CN117749456A - 云平台容器的安全监控方法、装置、设备及存储介质 - Google Patents

云平台容器的安全监控方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117749456A
CN117749456A CN202311717024.4A CN202311717024A CN117749456A CN 117749456 A CN117749456 A CN 117749456A CN 202311717024 A CN202311717024 A CN 202311717024A CN 117749456 A CN117749456 A CN 117749456A
Authority
CN
China
Prior art keywords
container
security
security policy
policy template
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311717024.4A
Other languages
English (en)
Inventor
钱忠杰
姚广
赵严
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dongpu Software Co Ltd
Original Assignee
Dongpu Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dongpu Software Co Ltd filed Critical Dongpu Software Co Ltd
Priority to CN202311717024.4A priority Critical patent/CN117749456A/zh
Publication of CN117749456A publication Critical patent/CN117749456A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及信息安全领域,公开了一种云平台容器的安全监控方法、装置、设备及存储介质。该方法包括:根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。本发明提供的是一种云平台容器的安全监控方法,通过在创建容器时为容器设置安全策略模板,集中管理和配置容器的安全设置,避免了在创建容器后再分别对容器进行安全配置的繁琐过程,降低了管理的复杂性,并且减少了安全风险和漏洞,提升了容器的整体安全性。

Description

云平台容器的安全监控方法、装置、设备及存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及一种云平台容器的安全监控方法、装置、设备及存储介质。
背景技术
随着科技的发展和进步,云平台逐渐出现在人们的视野中,云平台也就是云计算平台,是基于硬件资源和软件资源,用于提供计算、网络和存储能力的服务平台。而云平台容器技术是一种轻量级的操作系统层向虚拟化技术,可以将应用程序及其需要的环境、工具和库等资源封装在一个容器中,实现在不同云平台上的运行。
传统的云平台容器技术本身是一种资源隔离的技术,通过将应用程序及其依赖环境打包成一个独立的容器,并在容器中运行应用程序,从而实现资源的隔离和环境的控制,但这种隔离方式是基于操作系统的,在不同的用户场景下都采用统一的安全规则,这无法对运行环境进行足够精细的权限划分和控制,使得传统的云平台容器技术无法适应日益复杂的业务需求,带来巨大的安全隐患。
因此,现有技术还有待于改进和发展。
发明内容
本发明的主要目的在于解决现有技术中云平台容器技术无法对运行环境进行足够的权限划分和控制,导致云平台容器技术的安全性难以保障的问题。
本发明第一方面提供了一种云平台容器的安全监控方法,包括:根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
可选的,在本发明第一方面的第一种实现方式中,所述根据预先设置的用户角色信息和应用场景信息构建安全策略模板库的步骤包括:获取预先设置的用户角色信息和应用场景信息,其中,所述用户角色信息包括多个用户角色,所述应用场景信息包括多个应用场景;将所述用户角色信息中的所有用户角色依次和所述应用场景信息中的所有应用场景进行组合,得到多个安全策略场景;根据预设的资源数据权限规则,分别为每个所述安全策略场景分配数据权限和资源权限,得到多个安全策略模板;整合所有所述安全策略模板,得到安全策略模板库。
可选的,在本发明第一方面的第二种实现方式中,所述接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器的步骤包括:接收用户发送的创建容器请求,其中,所述创建容器请求包括用户根据所述用户角色信息和所述应用场景信息选择的自身角色和实际应用场景;根据所述自身角色和所述实际应用场景从所述安全策略模板库中选取对应的安全策略模板;对所述安全策略模板进行分析,得到所述安全策略模板对应的安全策略,并根据所述安全策略创建容器。
可选的,在本发明第一方面的第三种实现方式中,所述根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户的步骤包括:若所述安全策略模板包含请求鉴权功能,则根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权;若所述安全策略模板包含文件加密功能,则根据所述文件加密功能对容器中对重要数据文件进行加密,其中,所述重要数据文件由用户进行选择得到;若所述安全策略模板包含安全审计功能,则根据所述安全审计功能对所述容器执行定期审计和风险评估。
可选的,在本发明第一方面的第四种实现方式中,所述根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权的步骤包括:当所述容器中的应用发送数据访问请求或资源访问请求时,对所述数据访问请求或所述资源访问请求进行拦截;根据数据权限判断是否允许所述数据访问请求执行,根据资源权限判断是否允许所述资源访问请求执行,其中,所述数据权限和所述资源权限均为所述安全策略模板创建时得到;若判断结果为所述数据访问请求或所述资源访问请求被允许执行,则正常根据所述数据访问请求或所述资源访问请求向所述应用返回对应的数据或资源;若判断结果为所述数据访问请求或所述资源访问请求被拒绝执行,则向所述应用返回错误响应信息。
可选的,在本发明第一方面的第五种实现方式中,所述对根据所述文件加密功能对容器中对重要数据文件进行加密的步骤包括:获取用户预先选择的重要数据文件;通过预设的加密算法对所述重要数据文件进行加密,生成与所述重要数据文件对应的密文;将所述密文进行保存,以完成对所述重要数据文件的加密。
可选的,在本发明第一方面的第六种实现方式中,所述根据所述安全审计功能对所述容器执行定期审计和风险评估的步骤包括:
每隔预设时间获取所述容器的访问日志,其中,所述访问日志为所述容器在运行过程中产生;对所述访问日志中的所有访问行为进行审计,得到对应的审计结果;根据预设的风险评估方法对所述容器对应的安全策略模板进行风险评估,得到对应的评估结果;根据所述审计结果和所述评估结果生成安全审计报告。
本发明第二方面提供了一种云平台容器的安全监控装置,包括:策略库构建模块,用于根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;容器创建模块,用于接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;安全监控模块,根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
可选的,在本发明第二方面的第一种实现方式中,所述策略库构建模块包括:信息获取单元,用于获取预先设置的用户角色信息和应用场景信息,其中,所述用户角色信息包括多个用户角色,所述应用场景信息包括多个应用场景;场景构建单元,用于将所述用户角色信息中的所有用户角色依次和所述应用场景信息中的所有应用场景进行组合,得到多个安全策略场景;模板构建单元,用于根据预设的资源数据权限规则,分别为每个所述安全策略场景分配数据权限和资源权限,得到多个安全策略模板;模板整合单元,用于整合所有所述安全策略模板,得到安全策略模板库。
可选的,在本发明第二方面的第二种实现方式中,所述容器创建模块包括:请求接收单元,用于接收用户发送的创建容器请求,其中,所述创建容器请求包括用户根据所述用户角色信息和所述应用场景信息选择的自身角色和实际应用场景;模板选择单元,用于根据所述自身角色和所述实际应用场景从所述安全策略模板库中选取对应的安全策略模板;容器创建单元,用于对所述安全策略模板进行分析,得到所述安全策略模板对应的安全策略,并根据所述安全策略创建容器。
可选的,在本发明第二方面的第三种实现方式中,所述安全监控模块包括:请求鉴权单元,用于若所述安全策略模板包含请求鉴权功能,则根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权;文件加密单元,用于若所述安全策略模板包含文件加密功能,则根据所述文件加密功能对容器中对重要数据文件进行加密,其中,所述重要数据文件由用户进行选择得到;安全审计单元,用于若所述安全策略模板包含安全审计功能,则根据所述安全审计功能对所述容器执行定期审计和风险评估。可选的,在本发明第二方面的第四种实现方式中,所述请求鉴权单元包括:请求拦截子单元,用于当所述容器中的应用发送数据访问请求或资源访问请求时,对所述数据访问请求或所述资源访问请求进行拦截;执行判断子单元,用于根据数据权限判断是否允许所述数据访问请求执行,根据资源权限判断是否允许所述资源访问请求执行,其中,所述数据权限和所述资源权限均为所述安全策略模板创建时得到;第一判断子单元,用于若判断结果为所述数据访问请求或所述资源访问请求被允许执行,则正常根据所述数据访问请求或所述资源访问请求向所述应用返回对应的数据或资源;第二判断子单元,用于若判断结果为所述数据访问请求或所述资源访问请求被拒绝执行,则向所述应用返回错误响应信息。
可选的,在本发明第二方面的第五种实现方式中,所述文件加密单元包括:文件获取子单元,用于获取用户预先选择的重要数据文件;密文生成子单元,用于通过预设的加密算法对所述重要数据文件进行加密,生成与所述重要数据文件对应的密文;文件加密子单元,用于将所述密文进行保存,以完成对所述重要数据文件的加密。
可选的,在本发明第二方面的第六种实现方式中,所述安全审计单元包括:日志获取子单元,用于每隔预设时间获取所述容器的访问日志,其中,所述访问日志为所述容器在运行过程中产生;访问审计子单元,用于对所述访问日志中的所有访问行为进行审计,得到对应的审计结果;风险评估子单元,用于根据预设的风险评估方法对所述容器对应的安全策略模板进行风险评估,得到对应的评估结果;报告生成子单元,用于根据所述审计结果和所述评估结果生成安全审计报告。
