(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111387063.3 (22)申请日 2021.11.22 (71)申请人 中国联合网络通信集团有限公司 地址 100033 北京市西城区金融大街21号 (72)发明人 张小梅　徐雷　郭新海　刘安　 丁攀　蓝鑫冲　 (74)专利代理 机构 北京天昊联合知识产权代理 有限公司 1 1112 代理人 彭瑞欣　冯建基 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/08(2022.01) H04L 41/0803(2022.01) H04L 67/10(2022.01) (54)发明名称 云原生安全编排方法及装置、 电子设备、 计 算机可读介质 (57)摘要 本发明公开了一种云原生安全编排方法及 装置、 电子设备、 计算机可读介质， 属于云原生技 术领域， 解决了云原生全生命周期的安全编排问 题。 该云原生安全编排方法， 包括： 对云原生业务 进行拆分， 获得云原生安全业务； 基于云原生安 全业务自动匹配与其对应的安全工具； 基于云原 生业务的流程和云原生安全业务匹配的安全工 具生成业务全流程安全工具链和安全需求信息； 基于业务全流程安全工具链和安全需求信息对 业务全流程安全工具链进行自动部署和配置。 该 方法可以实现云原生安全业务全生命周期的自 动编排， 以及业务全流程安全工具链自动部署及 配置。 权利要求书2页 说明书9页 附图3页 CN 114124521 A 2022.03.01 CN 114124521 A 1.一种云原生 安全编排方法， 其特 征在于， 包括： 对云原生 业务进行拆分， 获得云原生 安全业务； 基于所述云原生 安全业务自动匹配与其对应的安全工具； 基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生成业务全流程 安全工具链和安全需求信息； 基于所述业务全流程安全工具链和所述安全需求信息对所述业务全流程安全工具链 进行自动部署和配置 。 2.根据权利要求1所述的方法， 其特征在于， 所述安全需求信 息包括安全工具链配置信 息、 资源弹性扩容信息和网络策略信息； 其中， 所述安全工具链配置信息是指所述安全工具 的配置信息， 而且， 不同安全工具对应不同的配置信息； 所述资源弹性扩容信息是指所述安 全工具的扩容信息； 所述网络策略信息是指与网元的安全策略相关的信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述业务全流程安全工具链和所 述安全需求信息对所述 业务全流程安全工具链进行自动部署和配置， 包括： 基于所述资源弹性扩容信息确定待启动目标安全工具及对应的数量； 解析所述网络策略信息获得网元 策略， 并将所述网元 策略下发至对应的目标网元； 将所述安全工具链配置信 息下发至所述目标安全工具， 以对所述目标安全工具进行配 置； 基于所述业务全流程安全工具链启动目标安全工具和所述目标网元， 以实现述业务全 流程安全工具链的部署和配置 。 4.根据权利要求3所述的方法， 其特征在于， 所述网元策略包括路由策略、 交换机策略 和防火墙策略中的一种或多种。 5.根据权利要求1 ‑4任一项所述的方法， 其特征在于， 所述云原生业务包括云原生应用 安全业务、 云原生计算环境 安全业务和网络访问控制策略业 务中的一种或多种。 6.根据权利要求5所述的方法， 其特征在于， 所述云原生应用安全业务包括应用编码安 全业务、 应用测试安全业 务、 应用运行业 务和部署环境 业务中的一种或多种。 7.根据权利要求5所述的方法， 其特征在于， 所述云原生计算环境安全业务包括镜像安 全业务、 容器安全业 务和云主机安全业 务中的一种或多种。 8.根据权利要求1 ‑4任一项所述的方法， 其特征在于， 所述对云原生业务进行拆分， 获 得云原生 安全业务之前， 还 包括： 基于用户的需求从业 务应用系统确定所述云原生 业务。 9.一种云原生 安全编排装置， 其特 征在于， 包括： 业务拆分模块， 用于对云原生 业务进行拆分， 获得云原生 安全业务； 匹配模块， 用于基于所述云原生 安全业务自动匹配对应的安全工具； 生成模块， 用于基于所述云原生业务的流程和所述云原生安全业务匹配的安全工具生 成业务全流程安全工具链和安全需求信息； 部署配置模块， 用于基于所述业务全流程安全工具链和所述安全需求信 息对所述业务 全流程安全工具链进行自动部署和配置 。 10.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器；权　利　要　求　书 1/2 页 2 CN 114124521 A 2存储器， 其上存储有一个或多个程序， 当所述一个或多个程序被所述一个或多个处理 器执行， 使得所述一个或多个处 理器实现根据权利要求1 ‑8中任意一项所述的方法； 一个或多个I/O接口， 连接在所述处理器与存储器之间， 配置为实现所述处理器与存储 器的信息交 互。 11.一种计算机可读介质， 其上存储有计算机程序， 所述程序被处理器执行时实现根据 权利要求1 ‑8中任意一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114124521 A 3