Microsoft apresenta novo projeto para o kernel Linux

Microsoft apresenta novo projeto para o kernel Linux
Com o compromisso da Microsoft de lançá-la além do Windows 10 (incluindo uma versão Linux), pode ser que a Microsoft tenha mais motivos para sorrir no próximo ano, e talvez um pouco mais de participação no mercado.

Depois de dois meses após o lançamento da Plataforma em Nuvem do Azure baseada na IoT, a Microsoft anunciou agora um novo LSM (Linux Security Module) para dispositivos incorporados. O módulo de segurança, chamado IPE (Integrity Policy Enforcement), tem como principal objetivo resolver o problema de integridade no kernel Linux, adicionando um novo recurso de segurança.

O que é o IPE (Integrity Policy Enforcement)?

Microsoft apresenta novo projeto para o kernel Linux

IPE é um módulo de segurança Linux que verifica a integridade do código em todo o sistema, restringindo qualquer execução não autorizada de código. Os administradores têm controle total sobre a execução de processos autorizados.

De acordo com as notas oficiais, um administrador do sistema também pode criar uma lista de binários com os atributos de verificação correspondentes. Isso ajuda o IPE a executar apenas os binários com atributos verificados e bloquear o código (binário) malicioso ou alterado.

Caso você não saiba, a plataforma IoT do Azure implementa o mesmo kernel Linux. Portanto, o projeto IPE foi especialmente desenvolvido para sistemas embarcados com finalidades específicas, como dispositivos de firewall de rede em um data center. No entanto, você não pode usar o IPE para computação de uso geral.

Como o IPE difere de outros módulos de segurança Linux?

Entretanto, o kernel Linux já possui vários módulos para verificação de integridade, como o IMA. O IPE oferece especificamente verificação em tempo de execução do código binário. A Microsoft alega que o IPE difere de outros LSMs de várias maneiras que fornecem verificação de integridade.

Por exemplo, o IPE não depende dos metadados do sistema de arquivos e dos atributos que o IPE verifica. Além disso, o IPE não implementa nenhum mecanismo para verificar os arquivos de assinatura do IMA. Isso ocorre porque o kernel Linux já possui módulos para o mesmo como dm-verity.

Os proprietários do sistema podem criar suas próprias políticas para verificações de integridade e utilizar assinaturas internas do dm-verity para autenticar códigos.

Para concluir, o novo projeto traz um novo módulo de segurança Linux que outros módulos falham em proteger o sistema contra a execução de código malicioso.

Fossbytes

Acesse a versão completa
Sair da versão mobile