本发明第三方面提供了一种云平台容器的安全监控设备,包括:存储器和至少一个处理器,所述存储器中存储有计算机可读指令,所述存储器和所述至少一个处理器通过线路互连;所述至少一个处理器调用所述存储器中的所述计算机可读指令,以使得所述云平台容器的安全监控设备执行如上所述云平台容器的安全监控方法的各个步骤。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可读指令,当其在计算机上运行时,使得计算机执行如上所述云平台容器的安全监控方法的各个步骤。
有益效果:本发明的技术方案中,根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。本发明提供的是一种云平台容器的安全监控方法,通过设置安全策略模板库,在创建容器的时候从安全策略模板库中选择对应的安全策略模板,并根据安全策略模板对容器进行安全监控,集中管理和配置容器的安全设置,避免了在创建容器后再分别对容器进行安全配置的繁琐过程,降低了管理的复杂性,并且减少了安全风险和漏洞,提升了容器的整体安全性,有效解决云环境下的容器安全隐患。
附图说明
图1为本发明实施例提供的云平台容器的安全监控方法的第一种流程图;
图2为本发明实施例提供的云平台容器的安全监控方法的第二种流程图;
图3为本发明实施例提供的云平台容器的安全监控方法的第三种流程图;
图4为本发明实施例提供的云平台容器的安全监控方法的第四种流程图;
图5为本发明实施例提供的云平台容器的安全监控方法的第五种流程图;
图6为本发明实施例提供的云平台容器的安全监控方法的第六种流程图;
图7为本发明实施例提供的云平台容器的安全监控方法的第七种流程图;
图8为本发明实施例提供的云平台容器的安全监控装置的一种结构示意图;
图9为本发明实施例提供的云平台容器的安全监控装置的另一种结构示意图;
图10为本发明实施例提供的云平台容器的安全监控设备的结构示意图。
具体实施方式
本发明实施例提供了一种云平台容器的安全监控方法、装置、设备及存储介质,根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。本发明解决了现有技术中云平台容器技术无法对运行环境进行足够的权限划分和控制,导致云平台容器技术的安全性难以保障的问题。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中云平台容器的安全监控方法的第一个实施例包括:
S101、根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;
在本实施例中,会预先设置好不同的用户角色信息和应用场景信息,用户角色信息包括但不限于:开发人员、测试人员和运维人员,应用场景信息包括但不限于:开发环境、测试环境和生产环境。
然后根据所有用户角色信息和应用场景信息构建出不同的安全策略模板,再将整合所有安全策略模板,从而完成安全策略模板库的构建。
S102、接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;
在本实施例中,用户在创建容器时,需要选择合适的安全策略模板,在选择完毕后将用户的选择的安全策略模板对应的信息存储在创建容器请求,并将创建容器请求发送给本申请的安全监控装置。
安全监控装置在获取到创建容器请求后,会从创建容器请求中解析出用户选择的安全策略模板对应的信息,并根据此信息在安全策略模板库中选择对应的安全策略模板,再根据此安全策略模板创建容器。
S103、根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
在本实施例中,安全策略模板中包含有不同的安全监控功能,在根据安全策略模板创建完容器后,安全监控装置会对应的安全监控功能对容器进行安全监控,在每次执行了安全监控功能后,都会生成相应的安全监控结果,并将此安全监控结果发送给用户,供用户进行查看。
本实施例提供的是一种云平台容器的安全监控方法,通过设置安全策略模板库,在创建容器的时候从安全策略模板库中选择对应的安全策略模板,并根据安全策略模板对容器进行安全监控,集中管理和配置容器的安全设置,避免了在创建容器后再分别对容器进行安全配置的繁琐过程,降低了管理的复杂性,并且减少了安全风险和漏洞,提升了容器的整体安全性,有效解决云环境下的容器安全隐患。
请参阅图2,本发明实施例中云平台容器的安全监控方法的第二个实施例包括:
S201、获取预先设置的用户角色信息和应用场景信息,其中,所述用户角色信息包括多个用户角色,所述应用场景信息包括多个应用场景;
S202、将所述用户角色信息中的所有用户角色依次和所述应用场景信息中的所有应用场景进行组合,得到多个安全策略场景;
S203、根据预设的资源数据权限规则,分别为每个所述安全策略场景分配数据权限和资源权限,得到多个安全策略模板;
S204、整合所有所述安全策略模板,得到安全策略模板库。
在本实施例中,创建安全策略模板库之前,需要获取到技术人员在后台设置的多个用户角色信息和多个应用场景信息,然后再将每个用户角色信息和每个应用场景信息分别进行排列组合,得到多个安全策略场景。
技术人员可以根据每个用户角色信息和每个应用场景信息实际的权限需求,在后台为每个用户角色信息和每个应用场景信息设置对应的资源数据权限规则,在得到多个安全策略场景后,由于每个安全策略场景中都是包括有一个用户角色信息和一个应用场景信息的,所以可以根据资源数据权限规则对每个安全策略场景分配对应的数据权限和资源权限,从而得到多个安全策略模板,最后再将多个安全策略模板存储到同一个数据库中,从而得到安全策略模板库。
资源权限包括:计算资源、存储资源、网络资源、应用程序资源等;数据权限包括:读/写存储权限、启动/停止应用权限、访问网络权限等。
