[发明专利]容器安全管理方法、系统、终端及存储介质

说明书

本发明提供一种容器安全管理方法、系统、终端及存储介质，包括：创建自定义规则库，并基于自定义规则库的特征提取规则对容器库中的容器进行静态漏洞扫描检测，所述自定义规则库包括用户自定义规则和从规则源获取的规则；在预部署阶段将用户自定义容器镜像部署为独立容器，并限制所述独立容器的网络通信，利用基线核查工具及端口扫描工具对所述独立容器进行动态漏洞扫描检测；将静态漏洞扫描检测或动态漏洞扫描检测得到的扫描结果输出至镜像漏洞库。本发明为用户提供了一种功能更加全面的容器管理工具，能够自动化扫描用户自定义以及第三方容器镜像的安全漏洞，能够扫描正在运行中的容器安全性，并生扫描结果。

技术领域

本发明涉及安全防护技术领域，具体涉及一种容器安全管理方法、系统、终端及存储介质。

背景技术

随着云计算技术的高速发展，新兴的虚拟化技术Docker容器凭借自身启动快，资源损耗小等优点，迅速被各大企业接收。越来越多的公司开始部署容器云并将之应用于实际生产中，在容器云环境中存在着大量的容器，不同于传统的网络架构，容器之间通信有着面向服务的特点，不同的容器之间互相通信，API调用复杂且难以管理。这催生了众多的容器编排系统，在众多的容器编排系统中，Kubernetes凭借其部署难度低、涉及理念先进、可扩展性强等特点，成为各大公司部署开发容器云的首选。然而Kubernetes在资源调度和安全监控审计方面仍然存在不足，无法满足容器安全的复杂需求。本文针对上述问题，提出了一种工具、系统能够基于Kubernetes对容器的资源进行监控，对于容器的安全进行保障。

容器化的服务包含各种功能的实现，因此不同的容器根据应用会打包成不同的镜像文件。在部署应用时可以直接使用打包后的镜像文件直接部署，简化了开发步骤。但是由于应用的多样性以及操作系统的多样性，容器镜像往往由不同的组件构成。让用户了解各种不同的镜像安全性问题是十分困难的。另外容器镜像可以由不同的主体进行发布，不只是应用官方可以发布容器镜像，个人也可以发布容器镜像。容器镜像是否安全，是否存在后门就需要做很多的工作去验证。综上，迫切需要一款容器安全工具能够解决上述问题。

目前，比较主流的容器安全工具有Clair、Docker Benchmark for Security、Docker Security Scanning等。Clair是CoreOS 2016年发布的一款开源容器漏洞扫描工具，该工具可以交叉检查Docker镜像的操作系统以及上面安装的任何软件包是否于任何已知的不安全软件包版本相匹配。漏洞是从特定操作系统的通用漏洞披露(CVE)数据库获取的。通过从镜像文件系统中抽取静态信息以及维护一个组成镜像的不同层之间的差异列表，可以大大减少分析时间，而且不需要实际运行可能存在漏洞的容器。Docker SecurityScanning是一款Docker镜像扫描的安全工具，它以一个服务附加在Docker Cloud私有仓库和位于Docker Hub的官方仓库。该软件对容器镜像进行二进制级别的扫描，列出所有的层和组件，并分析相关的安全问题。另外当镜像经过扫描后将产生详细的组件信息并存储起来，当有新的漏洞情报产生并与存储的组件信息匹配时，工具就会发布安全警告。

从上述两款主流的容器安全工具可以看到，针对容器的动态安全。尤其是通信安全部分的监控与防护较为薄弱。另外，对于容器的安全动态监控中，主要是针对容器对应的镜像进行了监控，对于容器本身缺乏动态的安全防护措施。还有就是，工具仅提供了安全扫描的功能，并未提供安全镜像仓库、自定义安全规则等功能。在漏洞预防以及个性化定制方面不能满足用户的需求。

发明内容

针对现有技术存在的容器安全扫描方式单一、防护薄弱以及定制化程度较低的问题，本发明提供一种容器安全管理方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种容器安全管理方法，包括：

创建自定义规则库，并基于自定义规则库的特征提取规则对容器库中的容器进行静态漏洞扫描检测，所述自定义规则库包括用户自定义规则和从规则源获取的规则；