[发明专利]一种基于云计算的容器安全系统

权利要求书

1.一种基于云计算的容器安全系统，其特征在于，包含访问层安全子系统、安全服务子系统和资源层安全子系统；

所述访问层安全子系统包括：

网络访问安全模块，用于在用户访问容器化应用资源时，检测应用程序是否采用了加密的通信协议，并确保应用程序的每个功能被访问时执行控制检查，保护通信消息的完整性和机密性，并具备用户鉴别和鉴权的能力；

API访问安全模块，用于提供API的访问控制、防攻击、安全传输能力；对容器应用程序的API调用或容器资源API调用进行权限和凭证鉴定，对没有通过验证的API请求拒绝访问；

WEB访问安全模块，用于提供WEB代码安全、资源访问控制和远程访问安全传输能力，对输入输出进行有效性检查，以及采取防范漏洞措施，并对访问的容器资源制定访问控制策略；

所述防范的手段包括：增强对接收到的数据的校验；增加对数据的输入/输出过滤；修复可能存在Dos/DDos漏洞的问题；通过采用抗DoS/DDos服务对攻击流量进行清洗；

所述安全服务子系统包括：

主机安全服务模块，用于提供防病毒、漏洞检测、第三方防御服务；

网络安全服务模块，用于提供基本的非法连接检测、网络防御、流量监控服务；

数据安全模块，用于建立统一的密钥和证书管理，为云计算环境或容器环境提供认证服务，提供数据加密、备份和恢复、密钥和证书的统一管理功能；

安全审计模块，用于提供审计功能，并具备自动审计信息识别和处理功能，提供云计算环境和容器环境的访问、操作、使用情况记录和审查；

所述资源层安全子系统包括：

物理资源安全模块，用于负责基础硬件与网络安全、物理与环境安全的监控；

虚拟资源安全模块，用于提供计算、存储和网络资源的虚拟空间隔离、资源监控、过载保护功能。

2.根据权利要求1所述的基于云计算的容器安全系统，其特征在于，所述API访问安全模块还具备防范重放、代码注入、DoS/DDos攻击能力。

3.根据权利要求1所述的基于云计算的容器安全系统，其特征在于，所述漏洞包括认证漏洞、权限漏洞、会话漏洞、WEB服务漏洞和注入漏洞。

4.根据权利要求1所述的基于云计算的容器安全系统，其特征在于，所述数据安全模块具备自动检测机制。