发明内容
基于此,有必要针对上述技术问题,提供一种能够提高用户在同时使用多个云平台的安全性的基于单点登录的多云平台异常处理方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种基于单点登录的多云平台异常处理方法,所述方法包括:
获取用户基于单点登录系统登录目标云平台后产生的云审计数据,所述云审计数据包括所述用户的登录信息与所述用户在所述目标云平台的操作数据,所述单点登录系统预先与多个云平台进行认证绑定,所述目标云平台为多个云平台中任意一个云平台;
将所述云审计数据输入预先配置的云平台控制模型中,对所述云审计数据进行异常行为判断;
若确定所述云审计数据存在异常,则根据所述云审计数据的异常类型对所述用户进行异常处理。
在其中一个实施例中,所述将所述云审计数据输入预先配置的云平台控制模型中,基于所述云审计数据进行异常行为判断,包括:
将所述云审计数据输入预先配置的云平台控制模型中,对所述云审计数据进行数据提取得到目标数据;
基于所述目标数据、云平台控制模型中的预设关键数据以及预设异常行为检查规则,对所述云审计数据进行异常行为判断;
当所述目标数据与预设关键数据的比较结果满足预设异常行为检查规则时,确定所述云审计数据存在异常。
在其中一个实施例中,所述预设异常行为检查规则包括告警规则;
所述若确定所述云审计数据存在异常,则根据所述云审计数据的异常类型对所述用户进行异常处理,包括:
若所述目标数据与预设关键数据的比较结果满足告警规则,则确定所述云审计数据的异常类型为告警类型;
根据所述云审计数据生成告警信息,所述告警信息用于提示所述用户在所述目标云平台存在告警操作行为;
将所述告警信息基于预设发送渠道发送至指定用户终端。
在其中一个实施例中,所述预设异常行为检查规则包括联动管理规则;
所述若确定所述云审计数据存在异常,则根据所述云审计数据的异常类型对所述用户进行异常处理,包括:
若所述目标数据与预设关键数据的比较结果满足联动管理规则,则确定所述云审计数据的异常类型为联动管理类型;
根据所述云审计数据生成联动管理指令,所述联动管理指令用于指示联动防御系统生成单点登录域账号管理任务与多云平台账号管理任务,基于所述单点登录域账号管理任务控制所述单点登录系统封控所述用户的单点登录域账号,基于所述多云平台账号管理任务控制各云平台封控所述用户的各云平台账号;
将所述联动管理指令发送至所述联动防御系统。
在其中一个实施例中,所述若所述目标数据与预设关键数据的比较结果满足告警规则,则确定所述云审计数据的异常类型为告警类型,包括以下至少一项:
第一项:
所述目标数据包括账号数据,所述预设关键数据包括特权账号数据;若所述账号数据与所述特权账号数据一致,则确定所述云审计数据的异常类型为告警类型;
第二项:
所述目标数据包括源登录地址,所述预设关键数据包括预设正常地址列表;若所述源登录地址不在所述预设正常地址列表中,则确定所述云审计数据的异常类型为告警类型;
第三项:
所述目标数据包括登录时间,所述预设关键数据包括预设登录时间段;若所述登录时间不在所述预设登录时间段内,则确定所述云审计数据的异常类型为告警类型;
第四项:
所述目标数据包括事件类型,所述预设关键数据包括预设事件类型;若所述预设事件类型包括所述事件类型,则确定所述云审计数据的异常类型为告警类型。
在其中一个实施例中,所述若所述目标数据与预设关键数据的比较结果满足联动管理规则,则确定所述云审计数据的异常类型为联动管理类型,包括以下至少一项:
第一项:
所述目标数据包括资源类型和事件操作,所述预设关键数据为批量停止和/或删除服务器;若所述目标数据与所述预设关键数据一致,则确定所述云审计数据的异常类型为联动管理类型;
第二项:
所述目标数据包括资源类型、事件操作和执行者信息,所述预设关键数据为正常执行者列表用户删除数据库;若所述目标数据与所述预设关键数据不一致,则确定所述云审计数据的异常类型为联动管理类型;
第三项:
所述目标数据包括资源类型、事件操作和执行者信息,所述预设关键数据为正常执行者列表用户下载备份数据库;若所述目标数据与所述预设关键数据不一致,则确定所述云审计数据的异常类型为联动管理类型。
第二方面,本申请还提供了一种基于单点登录的多云平台异常处理装置,所述装置包括:
数据获取模块,用于获取用户基于单点登录系统登录目标云平台后产生的云审计数据,所述云审计数据包括所述用户的登录信息与所述用户在所述目标云平台的操作数据,所述单点登录系统预先与多个云平台进行认证绑定,所述目标云平台为多个云平台中任意一个云平台;
