CN107870804A - 一种基于ssr的docker容器安全防护方法 - Google Patents
一种基于ssr的docker容器安全防护方法 Download PDFInfo
- Publication number
- CN107870804A CN107870804A CN201711070857.0A CN201711070857A CN107870804A CN 107870804 A CN107870804 A CN 107870804A CN 201711070857 A CN201711070857 A CN 201711070857A CN 107870804 A CN107870804 A CN 107870804A
- Authority
- CN
- China
- Prior art keywords
- ssr
- container
- docker
- file
- safety means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及服务器安全技术领域,具体涉及一种基于SSR的DOCKER容器安全防护方法。该方法通过对容器的纳管,实现时候通过对网卡信息判断,识别防护对象为容器实例;并将容器中的非法操作记录日志文件,定时反馈SSR平台汇总分析;再根据汇总分析内容,生成新的容器防护模板,最终实现了对容器文件系统、进程的安全防护,让SSR安全防护更加的安全。
Description
技术领域
本专利涉及服务器安全技术领域,具体涉及一种基于SSR的DOCKER容器安全防护方法。该方法通过对容器的纳管,实现时候通过对网卡信息判断,识别防护对象为容器实例;并将容器中的非法操作记录日志文件,定时反馈SSR平台汇总分析;再根据汇总分析内容,生成新的容器防护模板,最终实现了对容器文件系统、进程的安全防护,让SSR安全防护更加的安全。
背景技术
SSR(Server Security Reinforcement操作系统安全增强系统)是构建国家三级安全操作系统的内核模块技术的解决方案产品,可以实时的把普通的服务器操作系统从体系上升级,具有三级的安全技术功能,从根本上免疫现有的各种针对操作系统的攻击行为,如:病毒,蠕虫,黑客攻击等。现在SSR(操作系统安全防护)可以实现对物理机、虚拟机的操作系统安全防护,但是对于DOCKER容器这种的轻量级“虚拟机”的操作系统,还没有实现安全防护。
DOCKER是一个由GO语言写的程序运行的“容器”,目前云服务的基石是操作系统级别的隔离,在同一台物理服务器上虚拟出多个主机。DOCKER则实现了一种应用程序级别的隔离;它改变我们基本的开发、操作单元,由直接操作虚拟主机(VM),转换到操作程序运行的“容器”上来。DOCKER是为开发者和系统管理员设计的,用来发布和运行分布式应用程序的一个开放性平台。由两部分组成:DOCKER Engine:一个便携式、轻量级的运行环境和包管理器。DOCKER Hub:为创建自动化工作流和分享应用创建的云服务组成。DOCKER相对于VM虚拟机的优势十分明显,那就是轻量和高性能和便捷性,快,运行时的性能可以获取极大提升,管理操作(启动,停止,开始,重启等等)都是以秒或毫秒为单位的。敏捷,像虚拟机一样敏捷,而且会更便宜,在bare metal(裸机)上布署像点个按钮一样简单。灵活,将应用和系统“容器化”,不添加额外的操作系统,轻量,在一台服务器上可以布署100-1000个Containers容器。便宜,开源的,免费的,低成本的。由现代Linux内核支持并驱动。
综上,容器做为一种新的虚拟化实现方案,由于他的轻体量,快启动,易部署等优势,快速成为各大企业的研究和使用对象,所以SSR对容器的安全防护也是大势所趋。
针对上述问题,本申请发明一种基于SSR的DOCKER容器安全防护方法,该方法从三个方面实现对DOCKER容器安全防护。
发明内容
本发明是基于SSR管理平台提出的,是对SSR管理平台管理能力的提升。该功能的实现,是对SSR防护设备类型的补充,也满足了市场对容器安全防护的需求。
该方法从三个方面实现对DOCKER容器安全防护:首先是SSR对容器的纳管,建立与容器连接;其次是通过对文件、目录、进程的强制访问控制,有效制约非法访问对系统的操作权限;再次,是对应用程序的安全防护,避免不安全软件在容器内部的安装。
具体地,本申请请求保护一种基于SSR的DOCKER容器安全防护方法,其特征在于,该方法具体包括如下步骤:
添加需要防护容器实例;
在SSR与DOCKER容器实例建立连接之后,设置容器安全防护策略;
在SSR制定防护策略之后,下发安全防护策略;
记录非法操作反馈SSR。
如上所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,添加容器时判断实例网卡信息,如果网卡中包含容器虚拟化标识daemon,则标识增加的是DOCKER容器实例。
如上所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,设置容器安全防护策略是针对需要防护的文件或者进程,具体可以包括设置文件的读写权限和进程的起停权限。
如上所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,下发安全防护策略需要将策略文件下发到容器实例中,当用户在操作容器实例中的文件或者进程时候,会先读取策略文件内容,查看安全防护策略,对于非法操作会有安全提示,阻止用户操作。
如上所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,记录非法操作反馈SSR可以记录在容器实例中的一个安全日志文件,定时发送SSR反馈。
附图说明
图1、容器安全防护功能实现流程图
具体实施方式
下面通过一个实施例对本发明所述基于SSR的DOCKER容器安全防护方法具体实现步骤进行说明。
如附图1所示,具体实施过程如下:
(1)添加需要防护容器实例
容器与虚拟机实现原理类似,都是通过在虚拟化软件之上创建独立的工作空间,实现隔离操作。容器也有独立的操作系统,cpu,内存,存储,网卡信息,所以在添加容器时候可以沿用SSR添加虚拟机实例的实现原理,只是需要在添加时候判断实例网卡信息,如果网卡中包含容器虚拟化标识daemon(DOCKER容器的虚拟化引擎名称),标识增加的是DOCKER容器实例。
(2)设置容器安全防护策略
SSR与DOCKER容器实例建立连接之后,在SSR可以看到容器实例的文件目录和进程,针对需要防护的文件或者进程,增加防护策略,比如可以设置文件的读写权限,进程的起停权限等等。
(3)下发安全防护策略
在SSR制定防护策略之后,需要将策略文件下发到容器实例中,当用户在操作容器实例中的文件或者进程时候,会先读取策略文件内容,查看安全防护策略,对于非法操作(不满足策略),会有安全提示,阻止用户操作。
(4)记录非法操作反馈SSR
对容器实例的非法操作,会记录在容器实例中的一个安全日志文件,定时发送SSR反馈,SSR根据对日志的统计分析,对容器的安全级别做出评估,作为未来对其他容器安全防护策略设置的参考。
显而易见地,上面所示的仅仅是本发明的一个具体实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据该实施方式获得其他的技术方案,都属于本发明保护的范围。
综上所述,根据本发明所述的对于容器的安全防护,是SSR适应IT软件发展的一个重要实现,本发明所述的基于SSR的DOCKER容器安全防护方法,满足了市场对容器安全防护的要求,实现了对容器文件系统,进程的安全防护,让SSR安全防护更加的安全,有效提高了SSR再同类产品中的竞争力。
Claims (5)
1.一种基于SSR的DOCKER容器安全防护方法,其特征在于,该方法具体包括如下步骤:
添加需要防护容器实例;
在SSR与DOCKER容器实例建立连接之后,设置容器安全防护策略;
在SSR制定防护策略之后,下发安全防护策略;
记录非法操作反馈SSR。
2.如权利要求1所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,添加容器时判断实例网卡信息,如果网卡中包含容器虚拟化标识daemon,则标识增加的是DOCKER容器实例。
3.如权利要求2所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,设置容器安全防护策略是针对需要防护的文件或者进程,具体可以包括设置文件的读写权限和进程的起停权限。
4.如权利要求3所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,下发安全防护策略需要将策略文件下发到容器实例中,当用户在操作容器实例中的文件或者进程时候,会先读取策略文件内容,查看安全防护策略,对于非法操作会有安全提示,阻止用户操作。
5.如权利要求4所述的基于SSR的DOCKER容器安全防护方法,其特征还在于,记录非法操作反馈SSR可以记录在容器实例中的一个安全日志文件,定时发送SSR反馈。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711070857.0A CN107870804A (zh) | 2017-11-03 | 2017-11-03 | 一种基于ssr的docker容器安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711070857.0A CN107870804A (zh) | 2017-11-03 | 2017-11-03 | 一种基于ssr的docker容器安全防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107870804A true CN107870804A (zh) | 2018-04-03 |
Family
ID=61752631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711070857.0A Pending CN107870804A (zh) | 2017-11-03 | 2017-11-03 | 一种基于ssr的docker容器安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107870804A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241730A (zh) * | 2018-09-03 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
| CN113660243A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 应用防护方法、系统、可读存储介质及计算机设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100125855A1 (en) * | 2008-11-14 | 2010-05-20 | Oracle International Corporation | System and method of security management for a virtual environment |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN105160269A (zh) * | 2015-08-13 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种Docker容器内数据的访问方法及装置 |
| CN105740142A (zh) * | 2016-01-22 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | Ssr集中管理平台压力测试管理系统 |
| CN106131033A (zh) * | 2016-07-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种ssr集中管理平台的策略管理方法 |
| CN106528391A (zh) * | 2016-12-16 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种ssr上的管理平台操作日志的记录方法 |
| CN106790167A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种客户端注册方法及集中管理平台 |
