CN112671861A - 提升微服务***安全性的方法及装置 - Google Patents
提升微服务***安全性的方法及装置 Download PDFInfo
- Publication number
- CN112671861A CN112671861A CN202011480566.0A CN202011480566A CN112671861A CN 112671861 A CN112671861 A CN 112671861A CN 202011480566 A CN202011480566 A CN 202011480566A CN 112671861 A CN112671861 A CN 112671861A
- Authority
- CN
- China
- Prior art keywords
- service
- security
- attribute information
- api
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种提升微服务***安全性的方法及装置,所述方法包括:利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;动态获取服务链路中所有相关服务容器的属性信息;根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;调用服务应用程序接口API。本发明提供的提升微服务***安全性的方法及装置,通过跟应用服务实例编排联动进行动态的信息安全策略验证和调用服务API校验,能够保证应用服务之间安全通信。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种提升微服务***安全性的方法及装置。
背景技术
微服务技术是建立在容器技术之上的,微服务架构是相对于单体应用来说的,将应用或服务拆分成多个细粒度的、松散耦合的服务组件,通过不同服务组件的灵活组合,通过持续集成、持续部署进行快速迭代,并进行业务和资源动态编排调度,快速响应用户多变的需求。
使用容器技术和微服务框架后,容器实例的动态弹性伸缩,实例的实例名、主机名、MAC地址、IP地址、端口等不断随机变化,一方面传统的静态安全策略严重依赖手工配置和下发安全策略,另一方面,静态安全策略比业务应用滞后,存在业务不可用、安全性降低的隐患。
采用现有的静态安全策略不能满足动态变化的业务和动态信息安全的需求,导致微服务***的安全性较低。
发明内容
本发明提供一种提升微服务***安全性的方法及装置,用以解决现有技术中的上述技术问题。
本发明提供一种提升微服务***安全性的方法,包括:
利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
动态获取服务链路中所有相关服务容器的属性信息;
根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用服务应用程序接口API。
根据本发明提供的一种提升微服务***安全性的方法,所述属性信息包括:实例名、主机名、MAC地址、IP地址和端口。
根据本发明提供的一种提升微服务***安全性的方法,所述防火墙软件策略为宿主机操作***的防火墙软件策略。
根据本发明提供的一种提升微服务***安全性的方法,所述根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略,包括:
根据所有相关服务容器的属性信息动态更新防火墙软件策略,并检查校验此操作是否成功;
若动态更新防火墙软件策略成功,则根据所有相关服务容器的属性信息动态更新防火墙设备策略。
根据本发明提供的一种提升微服务***安全性的方法,所述调用服务应用程序接口API,包括:
对API接口调用前验证用户;
对API接口进行恶意调用和DDOS恶意攻击验证;
对API接口输入输出信息进行校验和加密解密处理。
根据本发明提供的一种提升微服务***安全性的方法,所述对API接口调用前验证用户,包括:
判断目标用户是否登录失败连续3次以上;
若登录失败连续3次以上,则把所述目标用户移入黑名单。
根据本发明提供的一种提升微服务***安全性的方法,所述对API接口进行恶意调用和DDOS恶意攻击验证,包括:
判断目标用户是否以每秒内10次以上的频次调用同一API;
若以每秒内10次以上的频次调用同一API,则把所述目标用户移入黑名单。
本发明还提供一种提升微服务***安全性的装置,包括:
实例编排模块,利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
获取模块,用于动态获取服务链路中所有相关服务容器的属性信息;
更新模块,用于根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用模块,用于调用服务应用程序接口API。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述提升微服务***安全性的方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述提升微服务***安全性的方法的步骤。
本发明提供的提升微服务***安全性的方法及装置,通过跟应用服务实例编排联动进行动态的信息安全策略验证和调用服务API校验,能够保证应用服务之间安全通信。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的提升微服务***安全性的方法的流程示意图;
图2是本发明提供的提升微服务***安全性的逻辑流程示意图;
图3是本发明提供的提升微服务***安全性的装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
容器技术主要使用虚拟化技术优化计算资源的利用率,有别于Hypervisor虚拟化技术,研究机构研究结果表明容器技术相比于Hypervisor,容器技术的许多关键指标都有重大改进,容器技术在多个领域当中都比Hypervisor拥有更好的性能表现,容器技术的运行速度几乎是Hypervisor的两倍,性能接近本地操作***。
Kubernetes是容器实例编排工具,根据配置自动化进行服务业务和资源动态编排调度,满足快速弹性伸缩的需求。
微服务技术是建立在容器技术之上的,微服务架构是相对于单体应用来说的,将应用或服务拆分成多个细粒度的、松散耦合的服务组件,通过不同服务组件的灵活组合,通过持续集成、持续部署进行快速迭代,并进行业务和资源动态编排调度,快速响应用户多变的需求。
使用容器技术和微服务框架后,容器实例的动态弹性伸缩,实例的实例名、主机名、MAC地址、IP地址、端口等不断随机变化,一方面传统的静态安全策略严重依赖手工配置和下发安全策略,另一方面,静态安全策略比业务应用滞后,存在业务不可用、安全性降低的隐患,实施“零信任”条件动态快速调整访问控制安全策略是保证微服务的容器实例的点对点可信、通信安全、检测和抵御容器外部攻击和内部攻击的手段,是解决业务安全、信息安全问题的关键。
“服务注册和发现中心”主要提供服务提供者信息的存储,例如比如服务名、IP、端口、服务名,并且与服务提供者保持心跳以监控服务提供者的存活,如果心跳不能保持则注销服务实例。服务消费者定期向注册中心发送查询请求,以获取服务提供者的信息,获取信息之后就可以向服务提供者发起服务调用。
