[发明专利]一种多集群网络安全策略管控方法和系统

说明书

本申请提供了一种多集群网络安全策略管控方法和系统。该方法包括：根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个容器集群的安全策略配置模式进行选择，并由向规则中心发送规则注入请求；响应于规则中心接收到网络策略控制器发送的规则注入请求，对网络策略控制器发送的安全策略规则进行规则校验；响应于安全策略规则通过规则校验，规则中心将安全策略规则在规则库中进行存储固化，并向网络策略控制器发送第一信息，响应于网络策略控制器接收到第一信息，网络策略控制器基于选择的安全策略配置模式，在多个容器集群中进行安全策略规则的配置，以由多个容器集群根据安全策略规则，按照设定的工作模式进行网络访问安全保护。

技术领域

本申请涉及网络安全技术领域，特别涉及一种多集群网络安全策略管控方法和系统。

背景技术

容器应用在多集群里进行统一发布和编排，已经成为企业确保生产环境高可用部署的重要发展趋势。一般一个容器集群会部署在同一个机房当中，但很多可用性要求高的应用，需要跨地域多机房部署，以满足应用跨地域级别的多活和灾备需求。并且在实际生产环境中，对容器件的访问策略都是最低限度开放，减少服务暴露和限制访问权限。若果没有配置安全策略，一旦容器突破或逃逸后，即可侵入集群内其他容器，甚至修改宿主主机内核和文件数据，植入木马病毒或将计算资源用于挖矿，造成的危害极大。

为此，在单集群场景下，容器的网络安全策略依靠容器平台的容器网络接口(即CNI网络插件)实现，可以实现单一集群下，容器集群(Pod)和容器集群(Pod)之间，Pod和某些服务之间，Pod和某些地址段之间，Pod和某个命名空间(namespace)之间的访问安全策略控制。但目前已实现的集群安全策略机制存在以下问题：

(1)安全策略全部依靠安全人员实现的安全规则配置生效，由于安全人员是根据经验或现有安全规范来配置安全规则，如果有未被发现的安全漏洞被利用，集群安全策略将直接失效，恶意访问无从防范，安全保护等同为零；

(2)随着应用开始多集群部署，逐渐出现了跨集群的服务互访需求。统一集群下，可以依赖容器平台自身的CNI网络插件来实现安全策略，但在多集群场景，目前任何单一集群的CIN网络插件(比如：Calico、Weave、Flannel、MacVlan等)都没有多集群的安全策略实现机制，企业一旦在生成环境上多集群部署，不同集群的安全策略只能够单个集群独立配置，效率较低而且容易出现配置不一致导致的安全漏洞。

(3)目前开源Kubernetes社区已有联邦集群功能来实现多集群编排调度，但联动集群的社区版本之间变化差异性恒大，比如Kubefed V1和Kubefed V2之间的架构就有巨大改动，在社区版本未稳定前，指望由联邦集群来克服网络安全策略问题，不具备可行性。而且，联邦集群目前只能实现全局的DNS服务发现，在跨集群的网络安全策略分发和配置上，也是没有解决方案的，不具备全局的安全策略实现机制。

(4)有部分多集群场景，通过配置集群之间的防火墙规则来实现跨集群安全策略控制，但是只要集群数量大于等于3或者集群使用的命名空间过多或者容器集群数量超过某个规模，整体的安全策略配置就非常麻烦，全部依赖手工一条条输入防火墙安全规则，而且一旦错误配置某个规则，比如输错某个IP地址，故障排查将非常艰巨，需要花很长时间才能定位故障点。更重要的是，当业务下线后，哪些安全规则可以删除，需要逐一判断，删错一条就会引发其它业务的生产事故，如果不删除，需要确保新部署的应用不会和原先的IP地址冲突，这会导致IP地址无法回收，造成大量的IP资源浪费，且随着时间增加，积累的越来越多的安全规则会增加防火墙负担引发服务性能问题。