in

KRSI (Kernel Runtime Security Instrumentation) do Google estreia em 2020

Antes do Natal, primeiros arquivos ficaram prontos. Meta é tornar o Kernel Linux mais seguro.

KRSI (Kernel Runtime Security Instrumentation) do Google estreia em 2020

Desde o mês de setembro do ano passado, havia um “pedido de comentários” inicial do Google em relação ao trabalho do kernel que eles estão fazendo com o KRSI (Kernel Runtime Security Instrumentation). O objetivo é fornecer assistentes de segurança movidos a eBPF. Em última análise, isso serve para criar políticas dinâmicas de MAC e auditoria. Pouco antes do Natal, a primeira versão oficial desta nova instrumentação baseada em eBPF foi enviada e está sendo preparada para implantação no Google. Portanto, a expectativa é de que o KRSI deva estrear em 2020.

A série de patches que propõe o KRSI ao bpf-next explica o plano de fundo e o design da Kernel Runtime Security Instrumentation:

KRSI (Kernel Runtime Security Instrumentation) do Google estreia em 2020

O Google faz uma rica análise dos dados de segurança em tempo de execução coletados das implantações internas do Linux (dispositivos e servidores corporativos) para detectar e impedir ameaças em tempo real. Atualmente, isso é feito em módulos personalizados do kernel, mas gostaríamos de substituí-lo por algo que seja upstream e útil para outras pessoas.

A infraestrutura atual do kernel para fornecer telemetria (Auditoria, Perf etc.) é disjunta da imposição de acesso (ou seja, LSMs). Aumentar as informações fornecidas pela auditoria requer alterações do kernel para auditoria, sua linguagem de políticas e componentes do espaço do usuário. Além disso, a construção de uma política MAC com base nos dados de telemetria recém-adicionados exige alterações em vários LSMs e em seus respectivos idiomas de política.

Esse conjunto de patches propõe um novo LSM empilhável e privilegiado que permite que os ganchos do LSM sejam implementados usando o eBPF. Isso facilita uma política de auditoria e MAC unificada e dinâmica (não exigindo a recompilação do kernel).

KRSI (Kernel Runtime Security Instrumentation) do Google estreia em 2020

A série de patches também descreve como o KRSI é diferente do Landlock LSM e de outros módulos de segurança atualmente disponíveis na árvore do kernel.

Os engenheiros do Google usaram o KRSI para também construir alguns exemplos de usuários para registrar eventos de execução, detectar a exclusão de executáveis ??em funcionamento, gravações na memória do processo e trabalhos relacionados.

O Google começou a implantar essa instrumentação em suas estações de trabalho Linux e espera obter esse código em breve. Assim, dependendo da rapidez com que amadurece, poderíamos ver a Instrumentação de Segurança de Tempo de Execução do Kernel chegando com o ciclo Linux 5.6.

Fonte: Phoronix

Escrito por Claylson Martins

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão.

Linux 5.6-rc1 lançado

Kernels Linux 5.4.7, 4.19.92 e 4.14.161 lançados para finalizar 2019

Linux 5.6-rc2 lançado com atualização de ferramentas

Kernel Linux entra em 2020 com 27,8 milhões de linhas no Git