Confira !!
Em setembro, havia um "pedido de comentários" inicial do Google em algum trabalho do kernel que eles estão fazendo com o KRSI (Kernel Runtime Security Instrumentation) para fornecer assistentes de segurança movidos a eBPF, em última análise, para criar políticas dinâmicas de MAC e auditoria. Pouco antes do Natal, a primeira versão oficial desta nova instrumentação baseada em eBPF foi enviada e está sendo preparada para implantação no Google.
A série de patches que propõe o KRSI ao bpf-next explica o plano de fundo e o design da Kernel Runtime Security Instrumentation:
O Google faz uma rica análise dos dados de segurança em tempo de execução coletados das implantações internas do Linux (dispositivos e servidores corporativos) para detectar e impedir ameaças em tempo real. Atualmente, isso é feito em módulos personalizados do kernel, mas gostaríamos de substituí-lo por algo que seja upstream e útil para outras pessoas.
A infraestrutura atual do kernel para fornecer telemetria (Auditoria, Perf etc.) é disjunta da imposição de acesso (ou seja, LSMs). Aumentar as informações fornecidas pela auditoria requer alterações do kernel para auditoria, sua linguagem de políticas e componentes do espaço do usuário. Além disso, a construção de uma política MAC com base nos dados de telemetria recém-adicionados exige alterações em vários LSMs e em seus respectivos idiomas de política.
Esse conjunto de patches propõe um novo LSM empilhável e privilegiado que permite que os ganchos do LSM sejam implementados usando o eBPF. Isso facilita uma política de auditoria e MAC unificada e dinâmica (não exigindo a recompilação do kernel).
A série de patches também descreve como o KRSI difere do Landlock LSM e de outros módulos de segurança atualmente disponíveis na árvore do kernel.
Os engenheiros do Google usaram o KRSI para também construir alguns exemplos de usuários para registrar eventos de execução, detectar a exclusão de executáveis em execução, gravações na memória do processo e trabalhos relacionados. O Google começou a implantar essa instrumentação em suas estações de trabalho Linux e espera obter esse código em breve. Dependendo da rapidez com que amadurece, poderíamos ver a Instrumentação de Segurança de Tempo de Execução do Kernel chegando com o ciclo Linux 5.6.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário