CN110851241A - Docker容器环境的安全防护方法、装置及系统 - Google Patents
Docker容器环境的安全防护方法、装置及系统 Download PDFInfo
- Publication number
- CN110851241A CN110851241A CN201911139691.2A CN201911139691A CN110851241A CN 110851241 A CN110851241 A CN 110851241A CN 201911139691 A CN201911139691 A CN 201911139691A CN 110851241 A CN110851241 A CN 110851241A
- Authority
- CN
- China
- Prior art keywords
- container
- protection
- security
- target
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 93
- 238000012544 monitoring process Methods 0.000 claims description 46
- 230000006870 function Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 19
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 9
- 230000008439 repair process Effects 0.000 claims description 5
- 238000002955 isolation Methods 0.000 claims description 4
- 239000000306 component Substances 0.000 description 11
- 238000010586 diagram Methods 0.000 description 5
- 230000002787 reinforcement Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本发明提供了一种Docker容器环境的安全防护方法、装置及系统,涉及互联网技术领域,该方法应用于云计算系统中的主机节点,云计算系统的镜像仓库中预存有安全服务容器镜像,该方法包括:首先从镜像仓库中获取安全服务容器镜像,并根据安全服务容器镜像在主机节点的容器集群中创建安全服务容器;然后触发安全服务容器对容器集群中的目标容器进行检测,得到目标容器的运行数据和运行日志;再将目标容器的运行数据和运行日志发送至云计算系统的管理节点,以使管理节点基于目标容器的运行数据和运行日志返回目标容器的防护策略;最后触发安全服务容器基于防护策略对目标容器进行安全防护。本发明提升了容器防护的安全性。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及一种Docker容器环境的安全防护方法、装置及系统。
背景技术
Docker容器在运行时,同一台服务器上的所有容器共享底层的linux系统内核,攻击者可能会利用一个已经被控制的容器执行恶意代码,导致底层整个linux系统内核崩溃,从而使所有服务器上容器都无法正常运行,因此对Docker容器的安全防护是十分必要的。然而,现有的Docker容器安全防护技术一般从网络层面入手,通过部分安全产品云化部署,解决容器环境中南北向网络流量的安全防护,或者采用一些原生的手段对容器进行安全加固,诸如防火墙、入侵防御等,只能对容器环境进出口处总的网络流量进行防护,无法细粒度保护具体每个容器实例自身的安全。上述现有的Docker容器安全防护技术只能解决容器内部某一部分的安全问题,无法做到容器内部环境全局的安全防护。因此,现有的Docker容器安全防护技术还存在因缺少对容器内部环境的全局防护,而导致的容器防护安全性较低的问题。
发明内容
本发明实施例的目的在于提供一种Docker容器环境的安全防护方法、装置及系统,可以基于安全服务容器对主机节点的容器集群中的业务容器进行全面检测,提升了容器防护的安全性。
第一方面,本发明实施例提供了一种Docker容器环境的安全防护方法,所述方法应用于云计算系统中的主机节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述方法包括:从所述镜像仓库中获取安全服务容器镜像,并根据所述安全服务容器镜像在所述主机节点的容器集群中创建安全服务容器;触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志;其中,所述安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;所述目标容器包括所述容器集群中的业务容器及所述业务容器的镜像;将所述目标容器的运行数据和运行日志发送至所述云计算系统的管理节点,以使所述管理节点基于所述目标容器的运行数据和运行日志返回所述目标容器的防护策略;触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
在可选的实施方式中,所述触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志的步骤包括:当所述安全服务容器的功能包括漏洞扫描时,触发所述安全服务容器对所述目标容器进行漏洞扫描,获得漏洞扫描检测结果;当所述安全服务容器的功能包括安全访问设置时,触发所述安全服务容器设置所述目标容器的安全白名单;其中,所述安全白名单中存储有能够访问所述目标容器的合法IP;当所述安全服务容器的功能包括状态监控时,触发所述安全服务容器对所述目标容器进行状态监控,获得所述目标容器的状态监控结果;其中,所述状态监控结果包括流量状态监控结果和运行状态监控结果;当所述安全服务容器的功能包括关键文件和关键进程防护时,触发所述安全服务容器将所述目标容器的关键文件和关键进程设置为保护模式,并在所述关键文件和所述关键进程被更改时生成文件更改日志;根据所述漏洞扫描检测结果和所述状态监控结果生成所述目标容器的运行数据,根据所述目标容器的合法IP和所述文件更改日志生成所述目标容器的运行日志。
在可选的实施方式中,所述触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护的步骤,包括:通过所述安全服务容器接收所述云计算系统的管理节点返回的所述目标容器的防护策略;触发所述安全服务容器根据所述目标容器的防护策略对所述容器集群中的异常容器进行异常容器告警并执行防护处理操作;其中,所述防护处理操作包括漏洞补丁修复和/或隔离异常状态容器。
