本发明涉及安全控制,尤其涉及一种基于容器权限的安全控制方法、装置、设备及存储介质。
背景技术:
1、权限控制是指在计算机系统或其他系统中,对用户或进程进行访问和操作资源的限制和管理,是一种安全机制,用于控制用户或进程能够执行哪些操作,以及能够使用哪些资源。权限控制的目的是保护系统免受非授权访问、数据泄露、篡改和恶意行为等安全威胁,通过明确规定和限制用户或进程的访问权限,可以提高系统的安全性和可信度,防止信息被滥用、破坏或盗取。
2、然而现有产品对于容器环境权限设置较为静态,无法动态调整,一旦设置后难以修改,容易导致权限设置过大或过小,通常需要手动修改配置文件,而导致运维效率较低,此外还缺乏精细化的权限控制和分级管理,使容器进程可随意访问宿主机资源,存在被滥用的安全隐患。
3、因此,现有技术还有待于改进和发展。
技术实现思路
1、本发明的主要目的在于解决现有技术中容器环境权限设置较为静态,无法动态调整,通常需要手动修改配置文件而导致运维效率较低,且存在安全隐患的问题。
2、本发明第一方面提供了一种基于容器权限的安全控制方法,包括:根据映射关系定义容器进程的权限标识;在创建所述容器进程时,将所述权限标识配置到所述容器进程中;根据所述权限标识对所述容器进程的权限进行动态分配,并根据所述容器进程的访问行为对所述容器进程的权限进行实时调整。
3、可选的,在本发明第一方面的第一种实现方式中,所述根据映射关系定义容器进程的权限标识的步骤包括:根据所述容器进程的访问行为生成权限标识词汇,并根据所述权限标识词汇构建权限标识词典;根据所述权限标识词典建立数据级别和访问权限的映射关系,根据所述映射关系划分不同数据级别对应的访问权限范围。
4、可选的,在本发明第一方面的第二种实现方式中,述在创建所述容器进程时,将所述权限标识配置到所述容器进程中的步骤包括:定义角色权限模版,在创建所述容器进程时,判断所述容器进程的业务角色;将所述业务角色与所述角色权限模版进行匹配,为所述容器进程配置权限标识并分配初始权限。
5、可选的,在本发明第一方面的第三种实现方式中,所述根据所述权限标识对所述容器进程的权限进行动态分配的步骤包括:分析所述容器进程运行时的访问行为模式,并监控所述容器进程是否产生新的访问请求;若所述容器进程产生新的访问请求,根据策略规则算法决定是否授予所述容器进程与所述访问请求对应的访问权限。
6、可选的,在本发明第一方面的第四种实现方式中,所述根据策略规则算法决定是否授予所述容器进程与所述访问请求对应的访问权限的步骤包括:根据所述访问请求提取行为主体、行为客体和访问行为,并将所述行为主体、所述行为客体和所述访问行为转换为标准权限标识;将所述标准权限标识封装为权限申请,根据策略规则算法对所述权限申请进行检验,判断是否授予所述容器进程与所述访问请求对应的访问权限。
7、可选的,在本发明第一方面的第五种实现方式中,所述根据策略规则算法对所述权限申请进行检验,判断是否授予所述容器进程与所述访问请求对应的访问权限的步骤包括:检索所述权限申请中的权限标识,并在策略库中查询所述权限标识的授权规则;根据所述授权规则计算所述权限申请的访问行为的风险值;将所述风险值与预设风险阈值进行比较,判断是否同意所述权限申请;若所述风险值大于所述预设风险阈值,则拒绝所述权限申请;若所述风险值小于所述预设风险阈值,则同意所述权限申请。
8、可选的,在本发明第一方面的第六种实现方式中,所述根据所述容器进程的访问行为对所述容器进程的权限进行实时调整的步骤包括:基于数据统计和机器学习算法分析所述容器进程的访问行为模式,并生成统计模型;根据所述统计模型检测所述容器进程是否产生异常访问行为;若所述容器进程产生异常访问行为,启动回收机制自动回收所述容器进程的访问权限。
9、本发明第二方面提供了一种基于容器权限的安全控制装置,包括:定义模块,用于根据映射关系定义容器进程的权限标识;配置模块,用于在创建所述容器进程时,将所述权限标识配置到所述容器进程中;权限管理模块,用于根据所述权限标识对所述容器进程的权限进行动态分配,并根据所述容器进程的访问行为对所述容器进程的权限进行实时调整。
10、可选的,在本发明第二方面的第一种实现方式中,所述定义模块包括:词典构建子模块,用于根据所述容器进程的访问行为生成权限标识词汇,并根据所述权限标识词汇构建权限标识词典;划分子模块,用于根据所述权限标识词典建立数据级别和访问权限的映射关系,根据所述映射关系划分不同数据级别对应的访问权限范围。
11、可选的,在本发明第二方面的第二种实现方式中,所述配置模块包括:业务角色判断子模块,用于定义角色权限模版,在创建所述容器进程时,判断所述容器进程的业务角色;匹配子模块,用于将所述业务角色与所述角色权限模版进行匹配,为所述容器进程配置权限标识并分配初始权限。
12、可选的,在本发明第二方面的第三种实现方式中,所述权限管理模块包括:分析子模块,用于分析所述容器进程运行时的访问行为模式,并监控所述容器进程是否产生新的访问请求;授权判断子模块,用于若所述容器进程产生新的访问请求,根据策略规则算法决定是否授予所述容器进程与所述访问请求对应的访问权限。
13、可选的,在本发明第二方面的第四种实现方式中,所述授权判断子模块包括:提取单元,用于根据所述访问请求提取行为主体、行为客体和访问行为,并将所述行为主体、所述行为客体和所述访问行为转换为标准权限标识;封装单元,用于将所述标准权限标识封装为权限申请,根据策略规则算法对所述权限申请进行检验,判断是否授予所述容器进程与所述访问请求对应的访问权限。
14、可选的,在本发明第二方面的第五种实现方式中,所述封装单元包括:检索子单元,用于检索所述权限申请中的权限标识,并在策略库中查询所述权限标识的授权规则;计算子单元,用于根据所述授权规则计算所述权限申请的访问行为的风险值;比较子单元,用于将所述风险值与预设风险阈值进行比较,判断是否同意所述权限申请;第一判断子单元,用于若所述风险值大于所述预设风险阈值,则拒绝所述权限申请;第二判断子单元,用于若所述风险值小于所述预设风险阈值,则同意所述权限申请。
15、可选的,在本发明第二方面的第六种实现方式中,所述权限管理模块还包括:模型生成单元,用于基于数据统计和机器学习算法分析所述容器进程的访问行为模式,并生成统计模型;异常行为检测单元,用于根据所述统计模型检测所述容器进程是否产生异常访问行为;权限回收单元,用于若所述容器进程产生异常访问行为,启动回收机制自动回收所述容器进程的访问权限。
16、本发明第三方面提供了一种基于容器权限的安全控制设备,包括:存储器和至少一个处理器,所述存储器中存储有计算机可读指令,所述存储器和所述至少一个处理器通过线路互连;所述至少一个处理器调用所述存储器中的所述计算机可读指令,以使得所述基于容器权限的安全控制设备执行如上所述基于容器权限的安全控制方法的各个步骤。
17、本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可读指令,当其在计算机上运行时,使得计算机执行如上所述基于容器权限的安全控制方法的各个步骤。
18、有益效果:本发明的技术方案中,根据映射关系定义容器进程的权限标识;在创建所述容器进程时,将所述权限标识配置到所述容器进程中;根据所述权限标识对所述容器进程的权限进行动态分配,并根据所述容器进程的访问行为对所述容器进程的权限进行实时调整。本发明提供的是一种多基于容器权限的安全控制方法,通过自定义权限标识,对容器内进程的访问行为进行实时监控,实现了容器级的精细化权限访问控制,安全策略可根据实际情况动态调整,既保证了业务正常运行,又大大降低了容器进程被权限被滥用的安全风险,有效提高了系统整体的安全性。
1.一种基于容器权限的安全控制方法,其特征在于,所述基于容器权限的安全控制方法包括:
2.根据权利要求1所述基于容器权限的安全控制方法,其特征在于,所述根据映射关系定义容器进程的权限标识的步骤包括:
3.根据权利要求1所述基于容器权限的安全控制方法,其特征在于,所述在创建所述容器进程时,将所述权限标识配置到所述容器进程中的步骤包括:
4.根据权利要求1所述基于容器权限的安全控制方法,其特征在于,所述根据所述权限标识对所述容器进程的权限进行动态分配的步骤包括:
5.根据权利要求4所述基于容器权限的安全控制方法,其特征在于,所述根据策略规则算法决定是否授予所述容器进程与所述访问请求对应的访问权限的步骤包括:
6.根据权利要求5所述基于容器权限的安全控制方法,其特征在于,所述根据策略规则算法对所述权限申请进行检验,判断是否授予所述容器进程与所述访问请求对应的访问权限的步骤包括:
7.根据权利要求1所述基于容器权限的安全控制方法,其特征在于,所述根据所述容器进程的访问行为对所述容器进程的权限进行实时调整的步骤包括:
8.一种基于容器权限的安全控制装置,其特征在于,包括:
9.一种基于容器权限的安全控制设备,其特征在于,包括存储器和至少一个处理器,所述存储器中存储有计算机可读指令;
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1-7中任一项所述基于容器权限的安全控制方法的各个步骤。
