[发明专利]一种针对内核数据的容器安全加固系统及方法

说明书

本发明公开了一种针对内核数据的容器安全加固系统及方法。本方法为：1)根据容器采用的内核安全机制，确定出关键内核数据并将其存储至安全区；其中所述安全区为系统内存中划分出的一块内存区域，该块内存区域设置为普通执行环境只读不可写、可信执行环境可读可写；2)当内核在普通执行环境更新该安全区的数据时，因其不具有写权限而产生页表异常，异常处理函数中解析产生异常的指令，得到该内核更新操作所更新的数据地址以及需写入的数据内容并传入可信执行环境；3)在可信执行环境内的数据更新模块基于设定的安全策略和传入的数据，允许或拒绝对安全区数据的更新操作。本发明能够抵御因内核漏洞造成的提权及逃逸攻击。

技术领域

本发明涉及一种针对内核数据的容器安全加固系统及方法，属于虚拟化技术安全领域。

背景技术

近些年来，容器技术席卷全球，颠覆了应用的开发、交付和运行模式，在云计算、互联网等领域得到了广泛应用。容器作为一种先进的虚拟化技术，已然成为了构建各种云服务的标准基础设施，并发展出了从容器镜像构建，容器运行时到各种容器应用的编排部署等一系列的生态环境。容器技术作为一种轻量级的操作系统级虚拟化技术，通过操作系统本身的安全机制隔离出一个应用执行沙箱，使运行其上的应用感觉自己拥有整个系统，本质上，依旧是所有容器共享Linux内核，只是每个容器独占一份由Linux的Namespace和Cgroups机制隔离出来的内核资源。Linux内核由于其代码量巨大，软件漏洞在所难免。一旦Linux内核的安全性无法保证，基于其上的安全机制亦无法有效的发挥作用。容器共享内核的安全弱势，依靠内核机制软件实现的弱隔离性，不仅会对已部署的应用造成威胁，也会制约容器技术更广泛的产业应用。

现有的容器加固方法大都借助Linux原生内核安全机制来限制容器进程对内核的访问，其安全性不容乐观。一旦内核被攻破，这些安全加固机制也就形同虚设。因此本发明选择同样应用广泛的可信执行环境技术，防止因内核漏洞篡改内核数据而导致的容器隔离失效。

可信执行环境(Trusted Execution Environment，简称TEE)，是处理器上的一个安全区域，可以确保其加载的代码和数据的机密性和完整性。相对于普通执行环境(RichExecution Environment，简称REE)而言，可信执行环境拥有更高的安全级别。

本发明使用可信执行环境技术保护内核中容器安全机制相关的数据，能在兼顾容器快速部署、高效移植、低开销特点的同时，增强容器的隔离性，抵御潜在的因内核漏洞导致的容器安全问题，对容器进行安全加固。

发明内容

本发明所解决的问题：对于容器技术因共享内核带来的安全弱势，提供一种针对内核数据的容器安全加固系统及方法，抵御因内核漏洞造成的提权及逃逸攻击。

本发明的技术解决方案：一种针对内核数据的容器安全加固系统及方法，具体包含如下两个方面：

方面一，一种针对内核数据的容器安全加固系统，其特征在于，包括：数据分析模块、数据集中模块、数据监测模块、数据更新模块和策略模块。其中：

数据分析模块，负责分析实现容器的内核安全机制，如资源隔离的namespaces机制，权限控制的capability、selinux、seccomp机制，资源限制的cgroup机制等所使用的关键内核数据，即上述机制根据哪些关键内核数据进行策略判定，从而确定关键内核数据的内容。

数据集中模块，负责从系统内存中划分出一块内存区域，将该区域设置为普通执行环境只读不可写，可信执行环境可读可写。该内存区域称之为安全区。将影响容器安全性的关键内核数据分配至安全区，并提供给内核继续使用。