CN113992449B - Docker安全能力调度方法、装置及电子设备 - Google Patents
Docker安全能力调度方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113992449B CN113992449B CN202111620259.2A CN202111620259A CN113992449B CN 113992449 B CN113992449 B CN 113992449B CN 202111620259 A CN202111620259 A CN 202111620259A CN 113992449 B CN113992449 B CN 113992449B
- Authority
- CN
- China
- Prior art keywords
- data
- protected
- application
- adaptation module
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例提供了Docker安全能力调度方法、装置及电子设备。所述方法包括接收待保护应用的数据,分析待保护应用所需的安全能力需求;根据所述安全能力需求确定Docker容器网络中对应的适配模块;将所述待保护应用的数据发送至对应的适配模块,以便对应的适配模块进行处理;接收对应的适配模块处理后的数据,发送至所述待保护应用。以此方式,可以在Docker容器网络中组合配置,配置方法简单,能够满足多种安全能力需求,且可以上线使用。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种Docker安全能力调度方法、装置及电子设备。
背景技术
目前各种云平台上提供的Docker安全能力均以独立个体提供给业务使用,以满足对应业务的安全能力需求。然而,当一个Docker容器不足以满足安全能力需求时,需要通过路由,NAT端口映射等各种网络方法进行配置,上述配置方式复杂,需要许多外部端口配合,甚至部分网络环境下,无法上线使用。
发明内容
本公开提供了一种Docker安全能力调度方法、装置及电子设备,调度方法简单,能够满足多种安全能力需求,且可以上线使用。
根据本公开的第一方面,提供了一种Docker安全能力调度方法。该方法包括:接收待保护应用的数据,分析待保护应用所需的安全能力需求;
根据所述安全能力需求确定Docker容器网络中对应的适配模块;
将所述待保护应用的数据发送至对应的适配模块,以便对应的适配模块进行处理;
接收对应的适配模块处理后的数据,发送至所述待保护应用。
在第一方面的一些实现方式中,所述分析待保护应用所需的安全能力需求包括:
分析待保护应用存在的安全风险,并分析能够消除所述安全风险的方法,能够消除所述安全风险的方法为安全能力需求。
在第一方面的一些实现方式中,所述根据所述安全能力需求确定Docker容器网络中对应的适配模块包括:
在Docker容器网络中选择能够满足安全能力需求的模块作为适配模块,对各适配模块进行排序,所述排序顺序为针对待保护应用的数据处理顺序。
在第一方面的一些实现方式中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
将所述待保护应用的数据发送至排在首位的适配模块;接收到响应数据后,将响应数据发送至下一适配模块;直至排在最后的适配模块接收上一适配模块的数据并处理。
在第一方面的一些实现方式中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
将所述待保护应用的数据发送至排在首位的适配模块,以便排在首位的适配模块进行处理并将对应的响应数据依次发送至下一适配模块进行处理,直至排在最后的适配模块接收上一适配模块的数据并处理。
在第一方面的一些实现方式中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
若排序顺序为并列顺序,则将待保护应用的数据分别发送至各适配模块进行处理。
在第一方面的一些实现方式中,所述适配模块进行处理包括:
对待保护应用的数据标记标签,标签内容包括适配模块的排序顺序,以便排在首位的适配模块进行处理并将对应的响应数据依次发送至下一适配模块进行处理,直至排在最后的适配模块接收上一适配模块的数据并处理。
在第一方面的一些实现方式中,所述将处理后的数据发送至所述待保护应用包括:
去除处理后的数据的标签,并将所述数据发送至所述待保护应用。
根据本公开的第二方面,提供了一种Docker安全能力调度装置。该装置包括:获取单元,用于接收待保护应用的数据,分析待保护应用所需的安全能力需求;
查找单元,用于根据所述安全能力需求确定Docker容器网络中对应的适配模块;
处理单元,用于将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理;
发送单元,用于将处理后的数据发送至所述待保护应用。
根据本公开的第三方面,提供了一种电子设备。包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
在本公开中,根据待保护应用的安全需求确定适配模块,所述待保护应用的数据直接在对应适配模块中进行处理,满足待保护应用多种安全需求,且所述方法无需通过路由,NAT端口映射等各种网络方法进行配置,调度方式简单,能够上线使用。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的实施例的Docker安全能力调度方法的流程图;
图2示出了根据本公开的实施例的第一种适配模块处理路径示意图;
图3示出了根据本公开的实施例的第二种适配模块处理路径示意图;
图4示出了根据本公开的实施例的Docker安全能力调度装置的示意图;
图5示出了用来实现本公开实施例的Docker安全能力调度方法的电子设备的框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
本公开中,根据待保护应用的安全需求确定Docker容器网络中适配模块,使待保护应用的数据在Docker容器网络中进行处理,使用方便,能够针对不同的待保护应用精准匹配对应的适配模块,且能够满足多种不同类型的安全需求。
图1示出了根据本公开的实施例的Docker安全能力调度方法100的流程图。
如图1所示,所述Docker安全能力调度方法包括:
S101: 接收待保护应用的数据,分析待保护应用所需的安全能力需求;
S102: 根据所述安全能力需求确定Docker容器网络中对应的适配模块;
S103: 将所述待保护应用的数据发送至对应的适配模块,以便对应的适配模块进行处理;
S104: 接收对应的适配模块处理后的数据,发送至所述待保护应用。
为便于理解,本文以调度模块作为上述步骤S101-S104的执行主体,所述调度模块可以位于Docker容器网络内,如Docker容器网络内某一模块兼任调度模块;也可以位于待保护应用上,如在待保护应用自带的防火墙上设置调度模块;也可以独立于二者设置,如主机。
在步骤S101中,所述分析待保护应用所需的安全能力需求包括:
分析待保护应用存在的安全风险,并分析能够消除所述安全风险的方法,能够消除所述安全风险的方法为安全能力需求。
可以理解的是,所述待保护应用的数据包括用户数据泄露可能性,黑客拿到系统权限可能性,导致应用瘫痪可能性等。所述用户数据泄露可能性如网站登陆页面存在暴利破解可能性、密码找回存在逻辑漏洞等。分析能够消除安全风险的方法,如安全风险为网络登录页面存在暴力破解可能性,则消除安全风险的方法可以为安装入侵检测引擎。
根据本公开的实施例,根据待保护应用存在的安全风险分析安全能力需求,可以针对不同的待保护应用提供对用的保护措施,为步骤S102中确定Docker容器网络中对应的适配模块提供方向,以便对待保护应用存在的安全风险进行精准排除。
在步骤S102中,所述根据所述安全能力需求确定Docker容器网络中对应的适配模块包括:
在Docker容器网络中选择能够满足安全能力需求的模块作为适配模块,对各适配模块进行排序,所述排序顺序为针对待保护应用的数据处理顺序。
对各适配模块进行排序可以以各适配模块能够满足同一安全能力的顺序为依据,如,若安装入侵检测引擎需要两个适配模块,那么,这两个适配模块可以具备先后顺序。对各适配模块进行排序的依据还可以为安全能力之间的顺序,如所需安全能力为安装防火墙和检测防火墙安全性,这两个安全能力需要在两个适配模块中完成,显然这两个适配模块应当具备先后顺序,即先安装防火墙,再检测防火墙安全性。除上述排序规则之外,还可以结合最小计算量、动用最少适配模块的方法进行排序,总之,能够满足安全能力需求的,提高配置效率的规则,都可以作为适配模块的排序规则。
根据本公开的实施例,为各适配模块处理顺序进行排序,使各适配模块有顺序的处理待保护应用的数据,从而满足所需的安全能力需求,避免数据处理过程中发生混乱。
图2示出了根据本公开的实施例的第一种适配模块处理路径示意图。
在一些实施例中,如图2所示,在步骤S103中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
将所述待保护应用的数据发送至排在首位的适配模块;接收到响应数据后,将响应数据发送至下一适配模块;直至排在最后的适配模块接收上一适配模块的数据并处理。
即各适配模块之间必须按顺序发送请求数据并接收响应数据,如调度模块必须接收到来自第一模块的响应数据,才能向第二适配模块发出请求数据。如此,各适配模块必须在上一适配模块处理完成一部分待保护应用数据的基础上进行数据处理,当排在最后的适配模块处理完成时,则待保护应用的数据全部处理完成。
所述适配模块可以根据预先设定的发送顺序,当接收到来自上一适配模块的响应数据时,自动向下一适配模块发送请求数据;也可以每接收到来自某个适配模块的响应数据,都去查找各适配模块的顺序,再按照顺序对下一适配模块发出请求数据。
根据本公开的实施例,所述待保护应用的数据在各适配模块中按顺序依次处理,仅需调度模块控制数据在各适配模块间的处理顺序,无需路由等装置进行配合,处理方式简单,处理效率高,且处理完成后,Docker容器网络中各适配模块并未发生变化。
图3示出了根据本公开的实施例的第二种适配模块处理路径示意图。
在一些实施例中,如图3所示,在步骤S103中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
将所述待保护应用的数据发送至排在首位的适配模块,以便排在首位的适配模块进行处理并将对应的响应数据依次发送至下一适配模块进行处理,直至排在最后的适配模块接收上一适配模块的数据并处理。
即调度模块只向排在首位的适配模块发出请求数据,然后各适配模块依次进行数据处理,当排在最后的适配模块处理完成后,则待保护应用的数据处理完成。
根据本公开的实施例,在数据传输过程中,除排在首位的适配模块和排在最后的适配模块,其余各适配模块之间不再与调度模块进行数据交换,进一步提高了数据在各适配模块之间的处理与传输效率。
在步骤S103中,所述将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理包括:
若排序顺序为并列顺序,则将待保护应用的数据分别发送至各适配模块进行处理。
前述已经列举了几种排序分先后的情况,而对于一些特殊的安全能力需求,则不必区分先后顺序,如只需进行判断或评分的项目,具体的,如检测防火墙安全性是否达标与检测密码找回是否存在逻辑漏洞,且要求只需要适配模块回复是或否即可,显然,这两种安全能力之间无需分先后顺序,调配模块只需将接收到的各适配模块的响应数据返回给待保护应用即可,因此,这种情况下,待保护应用的数据发送顺序为并列顺序,具体发送过程可以参考图2所示,但从调配模块发出的数据可以不限制发出时间,即无需等待响应数据返回。
可以理解的是,对于排序顺序为并列顺序的待保护应用的数据,所述调配模块可以将响应数据汇总后打包返给待保护应用,也可以每收到一份响应数据均转发给待保护应用,由待保护应用整理响应数据。
根据本公开的实施例,对于不区分先后顺序的待保护应用的数据,可以并列发送,如此,各适配模块之间处理数据不相互影响,进一步提高待保护应用数据的处理效率。
在步骤S103中,所述适配模块进行处理包括:
对待保护应用的数据标记标签,标签内容包括适配模块的排序顺序,以便排在首位的适配模块进行处理并将对应的响应数据依次发送至下一适配模块进行处理,直至排在最后的适配模块接收上一适配模块的数据并处理。
调度模块可以将请求数据封装成请求数据包,并在请求数据包上标记标签,排在首位的适配模块将标签拆掉,将请求数据包解析,并对待保护应用的数据进行处理,然后将处理后的数据封装成响应数据包,再将标签加上,并按照标签顺序发送至下一适配模块,所述下一适配模块依次执行,直到排在最后的适配模块拆封来自上一模块的数据并处理。
根据本公开的实施例,对待保护应用标记标签,便于各适配模块快速找到对应的上一适配模块与下一适配模块,提高数据传输效率,且由各适配模块根据标签自行转发数据,降低了调度模块处理数据的难度。
可以理解的是,上述所提到的请求数据、响应数据等传输,优选为UDP传输,原因在于:一方面,由于本公开提供的Docker安全能力调度方法主要针对多种不同的待保护应用有针对性的精准保护,因此,针对每一个待保护应用,都需要确定不同的适配模块,而UDP传输无需建立连接,不会对Docker容器网络中各适配模块之间的连接关系带来变化,避免各适配模块之间随着Docker安全能力调度次数增多而连接关系变得复杂;另一方面,UDP传输效率较高,可以快速获得处理后的数据。
在步骤S104中,所述将处理后的数据发送至所述待保护应用包括:
去除处理后的数据的标签,并将所述数据发送至所述待保护应用。
调度模块接收来自排在最后的适配模块的数据,具体可以在标签内容中写明,由排在最后的适配模块将处理后的数据返回调度模块。所述待保护应用接收到处理后的数据后,根据步骤S101中得到的安全能力对待保护应用进行适配,如具体的安全能力为对待保护应用安装WAF过滤机制,那么待保护应用的后续处理可以为,将安装WAF过滤机制的数据替换待保护应用的原数据。
根据本公开的实施例,所述待保护应用接收到的处理数据为满足多个不同类型的安全能力的处理数据,可以一次性排除其存在的多个安全风险,无需分别与适配模块建立联系,提高了待保护应用获取安全能力的效率。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图4示出了根据本公开的实施例的Docker安全能力调度装置的示意图;
如图4所示,所述Docker安全能力调度装置包括:
获取单元,用于接收待保护应用的数据,分析待保护应用所需的安全能力需求;
查找单元,用于根据所述安全能力需求确定Docker容器网络中对应的适配模块;
处理单元,用于将所述待保护应用的数据发送至对应的适配模块,以便适配模块进行处理;
发送单元,用于将处理后的数据发送至所述待保护应用。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
图5示出了用来实现本公开实施例的Docker安全能力调度方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
设备400包括计算单元401,其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序,来执行各种适当的动作和处理。在RAM 403中,还可存储设备400操作所需的各种程序和数据。计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM403并由计算单元401执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (4)
1.一种Docker安全能力调度方法,其特征在于,包括:
接收待保护应用的数据,分析待保护应用所需的安全能力需求;
根据所述安全能力需求确定Docker容器网络中对应的适配模块;在Docker容器网络中选择能够满足安全能力需求的模块作为适配模块,对各适配模块进行排序,所述排序顺序为针对待保护应用的数据处理顺序;若排序顺序为并列顺序,则将待保护应用的数据分别发送至各适配模块进行处理;
将所述待保护应用的数据发送至对应的适配模块,以便对应的适配模块进行处理;将所述待保护应用的数据发送至排在首位的适配模块;接收到响应数据后,将响应数据发送至下一适配模块;直至排在最后的适配模块接收上一适配模块的数据并处理;
接收对应的适配模块处理后的数据,发送至所述待保护应用;
所述分析待保护应用所需的安全能力需求包括:
分析待保护应用存在的安全风险,并分析能够消除所述安全风险的方法,能够消除所述安全风险的方法为安全能力需求。
2.根据权利要求1所述的Docker安全能力调度方法,其特征在于,所述适配模块进行处理包括:
对待保护应用的数据标记标签,标签内容包括适配模块的排序顺序,以便排在首位的适配模块进行处理并将对应的响应数据依次发送至下一适配模块进行处理,直至排在最后的适配模块接收上一适配模块的数据并处理。
3.根据权利要求1所述的Docker安全能力调度方法,其特征在于,所述将处理后的数据发送至所述待保护应用包括:
去除处理后的数据的标签,并将所述数据发送至所述待保护应用。
4.一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-3中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111620259.2A CN113992449B (zh) | 2021-12-28 | 2021-12-28 | Docker安全能力调度方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111620259.2A CN113992449B (zh) | 2021-12-28 | 2021-12-28 | Docker安全能力调度方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992449A CN113992449A (zh) | 2022-01-28 |
| CN113992449B true CN113992449B (zh) | 2022-05-06 |
Family
ID=79734779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111620259.2A Active CN113992449B (zh) | 2021-12-28 | 2021-12-28 | Docker安全能力调度方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992449B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| CN107066310A (zh) * | 2017-03-11 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种搭建及使用安全Docker私有仓库的方法及装置 |
| US10397255B1 (en) * | 2015-09-23 | 2019-08-27 | StackRox, Inc. | System and method for providing security in a distributed computation system utilizing containers |
| CN112329075A (zh) * | 2020-10-23 | 2021-02-05 | 佛山普瑞威尔科技有限公司 | 一种安全芯片及采用安全芯片实现数据的有序处理方法 |
-
2021
- 2021-12-28 CN CN202111620259.2A patent/CN113992449B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10397255B1 (en) * | 2015-09-23 | 2019-08-27 | StackRox, Inc. | System and method for providing security in a distributed computation system utilizing containers |
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| CN107066310A (zh) * | 2017-03-11 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种搭建及使用安全Docker私有仓库的方法及装置 |
| CN112329075A (zh) * | 2020-10-23 | 2021-02-05 | 佛山普瑞威尔科技有限公司 | 一种安全芯片及采用安全芯片实现数据的有序处理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于服务功能链的多域安全服务按需适配方法;李畅等;《计算机工程与应用》;20181101(第21期);56-64 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992449A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230041014A1 (en) | Data pattern analysis using optimized deterministic finite automaton | |
| CN111314063A (zh) | 一种基于物联网大数据信息管理方法、系统及装置 | |
| CN114157480B (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
| CN112269706A (zh) | 接口参数校验方法、装置、电子设备以及计算机可读介质 | |
| CN115022333A (zh) | 负载均衡设备的报文转发方法、装置及电子设备 | |
| CN114006868B (zh) | 流量筛选方法及装置 | |
| CN113765940A (zh) | 流量混淆方法、装置和设备 | |
| CN113992449B (zh) | Docker安全能力调度方法、装置及电子设备 | |
| CN111382435B (zh) | 检测计算机系统中的恶意活动的来源的系统和方法 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN114449040B (zh) | 基于云平台的配置下发方法及装置 | |
| CN113347186B (zh) | 反射攻击探测方法、装置和电子设备 | |
| US11863583B2 (en) | Generating action recommendations for courses of action used for incident response | |
| CN114500326A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
| CN113079165B (zh) | 一种访问处理方法和装置 | |
| CN110704848A (zh) | 脆弱点量化评估方法及装置 | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| CN112989432B (zh) | 文件签名提取方法和装置 | |
| CN110719260B (zh) | 智能网络安全分析方法、装置及计算机可读存储介质 | |
| CN115577349A (zh) | 异常请求的确定方法、装置及电子设备 | |
| CN115835214A (zh) | 面向5g网络用户面通信的处理方法、装置、设备及介质 | |
| CN114844668A (zh) | 一种防御资源配置方法、装置、设备及可读介质 | |
| CN115883204A (zh) | C&c连接检测方法、装置、电子设备及存储介质 | |
| CN118784332A (zh) | 一种跨集群免密登录方法、装置、电子设备及存储介质 | |
| CN115883226A (zh) | 一种车辆网络攻击分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |