AWS今天宣布Bottlerocket全面上市,這是一款專門為了運(yùn)行軟件容器而開發(fā)的開源Linux發(fā)行版。
主流的Linux發(fā)行版不僅設(shè)計(jì)可以運(yùn)行容器(容器讓應(yīng)用可以運(yùn)行在多個(gè)計(jì)算環(huán)境中),而且還可以運(yùn)行一系列其他工作負(fù)載,因?yàn)橹С执罅坑美杂写罅侩y以管理的組件。
在開發(fā)Bottlerocket時(shí),AWS去掉了很多標(biāo)準(zhǔn)Linux組件,只保留了運(yùn)行容器工作負(fù)載所需的組件,從而打造了一個(gè)易于管理且更為安全的操作系統(tǒng),之所以安全性更高,是因?yàn)锽ottlerocket較小的代碼庫(kù)減少了黑客可以利用的潛在漏洞。
此外,AWS采取了許多其他防護(hù)措施來防止威脅,例如工程師利用Rust語(yǔ)言編寫了Bottlerocket的大部分內(nèi)容,這與主要用C語(yǔ)言編寫的Linux內(nèi)核相比降低了緩沖區(qū)溢出的可能性。
此外AWS還提高了Bottlerocket的安全性以應(yīng)對(duì)所謂的持久性威脅。持久性威脅(也稱為持久性惡意軟件)是一種惡意程序,可以獲取對(duì)操作系統(tǒng)關(guān)鍵組件的訪問權(quán),并利用這些組件隱藏其蹤跡。
Bottlerocket通過稱為dm-verity的Linux內(nèi)核功能來降低此類攻擊的風(fēng)險(xiǎn),該功能會(huì)檢測(cè)未經(jīng)許可被篡改的操作系統(tǒng),而這也是發(fā)現(xiàn)隱藏持久性惡意軟件的一個(gè)可靠方法。
AWS產(chǎn)品經(jīng)理Samartha Chandrashekar在博客文章中表示:“Bottlerocket還可以通過阻止與生產(chǎn)服務(wù)器的管理連接來強(qiáng)制實(shí)施一種操作模型,進(jìn)一步提高安全性。”管理員帳戶通?梢詮V泛訪問云實(shí)例,這使其成為黑客的目標(biāo)。“登錄到單個(gè)Bottlerocket實(shí)例,對(duì)于高級(jí)調(diào)試和故障排除來說是一種不常見的操作行為。”
Bottlerocket簡(jiǎn)化容器運(yùn)行的另一種方法,是簡(jiǎn)化操作系統(tǒng)更新。將操作系統(tǒng)變更部署到運(yùn)行關(guān)鍵任務(wù)應(yīng)用的容器環(huán)境,這種行為是存在風(fēng)險(xiǎn)的,因?yàn)椴渴饐栴}可能會(huì)導(dǎo)致停機(jī)?紤]到這一點(diǎn),AWS在Bottlerocket中開發(fā)了一項(xiàng)名為原子更新的功能,讓管理員可以在導(dǎo)致錯(cuò)誤的情況下安全地撤消操作系統(tǒng)變更。
“可以以原子方式應(yīng)用和回滾Bottlerocket的更新,使其更容易實(shí)現(xiàn)自動(dòng)化,減少管理開銷,降低運(yùn)營(yíng)成本,”Chandrashekar說道。來源:siliconANGLE
