[go: up one dir, main page]

CN114091025B - 基于云原生平台的安全检测方法、装置、镜像构建方法 - Google Patents

基于云原生平台的安全检测方法、装置、镜像构建方法 Download PDF

Info

Publication number
CN114091025B
CN114091025B CN202111416424.2A CN202111416424A CN114091025B CN 114091025 B CN114091025 B CN 114091025B CN 202111416424 A CN202111416424 A CN 202111416424A CN 114091025 B CN114091025 B CN 114091025B
Authority
CN
China
Prior art keywords
container
image
security
security detection
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111416424.2A
Other languages
English (en)
Other versions
CN114091025A (zh
Inventor
张小梅
徐雷
郭新海
丁攀
蓝鑫冲
刘安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202111416424.2A priority Critical patent/CN114091025B/zh
Publication of CN114091025A publication Critical patent/CN114091025A/zh
Application granted granted Critical
Publication of CN114091025B publication Critical patent/CN114091025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Analysing Materials By The Use Of Radiation (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种基于云原生平台的安全检测方法、装置、镜像构建方法,涉及通信技术领域。该方法包括:针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;在目标镜像的每一层镜像层均通过该第一安全检测过程的情况下,运行与该目标镜像对应的容器;响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程。该方法能够实现对镜像和容器的自动安全检测。

Description

基于云原生平台的安全检测方法、装置、镜像构建方法
技术领域
本发明涉及通信技术领域,具体涉及一种基于云原生平台的安全检测方法、检测装置、镜像构建方法和云原生平台。
背景技术
云原生(Cloud-Native)技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。当前云原生服务平台通过引入容器技术提高应用开发效率。
在云原生服务平台引入容器技术后,除了面临传统云环境中的安全问题,还需要考虑容器相关的安全问题。如果容器或镜像的安全配置出现问题,例如没有设置安全增强式Linux(Security-Enhanced Linux,SELinux)或没有设置以root/特权模式运行等,将容易使云原生服务平台被攻击,进而导致云原生服务平台无法正常使用。
当前亟需一种安全检测方法以应对云原生平台中容器或镜像的安全配置不当的问题。
发明内容
为此,本发明提供一种基于云原生平台的安全检测方法、检测装置、镜像构建方法和云原生平台,以解决现有技术中云原生平台的容器或镜像的安全配置不当的问题。
为了实现上述目的,本发明第一方面提供一种基于云原生平台的安全检测方法。该云原生平台包括至少一个容器,每个所述容器对应预先构建的一个目标镜像,所述目标镜像包括至少一层镜像层,该安全检测方法包括:
针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;
在所述目标镜像的每一层所述镜像层均通过所述第一安全检测过程的情况下,运行与所述目标镜像对应的容器;
响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程。
可选地,所述执行第一安全检测过程包括:
启动当前层镜像层;
基于预设的镜像合规检测策略对当前层镜像层进行安全检测。
可选地,所述基于预设的镜像合规检测策略对当前层镜像层进行安全检测的步骤,包括:
基于预设的镜像合规检测策略对当前层镜像层对应的镜像来源、镜像版本、镜像文件内容中的一项或多项进行安全检测。
可选地,所述针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程之后,所述方法还包括:
在当前层镜像层未通过所述第一安全检测过程的情况下,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理;
对经镜像安全加固处理后的当前层镜像层,重新执行所述第一安全检测过程。
可选地,在所述响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程之前,所述方法还包括:
采集所述容器对应的容器配置信息;
在所述容器配置信息没有发生变更的情况下,返回所述采集所述容器对应的容器配置信息的步骤;
在所述容器配置信息发生变更的情况下,生成针对所述容器的容器配置变更提醒信息。
可选地,对所述容器执行第二安全检测过程,包括:
基于预设的容器合规检测策略对所述容器对应的软件信息、操作系统信息和配置信息中的一项或多项进行安全检测。
可选地,在所述响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程之后,所述方法还包括:
在所述容器没有通过所述第二安全检测过程的情况下,基于预设的容器合规加固策略对所述容器进行容器安全加固处理;
对经容器安全加固处理后的所述容器,重新执行所述第二安全检测过程。
本发明第二方面提供一种基于云原生平台的安全检测装置,该云原生平台包括至少一个容器,每个所述容器对应预先构建一个目标镜像,所述目标镜像包括至少一层镜像层;该安全检测装置包括:
第一安全检测模块,用于针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;
控制模块,用于在目标镜像的每一层所述镜像层均通过所述第一安全检测过程的情况下,运行与所述目标镜像对应的容器;
第二安全检测模块,用于响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程。
本发明第三方面提供一种镜像构建方法,该镜像构建方法包括:
拉取基础镜像,以作为目标镜像的第一层镜像层;
在所述第一层镜像层之上构建安全处理层,所述安全处理层用于实现如上述任意一项所述的安全检测方法;
基于所述基础镜像构建至少一层其他层镜像层。
本发明第四方面提供一种云原生平台,该云原生平台包括:
至少一个容器,每个所述容器对应根据上述的镜像构建方法构建的一个目标镜像,所述目标镜像包括至少一层镜像层。
本发明具有如下优点:
本发明提供一种基于云原生平台的安全检测方法、检测装置、镜像构建方法和云原生平台。该云原生平台包括至少一个容器,每个容器对应预先构建的一个目标镜像,该目标镜像包括多层镜像层,该安全检测方法包括:首先,针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;然后,在目标镜像的每一层镜像层均通过该第一安全检测过程的情况下,运行与该目标镜像对应的容器;最后,响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程,能够实现对镜像和容器的自动安全检测,保证镜像和容器中存在的安全隐患能够被及时发现,进而提高云原生平台的安全保障性能。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的一种基于云原生平台的安全检测方法的流程图;
图2为本发明实施例提供的第一安全检测过程的流程图;
图3为本发明实施例提供的另一种基于云原生平台的安全检测方法的流程图;
图4为本发明实施例提供的一种基于云原生平台的安全检测装置的结构示意图;
图5为本发明实施例提供的一种镜像构建方法的流程图;
图6为本发明实施例提供的一种目标镜像的结构示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如本发明所使用的,术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
本发明所使用的术语仅用于描述特定实施例,且不意欲限制本发明。如本发明所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。
当本发明中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
本发明所述实施例可借助本发明的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。
除非另外限定,否则本发明所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本发明的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本发明明确如此限定。
图1为本发明实施例提供的一种基于云原生平台的安全检测方法的流程图,应用于安全检测装置。
其中,云原生平台指的是用于在公有云、私有云和混合云等新型动态环境中构建和运行可弹性扩展的应用的平台。该云原生平台包括至少一个容器,每个容器对应预先构建的一个目标镜像,该目标镜像包括多层镜像层。其中,容器是一个视图隔离、资源可限制、独立文件系统的进程集合。
如图1所示,该安全检测方法包括下述步骤S101-步骤S103。
步骤S101、针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程。
其中,目标镜像是一种特殊的文件系统,用于提供运行容器所需的程序、库、资源、配置参数等信息。该目标镜像包括多层镜像层,每一层镜像层具有唯一的镜像标识。第一安全检测过程是用于对镜像层进行安全检测的检测过程。
在本实施例中,通过对镜像层执行第一安全检测过程,能够自动确认该镜像层的安全性,避免无法及时发现镜像层配置不当产生的安全隐患,能够提高目标镜像所在的云原生平台的安全保障性能。
步骤S102、在目标镜像的每一层镜像层均通过该第一安全检测过程的情况下,运行与该目标镜像对应的容器。
其中,目标镜像对应的容器是该目标镜像运行的实体,即在目标镜像之上增加容器存储层,构成该目标镜像对应的容器。该容器存储层用于容器运行时的读写操作。
在一个实施方式中,运行与该目标镜像对应的容器之后,采集容器对应的容器配置信息。
其中,该容器配置信息包括容器对应的软件信息、操作系统信息和配置信息中的一项或多项。容器对应的软件信息是容器中安装的软件的信息,该软件信息例如软件版本、软件来源和软件安装数据等。容器对应的操作系统信息是指该容器所运行的操作系统环境的信息,该操作系统信息例如操作系统版本信息、操作系统内存占用信息等。容器对应的配置信息例如匿名卷、环境变量等信息。
在一个实施方式中,为了节省容器资源,上述采集容器对应的容器配置信息的步骤,包括:基于预设周期采集容器对应的容器配置信息。其中,该预设周期可以根据具体场景进行设置,例如可以设置为12小时、一天或者一周。
在一个实施方式中,在采集容器对应的容器配置信息之后,确定该容器配置信息相较于上一次采集的容器配置信息是否发生变更。
在一些实施例中,在容器配置信息没有发生变更的情况下,返回采集容器对应的容器配置信息的步骤,并重新确定采集的容器配置信息相较于上一次采集的容器配置信息是否发生变更。
在另一些实施例中,在容器配置信息发生变更的情况下,生成针对该容器的容器配置变更提醒信息。
步骤S103、响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程。
其中,第二安全检测过程是用于对容器进行安全检测的检测过程。
在一个实施方式中,响应于针对该容器的容器配置变更提醒信息,对容器执行第二安全检测过程,包括:基于预设的容器合规检测策略对该容器对应的软件信息、操作系统和配置信息中的一项或多项进行安全检测。
其中,容器合规检测策略是用于对容器进行安全合规检测的策略。
在另一个实施方式中,响应于针对该容器的容器配置变更提醒信息,对容器执行第二安全检测过程,包括:基于预设的容器合规检测策略对docker(一种应用容器引擎)或KBS(全称kubernetes,一种容器编排引擎)中的一项或多项进行安全检测。
在本实施例中,通过对该容器执行第二安全检测过程,能够自动确认该容器的安全性,避免无法及时发现容器配置不当产生的安全隐患,进而能够提高容器所在的该云原生平台的安全保障性能。
在一个实施方式中,在响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程之后,在该容器没有通过第二安全检测过程的情况下,基于预设的容器合规加固策略对该容器进行容器安全加固处理,并对经容器安全加固处理后的容器,重新执行第二安全检测过程。
其在,容器合规加固策略是用于对容器进行安全合规加固的策略。
在一个实施方式中,上述基于预设的容器合规加固策略对该容器进行容器安全加固处理的步骤,包括:基于预设的容器合规检测策略对该容器对应的软件信息、操作系统和配置信息中的一项或多项进行安全检测。
在另一个实施方式中,上述基于预设的容器合规加固策略对该容器进行容器安全加固处理的步骤,包括:基于预设的容器合规加固策略对docker或KBS中的一项或多项进行加固处理。
在一些实施例中,对经容器安全加固处理后的容器,重新执行第二安全检测过程之后,该经容器安全加固处理后的容器仍旧不通过该第二安全检测过程的情况下,基于预设的容器合规加固策略再次对该容器进行容器安全加固处理,并对经容器安全加固处理后的容器,重新执行第二安全检测过程,直至该容器通过该第二安全检测过程。
在本实施例中,基于预设的容器合规加固策略对容器进行容器安全加固处理,能够实现容器在存在安全问题时的自愈,提高容器的安全性。而对经容器安全加固处理后的容器重新执行第二安全检测过程,能够进一步确认容器的安全性,避免容器配置不当的问题。
本发明实施例提供一种基于云原生平台的安全检测方法,该云原生平台包括至少一个容器,每个容器对应预先构建的一个目标镜像,该目标镜像包括多层镜像层,该安全检测方法包括:首先,针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;然后,在目标镜像的每一层镜像层均通过该第一安全检测过程的情况下,运行与该目标镜像对应的容器;最后,响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程,能够实现对镜像和容器的自动安全检测,保证镜像和容器中存在的安全隐患能够被及时发现,进而提高云原生平台的安全保障性能。
图2为本发明实施例提供的第一安全检测过程的流程图。在一个实施方式中,如图2所示,上述针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程包括:步骤S201-步骤S202。
步骤S201、启动当前层镜像层。
其中,当前层镜像层是当前需要进行安全检测的镜像层。
本发明实施例中,目标镜像的多层镜像层分层启动。上述启动当前层镜像层的步骤,包括:基于预设启动命令启动当前层镜像层,其中,预设启动命令可以用于配置目标镜像的多层镜像层中各镜像层的启动顺序。
步骤S202、基于预设的镜像合规检测策略对当前层镜像层进行安全检测。
其中,镜像合规检测策略是用于对镜像层进行安全合规检测的策略。
在一个实施方式中,基于预设的镜像合规检测策略对当前层镜像层对应的至少一项核查项进行安全检测。
其中,核查项包括:镜像来源、镜像版本和镜像文件内容中的一种或多种。该核查项还可以包括其他项目,在实际应用场景中,可以根据具体场景进行设置。
需要说明的是,在当前层镜像层对应的至少一项核查项不通过安全检测的情况下,该当前层镜像层不通过该第一安全检测过程;在当前层镜像层对应的全部核查项均通过安全检测的情况下,该当前层镜像层通过该第一安全检测过程。
在一个实施方式中,上述基于预设的镜像合规检测策略对当前层镜像层进行安全检测的步骤,包括:基于预设的镜像合规检测策略对当前层镜像层对应的镜像来源、镜像版本、镜像文件内容中的一项或多项进行安全检测。
其中,基于预设的镜像合规检测策略对镜像来源进行安全检测,能够检测当前层镜像层的镜像来源是否为合法来源。例如,针对目标镜像的第一层镜像层,检测第一层进行层对应的基础镜像的来源是否为预设的官方来源。
基于预设的镜像合规检测策略对镜像版本进行安全检测,能够检测当前层镜像层的镜像版本是否为最新版本。例如,针对目标镜像的第一层镜像层,检测第一层进行层对应的基础镜像的版本是否为最新版本。需要说明的是,最新版本的镜像相比较于之前版本的镜像,一般都会修复已知的漏洞,安全性高。
基于预设的镜像合规检测策略对镜像文件内容进行安全检测,能够检测当前层镜像层的镜像文件内容是否存在漏洞,以消除安全隐患。
图3为本发明实施例提供的另一种基于云原生平台的安全检测方法的流程图。在一个实施方式中,上述针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程之后,如图3所示,该方法还包括:步骤S301-步骤S302。
步骤S301、在当前层镜像层未通过该第一安全检测过程的情况下,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理。
其中,镜像合规加固策略是用于对镜像层进行安全合规加固的策略。
在本实施例中,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理,能够实现镜像层在出现安全问题时的自愈能力,提高当前层镜像层的安全性,避镜像层免配置不当的问题。
在一个实施方式中,为了提高目标镜像的安全性,可以预先对目标镜像中每一层镜像层均预先基于预设的镜像合规加固策略进行镜像安全加固处理,然后再执行上述针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程的步骤(步骤S101)。
在一个实施方式中,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理的步骤,包括:
基于预设的镜像合规加固策略对在第一安全检测过程中当前层镜像层中没有通过安全检测的核查项进行相应安全加固。
例如,在第一安全检测过程中当前层镜像层中没有通过安全检测的核查项为镜像版本,则将当前层镜像层的镜像版本用预设版本进行替换,该预设版本可以是最新版本。
步骤S302、对经镜像安全加固处理后的当前层镜像层,重新执行第一安全检测过程。
其中,对经镜像安全加固处理后的当前层镜像层重新执行第一安全检测过程,能够进一步确认当前层镜像层的安全性。
在一个实施方式中,对经镜像安全加固处理后的当前层镜像层,重新执行第一安全检测过程之后,在该经镜像安全加固处理后的当前层镜像层仍旧不通过该第一安全检测过程的情况下,对该当前层镜像层重新执行步骤S301-步骤S302,直至该经镜像安全加固处理后的当前层镜像层通过该第一安全检测过程。
在另一个实施方式中,对经镜像安全加固处理后的当前层镜像层,重新执行第一安全检测过程之后,在该经镜像安全加固处理后的当前层镜像层通过该第一安全检测过程的情况下,对下一个当前层镜像层执行第一安全检测过程。
图4为本发明实施例提供的一种基于云原生平台的安全检测装置的结构示意图。其中。云原生平台包括至少一个容器,每个容器对应预先构建一个目标镜像,该目标镜像包括多层镜像层。如图4所示,该安全检测装置包括:第一安全检测模块41、控制模块42和第二安全检测模块43。
其中,第一安全检测模块41,用于针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程。
在本实施例中,第一安全检测模块41通过对镜像层执行第一安全检测过程,能够自动确认该镜像层的安全性,避免无法及时发现镜像层配置不当产生的安全隐患,能够提高目标镜像所在的云原生平台的安全保障性能。
在一个实施方式中,该第一安全检测模块41,用于启动当前层镜像层,基于预设的镜像合规检测策略对当前层镜像层进行安全检测。
在一个实施方式中,安全检测装置还包括第一安全加固模块。该第一安全加固模块,用于在当前层镜像层未通过第一安全检测过程的情况下,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理。
在一个实施方式中,上述第一安全检测模块41,还用于对经镜像安全加固处理后的当前层镜像层,重新执行所述第一安全检测过程。
控制模块42,用于在目标镜像的每一层镜像层均通过第一安全检测过程的情况下,运行与该目标镜像对应的容器。
在一个实施方式中,安全检测装置还包括采集模块和采集信息处理模块。
其中,采集模块用于采集容器对应的容器配置信息。
采集信息处理模块用于确定该容器配置信息相较于上一次采集的容器配置信息是否发生变更。在该容器配置信息没有发生变更的情况下,返回采集模块采集容器对应的容器配置信息的步骤;在容器配置信息发生变更的情况下,生成针对该容器的容器配置变更提醒信息。
第二安全检测模块43,用于响应于针对容器的容器配置变更提醒信息,对该容器执行第二安全检测过程。
其中,第二安全检测过程是用于对容器进行安全检测的检测过程。
在一个实施方式中,第二安全检测模块43,用于基于预设的容器合规检测策略对该容器对应的软件信息、操作系统和配置信息中的一项或多项进行安全检测。
在一个实施方式中,安全检测装置还包括第二安全加固模块。该第二安全加固模块,用于在该容器没有通过第二安全检测过程的情况下,基于预设的容器合规加固策略对该容器进行容器安全加固处理。
上述第二安全检测模块43,用于对经容器安全加固处理后的容器,重新执行第二安全检测过程。
在本实施例中,第二安全加固模块基于预设的容器合规加固策略对容器进行容器安全加固处理,能够实现容器在存在安全问题时的自愈,提高容器的安全性。而第二安全检测模块43对经容器安全加固处理后的容器重新执行第二安全检测过程,能够进一步确认容器的安全性,避免容器配置不当的问题。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明实施例提供一种基于云原生平台的安全检测装置,该云原生平台包括至少一个容器,每个容器对应预先构建的一个目标镜像,该目标镜像包括多层镜像层,该安全检测装置包括:第一安全检测模块,用于针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;控制模块,用于在目标镜像的每一层镜像层均通过该第一安全检测过程的情况下,运行与该目标镜像对应的容器;第二安全检测模块,用于响应于针对该容器的容器配置变更提醒信息,对该容器执行第二安全检测过程,能够实现对镜像和容器的自动安全检测,保证镜像和容器中存在的安全隐患能够被及时发现,进而提高云原生平台的安全保障性能。
图5为本发明实施例提供的一种镜像构建方法的流程图,应用于云原生平台。如图5所示,该镜像构建方法,包括:步骤S501-步骤S502。
步骤S501、拉取基础镜像,以作为目标镜像的第一层镜像层。
其中,基础镜像是从公有镜像库中拉取的镜像,该基础镜像例如:社区企业操作系统(Community ENTerprise Operating System,CentOS)、ubuntu(一个以桌面应用为主的Linux操作系统)等。该基础镜像可以作为目标镜像的第一层镜像层。
步骤S502、在第一层镜像层之上构建安全处理层。
其中,该安全处理层用于实现本发明前述实施例提供的安全检测方法。
步骤S503、基于上述基础镜像构建至少一层其他层镜像层。
在一个实施方式中,基于上述基础镜像构建至少一层其他层镜像层的步骤,包括:在基础镜像上安装预设软件,以获得一层其他层镜像层。其中,预设软件可以根据具体场景进行设置,本实施例中不做限定。
在一个实施方式中,该至少一层其他层镜像层可以位于安全处理层之上。
在一些实施场景中,在目标镜像仅包括一层镜像层的情况下,可以仅执行上述步骤S501-步骤S502,以构建目标镜像。
在另一些实施场景中,在目标镜像仅包括多层镜像层的情况下,可以执行上述步骤S501-步骤S503,以构建目标镜像。
本发明实施例提供的一种镜像构建方法,通过在目标镜像构建过程中增加安全处理层,能够在目标镜像构建完成之后,实现对目标镜像和该目标镜像对应的容器的自动安全检测,保证目标镜像和该目标镜像对应的容器中存在的安全隐患能够被及时发现,同时还能够实现镜像或容器在存在安全问题时的自愈,进而提高云原生平台的安全保障性能。
图6为本发明实施例提供的一种目标镜像的结构示意图。
在一个实施场景中,目标镜像的安全处理层可以由多层集成不同功能的功能层构成。如图6所示,目标镜像包括基础镜像层61,该基础镜像层之上包括安全处理层,该安全处理层包括安全合规核查层62和安全合规加固层63。
其中,安全合规核查层62配置有镜像合规检测策略、镜像合规检测脚本、容器合规检测策略和容器合规检测脚本。该安全合规核查层62可以通过执行镜像合规检测脚本以实现对应的镜像合规检测策略,以及,通过执行容器合规检测脚本以实现对应的容器合规检测策略。
该安全合规核查层62用于针对该目标镜像包括的每一层镜像层,执行第一安全检测过程;以及,针对响应于容器配置变更提醒信息,对目标镜像对应的容器执行第二安全检测过程。
安全合规加固层63配置有镜像合规加固策略、镜像合规加固脚本、容器合规加固策略和容器合规加固脚本。安全合规加固层63可以通过执行镜像合规加固脚本以实现对应的镜像合规加固策略,以及,通过执行容器合规加固脚本以实现对应的容器合规加固策略。
该安全合规加固层63用于在当前层镜像层未通过第一安全检测过程的情况下,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理;还用于在目标镜像对应的容器没有通过第二安全检测过程的情况下,基于预设的容器合规加固策略对该容器进行容器安全加固处理。
在一个实施方式中,该目标镜像构建完成后,云原生平台还可以基于该目标镜像构建对应的容器。其中,目标镜像对应的容器是该目标镜像运行的实体,即在目标镜像之上增加容器存储层,构成该目标镜像对应的容器。该容器存储层用于容器运行时的读写操作。
本发明实施例提供的目标镜像,能够实现对目标镜像和该目标镜像对应的容器的自动安全检测,保证目标镜像和该目标镜像对应的容器中存在的安全隐患能够被及时发现,进而提高云原生平台的安全保障性能。
本发明实施例还提供一种云原生平台,该云原生平台包括:至少一个容器,每个容器对应预先根据本发明前述实施例提供的镜像构建方法构建的一个目标镜像,该目标镜像包括至少一层镜像层。
在一个实施方式中,该云原生平台还包括:构建模块,用于根据本发明前述实施例提供的镜像构建方法构建目标镜像,以及构建该目标镜像对应的容器。
本领域普通技术人员可以理解,上文中所发明方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本实施例的范围之内并且形成不同的实施例。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (9)

1.一种基于云原生平台的安全检测方法,其特征在于,所述云原生平台包括至少一个容器,每个所述容器对应预先构建的一个目标镜像,所述目标镜像包括至少一层镜像层,所述安全检测方法包括:
针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;
在所述目标镜像的每一层所述镜像层均通过所述第一安全检测过程的情况下,运行与所述目标镜像对应的容器;
采集所述容器对应的容器配置信息;
在所述容器配置信息没有发生变更的情况下,返回所述采集所述容器对应的容器配置信息的步骤;
在所述容器配置信息发生变更的情况下,生成针对所述容器的容器配置变更提醒信息;
响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程。
2.根据权利要求1所述的安全检测方法,其特征在于,所述执行第一安全检测过程包括:
启动当前层镜像层;
基于预设的镜像合规检测策略对当前层镜像层进行安全检测。
3.根据权利要求2所述的安全检测方法,其特征在于,所述基于预设的镜像合规检测策略对当前层镜像层进行安全检测的步骤,包括:
基于预设的镜像合规检测策略对当前层镜像层对应的镜像来源、镜像版本、镜像文件内容中的一项或多项进行安全检测。
4.根据权利要求1所述的安全检测方法,其特征在于,所述针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程之后,所述方法还包括:
在当前层镜像层未通过所述第一安全检测过程的情况下,基于预设的镜像合规加固策略对当前层镜像层进行镜像安全加固处理;
对经镜像安全加固处理后的当前层镜像层,重新执行所述第一安全检测过程。
5.根据权利要求1所述的安全检测方法,其特征在于,对所述容器执行第二安全检测过程,包括:
基于预设的容器合规检测策略对所述容器对应的软件信息、操作系统信息和配置信息中的一项或多项进行安全检测。
6.根据权利要求1所述的安全检测方法,其特征在于,在所述响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程之后,所述方法还包括:
在所述容器没有通过所述第二安全检测过程的情况下,基于预设的容器合规加固策略对所述容器进行容器安全加固处理;
对经容器安全加固处理后的所述容器,重新执行所述第二安全检测过程。
7.一种基于云原生平台的安全检测装置,其特征在于,所述云原生平台包括至少一个容器,每个所述容器对应预先构建一个目标镜像,所述目标镜像包括至少一层镜像层;所述安全检测装置包括:
第一安全检测模块,用于针对预先构建的目标镜像所包括的每一层镜像层,执行第一安全检测过程;
控制模块,用于在目标镜像的每一层所述镜像层均通过所述第一安全检测过程的情况下,运行与所述目标镜像对应的容器;
第二安全检测模块,用于响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程;
其中,在所述第二安全检测模块响应于针对所述容器的容器配置变更提醒信息,对所述容器执行第二安全检测过程之前,所述安全检测装置还用于:
采集所述容器对应的容器配置信息;
在所述容器配置信息没有发生变更的情况下,返回所述采集所述容器对应的容器配置信息的步骤;
在所述容器配置信息发生变更的情况下,生成针对所述容器的容器配置变更提醒信息。
8.一种镜像构建方法,其特征在于,所述镜像构建方法包括:
拉取基础镜像,以作为目标镜像的第一层镜像层;
在所述第一层镜像层之上构建安全处理层,所述安全处理层用于实现如权利要求1-6任意一项所述的安全检测方法;
基于所述基础镜像构建至少一层其他层镜像层。
9.一种云原生平台,其特征在于,所述云原生平台包括:
至少一个容器,每个所述容器对应根据权利要求8所述的镜像构建方法构建的一个目标镜像,所述目标镜像包括至少一层镜像层。
CN202111416424.2A 2021-11-25 2021-11-25 基于云原生平台的安全检测方法、装置、镜像构建方法 Active CN114091025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111416424.2A CN114091025B (zh) 2021-11-25 2021-11-25 基于云原生平台的安全检测方法、装置、镜像构建方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111416424.2A CN114091025B (zh) 2021-11-25 2021-11-25 基于云原生平台的安全检测方法、装置、镜像构建方法

Publications (2)

Publication Number Publication Date
CN114091025A CN114091025A (zh) 2022-02-25
CN114091025B true CN114091025B (zh) 2024-07-16

Family

ID=80304691

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111416424.2A Active CN114091025B (zh) 2021-11-25 2021-11-25 基于云原生平台的安全检测方法、装置、镜像构建方法

Country Status (1)

Country Link
CN (1) CN114091025B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189933A (zh) * 2022-07-06 2022-10-14 上海交通大学 针对Docker的自动化配置安全检测方法和系统
CN115189934A (zh) * 2022-07-06 2022-10-14 上海交通大学 针对Kubernetes的自动化配置安全检测方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2008143087A1 (ja) * 2007-05-14 2010-08-05 国際先端技術総合研究所株式会社 真贋認証対象物,真贋認証チップ読取装置及び真贋判別方法
CN107704593B (zh) * 2017-10-12 2020-11-27 成都知道创宇信息技术有限公司 一种检测并解决Docker本地镜像与远程仓库镜像冲突的方法
CN110851241A (zh) * 2019-11-20 2020-02-28 杭州安恒信息技术股份有限公司 Docker容器环境的安全防护方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Graceful ECC-uncorrectable Error Handling in the Operating System Kernel;Takumi Iguchi等;《2022 IEEE 33rd International Symposium on Software Reliability Engineering (ISSRE)》;20221221;第109-120页 *

Also Published As

Publication number Publication date
CN114091025A (zh) 2022-02-25

Similar Documents

Publication Publication Date Title
CN114091025B (zh) 基于云原生平台的安全检测方法、装置、镜像构建方法
CN107870968B (zh) 对文件系统卷执行实时更新
RU2571726C2 (ru) Система и способ проверки целесообразности установки обновлений
US6917951B2 (en) System and method for replicating data in resource sets
US20200264863A1 (en) Hot update method, operating system, terminal device, and storage medium
US10592119B2 (en) Controller-mediated volume transformation in a shared-resource environment
CN110213368B (zh) 数据处理方法、数据处理装置和计算机系统
US20240169062A1 (en) Method and device for analyzing and processing malicious code for container image, and computer-readable recording medium
CN110162429A (zh) 系统修复方法、服务器及存储介质
US20200341674A1 (en) Method, device and computer program product for restoring data
WO2023273994A1 (zh) 智能合约执行的方法、系统、装置和存储介质
CN111274609A (zh) 一种分布式文件存储系统的用户权限继承方法及装置
CN110070360B (zh) 一种事务请求处理方法、装置、设备及存储介质
US11481284B2 (en) Systems and methods for generating self-notarized backups
US10043020B2 (en) File filter
US8762662B1 (en) Method and apparatus for application migration validation
CN105608150A (zh) 一种业务数据的处理方法及系统
CN112991067B (zh) 一种区块链共识方法、装置和系统
CN115544496A (zh) 基于可信执行环境的无服务器计算方法、装置及设备
CN104461382A (zh) 运行多个文件系统的文件服务器的内部写方法和服务器
CN110866021A (zh) 一种基于Go语言的分布式锁的加锁与释放锁的方法及系统
US12141269B2 (en) System and method for building a security monitor
US9612885B1 (en) System and method for providing a transient and removable inflection point
CN110460601B (zh) 依赖包安全性检测方法、装置及存储介质
US20250028815A1 (en) System and method for building a security monitor for message delivery control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant