Společnost Bitdefender nedávno oznámila řešení GravityZone Security for Containers, které rozšiřuje zabezpečení cloudových pracovních zátěží (CWS) o podporu běhu kontejnerů a infrastruktur s moduly linuxového jádra (LKM) nezávisle na technologii Bitdefender.
Využití kontejnerů pro cloudové pracovní zátěže v posledních letech rychle roste, protože tyto nástroje mohou vývojářům pomoci urychlit poskytování aplikací a provádět aktivity v oblasti digitální transformace. To však může přinést zvýšené organizační riziko, protože bezpečnostní týmy zůstávají do značné míry slepé vůči podezřelým aktivitám v linuxových prostředích a kontejnerových pracovních zátěžích.
Mezi výhody a funkce řešení GravityZone Security for Containers patří:
Modulární architektura zvyšující výkon a účinnost zabezpečení bez pádů jádra
Detekce útoků typu zero-day a známých exploitů probíhá v reálném čase
Kompletní bezpečnostní přehled o všech kontejnerech a pracovních zátěžích v hybridních nebo multicloudových prostředích
Nezávislost na modulu jádra
Většina kontejnerů funguje v prostředí UNIX a Linux. Jádro je hlavní součástí operačního systému (OS) Linux a má výsadní právo dohlížet a řídit celý systém, v němž se kontejnery nacházejí. Výpadek jádra je poměrně běžné bezpečnostní opatření, ke kterému dochází, když operační systém zjistí vnitřní fatální chybu a rozhodne se vše vypnout. Ačkoli se jedná o poměrně běžný bezpečnostní postup, vede k narušení pracovních postupů a zvýšení zátěže správců při údržbě. Může také zvýšit provozní zátěž běžných uživatelů Linuxu, sysadminů, DevOps a infrastrukturních inženýrů. Aplikace pracující v uživatelském prostoru využívají ke spolupráci s jádrem systémová volání (syscalls). Když požaduje data od jádra, operační systém za určitých podmínek překračuje hraniční prostor mezi uživatelem a jádrem a kopíruje data jádra do uživatelského prostoru. V důsledku toho mohou mít aplikace v uživatelském prostoru vážné dopady na výkon a ztrátu kontextových informací.
Aby se předešlo výše uvedenému problému, jsou moduly linuxového jádra napsány tak, aby pracovaly výhradně v prostoru jádra. Mezi výhody použití LKM oproti tradičnímu přístupu patří, že není nutné překračovat hranice pro přiřazení paměti z uživatelského prostoru, moduly mají přístup ke všemu co potřebují z jádra, a umožňují přehled o provozu syscallu a mohou snadno přidávat funkce jádra.
Díky těmto modulům však může být jádro náchylné ke zneužití a každá nová verze linuxového jádra může zavedené funkce rozbít. Moduly LKM je proto třeba přetvořit tak, aby byly kompatibilní s novými verzemi jádra, aby nedošlo k pádu produkčního systému, nebo ještě hůře -k bezpečnostním rizikům.
Co je eBPF a proč je důležitý?
Extended Berkeley Packet Filter (eBPF) je moderní a výkonná technologie použitá v jádře Linuxu. Rozšiřuje možnosti jádra, aniž by vyžadovala úpravy zdrojového kódu nebo načítání LKM.
V tomto moderním a modulárním přístupu:
Do jádra lze psát a nahrávat drobné programy.
Jsou připojeny k sondám, které umožňují dynamickou modifikaci jádra za běhu.
Data pro aplikace v uživatelském prostoru se vypisují do mapy eBPF / ftrace / perf bufferu
Na rozdíl od modulu jádra je eBPF součástí jádra Linuxu, která umožňuje spouštění upravených kódů považovaných za zcela bezpečné v daném prostředí. Umožňuje zákazníkům rychle přeformátovat své LKM na nejnovější distribuce Linuxu, aniž by došlo k pádu jádra nebo zavedení nestability.
Společnosti, které tuto funkci povolí, mohou snížit požadavky na testování a ověřování, které závislosti na jádře vyžadují, a vyhnout se riziku problémů se zabezpečením a stabilitou systému.
Nová technologie Bitdefender pro zabezpečení Linuxu a kontejnerových úloh
Nový Bitdefender GravityZone Security for Containers poskytuje prevenci hrozeb, eXtended Endpoint Detection and Response (XEDR) a ochranu proti zneužití kontejnerů běžících v privátních a veřejných cloudech.
Obrázek: Model zabezpečení Bitdefender Linuxu and Container
Bitdefender přijal a bezproblémově integroval svou pokročilou platformu ochrany s architekturou eBPF, která umožňuje obranu proti moderním exploitům, zero-day zranitelnosti aplikací a operačních systémů, a pokročilým trvalým hrozbám.
Modulární architektura poskytuje lepší přehled, proaktivní prevenci a zvyšuje účinnost zabezpečení, aby nedošlo ke kompromitaci v kontejnerovém prostředí.
kProbes a anti-malware
Jak je patrné z výše uvedeného obrázku:
kProbes umožňují používat breakpointy jádra, které po zasažení spustí uživatelem nakonfigurovaný program eBPF.
Výstup z kProbes je načten a umístěn do Ring Buffer / perf buffer
Ring Buffer dále distribuuje události do EDR, Advanced Anti-Exploit a Anti-Malware/ HyperDetect
Nástroj proti škodlivému softwaru (AM) podporuje komponentu EDR, aby se zlepšily poznatky o analýze příčin (RCA). Jakékoli škodlivé skripty příkazového řádku nebo podezřelé úpravy souborů, například aplikace zero-day, jsou detekovány před zneužitím protivníkem.
V případě pokročilého anti-exploitu (AAE) jsou programy eBPF propracovanější než v případě běžných událostí EDR. Technologie například po každém spuštění programu kontroluje nové procesy na případná zvýšená oprávnění prostřednictvím neznámých chyb v jádře.
Řešení Bitdefender pro závislosti jádra
Bitdefender dodržuje standardy CIS a poskytuje integrované řešení, které zákazníkům pomáhá proaktivně identifikovat zranitelnosti a hrozby. Naše pokročilé strojové učení dokáže rychle korelovat a propojit jednotlivé body mezi kontejnery, hostiteli, aplikacemi a zařízeními IOT.
Telemetrie incidentů dokáže přesně identifikovat analýzu hlavních příčin spolu s detekcí a reakcí způsobem, který omezuje dopad v rámci předem definované tolerance rizika.
GravityZone Security for Containers chrání kontejnery a cloud-native workloady před závislostmi na linuxovém jádře, útoky typu zero-day a známými exploity aplikací v reálném čase, a identifikuje celý kontext incidentů včetně toho, kterých obrazů a modulů se týkaly.
Spolu se specializovanými detekčními a vyšetřovacími schopnostmi spotřebovává technologie Bitdefender méně systémových prostředků a umožňuje správcům provádět místní, centrální a hybridní skenování ze stejné konzole pro správu.
Zjistěte více o tom, jak implementovat účinnou strategii zabezpečení kontejnerů, a vyžádejte si bezplatné demo.