BlackHat USA 2024 | vArmor云原生容器沙箱

2024-08-28 155 0

近日,被称为国际顶级的信息安全会议 BlackHat USA 2024 在美国拉斯维加斯召开。来自字节跳动云安全团队的开源系统 vArmor 入选 Blackhat Arsenal,并在会议现场进行了名为《BlackHat USA 24 Arsenal - vArmor A Sandbox System for Hardening Cloud-Native Containers》议题分享。

BlackHat USA 2024 | vArmor云原生容器沙箱插图

众所周知,作为安全行业的全球顶级峰会,BlackHat 对于来自全球各地提交的安全技术议题和 Arsenal 军械库展示的筛选评估一向苛刻。其中,BlackHat Arsenal 军械库展示是发源自 BlackHat 的一大特色,该展示邀请演讲者向听众现场演示其前沿研究和攻防工具,并与其进行面对面交流,从而丰富安全社区的安全工具集。

vArmor 是什么?

针对 Linux 容器隔离性弱、漏洞修复前缺乏缓解措施、已有加固手段门槛高、加固能力缺少云原生视角等问题和痛点,字节跳动云安全团队自研并开源了云原生容器沙箱——vArmor。它借助 Linux 内核的 LSM(AppArmor & BPF)和 Seccomp 技术对容器进行沙箱加固,从而增强容器隔离性、减少内核攻击面、增加容器逃逸和横向移动的难度与成本。

vArmor 遵循 Kubernetes Operator 设计模式, 使用户可以通过声明式 API 来操作沙箱系统对工作负载进行加固。从而以更贴近业务的视角,实现对容器化微服务的沙箱加固。。(扩展阅读:正式开源!字节安全团队自研云原生容器沙箱 vArmor)
随着云原生技术的广泛应用,企业对容器化微服务的加固需求将持续增长。vArmor 的设计初衷和目标是最大程度缩小“安全防护”与“研发运维”之间的鸿沟,为云原生环境的 Linux 容器加固提供低门槛、高易用、轻量级的解决方案。

这次有什么新特性?

开源以来,vArmor 在功能、稳定性、安全性等方面均有较大提升,例如:

  • ·引入了全局策略 VarmorClusterPolicy API,可对所有命名空间中的工作负载应用安全策略。
  • ·为 BPF enforcer 增加了新的策略原语、新增了 Seccomp enforcer 支持,并增加更多内置规则;目前 vArmor 支持单独或组合使用多个 enforcer(AppArmor/BPF/Seccomp),使得可以借助不同 enforcer 的优势,对容器的文件访问、进程执行、网络外联、系统调用等进行细粒度强制访问控制。
  • ·为 AppArmor & Seccomp enforcer 增加了行为建模支持,可以对多副本应用的行为(capability、文件访问、进程运行、系统调用等)进行建模。可将建模结果用于辅助策略制定、深度防御、权限最小化等用途。
  • ·引入了 Policy Advisor,可基于目标应用的上下文信息、行为模型来选择内置规则,并生成策略模版。进一步降低了定制加固策略的门槛。

更多新特性和变化请见项目release记录。

后续计划

vArmor 从开源社区收集了许多反馈,借助社区的力量,进一步提升了系统的稳定性和兼容性。接下来,vArmor项目将继续按照路线图迭代演进,在功能、易用性、稳定性、可观测性、兼容性等方面不断完善。欢迎大家参与社区建设和反馈。

项目地址:https://github.com/bytedance/vArmor
社区讨论:欢迎通过飞书加入开源交流群,进行后续交流与反馈。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论