【技术实现步骤摘要】
一种基于webhook的云原生可信度量方法、系统及存储介质
[0001]本专利技术属于云安全
,具体涉及一种基于webhook的云原生可信度量方法、系统及存储介质。
技术介绍
[0002]可信度量技术是解决计算环境不可信、网络安全缺乏深度保障等问题的重要手段之一,可信度量在运算的同时进行安全防护,能够为系统提供安全免疫能力。
[0003]当Kubernetes启动一个pod时,该pod可能会从各种不同的容器镜像仓库拉取容器镜像。由于容器共享主机内核的过程中可以访问一些主机资源,因此,确保系统中运行的是可信的容器镜像,对安全来讲至关重要。为了确认容器镜像是否可信以及容器镜像是否完整,有必要执行强制的镜像安全策略,对pod拉取的镜像进行可信度量。但在Kubernetes中,尚没有可靠的可信度量机制。
技术实现思路
[0004]为解决现有技术中的不足,本专利技术提供一种基于webhook的云原生可信度量方法、系统及存储介质,首次在Kubernetes中增加可信度量机制,具有通用性强,兼容性好,灵活性高...
【技术保护点】
【技术特征摘要】
1.一种基于webhook的云原生可信度量方法,其特征在于,在Kubernetes集群中动态部署有可信度量准入控制器,所述方法由动态部署在Kubernetes集群中的可信度量准入控制器执行,包括:从Kube接口服务获取所有的镜像部署请求;从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的最新的可信度量基准值;利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,若可信,则允许镜像部署请求。2.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,通过可信基准值安全发布与验证服务获取与镜像部署请求相匹配的可信度量基准值,具体为:当镜像部署请求中包含pod,且pod的操作类型是创建或修改,则对于pod中的每一个镜像,获取相匹配的安全策略;若没有获取到相匹配到安全策略,则结束本次可信度量并放行当前镜像部署请求;若获取到相匹配的安全策略,为每个镜像的GUN发起新的HTTP请求到可信基准值安全发布与验证服务,以请求获取该镜像的最新的可信度量基准值。3.根据权利要求2所述的基于webhook的云原生可信度量方法,其特征在于,通过可信度量基准值验证镜像部署请求中请求部署的镜像是否可信,具体为:在获取与镜像部署请求相匹配的可信度量基准值并验签成功后,对镜像部署请求中GUN的格式进行修改,并将修改后的镜像部署请求发送给Kube接口服务,以使Kube接口服务根据修改后的镜像部署请求完成流程的创建或修改。4.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,镜像部署请求包括可信度量的对象;其中,可信度量的对象由全局唯一名称GUN标识来标识,GUN标识的结构为“[镜像的源仓库]/[镜像名称]:[镜像版本]”。5.根据权利要求1所述的基于webhook的云原生可信度量方法,其特征在于,镜像部署请求包括可信度量的目标命名空间;可信度量的作用范围是指定的命名空间,或者是整个集群;当目标命名空间配置了可信度量策略时,以配置的可信度量策略为准;当目标命名空间没有配置可信度量策略时,以集群的可信度量策略为准。6.一种镜像可信基准值的发布方法,其特征在于,由可信基准值安全发布与验证服务器执行,包括:获取用户上传的新的元数据,所述新的元数据为镜像制作者在本地为镜像签名后的数据,利用存储在服务端数据库内的对应镜像的元数据,对新的元数据进行验证,在验证通过...
【专利技术属性】
技术研发人员:孙连文,刘苇,祁龙云,犹锋,张晓,王宁,於湘涛,李向南,魏兴慎,徐楷,孙柏颜,吕小亮,陈艳霞,
申请(专利权)人:国网电力科学研究院有限公司国网北京市电力公司国网新疆电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。