的业务访问请求则会自动进入到虚拟网卡。
在具体应用时,在路由表写入IP路由规则之后,则终端设备中接收业务应用发送的用于访问目标业务站点业务访问请求时,若基于上述的IP路由规则,确定业务访问请求携带的目的地址记录在受控IP地址信息中,则会将业务访问请求转发至访问代理组件的虚拟网卡,从而通过虚拟网卡来截获业务访问请求。
步骤307:针对符合IP路由规则的业务访问请求,访问代理组件截获该业务访问请求,且确定其符合零信任访问策略时,将业务访问请求通过零信任网关发往目标业务站点。
具体的,符合IP路由规则的业务访问请求会自动被访问代理组件所截获,进而访问代理组件向安全管理组件请求鉴权,即确定是否符合当前用户的零信任访问策略,若鉴权通过,则将业务访问请求通过零信任网关发往目标业务站点,通过零信任网关进行访问代理;而若是未鉴权通过,则将业务访问请求直接发往目标业务站点,实现直连访问。
步骤308:当确定采用全流量截获模式时,则将虚拟网卡的路由级别设置为最高优先级。
步骤309:通过访问代理组件截获所有业务访问请求,针对每个业务访问请求,确定其符合零信任访问策略时,将该业务访问请求通过零信任网关发往目标业务站点。
本申请实施例中,当确定采用全流量截获模式,即对所有业务站点的业务访问请求进行截获时,则可以通过将虚拟网卡的路由级别设置为最高优先级,从而各个业务站点的业务访问请求都会自动进入到虚拟网卡。
具体的,安全管理组件基于确定的全流量截获模式,可以在终端设备的主机路由表中添加访问代理组件的虚拟网卡(如前述部分提及的TUN/TAP网卡)的IP地址为默认路由,且接口跃点数动态设置为最小值,通过这种方法设置访问代理组件的虚拟网卡的路由优先级为最高,从而,通过某个应用APP发起的网络访问均会自动进入TUN/TAP网卡,实现全流量劫获。
这样,终端设备上的所有业务访问请求都会自动被访问代理组件所截获,进而访问代理组件向安全管理组件请求鉴权,即确定是否符合当前用户的零信任访问策略,若鉴权通过,则将业务访问请求通过零信任网关发往目标业务站点,通过零信任网关进行访问代理;而若是未鉴权通过,则将业务访问请求直接发往目标业务站点,实现直连访问。
当然,采用全流量截获模式时,针对某些业务站点的业务访问请求也可以不进行截获,对于这些业务站点,可以通过设置相应的路由表项来实现,即将这些业务站点的IP地址对应的下一跳地址修改为物理网卡,从而,这些业务站点的业务访问请求则会通过物理网卡进行转发。
本申请实施例中,终端设备中安装有安全管理组件和访问代理组件,安全管理组件负责终端会被上的安全监控,访问代理组件负责截获业务访问请求执行转发等,安全管理服务器与安全管理组件之间建立连接通道,进而通过安全管理组件接收到业务访问配置信息,并触发向访问代理组件推送业务访问配置信息的推送流程。参见图5所示,为安全管理组件推送配置信息的流程示意图。
步骤S10:安全管理组件通过从安全管理服务器拉取业务访问配置信息,或安全管理服务器推送业务访问配置信息到安全管理组件。
步骤S11:安全管理组件触发业务访问配置信息的推送流程。
步骤S12:安全管理组件针对业务访问配置信息进行格式检查和过滤操作,剔除其中非法数据和无效数据等,同时针对受控业务站点的IP和IP段执行聚合操作,以减少写入终端设备的路由数目,形成业务系统规则以及流量劫持模式。
其中,非法数据例如包括安全管理服务器下发的IP地址中包含了不合法的IP地址,那么则会从IP地址中将这些不合法IP地址剔除。
步骤S13:访问代理组件对安全管理组件的推送接口调用请求进行鉴权操作,如果鉴权失败,则安全管理组件推送失败,如果鉴权成功通过,则访问代理组件响应安全管理组件的推送接口,即允许安全管理组件的推送接口调用。
其中,访问代理组件对安全管理组件的接口调用鉴权,可以通过进程之间预先约定的通信协议来实现,例如公钥私钥鉴权方式。
步骤S14:安全管理组件基于安全管理服务器下发的接入逻辑,将最新的业务系统规则和流量劫持模式推送至访问代理组件。
步骤S15:安全管理组件根据访问代理组件的响应结果检查推送是否成功,并根据推送结果构建推送状态缓存。
其中,推送状态缓存由多个缓存项构成,各缓存项由缓存对应的哈希值和推送状态构成,形成键值对(key-value,KV)结构,其中key是配置对应的hash值,value包括配置的推送时间戳和推送状态,其中推送状态包括状态未知、待推送状态、推送成功和推送失败这几个值。如果安全管理组件识别出某次推送配置没有成功,则推送自动进入重试状态,达到最大重试次数,例如3次后,如果还是失败状态,则停止推送,并将最后一次的推送结果记录至推送状态缓存中,并上报运营数据至安全管理服务器。
通过上述步骤,安全管理服务器将企业管理员的业务访问配置信息通过安全管理组件及时高效地推送到访问代理组件。企业管理员在管理端中配置的下发或修改,都会同步到安全管理服务器,安全管理服务器再将这些信息下发到各受控对象的终端设备的安全管理组件。
本申请实施例提供了两种流量截获模式,即上述提及的全流量截获模式,另一种是受控业务站点流量截获模式。其中全流量截获模式是将终端设备的所有流量都导入到访问代理组件中,经由访问代理组件发起流量转发或直连访问。受控业务站点流量截获模式则只解析访问包含数据,接口和功能等在内的企业资源的业务系统的IP或IP段的网络流量,不干预其他流量,特别是用户访问公网站点的流量。下面,针对两种模式的业务访问过程分别进行介绍。
一、全流量截获模式
参见图6所示,为全流量截获模式的业务访问请求的处理流程图。
访问代理组件包括两部分,即虚拟网卡和用户态代理进程。访问代理组件通过虚拟网卡劫持终端设备中发起的业务访问请求,并通过用户态代理进程控制虚拟网卡的启动、停止以及读写内核数据。访问代理组件通过虚拟网卡处理来自网络层的数据包(即IPPacket),与物理网卡不同的是,访问代理组件的虚拟网卡的一端都连接内核协议栈,另一侧连接处于用户态代理进程。终端设备中的内核协议栈发送给访问代理组件的虚拟网卡的网络数据都被发送到了用户态代理进程中,通过一定数据转换后通过终端的物理网卡发送给零信任网关或相应的目标业务站点。
步骤S20:安全管理组件基于管理员设置的业务访问配置信息,在终端设备的主机路由表中添加访问代理组件的虚拟网卡的路由优先级为最高。
