1.本发明涉及网络安全领域,尤其涉及一种网络微隔离策略自生成方法及系统。
背景技术:
::2.微隔离是细粒度更小的网络隔离技术,将网络和云划分为较小区域,能够应对不同环境下对于流量隔离的需求,其核心功能要求是聚焦在东西向流量的隔离,重点用于阻止攻击者攻入数据中心内部后的横向移动。传统的防火墙是单点边界上的隔离,而微隔离将分段能力扩展到云工作负载和容器,采用控制中心平台与策略执行单元分离的方式,具备分布式与自适应的特点,有别于防火墙的隔离作用,也是云计算环境中真实的需求。3.随着云计算的兴起,业务上云成为趋势,数据中心环境变迁给数据中心的网络安全带来了众多挑战,比如:东西向访问流量庞大,无法感知业务间访问关系;业务访问关系错综复杂,无法制定精细化的访问控制策略,静态策略无法跟随虚拟机自动迁移等网络访问边检控制问题。4.当前主流技术方案主要从访问者及访问的服务两个维度来划分规则维度级别,规则维度划分的粒度不够精细,生成的规则不能很精确地控制工作负载节点间的通信。并且无法针对异常的访问关系进行针对性的策略规则添加,不支持自定义配置策略规则的类型。采用vlan技术、vxlan技术、vpc技术不能很好的解决虚拟化设备、容器、主机工作负载、业务应用之间的隔离策略。从技术特点上看,vlan是一种粗粒度的网络隔离技术,vxlan和vpc更接近于微隔离的技术要求但还不是很好解决主机与主机、主机与容器直接的隔离问题。在实际生产环境中的工作负载之间的访问关系中,少数的几台工作负载都会有复杂的业务访问关系,那么当工作负载数量急剧上升时,需要一套更加智能化的微隔离的控制策略及系统。技术实现要素:5.为了解决上述问题,本发明提出了一种网络微隔离策略自生成方法及系统。6.具体方案如下:7.一种网络微隔离策略自生成方法,包括以下步骤:8.s1:选择现有策略集或新建策略集,判断策略集内的策略范围是否存在访问关系,当存在时,以访问关系类型为维度将策略集中的数据进行分类,并统计不同访问关系类型对应的访问关系数量,进而计算每种访问关系类型的规则覆盖率;9.s2:按照访问关系类型,对每种访问关系类型的数据进行对应的策略规则配置;10.s3:对配置的策略规则进行验证,当验证通过时,进入s4;否则,返回s2重新进行策略规则配置;11.s4:云端将验证后的策略规则下发至工作负载端后,工作负载端接收到策略规则后根据策略规则的配置项进行对应配置。12.进一步的,策略集内容包括策略范围和策略规则。13.进一步的,访问关系类型包括工作组内关系、工作组间访问关系和ip列表访问关系。14.进一步的,步骤s2中策略规则配置的规则配置项包括:规则生成方式、规则生成维度和规则作用类型。15.进一步的,规则生成方式包括增量生成方式和全量生成方式两种。16.进一步的,规则生成维度包括访问者、服务和提供者三个维度;其中:17.(1)针对访问关系类型为组内访问关系时,其三个维度的配置项分别为:18.提供者:角色、所有工作负载;19.服务:单个服务、所有服务;20.访问者:角色、所有工作负载;21.(2)针对访问关系类型为组间访问关系时,其三个维度的配置项分别为:22.提供者:角色、所有工作负载;23.服务:单个服务、所有服务;24.访问者:角色、工作组;25.(3)针对访问关系类型为ip列表访问关系时,其三个维度的配置项分别为:26.提供者:角色、所有工作负载;27.服务:单个服务、所有服务;28.访问者:ip列表。29.进一步的,规则作用类型包括允许规则、阻断规则和忽略规则。30.进一步的,步骤s3中验证包括规则列表验证和规则预下发验证;31.规则列表验证为对待生成的规则列表进行策略规则检查,根据检查结果通过或不通过选择生成策略规则或返回步骤s2重新进行策略规则配置;32.规则预下发验证为当确定生成策略规则后,将生成的策略规则与业务访问关系进行匹配,根据匹配结果通过或不通过选择进入步骤s4进行策略规则下发或返回步骤s2重新进行策略规则配置。33.一种网络微隔离策略自生成系统,包括云端和工作负载端,云端和工作负载端均包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。34.本发明采用如上技术方案,根据自学习到的业务流量,从不同维度梳理、设置安全策略,可以快速、便捷地批量生成策略规则,减少了用户手动梳理策略规则的复杂性,降低了人为操作上的失误和安全运维难度,用户使用更加方便,交互上更加友好。