异常行为判断模块,用于将所述云审计数据输入预先配置的云平台控制模型中,对所述云审计数据进行异常行为判断;
异常处理模块,用于若确定所述云审计数据存在异常,则根据所述云审计数据的异常类型对所述用户进行异常处理。
第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的方法的步骤。
上述基于单点登录的多云平台异常处理方法、装置、计算机设备、存储介质和计算机程序产品,用户基于单点登录系统登录多个云平台中的任意一个云平台,由于单点登录系统预先与多个云平台进行了认证绑定,因此用户只需要在单点登录系统登录一次即可登录多个云平台中的任意云平台,减少了用户账号管理的复杂度,增强了用户账号管理的安全性。获取用户登录云平台后产生的云审计数据,云审计数据包括用户的登录信息与用户在目标云平台的操作数据,将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行异常行为判断,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理,进一步保证了用户使用多云平台时的使用安全性,避免用户遭受不必要的损失。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本申请实施例提供的基于单点登录的多云平台异常处理方法,可以应用于如图1所示的应用环境中。其中,安全管理系统102通过网络与目标云平台104进行通信,目标云平台104与单点登录系统106进行通信。单点登录系统106可以集成在用户终端上,目标云平台104集成在云上,可以为多个云平台中的任意一种云服务器。数据存储系统可以存储安全管理系统102需要处理的数据。数据存储系统可以集成在安全管理系统102上,也可以放在云上或其他网络服务器上。
具体地,单点登录系统106预先与多个云平台进行了认证绑定,用户基于用户终端上集成的单点登录系统106登录多云平台中的任意一个目标云平台104,在目标云平台104上进行数据操作,产生云审计数据,云审计数据包括用户的登录信息和用户在目标云平台104上进行数据操作时产生的操作数据。安全管理系统102获取目标云平台104生成的云审计数据,将云审计数据输入预先配置的云控制模型中,对云审计数据进行异常行为判断,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理,其中,安全管理系统102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。单点登录系统106集成的终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等,单点登录系统106可以为任意一种可以实现单点登录的系统。
在其中一个实施例中,单点登录系统为联合身份验证服务系统(ADFS,ActiveDirectory Federation Services)。
在一个实施例中,如图2所示,提供了一种基于单点登录的多云平台异常处理方法,以该方法应用于图1中的安全管理系统为例进行说明,包括以下步骤:
步骤202,获取用户基于单点登录系统登录目标云平台后产生的云审计数据,云审计数据包括用户的登录信息与用户在目标云平台的操作数据,单点登录系统预先与多个云平台进行认证绑定,目标云平台为多个云平台中任意一个云平台。
其中,单点登录系统是用于为用户实现多云平台单点登录的系统,单点登录系统预先与用户需要使用的多个云平台进行认证绑定,用户在使用单点登录系统时,只需要输入单点登录系统的域账号与域密码,即可登录与单点登录系统进行认证绑定后的任意一个云平台。例如,单点登录系统预先与云平台A、B、C进行了认证绑定,则用户通过单点登录系统登录目标云平台A时,云平台B与云平台C即可感知登录。
在其中一个实施例中,用户也可以根据自身需求通过单点登录系统登录多云平台中的多个云平台,在多个云平台进行业务操作。
云审计是指在云计算的基础上搭建一个平台,通过数据的云存储,实现各类审计信息数字化,使各种审计资源得到充分优化利用的过程。云审计数据是用户登录云平台并在云平台进行操作产生的数据,具体地,用户通过单点登录系统登录目标云平台进行操作,云审计将记录用户所产生的各种操作数据得到云审计数据。可以理解的,云审计数据包括用户的登录信息,例如用户域账号、用户域账号对应的多个云平台账号、登录时间、来源IP等。以及用户在目标云平台上的操作数据,例如资源类型、事件名、事件类型、事件详情和事件操作等信息。
具体地,用户基于单点登录系统登录多个云平台中的任意一个目标云平台,并在目标云平台中进行操作,目标云平台记录用户的操作生成云审计数据。安全管理系统获取云审计数据。
步骤204,将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行异常行为判断。
其中,云平台控制模型是用于对云审计数据进行异常判断的模型,云平台控制模型由设计人员预先设计得到,并配置在安全管理系统中。
在其中一个实施例中,设计人员可以预先根据异常行为检查规则生成云平台控制模型,云平台控制模型可以根据预设异常行为检查规则对云审计数据进行分析,确定云审计数据是否存在异常。可以理解的,异常行为检查规则可以根据云审计数据,例如时间、来源IP、事件名、事件类型和事件操作等生成。
具体地,安全管理系统调用预先配置的云平台控制模型,将获取的云审计数据输入云平台控制模型中,通过云平台控制模型对云审计数据进行异常行为判断,确定云审计数据中是否存在异常。
步骤206,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理。
其中,异常类型是设计人员根据用户的具体操作行为确定的,设计人员可以根据用户具体操作行为对实际业务的影响程度将用户的具体操作行为划分为多个异常类型,并为异常类型设计生成对应的异常处理方案。可以理解的,异常类型可以为警告类型、告警类型、联动管理类型等。
具体地,当安全管理系统确定云审计数据存在异常时,根据云审计数据的异常类型确定对应的异常处理方案,基于异常处理方案对用户进行异常处理。
上述基于单点登录的多云平台异常处理方法中,用户基于单点登录系统登录多个云平台中的任意一个云平台,由于单点登录系统预先与多个云平台进行了认证绑定,因此用户只需要在单点登录系统登录一次即可登录多个云平台中的任意云平台,减少了用户账号管理的复杂度,增强了用户账号管理的安全性。获取用户登录云平台后产生的云审计数据,云审计数据包括用户的登录信息与用户在目标云平台的操作数据,将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行异常行为判断,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理,进一步保证了用户使用多云平台时的使用安全性,避免用户遭受不必要的损失。
在一个实施例中,如图3所示,将云审计数据输入预先配置的云平台控制模型中,基于云审计数据进行异常行为判断,包括:
步骤302,将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行数据提取得到目标数据。
其中,目标数据为可以触发预设异常行为检查规则的用户实际操作数据,目标数据可以用于判断用户在云平台的操作行为是否异常。
具体地,安全管理系统将云审计数据输入预先配置的云平台控制模型中,基于预设关键字段对云审计数据进行数据提取得到目标数据。可以理解的,预设关键字段由设计人员根据预设异常行为检查规则确定。
步骤304,基于目标数据、云平台控制模型中的预设关键数据以及预设异常行为检查规则,对云审计数据进行异常行为判断。
其中,预设关键数据为预设异常行为检查规则中的用于判断用户在云平台的操作行为是否异常的标准数据,预设关键数据可以包括关键字段、字符串或阈值等。
具体地,安全管理系统根据从云审计数据中提取的目标数据,以及云平台控制模型中预设关键数据与预设异常行为检测规则,对云审计数据进行异常行为判断。
步骤306,当目标数据与预设关键数据的比较结果满足预设异常行为检查规则时,确定云审计数据存在异常。
具体地,安全管理系统将目标数据与预设关键数据进行比较,若目标数据与标准的预设关键数据的比较结果满足预设异常行为检查规则,说明此云审计数据存在异常。
本实施例中,对云审计数据进行数据提取得到目标数据,将目标数据与标准的预设关键数据进行比较,当比较结果满足预设异常行为检查规则时,确定云审计数据存在异常,通过将目标数据与云平台控制模型中的预设关键数据比对,能够快速确定云审计数据的安全性,进一步加快了多云平台使用安全性的判断,可有效避免用户遭受不必要的损失。
在一个实施例中,预设异常行为检测规则包括有告警规则,如图4所示,若确定所述云审计数据存在异常,则根据所述云审计数据的异常类型对所述用户进行异常处理,包括:
步骤402,若所述目标数据与预设关键数据的比较结果满足告警规则,则确定所述云审计数据的异常类型为告警类型。
其中,告警规则是用于判断是否要对用户行为进行告警的规则,告警规则由设计人员根据用户的具体业务类型以及安全性要求进行设计。
具体地,安全管理系统将目标数据与预设关键数据进行比较得到的比较结果与预设的告警规则进行对比,若比较结果满足告警规则,则说明此时用户在云平台进行的具体操作异常,需要进行告警,将用户对应的云审计数据的异常类型确定为告警类型。
步骤404,根据所述云审计数据生成告警信息,所述告警信息用于提示所述用户在所述目标云平台存在告警操作行为。
具体地,当安全管理系统确定云审计数据异常,且异常类型为告警类型时,安全管理系统根据云审计数据生成告警信息,用于提示当前用户在目标云平台存在告警操作行为。可以理解的,告警信息中可以包括用户的具体异常数据、用户来源IP、目标云平台、用户域账号等信息。
步骤406,将所述告警信息基于预设发送渠道发送至指定用户终端。
其中,预设发送渠道为设计人员根据实际需求预先设置的告警信息发送渠道。可以理解的,预设发送渠道可以是域内的即时通讯渠道,也可以是指定用于告警信息传输的通讯传输渠道。指定用户终端可以为预先确定的用于监管云平台安全的值班人员所使用的终端。
具体地,安全管理系统根据云审计数据生成告警信息后,将告警信息通过预设发送渠道发送至指定用户终端,提醒指定用户当前目标云平台存在异常操作行为。
在其中一个实施例中,安全管理系统将告警信息通过预设发送渠道发送至指定用户终端后,还会将云审计数据在本地数据库中进行留存。
上述实施例中,当确定云审计数据中的目标数据与预设关键数据的比较结果满足告警规则时,根据云审计数据生成告警信息,将告警信息基于预设发送渠道发送至指定用户终端,能够对云平台用户的异常行为实时告警,及时通知指定值班人员进行确认处理,有效提高用户在同时使用多个云平台的安全性。
进一步的,在一个实施例中,若目标数据与预设关键数据的比较结果满足告警规则,则确定云审计数据的异常类型为告警类型,包括以下至少一项:
第一项:目标数据包括账号数据,预设关键数据包括特权账号数据;若账号数据与特权账号数据一致,则确定云审计数据的异常类型为告警类型。
具体地,在用户基于单点登录系统登录目标云平台时,默认不会使用特权账号admin登录,特权账号仅在应急时使用,特权账号的密码和双因素动态码由双人分持。因此,安全管理系统从云审计数据中提取账号数据,将账号数据与预设的特权账号数据进行比较,若账号数据与特权账号数据一致,则可以确定云审计数据对应的用户使用了特权账号登录目标云平台,此时需要由指定值班人员对此行为进行确认。安全管理系统确定该云审计数据的异常类型为告警类型,生成告警信息发送至指定用户终端进行告警。
第二项:目标数据包括源登录地址,预设关键数据包括预设正常地址列表;若源登录地址不在预设正常地址列表中,则确定云审计数据的异常类型为告警类型。
其中,预设正常地址列表为包含了所有可以正常基于当前单点登录系统登录各多云平台的地址的列表信息。可以理解的,预设正常地址列表包括了多个公有云和私有云的所有出口IP。
具体地,为了防止外部登录地址基于单点登录系统登录多个云平台,安全管理系统从云审计数据中提取源登录地址(源IP),将源IP与预设正常地址列表进行比较,若源IP不在预设正常地址列表中,说明此IP地址并不属于有多云平台的出口IP,可能存在外部IP登录使用的风险,需要由指定值班人员对此行为进行确认。安全管理系统确定该云审计数据的异常类型为告警类型,生成告警信息发送至指定用户终端进行告警。
第三项:目标数据包括登录时间,预设关键数据包括预设登录时间段;若登录时间不在预设登录时间段内,则确定云审计数据的异常类型为告警类型。
其中,预设登录时间段为设计人员根据多云平台的实际使用情况预先设定的登录时间范围,为正常人工操作的时间范围。
具体地,安全管理系统从云审计数据中提取登录时间,将登录时间与预设登录时间段进行比较,若登录时间不在预设登录时间段内,则说明该云审计数据对应的用户是在非人工操作时间段登录了目标云平台进行操作,例如,安全管理系统从云审计数据中提取登录时间为凌晨3:00,而预设登录时间段为6:00~1:00,则此时可以认为该云审计数据对应的用户是在非人工操作时间段登录了目标云平台进行操作,可能存在非正常登录风险。需要由指定值班人员对此行为进行确认。安全管理系统确定该云审计数据的异常类型为告警类型,生成告警信息发送至指定用户终端进行告警。
第四项:目标数据包括事件类型,预设关键数据包括预设事件类型;若预设事件类型包括事件类型,则确定云审计数据的异常类型为告警类型。
其中,预设事件类型可以为需要审批方可执行的事件类型。例如新增网络IP、新增SLB等行为。
具体地,安全管理系统从云审计数据中提取事件类型,将事件类型与预设事件类型进行比较,若预设事件类型包括事件类型,例如,目标数据为新增云公网IP,而预设事件类型中包括新增云公网IP,则确定当前用户操作了需要审批方可执行的事件,需要由指定值班人员对此行为进行是否审批确认。安全管理系统确定该云审计数据的异常类型为告警类型,生成告警信息发送至指定用户终端进行告警。
在本实施例中,通过将各种情况的目标数据与预设关键数据进行比较,当确定云审计数据中的目标数据与预设关键数据的比较结果满足告警规则时,根据云审计数据生成告警信息,将告警信息基于预设发送渠道发送至指定用户终端,能够对云平台用户的异常行为实时告警,及时通知指定值班人员进行确认处理,进一步保证了用户使用多云平台时的使用安全性,避免用户遭受不必要的损失。
为了进一步提高多云平台的使用安全性,在一个实施例中,预设异常行为检查规则包括联动管理规则,如图5所示,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理,包括:
步骤502,若目标数据与预设关键数据的比较结果满足联动管理规则,则确定云审计数据的异常类型为联动管理类型。
其中,联动管理规则是用于判断是否要对用户行为进行联动管理的规则,联动管理规则由设计人员根据用户的具体业务类型和安全性要求进行预先设计的。
具体地,安全管理系统将目标数据与预设关键数据进行比较得到的比较结果与预设的联动管理规则进行对比,若比较结果满足联动管理规则,则说明此时用户在云平台进行的具体操作为严重异常操作,需要进行多云平台联动管理,将用户对应的云审计数据的异常类型确定为联动管理类型。
步骤504,根据云审计数据生成联动管理指令,联动管理指令用于指示联动防御系统生成单点登录域账号管理任务与多云平台账号管理任务,基于单点登录域账号管理任务控制单点登录系统封控用户的单点登录域账号,基于多云平台账号管理任务控制各云平台封控用户的各云平台账号。
其中,联动防御系统与单点登录系统以及多云平台中的各个云平台连接,用于实现对多云平台进行的联合防御工作。
其中,单点登录域账号管理任务中包含有产生云审计数据用户对应的域账号,用户在单点登录系统输入域账号登录目标云平台时,云平台会获取用户输入的域账号并记录在云审计数据中。
多云平台账号管理任务中包含有产生云审计数据用户输入的域账号对应的多个云平台接口地址。联动防御系统可以基于多云平台账号管理任务调用云API接口更改各个云平台账号的状态,例如将各个云平台账号的状态更改为不可用状态,实现对各个云平台账号的封控。可以理解的,各个云平台账号也可以由目标云平台在用户基于单点登录系统登录目标云平台时从单点登录系统中获取并记录在云审计数据中。
具体地,当确定云审计数据异常,且异常类型为联动管理类型时,说明此时用户在目标云平台进行的操作为严重异常操作,需要对用户进行联动管理处理。安全管理系统根据云审计数据生成联动管理指令,联动管理指令用于指示联动防御系统生成单点登录域账号管理任务与多平台账号管理任务。
步骤506,将联动管理指令发送至联动防御系统。
具体地,安全管理系统将生成的联动管理指令发送至联动防御系统。联动防御系统接收联动管理指令,并根据联动管理指令生成单点登录域账号管理任务与多平台账号管理任务,将单点登录域账号管理任务与多平台账号管理任务提交到消息队列。
联动防御系统的任务引擎接收到任务后会根据任务剧本执行,基于单点登录域账号管理任务对接单点登录系统的域控模块,远程执行域账号状态更改操作,将域账号的状态更改为不可用状态。基于多平台账号管理任务,联动防御系统通过任务执行子节点,调用云API接口更改该用户对应的各个云平台账号的状态,将各个云平台账号的状态更改为不可用状态。
在本实施例中,当安全管理系统根据云审计数据确定用户基于目标云平台进行操作为严重异常操作时,生成联动管理指令,对该用户的单点登录系统域账号与多云平台的各云平台账号进行联合管理,将该用户的单点登录系统域账号与多云平台的各云平台账号的状态均更改为不可用状态,有效避免用户的严重异常操作造成用户损失,进一步提高了用户使用多云平台时的使用安全性。
