一种安全容器构建方法、系统、设备及存储介质技术方案

本发明专利技术实施例公开了一种安全容器构建方法、系统、设备及存储介质，首先创建第一容器，并根据预设唯一识别码，生成全局进程标签；再设定容器参数，容器参数包括容器网络参数、容器文件参数和容器权能参数；根据容器网络参数，获取容器访问端口列表；基于容器访问端口列表，判断容器访问端口列表中是否存在网络端口；若容器访问端口列表中存在网络端口，则判断网络端口中是否存在敏感网络端口；若网络端口中不存在敏感网络端口，则获取各个网络端口对应的端口标签；将端口标签和全局进程标签输入至预设网络端口策略模板，得到网络端口策略；将对应的策略加载至内核，得到第二容器。本发明专利技术实施例能够自动生成容器策略，并且能够有效提高容器安全性。效提高容器安全性。效提高容器安全性。

【技术实现步骤摘要】
一种安全容器构建方法、系统、设备及存储介质


[0001]本专利技术实施例涉及计算机安全领域，具体涉及一种安全容器构建方法、系统、设备及存储介质。

技术介绍

[0002]随着容器技术的普及和商用化，对容器安全的需求不断增强。当大量容器运行在同一个环境时，只有对容器进程进行隔离，才能够对容器访问的资源进行限制，保护环境上的敏感信息不被窥探和破坏。
[0003]现有的容器技术在面对层出不穷的逃逸攻击和提权攻击时，依然存在安全问题，不能有效地对容器进程进行限制和隔离，容器安全性较低。
[0004]部分对安全要求较高的容器会使用强制访问控制技术对系统进程进行进一步的限制，这些技术能够有效的防御上述逃逸攻击和提权攻击对宿主机造成的危害，但是这些技术对运维部署人员要求非常高，需要针对每个应用编写晦涩复杂的策略，整个流程难以自动化，极大的影响了云原生场景下应用的部署，分发，更新流程。

技术实现思路

[0005]为此，本专利技术实施例提供一种安全容器构建方法、系统、设备及存储介质，以解决现有的容器构建技术的安全性低和自动化程度低的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全容器构建方法，其特征在于，所述方法包括：创建第一容器，并根据所述第一容器的预设唯一识别码，生成对应的全局进程标签；针对所述第一容器，设定容器参数，所述容器参数包括容器网络参数、容器文件参数和容器权能参数；根据所述容器网络参数，获取对应的容器访问端口列表；基于所述容器访问端口列表，判断所述容器访问端口列表中是否存在网络端口；若所述容器访问端口列表中存在网络端口，则判断所述网络端口中是否存在敏感网络端口；若所述网络端口中不存在敏感网络端口，则获取各个所述网络端口对应的端口标签；将所述端口标签和所述全局进程标签输入至预设网络端口策略模板，得到网络端口策略；将所述第一容器对应的策略加载至内核，得到第二容器。2.如权利要求1所述的一种安全容器构建方法，其特征在于，所述方法还包括：若所述容器访问端口列表中不存在网络端口，则取消生成网络端口策略。3.如权利要求2所述的一种安全容器构建方法，其特征在于，所述方法还包括：若所述网络端口中存在敏感网络端口，则生成对应的敏感端口访问日志，并根据所述敏感端口访问日志，获取网络端口对应的端口标签。4.如权利要求3所述的一种安全容器构建方法，其特征在于，所述方法还包括：根据所述容器文件参数，获取对应的容器访问宿主机文件列表；判断所述容器访问宿主机文件列表中是否存在访问文件；若所述容器访问宿主机文件列表中存在访问文件，则根据预先设置的敏感文件列表，判断所述访问文件中是否存在敏感文件；若所述访问文件中存在敏感文件，则取消生成文件访问策略；若所述访问文件中不存在敏感文件，则根据所述容器访问宿主机文件列表，获取各个所述访问文件对应的文件标签；将所述文件标签和所述全局进程标签输入至预设文件访问策略模板，得到文件访问策略。5.如权利要求4所述的一种安全容器构建方法，其特征在于，所述方法还包括：若所述容器访问宿主机文件列表中不存在访问文件，则取消生成文件访问策略。6...

【专利技术属性】
技术研发人员：孙维东，
申请(专利权)人：翼健上海信息科技有限公司，
类型：发明
国别省市：