技術領域

本發明涉及計算機技術領域，尤其涉及一種Docker容器安全管理方法、系統、設備及存儲介質。

背景技術

隨著互聯網信息技術的迅速發展，各類信息系統及網絡產品層出不窮。尤其是在大中型的實體機構中，快速建設的IT系統正從以前傳統封閉的業務系統向大型關鍵業務系統擴展，所涉及的應用類型也日趨增加，大型企業對Docker容器的應用也日漸成為發展趨勢。Docker是一種開源的虛擬化技術，旨在提供一種應用的自動化部署解決方案，能夠讓開發者打包他們的應用及依賴包到一個可移植的容器中，容器可以視為一種輕量級虛擬機，由Docker鏡像(image)進行實例化而得到，具有體積小、部署迅速、生命周期短的特點。目前Docker類型主要為Docker linux。Docker容器通過Docker鏡像來創建。容器是完全使用沙箱機制，相互之間不會有任何接口。

目前對于容器的訪問采用客戶端直接連接容器的方式，然而由于容器無法對執行操作進行日志記錄保存，從而使得運維人員對于容器執行操作的記錄隨著容器的發布而銷毀，造成在安全管理流程中存在嚴重缺失，無法達到企業生產服務器安全管理標準，也無法通過等級保護、PCI、ISO27001等標準的資質評審。

發明內容

針對現有技術中的問題，本發明的目的在于提供一種Docker容器安全管理方法、系統、設備及存儲介質，能夠對容器的執行操作進行保存，從而提高安全性，滿足各類標準的資質評審要求。

本發明的第一方面提供一種Docker容器安全管理方法，包括如下步驟：S101、在Docker鏡像中安裝SSHD服務；S102、容器發布模塊將創建容器的容器信息發送至服務器信息模塊；S103、服務器信息模塊將容器信息通過API接口發送至運維安全審計模塊；S104、授權管理模塊獲取用戶設置的容器的操作權限信息，并將操作權限信息發送至運維安全審計模塊；S105、運維安全審計模塊獲取用戶的容器訪問請求并根據操作權限信息進行登錄驗證，如驗證通過，則運維安全審計模塊通過SSH協議連接容器，以使用戶通過運維安全審計模塊登錄容器，如驗證失敗，則運維安全審計模塊拒絕用戶的容器訪問請求。

優選地，服務器信息模塊包括服務器信息存儲模塊，信息消費模塊以及事件管理模塊，在步驟S102中，容器發布模塊將容器信息發送至服務器信息存儲模塊；在步驟S103中，服務器信息存儲模塊將容器信息發送至信息消費模塊，事件管理模塊從信息消費模塊中獲取容器信息并將容器信息發送至運維安全審計模塊；在步驟S104中，服務器信息存儲模塊將容器信息發送至授權管理模塊，以使授權管理模塊向用戶顯示容器并獲取用戶設置的容器的操作權限信息。

優選地，在步驟S104中，服務器信息模塊將容器所在的設備組信息發送至授權管理模塊，授權管理模塊獲取用戶設置的容器所在的設備組的權限信息，并將權限信息發送至運維安全審計模塊；在步驟S105中，運維安全審計模塊獲取用戶的容器訪問請求并根據操作權限信息進行登錄驗證，如驗證通過，則運維安全審計模塊通過SSH協議連接設備組中的容器，以使用戶通過運維安全審計模塊登錄設備組中的任意一個或多個容器。

優選地，在步驟S105中，運維安全審計模塊對用戶的容器訪問請求進行域賬號以及動態令牌雙重登錄驗證。

優選地，運維安全審計模塊自動記錄和審計用戶在容器中的操作數據。

優選地，授權管理模塊獲取用戶設置的服務器權限，并將服務器權限發送至運維安全審計模塊；運維安全審計模塊獲取用戶的服務器訪問請求并根據服務器權限進行登錄驗證，如驗證通過，則運維安全審計模塊登錄服務器。

優選地，用戶退出容器的登錄后，即退出運維安全審計模塊的登錄。

本發明的第二方面提供一種Docker容器安全管理系統，Docker容器對應的Docker鏡像中安裝SSHD服務，系統包括：容器發布模塊，容器發布模塊用于創建容器，并將創建容器的容器信息發送至服務器信息模塊；服務器信息模塊，服務器信息模塊用于存儲容器信息并將容器信息通過API接口發送至運維安全審計模塊；授權管理模塊，授權管理模塊用于獲取用戶設置的容器的操作權限信息，并將操作權限信息發送至運維安全審計模塊；運維安全審計模塊，運維安全審計模塊獲取用戶的容器訪問請求并根據操作權限信息進行登錄驗證，如驗證通過，則運維安全審計模塊通過SSH協議連接容器，以使用戶通過運維安全審計模塊登錄容器，如驗證失敗，則運維安全審計模塊拒絕用戶的容器訪問請求。