[发明专利]拟态化微服务的装置及方法

说明书

本发明属于网络空间安全技术领域，具体涉及一种拟态化微服务的装置及方法，所述装置包括微服务网关组件和控制组件；所述微服务网关组件包括微服务原生网关和微服务拟态化网关，所述微服务拟态化网关是在微服务原生网关上增加拟态微服务通信代理单元；所述拟态微服务通信代理单元包括输入代理模块和输出代理模块；所述输入代理模块用于接收前端微服务请求，并复制分发给多个执行体，同时接收执行体的返回信息，对执行体的返回信息进行裁决并响应给前端微服务；所述输出代理模块用于接收执行体访问后端微服务请求并进行裁决，同时接收后端微服务的返回信息，并响应给执行体。本发明能够有效提升微服务安全性。

技术领域

本发明属于网络空间安全技术领域，具体涉及一种拟态化微服务的装置及方法。

背景技术

云原生技术有利于各组织在公有云、私有云和混合云等动态环境中，构建和运行可弹性扩展的应用，这使得云原生技术飞速发展。微服务作为云原生的代表技术，能够满足软件开发中高内聚低耦合的要求，构建出易于管理和便于观察的松耦合系统。其本质是将应用软件切分成若干个小服务，这些小服务独立运行且互不影响。微服务的特性使得云原生下微服务技术迅速发展，但同时也带来很多安全问题。微服务场景相比于单体场景面对更多的入口点，导致攻击面增大，使得微服务场景面临更高的安全威胁。针对微服务场景下的安全威胁，攻击者可以通过控制单个微服务，窃取微服务场景中其他微服务相关的数据，进一步篡改微服务数据，传播病毒等造成服务瘫痪、中断或以非预期的方式运行，严重威胁微服务安全。

拟态防御技术是一种基于动态性、异构性、冗余性的架构技术，该技术能够抵御基于未知漏洞和后门的攻击。对低成本、轻量级构建需求的微服务技术拟态防御可以形成良好的互补，因而拟态防御技术应用于微服务，是提升微服务安全性的一个可行途径。

如今拟态化方法及装置已经取得部分成果，如：拟态交换机，通用性拟态异构平台，拟态化云平台，分布式模式的拟态括号等。近年来，随着微服务的快速发展，微服务安全领域出现很多安全问题，拟态化微服务对部分安全问题有很好的防御效果，但目前还没有拟态化微服务相关的方法。

发明内容

针对微服务出现的安全问题，本发明提出一种拟态化微服务的装置及方法，能够有效提升微服务安全性。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种拟态化微服务的装置，所述装置包括微服务网关组件和控制组件；所述微服务网关组件包括微服务原生网关和微服务拟态化网关，所述微服务拟态化网关是在微服务原生网关上增加拟态微服务通信代理单元。

进一步地，所述拟态微服务通信代理单元包括输入代理模块和输出代理模块；所述输入代理模块用于接收前端微服务请求，并复制分发给多个执行体，同时接收执行体的返回信息，对执行体的返回信息进行裁决并响应给前端微服务；所述输出代理模块用于接收执行体访问后端微服务请求并进行裁决，同时接收后端微服务的返回信息，并响应给执行体。

进一步地，所述执行体通过在同一个微服务环境中以多样化编译或者背靠背开发方式实现异构功能。

进一步地，所述控制组件用于控制微服务网关组件，包括生命周期管理、制定规则、熔断控制和选择裁决算法。

进一步地，所述装置部署在kubernetes平台上，微服务作为一个独立的逻辑单元，运行多个pod副本，每个实例运行在一个pod当中，输入代理模块和输出代理模块在实现原有微服务网关的基础上增加了拟态功能，微服务、输入代理模块和输出代理模块以容器的方式运行。

进一步地，所述控制组件部署在kubernetes集群master节点上。

本发明还提供了一种拟态化微服务的方法，包含以下步骤：

步骤1，选择需要保护的微服务进行拟态化改造；

步骤2，在拟态化改造的微服务中运行多个异构的执行体，并在微服务原生网关上增加拟态微服务通信代理单元；