附图说明35.图1所示为本发明实施例一的流程图。36.图2所示为该实施例中访问关系类型和规则覆盖率计算的示意图。37.图3所示为该实施例中规则维度配置的示意图。38.图4所示为该实施例中规则类型配置的示意图。39.图5所示为该实施例中规则列表验证的示意图。具体实施方式40.为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。41.现结合附图和具体实施方式对本发明进一步说明。42.实施例一:43.本发明实施例提供了一种网络微隔离策略自生成方法,如图1所示,所述方法包括以下步骤:44.s1:选择现有策略集或新建策略集,判断策略集内的策略范围是否存在访问关系,当存在时,以访问关系类型为维度将策略集中的数据进行分类,并统计不同访问关系类型对应的访问关系数量,进而计算每种访问关系类型的规则覆盖率;当不存在时重新选择或新建策略集。45.策略集为存储策略规则的集合,策略规则为基于五元组设置的一组条件,是工作负载间进行业务访问所遵循的法则。该实施例中策略集内容包括策略集基础信息、策略范围和策略规则。判断策略集内的策略范围是否存在访问关系用于判断策略集是否达到策略自生成的要求。46.该实施例中访问关系类型包括工作组内关系、工作组间访问关系和ip列表访问关系。该实施例中通过如图2所示的页面显示类三类访问关系和不同访问关系类型对应的规则覆盖率。规则覆盖率=受规则控制的访问关系总数/访问关系总数*100%。47.s2:按照访问关系类型,对每种访问关系类型的数据进行对应的策略规则配置。48.该实施例中策略规则配置的规则配置项包括:规则生成方式、规则生成维度和规则作用类型,最终实现基于不同维度的网络微隔离策略自生成,形成的策略存于云端的存储介质中。49.(1)规则生成方式:确定生成规则覆盖的范围,包括增量、全量两种生成方式。50.增量生成:覆盖范围下的所有异常访问关系,基于异常访问关系生成策略规则。51.全量生成:覆盖范围下的所有访问关系,基于范围下所有访问关系生成策略规则,并删除原有规则。52.(2)规则生成维度:确定生成规则的细粒度,包括访问者、服务和提供者三个维度。其中:访问者为包括东西向与南北向的业务流量访问端节点;提供者为安装有轻量级agent并提供相应服务的节点;服务为访问关系中协议和端口所对应的服务。53.a、组内访问关系各维度配置项:54.提供者:角色、所有工作负载;55.服务:单个服务、所有服务;56.访问者:角色、所有工作负载。57.b、组间访问关系各维度配置项:58.提供者:角色、所有工作负载;59.服务:单个服务、所有服务;60.访问者:角色、工作组。61.c、ip列表访问关系各维度配置项:62.提供者:角色、所有工作负载;63.服务:单个服务、所有服务;64.访问者:ip列表。65.其中:角色为具有相同功能的节点的统称(标签),应用程序组/工作组为具有相同的位置、应用、环境等属性的节点分隔。66.(3)规则作用类型:确定规则的作用类型,包括允许规则、阻断规则和忽略规则。67.允许规则:添加允许规则,服务访问者允许访问服务提供者的相关服务;68.阻断规则:添加阻断规则,服务访问者不允许访问服务提供者的相关服务;69.忽略规则:不添加规则,生成规则时忽略该规则。70.该实施例中规则维度配置和规则类型配置的示意图如图3和图4所示,71.s3:对配置的策略规则进行验证,当验证通过时,进入s4;否则,返回s2重新进行策略规则配置。72.步骤s3的验证用于验证策略规则的有效性和准确性,该实施例中具体包括规则列表验证和规则预下发验证。73.(1)规则列表验证为对待生成的规则列表进行策略规则检查,根据检查结果通过或不通过选择生成策略规则或返回步骤s2重新进行策略规则配置。74.(2)规则预下发验证为当确定生成策略规则后,将生成的策略规则与业务访问关系进行匹配,根据匹配结果通过或不通过选择进入步骤s4进行策略规则下发或返回步骤s2重新进行策略规则配置。75.通过规则预下发验证,可以检测规则生效后的防护效果,可直观的调整策略规则。76.需要说明的是,规则预下发是指策略规则只在云端进行下发,未下发至客户端;规则下发是指策略规则在云端下发后,再下发至客户端,并更新至防火墙。本实施例中规则列表验证的示意图如图5所示。