[发明专利]一种基于Sidecar模式的容器安全方法及系统

权利要求书

1.一种基于Sidecar模式的容器安全方法，其特征在于，所述方法包括如下过程：

当容器应用container要对宿主机kernel做涉及内核的核心操作时，通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互；

容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前，先对宿主机kernel进行鉴权，对于鉴权通过的执行操作，调用执行工具进行宿主机操作系统内核命令的执行；对于鉴权不通过的指令进行拦截返回。

2.根据权利要求1所述的一种基于Sidecar模式的容器安全方法，其特征在于：所述核心操作为涉及操作系统内核级别的操作内容，具体包括如下内容：

第一种：操作系统内核的编译升级；

第二种：驱动模块的操作，硬件驱动重新编译加载到内核；

第三种：根据不同业务场景，对内核参数进行调优。

3.根据权利要求1所述的一种基于Sidecar模式的容器安全方法，其特征在于：所述Sidecar模式指只有通过在宿主机kernel上安全认证通过的容器应用container获得进行内核级操作权限的安全模式。

4.根据权利要求1所述的一种基于Sidecar模式的容器安全方法，其特征在于：所述对于鉴权通过的执行操作指容器应用container在宿主机kernel上直接和宿主机kernel进行交互。

5.根据权利要求1所述的一种基于Sidecar模式的容器安全方法，其特征在于：所述鉴权的过程指容器应用container通过容器的SSL证书，使用HTTPS协议，和ServiceMesh控制平面安全认证组件进行远程交互，进行权限认证，所述ServiceMesh控制平面安全认证组件可对多个POD内的鉴权执行代理container权限进行集中认证。

6.根据权利要求1所述的一种基于Sidecar模式的容器安全方法，其特征在于：所述方法的工作流程为：

步骤一：每个租户分配一个POD，当租户POD内的应用container需要对宿主机kernel的内核进行操作时，租户POD内的应用container首先向鉴权执行代理container发送鉴权请求；

步骤二：鉴权执行代理container通过容器的SSL证书，使用HTTPS协议和ServiceMesh控制平面的安全认证组件进行鉴权操作，返回后的鉴权信息存储在鉴权执行代理container内；

步骤三：鉴权执行代理container根据租户的权限以及租户的应用container请求来确定租户是否具备对宿主机内核操作的权限，如具备操作权限则进行操作；

步骤四：记录租户对宿主机内核操作的审计日志。

7.一种基于Sidecar模式的容器安全系统，其特征在于，所述系统包括：

多个POD，每个POD内都设置有应用container和鉴权执行代理container，

所述应用container与鉴权执行代理container进行数据交互；

多个宿主机kernel，每个宿主机kernel都对应连接POD内的鉴权执行代理container；

控制管理平面，控制管理平面内设有安全认证组件。