北京電影學(xué)院 張亮

容器是在新環(huán)境(例如測試環(huán)境)中運(yùn)行軟件的一種流行的解決方案。它“包含”整個運(yùn)行環(huán)境，其中包括應(yīng)用程序、所有依賴項(xiàng)、配置文件和庫。從信息技術(shù)角度講，“容器”在很多方面都優(yōu)于虛擬化技術(shù)，組件依賴性較弱，所需數(shù)量更少，運(yùn)行時對資源的需求更低。這些特征使其在高校數(shù)字校園應(yīng)用建設(shè)中，特別是藝術(shù)類院校招生系統(tǒng)建設(shè)中具有更大優(yōu)勢，由于我國藝術(shù)類院校具有專業(yè)校考環(huán)節(jié)，招生系統(tǒng)隨招生政策及人才選拔要求的變化而不斷變化，基于容器技術(shù)的微服務(wù)IT架構(gòu)能很好滿足招生業(yè)務(wù)需求。容器環(huán)境下，“單進(jìn)程模型”雖完美契合了應(yīng)用架構(gòu)微服務(wù)化的未來趨勢，且容器化程度的不斷提高使架構(gòu)演進(jìn)更加可靠成熟，但它對應(yīng)用巨大的侵入性使其無法在有著復(fù)雜多樣存量應(yīng)用的大規(guī)模場景順利落地。因此在藝術(shù)院校信息系統(tǒng)應(yīng)用中，容器安全問題伴隨業(yè)務(wù)系統(tǒng)架構(gòu)的不斷升級，逐漸受到更多重視。

1 微服務(wù)架構(gòu)及其特性

微服務(wù)架構(gòu)由多個“微服務(wù)”組成，因此開發(fā)對象將由“庫”變?yōu)椤拔⒎?wù)”，這與其他軟件開發(fā)方式有很大不同。單個微服務(wù)對應(yīng)單一、獨(dú)立的業(yè)務(wù)功能，并且只對“必須的”操作進(jìn)行定義。整體上看，軟件會被解耦為多個小片段，每個片段功能相對獨(dú)立，彼此不會發(fā)生關(guān)系，如此一來，當(dāng)有故障發(fā)生時，便不會影響整個軟件運(yùn)行，微服務(wù)架構(gòu)會第一時間響應(yīng)請求，并針對故障問題做出快速變更。容器的作用在于，它能夠針對解耦做進(jìn)一步擴(kuò)展，使軟件與底層硬件彼此分離，這樣，微服務(wù)的充分分解應(yīng)用程序目的便能順利達(dá)成，開發(fā)和部署會變得更加敏捷[1]。

微服務(wù)與ESB具有明顯差異性，與ESB相比，微服務(wù)可以實(shí)現(xiàn)服務(wù)間的交互，并不包含規(guī)范化數(shù)據(jù)建模，也不會對同級別接口進(jìn)行控制。ESB則不同，它包含著大量差異性內(nèi)容，如模式驗(yàn)證、消息路由等。相比之下，微服務(wù)架構(gòu)更適合藝術(shù)院校業(yè)務(wù)系統(tǒng)的開發(fā)使用。在開發(fā)速度上，微服務(wù)優(yōu)勢更加明顯，其服務(wù)衍變只需匹配業(yè)務(wù)需求即可。微服務(wù)架構(gòu)特性包括以下4個方面。

1.1 獨(dú)立部署

微服務(wù)架構(gòu)下，微服務(wù)運(yùn)行進(jìn)程表現(xiàn)出明顯的獨(dú)立特性，針對任何一個微服務(wù)都可進(jìn)行獨(dú)立部署。傳統(tǒng)架構(gòu)則不同，無論變更對象有多小，都需要重新構(gòu)建和部署整個架構(gòu)。顯然，微服務(wù)架構(gòu)所具有的獨(dú)立部署特性，使其更優(yōu)于傳統(tǒng)架構(gòu)，更能滿足應(yīng)用需求，節(jié)省時間的同時，也提高了運(yùn)行效率，同時也最大限度保證了系統(tǒng)環(huán)境安全性。

