CN117389678A - 一种有效拦截容器编排系统应用部署的方法及系统 - Google Patents
一种有效拦截容器编排系统应用部署的方法及系统 Download PDFInfo
- Publication number
- CN117389678A CN117389678A CN202311046100.3A CN202311046100A CN117389678A CN 117389678 A CN117389678 A CN 117389678A CN 202311046100 A CN202311046100 A CN 202311046100A CN 117389678 A CN117389678 A CN 117389678A
- Authority
- CN
- China
- Prior art keywords
- container
- security
- module
- application deployment
- intercepting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000003993 interaction Effects 0.000 claims abstract description 19
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 5
- 230000006399 behavior Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 4
- 241001026509 Kata Species 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000015556 catabolic process Effects 0.000 claims 1
- 230000002085 persistent effect Effects 0.000 abstract description 3
- 238000012550 audit Methods 0.000 abstract description 2
- 238000011835 investigation Methods 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种有效拦截容器编排系统应用部署的方法及系统,涉及软件运维领域,包括:在容器编排中确立拦截点,识别相应拦截点并拦截所有容器编排系统请求,对拦截交互进行捕获和记录;分析捕获的交互数据,检测威胁或漏洞;部署适当的防御措施并通知安全管理员;记录所有交互和防御措施;将日志持久化至数据库,支持后续审计与调查。系统包括请求接收模块、准入模块、拦截器模块、存储配置模块。采用本方案能够有效拦截容器编排系统中应用部署的准入安全运行问题。
Description
技术领域
本发明设计软件运维领域,具体提供一种有效拦截容器编排系统应用部署的方法及系统。
背景技术
容器编排系统是一种软件工具,它可以帮助管理者自动化部署和运行多个容器应用程序。然而,由于容器编排系统的复杂性和漏洞,攻击者可以利用这些漏洞对部署在容器上的应用程序进行攻击。为了保护这些应用程序的安全性和完整性,需要一种方法来拦截容器编排系统部署应用程序时的交互并进行检测和防御。
发明内容
本发明提供一种有效拦截容器编排系统应用部署的方法及系统。
一种有效拦截容器编排系统中应用部署的准入安全运行问题的方法,包括:
识别拦截点: 在容器编排系统中,确定适当的拦截点,以在应用程序部署期间截取和分析其交互。
进一步,这些拦截点可以是容器启动时、容器中的特定API调用、容器运行时等;
捕获和分析交互:一旦识别了拦截点,拦截容器编排系统的所有请求,并捕获和记录应用程序在这些拦截点上的交互。
进一步,这些交互可以包括网络流量、系统调用、API调用;
分析交互数据: 对于捕获的应用程序交互数据进行分析,以检测任何潜在的威胁或漏洞。这可以包括基于机器学习和人工智能的分析技术,以识别异常模式和行为;
部署防御措施: 如果检测到威胁或漏洞,部署适当的防御措施;
进一步,防御措施包括拦截恶意流量、更新安全策略等。此外,可以通知安全管理员以采取更进一步的操作;
日志记录: 保留所有交互和防御措施的详细日志记录,可采用FluenBit、Filebeat日志采集工具,并将日志持久化至elasticsearch数据库,以支持后续审计和调查。
一种有效拦截容器编排系统应用部署的系统,包括:
资源配额限制模块:通过设置资源配额限制,可以限制容器使用的 CPU、内存、磁盘等资源的数量。这可以防止容器过度占用系统资源,导致系统崩溃或出现其他问题。
网络策略限制模块:通过设置网络策略限制,可以控制容器之间和容器与外部之间的网络通信。这可以防止未经授权的访问和数据泄露等安全问题。
安全策略限制模块:通过设置安全策略限制,可以控制容器的访问权限,例如限制容器访问敏感数据、文件系统等。这可以防止恶意代码攻击和数据泄露等安全问题
容器镜像限制模块:通过设置容器镜像限制,可以限制容器使用的镜像来源和版本。这可以防止使用不安全的镜像,避免安全漏洞和软件版本问题。
日志监控和审计模块:通过日志监控和审计,可以记录容器的行为和事件,并检测异常活动。这可以帮助识别潜在的安全问题,及时采取措施避免恶意活动。
安全控制模块:例如通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制以及准入控制技术。
安全容器模块:如基于gVisor的系统调用隔离容器和Kata Containers基于虚拟化的技术的安全容器。
本发明的有益效果:
本发明的实施例可以使用软件工具来实现,例如网络安全监控软件、数据分析软件、威胁检测软件等。此外,本发明可以在各种容器编排系统中实现,例如Kubernetes、Docker Swarm等。
附图说明
图1为本发明提供的拦截器架构图。
图2为本发明提供的容器编排准入流程图。
实施方式
为使本发明的目的,技术特点以及优势更加清楚,现依照附图对本发明中的技术方案进行描述。所描述的示例为本发明的一部分实例,而不是全部实例。基于本发明中的实例,本领域普通技术工人在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种有效拦截容器编排系统应用部署的方法及系统,通过对容器编排系统的服务创建、更新和删除等操作进行控制和限制,它可以通过对象资源进行产检和过滤,来实现对容器编排系统资源的合规性检查和安全控制。
图1为本发明提供的拦截器架构图,包括:
对应用进行部署;
在部署完成后进行拦截点的查询和识别;
识别到拦截点后进行日志记录,同时将系统交互数据进行捕捉和分析;
分析过程中对交互数据中的威胁或漏洞进行检测,一旦存在则实行防御措施;
防御措施将立刻进行防御部署;
最后将防御措施以及交互数据录入日志并持久化进数据库;
具体的,本发明通过Kubernetes实现,通过创建Kubernetes集群,部署Github,Github为代码仓库管理系统,能够更加方便的进行海量代码的批量处理;
进一步,在Github创建Webhook,Webhook是一个API概念,是微服务API的范围之一,也被称为反向API,Webhook是一个用于接收HTTP POST的URL,与请求响应式不同,Webhook能够实时接受到变化,在Webhook范式下,能够自动将服务器更新所需的资源作为更新发送到用户端。
最后,由创建接口的Webhook生成时间event,在创建好的Triggertemplate上进行触发,生成Kubernetes可识别的文件。
需要说明的是,该拦截方式同样适用于Docker Swarm容器编排系统,也可以使用软件工具来实现,例如网络安全监控软件、数据分析软件、威胁检测软件等;通过编写自定义Webhook能够实现定制化的准入控制;日志的采集可以使用包括FluenBit、Filebeat日志采集工具采集,持久化的数据库为elasticsearch数据库。
有效拦截容器编排系统应用部署的系统,包括:
资源配额限制模块:通过设置资源配额限制,可以限制容器使用的 CPU、内存、磁盘等资源的数量。这可以防止容器过度占用系统资源,导致系统崩溃或出现其他问题。
网络策略限制模块:通过设置网络策略限制,可以控制容器之间和容器与外部之间的网络通信。这可以防止未经授权的访问和数据泄露等安全问题。
安全策略限制模块:通过设置安全策略限制,可以控制容器的访问权限,例如限制容器访问敏感数据、文件系统等。这可以防止恶意代码攻击和数据泄露等安全问题
容器镜像限制模块:通过设置容器镜像限制,可以限制容器使用的镜像来源和版本。这可以防止使用不安全的镜像,避免安全漏洞和软件版本问题。
日志监控和审计模块:通过日志监控和审计,可以记录容器的行为和事件,并检测异常活动。这可以帮助识别潜在的安全问题,及时采取措施避免恶意活动。
安全控制模块:例如通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制以及准入控制技术。
安全容器模块:如基于gVisor的系统调用隔离容器和Kata Containers基于虚拟化的技术的安全容器。
如图2所示,为容器编排准入的流程,包括:接收外部的HTTP请求,对该请求进行认证授权,根据传输的数据进行准入请求的变更,然后对准入要求进行验证,验证完成后同时进行存储的配置,并对拦截器完成控制。
需要说明的是,准入拦截开关支持全局开启、关闭;通过配置控制器的参数和选项,能够调整系统行为;管理员端能够通过访问设置控制访问规则,根据不同的用户或群组身份实现细粒度访问控制;准入拦截技术能够生成的详细的审计日志和事件,帮助管理员及时发现异常操作和安全事件,做出相应的应对。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种有效拦截容器编排系统应用部署的方法,其特征在于,包括:
S1:识别拦截点: 在容器编排系统中,确定拦截点,在应用程序部署期间截取和分析其交互;
S2:捕获和分析交互: 识别拦截点,拦截容器编排系统的所有请求,捕获和记录应用程序在这些拦截点上的交互;
S3:分析交互数据: 对于捕获的应用程序交互数据进行分析,检测任何潜在的威胁或漏洞;
S4:部署防御措施: 检测到威胁或漏洞时,部署适当的防御措施。
2.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于,所述识别拦截点包括容器启动时、容器中的特定API调用、容器运行时的拦截点。
3.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于所述捕获和分析交互包括交互种类为网络流量、系统调用、API调用。
4.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于所述部署防御措施包括拦截恶意流量、更新安全策略、将威胁或漏洞通知安全管理员。
5.一种有效拦截容器编排系统应用部署的系统,其特征在于,包括资源配额限制模块、网络策略限制模块、安全策略限制模块、容器镜像限制模块、日志监控和审计模块、安全控制技术模块、安全容器技术模块,
所述资源配额限制模块限制容器使用的 CPU、内存、磁盘等资源的数量,防止容器过度占用系统资源,导致系统崩溃或出现问题;
所述网络策略限制模块控制容器之间、容器与外部之间的网络通信,防止未经授权的访问和数据泄露;
所述安全策略限制模块控制容器的访问权限,防止恶意代码攻击和数据泄露;
所述容器镜像限制模块功能为限制容器使用的镜像来源和版本,防止使用不安全的镜像,避免安全漏洞和软件版本问题;
所述日志监控和审计模块记录容器的行为和事件,检测异常活动,帮助识别安全问题,采取措施避免恶意活动;
所述安全控制模块通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制、准入控制技术;
所述安全容器模块使用基于gVisor的系统调用隔离容器或Kata Containers基于虚拟化的技术的安全容器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311046100.3A CN117389678A (zh) | 2023-08-18 | 2023-08-18 | 一种有效拦截容器编排系统应用部署的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311046100.3A CN117389678A (zh) | 2023-08-18 | 2023-08-18 | 一种有效拦截容器编排系统应用部署的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117389678A true CN117389678A (zh) | 2024-01-12 |
Family
ID=89467337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311046100.3A Pending CN117389678A (zh) | 2023-08-18 | 2023-08-18 | 一种有效拦截容器编排系统应用部署的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117389678A (zh) |
-
2023
- 2023-08-18 CN CN202311046100.3A patent/CN117389678A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
US11720678B2 (en) | Systems and methods for ransomware detection and mitigation | |
US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
US11870811B2 (en) | Trusted execution security policy platform | |
US8984331B2 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
US9736182B1 (en) | Context-aware compromise assessment | |
US11438349B2 (en) | Systems and methods for protecting devices from malware | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
CN102160048A (zh) | 收集和分析恶意软件数据 | |
CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
Breitenbacher et al. | Hades-iot: A practical and effective host-based anomaly detection system for iot devices (extended version) | |
US20210194904A1 (en) | Security management of an autonomous vehicle | |
Vigna et al. | Host-based intrusion detection | |
US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
CN117389678A (zh) | 一种有效拦截容器编排系统应用部署的方法及系统 | |
CN115134106A (zh) | 检测黑客攻击的方法及计算机程序产品 | |
Delgado | Developing an adaptive threat hunting solution: The elasticsearch stack | |
Almadhoor et al. | Detecting Malware Infection on Infrastructure Hosted in IaaS Cloud using Cloud Visibility and Forensics | |
Anand et al. | Malware Exposed: An In-Depth Analysis of its Behavior and Threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |