CN116450293A - 一种提升云原生应用安全性的方法 - Google Patents

一种提升云原生应用安全性的方法 Download PDF

Info

Publication number
CN116450293A
CN116450293A CN202310412772.5A CN202310412772A CN116450293A CN 116450293 A CN116450293 A CN 116450293A CN 202310412772 A CN202310412772 A CN 202310412772A CN 116450293 A CN116450293 A CN 116450293A
Authority
CN
China
Prior art keywords
application
cloud native
native application
security
container
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310412772.5A
Other languages
English (en)
Inventor
石光银
蔡卫卫
高传集
孙思清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN202310412772.5A priority Critical patent/CN116450293A/zh
Publication of CN116450293A publication Critical patent/CN116450293A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种提升云原生应用安全性的方法,属于云原生技术领域,从多维度检测云原生应用的安全性,包括应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全,针对每个维度的安全特性,制定对应的安全措施,应用访问安全包括云原生应用容器镜像安全扫描功能,云原生应用资源删除保护功能,云原生应用操作日志审计功能,云原生应用资源权限控制功能;应用数据计算安全包括云原生应用容器防逃逸功能和云原生应用容器防越权功能;应用数据传输安全包括云原生应用访问流量限制功能。本发明能够从多个维度大大提升云原生应用的安全性,降低云原生应用的数据丢失风险。

