Biztonságos konténereket hoz a Google új nyílt forrású projektje

A kiemelten biztonságos, "confidential computing" alkalmazások fejlesztéséhez adott ki nyílt forrású keretrendszert a Google, amellyel a kritikus szoftverek létrehozását, vagy akár a létező appok védelmének megerősítését tenné egyszerűbbé a fejlesztők számára.

Az Asylo névre keresztelt, egyelőre kísérleti projekt egy nyílt forrású frameworkot és egy SDK-t is tartalmaz, amelyeket a keresőóriás kifejezetten a megbízható végrehajtási környezetekben, vagy TTE-kben (Trusted Execution Envrionment) futtatott appok fejlesztésére szán. A TTE-k arra szolgálnak, hogy saját végrehajtási környezetekkel, enclave-ekkel az egyes szoftverstackek alsó rétegeit védjék a támadásoktól, mint a hypervisor, az operációs rendszer, vagy akár a driverek és firmware-ek. A cég a rootkiteket és bootkiteket emelte ki, mint potenciális fenyegetéseket, de akár az egy-egy szoftverhez, ezáltal pedig az említett rétegekhez hozzáférő harmadik felek is biztonsági kockázatot jelenthetnek. Ezek ellen a cégek hagyományosan a hozzáférési jogosultságokat rövid pórázon tartva igyekeznek védekezni, egyes esetekben azonban ez nem elég.

Az Asylo az enclave-ekben futó kód hitelesítését, illetve azok érzékeny tartalmú kommunikációjának titkosítását szolgálja, kiküszöbölve a technológia egy sor hagyományos nehézségét, beleértve a TEE-kben való futtatáshoz szükséges specializált eszközöket vagy akár hardveres környezeteket. A Google szerint a megoldás hardverek széles körén elérhetővé teszi a biztonságos TEE-ket, legyen szó helyi szerverekről vagy felhőben futó szolgáltatásokról.

IT security meetup és Benk Dénes a SYSADMINDAY-en 4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.

A keretrendszer másik erőssége, hogy a fejlesztők egyszerűen készíthetnek vele hordozható alkalmazásokat, amelyek aztán többféle szoftveres és hardveres backenden is bevethetők. Az Asylóhoz a Google egy Docker képet is hozzácsap a Google Container Registryn keresztül, amelyben minden függőség megtalálható, hogy az adott konténer tetszőleges helyen futtatható legyen. Így a forráskód módosítása nélkül vehetők igénybe a különböző hardveres architektúrák - persze TEE támogatás mellett. A cég egyébként már többek között az AMD SEV-re, (Secure Encryption Virtualization) illetve Intel SGX-re (Software Guard Extensions) támaszkodó backendek támogatásán is dolgozik.

A nyílt forrású projekt persze még korai szakaszban jár, jelenleg 0.2-es verziószámot visel. A Google ennek megfelelően gőzerővel dolgozik az új funkciókon, ígérete szerint a fenti kiterjesztett támogatás mellett az Asylo hamarosan lehetővé teszi majd a már létező alkalmazások futtatását enclave-ekben - ehhez elég lesz az appot egyszerűen bemásolni az Asylo konténerbe, majd a backend megadása és a rebuild folyamat lezárulta után futtathatóvá is válik a szoftver.

Az előre elkészített konténerkép a Google Container Registryből már hozzáférhető, illetve a keresőóriás egy gyorstalpaló útmutatót is közzétett az eszköz használatához. Az egyébként görögül "biztonságos helyet" jelentő Asylo természetesen GitHubon is elérhető.