1.2 技術(shù)選型靈活

除獨(dú)立部署外，微服務(wù)架構(gòu)還具有技術(shù)選型靈活特性。它可以針對發(fā)展現(xiàn)狀和實(shí)際需求來選擇技術(shù)棧，并且被選擇的技術(shù)棧通常都是最合適、合理的。更為重要的是，當(dāng)需要升級技術(shù)棧時，需要承擔(dān)的風(fēng)險會更低，即便重構(gòu)微服務(wù)也是十分容易的，這些都與微服務(wù)的簡單性有直接關(guān)系。

1.3 容錯

相比傳統(tǒng)架構(gòu)，微服務(wù)架構(gòu)具有更強(qiáng)容錯性。傳統(tǒng)架構(gòu)下，單組功能出現(xiàn)故障后，極易影響其他組進(jìn)程，進(jìn)而使整個應(yīng)用無法正常運(yùn)行。但微服務(wù)架構(gòu)不同，一旦單個服務(wù)功能發(fā)展故障，會被第一時間進(jìn)行隔離，使其他服務(wù)不會因故障影響停止。

1.4 擴(kuò)展

微服務(wù)架構(gòu)下，單個服務(wù)彼此獨(dú)立，并且都能得到有效擴(kuò)展。一旦各組件表現(xiàn)出明顯的擴(kuò)展需求差異時，微服務(wù)架構(gòu)便會根據(jù)不同組件需求進(jìn)行靈活調(diào)整。

2 容器安全概述

容器作為學(xué)校業(yè)務(wù)系統(tǒng)重要的承載環(huán)境，其安全性和穩(wěn)定性至關(guān)重要，可以從容器部署環(huán)境和容器自身架構(gòu)安全方面進(jìn)行分析，進(jìn)行有針對性的安全防護(hù)保障。

（1）保護(hù)容器管道和應(yīng)用。容器管道保護(hù)一般分為收集鏡像、管理訪問權(quán)限、整合安全測試和自動化部署等4項(xiàng)內(nèi)容。由于“容器”是在一定數(shù)量文件創(chuàng)建過程中出現(xiàn)的，所以這些文件也被稱作“容器鏡像”。而對于容器安全來說，確定基礎(chǔ)鏡像的可靠性，提高可信程度就變得十分重要。但在實(shí)際應(yīng)用中卻發(fā)現(xiàn)，鏡像的可靠性一般很難得到充分保證，隨著應(yīng)用添加行為地增加，以及配置更改次數(shù)的增多，變數(shù)就會越大[2]。因此，在高校教育應(yīng)用中，內(nèi)容管理強(qiáng)度與外部內(nèi)容引入頻率通常是相輔相成的。訪問限制和升級一般在“鏡像”獲取之后，這就意味著，已構(gòu)建成功的鏡像需要受到嚴(yán)格保護(hù)。參考一般業(yè)務(wù)系統(tǒng)的分權(quán)控制機(jī)制，根據(jù)不同用戶身份來控制訪問權(quán)限是一種穩(wěn)妥的保障思路，可通過配置文件來進(jìn)行配置，保障元數(shù)據(jù)安全可控。

（2）容器的基礎(chǔ)運(yùn)行環(huán)境是容器安全的基礎(chǔ)。容器自身的設(shè)計(jì)架構(gòu)安全性是比較有保障的，主要利用主機(jī)操作系統(tǒng)（OS）提供的隔離，而若要使容器平臺的彈性得到進(jìn)一步加強(qiáng)，通過網(wǎng)絡(luò)命名空間來隔絕應(yīng)用和環(huán)境，被認(rèn)為是比較好的一種方式，同時也能夠?qū)崿F(xiàn)附加存儲。

3 Docker容器安全性分析

根據(jù)筆者的調(diào)研，Docker是目前高校業(yè)務(wù)系統(tǒng)探索容器化改造應(yīng)用技術(shù)最廣泛的容器技術(shù)之一，其技術(shù)架構(gòu)非常契合高校業(yè)務(wù)系統(tǒng)進(jìn)行微服務(wù)架構(gòu)改造建設(shè)的總體趨勢。相比其他容器平臺，Docker并不具有很強(qiáng)的IaaS和PaaS邊界性，甚至在某種程度上會使它們模糊化，這是其眾多優(yōu)點(diǎn)之一。除此之外，還包括部署與測試的持續(xù)性，以及支持跨云平臺。關(guān)于Docker容器安全性，Docker容器技術(shù)相比傳統(tǒng)虛擬化技術(shù)也具備獨(dú)立的安全特性，包括不同容器進(jìn)程之間獨(dú)立運(yùn)行，具有各自獨(dú)立的網(wǎng)絡(luò)環(huán)境，文件系統(tǒng)高度隔離等特點(diǎn)。在Docker容器環(huán)境中，各容器相當(dāng)于運(yùn)行在宿主機(jī)上的若干特殊應(yīng)用程序，這些應(yīng)用程序?qū)⒐蚕硭拗鳈C(jī)操作系統(tǒng)資源包括運(yùn)算處理器、內(nèi)存等，有別于傳統(tǒng)虛擬化完全虛擬出一個獨(dú)立的操作系統(tǒng)環(huán)境不同，不同容器進(jìn)程間的安全隔離特性與傳統(tǒng)虛擬化方式相比天生具備理論差距，這點(diǎn)不可避免[3]。

4 Docker容器安全風(fēng)險分析

Docker容器安全風(fēng)險主要包括3方面內(nèi)容，即鏡像安全風(fēng)險、容器虛擬化安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險。因篇幅有限，本文僅介紹前2種安全風(fēng)險。

4.1 鏡像安全風(fēng)險

4.1.1 鏡像創(chuàng)建過程分析

通過分析Docker鏡像不同的打包方式，我校在進(jìn)行業(yè)務(wù)系統(tǒng)容器化改造中為了去報最小安裝原則，采用Dockerfile文件構(gòu)建容器鏡像，在基礎(chǔ)鏡像上只打包必要的應(yīng)用依賴環(huán)境，隨著業(yè)務(wù)系統(tǒng)的需要不斷添加完善。

4.1.2 鏡像漏洞分析

鏡像漏洞目前在市場上是廣泛存在的，根據(jù)調(diào)研目前已發(fā)送多起在Docker鏡像中植入數(shù)字貨幣挖礦惡意程序的鏡像，損害Docker容器用戶利益，不法黑客利用容器漏洞可獲取容器高級別的管理權(quán)限，用于數(shù)據(jù)竊取或挖礦等行為進(jìn)行經(jīng)濟(jì)獲利。對于已知漏洞，可及時進(jìn)行鏡像補(bǔ)丁更新進(jìn)行漏洞安全加固，對于未知漏洞，可結(jié)合外部網(wǎng)絡(luò)安全防護(hù)措施進(jìn)行保障，比如在宿主機(jī)上部署殺毒軟件，在宿主機(jī)對外的通信網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上部署APT防護(hù)系統(tǒng)等，多種安全防護(hù)措施協(xié)同保障容器安全。對于學(xué)校而言，容器鏡像的安全至關(guān)重要，是一類或多類重要教學(xué)、管理業(yè)務(wù)系統(tǒng)的底層運(yùn)行環(huán)境，一旦環(huán)境安全得不到保障，對業(yè)務(wù)系統(tǒng)穩(wěn)定性、重要數(shù)據(jù)的安全性都會造成重大威脅，可能釀成重大安全事件，造成不良社會影響。

4.1.3 鏡像倉庫安全分析

鏡像倉庫的安全包括鏡像倉庫自身環(huán)境安全以及鏡像獲取過程中的安全，獲取過程中又涉及鏡像完整性安全、傳輸安全等。對于鏡像倉庫環(huán)境安全，對Docker容器技術(shù)在高校的應(yīng)用需要特別注重，因?yàn)槲倚I(yè)務(wù)系統(tǒng)眾多，部分業(yè)務(wù)涉及校職工及學(xué)生敏感數(shù)據(jù)，私有鏡像倉庫的建立必不可少，不同于公有云環(huán)境可由公有云供應(yīng)商保障鏡像倉庫環(huán)境安全，學(xué)校的私有鏡像倉庫必須由自身進(jìn)行保障，一旦被不法黑客所控制，那么其中所有鏡像的安全性將無法得到保證。對于鏡像獲取過程中的安全，可通過在我校私有鏡像庫和用戶端采用加密鏈路傳輸來保障傳輸安全問題，目前通用的明文傳輸方式在傳輸過程中容易遭受中間人攻擊，造成鏡像被非法截取，非法篡改植入惡意代碼，最終給業(yè)務(wù)系統(tǒng)帶來安全風(fēng)險，鏡像倉庫也可基于國密算法進(jìn)行鏡像的加密存儲、完整性校驗(yàn)，持續(xù)保障鏡像安全可靠。

4.2 容器虛擬化安全風(fēng)險

容器虛擬化安全主要涉及容器隔離、容器逃逸攻擊等問題。

4.2.1 容器隔離

Docker容器相對傳統(tǒng)的虛擬化技術(shù)，不同容器之間共享宿主機(jī)的運(yùn)算處理器、內(nèi)存、操作系統(tǒng)等資源，理論上可能存在容器與容器之間、容器與宿主機(jī)之間安全隔離不當(dāng)?shù)陌踩L(fēng)險，造成不同應(yīng)用系統(tǒng)直接數(shù)據(jù)非法傳輸、網(wǎng)絡(luò)非授權(quán)訪問、進(jìn)程間非必要通信等問題。

4.2.2 容器逃逸攻擊

容器逃逸攻擊指的是容器利用系統(tǒng)漏洞，“逃逸”出了其自身所擁有的權(quán)限，實(shí)現(xiàn)了對宿主機(jī)和宿主機(jī)上其他容器的訪問。由于容器與宿主機(jī)共享宿主機(jī)的運(yùn)算處理器、內(nèi)存、操作系統(tǒng)等資源，為避免容器獲取宿主機(jī)高級別操作權(quán)限，可規(guī)范容器使用操作流程，未來我校在容器部署應(yīng)用中要求操作人員不許采用特權(quán)模式運(yùn)行Docker容器。

5 容器安全保護(hù)方案

5.1 鏡像安全保護(hù)方案

如前面所述，容器是基于具體的鏡像內(nèi)容來進(jìn)行構(gòu)建的，而鏡像又是由從不同路徑所獲取的文件所組成的，任何一個帶有惡意性的文件存在于鏡像中，或鏡像本身存在未被察覺的漏洞，容器安全自然會受到威脅。顯然，容器安全由鏡像安全直接決定。

5.2 容器虛擬化安全保護(hù)方案

容器虛擬化安全保護(hù)的主要內(nèi)容是保護(hù)容器的部署環(huán)境和基礎(chǔ)架構(gòu)，利用主機(jī)操作系統(tǒng)（OS）提供的隔離對主機(jī)和容器進(jìn)行保護(hù)。

5.2.1 利用訪問控制機(jī)制對容器部署環(huán)境和基礎(chǔ)構(gòu)架進(jìn)行保護(hù)

SE Linux全稱為安全增強(qiáng)式Security-Enhanced Linux（SE Linux），一般Linux發(fā)行版本都默認(rèn)帶的功能，在開啟SE Linux的情況下（Enforcing模式），可通過在系統(tǒng)內(nèi)核中實(shí)現(xiàn)強(qiáng)制存取控制（MAC）安全性機(jī)制，讓所有訪問默認(rèn)是被拒絕的，類似防火墻可設(shè)置開啟白名單功能，SE Linux可通過配置例外策略實(shí)現(xiàn)部分系統(tǒng)服務(wù)、進(jìn)程、用戶等具備有限的系統(tǒng)資源訪問權(quán)限[4]。對于我校招生系統(tǒng)而言，這樣的設(shè)計(jì)能夠在很大程度上解決考生資料泄露的問題，考生報名時所填寫的信息也將很難被篡改。

5.2.2 容器資源隔離與限制

在資源隔離方面，Docker基于Namespace機(jī)制實(shí)現(xiàn)容器與容器之間、容器與宿主機(jī)之間應(yīng)用程序、數(shù)據(jù)資源、網(wǎng)絡(luò)資源、文件系統(tǒng)的相對獨(dú)立，這是一種在充分利用宿主機(jī)上環(huán)境資源的基礎(chǔ)上較為合理的安全設(shè)計(jì)。

在資源限制方面，在筆者調(diào)研實(shí)驗(yàn)中基于CGroups實(shí)現(xiàn)宿主機(jī)上不同容器的資源訪問限制與數(shù)據(jù)調(diào)用審計(jì)，包括對運(yùn)算處理器、系統(tǒng)內(nèi)存、硬盤I/O、網(wǎng)絡(luò)資源等IT基礎(chǔ)資源進(jìn)行適用性調(diào)整，有效防止單個容器耗盡所有資源造成其他容器或整個宿主機(jī)的拒絕服務(wù)安全風(fēng)險，保證所有容器的正常運(yùn)行。

6 結(jié)語

根據(jù)筆者在工作中的實(shí)際分析，與虛擬化技術(shù)相比，基于Docker容器技術(shù)對招生系統(tǒng)進(jìn)行微服務(wù)架構(gòu)改造，具有節(jié)約成本、易維護(hù)、安全性高等特點(diǎn)，尤其面對藝術(shù)類院校招生系統(tǒng)每年隨著政策變化的客觀現(xiàn)狀，容器系統(tǒng)可實(shí)現(xiàn)測試環(huán)境與正式生產(chǎn)環(huán)境的業(yè)務(wù)系統(tǒng)的快速遷移同步。容器技術(shù)對于集約高效設(shè)計(jì)理念相比傳統(tǒng)虛擬化技術(shù)弱化了部分安全隔離特性，而且由于自身的設(shè)計(jì)理念、部署方式、應(yīng)用特點(diǎn)還引入了部分新的安全風(fēng)險，涉及到本文提到的容器鏡像漏洞安全、鏡像倉庫安全、資源共享訪問安全、網(wǎng)絡(luò)隔離安全等各個層面。藝術(shù)院校招生系統(tǒng)的安全穩(wěn)定性要求不言而喻，在應(yīng)用容器技術(shù)進(jìn)行系統(tǒng)部署時，應(yīng)充分評估安全風(fēng)險，根據(jù)各學(xué)校應(yīng)用場景進(jìn)行針對性設(shè)計(jì)，并結(jié)合整個智慧校園環(huán)境形成整體部署方案，才可能形成容器技術(shù)在藝術(shù)院校招生系統(tǒng)安全應(yīng)用最佳實(shí)踐。

引用

[1]宋勝攀,劉振慧,莊東燃.開源容器技術(shù)安全分析[J].保密科學(xué)技術(shù),2021(1):29-35.

[2]李佳曦.基于容器技術(shù)的云化平臺安全風(fēng)險與應(yīng)對分析[J].信息通信技術(shù),2020,14(6):26-31+38.

[3]吳棟淦.Docker容器技術(shù)在網(wǎng)絡(luò)安全實(shí)驗(yàn)室的應(yīng)用研究[J].韶關(guān)學(xué)院學(xué)報,2020,41(6):23-28.

[4]張楠.云計(jì)算中使用容器技術(shù)的信息安全風(fēng)險與對策[J].信息網(wǎng)絡(luò)安全,2015(9):278-282.