【技术实现步骤摘要】
容器安全防护方法、装置、设备及存储介质
[0001]本公开涉及安全检测
,尤其涉及一种容器安全防护方法、装置、设备及存储介质。
技术介绍
[0002]容器安全防护是保障微服务化及应用的重要手段之一。相关技术中,容器安全防护思路是通过依赖linux内核的namespace、cgroups实现容器的资源限制与隔离;使用Docker官方推荐使用的grsec内核补丁以提高容器宿主机的安全性;以及访问控制限制容器之间的互联。相关技术中缺乏容器内安全检测机制,仍存在较大的安全风险。
[0003]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0004]本公开提供一种容器安全防护方法、装置、设备及存储介质,至少在一定程度上克服相关技术中缺乏容器内安全检测机制,仍存在较大的安全风险的问题。
[0005]本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[00...
【技术保护点】
【技术特征摘要】
1.一种容器安全防护方法,其特征在于,所述方法包括:在容器镜像试启动时,提取容器中系统调用的特征;基于所述系统调用的特征,生成系统调用白名单配置文件;在容器启动运行时,将所述系统调用白名单配置文件添加到容器的配置文件中;基于所述容器的配置文件中的系统调用白名单配置文件,控制所述容器的系统调用。2.根据权利要求1所述的方法,其特征在于,所述基于所述容器的配置文件中的系统调用白名单配置文件,控制所述容器的系统调用之前,所述方法还包括:根据所述容器的启动命令和启动配置文件,判断是否启动所述容器。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:在所述容器处于预设的提权逃逸状态时,禁止所述容器启动。4.根据权利要求3所述的方法,其特征在于,所述预设的提权逃逸状态包括如下状态中的至少一种:特权模式启动容器、以root权限启动容器、检测到linux内核版本异常、检测到kubernetes版本异常、检测到容器版本异常。5.根据权利要求1所述的方法,其特征在于,所述在容器镜像试启动时,提取容器中系统调用的特征,包括:在所述容器启动到稳定状态时,提取容器中系统调用的如下特征中的至少一种:容器中使用的二进制文件和库、容器中使用的可执行文件、容器中使用的libc函数。6.根据权利要求5所述的方法,其特征在于,所述在容器镜像试启动时,提取容器中系统调用的特征之后,所述方法还包括:通过objdump提取所述容器中系统调用的特征中所有直接系统调用;所述基于所述系统调用的特征,生成系统调用白名单配置文件,包括:基于所述所有直接系统调用,生成系统调用白名单配置文件。7.根据权利要求1所述的方法...
【专利技术属性】
技术研发人员:潘家铭,吴国威,沈军,何明,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。