具体的,安全管理组件基于管理员设置的业务访问配置信息,在终端设备的主机路由表中添加访问代理组件的虚拟网卡的IP地址为默认路由,且接口跃点数动态设置为最小值,通过这种方法设置访问代理组件的虚拟网卡的路由优先级为最高,这样业务访问请求均会自动进入虚拟网卡,实现全流量截获模式。
步骤S21:业务应用发起的业务访问请求数据包从应用层传输至传输层,再下发到网络层,每到一层添加相应的层级的头部数据,然后经由socket接口将业务访问请求数据包发送给终端设备的内核协议栈。
步骤S22:内核协议栈根据业务访问请求数据包的目的地址查找主机路由表中的路由,找出下一跳地址为访问代理组件的虚拟网卡,内核协议栈将该业务访问请求数据包发送给访问代理组件的虚拟网卡。
步骤S23:虚拟网卡接收到业务访问请求数据包(IP数据包)后通知用户态代理进程取获取内核空间发送给虚拟网卡的数据,从而执行内核协议栈层和用户层之间的数据交换。
步骤S24:用户态代理进程获取到业务访问请求数据包后,进行数据包分析,向安全管理组件发起流量鉴权,即确定该业务访问请求是否符合为该用户配置的零信任访问策略。
步骤S24:安全管理组件对该网络数据包成功进行流量鉴权后,则基于原始的业务访问请求数据包通过socket构建一个源地址为以太网卡地址,目的地址为智能网关连接地址的新数据包;如果未能通过流量鉴权,则基于原始ip数据包通过socket构建一个源地址为以太网卡地址,目的地址为目标业务站点的新数据包。
步骤S25:新数据包通过以太网卡发送给智能网关,或者通过和以太网卡相连的外部网络设备直接连目标业务站点。
通过上述的流程,访问代理组件通过安全管理组件鉴权后负责将实际的网络访问流量通过物理网卡发送给智能网关,由智能网关代理实际的业务访问;如果未通过安全管理组件的流量鉴权,则代理客户端组件将劫持的原始网络访问流量直接通过物理网卡与对应的目的业务站点进行网络访问和响应过程,实现直连访问。
二、受控业务站点流量截获模式
受控业务站点流量截获模式,管理员在管理端配置受控业务站点,即包含企业数据、接口和功能等在内的企业业务系统的域名匹配规则、IP或IP段,经过安全管理组件汇总和格式检查后,形成规整的流量截获规则。其中,域名形式的规则推送至访问代理组件,而IP或IP段匹配规则通过安全管理组件写入终端设备的主机路由表。
(1)IP或IP段匹配规则
具体的,如果部分业务站点是通过以IP的形式被访问,则管理员可以在配置业务站点涵盖的IP或IP段,安全管理服务器或者安全管理组件根据管理员的输入,可以自动聚合成数量合理的IP段,并生成相应的IP路由规则,作为精准访问路由写入终端设备的主机路由表中。
IP或IP段匹配规则即前述的IP路由规则,但IP路由规则除了包括管理员直接配置的IP地址或IP段,还包括了管理员配置的域名信息接得到的IP地址。由于针对IP形式的流量截获,在前已经进行了详述,因而在此不再进行赘述。
需要说明的是,针对以IP形式配置的受控业务站点,安全管理组件在终端设备的主机路由设置过程可以是动态的,也就是说,在启动零信任网络访问控制时自动添加这些IP路由规则,停止零信任网络访问控制时自动删除这些IP路由规则。并且,在全流量劫持模式和企业资源流量劫持模式下,如果存在其他直连访问某些业务站点的业务需求,企业管理端同样可以针对IP形式的部分业务站点设置成路由直连名单,即通过下发配置到安全管理组件,安全管理组件将这些业务站点的IP地址的下一跳设置为物理网卡,实现针对部分业务站点的直连访问,免受访问代理组件流量截获的影响,增强零信任网络访问功能与传统业务系统的适配性。
(2)域名匹配规则
若管理员以域名形式配置受控业务站点时,那么需要对这些受控业务站点的域名信息进行解析,获得相应的真实IP地址,继而基于真实IP地址设置相应的IP路由规则。
具体的,安全管理服务器下发域名信息给安全管理组件后,安全管理组件可以将域名信息推送给访问代理组件,访问代理组件可以调用系统DNS来解析域名信息,针对解析成功获得真实IP地址,访问代理组件可将这些真实IP地址返回给安全代理组件,从而安全代理组件可基于这些真实IP地址生成相应的IP路由规则,从而目的地址为这些真实IP地址的业务访问请求,也会被虚拟网卡所截获。
本申请实施例中,某个业务应用发起对域名形式站点的访问时,必须等待DNS解析出正确的IP地址之后,才能够以IP地址为目的地址发起后续的访问行为,但是,考虑到受控业务站点大部分为企业的内部资源站点,在公网下可能出现DNS解析失败的情况,即无法解析出对应的IP地址,或者出现DNS解析出现域名污染的情况,最终导致业务应用无法发起后续的业务访问请求,业务访问行为无法继续。
因此,为了解决该问题,本申请实施例,还提供了一种基于自建DNS的业务访问方法,参见图7所示,为基于自建DNS的业务访问的流程示意图。
步骤S30:安全管理组件将管理员配置的受控业务站点的域名信息推送给访问代理组件,以便访问代理组件判断访问会话中的域名是否是受控业务站点,即企业资源。
步骤S31:访问代理组件截获业务应用的域名解析请求。
具体的,当访问主体通过业务应用APP(浏览器或者C/S架构的应用程序)访问企业域名时,则访问代理组件可通过监听53端口,53端口为DNS所开放的端口,从而捕获到对应的DNS请求。
步骤S32:访问代理组件判断域名解析请求携带的目标域名是否符合受控站点域名规则,即确定域名解析请求携带的目标域名记录在受控业务站点的域名信息中。
步骤S33:若符合受控站点域名规则,则访问代理组件目标域名分配虚拟IP地址。
例如企业的部分业务资源通过是以域名的形式被访问,例如“www.oa.com”,“www.corp.com”,那么业务应用请求对“www.oa.com”的DNS请求,访问代理组件通过监听53端口,则会截获到一个DNS请求,并针对“www.oa.com”自动分配一个虚拟IP,如“192.168.221.3”。
步骤S34:访问代理组件并存储虚拟IP地址与目标域名之间的第一映射关系,并将虚拟IP地址返回给业务应用。
具体的,为了避免出现DNS解析失败或者域名污染的情况,访问代理组件还执行了自建DNS的解析逻辑,即访问代理组件判断目标域名属于受控业务站点的域名时,则为该域名分配一个唯一的虚拟IP地址,并且自身缓存虚拟IP地址与目标域名之间的第一映射关系,并且将虚拟IP地址返回给业务应用,这样,业务应用可以利用虚拟IP地址发起业务访问,保障后续的业务访问过程能够顺利进行。
