需求驱动的容器安全策略自动生成技术

容器是一种轻量级的虚拟机化技术,减少容器中可用的系统调用数可以有效的减少来自Linux内核的安全威胁,但是这种方式在保证容器安全性的同时,容器功能的可用性会受到很大的损伤.鉴于容器的安全性和可用性无法均衡的问题,本文提出了AutoSec,AutoSec使用动态训练与静态分析结合的方式提取容器的系统调用集合,依据容器运行的不同阶段进而生成不同的Seccomp BPF配置文件,从而按照容器运行时的程序需求,灵活配置容器中可用的系统调用集合.最后选取了Docker hub中最为流行的4款容器验证AutoSec在减少容器攻击面的有效性,证明AutoSec在可接受的性能损耗并不损害容器功能的前提下,能够减少暴露在容器中70%以上的系统调用,有效的保障容器的安全.