容器环境下的安全基准的管理方法、设备及存储介质与流程

1.本技术涉及软件安全领域，具体涉及容器环境下的安全基准的管理方法、设备及存储介质。


背景技术：

2.随着云计算及大数据快速发展，新的技术框架层出不穷，容器环境应运而生。对于容器环境而言，安全性是一个永远不会消失的问题，提高容器环境的安全是容器环境发展的重中之重。通过对容器环境进行安全扫描是保护容器环境安全的必要手段。
3.传统的安全扫描，包括：以人工的形式使用cis和二进制工具提供的安全扫描的能力对容器环境进行安全扫描。
4.然而，以人工的形式使用cis和二进制工具对容器环境进行安全扫描，不仅需要了解容器环境本身，熟知容器环境安全方面涉及的点，还需要学习cis和二进制工具的使用，学习门槛较高，导致容器环境的维护效率较低。


技术实现要素：

5.本技术提供了容器环境下的安全基准的管理方法，可以解决容器环境的维护效率较低的问题，本技术提供如下技术方案：第一方面，提供了一种容器环境下的安全基准的管理方法包括：显示安全管理主界面，安全管理主界面包括安全扫描控件；在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面；安全扫描展示界面包括策略控件；在接收到作用于策略控件的操作后，显示安全扫描策略展示界面；安全扫描策略展示界面包括策略新增控件；在接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域；通过策略配置区域接收策略配置信息；基于策略配置信息生成安全扫描策略。
6.可选地，安全扫描控件包括互联网安全中心对应的中心扫描控件、容器环境漏洞对应的漏洞扫描控件和容器环境权限对应的权限扫描控件。
7.可选地，在安全扫描控件为所中心扫描控件的情况下，在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面，包括：在接收到作用于中心扫描控件的操作后，显示中心扫描展示界面；中心扫描展示界面包括中心扫描配置文件控件、中心扫描策略控件和中心扫描报告控件。
8.可选地，基于策略配置信息生成安全扫描策略之前，还包括：对策略配置信息进行参数校验，得到校验结果；在校验结果指示策略配置信息校验未通过的情况下，将校验指示的未通过参数校验的参数在策略配置区域中显示。
9.可选地，安全扫描展示界面包括策略展示区域；策略展示区域包括安全扫描策略对应的开启状态控件和策略编辑控件；开启状态控件用于控制安全扫描策略开启或关闭；在安全扫描策略处于关闭状态的情况下，通过接收作用于策略编辑控件的操作，显示策略编辑界面；策略编辑界面用于编辑安全扫描策略。
10.可选地，基于策略配置信息生成安全扫描策略之后，还包括：基于安全扫描策略创建扫描任务；通过扫描任务对容器环境进行安全扫描，得到扫描结果；基于扫描结果生成扫描报告，并保存扫描报告。
11.可选地，策略配置信息包括扫描报告的保留数量；在保存的扫描报告的数量超过保留数量的情况下，删除指定的扫描报告。
12.可选地，策略配置信息包括扫描周期；扫描周期用于指示扫描任务执行的周期；基于安全扫描策略创建扫描任务，包括：基于扫描周期创建周期扫描任务；周期扫描任务按照扫描周期生成单次扫描任务。
13.第二方面，提供一种电子设备，包括存储器、控制器以及存储在存储器上并可在控制器上运行的计算机程序，所述控制器执行所述计算机程序时实现上述容器环境下的安全基准的管理方法的步骤。
14.第三方面，提供一种计算机可读存储介质，所述存储介质中存储有程序，所述程序被处理器执行时用于实现第一方面提供的容器环境下的安全基准的管理方法。
15.本技术的有益效果至少包括：显示安全管理主界面，安全管理主界面包括安全扫描控件；在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面；安全扫描展示界面包括策略控件；在接收到作用于策略控件的操作后，显示安全扫描策略展示界面；安全扫描策略展示界面包括策略新增控件；在接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域；通过策略配置区域接收策略配置信息；基于策略配置信息生成安全扫描策略。可以解决容器环境的维护效率较低的问题。通过接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域；通过策略配置区域接收策略配置信息；基于策略配置信息生成安全扫描策略；不需要以人工的形式使用cis和二进制工具对容器环境进行安全扫描，降低了安全扫描的学习门槛，提高了容器环境的维护效率。
16.另外，安全扫描控件包括互联网安全中心对应的中心扫描控件、容器环境漏洞对应的漏洞扫描控件和容器环境权限对应的权限扫描控件，通过设置针对容器环境的互联网安全中心、权限和漏洞三个方面的扫描策略，多角度的对容器环境进行安全扫描，提高容器环境的安全性。
附图说明
17.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本技术一个实施例提供的容器环境下的安全基准的管理的示意图；图2是本技术一个实施例提供的配置文件展示界面的示意图；图3是本技术一个实施例提供的漏洞扫描展示界面的示意图；图4是本技术一个实施例提供的新增中心扫描策略的示意图；图5是本技术一个实施例提供的参数校验的示意图；图6是本技术一个实施例提供的创建扫描任务的示意图；
图7是本技术一个实施例提供的中心扫描报告展示界面的示意图；图8是本技术一个实施例提供的容器环境下的安全基准的管理装置的框图；图9是本技术一个实施例提供的电子设备的框图。
具体实施方式
19.下面将结合附图对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。下文中将参考附图并结合实施例来详细说明本技术。需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。
20.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
21.在本技术中，在未作相反说明的情况下，使用的方位词如“上、下、顶、底”通常是针对附图所示的方向而言的，或者是针对部件本身在竖直、垂直或重力方向上而言的；同样地，为便于理解和描述，“内、外”是指相对于各部件本身的轮廓的内、外，但上述方位词并不用于限制本技术。
22.首先，对于本技术涉及的若干名词进行介绍。
23.容器环境（kubernetes，k8s）：是用于自动部署、拓展和管理、容器化应用的开源系统。
24.用户自定义资源（custom resource definition，crd）：是一种使用户可以自定义新的资源的方式，用以扩展容器环境的功能。
25.自定义资源（custom resource，cr）：是指各种用户自定义资源后运行在容器环境中的实体资源。
26.周期计划（cron schedule）：用于配置在约定的时间执行已经计划好的工作。
27.策略控制管理器（securitycron controller manager）：是一种封装、部署和管理容器环境应用的方法，用以扩展容器环境的功能。
28.互联网安全中心（center for internet security，cis）：是由一个非盈利组织提供的互联网免费安全防御解决方案。
29.互联网安全中心基准配置（cis benchmark profiled）：是关于互联网安全中心基准的配置信息。
30.互联网安全中心基准资源（cis benchmark）：是一套全球公认的共识驱动型最佳实践，旨在帮助安全从业者实施和管理他们的网络安全防御。
31.漏洞扫描工具资源（kubehunter）：是一个用于在容器环境下渗透测试的开源工具。
32.权限扫描工具资源（kubeaudit）：是一款针对容器环境中集群安全的审计工具，该工具基于命令行实现其功能。
33.资源观测器（kubewatch）：是容器环境中自定义资源监控观察器，用于监视指定的自定义资源的更改，并将这些变化以通知的形式发布到可用的渠道。
34.下面对本技术提供的容器环境下的安全基准的管理方法进行详细介绍。
35.如图1所示，本技术的实施例提供一种容器环境下的安全基准的管理方法，该方法
的实现可依赖于计算机程序，该计算机程序可运行于智能手机、平板电脑、个人电脑等计算机设备或者运行于服务器，本实施例不对该方法的运行主体作限定。该方法至少包括以下几个步骤：步骤101，显示安全管理主界面，安全管理主界面包括安全扫描控件。
36.其中，安全扫描控件用于在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面。
37.步骤102，在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面；安全扫描展示界面包括策略控件。
38.本实施例中，安全扫描控件包括容器环境下的互联网安全中心对应的中心扫描控件、容器环境漏洞对应的漏洞扫描控件和容器环境权限对应的权限扫描控件。
39.相应地，安全扫描展示界面包括互联网安全中心对应的中心扫描展示界面，容器环境漏洞对应的漏洞扫描展示界面和容器环境权限对应的权限扫描展示界面。
40.策略控件包括漏洞扫描展示界面中的漏洞扫描策略控件、权限扫描展示界面中的权限扫描策略控件、中心扫描展示界面中的中心扫描策略控件。
41.本实施例中，策略控件用于在接收到作用于策略控件的操作后，显示策略展示界面。
42.同时，安全扫描展示界面还包括报告控件，相应地，扫描报告控件包括洞扫描展示界面中的漏洞扫描报告控件、权限扫描展示界面中的权限扫描报告控件和中心扫描展示界面中的中心扫描报告控件。
43.本实施例中，报告控件用于在接收到作用于报告控件的操作后，显示安全扫描报告展示界面。
44.另外，中心扫描展示界面还包括配置文件控件。配置文件控件用于在接收到作用于配置文件控件的操作后，显示配置文件展示界面。
45.参考图2，图中的“k8s-cis扫描”控件，即，中心扫描控件。图中的“cis配置文件”控件，即，配置文件控件。在接收到作用于cis配置文件”控件的操作后，显示配置文件展示界面。配置文件展示界面包括新增配置文件控件和配置文件展示区域。配置文件展示区域中包括“文件名称”、“文件描述”和“总用例”的展示区域。
46.通过新增配置文件控件可以创建新的配置文件，配置文件包括文件模板、文件名称、文件描述、跳过用例和选择用例等，此处不对配置文件的具体内容作限定。
47.不同的配置文件设置有对应的配置编辑控件和配置删除控件。其中，配置编辑控件用于对配置文件的具体内容进行编辑，配置删除控件用于删除对应的配置文件。
48.步骤103，在接收到作用于策略控件的操作后，显示策略展示界面；策略展示界面包括策略新增控件。
49.其中，策略新增控件用于新建安全扫描策略。
50.具体地，安全扫描展示界面包括策略展示区域，策略展示区域包括安全扫描策略对应的开启状态控件和策略编辑控件，开启状态控件用于控制对应的安全扫描策略开启或关闭。
51.在安全扫描策略处于关闭状态的情况下，可以对安全扫描策略进行编辑。
52.具体地，对安全扫描策略进行编辑，包括：通过接收作用于策略编辑控件的操作，
显示策略编辑界面；策略编辑界面用于编辑安全扫描策略；通过策略编辑界面接收安全扫描策略的编辑信息；通过编辑信息编辑安全扫描策略。
53.比如：参考图3，以安全扫描策略为漏洞扫描策略为例，在漏洞扫描策略处于关闭状态的情况下，通过接收作用于图中的“编辑”控件，即策略编辑控件的操作，对该漏洞扫描策略进行编辑。
54.步骤104，在接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域。
55.其中，策略配置区域用于接收策略配置信息。策略配置信息是指安全扫描策略的配置信息。
56.步骤105，通过策略配置区域接收策略配置信息。
57.步骤106，基于策略配置信息生成安全扫描策略。
58.本实施例中，策略配置区域还包括策略生成控件，在接收作用于策略生成控件的操作后，生成安全扫描策略。
59.比如：参考图4，以新增中心扫描策略为例，图中的“确定”控件，即，策略生成控件。在接收策略配置信息之后，接收作用于“确定”控件的操作，生成新的中心扫描策略。
60.在本实施例中，由于策略配置信息可能存在错误，在策略配置信息存在错误的情况下可能导致安全扫描无法进行，因此，在基于策略配置信息生成安全扫描策略之前，还需要对策略配置信息进行参数检验。
61.具体地，基于策略配置信息生成安全扫描策略之前，还包括：对策略配置信息进行参数校验，得到校验结果；在校验结果指示策略配置信息校验未通过的情况下，将校验指示的未通过参数校验的参数在策略配置区域中显示。
62.比如：参考图5，将策略配置信息进行参数校验，当策略配置信息未通过参数检验的情况下，将校验指示的未通过参数校验的参数在策略配置区域中显示。当策略配置信息通过参数检验的情况下，生成安全扫描策略。
63.进一步，在对安全扫描策略进行编辑之后，还包括：对安全扫描策略的编辑信息进行参数校验。
64.比如：参考图5，在安全扫描策略处于关闭状态的情况下，对安全扫描策略进行编辑，对安全扫描策略的编辑信息进行参数校验，在编辑信息通过参数校验的情况下，生成编辑后的安全扫描策略，并通过数据同步将编辑后的安全扫描策略在安全扫描策略展示界面中显示。其中，数据同步可以通过资源观测器（kubewatch）进行处理，关于资源观测器具体实现方式此处不再赘述。
65.本实施例中，在生成安全扫描策略之后，为了实现对容器环境进行安全扫描，还需要基于安全扫描策略创建扫描任务。
66.具体地，基于策略配置信息生成安全扫描策略之后，还包括：基于安全扫描策略创建扫描任务；通过扫描任务对容器环境进行安全扫描，得到扫描结果。
67.其中，基于安全扫描策略创建扫描任务是通过策略控制管理器（securitycron controller manager）监听自定义资源（custom resource，cr）的创建情况，在策略控制管理器监听到自定义资源的创建之后，通过策略控制管理器对自定义资源进行检测，得到策略配置信息。
68.在本实施例中，互联网安全中心扫描对应的自定义资源是互联网安全中心基准资源（cis benchmark），即，互联网安全中心对应的安全扫描策略，漏洞扫描对应的自定义资源是漏洞扫描工具资源（kubehunter），即，容器环境漏洞对应的安全扫描策略，权限扫描对应的自定义资源是权限扫描工具资源（kubeaudit），即，容器环境权限对应的安全扫描策略。
69.参考图6，策略控制管理器监听互联网安全中心基准资源、漏洞扫描工具资源和权限扫描工具资源的创建情况，在任意一个自定义资源，即任意一个安全扫描策略创建完成后，通过策略控制管理器获取安全扫描策略对应的策略配置信息，并基于策略配置信息创建扫描任务。
70.在本实施例中，策略配置信息还包括扫描周期，扫描周期用于指示扫描任务执行的周期，基于安全扫描策略创建扫描任务，包括：基于扫描周期创建周期扫描任务；周期扫描任务按照扫描周期生成单次扫描任务。
71.比如：若扫描周期为每天凌晨零点进行安全扫描，则周期扫描任务会在明天凌晨零点生成一个单次扫描任务，在该单次扫描任务完成之后，会自动删除该单次扫描任务。
72.在本实施例中，扫描周期通过设置周期计划（cron schedule）的参数实现。
73.在创建完成扫描任务之后，执行该扫描任务，得到扫描结果。
74.为了使用户能够清楚了解扫描结果，在得到扫描结果之后，还需要基于扫描结果生成扫描报告，并保存扫描报告，同时，为用户提供下载。
75.其中，扫描报告包括基本信息和扫描项信息，基本信息包括报告名称、配置文件名称、扫描集群、互联网安全中心版本、检查时间、扫描项总数、实际扫描项数、通过项数、未通过项数、跳过项数等。
76.比如：参考图7，以互联网安全中心扫描对应的中心扫描报告展示界面为例，图中的“cis扫描报告”控件，即，中心扫描报告控件，在接收作用于中心扫描报告控件的操作后，显示中心扫描报告展示界面，中心扫描报告展示界面用于展示中心扫描报告。如图7所示的中心扫描报告展示界面，该界面中包括“下载”控件，即，中心扫描报告下载控件。具体地，在接收作用于中心扫描报告下载控件的操作后，下载中心扫描报告下载控件对应的扫描报告，将对应的扫描报告打包压缩后传输到本地或远端。
77.另外，本实施例中，扫描报告展示页中展示的扫描报告的数量存在限制，在扫描报告的数量超过数量限制的情况，删除存储时间最长的扫描报告。
78.具体地，策略配置信息还包括扫描报告的保留数量；在保存的扫描报告的数量超过保留数量的情况下，删除指定的扫描报告。
79.其中，指定的扫描报告可以是保留时间最长的扫描报告，也可以是保留时间最短的扫描报告，此处不对指定的扫描报告的确定作限定。
80.综上，本实施例提供的容器环境下的安全基准的管理方法，包括：显示安全管理主界面，安全管理主界面包括安全扫描控件；在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面；安全扫描展示界面包括策略控件；在接收到作用于策略控件的操作后，显示安全扫描策略展示界面；安全扫描策略展示界面包括策略新增控件；在接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域；通过策略配置区域接收策略配置信息；基于策略配置信息生成安全扫描策略。可以解决容器环境的维护
效率较低的问题。通过接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域；通过策略配置区域接收策略配置信息；基于策略配置信息生成安全扫描策略；不需要以人工的形式使用cis和二进制工具对容器环境进行安全扫描，降低了安全扫描的学习门槛，提高了容器环境的维护效率。
81.另外，安全扫描控件包括互联网安全中心对应的中心扫描控件、容器环境漏洞对应的漏洞扫描控件和容器环境权限对应的权限扫描控件，通过设置针对容器环境的互联网安全中心、权限和漏洞三个方面的扫描策略，多角度的对容器环境进行安全扫描，提高容器环境的安全性。
82.本实施例提供一种容器环境下的安全基准的管理装置，如图8所示。该装置包括至少以下几个模块：第一显示模块810、第二显示模块820、第三显示模块830、第四显示模块840、信息接收模块850和策略生成模块860。
83.第一显示模块810，用于显示安全管理主界面，安全管理主界面包括安全扫描控件。
84.第二显示模块820，用于在接收到作用于安全扫描控件的操作后，显示安全扫描展示界面；安全扫描展示界面包括策略控件。
85.第三显示模块830，用于在接收到作用于策略控件的操作后，显示安全扫描策略展示界面；安全扫描策略展示界面包括策略新增控件。
86.第四显示模块840，用于在接收到作用于策略新增控件的操作后，显示策略配置界面；策略配置界面包括策略配置区域。
87.信息接收模块850，用于通过策略配置区域接收策略配置信息。
88.策略生成模块860，用于基于策略配置信息生成安全扫描策略。
89.相关细节参考上述方法和设备实施例。
90.需要说明的是：上述实施例中提供的容器环境下的安全基准的管理装置在进行容器环境下的安全基准的管理时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将容器环境下的安全基准的管理装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的容器环境下的安全基准的管理装置与容器环境下的安全基准的管理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
91.本实施例提供一种电子设备，如图9所示。该电子设备至少包括处理器910和存储器920。
92.处理器910可以包括一个或多个处理核心，比如：4核心处理器、8核心处理器等。处理器910可以采用dsp（digital signal processing，数字信号处理）、fpga（field－programmable gate array，现场可编程门阵列）、pla（programmable logic array，可编程逻辑阵列）中的至少一种硬件形式来实现。处理器910也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu（central processing unit，中央处理器）；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器910可以在集成有gpu（graphics processing unit，图像处理器），gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器910还可以包括ai（artificial intelligence，人工智能）处理器，该ai处理器用于处理有关机器学习的
计算操作。
93.存储器920可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器920还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器920中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器910所执行以实现本技术中方法实施例提供的容器环境下的安全基准的管理方法。
94.在一些实施例中，电子设备还可选包括有：外围设备接口和至少一个外围设备。处理器910、存储器920和外围设备接口之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口相连。示意性地，外围设备包括但不限于：射频电路、触摸显示屏、音频电路、和电源等。
95.当然，电子设备还可以包括更少或更多的组件，本实施例对此不作限定。
96.可选地，本技术还提供有一种计算机可读存储介质，计算机可读存储介质中存储有程序，程序由处理器加载并执行以实现上述方法实施例的容器环境下的安全基准的管理方法。
97.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
98.显然，上述所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，可以做出其它不同形式的变化或变动，都应当属于本技术保护的范围。