在接收到业务应用基于虚拟IP地址发起业务访问请求时,访问代理组件可以根据第一映射关系,获取业务访问请求所要访问的目标域名,进而可以基于该目标域名向安全管理组件发起流量鉴权,当安全管理组件鉴权通过,即在确定目标域名符合预设的零信任访问策略时,访问代理组件通过零信任网关将业务访问请求发往目标域名对应的受控业务站点,否则,若安全管理组件鉴权未通过,访问代理组件通过物理网卡将业务访问请求发往目标域名对应的受控业务站点。
步骤S35:若不符合受控站点域名规则,调用系统DNS对域名解析请求进行解析,获得相应的真实IP地址。
步骤S36:访问代理组件存储目标真实IP地址与目标域名之间的第二映射关系,并将真实IP地址返回给业务应用。
那么,在接收到业务应用基于真实IP地址发起业务访问请求时,访问代理组件根据第二映射关系,获取业务访问请求对应的目标域名,进而可以基于该目标域名向安全管理组件发起流量鉴权,当安全管理组件鉴权通过,即在确定目标域名符合预设的零信任访问策略时,访问代理组件通过零信任网关将业务访问请求发往目标域名对应的受控业务站点,否则,若安全管理组件鉴权未通过,访问代理组件通过物理网卡将业务访问请求发往目标域名对应的受控业务站点。
示例性的,下面以特定域名的访问为例,对上述流程进行介绍。
管理员在管理端配置了企业资源域名规则是"*.corp.com",由安全管理服务器下发至安全管理组件,并最终由安全管理组件推送到访问代理组件。下面时当访问主体通过业务应用分别访问“www.corp.com”和"www.baidu.com”时执行DNS解析的过程。
当访问主体通过业务应用访问“www.corp.com”时,执行DNS解析的流量被虚拟网卡截获,由访问代理组件接管DNS解析过程,首先访问代理组件查询自身的企业资源域名规则,检查该请求的目标域名是否符合企业资源域名规则。如果经过检查发现该目标域名符合企业资源域名规则,则认为是企业内网域名,执行自建DNS的解析逻辑:即为执行虚拟IP地址的生成和分配动作;如果该目标域名不符合企业资源域名规则,则认为该域名不是企业内网域名,代理客户端组件直接发往系统DNS执行DNS解析,解析出真实IP地址。
因为“www.corp.com”符合企业资源域名规则中的"*.corp.com",因此被访问代理组件识别为企业内网域名,通过代理客户端组件的自建DNS分配虚拟IP地址,而非由系统dns解析成原生IP地址。
而当用户访问“www.baidu.com”时,执行DNS解析的流量被虚拟网卡劫持,由访问代理组件接管DNS解析过程,首先访问代理组件查询自身的企业资源域名规则,因为“www.baidu.com”不符合企业资源域名规则是"*.corp.com",因此代理客户端组件识别该域名不是企业内网域名,代理客户端组件将该域名直接发往系统DNS执行DNS解析,解析出真实IP地址。
当真实IP地址通过自建DNS解析出虚拟IP地址或者经由系统DNS解析出真实IP地址后,将虚拟IP地址或者真实IP地址通过虚拟网卡响应给业务应用,完成业务应用的DNS解析过程。同时,访问代理组件将这虚拟IP地址和域名的第一映射关系,以及真实IP地址与域名的第二映射关系存储在访问代理组件的内存缓存中,只要访问代理组件的进程一直存在,则该缓存一直有效。
业务应用成功执行DNS解析后,紧接着向DNS解析出的IP地址(可能是虚拟IP地址,也可能是经系统DNS解析出的真实IP地址)发送业务访问请求,该请求同样被虚拟网卡劫持,由访问代理组件捕获,访问代理组件根据IP地址反查该域名是否在虚拟IP地址-域名的第一映射关系名单中,或者在真实IP地址-域名的第二映射关系名单中,因为企业资源域名规则包括"*.corp.com",因此对“www.corp.com”的访问会根据该IP地址从虚拟IP地址-域名映射列表中反查到对应的域名,最终获取到该请求对应的域名“www.corp.com”,完成虚拟IP地址-域名的查找。因为“www.baidu.com”不符合企业资源域名规则,因此针对“www.baidu.com”的访问会从真实IP地址-域名映射列表中,根据真实IP地址反查出对应域名,最终根据域名判定是否进行代理访问,若需要代理访问,则通过零信任网关发往目标业务站点,若不需要代理访问,则通过直连访问方式访问目标业务站点。
通过上述的域名解析逻辑,可以解决零信任访问场景中由于某些企业的内网域名在公网下执行DNS解析失败或者域名污染,导致应用不会发起后续业务访问请求的问题。
本申请实施例中,通过上述域名形式和IP形式的受控业务站点配置,完成受控业务站点截获模式的动态配置,针对管理员配置的企业域名规则,通过访问代理组件的自建DNS识别受控业务站点的访问流量,针对企业管理员配置的业务系统IP或IP段,通过安全管理组件自动聚合生成的IP路由规则,作为精准访问路由写入到被控终端设备的主机路由表中,实现针对受控业务站点的流量截获,不影响非受控业务站点(如公网流量)的数据访问。
本申请实施例中,针对企业在灰度或扩展零信任安全架构业务系统接入的功能中,需要兼容部分业务应用在特定网络环境下直连访问企业资源站点,例如处于公司内网环境时可以直接访问企业资源站点,而在特定网段之外仍然通过访问代理组件和零信任网关安全访问企业资源站点的场景。
因此,本申请实施例还提出一种动态直连访问方式,结合终端设备所在的网络环境的变化,通过访问代理组件与安全管理组件的联动,实现用户无感知的企业资源访问方式的切换,在无需调整第三方功能的条件下增强零信任安全架构的适用场景范围。参见图8所示,为安全管理组件推送直连访问规则和直连访问列表的流程示意图。
步骤S40:管理员在管理端设备配置零信任访问策略,其中包括直连访问规则和直连访问列表。
直连访问规则用于指示:处于指定的各个网段时,通过直连方式访问指定的直连访问列表中的受控业务站点,直连访问列表中包括基于直连访问规则访问的受控业务站点的IP列表以及域名列表。其中,直连访问规则指定了特定业务应用在某些网段直连访问企业资源,而在特定网段之外通过代理组件和零信任网关安全访问企业资源的规则细节。
