Szerző: Hlács Ferenc

2018. május 4. 16:33

Biztonságos konténereket hoz a Google új nyílt forrású projektje

Az Asylo keretrendszer és SDK a kiemelten biztonságos appok fejlesztését könnyíti meg.

A kiemelten biztonságos, "confidential computing" alkalmazások fejlesztéséhez adott ki nyílt forrású keretrendszert a Google, amellyel a kritikus szoftverek létrehozását, vagy akár a létező appok védelmének megerősítését tenné egyszerűbbé a fejlesztők számára.

Az Asylo névre keresztelt, egyelőre kísérleti projekt egy nyílt forrású frameworkot és egy SDK-t is tartalmaz, amelyeket a keresőóriás kifejezetten a megbízható végrehajtási környezetekben, vagy TTE-kben (Trusted Execution Envrionment) futtatott appok fejlesztésére szán. A TTE-k arra szolgálnak, hogy saját végrehajtási környezetekkel, enclave-ekkel az egyes szoftverstackek alsó rétegeit védjék a támadásoktól, mint a hypervisor, az operációs rendszer, vagy akár a driverek és firmware-ek. A cég a rootkiteket és bootkiteket emelte ki, mint potenciális fenyegetéseket, de akár az egy-egy szoftverhez, ezáltal pedig az említett rétegekhez hozzáférő harmadik felek is biztonsági kockázatot jelenthetnek. Ezek ellen a cégek hagyományosan a hozzáférési jogosultságokat rövid pórázon tartva igyekeznek védekezni, egyes esetekben azonban ez nem elég.

asylo

Az Asylo az enclave-ekben futó kód hitelesítését, illetve azok érzékeny tartalmú kommunikációjának titkosítását szolgálja, kiküszöbölve a technológia egy sor hagyományos nehézségét, beleértve a TEE-kben való futtatáshoz szükséges specializált eszközöket vagy akár hardveres környezeteket. A Google szerint a megoldás hardverek széles körén elérhetővé teszi a biztonságos TEE-ket, legyen szó helyi szerverekről vagy felhőben futó szolgáltatásokról.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A keretrendszer másik erőssége, hogy a fejlesztők egyszerűen készíthetnek vele hordozható alkalmazásokat, amelyek aztán többféle szoftveres és hardveres backenden is bevethetők. Az Asylóhoz a Google egy Docker képet is hozzácsap a Google Container Registryn keresztül, amelyben minden függőség megtalálható, hogy az adott konténer tetszőleges helyen futtatható legyen. Így a forráskód módosítása nélkül vehetők igénybe a különböző hardveres architektúrák - persze TEE támogatás mellett. A cég egyébként már többek között az AMD SEV-re, (Secure Encryption Virtualization) illetve Intel SGX-re (Software Guard Extensions) támaszkodó backendek támogatásán is dolgozik.

A nyílt forrású projekt persze még korai szakaszban jár, jelenleg 0.2-es verziószámot visel. A Google ennek megfelelően gőzerővel dolgozik az új funkciókon, ígérete szerint a fenti kiterjesztett támogatás mellett az Asylo hamarosan lehetővé teszi majd a már létező alkalmazások futtatását enclave-ekben - ehhez elég lesz az appot egyszerűen bemásolni az Asylo konténerbe, majd a backend megadása és a rebuild folyamat lezárulta után futtathatóvá is válik a szoftver.

Az előre elkészített konténerkép a Google Container Registryből már hozzáférhető, illetve a keresőóriás egy gyorstalpaló útmutatót is közzétett az eszköz használatához. Az egyébként görögül "biztonságos helyet" jelentő Asylo természetesen GitHubon is elérhető.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról