Microsoft развивает открытую систему sandbox-изоляции Litebox

Джеймс Моррис (James Morris), мэйнтенер подсистемы обеспечения безопасности ядра Linux, возглавляющий в компании Microsoft команду «Linux Emerging Technologies», представил проект Litebox, позиционируемый как сфокусированная на безопасности операционная система в форме библиотеки (Library OS). Litebox может использоваться в программах или ядрах как дополнительный слой изоляции, блокирующий доступ к излишней функциональности ядер или API для снижения поверхности атак. Код проекта написан на языке Rust и открыт под лицензией MIT.

Идея «Library OS» в том, что сервисы операционной системы напрямую встраиваются в приложение вместо обращения к внешнему ядру ОС при помощи системных вызовов. В контексте Litebox к приложениям подключается изолирующая прослойка, предоставляющая минимальную платформу, транслирующую запросы к внешнему полнофункциональному программному интерфейсу. В качестве подобных внешних интерфейсов могут выступать ядро Linux, защищённые изолированные окружения OP-TEE (Open Portable Trusted Execution Environment), Webassembly-окружения или стандартная библиотека RustStd.

Формируемая через Litebox минимальная платформа применима для запуска приложений Linux, Windows и FreeBSD, вложенных ядер Linux и LVBS (Linux Virtualization Based Security). В качестве возможных областей применения Litebox упоминается обеспечения запуска немодифицированных Linux-программ в Windows, изоляция выполнения Linux-приложений на системах с ядром Linux, запуск программ поверх AMD SEV SNP для шифрования памяти, выполнение OP-TEE-программ в Linux и изоляция с использованием концепции LVBS.

Проект LVBS, представитили которого участвуют в разработке Litebox, развивает методы для защиты компонентов ядра Linux, использующие возможности гипервизоров и аппаратной виртуализации. Например, при помощи гипервизора могут изолироваться операции контроля подлинности модулей, верификации, управления доступом к паролям, ключам, структурам ядра и другим критически важным ресурсам. В случае эксплуатации уязвимости и компрометации ядра, атакующий не сможет получит доступ к подобным ресурсам, так как их обработчики выполняются вне текущего уровня привилегий. Litebox рассматривается контексте проекта LVBS как «безопасное ядро», защищающая обычное ядро гостевой системы при помощи аппаратной виртуализации.

Источник: opennet.ru

Erik Peterson Редактор, Менеджер

A ProHoster specialist with over seven years of experience in hosting, network infrastructure, and internet security. I participate in the development and maintenance of server solutions, VPN services, and client platforms. I specialize in stability, data protection, and service optimization for clients. I regularly monitor updates in industry standards and best practices.

См. полную биографию

VPN VPS Shared Hosting SSL