基于容器的分级隔离保护方法、设备及介质

技术领域

本发明属于信息安全技术领域，尤其涉及基于容器的分级隔离保护方法、设备及介质。

背景技术

随着微服务和云原生架构被应用软件系统逐步采用，基于容器的应用软件广泛部署于云数据中心、边缘计算等场景，容器化的应用软件采集、存储、处理和传输多种多样的数据，产生了对数据提供分级保护能力的需求。

容器平台基于容器云技术为应用软件提供的计算、存储和网络资源，通过采用命名空间机制提供计算资源隔离；通过VxLAN机制提供网络资源隔离，网络资源隔离通常与命名空间保持一致；通过容器存储类和容器存储卷方式提供存储资源隔离，通常不同容器存储类可将数据分配至不同物理磁盘，并且不同存储类和存储卷均可设置不同的加密密钥。容器平台提供了通用的隔离能力，但是针对数据分级隔离保护要求，欠缺对以下能力的支持：

1.缺乏根据安全等级标识应用软件微服务的安全等级，进而控制和调度应用软件的容器化微服务，保证应用软件计算资源隔离性和网络资源隔离性；

2.缺乏根据安全等级标识存储类和存储卷的安全等级，以及缺乏根据安全等级匹配终端容器微服务和容器存储卷的关系，进而控制和调度应用软件的存储资源隔离性；

3.缺乏根据安全等级匹配终端和容器微服务的流量转发关系，控制和保证终端对应用软件的访问流量分级隔离。

发明内容

本发明的目的在于，为克服现有技术缺陷，提供了基于容器的分级隔离保护方法、设备及介质,本发明基于容器平台对容器命名空间、容器服务、容器存储类、容器存储卷资源对象的分配和管理机制，在此基础上研究了基于安全标签机制对容器命名空间、容器服务、容器存储类、容器存储卷进行打标和验标，并基于密钥管理机制对容器存储类、容器存储卷进行数据加密隔离保护，建立方法控制和调度容器命名空间、容器服务、容器存储类、容器存储卷资源对象，从技术上保证相应安全等级的应用软件能且仅能处理相应等级的数据，提高数据采集、处理、存储、传输过程中的安全性。

本发明目的通过下述技术方案来实现：

一种基于容器的分级隔离保护方法，所述方法应用于容器平台，所述容器平台还包括服务分级管理服务和安全标签管理服务，所述服务分级管理服务用于标识安全等级，所述安全标签管理服务用于生成安全等级标签和验证安全等级标签，所述方法包括：

所述服务分级管理服务和所述安全标签管理服务对容器隔离运行环境资源对象打标；

分别创建容器计算资源、容器存储资源和容器访问路径的隔离。

进一步的，所述容器隔离运行环境资源对象包括容器命名空间、容器服务、容器存储类、容器存储卷。

进一步的，创建容器计算资源的隔离具体包括：

服务分级管理服务解析应用模板内容，识别定义的具有唯一性的应用软件名称、定义的安全等级和定义的容器微服务；

服务分级管理服务根据具有唯一性的应用软件名称，向安全标签管理服务申请创建并获取命名空间安全标签NSL-A；

服务分级管理服务根据具有唯一性的应用软件名称和安全等级，向容器平台申请创建命名空间NS-A，并对新创建的命名空间打上所述安全标签NSL-A来标识所述命名空间NS-A；

服务分级管理服务向安全标签管理服务申请并获取生成微服务的安全标签APPL-A；

服务分级管理服务根据具有唯一性的应用软件名称、安全等级，选择所述命名空间NS-A，并在所述命名空间NS-A创建容器微服务资源对象，并对新创建的容器微服务资源对象打上所述安全标签APPL-A来标识容器微服务APP-A及其资源。

进一步的，所述容器平台还包括存储分级管理服务和安全密钥管理服务，所述安全密钥管理服务用于安全密钥生成和密钥标识识别，所述存储分级管理服务用于对应用模板中存储资源对象进行预处理，根据安全等级自动创建对应安全等级的存储类，再在对应安全等级的存储类中自动分配对应安全等级的存储卷，并将存储卷关联至应用软件对应安全等级的容器微服务。

进一步的，创建容器存储资源的隔离包括继承密钥模式和独立密钥模式。

进一步的，

继承密钥模式下，创建容器存储资源的隔离包括：

服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL-A、命名空间安全标签NSL-A和容器存储资源对象内容传递给存储分级管理服务；

存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL-A；

存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK-A；

存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的容器存储类，如果没有则申请创建容器存储类SC-A，再将安全密钥SK-A注入到容器存储类SC-A，并对新创建的容器存储类打上安全标签SCL-A来标识容器存储类SC-A；

