[发明专利]一种基于sidecar方案的kubernetes业务容器安全性探测方法

说明书

本发明公开了一种基于sidecar方案的kubernetes业务容器安全性探测方法，包括：在内核中集成基于LSM和/或Rootkit的安全模块；在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器，并为Pod中的多容器开启共享进程命名空间；sidecar容器中的监控进程与内核进行通讯，使sidecar容器中的监控进程和安全模块配合起来，根据sidecar容器中的安全监测选项，对kubernetes业务容器中的进程和文件系统进行监测和控制。本发明实现了对kubernetes业务容器做无侵入的运行时安全监测，有效提高容器的安全性。

技术领域

本发明涉及云计算安全领域，尤其是一种基于sidecar方案的kubernetes业务容器安全性探测方法。

背景技术

随着微服务的热度不断上升，企业的业务上云也越来越普遍。越来越多的企业选择kubernetes集群来部署自己的应用，而Docker作为实现微服务首选容器，在大规模部署的同时其安全性却没有引起足够的重视。目前有多种针对容器安全性的检测机制：

一类是针对容器镜像进行静态扫描，这类机制不能完全检测到运行时的异常行为

还有一类就是针对容器进行运行时安全检测，这类机制一般都需要对容器进行侵入式的修改，这无疑提高了业务部署的复杂度。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于sidecar方案的kubernetes业务容器安全性探测方法，以对kubernetes业务容器做无侵入的运行时安全监测。

本发明采用的技术方案如下：

一种基于sidecar方案的kubernetes业务容器安全性探测方法，包括：

在内核中集成基于LSM和/或Rootkit的安全模块；

在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器，并为Pod中的多容器开启共享进程命名空间；

sidecar容器中的监控进程与内核进行通讯，使sidecar容器中的监控进程和安全模块配合起来，根据sidecar容器中的安全监测选项，对kubernetes业务容器中的进程和文件系统进行监测和控制。

进一步地，所述在内核中集成基于LSM和/或Rootkit的安全模块的方法为：

修改宿主机的内核代码，添加基于LSM的安全访问钩子，并在内核中开启内核服务，然后等待与sidecar容器中的监控进程进行通讯；

当不能修改宿主机的内核代码时，动态插入基于Rootkit的安全监测模块，并在内核中开启内核服务，然后等待与sidecar容器中的监控进程进行通讯。

进一步地，在添加的sidecar容器中，能够根据业务需要自定义配置sidecar容器的安全监测选项。

进一步地，所述根据业务需要自定义配置sidecar容器的安全监测选项的方法为：通过环境变量配置覆盖sidecar容器中默认的安全监测选项。

进一步地，sidecar容器先于kubernetes业务容器启动。

进一步地，当发现kubernetes业务容器中的异常行文时，对异常行为进行的操作包括终止、告警和/或记录日志。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明实现了对kubernetes业务容器做无侵入的运行时安全监测，有效提高容器的安全性。

附图说明