支持拟态防御功能的云组件技术要求和测试方法.pdfVIP

支持拟态防御功能的云组件技术要求和测试方法

1范围

本文件规定了支持拟态防御功能的云组件的技术要求和测试方法，对支持拟态防御功能的云组件在

功能、性能、安全性等方面提出具体技术要求，并提出对应的测试方法。

本文件适用于支持拟态防御功能的云组件系统的研制、生产、认证和实际环境部署。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

YD/T1878-2020支持拟态防御功能设备总体技术指南

3术语和定义

YD/T1878-2020界定的以及下列术语和定义适用于本文件。

云组件cloudplugin

运行在云环境下的云服务组件，能够为云上应用提供特定的功能，例如微服务网关、云存储、资源

调度工具等。

支持拟态防御功能的云组件cloudpluginsupportedmimicarchitecture

在云环境下为云应用提供拟态防御功能的服务插件，其根据租户请求生成拟态云服务，同时将用户

服务请求发送至多个异构的云服务执行体进行处理，并对各响应结果进行拟态裁决后反馈给用户，同时

根据裁决结果对异常云服务执行体进行动态调度、清洗。

4缩略语

下列缩略语适用于本文件。

HTTP超文本传输协议HyperTextTransferProtocol

HTTPS超文本传输安全协议HyperTextTransferProtocoloverSecureSocketLayer

IO输入输出InputandOutput

IP网际互连协议InternetProtocol

TCP传输控制协议TransmissionControlProtocol

UDP用户数据报协议UserDatagramProtocol

4

5概述

支持拟态防御功能的云组件（以下简称“拟态云组件”）基于当前通用云计算架构，结合拟态安全

防御的架构和理论，利用多个异构冗余的云服务执行体对同一用户请求进行处理，并对多个云服务执行

体的响应结果进行拟态裁决，通过识别云服务执行体响应结果异常，进行云服务的安全防御。

图1拟态云组件架构图

拟态云组件总体架构如图1所示，在不改变原有设备架构的基础上，按照YD/T1878-2020《支持拟

态防御功能设备总体技术指南》规范的拟态防御架构构建。拟态云组件的主要功能是为拟态云化应用提

供通用组件，对用户的请求进行分发、裁决并对执行体进行控制。基于拟态云组件，普通的云平台能够

驱动云上应用升级为拟态应用，赋予应用内生安全增益。

拟态云组件仅包含输入代理、拟态裁决器、负反馈控制器三部分，运行在云平台之上。其中，输入

代理主要对用户的访问请求进行复制并分发到所绑定的云服务执行体上，并将最终响应输出给用户；拟

态裁决器主要对同一个请求的多个响应结果按照裁决策略进行投票选择，选择投票后的结果返回输入代

理。拟态裁决能够及时发现异常的云服务执行体，触发异常处理机制；负反馈控制器能够通过部署算法，

基于用户安全需求选择相应的异构云服务执行体镜像并部署到相应节点上。反馈控制器既能够定时得对

云服务执行体进行清洗调度，也能接收拟态裁决异常信息，对云服务执行体进行清洗调度。

6拟态云组件功能要求

输入代理要求

输入代理要求应包括：

5

——输入代理对业务侧IO数据流进行接管，与用户建立连接，托管用户会话请求，并将会话请求

复制分发转给应用执行体；

——将来自裁决器的会话响应发送给用户；

——输入代理应按照“极简”原则设计，尽量降低攻击表面；

——应以日志的形式记录故障、程序