“服务调用链路跟踪”指利用工具跟踪服务之间的调用关系和调用路径。
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出一种基于容器和微服务的动态安全策略,该策略采用一套跟应用服务容器实例编排进行联动的根据微服务的“服务注册和发现中心”和“服务调用链路跟踪”自动动态更新安全策略,并通过在调用API接口前验证用户、调用API接口时输入输出信息防篡改防泄露、API接口抵抗DDOS恶意攻击的安全策略,对业务区域内部之间、内部和外部、外部和外部之间的通信经过动态的信息安全策略验证,既保障不同区域之间的正常通信,又加强动态更新安全策略,抵御非法的不符合策略的通信。在微服务实例动态编排的过程中,实例的实例名、主机名、MAC地址、IP地址、端口等静态不变或不断随机变化下,仍能保证应用服务之间安全通信。
图1是本发明提供的提升微服务***安全性的方法的流程示意图,如图1所示,本申请实施例提供一种提升微服务***安全性的方法。该方法包括:
步骤101、利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称。
步骤102、动态获取服务链路中所有相关服务容器的属性信息;
步骤103、根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
步骤104、调用服务应用程序接口API。
可选地,所述属性信息包括:实例名、主机名、MAC地址、IP地址和端口。
可选地,所述防火墙软件策略为宿主机操作***的防火墙软件策略。
可选地,所述根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略,包括:
根据所有相关服务容器的属性信息动态更新防火墙软件策略,并检查校验此操作是否成功;
若动态更新防火墙软件策略成功,则根据所有相关服务容器的属性信息动态更新防火墙设备策略。
可选地,所述调用服务应用程序接口API,包括:
对API接口调用前验证用户;
对API接口进行恶意调用和DDOS恶意攻击验证;
对API接口输入输出信息进行校验和加密解密处理。
可选地,所述对API接口调用前验证用户,包括:
判断目标用户是否登录失败连续3次以上;
若登录失败连续3次以上,则把所述目标用户移入黑名单。
可选地,所述对API接口进行恶意调用和DDOS恶意攻击验证,包括:
判断目标用户是否以每秒内10次以上的频次调用同一API;
若以每秒内10次以上的频次调用同一API,则把所述目标用户移入黑名单。
具体来说,图2是本发明提供的提升微服务***安全性的逻辑流程示意图,如图2所示,基于容器和微服务的动态安全策略的逻辑流程包括以下步骤:
STEP 1:服务容器实例编排。
容器实例编排时,根据配置YAML脚本自动设置容器的实例名、主机名、MAC地址、IP地址和端口。
例如,服务的IP地址为172.18.1.100,协议为TCP,容器端口为9001,宿主机端口为39001。
STEP 2:动态获取实例名、主机名、MAC地址、IP地址、端口。
服务实例编排后时,触发从“服务注册和发现中心”动态获取服务实例名、主机名、MAC地址、IP地址、端口等,从“服务调用链路跟踪”工具中动态获取服务链路中所有相关服务的实例名、主机名、MAC地址、IP地址、端口等。
例如,调用查询相关的服务API详细信息后,显示示例服务的IP地址为172.18.1.100,协议为TCP,容器端口为9001,宿主机端口为39001,同时获取服务链路中所有相关服务的实例名、主机名、MAC地址、IP地址、端口。
STEP 3:动态更新宿主机操作***防火墙软件策略。
根据上一步获取的IP地址、协议、端口,动态更新宿主机操作***防火墙软件策略,并检查校验此操作是否成功,如果成功则继续下一步骤,如果失败则继续尝试此步骤。
STEP 4:动态更新防火墙设备策略。
因区域边界一般有边界防火墙设备做边界隔离,则通过调用防火墙设备的API接口动态更新防火墙设备策略配置,允许指定来源的所有IP、所有端口的网络协议通信到目的的IP、端口,并检查校验此操作是否成功。
例如,因区域边界一般有边界防火墙设备做边界隔离,则通过调用防火墙设备的API接口动态更新防火墙设备策略配置,允许指定来源的所有IP(用*.*.*.*表示)、所有端口(用unlimit表示)的网络TCP协议通信到目的的IP为192.168.10.100、端口为39001,并检查校验此操作是否成功。
STEP 5:调用服务API。
区域内部或区域外部通过调用不同的服务API获取指定的服务能力。通过以下特定安全策略保证正常合法调用服务API。包括:
(1)API接口调用前验证用户;
(2)API接口抗住恶意调用和DDOS恶意攻击;
(3)API接口输入输出信息是防篡改和防泄露的。
本发明弥补了容器和微服务的安全防护能力的不足,根据容器实例的动态弹性伸缩,联动信息安全软件硬件,自动动态快速调整访问控制安全策略,经过持续地策略验证,既保障不同区域之间的正常通信,又加强动态更新安全策略,抵御非法的不符合策略的通信。
本发明提出一种基于容器和微服务的动态安全策略,该策略采用一套跟应用服务容器实例编排进行联动的根据微服务的“服务注册和发现中心”和“服务调用链路跟踪”自动动态更新安全策略,并通过在调用API接口前验证用户、调用API接口时输入输出信息防篡改防泄露、API接口抵抗DDOS恶意攻击的安全策略,对业务区域内部之间、内部和外部、外部和外部之间的通信经过动态的信息安全策略验证,既保障不同区域之间的正常通信,又加强动态更新安全策略,保证应用服务的动态安全通信。
图3是本发明提供的提升微服务***安全性的装置的结构示意图,如图3所示,本申请实施例提供一种提升微服务***安全性的装置,该装置可以作为上述实施例中所述提升微服务***安全性的方法的执行主体,具体包括实例编排模块301、获取模块302、更新模块303和调用模块304,其中:
实例编排模块301用于利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;获取模块302用于动态获取服务链路中所有相关服务容器的属性信息;更新模块303用于根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;调用模块304用于调用服务应用程序接口API。
本申请实施例提供的提升微服务***安全性的装置,可以用于执行上述相应实施例中所述的方法,通过本实施例提供的装置执行上述相应实施例中所述方法的具体步骤与上述相应实施例相同,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图4是本发明提供的电子设备的结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行提升微服务***安全性的方法,该方法包括:
利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
动态获取服务链路中所有相关服务容器的属性信息;
