پروژه استیرولیت منبع باز با هدف ساده سازی امنیت زمان کانتینر

یک ابزار قابل برنامه ریزی قابل برنامه ریزی ، استیرولیت برای تهیه ماسه جعبه های سبک وزن برای بارهای کاری مبتنی بر کانتینر ، فضای نام های هسته ای لینوکس را قفل می کند.

امروز ادرا پروژه باز به نام styrolite را برای به دست آوردن کنترل های محکم تر به تعامل بین ظروف و نام های هسته لینوکس ، در زیر یک لایه زیر که در آن Containe Container (OCI) Runtimes (OCI) عمل می کند ، راه اندازی کرد.

در حالی که حوادث امنیتی زنجیره ای نرم افزار مانند log4j و

ایجاد شده توسط آریادن کنیل ، بنیانگذار و مهندس برجسته در Edera ، Styrolite یک ابزار ماسه ای قابل برنامه ریزی است که به تیم های مهندسی پلت فرم امکان می دهد تا تعامل بین ظروف و فضای نام لینوکس را “قرنطینه” کنند. این نام از یک ماده قرنطینه علمی- fi در نسل بعدی Star Trek آمده است.

کانیل می گوید ، از نظر تاریخی ، زمان اجرا کانتینر ضمانت های انزوا بسیار ضعیفی را ارائه داده است. وی گفت: “من فکر می کنم ما به جایی رسیده ایم که مردم فقط درک نمی کنند که چگونه این مؤلفه ها با هم جمع می شوند و فکر می کنند که نام های نام ها انزوا واقعی را فراهم می کنند.” “آنها نمی توانند ، زیرا آنها به عنوان زیر مجموعه ای از دولت هسته مشترک وجود دارند.” 

نام های نام های لغزنده لینوکس

فضای نام لینوکس به ظروف اجازه می دهد تا منابع اساسی در محیط های چند مستاجر را انتخاب کنند. اما در حالی که دست دادن به کانتینر به کوبرتس به انعطاف پذیری نیاز دارد تا بارهای کاری را در کنار هم بر روی میزبان های مختلف لینوکس در خوشه ها قرار دهد ، اما فضای نام های لینوکس هرگز به عنوان مرزهای امنیتی در نظر گرفته نشده بود. به همین دلیل حملات زمان اجرا کانتینر و فرار کانتینر بسیار شیوع دارد. 

“اساساً استرولیت شبیه به یک رابط زمان اجرا کانتینر (CRI) است اما بر تعامل واقعی ظروف با هسته متمرکز شده است.” “استیرولیت بر تضمین اصول چگونگی نصب تصاویر در مناطق نام در مناطقی مانند زمان بندی ، مونتاژ و مجموعه های فرآیند در فضای نام فرآیند تمرکز دارد.”

با مدیریت چرخه زندگی برای آن فعل و انفعالات فضای اصلی ، استرولیت از طریق پیکربندی تصاویر کانتینر خود ، کنترل گرانول بیشتری را بر تعاملات منابع ظروف می بخشد.

که به صورت زنگ زدگی نوشته شده و به عنوان یک میکروسرویس طراحی شده است ، می گوید استرولیت به “ایجاد شکاف بین پارادایم محاسبات مدرن ابر بومی و تکنیک های امنیتی سنتی مانند امنیت مبتنی بر مجازی کمک می کند.”

“ما اساساً استرولیت را به روشی مشابه نحوه عملکرد اجزای OCI انجام داده ایم.” “در اصل ، ما مدیریت ماسه جعبه کانتینر را به همان روشی که Kubernetes از CRI برای اتصال به کانتینر یا سایر پیاده سازی های CRI استفاده می کند ، به یک میکروسرویس مناسب تبدیل کرده ایم.”

کانتینر کانتینر ماسه سنگی

تلاش های دیگری در مورد ماسهبازی در زمان های کانتینر انجام شده است. bubblewrap شناخته شده ترین شناخته شده است ، به عنوان پروژه ماسهبازی کانتینر سطح پایین که معمولاً برای ساختهای فدورا و RPM استفاده می شود. 

“این ابزارها یا بسیار سطح بالایی هستند (مانند Kubernetes CRI) ، یا آنها طراحی شده اند تا از طریق اسکریپت پوسته استفاده شوند.” “در حالی که CLIS امکان تکرار سریع را فراهم می کند ، ما می خواستیم یک رابط کاربری غنی برای تخم ریزی و مدیریت ظروف ایجاد کنیم.” 

برای توسعه دهندگان و متخصصان امنیتی که قبلاً برای حباب استفاده می کردند ، می گوید که آنها بلافاصله متوجه می شوند که چگونه استیرولیت متفاوت از تنظیمات امنیتی برخوردار است. BubbleWrap ابزاری بسیار معتبر با رابط کاربری خط فرمان پیچیده است که باعث می شود کسی خیلی سریع حرکت کند تا سهواً امتیازات میزبان را افزایش دهد.

“پیمایش این تنظیمات زمان اجرا بدون نگهبان مناسب این است که چگونه می توانید به طور تصادفی به کانتینرها دسترسی کامل به فهرست ریشه در یک میزبان اعطا کنید ، هنگامی که فقط سعی می کردید از اشتراک پرونده عبور کنید.”

Conill یک بیداری امنیتی گسترده را در امنیت کانتینر مشاهده می کند ، و او معتقد است ابزارهایی مانند استرولیت به طور پیش فرض از تنظیمات امنیتی بهتر بنیادی هستند.