[发明专利]Docker容器安全管理方法、系统、设备及存储介质

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种Docker容器安全管理方法、系统、设备及存储介质。

背景技术

随着互联网信息技术的迅速发展，各类信息系统及网络产品层出不穷。尤其是在大中型的实体机构中，快速建设的IT系统正从以前传统封闭的业务系统向大型关键业务系统扩展，所涉及的应用类型也日趋增加，大型企业对Docker容器的应用也日渐成为发展趋势。Docker是一种开源的虚拟化技术，旨在提供一种应用的自动化部署解决方案，能够让开发者打包他们的应用及依赖包到一个可移植的容器中，容器可以视为一种轻量级虚拟机，由Docker镜像(image)进行实例化而得到，具有体积小、部署迅速、生命周期短的特点。目前Docker类型主要为Docker linux。Docker容器通过Docker镜像来创建。容器是完全使用沙箱机制，相互之间不会有任何接口。

目前对于容器的访问采用客户端直接连接容器的方式，然而由于容器无法对执行操作进行日志记录保存，从而使得运维人员对于容器执行操作的记录随着容器的发布而销毁，造成在安全管理流程中存在严重缺失，无法达到企业生产服务器安全管理标准，也无法通过等级保护、PCI、ISO27001等标准的资质评审。

发明内容

针对现有技术中的问题，本发明的目的在于提供一种Docker容器安全管理方法、系统、设备及存储介质，能够对容器的执行操作进行保存，从而提高安全性，满足各类标准的资质评审要求。

本发明的第一方面提供一种Docker容器安全管理方法，包括如下步骤：S101、在Docker镜像中安装SSHD服务；S102、容器发布模块将创建容器的容器信息发送至服务器信息模块；S103、服务器信息模块将容器信息通过API接口发送至运维安全审计模块；S104、授权管理模块获取用户设置的容器的操作权限信息，并将操作权限信息发送至运维安全审计模块；S105、运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证，如验证通过，则运维安全审计模块通过SSH协议连接容器，以使用户通过运维安全审计模块登录容器，如验证失败，则运维安全审计模块拒绝用户的容器访问请求。

优选地，服务器信息模块包括服务器信息存储模块，信息消费模块以及事件管理模块，在步骤S102中，容器发布模块将容器信息发送至服务器信息存储模块；在步骤S103中，服务器信息存储模块将容器信息发送至信息消费模块，事件管理模块从信息消费模块中获取容器信息并将容器信息发送至运维安全审计模块；在步骤S104中，服务器信息存储模块将容器信息发送至授权管理模块，以使授权管理模块向用户显示容器并获取用户设置的容器的操作权限信息。

优选地，在步骤S104中，服务器信息模块将容器所在的设备组信息发送至授权管理模块，授权管理模块获取用户设置的容器所在的设备组的权限信息，并将权限信息发送至运维安全审计模块；在步骤S105中，运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证，如验证通过，则运维安全审计模块通过SSH协议连接设备组中的容器，以使用户通过运维安全审计模块登录设备组中的任意一个或多个容器。

优选地，在步骤S105中，运维安全审计模块对用户的容器访问请求进行域账号以及动态令牌双重登录验证。

优选地，运维安全审计模块自动记录和审计用户在容器中的操作数据。

优选地，授权管理模块获取用户设置的服务器权限，并将服务器权限发送至运维安全审计模块；运维安全审计模块获取用户的服务器访问请求并根据服务器权限进行登录验证，如验证通过，则运维安全审计模块登录服务器。

优选地，用户退出容器的登录后，即退出运维安全审计模块的登录。

本发明的第二方面提供一种Docker容器安全管理系统，Docker容器对应的Docker镜像中安装SSHD服务，系统包括：容器发布模块，容器发布模块用于创建容器，并将创建容器的容器信息发送至服务器信息模块；服务器信息模块，服务器信息模块用于存储容器信息并将容器信息通过API接口发送至运维安全审计模块；授权管理模块，授权管理模块用于获取用户设置的容器的操作权限信息，并将操作权限信息发送至运维安全审计模块；运维安全审计模块，运维安全审计模块获取用户的容器访问请求并根据操作权限信息进行登录验证，如验证通过，则运维安全审计模块通过SSH协议连接容器，以使用户通过运维安全审计模块登录容器，如验证失败，则运维安全审计模块拒绝用户的容器访问请求。