作为举例,由于用户角色信息包括但不限于:开发人员、测试人员和运维人员,应用场景信息包括但不限于:开发环境、测试环境和生产环境,所以生成的安全策略场景可以有:开发人员+开发环境、开发人员+生产环境、开发人员+测试环境、……、运维人员+生产环境;以安全策略场景为运维人员+生产环境来进行说明,技术人员预先给运维人员设定的资源数据权限规则为可以获取存储资源、网络资源和具有访问网络权限,给生产环境设定的资源数据权限规则为可以获取网络资源、应用程序资源和具有访问网络权限,那么就会为运维人员+生产环境的安全策略场景分配可以获取存储资源、网络资源和应用程序资源的资源权限,分配具有访问网络权限的数据权限,从而得到对应的安全策略模板(以上仅为举例说明,实际为技术人员自行设定)。
需要说明的是,安全策略模板采用JSON格式定义资源权限和数据权限,例如:{“role”:“developer”,“environment”:“test”,“permissions”:[“storage:r”,“network:rw”]}。
在本实施例中,通过用户角色和应用场景构建安全策略场景,并根据用户角色的资源数据权限规则和应用场景信息的资源数据权限规则为安全策略场景分配对应的资源权限和数据权限,得到安全策略模板,并将所有安全策略模板整合,得到安全策略模板库,可以统一管理和规范安全策略模板,简化安全策略模板的管理和维护工作,降低运营成本,在需要用到安全策略模板的时候也可以直接从安全策略模板库中进行匹配,加快了获取安全策略模板的效率。
请参阅图3,本发明实施例中云平台容器的安全监控方法的第三个实施例包括:
S301、接收用户发送的创建容器请求,其中,所述创建容器请求包括用户根据所述用户角色信息和所述应用场景信息选择的自身角色和实际应用场景;
S302、根据所述自身角色和所述实际应用场景从所述安全策略模板库中选取对应的安全策略模板;
S303、对所述安全策略模板进行分析,得到所述安全策略模板对应的安全策略,并根据所述安全策略创建容器。
在本实施例中,用户在创建容器的时候,需要根据用户角色信息和应用场景信息选择对应的自身角色和实际应用场景(例如可以通过下拉框进行选择),待选择完成后,用户选择的自身角色和实际应用场景会伴随创建容器请求一并发送给安全监控装置,安全监控装置就根据用户选择的自身角色和实际应用场景从安全策略模板库中选择对应的安全策略模板。
安全监控装置在获取到安全策略模板后,会将安全策略模板转化成安全策略,再根据安全策略创建容器,将安全策略嵌入到容器之中,并且还会根据安全策略生成对应的安全监控功能,从而完成对容器的创建。
在本实施例中,通过用户选择的自身角色和实际应用场景从安全策略模板库中获取对应的安全策略模板,然后再将安全策略模板转换成安全策略,并根据安全策略创建容器,从而可以根据用户角色和场景为用户提供不同的安全策略,提供了更精细化的权限管理,提供了更大的灵活性,能够更有效地预防数据泄露和资源盗用等安全事件,同时提高云平台的适用性,使其能够适应更为严苛的应用环境,并且设置容器安全策略的过程也是自动化处理过程,大大地提高了为容器设置安全策略的效率。
请参阅图4,本发明实施例中快件的云平台容器的安全监控方法的第四个实施例包括:
S401、若所述安全策略模板包含请求鉴权功能,则根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权;
S402、若所述安全策略模板包含文件加密功能,则根据所述文件加密功能对容器中对重要数据文件进行加密,其中,所述重要数据文件由用户进行选择得到;
S403、若所述安全策略模板包含安全审计功能,则根据所述安全审计功能对所述容器执行定期审计和风险评估。
在本实施例中,安全策略模板一共包括有三个安全监控功能,分别为请求鉴权功能、文件加密功能和安全审计功能
在创建完容器后,安全监控系统会根据容器的安全策略模板获取到需要对容器进行的安全监控功能,其中,三个安全监控功能可以同时进行。
如果容器的安全策略模板中包含有请求鉴权功能,那么安全监控装置会根据请求鉴权功能对容器中每个应用程序发送的所有请求进行鉴权,根据容器是否包含有对应的资源权限或数据权限。
如果容器的安全策略模板中包含有文件加密功能,那么安全监控装置可以将用户选择的重要数据文件进行加密,实现对重要数据文件的保护。
如果容器的安全策略模板中包含有安全审计功能,那么安全监控装置会定期对容器进行安全审计,并定期对容器的安全策略模板进行风险评估。
在本实施例中,通过容器的安全策略模板对应的安全监控功能对容器进行监控,具体的安全监控功能有请求鉴权、文件加密和安全审计,请求鉴权可以防止未经授权的访问,确保只有合法身份或权限的用户才能进行资源数据访问,文件加密可以保护容器中的重要数据文件,防止数据泄露事件的发生,安全审计功能可以帮助用户及时发现容器存在的潜在威胁和异常行为,并提醒用户及时选取对应的措施进行处理,使得容器的安全性得到了进一步的保障。
请参阅图5,本发明实施例中快件的云平台容器的安全监控方法的第五个实施例包括:
S501、当所述容器中的应用发送数据访问请求或资源访问请求时,对所述数据访问请求或所述资源访问请求进行拦截;
S502、根据数据权限判断是否允许所述数据访问请求执行,根据资源权限判断是否允许所述资源访问请求执行,其中,所述数据权限和所述资源权限均为所述安全策略模板创建时得到;
S503、若判断结果为所述数据访问请求或所述资源访问请求被允许执行,则正常根据所述数据访问请求或所述资源访问请求向所述应用返回对应的数据或资源;
S504、若判断结果为所述数据访问请求或所述资源访问请求被拒绝执行,则向所述应用返回错误响应信息。
在本实施例中,安全监控装置在根据请求鉴权功能对容器进行安全监控时,会监控容器中所有应用程序发送的访问请求,其中,访问请求包括数据访问请求和资源访问请求(分别由数据权限和资源权限进行管控),当监控到数据访问请求或资源访问请求的时候,会将数据访问请求或资源访问请求都进行拦截(例如采用Linux LSM框架实现请求拦截),并进行相应的鉴权处理。