第二方面,本发明实施例提供了一种Docker容器环境的安全防护方法,所述方法应用于云计算系统中的管理节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述方法包括:从所述云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,所述目标容器的运行数据和运行日志为所述主机节点上的安全服务容器检测目标容器得到的;安全服务容器为所述主机节点根据所述镜像仓库中的安全服务容器镜像创建的;所述目标容器包括所述主机节点的容器集群中的业务容器及所述业务容器的镜像;基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略;将所述目标容器的防护策略返回所述主机节点,以使所述主机节点触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
在可选的实施方式中,所述方法还包括:从所述镜像仓库中获取管理容器镜像,并根据所述管理容器镜像在所述管理节点中创建管理容器。
在可选的实施方式中,所述基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略的步骤,包括:通过所述管理容器触发所述云计算系统中的大数据安全分析组件,使所述大数据安全分析组件基于智能算法对所述目标容器的运行数据和运行日志进行细粒度分析,得到所述目标容器的防护策略;其中,所述目标容器的防护策略包括开启防护、关闭防护、编辑策略、删除策略、镜像应用策略、忽略漏洞影响和取消忽略漏洞影响中的一种或多种。
第三方面,本发明实施例提供了一种Docker容器环境的安全防护装置,所述装置设置于云计算系统中的主机节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述装置包括:容器创建模块,用于从所述镜像仓库中获取安全服务容器镜像,并根据所述安全服务容器镜像在所述主机节点的容器集群中创建安全服务容器;安全检测模块,用于触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志;其中,所述安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;所述目标容器包括所述容器集群中的业务容器及所述业务容器的镜像;日志发送模块,用于将所述目标容器的运行数据和运行日志发送至所述云计算系统的管理节点,以使所述管理节点基于所述目标容器的运行数据和运行日志返回所述目标容器的防护策略;容器防护模块,用于触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
第四方面,本发明实施例提供了一种Docker容器环境的安全防护装置,所述装置设置于云计算系统中的管理节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述装置包括:日志获取模块,用于从所述云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,所述目标容器的运行数据和运行日志为所述主机节点上的安全服务容器检测目标容器得到的;安全服务容器为所述主机节点根据所述镜像仓库中的安全服务容器镜像创建的;所述目标容器包括所述主机节点的容器集群中的业务容器及所述业务容器的镜像;策略获取模块,用于基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略;策略发送模块,用于将所述目标容器的防护策略返回所述主机节点,以使所述主机节点触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
第五方面,本发明实施例提供了一种Docker容器环境的安全防护系统,所述系统包括镜像仓库、管理节点和多个主机节点;其中,所述主机节点设置有上述第三方面所述的Docker容器环境的安全防护装置;所述管理节点设置有上述第四方面所述的Docker容器环境的安全防护装置。
第六方面,本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现如第一方面或第二方面所述的方法。
本发明实施例提供了一种Docker容器环境的安全防护方法、装置及系统,该方法应用于云计算系统中的主机节点,云计算系统的镜像仓库中预存有安全服务容器镜像,该方法包括:首先从镜像仓库中获取安全服务容器镜像,并根据安全服务容器镜像在主机节点的容器集群中创建安全服务容器;然后触发安全服务容器(包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护)对容器集群中的目标容器(包括容器集群中的业务容器及业务容器的镜像)进行检测,得到目标容器的运行数据和运行日志;再将目标容器的运行数据和运行日志发送至云计算系统的管理节点,以使管理节点基于目标容器的运行数据和运行日志返回目标容器的防护策略;最后触发安全服务容器基于防护策略对目标容器进行安全防护。在该方法中,通过基于安全服务容器的功能对容器集群中的业务容器及业务容器的镜像进行漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护,并获取管理节点针对目标容器的运行数据和运行日志产生的防护策略,使安全服务容器基于防护策略对容器集群中的容器进行了全局防护,提升了容器防护的安全性。
本发明实施例提供了一种Docker容器环境的安全防护方法、装置及系统,该方法应用于云计算系统中的管理节点,云计算系统的镜像仓库中预存有安全服务容器镜像,该方法包括:首先从云计算系统中的主机节点获取目标容器(包括容器集群中的业务容器及业务容器的镜像)的运行数据和运行日志(由主机节点上的安全服务容器检测目标容器得到的;安全服务容器为主机节点根据镜像仓库中的安全服务容器镜像创建的);再基于目标容器的运行数据和运行日志获取目标容器的防护策略;最后将目标容器的防护策略返回主机节点,以使主机节点触发安全服务容器基于防护策略对目标容器进行安全防护。该方法通过使管理节点基于目标容器的运行数据和运行日志获取目标容器的防护策略,并使安全服务容器基于防护策略对目标容器进行安全防护,实现了对容器集群中的业务容器及业务容器的镜像的安全防护,提升了容器防护的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种Docker容器环境的安全防护方法流程图;
图2为本发明实施例提供的一种镜像与容器的关系图;
图3为本发明实施例提供的一种Docker容器环境的安全防护方法流程图;
图4为本发明实施例提供的一种云计算系统结构示意图;
图5为本发明实施例提供的一种Docker容器环境的安全防护方法流程图;
图6为本发明实施例提供的一种Docker容器环境的安全防护装置结构示意图;
图7为本发明实施例提供的一种Docker容器环境的安全防护装置结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有的Docker容器安全防护技术还存在因缺少对容器内部环境的全局防护,而导致的容器防护安全性较低的问题,本发明实施例提供了一种Docker容器环境的安全防护方法、装置及系统,可以应用于提升容器防护的安全性。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种Docker容器环境的安全防护方法、装置及系统进行详细介绍。
本发明实施例提供了一种Docker容器环境的安全防护方法,参见如图1所示的Docker容器环境的安全防护方法流程图,该方法应用于云计算系统中的主机节点,云计算系统的镜像仓库中预存有安全服务容器镜像,该方法包括以下步骤S102~步骤S108:
步骤S102:从镜像仓库中获取安全服务容器镜像,并根据安全服务容器镜像在主机节点的容器集群中创建安全服务容器。
上述镜像仓库中存储有预先创建好的安全服务容器镜像,每个集群的主机节点上通过容器引擎拉起安全服务容器镜像,并部署分发至容器集群中,从而在主机节点的容器集群中创建安全服务容器(也可以称为安全服务容器实例)。其中,镜像与容器的关系为:参见如图2所示的镜像与容器的关系图,云计算系统(也可以称为云计算环境)设置有镜像仓库,镜像仓库设置有个多个容器镜像,包括容器镜像1~容器镜像N,容器镜像包含了容器在运行时所必需的程序、库、资源、配置文件等,为容器的运行提供稳定的基础软环境,此外,镜像中也固化了一些容器运行时必不可少的系统配置参数。通过容器仓库中的容器镜像,可以在主机节点中下载容器镜像,并通过容器引擎创建容器镜像1~容器镜像N对应的容器1~容器N。容器是镜像创建启动后的实例,类似linux系统环境,运行和隔离不同的业务应用。容器从镜像创建启动时,会在镜像的最上一层创建一个可写入层,用于写入维持容器内动态数据的变化。通过容器管理界面可以管理容器创建、启动、停止、删除、暂停等全生命周期的操作。如图2所示,一个容器镜像被多个容器共享,可以同时启动多个容器,而一组应用通常是由一个或多个容器所构成的。
步骤S104:触发安全服务容器对容器集群中的目标容器进行检测,得到目标容器的运行数据和运行日志;其中,安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;目标容器包括容器集群中的业务容器及业务容器的镜像。
上述安全服务容器部署于主机节点上,并可以与主机节点的容器集群中的业务容器进行通信。通过触发上述安全服务容器基于安全服务容器的功能(包括漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护中的一种或多种)对容器集群中的除安全服务容器之外的其他业务容器,及业务容器的镜像进行检测,以全局监控容器集群中的业务容器及业务容器的镜像的安全状态,并将目标容器的运行数据和运行日志作为检测结果。
步骤S106:将目标容器的运行数据和运行日志发送至云计算系统的管理节点,以使管理节点基于目标容器的运行数据和运行日志返回目标容器的防护策略。
各主机节点中的安全服务容器将得到的检测结果发送给云计算系统的管理节点,管理节点会针对各主机节点的目标容器的运行数据和运行日志制定相应的防护策略,使管理节点可以对多个主机节点的安全状态进行统一管理。
步骤S108:触发安全服务容器基于防护策略对目标容器进行安全防护。
当管理节点返回目标容器的防护策略时,会触发安全服务容器执行与上述防护策略相应的容器安全防护操作。
本实施例提供的上述Docker容器环境的安全防护方法,通过基于安全服务容器对容器集群中的业务容器及业务容器的镜像进行漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护,并获取管理节点针对目标容器的运行数据和运行日志产生的防护策略,使安全服务容器基于防护策略对容器集群中的容器进行了全局防护,提升了容器防护的安全性。
为了实现对容器集群中的容器的全面检测,本实施例提供了触发安全服务容器对容器集群中的目标容器进行检测,得到目标容器的运行数据和运行日志的具体实施方式,具体可参照如下步骤(1)~步骤(2)执行:
步骤(1):基于安全服务容器对容器集群中的目标容器进行检测。具体可参照如下实施方式一~实施方式四执行:
实施方式一:当安全服务容器的功能包括漏洞扫描时,触发安全服务容器对目标容器进行漏洞扫描,获得漏洞扫描检测结果。对容器集群中的业务容器及业务容器的镜像进行漏洞扫描,以检测其在线操作系统、版本、对应端口、服务以及其版本匹配漏洞。
实施方式二:当安全服务容器的功能包括安全访问设置时,触发安全服务容器设置目标容器的安全白名单;其中,安全白名单中存储有能够访问目标容器的合法IP。可以为容器集群中的单一业务容器或业务容器组设置访问控制规则和安全白名单,阻断一切来源于外部的非法入侵访问和恶意篡改,提高容器运行的可靠性和应用的安全性。
实施方式三:当安全服务容器的功能包括状态监控时,触发安全服务容器对目标容器进行状态监控,获得目标容器的状态监控结果;其中,状态监控结果包括流量状态监控结果和运行状态监控结果。实时监控所有主机节点上运行的业务容器的进出流量及容器的运行状态,自动检测容器在集群内部各主机节点之间的迁移,基于安全分析结果自动设置容器防护策略,同一个容器镜像对应运行的所有工作节点中的容器都会被自动防护。
实施方式四:当安全服务容器的功能包括关键文件和关键进程防护时,触发安全服务容器将目标容器的关键文件和关键进程设置为保护模式,并在关键文件和关键进程被更改时生成文件更改日志。将目标容器的关键进程和关键文件(诸如关键系统文件目录/root、/bin、/var)设置为只读模式,防被恶意入侵和篡改,对发生的篡改行为形成详细日志记录,以便追溯篡改攻击源。
在一种具体的实施方式中,上述安全服务容器的功能可以包括漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护中的多种功能,当上述安全服务容器包括多种功能时,可以参照上述实施方式一~实施方式四中各个安全服务容器的检测方式对容器集群中的目标容器进行检测,诸如,当上述安全服务容器的功能包括漏洞扫描、安全访问设置和状态监控时,采用上述方式一~实施方式三对容器集群中的目标容器进行检测。
步骤(2):根据漏洞扫描检测结果和状态监控结果生成目标容器的运行数据,根据目标容器的合法IP和文件更改日志生成目标容器的运行日志。其中,目标容器的运行数据中记载了每个业务容器及业务容器的镜像的漏洞扫描检测结果和状态监控结果,目标容器的运行日志中记载了每个业务容器及业务容器的镜像的合法IP和文件更改日志。
为了进一步提升对容器防护的安全性,本实施例提供了触发安全服务容器基于防护策略对目标容器进行安全防护的具体实施方式:
通过安全服务容器接收云计算系统的管理节点返回的目标容器的防护策略。触发安全服务容器根据目标容器的防护策略对容器集群中的异常容器进行异常容器告警并执行防护处理操作;其中,防护处理操作包括漏洞补丁修复和/或隔离异常状态容器。当业务容器的检测结果存在异常时,管理节点会根据业务容器的运行数据和运行日志,向安全服务容器返回相应的防护策略,以使安全服务容器对业务容器进行防护处理操作,诸如,当业务容器存在漏洞时,安全服务容器会对存在漏洞的业务容器进行漏洞补丁修复,当发现容器逃逸攻击、逃逸文件访问等异常行为状态时,及时对异常状态容器进行告警并给出相应地处置建议,例如隔离异常状态容器。
本实施例提供的上述Docker容器环境的安全防护方法,通过在虚拟化环境或者容器环境中以容器化的方式部署运行安全服务容器,利用安全服务容器的安全服务能力对容器环境中所有的容器镜像进行漏洞扫描,根据扫描结果给出解决方案或加固建议,同时针对容器的安全策略进行统一管理,具备安全白名单和容器防逃逸功能,从整体上提升了容器应用环境的安全能力。
对应于上述Docker容器环境的安全防护方法,本发明实施例提供了另一种Docker容器环境的安全防护方法,参见如图3所示的Docker容器环境的安全防护方法流程图,该方法应用于云计算系统中的管理节点,云计算系统的镜像仓库中预存有安全服务容器镜像,该方法包括以下步骤S302~步骤S306:
步骤S302:从云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,目标容器的运行数据和运行日志为主机节点上的安全服务容器检测目标容器得到的;安全服务容器为主机节点根据镜像仓库中的安全服务容器镜像创建的;目标容器包括容器集群中的业务容器及所述业务容器的镜像。
上述目标容器的运行数据和运行日志为安全服务容器基于其漏洞扫描、安全访问设置实例、状态监控,以及关键文件和关键进程防护等功能中的一种或多种功能检测目标容器得到的。管理节点从云计算系统中的主机节点获取目标容器的运行数据和运行日志,或者是管理节点接收主机节点的安全服务容器发送的目标容器的运行数据和运行日志。
步骤S304:基于目标容器的运行数据和运行日志获取目标容器的防护策略。
管理节点基于主机节点的容器集群中的业务容器及业务容器的镜像的运行数据和运行日志,判断业务容器及业务容器的镜像是否处于异常状态,并获取处于异常状态的业务容器及业务容器的镜像的防护策略。
步骤S306:将目标容器的防护策略返回主机节点,以使主机节点触发安全服务容器基于防护策略对目标容器进行安全防护。
管理节点将获取到的针对目标容器的防护策略发送至主机节点的安全服务容器,以便主机节点的安全服务容器根据管理节点返回的防护策略进行安全防护。
本实施例提供的上述Docker容器环境的安全防护方法,通过使管理节点基于目标容器的运行数据和运行日志获取目标容器的防护策略,并使安全服务容器基于防护策略对目标容器进行安全防护,实现了对容器集群中的业务容器及业务容器的镜像的安全防护,提升了容器防护的安全性。
在一种具体的实施方式中,上述方法还包括:
从镜像仓库中获取管理容器镜像,并根据管理容器镜像在管理节点中创建管理容器。上述管理容器单独部署于管理节点中,该管理容器可以统一管理云计算系统中全局所有主机节点的安全服务容器,并与所有的安全服务容器进行信息通信。
为了对目标容器制定全面的防护策略,本实施例提供了基于目标容器的运行数据和运行日志获取目标容器的防护策略的具体实施方式:通过管理容器触发云计算系统中的大数据安全分析组件,使大数据安全分析组件基于智能算法对目标容器的运行数据和运行日志进行细粒度分析,得到目标容器的防护策略;其中,目标容器的防护策略包括开启防护、关闭防护、编辑策略、删除策略、镜像应用策略、忽略漏洞影响和取消忽略漏洞影响中的一种或多种。上述大数据安全分析组件可以设置于管理节点内,也可以独立设置于管理节点外的其他电子设备上。管理容器将获取到的目标容器的运行数据和运行日志发送至大数据安全分析组件,以使大数据安全分析组件对目标容器的运行数据和运行日志进行安全分析,得到目标容器的防护策略,大数据安全分析组件将得到的目标容器的防护策略发送至管理容器,以使管理容器将目标容器的防护策略返回至对应主机节点的安全服务容器。
本实施例提供的上述Docker容器环境的安全防护方法,通过在虚拟化环境或者容器环境中以容器化的方式部署运行安全服务实例,利用安全服务能力对容器环境中所有的容器镜像进行漏洞扫描,根据扫描结果给出解决方案或加固建议,同时针对容器的安全策略进行统一管理,具备安全白名单和容器防逃逸功能,从整体上提升了容器应用环境的安全能力。
本实施例提供了一种Docker容器环境的安全防护方法,为便于理解,本实施例首先对该方法的应用环境结构进行介绍,参见如图4所示的云计算系统结构示意图,该系统包括镜像仓库、管理节点和多个主机节点(主机节点1~主机节点N),其中,如图4所示,管理节点包括管理容器和容器引擎,管理容器是根据从镜像仓库中下载的管理容器镜像创建的,图4中的大数据安全分析组件可以设置于管理节点内,也可以设置于管理节点外部。主机节点为承载容器的实际载体,为容器提供运行所需的CPU、内存等物理资源,每个主机节点包括容器引擎和容器集群,其中,容器集群中有一个安全服务容器和若干个业务容器(容器1~容器N),容器1~容器N是根据从镜像仓库下载的容器镜像创建的。管理节点和主机节点可以从镜像仓库下载业务容器镜像,从而创建业务容器,管理节点中的管理容器可以与各主机节点的安全服务容器进行通信。其中,上述容器引擎为容器运行的核心组件,负责与系统内核直接交互,并提供相应的API使外部能够与之集成相关的工具或服务。
本实施例提供的Docker容器环境的安全防护方法,可以应用于图4所示的云计算系统,参见如图5所示的Docker容器环境的安全防护方法流程图,该方法主要包括以下步骤S502~步骤S512:
步骤S502:从镜像仓库中获取安全服务容器镜像,并根据安全服务容器镜像在主机节点的容器集群中创建安全服务容器。
步骤S504:触发安全服务容器对容器集群中的目标容器进行检测,得到目标容器的运行数据和运行日志。其中,安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;目标容器包括容器集群中的业务容器及业务容器的镜像。
步骤S506:将目标容器的运行数据和运行日志发送至云计算系统的管理节点。
步骤S508:基于目标容器的运行数据和运行日志获取目标容器的防护策略。
步骤S510:将目标容器的防护策略返回主机节点。
步骤S512:基于防护策略对目标容器进行安全防护。
本实施例提供的上述Docker容器环境的安全防护方法,通过在虚拟化环境或者容器环境中以容器化的方式部署运行安全服务实例,利用安全服务容器对容器环境中所有的容器及镜像进行漏洞扫描,根据扫描结果给出解决方案或加固建议,同时针对容器的安全策略进行统一管理,具备安全白名单和容器防逃逸功能,从整体上提升了容器应用环境的安全能力。
对应于上述Docker容器环境的安全防护方法,本实施例提供了一种Docker容器环境的安全防护装置,该装置设置于云计算系统中的主机节点,云计算系统的镜像仓库中预存有安全服务容器镜像,参见如图6所示的Docker容器环境的安全防护装置结构示意图,该装置包括:
容器创建模块61,用于从镜像仓库中获取安全服务容器镜像,并根据安全服务容器镜像在主机节点的容器集群中创建安全服务容器。
安全检测模块62,用于触发安全服务容器对容器集群中的目标容器进行检测,得到目标容器的运行数据和运行日志;其中,安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;目标容器包括容器集群中的业务容器及业务容器的镜像。
日志发送模块63,用于将目标容器的运行数据和运行日志发送至云计算系统的管理节点,以使管理节点基于目标容器的运行数据和运行日志返回目标容器的防护策略。
容器防护模块64,用于触发安全服务容器基于防护策略对目标容器进行安全防护。
本发明实施例提供的上述Docker容器环境的安全防护装置,通过基于安全服务容器对容器集群中的业务容器及业务容器的镜像进行漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护,并获取管理节点针对目标容器的运行数据和运行日志产生的防护策略,使安全服务容器基于防护策略对容器集群中的容器进行了全局防护,提升了容器防护的安全性。
在一种实施方式中,上述安全检测模块62,进一步用于在安全服务容器的功能包括漏洞扫描时,触发安全服务容器对目标容器进行漏洞扫描,获得漏洞扫描检测结果;当安全服务容器的功能包括安全访问设置时,触发安全服务容器设置目标容器的安全白名单;其中,安全白名单中存储有能够访问目标容器的合法IP;当安全服务容器的功能包括状态监控时,触发安全服务容器对目标容器进行状态监控,获得目标容器的状态监控结果;其中,状态监控结果包括流量状态监控结果和运行状态监控结果;当安全服务容器的功能包括关键文件和关键进程防护时,触发安全服务容器将目标容器的关键文件和关键进程设置为保护模式,并在关键文件和关键进程被更改时生成文件更改日志;根据漏洞扫描检测结果和状态监控结果生成目标容器的运行数据,根据目标容器的合法IP和文件更改日志生成目标容器的运行日志。
在一种实施方式中,上述容器防护模块64,进一步用于通过安全服务容器接收云计算系统的管理节点返回的目标容器的防护策略;触发安全服务容器根据目标容器的防护策略对容器集群中的异常容器进行异常容器告警并执行防护处理操作;其中,防护处理操作包括漏洞补丁修复和/或隔离异常状态容器。
对应于上述另一种Docker容器环境的安全防护方法,本实施例提供了另一种Docker容器环境的安全防护装置,该装置设置于云计算系统中的管理节点,云计算系统的镜像仓库中预存有安全服务容器镜像,参见如图7所示的Docker容器环境的安全防护装置结构示意图,该装置包括:
日志获取模块71,用于从云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,目标容器的运行数据和运行日志为主机节点上的安全服务容器检测目标容器得到的;安全服务容器为主机节点根据镜像仓库中的安全服务容器镜像创建的;目标容器包括容器集群中的业务容器及所述业务容器的镜像。
策略获取模块72,用于基于目标容器的运行数据和运行日志获取目标容器的防护策略。
策略发送模块73,用于将目标容器的防护策略返回主机节点,以使主机节点触发安全服务容器基于防护策略对目标容器进行安全防护。
本发明实施例提供的上述Docker容器环境的安全防护装置,通过使管理节点基于目标容器的运行数据和运行日志获取目标容器的防护策略,并使安全服务容器基于防护策略对目标容器进行安全防护,实现了对容器集群中的业务容器及业务容器的镜像的安全防护,提升了容器防护的安全性。
在一种实施方式中,上述装置还包括:
管理容器创建模块,用于从镜像仓库中获取管理容器镜像,并根据管理容器镜像在管理节点中创建管理容器。
在一种实施方式中,上述策略获取模块72,进一步用于通过管理容器触发云计算系统中的大数据安全分析组件,使大数据安全分析组件基于智能算法对目标容器的运行数据和运行日志进行细粒度分析,得到目标容器的防护策略;其中,目标容器的防护策略包括开启防护、关闭防护、编辑策略、删除策略、镜像应用策略、忽略漏洞影响和取消忽略漏洞影响中的一种或多种。
本发明实施例提供的上述Docker容器环境的安全防护装置,通过在虚拟化环境或者容器环境中以容器化的方式部署运行安全服务实例,利用安全服务能力对容器环境中所有的容器镜像进行漏洞扫描,根据扫描结果给出解决方案或加固建议,同时针对容器的安全策略进行统一管理,具备安全白名单和容器防逃逸功能,从整体上提升了容器应用环境的安全能力。
对应于上述装置实施例,本实施例提供了一种Docker容器环境的安全防护系统,该系统包括镜像仓库、管理节点和多个主机节点;其中,主机节点设置有上述实施例提供的Docker容器环境的安全防护装置;管理节点设置有上述实施例提供的另一种Docker容器环境的安全防护装置。
本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现上述实施例所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种Docker容器环境的安全防护方法,其特征在于,所述方法应用于云计算系统中的主机节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述方法包括:
从所述镜像仓库中获取安全服务容器镜像,并根据所述安全服务容器镜像在所述主机节点的容器集群中创建安全服务容器;
触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志;其中,所述安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;所述目标容器包括所述容器集群中的业务容器及所述业务容器的镜像;
将所述目标容器的运行数据和运行日志发送至所述云计算系统的管理节点,以使所述管理节点基于所述目标容器的运行数据和运行日志返回所述目标容器的防护策略;
触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
2.根据权利要求1所述的方法,其特征在于,所述触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志的步骤包括:
当所述安全服务容器的功能包括漏洞扫描时,触发所述安全服务容器对所述目标容器进行漏洞扫描,获得漏洞扫描检测结果;
当所述安全服务容器的功能包括安全访问设置时,触发所述安全服务容器设置所述目标容器的安全白名单;其中,所述安全白名单中存储有能够访问所述目标容器的合法IP;
当所述安全服务容器的功能包括状态监控时,触发所述安全服务容器对所述目标容器进行状态监控,获得所述目标容器的状态监控结果;其中,所述状态监控结果包括流量状态监控结果和运行状态监控结果;
当所述安全服务容器的功能包括关键文件和关键进程防护时,触发所述安全服务容器将所述目标容器的关键文件和关键进程设置为保护模式,并在所述关键文件和所述关键进程被更改时生成文件更改日志;
根据所述漏洞扫描检测结果和所述状态监控结果生成所述目标容器的运行数据,根据所述目标容器的合法IP和所述文件更改日志生成所述目标容器的运行日志。
3.根据权利要求1或2所述的方法,其特征在于,所述触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护的步骤,包括:
通过所述安全服务容器接收所述云计算系统的管理节点返回的所述目标容器的防护策略;
触发所述安全服务容器根据所述目标容器的防护策略对所述容器集群中的异常容器进行异常容器告警并执行防护处理操作;其中,所述防护处理操作包括漏洞补丁修复和/或隔离异常状态容器。
4.一种Docker容器环境的安全防护方法,其特征在于,所述方法应用于云计算系统中的管理节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述方法包括:
从所述云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,所述目标容器的运行数据和运行日志为所述主机节点上的安全服务容器检测目标容器得到的;所述安全服务容器为所述主机节点根据所述镜像仓库中的安全服务容器镜像创建的;所述目标容器包括所述主机节点的容器集群中的业务容器及所述业务容器的镜像;
基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略;
将所述目标容器的防护策略返回所述主机节点,以使所述主机节点触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
从所述镜像仓库中获取管理容器镜像,并根据所述管理容器镜像在所述管理节点中创建管理容器。
6.根据权利要求5所述的方法,其特征在于,所述基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略的步骤,包括:
通过所述管理容器触发所述云计算系统中的大数据安全分析组件,使所述大数据安全分析组件基于智能算法对所述目标容器的运行数据和运行日志进行细粒度分析,得到所述目标容器的防护策略;其中,所述目标容器的防护策略包括开启防护、关闭防护、编辑策略、删除策略、镜像应用策略、忽略漏洞影响和取消忽略漏洞影响中的一种或多种。
7.一种Docker容器环境的安全防护装置,其特征在于,所述装置设置于云计算系统中的主机节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述装置包括:
容器创建模块,用于从所述镜像仓库中获取安全服务容器镜像,并根据所述安全服务容器镜像在所述主机节点的容器集群中创建安全服务容器;
安全检测模块,用于触发所述安全服务容器对所述容器集群中的目标容器进行检测,得到所述目标容器的运行数据和运行日志;其中,所述安全服务容器包括以下功能至少之一:漏洞扫描、安全访问设置、状态监控,以及关键文件和关键进程防护;所述目标容器包括所述容器集群中的业务容器及所述业务容器的镜像;
日志发送模块,用于将所述目标容器的运行数据和运行日志发送至所述云计算系统的管理节点,以使所述管理节点基于所述目标容器的运行数据和运行日志返回所述目标容器的防护策略;
容器防护模块,用于触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
8.一种Docker容器环境的安全防护装置,其特征在于,所述装置设置于云计算系统中的管理节点,所述云计算系统的镜像仓库中预存有安全服务容器镜像,所述装置包括:
日志获取模块,用于从所述云计算系统中的主机节点获取目标容器的运行数据和运行日志;其中,所述目标容器的运行数据和运行日志为所述主机节点上的安全服务容器检测目标容器得到的;安全服务容器为所述主机节点根据所述镜像仓库中的安全服务容器镜像创建的;所述目标容器包括所述主机节点的容器集群中的业务容器及所述业务容器的镜像;
策略获取模块,用于基于所述目标容器的运行数据和运行日志获取所述目标容器的防护策略;
策略发送模块,用于将所述目标容器的防护策略返回所述主机节点,以使所述主机节点触发所述安全服务容器基于所述防护策略对所述目标容器进行安全防护。
9.一种Docker容器环境的安全防护系统,其特征在于,所述系统包括镜像仓库、管理节点和多个主机节点;其中,所述主机节点设置有上述权利要求7所述的Docker容器环境的安全防护装置;所述管理节点设置有上述权利要求8所述的Docker容器环境的安全防护装置。
10.一种计算机可读介质,其特征在于,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现上述权利要求1-3任一项所述的方法或权利要求4-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911139691.2A CN110851241A (zh) | 2019-11-20 | 2019-11-20 | Docker容器环境的安全防护方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911139691.2A CN110851241A (zh) | 2019-11-20 | 2019-11-20 | Docker容器环境的安全防护方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110851241A true CN110851241A (zh) | 2020-02-28 |
Family
ID=69602969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911139691.2A Pending CN110851241A (zh) | 2019-11-20 | 2019-11-20 | Docker容器环境的安全防护方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110851241A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111523111A (zh) * | 2020-04-20 | 2020-08-11 | 北京中软华泰信息技术有限责任公司 | 一种用于k8s环境的docker白名单执行控制方法 |
CN111741010A (zh) * | 2020-07-16 | 2020-10-02 | 北京升鑫网络科技有限公司 | 一种基于代理的Docker操作请求处理方法、装置及计算设备 |
CN111782432A (zh) * | 2020-06-29 | 2020-10-16 | 中国工商银行股份有限公司 | 用于容器异常分析的数据的采集方法及装置 |
CN111796904A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
CN111813497A (zh) * | 2020-06-30 | 2020-10-23 | 绿盟科技集团股份有限公司 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
CN111859392A (zh) * | 2020-07-14 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种镜像管控方法、装置、设备及存储介质 |
CN112003821A (zh) * | 2020-07-14 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种云平台安全管理方法、系统以及安全管理服务器 |
CN112528200A (zh) * | 2020-12-10 | 2021-03-19 | 中国农业科学院农业信息研究所 | 一种网站后台安全管控方法及系统 |
CN112613041A (zh) * | 2020-12-25 | 2021-04-06 | 南方电网深圳数字电网研究院有限公司 | 容器镜像检测方法和装置、电子设备、存储介质 |
CN112671576A (zh) * | 2020-12-23 | 2021-04-16 | 北京浪潮数据技术有限公司 | 一种Kafka集群安全控制服务的部署方法、装置及设备 |
CN113221103A (zh) * | 2021-05-08 | 2021-08-06 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN113220417A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 限制Docker容器行为的安全防护方法 |
CN113794717A (zh) * | 2021-09-14 | 2021-12-14 | 京东科技信息技术有限公司 | 一种安全调度方法、装置及相关设备 |
CN114253654A (zh) * | 2020-09-22 | 2022-03-29 | 中国电信股份有限公司 | 容器云策略调度方法和装置 |
CN114338687A (zh) * | 2021-12-23 | 2022-04-12 | 中国农业银行股份有限公司 | 中间件管理方法和服务器 |
CN115150129A (zh) * | 2022-06-06 | 2022-10-04 | 阿里云计算有限公司 | 容器安全控制及容器处理方法、电子设备及存储介质 |
WO2023066245A1 (zh) * | 2021-10-18 | 2023-04-27 | 中兴通讯股份有限公司 | 容器引擎和容器引擎的实现方法、电子设备、存储介质 |
WO2023109460A1 (en) * | 2021-12-13 | 2023-06-22 | International Business Machines Corporation | Clustered container protection |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106776005A (zh) * | 2016-11-23 | 2017-05-31 | 华中科技大学 | 一种面向容器化应用的资源管理系统及方法 |
CN109586999A (zh) * | 2018-11-12 | 2019-04-05 | 深圳先进技术研究院 | 一种容器云平台状态监控预警系统、方法及电子设备 |
CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
CN110262941A (zh) * | 2019-05-28 | 2019-09-20 | 深圳市汇川技术股份有限公司 | 应用程序容器集群报警实现方法、系统、设备及存储介质 |
-
2019
- 2019-11-20 CN CN201911139691.2A patent/CN110851241A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106776005A (zh) * | 2016-11-23 | 2017-05-31 | 华中科技大学 | 一种面向容器化应用的资源管理系统及方法 |
CN109586999A (zh) * | 2018-11-12 | 2019-04-05 | 深圳先进技术研究院 | 一种容器云平台状态监控预警系统、方法及电子设备 |
CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
CN110262941A (zh) * | 2019-05-28 | 2019-09-20 | 深圳市汇川技术股份有限公司 | 应用程序容器集群报警实现方法、系统、设备及存储介质 |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111523111B (zh) * | 2020-04-20 | 2023-07-07 | 北京中软华泰信息技术有限责任公司 | 一种用于k8s环境的docker白名单执行控制方法 |
CN111523111A (zh) * | 2020-04-20 | 2020-08-11 | 北京中软华泰信息技术有限责任公司 | 一种用于k8s环境的docker白名单执行控制方法 |
CN111796904B (zh) * | 2020-05-21 | 2024-02-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
CN111796904A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
CN111782432B (zh) * | 2020-06-29 | 2024-03-22 | 中国工商银行股份有限公司 | 用于容器异常分析的数据的采集方法及装置 |
CN111782432A (zh) * | 2020-06-29 | 2020-10-16 | 中国工商银行股份有限公司 | 用于容器异常分析的数据的采集方法及装置 |
CN111813497A (zh) * | 2020-06-30 | 2020-10-23 | 绿盟科技集团股份有限公司 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
CN112003821A (zh) * | 2020-07-14 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种云平台安全管理方法、系统以及安全管理服务器 |
CN111859392A (zh) * | 2020-07-14 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种镜像管控方法、装置、设备及存储介质 |
CN112003821B (zh) * | 2020-07-14 | 2022-09-09 | 烽火通信科技股份有限公司 | 一种云平台安全管理方法、系统以及安全管理服务器 |
CN111741010B (zh) * | 2020-07-16 | 2020-12-01 | 北京升鑫网络科技有限公司 | 一种基于代理的Docker操作请求处理方法、装置及计算设备 |
CN111741010A (zh) * | 2020-07-16 | 2020-10-02 | 北京升鑫网络科技有限公司 | 一种基于代理的Docker操作请求处理方法、装置及计算设备 |
CN114253654A (zh) * | 2020-09-22 | 2022-03-29 | 中国电信股份有限公司 | 容器云策略调度方法和装置 |
CN114253654B (zh) * | 2020-09-22 | 2023-12-22 | 中国电信股份有限公司 | 容器云策略调度方法和装置 |
CN112528200A (zh) * | 2020-12-10 | 2021-03-19 | 中国农业科学院农业信息研究所 | 一种网站后台安全管控方法及系统 |
