Låser containersikkerheten en gang for alle med Rust-basert Edera

0
21
676 Paul Taylor/Getty Images

Et av de ultimate skysikkerhetsmarerittene er når noen bryter gjennom beholderens kjøretid inn i det underliggende operativsystemet. Med angrep som Leaky Vessels kan en hacker herje programmene dine, knuse andre containeriserte applikasjoner og gi angriperen rotrettigheter på brukernivå. Kort sagt, det er over for din sikkerhet. For å forhindre slike angrep tar Edera et gammelt program inn i et nytt språk for å gi en minnesikker containerkjøring. 

Skrevet i Rust, er Edera bygget på grunnlaget for den klassiske åpne- kilde type-1, bare-metal Virtual Machine hypervisor, Xen. Denne hypervisoren ble valgt, som Edera Chief Innovation Officer og Alpine Linux vedlikeholder Ariadne Conill, forklarte, fordi, i motsetning til KVM, som kjører inne i Linux-kjernen, er det en dedikert type-1 hypervisor. Disse er iboende sikrere enn de populære type-2 hypervisorene. 

Også: De beste VPN-tjenestene: Ekspert testet og anmeldt

Hvis du er en tekniker, tror du kanskje at det er sant, men handler ikke hypervisorer av begge typer om virtuelle maskiner (VM), ikke containere? Det er riktig, men Edera-teamet har tatt hypervisordesignet og flyttet det over til containere. Som Emily Long, Ederas administrerende direktør, sa, “Hypervisorer har ikke blitt redesignet på nesten to tiår og fungerer bare ikke i den skybaserte verden.” Edera-utviklerne bygger en ekte hypervisor fra det 21. århundre. 

Grunnlaget for det nye programmet er Krata. Dette er en Xen-basert, enkeltverts hypervisor bygget for Open Container Initiative (OCI)-kompatible beholdere. Den isolerer beholdere med et fullt minnesikkert rustkontrollplan for å bringe Xen-verktøy inn i en ny, sikker æra. I tillegg bruker Edera Lukko, et kjøretidsbibliotek med åpen kildekode for minnesikkerhet. Dette biblioteket oppdager brudd på minnesikkerheten under kjøring og avslutter programmer før de kan utnyttes.

Edera er utformet sikkert. Det er den eneste uavhengige løsningen som tilbyr isolasjon på containernivå, noe som gjør containerescape umulig, uansett hvor du kjører infrastrukturen din: en hypersky, en lokal sky eller dine egne servere. 

< h2>Ederas nøkkelfunksjoner

Isolasjon

Type 1 hypervisor kjører på bart metall uten delt kjernetilstand mellom beholdere.

Herdede sikkerhetsgarantier uten at beholderen slipper ut.

Klarerte og ikke-klarerte arbeidsbelastninger kjører i samme klynge uten risiko.

Minnesikkerhet

Kodet i Rust, som sikrer fullstendig minnesikkerhet.

< p>Prinsippet om minste autoritet begrenser angrepsoverflaten.

Sikker minnekryptering

Ensidig dataoverføring mellom konfidensielle beholdere.

Minnekryptering mellom gjester som skaper svært sikre enklaver.

I tillegg vil den ferdige Edera Protect inkludere en pakke med avanserte funksjoner, for eksempel et bedriftskontrollplan, multi-cluster management og veiledet utbedring av minnesikkerhetsbrudd. Disse funksjonene vil bli supplert med Kubernetes-kompatibilitet og førsteklasses støttetjenester.

Etter hvert vil Edera også gjøre det mulig for kunder å distribuere en blanding av arbeidsbelastningstyper i klynger i stedet for å ha forskjellige klynger for eldre virtualisering og containere. Den vil også støtte distribusjon av tradisjonelle VM-bilder på samme måte som containere distribueres, noe som gir en mer konsistent utvikleropplevelse når du arbeider med både containere og tradisjonelle VM-er.

Ederas grunnleggerteam, som består av Conill, Long og Alex Zenla, CTO, er et team for kvinner. Dette er et avvik fra den vanlige lederskapsnormen for teknologiutvikling innen teknologiutvikling. Deres kombinerte ekspertise spenner over ingeniørledelse, programvaresikkerhet, produktinnovasjon og utøvende ledelse. De har en felles visjon om å bygge en mer inkluderende, styrkende og sikker teknologisk fremtid.

Tiden er inne for Edera. Med selskaper som trenger sikrere containere takket være den økende kompleksiteten til containerorkestrering og Kubernetes sikkerhetssårbarheter, presenterer Edera en sikker-by-design-tilnærming som adresserer disse utfordringene. Faktisk kan selskapets unike tilnærming, som utnytter Rusts minnesikkerhetsfunksjoner og moderne hypervisorteknologi, gjøre mange eksisterende sikkerhetsverktøy foreldet ved å tilby robust isolasjon på beholdernivå.

Også: Google undersøkelse: 63 % av IT- og sikkerhetsproffene tror AI vil forbedre bedriftens cybersikkerhet

Alle kan bidra til Krata i dag, og Lukko er satt til en første utgivelse 1. mai 2024. Gründerne vil snart starter sin første innsamlingsrunde og er glade for å starte den prosessen.  

Jeg er spent på å se hva de gjør fremover. Dette er virkelig en ny, innovativ tilnærming til containersikkerhet, og det kan godt være en spillskifter for nettskybasert databehandling.