存储分级管理服务向安全标签管理服务申请并获取生成容器存储卷的安全标签SVL-A；

存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的容器存储类SC-A，然后在该容器存储类中创建容器存储卷SV-A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL-A来标识容器存储卷SV-A，同时继承并加载容器存储类的安全密钥SK-A，完成受隔离保护的容器存储资源的自动创建；

存储分级管理服务根据容器微服务安全标签APPL-A，将创建容器存储卷SV-A关联并挂载至容器微服务安全标签APPL-A所匹配的容器微服务APP-A，容器微服务APP-A隔离运行在命名空间安全标签NSL-A所匹配的命名空间NS-A中。

进一步的，独立密钥模式下，创建容器存储资源的隔离包括：

服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL-A、命名空间安全标签NSL-A、容器存储资源对象内容传递给存储分级管理服务；

存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL-A；

存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的存储类，如果没有则申请创建存储类SC-A，并对新创建的存储类打上安全标签SCL-A来标识存储类SC-A；

存储分级管理服务向安全标签管理服务申请并获取生成存储卷的安全标签SVL-A；

存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK-A；

存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的存储类SC-A，然后在该存储类中创建容器存储卷SV-A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL-A来标识容器存储卷SV-A，同时将安全密钥SK-A注入并加至容器存储卷SV-A，完成受隔离保护的容器存储资源的自动创建；

存储分级管理服务根据容器微服务安全标签APPL-A，将创建容器存储卷SV-A关联并挂载至容器微服务安全标签APPL-A所匹配的容器微服务APP-A，容器微服务APP-A隔离运行在命名空间安全标签NSL-A所匹配的命名空间NS-A中。

进一步的，所述容器平台还包括服务安全网关，服务安全网关用于增加安全标签识别，解析终端的访问请求中安全标签所匹配的安全等级，控制将流量能且仅能转发至对供应安全等级的对应服务，同时结合终端IP地址和安全标签所对应的安全等级对终端访问请求实施访问控制，并由服务分级管理服务维护容器化微服务的流量代理策略和访问控制策略；

创建容器访问路径的隔离具体包括：

服务安全网关接收到终端访问请求，解析并识别访问请求中所携带的安全标签SL-A；

服务安全网关根据安全标签向服务分级管理服务验证安全标签SL-A，同时查询安全标签SL-A所对应容器化微服务、以及对应的流量代理策略和访问控制策略；

服务安全网关根据对应的流量代理策略和访问控制策略将访问请求转发至容器化微服务。

另一方面，本发明还提供了一种计算机设备，计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行以实现上述的任意一种基于容器的分级隔离保护方法。

另一方面，本发明还提供了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序由处理器加载并执行以实现上述的任意一种基于容器的分级隔离保护方法。

本发明的有益效果在于：

(1)相对现有的容器平台对资源的通用隔离能力，本发明基于容器资源对象分配和调度，结合安全标签机制，对容器平台分配容器命名空间和容器网络VxLAN的机制进行控制，使应用软件可以根据不同安全等级获得安全隔离的计算资源和网络资源。

(2)本发明结合安全标签机制和密钥管理机制，使应用软件可以根据不同安全等级能且仅能获得对应安全等级的、受隔离保护的存储资源，使终端用户能且仅能访问相应安全等级的服务实例，进一步提升了容器平台上应用软件的数据分级隔离保护能力，可以有效保护应用数据的安全性。

附图说明

图1是本发明提供的基于容器的分级隔离保护方法流程示意图；

图2是本发明基于容器的服务分级标识和隔离控制关系示意图；

图3是本发明基于容器的存储卷分级标识和隔离控制关系-继承密钥模式示意图；

图4是本发明基于容器的存储卷分级标识和隔离控制关系-独立密钥模式示意图；

图5是本发明基于容器的服务分级隔离访问控制关系示意图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

容器平台提供了通用的隔离能力，但是针对数据分级隔离保护要求，欠缺对以下能力的支持：

1.缺乏根据安全等级标识应用软件微服务的安全等级，进而控制和调度应用软件的容器化微服务，保证应用软件计算资源隔离性和网络资源隔离性；

2.缺乏根据安全等级标识存储类和存储卷的安全等级，以及缺乏根据安全等级匹配终端容器微服务和容器存储卷的关系，进而控制和调度应用软件的存储资源隔离性；

3.缺乏根据安全等级匹配终端和容器微服务的流量转发关系，控制和保证终端对应用软件的访问流量分级隔离。

为了解决上述技术问题，提出了本发明基于容器的分级隔离保护方法、设备及介质的下述各个实施例。

实施例1

本实施例基于容器平台对容器命名空间、容器服务、容器存储类、容器存储卷资源对象的分配和管理机制，增加了服务分级管理服务和安全标签管理服务，服务分级管理服务用于标识安全等级，安全标签管理服务用于生成安全等级标签和验证安全等级标签。

