От Майкрософт анонсираха нов проект за Linux ядрото, свързан със сигурността.
Само два месеца след анонса на IoT-базираната Azure Cloud Platform, от Майкрософт подемат друга инициатива по този проект за IoT Embeded устройства, свързана със сигурността. Компанията има намерение да разработи нов модул за сигурността Linux security module (LSM), който е наречен Integrity Policy Enforcement (IPE).
Целта на IPE е да проверява непокътнатостта на Linux ядрото чрез добавянето на нова функция, касаеща сигурността. IPE представлява Linux модул по сигурността, който ще проверява интегритета на цялата система, като ще пречи на всяко неоторизирано изпълнение на код. Контролът на модула се предоставя в ръцете на системните администратори.
Освен контрола на модула, администраторите ще могат да създават списък с бинарни файлове със съответните атрибути за удостоверяване, което цели позволяването на работата само на тези бинарни файлове, които притежават тези атрибути, като по този начин IPE ще спира зловредния или променен бинарен код.
Въпреки че Linux ядрото вече има няколко модула, които да отговарят за целокупността (интегритета) на кода, като например IMA, то IPE за пръв път предлага удостоверяване на бинарния код. Майкрософт твърдят, че IPE се различава от другите подобни LSM модули в някои отношения.
Например IPE не зависи по никакъв начин от метаданните на файловата система и от атрибутите, които модулът проверява. IPE не имплементира и никакви механизми за удостоверяване на IMA сигнатурните файлове поради причината, че Linux ядрото вече има модули за тази цел, като например dm-verity.
Според Майкрософт новият проект ще предостави модул по сигурността, проверяващ непокътнатостта на Linux ядрото и който ще се справя по-добре от съществуващите към момента модули, които според компанията не предоставят максимална защита срещу изпълнението на зловреден код.
Погледнато от друг ъгъл, Майкрософт просто отново използват отворения код и гъвкавостта, която предлага Linux, за да подсигури собствените си системи, в частност Azure Cloud Platform, което през годините се доказа, че не може да се случи с продктите на компанията, на която не стигнаха десетилетия, за да се справи с тях.
Повече за Integrity Policy Enforcement (IPE) можете да научите тук.
