[发明专利]一种容器安全隔离方法、系统及介质

说明书

本发明公开了一种容器安全隔离方法、系统及介质，方法包括通过安全容器运行时用户态内核拦截容器的应用程序的系统调用，完成处理后将结果返回给容器的应用程序，使得容器的应用程序不能直接完成宿主机的系统调用；通过文件系统代理拦截容器应用程序的IO操作，执行完成IO操作后将结果返回给容器的应用程序。使用本发明能够在保证容器效率的同时提高容器的隔离性和安全性，通过用户态内核容器应用不能直接访问宿主机内核，它不是真正的像一个主机的进程在运行，而是将应用程序加载到安全容器运行时的内存空间中并从那里运行，这样即使容器内的应用有安全风险也只能对容器造成影响，而不会通过容器而影响到宿主机的运行，从而了提高隔离性。

技术领域

本发明涉及计算机安全领域，尤其涉及一种容器安全隔离方法、系统及介质。

背景技术

随着容器技术在近几年得到飞速的发展，国内外不少企业已经将其应用到生产系统中，有理由相信随着容器相关技术的完善和技术生态的建立，将成为下一代云计算的基石。

容器诞生的目的是便于持续的集成和快速部署，尽量减少中间环节。但是容器在提供便利性的同时，其安全问题也面临着挑战。由于容器使用共享操作系统模型，对主机操作系统中的漏洞的攻击可能导致所有容器被攻击，同时容器本身并不完全安全。容器安全质疑最大的一点就是其隔离的彻底性。相对于虚拟机而言，容器使用宿主机的内核，只是对进程和文件进行虚拟化，而虚拟机做到了操作系统级别的虚拟化。在安全隔离性上，容器比虚拟机差。虽然容器上可以通过命名空间和控制群组等技术做资源的限制，但是主要的内核子系统和设备都没有命名空间，因此容器里的应用程序依然可以访问很多宿主机的系统资源。事实上这跟没有跑在容器里的应用程序一样，容器里的应用程序可以直接通过操作系统内核的系统调用陷入到内核。任何一个被允许的系统调用的缺陷都可以被恶意的应用程序利用，从而危害宿主机的安全。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种容器安全隔离方法、系统及介质，使用本发明能够在保证容器效率的同时提高容器的隔离性和安全性，通过用户态内核，容器应用不能直接访问宿主机内核，它不是真正的像一个主机的进程在运行，而是将应用程序加载到运行时的应用程序内存空间中并从那里运行，这样即使容器内的应用有安全风险，也只能对容器造成影响，而不会通过容器而影响到宿主机的运行，从而了提高隔离性。

为了解决上述技术问题，本发明采用的技术方案为：

一种容器安全隔离方法，实施步骤包括在容器调用安全容器运行时，创建用户态内核进程和文件系统代理进程，用户态内核拦截容器的应用程序的系统调用，完成系统调用的处理后将结果返回给容器的应用程序，使得容器的应用程序不能直接完成宿主机的系统调用；通过文件系统代理拦截容器的应用程序的IO操作，并在执行完成IO操作后将结果返回给容器的应用程序。

优选地，所述通过用户态内核拦截容器的应用程序的系统调用之后，还包括通过用户态内核拦截容器的应用程序的系统调用并对其进行过滤的步骤，如果发出系统调用的容器的应用程序被允许，则执行系统调用并将结果返回给容器的应用程序；如果发出系统调用的容器的应用程序不被允许，则拒绝完成系统调用且将结果返回给容器的应用程序。

优选地，所述通过文件系统拦截容器的应用程序的IO操作具体是指通过用户态内核将容器的应用程序的IO操作交给文件系统代理，且所述将结果返回给容器的应用程序具体是指通过用户态内核将结果返回给容器的应用程序。

本发明还提供一种容器安全隔离系统，包括计算机设备，该计算机设备被编程或配置以执行本发明前述容器安全隔离方法的步骤。

本发明还提供一种容器安全隔离系统，包括计算机设备，该计算机设备的存储介质上存储有被编程或配置以执行本发明前述容器安全隔离方法的计算机程序。

本发明还提供一种计算机可读存储介质，该计算机可读存储介质上存储有被编程或配置以执行本发明前述容器安全隔离方法的计算机程序。