[发明专利]一种Kubernetes零信任网络安全系统及其实现方法

权利要求书

1.一种 Kubernetes 零信任网络安全系统，其特征在于，包括六个核心组件：

资源管理器，用于不断收集、处理所有应用、服务、容器、主机和其他基础设施的信息，首次上线时包含预设数据，同时监听 kubernetes的资源变动并更新自身信息；

信任引擎,用于动态评估访问请求的安全等级，并在资源发生变动、废弃请求后重新进行评估，根据评估结果触发策略引擎生成新的策略；

证书引擎，用于保证组件间交互安全，根据资源管理器的数据，为不同的资源颁布对应的证书；

策略引擎，用于进行策略管理和规则下发，对外暴露接口，接收来自信任引擎的高级路由规则，转换为特定规则配置，下发至边车组件和网络组件中，边车组件和网络组件分别控制Pod流量和Node流量的进出；

边车组件，用于对进出Pod的请求进行验证和评分，边车组件作为Pod的透明网络代理，在Pod容器启动时，由Kubernetes自动注入，拦截进出Pod的请求，基于证书引擎下发的证书进行双向mTLS验证和信任引擎的评分模型快速评分，根据验证和评分结果决定放行还是拒绝，边车组件以异步的方式将该请求的相关信息发送到流量收集器，用于信任引擎后续评估；以及流量收集器 ，用于收集集群请求信息，作为信任引擎重新评估时的依据；

所述资源管理器、证书引擎、策略引擎、边车组件、流量收集器以及信任引擎与Kubernetes的网络组件Calico 和 Etcd 存储相互配合；其中网络组件用于系统网络连接，

Etcd用于存储 Kubernetes 集群信息。

2.一种基于权利要求1所述 Kubernetes 零信任网络安全系统的实现方法，其特征在于，包括以下步骤：

步骤1：将系统中的资源管理器、证书引擎、策略引擎、流量收集器和信任引擎初始化至kubernetes系统中；

步骤2：向 kubernetes 准入控制流程增加边车注入配置，使得每当新Pod生成时，自动注入边车组件；

步骤3：运行资源管理器，接收kube-apiserver的信息或来自命令行的输入信息，监听kubernetes的资源变动并更新自身信息；

步骤4：运行信任引擎，根据资源管理器和流量收集器的输入生成规则或通过命令行输入规则，持续进行信任评估，生成策略并发送至策略引擎；

步骤5：运行策略引擎，接收来自信任引擎的策略或手工录入的信任规则，转换为特定规则配置，根据执行的对象下发至边车组件或网络组件中；

步骤6：运行证书引擎，通过资源管理器中的资源信息，基于X.509标准签发证书，当边车组件连接后下发对应的证书；

步骤7：运行边车组件，基于证书引擎下发的证书与外部建立一次性的安全访问连接，接受外部和向外发送流量，在流量完成后， 向流量收集器汇报流量信息作为记录；

步骤8：运行流量收集器，通过边车组件收集集群请求信息，并定时将结果推送到信任引擎。

3.根据权利要求2所述的方法，其特征在于，所述步骤3中，所述资源管理器的运行方法包括以下步骤：

步骤3.1：资源管理器初始化运行，与kube-apiserver通信，获取节点、容器、service和configmap，如无法与kube-apiserver通信，继续执行本步骤直至获取到上述信息；

步骤3.2：基于kube-apiserver的watch机制持续监听上述信息变化，当kubernetes资源有变动时，更新资源信息；

步骤3.3：接收命令行方式输入的资源信息，收到信息后，更新资源信息。

4.根据权利要求2所述的方法，其特征在于，所述步骤4中，所述信任引擎的运行方法包括以下步骤：

步骤4.1：信任引擎初始化运行，并与资源管理器通信，结合初始化规则与资源信息，生成初始化策略，发送至策略引擎，如无法初始化，则继续执行本步骤直至初始化完成；

步骤4.2：信任引擎接收命令行方式输入的规则信息，生成后下发至策略引擎；

步骤4.3：信任引擎持续监听资源管理器 的变动，增量生成新的信任规则，删除无效规则，生成后下发至策略引擎；

步骤4.4：信任引擎定时从流量收集器获得新的集群流量情况，增量生成新的信任规则，删除无效规则，生成后下发至策略引擎。