CN107634951A - Docker容器安全管理方法、系统、设备及存储介质 - Google Patents
Docker容器安全管理方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN107634951A CN107634951A CN201710863783.XA CN201710863783A CN107634951A CN 107634951 A CN107634951 A CN 107634951A CN 201710863783 A CN201710863783 A CN 201710863783A CN 107634951 A CN107634951 A CN 107634951A
- Authority
- CN
- China
- Prior art keywords
- module
- container
- information
- security audit
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种Docker容器安全管理方法,包括步骤:在Docker镜像中安装SSHD服务;容器发布模块将创建容器的容器信息发送至服务器信息模块;服务器信息模块将容器信息通过API接口发送至运维安全审计模块;授权管理模块获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块;运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接容器,以使用户通过运维安全审计模块登录容器,如验证失败,则运维安全审计模块拒绝用户的容器访问请求。由于容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器在使用过程中的安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种Docker容器安全管理方法、系统、设备及存储介质。
背景技术
随着互联网信息技术的迅速发展,各类信息系统及网络产品层出不穷。尤其是在大中型的实体机构中,快速建设的IT系统正从以前传统封闭的业务系统向大型关键业务系统扩展,所涉及的应用类型也日趋增加,大型企业对Docker容器的应用也日渐成为发展趋势。Docker是一种开源的虚拟化技术,旨在提供一种应用的自动化部署解决方案,能够让开发者打包他们的应用及依赖包到一个可移植的容器中,容器可以视为一种轻量级虚拟机,由Docker镜像(image)进行实例化而得到,具有体积小、部署迅速、生命周期短的特点。目前Docker类型主要为Docker linux。Docker容器通过Docker镜像来创建。容器是完全使用沙箱机制,相互之间不会有任何接口。
目前对于容器的访问采用客户端直接连接容器的方式,然而由于容器无法对执行操作进行日志记录保存,从而使得运维人员对于容器执行操作的记录随着容器的发布而销毁,造成在安全管理流程中存在严重缺失,无法达到企业生产服务器安全管理标准,也无法通过等级保护、PCI、ISO27001等标准的资质评审。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种Docker容器安全管理方法、系统、设备及存储介质,能够对容器的执行操作进行保存,从而提高安全性,满足各类标准的资质评审要求。
本发明的第一方面提供一种Docker容器安全管理方法,包括如下步骤:S101、在Docker镜像中安装SSHD服务;S102、容器发布模块将创建容器的容器信息发送至服务器信息模块;S103、服务器信息模块将容器信息通过API接口发送至运维安全审计模块;S104、授权管理模块获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块;S105、运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接容器,以使用户通过运维安全审计模块登录容器,如验证失败,则运维安全审计模块拒绝用户的容器访问请求。
优选地,服务器信息模块包括服务器信息存储模块,信息消费模块以及事件管理模块,在步骤S102中,容器发布模块将容器信息发送至服务器信息存储模块;在步骤S103中,服务器信息存储模块将容器信息发送至信息消费模块,事件管理模块从信息消费模块中获取容器信息并将容器信息发送至运维安全审计模块;在步骤S104中,服务器信息存储模块将容器信息发送至授权管理模块,以使授权管理模块向用户显示容器并获取用户设置的容器的操作权限信息。
优选地,在步骤S104中,服务器信息模块将容器所在的设备组信息发送至授权管理模块,授权管理模块获取用户设置的容器所在的设备组的权限信息,并将权限信息发送至运维安全审计模块;在步骤S105中,运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接设备组中的容器,以使用户通过运维安全审计模块登录设备组中的任意一个或多个容器。
优选地,在步骤S105中,运维安全审计模块对用户的容器访问请求进行域账号以及动态令牌双重登录验证。
优选地,运维安全审计模块自动记录和审计用户在容器中的操作数据。
优选地,授权管理模块获取用户设置的服务器权限,并将服务器权限发送至运维安全审计模块;运维安全审计模块获取用户的服务器访问请求并根据服务器权限进行登录验证,如验证通过,则运维安全审计模块登录服务器。
优选地,用户退出容器的登录后,即退出运维安全审计模块的登录。
