[发明专利]限制Docker容器行为的安全防护方法

权利要求书

1.一种限制Docker容器行为的安全防护方法，所述限制Docker容器行为是指对容器、运行工具和Docker引擎三大组件的限制，其特征在于，实现步骤包括如下：

(1)在每个容器上创建AppArmor配置文件并限制其访问功能：

(1a)在容器初始化期间，采用静态分析机制收集有关容器及其访问的重要静态信息，创建配置文件，根据容器的卷及用户信息形成初始化期间最基本的访问规则，将该规则添加到配置文件中；

(1b)在容器运行期间，采用动态监视的方法在指定的训练时间内，收集容器对网络访问和文件访问的行为进行规范，以形成规则，将该规则添加到配置文件中，与初始化期间产生的配置文件进行比较，摒弃初始化期间生成的配置文件中的不必要的规则，最终生成包含容器访问新规则的配置文件；

(1c)容器再次运行时，配置文件将根据其新规则自动判断容器的访问是否符合规则，如果该容器的网络访问和文件访问违反了配置文件中的规则，则强制其停止运行；

(2)在每个运行工具上创建AppArmor配置文件并限制其执行功能：

(2a)在容器初始化期间，收集容器的根安装点信息，为每个运行工具创建单独的临时配置文件，并根据根安装点信息形成初始化期间运行工具的执行规则，将该规则添加到该临时配置文件中；

(2b)容器运行期间，在设定的训练时间内，使用单向配置文件转换函数将初始化期间生成的临时配置文件转变为最终的配置文件，该最终的 配置文件中包含有判断访问容器的主机进程是否合法的规则；

(2c)在容器再次运行时，最终的配置文件将自动对主机进程的合法性进行判断，如果主机的非法进程访问容器，则违反了最终配置文件中的规则，该运行工具强制容器停止运行；

(3)在Docker引擎上创建AppArmor配置文件，即将Docker引擎设置为AppArmor配置文件规定的模式，并按照官方的默认规则要求对引擎进行限制，当Docker引擎的漏洞出现时，则强制容器停止运行；

(4)建立一个可视化行为监控平台，实时监控Docker容器的行为规范，如果上述三大组件的行为与其配置文件中的规则不符合而导致容器强制停止后，此监控平台将其记录为非法行为，并启动报警，如果该非法行为再次出现时，则在容器强制停止前，直接发出警报。

2.根据权利要求1所述的方法，其特征在于(1a)中根据容器的卷及用户信息形成初始化期间最基本的访问规则，是对所收集容器能够访问主机的特定文件夹、文件和能访问该容器的特定用户的行为进行规范，即将容器能够访问主机的特定文件夹、文件及能访问该容器的特定用户，所作出该容器可以访问主机中哪些文件和文件夹及哪些用户可以访问该容器的规定。

3.根据权利 要求1所述的方法，其特征在于(1b)中收集容器对网络访问和文件访问的行为进行规范，是根据收集到容器能够访问的特定网络端口和访问主机特定的文件系统的行为信息，对容器能够访问哪些网络端口和能够访问主机中哪些文件系统所做出的约束。

4.根据权利 要求1所述的方法，其特征在于，(2a)中根据根安装点信息形成初始化期间运行工具的执行规则，是对将收集的容器与主机双向运行的特定进程的信息，作出哪些进程可以在容器与主机之间双向运行的规定。

5.根据权利要求1所述的方法，其特征在于，(2b)中使用单向配置文件转换函数将初始化期间生成的临时配置文件转变为最终的配置文件，是将含有允许容器与主机之间的双向进程规则的临时配置文件转变为含有仅允许主机进程单向访问容器规则的最终的配置文件。