[发明专利]一种基于SSR的DOCKER容器安全防护方法

说明书

技术领域

本专利涉及服务器安全技术领域，具体涉及一种基于SSR的DOCKER容器安全防护方法。该方法通过对容器的纳管，实现时候通过对网卡信息判断，识别防护对象为容器实例；并将容器中的非法操作记录日志文件，定时反馈SSR平台汇总分析；再根据汇总分析内容，生成新的容器防护模板，最终实现了对容器文件系统、进程的安全防护，让SSR安全防护更加的安全。

背景技术

SSR(Server Security Reinforcement操作系统安全增强系统)是构建国家三级安全操作系统的内核模块技术的解决方案产品，可以实时的把普通的服务器操作系统从体系上升级，具有三级的安全技术功能，从根本上免疫现有的各种针对操作系统的攻击行为，如:病毒，蠕虫，黑客攻击等。现在SSR(操作系统安全防护)可以实现对物理机、虚拟机的操作系统安全防护，但是对于DOCKER容器这种的轻量级“虚拟机”的操作系统，还没有实现安全防护。

DOCKER是一个由GO语言写的程序运行的“容器”，目前云服务的基石是操作系统级别的隔离，在同一台物理服务器上虚拟出多个主机。DOCKER则实现了一种应用程序级别的隔离；它改变我们基本的开发、操作单元，由直接操作虚拟主机(VM),转换到操作程序运行的“容器”上来。DOCKER是为开发者和系统管理员设计的，用来发布和运行分布式应用程序的一个开放性平台。由两部分组成：DOCKER Engine:一个便携式、轻量级的运行环境和包管理器。DOCKER Hub:为创建自动化工作流和分享应用创建的云服务组成。DOCKER相对于VM虚拟机的优势十分明显，那就是轻量和高性能和便捷性，快，运行时的性能可以获取极大提升，管理操作(启动，停止，开始，重启等等)都是以秒或毫秒为单位的。敏捷，像虚拟机一样敏捷，而且会更便宜，在bare metal(裸机)上布署像点个按钮一样简单。灵活，将应用和系统“容器化”，不添加额外的操作系统，轻量，在一台服务器上可以布署100-1000个Containers容器。便宜，开源的，免费的，低成本的。由现代Linux内核支持并驱动。

综上，容器做为一种新的虚拟化实现方案，由于他的轻体量，快启动，易部署等优势，快速成为各大企业的研究和使用对象，所以SSR对容器的安全防护也是大势所趋。

针对上述问题，本申请发明一种基于SSR的DOCKER容器安全防护方法，该方法从三个方面实现对DOCKER容器安全防护。

发明内容

本发明是基于SSR管理平台提出的，是对SSR管理平台管理能力的提升。该功能的实现，是对SSR防护设备类型的补充，也满足了市场对容器安全防护的需求。

该方法从三个方面实现对DOCKER容器安全防护：首先是SSR对容器的纳管，建立与容器连接；其次是通过对文件、目录、进程的强制访问控制,有效制约非法访问对系统的操作权限；再次，是对应用程序的安全防护，避免不安全软件在容器内部的安装。

具体地，本申请请求保护一种基于SSR的DOCKER容器安全防护方法，其特征在于，该方法具体包括如下步骤：

添加需要防护容器实例；

在SSR与DOCKER容器实例建立连接之后，设置容器安全防护策略；

在SSR制定防护策略之后，下发安全防护策略；

记录非法操作反馈SSR。

如上所述的基于SSR的DOCKER容器安全防护方法，其特征还在于，添加容器时判断实例网卡信息，如果网卡中包含容器虚拟化标识daemon，则标识增加的是DOCKER容器实例。

如上所述的基于SSR的DOCKER容器安全防护方法，其特征还在于，设置容器安全防护策略是针对需要防护的文件或者进程，具体可以包括设置文件的读写权限和进程的起停权限。

如上所述的基于SSR的DOCKER容器安全防护方法，其特征还在于，下发安全防护策略需要将策略文件下发到容器实例中，当用户在操作容器实例中的文件或者进程时候，会先读取策略文件内容，查看安全防护策略，对于非法操作会有安全提示，阻止用户操作。

如上所述的基于SSR的DOCKER容器安全防护方法，其特征还在于，记录非法操作反馈SSR可以记录在容器实例中的一个安全日志文件，定时发送SSR反馈。

附图说明

图1、容器安全防护功能实现流程图

具体实施方式

下面通过一个实施例对本发明所述基于SSR的DOCKER容器安全防护方法具体实现步骤进行说明。

如附图1所示，具体实施过程如下：