AWS今天宣布Bottlerocket全面上市,這是一款專(zhuān)門(mén)為了運行軟件容器而開(kāi)發(fā)的開(kāi)源Linux發(fā)行版。
主流的Linux發(fā)行版不僅設計可以運行容器(容器讓?xiě)每梢赃\行在多個(gè)計算環(huán)境中),而且還可以運行一系列其他工作負載,因為支持大量用例,所以有大量難以管理的組件。
在開(kāi)發(fā)Bottlerocket時(shí),AWS去掉了很多標準Linux組件,只保留了運行容器工作負載所需的組件,從而打造了一個(gè)易于管理且更為安全的操作系統,之所以安全性更高,是因為Bottlerocket較小的代碼庫減少了黑客可以利用的潛在漏洞。
此外,AWS采取了許多其他防護措施來(lái)防止威脅,例如工程師利用Rust語(yǔ)言編寫(xiě)了Bottlerocket的大部分內容,這與主要用C語(yǔ)言編寫(xiě)的Linux內核相比降低了緩沖區溢出的可能性。
此外AWS還提高了Bottlerocket的安全性以應對所謂的持久性威脅。持久性威脅(也稱(chēng)為持久性惡意軟件)是一種惡意程序,可以獲取對操作系統關(guān)鍵組件的訪(fǎng)問(wèn)權,并利用這些組件隱藏其蹤跡。
Bottlerocket通過(guò)稱(chēng)為dm-verity的Linux內核功能來(lái)降低此類(lèi)攻擊的風(fēng)險,該功能會(huì )檢測未經(jīng)許可被篡改的操作系統,而這也是發(fā)現隱藏持久性惡意軟件的一個(gè)可靠方法。
AWS產(chǎn)品經(jīng)理Samartha Chandrashekar在博客文章中表示:“Bottlerocket還可以通過(guò)阻止與生產(chǎn)服務(wù)器的管理連接來(lái)強制實(shí)施一種操作模型,進(jìn)一步提高安全性。”管理員帳戶(hù)通常可以廣泛訪(fǎng)問(wèn)云實(shí)例,這使其成為黑客的目標。“登錄到單個(gè)Bottlerocket實(shí)例,對于高級調試和故障排除來(lái)說(shuō)是一種不常見(jiàn)的操作行為。”
Bottlerocket簡(jiǎn)化容器運行的另一種方法,是簡(jiǎn)化操作系統更新。將操作系統變更部署到運行關(guān)鍵任務(wù)應用的容器環(huán)境,這種行為是存在風(fēng)險的,因為部署問(wèn)題可能會(huì )導致停機。考慮到這一點(diǎn),AWS在Bottlerocket中開(kāi)發(fā)了一項名為原子更新的功能,讓管理員可以在導致錯誤的情況下安全地撤消操作系統變更。
“可以以原子方式應用和回滾Bottlerocket的更新,使其更容易實(shí)現自動(dòng)化,減少管理開(kāi)銷(xiāo),降低運營(yíng)成本,”Chandrashekar說(shuō)道。來(lái)源:siliconANGLE
