FOSSBYTES TECH SIMPLIFIED LOGO

UNQuasi due mesi dopo il lancio di IoT-based Azure Cloud Platform, Microsoft ha ora annunciato un nuovo modulo di sicurezza Linux (LSM) per dispositivi embedded. Il modulo di sicurezza, chiamato Integrity Policy Enforcement (IPE), mira a risolvere il problema di integrità nel kernel Linux aggiungendo una nuova funzionalità di sicurezza.

Che cos’è l’applicazione della politica di integrità (IPE)?

IPE è un modulo di sicurezza Linux che controlla l’integrità del codice sull’intero sistema limitando l’esecuzione di codice non autorizzato. Gli amministratori hanno il pieno controllo sull’esecuzione dei processi autorizzati.

Secondo il funzionario Appunti, un amministratore di sistema può anche creare un elenco di file binari con attributi di verifica corrispondenti. Questo aiuta IPE a eseguire solo i file binari con attributi verificati e a bloccare il codice binario dannoso o alterato.

Se non lo sai, la piattaforma Azure IoT implementa lo stesso kernel Linux. Quindi, il progetto IPE è appositamente progettato per sistemi embedded con scopi specifici come dispositivi firewall di rete in un data center. Tuttavia, non è possibile utilizzare l’IPE per l’elaborazione generica.

In che modo IPE differisce dagli altri moduli di sicurezza di Linux?

Sebbene il kernel Linux abbia già diversi moduli per la verifica dell’integrità come IMA. IPE offre specificamente la verifica in fase di esecuzione del codice binario. Microsoft afferma che IPE differisce dagli altri LSM in vari modi che forniscono il controllo dell’integrità.

Ad esempio, IPE non ha alcuna dipendenza dai metadati del file system e dagli attributi controllati da IPE. Inoltre, IPE non implementa alcun meccanismo per verificare i file di firma IMA. Questo perché il kernel Linux ha già moduli per lo stesso come dm-verity.

I proprietari del sistema possono creare le proprie policy per i controlli di integrità e utilizzare firme dm-verity integrate per autenticare i codici.

Per concludere, il nuovo progetto porta un nuovo modulo di sicurezza Linux che altri moduli non riescono a fare per proteggere il sistema dall’esecuzione di codice dannoso.

This post is also available in: Spagnolo Tedesco Vietnamita Italiano Indonesiano

LEAVE A REPLY

Please enter your comment!
Please enter your name here