CN112099900A - 一种基于Sidecar模式的容器安全方法及系统 - Google Patents
一种基于Sidecar模式的容器安全方法及系统 Download PDFInfo
- Publication number
- CN112099900A CN112099900A CN202010817422.3A CN202010817422A CN112099900A CN 112099900 A CN112099900 A CN 112099900A CN 202010817422 A CN202010817422 A CN 202010817422A CN 112099900 A CN112099900 A CN 112099900A
- Authority
- CN
- China
- Prior art keywords
- container
- kernel
- authentication
- host machine
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于Sidecar模式的容器安全方法及系统,所述方法包括如下过程:当容器应用container要对宿主机kernel做涉及内核的核心操作时,通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互;容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前,先对宿主机kernel进行鉴权,对于鉴权通过的执行操作,调用执行工具进行宿主机操作系统内核命令的执行;对于鉴权不通过的指令进行拦截返回。解决了当前在物理机上进行容器创建面对的权限管理繁琐和系统安全性差的问题。
Description
技术领域
本发明涉及云计算技术领域,具体涉及一种基于Sidecar模式的容器安全方法及系统。
背景技术
当前容器的安全技术一是通过在物理机的基础上创建虚拟机,虚拟机内部进行容器的创建;二是直接在物理机上进行容器的创建。
在虚拟机内部进行容器创建的方式达到通过赋予不同租户虚拟机权限来实现了租户的隔离,但是浪费了计算和存储等资源。
在物理机上进行容器的创建,缺少对于不同租户容器的隔离技术,无法实现租户的隔离,面对系统安全不足和权限管理繁琐等问题。
考虑到K8S已经成为事实上容器编排技术的解决方案,以及SrviceMesh技术的生产可用。本发明旨在通过在容器运行的POD内增加容器安全权限认证的容器,对于租户的权限使用ServiceMesh技术进行集中的权限认证,实现容器对于操作系统内核的操作进行限制,来保证在物理机上使用不同容器的租户权限管理,以及对于操作系统内核操作安全的保障。
发明内容
针对当前在物理机上进行容器创建面对的权限管理繁琐和系统安全性差的问题,本发明提供一种基于Sidecar模式的容器安全方法及系统。
本发明公开了一种基于Sidecar模式的容器安全方法,所述方法包括如下过程:
当容器应用container要对宿主机kernel做涉及内核的核心操作时,通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互;
容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前,先对宿主机kernel进行鉴权,对于鉴权通过的执行操作,调用执行工具进行宿主机操作系统内核命令的执行;对于鉴权不通过的指令进行拦截返回。
优选地,上述核心操作为涉及操作系统内核级别的操作内容,具体包括如下内容:
第一种:操作系统内核的编译升级;
第二种:驱动模块的操作,硬件驱动重新编译加载到内核;
第三种:根据不同业务场景,对内核参数进行调优。
优选地,上述Sidecar模式指只有通过在宿主机kernel上安全认证通过的容器应用container获得进行内核级操作权限的安全模式。
优选地,上述对于鉴权通过的执行操作指容器应用container在宿主机kernel上直接和宿主机kernel进行交互。
优选地,上述鉴权的过程指容器应用container通过容器的SSL证书,使用HTTPS协议,和ServiceMesh控制平面安全认证组件进行远程交互,进行权限认证,所述ServiceMesh控制平面安全认证组件可对多个POD内的鉴权执行代理container权限进行集中认证。
优选地,上述方法的工作流程为:
步骤一:每个租户分配一个POD,当租户POD内的应用container需要对宿主机kernel的内核进行操作时,租户POD内的应用container首先向鉴权执行代理container发送鉴权请求;
步骤二:鉴权执行代理container通过容器的SSL证书,使用HTTPS协议和ServiceMesh控制平面的安全认证组件进行鉴权操作,返回后的鉴权信息存储在鉴权执行代理container内;
步骤三:鉴权执行代理container根据租户的权限以及租户的应用container请求来确定租户是否具备对宿主机内核操作的权限,如具备操作权限则进行操作;
步骤四:记录租户对宿主机内核操作的审计日志。
一种基于Sidecar模式的容器安全系统,所述系统包括:多个POD,每个POD内都设置有应用container和鉴权执行代理container,所述应用container与鉴权执行代理container进行数据交互;
多个宿主机kernel,每个宿主机kernel都对应连接POD内的鉴权执行代理container;
控制管理平面,控制管理平面内设有安全认证组件。
与现有技术相比,本发明的有益效果为:
采用本发明的一种基于Sidecar模式的容器安全方法及系统后,通过将租户应用container和鉴权执行代理container设置于一个POD内,通过鉴权执行代理container实现对用户权限的管理,同时提高了系统的安全性,解决了在物理机上进行容器创建带来的权限管理混乱和系统安全性差的问题。
附图说明
图1是本发明一种基于Sidecar模式的容器安全系统的系统架构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
参见图1,一种基于Sidecar模式的容器安全方法,所述方法包括如下过程:
当容器应用container要对宿主机kernel做涉及内核的核心操作时,通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互;
容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前,先对宿主机kernel进行鉴权,对于鉴权通过的执行操作,调用执行工具进行宿主机操作系统内核命令的执行;对于鉴权不通过的指令进行拦截返回。
具体实施时,上述核心操作为涉及操作系统内核级别的操作内容,具体包括如下内容:
第一种:操作系统内核的编译升级;
第二种:驱动模块的操作,硬件驱动重新编译加载到内核;
第三种:根据不同业务场景,对内核参数进行调优。
具体实施时,上述Sidecar模式指只有通过在宿主机kernel上安全认证通过的容器应用container获得进行内核级操作权限的安全模式。
具体实施时,上述对于鉴权通过的执行操作指容器应用container在宿主机kernel上直接和宿主机kernel进行交互。
具体实施时,上述鉴权的过程指容器应用container通过容器的SSL证书,使用HTTPS协议,和ServiceMesh控制平面安全认证组件进行远程交互,进行权限认证,所述ServiceMesh控制平面安全认证组件可对多个POD内的鉴权执行代理container权限进行集中认证。
具体实施时,上述方法的工作流程为:
步骤一:每个租户分配一个POD,当租户POD内的应用container需要对宿主机kernel的内核进行操作时,租户POD内的应用container首先向鉴权执行代理container发送鉴权请求;
步骤二:鉴权执行代理container通过SSL,使用HTTPS协议和ServiceMesh控制平面(该ServiceMesh控制平面运行在容器应用container服务器所在宿主机kernel之外的X86服务器中,和容器应用container服务器所在的X86服务器不同,容器应用container之间的交互走的是数据网络,容器应用container服务器和ServiceMesh控制平面的交互走的是宿主机kernel的管理网络)的安全认证组件进行鉴权操作,返回后的鉴权信息存储在鉴权执行代理container内;
步骤三:鉴权执行代理container根据租户的权限以及租户的应用container请求来确定租户是否具备对宿主机内核操作的权限,如具备操作权限则进行操作;
步骤四:记录租户对宿主机内核操作的审计日志。
一种基于Sidecar模式的容器安全系统,所述系统包括:多个POD,每个POD内都设置有应用container和鉴权执行代理container,所述应用container与鉴权执行代理container进行数据交互;
多个宿主机kernel,每个宿主机kernel都对应连接POD内的鉴权执行代理container;
控制管理平面,控制管理平面内设有安全认证组件。
实际应用案例如下:
案例1:沃行销应用或者计费应用容器化部署之后,需要有对于内核的一些操作,如果将容器应用部署在ROOT用户下,可能会导致误操作或者恶意操作或者篡改操作系统内核的操作,所以在容器应用的POD内部署用于鉴权和内核操作的代理container,代理container鉴权通过再和宿主机内核进行交互,避免了上述风险。
具体的一些内核操作,例如:
1、计费云化的参数调整;
2、内存相关参数调整,如cache比例调整、dirty缓冲数据比例调整、swap分区参数调整、buffer数据的磁盘回写比例等;
3、网络参数调整,例如tcp连接的快速回收、增大tcp连接bucket的阈值、网卡多队列与CPU中断号的绑定等。
与现有技术相比,本发明的有益效果为:
本发明的一种基于Sidecar模式的容器安全方法及系统,通过将租户应用container和鉴权执行代理container设置于一个POD内,通过鉴权执行代理container实现对用户权限的管理,同时提高了系统的安全性,解决了在物理机上进行容器创建带来的权限管理混乱和系统安全性差的问题。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于Sidecar模式的容器安全方法,其特征在于,所述方法包括如下过程:
当容器应用container要对宿主机kernel做涉及内核的核心操作时,通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互;
容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前,先对宿主机kernel进行鉴权,对于鉴权通过的执行操作,调用执行工具进行宿主机操作系统内核命令的执行;对于鉴权不通过的指令进行拦截返回。
2.根据权利要求1所述的一种基于Sidecar模式的容器安全方法,其特征在于:所述核心操作为涉及操作系统内核级别的操作内容,具体包括如下内容:
第一种:操作系统内核的编译升级;
第二种:驱动模块的操作,硬件驱动重新编译加载到内核;
第三种:根据不同业务场景,对内核参数进行调优。
3.根据权利要求1所述的一种基于Sidecar模式的容器安全方法,其特征在于:所述Sidecar模式指只有通过在宿主机kernel上安全认证通过的容器应用container获得进行内核级操作权限的安全模式。
4.根据权利要求1所述的一种基于Sidecar模式的容器安全方法,其特征在于:所述对于鉴权通过的执行操作指容器应用container在宿主机kernel上直接和宿主机kernel进行交互。
5.根据权利要求1所述的一种基于Sidecar模式的容器安全方法,其特征在于:所述鉴权的过程指容器应用container通过容器的SSL证书,使用HTTPS协议,和ServiceMesh控制平面安全认证组件进行远程交互,进行权限认证,所述ServiceMesh控制平面安全认证组件可对多个POD内的鉴权执行代理container权限进行集中认证。
6.根据权利要求1所述的一种基于Sidecar模式的容器安全方法,其特征在于:所述方法的工作流程为:
步骤一:每个租户分配一个POD,当租户POD内的应用container需要对宿主机kernel的内核进行操作时,租户POD内的应用container首先向鉴权执行代理container发送鉴权请求;
步骤二:鉴权执行代理container通过容器的SSL证书,使用HTTPS协议和ServiceMesh控制平面的安全认证组件进行鉴权操作,返回后的鉴权信息存储在鉴权执行代理container内;
步骤三:鉴权执行代理container根据租户的权限以及租户的应用container请求来确定租户是否具备对宿主机内核操作的权限,如具备操作权限则进行操作;
步骤四:记录租户对宿主机内核操作的审计日志。
7.一种基于Sidecar模式的容器安全系统,其特征在于,所述系统包括:
多个POD,每个POD内都设置有应用container和鉴权执行代理container,
所述应用container与鉴权执行代理container进行数据交互;
多个宿主机kernel,每个宿主机kernel都对应连接POD内的鉴权执行代理container;
控制管理平面,控制管理平面内设有安全认证组件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010817422.3A CN112099900A (zh) | 2020-08-14 | 2020-08-14 | 一种基于Sidecar模式的容器安全方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010817422.3A CN112099900A (zh) | 2020-08-14 | 2020-08-14 | 一种基于Sidecar模式的容器安全方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112099900A true CN112099900A (zh) | 2020-12-18 |
Family
ID=73753710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010817422.3A Pending CN112099900A (zh) | 2020-08-14 | 2020-08-14 | 一种基于Sidecar模式的容器安全方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112099900A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114025370A (zh) * | 2021-11-04 | 2022-02-08 | 杭州朗和科技有限公司 | 数据报文传输方法、介质、系统和计算设备 |
| CN114745431A (zh) * | 2022-03-18 | 2022-07-12 | 上海道客网络科技有限公司 | 基于边车技术的无侵入式权限认证方法、系统、介质和设备 |
-
2020
- 2020-08-14 CN CN202010817422.3A patent/CN112099900A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114025370A (zh) * | 2021-11-04 | 2022-02-08 | 杭州朗和科技有限公司 | 数据报文传输方法、介质、系统和计算设备 |
| CN114025370B (zh) * | 2021-11-04 | 2023-08-08 | 杭州朗和科技有限公司 | 数据报文传输方法、介质、系统和计算设备 |
| CN114745431A (zh) * | 2022-03-18 | 2022-07-12 | 上海道客网络科技有限公司 | 基于边车技术的无侵入式权限认证方法、系统、介质和设备 |
| CN114745431B (zh) * | 2022-03-18 | 2023-09-29 | 上海道客网络科技有限公司 | 基于边车技术的无侵入式权限认证方法、系统、介质和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2880589B1 (en) | Trusted execution environment virtual machine cloning | |
| CN106462438B (zh) | 包含受信执行环境的主机的证明 | |
| US11500988B2 (en) | Binding secure keys of secure guests to a hardware security module | |
| CN112840321A (zh) | 用于自动化操作管理的应用程序编程接口 | |
| CN110073355A (zh) | 服务器上的安全执行环境 | |
| US9270703B1 (en) | Enhanced control-plane security for network-accessible services | |
| US20180019979A1 (en) | Restricting guest instances in a shared environment | |
| CN101411163A (zh) | 跟踪网格系统中的安全执行的系统和方法 | |
| CN108170516A (zh) | 创建vTPM的方法、装置、设备及计算机可读存储介质 | |
| CN112099900A (zh) | 一种基于Sidecar模式的容器安全方法及系统 | |
| CN107707622A (zh) | 一种访问桌面云虚拟机的方法、装置及桌面云控制器 | |
| CN106612280B (zh) | 一种终端设备虚拟化管理的方法及系统 | |
| US8713307B2 (en) | Computer system and volume migration control method using the same | |
| US20120144157A1 (en) | Allocation of Mainframe Computing Resources Using Distributed Computing | |
| US20070198522A1 (en) | Virtual roles | |
| WO2023016414A1 (zh) | 凭据的轮转方法、计算设备及存储介质 | |
| CN110221910A (zh) | 用于执行mpi作业的方法和装置 | |
| CN107623699A (zh) | 一种基于云环境的加密系统 | |
| US20160062784A1 (en) | Method for implementing virtual secure element | |
| CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
| CN111181929A (zh) | 基于共享虚拟机文件的异构混合云架构及管理方法 | |
| WO2023041025A1 (zh) | 基于云技术的计算节点及基于云技术的实例管理方法 | |
| CN104009864B (zh) | 一种云化管理平台 | |
| CN107451435B (zh) | 一种硬件加密机的管控方法、管控机及管控系统 | |
| CN115629856A (zh) | 一种云管平台的运维工具和云管平台的系统运维方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |