[发明专利]一种基于容器提高云托管Web应用程序安全性的方法及装置

说明书

本发明公开了一种基于容器提高云托管Web应用程序安全性的方法及装置，该方法包括：构建Web应用，并使用Web应用中的Docker容器实例构建MongoDB数据库集群；其中，Web应用包含多个数据库容器；基于多个数据库容器的类型对多个数据库容器中存储的数据进行数据分类得到数据分类结果；根据数据分类结果和MongoDB数据库集群的特征构建跳跃防御模型，并输出得到多个数据库容器中存储的数据在Docker容器实例中的分布特征；基于分布特征对MongoDB数据库集群配置负载均衡器，以进行数据到主机的分发和映射处理，使得跳跃防御模型向各个数据库容器提供单一接口。本发明可以在使用很小的内存的情况下实现虚拟技术的使用，并且通过容器跳转来降低web应用程序的损害程度。

技术领域

本发明涉及互联网技术领域，特别是涉及一种基于容器提高云托管Web应用程序安全性的方法及装置。

背景技术

由于灵活的定价和易于管理的便利，大量的企业服务和业务建立在云环境之上。但是，随着公司在云中储存越来越多的数据，云服务器的安全性变得更加重要了。为了提高这些关键数据的安全性，安全人员会使用安全性更高的网络协议、内置安全功能的更新硬件和各种恶意软件检测系统等方法。尽管采取了这些措施，但是黑客仍可以通过Internet获取关键数据，尤其是Web应用程序部署在云服务环境中。保护web应用程序免遭利用的重要步骤包括：使用最新加密，要求合适的身份验证，不但修补发的漏洞，以及拥有健康的软件开发环境。但是现实的情况是，即使在相当强大的安全环境中，攻击者仍可以找到漏洞。在虚拟电厂中，可将其细化为分布式能源、可控负载和分布式储能设施有机组合形成的综合控制载体。因此在构建能源管理与交易平台时，可将风电、光伏发电、微型燃气发电机组、小型水电机组等多种分布式能源，工厂耗能、办公楼耗能、空调耗能等可控负载，电车，电池储能等分布式储能设施的数据储构建在不同的数据库中，从而构建web应用云集群。一种新兴的安全思路就是部署Web应用云集群，然后在云服务器中使用这些集群的冗余和连接性设计一种防御机制，跳跃防御。跳跃防御就是基于周期性的将应用程序实例从一个主机移到另一台主机，这些主机具有不同的IP地址或者端口。因此在这情况下，获得特定主机访问权限的入侵者无法长时间控制该主机。该方法就是通过限制任何特定主机受到攻击并处于入侵者控制下的占用时间少来获得安全性，从而减少了可造成的损害程度。这种方法类似于时空权衡，通过动态改变集群组成来牺牲小部分性能来获得更高的安全性。

最常见的提高Web应用程序的安全性的方法是Web应用程序防火墙。其中Web应用程序防火墙可以保护Web应用程序免受恶意HTTP流量的攻击，通过在目标服务器和攻击者之间设置过滤屏障。因此Web应用程序防火墙可以防御跨站点伪造、跨站点脚本编写和SQL注入等攻击。但是防火墙需要较高的成本，其中硬件防火墙价格更是特别昂贵。因此普通用户或者小型项目很难部署他们。

目前，针对保护易受攻击的Web应用程序是一项复杂的工作，可以通过以下两种常规的方法：

防火墙技术主要包括：采用缓存加速、统一认证接口，防DDos等功能要求，来积极适应持续变化的网络安全环境，包含过滤技术检查数据包的报头信息，依照过滤规则进行过滤。防火墙的状态监测技术中，状态表是动态建立的，可以实现对一些复杂协议建立的临时端口进行有效的管理。动态状态表是状态检测防火墙的核心。防火墙可以接收到客户端发出的连接请求后，应用代理检查客户的源和目的IP地址，并依据事先设定的过滤规则决定是否允许该连接请求。如果允许该连接请求，进行客户身份识别。

第二种方法是将Web应用部署在虚拟主机，Web应用部署在云环境高度依赖虚拟化，虚拟化技术就是将物理计算设备分离为一个或多个虚拟设备，每个设备都可以轻松使用和管理以执行计算任务。基于IP地址的虚拟主机方式，服务器里可以绑定多个IP，然后配置Web服务器，因此把多个网站绑定在不同的IP上。在这种方法下，不同的主机名就可以解析到不同的IP地址，因此起到保护Web应用的目的。