77.s4:云端将验证后的策略规则下发至工作负载端(agent)后,工作负载端接收到策略规则后根据策略规则的配置项进行对应配置。78.当策略规则验证通过后,进入工作负载端配置页面,启用流量规则,工作负载端开启防护状态,则云端将会把验证后的策略规则下发,工作负载端轮询是否有新的策略规则,如果检测到存在新的策略规则,则将新的策略规则通过http传输到工作负载端,把策略规则的配置项信息写入工作负载的iptables,策略规则生效。79.本发明实施例通过采集工作负载端之间的网络流量,以可视化展示网络访问关系拓扑,采用流量自学习自动化的思想,从不同维度去梳理、设置安全策略规则,用户可以根据自己的需求设置控制策略,能够选择更细粒度的规则维度级别,可自定义配置规则类型,生成控制更精确的策略规则,并且能对异常的访问关系设置针对性的策略规则,快速的、有针对性的批量生成安全策略规则,有效提高了策略规则梳理效率,方便用户快速、批量创建策略规则,降低了安全运维难度,减少人为操作上的失误。同时将分段能力扩展到云工作负载和容器,阻止攻击者进入数据中心网络内部后的横向平移,降低攻击面。80.实施例二:81.本发明还提供一种网络微隔离策略自生成系统,包括云端和工作负载端,云端和工作负载端均包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。82.进一步地,作为一个可执行方案,所述工作负载端可以是桌上型计算机、笔记本、掌上电脑等计算设备。83.进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述云端和工作负载端的控制中心,利用各种接口和线路连接整个云端和工作负载端的各个部分。84.所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述云端和工作负载端的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。85.尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。当前第1页12当前第1页12
背景技术:
::2.微隔离是细粒度更小的网络隔离技术,将网络和云划分为较小区域,能够应对不同环境下对于流量隔离的需求,其核心功能要求是聚焦在东西向流量的隔离,重点用于阻止攻击者攻入数据中心内部后的横向移动。传统的防火墙是单点边界上的隔离,而微隔离将分段能力扩展到云工作负载和容器,采用控制中心平台与策略执行单元分离的方式,具备分布式与自适应的特点,有别于防火墙的隔离作用,也是云计算环境中真实的需求。3.随着云计算的兴起,业务上云成为趋势,数据中心环境变迁给数据中心的网络安全带来了众多挑战,比如:东西向访问流量庞大,无法感知业务间访问关系;业务访问关系错综复杂,无法制定精细化的访问控制策略,静态策略无法跟随虚拟机自动迁移等网络访问边检控制问题。4.当前主流技术方案主要从访问者及访问的服务两个维度来划分规则维度级别,规则维度划分的粒度不够精细,生成的规则不能很精确地控制工作负载节点间的通信。并且无法针对异常的访问关系进行针对性的策略规则添加,不支持自定义配置策略规则的类型。采用vlan技术、vxlan技术、vpc技术不能很好的解决虚拟化设备、容器、主机工作负载、业务应用之间的隔离策略。从技术特点上看,vlan是一种粗粒度的网络隔离技术,vxlan和vpc更接近于微隔离的技术要求但还不是很好解决主机与主机、主机与容器直接的隔离问题。在实际生产环境中的工作负载之间的访问关系中,少数的几台工作负载都会有复杂的业务访问关系,那么当工作负载数量急剧上升时,需要一套更加智能化的微隔离的控制策略及系统。技术实现要素:5.为了解决上述问题,本发明提出了一种网络微隔离策略自生成方法及系统。6.具体方案如下:7.一种网络微隔离策略自生成方法,包括以下步骤:8.s1:选择现有策略集或新建策略集,判断策略集内的策略范围是否存在访问关系,当存在时,以访问关系类型为维度将策略集中的数据进行分类,并统计不同访问关系类型对应的访问关系数量,进而计算每种访问关系类型的规则覆盖率;9.s2:按照访问关系类型,对每种访问关系类型的数据进行对应的策略规则配置;10.s3:对配置的策略规则进行验证,当验证通过时,进入s4;否则,返回s2重新进行策略规则配置;11.s4:云端将验证后的策略规则下发至工作负载端后,工作负载端接收到策略规则后根据策略规则的配置项进行对应配置。12.进一步的,策略集内容包括策略范围和策略规则。13.进一步的,访问关系类型包括工作组内关系、工作组间访问关系和ip列表访问关系。14.进一步的,步骤s2中策略规则配置的规则配置项包括:规则生成方式、规则生成维度和规则作用类型。15.进一步的,规则生成方式包括增量生成方式和全量生成方式两种。16.进一步的,规则生成维度包括访问者、服务和提供者三个维度;其中:17.(1)针对访问关系类型为组内访问关系时,其三个维度的配置项分别为:18.提供者:角色、所有工作负载;19.服务:单个服务、所有服务;20.访问者:角色、所有工作负载;21.(2)针对访问关系类型为组间访问关系时,其三个维度的配置项分别为:22.提供者:角色、所有工作负载;23.服务:单个服务、所有服务;24.访问者:角色、工作组;25.(3)针对访问关系类型为ip列表访问关系时,其三个维度的配置项分别为:26.提供者:角色、所有工作负载;27.服务:单个服务、所有服务;28.访问者:ip列表。29.进一步的,规则作用类型包括允许规则、阻断规则和忽略规则。30.进一步的,步骤s3中验证包括规则列表验证和规则预下发验证;31.规则列表验证为对待生成的规则列表进行策略规则检查,根据检查结果通过或不通过选择生成策略规则或返回步骤s2重新进行策略规则配置;32.规则预下发验证为当确定生成策略规则后,将生成的策略规则与业务访问关系进行匹配,根据匹配结果通过或不通过选择进入步骤s4进行策略规则下发或返回步骤s2重新进行策略规则配置。33.一种网络微隔离策略自生成系统,包括云端和工作负载端,云端和工作负载端均包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。34.本发明采用如上技术方案,根据自学习到的业务流量,从不同维度梳理、设置安全策略,可以快速、便捷地批量生成策略规则,减少了用户手动梳理策略规则的复杂性,降低了人为操作上的失误和安全运维难度,用户使用更加方便,交互上更加友好。附图说明35.图1所示为本发明实施例一的流程图。36.图2所示为该实施例中访问关系类型和规则覆盖率计算的示意图。37.图3所示为该实施例中规则维度配置的示意图。38.图4所示为该实施例中规则类型配置的示意图。39.图5所示为该实施例中规则列表验证的示意图。具体实施方式40.为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。41.现结合附图和具体实施方式对本发明进一步说明。42.实施例一:43.本发明实施例提供了一种网络微隔离策略自生成方法,如图1所示,所述方法包括以下步骤:44.s1:选择现有策略集或新建策略集,判断策略集内的策略范围是否存在访问关系,当存在时,以访问关系类型为维度将策略集中的数据进行分类,并统计不同访问关系类型对应的访问关系数量,进而计算每种访问关系类型的规则覆盖率;当不存在时重新选择或新建策略集。45.策略集为存储策略规则的集合,策略规则为基于五元组设置的一组条件,是工作负载间进行业务访问所遵循的法则。该实施例中策略集内容包括策略集基础信息、策略范围和策略规则。判断策略集内的策略范围是否存在访问关系用于判断策略集是否达到策略自生成的要求。46.该实施例中访问关系类型包括工作组内关系、工作组间访问关系和ip列表访问关系。该实施例中通过如图2所示的页面显示类三类访问关系和不同访问关系类型对应的规则覆盖率。规则覆盖率=受规则控制的访问关系总数/访问关系总数*100%。47.s2:按照访问关系类型,对每种访问关系类型的数据进行对应的策略规则配置。48.该实施例中策略规则配置的规则配置项包括:规则生成方式、规则生成维度和规则作用类型,最终实现基于不同维度的网络微隔离策略自生成,形成的策略存于云端的存储介质中。49.(1)规则生成方式:确定生成规则覆盖的范围,包括增量、全量两种生成方式。50.增量生成:覆盖范围下的所有异常访问关系,基于异常访问关系生成策略规则。51.全量生成:覆盖范围下的所有访问关系,基于范围下所有访问关系生成策略规则,并删除原有规则。52.(2)规则生成维度:确定生成规则的细粒度,包括访问者、服务和提供者三个维度。其中:访问者为包括东西向与南北向的业务流量访问端节点;提供者为安装有轻量级agent并提供相应服务的节点;服务为访问关系中协议和端口所对应的服务。53.a、组内访问关系各维度配置项:54.提供者:角色、所有工作负载;55.服务:单个服务、所有服务;56.访问者:角色、所有工作负载。57.b、组间访问关系各维度配置项:58.提供者:角色、所有工作负载;59.服务:单个服务、所有服务;60.访问者:角色、工作组。61.c、ip列表访问关系各维度配置项:62.提供者:角色、所有工作负载;63.服务:单个服务、所有服务;64.访问者:ip列表。65.其中:角色为具有相同功能的节点的统称(标签),应用程序组/工作组为具有相同的位置、应用、环境等属性的节点分隔。66.(3)规则作用类型:确定规则的作用类型,包括允许规则、阻断规则和忽略规则。67.允许规则:添加允许规则,服务访问者允许访问服务提供者的相关服务;68.阻断规则:添加阻断规则,服务访问者不允许访问服务提供者的相关服务;69.忽略规则:不添加规则,生成规则时忽略该规则。70.该实施例中规则维度配置和规则类型配置的示意图如图3和图4所示,71.s3:对配置的策略规则进行验证,当验证通过时,进入s4;否则,返回s2重新进行策略规则配置。72.步骤s3的验证用于验证策略规则的有效性和准确性,该实施例中具体包括规则列表验证和规则预下发验证。73.(1)规则列表验证为对待生成的规则列表进行策略规则检查,根据检查结果通过或不通过选择生成策略规则或返回步骤s2重新进行策略规则配置。74.(2)规则预下发验证为当确定生成策略规则后,将生成的策略规则与业务访问关系进行匹配,根据匹配结果通过或不通过选择进入步骤s4进行策略规则下发或返回步骤s2重新进行策略规则配置。75.通过规则预下发验证,可以检测规则生效后的防护效果,可直观的调整策略规则。76.需要说明的是,规则预下发是指策略规则只在云端进行下发,未下发至客户端;规则下发是指策略规则在云端下发后,再下发至客户端,并更新至防火墙。本实施例中规则列表验证的示意图如图5所示。77.s4:云端将验证后的策略规则下发至工作负载端(agent)后,工作负载端接收到策略规则后根据策略规则的配置项进行对应配置。78.当策略规则验证通过后,进入工作负载端配置页面,启用流量规则,工作负载端开启防护状态,则云端将会把验证后的策略规则下发,工作负载端轮询是否有新的策略规则,如果检测到存在新的策略规则,则将新的策略规则通过http传输到工作负载端,把策略规则的配置项信息写入工作负载的iptables,策略规则生效。79.本发明实施例通过采集工作负载端之间的网络流量,以可视化展示网络访问关系拓扑,采用流量自学习自动化的思想,从不同维度去梳理、设置安全策略规则,用户可以根据自己的需求设置控制策略,能够选择更细粒度的规则维度级别,可自定义配置规则类型,生成控制更精确的策略规则,并且能对异常的访问关系设置针对性的策略规则,快速的、有针对性的批量生成安全策略规则,有效提高了策略规则梳理效率,方便用户快速、批量创建策略规则,降低了安全运维难度,减少人为操作上的失误。同时将分段能力扩展到云工作负载和容器,阻止攻击者进入数据中心网络内部后的横向平移,降低攻击面。80.实施例二:81.本发明还提供一种网络微隔离策略自生成系统,包括云端和工作负载端,云端和工作负载端均包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。82.进一步地,作为一个可执行方案,所述工作负载端可以是桌上型计算机、笔记本、掌上电脑等计算设备。83.进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述云端和工作负载端的控制中心,利用各种接口和线路连接整个云端和工作负载端的各个部分。84.所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述云端和工作负载端的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。85.尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
