top of page

Linux a zabezpečení kontejnerů: Odstranění závislostí modulů



Společnost Bitdefender nedávno oznámila řešení GravityZone Security for Containers, které rozšiřuje zabezpečení cloudových pracovních zátěží (CWS) o podporu běhu kontejnerů a infrastruktur s moduly linuxového jádra (LKM) nezávisle na technologii Bitdefender.


Využití kontejnerů pro cloudové pracovní zátěže v posledních letech rychle roste, protože tyto nástroje mohou vývojářům pomoci urychlit poskytování aplikací a provádět aktivity v oblasti digitální transformace. To však může přinést zvýšené organizační riziko, protože bezpečnostní týmy zůstávají do značné míry slepé vůči podezřelým aktivitám v linuxových prostředích a kontejnerových pracovních zátěžích.


Mezi výhody a funkce řešení GravityZone Security for Containers patří:

  • Modulární architektura zvyšující výkon a účinnost zabezpečení bez pádů jádra

  • Detekce útoků typu zero-day a známých exploitů probíhá v reálném čase

  • Kompletní bezpečnostní přehled o všech kontejnerech a pracovních zátěžích v hybridních nebo multicloudových prostředích


Nezávislost na modulu jádra


Většina kontejnerů funguje v prostředí UNIX a Linux. Jádro je hlavní součástí operačního systému (OS) Linux a má výsadní právo dohlížet a řídit celý systém, v němž se kontejnery nacházejí. Výpadek jádra je poměrně běžné bezpečnostní opatření, ke kterému dochází, když operační systém zjistí vnitřní fatální chybu a rozhodne se vše vypnout. Ačkoli se jedná o poměrně běžný bezpečnostní postup, vede k narušení pracovních postupů a zvýšení zátěže správců při údržbě. Může také zvýšit provozní zátěž běžných uživatelů Linuxu, sysadminů, DevOps a infrastrukturních inženýrů. Aplikace pracující v uživatelském prostoru využívají ke spolupráci s jádrem systémová volání (syscalls). Když požaduje data od jádra, operační systém za určitých podmínek překračuje hraniční prostor mezi uživatelem a jádrem a kopíruje data jádra do uživatelského prostoru. V důsledku toho mohou mít aplikace v uživatelském prostoru vážné dopady na výkon a ztrátu kontextových informací.


Aby se předešlo výše uvedenému problému, jsou moduly linuxového jádra napsány tak, aby pracovaly výhradně v prostoru jádra. Mezi výhody použití LKM oproti tradičnímu přístupu patří, že není nutné překračovat hranice pro přiřazení paměti z uživatelského prostoru, moduly mají přístup ke všemu co potřebují z jádra, a umožňují přehled o provozu syscallu a mohou snadno přidávat funkce jádra.


Díky těmto modulům však může být jádro náchylné ke zneužití a každá nová verze linuxového jádra může zavedené funkce rozbít. Moduly LKM je proto třeba přetvořit tak, aby byly kompatibilní s novými verzemi jádra, aby nedošlo k pádu produkčního systému, nebo ještě hůře -k bezpečnostním rizikům.



Co je eBPF a proč je důležitý?


Extended Berkeley Packet Filter (eBPF) je moderní a výkonná technologie použitá v jádře Linuxu. Rozšiřuje možnosti jádra, aniž by vyžadovala úpravy zdrojového kódu nebo načítání LKM.


V tomto moderním a modulárním přístupu:

  • Do jádra lze psát a nahrávat drobné programy.

  • Jsou připojeny k sondám, které umožňují dynamickou modifikaci jádra za běhu.

  • Data pro aplikace v uživatelském prostoru se vypisují do mapy eBPF / ftrace / perf bufferu


Na rozdíl od modulu jádra je eBPF součástí jádra Linuxu, která umožňuje spouštění upravených kódů považovaných za zcela bezpečné v daném prostředí. Umožňuje zákazníkům rychle přeformátovat své LKM na nejnovější distribuce Linuxu, aniž by došlo k pádu jádra nebo zavedení nestability.


Společnosti, které tuto funkci povolí, mohou snížit požadavky na testování a ověřování, které závislosti na jádře vyžadují, a vyhnout se riziku problémů se zabezpečením a stabilitou systému.



Nová technologie Bitdefender pro zabezpečení Linuxu a kontejnerových úloh


Nový Bitdefender GravityZone Security for Containers poskytuje prevenci hrozeb, eXtended Endpoint Detection and Response (XEDR) a ochranu proti zneužití kontejnerů běžících v privátních a veřejných cloudech.


Obrázek: Model zabezpečení Bitdefender Linuxu and Container



Bitdefender přijal a bezproblémově integroval svou pokročilou platformu ochrany s architekturou eBPF, která umožňuje obranu proti moderním exploitům, zero-day zranitelnosti aplikací a operačních systémů, a pokročilým trvalým hrozbám.


Modulární architektura poskytuje lepší přehled, proaktivní prevenci a zvyšuje účinnost zabezpečení, aby nedošlo ke kompromitaci v kontejnerovém prostředí.



kProbes a anti-malware


Jak je patrné z výše uvedeného obrázku:

  • kProbes umožňují používat breakpointy jádra, které po zasažení spustí uživatelem nakonfigurovaný program eBPF.

  • Výstup z kProbes je načten a umístěn do Ring Buffer / perf buffer

  • Ring Buffer dále distribuuje události do EDR, Advanced Anti-Exploit a Anti-Malware/ HyperDetect


Nástroj proti škodlivému softwaru (AM) podporuje komponentu EDR, aby se zlepšily poznatky o analýze příčin (RCA). Jakékoli škodlivé skripty příkazového řádku nebo podezřelé úpravy souborů, například aplikace zero-day, jsou detekovány před zneužitím protivníkem.


V případě pokročilého anti-exploitu (AAE) jsou programy eBPF propracovanější než v případě běžných událostí EDR. Technologie například po každém spuštění programu kontroluje nové procesy na případná zvýšená oprávnění prostřednictvím neznámých chyb v jádře.



Řešení Bitdefender pro závislosti jádra


Bitdefender dodržuje standardy CIS a poskytuje integrované řešení, které zákazníkům pomáhá proaktivně identifikovat zranitelnosti a hrozby. Naše pokročilé strojové učení dokáže rychle korelovat a propojit jednotlivé body mezi kontejnery, hostiteli, aplikacemi a zařízeními IOT.


Telemetrie incidentů dokáže přesně identifikovat analýzu hlavních příčin spolu s detekcí a reakcí způsobem, který omezuje dopad v rámci předem definované tolerance rizika.


GravityZone Security for Containers chrání kontejnery a cloud-native workloady před závislostmi na linuxovém jádře, útoky typu zero-day a známými exploity aplikací v reálném čase, a identifikuje celý kontext incidentů včetně toho, kterých obrazů a modulů se týkaly.


Spolu se specializovanými detekčními a vyšetřovacími schopnostmi spotřebovává technologie Bitdefender méně systémových prostředků a umožňuje správcům provádět místní, centrální a hybridní skenování ze stejné konzole pro správu.


Zjistěte více o tom, jak implementovat účinnou strategii zabezpečení kontejnerů, a vyžádejte si bezplatné demo.

39 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše

Comments


Commenting has been turned off.
bottom of page