【技术实现步骤摘要】
一种容器安全策略的生成及部署分配方法和其系统
[0001]本专利技术涉及信息安全
,特别涉及一种容器安全策略的生成及部署分配方法和其系统。
技术介绍
[0002]以Docker为代表的容器技术是一种轻量级的云计算技术,它利用Linux的namespace、cgroup等资源隔离技术,在共享Linux内核的前提下划分出多个独立的、互相隔离的用户态空间(即容器),方便不同版本、不同依赖环境的应用程序在同一台主机上快速部署。容器技术本质上是应用程序的启动器,通过容器启动器,容器管理程序可以配置指定应用程序的各种用户态环境(包括namespace、cgroup、各种安全策略等),最后再将指定应用程序加载到配置好的环境中并将进程控制权转交给应用程序,容器启动器自身退出执行。
[0003]当应用比较大时,只用单个容器很可能忙不过来,或者应用比较重要,不能中断服务,那么就要考虑使用多个容器来部署应用,这样达到提高并发访问能力和避免单点故障的目的。这多个容器对外是作为一个整体提供服务,就是容器集群。但是目前容器技术只能对安全策...
【技术保护点】
【技术特征摘要】
1.一种容器安全策略的生成及部署分配方法,其特征在于,包括:步骤1:对宿主机进行实时监测,当感知到容器运行时,将运行容器作为目标容器,获取目标容器的外部配置信息;步骤2:基于外部配置信息,确定目标容器对应的关联容器集群的现有安全策略;步骤3:获取目标容器的动态服务信息,判断目标容器中是否有新的应用被安装,若有,获取新的应用的安全行为数据,生成新的安全策略;步骤4:基于现有安全策略和新的安全策略进行策略合并,生成目标安全策略,并对目标容器的安全策略进行更新;步骤5:基于目标安全策略,对目标容器对应的关联容器集群中的各个容器的安全策略进行重新部署。2.根据权利要求1所述的一种容器安全策略的生成及部署分配方法,其特征在于,步骤2,包括:基于外部配置信息,确定目标容器的服务特性,得到部署环境信息;根据部署环境信息,获取目标容器对应的关联容器集群中各个容器的部署规则,基于部署规则,确认目标容器的目标部署位置;基于预设的安全策略部署表以及目标部署位置,确认目标容器对应的关联容器集群现有安全策略。3.根据权利要求1所述的一种容器安全策略的生成及部署分配方法,其特征在于,步骤3,包括:获取目标容器的动态服务信息,将目标容器的最新服务信息与历史服务信息进行对比,判断目标容器中是否有新的应用被安装;当目标容器中有新的应用被安装时,获取的安全行为数据以及容器安全要求;根据容器安全要求,确定容器安全监测项列表,基于容器安全监测项列表,对安全行为数据进行风险筛查,确定第一监测项;获取新的应用的程序数据和插件数据,基于程序数据和插件数据对新的应用的运行风险进行安全量化评估,获得安全评估值;当安全评估值大于预设值时,将第一监测项作为目标风险项,基于目标风险项按照预设的安全策略生成规则,生成新的安全策略。4.根据权利要求3所述的一种容器安全策略的生成及部署分配方法,其特征在于,当安全评估值小于等于预设值时,包括:获取新的应用的多个相似应用或服务的安全监测数据,基于安全监测数据,分别得到各个相似应用或服务的第一风险信息,并对多个第一风险信息进行综合比较得到第二风险信息;将新的应用的程序数据和插件数据分别与不同的相似应用或服务的程序数据和插件数据进行对比,获得多组差异数据;将多组差异数据进行对比,确定新的应用与多个相似应用或服务的运行差异;基于运行差异对第二风险信息进行修正获得第三风险信息,根据第三风险信息,确定第二监测项,将第一监测项和第二监测项进行合并得到最终监测项,作为目标风险项,基于目标风险项按照预设的安全策略生成规则,生成新的安全策略。
5.根据权利要求3所述的一种容器安全策略的生成及部署分配方法,其特征在于,将目标容器的最新服务信息与历史服务信息进行对比,判断目标容器中是否有新的应用被安装,包括:将目标容器的最新服务信息与历史服务信息进行对比,判断目标容器是否存在服务扩展;若存在,判定目标容器中有新的应用被安装;否则,判定目标容器中没有新的应用被安装。6.根据权利要求1所述的一种容器安全策略的生成及部署分配方法,其特征在于,步骤4,包括:获取现有安全策略的第一防护范围以及新的安全策略的第二防护范围,将第一防护范围和第二...
【专利技术属性】
技术研发人员:王军平,
申请(专利权)人:北京赛博云睿智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。