25.09.2021

Linux и безопасность контейнеров: удаление зависимостей модулей

Bitdefender > Новости > Linux и безопасность контейнеров: удаление зависимостей модулей

Bitdefender недавно анонсировал GravityZone Security for Containers, расширив безопасность облачных рабочих нагрузок (CWS). С технологией вы получите поддержку контейнеров и инфраструктур с независимостью от модуля ядра Linux (LKM).

Использование контейнеров для облачных рабочих нагрузок в последние годы быстро растет, поскольку инструменты ускоряют для разработчиков доставку приложений и инициатив по цифровой трансформации. Однако это может привести к повышенному организационному риску, поскольку группы безопасности не обращают внимания на подозрительную активность в своих средах Linux и рабочих нагрузках контейнеров.

Некоторые из преимуществ и особенностей GravityZone Security for Containers:

  • Модульная архитектура повышает производительность и эффективность безопасности без сбоев ядра.
  • Обнаружение атак нулевого дня и известных атак с использованием эксплойтов происходит в режиме реального времени.
  • Полная видимость безопасности для всех контейнеров и рабочих нагрузок в гибридных или мультиоблачных средах.

Независимость модуля ядра

Большинство контейнеров работают в средах UNIX и Linux.

Ядро – основной компонент операционной системы (ОС) Linux с привилегированной возможностью наблюдать и контролировать всю систему, в которой находятся контейнеры.

Паника ядра — это относительно распространенная мера безопасности, которая возникает, когда ОС обнаруживает внутреннюю фатальную ошибку и принимает решение все выключить. Хотя это относительно распространенная процедура обеспечения безопасности, она приводит к нарушению рабочих процессов и увеличению нагрузки на администраторов по обслуживанию. Это также может увеличить операционную нагрузку на обычных пользователей Linux, системных администраторов, DevOps и инженеров инфраструктуры.

Приложения, работающие в пользовательском пространстве, используют системные вызовы. Когда она запрашивает данные у ядра, происходит следующее:

  1. При определенных условиях ОС пересекает граничное пространство пользователя / ядра.
  2. Копирует данные ядра в пользовательское пространство.
  3. В результате приложения пользовательского пространства могут столкнуться с серьезными последствиями для производительности и потерей контекста.

Чтобы избежать вышеуказанной проблемы, модули ядра Linux написаны для работы исключительно в пространстве ядра. Преимущества использования LKM по сравнению с традиционным подходом включают:

  • Отсутствие пересечения границ для выделения памяти из пользовательского пространства.
  • Модули имеют доступ ко всему, что им нужно, из ядра.
  • Модули же позволяют отслеживатьтрафик системных вызовов и могут легко добавлять функциональные возможности в ядро.

Эти модули могут сделать ядро уязвимым для эксплойтов, и каждая новая версия ядра Linux может нарушить введенные функции. Поэтому LKM необходимо отрефакторить, чтобы они были совместимы с версиями ядра во избежание рисков безопасности.

Что такое eBPF и почему это важно?

Расширенный фильтр пакетов Беркли (eBPF) – это современная и мощная технология, реализованная в ядре Linux. Он расширяет возможности ядра, не требуя редактирования исходного кода или загрузки LKM.

В этом современном модульном подходе:

  • Можно писать крошечные программы и загружать их в ядро.
  • Они прикреплены к зондам, которые позволяют динамически изменять ядро ​​во время выполнения.
  • Данные записываются за пользовательские приложения к карте eBPF / ftraceперфорация буфер.

В отличие от модуля ядра, eBPF является частью ядра Linux, которое позволяет настраивать коды, которые считаются полностью безопасными для выполнения в среде. Это позволяет клиентам быстро реорганизовать свои LKM до последних дистрибутивов Linux без паники ядра или нестабильности.

Компании, которые включают эту функцию, могут снизить требования к тестированию и проверке, необходимые для зависимостей ядра, и избегать риска проблем с безопасностью и стабильностью системы.

Новая технология Bitdefender для защиты рабочих нагрузок Linux и контейнеров

Новый Bitdefender Security для контейнеров обеспечивает предотвращение угроз, расширенное обнаружение конечных точек и реагирование (XEDR), а также защиту от эксплойтов для контейнеров, работающих в частных и общедоступных облаках.

Рис.1: Модель безопасности Bitdefender Linux и мониторинга контейнеров.

 

Bitdefender адаптировал и безупречно интегрировал свою платформу расширенной защиты с архитектурой eBPF для защиты от современных эксплойтов, уязвимостей приложений и ОС нулевого дня, а также от сложных постоянных угроз.

Модульная архитектура обеспечивает улучшенную видимость, превентивное предотвращение и повышает эффективность безопасности, чтобы избежать компрометации в среде контейнера.

kProbes и защита от вредоносных программ

Как видно из рисунка выше:

  • kProbesвключает точки останова ядра, которые при попадании запускают настроенную пользователем программу eBPF.
  • Выходные данные kProbesизвлекаются и помещаются в кольцевой буфер / буфер перфорации.
  • Buffer Ringдополнительно распределяет события в EDR, Advanced Anti-Exploit и Anti-Malware / HyperDetect.

Средство защиты от вредоносных программ (AM) питает компонент EDR, чтобы улучшить анализ первопричин (RCA). Любые вредоносные сценарии командной строки или подозрительные модификации файлов, например приложения нулевого дня, обнаруживаются до использования злоумышленником.

Для расширенной защиты от эксплойтов (AAE) программы eBPF более сложны, чем в случае простых событий EDR. Например, после каждого выполнения программы технология проверяет новые процессы на наличие повышенных привилегий через неизвестные ошибки ядра.

Разрешение Bitdefender для зависимостей ядра

Bitdefender придерживается критериев CIS и предоставляет интегрированное решение, которое помогает клиентам своевременно выявлять уязвимости и угрозы. Наше передовое машинное обучение может быстро сопоставить и соединить точки между контейнерами, хостами, приложениями и устройствами IOT.

Телеметрия инцидентов может точно идентифицировать анализ первопричин, а также обнаруживать и реагировать таким образом, чтобы ограничить воздействие в рамках заранее определенного допуска к риску.

GravityZone Security for Containers защищает контейнеры и облачные рабочие нагрузки от зависимостей ядра Linux, атак «нулевого дня» приложений и известных эксплойтов в режиме реального времени и определяет полный контекст инцидентов, включая то, какие образы и модули были задействованы.

Наряду с целенаправленными возможностями обнаружения и расследования технология Bitdefender потребляет меньше системных ресурсов и позволяет администраторам выполнять локальное, центральное и гибридное сканирование из одной консоли управления.

 

Узнайте больше о том, как реализовать эффективную стратегию безопасности контейнеров, и запросите бесплатную демонстрацию.

Новости
20.10.2021
Подводные камни, которых следует избегать с программой обучения навыкам безопасности
19.10.2021
Как предотвратить атаки типа «человек посередине»
18.10.2021
Лучшие советы по безопасности малого и среднего бизнеса о кибербезопасности