Microsoft объявляет IPE, новую функцию целостности кода для Linux

На этой неделе Microsoft опубликовала подробности о новом проекте.

Проект над которым компания работает над ядром Linux. Именованное применение политики целостности — или IPE — проект представляет собой модуль безопасности Linux (LSM). LSM — это необязательные дополнения для ядра Linux, которые обеспечивают дополнительные функции безопасности. Согласно опубликованной в понедельник странице документации , IPE — это попытка Microsoft решить проблему целостности кода для Linux — операционной системы, которую компания широко использует в своей облачной службе Azure. В системах Linux, где включен IPE, системные администраторы могут создать список двоичных файлов, которым разрешено выполнять, а затем добавить атрибуты проверки, которые ядро ​​должно проверять для каждого двоичного файла, прежде чем разрешить его запуск. Если двоичные файлы были изменены злоумышленником, IPE может заблокировать выполнение вредоносного кода.

Не предназначен для общей базы пользователей Linux

Microsoft говорит, что IPE не предназначена для вычислений общего назначения. IPE LSM был разработан для очень специфических случаев использования, когда безопасность имеет первостепенное значение, и администраторы должны полностью контролировать работу своих систем. Примеры включают в себя встроенные системы, такие как устройства сетевого брандмауэра, работающие в центре обработки данных, или серверы Linux, на которых выполняются строгие и неизменные конфигурации и приложения. «IPE, аналогично SELinux, поддерживает два режима работы: разрешительный и принудительный», — заявляет Microsoft. «Разрешающий режим выполняет те же проверки, что и принудительный режим, и регистрирует нарушения политики, но не применяет политику. Это позволяет пользователям тестировать политики перед их применением». Сегодня Microsoft опубликовала спецификации для нового модуля IPE. В настоящее время IPE находится в состоянии RFC (запрос комментариев). Пройдет некоторое время, прежде чем он будет поставляться с настоящим ядром Linux. Ядро Linux уже включает в себя LSM для целостности кода под названием Архитектура измерения целостности (IMA). Microsoft заявила, что IPE отличается от IMA, потому что «она не зависит от метаданных файловой системы» и поскольку атрибуты IPE «являются детерминированными свойствами, которые существуют только в ядре», то есть IPE не нуждается в дополнительном коде, как IMA, требуются подписи IMA.

Похожие Статьи

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.