云平台PaaS层安全容器的设计与实现

【摘要】：云计算作为一种新型的分布式计算模型、商业计算模型,得到了学术、政府等各界的广泛关注。但是云计算利用分布式,共享资源、虚拟化等技术实现系统高可用性、经济性的同时,也必然在安全性上存在隐患。 本论文研究了云平台PaaS层及其面临的安全问题,介绍了目前已有的云平台解决方案,并分析其不足,最后提出了多租户云平台PaaS层的应用安全解决方案,从应用安全、容器安全和网络安全三个方面来实现云平台PaaS层安全容器。 在多租户云平台PaaS层中,最主要的安全原则便是多租户应用隔离,即提供应用运行的沙箱环境。本论文基于Java安全体系结构的沙箱模型,针对本论文Servlet容器Jetty的特点,提出了一种新的安全沙箱模型,实现应用对资源访问控制的同时保证系统运行效率。同时,系统SDK模块提供了运行于沙箱中的应用访问文件和Web Service的能力,提高系统的可扩展性。为了进一步实现安全,白名单模块实现应用对JRE系统类的访问控制,并且提出了两种白名单的实现方案。 容器安全主要考虑容器信息隐藏,避免恶意应用针对容器漏洞进行攻击。通过研究应用获取容器信息的一般方式,本论文从三个方面实现容器信息隐藏：屏蔽Servlet相关API；集中管理容器内的Jar包；对容器响应的异常信息进行拦截和包装。 云平台PaaS层安全容器的网络安全主要通过抗DDoS防火墙的安全边界保护来实现,同时在容器内对所有用户请求进行流量整型,保证系统稳定的运行。