根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用服务应用程序接口API。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的提升微服务***安全性的方法,该方法包括:
利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
动态获取服务链路中所有相关服务容器的属性信息;
根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用服务应用程序接口API。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的提升微服务***安全性的方法,该方法包括:
利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
动态获取服务链路中所有相关服务容器的属性信息;
根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用服务应用程序接口API。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种提升微服务***安全性的方法,其特征在于,包括:
利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;
通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
动态获取服务链路中所有相关服务容器的属性信息;
根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用服务应用程序接口API。
2.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述属性信息包括:实例名、主机名、MAC地址、IP地址和端口。
3.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述防火墙软件策略为宿主机操作***的防火墙软件策略。
4.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略,包括:
根据所有相关服务容器的属性信息动态更新防火墙软件策略,并检查校验此操作是否成功;
若动态更新防火墙软件策略成功,则根据所有相关服务容器的属性信息动态更新防火墙设备策略。
5.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述调用服务应用程序接口API,包括:
对API接口调用前验证用户;
对API接口进行恶意调用和DDOS恶意攻击验证;
对API接口输入输出信息进行校验和加密解密处理。
6.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述对API接口调用前验证用户,包括:
判断目标用户是否登录失败连续3次以上;
若登录失败连续3次以上,则把所述目标用户移入黑名单。
7.根据权利要求1所述的提升微服务***安全性的方法,其特征在于,所述对API接口进行恶意调用和DDOS恶意攻击验证,包括:
判断目标用户是否以每秒内10次以上的频次调用同一API;
若以每秒内10次以上的频次调用同一API,则把所述目标用户移入黑名单。
8.一种提升微服务***安全性的装置,其特征在于,包括:
实例编排模块,利用容器实例编排工具根据配置自动化进行服务业务和资源动态编排;通过执行预先配置的脚本文件自动设置服务容器的属性信息;所述预先配置的脚本文件中包含有需要设置的服务容器的属性名称;
获取模块,用于动态获取服务链路中所有相关服务容器的属性信息;
更新模块,用于根据所有相关服务容器的属性信息动态更新防火墙软件策略和防火墙设备策略;
调用模块,用于调用服务应用程序接口API。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述提升微服务***安全性的方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述提升微服务***安全性的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011480566.0A CN112671861B (zh) | 2020-12-15 | 2020-12-15 | 提升微服务***安全性的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011480566.0A CN112671861B (zh) | 2020-12-15 | 2020-12-15 | 提升微服务***安全性的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112671861A true CN112671861A (zh) | 2021-04-16 |
CN112671861B CN112671861B (zh) | 2023-03-24 |
Family
ID=75406111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011480566.0A Active CN112671861B (zh) | 2020-12-15 | 2020-12-15 | 提升微服务***安全性的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112671861B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113791758A (zh) * | 2021-09-01 | 2021-12-14 | 湖南大学 | 一种服务编排本地化执行***及其方法 |
CN113923199A (zh) * | 2021-10-11 | 2022-01-11 | 交控科技股份有限公司 | 一种数据通信传输优化方法及*** |
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN118018596A (zh) * | 2024-03-13 | 2024-05-10 | 证通股份有限公司 | 用于api选择微服务的方法、部件、存储介质和程序产品 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9521115B1 (en) * | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及*** |
CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
US20200177549A1 (en) * | 2018-12-04 | 2020-06-04 | Cisco Technology, Inc. | Micro-firewalls in a microservice mesh environment |
