基于容器技術的藝術院校招生系統微服務架構安全應用＊

北京電影學院 張亮

容器是在新環境(例如測試環境)中運行軟件的一種流行的解決方案。它“包含”整個運行環境，其中包括應用程序、所有依賴項、配置文件和庫。從信息技術角度講，“容器”在很多方面都優于虛擬化技術，組件依賴性較弱，所需數量更少，運行時對資源的需求更低。這些特征使其在高校數字校園應用建設中，特別是藝術類院校招生系統建設中具有更大優勢，由于我國藝術類院校具有專業校考環節，招生系統隨招生政策及人才選拔要求的變化而不斷變化，基于容器技術的微服務IT架構能很好滿足招生業務需求。容器環境下，“單進程模型”雖完美契合了應用架構微服務化的未來趨勢，且容器化程度的不斷提高使架構演進更加可靠成熟，但它對應用巨大的侵入性使其無法在有著復雜多樣存量應用的大規模場景順利落地。因此在藝術院校信息系統應用中，容器安全問題伴隨業務系統架構的不斷升級，逐漸受到更多重視。

1 微服務架構及其特性

微服務架構由多個“微服務”組成，因此開發對象將由“庫”變為“微服務”，這與其他軟件開發方式有很大不同。單個微服務對應單一、獨立的業務功能，并且只對“必須的”操作進行定義。整體上看，軟件會被解耦為多個小片段，每個片段功能相對獨立，彼此不會發生關系，如此一來，當有故障發生時，便不會影響整個軟件運行，微服務架構會第一時間響應請求，并針對故障問題做出快速變更。容器的作用在于，它能夠針對解耦做進一步擴展，使軟件與底層硬件彼此分離，這樣，微服務的充分分解應用程序目的便能順利達成，開發和部署會變得更加敏捷[1]。

微服務與ESB具有明顯差異性，與ESB相比，微服務可以實現服務間的交互，并不包含規范化數據建模，也不會對同級別接口進行控制。ESB則不同，它包含著大量差異性內容，如模式驗證、消息路由等。相比之下，微服務架構更適合藝術院校業務系統的開發使用。在開發速度上，微服務優勢更加明顯，其服務衍變只需匹配業務需求即可。微服務架構特性包括以下4個方面。

1.1 獨立部署

微服務架構下，微服務運行進程表現出明顯的獨立特性，針對任何一個微服務都可進行獨立部署。傳統架構則不同，無論變更對象有多小，都需要重新構建和部署整個架構。顯然，微服務架構所具有的獨立部署特性，使其更優于傳統架構，更能滿足應用需求，節省時間的同時，也提高了運行效率，同時也最大限度保證了系統環境安全性。

1.2 技術選型靈活

除獨立部署外，微服務架構還具有技術選型靈活特性。它可以針對發展現狀和實際需求來選擇技術棧，并且被選擇的技術棧通常都是最合適、合理的。更為重要的是，當需要升級技術棧時，需要承擔的風險會更低，即便重構微服務也是十分容易的，這些都與微服務的簡單性有直接關系。

1.3 容錯

相比傳統架構，微服務架構具有更強容錯性。傳統架構下，單組功能出現故障后，極易影響其他組進程，進而使整個應用無法正常運行。但微服務架構不同，一旦單個服務功能發展故障，會被第一時間進行隔離，使其他服務不會因故障影響停止。

1.4 擴展

微服務架構下，單個服務彼此獨立，并且都能得到有效擴展。一旦各組件表現出明顯的擴展需求差異時，微服務架構便會根據不同組件需求進行靈活調整。

2 容器安全概述

容器作為學校業務系統重要的承載環境，其安全性和穩定性至關重要，可以從容器部署環境和容器自身架構安全方面進行分析，進行有針對性的安全防護保障。

（1）保護容器管道和應用。容器管道保護一般分為收集鏡像、管理訪問權限、整合安全測試和自動化部署等4項內容。由于“容器”是在一定數量文件創建過程中出現的，所以這些文件也被稱作“容器鏡像”。而對于容器安全來說，確定基礎鏡像的可靠性，提高可信程度就變得十分重要。但在實際應用中卻發現，鏡像的可靠性一般很難得到充分保證，隨著應用添加行為地增加，以及配置更改次數的增多，變數就會越大[2]。因此，在高校教育應用中，內容管理強度與外部內容引入頻率通常是相輔相成的。訪問限制和升級一般在“鏡像”獲取之后，這就意味著，已構建成功的鏡像需要受到嚴格保護。參考一般業務系統的分權控制機制，根據不同用戶身份來控制訪問權限是一種穩妥的保障思路，可通過配置文件來進行配置，保障元數據安全可控。

（2）容器的基礎運行環境是容器安全的基礎。容器自身的設計架構安全性是比較有保障的，主要利用主機操作系統（OS）提供的隔離，而若要使容器平臺的彈性得到進一步加強，通過網絡命名空間來隔絕應用和環境，被認為是比較好的一種方式，同時也能夠實現附加存儲。

3 Docker容器安全性分析

根據筆者的調研，Docker是目前高校業務系統探索容器化改造應用技術最廣泛的容器技術之一，其技術架構非常契合高校業務系統進行微服務架構改造建設的總體趨勢。相比其他容器平臺，Docker并不具有很強的IaaS和PaaS邊界性，甚至在某種程度上會使它們模糊化，這是其眾多優點之一。除此之外，還包括部署與測試的持續性，以及支持跨云平臺。關于Docker容器安全性，Docker容器技術相比傳統虛擬化技術也具備獨立的安全特性，包括不同容器進程之間獨立運行，具有各自獨立的網絡環境，文件系統高度隔離等特點。在Docker容器環境中，各容器相當于運行在宿主機上的若干特殊應用程序，這些應用程序將共享宿主機操作系統資源包括運算處理器、內存等，有別于傳統虛擬化完全虛擬出一個獨立的操作系統環境不同，不同容器進程間的安全隔離特性與傳統虛擬化方式相比天生具備理論差距，這點不可避免[3]。

4 Docker容器安全風險分析

Docker容器安全風險主要包括3方面內容，即鏡像安全風險、容器虛擬化安全風險、網絡安全風險。因篇幅有限，本文僅介紹前2種安全風險。

4.1 鏡像安全風險

4.1.1 鏡像創建過程分析

通過分析Docker鏡像不同的打包方式，我校在進行業務系統容器化改造中為了去報最小安裝原則，采用Dockerfile文件構建容器鏡像，在基礎鏡像上只打包必要的應用依賴環境，隨著業務系統的需要不斷添加完善。

4.1.2 鏡像漏洞分析

鏡像漏洞目前在市場上是廣泛存在的，根據調研目前已發送多起在Docker鏡像中植入數字貨幣挖礦惡意程序的鏡像，損害Docker容器用戶利益，不法黑客利用容器漏洞可獲取容器高級別的管理權限，用于數據竊取或挖礦等行為進行經濟獲利。對于已知漏洞，可及時進行鏡像補丁更新進行漏洞安全加固，對于未知漏洞，可結合外部網絡安全防護措施進行保障，比如在宿主機上部署殺毒軟件，在宿主機對外的通信網絡關鍵節點上部署APT防護系統等，多種安全防護措施協同保障容器安全。對于學校而言，容器鏡像的安全至關重要，是一類或多類重要教學、管理業務系統的底層運行環境，一旦環境安全得不到保障，對業務系統穩定性、重要數據的安全性都會造成重大威脅，可能釀成重大安全事件，造成不良社會影響。

4.1.3 鏡像倉庫安全分析

鏡像倉庫的安全包括鏡像倉庫自身環境安全以及鏡像獲取過程中的安全，獲取過程中又涉及鏡像完整性安全、傳輸安全等。對于鏡像倉庫環境安全，對Docker容器技術在高校的應用需要特別注重，因為我校業務系統眾多，部分業務涉及校職工及學生敏感數據，私有鏡像倉庫的建立必不可少，不同于公有云環境可由公有云供應商保障鏡像倉庫環境安全，學校的私有鏡像倉庫必須由自身進行保障，一旦被不法黑客所控制，那么其中所有鏡像的安全性將無法得到保證。對于鏡像獲取過程中的安全，可通過在我校私有鏡像庫和用戶端采用加密鏈路傳輸來保障傳輸安全問題，目前通用的明文傳輸方式在傳輸過程中容易遭受中間人攻擊，造成鏡像被非法截取，非法篡改植入惡意代碼，最終給業務系統帶來安全風險，鏡像倉庫也可基于國密算法進行鏡像的加密存儲、完整性校驗，持續保障鏡像安全可靠。

