本發(fā)明公開了一種基于Kubernetes構(gòu)建的容器云安全防護(hù)方法與系統(tǒng)，方法包括：在Kubernetes容器云中加入安全防護(hù)系統(tǒng)，當(dāng)客戶端訪問容器云上的微服務(wù)，防護(hù)系統(tǒng)首先對(duì)請(qǐng)求進(jìn)行傳輸層第一次流量清洗；然后轉(zhuǎn)發(fā)到應(yīng)用層防護(hù)系統(tǒng)進(jìn)行第二次流量清洗，并將清洗后的流量轉(zhuǎn)發(fā)至相應(yīng)的微服務(wù)；同時(shí)收集所有訪問日志，然后通過對(duì)日志的智能分析，識(shí)別異常訪問行為和攻擊源，生成防護(hù)策略，下發(fā)到防護(hù)子系統(tǒng)，攔截攻擊，完成第三次流量清洗。本發(fā)明實(shí)現(xiàn)了：1)IP層、傳輸層、應(yīng)用層的縱深防護(hù)體系；2)防護(hù)策略的智能生成、下發(fā)以及與防護(hù)系統(tǒng)的聯(lián)動(dòng)；3)安全組件的容器化，具有部署快、易擴(kuò)展、易運(yùn)維等優(yōu)勢(shì)。本發(fā)明適用于Kubernetes容器云上的微服務(wù)的安全防護(hù)。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及基于Kubernetes構(gòu)建的容器云的安全防護(hù)方法與系統(tǒng)。

背景技術(shù)

基于Kubernetes構(gòu)建的容器云，系統(tǒng)本身提供了三種認(rèn)證方式：CA認(rèn)證，Token認(rèn)證和Base認(rèn)證來保護(hù)系統(tǒng)本身不被攻擊，保證了系統(tǒng)組件的安全，但針對(duì)于容器云中部署的微服務(wù)的防護(hù)并沒有起到作用，如果攻擊只針對(duì)其中的一個(gè)或這多個(gè)微服務(wù)發(fā)起流量攻擊，或者其他滲透攻擊，Kubernetes集群現(xiàn)有的安全技術(shù)手段，無法監(jiān)測(cè)出并攔截到攻擊，攻擊者很容易就繞過現(xiàn)有的安全策略，來對(duì)系統(tǒng)進(jìn)行各種攻擊，使集群服務(wù)癱瘓，無法提供正常的微服務(wù)，這一點(diǎn)也是Kubernetes構(gòu)建的容器云不足的地方。

隨著Kubernetes的流行，以及容器化，微服務(wù)化的趨勢(shì)的發(fā)展，提供安全可靠的容器云平臺(tái)是必須考慮的問題，增強(qiáng)Kubernetes的自身系統(tǒng)針對(duì)微服務(wù)方面的安全防護(hù)能力是本發(fā)明的目的。

發(fā)明內(nèi)容

為了解決上述現(xiàn)有技術(shù)存在的問題，本發(fā)明提出了一種針對(duì)Kubernetes構(gòu)建的容器云的安全防護(hù)方法與系統(tǒng)，包括如下：

接收客戶端發(fā)起的，訪問基于Kubernetes構(gòu)建的微服務(wù)的請(qǐng)求，首先對(duì)該請(qǐng)求進(jìn)行傳輸層防護(hù)系統(tǒng)第一次流量清洗。

其中，所述的客戶端請(qǐng)求，包含攻擊正常訪問請(qǐng)求，和攻擊，異常流量請(qǐng)求。所述的進(jìn)行傳輸層防護(hù)系統(tǒng)，即針對(duì)TCP/UDP傳輸協(xié)議的安全防護(hù)，基于報(bào)文的特征，訪問行為，有效識(shí)別syn flood,udp flood,ack flood等常見流量型攻擊，并進(jìn)行有效攔截，清洗掉攻擊流量，實(shí)現(xiàn)傳輸層的流量清洗，得到傳輸層清洗后的流量。

所述的傳輸層防護(hù)系統(tǒng)包含四層負(fù)載均衡的能力，確保流量可以正確負(fù)載到下一層的清洗系統(tǒng)；同時(shí)還包括：

IP黑白名單模塊，即直接封禁攻擊IP，或加白某IP；域名+IP黑白名單，即直接封禁訪問某域名的IP，或開放訪問某域名的IP訪問；域名+IP地域訪問控制黑白名單，即直接封禁某區(qū)域訪問某個(gè)域名的IP，或開放某某地區(qū)域名的訪問；IP限速，即限制某IP的訪問速率；以及基于TCP/UDP協(xié)議特征攻擊檢測(cè)模塊，自定義協(xié)議特征以及配置更新模塊。

將第一次清洗后的流量轉(zhuǎn)發(fā)到應(yīng)用層防護(hù)系統(tǒng)，進(jìn)行第二次流量清洗。

所述的應(yīng)用層流量清洗子系統(tǒng)，用于接收傳輸層清洗子系統(tǒng)過濾后的流量，并實(shí)現(xiàn)應(yīng)用層攻擊檢測(cè)，根據(jù)協(xié)議，匹配規(guī)則庫(kù)中的規(guī)則，如果是直接丟棄，同時(shí)將請(qǐng)求的來源IP等信息，加入黑名單，并記錄訪問日志；如果不是，則轉(zhuǎn)發(fā)到后端真實(shí)的微服務(wù)地址。

所述的規(guī)則庫(kù)，維護(hù)著常見的基于協(xié)議的攻擊請(qǐng)求定義的規(guī)則，匹配每一次應(yīng)用層協(xié)議請(qǐng)求，來判斷是否是攻擊行為，也可設(shè)置白名單機(jī)制來跳過監(jiān)測(cè)，提高轉(zhuǎn)發(fā)效率。非攻擊行為，通過反向代理的方式找到Kubernetes啟動(dòng)的微服務(wù)，完成正常的業(yè)務(wù)交互。同時(shí)該系統(tǒng)對(duì)微服務(wù)的存活具有監(jiān)控，自動(dòng)更新配置。

防護(hù)系統(tǒng)轉(zhuǎn)發(fā)請(qǐng)求到相應(yīng)的微服務(wù)地址，同時(shí)收集所有容器化微服務(wù)的訪問日志，從訪問日志這個(gè)緯度，來增強(qiáng)系統(tǒng)攻擊可追溯性，方便故障排除，和后續(xù)的攻擊檢測(cè)。