[发明专利]一种基于云计算的容器安全系统

说明书

本发明提供了一种基于云计算的容器安全系统，属于通信技术领域，该系统的访问层安全子系统包括网络访问安全模块、API访问安全模块和WEB访问安全模块，安全服务子系统包括主机安全服务模块、网络安全服务模块、数据安全模块和审计模块，资源层安全子系统包括物理资源安全模块和虚拟资源安全模块。该系统采用网络访问安全、API访问安全和WEB访问安全，实现多维度的访问安全检测和控制；把容器部署从物理服务器转移到云计算的虚拟机中，解决了容器隔离性差的安全问题，降低了容器发生风险时的影响范围，并提高了容器的安全等级；利用云计算的多租户隔离，实现容器的安全隔离；采用各种安全机制，利用云计算多租户实现容器的安全。

技术领域

本发明属于通信技术领域，具体涉及一种基于云计算的容器安全系统。

背景技术

目前，基于容器的虚拟化技术以迅雷不及掩耳之势席卷了整个软件开发社区。应用容器化后，能够更快地进行创建，并且更易于维护，同时又能够得到更高的质量。

与此同时，越来越多的应用容器化，伴随而来的是容器化的安全问题。容器与虚拟机一样，都是虚拟化技术，但是容器相比虚拟机而言，有更多的安全问题需要考虑。使用容器的企业必须认真地对待数据隐私性和安全性，对容器发挥作用的时间、地点以及所产生的风险加以评估。虽然各厂商提供了各种各样的安全产品，但目前并没有形成成熟的适应于容器安全的整体解决方案。

当前的容器管理技术有Kubernetes、Swarm和Mesos等，它们都面临相同的容器安全问题，包括应用威胁、主机威胁、数据安全、多租户安全威胁和特权用户问题，具体表现为：

应用威胁：SQL注入、跨站等针对应用层的攻击；

主机威胁：容器与宿主机共用内核，其中一个容器出现安全问题，将影响宿主机或其它容器的安全；

数据安全：破坏数据的机密性、完整性和可用性；如何确保下载下来的镜像是可信的、未被篡改过的；容器的存储卷存在单个宿主机上，面临单点故障的风险；

多租户安全威胁：不同安全需求的租户的容器可能运行在同一台物理机上，传统安全措施难以处理这种情况；

特权用户问题：应用系统和资源所有权的分离，导致管理员可能访问用户数据，从而对数据机密性、完整性、可用性造成破坏。

因此，为了更好的发挥容器的优势，保障容器环境的安全，标准化容器的安全体系架构，提供一个良好的容器安全系统是目前急需解决的技术问题。

发明内容

为了克服上述现有技术存在的不足，本发明提供了一种基于云计算的容器安全系统。

为了实现上述目的，本发明提供如下技术方案：

一种基于云计算的容器安全系统，包含访问层安全子系统、安全服务子系统和资源层安全子系统；

所述访问层安全子系统包括：

网络访问安全模块，用于在用户访问容器化应用资源时，检测应用程序是否采用了加密的通信协议，并确保应用程序的每个功能被访问时执行控制检查，保护通信消息的完整性和机密性，并具备用户鉴别和鉴权的能力；

API访问安全模块，用于提供API的访问控制、防攻击、安全传输能力；对容器应用程序的API调用或容器资源API调用进行权限和凭证鉴定，对没有通过验证的API请求拒绝访问；

WEB访问安全模块，用于提供WEB代码安全、资源访问控制和远程访问安全传输能力，对输入输出进行有效性检查，以及采取防范漏洞措施，并对访问的容器资源制定访问控制策略；

所述安全服务子系统包括：

主机安全服务模块，用于提供防病毒、漏洞检测、第三方防御服务；