Docker намерена усилить безопасность ядра Linux с помощью LinuxKit

Проект LinuxKit инкубирует несколько технологий повышения безопасности Linux, включая Wireguard VPN и Landlock.

Поставщик контейнеров Docker намерен усилить безопасность ядра Linux посредством нескольких зарождающихся в его сообществе LinuxKit проектов. LinuxKit представляет собой Open Source-инициативу, которую Docker официально представила 18 апреля как набор инструментов для создания оптимизированных для контейнеров дистрибутивов Linux.

«Безопасность имеет важнейшее значение для Docker, и LinuxKit предоставляет нам возможность содействовать ее укреплению», — сказал директор Docker по безопасности Натан Макколи. По его словам, в рамках LinuxKit имеется ряд инкубируемых проектов, нацеленных на повышение безопасности Linux. Docker и инициатива LinuxKit стремятся также сделать всю работу по защите ядра Linux частью основного направления развития ядра Linux, добавил он.

«Мы знаем, что в сообществе Linux масса людей работает над совершенствованием безопасности, и хотим, чтобы они могли развивать и наращивать свои усилия в рамках LinuxKit», — отметил Макколи.

Wireguard

Wireguard VPN для Linux — один из инкубируемых в сообществе LinuxKit проектов с открытым кодом. «Wireguard — это новая виртуальная частная сеть (VPN) для Linux с использованием криптографии, которая лежит в основе некоторых действительно хороших приложениях для защищенного обмена сообщениями вроде WhatsApp», — сообщил Макколи. В WhatsApp применяется Noise Protocol Framework — технология, также образующая ядро Wireguard VPN. Wireguard привносит в Linux значительно облегченную и надежную технологию VPN, продолжил он.

«Интересная особенность Wireguard заключается в том, что она может быть вмонтирована в сетевое пространство имен, предоставляя возможность зашифрованного обмена информацией между контейнерами», — отметил Макколи.

Проект Kernel Self Protection

В 2016 г. разработчик Google Кис Кук запустил проект Kernel Self Protection Project (KSPP) с целью создания дополнительных уровней защиты ядра Linux. Одной из многих областей применения KSPP является смягчение риска повреждения памяти.

Как сказал Макколи, KSPP имеет большую важность для усиления защиты Linux и для совершенствования LinuxKit. Поэтому в Docker несколько работающих на полной ставке сотрудников трудятся над этим проектом и вносят в него свой вклад.

Landlock

В ядре Linux основного направления развития имеется несколько модулей защиты Linux Security Module (LSM), которые обеспечивают политики контроля доступа для процессов Linux. Двумя наиболее популярными из них являются SELinux и AppArmor. SELinux первоначально был разработан в Агентстве национальной безопасности США, а теперь представляет собой ключевой компонент дистрибутивов Linux на базе Red Hat.

LinuxKit инкубирует новый LSM под названием Landlock. Он использует фильтры extended Berkeley Packet Filters (eBPF) для подключения небольших программ к ядру Linux. «Эти программы eBPF создают контекст, который в случае интеграции с подключением LSM обеспечивает очень надежное принятие решений, — написал на сайте GitHub инженер Docker по безопасности Рияз Файзуллабхой при добавлении Landlock в LinuxKit. — В частности, это прекрасно подходит для вычислительных сред на базе контейнеров».

Landlock может использоваться для написания политик с целью ограничения доступа контейнеров к дескрипторам не принадлежащих им файлов, служащих последней линией обороны для ограничения утечек (escapes) из контейнеров. И этим он может быть полезен пользователям контейнеров Docker, отметил Файзуллабхой.

Макколи подчеркнул, что Landlock предоставляет весьма гибкий набор правил, которые могут использоваться для защиты развертывания контейнеров. Системным администраторам не всегда легко конфигурировать существующие LSM. Макколи надеется, что Landlock будет проще в использовании.

Рынок технологий защиты контейнеров растет. Продукты для него создают многие производители, включая Twistlock, Anchore, Aqua Security, NeuVector, Aporeto, Tenable и Capsule8. Запуская проект LinuxKit, Docker рассчитывает способствовать появлению еще одного важнейшего элемента безопасности контейнеров. «Экосистема безопасности контейнеров весьма креативна, и меня это очень воодушевляет, — сказал Макколи. — Являясь провайдером платформы, мы делаем все, что в наших силах, для решения фундаментальных проблем безопасности и создания защищенного субстрата, на базе которого приложения смогут использовать функции платформы».