安全监控装置会根据容器安全策略模板的数据权限和资源权限判断是否需要对应用程序发出的数据访问请求或资源访问请求能否进行下一步的处理,根据安全策略模板的数据权限判断容器是否有权限继续进行数据访问请求,根据安全策略模板的资源权限判断容器是否有权限继续进行资源访问请求;如果判断结果是访问请求被允许执行,也就是容器有权限进行相应的访问请求,那么容器正常执行访问请求,得到需要的数据或者资源;如果判断那结果是访问请求被拒绝执行,也就是容器无权限进行相应的访问请求,那么安全监控装置会向容器返回错误响应信息,并提示用户没有相应的权限,无法进行访问请求。
进一步地,会将所有容器发出的所有访问请求对应的请求时间、发出请求的应用程序、需要获得的数据或资源进行记录到对应的访问日志中。
在本实施例中,通过拦截容器中应用程序发出的数据访问请求或资源访问请求,并根据安全策略模板的数据权限和资源权限进行鉴权,如果有权则正常执行,如果没权则返回错误信息,确保只有具有相应权限的容器才能访问特定的数据或资源,实现精细化的权限控制,防止未经授权的访问和操作,提高了容器的安全性,减少了潜在的安全风险。
请参阅图6,本发明实施例中快件的云平台容器的安全监控方法的第六个实施例包括:
S601、获取用户预先选择的重要数据文件;
S602、通过预设的加密算法对所述重要数据文件进行加密,生成与所述重要数据文件对应的密文;
S603、将所述密文进行保存,以完成对所述重要数据文件的加密。
在本实施例中,用户可以预先选择好需要进行加密的重要数据文件,然后安全监控装置可以通过预设的加密算法对重要数据文件进行加密,生成密文并进行保存,以完成对重要数据文件的加密。
作为举例,可以采用AES对称加密算法进行加密,首先使用AES算法的key生成函数随机生成一个256比特的AES密钥K,具体表示为:key=
AES_key_generate(256);然后再获取需要进行加密的重要数据文件P,遍历容器内指定的保密目录,读取保密文件(重要数据文件P)的内容,例如用户密码文件(passwords.txt),具体为:plain_text=
read(“/secretdata/passwords.txt”);再使用AES加密函数,以密钥K对重要数据文件P进行AES加密,生成密文C,具体表示为:cipher_text=AES_encrypt(key,plain_text),最后再将生成的AES密文内容cipher_text,写入至一个新的加密文件,具体为:write(“/protected/ciphertext.dat”,cipher_text),完成对密文的保存。
作为举例,也可以采用RSA非对称加密对重要数据文件进行加密,RSA非对称加密的加密公式为:C=(P^e)mod n,其中P是明文,e是公钥,n是模数,C是密文;首先,根据RSA非对称加密key生成函数随机生成一个对RSA公钥(n,e)和私钥d,具体为:(pub_key,priv_key)=RSA_key_generate();然后再使用RSA加密函数加密重要数据文件P,得到密文C,具体表示为:ciphertext=RSA_encrypt(plain_text,pub_key);如果需要获取到对应的重要数据文件原文内容,则通过私钥解密RSA密文,具体表示为:plain_text=RSA_decrypt(ciphertext,priv_key)。
在本实施例中,通过预先选择好需要进行加密的重要数据文件,然后安全监控装置可以通过预设的加密算法对重要数据文件进行加密,生成密文并进行保存,以完成对重要数据文件的加密,实现了对重要数据文件的数据保护,降低了数据泄露带来的风险,并且只对需要加密的重要数据文件进行加密,可以集中资源保护最重要的数据,从而提高文件加密的效率,提升了容器的安全性。
请参阅图7,本发明实施例中快件的云平台容器的安全监控方法的第七个实施例包括:
S701、每隔预设时间获取所述容器的访问日志,其中,所述访问日志为所述容器在运行过程中产生;
S702、对所述访问日志中的所有访问行为进行审计,得到对应的审计结果;
S703、根据预设的风险评估方法对所述容器对应的安全策略模板进行风险评估,得到对应的评估结果;
S704、根据所述审计结果和所述评估结果生成安全审计报告。
在本实施例中,当安全监控装置根据安全审计功能对容器进行安全监控时,会定期获取到容器的访问日志(例如一个月获取一次),然后对访问记录中的所有访问行为进行审计,并生成对应的审计结果,供技术人员进行查看,如果访问日志中没有出现异常访问行为,则生成的审计结果为正常运行;如果访问日记中存在异常访问行为,则生成的审计结果为非正常运行。
然后安全监控装置还会对安全策略模板的安全策略进行风险评估,采用技术人员预设的风险评估方法(例如风险矩阵评级方法)来评估安全策略的安全风险状况,生成对应的评估结果,从而避免安全策略过于宽松。
最后再将审计结果和评估结果填入预先设置好的安全审计报告模板,生成最终的安全审计报告,并将此安全审计报告发送给技术人员。
在本实施例中,通过对容器的访问日志进行定期审计,判断是否存在异常访问行为,再对容器的安全策略进行风险评估,评估安全策略是否宽松,再根据审计结果和评估结果生成对应的安全审计报告,从而可以及时发现和追踪异常或未授权的访问尝试,有助于及时发现潜在的安全威胁,从而进行调整和优化,使得安全监控装置能够时刻监控风险,有效解决云环境下的容器安全隐患,保障云上业务更安全可靠地运行。
上面对本发明实施例中云平台容器的安全监控方法进行了描述,下面对本发明实施例中云平台容器的安全监控装置进行描述,请参阅图8,本发明实施例中云平台容器的安全监控装置的一个实施例包括:
策略库构建模块50,用于根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;
容器创建模块60,用于接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;
安全监控模块70,根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
本实施例中,通过设置安全策略模板库,在创建容器的时候从安全策略模板库中选择对应的安全策略模板,并根据安全策略模板对容器进行安全监控,集中管理和配置容器的安全设置,避免了在创建容器后再分别对容器进行安全配置的繁琐过程,降低了管理的复杂性,并且减少了安全风险和漏洞,提升了容器的整体安全性,有效解决云环境下的容器安全隐患。
请参阅图9,本发明实施例中云平台容器的安全监控装置的另一个实施例包括:
策略库构建模块50,用于根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;
容器创建模块60,用于接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;
安全监控模块70,根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
在本实施例中,所述策略库构建模块50包括:
信息获取单元501,用于获取预先设置的用户角色信息和应用场景信息,其中,所述用户角色信息包括多个用户角色,所述应用场景信息包括多个应用场景;
场景构建单元502,用于将所述用户角色信息中的所有用户角色依次和所述应用场景信息中的所有应用场景进行组合,得到多个安全策略场景;
模板构建单元503,用于根据预设的资源数据权限规则,分别为每个所述安全策略场景分配数据权限和资源权限,得到多个安全策略模板;
模板整合单元504,用于整合所有所述安全策略模板,得到安全策略模板库。
在本实施例中,所述容器创建模块60包括:
请求接收单元601,用于接收用户发送的创建容器请求,其中,所述创建容器请求包括用户根据所述用户角色信息和所述应用场景信息选择的自身角色和实际应用场景;
模板选择单元602,用于根据所述自身角色和所述实际应用场景从所述安全策略模板库中选取对应的安全策略模板;
容器创建单元603,用于对所述安全策略模板进行分析,得到所述安全策略模板对应的安全策略,并根据所述安全策略创建容器。
在本实施例中,所述安全监控模块70包括:
请求鉴权单元701,用于若所述安全策略模板包含请求鉴权功能,则根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权;
文件加密单元702,用于若所述安全策略模板包含文件加密功能,则根据所述文件加密功能对容器中对重要数据文件进行加密,其中,所述重要数据文件由用户进行选择得到;
安全审计单元703,用于若所述安全策略模板包含安全审计功能,则根据所述安全审计功能对所述容器执行定期审计和风险评估。
在本实施例中,所述请求鉴权单元701包括:
请求拦截子单元7011,用于当所述容器中的应用发送数据访问请求或资源访问请求时,对所述数据访问请求或所述资源访问请求进行拦截;
执行判断子单元7012,用于根据数据权限判断是否允许所述数据访问请求执行,根据资源权限判断是否允许所述资源访问请求执行,其中,所述数据权限和所述资源权限均为所述安全策略模板创建时得到;
第一判断子单元7013,用于若判断结果为所述数据访问请求或所述资源访问请求被允许执行,则正常根据所述数据访问请求或所述资源访问请求向所述应用返回对应的数据或资源;
第二判断子单元7014,用于若判断结果为所述数据访问请求或所述资源访问请求被拒绝执行,则向所述应用返回错误响应信息。
在本实施例中,所述文件加密单元702包括:
文件获取子单元7021,用于获取用户预先选择的重要数据文件;
密文生成子单元7022,用于通过预设的加密算法对所述重要数据文件进行加密,生成与所述重要数据文件对应的密文;
文件加密子单元7023,用于将所述密文进行保存,以完成对所述重要数据文件的加密。
在本实施例中,所述安全审计单元703包括:
日志获取子单元7031,用于每隔预设时间获取所述容器的访问日志,其中,所述访问日志为所述容器在运行过程中产生;
访问审计子单元7032,用于对所述访问日志中的所有访问行为进行审计,得到对应的审计结果;
风险评估子单元7033,用于根据预设的风险评估方法对所述容器对应的安全策略模板进行风险评估,得到对应的评估结果;
报告生成子单元7034,用于根据所述审计结果和所述评估结果生成安全审计报告。
本发明提供的是一种云平台容器的安全监控方法,根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户,通过设置安全策略模板库,在创建容器的时候从安全策略模板库中选择对应的安全策略模板,并根据安全策略模板对容器进行安全监控,集中管理和配置容器的安全设置,避免了在创建容器后再分别对容器进行安全配置的繁琐过程,降低了管理的复杂性,并且减少了安全风险和漏洞,提升了容器的整体安全性,有效解决云环境下的容器安全隐患。
上面图8和图9从模块化功能实体的角度对本发明实施例中的云平台容器的安全监控装置进行详细描述,下面从硬件处理的角度对本发明实施例中云平台容器的安全监控设备进行详细描述。
图10是本发明实施例提供的一种云平台容器的安全监控设备的结构示意图,该云平台容器的安全监控设备10可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)11(例如,一个或一个以上处理器)和存储器12,一个或一个以上存储应用程序133或数据132的存储介质13(例如一个或一个以上海量存储设备)。其中,存储器12和存储介质13可以是短暂存储或持久存储。存储在存储介质13的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对云平台容器的安全监控设备10中的一系列指令操作。更进一步地,处理器11可以设置为与存储介质13通信,在云平台容器的安全监控设备10上执行存储介质13中的一系列指令操作。
云平台容器的安全监控设备10还可以包括一个或一个以上电源14,一个或一个以上有线或无线网络接口15,一个或一个以上输入输出接口16,和/或,一个或一个以上操作系统131,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图10示出的设备结构并不构成对云平台容器的安全监控设备10的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行云平台容器的安全监控配方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统或装置、单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种云平台容器的安全监控方法,其特征在于,所述云平台容器的安全监控方法包括:
根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;
接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;
根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
2.根据权利要求1所述云平台容器的安全监控方法,其特征在于,所述根据预先设置的用户角色信息和应用场景信息构建安全策略模板库的步骤包括:
获取预先设置的用户角色信息和应用场景信息,其中,所述用户角色信息包括多个用户角色,所述应用场景信息包括多个应用场景;
将所述用户角色信息中的所有用户角色依次和所述应用场景信息中的所有应用场景进行组合,得到多个安全策略场景;
根据预设的资源数据权限规则,分别为每个所述安全策略场景分配数据权限和资源权限,得到多个安全策略模板;
整合所有所述安全策略模板,得到安全策略模板库。
3.根据权利要求1所述云平台容器的安全监控方法,其特征在于,所述接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器的步骤包括:
接收用户发送的创建容器请求,其中,所述创建容器请求包括用户根据所述用户角色信息和所述应用场景信息选择的自身角色和实际应用场景;
根据所述自身角色和所述实际应用场景从所述安全策略模板库中选取对应的安全策略模板;
对所述安全策略模板进行分析,得到所述安全策略模板对应的安全策略,并根据所述安全策略创建容器。
4.根据权利要求1所述云平台容器的安全监控方法,其特征在于,所述根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户的步骤包括:
若所述安全策略模板包含请求鉴权功能,则根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权;
若所述安全策略模板包含文件加密功能,则根据所述文件加密功能对容器中对重要数据文件进行加密,其中,所述重要数据文件由用户进行选择得到;
若所述安全策略模板包含安全审计功能,则根据所述安全审计功能对所述容器执行定期审计和风险评估。
5.根据权利要求4所述云平台容器的安全监控方法,其特征在于,所述根据所述请求鉴权功能对所述容器中每个应用发送的请求进行鉴权的步骤包括:
当所述容器中的应用发送数据访问请求或资源访问请求时,对所述数据访问请求或所述资源访问请求进行拦截;
根据数据权限判断是否允许所述数据访问请求执行,根据资源权限判断是否允许所述资源访问请求执行,其中,所述数据权限和所述资源权限均为所述安全策略模板创建时得到;
若判断结果为所述数据访问请求或所述资源访问请求被允许执行,则正常根据所述数据访问请求或所述资源访问请求向所述应用返回对应的数据或资源;
若判断结果为所述数据访问请求或所述资源访问请求被拒绝执行,则向所述应用返回错误响应信息。
6.根据权利要求4所述云平台容器的安全监控方法,其特征在于,所述对根据所述文件加密功能对容器中对重要数据文件进行加密的步骤包括:
获取用户预先选择的重要数据文件;
通过预设的加密算法对所述重要数据文件进行加密,生成与所述重要数据文件对应的密文;
将所述密文进行保存,以完成对所述重要数据文件的加密。
7.根据权利要求4所述云平台容器的安全监控方法,其特征在于,所述根据所述安全审计功能对所述容器执行定期审计和风险评估的步骤包括:
每隔预设时间获取所述容器的访问日志,其中,所述访问日志为所述容器在运行过程中产生;
对所述访问日志中的所有访问行为进行审计,得到对应的审计结果;
根据预设的风险评估方法对所述容器对应的安全策略模板进行风险评估,得到对应的评估结果;
根据所述审计结果和所述评估结果生成安全审计报告。
8.一种云平台容器的安全监控装置,其特征在于,包括:
策略库构建模块,用于根据预先设置的用户角色信息和应用场景信息构建安全策略模板库;
容器创建模块,用于接收用户发送的创建容器请求,根据所述创建容器请求从所述安全策略模板库中获取对应的安全策略模板,并根据所述安全策略模板创建容器;
安全监控模块,根据所述安全策略模板对所述容器进行安全监控,并发送安全监控结果给用户。
9.一种云平台容器的安全监控设备,其特征在于,包括存储器和至少一个处理器,所述存储器中存储有计算机可读指令;
所述至少一个处理器调用所述存储器中的所述计算机可读指令,以执行如权利要求1-7中任一项所述云平台容器的安全监控方法的各个步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1-7中任一项所述云平台容器的安全监控方法的各个步骤。
CN202311717024.4A 2023-12-13 2023-12-13 云平台容器的安全监控方法、装置、设备及存储介质 Pending CN117749456A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311717024.4A CN117749456A (zh) 2023-12-13 2023-12-13 云平台容器的安全监控方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311717024.4A CN117749456A (zh) 2023-12-13 2023-12-13 云平台容器的安全监控方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117749456A true CN117749456A (zh) 2024-03-22

Family

ID=90260274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311717024.4A Pending CN117749456A (zh) 2023-12-13 2023-12-13 云平台容器的安全监控方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117749456A (zh)

Similar Documents

Publication Publication Date Title
CN110892691B (zh) 安全执行平台群集
CN103795692B (zh) 开放授权方法、系统与认证授权服务器
US20110276490A1 (en) Security service level agreements with publicly verifiable proofs of compliance
US20140052994A1 (en) Object Signing Within a Cloud-based Architecture
CN110770729B (zh) 用于证明虚拟机完整性的方法和设备
CN104331329A (zh) 支持域管理的移动办公安全系统及方法
US20210334085A1 (en) Systems and methods for secure over-the-air updates for cyber-physical systems
WO2013008351A1 (ja) データ分散保管システム
Zhu et al. Kub-Sec, an automatic Kubernetes cluster AppArmor profile generation engine
Saeed et al. Data protection techniques for building trust in cloud computing
CN116827821B (zh) 基于区块链云应用程序性能监控方法
Morrow et al. Cloud security best practices derived from mission thread analysis
CN111475844A (zh) 一种数据共享方法、装置、设备及计算机可读存储介质
CN114884661B (zh) 混合安全服务密码系统
Reedy et al. A Secure Framework for Ensuring EHR's Integrity Using Fine-Grained Auditing and CP-ABE
Saxena et al. Collaborative approach for data integrity verification in cloud computing
Patil et al. A review on contemporary security issues of cloud computing
Ruebsamen et al. Secure evidence collection and storage for cloud accountability audits
CN117749456A (zh) 云平台容器的安全监控方法、装置、设备及存储介质
CN113901507A (zh) 一种多参与方的资源处理方法及隐私计算系统
Ochani et al. Security issues in cloud computing
Sekhar et al. Access control for cloud forensics through secure logging services
CN112769784A (zh) 文本的处理方法和装置、计算机可读存储介质及处理器
CN104935607A (zh) 一种云计算网络中的登录验证方法
Rübsamen et al. Security and privacy preservation of evidence in cloud accountability audits

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication