CN114546598A - 一种容器内进程、文件和网络访问控制方法 - Google Patents
一种容器内进程、文件和网络访问控制方法 Download PDFInfo
- Publication number
- CN114546598A CN114546598A CN202210178830.8A CN202210178830A CN114546598A CN 114546598 A CN114546598 A CN 114546598A CN 202210178830 A CN202210178830 A CN 202210178830A CN 114546598 A CN114546598 A CN 114546598A
- Authority
- CN
- China
- Prior art keywords
- container
- security
- operation platform
- file
- probe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种容器内进程、文件和网络访问控制方法,包括:在宿主机上创建动态共享库程序;在宿主机上安装探针容器,通过探针容器将动态共享库程序放入宿主机上需要监控的业务容器中;部署安全运营平台,并使安全运营平台与探针容器保持通信,通过安全运营平台动态配置安全策略,并且下发到探针容器;探针容器根据安全策略,配置动态共享库文件、安全规则文件并监控回执管道文件;业务容器内的行为触发安全策略后,把事件记录写入管道,探针容器监听到事件发生,向安全运营平台上报容器安全事件,安全运营平台显示告警。本发明对程序性能损耗低;可实时动态配置安全策略;可实时接收触发安全策略的行为;控制范围粒度更细;风险更低。
Description
技术领域
本发明涉及到信息安全技术领域,尤其涉及到一种容器内进程、文件和网络访问控制方法。
背景技术
随着容器技术的迅速发展,企业服务器的整个基础设施模式也随之产生了巨大的变化,由原来的程序代码直接运行在物理机或者虚拟机上的形式转变为基于容器的方式部署在传统物理机或者是虚拟机上。因此,原来的物理服务器变成了一个大的物理资源池,所有的业务都迁入容器内,容器之间相互隔离,从而实现共享计算资源,大大优化了资源的利用率,但与此同时,安全场景也随之发生改变,容器内的安全问题也随之整个部署模式的变更变得越来越凸显,如何管理和控制容器内的行为成为安全从业人员一个重要的研究课题。
发明内容
本发明的目的是为了克服现有技术的不足,提供了一种容器内进程、文件和网络访问控制方法。
本发明是通过以下技术方案实现:
本发明提供了一种容器内进程、文件和网络访问控制方法,该容器内进程、文件和网络访问控制方法包括以下步骤:
S1:在宿主机上创建动态共享库程序;
S2:在所述宿主机上安装探针容器,并通过所述探针容器将所述动态共享库程序放入所述宿主机上需要监控的业务容器中;
S3:部署安全运营平台,并使所述安全运营平台与所述探针容器保持通信,安全运营人员通过所述安全运营平台动态配置安全策略,将需要阻断的进程名、文件访问、网络连接下发到所述探针容器;
S4:所述探针容器根据所述安全运营平台下发的安全策略,进行配置动态共享库文件、安全规则文件并监控回执管道文件;
S5:所述宿主机上需要监控的业务容器内的行为触发所述安全策略后,把事件记录写入管道,所述探针容器监听到事件发生,向所述安全运营平台上报容器安全事件,所述安全运营平台显示告警。
在步骤S1中,所述动态共享库程序为通过C语言编写的一个动态库文件,该动态库文件记为lib.so,该动态库文件HOOK了libc库的函数。
在步骤S1中,所述宿主机的数量可以为多台,在每台所述宿主机上均创建所述动态共享库程序。
在步骤S2中,在每台所述宿主机上均安装所述探针容器,且每台所述宿主机上创建的所述动态共享库程序和安装的所述探针容器同时发布。
在步骤S3中,所述安全运营平台为所述探针容器的管理系统,安全运营人员可以通过浏览器访问所述安全运营平台,然后通过与所述浏览器交互的方式配置所述安全策略。
在步骤S3中,所述安全运营平台可以以部署在容器的方式部署在集群内,也可以直接部署在物理服务器上。
本发明的有益效果是:本发明通过Preload Hook系统函数,对程序性能损耗低,无依赖;可实时动态配置安全策略,配置即生效;可实时接收触发安全策略的行为,上报安全运营平台;基于容器维度进行配置,控制范围粒度更细;风险更低,只会影响容器,对宿主机无影响,保证宿主机的可用性。
附图说明
图1是本发明实施例提供的容器内进程、文件和网络访问控制方法的流程图;
图2是本发明实施例提供的容器内进程、文件和网络访问控制方法的架构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
目前,如何管理和控制容器内的行为成为安全从业人员一个重要的研究课题,现有解决方案通常有如下四种:
一、基于AppArmor实现应用访问控制。该方案优点在于:属于内核模块,安全稳定;但缺点也很明显,那就是:有的Linux发行版本不一定支持该内核模块。
二、基于Ptrace技术实现访问控制。该方案优点在于:可动态跟踪所有进程,灵活性好;但缺点也很明显,那就是:性能损耗严重,内核态和用户态切换频繁;程序复杂性高,对业务造成影响可能性较高。
三、基于宿主机层面的Preload技术实现的访问控制。该方案优点在于:可控制所有系统调用,无法绕过;但缺点也很明显,那就是:静态编译或者不使用libc的程序无法控制;控制粒度大,即影响范围大。
四、基于增加内核模块的方式实现访问控制。该方案优点在于:对程序性能损耗低,无依赖;可控制所有使用libc的程序;一次配置,所有容器生效;但缺点也很明显,那就是:程序复杂性高,兼容性要求非常高;风险较大,影响范围大。
通过上述描述不难看出,现有解决方案各有优点,但缺点也十分明显。为此,本发明实施例提供了一种容器内进程、文件和网络访问控制方法,以克服上述缺点。请参考图1,图1是本发明实施例提供的容器内进程、文件和网络访问控制方法的流程图,该容器内进程、文件和网络访问控制方法包括以下步骤:
S1:参考图2,在宿主机10上创建动态共享库程序。动态共享库程序为通过C语言编写的一个动态库文件,该动态库文件记为lib.so,该动态库文件HOOK了libc库的函数。Hook相关系统调用,例如:execve、open、connect等。宿主机10的数量可以为多台,在每台宿主机10上均创建动态共享库程序。
S2:继续参考图2,在宿主机10上安装探针容器20,并通过探针容器20将动态共享库程序放入宿主机10上需要监控的业务容器30中。业务容器30即用户设置的需要监控的容器。宿主机10上需要监控的业务容器30的数量可以为多个,多个业务容器30在图2中以容器1、容器2、容器3的方式表示。前述提到,宿主机10的数量可以为多台,在每台宿主机10上需要监控的业务容器30的数量均可以为多个。此外,在每台宿主机10上均安装探针容器20,并且每台宿主机10上创建的动态共享库程序和安装的探针容器20同时发布。
S3:部署安全运营平台40,并使安全运营平台40与探针容器20保持通信,安全运营人员通过安全运营平台40动态配置安全策略,将需要阻断的进程名、文件访问、网络连接下发到探针容器20,即宿主机10上的探针容器20。安全运营平台40可以理解为探针容器20的管理系统,安全运营人员可以通过浏览器访问安全运营平台40,然后通过与浏览器交互的方式配置安全策略。应当理解的是,安全策略是指需要阻断的进程名、文件访问、网络连接这些安全配置。安全运营平台40可以以部署在容器的方式部署在集群内,也可以直接部署在物理服务器上,前提是每台宿主机10上安装的探针容器20到安全运营平台40的网络通信是连通的。
S4:探针容器20根据安全运营平台40下发的安全策略,进行配置动态共享库文件、安全规则文件并监控回执管道文件。即每台宿主机10上安装的探针容器20均进行上述配置。
S5:宿主机10上需要监控的业务容器30内的行为触发安全策略后,把事件记录写入管道,探针容器20监听到事件发生(需要说明的是,是同一台宿主机10上的探针容器20能够监听到事件发生),然后向安全运营平台40上报容器安全事件,安全运营平台40显示告警。
通过上述描述不难看出,本发明通过Preload Hook系统函数,对程序性能损耗低,无依赖;可实时动态配置安全策略,配置即生效;可实时接收触发安全策略的行为,上报安全运营平台;基于容器维度进行配置,控制范围粒度更细;风险更低,只会影响容器,对宿主机无影响,保证宿主机的可用性。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种容器内进程、文件和网络访问控制方法,其特征在于,包括以下步骤:
S1:在宿主机上创建动态共享库程序;
S2:在所述宿主机上安装探针容器,并通过所述探针容器将所述动态共享库程序放入所述宿主机上需要监控的业务容器中;
S3:部署安全运营平台,并使所述安全运营平台与所述探针容器保持通信,安全运营人员通过所述安全运营平台动态配置安全策略,将需要阻断的进程名、文件访问、网络连接下发到所述探针容器;
S4:所述探针容器根据所述安全运营平台下发的安全策略,进行配置动态共享库文件、安全规则文件并监控回执管道文件;
S5:所述宿主机上需要监控的业务容器内的行为触发所述安全策略后,把事件记录写入管道,所述探针容器监听到事件发生,向所述安全运营平台上报容器安全事件,所述安全运营平台显示告警。
2.根据权利要求1所述的容器内进程、文件和网络访问控制方法,其特征在于,在步骤S1中,所述动态共享库程序为通过C语言编写的一个动态库文件,该动态库文件记为lib.so,该动态库文件HOOK了libc库的函数。
3.根据权利要求2所述的容器内进程、文件和网络访问控制方法,其特征在于,在步骤S1中,所述宿主机的数量可以为多台,在每台所述宿主机上均创建所述动态共享库程序。
4.根据权利要求3所述的容器内进程、文件和网络访问控制方法,其特征在于,在步骤S2中,在每台所述宿主机上均安装所述探针容器,且每台所述宿主机上创建的所述动态共享库程序和安装的所述探针容器同时发布。
5.根据权利要求4所述的容器内进程、文件和网络访问控制方法,其特征在于,在步骤S3中,所述安全运营平台为所述探针容器的管理系统,安全运营人员可以通过浏览器访问所述安全运营平台,然后通过与所述浏览器交互的方式配置所述安全策略。
6.根据权利要求5所述的容器内进程、文件和网络访问控制方法,其特征在于,在步骤S3中,所述安全运营平台可以以部署在容器的方式部署在集群内,也可以直接部署在物理服务器上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210178830.8A CN114546598B (zh) | 2022-02-25 | 2022-02-25 | 一种容器内进程、文件和网络访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210178830.8A CN114546598B (zh) | 2022-02-25 | 2022-02-25 | 一种容器内进程、文件和网络访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114546598A true CN114546598A (zh) | 2022-05-27 |
| CN114546598B CN114546598B (zh) | 2022-10-21 |
Family
ID=81679984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210178830.8A Active CN114546598B (zh) | 2022-02-25 | 2022-02-25 | 一种容器内进程、文件和网络访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114546598B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573507A (zh) * | 2015-02-05 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种安全容器及其设计方法 |
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| CN108595982A (zh) * | 2018-03-19 | 2018-09-28 | 中国电子科技集团公司第三十研究所 | 一种基于多容器分离处理的安全计算架构方法及装置 |
| CN109213571A (zh) * | 2018-08-30 | 2019-01-15 | 北京百悟科技有限公司 | 一种内存共享方法、容器管理平台及计算机可读存储介质 |
| CN110311901A (zh) * | 2019-06-21 | 2019-10-08 | 南京尓嘉网络科技有限公司 | 一种基于容器技术的轻量级网络沙箱设置方法 |
| CN112153049A (zh) * | 2020-09-24 | 2020-12-29 | 绿盟科技集团股份有限公司 | 一种入侵检测方法及装置 |
| CN113051034A (zh) * | 2021-03-30 | 2021-06-29 | 四川大学 | 一种基于kprobes的容器访问控制方法与系统 |
-
2022
- 2022-02-25 CN CN202210178830.8A patent/CN114546598B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573507A (zh) * | 2015-02-05 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种安全容器及其设计方法 |
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| CN108595982A (zh) * | 2018-03-19 | 2018-09-28 | 中国电子科技集团公司第三十研究所 | 一种基于多容器分离处理的安全计算架构方法及装置 |
| CN109213571A (zh) * | 2018-08-30 | 2019-01-15 | 北京百悟科技有限公司 | 一种内存共享方法、容器管理平台及计算机可读存储介质 |
| CN110311901A (zh) * | 2019-06-21 | 2019-10-08 | 南京尓嘉网络科技有限公司 | 一种基于容器技术的轻量级网络沙箱设置方法 |
| CN112153049A (zh) * | 2020-09-24 | 2020-12-29 | 绿盟科技集团股份有限公司 | 一种入侵检测方法及装置 |
| CN113051034A (zh) * | 2021-03-30 | 2021-06-29 | 四川大学 | 一种基于kprobes的容器访问控制方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114546598B (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108859B2 (en) | Intelligent backup and recovery of cloud computing environment | |
| CN110915182B (zh) | 数据处理中的入侵检测和缓解 | |
| EP3149591B1 (en) | Tracking application deployment errors via cloud logs | |
| US8959484B2 (en) | System for hosted, shared, source control build | |
| Fraser et al. | Hardening COTS software with generic software wrappers | |
| US20220091875A1 (en) | Cloud native virtual machine runtime protection | |
| US9509553B2 (en) | System and methods for management virtualization | |
| US10620927B2 (en) | Method, arrangement, computer program product and data processing program for deploying a software service | |
| US20160359911A1 (en) | Trusted public infrastructure grid cloud | |
| WO2019062304A1 (zh) | 用于管理区块链节点的计算资源的方法、设备和系统 | |
| US20190026459A1 (en) | Methods and systems to analyze event sources with extracted properties, detect anomalies, and generate recommendations to correct anomalies | |
| CN102150105A (zh) | 虚拟容器的部署和管理 | |
| US20070240171A1 (en) | Device, Method, And Computer Program Product For Accessing A Non-Native Application Executing In Virtual Machine Environment | |
| CN110489310B (zh) | 一种记录用户操作的方法、装置、存储介质及计算机设备 | |
| CN110995511A (zh) | 基于微服务架构的云计算运维管理方法、装置和终端设备 | |
| CN111294373B (zh) | 基于移动行业云桌面架构的信息管控系统 | |
| EP3591530B1 (en) | Intelligent backup and recovery of cloud computing environment | |
| CN116541184A (zh) | 一种多协议应用框架系统 | |
| Chandersekaran et al. | An agent based monitoring system for web services | |
| US8392469B2 (en) | Model based distributed application management | |
| CN114546598B (zh) | 一种容器内进程、文件和网络访问控制方法 | |
| CN110851347A (zh) | 一种集群环境下的安全加固软件的自检系统及方法 | |
| Semenkov et al. | Extending Operation Lifespan of Instrumentation and Control Systems with Virtualization Technologies | |
| Lu et al. | An orchestration framework for a global multi-cloud | |
| CN113031964A (zh) | 一种大数据应用的管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |