ادغام قابلیت اسکن امنیتی Linux Container در RHEL

0
339
Linux Container - مکانیسم اسکن مجتمع در لینوکس

آخرین نسخه‌ی Red Hat Enterprise Linux دارای دو مکانیسم اسکن مجتمع در لینوکس می‌باشد که به منظور یافتن آسیب‌پذیری‌ها و Block نمودن راه ورود آنها به برنامه‌های Containerشده، به طور مستقیم مورد استفاده قرار می‌گیرد.

شرکت Red Hat به طراحی مجدد Container‌ها پرداخته که اجزای امنیتی آنها، به عنوان بخشی از این اقدامات معرفی شده است. این شرکت طی روزهای اخیر، دو روش برای اسکن امنیتی Container در سیستم‌عامل Enterprise خود معرفی نموده است.

جدیدترین نسخه از ویژگی‌های فعلی Enterprise Linux Red Hat و  OpenShif، اولین مورد استفاده از این دو تکنولوژی می‌باشد. همکاری دو شرکت Red Hat و  Black Duck Software از اکتبر سال گذشته به منظور ارائه ابزارهای تحلیل Container مربوط به شرکت Black Duck به عنوان بخشی از OpenShift آغاز گردید. هر دو شرکت از این همکاری به نوعی نفع خواهند برد: شرکت Red Hat به برنامه‌هایی با میزبانی OpenShift دست یافت که کمتر در معرض خطر آسیب‌‌های رایج قرار داشتند و علاوه بر آن شرکت Black Duck نیز به یک تکنولوژی‌ دست پیدا نمود که نسبت به سیستم ممیزی متن باز قبلی برای ارائه License‌ به‌روزتر بود.

این بخش جدید عمق همکاری میان Black Duck و Red Hat را نشان می‌دهد. در ابتدا، این همکاری به اسکن نمودن Container‌ها در رجیستری تصویرِ OpenShift محدود بود، اما در حال حاضر، پشتیبانی از موتور اسکن Black Duck نیز به Red Hat Enterprise Linux Atomic Host اضافه گردیده است و سیستم‌عامل به عنوان زیرلایه‌ای برای OpenShift استفاده می‌نماید. خلاصه این‌که برای بهره‌مندی از مزایای اسکن دیگر نیازی به OpenShift نمی‌باشد، بلکه می‌توان این امکانات را مستقیما از جدیدترین نسخه RHEL دریافت نمود.

همچنین Red Hat یک پیش‌نمایش از تکنولوژی Scanning خود از پروژه‌ی (Open Security Content Automation Protocol (OpenSCAP را به اسکن Container خود در Atomic Host اضافه نموده است. در واقع پروژه OpenSCAP، اجرای متن بازِ یک پروتکل عمومی با هدف ارائه گزارش‌ در مورد آسیب‌پذیری‌های‌ نرم‌افزاری می‌باشد و قبلا توسط Red Hat و  Suseپیاده‌سازی شده است. در این پروژه، از این تکنولوژی جهت به‌کارگیری ابزارها و سیاست‌های ارزیابی، سنجش و اجرای اقدامات امنیتی IT  برای محتوای Container‌ها و نه فقط برای سیستم‌های RHEL ، استفاده شده است.

تکنولوژی اسکن Container‌ها به طور کلی در پاسخ به محبوبیت Container‌ها بوجود آمده است. راهکار  First-Party شرکت Docker که Docker Security Scanning نام دارد، به عنوان بخشی از سرویس ارسال برنامه‌ Hostشده‌ی Docker Cloud ارائه می‌شود. تکنولوژی Third-Party شرکت Twistlock نه تنها سرویس اسکن محتوا، بلکه تحلیل و ممیزی رفتاری را نیز ارائه می‌دهد تا در مواقع عملکرد نادرست نرم‌افزاری (Software Behaving Badly)، هیچ‌گونه ناهنجاری و اختلالی روی سیستم ناشناخته باقی نماند. شرکت گوگل به‌اندازه‌ای برای Twistlock ارزش قائل بود که آن را در فهرست پلتفرم Google Cloud برای سرویس‌های Container اضافه نمود.

رویکرد Red Hat بدین صورت است که چندین مکانیسم اسکن و محافظت را مستقیما در پلتفرم اصلی خود مجتمع نموده و فرآیند پشتیبانی Container در آنجا را تکمیل نماید. به‌جای ارائه‌ی این تکنولوژی از طریق یک راهکار Hostشده، می‌توان آن را به عنوان بخشی از زیرلایه‌ی مورد استفاده برای ایجاد راهکارهای Hostشده اخیر در نظر گرفت.

به‌نظر نمی‌رسد که راهکارهای Container در مقیاس‌های کوچکتر نظیر ویرایش‌های دسکتاپ Docker، دارای روندهای محافظت ارائه شده در این پکیج باشند. این راهکارها بیشتر مناسب انواعی از Bundling می‌باشند که شرکت Red Hat برای RHEL و OpenShift در نظر دارد که می‌تواند چنین محافظتی را از برنامه در یک مقیاس وسیع‌ به‌کار گیرد.

بدون دیدگاه

دیدگاهتان را بنویسید

*