System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及网络安全,具体而言,涉及一种容器安全运行的方法、存储介质、电子设备及程序产品。
技术介绍
1、kubernetes(简称为k8s)是一种开源的容器编排系统,用于自动化部署、扩展和管理容器化应用。其中,容器镜像是分层结构的软件包,包含运行某个软件所需的所有内容,包括代码、运行时、库、环境变量和配置文件。
2、为了保障容器环境的安全性,防止容器下的文件防篡改。目前,通过获取进程发起的文件修改请求;根据请求中的相关信息,计算进程所属的容器实例对应的容器实例标识;通过容器实例标识,查找到容器实例对应的文件防护策略;根据文件防护策略和文件路径,确定是否阻止进程对所述待修改文件进行修改。但是,文件防护策略是由人工设置的,其只能对特定的文件进行防护,灵活性差,人工维护难度大,安全性无法得到有效保障。
3、因此,如何提供一种安全性较高的容器运行的方法的技术方案成为亟需解决的技术问题。
技术实现思路
1、本申请的一些实施例的目的在于提供一种容器安全运行的方法、存储介质、电子设备及程序产品,通过本申请的实施例的技术方案可以确保容器环境的安全性,提升整体运行性能,降低人工维护成本。
2、第一方面,本申请的一些实施例提供了一种容器安全运行的方法,包括:确认待启动容器对应的容器镜像校验通过,启动所述容器;获取待执行程序的关联信息,其中,所述关联信息包括:所述待执行程序所属的所述容器、进程程序路径、进程校验值和启动权限标识;通过所述关联信息对所述待执行程序校验,确
3、本申请的一些实施例通过对容器镜像校验通过启动容器后,对待执行程序进行校验通过后,才由容器进行运行,可以确保容器环境的安全性,提升整体运行性能,降低人工维护成本。
4、在一些实施例,所述确认待启动容器对应的容器镜像校验通过,包括:确定所述容器镜像存在于可信任镜像表中;对读取到的所述容器镜像中的目标文件进行计算,得到待校验值;确定所述待校验值与所述可信任镜像表中对应的镜像校验值相同,则所述容器镜像校验通过。
5、本申请的一些实施例通过对容器镜像与可信任镜像表进行对比和相关文件验证,以确认容器镜像未被篡改,提升了安全性。
6、在一些实施例,在所述确认待启动容器对应的容器镜像校验通过之前,所述方法还包括:对新增容器镜像对应的目录结构下的所有本级校验文件进行计算生成容器总校验值,其中,所述目录结构中包括多级目录,每级目录中包括本级校验文件,所述本级校验文件中包括每级目录下所有文件的镜像校验值;对所述新增容器镜像进行打包,得到目标容器镜像;注册所述目标容器镜像,并更新至所述可信任镜像表中。
7、本申请的一些实施例通过对新增容器镜像下的文件进行相关校验值计算以及打包、注册得到目标容器镜像,更新至可信任镜像表中,为后续容器镜像安全校验提供支持。
8、在一些实施例,所述方法还包括:在所述容器运行的进程内打开预设标记的文件时,当所述容器异常、所述容器所属的原物理服务器异常或者调用预设函数时,计算所述文件的校验值,并更新至所述文件对应的所述本级校验文件,去除所述预设标记;当所述容器和所述物理服务器的异常恢复,无法调用所述预设函数,扫描所有本级校验文件,对含有所述预设标记的文件进行重新计算校验值。
9、本申请的一些实施例通过对容器镜像相关的文件的校验值更新,为容器镜像安全校验提供支持。
10、在一些实施例,在所述对新增容器镜像对应的目录结构下的所有本级校验文件进行计算生成容器总校验值之前,所述方法还包括:下载原始容器镜像,并将所述原始容器镜像设置为保护状态;对所述原始容器镜像中的原始目录中的所有文件进行遍历和计算,得到所述新增容器镜像和所述目录结构。
11、本申请的一些实施例通过对下载的原始容器镜像进行保护和相关计算得到新增容器镜像和目录结构,以便于后续可以得到安全性较高的可信任镜像表。
12、在一些实施例,所述通过所述关联信息对所述待执行程序校验,确认所述待执行程序通过校验,包括:确定所述关联信息与可信任程序表中的内容相同,则所述待执行程序通过校验,其中,所述可信任程序表中含有允许所述容器运行的相关程序。
13、本申请的一些实施例通过待执行程序的关联信息和可信任程序表对比,对待执行程序校验,以确保运行程序的安全性,以防被篡改。
14、在一些实施例,所述方法还包括:当所述容器从所属的原物理服务器被调度至目标物理服务器运行时,获取所述原物理服务器的远程证明后,将所述容器镜像从所述原物理服务器发送至目标物理服务器。
15、本申请的一些实施例通过远程证明可以实现容器在不同物理服务器间的调度,节约了时间成本,提升了整体性能。
16、第二方面,本申请的一些实施例提供了一种容器安全运行的装置,包括:启动校验模块,被配置为确认待启动容器对应的容器镜像校验通过,启动所述容器;获取模块,被配置为获取待执行程序的关联信息,其中,所述关联信息包括:所述待执行程序所属的所述容器、进程程序路径、进程校验值和启动权限标识;运行模块,被配置为通过所述关联信息对所述待执行程序校验,确认所述待执行程序通过校验后,控制所述容器运行所述待执行程序。
17、第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
18、第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
19、第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
本文档来自技高网...【技术保护点】
1.一种容器安全运行的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述确认待启动容器对应的容器镜像校验通过,包括:
3.如权利要求2所述的方法,其特征在于,在所述确认待启动容器对应的容器镜像校验通过之前,所述方法还包括:
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
5.如权利要求3-4中任一项所述的方法,其特征在于,在所述对新增容器镜像对应的目录结构下的所有本级校验文件进行计算生成容器总校验值之前,所述方法还包括:
6.如权利要求1-4中任一项所述的方法,其特征在于,所述通过所述关联信息对所述待执行程序校验,确认所述待执行程序通过校验,包括:
7.如权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器运行时执行如权利要求1-7中任意一项权利要求所述的方法。
9.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并在
10.一种计算机程序产品,其特征在于,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器运行时执行如权利要求1-7中任意一项权利要求所述的方法。
...【技术特征摘要】
1.一种容器安全运行的方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述确认待启动容器对应的容器镜像校验通过,包括:
3.如权利要求2所述的方法,其特征在于,在所述确认待启动容器对应的容器镜像校验通过之前,所述方法还包括:
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
5.如权利要求3-4中任一项所述的方法,其特征在于,在所述对新增容器镜像对应的目录结构下的所有本级校验文件进行计算生成容器总校验值之前,所述方法还包括:
6.如权利要求1-4中任一项所述的方法,其特征在于,所述通过所述关联信息对所述待执行程序校验,确认所述待执行程序通过校验,包括:...
【专利技术属性】
技术研发人员:张朝潞,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。