本发明的第二方面提供一种Docker容器安全管理系统,Docker容器对应的Docker镜像中安装SSHD服务,系统包括:容器发布模块,容器发布模块用于创建容器,并将创建容器的容器信息发送至服务器信息模块;服务器信息模块,服务器信息模块用于存储容器信息并将容器信息通过API接口发送至运维安全审计模块;授权管理模块,授权管理模块用于获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块;运维安全审计模块,运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接容器,以使用户通过运维安全审计模块登录容器,如验证失败,则运维安全审计模块拒绝用户的容器访问请求。
优选地,服务器信息模块包括服务器信息存储模块,信息消费模块以及事件管理模块,服务器信息存储模块用于接收并存储容器发布模块发送的容器信息,服务器信息存储模块将容器信息发送至授权管理模块,以使授权管理模块向用户显示容器并获取用户设置的容器的操作权限信息;信息消费模块用于获取服务器信息存储模块中的容器信息;事件管理模块用于从信息消费模块中获取容器信息并将容器信息发送至运维安全审计模块。
优选地,授权管理模块获取用户设置的服务器权限,并将服务器权限发送至运维安全审计模块,运维安全审计模块获取用户的服务器访问请求并根据服务器权限进行登录验证,如验证通过,则运维安全审计模块登录服务器。
本发明的第三方面提供一种Docker容器安全管理设备,包括:处理器;存储器,其中存储有处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述第一方面的Docker容器安全管理方法的步骤。
本发明的第四方面提供一种计算机可读存储介质,用于存储程序,程序被执行时实现上述第一方面的Docker容器安全管理方法的步骤。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
本发明所提供的Docker容器安全管理方法、系统、设备及存储介质具有下列优点:
本发明通过SSH协议将运维安全审计模块与Docker容器连接,当用户登录Docker容器时,不再采用客户端直接连接容器的方式,而是通过登录运维安全审计模块而登录容器,从而容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器在使用过程中的安全。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明一实施例的Docker容器安全管理方法的流程图;
图2是图1中步骤S105的详细流程图;
图3是本发明一实施例的Docker容器安全管理方法的时序图;
图4是本发明一实施例的Docker容器安全管理系统的结构示意图;
图5是本发明一实施例的Docker容器安全管理设备的结构示意图;
图6是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
由于目前对于容器的访问采用客户端直接连接容器的方式,无法对容器的授权、登录进行安全控制,运维人员对于容器执行操作的记录也随着容器的发布而销毁,因而造成在安全管理流程中存在严重缺失。本发明的实施例为了解决上述技术问题,提供了一种Docker容器安全管理方法,采用了运维安全审计模块连接Docker,容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器在使用过程中的安全。
如图1所示,本发明一实施例的Docker容器安全管理方法的流程图。所述Docker容器安全管理方法包括如下步骤:
步骤S101:在Docker镜像中安装SSHD服务。Docker容器是通过Docker镜像(image)进行实例化而得到,为了在后续的容器连接中使用SSH协议,因此首先在镜像中安装SSHD服务。
SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。通过使用SSH,用户可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。SSHD服务即为基于SSH(Secure Sheel,安全服务协议)的服务。
步骤S102:容器发布模块将创建容器的容器信息发送至服务器信息模块。
用户在容器发布模块上提交容器创建申请,容器发布模块创建容器,并将创建容器的容器信息发送至服务器信息模块。容器信息包括容器名、容器ID、容器IP地址、配置信息以及服务器组信息。
进一步地,服务器信息模块包括服务器信息存储模块,信息消费模块以及事件管理模块。容器发布模块将容器信息发送至服务器信息存储模块,服务器信息存储模块存储容器信息。在一些实施例中,服务器信息模块也可以是一个完整模块,内部不再分割功能模块。本实施例中分割为务器信息存储模块,信息消费模块以及事件管理模块,从而各个功能模块各自执行相应的职能,便于系统维护以及调整。
步骤S103:服务器信息模块将容器信息通过API接口发送至运维安全审计模块。API接口(应用程序编程接口)为是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。由于近年来软件的规模日益庞大,常常需要把复杂的系统划分成小的组成部分,编程接口的设计十分重要。良好的接口设计可以降低系统各部分的相互依赖,提高组成单元的内聚性,降低组成单元间的耦合程度,从而提高系统的维护性和扩展性。
进一步地,服务器信息存储模块将容器信息发送至信息消费模块,事件管理模块从信息消费模块中获取容器信息并将容器信息发送至运维安全审计模块。
步骤S104:授权管理模块获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块。
服务器信息模块将部分的容器信息,例如容器名,发送至服务器信息模块,授权管理模块向用户显示上述容器信息以使用户设置容器的操作权限。授权管理模块获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块。
进一步地,服务器信息存储模块将容器信息发送至授权管理模块,以使授权管理模块向用户显示容器并获取用户设置的容器的操作权限信息。
进一步地,服务器信息模块将容器所在的设备组信息发送至授权管理模块,授权管理模块获取用户设置的容器所在的设备组的权限信息,并将上述设备组的权限信息发送至运维安全审计模块。设备组也就是服务器组,一组设备组中通常包括一个或多个容器,对于容器的权限设置,可以采用单一容器逐一设置的方式,也可以如同本实施例中的以设备组为单位统一设置同一设备组中的多个容器的权限。统一设置同一设备组中的多个容器的权限的方式节省了用户操作步骤,提高了系统效率。
步骤S105:运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接容器,以使用户通过运维安全审计模块登录容器,如验证失败,则运维安全审计模块拒绝用户的容器访问请求。
图2为步骤S105的详细流程图。如图5所示,首先如步骤S1051,运维安全审计模块获取用户的容器访问请求。用户的容器访问请求包括容器IP地址或容器名或容器ID。如步骤S1052,运维安全审计模块根据步骤S104中获取的操作权限信息进行登录验证。运维安全审计模块对用户的容器访问请求进行域账号以及动态令牌双重登录验证,进一步保证运行安全性。如步骤S1053,当验证通过,则运维安全审计模块通过SSH协议连接容器。如步骤S1054,当验证不通过,则运维安全审计模块拒绝用户的容器访问请求。
通过采用本发明的技术方案,进一步地,由于容器中设置有SSHD服务,运维安全审计模块通过SSH协议连接容器,包括如下步骤:
步骤S1053,运维安全审计模块通过SSH协议向容器发送登录请求,登录请求中需要包括所述运维安全审计模块持有的SSH密钥或口令,利用SSH协议可以有效防止远程管理过程中的信息泄露问题。容器验证运维安全审计模块的登录请求中的密钥或口令。由于容器中设置有SSHD服务,因此容器可以对密钥或口令进行正确性验证,以此判断运维安全审计模块是否有权限登录。
步骤S1055,如果验证通过,则容器允许所述运维安全审计模块登录,进一步运维安全审计模块中可以执行授权用户登录容器的命令,进而授权用户登录到容器中执行操作。
步骤S1056,如果验证失败,则容器拒绝所述运维安全审计模块登录,则用户也就无法登录至容器中,实现了对用户登录的安全防护。
运维安全审计模块,即在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。因此,采用本发明的技术方案,容器兼容运维安全审计模块的登录,容器的授权、登录的安全控制和操作审计可以全部由运维安全审计模块来完成。
本实施例中,运维安全审计模块204记录对容器的所有操作信息。用户身份的验证和管控是在运维安全审计模块中进行的,而运维安全审计模块与容器通过SSHD服务连接,进一步保障容器访问安全性。
进一步地,以设备组为单位进行授权登录时,运维安全审计模块获取用户的容器访问请求,根据步骤S104中获取的设备组的操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接设备组中的容器,以使用户通过运维安全审计模块登录所述设备组中的任意一个或多个容器。通过同一设备组中的多个容器统一授权登录的方式,节省了用户操作步骤,提高了系统效率。
进一步地,本发明的Docker容器安全管理方法还可以包括运维安全审计模块自动记录和审计用户在容器中的操作数据的步骤,保障操作记录同步性,进一步保障用户操作的安全性。
进一步地,当用户退出所述容器的登录后,即退出运维安全审计模块的登录,从而保证容器上、下线能被自动记录在运维安全审计模块中。
为了进一步方便管理,本实施中服务器权限的设置同样通过授权管理模块完成。具体而言,授权管理模块获取用户设置的服务器权限,并将服务器权限发送至运维安全审计模块。容器以及服务器的权限设置与管理均通过授权管理模块完成,实现了权限申请统一化,自动化,从而便于管理,方便用户操作,提高了运营效率。
服务器的登录入口同样通过运维安全审计模块实现。具体而言,运维安全审计模块获取用户的服务器访问请求并根据服务器权限进行登录验证,如验证通过,则所述运维安全审计模块登录所述服务器。容器以及服务器的登录入口统一均通过运维安全审计模块完成,使得登录入口统一,方便管理,方便用户操作,提高效率。
如图3所示,为本发明一实施例的Docker容器安全管理方法的时序图。该具体实例仅为一个举例,在实际应用中还可以有一些其他的变形,均属于本发明的保护范围之内。
具体地,该具体事例的Docker容器安全管理方法包括如下步骤:
(1)用户100通过容器发布模块201创建容器300,容器300对应的镜像中安装有SSHD服务,从而使得容器300能够使用SSH协议。
(2)容器发布模块201发布容器300,并将容器信息发送至服务器信息模块202。
(3)服务器信息模块202发送容器信息至运维安全审计模块204。服务器信息模块202将容器所在设备组信息发送至授权管理模块203。
(4)授权管理模块203显示上述的设备组信息,从而用户根据上述设备组信息在授权管理模块203中设置该设备组的操作权限。设备组中包括一个或多个容器,通过对设备组的操作权限设置从而对其中的所有容器进行操作授权。
(5)授权管理模块203将设备组的权限信息发送至运维安全审计模块204。
(6)用户向运维安全审计模块204发送访问容器300的请求。运维安全审计模块204根据设备组的权限信息进行域账号以及动态令牌双重登录验证,验证通过则使用SSHD服务连接容器300,验证不通过则拒绝用户访问。运维安全审计模块204记录对容器的所有操作信息。
因此,通过采用本发明的Docker容器安全管理方法,用户身份的验证和管控在运维安全审计模块中进行,而运维安全审计模块与容器通过SSHD服务连接,保障容器访问安全性。同时对容器执行操作的记录由运维安全审计模块自动记录,从而达到企业生产服务器安全管理标准,满足等级保护、PCI、ISO27001等标准的资质评审的要求。
如图4所示,本发明实施例还提供一种Docker容器安全管理系统,用于实现上述的Docker容器安全管理方法。Docker容器对应的Docker镜像中安装SSHD服务。Docker容器安全管理系统200包括容器发布模块201,服务器信息模块202,授权管理模块203以及运维安全审计模块204。
容器发布模块201用于创建容器,并将创建容器的容器信息发送至服务器信息模块202。
服务器信息模块202用于存储容器信息并将容器信息通过API接口发送至运维安全审计模块204。进一步地,服务器信息模块202服务器信息存储模块2021,信息消费模块2022以及事件管理模块2023。服务器信息存储模块2021用于接收并存储容器发布模块201发送的容器信息,服务器信息存储模块2021将容器信息发送至授权管理模块203,以使授权管理模块203向用户显示容器并获取用户设置的容器的操作权限信息。信息消费模块2022用于获取服务器信息存储模块2021中的容器信息。事件管理模块2023用于从信息消费模块2022中获取容器信息并将容器信息发送至运维安全审计模块204。
授权管理模块203用于获取用户设置的容器的操作权限信息,并将操作权限信息发送至运维安全审计模块204。
运维安全审计模块204获取用户的容器访问请求并根据操作权限信息进行登录验证,如验证通过,则运维安全审计模块通过SSH协议连接容器,以使用户通过运维安全审计模块登录容器,如验证失败,则运维安全审计模块拒绝用户的容器访问请求。
进一步地,授权管理模块203同时承担容器以及服务器的权限申请、授权。运维安全审计模块204作为容器以及服务器登录的同一入口。具体而言,授权管理模块203获取用户设置的服务器权限,并将服务器权限发送至运维安全审计模块204,运维安全审计模块204获取用户的服务器访问请求并根据服务器权限进行登录验证,如验证通过,则运维安全审计模块登录服务器。
通过本发明的Docker容器安全管理系统,用户登录Docker容器时,不再采用客户端直接连接容器的方式,而是通过登录运维安全审计模块而登录容器,从而容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器在使用过程中的安全。
运维安全审计模块记录对容器的所有操作,从而解决容器操作日志无法保存的问题,满足等级保护、PCI、ISO27001等标准的资质评审的要求。
本发明实施例还提供一种Docker容器安全管理设备,包括处理器;存储器,其中存储有所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行所述的Docker容器安全管理方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
如上所述,通过本发明的Docker容器安全管理设备执行上述Docker容器安全管理方法时,容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器登录的安全性。运维安全审计模块记录对容器的所有操作,从而解决容器操作日志无法保存的问题,满足等级保护、PCI、ISO27001等标准的资质评审的要求。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述Docker容器安全管理方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
如上所述,当采用外部设备运行该计算机可读存储介质中的程序时,也可以实现缩减容器的管理成本,并且全面保障容器的登录安全的目的。
本发明所提供的Docker容器安全管理方法、系统、设备及存储介质具有下列优点:
本发明中容器的授权、登录的安全控制、操作审计全部由运维安全审计模块完成,全面保障容器在使用过程中的安全。运维安全审计模块记录对容器的所有操作,从而解决容器操作日志无法保存的问题,满足等级保护、PCI、ISO27001等标准的资质评审的要求。
容器以及服务器的权限设置统一由授权管理模块完成,登录统一通过运维安全审计模块完成,方便操作以及管理。
容器授权以及登录可以以设备组为单位执行,从而实现同一设备组中的容器同时授权,方便用户操作,提高效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种Docker容器安全管理方法,其特征在于,包括如下步骤:
S101、在Docker镜像中安装SSHD服务;
S102、容器发布模块将创建容器的容器信息发送至服务器信息模块;
S103、所述服务器信息模块将所述容器信息通过API接口发送至运维安全审计模块;
S104、授权管理模块获取用户设置的所述容器的操作权限信息,并将所述操作权限信息发送至所述运维安全审计模块;
S105、所述运维安全审计模块获取用户的容器访问请求并根据所述操作权限信息进行登录验证,如验证通过,则所述运维安全审计模块通过SSH协议连接所述容器,以使用户通过所述运维安全审计模块登录所述容器,如验证失败,则所述运维安全审计模块拒绝用户的容器访问请求。
2.根据权利要求1所述的Docker容器安全管理方法,其特征在于,
所述服务器信息模块包括服务器信息存储模块,信息消费模块以及事件管理模块,
在步骤S102中,所述容器发布模块将所述容器信息发送至所述服务器信息存储模块;
在步骤S103中,所述服务器信息存储模块将所述容器信息发送至所述信息消费模块,所述事件管理模块从所述信息消费模块中获取所述容器信息并将所述容器信息发送至所述运维安全审计模块;
在步骤S104中,所述服务器信息存储模块将所述容器信息发送至授权管理模块,以使所述授权管理模块向用户显示所述容器并获取用户设置的所述容器的操作权限信息。
3.根据权利要求1或2所述的Docker容器安全管理方法,其特征在于,
在步骤S104中,所述服务器信息模块将容器所在的设备组信息发送至所述授权管理模块,所述授权管理模块获取用户设置的容器所在的设备组的权限信息,并将所述权限信息发送至所述运维安全审计模块;
在步骤S105中,所述运维安全审计模块获取用户的容器访问请求并根据所述操作权限信息进行登录验证,如验证通过,则所述运维安全审计模块通过SSH协议连接所述设备组中的容器,以使用户通过所述运维安全审计模块登录所述设备组中的任意一个或多个容器。
4.根据权利要求1所述的Docker容器安全管理方法,其特征在于,
在步骤S105中,所述运维安全审计模块对用户的容器访问请求进行域账号以及动态令牌双重登录验证。
5.根据权利要求1所述的Docker容器安全管理方法,其特征在于,
所述运维安全审计模块自动记录和审计用户在容器中的操作数据。
6.根据权利要求1所述的Docker容器安全管理方法,其特征在于,
授权管理模块获取用户设置的服务器权限,并将所述服务器权限发送至所述运维安全审计模块;
所述运维安全审计模块获取用户的服务器访问请求并根据所述服务器权限进行登录验证,如验证通过,则所述运维安全审计模块登录所述服务器。
7.根据权利要求1所述的Docker容器安全管理方法,其特征在于,
用户退出所述容器的登录后,即退出所述运维安全审计模块的登录。
8.一种Docker容器安全管理系统,其特征在于,所述Docker容器对应的Docker镜像中安装SSHD服务,所述系统包括:
容器发布模块,所述容器发布模块用于创建容器,并将创建容器的容器信息发送至服务器信息模块;
服务器信息模块,所述服务器信息模块用于存储所述容器信息并将所述容器信息通过API接口发送至运维安全审计模块;
授权管理模块,所述授权管理模块用于获取用户设置的所述容器的操作权限信息,并将所述操作权限信息发送至所述运维安全审计模块;
运维安全审计模块,所述运维安全审计模块获取用户的容器访问请求并根据所述操作权限信息进行登录验证,如验证通过,则所述运维安全审计模块通过SSH协议连接所述容器,以使用户通过所述运维安全审计模块登录所述容器,如验证失败,则所述运维安全审计模块拒绝用户的容器访问请求。
9.如权利要求8所述的Docker容器安全管理系统,其特征在于,
所述服务器信息模块包括服务器信息存储模块,信息消费模块以及事件管理模块,
所述服务器信息存储模块用于接收并存储所述容器发布模块发送的所述容器信息,所述服务器信息存储模块将所述容器信息发送至授权管理模块,以使所述授权管理模块向用户显示所述容器并获取用户设置的所述容器的操作权限信息;
所述信息消费模块用于获取所述服务器信息存储模块中的所述容器信息;
所述事件管理模块用于从所述信息消费模块中获取所述容器信息并将所述容器信息发送至所述运维安全审计模块。
10.如权利要求8所述的Docker容器安全管理系统,其特征在于,
所述授权管理模块获取用户设置的服务器权限,并将所述服务器权限发送至所述运维安全审计模块,
所述运维安全审计模块获取用户的服务器访问请求并根据所述服务器权限进行登录验证,如验证通过,则所述运维安全审计模块登录所述服务器。
11.一种Docker容器安全管理设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任一项所述的Docker容器安全管理方法的步骤。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至7中任一项所述的Docker容器安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710863783.XA CN107634951A (zh) | 2017-09-22 | 2017-09-22 | Docker容器安全管理方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710863783.XA CN107634951A (zh) | 2017-09-22 | 2017-09-22 | Docker容器安全管理方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107634951A true CN107634951A (zh) | 2018-01-26 |
Family
ID=61102441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710863783.XA Pending CN107634951A (zh) | 2017-09-22 | 2017-09-22 | Docker容器安全管理方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107634951A (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429638A (zh) * | 2018-02-22 | 2018-08-21 | 北京奇艺世纪科技有限公司 | 一种服务器运维方法、装置、系统及电子设备 |
| CN108549821A (zh) * | 2018-04-02 | 2018-09-18 | 北京云知声信息技术有限公司 | 数据权限管理方法及系统 |
| CN108958892A (zh) * | 2018-08-14 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种创建用于深度学习作业的容器的方法和装置 |
| CN109814889A (zh) * | 2019-01-30 | 2019-05-28 | 北京百度网讯科技有限公司 | 用于更新源代码库的方法和装置 |
| CN110198318A (zh) * | 2019-06-03 | 2019-09-03 | 浪潮云信息技术有限公司 | 一种容器服务用户认证方法 |
| CN110830571A (zh) * | 2019-11-05 | 2020-02-21 | 许继集团有限公司 | 一种业务数据备份与提取方法及计算机可读介质 |
| CN111125759A (zh) * | 2019-12-19 | 2020-05-08 | 上海上讯信息技术股份有限公司 | 数据库登录账号屏蔽方法、装置及电子设备 |
| CN111177671A (zh) * | 2019-12-16 | 2020-05-19 | 北京淇瑀信息科技有限公司 | 一种数据管理平台、方法及电子设备 |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
| CN111984971A (zh) * | 2020-08-10 | 2020-11-24 | 成都安恒信息技术有限公司 | 一种运维资料自动生产和管理的方法 |
| CN112182563A (zh) * | 2020-09-28 | 2021-01-05 | 邢韬 | 一种linux系统Bash安全防护方法 |
| CN112199435A (zh) * | 2020-12-04 | 2021-01-08 | 武汉绿色网络信息服务有限责任公司 | 访问嵌入式数据库的方法、装置、计算机设备及存储介质 |
| CN112487404A (zh) * | 2020-12-15 | 2021-03-12 | 中国科学院微小卫星创新研究院 | 计算机安全审计系统及方法 |
| CN112613042A (zh) * | 2020-12-28 | 2021-04-06 | 北京浪潮数据技术有限公司 | 一种Docker容器的安全检查与修复工具、方法及设备 |
| CN112818403A (zh) * | 2021-02-26 | 2021-05-18 | 上海德衡数据科技有限公司 | 容器数据中心运维系统 |
| CN113162806A (zh) * | 2021-04-23 | 2021-07-23 | 华上(天津)信息科技发展有限公司 | 一种远程运维方法 |
| CN113656148A (zh) * | 2021-08-20 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种容器管理的方法、装置、电子设备及可读存储介质 |
| CN114050911A (zh) * | 2021-09-27 | 2022-02-15 | 度小满科技(北京)有限公司 | 一种容器远程登录方法及系统 |
| CN114629889A (zh) * | 2022-03-15 | 2022-06-14 | 北京天融信网络安全技术有限公司 | 远程控制链接的建立方法、装置、设备及介质 |
| US11880482B2 (en) | 2020-12-10 | 2024-01-23 | International Business Machines Corporation | Secure smart containers for controlling access to data |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685399A (zh) * | 2012-09-17 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| CN105872019A (zh) * | 2016-03-23 | 2016-08-17 | 北京搜狐新媒体信息技术有限公司 | 一种Web端登录Docker容器的方法和装置 |
| CN106302448A (zh) * | 2016-08-15 | 2017-01-04 | 中国联合网络通信集团有限公司 | 远程访问控制方法及装置 |
| CN106383852A (zh) * | 2016-08-30 | 2017-02-08 | 中国民生银行股份有限公司 | 基于Docker容器的日志获取方法和装置 |
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| CN106685949A (zh) * | 2016-12-24 | 2017-05-17 | 上海七牛信息技术有限公司 | 一种容器访问方法、装置以及系统 |
| CN106843873A (zh) * | 2017-01-18 | 2017-06-13 | 深圳市编玩边学教育科技有限公司 | 一种远程游戏编程系统 |
| US20170235649A1 (en) * | 2015-12-14 | 2017-08-17 | Jignesh Kaushik Shah | Container aware networked data layer |
| CN107070860A (zh) * | 2016-12-27 | 2017-08-18 | 北京粉笔蓝天科技有限公司 | 一种监控数据的收集方法、装置和系统 |
-
2017
- 2017-09-22 CN CN201710863783.XA patent/CN107634951A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685399A (zh) * | 2012-09-17 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| US20170235649A1 (en) * | 2015-12-14 | 2017-08-17 | Jignesh Kaushik Shah | Container aware networked data layer |
| CN105872019A (zh) * | 2016-03-23 | 2016-08-17 | 北京搜狐新媒体信息技术有限公司 | 一种Web端登录Docker容器的方法和装置 |
| CN106302448A (zh) * | 2016-08-15 | 2017-01-04 | 中国联合网络通信集团有限公司 | 远程访问控制方法及装置 |
| CN106383852A (zh) * | 2016-08-30 | 2017-02-08 | 中国民生银行股份有限公司 | 基于Docker容器的日志获取方法和装置 |
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| CN106685949A (zh) * | 2016-12-24 | 2017-05-17 | 上海七牛信息技术有限公司 | 一种容器访问方法、装置以及系统 |
| CN107070860A (zh) * | 2016-12-27 | 2017-08-18 | 北京粉笔蓝天科技有限公司 | 一种监控数据的收集方法、装置和系统 |
| CN106843873A (zh) * | 2017-01-18 | 2017-06-13 | 深圳市编玩边学教育科技有限公司 | 一种远程游戏编程系统 |
Non-Patent Citations (1)
| Title |
|---|
| 佚名: ""防火墙技术"", 《HTTPS://BAIKE.BAIDU.COM/HISTORY/防火墙技术/5390177/75250660》 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429638A (zh) * | 2018-02-22 | 2018-08-21 | 北京奇艺世纪科技有限公司 | 一种服务器运维方法、装置、系统及电子设备 |
| CN108429638B (zh) * | 2018-02-22 | 2021-12-10 | 北京奇艺世纪科技有限公司 | 一种服务器运维方法、装置、系统及电子设备 |
| CN108549821A (zh) * | 2018-04-02 | 2018-09-18 | 北京云知声信息技术有限公司 | 数据权限管理方法及系统 |
| CN108549821B (zh) * | 2018-04-02 | 2021-08-17 | 云知声智能科技股份有限公司 | 数据权限管理方法及系统 |
| CN108958892A (zh) * | 2018-08-14 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种创建用于深度学习作业的容器的方法和装置 |
| CN109814889A (zh) * | 2019-01-30 | 2019-05-28 | 北京百度网讯科技有限公司 | 用于更新源代码库的方法和装置 |
| CN110198318A (zh) * | 2019-06-03 | 2019-09-03 | 浪潮云信息技术有限公司 | 一种容器服务用户认证方法 |
| CN110830571A (zh) * | 2019-11-05 | 2020-02-21 | 许继集团有限公司 | 一种业务数据备份与提取方法及计算机可读介质 |
| CN111177671B (zh) * | 2019-12-16 | 2024-05-17 | 北京淇瑀信息科技有限公司 | 一种数据管理平台、方法及电子设备 |
| CN111177671A (zh) * | 2019-12-16 | 2020-05-19 | 北京淇瑀信息科技有限公司 | 一种数据管理平台、方法及电子设备 |
| CN111125759A (zh) * | 2019-12-19 | 2020-05-08 | 上海上讯信息技术股份有限公司 | 数据库登录账号屏蔽方法、装置及电子设备 |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
| CN111984971A (zh) * | 2020-08-10 | 2020-11-24 | 成都安恒信息技术有限公司 | 一种运维资料自动生产和管理的方法 |
| CN111984971B (zh) * | 2020-08-10 | 2023-05-30 | 成都安恒信息技术有限公司 | 一种运维资料自动生产和管理的方法 |
| CN112182563A (zh) * | 2020-09-28 | 2021-01-05 | 邢韬 | 一种linux系统Bash安全防护方法 |
| CN112182563B (zh) * | 2020-09-28 | 2023-04-07 | 邢韬 | 一种linux系统Bash安全防护方法 |
| CN112199435A (zh) * | 2020-12-04 | 2021-01-08 | 武汉绿色网络信息服务有限责任公司 | 访问嵌入式数据库的方法、装置、计算机设备及存储介质 |
| CN112199435B (zh) * | 2020-12-04 | 2021-03-02 | 武汉绿色网络信息服务有限责任公司 | 访问嵌入式数据库的方法、装置、计算机设备及存储介质 |
| US11880482B2 (en) | 2020-12-10 | 2024-01-23 | International Business Machines Corporation | Secure smart containers for controlling access to data |
| CN112487404A (zh) * | 2020-12-15 | 2021-03-12 | 中国科学院微小卫星创新研究院 | 计算机安全审计系统及方法 |
| CN112613042A (zh) * | 2020-12-28 | 2021-04-06 | 北京浪潮数据技术有限公司 | 一种Docker容器的安全检查与修复工具、方法及设备 |
| CN112818403B (zh) * | 2021-02-26 | 2023-03-03 | 上海德衡数据科技有限公司 | 容器数据中心运维系统 |
| CN112818403A (zh) * | 2021-02-26 | 2021-05-18 | 上海德衡数据科技有限公司 | 容器数据中心运维系统 |
| CN113162806A (zh) * | 2021-04-23 | 2021-07-23 | 华上(天津)信息科技发展有限公司 | 一种远程运维方法 |
| CN113656148A (zh) * | 2021-08-20 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种容器管理的方法、装置、电子设备及可读存储介质 |
| CN113656148B (zh) * | 2021-08-20 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 一种容器管理的方法、装置、电子设备及可读存储介质 |
| CN114050911A (zh) * | 2021-09-27 | 2022-02-15 | 度小满科技(北京)有限公司 | 一种容器远程登录方法及系统 |
| CN114050911B (zh) * | 2021-09-27 | 2023-05-16 | 度小满科技(北京)有限公司 | 一种容器远程登录方法及系统 |
| CN114629889A (zh) * | 2022-03-15 | 2022-06-14 | 北京天融信网络安全技术有限公司 | 远程控制链接的建立方法、装置、设备及介质 |
| CN114629889B (zh) * | 2022-03-15 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 远程控制链接的建立方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107634951A (zh) | Docker容器安全管理方法、系统、设备及存储介质 | |
| CN107480509A (zh) | 运维安全审计系统登录容器方法、系统、设备及存储介质 | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN105530246B (zh) | 虚拟机管理的方法、装置和系统 | |
| CN104718526B (zh) | 安全移动框架 | |
| US10831889B2 (en) | Secure memory implementation for secure execution of virtual machines | |
| CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
| CN107820604A (zh) | 具有联网设备的计算机驱动系统的半虚拟化安全威胁防护 | |
| CN110197058A (zh) | 统一内控安全管理方法、系统、介质及电子设备 | |
| CN106471783A (zh) | 经由网关的企业系统认证和授权 | |
| CN109543441A (zh) | 数据库授权方法、装置、计算机设备及存储介质 | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| AU2020305390B2 (en) | Cryptographic key orchestration between trusted containers in a multi-node cluster | |
| Al-Aswad et al. | BZKP: Blockchain-based zero-knowledge proof model for enhancing healthcare security in Bahrain IoT smart cities and COVID-19 risk mitigation | |
| CN108595983A (zh) | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 | |
| JP2022094938A (ja) | データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 | |
| CN108021426A (zh) | 一种桌面云系统 | |
| US11170080B2 (en) | Enforcing primary and secondary authorization controls using change control record identifier and information | |
| US11704413B2 (en) | Assessing latent security risks in Kubernetes cluster | |
| CN103152319B (zh) | 访问授权方法及其系统 | |
| US20230325264A1 (en) | Distributed application execution for cloud computing | |
| CN106537873A (zh) | 建立针对虚拟化和管理的安全计算设备 | |
| CN105763532B (zh) | 一种登录虚拟桌面的方法及装置 | |
| CN107155185B (zh) | 一种接入wlan的认证方法、装置及系统 | |
| CN105120010A (zh) | 一种云环境下虚拟机防窃取方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180126 |
|
| RJ01 | Rejection of invention patent application after publication |