基于LSM的容器多级安全隔离系统设计与优化
网络安全与数据治理
熊明俊1,郭培馨2
1. 金航数码科技有限责任公司; 2. 军工保密资格审查认证中心
摘要: 随着容器技术在生产环境中的广泛应用,其安全隔离机制的不足逐渐显现。提出一种基于Linux安全模块框架(Linux Security Modules, LSM)的容器多级安全隔离模型,通过定义容器化的主体与客体,引入安全标签对容器进程和文件资源进行分类标记,构建细粒度的强制访问控制策略。在此基础上,开发了DLSM(Docker LSM)原型系统,从容器进程隔离和共享数据卷隔离两个层面强化防护:限制容器对宿主机关键目录及其他容器文件系统的访问路径,防范越权与逃逸风险;对共享数据卷实施分组管理与权限分级,避免数据泄露或篡改。与SELinux、AppArmor等方案的对比实验表明,DLSM在拦截容器逃逸、敏感目录挂载及跨容器通信等攻击场景中均实现100%拦截成功率,且各项性能开销控制在5%以内,是一种兼顾安全与效率的容器隔离方案。
中图分类号:TP309文献标志码:ADOI:10.19358/j.issn.2097-1788.2026.05.002
中文引用格式:熊明俊,郭培馨.基于LSM的容器多级安全隔离系统设计与优化[J].网络安全与数据治理,2026,45(5):11-17.
英文引用格式:Xiong Mingjun, Guo Peixin. Design and optimization of multi-level security isolation system for containers based on LSM[J].Cyber Security and Data Governance,2026,45(5):11-17.
Design and optimization of multi-level security isolation system for containers based on LSM
Xiong Mingjun1, Guo Peixin2
1. AVIC Digital Corporation Ltd.; 2. Defence Industry Secrecy Examination and Certification Center
Abstract: With the widespread adoption of container technology in production environments, deficiencies in security isolation mechanisms have become increasingly apparent. This paper proposes a multi-level security isolation model for containers based on the Linux Security Modules (LSM) framework. The model constructs fine-grained Mandatory Access Control (MAC) policies by defining containerized subjects and objects and introducing security labels to classify container processes and file resources. A Docker LSM (DLSM) prototype system is developed to strengthen protection at two levels: restricting container access to host critical directories and other container file systems to prevent privilege escalation and escape, and implementing grouped management with permission grading for shared data volumes to prevent data leakage or tampering. Comparative experiments with SELinux and AppArmor demonstrate that DLSM achieves a 100% interception rate in across container escape, sensitive directory mounting, and cross-container communication attack scenarios, with performance overhead kept below 5%, providing an effective solution balancing container security and efficiency.
Key words : container isolation; multi-level security; mandatory access control; LSM; Docker

引言

容器技术因启动快速、资源利用率高和部署灵活等优势,在云计算与制造业信息系统中得到广泛应用。然而,容器共享宿主机操作系统内核,主要依靠命名空间(Namespace)和控制组(cgroups)实现隔离[1],在隔离强度上存在固有缺陷。一旦隔离机制被突破,恶意容器可对宿主机或其他容器发起攻击,导致数据泄露甚至业务中断[2]。近年来,随着多起容器逃逸漏洞事件(如CVE202421626 “Leaky Vessels”、CVE202423651等[3])的曝光,容器安全隔离的紧迫性进一步凸显。

现有容器安全方案主要包括基于强制访问控制(Mandatory Access Control, MAC)的SELinux[4]和AppArmor[5],以及基于内核模拟的gVisor等沙箱方案。SELinux策略编写复杂,在容器场景下配置与运维门槛较高[6];AppArmor配置相对简单,但细粒度隔离能力不足;gVisor通过拦截系统调用实现强隔离,但性能损耗达15%~50%,不适用于高并发场景。近年来,扩展伯克利包过滤器(extended Berkeley Packet Filter, eBPF)技术被应用于容器运行时安全监控[7],但eBPF被发现在云环境中存在跨容器攻击风险[8]。此外,Falco等工具实现了基于系统调用的异常检测;无训练的容器异常检测和系统调用依赖图的逃逸检测也取得进展[9];Kata Containers等轻量级虚拟化方案从架构层面增强隔离;容器安全威胁建模为系统化防御提供了理论基础。上述方案虽然各有优势,但在共享数据卷的细粒度访问控制方面仍存在不足,难以满足多租户环境下“安全隔离与高效共享”的双重需求。

此外,容器自身安全机制存在多个薄弱环节[10]。例如:/proc、/sys等系统关键目录在容器间共享[11],命名空间配置缺陷导致越权[12],共享数据卷缺乏差异化访问控制[13]等。Martinez Delbugio等[14]提出的增强型LSM方案虽改善了内存安全性,但未涉及多级安全隔离。

针对上述问题,本文提出基于LSM框架的多级安全隔离系统DLSM。该系统通过安全标签实现容器进程的强制隔离,通过分组与安全等级机制实现共享数据卷的细粒度访问控制,兼顾安全性与性能效率。DLSM的核心创新在于:

(1)标签动态绑定机制,支持运行时策略热更新;

(2)轻量化策略执行引擎,性能开销控制在5%以内;

(3)数据卷细粒度访问控制,实现“同组共享、跨组隔离、高等级可读低等级”的多级安全模式。


本文详细内容请下载:

https://www.chinaaet.com/resource/share/2000007086


作者信息:

熊明俊1,郭培馨2

(1. 金航数码科技有限责任公司,北京100028;

2. 军工保密资格审查认证中心,北京100000)

通知公告
编辑观点
理事会
参考资料
版权声明

凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。

《网络安全与数据治理》(原《信息技术与网络安全》)编辑部
Copyright © 2005-2024 《网络安全与数据治理》(原《信息技术与网络安全》)版权所有 京ICP备10017138号-3