Description

一种提升云原生应用安全性的方法
技术领域
本发明涉及云原生技术领域,具体地说是一种提升云原生应用安全性的方法。
背景技术
随着云计算业务的发展,基于容器的云原生技术作为主流云计算技术被广泛应用,各个云厂商相继推出了云原生平台,用于运行云原生的应用,并提供了传统应用上云的解决方案和服务,传统应用厂商纷纷启动上云,加入云原生生态圈。传统应用都有安全措施,保证应用的安全性,比如证书访问、认证鉴权、防止SQL注入、防DOS攻击等。当传统应用上云后,云原生应用的安全性如何保证成为目前需要解决的问题。
发明内容
本发明的技术任务是针对以上不足之处,提供一种提升云原生应用安全性的方法,能够从多个维度大大提升云原生应用的安全性,降低云原生应用的数据丢失风险。
本发明解决其技术问题所采用的技术方案是:
一种提升云原生应用安全性的方法,从多维度检测云原生应用的安全性,包括应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全,针对每个维度的安全特性,制定对应的安全措施,
所述应用访问安全包括云原生应用容器镜像安全扫描功能,云原生应用资源删除保护功能,云原生应用操作日志审计功能,云原生应用资源权限控制功能;
所述应用数据计算安全包括云原生应用容器防逃逸功能和云原生应用容器防越权功能;
所述应用数据传输安全包括云原生应用访问流量限制功能;
所述应用数据存储安全包括云原生应用数据存储隔离功能,云原生应用敏感数据加密功能,云原生应用存储容器限制功能。
云原生应用的安全跟运行环境密不可分,需要从应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全几个维度考虑,分析每个维度的安全特性,制定对应的安全措施,针对性做安全加固,提升云原生应用的安全性,降低云原生应用的数据丢失风险。
优选的,将所述多维度的安全性检测及应对措施集成到检测工具中,通过该检测工具分析出指定应用的安全风险,从而针对性做安全加固,提升云原生应用的安全性。
优选的,所述云原生应用容器镜像安全扫描功能,对容器镜像基于容器镜像安全扫描库进行安全扫描,扫描结束后,输出安全扫描报告,用户基于容器镜像安全扫描报告,对容器镜像的安全问题进行修复;
所述云原生应用资源删除保护功能,通过给应用资源增加删除保护标识,在用户删除应用资源的时候,提示用户不能删除具有删除保护标识的应用容器;
所述云原生应用操作日志审计功能,记录云原生应用容器的操作审计日志,支持审计日志的查询,通过审计日志查看应用的操作记录;
所述云原生应用资源权限控制功能,对接用户管理系统,实现用户身份的认证,基于角色的访问控制体系实现多租户的容器资源操作,提供应用资源的配置管理,包括CPU、内存、存储、容器数量,支持应用资源限制功能。
优选的,所述云原生应用资源删除保护功能,基于APIServer的Webhook机制开发删除保护程序,当探测到应用容器资源被删除时,检查应用容器是否具有删除保护标识,若有删除保护标识,则返回不能删除的信息;若没有删除保护标识,则把资源删除请求发给APIServer,顺利执行容器资源的删除保护动作。
优选的,所述云原生应用容器防逃逸功能,通过对应用容器做容器逃逸扫描,检测应用容器是否直接挂载了容器宿主机的根目录,若有对应容器逃逸风险,则输出安全风险报告,对应用的安全问题进行整改,防止容器逃逸问题。
优选的,所述云原生应用容器防越权功能,云原生应用容器需要遵循最小化权限原则,禁止容器越权安全问题,禁止使用特权、Root用户、hostPID、hostIPC配置,通过对应用容器做容器防越权扫描,输出容器越权安全问题报告,应用基于测试报告针对性整改容器越权问题。
优选的,所述云原生应用访问流量限制功能,在应用接入路由资源上配置流量限制,控制应用容器访问流量,防止流量过大压垮应用的问题,也可以有效防止应用访问流量攻击,支持的配置包括单个IP地址允许的并发连接数、每秒从给定IP接受的请求数、每分钟从给定IP接受的请求数、突发大小限制速率的倍数、每秒允许发送到给定连接的千字节数。
优选的,所述云原生应用数据存储隔离功能,云原生应用部署时,选择具备隔离能力的存储产品,比如LVM、Ceph等,以块存储的方式给应用提供存储服务,保证云原生应用生产的数据存储隔离功能;
所述云原生应用敏感数据加密功能,云原生应用生产的敏感数据包括用户身份证号、用户密码等,存储到存储产品前使用加密算法进行加密,把加密后的密文存放到存储中,存储数据查看时,敏感数据显示*,使用云原生应用查看时,基于秘钥解密,显示明文数据,保证了数据存储时敏感数据的加密功能,防止了应用敏感数据的泄露风险;
云原生应用存储容器限制功能,云原生应用部署时,选择具备存储容器限制的存储产品,包括块存储、文件存储、对象存储等,保证应用需要的存储资源容量独享,防止应用间相互占用存储容量空间,造成应用存储资源不足,影响云原生应用。
本发明还要求保护一种提升云原生应用安全性的系统,包括应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分,以及安全检测模块,安全检测模块针对应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分进行安全检测,根据每部分的安全特性,制定对应的安全措施;
该系统通过上述的提升云原生应用安全性的方法实现云原生应用的安全性提升。
本发明还要求保护一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,实现上述的提升云原生应用安全性的方法。
本发明的一种提升云原生应用安全性的方法与现有技术相比,具有以下有益效果:
通过该方法实现了一种云原生应用安全性检测产品,支持应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全能力,支持云原生应用容器镜像安全扫描能力,支持云原生应用资源删除保护能力,支持云原生应用容器防逃逸能力,支持云原生应用容器防越权能力,支持云原生应用操作日志审计能力,支持云原生应用资源权限控制能力,支持云原生应用访问流量限制能力,支持云原生应用数据存储隔离能力,支持云原生应用敏感数据加密能力,支持云原生应用存储容器限制能力,从应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全等几个维度大大提升了云原生应用的安全性,降低了云原生应用的数据丢失风险。
附图说明
图1是本发明实施例提供的提升云原生应用安全性的方法实现的架构图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明实施例提供了一种提升云原生应用安全性的方法,从多维度检测云原生应用的安全性,包括应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全,针对每个维度的安全特性,制定对应的安全措施,集成到检测工具中,通过该检测工具分析出指定应用的安全风险,从而针对性做安全加固,提升云原生应用的安全性。该方法的实现参考图1所示。
一、应用访问安全包括云原生应用容器镜像安全扫描功能,云原生应用资源删除保护功能,云原生应用操作日志审计功能,云原生应用资源权限控制功能:
1、云原生应用容器镜像安全扫描功能,
云原生应用基于容器形式运行,应用上云时,应用基于软件开发服务制作容器镜像,并推送到云原生平台的镜像仓库中。
用户登录云原生平台的镜像仓库,选择应用容器镜像后,点击安全扫描按钮,对容器镜像基于容器镜像安全扫描库进行安全扫描,扫描结束后,输出安全扫描报告。
用户基于容器镜像安全扫描报告,对容器镜像的安全问题进行修复。
经过修复后的容器镜像继续扫描,直到没有安全问题为止。
2、云原生应用资源删除保护功能,
云原生应用运行在各个云厂商的容器运行环境上,若用户登录到环境上,对容器资源做了误删操作,则会影响云原生应用提供服务,造成应用使用故障。
针对这种场景,可以通过给应用资源增加删除保护标识,在用户删除应用资源的时候提示用户不能删除具有删除保护标识的应用容器。
基于APIServer的Webhook机制开发一个删除保护程序,当探测到应用容器资源被删除时,检查应用容器是否具有删除保护标识,若有删除保护标识,则返回“不能删除”的信息;若没有删除保护标识,则把资源删除请求发给APIServer,顺利执行容器资源的删除保护动作。
3、云原生应用操作日志审计功能,
云原生应用运行,需要保证应用的SLA能力,防止应用故障,保证应用容器的操作有审计功能。
基于云原生应用运行环境记录云原生应用容器的操作审计日志,并支持审计日志的查询功能,应用管理员可以通过审计日志查看应用的操作记录,作为应用操作合规依据。
4、云原生应用资源权限控制功能,
云原生应用资源的使用需要增加权限控制,对接用户管理系统,实现用户身份的认证,通过用户权限管理模块给多租户角色分配相应的容器资源操作权限,基于角色的访问控制体系实现多租户的容器资源操作,提供应用资源的配置管理,包括CPU、内存、存储、容器数量等,支持应用资源限制功能。
二、应用数据计算安全包括云原生应用容器防逃逸功能和云原生应用容器防越权功能:
1、云原生应用容器防逃逸功能,
云原生应用需要基于容器上下文运行,禁止容器进程直接访问容器外资源,防止容器逃逸到容器所在节点上直接修改节点资源权限等操作。
通过对应用容器做容器逃逸扫描,检测应用容器是否直接挂载了容器宿主机的根目录,可以直接访问docker.sock、docker.json、containerd.sock、kubeconfig等文件,直接通过容器操作宿主机的文件或操控应用容器运行时,对整个容器运行时进行破坏,若有对应容器逃逸风险,则输出安全风险报告,对应用的安全问题进行整改,防止容器逃逸问题。
2、云原生应用容器防越权功能,
云原生应用容器需要遵循最小化权限原则,禁止容器越权安全问题,禁止使用特权、Root用户、hostPID、hostIPC等配置,通过对应用容器做容器防越权扫描,输出容器越权安全问题报告,应用基于测试报告针对性整改容器越权问题。
三、应用数据传输安全包括云原生应用访问流量限制功能:
云原生应用访问流量限制功能,
云原生应用访问提供流量限制功能,在应用接入路由资源上配置流量限制,控制应用容器访问流量,防止流量过大压垮应用的问题,也可以有效防止应用访问流量攻击。
应用访问流量限制支持单个IP地址允许的并发连接数、每秒从给定IP接受的请求数、每分钟从给定IP接受的请求数、突发大小限制速率的倍数、每秒允许发送到给定连接的千字节数等配置。
四、应用数据存储安全包括云原生应用数据存储隔离功能,云原生应用敏感数据加密功能,云原生应用存储容器限制功能。
1、云原生应用数据存储隔离功能,
云原生应用生产的数据存储需要提供隔离能力,防止可以访问到别的应用数据的问题,一旦云原生应用存储数据可以相互访问,会造成应用数据的不安全,具有很大的数据泄露风险。
云原生应用部署时,需要选择具备隔离能力的存储产品,比如LVM、Ceph等,以块存储的方式给应用提供存储服务,保证云原生应用生产的数据存储隔离功能。
2、云原生应用敏感数据加密功能,
云原生应用生产的数据包括用户身份证号、用户密码等敏感数据,这些敏感数据不能给本用户之外的人开放,对这些敏感数据需要提供数据加密能力。
当云原生应用配置好敏感数据加密标识后,生产的敏感数据存储到存储产品前使用加密算法进行加密,把加密后的密文存放到存储中,存储数据查看时,敏感数据显示“*”,使用云原生应用查看时,基于秘钥解密,显示明文数据,保证了数据存储时敏感数据的加密功能,防止了应用敏感数据的泄露风险。
3、云原生应用存储容器限制功能,
云原生应用生产的数据存储时,可以使用文件存储产品存放共享型数据,多个应用容器共用一个存储产品,很容易造成多个应用争抢存储资源的问题。
当云原生应用部署时,可以选择具备存储容器限制的存储产品,包括块存储、文件存储、对象存储等,保证应用需要的存储资源容量独享,防止应用间相互占用存储容量空间,造成应用存储资源不足,影响云原生应用。
该方法实现一种云原生应用安全性检测产品,支持应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全能力,支持云原生应用容器镜像安全扫描能力,支持云原生应用资源删除保护能力,支持云原生应用容器防逃逸能力,支持云原生应用容器防越权能力,支持云原生应用操作日志审计能力,支持云原生应用资源权限控制能力,支持云原生应用访问流量限制能力,支持云原生应用数据存储隔离能力,支持云原生应用敏感数据加密能力,支持云原生应用存储容器限制能力。
本发明实施例还提供一种提升云原生应用安全性的系统,包括应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分,以及安全检测模块,安全检测模块针对应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分进行安全检测,根据每部分的安全特性,制定对应的安全措施;
应用访问安全部分包括云原生应用容器镜像安全扫描功能,云原生应用资源删除保护功能,云原生应用操作日志审计功能,云原生应用资源权限控制功能。云原生应用容器镜像安全扫描功能,对容器镜像基于容器镜像安全扫描库进行安全扫描,扫描结束后,输出安全扫描报告,用户基于容器镜像安全扫描报告,对容器镜像的安全问题进行修复;云原生应用资源删除保护功能,通过给应用资源增加删除保护标识,在用户删除应用资源的时候,提示用户不能删除具有删除保护标识的应用容器;云原生应用操作日志审计功能,记录云原生应用容器的操作审计日志,支持审计日志的查询,通过审计日志查看应用的操作记录;云原生应用资源权限控制功能,对接用户管理系统,实现用户身份的认证,基于角色的访问控制体系实现多租户的容器资源操作,提供应用资源的配置管理,包括CPU、内存、存储、容器数量,支持应用资源限制功能。
应用数据计算安全部分包括云原生应用容器防逃逸功能和云原生应用容器防越权功能。云原生应用容器防逃逸功能,通过对应用容器做容器逃逸扫描,检测应用容器是否直接挂载了容器宿主机的根目录,若有对应容器逃逸风险,则输出安全风险报告,对应用的安全问题进行整改,防止容器逃逸问题。云原生应用容器防越权功能,云原生应用容器需要遵循最小化权限原则,禁止容器越权安全问题,禁止使用特权、Root用户、hostPID、hostIPC配置,通过对应用容器做容器防越权扫描,输出容器越权安全问题报告,应用基于测试报告针对性整改容器越权问题。
应用数据传输安全部分包括云原生应用访问流量限制功能。云原生应用访问流量限制功能,在应用接入路由资源上配置流量限制,控制应用容器访问流量,防止流量过大压垮应用的问题,也可以有效防止应用访问流量攻击,支持的配置包括单个IP地址允许的并发连接数、每秒从给定IP接受的请求数、每分钟从给定IP接受的请求数、突发大小限制速率的倍数、每秒允许发送到给定连接的千字节数。
应用数据存储安全部分包括云原生应用数据存储隔离功能,云原生应用敏感数据加密功能,云原生应用存储容器限制功能。云原生应用数据存储隔离功能,云原生应用部署时,选择具备隔离能力的存储产品,比如LVM、Ceph等,以块存储的方式给应用提供存储服务,保证云原生应用生产的数据存储隔离功能;云原生应用敏感数据加密功能,云原生应用生产的敏感数据包括用户身份证号、用户密码等,存储到存储产品前使用加密算法进行加密,把加密后的密文存放到存储中,存储数据查看时,敏感数据显示*,使用云原生应用查看时,基于秘钥解密,显示明文数据,保证了数据存储时敏感数据的加密功能,防止了应用敏感数据的泄露风险;云原生应用存储容器限制功能,云原生应用部署时,选择具备存储容器限制的存储产品,包括块存储、文件存储、对象存储等,保证应用需要的存储资源容量独享,防止应用间相互占用存储容量空间,造成应用存储资源不足,影响云原生应用。
该系统通过上述实施例所述的提升云原生应用安全性的方法实现云原生应用的安全性提升。
本发明实施例还提供一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,实现上述实施例所描述的提升云原生应用安全性的方法。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。

Claims (10)

1.一种提升云原生应用安全性的方法,其特征在于,从多维度检测云原生应用的安全性,包括应用访问安全、应用数据计算安全、应用数据传输安全、应用数据存储安全,针对每个维度的安全特性,制定对应的安全措施,
所述应用访问安全包括云原生应用容器镜像安全扫描功能,云原生应用资源删除保护功能,云原生应用操作日志审计功能,云原生应用资源权限控制功能;
所述应用数据计算安全包括云原生应用容器防逃逸功能和云原生应用容器防越权功能;
所述应用数据传输安全包括云原生应用访问流量限制功能;
所述应用数据存储安全包括云原生应用数据存储隔离功能,云原生应用敏感数据加密功能,云原生应用存储容器限制功能。
2.根据权利要求1所述的一种提升云原生应用安全性的方法,其特征在于,将所述多维度的安全性检测及应对措施集成到检测工具中,通过该检测工具分析出指定应用的安全风险。
3.根据权利要求1或2所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用容器镜像安全扫描功能,对容器镜像基于容器镜像安全扫描库进行安全扫描,扫描结束后,输出安全扫描报告,用户基于容器镜像安全扫描报告,对容器镜像的安全问题进行修复;
所述云原生应用资源删除保护功能,通过给应用资源增加删除保护标识,在用户删除应用资源的时候,提示用户不能删除具有删除保护标识的应用容器;
所述云原生应用操作日志审计功能,记录云原生应用容器的操作审计日志,支持审计日志的查询,通过审计日志查看应用的操作记录;
所述云原生应用资源权限控制功能,对接用户管理系统,实现用户身份的认证,基于角色的访问控制体系实现多租户的容器资源操作,提供应用资源的配置管理,包括CPU、内存、存储、容器数量,支持应用资源限制功能。
4.根据权利要求3所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用资源删除保护功能,基于APIServer的Webhook机制开发删除保护程序,当探测到应用容器资源被删除时,检查应用容器是否具有删除保护标识,若有删除保护标识,则返回不能删除的信息;若没有删除保护标识,则把资源删除请求发给APIServer,顺利执行容器资源的删除保护动作。
5.根据权利要求1或2所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用容器防逃逸功能,通过对应用容器做容器逃逸扫描,检测应用容器是否直接挂载了容器宿主机的根目录,若有对应容器逃逸风险,则输出安全风险报告。
6.根据权利要求5所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用容器防越权功能,禁止使用特权、Root用户、hostPID、hostIPC配置,通过对应用容器做容器防越权扫描,输出容器越权安全问题报告,应用基于测试报告针对性整改容器越权问题。
7.根据权利要求1或2所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用访问流量限制功能,在应用接入路由资源上配置流量限制,支持的配置包括单个IP地址允许的并发连接数、每秒从给定IP接受的请求数、每分钟从给定IP接受的请求数、突发大小限制速率的倍数、每秒允许发送到给定连接的千字节数。
8.根据权利要求1或2所述的一种提升云原生应用安全性的方法,其特征在于,所述云原生应用数据存储隔离功能,云原生应用部署时,选择具备隔离能力的存储产品;
所述云原生应用敏感数据加密功能,云原生应用生产的敏感数据,存储到存储产品前使用加密算法进行加密,把加密后的密文存放到存储中,存储数据查看时,敏感数据显示*,使用云原生应用查看时,基于秘钥解密,显示明文数据;
云原生应用存储容器限制功能,云原生应用部署时,选择具备存储容器限制的存储产品。
9.一种提升云原生应用安全性的系统,其特征在于,包括应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分,以及安全检测模块,安全检测模块针对应用访问安全部分、应用数据计算安全部分、应用数据传输安全部分、应用数据存储安全部分进行安全检测,根据每部分的安全特性,制定对应的安全措施;
该系统通过权利要求1至8任一所述的提升云原生应用安全性的方法实现云原生应用的安全性提升。
10.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,实现权利要求1至8任一所述的方法。
CN202310412772.5A 2023-04-13 2023-04-13 一种提升云原生应用安全性的方法 Pending CN116450293A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310412772.5A CN116450293A (zh) 2023-04-13 2023-04-13 一种提升云原生应用安全性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310412772.5A CN116450293A (zh) 2023-04-13 2023-04-13 一种提升云原生应用安全性的方法

Publications (1)

Publication Number Publication Date
CN116450293A true CN116450293A (zh) 2023-07-18

Family

ID=87125159

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310412772.5A Pending CN116450293A (zh) 2023-04-13 2023-04-13 一种提升云原生应用安全性的方法

Country Status (1)

Country Link
CN (1) CN116450293A (zh)

Similar Documents

Publication Publication Date Title
US10915633B2 (en) Method and apparatus for device security verification utilizing a virtual trusted computing base
US8069487B2 (en) Cloud-based application whitelisting
JP4089171B2 (ja) 計算機システム
US7712135B2 (en) Pre-emptive anti-virus protection of computing systems
US20030221115A1 (en) Data protection system
CN102227734A (zh) 用于保护机密文件的客户端计算机和其服务器计算机以及其方法和计算机程序
Suciu et al. Horizontal privilege escalation in trusted applications
CN111107044A (zh) 数据安全管理方法和信息化管理平台
US9460305B2 (en) System and method for controlling access to encrypted files
CN110543775B (zh) 一种基于超融合理念的数据安全防护方法及系统
CN113901507B (zh) 一种多参与方的资源处理方法及隐私计算系统
CN116450293A (zh) 一种提升云原生应用安全性的方法
CN104866761B (zh) 一种高安全性安卓智能终端
KR102623168B1 (ko) 데이터 보호 시스템
KR102618922B1 (ko) 무기체계 임베디드 시스템의 sw 역공학 방지장치 및 그 방법
CN114580005B (zh) 数据访问方法、计算机设备及可读存储介质
JP2023516517A (ja) データ保護システム
CN114301799A (zh) 基于ganymed-ssh2的远程运维方法和装置
CN115098227A (zh) 一种安防设备动态信息更新的方法及装置
JP4498886B2 (ja) アクセス制御装置およびそのプログラム
CN109522734A (zh) 一种安全应用商店系统
CN110688647A (zh) 计算机任务判行方法及适用所述方法的服务器系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination