本发明专利技术公开了一种基于sidecar方案的kubernetes业务容器安全性探测方法,包括:在内核中集成基于LSM和/或Rootkit的安全模块;在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制。本发明专利技术实现了对kubernetes业务容器做无侵入的运行时安全监测,有效提高容器的安全性。
【技术实现步骤摘要】
一种基于sidecar方案的kubernetes业务容器安全性探测方法
本专利技术涉及云计算安全领域,尤其是一种基于sidecar方案的kubernetes业务容器安全性探测方法。
技术介绍
随着微服务的热度不断上升,企业的业务上云也越来越普遍。越来越多的企业选择kubernetes集群来部署自己的应用,而Docker作为实现微服务首选容器,在大规模部署的同时其安全性却没有引起足够的重视。目前有多种针对容器安全性的检测机制:一类是针对容器镜像进行静态扫描,这类机制不能完全检测到运行时的异常行为还有一类就是针对容器进行运行时安全检测,这类机制一般都需要对容器进行侵入式的修改,这无疑提高了业务部署的复杂度。
技术实现思路
本专利技术所要解决的技术问题是:针对上述存在的问题,提供一种基于sidecar方案的kubernetes业务容器安全性探测方法,以对kubernetes业务容器做无侵入的运行时安全监测。本专利技术采用的技术方案如下:一种基于sidecar方案的kubernetes业务容器安全性探测方法,包括:在内核中集成基于LSM和/或Rootkit的安全模块;在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制。进一步地,所述在内核中集成基于LSM和/或Rootkit的安全模块的方法为:修改宿主机的内核代码,添加基于LSM的安全访问钩子,并在内核中开启内核服务,然后等待与sidecar容器中的监控进程进行通讯;当不能修改宿主机的内核代码时,动态插入基于Rootkit的安全监测模块,并在内核中开启内核服务,然后等待与sidecar容器中的监控进程进行通讯。进一步地,在添加的sidecar容器中,能够根据业务需要自定义配置sidecar容器的安全监测选项。进一步地,所述根据业务需要自定义配置sidecar容器的安全监测选项的方法为:通过环境变量配置覆盖sidecar容器中默认的安全监测选项。进一步地,sidecar容器先于kubernetes业务容器启动。进一步地,当发现kubernetes业务容器中的异常行文时,对异常行为进行的操作包括终止、告警和/或记录日志。综上所述,由于采用了上述技术方案,本专利技术的有益效果是:本专利技术实现了对kubernetes业务容器做无侵入的运行时安全监测,有效提高容器的安全性。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本专利技术的基于sidecar方案的kubernetes业务容器安全性探测方法的原理框图。图2为sidecar容器与kubernetes业务容器启动顺序示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术,即所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,一种基于sidecar方案的kubernetes业务容器安全性探测方法,其特征在于,包括:在内核中集成基于LSM和/或Rootkit的安全模块;在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制。以下结合实施例对本专利技术的特征和性能作进一步的详细描述。本实施例的基于sidecar方案的kubernetes业务容器安全性探测方法如下:1、在内核中集成基于LSM和/或Rootkit的安全模块;(1)基于LSM的安全访问钩子LSM机制的核心在于安全访问钩子(hook),默认支持以下16类钩子:可以通过修改宿主机的内核代码,添加基于LSM(Linuxsecuritymodule)的安全访问钩子,并在内核中开启内核服务,然后等待与sidecar容器中的监控进程进行通讯;该基于LSM的安全访问钩子可以hook业务容器中的API(如程序执行、文件系统访问、网络访问、内存访问等API),当基于LSM的安全访问钩子与sidecar容器中的监控进程进行通讯后,两者配合起来对kubernetes业务容器中的进程和文件系统等进行监测和控制。(2)基于Rootkit的安全监测模块当不能修改宿主机的内核代码时,动态插入(如通过DKMS(DynamicKernelModuleSupport)方式插入)基于Rootkit的安全监测模块,并在内核中开启内核服务,然后等待与sidecar容器中的监控进程进行通讯。Rootkit技术同样是基于对VFS文件系统的hook,通过拦截VFS文件系统的API调用,同样能够监测和控制程序执行、文件系统访问、网络访问、内存访问等。由此,当基于Rootkit的安全监测模块与sidecar容器中的监控进程进行通讯后,两者配合起来对kubernetes业务容器中的进程和文件系统进行监测和控制。2.在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;sidecar容器具有默认的安全监测配置,而实际使用时,在添加的sidecar容器中,能够根据业务需要自定义配置sidecar容器的安全监测选项。所述根据业务需要自定义配置sidecar容器的安全监测选项的方法为:通过环境变量配置覆盖sidecar容器中默认的安全监测选项。...
【技术保护点】
1.一种基于sidecar方案的kubernetes业务容器安全性探测方法,其特征在于,包括:/n在内核中集成基于LSM和/或Rootkit的安全模块;/n在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;/nsidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制。/n
【技术特征摘要】
1.一种基于sidecar方案的kubernetes业务容器安全性探测方法,其特征在于,包括:
在内核中集成基于LSM和/或Rootkit的安全模块;
在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;
sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件系统进行监测和控制。
2.根据权利要求1所述的基于sidecar方案的kubernetes业务容器安全性探测方法,其特征在于,所述在内核中集成基于LSM和/或Rootkit的安全模块的方法为:
修改宿主机的内核代码,添加基于LSM的安全访问钩子,并在内核中开启内核服务,然后等待与sidecar容器中的监控进程进行通讯;
当不能修改宿主机的内核代码时,动态插入基于Rootkit的安全监测模块,并在内核中开启内核服务...
【专利技术属性】
技术研发人员:李斌,杨帆,吴震,张正强,
申请(专利权)人:成都三零凯天通信实业有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。