本發明公開了一種用于docker全生命周期的內生安全防護方法，包括：S1、將安全策略封裝到原始docker鏡像中，得到攜帶安全策略的docker鏡像；S2、通過Docker宿主機安全程序監控攜帶安全策略的docker鏡像的啟動行為，并執行安全策略，完成對docker全生命周期的安全防護；本發明解決了安全策略無法隨著docker鏡像一起自由遷移的問題。

技術領域

本發明涉及docker安全技術領域，具體涉及一種用于docker全生命周期的內生安全防護方法。

背景技術

近年來隨著云時代的到來，引導開發者將應用轉移到cloud上，解決了硬件管理的問題，然而中間件環境部署相關的問題依然存在。而Docker憑借其強大的環境部署打包功能，簡化環境配置，快速搭建開發環境，節省存儲空間，提升開發效率，深受廣大軟件開發者的喜愛，儼然成為了一種新型的虛擬化服務方式。

Docker是一個開源項目，可以輕松幫助開發人員快速構建輕量級和可移植的軟件容器，從而簡化應用程序開發、測試和部署等諸多環節。但由于docker容器和宿主機之間可互相訪問的機制，在方便開發和運維工作的同時，也造成了更大的安全隱患，只要宿主機或docker其中之一被攻破，攻擊者就可輕而易舉的對兩者同時造成危害，而docker在K8S環境中可隨意遷移的特性，更是加劇了這種危害的威脅程度。雖然安全行業隨之推出了Apparmor的MAC訪問控制、鏡像簽名機制等安全機制，但都只是在項目開發的后期，由運維人員人工介入，隨著pod等docker集合技術的發展，不僅很難精確把握docker容器的防護要點，更極大的拖累了docker項目的整體開發流程。

當前的docker安全防護技術存在至少兩個當面的問題：一、docker安全防護技術的部署實施，主要集中在整個項目交付后的運維階段，一般由安全運維人員負責制定安全策略，項目開發人員極少或不會參與策略的制定，但最為了解docker項目防護要點的人員一般是該項目的開發者，這就導致整個docker項目的安全防護階段需要消耗大量的時間，且安全防護策略更容易出現缺漏，進而影響項目整體安全；二、docker容器在K8S等環境中，會在不同的節點間進行遷移，但docker容器原本的安全策略普遍位于宿主機上，卻很難隨著docker自由遷移。

發明內容

針對現有技術中的上述不足，本發明提供的一種用于docker全生命周期的內生安全防護方法解決了安全策略無法隨著docker鏡像一起自由遷移的問題。

為了達到上述發明目的，本發明采用的技術方案為：一種用于docker全生命周期的內生安全防護方法，包括以下步驟：

S1、將安全策略封裝到原始docker鏡像中，得到攜帶安全策略的docker鏡像；

S2、通過Docker宿主機安全程序監控攜帶安全策略的docker鏡像的啟動行為，并執行安全策略，完成對docker全生命周期的安全防護。

進一步地，步驟S1包括以下分步驟：

S11A、選定原始docker鏡像；

S12A、在原始docker鏡像中部署安全策略對應的原始代碼；

S13A、采用Docker策略封裝工具掃描攜帶原始代碼的docker鏡像，生成安全策略；

S14A、采用docket commit命令將安全策略封裝到原始docker鏡像中，得到攜帶安全策略的docker鏡像。

上述進一步方案的有益效果為：直接調用docker commit命令封裝鏡像，可確保當前鏡像包含整個項目的完整運行環境，并使新打包的鏡像完全滿足項目業務及安全方面標準。自動化的封裝流程，可避免繁多的部署工作，降低運維壓力及成本。

進一步地，步驟S1包括以下分步驟：

S11B、建立dockerfile文件；