Rate this post

Sau hai tháng kể từ khi ra mắt thiết bị dựa trên IoT Nền tảng đám mây Azure, Microsoft hiện đã công bố một mô-đun bảo mật Linux (LSM) mới cho các thiết bị nhúng. Mô-đun bảo mật, được gọi là Thực thi chính sách toàn vẹn (IPE), nhằm giải quyết vấn đề toàn vẹn trong nhân Linux bằng cách thêm một tính năng bảo mật mới.

IPE là gì?

IPE là một mô-đun bảo mật Linux kiểm tra tính toàn vẹn của mã trên toàn bộ hệ thống, hạn chế bất kỳ việc thực thi mã trái phép nào. Quản trị viên có toàn quyền kiểm soát việc chạy các quy trình được ủy quyền.

Theo quan chức ghi chú, quản trị viên hệ thống cũng có thể tạo danh sách các tệp nhị phân với các thuộc tính xác minh tương ứng. Điều này giúp IPE chỉ chạy các tệp nhị phân có các thuộc tính đã được xác minh và chặn mã nhị phân độc hại hoặc bị thay đổi.

Nếu bạn chưa biết, nền tảng Azure IoT thực hiện cùng một nhân Linux. Do đó, dự án IPE được thiết kế đặc biệt cho các hệ thống nhúng với các mục đích cụ thể như thiết bị tường lửa mạng trong trung tâm dữ liệu. Tuy nhiên, bạn không thể sử dụng IPE cho mục đích tính toán chung.

IPE khác với các mô-đun bảo mật Linux khác như thế nào?

Mặc dù nhân Linux đã có một số mô-đun để xác minh tính toàn vẹn như IMA. IPE đặc biệt cung cấp xác minh thời gian chạy mã nhị phân. Microsoft tuyên bố rằng IPE khác với các LSM khác theo nhiều cách khác nhau để kiểm tra tính toàn vẹn.

Ví dụ: IPE không phụ thuộc vào siêu dữ liệu hệ thống tệp và các thuộc tính mà IPE kiểm tra. Hơn nữa, IPE không triển khai bất kỳ cơ chế nào để xác minh tệp chữ ký IMA. Điều này là do nhân Linux đã có các mô-đun tương tự như dm-verity.

Chủ sở hữu hệ thống có thể xây dựng các chính sách của riêng họ để kiểm tra tính toàn vẹn và sử dụng chữ ký dm-verity tích hợp sẵn để xác thực mã.

Để kết luận, dự án mới mang đến một mô-đun bảo mật Linux mới mà các mô-đun khác không làm được để bảo mật hệ thống khỏi thực thi mã độc.