设计应用
王 欢
(中国移动通信集团安徽有限公司,安徽足球袜
主要介绍了一种基于容器安全防护平台的平台即服务(Platform-as-a-Service,PaaS)容器安全管控方案,通过该方案进行容器的全生命周期安全管控,可以实现对容器镜像文件制作过程、容器运行过程以及容器内应用的 全自动安全检测、预警与防护。该方案在实际应用后取得良好效果,具有一定的推广价值。
容器安全;镜像;平台即服务(PaaS)
Design and Implementation on PaaS Container Security Based on Container Security
Protection Platform
WANG Huan
(China Mobile Anhui Co., Ltd., Hefei 230001
Abstract: This paper mainly introduces a Platform-as-a-Service (PaaS) container security management and control solution based on the container security protection platform. This solution can be used for container life-cycle security control, and can realize cuctomatic security detection、early warning and protection in the process of container
器,导致容器隔离失效。主机的文件系统被挂载到多个容器的目录里,不同的容器可以访问同一个目录,只要进入某个容器中,就可以通过共同挂载目录访问其他容器的文件系统,这样可能会引起信息泄露或内容篡改等安全问题。
1 基于容器安全防护平台的PaaS容器安全体系
容器安全防护平台由基础功能层、核心功能层、接口层以及可视化层组成,基于自动学习等新技术对容器全生命周期进行自适应安全防护和统一管理,包括镜像安全、容器安全、微服务安全以及网络安全等。基础功能层针对容器集的基线、镜像、仓库、主机等基础运行环境进行安全审查,保障容器集的运行稳定。核心功能层基于安全左移理念实现开发安全、运行安全、微服务安全以及运行环境安全管理,形成容器安全闭环管理。接口层通过能力的完善和接口开放达成与现有平台数据对接,提供主流接口格式,支持自定义接口扩展,可以实现数据统一管控。可视化层通过对数据简洁明了的展
示,构建容器安全的整体监控和防护体系。
1.1 容器安全防护平台主要功能
1.1.1 容器资产识别
首先,支持查看运行容器相关信息,包含容器名、容器状态、容器启动时间、运行用户、停止时间、镜像创建时间、容器宿主机状态以及宿主机IP。其次,支持查看管理容器内的所部署Web服务相关信息,包括容器名、启动用户、进程路径以及进程命令行。最后,支持查看数据库容器内的数据库应用信息,包括容器名、版本、监听端口、二进制路径以及配置文件路径。
1.1.2 容器访问可视化
首先,支持以容器拓扑图的方式展示业务容器之间的调用关系;其次,支持从集、命名空间、运行服务、容器名等维度进行展示;最后,支持访问关系详情、进站源IP、出站目的IP、关联信息以及安全状态等的展示。
1.1.3 镜像文件安全防护
对制作的镜像文件进行静态和动态安全扫描,及时发现镜像文件中的安全漏洞、木马病毒、涉密文件
以及环境变量,保证进入生产环境的是安全镜像。此外,还需要对镜像的来源和历史操作行为进行分析,对非法来源和有安全问题的镜像禁止运行。
1.1.4 容器运行保护
对容器运行过程进行全程安全监控,对容器访问宿主机的资源进行细粒度控制,防止有越权访问破坏容器隔离性的行为。对容器内应用进行安全漏洞识别和网络威胁检测,从而保证容器内应用的安全。对容器的相关运行环境(如镜像仓库、容器守护进程以及容器编排集成工具)进行安全风险识别及控制,支持查看风险结果详细信息,包括危险程度、风险描述信息、风险类型、风险特征、风险修复建议、存在风险的主机以及集信息。
1.1.5 容器镜像安全检查
首先,支持对镜像进行病毒木马和Webshell检查并告警,检查结果包含文件名、文件路径等,告警信息包括名称、级别、时间、影响节点、影响镜像以及处理建议等。其次,支持应用漏洞检测,检测出镜像内的应用漏洞风险,检查结果包括危险程度、漏洞名称、漏洞类型、漏洞风险特征、存在漏洞的应用及应用版本、应用修复版本等。同时支持查看漏洞所在镜像层Layer信息,包括层指令、LayerID。最后,支持镜像阻断能力,阻断存在指定病毒木马文件Hash、指定漏洞编号、指定软件包或软件包版本、特权启动、特定许可证书以及指定敏感信息规则的镜像运行。1.1.6 容器入侵检测
首先,支持实时检测Web后门并告警,告警信息包括名称、级别、镜像影响、处理建议、受感染容器、发现时间以及容器名。其次,支持容器暴力破解检测并展示暴力破解详细信息,包括最近攻击时间、攻击来源、被攻击节点以及历史攻击次数。再次,支持病毒检测,可以实时告警上报病毒木马入侵事件,告警信息包括文件名、文件路径、受感染容器以及发现时间。最后,支持容器逃逸检测,可以检测出容器的敏感权限、利用漏洞逃逸等逃逸风险行为并告警上报。
1.1.7 容器审计日志
容器安全防护平台支持容器审计日志功能,能够查看容器内的进程启动日志事件和事件相关的容器名、容器ID、进程名、进程命令行以及进程PID等详细信息。
1.1.8 管理中心
容器安全防护平台提供图形页面管理功能,支持容器相关资产的查看、管理以及安全事件的告警和综合处理。管理中心支持以Web形式进行登录,登录系统后可以查看该用户已授权的资源,用户可以对其拥有的资源进行操作。其中,管理员用户可以重置自身及其他用户的密码。
1.2 平台技术架构
容器安全防护平台采用全球独创的容器基因检测技术,基于机器学习对容器全生命周期进行深度分
析学习并建立安全模型,为每一个容器生成运行白名单,可以应对容器未知威胁,真正实现自适应防护。该技术可以为镜像生成自动修复的配置文件,支持镜像的全流程安全闭环管理。将创新的行为学习方式与规则进行互补,有效提高入侵检测的准确性,大大提升平台的安全检测能力和服务横向扩展能力。与市场上同类产品相比,容器安全防护平台是国内唯一云原生容器安全防护产品,运行在容器集中可以对容器的网络、微服务、集自身的安全进行防护,处于行
平台采用微服务开发框架,将镜像安全、容器运行防护、集安全、微服务安全以及主机安全进行了细分,每个服务彼此独立,一个服务的启停上下线不会影响其他服务的运行。平台采用全容器化部署,防护和监控模式灵活切换,支持多集同时管理。平
8s)来管2 基于容器安全防护平台的
用场景
气囊减震
2.1 增加新容器集或增加集节点
制作奖章
引入新的容器集和机器时进行合规检测,保障容器运行环境安全,防止不安全的配置造成容器逃逸或集入侵事件。容器防护平台能够对容器及集进行合规审计,支持主流的安全检测标准。基于产品提供可视化的检测结果和修复建议,用户可以自行修复不合规的检测项。
景区导视牌
2.2 新容器业务引入
引入新容器业务需要保障业务镜像安全,使用平台镜像扫描功能可以及时发现镜像中存在的漏洞和木马病毒,根据用户需要实现自定义阻断,包括高危漏洞镜像阻断、携带敏感信息镜像阻断等。
2.3 线上容器入侵检测与处置
在日常运营中,可以开启容器安全的入侵行为
最大支持3000个容器的全生命周期监控。对外提供了新容器镜像自动监测、漏洞扫描以及高危镜像自动阻断等功能,新集、新节点配置便捷。容器安全防护平台的建设和投入使用不仅解决了安徽移动IT容器云项目建设时部分安全能力与IT基础设施虚拟化、容器化不匹配的问题,而且也解决了部分安全机制与一体化开发交付不匹配的现状。
4 结 论
安徽移动容器安全防护平台的建设为PaaS容器平台提供了自主可控的安全防护,可以应对容器全生命周期存在的安全风险。从容器运行的基础环境安全、容器软件供应链安全、容器运行时安全、各类微服务应用接口安全以及针对异常行为的微隔离与阻断等维度采取针对性措施,提升了PaaS平台的安全防护能力,为IT容器云的发展奠定基础。
参考文献:
[1]杨莎莎.云平台PaaS层安全容器的设计与实现[D].
北京:北京邮电大学,2013.
[2]郭 栋,王 伟,曾国荪.一种基于微服务架构的新直流无刷风扇
型云件PaaS平台[J].信息网络安全,2015(11):15-20.
[3]游贵荣,陈 杰,乐宁莉.轻量级网络安全攻防PaaS
平台研究与实现[J].实验室研究与探索,2020,39 (12):129-133.
[4]徐 鹏,陈 思,苏 森.互联网应用PaaS平台
体系结构[J].北京邮电大学学报,2012,35(1):120-124.
[5]何立杨,李 凌,杨灵运.工业互联网平台安全防
护架构研究与应用[J].中国高新科技,2020(21):113-114.
开始
北斗模块
WiFi上位机
所有传感器
数据
云端
云端上位机
(e)云端传输
图5 系统各部分具体流程5 结 论
基于FPGA和Robei EDA软件的智能安防系统具有集成化和小型化等优点,可以与多种外设连接并通信,能够显著降低系统建设成本。此外,经过多次调试和实际应用,该系统运行稳定,适合在复杂场合中长时间使用。
参考文献:
[1]LAYMON C M,MIYAOKA R S,PARK B K,et
al.Simplified FPGA-based data acquisition system for PET[J].IEEE Transactions on Nuclear Science,2003,50(5):1483-1486.
[2]白永祥,阴国富.基于物联网的家庭安防系统设计与
实现[J].电子设计工程,2015,23(18):20-23. [3]杨 宇,刘宇红,张荣芬,等.基于TX2的嵌入式
无人智能监测系统设计与实现[J].现代电子技术,2020,43(8):183-186.
[4]王鸿铭,赵 敏.物联网技术在智能家居安防系统中
的应用[J].计算机应用技术,2014(6):191-192. [5]荀艳丽,焦 库.基于物联网的智能家居控制系统
循环冷却水处理设计与实现[J].现代电子技术,2018,41(10):74-76.
(上接第35页)
