本发明专利技术提供一种提升微服务系统安全性的方法及装置,所述方法包括:利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;动态获取服务链路中所有相关服务容器的属性信息;根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;调用服务应用程序接口API。本发明专利技术提供的提升微服务系统安全性的方法及装置,通过跟应用服务实例编排联动进行动态的信息安全策略验证和调用服务API校验,能够保证应用服务之间安全通信。务之间安全通信。务之间安全通信。
【技术实现步骤摘要】
提升微服务系统安全性的方法及装置
[0001]本专利技术涉及计算机
,尤其涉及一种提升微服务系统安全性的方法及装置。
技术介绍
[0002]微服务技术是建立在容器技术之上的,微服务架构是相对于单体应用来说的,将应用或服务拆分成多个细粒度的、松散耦合的服务组件,通过不同服务组件的灵活组合,通过持续集成、持续部署进行快速迭代,并进行业务和资源动态编排调度,快速响应用户多变的需求。
[0003]使用容器技术和微服务框架后,容器实例的动态弹性伸缩,实例的实例名、主机名、MAC地址、IP地址、端口等不断随机变化,一方面传统的静态安全策略严重依赖手工配置和下发安全策略,另一方面,静态安全策略比业务应用滞后,存在业务不可用、安全性降低的隐患。
[0004]采用现有的静态安全策略不能满足动态变化的业务和动态信息安全的需求,导致微服务系统的安全性较低。
技术实现思路
[0005]本专利技术提供一种提升微服务系统安全性的方法及装置,用以解决现有技术中的上述技术问题。
[0006]本专利技术提供一种提升微服务系统安全性的方法,包括:
[0007]利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
[0008]动态获取服务链路中所有相关服务容器的属性信息;
[0009]根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
[0010]调用服务应用程序接口API。
[0011]根据本专利技术提供的一种提升微服务系统安全性的方法,所述属性信息包括:实例名、主机名、MAC地址、IP地址和端口。
[0012]根据本专利技术提供的一种提升微服务系统安全性的方法,所述防火墙软件策略为宿主机操作系统的防火墙软件策略。
[0013]根据本专利技术提供的一种提升微服务系统安全性的方法,所述根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略,包括:
[0014]根据所有相关服务容器的属性信息动态更新防火墙软件策略,并检查校验此操作是否成功;
[0015]若动态更新防火墙软件策略成功,则根据所有相关服务容器的属性信息动态更新防火墙设备策略。
[0016]根据本专利技术提供的一种提升微服务系统安全性的方法,所述调用服务应用程序接口API,包括:
[0017]对API接口调用前验证用户;
[0018]对API接口进行恶意调用和DDOS恶意攻击验证;
[0019]对API接口输入输出信息进行校验和加密解密处理。
[0020]根据本专利技术提供的一种提升微服务系统安全性的方法,所述对API接口调用前验证用户,包括:
[0021]判断目标用户是否登录失败连续3次以上;
[0022]若登录失败连续3次以上,则把所述目标用户移入黑名单。
[0023]根据本专利技术提供的一种提升微服务系统安全性的方法,所述对API接口进行恶意调用和DDOS恶意攻击验证,包括:
[0024]判断目标用户是否以每秒内10次以上的频次调用同一API;
[0025]若以每秒内10次以上的频次调用同一API,则把所述目标用户移入黑名单。
[0026]本专利技术还提供一种提升微服务系统安全性的装置,包括:
[0027]实例编排模块,利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
[0028]获取模块,用于动态获取服务链路中所有相关服务容器的属性信息;
[0029]更新模块,用于根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
[0030]调用模块,用于调用服务应用程序接口API。
[0031]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述提升微服务系统安全性的方法的步骤。
[0032]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述提升微服务系统安全性的方法的步骤。
[0033]本专利技术提供的提升微服务系统安全性的方法及装置,通过跟应用服务实例编排联动进行动态的信息安全策略验证和调用服务API校验,能够保证应用服务之间安全通信。
附图说明
[0034]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0035]图1是本专利技术提供的提升微服务系统安全性的方法的流程示意图;
[0036]图2是本专利技术提供的提升微服务系统安全性的逻辑流程示意图;
[0037]图3是本专利技术提供的提升微服务系统安全性的装置的结构示意图;
[0038]图4是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0039]容器技术主要使用虚拟化技术优化计算资源的利用率,有别于Hypervisor虚拟化技术,研究机构研究结果表明容器技术相比于Hypervisor,容器技术的许多关键指标都有重大改进,容器技术在多个领域当中都比Hypervisor拥有更好的性能表现,容器技术的运行速度几乎是Hypervisor的两倍,性能接近本地操作系统。
[0040]Kubernetes是容器实例编排工具,根据配置自动化进行服务业务和资源动态编排调度,满足快速弹性伸缩的需求。
[0041]微服务技术是建立在容器技术之上的,微服务架构是相对于单体应用来说的,将应用或服务拆分成多个细粒度的、松散耦合的服务组件,通过不同服务组件的灵活组合,通过持续集成、持续部署进行快速迭代,并进行业务和资源动态编排调度,快速响应用户多变的需求。
[0042]使用容器技术和微服务框架后,容器实例的动态弹性伸缩,实例的实例名、主机名、MAC地址、IP地址、端口等不断随机变化,一方面传统的静态安全策略严重依赖手工配置和下发安全策略,另一方面,静态安全策略比业务应用滞后,存在业务不可用、安全性降低的隐患,实施“零信任”条件动态快速调整访问控制安全策略是保证微服务的容器实例的点对点可信、通信安全、检测和抵御容器外部攻击和内部攻击的手段,是解决业务安全、信息安全问题的关键。
[0043]“服务注册和发现中心”主要提供服务提供者信息的存储,例如比如服务名、IP、端口、服务名,并且与服务提供者保持心跳以监控服务提供者的存活,如果心跳不能保持则注销服务实例。服务消费者定期向注册中心发送查询请求,以获取服务提供者的信息,获取信息之后就可以向服务提供者发起服务调用。...
【技术保护点】
【技术特征摘要】
1.一种提升微服务系统安全性的方法,其特征在于,包括:利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;动态获取服务链路中所有相关服务容器的属性信息;根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;调用服务应用程序接口API。2.根据权利要求1所述的提升微服务系统安全性的方法,其特征在于,所述属性信息包括:实例名、主机名、MAC地址、IP地址和端口。3.根据权利要求1所述的提升微服务系统安全性的方法,其特征在于,所述防火墙软件策略为宿主机操作系统的防火墙软件策略。4.根据权利要求1所述的提升微服务系统安全性的方法,其特征在于,所述根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略,包括:根据所有相关服务容器的属性信息动态更新防火墙软件策略,并检查校验此操作是否成功;若动态更新防火墙软件策略成功,则根据所有相关服务容器的属性信息动态更新防火墙设备策略。5.根据权利要求1所述的提升微服务系统安全性的方法,其特征在于,所述调用服务应用程序接口API,包括:对API接口调用前验证用户;对API接口进行恶意调用和DDOS恶意攻击验证;对API接口输入输出信息进行校验和加密解密处理。6.根据权利要求1所述的提升微服务系统安全性的方法...
【专利技术属性】
技术研发人员:王亚洁,肖骁,
申请(专利权)人:交控科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。