CN117389678A - 一种有效拦截容器编排系统应用部署的方法及系统 - Google Patents

一种有效拦截容器编排系统应用部署的方法及系统 Download PDF

Info

Publication number
CN117389678A
CN117389678A CN202311046100.3A CN202311046100A CN117389678A CN 117389678 A CN117389678 A CN 117389678A CN 202311046100 A CN202311046100 A CN 202311046100A CN 117389678 A CN117389678 A CN 117389678A
Authority
CN
China
Prior art keywords
container
security
module
application deployment
intercepting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311046100.3A
Other languages
English (en)
Inventor
牛建平
田吉
李佳
刘彪
娄江南
李成
杨爽
孙大臣
管春元
谢斌
焦质晔
滕训超
孙增强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
QIMING INFORMATION TECHNOLOGY CO LTD
Original Assignee
QIMING INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by QIMING INFORMATION TECHNOLOGY CO LTD filed Critical QIMING INFORMATION TECHNOLOGY CO LTD
Priority to CN202311046100.3A priority Critical patent/CN117389678A/zh
Publication of CN117389678A publication Critical patent/CN117389678A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种有效拦截容器编排系统应用部署的方法及系统,涉及软件运维领域,包括:在容器编排中确立拦截点,识别相应拦截点并拦截所有容器编排系统请求,对拦截交互进行捕获和记录;分析捕获的交互数据,检测威胁或漏洞;部署适当的防御措施并通知安全管理员;记录所有交互和防御措施;将日志持久化至数据库,支持后续审计与调查。系统包括请求接收模块、准入模块、拦截器模块、存储配置模块。采用本方案能够有效拦截容器编排系统中应用部署的准入安全运行问题。

Description

一种有效拦截容器编排系统应用部署的方法及系统
技术领域
本发明设计软件运维领域,具体提供一种有效拦截容器编排系统应用部署的方法及系统。
背景技术
容器编排系统是一种软件工具,它可以帮助管理者自动化部署和运行多个容器应用程序。然而,由于容器编排系统的复杂性和漏洞,攻击者可以利用这些漏洞对部署在容器上的应用程序进行攻击。为了保护这些应用程序的安全性和完整性,需要一种方法来拦截容器编排系统部署应用程序时的交互并进行检测和防御。
发明内容
本发明提供一种有效拦截容器编排系统应用部署的方法及系统。
一种有效拦截容器编排系统中应用部署的准入安全运行问题的方法,包括:
识别拦截点: 在容器编排系统中,确定适当的拦截点,以在应用程序部署期间截取和分析其交互。
进一步,这些拦截点可以是容器启动时、容器中的特定API调用、容器运行时等;
捕获和分析交互:一旦识别了拦截点,拦截容器编排系统的所有请求,并捕获和记录应用程序在这些拦截点上的交互。
进一步,这些交互可以包括网络流量、系统调用、API调用;
分析交互数据: 对于捕获的应用程序交互数据进行分析,以检测任何潜在的威胁或漏洞。这可以包括基于机器学习和人工智能的分析技术,以识别异常模式和行为;
部署防御措施: 如果检测到威胁或漏洞,部署适当的防御措施;
进一步,防御措施包括拦截恶意流量、更新安全策略等。此外,可以通知安全管理员以采取更进一步的操作;
日志记录: 保留所有交互和防御措施的详细日志记录,可采用FluenBit、Filebeat日志采集工具,并将日志持久化至elasticsearch数据库,以支持后续审计和调查。
一种有效拦截容器编排系统应用部署的系统,包括:
资源配额限制模块:通过设置资源配额限制,可以限制容器使用的 CPU、内存、磁盘等资源的数量。这可以防止容器过度占用系统资源,导致系统崩溃或出现其他问题。
网络策略限制模块:通过设置网络策略限制,可以控制容器之间和容器与外部之间的网络通信。这可以防止未经授权的访问和数据泄露等安全问题。
安全策略限制模块:通过设置安全策略限制,可以控制容器的访问权限,例如限制容器访问敏感数据、文件系统等。这可以防止恶意代码攻击和数据泄露等安全问题
容器镜像限制模块:通过设置容器镜像限制,可以限制容器使用的镜像来源和版本。这可以防止使用不安全的镜像,避免安全漏洞和软件版本问题。
日志监控和审计模块:通过日志监控和审计,可以记录容器的行为和事件,并检测异常活动。这可以帮助识别潜在的安全问题,及时采取措施避免恶意活动。
安全控制模块:例如通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制以及准入控制技术。
安全容器模块:如基于gVisor的系统调用隔离容器和Kata Containers基于虚拟化的技术的安全容器。
本发明的有益效果:
本发明的实施例可以使用软件工具来实现,例如网络安全监控软件、数据分析软件、威胁检测软件等。此外,本发明可以在各种容器编排系统中实现,例如Kubernetes、Docker Swarm等。
附图说明
图1为本发明提供的拦截器架构图。
图2为本发明提供的容器编排准入流程图。
实施方式
为使本发明的目的,技术特点以及优势更加清楚,现依照附图对本发明中的技术方案进行描述。所描述的示例为本发明的一部分实例,而不是全部实例。基于本发明中的实例,本领域普通技术工人在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种有效拦截容器编排系统应用部署的方法及系统,通过对容器编排系统的服务创建、更新和删除等操作进行控制和限制,它可以通过对象资源进行产检和过滤,来实现对容器编排系统资源的合规性检查和安全控制。
图1为本发明提供的拦截器架构图,包括:
对应用进行部署;
在部署完成后进行拦截点的查询和识别;
识别到拦截点后进行日志记录,同时将系统交互数据进行捕捉和分析;
分析过程中对交互数据中的威胁或漏洞进行检测,一旦存在则实行防御措施;
防御措施将立刻进行防御部署;
最后将防御措施以及交互数据录入日志并持久化进数据库;
具体的,本发明通过Kubernetes实现,通过创建Kubernetes集群,部署Github,Github为代码仓库管理系统,能够更加方便的进行海量代码的批量处理;
进一步,在Github创建Webhook,Webhook是一个API概念,是微服务API的范围之一,也被称为反向API,Webhook是一个用于接收HTTP POST的URL,与请求响应式不同,Webhook能够实时接受到变化,在Webhook范式下,能够自动将服务器更新所需的资源作为更新发送到用户端。
最后,由创建接口的Webhook生成时间event,在创建好的Triggertemplate上进行触发,生成Kubernetes可识别的文件。
需要说明的是,该拦截方式同样适用于Docker Swarm容器编排系统,也可以使用软件工具来实现,例如网络安全监控软件、数据分析软件、威胁检测软件等;通过编写自定义Webhook能够实现定制化的准入控制;日志的采集可以使用包括FluenBit、Filebeat日志采集工具采集,持久化的数据库为elasticsearch数据库。
有效拦截容器编排系统应用部署的系统,包括:
资源配额限制模块:通过设置资源配额限制,可以限制容器使用的 CPU、内存、磁盘等资源的数量。这可以防止容器过度占用系统资源,导致系统崩溃或出现其他问题。
网络策略限制模块:通过设置网络策略限制,可以控制容器之间和容器与外部之间的网络通信。这可以防止未经授权的访问和数据泄露等安全问题。
安全策略限制模块:通过设置安全策略限制,可以控制容器的访问权限,例如限制容器访问敏感数据、文件系统等。这可以防止恶意代码攻击和数据泄露等安全问题
容器镜像限制模块:通过设置容器镜像限制,可以限制容器使用的镜像来源和版本。这可以防止使用不安全的镜像,避免安全漏洞和软件版本问题。
日志监控和审计模块:通过日志监控和审计,可以记录容器的行为和事件,并检测异常活动。这可以帮助识别潜在的安全问题,及时采取措施避免恶意活动。
安全控制模块:例如通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制以及准入控制技术。
安全容器模块:如基于gVisor的系统调用隔离容器和Kata Containers基于虚拟化的技术的安全容器。
如图2所示,为容器编排准入的流程,包括:接收外部的HTTP请求,对该请求进行认证授权,根据传输的数据进行准入请求的变更,然后对准入要求进行验证,验证完成后同时进行存储的配置,并对拦截器完成控制。
需要说明的是,准入拦截开关支持全局开启、关闭;通过配置控制器的参数和选项,能够调整系统行为;管理员端能够通过访问设置控制访问规则,根据不同的用户或群组身份实现细粒度访问控制;准入拦截技术能够生成的详细的审计日志和事件,帮助管理员及时发现异常操作和安全事件,做出相应的应对。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种有效拦截容器编排系统应用部署的方法,其特征在于,包括:
S1:识别拦截点: 在容器编排系统中,确定拦截点,在应用程序部署期间截取和分析其交互;
S2:捕获和分析交互: 识别拦截点,拦截容器编排系统的所有请求,捕获和记录应用程序在这些拦截点上的交互;
S3:分析交互数据: 对于捕获的应用程序交互数据进行分析,检测任何潜在的威胁或漏洞;
S4:部署防御措施: 检测到威胁或漏洞时,部署适当的防御措施。
2.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于,所述识别拦截点包括容器启动时、容器中的特定API调用、容器运行时的拦截点。
3.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于所述捕获和分析交互包括交互种类为网络流量、系统调用、API调用。
4.根据权利要求1所述的有效拦截容器编排系统应用部署的方法,其特征在于所述部署防御措施包括拦截恶意流量、更新安全策略、将威胁或漏洞通知安全管理员。
5.一种有效拦截容器编排系统应用部署的系统,其特征在于,包括资源配额限制模块、网络策略限制模块、安全策略限制模块、容器镜像限制模块、日志监控和审计模块、安全控制技术模块、安全容器技术模块,
所述资源配额限制模块限制容器使用的 CPU、内存、磁盘等资源的数量,防止容器过度占用系统资源,导致系统崩溃或出现问题;
所述网络策略限制模块控制容器之间、容器与外部之间的网络通信,防止未经授权的访问和数据泄露;
所述安全策略限制模块控制容器的访问权限,防止恶意代码攻击和数据泄露;
所述容器镜像限制模块功能为限制容器使用的镜像来源和版本,防止使用不安全的镜像,避免安全漏洞和软件版本问题;
所述日志监控和审计模块记录容器的行为和事件,检测异常活动,帮助识别安全问题,采取措施避免恶意活动;
所述安全控制模块通过SELinux强制访问控制、AppArmor应用程序安全、Seccomp系统调用安全、Docker Content Trust镜像签名和验证机制、准入控制技术;
所述安全容器模块使用基于gVisor的系统调用隔离容器或Kata Containers基于虚拟化的技术的安全容器。
CN202311046100.3A 2023-08-18 2023-08-18 一种有效拦截容器编排系统应用部署的方法及系统 Pending CN117389678A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311046100.3A CN117389678A (zh) 2023-08-18 2023-08-18 一种有效拦截容器编排系统应用部署的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311046100.3A CN117389678A (zh) 2023-08-18 2023-08-18 一种有效拦截容器编排系统应用部署的方法及系统

Publications (1)

Publication Number Publication Date
CN117389678A true CN117389678A (zh) 2024-01-12

Family

ID=89467337

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311046100.3A Pending CN117389678A (zh) 2023-08-18 2023-08-18 一种有效拦截容器编排系统应用部署的方法及系统

Country Status (1)

Country Link
CN (1) CN117389678A (zh)

Similar Documents

Publication Publication Date Title
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11720678B2 (en) Systems and methods for ransomware detection and mitigation
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US11870811B2 (en) Trusted execution security policy platform
US8984331B2 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US9736182B1 (en) Context-aware compromise assessment
US11438349B2 (en) Systems and methods for protecting devices from malware
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
EP2946327A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
CN102160048A (zh) 收集和分析恶意软件数据
CN113901450A (zh) 一种工业主机终端安全防护系统
Breitenbacher et al. Hades-iot: A practical and effective host-based anomaly detection system for iot devices (extended version)
US20210194904A1 (en) Security management of an autonomous vehicle
Vigna et al. Host-based intrusion detection
US20230275916A1 (en) Detecting malicious activity on an endpoint based on real-time system events
CN117389678A (zh) 一种有效拦截容器编排系统应用部署的方法及系统
CN115134106A (zh) 检测黑客攻击的方法及计算机程序产品
Delgado Developing an adaptive threat hunting solution: The elasticsearch stack
Almadhoor et al. Detecting Malware Infection on Infrastructure Hosted in IaaS Cloud using Cloud Visibility and Forensics
Anand et al. Malware Exposed: An In-Depth Analysis of its Behavior and Threats

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination