[发明专利]用于容器中的数据的自动加密系统

说明书

本发明涉及一种用于容器中的数据的自动加密系统。一种管理敏感数据的方法。计算机系统使用一组应用程序容器的配置信息识别该组应用程序容器的敏感数据。计算机系统对识别的该组应用程序容器的敏感数据进行加密，以形成加密的敏感数据。在部署该组应用程序容器时，计算机系统将加密的敏感数据保存到由该组应用程序容器使用的共享存储装置中。

技术领域

本公开总体上涉及一种改进的计算机系统，并且更具体地涉及用于自动加密用于容器中的数据的方法、装置、计算机系统和计算机程序产品。

背景技术

容器从底层基础设施分离。容器在操作系统级虚拟化处理器单元、存储器、存储和网络资源。换言之，容器使用操作系统虚拟化，使得多个容器可以在同一操作系统内核上运行。

敏感数据是使用云平台的客户的重要考虑。敏感数据可以包括诸如密码、认证令牌、安全外壳协议(SSH)的信息。容器可以使用此信息来执行包括访问其他系统或资源的操作。不希望将该信息作为明文存储在容器中。敏感信息可以被加密。在用于应用程序员容器的部署代码中手动地加密敏感数据。

例如，敏感数据可以用存储在对象中的加密敏感数据(例如Kubernetes中的secret(秘密))来加密。Kubernetes是开源容器编排系统，其可以用于使计算机应用程序部署、缩放和管理自动化。Kubernetes的开发者是云本机计算机基金会(CNCF)。容器的部署代码包括对秘密和密钥的引用，以对加密的敏感数据解密。

这个敏感数据可以改变。例如，参数的新值可以改变或者新参数可以被添加。通过这些改变，需要在部署代码中手动地加密改变的敏感信息。例如，容器被编码以引用存储加密的敏感数据的秘密。如果敏感数据改变，则敏感数据中的改变被加密并且被放置到另一个秘密中。在这种情况下，容器的部署代码被改变以引用包含更新的加密敏感数据的新秘密。

进一步地，应用程序开发者和敏感数据管理器可以是不同的实体。当敏感数据被敏感数据的管理器改变时，应用程序开发者通常不知道改变已经发生，直到遇到问题并报告应用程序的容器的运行。结果，应用程序可能不能正确地运行，直到部署代码被改变并且用于该应用程序的容器被重新部署。

发明内容

根据一个说明性实施例，一种计算机实施用于管理敏感数据的方法。计算机系统使用一组应用程序容器的配置信息识别该组应用程序容器的敏感数据。计算机系统对识别的该组应用程序容器的敏感数据进行加密，以形成加密的敏感数据。在部署该组应用程序容器时，计算机系统将加密的敏感数据保存到由该组应用程序容器使用的共享存储装置中。根据其他说明性实施例，提供了一种用于管理敏感数据的计算机系统和计算机程序产品。

因此，通过使得能够使用共享加密服务对敏感数据进行自动加密并且在对敏感数据进行加密时支持定制，说明性实施例在敏感数据管理领域中提供了技术效果和实际应用。

说明性实施例还确定在该组应用程序容器的敏感数据被加密以形成加密的敏感数据之后，该敏感数据是否已经发生变化，并且响应于确定对该敏感数据的该变化已经发生，利用该变化重新加密该敏感数据以形成更新的加密的敏感数据。用更新的加密的敏感数据来更新加密的敏感数据。更新的加密敏感数据可被该组应用程序容器使用。因此，说明性实施例可确保敏感数据保持最新以供应用程序容器使用，从而减少容器在使用过期敏感数据时运行的问题。进一步，说明性实施例可避免当加密的敏感数据改变时需要改变容器的编程并且需要重启容器。

附图说明

图1是展示了可以实现说明性实施例的云计算环境的图；

图2是展示了根据说明性实施例的抽象模型层的图；

图3是可以实现说明性实施例的数据处理系统网络的图形表示；

图4是根据说明性实施例的应用程序管理环境的框图；

图5是根据示例性实施例的容器管理器的图示；