CN111752641A (zh) * | 2020-06-29 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 微服务容器之间服务启动方法、装置、设备及存储介质 |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
-
2020
- 2020-12-15 CN CN202011480566.0A patent/CN112671861B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9521115B1 (en) * | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
US20200177549A1 (en) * | 2018-12-04 | 2020-06-04 | Cisco Technology, Inc. | Micro-firewalls in a microservice mesh environment |
CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及*** |
CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
CN111752641A (zh) * | 2020-06-29 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 微服务容器之间服务启动方法、装置、设备及存储介质 |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113791758A (zh) * | 2021-09-01 | 2021-12-14 | 湖南大学 | 一种服务编排本地化执行***及其方法 |
CN113923199A (zh) * | 2021-10-11 | 2022-01-11 | 交控科技股份有限公司 | 一种数据通信传输优化方法及*** |
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114301841B (zh) * | 2021-12-20 | 2024-02-06 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN118018596A (zh) * | 2024-03-13 | 2024-05-10 | 证通股份有限公司 | 用于api选择微服务的方法、部件、存储介质和程序产品 |
CN118018596B (zh) * | 2024-03-13 | 2024-06-14 | 证通股份有限公司 | 用于api选择微服务的方法、部件、存储介质和程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN112671861B (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112671861B (zh) | 提升微服务***安全性的方法及装置 | |
US10375111B2 (en) | Anonymous containers | |
RU2755880C2 (ru) | Аппаратная виртуализированная изоляция для обеспечения безопасности | |
US9807118B2 (en) | Security orchestration framework | |
US8079030B1 (en) | Detecting stealth network communications | |
US7509493B2 (en) | Method and system for distributing security policies | |
US20160239330A1 (en) | Dynamic Reconfiguration Of Resources In A Virtualized Network | |
US11711399B2 (en) | Policy enforcement for secure domain name services | |
EP3777073A1 (en) | Authenticating network services provided by a network | |
US11711345B2 (en) | Split tunnel-based security | |
Aiash et al. | Secure live virtual machines migration: issues and solutions | |
US20130111542A1 (en) | Security policy tokenization | |
US20210203521A1 (en) | Device identification | |
US11917080B2 (en) | Secure attestation of endpoint capability | |
US11063923B2 (en) | Authenticator plugin interface | |
US10944720B2 (en) | Methods and systems for network security | |
US20220104017A1 (en) | Wireless access point with multiple security modes | |
US8272041B2 (en) | Firewall control via process interrogation | |
EP3172884B1 (en) | Establishing secure computing devices for virtualization and administration | |
US20200412725A1 (en) | Cloud-based shared security cache | |
Wang et al. | An SDN-based defensive solution against DHCP attacks in the virtualization environment | |
US20130061327A1 (en) | System and Method for Evaluation in a Collaborative Security Assurance System | |
US11671371B2 (en) | Synchronization of multi-stack nodes | |
Mahfouz et al. | Secure live virtual machine migration through runtime monitors | |
Annane et al. | Research gaps based virtualization in mobile cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |