[发明专利]限制Docker容器行为的安全防护方法

说明书

本发明公开了一种限制Docker容器行为的安全防护方法，主要解决现有Docker安全性不足的问题。其实现方案为：分别在每个容器、每个运行工具、Docker引擎上创建包括有行为规范规则的AppArmor配置文件，以限制各自的访问功能，实现容器在非法行为发生时强制停止运行；建立一个可视化行为监控平台，实时监控Docker容器的行为规范，实现当容器强制停止时，平台能发出警报，当非法行为再次出现时，平台能在容器强制停止之前及时发出警报。本发明可保护容器免受非法行为的攻击，并从运营维护的角度监控容器行为，减少因容器强制停止运行带来的损失，进一步保证了容器的安全性能，可用于安全保护系统。

技术领域

本发明属于计算机安全技术领域，具体涉及了一种限制Docker容器行为的安全防护方法，可用于安全保护系统。

技术背景

Docker是一个开源的应用容器引擎，可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。以容器技术为典型代表的轻量级虚拟化已日益普及，成为支撑云计算必不可少的技术。Docker是从早期的Linux容器技术发展而来的一个容器引擎，虽然开发者开发的应用内容、开发环境以及运行环境各有不同，但是Docker提供了可迁移的镜像存储方式，开发者可以将各种应用打包到镜像中，然后在安装了 Docker的机器上运行。Docker凭借着自身极其简便和低资源消耗迅速占领计算资源隔离市场。

随着容器的普及，容器已成功用于各种用例中，而围绕他们的技术都在相应的得到重视。尽管如此，根据Cloud Foundation公司的观察可知，容器技术的采用率仍然很低，很多研究都将安全问题作为决定性因素。实际上，在设计容器时并未考虑安全性。尽管可为进程、文件系统、网络等提供隔离，并为CPU、RAM和磁盘的使用量实施配额，但是由于缺少虚拟机监控程序，因此与虚拟机VM相比，容器更容易受到攻击，无疑增加了应用程序和主机之间的隔离层这些额外的负担。

加强容器安全性最有效的方法是使用AppArmor或者SElinux之类的工具在内核级别执行强制访问控制MAC，以防止在主机和容器之间进行不必要的操作。但是，这是一个极其繁琐的过程，需要了解在容器内运行的应用程序的特征和要求，并手动创建要应用的特定安全规则。目前已经尝试过的提取MAC规则大多是基于每个镜像而不是每个容器进行操作的，从而为攻击容器留下了余地。

美国的科学观察家Steven Vaughan-Nicols在2014年发布的文章中提到，Docker公司向Docker镜像中添加了数字签名认证，使用了非对称密钥加密技术与数字摘要技术，达到鉴别数字信息的目的，在镜像层面加固了容器安全。Matthew Bajor提出了使用启用TLS加密的Docker守护程序的方法，该方法要使用相应的程序，必须提供与Docker公司官方使用规则一致的客户端证书。这两种认证技术由于都是基于每个镜像而不是每个容器进行操作，因而会不可避免地被一些针对容器的攻击破坏。

美国学者Daniel Walsh提议使用SELinux强制访问控制系统来控制对Docker容器进程的访问权限。该系统把所有进程和文件都打上标签，当进程进入容器时，用户根据标签策略控制进程如何访问资源，也就是限制容器如何去访问资源，并从全局的角度制定策略，强制整个系统去遵循，而不针对具体用户设定，使攻击者很难突破，其安全性十分优越，但由于它本身的复杂度和成本较高，因此不适合被普通用户管理使用。

Immunix公司开发了与SELinux类似的一个访问控制系统AppArmor，AppArmor允许系统管理员将每个程序与一个安全配置文件关联，从而限制程序的功能，且解决了SELinux系统复杂度高，普通用户难以管理的问题。通过安全配置文件用户可以指定程序进行读、写或运行哪些文件，是否可以打开网络端口等。但是安全配置文件里的策略规则只能手动创建，不能实现保护特定容器。

印度学者S.Dhakate等人设计了一种基于Docker容器的轻量级分布式监控系统，紧密结合了检测、报告、监控、报警的功能，一体化地应用于云监控平台。但是已有的监控平台仍然没有将数据和视图结合起来，在运维层面上灵活性和可观性仍远远不足。