CN112671576A (zh) * | 2020-12-23 | 2021-04-16 | 北京浪潮数据技术有限公司 | 一种Kafka集群安全控制服务的部署方法、装置及设备 |
CN112671576B (zh) * | 2020-12-23 | 2022-05-24 | 北京浪潮数据技术有限公司 | 一种Kafka集群安全控制服务的部署方法、装置及设备 |
CN112613041A (zh) * | 2020-12-25 | 2021-04-06 | 南方电网深圳数字电网研究院有限公司 | 容器镜像检测方法和装置、电子设备、存储介质 |
CN113220417A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 限制Docker容器行为的安全防护方法 |
CN113220417B (zh) * | 2021-05-06 | 2022-10-04 | 西安电子科技大学 | 限制Docker容器行为的安全防护方法 |
CN113221103B (zh) * | 2021-05-08 | 2022-09-20 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN113221103A (zh) * | 2021-05-08 | 2021-08-06 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN113794717A (zh) * | 2021-09-14 | 2021-12-14 | 京东科技信息技术有限公司 | 一种安全调度方法、装置及相关设备 |
WO2023066245A1 (zh) * | 2021-10-18 | 2023-04-27 | 中兴通讯股份有限公司 | 容器引擎和容器引擎的实现方法、电子设备、存储介质 |
WO2023109460A1 (en) * | 2021-12-13 | 2023-06-22 | International Business Machines Corporation | Clustered container protection |
CN114338687A (zh) * | 2021-12-23 | 2022-04-12 | 中国农业银行股份有限公司 | 中间件管理方法和服务器 |
CN115150129A (zh) * | 2022-06-06 | 2022-10-04 | 阿里云计算有限公司 | 容器安全控制及容器处理方法、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110851241A (zh) | Docker容器环境的安全防护方法、装置及系统 | |
US11663031B2 (en) | Techniques for securing virtual cloud assets at rest against cyber threats | |
US11068585B2 (en) | Filesystem action profiling of containers and security enforcement | |
US10528726B1 (en) | Microvisor-based malware detection appliance architecture | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
RU2645268C2 (ru) | Сложное классифицирование для выявления вредоносных программ | |
KR101626424B1 (ko) | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 | |
US20160191550A1 (en) | Microvisor-based malware detection endpoint architecture | |
US9177145B2 (en) | Modified file tracking on virtual machines | |
US8955131B2 (en) | Method and system for proactive detection of malicious shared libraries via a remote reputation system | |
CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
US11409862B2 (en) | Intrusion detection and prevention for unknown software vulnerabilities using live patching | |
US10642986B2 (en) | Detecting unknown software vulnerabilities and system compromises | |
US11775638B2 (en) | Identification and extraction of key forensics indicators of compromise using subject-specific filesystem views | |
KR20180097527A (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
US9946879B1 (en) | Establishing risk profiles for software packages | |
CN103632101A (zh) | 一种拦截系统调用的方法和装置 | |
US8782809B2 (en) | Limiting information leakage and piracy due to virtual machine cloning | |
CN110188574A (zh) | 一种Docker容器的网页防篡改系统及其方法 | |
US9965618B1 (en) | Reducing privileges for imported software packages | |
CN112597492B (zh) | 一种基于Windows内核的二进制可执行文件更改监测方法 | |
CN113518055B (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
KR102309695B1 (ko) | 호스트 침입 탐지를 위한 파일 기반 제어방법 및 장치 | |
CN113504971B (zh) | 基于容器的安全拦截方法及系统 | |
CN116956310B (zh) | 漏洞防护方法、装置、设备和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |