本發明公開了一種限制Docker容器行為的安全防護方法，主要解決現有Docker安全性不足的問題。其實現方案為：分別在每個容器、每個運行工具、Docker引擎上創建包括有行為規范規則的AppArmor配置文件，以限制各自的訪問功能，實現容器在非法行為發生時強制停止運行；建立一個可視化行為監控平臺，實時監控Docker容器的行為規范，實現當容器強制停止時，平臺能發出警報，當非法行為再次出現時，平臺能在容器強制停止之前及時發出警報。本發明可保護容器免受非法行為的攻擊，并從運營維護的角度監控容器行為，減少因容器強制停止運行帶來的損失，進一步保證了容器的安全性能，可用于安全保護系統。

技術領域

本發明屬于計算機安全技術領域，具體涉及了一種限制Docker容器行為的安全防護方法，可用于安全保護系統。

技術背景

Docker是一個開源的應用容器引擎，可以輕松的為任何應用創建一個輕量級的、可移植的、自給自足的容器。以容器技術為典型代表的輕量級虛擬化已日益普及，成為支撐云計算必不可少的技術。Docker是從早期的Linux容器技術發展而來的一個容器引擎，雖然開發者開發的應用內容、開發環境以及運行環境各有不同，但是Docker提供了可遷移的鏡像存儲方式，開發者可以將各種應用打包到鏡像中，然后在安裝了 Docker的機器上運行。Docker憑借著自身極其簡便和低資源消耗迅速占領計算資源隔離市場。

隨著容器的普及，容器已成功用于各種用例中，而圍繞他們的技術都在相應的得到重視。盡管如此，根據Cloud Foundation公司的觀察可知，容器技術的采用率仍然很低，很多研究都將安全問題作為決定性因素。實際上，在設計容器時并未考慮安全性。盡管可為進程、文件系統、網絡等提供隔離，并為CPU、RAM和磁盤的使用量實施配額，但是由于缺少虛擬機監控程序，因此與虛擬機VM相比，容器更容易受到攻擊，無疑增加了應用程序和主機之間的隔離層這些額外的負擔。

加強容器安全性最有效的方法是使用AppArmor或者SElinux之類的工具在內核級別執行強制訪問控制MAC，以防止在主機和容器之間進行不必要的操作。但是，這是一個極其繁瑣的過程，需要了解在容器內運行的應用程序的特征和要求，并手動創建要應用的特定安全規則。目前已經嘗試過的提取MAC規則大多是基于每個鏡像而不是每個容器進行操作的，從而為攻擊容器留下了余地。

美國的科學觀察家Steven Vaughan-Nicols在2014年發布的文章中提到，Docker公司向Docker鏡像中添加了數字簽名認證，使用了非對稱密鑰加密技術與數字摘要技術，達到鑒別數字信息的目的，在鏡像層面加固了容器安全。Matthew Bajor提出了使用啟用TLS加密的Docker守護程序的方法，該方法要使用相應的程序，必須提供與Docker公司官方使用規則一致的客戶端證書。這兩種認證技術由于都是基于每個鏡像而不是每個容器進行操作，因而會不可避免地被一些針對容器的攻擊破壞。

美國學者Daniel Walsh提議使用SELinux強制訪問控制系統來控制對Docker容器進程的訪問權限。該系統把所有進程和文件都打上標簽，當進程進入容器時，用戶根據標簽策略控制進程如何訪問資源，也就是限制容器如何去訪問資源，并從全局的角度制定策略，強制整個系統去遵循，而不針對具體用戶設定，使攻擊者很難突破，其安全性十分優越，但由于它本身的復雜度和成本較高，因此不適合被普通用戶管理使用。

Immunix公司開發了與SELinux類似的一個訪問控制系統AppArmor，AppArmor允許系統管理員將每個程序與一個安全配置文件關聯，從而限制程序的功能，且解決了SELinux系統復雜度高，普通用戶難以管理的問題。通過安全配置文件用戶可以指定程序進行讀、寫或運行哪些文件，是否可以打開網絡端口等。但是安全配置文件里的策略規則只能手動創建，不能實現保護特定容器。

印度學者S.Dhakate等人設計了一種基于Docker容器的輕量級分布式監控系統，緊密結合了檢測、報告、監控、報警的功能，一體化地應用于云監控平臺。但是已有的監控平臺仍然沒有將數據和視圖結合起來，在運維層面上靈活性和可觀性仍遠遠不足。