[发明专利]一种容器运行控制方法及装置

说明书

本公开实施例提供了一种容器运行控制方法及装置，涉及计算机技术领域。该方法还包括：提供可供用户选择配置的至少一种类型的容器安全防护策略，至少一种类型的容器安全防护策略包括：基于容器安全基线和/或针对容器环境下指定漏洞的容器安全防护策略；接收基于至少一种类型的容器安全防护策略发起的策略配置请求，策略配置请求包括目标容器安全防护策略的策略标识和与容器相关的目标防护对象的对象信息，用于请求基于目标容器安全防护策略对目标防护对象进行安全防护；响应于策略配置请求对目标防护对象开启目标容器安全防护策略，以基于目标容器安全防护策略对访问请求进行访问控制。本公开实施例用于降低容器沙箱防护的使用门槛。

技术领域

本公开涉及计算机技术领域，尤其涉及一种容器运行控制方法及装置。

背景技术

AppArmor是一种基于Linux安全模块(Linux Security Module，LSM)实现的强制访问控制系统(Mandatory Access Control，MAC)，用于在自主访问控制(DiscretionaryAccess Control，DAC)的基础上限制应用程序的进程的行为。

目前云产品通常采用默认的通用性的安全防护策略，防护能力相对比较弱，导致容器安全隐患比较严重，用户若想提升安全防护能力，就需要自行编写安全防护策略进行配置，而编写策略以及配置策略的技术门槛非常高，很难普遍性地落地实施，因此需要一种适用性和安全性更高地容器安全的解决方案。

发明内容

有鉴于此，本公开实施例提供了一种容器运行控制方法及装置，能够提高容器的安全防护能力并且提升方案适用性。

为了实现上述目的，本公开实施例提供技术方案如下：

第一方面，本公开的实施例提供了一种容器运行控制方法，包括：

提供可供用户选择配置的至少一种类型的容器安全防护策略，所述至少一种类型的容器安全防护策略包括：基于容器安全基线的容器安全防护策略和/或针对容器环境下指定漏洞的容器安全防护策略；

接收基于所述至少一种类型的容器安全防护策略中的至少一个容器安全防护策略发起的策略配置请求，所述策略配置请求包括目标容器安全防护策略的策略标识和与容器相关的目标防护对象的对象信息，所述策略配置请求用于请求基于所述目标容器安全防护策略对所述目标防护对象进行安全防护；

响应于所述策略配置请求对所述目标防护对象开启所述目标容器安全防护策略，以监控所述目标防护对象的访问请求，以及基于所述目标容器安全防护策略对所述访问请求进行访问控制。

第二方面，本公开实施例提供了一种容器运行控制装置，包括：

输出单元，用于提供可供用户选择配置的至少一种类型的容器安全防护策略，所述至少一种类型的容器安全防护策略包括：基于容器安全基线的容器安全防护策略和/或针对容器环境下指定漏洞的容器安全防护策略；

接收单元，用于接收基于所述至少一种类型的容器安全防护策略中的至少一个容器安全防护策略发起的策略配置请求，所述策略配置请求包括目标容器安全防护策略的策略标识和与容器相关的目标防护对象的对象信息，所述策略配置请求用于请求基于所述目标容器安全防护策略对所述目标防护对象进行安全防护；

控制单元，用于响应于所述策略配置请求对所述目标防护对象开启所述目标容器安全防护策略，以监控所述目标防护对象的访问请求，以及基于所述目标容器安全防护策略对所述访问请求进行访问控制。

第三方面，本公开实施例提供了一种电子设备，包括：存储器和处理器，所述存储器用于存储计算机程序；所述处理器用于在执行计算机程序时，使得所述电子设备实现上述任一实施方式所述的容器运行控制方法。

第四方面，本公开实施例提供一种计算机可读存储介质，当所述计算机程序被计算设备执行时，使得所述计算设备实现上述任一实施方式所述的容器运行控制方法。