-
2017
- 2017-11-03 CN CN201711070857.0A patent/CN107870804A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100125855A1 (en) * | 2008-11-14 | 2010-05-20 | Oracle International Corporation | System and method of security management for a virtual environment |
| CN104601580A (zh) * | 2015-01-20 | 2015-05-06 | 浪潮电子信息产业股份有限公司 | 一种基于强制访问控制的策略容器设计方法 |
| CN105160269A (zh) * | 2015-08-13 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种Docker容器内数据的访问方法及装置 |
| CN105740142A (zh) * | 2016-01-22 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | Ssr集中管理平台压力测试管理系统 |
| CN106131033A (zh) * | 2016-07-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种ssr集中管理平台的策略管理方法 |
| CN106528391A (zh) * | 2016-12-16 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种ssr上的管理平台操作日志的记录方法 |
| CN106790167A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种客户端注册方法及集中管理平台 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241730A (zh) * | 2018-09-03 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
| CN109241730B (zh) * | 2018-09-03 | 2020-09-29 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
| CN113660243A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 应用防护方法、系统、可读存储介质及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106326699B (zh) | 一种基于文件访问控制和进程访问控制的服务器加固方法 | |
| EP2902937B1 (en) | Method, apparatus, and system for triggering virtual machine introspection | |
| CN101414339B (zh) | 保护进程内存及确保驱动程序加载的安全性的方法 | |
| Sharma et al. | Literature review: Cloud computing-security issues, solution and technologies | |
| CN103370715A (zh) | 用于保护虚拟计算环境的系统和方法 | |
| CN106257481A (zh) | 用于恢复修改的数据的系统和方法 | |
| CN101403973A (zh) | 提高嵌入式Linux内核安全性的应用程序启动方法和系统 | |
| US8782782B1 (en) | Computer system with risk-based assessment and protection against harmful user activity | |
| CN108154032B (zh) | 具有内存完整性保障功能的计算机系统信任根构建方法 | |
| CN102495989A (zh) | 一种基于主体标记的访问控制方法及系统 | |
| CN103473501B (zh) | 一种基于云安全的恶意软件追踪方法 | |
| CN105531692A (zh) | 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略 | |
| CN102254123B (zh) | 强化应用软件安全性的方法及装置 | |
| CN103455756B (zh) | 一种基于可信计算的进程控制方法 | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
| Shi et al. | " Jekyll and Hyde" is Risky: Shared-Everything Threat Mitigation in Dual-Instance Apps | |
| EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
| CN110188574A (zh) | 一种Docker容器的网页防篡改系统及其方法 | |
| CN105117649A (zh) | 一种用于虚拟机的防病毒方法与系统 | |
| CN103347027A (zh) | 一种可信网络连接方法和系统 | |
| CN107480524A (zh) | 一种安全沙箱及其构建方法 | |
| CN107870804A (zh) | 一种基于ssr的docker容器安全防护方法 | |
| CN105745896A (zh) | 用于经由面向方面编程来增强移动安全的系统和方法 | |
| CN109446799A (zh) | 内存数据保护方法、安全组件和计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180403 |