技术特征:
技术总结
本发明公开了一种容器安全隔离方法、系统及介质,方法包括通过安全容器运行时用户态内核拦截容器的应用程序的系统调用,完成处理后将结果返回给容器的应用程序,使得容器的应用程序不能直接完成宿主机的系统调用;通过文件系统代理拦截容器应用程序的IO操作,执行完成IO操作后将结果返回给容器的应用程序。使用本发明能够在保证容器效率的同时提高容器的隔离性和安全性,通过用户态内核容器应用不能直接访问宿主机内核,它不是真正的像一个主机的进程在运行,而是将应用程序加载到安全容器运行时的内存空间中并从那里运行,这样即使容器内的应用有安全风险也只能对容器造成影响,而不会通过容器而影响到宿主机的运行,从而了提高隔离性。
技术研发人员:罗求;孙利杰;陈松政;刘文清;杨涛
受保护的技术使用者:湖南麒麟信安科技有限公司
技术研发日:2019.06.24
技术公布日:2019.10.22