[发明专利]容器的安全策略的处理方法和相关装置

说明书

本申请提供容器的安全策略的处理方法、处理装置和处理系统。该处理方法包括：向容器仓库发布容器镜像，与容器镜像关联的安全策略和安全策略的索引信息；容器仓库存储容器镜像，并根据索引信息存储安全策略；从容器仓库获取容器镜像；根据容器镜像确定安全策略的索引信息；根据索引信息获取安全策略；根据容器镜像启动容器；根据安全策略运行容器。本申请提供的容器的安全策略的处理方法、处理装置和处理系统，有助于提高容器运行的安全性。

技术领域

本申请涉及容器领域，并且更具体地，涉及容器的安全策略的处理方法、处理系统、计算机和计算机可读存储介质。

背景技术

容器与宿主机共享内核，因此，宿主机内核中的漏洞将威胁到宿主机上的所有容器进程，容器进程也可以通过共享内核去攻击宿主机和其他容器。

目前，加强容器安全的主要手段就是实施一定的安全策略，限制容器进程的访问资源范围和行为类型。

例如，docker容器技术中，由容器启动的请求方在启动容器时指定一些安全选项，然后由容器引擎实施这些安全选项组成的安全策略。又如，rkt容器技术中，也是通过一些选项临时形成容器的安全策略。

现有技术中，这些形成安全策略的安全选项通常都是在容器引擎中提前配置好的。当容器引擎运行容器时，若容器引擎中没配置有该容器的行为对应的安全选项时，就会使得容器的运行存在较高的安全隐患。

发明内容

本申请提供一种容器的安全策略的处理方法和相关装置，有助于提高容器运行的安全性。

第一方面，本申请提供了一种容器的安全策略的处理方法。在该方法中，将原始容器镜像与该原始容器镜像对应的安全策略关联，得到容器镜像，使得加载容器镜像时，可以强制加载该容器镜像对应的安全策略，从而可以根据该安全策略运行由该容器镜像启动的容器。

其中，原始容器镜像或者说容器镜像对应的安全策略可以是根据原始容器镜像的运行行为确定的。

在一种实现方式中，第一计算机机将安全策略内嵌到原始容器镜像的根文件系统中，得到容器镜像；第一计算机将该容器镜像发布到容器仓库；第二计算机获取容器镜像，该容器镜像的根文件系统中包括安全策略；第二计算机根据容器镜像启动容器；第二计算机根据安全策略运行容器。

该实现方式中，由于容器镜像的根文件系统中包括安全策略，也就是说，容器镜像与安全策略之间已经建立有固定的关联关系，使得在容器启动时可以强制实施对应的安全策略，从而可以保证容器的安全性和容器进程行为的一致性。

此外，安全策略包含于根文件系统中，与安全策略包含于容器镜像的元数据中相比，不需要修改元数据的定义，从而可以保证容器镜像与标准之间的兼容性。

在一种实现方式中，第一计算机将安全策略的索引信息内嵌到原始容器镜像中，得到容器镜像；第一计算机将容器镜像、安全策略和安全策略的索引信息发布到容器仓库；第二计算机获取容器镜像；第二计算机根据容器镜像确定安全策略的索引信息；第二计算机根据索引信息获取安全策略；第二计算机根据容器镜像启动容器；第二计算机根据安全策略运行容器。

该处理方法中，将容器镜像对应的安全策略的索引信息内嵌到容器镜像中，可以使得容器镜像与安全策略之间建立有固定的关联关系，使得在容器启动时可以强制实施对应的安全策略，从而可以保证容器的安全性和容器进程行为的一致性。

在该种实现方式下的一种具体实施方式中，第一计算机将安全策略的索引信息内嵌到原始容器镜像的根文件系统或元数据中，得到容器镜像；相应地，第二计算机从容器镜像的根文件系统或元数据中获取安全策略的索引信息。

其中，安全策略的索引信息可以包括安全策略的全局唯一标识符。