在一个实施例中,安全管理系统确定云审计数据的异常类型为联动管理类型之后,还包括:根据云审计数据生成告警信息,将告警信息基于预设发送渠道发送至指定用户终端,对云平台用户的异常行为实时告警,及时通知指定值班人员进行确认处理。
进一步的,在一个实施例中,若目标数据与预设关键数据的比较结果满足联动管理规则,则确定云审计数据的异常类型为联动管理类型,包括以下至少一项:
第一项:目标数据包括资源类型和事件操作,预设关键数据为批量停止或删除服务器;若目标数据与预设关键数据一致,则确定云审计数据的异常类型为联动管理类型。
其中,资源类型为用户在云平台进行操作时的资源类型。可以理解的,资源类型可以为服务器、数据库等。事件操作为用户在云平台对资源类型进行的具体操作。
具体地。安全管理系统中默认同时停止和/或删除服务器为严重异常行为。安全管理系统从云审计数据中提取资源类型和事件操作,将资源类型和事件操作与预设关键数据进行比较,若云审计数据中记录的资源类型为服务器,事件操作为批量停止和/或删除服务器,则说明目标数据与预设关键数据一致,此时云审计数据对应用户在目标云平台的具体操作为严重异常操作,需要进行多云平台联动管理,安全管理平台将用户对应的云审计数据的异常类型确定为联动管理类型。
第二项:目标数据包括资源类型、事件操作和执行者信息,预设关键数据为正常执行者列表用户删除数据库;若目标数据与预设关键数据不一致,则确定云审计数据的异常类型为联动管理类型。
其中,执行者信息为产生云审计用户对应的身份信息,例如名称信息或身份分类信息等。
正常执行者列表为包含了所有可以正常删除数据库的用户信息的列表信息,正常执行者列表中的执行者具有删除和维护数据库权限,非正常执行者列表中的用户不可随意删除数据库。可以理解的,正常执行者列表中的用户信息数量可以根据实际情况设定。
具体地,为了防止用户随意删除数据库,安全管理系统从云审计数据中提取资源类型、事件操作和执行者信息,若云审计数据中提取的资源类型为数据库,事件操作为删除数据库,执行者信息未包含在正常执行者列表中,则可以认为云审计数据提取的目标数据与预设关键数据,即正常执行者列表用户删除数据库不一致,此时云审计数据对应用户在目标云平台的具体操作为严重异常操作,需要进行多云平台联动管理,安全管理平台将用户对应的云审计数据的异常类型确定为联动管理类型。
第三项:目标数据包括资源类型、事件操作和执行者信息,预设关键数据为正常执行者列表用户下载备份数据库;若目标数据与预设关键数据不一致,则确定云审计数据的异常类型为联动管理类型。
其中,正常执行者列表用户还具有下载数据备份权限,非正常执行者列表的用户不可随意下载备份数据库。
具体地,为了防止用户随意下载备份数据库,造成数据泄露,安全管理系统从云审计数据中提取资源类型、事件操作和执行者信息,若云审计数据中提取的资源类型为数据库,事件操作为下载备份数据库,执行者信息未包含在正常执行者列表中,则可以认为云审计数据提取的目标数据与预设关键数据,即正常执行者列表用户下载备份数据库不一致,此时云审计数据对应用户在目标云平台的具体操作为严重异常操作,需要进行多云平台联动管理,安全管理平台将用户对应的云审计数据的异常类型确定为联动管理类型。
本实施例中,通过将各种情况的目标数据与预设关键数据进行比较,当确定云审计数据中的目标数据与预设关键数据的比较结果满足联动管理规则时,根据云审计数据生成联动管理指令,对该用户的单点登录系统域账号与多云平台的各云平台账号进行联合封控,有效避免用户的严重异常操作造成用户损失,进一步提高了用户使用多云平台时的使用安全性。
在一个实施例中,提供了一种基于单点登录的多云平台异常处理方法,以该方法应用与图6所示的基于单点登录的多云平台异常处理系统中的安全管理系统为例进行说明。如图6所示,单点登录系统(ADFS SSO)集成在域用户的用户终端,ADFS SSO与多云平台中的各个云平台预先进行了认证绑定,安全管理系统(SIEM)与各云平台以及联动防御系统进行通信连接。
具体地,如图7所示,域用户使用域账号和密码登录ADFS SSO,通过AD域认证后,跳转至目标云平台的云控制台,用户在云控制台进行操作,云审计记录用户的域账号、对应的云平台账号、操作时间、来源IP、资源类型、事件名、事件类型、事件详情和事件操作等云审计数据,并通过跟踪集存入COS/OSS对象存储桶。
SIEM系统的数据抓取模块定时通过对象存储命令行执行工具coscmd(ossutil),并开发脚本获取到云审计数据,借助SIEM系统独特的转发器功能,由通用转发器监控日志文件发送到重型转发器,而后分发给集群中的数据存储节点,至此,集群的搜索头即可通过spl语言成功搜索到相关云审计数据。
SIEM系统中预先配置有云平台控制模型,由云审计数据作为模型的数据支撑,数据通过cos桶或oss桶存储并作为数据来源。模型包括必要字段:域账号、云平台账号、时间、事件名、事件类型、事件详情、事件操作或执行者信息等;一些特殊事件的附加字段:网络组件关联ip端口、特权登录或异常行为关联服务器等。模型主要匹配关键字段、字符串或阈值作为触发告警条件,事先已预设。异常日志主要关注重点资源的写入行为:如计算、网络和数据资源的停止、删除、泄露、新增公网入口等操作、以及异常访问时间、地点和源IP等。具体地,设计人员通过spl语言,分析预设异常行为检查规则,提炼出可能触发规则的字段作为判断依据,依据显示情况确定匹配串或阈值或其他判断方式,得到预设关键数据。
SIEM系统将云审计数据填充到预设的云平台控制模型中,对云审计数据进行数据提取得到目标数据。将目标数据与预设关键数据进行比较,若根据比较结果确定用户存在特权账号异常登录行为、非正常地址登录行为、非预设登录时间段登录行为、新增公网IP行为以及新增公网SLB行为中的至少一项,则确定云审计数据存在异常,云审计数据的异常类型为告警类型。SIEM系统根据云审计数据生成告警消息通知,将告警消息通知通过预设IM通讯系统反馈给值班人员。
若SIEM系统根据比较结果确定用户存在删除服务器行为、删除数据库行为以及异常下载备份数据库行为中的至少一项,则确定云审计数据存在严重异常,云审计数据的异常类型为联动管理类型。SIEM系统根据云审计数据生成告警消息通知,将告警消息通知通过预设IM通讯系统反馈给值班人员,同时将云审计数据在本地进行留存,并根据云审计数据生成联动管理指令,将联动管理指令与云审计数据一同上传至联动防御系统。
联动防御系统接收到联动管理指令后,响应联动管理指令,根据告警配置生成单点登录域账号管理任务与多云平台账号管理任务,将任务提交至消息队列,任务引擎接收到任务后会根据任务剧本执行,基于单点登录域账号管理任务对接单点登录系统的域控模块,远程执行域账号状态更改操作,将域账号的状态更改为不可用状态。基于多平台账号管理任务,联动防御系统通过任务执行子节点,调用云API接口更改该用户对应的各个云平台账号的状态,将各个云平台账号的状态更改为不可用状态。
本实施例中的方法,首先支持跨多云平台单点登录、且支持多云平台用户异常行为自动检测。对云平台用户异常行为实时告警,并通知值班人员确认处理。其次支持多云平台异常行为联动自动处理,包括将域账号和云平台账号的状态均更改为不可用状态。无需人工干预,自动完成,且可24小时快速响应。在减少了用户账号管理的复杂度,增强了用户账号管理的安全性的同时,通过对多云平台的异常处理进一步保证了用户使用多云平台时的使用安全性,避免用户遭受不必要的损失。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的基于单点登录的多云平台异常处理方法的基于单点登录的多云平台异常处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个基于单点登录的多云平台异常处理装置实施例中的具体限定可以参见上文中对于基于单点登录的多云平台异常处理方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种基于单点登录的多云平台异常处理装置800,包括:数据获取模块801、异常行为判断模块802和异常处理模块803,其中:
数据获取模块801,用于获取用户基于单点登录系统登录目标云平台后产生的云审计数据,云审计数据包括用户的登录信息与用户在目标云平台的操作数据,单点登录系统预先与多个云平台进行认证绑定,目标云平台为多个云平台中任意一个云平台。
异常行为判断模块802,用于将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行异常行为判断。
异常处理模块803,用于若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理。
上述基于单点登录的多云平台异常处理装置,用户基于单点登录系统登录多个云平台中的任意一个云平台,由于单点登录系统预先与多个云平台进行了认证绑定,因此用户只需要在单点登录系统登录一次即可登录多个云平台中的任意云平台,减少了用户账号管理的复杂度,增强了用户账号管理的安全性。获取用户登录云平台后产生的云审计数据,云审计数据包括用户的登录信息与用户在目标云平台的操作数据,将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行异常行为判断,若确定云审计数据存在异常,则根据云审计数据的异常类型对用户进行异常处理,进一步保证了用户使用多云平台时的使用安全性,避免用户遭受不必要的损失。
在一个实施例中,异常行为判断模块还用于:将云审计数据输入预先配置的云平台控制模型中,对云审计数据进行数据提取得到目标数据;基于目标数据、云平台控制模型中的预设关键数据以及预设异常行为检查规则,对云审计数据进行异常行为判断;当目标数据与预设关键数据的比较结果满足预设异常行为检查规则时,确定云审计数据存在异常。
在一个实施例中,异常处理模块还用于:若目标数据与预设关键数据的比较结果满足告警规则,则确定云审计数据的异常类型为告警类型;根据云审计数据生成告警信息,告警信息用于提示用户在目标云平台存在告警操作行为;将告警信息基于预设发送渠道发送至指定用户终端。
在一个实施例中,异常处理模块还用于:若目标数据与预设关键数据的比较结果满足联动管理规则,则确定云审计数据的异常类型为联动管理类型;根据云审计数据生成联动管理指令,联动管理指令用于指示联动防御系统生成单点登录域账号管理任务与多云平台账号管理任务,基于单点登录域账号管理任务控制单点登录系统封控用户的单点登录域账号,基于多云平台账号管理任务控制各云平台封控用户的各云平台账号;将联动管理指令发送至联动防御系统。
在一个实施例中,异常行为判断模块还用于:
第一项:
目标数据包括账号数据,预设关键数据包括特权账号数据;若账号数据与特权账号数据一致,则确定云审计数据的异常类型为告警类型;
第二项:
目标数据包括源登录地址,预设关键数据包括预设正常地址列表;若源登录地址不在预设正常地址列表中,则确定云审计数据的异常类型为告警类型;
第三项:
目标数据包括登录时间,预设关键数据包括预设登录时间段;若登录时间不在预设登录时间段内,则确定云审计数据的异常类型为告警类型;
第四项:
目标数据包括事件类型,预设关键数据包括预设事件类型;若预设事件类型包括事件类型,则确定云审计数据的异常类型为告警类型。
在一个实施例中,异常行为判断模块还用于:
第一项:
目标数据包括资源类型和事件操作,预设关键数据为批量停止和/或删除服务器;若目标数据与预设关键数据一致,则确定云审计数据的异常类型为联动管理类型;
第二项:
目标数据包括资源类型、事件操作和执行者信息,预设关键数据为正常执行者列表用户删除数据库;若目标数据与预设关键数据不一致,则确定云审计数据的异常类型为联动管理类型;
第三项:
目标数据包括资源类型、事件操作和执行者信息,预设关键数据为正常执行者列表用户下载备份数据库;若目标数据与预设关键数据不一致,则确定云审计数据的异常类型为联动管理类型;
上述基于单点登录的多云平台异常处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是集成了安全管理系统的服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储云审计数据、云平台控制模型、异常类型等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于单点登录的多云平台异常处理方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各基于单点登录的多云平台异常处理方法实施例中的具体步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各基于单点登录的多云平台异常处理方法实施例中的具体步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各基于单点登录的多云平台异常处理方法实施例中的具体步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。