一种镜像安全检查方法、装置、电子设备和存储介质制造方法及图纸

本公开提供了一种镜像安全检查方法、装置、电子设备、存储介质和和程序产品，可用于金融领域及其他领域，其中，像安全检查方法包括：创建密钥对，将密钥对中的私钥存放在镜像构建流水线中，将密钥对中的公钥保存在Kubernetes集群中，针对每一个构建完成的镜像，利用私钥对镜像进行签名，当满足预设条件时，根据预设条件确定待检查镜像，利用保存在Kubernetes集群中的公钥对待检查镜像进行签名检查。通过创建密钥对，私钥用来镜像加密签名，公钥用来检查验证镜像签名，避免了因镜像被篡改而导致的攻击，能够保证镜像的来源是可信的和安全的，保障了镜像的安全性和完整性。保障了镜像的安全性和完整性。保障了镜像的安全性和完整性。

【技术实现步骤摘要】
一种镜像安全检查方法、装置、电子设备和存储介质


[0001]本公开涉及云计算数据安全
，尤其涉及一种镜像安全检查方法、装置、电子设备、存储介质和程序产品。

技术介绍

[0002]随着云计算的发展，越来越多的应用程序逐步将部署在传统服务器上的节点迁移至云平台来，并以镜像的形式交付应用程序，并通过容器的形式启动镜像应用程序。针对现有的镜像交付方式，部署镜像容器时通常只会匹配镜像名称和TAG标签，存在镜像容易被篡改、并可能导致攻击的镜像容器完整性和安全性问题。
[0003]公开内容
[0004]鉴于上述问题，本公开提供了一种镜像安全检查方法、装置、电子设备、存储介质和程序产品。
[0005]根据本公开的第一个方面，提供了一种镜像安全检查方法，该方法包括：
[0006]创建密钥对，将上述密钥对中的私钥存放在镜像构建流水线中，将上述密钥对中的公钥保存在Kubernetes集群中；
[0007]针对每一个构建完成的镜像，利用上述私钥对上述镜像进行签名；
[0008]当满足预设条件时，根据上述预设条件确定待检查镜像，利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
[0009]在本公开一实施例中，在上述利用上述私钥对上述镜像进行签名之后，上述方法还包括：
[0010]创建第一检查策略，并将上述第一检查策略以Kubernetes Configmap形式保存在上述Kubernetes集群中；
[0011]上述第一检查策略包括：按预设维度对上述待检查镜像进行排序，按序对上述待检查镜像进行签名检查；或
[0012]随机逐个对上述待检查镜像进行签名检查。
[0013]在本公开一实施例中，若上述预设条件为存在至少一个镜像被启动，则上述待检查镜像为上述至少一个镜像；
[0014]则上述利用保存在Kubernetes集群中的上述公钥对上述镜像进行签名检查包括：
[0015]上述至少一个镜像被启动时，触发上述Kubernetes集群的Validating Webhook机制，使上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查；
[0016]若上述待检查镜像中任一镜像签名检查不通过，则上述镜像启动失败，发送告警信息给与上述镜像相关的应用；
[0017]若上述待检查镜像中任一镜像签名检查通过，则启动上述镜像。
[0018]在本公开一实施例中，若上述预设条件为达到预设的时间周期，则上述利用上述公钥对上述镜像进行签名检查包括：
[0019]上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查；
[0020]当上述待检查镜像中任一镜像签名检查不通过时，发送告警信息给与上述镜像相关的应用。
[0021]在本公开一实施例中，若上述预设条件为达到预设的时间周期，则确定上述待检查镜像的方式包括：
[0022]从上述Kubernetes集群中随机抽取预设数量的镜像；或
[0023]从上述Kubernetes集群中随机抽取满足第一预设条件的预设数量的镜像；或
[0024]将上述Kubernetes集群中所有镜像按任一维度进行排序，按序抽取预设数量的镜像。
[0025]在本公开一实施例中，若上述预设条件为达到预设的时间周期，则当达到预设的时间周期时，判断历史达到预设时间周期的次数是否为零；
[0026]若历史达到预设时间周期的次数为零，则对上述Kubernetes集群中的所有镜像按任一维度进行排序并编号，从排序后的第一个镜像开始连续抽取预设数量的镜像，调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查；
[0027]若历史达到预设时间周期的次数大于零，则获取上一次达到预设时间周期时，对上述Kubernetes集群中的所有镜像进行排序的维度、被检查镜像的数量和最后一个被检查的镜像的编号，根据上述维度、上述数量和上述编号确定待检查镜像。
[0028]在本公开一实施例中，上述根据上述维度、上述数量和上述编号确定待检查镜像，具体包括：
[0029]对上述Kubernetes集群中的所有镜像按上述维度进行排序并编号，从上述编号下一个镜像开始连续抽取上述数量的镜像，调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查；
[0030]若上述Kubernetes集群中最后一个镜像被抽取后，被抽取的镜像的数量仍未达到上述数量，则判断是否更换对上述Kubernetes集群中的所有镜像进行排序的维度；
[0031]若更换对上述Kubernetes集群中的所有镜像进行排序的维度，则对上述Kubernetes集群中的所有镜像按更换后的维度进行排序并编号，继续执行上述从排序后的第一个镜像开始连续抽取预设数量的镜像，调用上述第一检查策略并利用上述公钥按照上述第一检查策略对被抽取的镜像进行签名检查的步骤；
[0032]若不更换对上述Kubernetes集群中的所有镜像进行排序的维度，则继续从排序后的第一个镜像开始连续抽取，直至被抽取的镜像的数量达到上述数量时停止抽取，调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查。
[0033]本公开的第二方面提供了一种镜像安全检查装置，该装置包括：
[0034]创建模块，用于创建密钥对，将上述密钥对中的私钥存放在镜像构建流水线中，将上述密钥对中的公钥保存在Kubernetes集群中；
[0035]签名模块，用于针对每一个构建完成的镜像，利用上述私钥对上述镜像进行签名；
[0036]检查模块，用于当满足预设条件时，根据上述预设条件确定待检查镜像，利用保存
在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
[0037]本公开的第三方面提供了一种电子设备，包括：
[0038]一个或多个处理器；
[0039]存储器，用于存储一个或多个程序，
[0040]其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得上述一个或多个处理器执行根据执行上述镜像安全检查方法。
[0041]本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述镜像安全检查方法。
[0042]本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述镜像安全检查方法。
[0043]本公开提供的镜像安全检查方法包括：创建密钥对，将密钥对中的私钥存放在镜像构建流水线中，将密钥对中的公钥保存在Kubernetes集群中，针对每一个构建完成的镜像，利用私钥对镜像进行签名，当满足预设条件时，根据上述预设条件确定待检查镜像，利用保存在Kubernetes集本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种镜像安全检查方法，其特征在于，包括：创建密钥对，将所述密钥对中的私钥存放在镜像构建流水线中，将所述密钥对中的公钥保存在Kubernetes集群中；针对每一个构建完成的镜像，利用所述私钥对所述镜像进行签名；当满足预设条件时，根据所述预设条件确定待检查镜像，利用保存在Kubernetes集群中的所述公钥对所述待检查镜像进行签名检查。2.根据权利要求1所述的镜像安全检查方法，其特征在于，在所述利用所述私钥对所述镜像进行签名之后，所述方法还包括：创建第一检查策略，并将所述第一检查策略以Kubernetes Configmap形式保存在所述Kubernetes集群中；所述第一检查策略包括：按预设维度对所述待检查镜像进行排序，按序对所述待检查镜像进行签名检查；或随机逐个对所述待检查镜像进行签名检查。3.根据权利要求2所述的镜像安全检查方法，其特征在于，若所述预设条件为存在至少一个镜像被启动，则所述待检查镜像为所述至少一个镜像；则所述利用保存在Kubernetes集群中的所述公钥对所述镜像进行签名检查包括：所述至少一个镜像被启动时，触发所述Kubernetes集群的Validating Webhook机制，使所述Kubernetes集群调用所述第一检查策略并利用所述公钥按照所述第一检查策略对所述待检查镜像进行签名检查；若所述待检查镜像中任一镜像签名检查不通过，则所述镜像启动失败，发送告警信息给与所述镜像相关的应用；若所述待检查镜像中任一镜像签名检查通过，则启动所述镜像。4.根据权利要求2所述的镜像安全检查方法，其特征在于，若所述预设条件为达到预设的时间周期，则所述利用保存在Kubernetes集群中的所述公钥对所述镜像进行签名检查包括：所述Kubernetes集群调用所述第一检查策略并利用所述公钥按照所述第一检查策略对所述待检查镜像进行签名检查；当所述待检查镜像中任一镜像签名检查不通过时，发送告警信息给与所述镜像相关的应用。5.根据权利要求4所述的镜像安全检查方法，其特征在于，若所述预设条件为达到预设的时间周期，则确定所述待检查镜像的方式包括：从所述Kubernetes集群中随机抽取预设数量的镜像；或从所述Kubernetes集群中随机抽取满足第一预设条件的预设数量的镜像；或将所述Kubernetes集群中所有镜像按任一维度进行排序，按序抽取预设数量的镜像。6.根据权利要求2所述的镜像安全检查方法，其特征在于，若所述预设条件为达到预设的时间周期，则当达到预设的时间周期时，判断历史达到预设时间周期的次数是否为零；若历史达到预设时间周期的次数为零，则对所述Kubernetes集群中的所有镜像按任一
维度进行排序并...

【专利技术属性】
技术研发人员：王磊，周文泽，吴冕冠，谢伟，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：