面向Docker的强制访问控制安全策略自动生成方法及系统技术方案

本发明专利技术公开了一种面向Docker的强制访问控制安全策略自动生成方法及系统，本发明专利技术包括：感知宿主机上的容器运行，如果感知到目标容器中有新的应用/服务被安装，则针对新的应用/服务生成对应的强制访问控制安全配置文件；将新的应用/服务生成对应的强制访问控制安全配置文件与目标容器现有的安全策略进行合并，得到目标容器的新的强制访问控制安全配置文件；基于新的强制访问控制安全配置文件动态更新目标容器现有的安全策略。本发明专利技术能够实现在Docker场景下的强制访问控制安全策略的自动生成，支持安全策略的动态更新，有助于提升Docker的安全性。升Docker的安全性。升Docker的安全性。

【技术实现步骤摘要】
面向Docker的强制访问控制安全策略自动生成方法及系统


[0001]本专利技术涉及计算机操作系统领域的访问控制技术，具体涉及一种面向Docker的强制访问控制安全策略自动生成方法及系统。

技术介绍

[0002]云计算因其计算能力、高可靠性和高可扩展性而得到广泛应用。虚拟化作为云计算的基础，通过软件管理和计算机硬件资源的重新分配，大大提高了计算机资源的利用率。作为一种新兴的虚拟化解决方案，Docker直接在主机内核上运行，这使得它比传统的虚拟化方法更轻、更高效。但是，由于Docker中的资源隔离不如虚拟机那么彻底，它也给Docker带来了安全问题，阻碍了实际应用中容器技术的发展。
[0003]为了解决Docker容器的安全问题，Docker中一直试图采取各种预防性安全措施。目前主要的防护方法是将强制访问控制框架(如SELinux和AppArmor等)应用到Docker容器中来增强Docker安全性。采用这种防护方法的关键是针对不同的Docker容器编写合适的安全策略。目前，强制访问控制安全策略主要依赖安全专家手工编辑生成，已有的辅助工具，如AppArmor工具集，也仅仅简化了行为日志采集的环节。此外，由于强制访问控制安全策略涉及到系统范围的主客体及其运行行为，复杂度很高，造成安全策略的生成需要大量的人工编程和安全专家决策的介入。在Docker环境中，由于Docker内部可能运行多个应用，而强制访问控制机制又把Docker视为一个主体(进程)，不能对Docker内部的应用进行细粒度分析和访问控制，进一步增加了Docker容器的安全策略生成难度。
[0004]具体来说，对于Docker容器，强制访问控制策略的生成存在以下问题：首先，要生成安全策略，需要分析容器中的每个服务，但宿主机看不到服务的执行详细信息。其次，由于Docker的资源独立性，Docker容器的文件系统与宿主机的文件系统并不完全一致，用于限制在宿主机上的相应服务的安全策略不能直接在Docker容器上使用。第三，现有的关于为Docker容器生成强制访问控制安全策略的研究通常需要使用SystemTap或auditd来收集容器行为数据，需要大量的额外的工作，而且难以收集完整的容器行为数据。
[0005]综上所述，目前Docker容器的安全策略生成困难、对Docker容器的动态变化适应性较差，迫切需要自动化的方法来解决该难题。

技术实现思路

[0006]本专利技术要解决的技术问题：针对现有技术的上述问题，本专利技术提供一种面向Docker的强制访问控制安全策略自动生成方法及系统，本专利技术能够实现在Docker场景下的强制访问控制安全策略的自动生成，支持安全策略的动态更新，有助于提升Docker的安全性。
[0007]为了解决上述技术问题，本专利技术采用的技术方案为：
[0008]一种面向Docker的强制访问控制安全策略自动生成方法，包括：
[0009]1)感知宿主机上的容器运行，如果感知到目标容器中有新的应用/服务被安装，则
跳转至下一步；
[0010]2)针对新的应用/服务生成对应的强制访问控制安全配置文件；
[0011]3)将新的应用/服务生成对应的强制访问控制安全配置文件与目标容器现有的安全策略进行合并，得到目标容器的新的强制访问控制安全配置文件；
[0012]4)基于新的强制访问控制安全配置文件动态更新目标容器现有的安全策略。
[0013]可选地，步骤1)中感知宿主机上的容器运行是指在目标容器宿主机中获取初次为目标容器生成安全策略时目标容器中运行的应用/服务和使用过程中新安装的应用/服务信息。
[0014]可选地，所述在目标容器宿主机中获取初次为目标容器生成安全策略时目标容器中运行的应用/服务和使用过程中新安装的应用/服务信息包括：
[0015]1.1)根据目标容器的Dockerfile文件的第一条命令获取目标容器的基础镜像；
[0016]1.2)根据目标容器的基础镜像判断目标容器的类型；
[0017]1.3)根据目标容器的类型确定在宿主机上执行的包查询命令；
[0018]1.4)通过执行确定的包查询命令获取目标容器安装的应用/服务信息；
[0019]1.5)过滤掉安全策略生成无关的应用/服务信息。
[0020]可选地，步骤2)中新的应用/服务生成对应的强制访问控制安全配置文件是指预先将新的应用/服务在单机场景下经过安全性测试的强制访问控制安全配置文件。
[0021]可选地，所述经过安全性测试的强制访问控制安全配置文件包括保留网络访问、capability和对主应用程序的执行权限，再额外增加拒绝访问/sys和/proc目录的策略。
[0022]可选地，步骤3)包括：
[0023]3.1)创建一个用于存放合并后得到的新安全策略的集合Policies
new
和用于存放所有已经在新安全策略集合中对象的集合object
set
，初始化时这两个集合都为空；
[0024]3.2)将目标容器原来所有的安全策略添加到集合Policies
new
中，并将原安全策略中所有已经处理过的对象添加到集合object
set
中；
[0025]3.3)遍历新的应用/服务生成对应的强制访问控制安全配置文件中的安全策略，如果遍历得到的当前安全策略的对象并未在集合object
set
中，则合并后得到的新安全策略集合Policies
new
中并未有该对象相应的安全策略，跳转步骤3.4)；否则说明集合Policies
new
中已经有对该对象进行访问控制的安全策略，跳转步骤3.5)；
[0026]3.4)依据该安全策略更新集合object
set
和集合Policies
new
；
[0027]3.5)判断并合并对该对象的访问权限，依据合并后的权限更新集合Policies
new
作为目标容器的新的强制访问控制安全配置文件。
[0028]可选地，步骤3.2)将目标容器原来所有的安全策略添加到集合Policies
new
中时，如果安全策略是文件类型的，那么就添加策略中路径客体部分；而如果安全策略是权能或者网络类型的，那么就添加整条策略。
[0029]可选地，所述强制访问控制安全策略是指AppArmor强制访问控制安全机制或SeLinux强制访问控制安全机制的安全策略。
[0030]此外，本专利技术还提供一种面向Docker的强制访问控制安全策略自动生成系统，包括相互连接的微处理器和存储器，该微处理器被编程或配置以执行所述面向Docker的强制访问控制安全策略自动生成方法的步骤。
[0031]此外，本专利技术还提供一种计算机可读存储介质，该计算机可读存储介质中存储有被编程或配置以执行所述面向Docker的强制访问控制安全策略本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向Docker的强制访问控制安全策略自动生成方法，其特征在于，包括：1)感知宿主机上的容器运行，如果感知到目标容器中有新的应用/服务被安装，则跳转至下一步；2)针对新的应用/服务生成对应的强制访问控制安全配置文件；3)将新的应用/服务生成对应的强制访问控制安全配置文件与目标容器现有的安全策略进行合并，得到目标容器的新的强制访问控制安全配置文件；4)基于新的强制访问控制安全配置文件动态更新目标容器现有的安全策略。2.根据权利要求1所述的面向Docker的强制访问控制安全策略自动生成方法，其特征在于，步骤1)中感知宿主机上的容器运行是指在目标容器宿主机中获取初次为目标容器生成安全策略时目标容器中运行的应用/服务和使用过程中新安装的应用/服务信息。3.根据权利要求2所述的面向Docker的强制访问控制安全策略自动生成方法，其特征在于，所述在目标容器宿主机中获取初次为目标容器生成安全策略时目标容器中运行的应用/服务和使用过程中新安装的应用/服务信息包括：1.1)根据目标容器的Dockerfile文件的第一条命令获取目标容器的基础镜像；1.2)根据目标容器的基础镜像判断目标容器的类型；1.3)根据目标容器的类型确定在宿主机上执行的包查询命令；1.4)通过执行确定的包查询命令获取目标容器安装的应用/服务信息；1.5)过滤掉安全策略生成无关的应用/服务信息。4.根据权利要求1所述的面向Docker的强制访问控制安全策略自动生成方法，其特征在于，步骤2)中新的应用/服务生成对应的强制访问控制安全配置文件是指预先将新的应用/服务在单机场景下经过安全性测试的强制访问控制安全配置文件。5.根据权利要求4所述的面向Docker的强制访问控制安全策略自动生成方法，其特征在于，所述经过安全性测试的强制访问控制安全配置文件包括保留网络访问、capability和对主应用程序的执行权限，再额外增加拒绝访问/sys和/proc目录的策略。6.根据权利要求1～5所述的面向Docker的强制访问控制安全策略自动生成方法，其特征在于，步骤3)包括：3.1)创建一个用于存放合并后得到的新安全策略的集合Policies
new
和用于存放所有已经在新安全策略集合中对象的集合ob...

【专利技术属性】
技术研发人员：黄泽恒，黄戎林，张锦星，
申请(专利权)人：长沙极光安联信息技术有限公司，
类型：发明
国别省市：