参照图1，如图1所示是本实施例提供的基于容器的分级隔离保护方法流程示意图，该方法具体包括：

服务分级管理服务和安全标签管理服务对容器隔离运行环境资源对象打标；

分别创建容器计算资源、容器存储资源和容器访问路径的隔离。

本实施例在原容器平台的机制上进行改进，基于安全标签机制对容器命名空间、容器服务、容器存储类、容器存储卷进行打标和验标，并基于密钥管理机制对容器存储类、容器存储卷进行数据加密隔离保护，建立方法控制和调度容器命名空间、容器服务、容器存储类、容器存储卷资源对象，从技术上保证相应安全等级的应用软件能且仅能处理相应等级的数据，提高数据采集、处理、存储、传输过程中的安全性。

在后续实施例中分别详细介绍如何创建计算资源、容器存储资源和容器访问路径的隔离。

实施例2

本实施例提供一种计算资源隔离的创建方法。

目前，容器平台根据应用模板中namespace关键字指定的命名空间名称，创建对应的命名空间，然后在命名空间中创建计算资源和网络资源，该方式需要提前规划好隔离措施，同一应用软件不能根据安全等级自动创建和分配对应安全等级的计算资源和网络资源。

本实施例在应用模板不提前固定命名空间的情况下，增加微服务安全等级标识，增加服务分级管理服务对应用模板进行预处理，根据微服务安全等级，自动创建并将微服务关联至该应用软件对应安全等级的命名空间。

参照图2，如图2所示是本实施例基于容器的服务分级标识和隔离控制关系示意图。

计算资源隔离的创建具体包括以下步骤：

①服务分级管理服务解析应用模板内容，识别定义的具有唯一性的应用软件名称、定义的安全等级及定义的容器微服务资源对象；

②服务分级管理服务根据具有唯一性的应用软件名称，向安全标签管理服务申请创建并获取安全标签NSL-A；

③服务分级管理服务根据具有唯一性的应用软件名称和安全等级，向容器平台，如果没有则申请创建命名空间NS-A，并对新创建的命名空间打上安全标签NSL-A来标识命名空间NS-A；

④服务分级管理服务向安全标签管理服务申请并获取生成微服务的安全标签APPL-A；

⑤服务分级管理服务根据具有唯一性的应用软件名称、安全等级，选择匹配的命名空间NS-A，并在该命名空间创建容器微服务资源对象，并对新创建的容器微服务资源对象打上安全标签APPL-A来标识该容器微服务APP-A及其资源，从而完成容器微服务APP-A计算、网络资源的自动创建。

实施例3

本实施例提供一种容器存储资源隔离的创建方法。

目前，容器平台根据应用模板中存储资源对象中的存储类自动创建对应的存储卷，根据存储卷大小关联至容器微服务，同一应用软件不能根据安全等级自动创建和分配对应安全等级的存储资源。

本实施例在传统容器平台中增加安全密钥管理服务，增加存储类安全等级标识，增加存储分级管理服务对应用模板中存储资源对象进行预处理，根据安全等级自动创建对应安全等级的存储类，再在对应安全等级的存储类中自动分配对应安全等级的存储卷，并将存储卷关联至该应用软件对应安全等级的容器微服务。

参照图3，如图3所示是本实施例基于容器的存储卷分级标识和隔离控制关系-继承密钥模式示意图。

继承密钥模式下，基于容器的服务分级标识和隔离控制流程如下：

服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL-A、命名空间安全标签NSL-A、容器存储资源对象内容传递给存储分级管理服务；

②存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL-A；

③存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK-A；

④存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的存储类，如果没有则申请创建存储类SC-A，再将安全密钥SK-A注入到存储类SC-A，并对新创建的存储类打上安全标签SCL-A来标识存储类SC-A；

⑤存储分级管理服务向安全标签管理服务申请并获取生成存储卷的安全标签SVL-A；

⑥存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的存储类SC-A，然后在该存储类中创建容器存储卷SV-A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL-A来标识容器存储卷SV-A，同时继承并加载存储类的安全密钥SK-A，完成受隔离保护的容器存储资源的自动创建；

⑦存储分级管理服务根据容器微服务安全标签APPL-A，将创建容器存储卷SV-A关联并挂载至容器微服务安全标签APPL-A所匹配的容器微服务APP-A，容器微服务APP-A隔离运行在命名空间安全标签NSL-A所匹配的命名空间NS-A中。

实施例4

本实施例提供另一种容器存储资源隔离的创建方法。

除实施例3提供的继承密钥模式下基于容器的服务分级标识和隔离控制方法外，还可以在独立密钥模式下实现基于容器的服务分级标识和隔离控制。

参照图4，如图4所示是本实施例基于容器的存储卷分级标识和隔离控制关系-独立密钥模式示意图。

独立密钥模式下，基于容器的服务分级标识和隔离控制流程如下：

①服务分级管理服务将解析应用模板中安全等级、容器微服务安全标签APPL-A、命名空间安全标签NSL-A、容器存储资源对象内容传递给存储分级管理服务；

②存储分级管理服务根据安全等级，向安全标签管理服务申请创建并获取安全标识SCL-A；

③存储分级管理服务根据安全等级，向容器平台查询是否存在相应安全等级的存储类，如果没有则申请创建存储类SC-A，并对新创建的存储类打上安全标签SCL-A来标识存储类SC-A；

④存储分级管理服务向安全标签管理服务申请并获取生成存储卷的安全标签SVL-A；

⑤存储分级管理服务根据安全等级，向安全密钥管理服务申请创建并获取安全密钥SK-A；

⑥存储分级管理服务根据安全等级和容器存储资源对象，选择匹配的存储类SC-A，然后在该存储类中创建容器存储卷SV-A和自动申请存储空间，并对新创建的容器存储资源对象打上安全标签SVL-A来标识容器存储卷SV-A，同时将安全密钥SK-A注入并加至容器存储卷SV-A，完成受隔离保护的容器存储资源的自动创建；

⑦存储分级管理服务根据容器微服务安全标签APPL-A，将创建容器存储卷SV-A关联并挂载至容器微服务安全标签APPL-A所匹配的容器微服务APP-A，容器微服务APP-A隔离运行在命名空间安全标签NSL-A所匹配的命名空间NS-A中。

实施例5

本实施例提供一种容器访问路径的隔离的创建方法。

目前，容器平台的服务网关自动发现后端对应容器微服务、并建立流量转发关系，根据容器微服务域名、端口和路径信息配置流量代理策略，提供终端访问服务的流量转发和基于终端IP地址的访问控制。

本实施例增加服务安全等级标识以及服务安全网关，服务安全网关增加安全标签识别，解析终端的访问请求中安全标签所匹配的安全等级，控制将流量能且仅能转发至对供应安全等级的对应服务，同时结合终端IP地址和安全标签所对应的安全等级对终端访问请求实施访问控制，并由服务分级管理服务维护容器化微服务的流量代理策略和访问控制策略。

参照图5，如图5所示是本实施例基于容器的服务分级隔离访问控制关系示意图。

基于容器的服务分级隔离访问控制流程如下：

①服务安全网关接收到终端访问请求，解析并识别访问请求中所携带的安全标签SL-A；

②服务安全网关根据安全标签向服务分级管理服务验证安全标签SL-A，同时查询安全标签SL-A所对应容器化微服务、以及对应的流量代理策略和访问控制策略；

③服务安全网关根据对应的流量代理策略和访问控制策略将访问请求转发至上述容器化微服务。

前述实施例1-5提供的基于容器的分级隔离保护方法相对现有的容器平台对资源的通用隔离能力，基于容器资源对象分配和调度，结合安全标签机制，对容器平台分配容器命名空间和容器网络VxLAN的机制进行控制，使应用软件可以根据不同安全等级获得安全隔离的计算资源和网络资源；同时结合安全标签机制和密钥管理机制，使应用软件可以根据不同安全等级能且仅能获得对应安全等级的、受隔离保护的存储资源，使终端用户能且仅能访问相应安全等级的服务实例，进一步提升了容器平台上应用软件的数据分级隔离保护能力，可以有效保护应用数据的安全性。

实施例6

本优选实施例提供了一种计算机设备，该计算机设备可以实现本申请实施例所提供的基于容器的分级隔离保护方法任一实施例中的步骤，因此，可以实现本申请实施例所提供的基于容器的分级隔离保护方法的有益效果，详见前面的实施例，在此不再赘述。

实施例7

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的基于容器的分级隔离保护方法中任一实施例的步骤。

其中，该存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一基于容器的分级隔离保护方法实施例中的步骤，因此，可以实现本发明实施例所提供的任一基于容器的分级隔离保护方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。