如图4所示,管理员可以选择特定业务站点是否支持“内网直连”,当选中时,则该业务站点被添加至直连访问列表中。
步骤S41:安全管理组件通过从安全管理服务器拉取直连访问规则和直连访问列表,或安全管理服务器推送直连访问规则和直连访问列表到安全管理组件。
步骤S42:安全管理组件触发业务访问配置信息的推送流程。
步骤S43:安全管理组件针对业务访问配置信息进行格式检查和过滤操作,剔除其中非法数据和无效数据等,同时根据访问代理组件与安全管理组件约定的格式形成直连访问规则以及直连访问列表。
步骤S44:访问代理组件对安全管理组件的推送接口调用请求进行鉴权操作,如果鉴权失败,则安全管理组件推送失败,如果鉴权成功通过,则访问代理组件响应安全管理组件的推送接口,即允许安全管理组件的推送接口调用。
步骤S45:安全管理组件基于安全管理服务器下发的接入逻辑,将最新的直连访问规则以及直连访问列表推送至访问代理组件。
步骤S46:安全管理组件根据访问代理组件的响应结果检查推送是否成功,并根据推送结果构建推送状态缓存。
其中,推送状态缓存由多个缓存项构成,各缓存项由缓存对应的哈希值和推送状态构成,形成键值对(key-value,KV)结构,其中key是配置对应的hash值,value包括配置的推送时间戳和推送状态,其中推送状态包括状态未知、待推送状态、推送成功和推送失败这几个值。如果安全管理组件识别出某次推送配置没有成功,则推送自动进入重试状态,达到最大重试次数,例如3次后,如果还是失败状态,则停止推送,并将最后一次的推送结果记录至推送状态缓存中,并上报运营数据至安全管理服务器。
通过上述步骤,安全管理服务器将管理员配置的直连访问规则和直连访问列表通过安全管理组件及时高效地推送到访问代理组件。管理员在管理端中配置的下发或修改,都会同步到安全管理服务器,安全管理服务器再将这些信息下发到各受控对象的终端设备的安全管理组件。
本申请实施例中,访问代理组件获取到直连访问规则和直连访问列表之后,则可以实时监控终端的网络环境,并基于直连访问规则和直连访问列表进行业务访问请求的处理。
具体的,直连访问列表中的受控业务站点的标识信息可以包括IP形式的标识信息和域名形式的标识信息,下面分别进行介绍。
(1)IP形式
在访问代理组件截获访问受控业务站点的业务访问请求,且终端设备所在网段匹配直连访问规则时,也就是说,当确定终端设备所在的网络记录在指定的各个网段中,且业务访问请求访问的目标业务站点记录在直连访问列表中时,在虚拟网卡中基于原始IP数据包通过socket构建一个源地址为物理网卡地址,目的地址为目标业务站点的目标IP数据包,进而通过物理网卡将目标IP数据包发往目标业务站点,从而通过访问代理组件实现对目标站点的直连访问。
而若是本地终端所在网段未匹配到直连访问规则时,即确定终端设备所在的网络未记录在指定的各个网段中,向安全管理组件发起流量鉴权请求,通过安全管理组件流量鉴权后,则基于原始IP数据包通过socket构建一个源地址为物理网卡地址,目的地址为零信任网关连接地址的目标IP数据包,以通过零信任网关实现代理访问;如果未能通过流量鉴权,则基于原始IP数据包通过socket构建一个源地址为以太网卡地址,目的地址为目标业务站点的目标IP数据包,实现直连访问。
(2)域名形式
由于访问代理组件缓存了域名与IP地址的映射关系,即上述的第一映射关系和第二映射关系,因而访问代理组件收到域名形式的直连访问列表后,首先需要对自身的域名与IP之间的映射缓存进行相应处理,即进行如图9所示的映射关系的转换。
在具体应用时,若终端设备所在的网络环境符合直连访问规则,则访问代理组件删除已存储的直连访问列表中受控业务站点的域名与虚拟IP地址的第一映射关系,并且在截获到针对直连访问列表中受控业务站点发起的域名解析请求时,访问代理组件调用系统DNS进行解析,获得相应的真实IP地址,将真实IP地址返回给所述业务应用,并存储目标真实IP地址与目标域名之间的第二映射关系。
具体的,访问代理组件检查虚拟IP地址与域名对应的映射表中是否存在该域名与虚拟IP地址的映射关系,如果存在,则从其中将对应缓存项目移除,如果不存在则无需处理。并且,等待实际访问时由系统DNS解析出真实IP地址,并将其加入域名与真实IP地址对应的映射缓存。
而若终端设备所在网段不符合直连访问规则时,则访问代理组件删除已存储的直连访问列表中受控业务站点的域名与真实IP地址的第二映射关系,并在截获到针对直连访问列表中受控业务站点发起的域名解析请求时,访问代理组件为目标域名分配标虚拟IP地址,并将虚拟IP地址返回给业务应用,以及存储虚拟IP地址与目标域名之间的第一映射关系。
具体的,访问代理组件检查真实IP地址与域名对应的映射表中是否存在该域名与IP地址的映射记录,如果存在,则从其中将对应缓存项目移除,如果不存在则无需处理。并且,等待实际访问时由访问代理组件解析出虚拟IP地址,并将其加入域名与虚拟IP对应的映射缓存。
参见图10所示,为基于直连访问规则的域名处理流程图。
步骤S50:安全管理组件将管理员配置的直连访问规则推送给访问代理组件。
步骤S51:业务应用访问受控业务站点域名时,则访问代理组件可截获到业务应用的DNS请求。
步骤S52:访问代理组件判断终端设备的网段以及DNS请求是否符合直连访问规则。
步骤S53:若不符合直连访问规则,则访问代理组件为目标域名分配虚拟IP地址,并存储虚拟IP地址与目标域名之间的第一映射关系,并将虚拟IP地址返回给业务应用。
步骤S54:若符合直连访问规则,访问代理组件调用系统DNS对域名解析请求进行解析,获得相应的真实IP地址,并存储目标真实IP地址与目标域名之间的第二映射关系,并将真实IP地址返回给业务应用。
也就是说,终端设备所在网段符合直连访问规则时,访问主体访问直连访问列表中的域名时,由访问代理组件直接向系统DNS解析生成真实IP地址发起直连访问;终端设备所在网段切换至不符合直连访问规则时,访问主体访问直连访问列表中的域名时,由访问代理组件通过虚拟IP地址反查虚拟IP地址与域名的映射缓存,从中查找出真实的域名,接着访问代理组件根据该域名向安全管理组件发起流量鉴权,鉴权通过后,该流量将发往零信任网关,由零信任执行实际的代理访问。从而,基于终端设备所在环境与直连访问规则执行动态检测和关联,通过上图所示的虚拟IP地址与域名映射缓存与真实IP地址与域名映射缓存的转换,实现特定场景下针对域名的直连访问,非特定场景针对域名的代理访问的功能。
综上所述,本申请实施例提出一种零信任架构业务系统接入的方案,在针对访问主体发起的网络访问进行身份认证和访问控制的基础上,安全管理组件引入业务系统接入前置控制逻辑,通过安全管理服务器和安全管理组件控制用户的终端设备支持全流量劫持和鉴权以及受控业务站点流量劫持和鉴权这两种模式,并支持两种模式之间灵活切换,企业可以根据自身特点选择合适的模式,在受控业务站点流量劫持模式中,可解决与公网服务或站点维持长链访问的流量,随着终端设备中零信任网络访问功能的停止,访问出现短暂中断或服务不可用的问题。针对企业在灰度或扩展零信任安全架构业务系统接入的功能中,需要兼容部分应用在特定网段直连访问企业资源,而在特定网段之外仍然通过代理客户端组件和资源侧网关安全访问企业资源的场景,本申请实施例还提出动态直连访问的方案,以解决零信任安全架构场景对动态直连访问场景覆盖不足的问题。
请参见图11,基于同一发明构思,本申请实施例还提供了一种业务数据访问装置110,应用于终端设备中,该装置包括:
接收单元1101,用于接收安全管理服务器发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息以及受控业务站点的标识信息;
确定单元1102,用于当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;
规则生成单元1103,用于基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件;
访问控制单元1104,用于针对符合所述IP路由规则的业务访问请求,通过所述访问代理组件截获业务访问请求,且确定业务访问请求符合零信任访问策略时,将业务访问请求通过零信任网关发往目标业务站点。
可选的,访问控制单元1104,具体用于:
接收业务应用发送的业务访问请求,业务访问请求用于访问目标业务站点;
基于IP路由规则,确定业务访问请求携带的目的地址记录在受控IP地址信息中时,将业务访问请求转发至访问代理组件,通过访问代理组件截获业务访问请求。
可选的,确定单元1102,还用于当基于截获模式指示信息,确定针对所有业务站点的业务访问请求进行截获时,则将访问代理组件对应的虚拟网卡的路由级别设置为最高优先级;
访问控制单元1104,还用于当接收到业务应用发送的业务访问请求时,将业务访问请求转发至虚拟网卡,以使得访问代理组件通过虚拟网卡截获业务访问请求。
可选的,规则生成单元1103,具体用于:
对获得的各个IP地址进行聚合,以获得多个IP段,每个IP段包括多个连续的IP地址;
基于多个IP段,生成IP路由规则,IP路由规则用于指示:当业务访问请求携带的目的地址位于在多个IP段中时,将业务访问请求转发访问代理组件对应的虚拟网卡。
可选的,终端设备还包括安全管理组件,受控业务站点的标识信息包括域名信息;
接收单元1101,具体用于通过安全管理组件,接收安全管理服务器发送的业务访问配置信息,并将业务访问配置信息推送给访问代理组件;
确定单元1102,具体用于通过访问代理组件,基于截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,调用系统DNS对接收到的受控业务站点的域名信息进行解析,获得解析成功的真实IP地址;以及将解析成功的真实IP地址发送给安全管理组件。
可选的,访问控制单元1104,还用于:
通过访问代理组件截获业务应用发送的域名解析请求;
确定域名解析请求携带的目标域名记录在受控业务站点的域名信息中时,则通过访问代理组件为目标域名分配虚拟IP地址;
通过访问代理组件将虚拟IP地址返回给业务应用,并存储虚拟IP地址与目标域名之间的第一映射关系;
在接收到业务应用基于虚拟IP地址发起业务访问请求时,访问代理组件根据第一映射关系,获取业务访问请求对应的目标域名;
在确定目标域名符合预设的零信任访问策略时,访问代理组件通过零信任网关将业务访问请求发往目标域名对应的受控业务站点。
可选的,访问控制单元1104,还用于:
通过访问代理组件,确定域名解析请求携带的目标域名未记录在受控业务站点的域名信息中时,则调用系统DNS对域名解析请求进行解析,获得相应的真实IP地址;
通过访问代理组件,将真实IP地址返回给业务应用,并存储目标真实IP地址与目标域名之间的第二映射关系;
在接收到业务应用基于真实IP地址发起业务访问请求时,访问代理组件根据第二映射关系,获取业务访问请求对应的目标域名;
在确定目标域名不符合预设的零信任访问策略时,访问代理组件通过终端设备的物理网卡,将业务访问请求发往目标域名对应的受控业务站点。
可选的,访问控制单元1104,还用于:
通过安全管理组件接收安全管理服务器发送的直连访问规则,直连访问规则为处于指定的各个网段时,通过直连方式访问指定的直连访问列表中的受控业务站点;
通过安全管理组件将直连访问规则推送给访问代理组件;
通过访问代理组件,监测终端设备所在的网络是否位于指定的各个网段中;
若位于指定的各个网段中,通过访问代理组件,删除已存储的直连访问列表中受控业务站点的域名与虚拟IP地址的第一映射关系;
在截获到针对直连访问列表中受控业务站点发起的域名解析请求时,访问代理组件调用系统DNS进行解析,获得相应的真实IP地址;
通过访问代理组件,将真实IP地址返回给业务应用,并存储目标真实IP地址与目标域名之间的第二映射关系。
可选的,访问控制单元1104,还用于:
若未位于指定的各个网段中,通过访问代理组件,删除已存储的直连访问列表中受控业务站点的域名与真实IP地址的第二映射关系;
在截获到针对直连访问列表中受控业务站点发起的域名解析请求时,访问代理组件为目标域名分配标虚拟IP地址;
通过访问代理组件,将虚拟IP地址返回给业务应用,并存储虚拟IP地址与目标域名之间的第一映射关系。
可选的,访问控制单元1104,还用于:
获得预设的直连访问规则,直连访问规则为处于指定的各个网段时,通过直连方式访问直连访问列表中的受控业务站点;
当确定终端设备所在的网络记录在指定的各个网段中,且业务访问请求访问的目标业务站点记录在直连访问列表中时,则生成目标IP数据包,目标IP数据包的源地址为终端设备的物理网卡的地址,目的地址为目标业务站点的IP地址;
通过物理网卡将目标IP数据包发送至目标业务站点。
该装置可以用于执行图3~图10所示的实施例中终端设备侧所执行的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图3~图10所示的实施例的描述,不多赘述。
请参见图12,基于同一发明构思,本申请实施例还提供了一种业务数据访问装置120,应用于安全管理服务器中,该装置包括:
接收单元1201,用于接收管理端设备发送的业务访问配置信息,业务访问配置信息包括截获模式指示信息、受控业务站点的标识信息以及接入逻辑信息,截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,接入逻辑信息用于指示各个受控对象;
执行单元1202,用于根据接入逻辑信息,将截获模式指示信息以及受控业务站点的标识信息发送给各个受控对象对应的终端设备,以使得相应终端设备根据截获模式指示信息以及受控业务站点的标识信息,生成受控IP地址信息,并根据受控IP地址信息进行业务访问控制。
该装置可以用于执行图3~图10所示的实施例中安全管理服务器侧所执行的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图3~图10所示的实施例的描述,不多赘述。
请参见图13,基于同一技术构思,本申请实施例还提供了一种计算机设备130,可以包括存储器1301和处理器1302。
所述存储器1301,用于存储处理器1302执行的计算机程序。存储器1301可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器1302,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器1301和处理器1302之间的具体连接介质。本申请实施例在图13中以存储器1301和处理器1302之间通过总线1303连接,总线1303在图13中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1303可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1301可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1301也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1301是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1301可以是上述存储器的组合。
处理器1302,用于调用所述存储器1301中存储的计算机程序时执行如图3~图10所示的实施例中设备所执行的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行如图3~图10所示的实施例中设备所执行的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种业务数据访问方法,其特征在于,应用于终端设备中,所述方法包括:
接收安全管理服务器发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息以及受控业务站点的标识信息;
当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;
基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件;
针对符合所述IP路由规则的业务访问请求,通过所述访问代理组件截获所述业务访问请求,且确定所述业务访问请求符合零信任访问策略时,将所述业务访问请求通过零信任网关发往目标业务站点。
2.如权利要求1所述的方法,其特征在于,针对符合所述IP路由规则的业务访问请求,通过所述虚拟网卡截获所述业务访问请求,包括:
接收业务应用发送的业务访问请求,所述业务访问请求用于访问所述目标业务站点;
基于所述IP路由规则,确定所述业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至所述访问代理组件,通过所述访问代理组件截获所述业务访问请求。
3.如权利要求1所述的方法,其特征在于,在接收安全管理服务器发送的业务访问配置信息之后,所述方法还包括:
当基于所述截获模式指示信息,确定针对所有业务站点的业务访问请求进行截获时,则将所述访问代理组件对应的虚拟网卡的路由级别设置为最高优先级;
当接收到业务应用发送的业务访问请求时,将所述业务访问请求转发至所述虚拟网卡,以使得所述访问代理组件通过所述虚拟网卡截获所述业务访问请求。
4.如权利要求1所述的方法,其特征在于,基于获得的受控IP地址信息,生成相应的IP路由规则,包括:
对获得的各个IP地址进行聚合,以获得多个IP段,每个IP段包括多个连续的IP地址;
基于所述多个IP段,生成所述IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址位于在所述多个IP段中时,将所述业务访问请求转发至所述访问代理组件对应的虚拟网卡。
5.如权利要求2所述的方法,其特征在于,所述终端设备还包括安全管理组件,所述受控业务站点的标识信息包括域名信息;
则所述接收安全管理服务器发送的业务访问配置信息,包括:
通过所述安全管理组件,接收安全管理服务器发送的业务访问配置信息,并将所述业务访问配置信息推送给所述访问代理组件;
则当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的IP地址,包括:
通过所述访问代理组件,基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,调用系统DNS对接收到的受控业务站点的域名信息进行解析,获得解析成功的真实IP地址;
将解析成功的真实IP地址发送给所述安全管理组件。
6.如权利要求5所述的方法,其特征在于,在通过所述安全管理组件,接收安全管理服务器发送的业务访问配置信息,并将所述业务访问配置信息推送给所述访问代理组件之后,所述方法还包括:
通过所述访问代理组件截获业务应用发送的域名解析请求;
确定所述域名解析请求携带的目标域名记录在受控业务站点的域名信息中时,则通过所述访问代理组件为所述目标域名分配虚拟IP地址;
通过所述访问代理组件将所述虚拟IP地址返回给所述业务应用,并存储所述虚拟IP地址与所述目标域名之间的第一映射关系;
在接收到所述业务应用基于所述虚拟IP地址发起业务访问请求时,所述访问代理组件根据所述第一映射关系,获取所述业务访问请求对应的目标域名;
在确定所述目标域名符合预设的零信任访问策略时,所述访问代理组件通过所述零信任网关将所述业务访问请求发往所述目标域名对应的受控业务站点。
7.如权利要求6所述的方法,其特征在于,在通过所述访问代理组件截获业务应用发送的域名解析请求之后,所述方法还包括:
通过所述访问代理组件,确定所述域名解析请求携带的目标域名未记录在受控业务站点的域名信息中时,则调用系统DNS对所述域名解析请求进行解析,获得相应的真实IP地址;
通过所述访问代理组件,将所述真实IP地址返回给所述业务应用,并存储所述目标真实IP地址与所述目标域名之间的第二映射关系;
在接收到所述业务应用基于所述真实IP地址发起业务访问请求时,所述访问代理组件根据所述第二映射关系,获取所述业务访问请求对应的目标域名;
在确定所述目标域名不符合预设的零信任访问策略时,所述访问代理组件通过所述终端设备的物理网卡,将所述业务访问请求发往所述目标域名对应的受控业务站点。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
通过所述安全管理组件接收所述安全管理服务器发送的直连访问规则,所述直连访问规则为处于指定的各个网段时,通过直连方式访问指定的直连访问列表中的受控业务站点;
通过所述安全管理组件将所述直连访问规则推送给所述访问代理组件;
通过所述访问代理组件,监测所述终端设备所在的网络是否位于所述指定的各个网段中;
若位于所述指定的各个网段中,通过所述访问代理组件,删除已存储的所述直连访问列表中受控业务站点的域名与虚拟IP地址的第一映射关系;
在截获到针对所述直连访问列表中受控业务站点发起的域名解析请求时,所述访问代理组件调用所述系统DNS进行解析,获得相应的真实IP地址;
通过所述访问代理组件,将所述真实IP地址返回给所述业务应用,并存储所述目标真实IP地址与所述目标域名之间的第二映射关系。
9.如权利要求8所述的方法,其特征在于,在通过所述访问代理组件,监测所述终端设备所在的网络是否位于所述指定的各个网段中之后,所述方法还包括:
若未位于所述指定的各个网段中,通过所述访问代理组件,删除已存储的所述直连访问列表中受控业务站点的域名与真实IP地址的第二映射关系;
在截获到针对所述直连访问列表中受控业务站点发起的所述域名解析请求时,所述访问代理组件为所述目标域名分配标虚拟IP地址;
通过所述访问代理组件,将所述虚拟IP地址返回给所述业务应用,并存储所述虚拟IP地址与所述目标域名之间的第一映射关系。
10.如权利要求1~9任一所述的方法,其特征在于,在通过所述虚拟网卡截获所述业务访问请求之后,所述方法还包括:
获得预设的直连访问规则,所述直连访问规则为处于指定的各个网段时,通过直连方式访问直连访问列表中的受控业务站点;
当确定所述终端设备所在的网络记录在所述指定的各个网段中,且所述业务访问请求访问的目标业务站点记录在所述直连访问列表中时,则生成目标IP数据包,所述目标IP数据包的源地址为所述终端设备的物理网卡的地址,目的地址为所述目标业务站点的IP地址;
通过所述物理网卡将所述目标IP数据包发送至所述目标业务站点。
11.一种业务数据访问方法,其特征在于,应用于安全管理服务器中,所述方法包括:
接收管理端设备发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息、受控业务站点的标识信息以及接入逻辑信息,所述截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,所述接入逻辑信息用于指示各个受控对象;
根据所述接入逻辑信息,将所述截获模式指示信息以及所述受控业务站点的标识信息发送给所述各个受控对象对应的终端设备,以使得相应终端设备根据所述截获模式指示信息以及所述受控业务站点的标识信息,生成受控IP地址信息,并根据受控IP地址信息进行业务访问控制。
12.一种业务数据访问装置,其特征在于,应用于终端设备中,所述装置包括:
接收单元,用于接收安全管理服务器发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息以及受控业务站点的标识信息;
确定单元,用于当基于所述截获模式指示信息,确定仅针对受控业务站点的业务访问请求进行截获时,根据受控业务站点的标识信息,确定受控业务站点的受控IP地址信息;
规则生成单元,用于基于获得的受控IP地址信息,生成相应的IP路由规则,所述IP路由规则用于指示:当业务访问请求携带的目的地址记录在所述受控IP地址信息中时,将所述业务访问请求转发至指定的访问代理组件;
访问控制单元,用于针对符合所述IP路由规则的业务访问请求,通过所述访问代理组件截获所述业务访问请求,且确定所述业务访问请求符合零信任访问策略时,将所述业务访问请求通过零信任网关发往目标业务站点。
13.一种业务数据访问装置,其特征在于,应用于安全管理服务器中,所述装置包括:
接收单元,用于接收管理端设备发送的业务访问配置信息,所述业务访问配置信息包括截获模式指示信息、受控业务站点的标识信息以及接入逻辑信息,所述截获模式指示信息用于指示:针对受控业务站点或者全部业务站点的业务访问请求进行截获,所述接入逻辑信息用于指示各个受控对象;
执行单元,用于根据所述接入逻辑信息,将所述截获模式指示信息以及所述受控业务站点的标识信息发送给所述各个受控对象对应的终端设备,以使得相应终端设备根据所述截获模式指示信息以及所述受控业务站点的标识信息,生成受控IP地址信息,并根据受控IP地址信息进行业务访问控制。
14.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,
所述处理器执行所述计算机程序时实现权利要求1~10或11任一项所述方法的步骤。
15.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,
该计算机程序指令被处理器执行时实现权利要求1~10或11任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110907929.2A CN115913583A (zh) | 2021-08-09 | 2021-08-09 | 业务数据访问方法、装置和设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110907929.2A CN115913583A (zh) | 2021-08-09 | 2021-08-09 | 业务数据访问方法、装置和设备及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115913583A true CN115913583A (zh) | 2023-04-04 |
Family
ID=86488453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110907929.2A Pending CN115913583A (zh) | 2021-08-09 | 2021-08-09 | 业务数据访问方法、装置和设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913583A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117097573A (zh) * | 2023-10-19 | 2023-11-21 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
-
2021
- 2021-08-09 CN CN202110907929.2A patent/CN115913583A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117097573A (zh) * | 2023-10-19 | 2023-11-21 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
| CN117097573B (zh) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888897B2 (en) | Implementing decoys in a network environment | |
| US20200287925A1 (en) | Entity Group Behavior Profiling | |
| US11023378B2 (en) | Distributed cloud-based dynamic name server surrogation systems and methods | |
| US10397273B1 (en) | Threat intelligence system | |
| US11997139B2 (en) | Deceiving attackers accessing network data | |
| US11050787B1 (en) | Adaptive configuration and deployment of honeypots in virtual networks | |
| US7899849B2 (en) | Distributed security provisioning | |
| US8365259B2 (en) | Security message processing | |
| US11627148B2 (en) | Advanced threat detection through historical log analysis | |
| CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN114145004A (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| US10904274B2 (en) | Signature pattern matching testing framework | |
| CN114902612A (zh) | 基于边缘网络的帐户保护服务 | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US12069145B2 (en) | Dynamic domain discovery and proxy configuration | |
| CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| Koch et al. | Securing HTTP/3 Web Architecture in the Cloud | |
| CN117135104A (zh) | 数据处理方法、装置、计算机设备、存储介质及程序产品 | |
| US20240356971A1 (en) | Deceiving attackers accessing network data | |
| CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 | |
| CN116032500A (zh) | 业务访问流量管控方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40084296 Country of ref document: HK |