本技术涉及云原生容器安全,特别是涉及一种端口访问控制方法、装置、计算机设备和存储介质。
背景技术:
::1、随着云原生概念的不断升温,“容器安全”成为一大课题,当前在容器安全领域,容器安全有进行镜像安全、容器配置安全、容器数据安全等方面,各大云厂商提出诸多容器安全方案,而容器安全的主要方向为容器端口的访问安全,因此容器端口的访问安全防控方式是当前的研究重点。2、传统的容器端口的访问安全防控方式是基于linux iptable工具,设置访问的黑名单,从而对容器端口的访问安全进行安全防控,但是该方式只能限制固定范围的容器端口访问,无法普适化的适用于容器网络配置场景的所有应用范围,从而导致对不同配置场景的容器网络的端口访问的安全防护效果较差。技术实现思路1、基于此,有必要针对上述技术问题,提供一种端口访问控制方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。2、第一方面,本技术提供了一种端口访问控制方法。所述方法包括:3、获取各容器网络配置场景的配置信息、每个容器网络配置场景的部署场景、以及每个容器网络配置场景的活跃访问身份信息,并基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息;4、基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,并基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;5、基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。6、可选的,所述基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息,包括:7、识别每个容器网络配置场景的配置信息中的通信层配置信息,并识别每个通信层配置信息的服务网格配置信息;8、获取多个服务网格配置策略,并识别每个服务网格配置策略对应的对外端口的数目;9、筛选最小对外端口的数目对应的服务网格配置策略,作为每个容器网络配置场景的服务网格配置信息的目标服务网格配置策略,并基于所述目标服务网格配置策略,对每个容器网络配置场景的服务网格配置信息进行配置处理,得到每个容器网络配置场景的对外端口信息。10、可选的,所述基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,包括:11、识别不同部署场景对应的网段配置信息,并在数据库中,查询每个网段配置信息对应的容器网络模式;12、基于每个容器网络配置场景的部署场景、每个部署场景对应的网段配置信息、以及每个网段配置信息对应的容器网络模式,分别识别每个容器网络配置场景对应的容器网络模式。13、可选的,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围之前,还包括:14、获取容器网络的历史访问信息,得到访问容器网络的各访问身份信息,并识别每个访问身份信息的访问次数、以及每个访问身份信息的访问频率;15、在各所述访问身份信息中,筛选访问次数大于预设访问次数阈值、且访问频率大于预设访问频率阈值的访问身份信息,作为所述容器网络的活跃访问身份信息,并将所述活跃访问身份信息,作为每个容器网络配置场景的活跃访问身份信息。16、可选的,所述基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围,包括:17、响应于用户的身份验证操作,获取每个活跃访问身份信息的身份验证信息,并基于每个活跃访问身份信息的身份验证信息,在各所述活跃访问身份信息中,筛选满足白名单条件的目标授权身份信息;18、针对每个目标授权身份信息,识别所述活跃访问身份信息的各历史访问信息,并识别每个历史访问信息的访问日志信息;19、查询每个访问日志信息中,所述目标授权身份信息在容器网络中的访问地址,并将所述目标授权身份信息在容器网络中的所有访问地址,作为所述目标授权身份信息的权限范围。20、可选的,所述基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略,包括:21、基于每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,生成每个容器网络配置场景的白名单范围,并基于每个容器网络配置场景的对外端口信息,确定每个目标授权身份信息的目标访问端口;22、基于每个容器网络配置场景对应的容器网络模式,确定每个容器网络配置场景的连接有效性识别策略,并将每个容器网络配置场景的白名单范围、每个目标授权身份信息的目标访问端口、以及每个容器网络配置场景的连接有效性识别策略,作为每个容器网络配置场景的部署场景对应的目标端口访问策略。23、第二方面,本技术还提供了一种端口访问控制装置。所述装置包括:24、获取模块,用于获取各容器网络配置场景的配置信息、每个容器网络配置场景的部署场景、以及每个容器网络配置场景的活跃访问身份信息,并基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息;25、筛选模块,用于基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,并基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;26、确定模块,用于基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。27、可选的,所述获取模块,具体用于:28、识别每个容器网络配置场景的配置信息中的通信层配置信息,并识别每个通信层配置信息的服务网格配置信息;29、获取多个服务网格配置策略,并识别每个服务网格配置策略对应的对外端口的数目;30、筛选最小对外端口的数目对应的服务网格配置策略,作为每个容器网络配置场景的服务网格配置信息的目标服务网格配置策略,并基于所述目标服务网格配置策略,对每个容器网络配置场景的服务网格配置信息进行配置处理,得到每个容器网络配置场景的对外端口信息。31、可选的,所述筛选模块,具体用于:32、识别不同部署场景对应的网段配置信息,并在数据库中,查询每个网段配置信息对应的容器网络模式;33、基于每个容器网络配置场景的部署场景、每个部署场景对应的网段配置信息、以及每个网段配置信息对应的容器网络模式,分别识别每个容器网络配置场景对应的容器网络模式。34、可选的,所述装置还包括:35、识别模块,用于获取容器网络的历史访问信息,得到访问容器网络的各访问身份信息,并识别每个访问身份信息的访问次数、以及每个访问身份信息的访问频率;36、身份确定模块,用于在各所述访问身份信息中,筛选访问次数大于预设访问次数阈值、且访问频率大于预设访问频率阈值的访问身份信息,作为所述容器网络的活跃访问身份信息,并将所述活跃访问身份信息,作为每个容器网络配置场景的活跃访问身份信息。37、可选的,所述筛选模块,具体用于:38、响应于用户的身份验证操作,获取每个活跃访问身份信息的身份验证信息,并基于每个活跃访问身份信息的身份验证信息,在各所述活跃访问身份信息中,筛选满足白名单条件的目标授权身份信息;39、针对每个目标授权身份信息,识别所述活跃访问身份信息的各历史访问信息,并识别每个历史访问信息的访问日志信息;40、查询每个访问日志信息中,所述目标授权身份信息在容器网络中的访问地址,并将所述目标授权身份信息在容器网络中的所有访问地址,作为所述目标授权身份信息的权限范围。41、可选的,所述确定模块,具体用于:42、基于每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,生成每个容器网络配置场景的白名单范围,并基于每个容器网络配置场景的对外端口信息,确定每个目标授权身份信息的目标访问端口;43、基于每个容器网络配置场景对应的容器网络模式,确定每个容器网络配置场景的连接有效性识别策略,并将每个容器网络配置场景的白名单范围、每个目标授权身份信息的目标访问端口、以及每个容器网络配置场景的连接有效性识别策略,作为每个容器网络配置场景的部署场景对应的目标端口访问策略。44、第三方面,本技术提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现第一方面中任一项所述的方法的步骤。45、第四方面,本技术提供了一种计算机可读存储介质。其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。46、第五方面,本技术提供了一种计算机程序产品。所述计算机程序产品包括计算机程序,该计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。47、上述端口访问控制方法、装置、计算机设备和存储介质,通过获取不同容器网络配置场景的各配置信息、每个容器网络配置场景的部署场景、以及每个容器网络配置场景的活跃访问身份信息,并基于各所述容器网络配置场景的配置信息,生成所有容器网络配置场景的对外端口信息;基于每个容器网络配置场景的部署场景,确定每个容器网络配置场景对应的容器网络模式,并基于每个容器网络配置场景的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围;基于每个容器网络配置场景的对外端口信息、每个容器网络配置场景对应的容器网络模式、每个容器网络配置场景的目标授权身份信息、以及每个容器网络配置场景的目标授权身份信息的权限范围,确定每个容器网络配置场景的部署场景对应的目标端口访问策略。本方案通过对不同配置场景的各容器网络,配置相同的对外端口,并基于每个容器网络的活跃访问身份信息,筛选每个容器网络配置场景的目标授权身份信息、以及每个目标授权身份信息的权限范围,最后,再基于不同容器网络配置场景的容器网络模式,确定不同容器网络配置场景的部署场景对应的目标端口访问策略。不仅减少了对外访问端口的数量,提升了对不同容器网络配置场景的端口访问协同控制效率,并且,通过划定准入容器网络的目标授权身份信息、以及每个目标授权身份信息的权限范围,从而对各个需要访问容器网络的访问用户进行访问控制,提升了对不同用户的端口访问控制的智能化和针对性,最后,基于不同配置场景的网络模式,生成不同配置场景的目标端口访问策略,从而综合提升了对不同配置场景的容器网络的端口访问的安全防护效果。当前第1页12当前第1页12