基于Docker的可信容器
发布时间:2019-09-17 15:08
【摘要】:针对Docker目前存在的容器及镜像被篡改、容器的恶意进程及非授权通信问题,利用可信计算的相关技术如信任链、完整性度量以及实时监控等方法,设计并实现了一个可信增强的Docker容器-DockerGuard.DockerGuard构造了一条从硬件到容器内部进程和文件的信任链,同时增加了包括进程监控、文件系统度量、网络监控三大功能于一体的安全防护模块,从而全方位对Docker进行度量与细粒度的监控.基于Docker1.6.0实现了具备上述功能的安全增强系统DockerGuard,并对系统进行了性能评估.结果表明,DockerGuard可以保护容器及镜像不被篡改,同时限制容器网络通信行为并监控容器内部进程,极大地提高了Docker容器的安全性.
【图文】:
的网络通信行为并监控容器内部进程.这样即可规避大部分安全风险,极大地提高Docker容器的安全性.2Docker可信容器方案设计2.1设计思路根据前文对Docker安全性风险的分析和结论,针对Docker中存在的容器及镜像被篡改、容器的恶意进程及非授权通信问题,设计了一个可信增强的Docker容器———DockerGuard.2.2总体设计框架总体设计框架如图1所示,DockerGuard分为客户端和管理端.管理端负责提供管理界面给管图1DockerGuard系统框架Fig.1DockerGuardframework理员,管理界面包括定制进程监控和网络监控的白名单的接口以及每个客户端的可信状态的监视窗口.而客户端则包括由文件系统度量、进程监控、网络监控三大功能构成的安全防护模块,并采用信任链的思想,由TPM芯片作为硬件支持,对Docker进行度量与细粒度的监控,构建一个安全加固的Docker可信容器.信任链结构如图2所示,以TPM芯片为起点,利用TGrub实现安全启动,并在TGrub中实现对Docker可执行文件以及进程度量模块文件、文件度量模块的度量,,在Docker启动后,文件系统度量模块和进程监控模块相继启动,整个系统启动完毕,开始工作.1)文件系统监控模块文件系统监控模块包括镜像度量和容器度量两个部分.镜像度量:当Docker执行pull、commit、load以及import操作中的任意一个,将触发文件度量模块图2信任链Fig.2ExtendthetrustedchaintoD
ockerGuard分为客户端和管理端.管理端负责提供管理界面给管图1DockerGuard系统框架Fig.1DockerGuardframework理员,管理界面包括定制进程监控和网络监控的白名单的接口以及每个客户端的可信状态的监视窗口.而客户端则包括由文件系统度量、进程监控、网络监控三大功能构成的安全防护模块,并采用信任链的思想,由TPM芯片作为硬件支持,对Docker进行度量与细粒度的监控,构建一个安全加固的Docker可信容器.信任链结构如图2所示,以TPM芯片为起点,利用TGrub实现安全启动,并在TGrub中实现对Docker可执行文件以及进程度量模块文件、文件度量模块的度量,在Docker启动后,文件系统度量模块和进程监控模块相继启动,整个系统启动完毕,开始工作.1)文件系统监控模块文件系统监控模块包括镜像度量和容器度量两个部分.镜像度量:当Docker执行pull、commit、load以及import操作中的任意一个,将触发文件度量模块图2信任链Fig.2ExtendthetrustedchaintoDocker104
【作者单位】: 武汉大学计算机学院;教育部空天信息安全与可信计算重点实验室;
【基金】:国家自然科学基金项目(61332019) 国家重点基础发展计划(973)(2014CB340600)资助项目
【分类号】:TP309
本文编号:2536935
【图文】:
的网络通信行为并监控容器内部进程.这样即可规避大部分安全风险,极大地提高Docker容器的安全性.2Docker可信容器方案设计2.1设计思路根据前文对Docker安全性风险的分析和结论,针对Docker中存在的容器及镜像被篡改、容器的恶意进程及非授权通信问题,设计了一个可信增强的Docker容器———DockerGuard.2.2总体设计框架总体设计框架如图1所示,DockerGuard分为客户端和管理端.管理端负责提供管理界面给管图1DockerGuard系统框架Fig.1DockerGuardframework理员,管理界面包括定制进程监控和网络监控的白名单的接口以及每个客户端的可信状态的监视窗口.而客户端则包括由文件系统度量、进程监控、网络监控三大功能构成的安全防护模块,并采用信任链的思想,由TPM芯片作为硬件支持,对Docker进行度量与细粒度的监控,构建一个安全加固的Docker可信容器.信任链结构如图2所示,以TPM芯片为起点,利用TGrub实现安全启动,并在TGrub中实现对Docker可执行文件以及进程度量模块文件、文件度量模块的度量,,在Docker启动后,文件系统度量模块和进程监控模块相继启动,整个系统启动完毕,开始工作.1)文件系统监控模块文件系统监控模块包括镜像度量和容器度量两个部分.镜像度量:当Docker执行pull、commit、load以及import操作中的任意一个,将触发文件度量模块图2信任链Fig.2ExtendthetrustedchaintoD
ockerGuard分为客户端和管理端.管理端负责提供管理界面给管图1DockerGuard系统框架Fig.1DockerGuardframework理员,管理界面包括定制进程监控和网络监控的白名单的接口以及每个客户端的可信状态的监视窗口.而客户端则包括由文件系统度量、进程监控、网络监控三大功能构成的安全防护模块,并采用信任链的思想,由TPM芯片作为硬件支持,对Docker进行度量与细粒度的监控,构建一个安全加固的Docker可信容器.信任链结构如图2所示,以TPM芯片为起点,利用TGrub实现安全启动,并在TGrub中实现对Docker可执行文件以及进程度量模块文件、文件度量模块的度量,在Docker启动后,文件系统度量模块和进程监控模块相继启动,整个系统启动完毕,开始工作.1)文件系统监控模块文件系统监控模块包括镜像度量和容器度量两个部分.镜像度量:当Docker执行pull、commit、load以及import操作中的任意一个,将触发文件度量模块图2信任链Fig.2ExtendthetrustedchaintoDocker104
【作者单位】: 武汉大学计算机学院;教育部空天信息安全与可信计算重点实验室;
【基金】:国家自然科学基金项目(61332019) 国家重点基础发展计划(973)(2014CB340600)资助项目
【分类号】:TP309
【相似文献】
相关重要报纸文章 前1条
1 特约撰稿人 岑义涛;从Docker容器漏洞谈Docker安全[N];网络世界;2014年
相关硕士学位论文 前4条
1 冯明振;基于macvlan的Docker容器网络系统的设计与实现[D];浙江大学;2016年
2 肖磊;视频监控边界云与中心云存储分析系统的研究[D];河北工业大学;2015年
3 苗立尧;基于Docker容器的混合式集群伸缩方法研究[D];西安邮电大学;2016年
4 王飞;基于Docker的研发部署管理平台的设计与实现[D];北京交通大学;2015年
本文编号:2536935
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/2536935.html
