[发明专利]一种基于零信任模型的云资源安全隔离控制方法及系统

说明书

本发明公开了一种基于零信任模型的云资源安全隔离控制方法及系统，该方法包括：获取访问主体对所述云资源承载的云服务的访问请求；基于所述访问主体和所述访问请求，生成访问权限策略和/或微隔离安全策略；下达并执行所述访问权限策略和/或所述微隔离安全策略。本发明基于零信任模型保证了对云资源的访问安全性，实现了云资源的内部隔离。

技术领域

本发明涉及云资源技术领域，特别涉及一种基于零信任模型的云资源安全隔离控制方法及系统。

背景技术

零信任安全最早由著名研究机构Forrester的首席分析师约翰.金德维格在2010年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议。其核心思想是，默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础，诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

目前，常见的云资源主要包括物理设备资源（主要包括服务器、存储、网络）和逻辑资源（计算、存储、网络、应用），其中主机服务器资源，包括微软的Hyper-V、VMware（虚拟机软件）的ESXI、Citrix（思杰系统有限公司）的Xen、IBM的PowerVM、OpenStack（由美国航空航天局NASA和Rackspace公司等发起，超过200家厂商参与的一个云计算开源项目，遵循Apache许可证授权）的Nova-Computer以及开源服务器虚拟化软件KVM等。

随着云资源被广泛应用，如何提升云资源的安全性以及实现云资源应用的隔离，是行业研究的一个重要方向。

发明内容

本说明书实施例提供了一种基于零信任模型的云资源安全隔离控制方法及系统。

一方面，本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制方法，包括：

获取访问主体对所述云资源承载的云服务的访问请求；

基于所述访问主体和所述访问请求，生成访问权限策略和/或微隔离安全策略；

下达并执行所述访问权限策略和/或所述微隔离安全策略。

另一方面，本说明书实施例提供的一种基于零信任模型的云资源安全隔离控制系统，包括：

访问请求获取装置，用于获取访问主体对所述云资源承载的云服务的访问请求；

策略生成模块，用于基于所述访问主体和所述访问请求，生成访问权限策略和/或微隔离安全策略；

策略执行模块，用于执行所述访问权限策略和/或所述微隔离安全策略。

由以上本说明书实施例提供的技术方案可见，本发明实施例本发明使用增强身份治理的零信任模型保证了对云资源的安全访问，使用微分段的零信任模型实现了云资源的内部隔离。

附图说明

图1为本说明书一些实施例的基于零信任模型的云资源安全隔离控制方法的流程图。

图2为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的组成示意图。

图3为本说明书一些实施例的基于零信任模型的云资源安全隔离控制系统的细化组成示意图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。