CN112350870A - 容器集群系统的运维安全审计方法和装置 - Google Patents
容器集群系统的运维安全审计方法和装置 Download PDFInfo
- Publication number
- CN112350870A CN112350870A CN202011253227.9A CN202011253227A CN112350870A CN 112350870 A CN112350870 A CN 112350870A CN 202011253227 A CN202011253227 A CN 202011253227A CN 112350870 A CN112350870 A CN 112350870A
- Authority
- CN
- China
- Prior art keywords
- cluster system
- container cluster
- user
- maintenance
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000007726 management method Methods 0.000 claims abstract description 52
- 238000012550 audit Methods 0.000 claims abstract description 36
- 238000013475 authorization Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种容器集群系统的运维安全审计方法和装置,其中方法包括:当堡垒机接收到用户的容器集群系统登录请求时,根据本地预存的所述用户具有授权的集群管理配置信息,在本地为用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令;当所述用户通过所述命令行操作界面输入对容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。采用本发明,可以对容器集群系统进行运维安全审计。
Description
技术领域
本发明涉及计算机应用技术,特别是涉及一种容器集群系统的运维安全审计方法和装置。
背景技术
kubernetes集群系统是一个开源的容器集群管理系统,可以实现容器集群的自动化部署、自动化扩缩容、维护等功能。kubernetes集群系统是通过部署容器方式实现应用部署,每个容器之间互相隔离,每个容器有自己的文件系统,容器之间进程不会相互影响,能区分计算资源。相对于虚拟机,容器能快速部署,由于容器与底层设施、机器文件系统解耦的,所以它能在不同云、不同版本操作系统间进行迁移。
容器占用资源少、部署快,每个应用可以被打包成一个容器镜像,每个应用与容器间成一对一关系也使容器有更大优势,使用容器可以在build或release的阶段,为应用创建容器镜像,因为每个应用不需要与其余的应用堆栈组合,也不依赖于生产环境基础结构,这使得从研发到测试、生产能提供一致环境。类似地,容器比虚拟机轻量、更“透明”,更便于监控和管理。
目前,越来越多的运维用户使用kubernetes集群系统,以利用容器的上述优势,来满足扩容、故障转移、自动化部署等需求。随着kubernetes集群系统的网络规模和用户规模的扩大,系统的日趋复杂和不同背景运维人员的行为将会给kubernetes集群系统安全带来较大风险。为此,需要对kubernetes集群系统的运维进行统一管理,以确保kubernetes集群系统的安全性。
目前,很多企事业单位用户,通常采用堡垒机来保障其信息系统的运维安全。堡垒机是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。从功能上讲,堡垒机综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。运维安全审计能够拦截非法访问和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
发明人在实现本发明的过程中发现:现有的堡垒机无法用于对kubernetes集群系统进行运维安全审计,具体原因如下:
现有的堡垒机仅支持一般的访问协议,如ssh、rdp、vnc、telnet等。利用这些协议可以与访问的目标服务器之间建立长连接。即堡垒机利用上述访问协议与目标服务器之间成功建立连接后,便可根据需求与目标服务器之间进行多次交互。
而对于kubernetes集群系统,用户仅能通过系统提供的服务接口,对其进行访问,而不能利用上述协议与kubernetes集群系统建立长连接。这样,现有的堡垒机就无法利用其所支持的上述访问协议,对kubernetes集群系统进行访问。因此,利用现有的堡垒机,无法对kubernetes集群系统进行运维安全审计。
发明内容
有鉴于此,本发明的主要目的在于提供一种容器集群系统的运维安全审计方法和装置,可以对容器集群系统进行运维安全审计。
为了达到上述目的,本发明提出的技术方案为:
一种容器集群系统的运维安全审计方法,包括:
当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令;
当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
较佳地,所述工作环境包括:容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。
较佳地,所述容器集群系统为Kubernetes集群系统。
较佳地,所述工作环境通过在所述堡垒机中启动一个bash环境创建得到。
较佳地,所述方法进一步包括:
当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机判断本地是否预存所述用户具有授权的相应集群管理配置信息,如果是,则获取所述集群管理配置信息,否则,拒绝所述请求。
一种容器集群系统的运维安全审计装置,包括:
工作环境创建模块,用于当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令;
安全审计模块,用于当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
较佳地,所述工作环境包括:
容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。
较佳地,所述容器集群系统为Kubernetes集群系统。
较佳地,所述工作环境通过在所述堡垒机中启动一个bash环境创建得到。
较佳地,所述工作环境创建模块,进一步用于当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机判断本地是否预存所述用户具有授权的相应集群管理配置信息,如果是,则获取所述集群管理配置信息,否则,拒绝所述请求。
本申请还公开了一种容器集群系统的运维安全审计设备,包括处理器和存储器;
所述存储器中存储有可被所述处理器执行的应用程序,用于使得所述处理器执行如上所述的容器集群系统的运维安全审计方法。
本申请还公开了一种计算机可读存储介质,其中存储有计算机可读指令,该计算机可读指令用于执行如上所述的容器集群系统的运维安全审计方法。
由上述技术方案可见,本发明提出的容器集群系统的运维安全审计方案,预先在堡垒机中配置集群管理配置信息,并且对集群管理配置信息中的登录口令进行加密封装,以确保登录口令的安全性。这样,在接收到用户的容器集群系统登录请求时,堡垒机可以基于该用户具有授权的集群管理配置信息,为该用户建立独立的工作环境,使得用户可以利用该工作环境连接至容器集群系统进行运维管理。并且,利用该工作环境,堡垒机可以对用户输入的运维操作指令和容器集群系统的相应输出结果进行记录,从而使得堡垒机可以根据这些记录实时地进行运维安全审计,以及录像监控审计及操作,进而确保容器集群系统的运维安全。
附图说明
图1为本发明实施例的容器集群系统的运维安全审计方法流程示意图;
图2为根据本发明实施例的容器集群系统的运维安全审计装置的结构图;
图3为根据本发明实施例的容器集群系统的运维安全审计设备的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
图1为本发明实施例的方法流程示意图,如图1所示,该实施例实现的容器集群系统的运维安全审计方法主要包括:
步骤101、当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面。
其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和相应的经过加密封装的登录口令。
这里需要说明的是,堡垒机中将会预先配置有集群管理配置信息,基于集群管理配置信息,可以在堡垒机本地创建一个独立的用于管理容器集群系统的工作环境。在实际应用中,管理人员可以根据实际需要为用户选择其登录容器集群系统的系统用户,并为用户授权其使用的集群管理配置信息,该集群管理配置信息中将包括为其选择的系统用户和相应的登录口令。
本步骤中,堡垒机在接收到用户的容器集群系统登录请求时,会在本地预先配置的集群管理配置信息集合中,选择出给该用户授权使用的集群管理配置信息,然后,再根据该集群管理配置信息,在本地为其创建用于管理所述容器集群系统的工作环境。由于集群管理配置信息中包含了容器集群系统的集群地址信息、系统用户信息和登录口令,因此,基于集群管理配置信息所创建的工作环境中,将包含了与容器集群系统连接的信息和工具。这样,利用该工作环境便可连接到容器集群系统,进而基于工作环境所提供的命令行操作界面,用户可以方便地进行集群管理。
另外,集群管理配置信息中的登录口令是经过加密封装的,这样,可以确保在堡垒机中对登录口令保存的安全性,并且,登录口令的解密是在为用户创建的独立环境中进行的,因此,可以确保堡垒机中对登录口令使用的安全性。
在一实施方式中,为了确保用户能够利用工作环境对容器集群系统进行集群管理,所述工作环境具体可以包括下述内容:容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。其中,容器集群系统的管理工具即容器集群系统客户端。
在实际应用中,根据所述集群管理配置信息,在本地为所述用户创建用于管理容器集群系统的工作环境,具体可以采用现有方法实现。
在实际应用中,可以通过在所述堡垒机本地启动bash环境,创建上述工作环境,该环境下,通过Linux内核的namespaces功能为用户操作的每一个Kubernetes连接,构建相互独立的bash环境,互不影响。
在一实施方式中,所述容器集群系统可以为Kubernetes集群系统。
较佳地,在一实施方式中,为了确保用户对容器集群系统访问的安全性,堡垒机需要对用户的容器集群系统登录请求进行合法性判断,只有本地配置有该用户有权访问的集群管理配置信息时,才接受该用户的登录请求,具体可以采用下述方法实现这一目的:
当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机判断本地是否预存所述用户具有授权的相应集群管理配置信息,如果是,则获取所述集群管理配置信息,否则,拒绝所述请求。
步骤102、当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
这里,基于步骤101中创建的工作环境,堡垒机可以记录用户输入的运维操作指令以及运维操作指令在容器集群系统中运行后输出的结果,将它们保存至审计系统数据库中,这样,堡垒机可以根据记录结果,进行实时地运维安全审计以及录像监控审计。具体的审计方法可以采用现有技术实现,在此不再赘述。
通过上述方案可以看出,基于上述方法实施例,利用堡垒机,用户可以很方便地连接到具有授权的容器集群系统中的集群,进行集群运维操作,整个过程都能被审计,如此,可以更细粒度地满足运维人员统一纳管需要管理的资源。
与上述方法实施例相对应,本申请还提供了一种容器集群系统的运维安全审计装置实施例,如图2所示,该装置包括:
工作环境创建模块201,用于当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令。
安全审计模块202,用于当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
较佳地,所述工作环境包括:
容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。
较佳地,所述容器集群系统为Kubernetes集群系统。
较佳地,所述工作环境通过在所述堡垒机中启动一个bash环境创建得到。
较佳地,所述工作环境创建模块,进一步用于当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机判断本地是否预存所述用户具有授权的相应集群管理配置信息,如果是,则获取所述集群管理配置信息,否则,拒绝所述请求。
图3为根据本发明的容器集群系统的运维安全审计设备结构图。
如图3所示,容器集群系统的运维安全审计设备包括:处理器301和存储器302;其中存储器302中存储有可被处理器301执行的应用程序,用于使得处理器301执行如上任一项所述的容器集群系统的运维安全审计方法。
其中,存储器302具体可以实施为电可擦可编程只读存储器(EEPROM)、快闪存储器(Flash memory)、可编程程序只读存储器(PROM)等多种存储介质。处理器301可以实施为包括一或多个中央处理器或一或多个现场可编程门阵列,其中现场可编程门阵列集成一或多个中央处理器核。具体地,中央处理器或中央处理器核可以实施为CPU或MCU。
需要说明的是,上述各流程和各结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分,实际实现时,一个模块可以分由多个模块实现,多个模块的功能也可以由同一个模块实现,这些模块可以位于同一个设备中,也可以位于不同的设备中。
各实施方式中的硬件模块可以以机械方式或电子方式实现。例如,一个硬件模块可以包括专门设计的永久性电路或逻辑器件(如专用处理器,如FPGA或ASIC)用于完成特定的操作。硬件模块也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。至于具体采用机械方式,或是采用专用的永久性电路,或是采用临时配置的电路(如由软件进行配置)来实现硬件模块,可以根据成本和时间上的考虑来决定。
本发明还提供了一种机器可读的存储介质,存储用于使一机器执行如本申请所述方法的指令。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施方式的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。此外,还可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作。还可以将从存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施方式中任一实施方式的功能。
用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机或云上下载程序代码。
在本文中,“示意性”表示“充当实例、例子或说明”,不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。为使图面简洁,各图中的只示意性地表示出了与本发明相关部分,而并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”并不表示将本发明相关部分的数量限制为“仅此一个”,并且“一个”不表示排除本发明相关部分的数量“多于一个”的情形。在本文中,“上”、“下”、“前”、“后”、“左”、“右”、“内”、“外”等仅用于表示相关部分之间的相对位置关系,而非限定这些相关部分的绝对位置。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种容器集群系统的运维安全审计方法,其特征在于,包括:
当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令;
当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
2.根据权利要求1所述的方法,其特征在于,所述工作环境包括:
容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。
3.根据权利要求1所述的方法,其特征在于,所述容器集群系统为Kubernetes集群系统。
4.根据权利要求1所述的方法,其特征在于,所述工作环境通过在所述堡垒机中启动一个bash环境创建得到。
5.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机判断本地是否预存所述用户具有授权的相应集群管理配置信息,如果是,则获取所述集群管理配置信息,否则,拒绝所述请求。
6.一种容器集群系统的运维安全审计装置,其特征在于,包括:
工作环境创建模块,用于当堡垒机接收到用户的容器集群系统登录请求时,所述堡垒机根据本地预存的所述用户具有授权的集群管理配置信息,在本地为所述用户创建用于管理所述容器集群系统的工作环境,并显示相应的命令行操作界面;其中,所述集群管理配置信息包括所述容器集群系统的集群地址信息、所述容器集群系统的系统用户信息和经过加密封装的登录口令;
安全审计模块,用于当所述用户通过所述命令行操作界面输入对所述容器集群系统的运维操作指令时,所述堡垒机利用所述工作环境连接所述容器集群系统并执行所述运维操作指令,并根据所述运维操作指令和相应的输出结果,进行运维安全审计。
7.根据权利要求6所述的装置,其特征在于,所述工作环境包括:
容器集群系统的配置文件、容器集群系统的管理工具以及用于连接容器集群系统的证书。
8.根据权利要求6所述的装置,其特征在于,所述工作环境通过在所述堡垒机中启动一个bash环境创建得到。
9.一种容器集群系统的运维安全审计设备,其特征在于,包括处理器和存储器;
所述存储器中存储有可被所述处理器执行的应用程序,用于使得所述处理器执行如权利要求1至5中任一项所述的容器集群系统的运维安全审计方法。
10.一种计算机可读存储介质,其特征在于,其中存储有计算机可读指令,该计算机可读指令用于执行如权利要求1至5中任一项所述的容器集群系统的运维安全审计方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011253227.9A CN112350870A (zh) | 2020-11-11 | 2020-11-11 | 容器集群系统的运维安全审计方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011253227.9A CN112350870A (zh) | 2020-11-11 | 2020-11-11 | 容器集群系统的运维安全审计方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112350870A true CN112350870A (zh) | 2021-02-09 |
Family
ID=74363230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011253227.9A Pending CN112350870A (zh) | 2020-11-11 | 2020-11-11 | 容器集群系统的运维安全审计方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112350870A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| WO2023160010A1 (zh) * | 2022-02-28 | 2023-08-31 | 中兴通讯股份有限公司 | 安全检测方法、装置、电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465661A (zh) * | 2017-07-04 | 2017-12-12 | 重庆邮电大学 | 一种基于Docker虚拟化的云数据库安全审计方法 |
| CN107480509A (zh) * | 2017-09-22 | 2017-12-15 | 携程旅游网络技术(上海)有限公司 | 运维安全审计系统登录容器方法、系统、设备及存储介质 |
| US20180097782A1 (en) * | 2016-10-05 | 2018-04-05 | Shortsave, Inc. | Single point of custody secure data exchange |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| US20190163901A1 (en) * | 2017-11-29 | 2019-05-30 | Institute For Information Industry | Computer device and method of identifying whether container behavior thereof is abnormal |
| CN111176794A (zh) * | 2020-01-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种容器管理方法、装置及可读存储介质 |
| CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
| CN111639314A (zh) * | 2020-05-15 | 2020-09-08 | 京东数字科技控股有限公司 | 容器登录系统、方法、服务器及存储介质 |
-
2020
- 2020-11-11 CN CN202011253227.9A patent/CN112350870A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180097782A1 (en) * | 2016-10-05 | 2018-04-05 | Shortsave, Inc. | Single point of custody secure data exchange |
| CN107465661A (zh) * | 2017-07-04 | 2017-12-12 | 重庆邮电大学 | 一种基于Docker虚拟化的云数据库安全审计方法 |
| CN107480509A (zh) * | 2017-09-22 | 2017-12-15 | 携程旅游网络技术(上海)有限公司 | 运维安全审计系统登录容器方法、系统、设备及存储介质 |
| US20190163901A1 (en) * | 2017-11-29 | 2019-05-30 | Institute For Information Industry | Computer device and method of identifying whether container behavior thereof is abnormal |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN111176794A (zh) * | 2020-01-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种容器管理方法、装置及可读存储介质 |
| CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
| CN111639314A (zh) * | 2020-05-15 | 2020-09-08 | 京东数字科技控股有限公司 | 容器登录系统、方法、服务器及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| JAYL: "如何通过JumpServer堡垒机管控Kubernetes集群", 《HTTPS://SEGMENTFAULT.COM/A/1190000019439061》 * |
| 飞致云: "支持Kubernetes集群运维审计,JumpServer v2.2.0发布", 《HTTPS://BLOG.FIT2CLOUD.COM/?P=1428》 * |
| 鱼儿的博客: "开源K8S跳板机-轻松接入现有发布系统", 《HTTPS://YUERBLOG.CC/2020/07/30/%E5%BC%80%E6%BA%90K8S%E8%B7%B3%E6%9D%BF%E6%9C%BA-%E8%BD%BB%E6%9D%BE%E6%8E%A5%E5%85%A5%E7%8E%B0%E6%9C%89%E5%8F%91%E5%B8%83%E7%B3%BB%E7%BB%9F/》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023160010A1 (zh) * | 2022-02-28 | 2023-08-31 | 中兴通讯股份有限公司 | 安全检测方法、装置、电子设备和存储介质 |
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114615254B (zh) * | 2022-03-25 | 2023-09-29 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| CN104871131B (zh) | 将硬件清单部署为云计算戳记 | |
| KR102050188B1 (ko) | 마이크로서비스 시스템 및 방법 | |
| EP2145426B1 (fr) | Systeme de communication entre un reseau d'ordinateurs dans un aeronef et un reseau d'ordinateurs au sol | |
| EP2135422B1 (fr) | Procédé et dispositif de maintenance dans un aéronef | |
| US9967759B2 (en) | Information handling system physical component maintenance through near field communication device interaction | |
| CN106991035A (zh) | 一种基于微服务架构的主机监控系统 | |
| CN113014424B (zh) | 一种云平台管理方法、装置、电子设备以及存储介质 | |
| CN108521347A (zh) | 工控运维行为审计方法、装置及系统 | |
| CN112948217B (zh) | 服务器修复查验方法和装置、存储介质及电子设备 | |
| CN112350870A (zh) | 容器集群系统的运维安全审计方法和装置 | |
| US11336555B2 (en) | Network segmentation effectiveness system and method | |
| US20230396590A1 (en) | Techniques for bootstrapping across secure air gaps with proxying sidecar | |
| CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
| CN117221151B (zh) | 云计算存储的可视化管理装置及方法 | |
| CN106406980B (zh) | 一种虚拟机的部署方法和装置 | |
| EP4130982B1 (en) | Network-based solution module deployment platform | |
| CN109460400A (zh) | 一种电力监控系统安全基线库的建立系统及方法 | |
| CN115567596B (zh) | 云服务资源部署方法、装置、设备及存储介质 | |
| US11809301B2 (en) | Techniques for large-scale functional testing in cloud-computing environments | |
| US20230216876A1 (en) | System and techniques for inferring a threat model in a cloud-native environment | |
| CN110413484B (zh) | 一种支持异构平台的集群监控方法 | |
| CN105246095A (zh) | 一种移动通信业务的应用终端 | |
| CN109714354B (zh) | 网站安全管理系统和网站安全管控方法 | |
| CN114153436A (zh) | 一种公众号项目构建方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210209 |
|
| RJ01 | Rejection of invention patent application after publication |