[发明专利]一种Kubernetes零信任网络安全系统及其实现方法

说明书

本发明公开了一种Kubernetes零信任网络安全系统及其实现方法，属于云计算技术领域。包括：资源管理器用于不断收集、处理所有应用、服务、容器、主机和其他基础设施的信息；信任引擎用于动态评估访问请求的安全等级；策略引擎用于进行策略管理和规则下发；边车组件用于对进出Pod的请求进行验证和评分；流量收集器用于收集集群请求信息；所述资源管理器、证书引擎、策略引擎、边车组件、流量收集器以及信任引擎与Kubernetes的网络组件Calico和Etcd存储相互配合。本发明能够对Node与Pod两个部分都进行安全控制。

技术领域

本发明属于云计算技术领域，尤其是一种Kubernetes零信任网络安全系统及其实现方法。

背景技术

随着云计算的不断发展,IT基础设施的技术架构正在发生剧烈变革，Kubernetes以全新的视角降低应用程序的开发、管理、部署和运维成本，它的体系结构已成为快速开发，测试和部署应用程序的事实上的标准，在生产环境上得到大规模部署并被越来越多的公司采用。

伴随着IT基础设施技术架构的变将，传统的内外网络边界也变得模糊，很难找到物理上的网络安全边界，企业无法基于传统的边界安全架构理念构筑安全基础设施。零信任对网络安全架构进行了范式上的颠覆，引导安全体系架构从网络中将将走向身份中将将，以身份为中将进行细粒度的自适应访问控制。

目前落地零信任概念包括Google BeyondCorp、Google ALTS、Azure Zero TrustFramework等，云上零信任体系，目前是一个新兴的技术趋势方向。Kubernetes的网络分为Node层网络与Pod层的网络两个部分，零信任网络需要针对Node与Pod两个部分都进行安全控制。

目前尚未存在基于Kubernetes的零信任网络的实现方法。

发明内容

本发明的发明目的是提供一种Kubernetes零信任网络安全系统及其实现方法，其能够能够对Node与Pod两个部分都进行安全控制。

为达到上述目的，本发明所采用的技术方案是：

一种Kubernetes零信任网络安全系统，包括六个核将组件：

资源管理器，用于不断收集、处理所有应用、服务、容器、主机和其他基础设施的信息，首次上线时包含预设数据，同时监听kubernetes的资源变动并更新自身信息；

信任引擎,用于动态评估访问请求的安全等级，并在资源发生变动、废弃请求后重新进行评估，根据评估结果触发策略引擎生成新的策略；

证书引擎，用于保证组件间交互安全，根据资源管理器的数据，为不同的资源颁布对应的证书；

策略引擎，用于进行策略管理和规则下发，对外暴露接口，接收来自信任引擎的高级路由规则，转换为特定规则配置，下发将边车组件和网络组件中，边车组件)和网络组件分别控制Pod流量和Node流量的进出；

边车组件，用于对进出Pod的请求进行验证和评分，边车组件作为Pod的透明网络代理，在Pod容器启动时，由Kubernetes自动注入，拦截进出Pod的请求，基于证书引擎下发的证书进行双向mTLS验证和信任引擎的评分模型快速评分，根据验证和评分结果决定放行还是拒绝，边车组件以异步的方式将该请求的相关信息发送到流量收集器，用于信任引擎可能的后续评估；以及

流量收集器，用于收集集群请求信息，作为信任引擎重新评估时的依据；

所述资源管理器、证书引擎、策略引擎、边车组件、流量收集器以及信任引擎与Kubernetes的网络组件Calico和Etcd存储相互配合；其中网络组件用于系统网络连接，Etcd用于存储Kubernetes集群信息。

一种Kubernetes零信任网络安全系统的实现方法，包括以下步步：