4.2 容器虛擬化安全風險

容器虛擬化安全主要涉及容器隔離、容器逃逸攻擊等問題。

4.2.1 容器隔離

Docker容器相對傳統的虛擬化技術，不同容器之間共享宿主機的運算處理器、內存、操作系統等資源，理論上可能存在容器與容器之間、容器與宿主機之間安全隔離不當的安全風險，造成不同應用系統直接數據非法傳輸、網絡非授權訪問、進程間非必要通信等問題。

4.2.2 容器逃逸攻擊

容器逃逸攻擊指的是容器利用系統漏洞，“逃逸”出了其自身所擁有的權限，實現了對宿主機和宿主機上其他容器的訪問。由于容器與宿主機共享宿主機的運算處理器、內存、操作系統等資源，為避免容器獲取宿主機高級別操作權限，可規范容器使用操作流程，未來我校在容器部署應用中要求操作人員不許采用特權模式運行Docker容器。

5 容器安全保護方案

5.1 鏡像安全保護方案

如前面所述，容器是基于具體的鏡像內容來進行構建的，而鏡像又是由從不同路徑所獲取的文件所組成的，任何一個帶有惡意性的文件存在于鏡像中，或鏡像本身存在未被察覺的漏洞，容器安全自然會受到威脅。顯然，容器安全由鏡像安全直接決定。

5.2 容器虛擬化安全保護方案

容器虛擬化安全保護的主要內容是保護容器的部署環境和基礎架構，利用主機操作系統（OS）提供的隔離對主機和容器進行保護。

5.2.1 利用訪問控制機制對容器部署環境和基礎構架進行保護

SE Linux全稱為安全增強式Security-Enhanced Linux（SE Linux），一般Linux發行版本都默認帶的功能，在開啟SE Linux的情況下（Enforcing模式），可通過在系統內核中實現強制存取控制（MAC）安全性機制，讓所有訪問默認是被拒絕的，類似防火墻可設置開啟白名單功能，SE Linux可通過配置例外策略實現部分系統服務、進程、用戶等具備有限的系統資源訪問權限[4]。對于我校招生系統而言，這樣的設計能夠在很大程度上解決考生資料泄露的問題，考生報名時所填寫的信息也將很難被篡改。

5.2.2 容器資源隔離與限制

在資源隔離方面，Docker基于Namespace機制實現容器與容器之間、容器與宿主機之間應用程序、數據資源、網絡資源、文件系統的相對獨立，這是一種在充分利用宿主機上環境資源的基礎上較為合理的安全設計。

在資源限制方面，在筆者調研實驗中基于CGroups實現宿主機上不同容器的資源訪問限制與數據調用審計，包括對運算處理器、系統內存、硬盤I/O、網絡資源等IT基礎資源進行適用性調整，有效防止單個容器耗盡所有資源造成其他容器或整個宿主機的拒絕服務安全風險，保證所有容器的正常運行。

6 結語

根據筆者在工作中的實際分析，與虛擬化技術相比，基于Docker容器技術對招生系統進行微服務架構改造，具有節約成本、易維護、安全性高等特點，尤其面對藝術類院校招生系統每年隨著政策變化的客觀現狀，容器系統可實現測試環境與正式生產環境的業務系統的快速遷移同步。容器技術對于集約高效設計理念相比傳統虛擬化技術弱化了部分安全隔離特性，而且由于自身的設計理念、部署方式、應用特點還引入了部分新的安全風險，涉及到本文提到的容器鏡像漏洞安全、鏡像倉庫安全、資源共享訪問安全、網絡隔離安全等各個層面。藝術院校招生系統的安全穩定性要求不言而喻，在應用容器技術進行系統部署時，應充分評估安全風險，根據各學校應用場景進行針對性設計，并結合整個智慧校園環境形成整體部署方案，才可能形成容器技術在藝術院校招生系統安全應用最佳實踐。

引用

[1]宋勝攀,劉振慧,莊東燃.開源容器技術安全分析[J].保密科學技術,2021(1):29-35.

[2]李佳曦.基于容器技術的云化平臺安全風險與應對分析[J].信息通信技術,2020,14(6):26-31+38.

[3]吳棟淦.Docker容器技術在網絡安全實驗室的應用研究[J].韶關學院學報,2020,41(6):23-28.

[4]張楠.云計算中使用容器技術的信息安全風險與對策[J].信息網絡安全,2015(9):278-282.